🎉 🐳 👲🏽 Visão geral do roteador Draytek série 2912. Parte dois 🍤 🏯 🚍

Na primeira parte da revisão, examinamos em detalhes o roteador Draytek.A série 2912 / 2912n de partes como posicionamento do dispositivo no mercado, o padrão de uso do roteador, suas principais funções e exemplos de uso, familiarizou-se com as especificações técnicas detalhadas do dispositivo, analisou a configuração e a aparência do roteador, examinou em detalhes as funções dos indicadores e interfaces do dispositivo. Tudo o que vimos demonstra claramente que o dispositivo tem recursos muito amplos que uma empresa de SMB / SOHO ou uma pequena filial de uma grande empresa pode precisar e, portanto, o dispositivo tem um grande potencial para uso em redes corporativas. O teste de carga mostrou bons resultados, eu não esperava outros resultados, porque o dispositivo está longe de ser um nível inicial, portanto deve ser produtivo.

imagem

Nesta parte da revisão, examinaremos mais de perto a interface da Web do dispositivo, conheceremos seus recursos e um exemplo de configuração de funções e interfaces como WAN e LAN, balanceamento de carga, rede sem fio, VPN, firewall, controle de largura de banda NAT e funções USB, diagnóstico e monitoramento de um roteador.

Abaixo está um diagrama de conexão geral do roteador.

Fig. 0

Por padrão, o roteador inclui uma rede sem fio aberta com o nome Draytek e um servidor DHCP, você pode conectar-se a ele ou usar uma das portas LAN.

Após conectar-se ao roteador a partir de um PC e obter com êxito um endereço IP da rede 192.168.1.0/24,
abra sua interface da Web; para isso, no navegador da Web, digite IP LAN por padrão 192.168.1.1,
Nome de usuário: admin, senha: admin. Eu recomendo alterar imediatamente a senha para uma mais segura.

Fig. 1

Chegamos ao menu Status on-line, onde são exibidas as informações básicas sobre o dispositivo

Fig. 2

Chamo a atenção para o fato de a versão do firmware 3.7.8.1_R estar pré-instalada nos roteadores entregues na Rússia; este firmware difere do usual por não ter criptografia, exceto pelo protocolo PPTP, e é assim:

Fig. 3

Se isso não for suficiente, você poderá instalar o firmware completo baixando-o do site Draytek.com
na seção Suporte -> Downloads -> Firmware - Vigor2912 Series .

Selecionei o último 3.8.1.1 e o baixei, descompacte-o, abra Manutenção do sistema >> Atualização de firmware na interface da web do roteador e selecione o arquivo v2912_3811.all e clique em "Atualizar".

Fig. 4

Após uma atualização bem-sucedida, reinicie o roteador e obtenha o firmware mais recente sem nenhuma restrição.

Para maior clareza, abaixo está uma imagem do diagrama de rede do roteador Draytek 2912n, que consideraremos.

Fig. 4-1

Para conectar-se à Internet, usamos duas interfaces WAN com várias regras de roteamento; em caso de acidente no primeiro canal, o tráfego passa automaticamente pelo backup.

Usamos duas sub-redes: LAN0 = 192.168.1.0 / 24 e LAN1 = 192.168.2.0 / 24. E três redes sem fio com SSIDs: DrayTek, DrayTek_Guest e DrayTek_Unencrypted. Eles são combinados através das configurações de VLAN com redes sem fio. Os clientes remotos podem se conectar via VPN usando o Smart VPN Client e os protocolos PPTP e IPSec. Para o aplicativo SmartMonitor, o espelhamento das portas LAN está ativado.

Em geral, independentemente do modelo do roteador Draytek, a estrutura do menu tem uma organização semelhante, você não encontra funções ou descobre mais delas do que em outro modelo ou versão de firmware, mas a estrutura permanece inalterada. À esquerda, há um bloco de itens de menu globais estruturados por subsistemas de roteadores: assistentes, configurações de interface WAN e LAN, depois um firewall, configurações de objetos, bloco CSM e gerenciamento de usuários e, em seguida, um bloco de usuário aplicativos especiais de roteador (Aplicativos). A seguir, o bloco de configurações da VPN, seguido pelo menu responsável pela configuração da rede sem fio (LAN sem fio),um menu separado para configurar a porta USB (aplicativo USB) e, finalmente, o menu de funções de serviço (manutenção do sistema) e o menu de diagnóstico do roteador (diagnóstico).

Todos os itens são estruturados de maneira simples e lógica, de acordo com as funções da rede, sem nenhuma lógica específica e confusa.

Cada item de menu global inclui um ou mais subitens.

Considere os itens principais do menu, já que o roteador possui uma configuração que corresponde ao diagrama de rede que foi apresentado acima, conforme você analisa novos itens de menu, fica claro como determinadas funções de rede são configuradas.

Menu Assistentes

Aqui estão os assistentes de configuração que permitem configurar as funções básicas do roteador em apenas alguns cliques. Eles são uma cadeia de várias caixas de diálogo, a última janela exibe uma lista de todas as configurações feitas e o botão "Concluir" para sua aplicação. Pareceu-me que os dados do assistente são para administradores completamente preguiçosos, pois sem eles, a configuração das funções básicas no roteador não é difícil.

Assistente de início rápido - é usado para configurar rapidamente a conexão das interfaces WAN 1-3.
Assistente de Ativação de Serviço - ativa o filtro temático inteligente dos sites Filtro de Conteúdo da Web.

O seguinte Assistente para Cliente VPN e Assistente para Servidor VPNAchei interessante, com a ajuda deles é fácil configurar a VPN nos modos LAN-to-LAN e Usuário de discagem remota, ativar o serviço e registrar usuários. Abaixo, um exemplo de 3 etapas para adicionar e ativar um usuário VPN.

Escolhemos o PPTP, precisamos configurar no lado do cliente, usaremos o cliente Draytek Smart VPN. Volte às configurações da VPN no menu VPN e acesso remoto .

Fig. 5

Fig. 6

Fig. 7

O Assistente sem fio é para a configuração inicial de uma rede sem fio. Abaixo está a janela final na conclusão do assistente.

Fig. 8

Em alguns cliques, a rede sem fio está configurada.

Menu Status on-line

O próximo item de menu contém dois subitens: o primeiro Conexão física - mostra o status físico da LAN, das interfaces WAN 1-3 e dos medidores de nível de link, a mesma coisa, mas apenas para interfaces virtuais pode ser vista no menu Virtual WAN .

Fig. 9

Para obter mais informações sobre o status do sistema, consulte Manutenção do sistema -> Status do sistema .

Menu WAN

Neste menu, são executadas todas as configurações relacionadas à conexão do roteador aos provedores de Internet. No nosso exemplo, a WAN 1 e 2 estão ativas

. 10-1

A configuração do modo de balanceamento de carga está disponível quando duas ou três interfaces WAN são usadas simultaneamente. Usamos o modo de pesagem automática; nesse modo, o roteador distribui automaticamente a carga. A interface WAN 3 pode ser usada ao conectar um modem 3 / 4G.

Abaixo está uma configuração detalhada da interface WAN 2, usamos o modo de balanceamento de carga.

Fig. 10-2

As interfaces são configuradas diretamente no submenu Acesso à Internet .

Fig. 10-3

Ir para a página de detalhes WAN 2, aqui estão as configurações do modo de conexão, usamos um IP estático, um cliente DHCP trabalha na primeira interface. Além dos métodos que usamos, você pode se conectar à Internet usando os protocolos PPTP / L2TP ou PPPoE, bem como o IPv6.

Fig. 11

Sub-menu de multi-VLAN permite que o administrador para criar perfis para específica WAN 1-2 interface física e criar uma ponte para o interface de LAN LAN para o máximo de rendimento.

Fig. 12

Ou seja, com base na interface física da WAN 1-2, criamos uma WAN virtual adicional 5-7 na VLAN especificada por nós e a “une” com as portas LAN necessárias 1-3 (a quarta porta pode funcionar apenas no modo NAT); opcionalmente, podemos atribuir interface WAN virtual 5-7 endereço IP manualmente ou receba via DHCP, ou seja, torne-o L3. Como exemplo, podemos encaminhar o tráfego IPTV da WAN para a LAN.

Menu LAN

O item é responsável pela configuração da rede local e contém vários subitens. O roteador suporta dois segmentos de LAN independentes com suas próprias configurações; por padrão, é 192.168.1.1/24 e 192.168.2.1/24, você também pode adicionar uma rede roteada. Nos dois segmentos, o DHCP está ativado, o que emite endereços IP para conectar os terminais do usuário. A propósito, um servidor DHCP pode ser configurado para transmitir quaisquer opções adicionais de DHCP; é muito conveniente se a rede tiver serviços especializados, por exemplo, um servidor TFTP.

Fig. 13

Além disso, você pode habilitar ou desabilitar o roteamento entre a LAN 1 e 2.

Na seção Roteamento entre LANs. No próximo submenu LAN >> Static Route Setup , você pode adicionar até 10 rotas estáticas a outras redes atrás de endereços IP nas sub-redes da LAN 1-2.

SubmenuLAN >> A configuração de VLAN permite combinar as portas LAN especificadas P2-4 em uma VLAN (P1 atua como WAN2 em nosso exemplo) com redes sem fio SSID 1-4 e, opcionalmente, adicionar tags VLAN prioritárias. Quando a etiqueta VLAN está ativada, o tráfego com as etiquetas especificadas no campo VID aparecerá nas portas LAN correspondentes; as etiquetas não serão transmitidas através de redes sem fio. No nosso exemplo, duas VLANs independentes. A VLAN0 inclui as portas LAN P 2-4 e uma rede sem fio com SSID1 - tudo isso no segmento LAN 1. A VLAN1 inclui redes sem fio com SSID2 e SSID3 - tudo isso no segmento LAN 2.

Fig. 14 O

roteador pode operar no modo de criação de VLANs sem etiqueta com base em portas ou VLANs com tags VID.

Próximo item na LAN >> Vincular IP ao MAC. Permite criar listas com endereços MAC e endereços IP correspondentes. Se a função estiver ativada, todos os endereços IP atribuídos aos endereços MAC não poderão ser alterados. As folhas criadas podem ser salvas em um arquivo e restauradas na configuração do roteador a partir de um arquivo salvo anteriormente.

No menu LAN >> LAN Port Mirror , você pode ativar a cópia de todo o tráfego da porta LAN Mirrored especificada para a porta Mirror receptora. Essa função é útil para depurar uma rede usando um sniffer ou ao usar o aplicativo para monitorar e analisar a atividade de rede do Draytek Smart Monitor. Informações sobre esse aplicativo podem ser encontradas na primeira parte desta revisão.

Fig. 15

Submenu LAN >> Configuração do Portal da Webpermite determinar os perfis atribuídos às interfaces de rede sem fio LAN ou WLAN e especificar o link do URL do site neles para redirecionamento automático do usuário na primeira tentativa de abrir uma página da web, depois de conectar-se através da interface especificada no perfil, por exemplo, SSID1.

Fig. 16

Essa função é usada para fins de publicidade ou para notificar um usuário que se conecta à Internet através da rede de uma empresa específica.

No exemplo, quando você tenta abrir qualquer página da Web pela primeira vez, o usuário será redirecionado para o site www.ucexpert.ru , onde, na parte superior da tela, haverá uma mensagem solicitando ao usuário que clique no botão Continuar para continuar a sessão na Web e acessar o site desejado.

Abaixo está um exemplo de uma página tepec.

Fig. 17

Load-Balance/Route Policy

Este item de menu contém o subitem Configuração geral - configuração direta de regras de balanceamento de carga e políticas de roteamento e Diagnosticar - um subitem para depurar regras configuradas, onde é possível simular a rota de um ou mais pacotes através da tabela de regras configurada e verificar o resultado.

Fig. 18

No exemplo, pacotes que deixam os endereços IP da LAN de qualquer roteador no IP 8.8.8.8 passam pela WAN1, a segunda regra funciona da mesma forma, apenas para o IP 8.8.4.4 de destino e os pacotes já passam pela WAN2. Na terceira regra, toda a sub-rede é indicada; na quarta regra, é indicado que todo o tráfego deve ser enviado através da WAN1, em caso de falha da WAN1, enviado para a WAN2. Cada regra tem prioridade, quanto menor, mais cedo a regra é executada.

A imagem a seguir mostra os critérios pelos quais você pode definir uma regra; existem alguns deles; também é possível determinar para onde enviar o pacote, se a regra não funcionar.

Fig. 19

A figura a seguir mostra o diagnóstico da rota.

Fig. 20

Menu NAT

As funções de conversão de tradução de endereço de rede (NAT) estão configuradas no menu, contém o submenu Port Redirection - encaminhamento de porta da porta da interface WAN especificada para o endereço IP e a porta na LAN, isso pode ser necessário para servidores FTP, servidores de correio etc. d.

O submenu Host DMZ permite especificar um host DMZ na LAN para cada uma das interfaces WAN.

O submenu Portas abertas permite manter os intervalos de portas especificados abertos para aplicativos especiais, como P2P, e encaminhá-los para endereços IP específicos na LAN.

Fig.

O disparo de 21 portas é uma variação de portas abertas. Se depois de ativar a regra de Portas abertas, essas portas estiverem constantemente abertas, ao aplicar a regra de acionamento de portas, essas portas serão abertas apenas quando as condições das regras forem as mesmas, e as portas serão fechadas novamente por tempo limite.

A operação da função no item de submenu correspondente é definida por um conjunto de regras.

Menu Firewall

Nesse menu, as regras globais de firewall são configuradas, os conjuntos e a ordem das regras de verificação de tráfego e as regras padrão de filtragem de tráfego são especificadas.
O firewall pode ser dividido em 3 subsistemas:

Filtro IP configurável pelo usuário com base nos conjuntos de regras Filtro de chamadas / Filtro de dados
Stateful Packet Inspection Filter (SPI)
Proteção contra ataques de negação de serviço (DoS) / DoS distribuído (DDoS)

A arquitetura do firewall usa dois conjuntos independentes de regras de Filtro de chamadas e Filtro de dados.
O conjunto de regras do filtro de chamadas é aplicado ao tráfego enviado da rede local para a WAN quando não há conexão ativa com a Internet (a interface WAN não está ativa) e antes que a conexão seja estabelecida, o tráfego passa pelas regras do filtro de chamadas, se os pacotes não estiverem bloqueados, a conexão será estabelecida.

Quando a interface WAN está ativa, todos os pacotes caem imediatamente no conjunto de regras do Filtro de Dados e todo o tráfego que chega às interfaces WAN também chega lá.

Fig. 22

As regras do firewall podem especificar objetos (definidos no menu Configurações de objetos), como endereços IP ou grupos de endereços IP, protocolo e intervalo de portas e seus grupos, palavras-chave e grupos de palavras-chave, perfis de extensão de arquivo, usuários (determinados no menu Gerenciamento de usuários) e, finalmente, no menu CSM (Gerenciamento de segurança de conteúdo), defina aplicativos, por exemplo, Skype, URLs e até mesmo o assunto de determinados sites usando o sistema Filtro de conteúdo da Web.

Ou seja, podemos trabalhar com o tráfego do nível da rede até o nível do aplicativo, além de usar o sistema Filtro de Conteúdo da Web para processar de forma inteligente o tráfego no assunto do conteúdo da Web, ou seja, criar regras muito amplas.

Abaixo estão as configurações globais no submenuFirewall >> Configuração geral e , em seguida, o submenu Firewall >> Configuração de filtro que ilustra os conjuntos de regras de firewall, submenu Firewall >> Configuração de filtro >> Editar submenu Conjunto de filtros que ilustra a composição de um conjunto específico de regras.

Fig. 23

Agora, consideraremos uma regra concreta da tabela chamada social de blocos

Fig. 24

Primeiramente, em Agenda, você pode especificar a agenda em que a regra funcionará, por exemplo, bloquear as redes sociais das 9h30 às 18h de segunda a sexta-feira. A seguir, indicamos a direção da verificação do tráfego no campo Direção, qualquer endereço IP de entrada ou saída, o tipo de serviço pode ser definido por um objeto específico no menu Configuração de objetos >> Objeto do tipo de serviço, ou talvez um conjunto de objetos, e é um monte de tipo de protocolo + porta ou intervalo de portas.

Em seguida, no campo Filtro, especifique o critério "Passar se não houver mais correspondências" - os pacotes devem ser ignorados se nenhum dos critérios nas regras restantes corresponder. Se o usuário acessar uma rede social, por exemplo, ok.ru, os critérios corresponderão e o pacote será bloqueado. O critério neste exemplo é o perfil no filtro de conteúdo de URL, que contém um objeto - um grupo que inclui palavras-chave - endereços de redes sociais.

Abaixo, ilustrarei as configurações quando chegarmos a elas. Da mesma forma, outros critérios estão incluídos na regra, ou seja, nas regras do firewall, você pode adicionar critérios no nível da rede e no nível do aplicativo; além disso, é possível ativar o Filtro de Conteúdo da Web que funciona ainda mais - no nível do assunto do conteúdo da Web .

Submenu Defesa DoS . O roteador implementa a detecção e a proteção automática contra ataques de negação de serviço, e as métricas do limite de intensidade de tráfego, após o qual o evento é considerado um ataque, podem ser configuradas manualmente. Alertas de notificação de ataque também são fornecidos.

Menu Gerenciamento de usuários

Um firewall pode operar em um dos dois modos globais:

Baseado em regras, ou seja, baseado em regras, onde objetos, por exemplo, endereços IP de estações do usuário. O administrador define as regras com base nos vários endereços IP.

Baseado em usuário , ou seja, o gerenciamento é baseado em perfis de usuário. O administrador define as regras para diferentes perfis de usuário ou seus grupos. Antes disso, os usuários devem efetuar login. Após a autorização, o sistema cria uma correspondência entre o nome do usuário e o endereço IP com o qual ele está autorizado.

Os submenus abaixo são Gerenciamento de usuários >> Configuração geral, onde você alterna entre trabalhar com endereços IP ou trabalhar com perfis de usuário.

Se tudo estiver claro sobre o trabalho com endereços IP: o administrador atribui um endereço IP ao terminal do usuário, o que não deve ser alterado e atribui regras para o endereço IP.

Assim que mudarmos para o modo com base no usuário, o usuário deverá efetuar login, até esse momento, ele não poderá trabalhar na rede e, quando você abrir o navegador e tentar acessar qualquer site, ele será redirecionado para a página de autorização. Para efetuar login, um perfil de usuário com os direitos apropriados deve estar contido na tabela Gerenciamento de usuários >> Perfil de usuário.

Fig. 25

O exemplo tem um perfil de usuário Ignat Kudryavtsev, abra o perfil desse usuário

Fig. 26

Como você pode ver, aqui você pode definir o tempo limite para o logout automático em caso de tempo de inatividade, e a restrição no número simultâneo de logons permite a autenticação externa por meio dos protocolos LDAP ou RADIUS. Você também pode definir cotas para o tempo e a quantidade de tráfego consumido pelo usuário.

Página de destino é a página que o usuário verá após uma autorização bem-sucedida. Você pode simplesmente exibir uma mensagem, como no nosso exemplo: "Login Success!", Ou pode redirecionar para qualquer site, por exemplo, o site de uma empresa. Para fazer isso, nas configurações da página de destino, você precisa escrever uma linha do formulário:

<body stats=1><script language='javascript'> window.location='<a href="http://www.draytek.com/">http://www.draytek.com</a>'</script></body>

Todas as configurações são descritas em detalhes no manual do usuário.
Quando você abre um navegador da Web e tenta acessar qualquer site, o usuário é redirecionado para a página de autorização, após uma autorização bem-sucedida, a mensagem "Login Success!" e o usuário poderá trabalhar na rede.

Fig. 27

No submenu Grupo de usuários , você pode agrupar usuários para atribuir as mesmas regras a grupos de usuários, por exemplo, por departamento da empresa. O submenu Status do usuário on-line é usado para visualizar o status dos usuários.

Menu de configuração de objetos

Os roteadores Draytek série 2912 suportam um firewall baseado em Stateful Packet Inspection (SPI) com base em objetos baseados em objeto (baseados em IP), como: um usuário (mediante autorização, ele recebe um IP específico), endereços IP ou grupos de endereços IP, protocolo e variedade de portas e seus grupos, palavras-chave e grupos de palavras-chave, perfis de extensão de arquivo. Esses objetos podem ser usados para criar regras de firewall que podem ser ativadas e desativadas em um agendamento.

No menu Configuração de objetos, vários tipos de objetos são criados e agrupados.

No submenu Objeto IPos objetos são criados com base no host, no intervalo de endereços IP ou na sub-rede; você também pode usar um endereço MAC específico para qualquer endereço IP. No submenu Grupo de IPs, grupos são criados a partir de objetos IP que podem ser usados para criar regras de firewall.

O mesmo vale para o objeto IPv6 e o grupo IPv6 com endereçamento IPv6.

Nos submenus Objeto de Tipo de Serviço e Grupo de Tipos de Serviço , os objetos são criados e agrupados com base no tipo de protocolo, nas portas de origem e de destino.

Fig. 28

No submenu Objeto de palavra- chave e grupo de palavras-chaveComo os objetos baseados em palavras-chave são criados e agrupados, esses objetos podem ser usados para criar regras de filtragem, por exemplo, para o Perfil de filtro de conteúdo de URL e o Perfil de filtro DNS no subsistema CSM. Em nosso exemplo, bloqueamos as redes sociais vk.com twitter.com facebook.com e ok.ru, para isso, criamos dois perfis com os nomes redes sociais e social-ok.ru contendo essas palavras-chave e as adicionamos ao grupo redes sociais gro submenu Configuração de objetos >> Grupo de palavras-chave . Em seguida, usamos esse grupo no CSM >> Perfil de filtro de conteúdo de URL .

Fig. 29

No submenu File Extension Objectsão criados perfis de extensões, arquivos que podem ser reconhecidos e aplicados nas regras do firewall. Assim, por exemplo, você pode impedir o download de todos os arquivos compactados ou arquivos de vídeo com as extensões especificadas. No exemplo, o download de qualquer imagem é proibido. O perfil criado chamado blk-img será usado no perfil CSM >> perfil de filtro de conteúdo de URL . Veremos isso no exemplo abaixo.

Fig. 30

de submenu SMS / Objeto Mail Service e Notificação objeto permitem que você configure até 10 perfis para o serviço de notificação de alerta do aplicativo >> SMS / Mail o serviço .

Menu CSM

O Content Security Management (CSM), um subsistema de firewall que funciona no nível do aplicativo, permite bloquear links de URL por palavras-chave e tipo de conteúdo, por exemplo, Java Applet, Cookies, Active X, você também pode bloquear vários aplicativos de rede, por exemplo , IM / P2P ou protocolos no nível do aplicativo, por exemplo, MySQL, SMB, SSH, UltraVPN, a lista de serviços e protocolos é bastante impressionante. É possível bloquear o DNS para palavras-chave.

No submenu APP Enforcement Profile , os perfis são criados para filtrar aplicativos de rede que podem usar portas que mudam dinamicamente e cada um desses aplicativos tem suas próprias especificidades, por exemplo, o Skype.

Fig. 31

No exemplo das configurações da regra Firewall da tabela Filtro de Dados, que foi fornecida acima, essa regra é indicada.
O submenu URL Content Filter Profile é responsável por filtrar o conteúdo da web. Aqui, os objetos de palavra- chave de grupo / objeto criados anteriormente são indicados e a função Controle de acesso à URL é permitida . Cada endereço de site será pesquisado por palavras-chave. Em nosso exemplo, adicionamos o grupo social-nets-gro contendo palavras-chave com endereços de redes sociais ao grupo criado anteriormente.
Na seção Recurso da Web , você pode ativar o upload de cookies, bloqueio de proxy e arquivos com os arquivos especificados no Perfil de extensão de arquivo ; no exemplo anterior, criamos o perfil 1-blk-img.

O perfil social criado é atribuído na regra do firewall no campo Filtro de Conteúdo da URL.

Fig. 32

Quando a regra funciona ao tentar abrir, por exemplo, vk.com, o usuário verá uma mensagem do campo Mensagem de Administração, um exemplo do conteúdo desse campo é mostrado na imagem anterior.

Fig. 33

Submenu Perfil de filtro de conteúdo da Web. Outra ferramenta CSM poderosa é o sistema GlobalView Web Content Filter. Projetado para filtrar conteúdo indesejado em um nível temático, isto é, por exemplo, sites com o tema de pornografia, crime, jogos de azar e muito mais. O administrador cria perfis, nos quais indica os assuntos dos sites e os atribui às regras do firewall, depois indica o que fazer quando as regras corresponderem, por exemplo, ao bloco. O Filtro de Conteúdo da Web está licenciado, mas uma licença para teste está disponível gratuitamente.

Abaixo está a configuração do perfil por categoria:

Fig. 34
Subsistema de perfis de filtro DNSverifique e bloqueie as consultas DNS na porta UDP 53, de acordo com o perfil de filtro de conteúdo de URL atribuído ou o perfil de filtro de conteúdo da Web. Você também pode personalizar a mensagem que será exibida ao usuário quando o recurso estiver bloqueado.

Menu Gerenciamento de largura de banda

O submenu Gerenciamento de largura de banda >> Limite de sessões é usado para limitar o número de NATs das sessões dos endereços IP da LAN que podem ser configurados simultaneamente. Por exemplo, aplicativos P2P (ponto a ponto) normalmente exigem muitas sessões simultâneas e consomem muitos recursos de rede. Você também pode limitar o número padrão de sessões de qualquer IP.

O submenu Gerenciamento de largura de banda >> Limite de largura de banda define limites de utilização da largura de banda para hosts e intervalos de endereços IP. Além disso, as regras podem ser configuradas em uma programação, você pode limitar separadamente a banda para o tráfego de entrada e saída.

No submenu Gerenciamento de largura de banda >> Qualidade de serviçoa qualidade do serviço de tráfego está configurada. Primeiro, o tráfego usando regras é classificado de acordo com critérios como IP de origem e destino, tipo de serviço e código DiffServ. Em seguida, cada classe de tráfego recebe sua porcentagem da largura de banda total da interface especificada.

Fig. 35

A propósito priorização de tráfego VoIP por padrão priorizados.

Menu Aplicações

Este menu contém configurações para aplicativos utilitários que ajudam a ajustar funções individuais.

Por exemplo, no submenu Agendamento, são configurados perfis de agendamento usados em várias configurações das funções e regras do roteador; no total, até 15 entradas podem ser criadas no agendamento.

Fig. 36

No menu DNS da LAN, você pode especificar a correspondência do endereço IP e do nome do domínio na rede local. Nos menus RADIUS e Active Directory / LDAP , é possível ativar opcionalmente a autorização do usuário nos nomes de submenus do servidor correspondentes. No submenu IGMP , você pode ativar o proxy IGMP ou o rastreamento IGMP para tráfego multicast, por exemplo, TV IP.

Menu VPN e acesso remoto

O roteador suporta até 16 túneis VPN * do tipo LAN para LAN para criar uma conexão segura entre as redes da organização ou para criar uma conexão VPN de estações de trabalho remotas de funcionários domésticos usando os protocolos PPTP / IPSec / L2P / L2TPover IPSec. A criptografia AES / DES / 3DES e autenticação IKE fornecem segurança aprimorada. O uso de uma conexão WAN dupla permite usar não apenas um esquema de balanceamento de carga, mas também redundância. Portanto, se o canal principal do canal VPN ficar indisponível, um canal VPN de backup o substituirá.

A propósito, as funções de VPN no Draytek são muito fáceis de configurar. Com apenas alguns cliques, você pode configurar as conexões LAN-to-LAN e acessar a partir de estações de trabalho remotas. O Dryatek possui seu próprio cliente VPN para simplificar a conexão dos locais de trabalho, é chamado Draytek Smart VPN Client, o aplicativo está disponível para download gratuito no site draytek.com

* Todas as ferramentas de criptografia que não estão em conformidade com o GOST são removidas nas entregas oficiais de roteadores para a Federação Russa. Esse firmware possui apenas suporte PPTP sem criptografia. Isso pode ser corrigido com a instalação de um software padrão, que pode ser baixado em draytek.com.

Os protocolos VPN de acesso global estão incluídos no submenu Configuração do controle de acesso remoto , no submenu Configuração geral do IPsecChave pré-compartilhada é especificada para o método de autenticação IKE, métodos de criptografia são especificados. Por exemplo, especifique a chave draytek.commmmm

Fig. 37

O submenu Usuário de discagem remota indica os usuários que podem se conectar via VPN de seus locais remotos à rede LAN do roteador.

Fig. 38

Na lista Status , é claro que o usuário ignat está no status online, pois é marcado em verde. No exemplo abaixo, o usuário ignat se conecta via PPTP, o segundo usuário se conectará através do túnel IPSec usando a chave pré-compartilhada = predefinição draytek.commmmm acima.

Fig. 39

Para conectar-se do lado do cliente, usei o Draytek Smart VPN Client, que é instalado e configurado em dois cliques.

Abaixo está um exemplo para PPTP.

Fig. 40

Da mesma forma, o segundo cliente VPN está configurado, que será conectado dinamicamente usando a chave pré-compartilhada que especificamos anteriormente no submenu Configuração geral do IPsec como draytek.commmmm.

Fig. 42

Após a conexão bem-sucedida, no submenu Gerenciamento de conexões , veremos as conexões ativas.

Fig. 43

O submenu LAN para LAN é usado para configurar conexões VPN entre duas redes. Um perfil de LAN para LAN é criado, indicando todas as configurações necessárias para criar uma conexão: tipo de conexão - protocolo VPN de entrada, saída ou bidirecional - PPTP, L2TP com política IPsec ou túnel IPsec, dependendo do protocolo, configurações específicas, por exemplo, login ou senha ou chave pré-compartilhada IKE, método de criptografia e muito mais. De fato, não existem muitas configurações, e elas são simples no caso geral. É indicado qual rede local o lado remoto deve "ver" e para qual rede remota encaminhar o tráfego através desta conexão VPN.

Depois de salvar as configurações de conexão, o lado local iniciará a conexão ou aguardará uma conexão de entrada do lado remoto - dependendo das configurações.

A conexão estabelecida também pode ser visualizada no submenu Gerenciamento de conexões .

Menu LAN sem fio

O roteador suporta rede sem fio 802.11n e possui duas antenas omnidirecionais. Existem muitas configurações para funções sem fio no roteador.

O dispositivo suporta até 4 redes sem fio independentes com suas próprias configurações e, para cada uma das redes, você pode limitar a banda máxima para o tráfego de saída e de entrada e também habilitar a programação segundo a qual essas restrições funcionarão.

Abaixo para ilustrar as configurações, são apresentados os submenus Configuração geral e Configurações de segurança . As configurações são muito claras.

Fig. 44

Cada uma das 4 redes sem fio é configurada com suas próprias configurações de segurança, incluindo filtros de endereço MAC. Para cada rede, você pode ativar a cota de tempo de uso de Wi-Fi com base no endereço MAC e o tempo limite para reenviar a cota.
Abaixo está um submenu da Lista de estações, que mostra os terminais sem fio conectados no momento.

Fig. 45

Além disso, o sub-menu a acessar o controle , você pode filtrar os MAC-endereços, com a criação de duas listas brancas e negras de MAC-endereços. As listas podem ser salvas em um arquivo em um computador ou baixadas de um arquivo, se necessário.

No submenu Configuração avançadacontém o ajuste fino do canal de rádio, por exemplo, potência do sinal de saída, modo de operação, largura do canal, comprimento do fragmento e outros.

A conexão sem fio também é suportada pelas configurações WPS (Wi-Fi Protected Setup) e WDS , que podem ser encontradas nos subitens correspondentes do menu LAN sem fio .

Menu de aplicativos USB

O roteador possui uma porta USB que pode ser usada em três modos diferentes. Primeiro, conecte um modem USB 3G / 4G para reservar uma conexão com a Internet ou como a principal conexão com a Internet, se não houver outras maneiras de conectar-se à Internet.
Em segundo lugar, conectar uma impressora USB a um roteador, que se torna um servidor de impressão e os usuários podem usá-la configurando o acesso pela rede.

Fig. 46

Na imagem acima, um exemplo no qual uma porta USB é usada para conectar uma unidade e trocar arquivos pela rede usando FTP e SMB. Dois usuários com diferentes diretórios pessoais criados. Na imagem abaixo, um exemplo do submenu USB Device Status,onde vemos que uma unidade de 8 gigabytes está conectada à porta USB e uma lista de usuários ativos conectados a ela através da rede é visível.

Fig. 47

Aplicativo de foto USB >> Explorador de arquivos e aplicativo de foto USB >> Status do dispositivo USB

Em terceiro lugar, conecte uma unidade USB e forneça acesso compartilhado aos arquivos de disco via FTP ou NetBios / SMB. A lista de modems suportados pode ser visualizada no submenu Modem Support List e a lista de clientes LAN pode ser visualizada no submenu SMB Client Support List.

Ao conectar um modem ou impressora 3G / 4G, seu status será refletido nas guias Modem e Impressora correspondentes do submenu Status do dispositivo USB .

Menu Manutenção do Sistema

O menu contém as funções de serviço do roteador. Aqui você pode definir uma nova senha para usuários com privilégios de Usuário e Administrador, configurar o protocolo TR-069 para gerenciamento de dispositivos externos. No submenu Backup da configuração , você pode salvar a configuração atual do roteador ou restaurá-la de uma salva anteriormente. O submenu Backup de configuração é usado para configurar o envio de logs do sistema SysLog pela rede; você também pode especificar quais logs devem ser registrados. Além disso, você pode configurar notificações por email.

Fig. 48

A propósito, a Draytek possui um utilitário gratuito para simplificar a visualização e o armazenamento do syslog em um computador remoto. É chamado Draytek Syslog. Abaixo está uma captura de tela da interface.

Fig. 49.

No submenu Gerenciamento , você configura permissões para controle remoto. Além disso, se necessário, é necessário permitir separadamente o controle da Internet, ou seja, das interfaces WAN.

Fig. 50.

Menu Diagnósticos

Há muitas funções de diagnóstico no roteador, eu realmente gosto - quase qualquer tarefa de diagnosticar o estado pode ser resolvida através deste menu.

No submenu Tabela de roteamento , uma tabela completa de roteamento, na tabela ARP Cache, uma lista de todos os endereços MAC na rede local, na tabela DHCP, uma lista de todos os clientes DHCP ativos, há tabelas de sessões NAT e um cache de registro DNS.

Fig. 51

Claro que existem Ping e Traceroute . É possível ativar e visualizar os logs do sistema do roteador localmente, e eles são divididos em tipos dos principais subsistemas: VPN, Firewall, WAN e outros.

Fig. 52

No submenu Gráfico de tráfegovocê pode avaliar graficamente a utilização de interfaces WAN ou o número de sessões.

Fig. 53

Conclusões

Analisamos a série de roteadores Draytek 2912 / 2912n em grande detalhe . Este dispositivo, que contém todas as funções de rede necessárias em um caso e é ideal para um pequeno escritório, comprando-o, o proprietário economiza dinheiro devido à falta de compra de equipamentos de rede adicionais que possam implementar funções individuais do Draytek 2912n, por exemplo, um firewall, um ponto acesso, concentrador de VPN, impressora de rede ou servidor NAS para armazenar documentos compartilhados.

Na primeira parte da revisão, determinamos o posicionamento do dispositivo, examinamos em detalhes o cenário típico para o uso do roteador, descrevemos em detalhes todas as principais características e vantagens e analisamos as especificações técnicas detalhadas - é impressionante.

O software Draytek VigorACS SI adicional, para grandes instalações, permitirá gerenciar e manter facilmente uma enorme frota de roteadores; para uma única instalação, o software Draytek Smart Monitor projetado para monitorar e analisar o tráfego se tornará uma ferramenta indispensável para depuração da rede e monitoramento do usuário. Examinamos a configuração e a aparência do dispositivo, monitores e interfaces e testamos a taxa de transferência máxima do roteador em vários modos. Todos os resultados correspondem aos números declarados pelo fabricante.

Na segunda parte da revisão que você está lendo, examinamos cada item de menu em detalhes, com exemplos de configurações de funções e interfaces como WAN e LAN, políticas de balanceamento de carga e roteamento, rede sem fio, VPN, firewall, controle de largura de banda NAT e Funções USB, diagnóstico e monitoramento de um roteador. Quanto à documentação, durante o processo de configuração e teste, eu procurei muitas vezes e encontrei facilmente as respostas - todas as funções estão bem descritas e as seções em que estão claramente estruturadas. Trabalhar com o roteador e a documentação para ele deixou apenas boas impressões.

O roteador Draytek 2912 é muito funcional e fácil de configurar, pode ser controlado por um navegador da web, interface de linha de comando da CLI ou protocolo TR-69. Além disso, o software VigorACS SI e Smart Monitor adicional para monitorar e gerenciar dispositivos individuais e uma grande frota de centenas ou milhares de dispositivos ajudará a reduzir significativamente o custo de instalação e manutenção de dispositivos. Portanto, o Draytek 2912 tem um grande potencial para uso em redes corporativas de pequenas empresas e em escritórios individuais de grandes empresas. Além disso, noto a boa qualidade do software, alto desempenho e confiabilidade, testados pelo tempo.

Visão geral do roteador Draytek série 2912. Parte dois