Présentation du routeur Draytek série 2912. Deuxième partie

Dans la première partie de la revue, nous avons examiné en détail le routeur Draytek.Les séries 2912 / 2912n de parties telles que le positionnement de l'appareil sur le marché, le mode d'utilisation du routeur, ses fonctions clés et des exemples de leur utilisation, se sont familiarisées avec les spécifications techniques détaillées de l'appareil, ont examiné la configuration et l'apparence du routeur, ont examiné en détail les fonctions des indicateurs et les interfaces de l'appareil. Tout ce que nous avons vu démontre clairement que l'appareil possède des capacités très larges dont une entreprise SMB / SOHO ou une petite branche d'une grande entreprise peuvent avoir besoin et, par conséquent, l'appareil a un grand potentiel d'utilisation dans les réseaux d'entreprise. Les tests de charge ont montré de bons résultats, je ne m'attendais pas à d'autres résultats, car l'appareil est loin d'un niveau initial, il doit donc être productif.



Dans cette partie de l'examen, nous allons examiner de plus près l'interface Web de l'appareil, nous familiariser avec ses fonctionnalités et un exemple de configuration de fonctions et d'interfaces telles que WAN et LAN, équilibrage de charge, réseau sans fil, VPN, pare-feu, contrôle de la bande passante NAT, ainsi que les fonctions USB, diagnostic et surveillance d'un routeur.

Voici un schéma de connexion général du routeur.


Fig. 0

Par défaut, le routeur comprend un réseau sans fil ouvert avec le nom Draytek et un serveur DHCP, vous pouvez vous y connecter ou utiliser l'un des ports LAN.

Après vous être connecté au routeur à partir d'un PC et avoir réussi à obtenir une adresse IP du réseau 192.168.1.0/24,
ouvrez son interface Web. Pour ce faire, dans le navigateur Web, tapez IP LAN par défaut 192.168.1.1,
Nom d'utilisateur: admin, mot de passe: admin. Je recommande de changer immédiatement le mot de passe en un mot de passe plus sécurisé.


. 1

Online Status


. 2

3.7.8.1_R , , PPTP , :


. 3

, , Draytek.com
Supports -> Downloads -> Firmware — Vigor2912 Series.

3.8.1.1 , , , - System Maintenance >> Firmware Upgrade v2912_3811.all, «Upgrade».


Fig. 4

Après une mise à jour réussie, redémarrez le routeur et obtenez le dernier firmware sans aucune restriction.

Pour plus de clarté, voici une image du schéma de réseau du routeur Draytek 2912n, que nous considérerons.


Fig. 4-1

Pour se connecter à Internet, nous utilisons deux interfaces WAN avec plusieurs règles de routage, en cas d'accident sur le premier canal, le trafic passera automatiquement par la sauvegarde.

Nous utilisons deux sous-réseaux: LAN0 = 192.168.1.0 / 24 et LAN1 = 192.168.2.0 / 24. Et trois réseaux sans fil avec SSID: DrayTek, DrayTek_Guest et DrayTek_Unencrypted. Ils sont combinés via des paramètres VLAN avec des réseaux sans fil. Les clients distants peuvent se connecter via VPN à l'aide du client Smart VPN et des protocoles PPTP et IPSec. Pour l'application SmartMonitor, la mise en miroir à partir des ports LAN est activée.

En général, quel que soit le modèle du routeur Draytek, la structure du menu a une organisation similaire, vous ne pouvez pas trouver de fonctions, ou en découvrir plus que dans un autre modèle ou version de firmware, mais la structure reste inchangée. À gauche, un bloc d'éléments de menu global structuré par des sous-systèmes de routeur: assistants, paramètres d'interface WAN et LAN, puis un pare-feu, paramètres d'objets, bloc CSM et gestion des utilisateurs, puis un bloc utilisateur applications spéciales de routeur (Applications). Vient ensuite le bloc des paramètres VPN, suivi du menu responsable de la configuration du réseau sans fil (LAN sans fil),un menu séparé pour configurer le port USB (Application USB) et enfin le menu des fonctions de service (Maintenance du système) et le menu de diagnostic du routeur (Diagnostic).

Tous les éléments sont structurés simplement et logiquement, conformément aux fonctions du réseau, sans logique spécifique et déroutante.

Chaque élément de menu global comprend un ou plusieurs sous-éléments.

Considérez les éléments du menu principal, car le routeur a une configuration qui correspond au schéma de réseau présenté ci-dessus, lorsque vous examinerez les nouveaux éléments de menu, il deviendra clair comment certaines fonctions réseau sont configurées.

Menu des assistants

Voici les assistants de configuration qui vous permettent de configurer les fonctions de base du routeur en quelques clics. Ils sont une chaîne de plusieurs boîtes de dialogue, la dernière fenêtre affiche une liste de tous les réglages effectués et le bouton «Terminer» pour leur application. Il m'a semblé que les données de l'assistant sont destinées aux administrateurs complètement paresseux, car sans eux, la configuration des fonctions de base sur le routeur n'est pas difficile.

Assistant de démarrage rapide - est utilisé pour configurer rapidement la connexion des interfaces WAN 1-3.
Assistant d'activation de service - active le filtre thématique intelligent des sites Web Content Filter.

L' Assistant Client VPN et l'Assistant Serveur VPN suivantsJe l'ai trouvé intéressant, avec l'aide d'eux, il est facile de configurer le VPN en modes utilisateur LAN-to-LAN et distant, d'activer le service et d'enregistrer les utilisateurs. Ci-dessous, un exemple de 3 étapes pour ajouter et activer un utilisateur VPN.

Nous avons choisi PPTP, puis nous devons configurer du côté client, nous utiliserons le client Draytek Smart VPN. Retour aux paramètres VPN dans le menu VPN et accès à distance .


Fig. 5


Fig. 6


Fig. 7

L' assistant sans fil sert à la configuration initiale d'un réseau sans fil. Vous trouverez ci-dessous la dernière fenêtre à la fin de l'assistant.


Fig. 8

En quelques clics, le réseau sans fil est configuré.

Menu d'état en ligne

L'élément de menu suivant contient deux sous-éléments: la première connexion physique - affiche l'état physique des interfaces LAN, WAN 1-3 et des indicateurs de niveau de liaison, la même chose, mais uniquement pour les interfaces virtuelles peut être vu dans le menu Virtual WAN .


Fig. 9

Pour plus d'informations sur l'état du système, voir Maintenance du système -> État du système .

Menu WAN

Dans ce menu, tous les paramètres liés à la connexion du routeur aux fournisseurs Internet sont effectués. Dans notre exemple, WAN 1 et 2 sont actifs


. 10-1

Le paramètre du mode d'équilibrage de charge est disponible lorsque deux ou trois interfaces WAN sont utilisées simultanément. Nous utilisons le mode de pesée automatique, dans ce mode, le routeur distribue automatiquement la charge. L'interface WAN 3 peut être utilisée lors de la connexion d'un modem 3 / 4G.

Ci-dessous est une configuration détaillée de l'interface WAN 2, nous utilisons le mode d'équilibrage de charge.


Fig. 10-2

Les interfaces sont configurées directement dans le sous-menu Accès Internet .


Fig. 10-3

Aller à la Detalils page WAN 2, voici les paramètres du mode de connexion, nous utilisons une IP statique, un client DHCP fonctionne sur la première interface. En plus des méthodes que nous avons utilisées, vous pouvez vous connecter à Internet en utilisant les protocoles PPTP / L2TP ou PPPoE, ainsi que IPv6.


Fig. 11

Sous-menu de multi-VLAN permet à l'administrateur de créer des profils pour spécifique WAN 1-2 interface physique et créer un pont sur l'interface de réseau local LAN pour un débit maximal.


Fig. 12

Autrement dit, sur la base de l'interface physique du WAN 1-2, nous créons un WAN virtuel supplémentaire 5-7 dans le VLAN spécifié par nous et le «pontons» avec les ports LAN nécessaires 1-3 (le 4ème port ne peut fonctionner qu'en mode NAT), éventuellement, nous pouvons affecter interface WAN virtuelle 5-7 adresse IP manuellement ou réception via DHCP, c'est-à-dire, faites-la L3. Par exemple, nous pouvons transférer le trafic IPTV du WAN vers le LAN.

Menu LAN

L'élément est responsable de la configuration du réseau local et contient un certain nombre de sous-éléments. Le routeur prend en charge deux segments LAN indépendants avec ses propres paramètres, par défaut, il est 192.168.1.1/24 et 192.168.2.1/24, vous pouvez également ajouter un réseau routé. Dans les deux segments, DHCP est activé, ce qui attribue des adresses IP à la connexion des terminaux utilisateur. Soit dit en passant, un serveur DHCP peut être configuré pour transmettre des options DHCP supplémentaires, il est très pratique que le réseau dispose de services spécialisés, par exemple, un serveur TFTP.


Fig. 13

De plus, vous pouvez activer ou désactiver le routage entre LAN 1 et 2 dans la section Routage inter-LAN.

Dans le sous-menu LAN >> Static Route Setup suivant , vous pouvez ajouter jusqu'à 10 routes statiques vers d'autres réseaux derrière les adresses IP dans les sous-réseaux LAN 1-2.

Sous-menuLAN >> La configuration VLAN vous permet de combiner les ports LAN P2-4 spécifiés en un seul VLAN (P1 agit comme WAN2 dans notre exemple) avec les réseaux sans fil SSID 1-4 et éventuellement d'ajouter des balises VLAN prioritaires. Lorsque la balise VLAN est activée, le trafic avec les étiquettes spécifiées dans le champ VID apparaîtra sur les ports LAN correspondants; les balises ne seront pas transmises sur les réseaux sans fil. Dans notre exemple, deux VLAN indépendants. VLAN0 comprend les ports LAN P 2-4 et un réseau sans fil avec SSID1 - tout cela est dans le segment LAN 1. VLAN1 comprend des réseaux sans fil avec SSID2 et SSID3 - tout cela est dans le segment LAN 2.


Fig. 14 Le

routeur peut fonctionner en mode de création de VLAN non balisés basés sur des ports ou VLAN basés sur des balises VID.

Élément suivant sur LAN >> Lier IP à MAC. Vous permet de créer des listes avec des adresses MAC et des adresses IP correspondantes.Si la fonction est activée, toutes les adresses IP attribuées aux adresses MAC ne peuvent pas être modifiées. Les feuilles créées peuvent être enregistrées dans un fichier et restaurées dans la configuration du routeur à partir d'un fichier précédemment enregistré.

Dans le menu LAN >> LAN Port Mirror , vous pouvez activer la copie de tout le trafic du port LAN Mirrored spécifié vers le port Mirror de réception. Cette fonction est utile pour déboguer un réseau à l'aide d'un renifleur ou lorsque vous utilisez l'application pour surveiller et analyser l'activité réseau de Draytek Smart Monitor, des informations sur cette application peuvent être trouvées dans la première partie de cette revue.


Fig. 15

Sous-menu LAN >> Configuration du portail Webvous permet de déterminer les profils affectés aux interfaces réseau sans fil LAN ou WLAN et de spécifier le lien URL du site Web pour la redirection automatique de l'utilisateur la première tentative d'ouverture d'une page Web, après la connexion via l'interface spécifiée dans le profil, par exemple SSID1.


Fig. 16

Cette fonction est utilisée à des fins publicitaires ou pour informer un utilisateur qui se connecte à Internet via le réseau d'une entreprise spécifique.

Dans l'exemple, lorsque vous essayez d'ouvrir une page Web pour la première fois, l'utilisateur est redirigé vers le site Web www.ucexpert.ru , où en haut de l'écran, un message demande à l' utilisateur de cliquer sur le bouton Continuer pour continuer la session Web et aller sur le site souhaité.

Voici un exemple de page tepec.


Fig. 17

Load-Balance/Route Policy

Cet élément de menu contient le sous-élément Configuration générale - configuration directe des règles d'équilibrage de charge et des politiques de routage et Diagnostiquer - un sous-élément pour le débogage des règles configurées, où vous pouvez simuler l'itinéraire d'un ou plusieurs paquets via la table des règles configurées et vérifier le résultat.


Fig. 18

Dans l'exemple, les paquets laissant les adresses IP LAN de n'importe quel routeur sur IP 8.8.8.8 passeront par WAN1, la deuxième règle fonctionne de la même manière, uniquement pour l'IP de destination 8.8.4.4 et les paquets passeront déjà par WAN2. Dans la troisième règle, l'ensemble du sous-réseau est indiqué, dans la quatrième règle, il est indiqué que tout le trafic doit être envoyé via WAN1, en cas de défaillance de WAN1, envoyé vers WAN2. Chaque règle est prioritaire, plus elle est faible, plus la règle est exécutée tôt.

L'image suivante montre les critères selon lesquels vous pouvez définir une règle, il y en a plusieurs, vous pouvez également déterminer où envoyer le paquet si la règle n'a pas fonctionné.


Fig. 19

La figure suivante montre les diagnostics d'itinéraire.


Fig. 20

Menu NAT

Les fonctions de traduction de traduction d'adresse réseau (NAT) sont configurées dans le menu, il contient le sous - menu Redirection de port - redirection de port du port de l'interface WAN spécifiée vers l'adresse IP et le port sur le LAN, cela peut être nécessaire pour les serveurs FTP, les serveurs de messagerie, etc. d.

Le sous-menu DMZ Host vous permet de spécifier un hôte DMZ sur le LAN pour chacune des interfaces WAN.

Le sous-menu Open Ports vous permet de garder les plages de ports spécifiées ouvertes pour des applications spéciales, telles que P2P, et de les acheminer vers des adresses IP spécifiques sur le LAN.


Fig. 21

Déclenchement de port est une variante des ports ouverts. Si après avoir activé la règle Open Ports, ces ports sont constamment ouverts, puis lors de l'application de la règle Port Triggering, ces ports seront ouverts uniquement lorsque les conditions des règles sont les mêmes, puis les ports seront fermés à nouveau par timeout.

L'opération de fonction dans l'élément de sous-menu correspondant est définie par un ensemble de règles.

Menu pare-feu

Dans ce menu, les règles de pare-feu globales sont configurées, les ensembles et l'ordre des règles de vérification du trafic sont définis, et les règles de filtrage du trafic par défaut sont spécifiées.
Le pare-feu peut être divisé en 3 sous-systèmes:

1. Filtre IP configurable par l'utilisateur basé sur les ensembles de règles de filtrage des appels / filtrage des données
2. Filtre d'inspection de paquets avec état (SPI)
3. Protection contre les attaques par déni de service (DoS) / DoS distribué (DDoS)

L'architecture du pare-feu utilise deux ensembles indépendants de règles de filtrage des appels et de filtrage des données.
Le jeu de règles de filtrage des appels est appliqué au trafic envoyé du réseau local vers le WAN lorsqu'il n'y a pas de connexion Internet active (l'interface WAN n'est pas active) et avant que la connexion ne soit établie, le trafic passe par les règles de filtrage des appels, si les paquets ne sont pas bloqués, la connexion est établie.

Lorsque l'interface WAN est active, tous les paquets tombent immédiatement dans le jeu de règles de filtrage des données et tout le trafic provenant des interfaces WAN y arrive également.


Fig. 22

Les règles de pare-feu peuvent spécifier des objets (définis via le menu Paramètres des objets), tels que des adresses IP ou des groupes d'adresses IP, le protocole et la plage de ports et leurs groupes, des mots clés et des groupes de mots clés, des profils d'extension de fichier, des utilisateurs (certains dans le menu User Management) et enfin, dans le menu CSM (Content Security Management), définissez des applications, par exemple, Skype, des URL et même le sujet de certains sites utilisant le système Web Content Filter.

Autrement dit, nous pouvons travailler avec le trafic du niveau réseau au niveau de l'application, et utiliser le système Web Content Filter pour traiter intelligemment le trafic sur le sujet du contenu Web, c'est-à-dire créer des règles très larges.

Voici les paramètres globaux dans le sous-menuPare-feu >> Configuration générale , puis le sous-menu Pare - feu >> Configuration du filtre illustrant les jeux de règles du pare-feu, Pare - feu >> Configuration du filtre >> Sous- menu Modifier le jeu de filtres illustrant la composition d'un ensemble spécifique de règles.


Fig. 23

Maintenant, nous allons considérer une règle concrète dans le tableau appelé bloc-social


Fig. 24

Premièrement, dans Calendrier, vous pouvez spécifier le calendrier auquel la règle fonctionnera, par exemple, bloquer les réseaux sociaux de 9-30 à 18-00 du lundi au vendredi. Ensuite, nous indiquons la direction de la vérification du trafic dans le champ Direction, toutes les adresses IP entrantes ou sortantes, le type de service peut être défini par un objet spécifique dans le menu Paramètres des objets >> Objet de type de service, ou peut-être un ensemble d'objets, et est un groupe de type de protocole + port ou plage de ports.

Ensuite, dans le champ Filtre, spécifiez le critère «Réussi si aucune autre correspondance» - les paquets doivent être ignorés si aucun des critères des règles restantes ne correspond. Si l'utilisateur accède à un réseau social, par exemple ok.ru, les critères correspondent et le package est bloqué. Le critère dans cet exemple est le profil dans le filtre de contenu URL, qui contient un objet - un groupe qui comprend des mots clés - des adresses de réseaux sociaux.

Ci-dessous, je vais illustrer les paramètres lorsque nous y arriverons. De la même manière, d'autres critères sont inclus dans la règle, c'est-à-dire que dans les règles de pare-feu, vous pouvez ajouter des critères à la fois au niveau du réseau et au niveau de l'application, de plus, vous pouvez activer le filtre de contenu Web qui fonctionne encore plus haut - au niveau du sujet de contenu Web .

Sous-menu Défense DoS . Le routeur implémente la détection et la protection automatique contre les attaques DoS, et les métriques du seuil d'intensité du trafic, après quoi l'événement est considéré comme une attaque, peuvent être configurées manuellement. Des alertes de notification d'attaque sont également fournies.

Menu de gestion des utilisateurs

Le pare - feu peut fonctionner dans l' un des deux modes globaux:

basée sur des règles , qui repose sur des règles, où les objets sont, par exemple, les adresses IP des stations utilisateur. L'administrateur définit les règles en fonction des différentes adresses IP.

Basée sur l'utilisateur , c'est -à- dire que la gestion est basée sur les profils d'utilisateurs. L'administrateur définit les règles pour différents profils d'utilisateurs ou leurs groupes. Avant cela, les utilisateurs doivent se connecter. Après autorisation, le système crée une correspondance entre le nom d'utilisateur et l'adresse IP avec laquelle il est autorisé.

Les sous - menus ci-dessous sont Gestion des utilisateurs >> Configuration générale, où vous basculez entre travailler avec des adresses IP ou travailler avec des profils utilisateur.

Si tout est clair sur l'utilisation des adresses IP: l'administrateur attribue une adresse IP au terminal utilisateur, qui ne devrait pas changer et attribue des règles pour l'adresse IP.

Dès que nous passons en mode basé sur l'utilisateur, l'utilisateur doit se connecter, jusqu'à ce moment-là, il ne pourra pas travailler sur le réseau, et lorsque vous ouvrirez le navigateur et essaierez d'accéder à n'importe quel site, il sera redirigé vers la page d'autorisation. Pour vous connecter, un profil utilisateur avec les droits appropriés doit être contenu dans la table User Management >> User Profile.


Fig. 25

L'exemple a un profil utilisateur Ignat Kudryavtsev, ouvrez le profil de cet utilisateur


Fig. 26

Comme vous pouvez le voir, ici, vous pouvez définir le délai d'expiration sur la déconnexion automatique en cas d'indisponibilité, et la restriction sur le nombre simultané de connexions, activer l'authentification externe via les protocoles LDAP ou RADIUS. Vous pouvez également définir des quotas pour le temps et la quantité de trafic consommé par l'utilisateur.

La page de destination est la page que l'utilisateur verra après une autorisation réussie. Vous pouvez simplement afficher un message, comme dans notre exemple: «Connexion réussie!», Ou vous pouvez rediriger vers n'importe quel site Web, par exemple, le site Web d'une entreprise. Pour ce faire, dans les paramètres de la page de destination, vous devez écrire une ligne du formulaire:

<body stats=1><script language='javascript'> window.location='<a href="http://www.draytek.com/">http://www.draytek.com</a>'</script></body>

Tous les paramètres sont décrits en détail dans le manuel d'utilisation.
Lorsque vous ouvrez un navigateur Web et essayez d'accéder à n'importe quel site, l'utilisateur est redirigé vers la page d'autorisation, après une autorisation réussie, le message "Connexion réussie!" et l'utilisateur pourra travailler sur le réseau.


Fig. 27

Dans le sous - menu Groupe d'utilisateurs , vous pouvez regrouper des utilisateurs afin d'affecter les mêmes règles à des groupes d'utilisateurs, par exemple, par département de l'entreprise. Le sous - menu État en ligne de l'utilisateur est utilisé pour afficher l'état des utilisateurs.

Menu de réglage des objets

Les routeurs de la gamme Draytek 2912 prennent en charge un pare-feu basé sur SPI (Stateful Packet Inspection) basé sur des objets basés sur des objets (basés sur IP), tels que: un utilisateur (sur autorisation, il reçoit une adresse IP spécifique), des adresses IP ou des groupes d'adresses IP, un protocole et gamme de ports et leurs groupes, mots-clés et groupes de mots-clés, profils d'extension de fichier. Ces objets peuvent être utilisés pour créer des règles de pare-feu qui peuvent être activées et désactivées selon une planification.

Dans le menu Objects Setting, différents types d'objets sont créés et regroupés.

Dans le sous-menu IP Objectles objets sont créés en fonction de l'hôte, de la plage d'adresses IP ou du sous-réseau; vous pouvez également utiliser une adresse MAC spécifique pour n'importe quelle adresse IP. Dans le sous-menu IP Group, des groupes sont créés à partir d'objets IP qui peuvent ensuite être utilisés pour créer des règles de pare-feu.

Il en va de même pour l' objet IPv6 et le groupe IPv6 avec l'adressage IP IPv6.

Dans les sous-menus Service Type Object et Service Type Group , les objets sont créés et regroupés en fonction du type de protocole, des ports source et de destination.


Fig. 28

Dans le sous - menu Objet de mot-clé et groupe de mots-clésles objets basés sur des mots clés sont créés et groupés, puis ces objets peuvent être utilisés pour créer des règles de filtrage, par exemple, pour le profil de filtrage de contenu URL et le profil de filtrage DNS dans le sous-système CSM. Dans notre exemple, nous bloquons les réseaux sociaux vk.com twitter.com facebook.com et ok.ru, pour cela nous avons créé deux profils avec les noms social-nets et social-ok.ru contenant ces mots-clés et les avons ajoutés au groupe social-nets- gro submenu Objects Setting >> Groupe de mots-clés . Ensuite, nous utilisons ce groupe dans CSM >> Profil de filtre de contenu URL .


Fig. 29

Dans le sous-menu File Extension Objectdes profils d'extensions sont créés, des fichiers qui peuvent être reconnus et appliqués dans les règles du pare-feu. Ainsi, par exemple, vous pouvez empêcher le téléchargement de tous les fichiers compressés ou fichiers vidéo avec les extensions spécifiées. Dans l'exemple, le téléchargement d'images est interdit. Le profil créé appelé blk-img sera ensuite utilisé dans le profil CSM >> Profil de filtre de contenu URL . Nous le verrons dans l'exemple ci-dessous.


Fig. 30

Sous menu SMS / service de messagerie Objet et notification objet vous permet de configurer jusqu'à 10 profils pour le service de notification de l'application >> SMS / Mail Alert Service .

Menu CSM

Content Security Management (CSM), un sous-système de pare-feu qui fonctionne au niveau de l'application, vous permet de bloquer les liens URL par mots clés et type de contenu, par exemple, Java Applet, Cookies, Active X, vous pouvez également bloquer diverses applications réseau, par exemple , IM / P2P ou protocoles de niveau application, par exemple, MySQL, SMB, SSH, UltraVPN, la liste des services et protocoles est assez impressionnante. Il est possible de bloquer DNS pour les mots clés.

Dans le sous - menu Profil d'application APP , des profils sont créés pour filtrer les applications réseau qui peuvent utiliser des ports à changement dynamique et chacune de ces applications a ses propres spécificités, par exemple Skype.


Fig. 31

Dans l'exemple des paramètres de la règle de pare-feu de la table de filtre de données, qui a été donné ci-dessus, cette règle est indiquée.
Le sous-menu URL Content Filter Profile est responsable du filtrage du contenu Web. Ici, les objets mot-clé de groupe / objet créés précédemment sont indiqués et la fonction de contrôle d'accès URL est autorisée , puis chaque adresse de site Web sera recherchée par mots-clés. Dans notre exemple, nous avons ajouté le groupe social-nets-gro contenant des mots clés avec des adresses de réseaux sociaux au groupe créé précédemment.
Dans la section Fonction Web , vous pouvez activer les cookies, le blocage de proxy et les téléchargements de fichiers avec les fichiers spécifiés dans le profil d'extension de fichier ; dans l'exemple précédent, nous avons créé le profil 1-blk-img.

Le profil social créé est attribué dans la règle de pare-feu dans le champ Filtre de contenu URL.


Fig. 32

Lorsque la règle fonctionne en essayant d'ouvrir, par exemple, vk.com, l'utilisateur verra un message du champ Message d'administration, un exemple du contenu d'un tel champ est montré dans l'image précédente.


Fig. 33

Sous-menu Profil de filtre de contenu Web. Un autre outil CSM puissant est le système GlobalView Web Content Filter. Conçu pour filtrer le contenu indésirable à un niveau thématique, c'est-à-dire, par exemple, les sites ayant pour thème le porno, le crime, les jeux d'argent et plus encore. L'administrateur crée des profils, où il indique les sujets des sites et les attribue aux règles du pare-feu, puis indique quoi faire lorsque les règles correspondent, par exemple, bloquer. Web Content Filter est sous licence, mais une licence d'essai pour les tests est disponible gratuitement.

Ci-dessous le réglage du profil par catégorie:


Fig. 34
Sous-système de profil de filtre DNSvérifier et bloquer les requêtes DNS sur le port UDP 53 conformément au profil de filtre de contenu URL ou au profil de filtre de contenu Web affecté. Vous pouvez également personnaliser le message qui sera affiché à l'utilisateur lorsque la ressource est verrouillée.

Menu de gestion de la bande passante

Le sous - menu Gestion de la bande passante >> Limite de sessions est utilisé pour limiter le nombre de NAT des sessions provenant d'adresses IP LAN qui peuvent être définies simultanément. Par exemple, les applications P2P (Peer to Peer) nécessitent généralement de nombreuses sessions simultanées et consomment beaucoup de ressources réseau. Vous pouvez également limiter le nombre de sessions par défaut à partir de n'importe quelle adresse IP.

Le sous-menu Gestion de la bande passante >> Limite de bande passante définit les limites d'utilisation de la bande passante pour les hôtes et les plages d'adresses IP. De plus, les règles peuvent être configurées selon un calendrier, vous pouvez limiter séparément la bande pour le trafic entrant et sortant.

Dans le sous-menu Gestion de la bande passante >> Qualité de servicela qualité du service de trafic est configurée. Tout d'abord, le trafic utilisant des règles est classé selon des critères tels que l'IP source et de destination, le type de service et le code DiffServ. Ensuite, chaque classe de trafic se réserve son pourcentage de la bande passante totale de l'interface spécifiée.


Fig. 35

Soit dit en passant, la priorité pour le trafic VoIP est priorisée par défaut.

Menu Applicatons

Ce menu contient les paramètres des applications utilitaires qui vous aident à affiner les fonctions individuelles.

Par exemple, dans le sous-menu Planification, des profils de planification sont configurés qui sont utilisés dans divers paramètres des fonctions et des règles du routeur; au total, jusqu'à 15 entrées peuvent être créées dans la planification.


Fig. 36

Dans le menu LAN DNS, vous pouvez spécifier la correspondance de l'adresse IP et du nom de domaine dans le réseau local. Dans les menus RADIUS et Active Directory / LDAP , vous pouvez éventuellement activer l'autorisation utilisateur sur les noms de sous-menu de serveur correspondants. Dans le sous-menu IGMP , vous pouvez activer le proxy IGMP ou l'espionnage IGMP pour le trafic de multidiffusion, par exemple, IP TV.

Menu VPN et accès à distance

Le routeur prend en charge jusqu'à 16 tunnels VPN * de type LAN-to-LAN pour créer une connexion sécurisée entre les réseaux de l'organisation ou pour créer une connexion VPN à partir de postes de travail distants d'employés à domicile utilisant les protocoles IPSec PPTP / IPSec / L2P / L2TPover. Le chiffrement AES / DES / 3DES et l'authentification IKE offrent une sécurité renforcée. L'utilisation d'une connexion WAN double permet d'utiliser non seulement un schéma d'équilibrage de charge, mais également une redondance. Par conséquent, si le canal principal du canal VPN devient indisponible, un canal VPN de sauvegarde le remplacera.

Soit dit en passant, les fonctions VPN de Draytek sont très faciles à configurer. En seulement quelques clics, vous pouvez configurer à la fois les connexions LAN à LAN et l'accès à partir de postes de travail distants. Dryatek a son propre client VPN pour simplifier la connexion des lieux de travail, il s'appelle Draytek Smart VPN Client, l'application est disponible en téléchargement gratuit sur le site draytek.com

* Dans les livraisons officielles de routeurs vers la Fédération de Russie, tous les outils de chiffrement non conformes aux GOST sont supprimés, donc Un tel firmware ne prend en charge que PPTP sans cryptage. Cela peut être résolu en installant un logiciel standard, qui peut être téléchargé sur draytek.com.

Les protocoles VPN Global Access sont inclus dans le sous-menu Configuration du contrôle d'accès à distance , dans le sous-menu Configuration générale IPsecLa clé pré-partagée est spécifiée pour la méthode d'authentification IKE, les méthodes de chiffrement sont spécifiées. Par exemple, spécifiez la clé draytek.commmmm


Fig. 37

Le sous - menu Remote Dial-in User indique les utilisateurs qui peuvent se connecter via VPN depuis leurs emplacements distants au réseau LAN du routeur.


Fig. 38

Dans la liste d' état , il est clair que l'utilisateur ignat est dans l'état en ligne, car il est marqué en vert. Dans l'exemple ci-dessous, l'utilisateur ignat se connecte via PPTP, le deuxième utilisateur se connectera via le tunnel IPSec en utilisant le préréglage clé pré-partagée = draytek.commmmm ci-dessus.


Fig. 39

Pour me connecter depuis le côté client, j'ai utilisé le Draytek Smart VPN Client, il est installé et configuré en deux clics.

Voici un exemple pour PPTP.


Fig. 40

De même, un deuxième client VPN est configuré qui sera connecté dynamiquement à l'aide de la clé prépartagée que nous avons précédemment spécifiée dans le sous-menu IPsec General Setup sous le nom draytek.commmmm.


Fig. 42

Après une connexion réussie, dans le sous-menu Gestion des connexions, nous verrons les connexions actives.


Fig. 43

Le sous-menu LAN to LAN est utilisé pour configurer les connexions VPN entre deux réseaux. Un profil LAN-to-LAN est créé, il indique tous les paramètres nécessaires à la création d'une connexion: type de connexion - entrant, sortant ou bidirectionnel, protocole VPN - PPTP, L2TP avec stratégie IPsec ou tunnel IPsec, selon le protocole, paramètres spécifiques, par exemple, identifiant ou mot de passe ou clé pré-partagée IKE, méthode de cryptage et plus encore. En fait, il n'y a pas beaucoup de paramètres et ils sont simples dans le cas général. Il est indiqué quel réseau local le côté distant doit «voir» et vers quel réseau distant acheminer le trafic via cette connexion VPN.

Après avoir enregistré les paramètres de connexion, le côté local initiera la connexion ou attendra une connexion entrante du côté distant - en fonction des paramètres.

La connexion établie peut également être consultée dans le sous-menu Gestion des connexions .

Menu LAN sans fil

Le routeur prend en charge le réseau sans fil 802.11n et dispose de deux antennes omnidirectionnelles. Il y a beaucoup de paramètres pour les fonctions sans fil dans le routeur.

L'appareil prend en charge jusqu'à 4 réseaux sans fil indépendants avec ses propres paramètres, et pour chacun des réseaux, vous pouvez limiter la bande maximale pour le trafic sortant et entrant, et également activer la planification selon laquelle ces restrictions fonctionneront.

Ci-dessous pour illustrer les paramètres, les sous-menus Configuration générale et Paramètres de sécurité sont présentés . Les réglages sont très clairs.


Fig. 44

Chacun des 4 réseaux sans fil est configuré avec ses propres paramètres de sécurité, y compris des filtres d'adresse MAC. Pour chaque réseau, vous pouvez activer le quota de temps d'utilisation Wi-Fi en fonction de l'adresse MAC et du délai d'expiration pour resoumettre le quota.
Ci-dessous se trouve un sous-menu de la liste des stations, qui montre les terminaux sans fil actuellement connectés.


Fig. 45

De plus, dans le sous - menu Contrôle d'accès , vous pouvez activer le filtre d'adresse MAC et créer des listes blanches et noires d'adresses MAC. Les listes peuvent être enregistrées dans un fichier sur un ordinateur ou téléchargées à partir d'un fichier si nécessaire.

Dans le sous-menu Advanced Settingcontient le réglage fin du canal radio, par exemple, la puissance du signal sortant, le mode de fonctionnement, la largeur du canal, la longueur du fragment, etc.

La connexion sans fil est également prise en charge via les paramètres WPS (Wi-Fi Protected Setup) et WDS , qui se trouvent dans les sous-éléments correspondants du menu LAN sans fil .

Menu d'application USB

Le routeur possède un port USB qui peut être utilisé dans trois modes différents. Tout d'abord, connectez un modem USB 3G / 4G pour réserver une connexion Internet ou comme connexion Internet principale s'il n'y a pas d'autres moyens de se connecter à Internet.
Deuxièmement, la connexion d'une imprimante USB à un routeur, qui devient un serveur d'impression et les utilisateurs peuvent l'utiliser en configurant l'accès à celle-ci via le réseau.


Fig. 46

Dans l'image ci-dessus, un exemple dans lequel un port USB est utilisé pour connecter un lecteur et échanger des fichiers sur un réseau via FTP et SMB. Deux utilisateurs avec différents répertoires personnels créés. Dans l'image ci-dessous, un exemple du sous - menu État du périphérique USB,où nous voyons qu'un lecteur de 8 gigaoctets est connecté au port USB et une liste des utilisateurs actifs qui y sont connectés via le réseau est visible.


Fig. 47

Photo USB Application >> Explorateur de fichiers et Photo USB Application >> État du périphérique USB

Troisièmement, connectez un lecteur USB et fournissez un accès partagé aux fichiers du disque via FTP ou NetBios / SMB. La liste des modems pris en charge peut être consultée dans le sous-menu Liste de prise en charge du modem, et la liste des clients LAN peut être consultée dans le sous-menu Liste de prise en charge du client SMB.

Lorsque vous connectez un modem ou une imprimante 3G / 4G, leur état sera reflété dans les onglets Modem et Imprimante correspondants du sous-menu État du périphérique USB .

Menu de maintenance du système

Le menu contient les fonctions de service du routeur. Ici, vous pouvez définir un nouveau mot de passe pour les utilisateurs avec des privilèges d'utilisateur et d'administrateur, configurer le protocole TR-069 pour la gestion des périphériques externes. Dans le sous-menu Configuration Backup , vous pouvez enregistrer la configuration actuelle du routeur ou la restaurer à partir d'une configuration précédemment enregistrée. Le sous-menu Configuration Backup est utilisé pour configurer l'envoi de journaux système SysLog sur le réseau; vous pouvez également spécifier quels journaux doivent être enregistrés. De plus, vous pouvez configurer des notifications par e-mail.


Fig. 48

Soit dit en passant, Draytek dispose d'un utilitaire gratuit pour simplifier l'affichage et le stockage de syslog sur un ordinateur distant. Il s'appelle Draytek Syslog. Ci-dessous, une capture d'écran de l'interface.


Fig. 49

Dans le sous - menu Gestion , vous configurez les autorisations pour le contrôle à distance. De plus, si nécessaire, il est nécessaire d'autoriser séparément le contrôle depuis Internet, c'est-à-dire depuis les interfaces WAN.


Fig. 50

Menu Diagnostics

Il y a beaucoup de fonctions de diagnostic sur le routeur, je l'aime vraiment - presque toutes les tâches de diagnostic de l'état peuvent être résolues via ce menu.

Dans le sous-menu Table de routage , une table de routage complète, dans la table de cache ARP, une liste de toutes les adresses MAC dans le réseau local, dans la table DHCP une liste de tous les clients DHCP actifs, il y a des tables de sessions NAT et de cache d'enregistrement DNS.


Fig. 51

Bien sûr, il y a Ping et Traceroute . Il est possible d'activer et d'afficher les journaux système du routeur localement, et ils sont divisés en types de sous-systèmes principaux: VPN, pare-feu, WAN et autres.


Fig. 52

Dans le sous-menu Traffic Graphvous pouvez évaluer graphiquement l'utilisation des interfaces WAN ou le nombre de sessions.


Fig. 53

Conclusions

Nous avons examiné en détail la série de routeurs Draytek 2912 / 2912n . Cet appareil, qui contient toutes les fonctions réseau nécessaires dans un cas et est idéal pour un petit bureau, donc en l'achetant, le propriétaire économise de l'argent en raison de l'absence de besoin d'acheter un équipement réseau supplémentaire qui pourrait implémenter des fonctions individuelles du Draytek 2912n, par exemple, un pare-feu, un point accès, concentrateur VPN, imprimante réseau ou serveur NAS pour stocker des documents partagés.

Dans la première partie de l'examen, nous avons déterminé le positionnement de l'appareil, examiné en détail le scénario typique d'utilisation du routeur, décrit en détail toutes les caractéristiques et avantages clés, examiné les spécifications techniques détaillées - c'est impressionnant.

Le logiciel Draytek VigorACS SI supplémentaire, pour les grandes installations, vous permettra de gérer et d'entretenir facilement une énorme flotte de routeurs.Pour une seule installation, le logiciel Draytek Smart Monitor conçu pour surveiller et analyser le trafic deviendra un outil indispensable pour le débogage du réseau et la surveillance des utilisateurs. Nous avons examiné la configuration et l'apparence de l'appareil, des écrans et des interfaces, puis testé le débit maximal du routeur dans plusieurs modes. Tous les résultats correspondent aux chiffres déclarés par le fabricant.

Dans la deuxième partie de l'examen que vous lisez actuellement, nous avons examiné chaque élément de menu en détail, avec des exemples de paramètres pour des fonctions et des interfaces telles que WAN et LAN, des politiques d'équilibrage de charge et de routage, un réseau sans fil, un VPN, un pare-feu, un contrôle de la bande passante NAT et Fonctions USB, diagnostic et surveillance d'un routeur. En ce qui concerne la documentation, au cours du processus de configuration et de test, je me suis tourné vers elle à plusieurs reprises et j'ai facilement trouvé les réponses - toutes les fonctions sont bien décrites et les sections où elles sont clairement structurées. Travailler avec le routeur et sa documentation n'a laissé que de bonnes impressions.

Le routeur Draytek 2912 est très fonctionnel et facile à configurer, il peut être contrôlé via un navigateur Web, une interface de ligne de commande CLI ou le protocole TR-69. De plus, les logiciels VigorACS SI et Smart Monitor supplémentaires pour surveiller et gérer à la fois les appareils individuels et une grande flotte de centaines ou de milliers d'appareils aideront à réduire considérablement le coût d'installation et de maintenance des appareils. Par conséquent, Draytek 2912 a un grand potentiel d'utilisation à la fois dans les réseaux d'entreprise de petites entreprises et dans les bureaux individuels de grandes entreprises. Je note également la bonne qualité du logiciel, ses performances et sa fiabilité éprouvées.