🔻 🎺 👩🏿‍🤝‍👨🏼 Descripción general del enrutador serie Draytek 2925. Segunda parte 🈂️ 👨🏾‍💻 💃🏻

En la primera parte de la revisión de la serie de enrutadores Draytek 2925n, examinamos en detalle cómo se posiciona el dispositivo en el mercado, el esquema de uso del enrutador, sus funciones clave y ejemplos de su uso, conocimos las especificaciones técnicas detalladas, observamos la configuración y el aspecto del enrutador, examinamos en detalle las funciones de los indicadores e interfaces. dispositivos.

Los resultados demuestran inequívocamente las amplias capacidades del enrutador en un compartimento con "gigabit", que puede ser necesario para una empresa de nivel SMB y SMB + o una pequeña sucursal de una gran empresa, que "superó" la velocidad máxima de conexión de red de 100 Mbps y necesita cientos de megabits en la red local y Interfaces WAN a su ISP. Por lo tanto, el dispositivo tiene un gran potencial para su uso en redes corporativas intensivas en recursos. Las pruebas de carga, cuyos resultados puede encontrar en la primera parte de la revisión, mostraron buenos resultados. La primera parte de la revisión está disponible en este enlace.

En esta parte de la revisión, analizaremos más de cerca la interfaz web del dispositivo, nos familiarizaremos con sus características y un ejemplo de configuración de funciones e interfaces como WAN y LAN, equilibrio de carga, red inalámbrica, VPN (PPTP, IPSec y SSL), firewall, NAT, especial Configuración automática y administración centralizada de puntos de acceso - Administración central de AP y conexiones VPN en enrutadores remotos - Administración central de VPN, administración de ancho de banda, la función de crear un clúster de alta disponibilidad desde varios enrutadores, así como USB, diagnóstico y mon iteración del enrutador
A continuación se muestra un diagrama de conexión general del enrutador.

Fig. 0

Fig. 0-1
Llamo la atención sobre el hecho de que todos los puertos Ethernet de WAN y LAN son "gigabits".
De manera predeterminada, el enrutador incluye una red inalámbrica abierta con el nombre Draytek y un servidor DHCP, puede conectarse a él o usar uno de los puertos LAN.

Después de conectarse al enrutador desde una PC y obtener con éxito una dirección IP de la red 192.168.1.0/24, abra su interfaz web; para esto, en el navegador web, escriba IP LAN por defecto 192.168.1.1, Nombre de usuario: admin, contraseña: admin. Recomiendo cambiar inmediatamente la contraseña a una más segura.

Fig. 1

Llegamos al menú "Estado en línea", donde se muestra información básica sobre el dispositivo

. 2

La siguiente imagen muestra el menú del Tablero, que muestra claramente el diagrama de conexión del enrutador a las redes WAN, LAN y WLAN inalámbricas. Simple y claro

Fig. 2-1

Llamo la atención sobre el hecho de que la versión de firmware 3.7.8.2_R está preinstalada en los enrutadores entregados a Rusia, este firmware difiere del habitual en que carece de cifrado, excepto por el protocolo PPTP, se ve así:

Fig. 3

Si esto no es suficiente, puede instalar el firmware completo descargándolo del sitio web Draytek.com en la sección Soportes -> Descargas -> Firmware - Serie Vigor2925 .

Seleccioné el último 3.8.2.3 y lo descargué, luego lo descomprimí, abrí Mantenimiento del sistema >> Actualización de firmware en la interfaz web del enrutadory seleccioné el archivo v2925_3823.all, luego hice clic en "Actualizar" .

Fig. 4 4

Después de una actualización exitosa, reinicie el enrutador y obtenga el firmware más reciente sin ninguna restricción.

Para mayor claridad, la siguiente es una imagen del diagrama de red para el enrutador Draytek 2925n, en cuyo ejemplo consideraremos su interfaz web, así como algunos ejemplos de configuraciones de funciones.

Fig. 4-1

Para conectarse a Internet, utilizamos dos interfaces WAN con varias reglas de enrutamiento; en caso de accidente en el primer canal, el tráfico pasará automáticamente por la copia de seguridad.

Utilizamos dos subredes: LAN0 = 192.168.1.0 / 24 y LAN1 = 192.168.2.0 / 24. Y tres redes inalámbricas con SSID: DrayTek, DrayTek_Guest y DrayTek_Unencrypted. Se combinan mediante la configuración de VLAN con redes inalámbricas. Los clientes remotos pueden conectarse a través de VPN utilizando Smart VPN Client y los protocolos PPTP e IPSec. Para la aplicación SmartMonitor, la duplicación de puertos LAN está habilitada.

En general, independientemente del modelo del enrutador Draytek, la estructura del menú tiene una organización similar, no puede encontrar ninguna función, o descubrir más de ellas que en otro modelo o versión de firmware, pero la estructura permanece sin cambios. A la izquierda hay un bloque de elementos de menú global estructurados por subsistemas de enrutador: asistentes, interfaces WAN y LAN, luego un bloque de configuraciones de firewall (Firewall, Configuración de objetos, CSM) y gestión de usuarios (Gestión de usuarios), luego un bloque de configuraciones Aplicaciones especiales de enrutadores (Aplicaciones). Luego, dos elementos del menú responsables de la administración centralizada de los puntos inalámbricos de Draytek: Administración central de AP y administración centralizada de VPN en los enrutadores Draytek: Administración central de VPN. El siguiente es el bloque de configuración de VPN,detrás hay un menú para configurar una red inalámbrica (LAN inalámbrica), un menú separado para configurar un puerto USB (Aplicación USB) y, finalmente, un menú de funciones de servicio (Mantenimiento del sistema) y un menú de diagnóstico del enrutador (Diagnóstico).

Todos los elementos están estructurados de forma simple y lógica, de acuerdo con las funciones de red, sin ninguna lógica específica y confusa.

Cada elemento del menú global incluye uno o más subelementos. Considere los elementos del menú principal, ya que el enrutador tiene una configuración que coincide con el diagrama de red que se presentó anteriormente, a medida que revise los nuevos elementos del menú, quedará claro cómo se configuran ciertas funciones de red.

Menú de magos

Estos son los asistentes de configuración que le permiten configurar las funciones básicas del enrutador con unos pocos clics. Son una cadena de varios cuadros de diálogo, la última ventana muestra una lista de todas las configuraciones realizadas y el botón "Finalizar" para su aplicación. Me pareció que los datos del asistente son para administradores completamente vagos, ya que sin ellos, configurar las funciones básicas en el enrutador no es difícil.

Asistente de inicio rápido : se utiliza para configurar rápidamente la conexión de las interfaces WAN 1-3.

Asistente de activación del servicio : activa el filtro temático inteligente de los sitios Filtro de contenido web .

El siguiente asistente de cliente VPN y asistente de servidor VPNLo encontré interesante, con la ayuda de ellos es fácil configurar la VPN en los modos LAN-a-LAN y Remote Dial-in User, activar el servicio y registrar usuarios. A continuación, un ejemplo de 3 pasos para agregar y activar un usuario de VPN.

Elegimos PPTP, luego necesitamos configurarlo en el lado del cliente, usaremos el cliente Draytek Smart VPN. Volver a la configuración de VPN en el menú VPN y acceso remoto .

Fig. 5

Fig. 6

Fig. 7

El Asistente inalámbrico es para la configuración inicial de una red inalámbrica. A continuación se muestra la ventana final al finalizar el asistente.

Fig. 8

En un par de clics, se configura la red inalámbrica.

Menú de estado en línea

El siguiente elemento del menú contiene dos subelementos: la primera Conexión física : muestra el estado físico de LAN, interfaces WAN 1-3 y medidores de nivel de enlace, lo mismo, pero solo para las interfaces virtuales se puede ver en el menú WAN virtual .

Fig. 9

Para obtener más información sobre el estado del sistema, consulte Mantenimiento del sistema -> Estado del sistema .

Menú WAN

En este menú, se realizan todas las configuraciones relacionadas con la conexión del enrutador a los proveedores de Internet. En nuestro ejemplo, WAN 1 y 2 están activas:

Fig. 10-1

La configuración del modo de equilibrio de carga está disponible cuando se usan dos o tres interfaces WAN simultáneamente. Usamos el modo Auto Weigh , en este modo el enrutador distribuye automáticamente la carga. La interfaz WAN 3 se puede utilizar al conectar un módem 3 / 4G.

A continuación se muestra una configuración detallada de la interfaz WAN 2, utilizamos el modo de equilibrio de carga.

Fig. 10-2

Las interfaces se configuran directamente en el submenú Acceso a Internet .

Fig. 10-3

Ir a la página de detalles WAN 2, aquí están las configuraciones para el modo de conexión, usamos una IP estática, un cliente DHCP funciona en la primera interfaz. Además de los métodos que utilizamos, puede conectarse a Internet utilizando los protocolos PPTP / L2TP o PPPoE, así como IPv6.

Fig. 11

Sub-menú multi-VLAN permite al administrador crear perfiles de WAN específica 1-2 interfaz física y crean un puente a la interfaz LAN LAN para un máximo rendimiento.

Fig. 12

Es decir, sobre la base de la interfaz física de WAN 1-2, creamos una WAN virtual 5-7 adicional en la VLAN especificada por nosotros y la "conectamos" con los puertos LAN necesarios 1-3 (el cuarto puerto puede funcionar solo en modo NAT), opcionalmente, podemos asignar interfaz WAN virtual 5-7 dirección IP manualmente o recibir a través de DHCP, es decir, convertirla en L3. Como ejemplo, podemos reenviar el tráfico de IPTV de WAN a LAN.

Submenú Multi-VLANresponsable de presupuestar o limitar la cantidad de tráfico a través de interfaces WAN. El presupuesto de tráfico se asigna para un cierto intervalo de tiempo, que es determinado por el administrador. Una vez que expira el intervalo, el contador de tráfico consumido se restablece a cero y se vuelve a habilitar. El administrador indica la acción que ocurrirá si el presupuesto de tráfico se gasta antes de que expire el intervalo de tiempo, puede ser: apagar la interfaz, enviar una notificación por correo electrónico o en un mensaje SMS.

A continuación se muestran las imágenes de la lista de interfaces y configuraciones detalladas, utilizando la interfaz WAN1 como ejemplo

. 12-1

Fig. 12-2

Menú LAN

El artículo es responsable de configurar la red local y contiene varios subelementos. El enrutador admite dos segmentos de LAN independientes con su propia configuración, por defecto es 192.168.1.1/24 y 192.168.2.1/24, también puede agregar una red enrutada. En ambos segmentos, se habilita DHCP, que emite direcciones IP para conectar terminales de usuario. Por cierto, un servidor DHCP se puede configurar para transmitir cualquier opción DHCP adicional, es muy conveniente si la red tiene servicios especializados, por ejemplo, un servidor TFTP.

Fig. 13

Además, puede habilitar o deshabilitar el enrutamiento entre LAN 1-5 en la sección Enrutamiento entre LAN.

En el siguiente submenú LAN >> Configuración de ruta estática , puede agregar hasta 10 rutas estáticas a otras redes detrás de direcciones IP en subredes LAN 1-5.

SubmenúLAN >> La configuración de VLAN le permite combinar los puertos LAN P1-5 especificados con las redes inalámbricas SSID 1-4 en una sola VLAN y, opcionalmente, agregar etiquetas de VLAN prioritarias. Cuando la etiqueta VLAN está habilitada, el tráfico con las etiquetas especificadas en el campo VID aparecerá en los puertos LAN correspondientes; las etiquetas no se transmitirán a través de redes inalámbricas. En nuestro ejemplo, dos VLAN independientes. VLAN0 incluye puertos LAN P 2-5 y una red inalámbrica con SSID1; todo esto está en el segmento LAN 1. VLAN1 incluye el puerto P1 y las redes inalámbricas con SSID2 y SSID3; todo esto está en el segmento LAN 2.

Fig. 14 El

enrutador puede funcionar en el modo de crear VLAN sin etiquetar basadas en puertos o VLAN basadas en etiquetas VID.

Siguiente elemento en LAN >> Enlace IP a MAC. Le permite crear listas con direcciones MAC y direcciones IP coincidentes, si la función está habilitada, no se pueden cambiar todas las direcciones IP asignadas a las direcciones MAC. Las hojas creadas pueden guardarse en un archivo y restaurarse a la configuración del enrutador desde un archivo guardado previamente.

En el menú LAN >> LAN Port Mirror , puede habilitar la copia de todo el tráfico desde el puerto LAN Mirrored especificado al puerto Mirror receptor . Esta función es útil para depurar una red usando un sniffer o cuando se usa la aplicación para monitorear y analizar la actividad de la red de Draytek Smart Monitor, la información sobre esta aplicación se puede encontrar en la primera parte de esta revisión. A diferencia del enrutador Draytek 2912, una descripción general de dos partes está disponible aquí: parte 1y la parte 2 , en el modelo 2925, para cada puerto puede especificar qué tráfico reflejar: solo Rx entrante, solo Tx saliente o ambos.

Fig. 15

Sub-menú de conexión de cable 802.1X habilitar la autenticación 802.1X para cualquiera de los puertos LAN 5. Además, la función puede funcionar en dos modos: autenticación local 802.1X (configurada a través del menú Perfil de usuario) o mediante un servidor RADIUS externo.

Fig. 15-1

Sub-menú LAN >> Portal Web de configuración le permite definir los perfiles que se asignan a la interfaz LAN o la red WLAN inalámbrica e introduzca la URL en su enlace de sitio para automáticamente redirigir al usuario en el primer intento de abrir una página Web, después de conectar a través del perfil especificado una interfaz, por ejemplo, SSID1.

Fig. 16

Esta función se utiliza con fines publicitarios o para notificar a un usuario que se conecta a Internet a través de la red de una empresa específica.

En el ejemplo, cuando intente abrir cualquier página web por primera vez, el usuario será redirigido al sitio www.ucexpert.ru , donde en la parte superior de la pantalla aparecerá un mensaje pidiéndole al usuario que haga clic en el botón Continuar para continuar la sesión web e ir al sitio deseado.

El siguiente es un ejemplo de tal página.

Fig. 17

Menú de política de equilibrio de carga / ruta

Este elemento del menú contiene el subelemento Configuración general (configuración directa de las reglas de equilibrio de carga y políticas de enrutamiento y Diagnóstico) , un subelemento para depurar las reglas configuradas, donde puede simular la ruta de uno o más paquetes a través de la tabla de reglas configuradas y verificar el resultado.

Fig. 18

En el ejemplo, los paquetes que dejan las direcciones IP LAN de cualquier enrutador en IP 8.8.8.8 pasarán por WAN1, la segunda regla funciona de manera similar, solo para IP de destino 8.8.4.4 y los paquetes ya pasarán por WAN2. En la tercera regla, se indica toda la subred, en la cuarta regla se indica que todo el tráfico debe enviarse a través de WAN1, en caso de falla de WAN1, enviar a WAN2. Cada regla tiene prioridad, cuanto menor es, antes se ejecuta la regla.

La siguiente imagen muestra los criterios por los cuales puede establecer una regla, hay muchos de ellos, también puede determinar dónde enviar el paquete si la regla no funcionó.

Fig. 19

La siguiente figura muestra el diagnóstico de ruta.

Fig. 20

Menú NAT

Las funciones de traducción de traducción de direcciones de red (NAT) están configuradas en el menú, contiene el submenú de redirección de puertos: reenvío de puertos desde el puerto de la interfaz WAN especificada a la dirección IP y el puerto en la LAN, esto puede ser necesario para servidores FTP, servidores de correo, etc. d.

El submenú Host DMZ le permite especificar un host DMZ en la LAN para cada una de las interfaces WAN.

El submenú Puertos abiertos le permite mantener abiertos los rangos de puertos especificados para aplicaciones especiales, como P2P, y enrutarlos a direcciones IP específicas en la LAN.

Fig.

La activación de 21 puertos es una variación de puertos abiertos. Si después de activar la regla de Puertos abiertos, estos puertos están constantemente abiertos, entonces, al aplicar la regla de Activación de puertos, estos puertos se abrirán solo cuando las condiciones de las reglas sean las mismas, entonces los puertos se cerrarán nuevamente por tiempo de espera.

La operación de la función en el elemento del submenú correspondiente se define mediante un conjunto de reglas.

Menú de aceleración de hardware

Este menú se usa para configurar la aceleración de hardware de funciones como el Monitor de flujo de datos, uno de los elementos del submenú de diagnóstico, que muestra información sobre sesiones activas desde direcciones IP, Gráfico de tráfico : información del tráfico que pasa a través de interfaces WAN en forma de gráficos, Función de presupuesto WAN presupuestar el volumen de tráfico por un cierto período de tiempo. Además, la función se puede habilitar tanto en modo automático como en modo manual: especifique para qué dirección IP de host y protocolo UDP \ TCP con un rango de puertos y habilite esta función.

Fig. 21-1

Menú de cortafuegos

En este menú, se configuran las reglas de firewall global, se establecen los conjuntos y el orden de las reglas de verificación de tráfico, y se especifican las reglas de filtrado de tráfico predeterminadas.

El firewall se puede dividir en 3 subsistemas:

Filtro IP configurable por el usuario basado en conjuntos de reglas de Filtro de llamadas / Filtro de datos
Filtro de inspección de paquetes con estado (SPI)
Protección contra ataques de denegación de servicio (DoS) / DoS distribuido (DDoS)

La arquitectura del firewall usa dos conjuntos independientes de reglas de Filtro de llamadas y Filtro de datos.

El conjunto de reglas del Filtro de llamadas se aplica al tráfico enviado desde la red local a la WAN cuando no hay una conexión a Internet activa (la interfaz WAN no está activa) y antes de que se establezca la conexión, el tráfico pasa a través de las reglas del Filtro de llamadas, si los paquetes no están bloqueados, la conexión se establece.

Cuando la interfaz WAN está activa, todos los paquetes entran inmediatamente en el conjunto de reglas del Filtro de datos, y todo el tráfico que llega a las interfaces WAN también llega allí.

Fig. 22
Las reglas de firewall pueden especificar objetos (definidos a través del menú Configuración de objetos), como direcciones IP o grupos de direcciones IP, protocolo y rango de puertos y sus grupos, palabras clave y grupos de palabras clave, perfiles de extensión de archivo, usuarios (ciertos en el menú Administración de usuarios) y, por último, en el menú CSM (Administración de seguridad de contenido), defina aplicaciones, por ejemplo, Skype, URL e incluso el tema de ciertos sitios que usan el sistema de filtro de contenido web.
Es decir, podemos trabajar con el tráfico desde el nivel de la red hasta el nivel de la aplicación, además de utilizar el sistema de filtro de contenido web para procesar de manera inteligente el tráfico sobre el tema del contenido web, es decir, crear reglas muy amplias.
A continuación se muestran las configuraciones globales en el submenúFirewall >> Configuración general , luego el submenú Firewall >> Configuración de filtro que ilustra los conjuntos de reglas de firewall, Firewall >> Configuración de filtro >> Editar submenú Conjunto de filtros que ilustra la composición de un conjunto específico de reglas.

Fig. 23

Ahora consideraremos una regla concreta de la tabla llamada block-social

Fig. 24

En primer lugar, en Schedule puede especificar el horario en que funcionará la regla, por ejemplo, bloquear las redes sociales de 9-30 a 18-00 de lunes a viernes. A continuación, indicamos la dirección de la verificación del tráfico en el campo Dirección , cualquier dirección IP entrante o saliente, el tipo de servicio puede establecerlo un objeto específico en el menú Configuración de objetos >>Tipo de servicio Objeto, o tal vez un conjunto de objetos, y es un grupo de tipo de protocolo + puerto o rango de puertos.

A continuación, en el campo Filtro , especifique el criterio "Pasar si no hay más coincidencias" : los paquetes deben omitirse si ninguno de los criterios de las reglas restantes coincide. Si el usuario accede a una red social, por ejemplo, ok.ru, los criterios coincidirán y el paquete será bloqueado. El criterio en este ejemplo es el perfil en el filtro de contenido de URL , que contiene un objeto, un grupo que incluye palabras clave, direcciones de redes sociales.

A continuación, ilustraré la configuración cuando lleguemos a ellos. Del mismo modo, se incluyen otros criterios en la regla, es decir, en las reglas del cortafuegos puede agregar criterios tanto a nivel de red como a nivel de aplicación, además, puede habilitar el Filtro de contenido web , que funciona aún más, a nivel del tema de la web contenido

Submenú DoS Defense . El enrutador implementa la detección y protección automática contra ataques DoS, y las métricas del umbral de intensidad de tráfico, después de lo cual el evento se considera un ataque, se pueden configurar manualmente. También se proporcionan alertas de notificación de ataque.

Menú de gestión de usuarios

El firewall puede funcionar en uno de dos modos globales:

Rule-Based, , , , IP- . IP-.

User-Based, . . . IP , .

Los submenús siguientes son Gestión de usuarios >> Configuración general, donde puede cambiar entre trabajar con direcciones IP o trabajar con perfiles de usuario.

Si todo está claro sobre trabajar con direcciones IP: el administrador asigna una dirección IP al terminal de usuario, que no debe cambiar y asigna reglas para la dirección IP.

Tan pronto como cambiemos al modo basado en el usuario, el usuario debe iniciar sesión, hasta ese momento no podrá trabajar en la red, y cuando abra el navegador e intente acceder a cualquier sitio, será redirigido a la página de autorización. Para iniciar sesión, un perfil de usuario con los derechos correspondientes debe estar contenido en la tabla Gestión de usuarios >> Perfil de usuario.

Fig. 25

En el ejemplo, hay un perfil de usuario Ignat Kudryavtsev, abra el perfil de este usuario

Fig. 26

Como puede ver, aquí puede configurar el tiempo de espera para el cierre de sesión automático en caso de tiempo de inactividad, y la restricción en el número simultáneo de inicios de sesión, habilite la autenticación externa utilizando protocolos LDAP o RADIUS. También puede establecer cuotas para el tiempo y la cantidad de tráfico consumido por el usuario.

La página de destino es la página que verá el usuario después de una autorización exitosa. Simplemente puede mostrar un mensaje, como en nuestro ejemplo: "¡Acceso exitoso!", O puede redirigir a cualquier sitio web, por ejemplo, el sitio web de una empresa. Para hacer esto, en la configuración de la página de destino debe escribir una línea del formulario:

<body stats=1><script language='javascript'> window.location='http://www.draytek.com'</script></body>

Todos los ajustes se describen en detalle en el manual del usuario. Cuando abre un navegador web e intenta acceder a cualquier sitio, el usuario será redirigido a la página de autorización, después de una autorización exitosa, aparecerá el mensaje "¡Acceso exitoso!" y el usuario podrá trabajar en la red.

Fig. 27

En el submenú Grupo de usuarios , puede agrupar usuarios para que pueda asignar las mismas reglas a grupos de usuarios, por ejemplo, por departamento de la empresa. El submenú de estado en línea del usuario se utiliza para ver el estado de los usuarios.

Menú de configuración de objetos

Los enrutadores de la serie 2925 de Draytek admiten un firewall basado en la inspección de paquetes con estado (SPI) basado en objetos basados en objetos (basados en IP), tales como: un usuario (previa autorización, recibe una IP específica), direcciones IP o grupos de direcciones IP, protocolo y gama de puertos y sus grupos, palabras clave y grupos de palabras clave, perfiles de extensión de archivo. Estos objetos se pueden usar para crear reglas de firewall que se pueden habilitar y deshabilitar en un horario.

En el menú Configuración de objetos, se crean y agrupan varios tipos de objetos.

En el submenú Objeto IPlos objetos se crean en función del host, el rango de direcciones IP o la subred; también puede usar una dirección MAC específica para cualquier dirección IP. En el submenú Grupo IP, los grupos se crean a partir de objetos IP que luego se pueden usar para crear reglas de firewall.

Lo mismo ocurre con el objeto IPv6 y el grupo IPv6 con direccionamiento IPv6 IP. En los submenús Objeto de tipo de servicio y Grupo de tipo de servicio , los objetos se crean y agrupan según el tipo de protocolo, los puertos de origen y de destino.

Fig. 28

En el submenú Objeto de palabra clave y Grupo de palabras clavelos objetos basados en palabras clave se crean y agrupan, luego estos objetos se pueden usar para crear reglas de filtrado, por ejemplo, para el Perfil de filtro de contenido URL y el Perfil de filtro DNS en el subsistema CSM. En nuestro ejemplo, bloqueamos las redes sociales vk.com twitter.com facebook.com y ok.ru, para esto creamos dos perfiles con los nombres social-nets y social-ok.ru que contienen estas palabras clave y las agregamos al grupo social-nets- gro submenú Configuración de objetos >> Grupo de palabras clave . A continuación, usamos este grupo en CSM >> Perfil de filtro de contenido de URL .

Fig. 29

En el submenú Objeto de extensión de archivoSe crean perfiles de extensiones, archivos que se pueden reconocer y aplicar en las reglas del firewall. Por lo tanto, por ejemplo, puede evitar la descarga de todos los archivos comprimidos o archivos de video con las extensiones especificadas. En el ejemplo, la descarga de cualquier imagen está prohibida. El perfil creado llamado blk-img se utilizará en el perfil CSM >> Perfil de filtro de contenido URL . Veremos esto en el siguiente ejemplo.

Fig. 30

Sub-menú SMS / Objeto servicio de correo y notificación del objeto permiten configurar hasta 10 perfiles para el servicio de notificación de la Solicitud >> SMS / Mail Alerta del Servicio .

Menú CSM

Content Security Management (CSM), un subsistema de firewall que funciona a nivel de aplicación, le permite bloquear enlaces URL por palabras clave y tipo de contenido, por ejemplo, Java Applet, Cookies, Active X, también puede bloquear varias aplicaciones de red, por ejemplo , IM / P2P o protocolos de nivel de aplicación, por ejemplo, MySQL, SMB, SSH, UltraVPN, la lista de servicios y protocolos es bastante impresionante. Es posible bloquear DNS para palabras clave.

En el submenú Perfil de aplicación de aplicación , los perfiles se crean para filtrar aplicaciones de red que pueden usar puertos que cambian dinámicamente y cada aplicación tiene sus propios detalles, por ejemplo, Skype.

Fig. 31

En el ejemplo de la configuración de la regla de Firewall de la tabla Filtro de datos, que se proporcionó anteriormente, se indica esta regla.

El submenú URL Content Filter Profile es responsable de filtrar el contenido web. Aquí se indican los objetos de palabras clave de grupo / objeto previamente creados y se permite la función de control de acceso a URL , luego se buscará en cada dirección de sitio web por palabras clave. En nuestro ejemplo, agregamos el grupo social-nets-gro que contiene palabras clave con direcciones de redes sociales al grupo creado anteriormente.

En la sección Función web , puede habilitar cookies, bloqueo de proxy y cargas de archivos con los archivos especificados en el Perfil de extensión de archivo ; en el ejemplo anterior, creamos el perfil 1-blk-img.

El perfil social creado se asigna en la regla de firewall en el campo Filtro de contenido de URL.

Fig. 32

Cuando la regla funciona al intentar abrir, por ejemplo, vk.com, el usuario verá un mensaje desde el campo Mensaje de administración, un ejemplo del contenido de dicho campo se muestra en la imagen anterior.

Fig. 33

Submenú Perfil de filtro de contenido web. Otra poderosa herramienta CSM es el sistema de filtro de contenido web GlobalView. Diseñado para filtrar contenido no deseado en un nivel temático, es decir, sitios con el tema de pornografía, delincuencia, juegos de azar y más. El administrador crea perfiles, donde indica los temas de los sitios y los asigna a las reglas del firewall, luego indica qué hacer cuando las reglas coinciden, por ejemplo, bloquean. Web Content Filter tiene licencia, pero una licencia de prueba para pruebas está disponible de forma gratuita.

A continuación se muestra la configuración del perfil por categoría:

Fig. 34

Subsistema de perfil de filtro DNScompruebe y bloquee las consultas DNS en el puerto UDP 53 de acuerdo con el perfil de filtro de contenido de URL asignado o el perfil de filtro de contenido web. También puede personalizar el mensaje que se mostrará al usuario cuando el recurso esté bloqueado.

Menú de administración de ancho de banda

El submenú Gestión de ancho de banda >> Límite de sesiones se utiliza para limitar el número de NAT de las sesiones de las direcciones IP de LAN que se pueden configurar simultáneamente. Por ejemplo, las aplicaciones P2P (punto a punto) generalmente requieren muchas sesiones simultáneas y consumen muchos recursos de red. También puede limitar el número predeterminado de sesiones desde cualquier IP.

El submenú Gestión de ancho de banda >> Límite de ancho de banda establece límites en la utilización de ancho de banda para hosts y rangos de direcciones IP. Además, las reglas se pueden configurar en un horario, puede limitar por separado la banda para el tráfico entrante y saliente.

En el submenú Gestión de ancho de banda >> Calidad de servicioSe configura la calidad del servicio de tráfico. Primero, el tráfico que usa reglas se clasifica de acuerdo con criterios como IP de origen y destino, tipo de servicio y código DiffServ. Luego, cada clase de tráfico se reserva su porcentaje del ancho de banda total de la interfaz especificada.

Fig. 35

Por cierto, la priorización del tráfico de VoIP está habilitada de manera predeterminada.

Menú de aplicaciones

Este menú contiene configuraciones para aplicaciones de utilidad que lo ayudan a ajustar funciones individuales.

Por ejemplo, en el submenú Programación, se configuran perfiles de programación que se utilizan en diversas configuraciones de las funciones y reglas del enrutador; en total, se pueden crear hasta 15 entradas en la programación.

Fig. 36

En el menú DNS de LAN, puede especificar la correspondencia de la dirección IP y el nombre de dominio en la red local. En los menús RADIUS y Active Directory / LDAP , puede habilitar opcionalmente la autorización del usuario en los nombres de submenú del servidor correspondientes. En el submenú IGMP , puede habilitar el proxy IGMP o la inspección IGMP para el tráfico de multidifusión, por ejemplo, TV IP.

El submenú merece especial atención.Alta disponibilidad, que sirve para configurar la reserva de recursos de hardware y software del enrutador principal 2925 de respaldo y enrutadores de respaldo, en caso de falla del principal. Para hacer esto, realice los siguientes pasos:

1) habilite Alta disponibilidad : modo de alta disponibilidad en los enrutadores primario y de respaldo (
2) establezca el nivel de ID de prioridad más alto en el enrutador primario y los niveles inferiores en los enrutadores de respaldo o de respaldo
3) configure la misma redundancia Método / ID de grupo / Clave de autenticación en los enrutadores primario y de respaldo
4) instale la interfaz de administración en la misma subred para los enrutadores primario y de respaldo.
5) permita una dirección IP virtual para cada subred utilizada y configure la misma dirección IP virtual en cada enrutador.

La reserva puede funcionar en dos modos:

Hot-Standby: este método es adecuado para usar una conexión a Internet:

Todas las WAN en los enrutadores de respaldo deben apagarse utilizando la función HA
La configuración de WAN de los enrutadores primario y de respaldo debe ser la misma

Cuando la función HA comienza a funcionar en los enrutadores, la red inalámbrica se habilitará automáticamente en el enrutador principal y en el enrutador de respaldo se apagará automáticamente. Todos los clientes solo podrán conectarse al enrutador primario.

Además, se establece un período para sincronizar configuraciones desde el enrutador primario al de respaldo. La configuración se puede sincronizar entre un máximo de 10 enrutadores.

Active-Standby: este método es adecuado para usar múltiples conexiones a Internet.

Todas las WAN en los enrutadores en espera deben estar habilitadas. Los usuarios pueden enrutar el tráfico a estas interfaces.
La configuración de la interfaz WAN en los enrutadores primarios y de respaldo no debería ser la misma
La sincronización de configuración entre enrutadores debe estar desactivada

Fig. 36-1

VPN y menú de acceso remoto

El enrutador admite hasta 50 túneles VPN * del tipo de LAN a LAN para crear una conexión segura entre las redes de la organización o para crear una conexión VPN desde estaciones de trabajo remotas de trabajadores a domicilio utilizando los protocolos SSL / PPTP / IPSec / L2P / L2TPover IPSec. El cifrado AES / DES / 3DES y la autenticación IKE proporcionan una seguridad mejorada. El uso de una conexión WAN dual permite usar no solo un esquema de equilibrio de carga, sino también redundancia. Por lo tanto, si el canal primario del canal VPN no está disponible, un canal VPN de respaldo lo reemplazará.

Por cierto, las funciones de VPN en Draytek son muy fáciles de configurar. En solo un par de clics, puede configurar tanto las conexiones LAN a LAN como el acceso desde estaciones de trabajo remotas. Dryatek tiene su propio cliente VPN para simplificar la conexión de los lugares de trabajo, se llama Draytek Smart VPN Client, la aplicación está disponible para descarga gratuita en draytek.com.

* En las entregas oficiales de enrutadores al territorio de la Federación de Rusia, se ha eliminado todo el software de cifrado que no cumple con GOST, por lo que en este firmware solo hay soporte PPTP sin cifrado. Esto se puede solucionar instalando software estándar, que se puede descargar de draytek.com.

Los protocolos VPN de acceso global se incluyen en el submenú Configuración de control de acceso remoto , la clave precompartida para el método de autenticación IKE se especifica en el submenú Configuración general de IPsec , se indican los métodos de cifrado. Por ejemplo, especifique la clave draytek.commmmm

Fig. 37

El submenú Usuario de marcación remota indica los usuarios que pueden conectarse a través de VPN desde sus ubicaciones remotas a la LAN de la LAN del enrutador.

Fig. 38

En la lista Estado , está claro que el usuario ignat está en el estado en línea, ya que está marcado en verde.

En el ejemplo a continuación, el usuario de ignat se conecta a través de PPTP, el segundo usuario se conectará a través del túnel IPSec usando la clave previamente compartida = draytek.commmmm preestablecida arriba.

Fig. 39

Para conectarme desde el lado del cliente, utilicé el Cliente Draytek Smart VPN, se instala y configura en dos clics.

A continuación se muestra un ejemplo para PPTP.

Fig. 40

De manera similar, se configura un segundo cliente VPN que se conectará dinámicamente utilizando la clave previamente compartida que previamente especificamos en el submenú Configuración general de IPsec como draytek.commmmm.

Fig. 42

Después de una conexión exitosa, en el submenú Administración de conexiones veremos conexiones activas.

Fig. 43

El submenú LAN a LAN se usa para configurar conexiones VPN entre dos redes. Se crea un perfil de LAN a LAN, que indica todas las configuraciones necesarias para crear una conexión: tipo de conexión - entrante, saliente o bidireccional, protocolo VPN - PPTP, L2TP con política IPsec o túnel IPsec, dependiendo del protocolo, configuraciones específicas, por ejemplo, inicio de sesión o contraseña o clave precompartida IKE, método de cifrado y más. De hecho, no hay muchas configuraciones, y son simples en el caso general. Se indica qué red local debe "ver" el lado remoto y a qué red remota enrutar el tráfico a través de esta conexión VPN.

Después de guardar la configuración de conexión, el lado local iniciará la conexión o esperará una conexión entrante desde el lado remoto, dependiendo de la configuración.

La conexión establecida también se puede ver en el submenú Administración de conexiones .

Menú de administración de VPN central

Este menú configura la administración centralizada de las conexiones VPN y algunas funciones de servicio entre el Draytek 2925 y los enrutadores remotos. La configuración es muy simple, en solo unos pocos pasos.

En el submenú CVM >> Configuración general , se configuran los ajustes de autorización, que luego deben copiarse en el dispositivo cliente remoto, en nuestro ejemplo, a través de SSL:

https://192.168.85.156:8443/ACSServer/services/ACSServlet , con nombre de usuario = acs y contraseña .

Fig. 43-1

A continuación, en el dispositivo remoto, en el submenú Mantenimiento del sistema >> TR-069 , debe habilitar su administración ingresando las configuraciones enumeradas anteriormente:

Y marque la casilla Permitir administración desde Interneten el submenú Mantenimiento del sistema >> Configuración de administración .

A continuación, debe reiniciar el enrutador remoto e iniciar sesión nuevamente en la interfaz web de Draytek 2925.

Si la configuración es correcta, en el submenú Central VPN Management >> CPE Management verá el dispositivo recién agregado.

Fig. 43-3

Ahora el enrutador remoto, en nuestro ejemplo es Vigor2860n +, se puede configurar desde la interfaz web Draytek 2925. Además de configurar y monitorear túneles VPN, puede actualizar la versión del software en el enrutador remoto, guardar y restaurar la configuración, y reiniciar. Puede hacer esto para un dispositivo o para un grupo de dispositivos. Las instrucciones detalladas, incluido el formato "cómo hacerlo", se encuentran en el manual del usuario.

En el submenú CVM >> Administración de VPN , puede configurar y monitorear túneles VPN.

Para hacer esto, haga clic en el enrutador remoto que desea configurar y seleccione el tipo de túnel VPN. Cuando hace clic en un tipo de túnel, por ejemplo, IPSec, se creará y activará automáticamente.

Fig. 43-4

Al hacer clic en el enlace Actualizar, verá el estado de la conexión VPN creada.

Fig. 43-5

En este caso, el perfil LAN a LAN se creará automáticamente. Si es necesario, los perfiles se pueden ajustar manualmente, la única limitación es que no puede cambiar el nombre del perfil VPN, ya que esto puede causar un error en el funcionamiento de la herramienta de administración de VPN central.

Menú de administración de AP central

Este menú se utiliza para detectar, configurar y dar servicio automáticamente a los puntos de acceso de Draytek.

El submenú Central AP Management >> Dashboard muestra los puntos de acceso activos. Además, Draytek 2925 encuentra automáticamente puntos de acceso en la red y los muestra en este submenú.

Fig. 43-6

submenú de administración central AP WLAN >> Perfil contiene los perfiles de la configuración del punto de acceso.
El perfil de WLAN se asigna al punto de acceso, luego la corriente de acceso se configura o reconfigura automáticamente de acuerdo con la configuración especificada en el perfil.

Fig. 43-7

Para aplicar un perfil a un punto de acceso, debe marcar el perfil con un daw, luego hacer clic en el botón Aplicar al dispositivoy seleccione el dispositivo deseado.

A continuación se detallan las configuraciones de perfil, la configuración se realiza en cuatro pasos: en cuatro páginas, todas las configuraciones se configuran secuencialmente. Como puede ver en el ejemplo, hay muchas configuraciones.

Fig. 43-8

Fig. 43-9

Al finalizar la edición del perfil, en la cuarta página, haga clic en el botón Finalizar para guardar todas las configuraciones realizadas en el perfil.

El submenú Central AP Management >> Status muestra una lista de todos los puntos de acceso, su estado y configuraciones detalladas.

En el submenú Central AP Management >> AP Maintenance, para un punto de acceso o grupo, puede realizar las siguientes funciones de servicio: guardar y restaurar la configuración, actualizar el firmware, reiniciar, restablecer la configuración de fábrica.

A continuación, hay un grupo de submenús para monitorear los puntos de acceso: Traffic Graph : una representación gráfica del tráfico total desde los puntos de acceso, Rogue AP Detection : detección de puntos de acceso "su" y "foráneo", Registro de eventos : visualización del registro de eventos, Tráfico total : tráfico que pasa a través de la configuración Segmentos LAN, Número de estación : el número total de clientes inalámbricos activos.

En el submenú Central AP Management >> Load BalanceEl equilibrio de carga se configura especificando el número máximo de clientes inalámbricos en una red de 2,4 GHz y 5 GHz y configurando el tráfico entrante y saliente para cada cliente inalámbrico.

El submenú Central AP Management >> Function Support List muestra una lista de funciones admitidas para el firmware actual, según el modelo del punto de acceso. Información en dos pestañas: para el cliente y para el servidor.

Fig. 43-10

Menú de LAN inalámbrica

El enrutador, según el modelo, admite una red inalámbrica 802.11ac, 802.11n, n-plus y tiene dos o tres antenas omnidireccionales. Hay muchas configuraciones para las funciones inalámbricas en el enrutador.

El dispositivo admite hasta 4 redes inalámbricas independientes con su propia configuración, y para cada una de las redes puede limitar la banda máxima para el tráfico saliente y entrante, y también habilitar el horario según el cual funcionarán estas restricciones.

A continuación, para ilustrar la configuración, se presentan los submenús Configuración general y Configuración de seguridad . La configuración es muy clara.

Fig. 44

Cada una de las 4 redes inalámbricas está configurada con su propia configuración de seguridad, incluidos los filtros de dirección MAC. Para cada red, puede habilitar la cuota de tiempo de uso de Wi-Fi en función de la dirección MAC y el tiempo de espera para volver a enviar la cuota.

A continuación se muestra un submenú de la Lista de estaciones, que muestra los terminales inalámbricos actualmente conectados.

Fig. 45

Además, en el submenú Control de acceso , puede habilitar el filtro de dirección MAC y crear listas blancas y negras de direcciones MAC. Las listas se pueden guardar en un archivo en una computadora o descargar de un archivo si es necesario.

En el submenú Configuración avanzadacontiene un ajuste fino del canal de radio, por ejemplo, potencia de señal saliente, modo de funcionamiento, ancho del canal, longitud del fragmento y otros.

La conexión inalámbrica también es compatible a través de la configuración WPS (configuración protegida de Wi-Fi) y WDS , que se puede encontrar en los elementos secundarios correspondientes del menú LAN inalámbrica .

Menú VPN SSL

En el Draytek 2925, puede configurar el acceso a las aplicaciones a través de SSL VPN utilizando un navegador web estándar.

Este método proporciona ciertas ventajas sobre las VPN tradicionales, entre las cuales no hay necesidad de software adicional, por ejemplo, un cliente VPN para crear una conexión segura, otra ventaja: menos restricciones en el cifrado de datos usando SSL en comparación con SSL tradicional.

El servicio se habilita globalmente configurando un daw para la opción Habilitar servicio SSL VPN en el submenú VPN y acceso remoto >> Configuración de control de acceso remoto.

A continuación, en el VPN SSL >> Submenú Configuración generalindica en qué interfaces WAN está disponible el servicio y en qué puerto. Por defecto, 443. Le aconsejo que lo cambie a otro, para evitar conflictos, con el puerto estándar para el control web Draytek.

Además, por analogía con las configuraciones VPN PPTP y PPTP anteriores, en el submenú SSL VPN >> Usuario de marcado remoto , debe configurar los usuarios que pueden usar SSL VPN configurando un daw para la opción de Túnel SSL.

Ahora, en el submenú SSL VPN >> Proxy web SSL , debe especificar las direcciones URL para las que necesita abrir el acceso a través de SSL SSL. En el menú SSL VPN >> Aplicación SSL , puede seleccionar la aplicación y el host y el puerto, por ejemplo, RDP en 192.168.1.50 {389 que se reenviará a través de SSL SSL.

Después de guardar todas las configuraciones, el usuario abre un navegador web, ingresa la IP y el puerto en la interfaz WAN donde funciona el servicio VPN SSL, inicia sesión con el nombre y la contraseña recibidos del administrador y luego accede a la página con los servicios VPN SSL disponibles para él.

Fig. 45-1

En el submenú SSL VPN >> Estado en línea , se mostrarán las conexiones activas.

Fig. 45-2

Menú de aplicaciones USB

El enrutador tiene un puerto USB que se puede usar en tres modos diferentes. En primer lugar, conecte un módem USB 3G / 4G para reservar una conexión a Internet o como la conexión a Internet principal si no hay otras formas de conectarse a Internet.

En segundo lugar, conectando una impresora USB a un enrutador, que se convierte en un servidor de impresión y los usuarios pueden usarla configurando el acceso a través de la red.

Fig. 46

En la imagen de arriba, un ejemplo en el que se usa un puerto USB para conectar una unidad e intercambiar archivos a través de una red usando FTP y SMB. Dos usuarios con diferentes directorios de inicio creados.

En la imagen a continuación, un ejemplo del submenú Estado del dispositivo USB, , USB- 8 , .

. 47

-, USB- FTP NetBios/SMB. Modem Support List, LAN SMB Client Support List.

3G/4G , Modem Printer USB Device Status.

. 47-1

System Maintenance

. User Administrator, TR-069 . Configuration Backup . Configuration Backup SysLog, . , .

. 48

, Draytek syslog . Draytek Syslog. .

. 49

Management . , , WAN .

. 50

Diagnostics

, — .

Routing Table , ARP Cache Table MAC- , DHCP-Table DHCP-, NAT- DNS-.

. 51

Ping Traceroute. , : VPN, Firewall, WAN .

. 52

Traffic Graph , , WAN .

. 53

Draytek 2925 2925n , . , , , , Draytek 2925n, , , , VPN-, NAS- . Drayatek 2925 – , 6 , VoIP.

, , , – . Draytek VigorACS SI, , . Draytek Smart Monitor, , . 2925 Central VPN Management VPN- Draytek 2925 . VPN- .

, Dryatek 2925 AP Central Management, - , .

High Availability, 2925 «» Draytek, , WAN .

, , . .

, , , WAN LAN, , , VPN, , NAT , USB, . SSL VPN, High Availability, VPN- Central AP Management Central VPN Management. , , , Draytek .

Draytek 2925n , , -, CLI TR-69. , VigorACS SI Smart Monitor , . «», SMB+ , «» 100\ WAN- -. , . , , , .