在对Draytek 2925n系列路由器的审查的第一部分中,我们详细研究了该设备在市场上的定位,路由器使用方案,其关键功能和使用示例,熟悉详细的技术规格,查看了路由器的配置和外观,并详细检查了指示灯和接口的功能。设备。结果清楚地证明了路由器在“千兆”隔间中的广泛功能,这对于SMB和SMB +级企业或大型公司的小型分支机构可能是必需的,而该公司的“最大”网络连接速度已超过100 Mbps,并且在本地网络中需要数百兆位。 WAN连接到您的ISP。因此,该设备具有在资源密集型公司网络中使用的巨大潜力。负载测试的结果很好,您可以在评论的第一部分中找到这些结果。该链接提供了第一部分的评论。在本部分的审查中,我们将仔细研究设备的Web界面,熟悉其功能,并举例说明配置WAN和LAN,负载平衡,无线网络,VPN(PPTP,IPSec和SSL),防火墙,NAT,特殊功能等功能和接口。接入点的自动配置和集中管理-中央AP管理和远程路由器上的VPN连接-中央VPN管理,带宽管理,从多个路由器创建高可用性群集以及USB,诊断和监控功能路由器迭代。下面是路由器的一般连接图。
图0
图0-1我提请注意以下事实,即所有以太网,所有WAN和LAN端口都是“千兆位”。默认情况下,路由器包括一个名为Draytek的开放式无线网络和一个DHCP服务器,您可以连接到该网络或使用一个LAN端口。从PC连接到路由器并成功从网络192.168.1.0/24获取IP地址后,打开其Web界面;为此,在Web浏览器中,默认情况下键入IP LAN 192.168.1.1,用户名:admin,密码:admin。我建议立即将密码更改为更安全的密码。
图1我们进入“ 在线状态”菜单,其中显示有关设备的基本信息
。 2下图显示了Dashboard菜单,该菜单清楚地显示了路由器与WAN,LAN和无线WLAN网络的连接图。简单明了
图2-1让您关注到运到俄罗斯的路由器固件版本3.7.8.2_R预装,此固件不同于通常的事实,它没有加密,除了PPTP协议,它看起来像这样不同:
图。 3如果这还不够,可以通过从Draytek.com网站上的“支持->下载->固件-Vigor2925系列 ”部分下载完整固件来安装它。我选择了最后一个3.8.2.3并下载了它,然后将其解压缩,在路由器的Web界面中打开系统维护>>固件升级,然后选择文件v2925_3823.all,然后单击 “升级”。
图4成功更新后,重启路由器并获得最新固件,没有任何限制。为了清楚起见,以下是Draytek 2925n路由器的网络图,在该示例中我们将考虑其Web界面以及一些功能设置示例。
图4-1为了连接到Internet,我们使用两个具有多个路由规则的WAN接口,如果第一个通道发生意外,流量将自动通过备份。我们使用两个子网:LAN0 = 192.168.1.0 / 24和LAN1 = 192.168.2.0 / 24。以及三个具有SSID的无线网络:DrayTek,DrayTek_Guest和DrayTek_Unencrypted。它们通过VLAN设置与无线网络结合在一起。远程客户端可以使用Smart VPN Client和PPTP和IPSec协议通过VPN连接。对于SmartMonitor应用程序,启用了从LAN端口进行镜像。通常,无论Draytek路由器的型号如何,菜单结构的组织都相似,您无法找到任何功能,或者发现的功能比其他型号或固件版本更多,但是结构保持不变。左侧是由路由器子系统构成的全局菜单项块:向导,WAN和LAN接口设置,然后是防火墙,对象设置,CSM块和用户管理,然后是用户块特殊路由器应用程序(Applications)。然后,两个菜单项分别负责Draytek无线点的集中管理-中央AP管理和Draytek路由器上的集中VPN管理-中央VPN管理。接下来是VPN设置块,它的后面是用于设置无线网络的菜单(无线LAN),用于配置USB端口的单独菜单(USB应用程序),最后是服务功能菜单(系统维护)和路由器诊断菜单(诊断)。根据网络功能,所有项目的结构简单且逻辑合理,没有任何特定且令人困惑的逻辑。每个全局菜单项都包含一个或多个子项。考虑主菜单项,因为路由器的配置与上面介绍的网络图相匹配,所以当您查看新菜单项时,将很清楚如何配置某些网络功能。向导菜单
这是配置向导,可让您单击几下即可配置路由器的基本功能。它们是由几个对话框组成的链,最后一个窗口显示了所进行的所有设置以及应用程序的“完成”按钮的列表。在我看来,向导数据适用于完全懒惰的管理员,因为没有他们,在路由器上配置基本功能并不困难。快速启动向导 -用于快速配置WAN 1-3接口的连接。服务激活向导 -激活网站Web内容筛选器的智能主题筛选器。以下VPN客户端向导和VPN服务器向导我发现这很有趣,在他们的帮助下,可以轻松地在LAN到LAN和远程拨入用户模式下配置VPN,激活服务并注册用户。下面是添加和激活VPN用户的3个步骤的示例。我们选择了PPTP,然后我们需要在客户端进行配置,我们将使用Draytek Smart VPN客户端。返回“ VPN和远程访问”菜单中的VPN设置。
图 5
图 6
图 7向导无线向导用于主无线网络设置。以下是向导完成时的最后一个窗口。
图 8单击几次即可配置无线网络。在线状态菜单
下一个菜单项包含两个子项:第一个“ 物理连接” -显示LAN,WAN 1-3接口和链路电平表的物理状态,它们是相同的,但仅在Virtual WAN菜单中可以看到虚拟接口。
图 9有关系统状态的更多信息,请参见系统维护->系统状态。广域网菜单
在此菜单中,执行与将路由器连接到Internet提供商有关的所有设置。在我们的例子中,广域网1和2:
图10-1当同时使用两个或三个WAN接口时,负载平衡模式设置可用。我们使用自动称重模式,在这种模式下,路由器会自动分配负载。连接3 / 4G调制解调器时,可以使用WAN 3接口。下面是WAN 2接口的详细配置,我们使用负载平衡模式。
图10-2接口直接在Internet子菜单中配置。图10-3
进入详细页面WAN 2
,这是连接模式的设置,我们使用静态IP,DHCP客户端在第一个接口上工作。除了我们使用的方法之外,您还可以使用PPTP / L2TP或PPPoE协议以及IPv6连接到Internet。
图11子菜单多VLAN允许管理员创建特定WAN 1-2的物理接口,并创建一个桥梁,局域网(LAN)接口,最大吞吐量配置文件。
图12也就是说,基于WAN 1-2的物理接口,我们在我们指定的VLAN中创建了一个额外的虚拟WAN 5-7,并将其与所需的LAN端口1-3(第四个端口只能在NAT模式下工作)“桥接”,可选地,我们可以分配虚拟WAN接口5-7 IP地址手动或通过DHCP接收,即设为L3。例如,我们可以将IPTV流量从WAN转发到LAN。多VLAN子菜单负责预算或限制通过WAN接口的通信量。流量预算是按一定的时间间隔分配的,该间隔由管理员确定。时间间隔到期后,消耗的流量计数器将重置为零并重新启用。管理员指示如果在时间间隔到期之前花费流量预算会采取的措施,可以是:关闭界面,通过电子邮件或SMS消息发送通知。以下是接口列表和详细设置的图像,以WAN1接口为例
。12-1
图 12-2局域网菜单
该项目负责建立本地网络,并包含许多子项目。路由器支持两个独立的LAN网段,并具有自己的设置,默认情况下为192.168.1.1/24和192.168.2.1/24,您也可以添加一个路由网络。在两个网段中,均启用了DHCP,该DHCP将IP地址发布给连接的用户终端。顺便说一下,可以将DHCP服务器配置为传输任何其他DHCP选项,如果网络具有专门的服务(例如TFTP服务器),则非常方便。
图13另外,您可以在“局域网间路由”部分中启用或禁用局域网1-5之间的路由。在下一个LAN >>静态路由设置子菜单中,您可以在LAN子网1-5的IP地址后面最多添加10条到其他网络的静态路由。子菜单LAN >> VLAN Configuration(LAN >> VLAN配置)使您可以将指定的LAN P1-5端口和SSID 1-4无线网络合并到单个VLAN中,并可以选择添加优先级VLAN标签。启用VLAN标签后,带有在VID字段中指定的标签的流量将出现在相应的LAN端口上;标签将不会通过无线网络传输。在我们的示例中,有两个独立的VLAN。 VLAN0包括LAN端口P 2-5和带有SSID1的无线网络-所有这些都在LAN 1网段中。 VLAN1包括端口P1和具有SSID2和SSID3的无线网络-所有这些都在LAN 2网段中。
图14路由器可以在基于端口创建未标记VLAN或基于VID标签的VLAN的模式下运行。LAN上的下一项>>将IP绑定到MAC。允许您创建具有匹配的MAC地址和IP地址的列表,如果启用此功能,则不能更改所有分配给MAC地址的IP地址。可以将创建的工作表保存到文件中,并从先前保存的文件中恢复到路由器配置。在LAN >> LAN Port Mirror菜单中,可以启用将所有流量从指定的LAN Mirrored端口复制到接收Mirror端口的功能。此功能对于使用嗅探器调试网络或在使用该应用程序监视和分析Draytek Smart Monitor的网络活动时非常有用,有关此应用程序的信息可以在本评论的第一部分中找到。与Draytek 2912路由器不同,这里有两部分的概述:第1部分和第2部分,型号2925,为每个端口,您可以指定哪些流量镜像:只有进入的Rx,只将Tx出站,或两者兼而有之。
图15子菜单有线802.1X的启用任何5个LAN端口的802.1X认证。此外,该功能可以在两种模式下工作:本地802.1X身份验证(通过“用户配置文件”菜单配置)或通过外部RADIUS服务器。
图15-1子菜单LAN >>门户网站设置允许您定义被分配到LAN接口或WLAN的无线网络配置文件,并在他们的站点链接输入网址自动重定向用户在第一次尝试打开一个网页时,通过指定的配置文件连接后接口,例如SSID1。
图 16此功能用于广告目的或通知通过特定公司的网络连接到Internet的用户。在示例中,当您首次尝试打开任何网页时,用户将被重定向到网站 www.ucexpert.ru,在屏幕顶部将出现一条消息,要求用户单击继续按钮继续网络会话并转到所需的站点。以下是此类页面的示例。
图 17负载平衡/路由策略菜单
该菜单项包含“ 常规设置”子项-负载平衡规则和路由策略的直接配置,以及“ 诊断”子项-用于调试已配置规则的子项,您可以在其中模拟一个或多个数据包通过已配置规则表的路由并检查结果。
图18在此示例中,在IP 8.8.8.8上保留任何路由器LAN IP地址的数据包将通过WAN1,第二条规则类似,仅对于目标IP 8.8.4.4,数据包将已通过WAN2。在第三条规则中,指示了整个子网,在第四条规则中,指示了所有流量都必须通过WAN1发送,如果WAN1发生故障,则将其发送到WAN2。每个规则都具有优先级,优先级越低,则规则执行得越早。下图显示了可以设置规则的条件,其中有很多条件,如果规则不起作用,您还可以确定将数据包发送到何处。
图 19下图显示了路径诊断。
图 20NAT菜单
菜单中配置了网络地址转换(NAT)转换功能,其中包含端口重定向子菜单-从指定WAN接口的端口到LAN上IP地址和端口的端口转发,这对于FTP服务器,邮件服务器等可能是必需的。 d。子菜单DMZ主机,您可以指定局域网上的一个DMZ主机到每个WAN接口。“ 打开端口”子菜单使您可以为特殊应用(例如P2P)保持指定的端口范围开放,并将其路由到LAN上的特定IP地址。
图21端口触发是开放端口的变体。如果在激活“打开端口”规则后这些端口一直处于打开状态,则在应用“ 端口触发”规则时,仅在规则条件相同时才打开这些端口,然后这些端口将因超时而再次关闭。相应子菜单项中的功能操作由一组规则定义。硬件加速菜单
此菜单用于配置功能的硬件加速,例如数据流监视器-诊断子菜单中的一项,它显示有关来自IP地址的活动会话的信息,流量图 -以图形形式显示来自通过WAN接口的流量的信息,WAN预算 -功能预算特定时间段内的流量。此外,可以在自动模式和手动模式下启用该功能-指定具有范围端口的主机IP地址和UDP \ TCP协议,然后启用此功能。
图 21-1防火墙菜单
在此菜单中,配置了全局防火墙规则,设置了流量验证规则的设置和顺序,并指定了默认流量过滤规则。防火墙可分为3个子系统:- 用户可根据呼叫过滤器/数据过滤器规则集配置IP过滤器
- 状态封包检查过滤器(SPI)
- 拒绝服务(DoS)/分布式DoS(DDoS)攻击防护
防火墙的体系结构使用两组独立的呼叫过滤器规则和数据过滤器规则。当没有活动的Internet连接(WAN接口不活动)并且在建立连接之前,呼叫过滤器规则集适用于从本地网络发送到WAN的流量,并且在建立连接之前,流量会通过呼叫过滤器规则,如果未阻止数据包,则建立连接。当WAN接口处于活动状态时,所有数据包都会立即落入“数据过滤器”规则集中,并且所有进入WAN接口的流量也将到达此位置。
图22防火墙规则可以指定对象(通过“对象设置”菜单定义),例如IP地址或IP地址组,协议和端口范围及其组,关键字和关键字组,文件扩展名配置文件,用户(某些(在用户管理菜单中),最后在CSM(内容安全管理)菜单中,使用Web内容过滤器系统定义应用程序,例如Skype,URL甚至某些站点的主题。也就是说,我们可以处理从网络级别到应用程序级别的流量,还可以使用Web Content Filter系统智能处理Web内容主题的流量,即创建非常广泛的规则。以下是子菜单中的全局设置防火墙>>常规设置,然后是防火墙>>过滤器设置子菜单,说明防火墙规则集;防火墙>>过滤器设置>>编辑过滤器集子菜单,说明特定规则集的组成。
图23现在,我们将从名为block-social
图的表中考虑一条具体规则。 24首先,在“ 时间表”中,您可以指定规则生效的时间表,例如,从星期一到星期五,从9-30到18-00阻止社交网络。接下来,我们在“ 方向”字段中指示流量验证的方向,任何传入或传出的IP地址,服务类型都可以由“ 对象设置”菜单中的特定对象设置>>服务类型对象,或者可能是一组对象,并且是一堆协议类型+端口或端口范围。接下来,在“ 过滤器”字段中,指定标准“如果没有进一步的匹配则通过” -如果其余规则中的任何标准都不匹配,则应跳过数据包。如果用户访问社交网络(例如ok.ru),则条件将匹配并且该软件包将被阻止。此示例中的标准是URL内容过滤器中的配置文件,该配置文件包含一个对象-包含关键字的组-社交网络的地址。下面,我将介绍设置时的设置。同样,规则中还包含其他条件,也就是说,在防火墙规则中,您可以在网络级别和应用程序级别添加条件,而且可以启用Web Content Filter,该功能甚至更高-在Web主题级别内容。子菜单DoS防御。路由器实现了针对DoS攻击的检测和自动防护,并且可以手动配置流量强度阈值的度量标准(在此阈值之后将事件视为攻击)。还提供了攻击通知警报。用户管理菜单
防火墙可以两种全局模式之一运行:Rule-Based, , , , IP- . IP-.
User-Based, . . . IP , .
下面的子菜单是用户管理>>常规设置,您可以在其中使用IP地址或使用用户配置文件之间进行切换。如果关于使用IP地址的一切都一目了然:管理员将IP地址分配给用户终端,该用户终端不应更改,并为IP地址分配规则。一旦我们切换到基于用户的模式,用户必须登录,直到那一刻他将无法在网络上工作,并且当您打开浏览器并尝试访问任何站点时,他将被重定向到授权页面。要登录,必须在用户管理>>用户配置文件表中包含具有适当权限的用户配置文件。
图25在该示例中,有一个用户个人资料Ignat Kudryavtsev,打开此用户的个人资料
。 26如您所见,您可以在此处将超时设置为在发生停机的情况下自动注销,以及对同时登录数的限制,可以使用LDAP或RADIUS协议启用外部身份验证。您还可以为用户消耗的时间和流量设置配额。登陆页面是用户在成功授权后将看到的页面。您可以简单地显示一条消息,例如我们的示例:“登录成功!”,或者您可以重定向到任何网站,例如公司的网站。为此,在“着陆页”设置中,您需要编写以下形式的一行:<body stats=1><script language='javascript'> window.location='http://www.draytek.com'</script></body>
所有设置在用户手册中有详细说明。当您打开Web浏览器并尝试访问任何站点时,将在授权成功后将用户重定向到授权页面,显示消息“登录成功!”。用户将可以在网络上工作。
图 27在“ 用户组”子菜单中,您可以对用户进行分组,以便可以将相同的规则分配给用户组,例如按公司部门。子菜单用户在线状态查看用户的状态。对象设置菜单
Draytek 2925系列路由器支持基于基于对象(基于IP)的对象的基于状态数据包检查(SPI)的防火墙,例如:用户(经授权,他会收到特定的IP),IP地址或IP地址组,协议和端口及其组的范围,关键字和关键字组,文件扩展名配置文件。这些对象可用于创建可以按计划启用和禁用的防火墙规则。在“对象设置”菜单中,创建并分组了各种类型的对象。在IP Object子菜单中对象是根据主机,IP地址范围或子网创建的;您也可以对任何IP地址使用特定的MAC地址。在“ IP组”子菜单中,从IP对象创建组,然后可使用这些对象创建防火墙规则。同为IPv6的对象和IPv6集团与IP地址的IPv6。在“ 服务类型对象”和“服务类型组”子菜单中,根据协议类型,源端口和目标端口创建和分组对象。
图28在子菜单中的“ 关键字对象和关键字组”创建并分组基于关键字的对象,然后可以使用这些对象创建过滤规则,例如,为CSM子系统中的URL内容过滤器配置文件和DNS过滤器配置文件。在我们的示例中,我们阻止了社交网络vk.com twitter.com facebook.com和ok.ru,为此,我们创建了两个名称分别为social-nets和social-ok.ru的配置文件,其中包含这些关键字并将其添加到social-nets-group中gro子菜单对象设置>>关键字组。接下来,我们在CSM >> URL内容过滤器配置文件中使用该组。
图29在“ 文件扩展名”子菜单中创建扩展配置文件,可以在防火墙规则中识别和应用文件。因此,例如,您可以阻止下载具有指定扩展名的所有压缩文件或视频文件。在此示例中,禁止下载任何图像。创建的名为blk-img的配置文件将在CSM配置文件>> URL内容过滤器配置文件中使用。我们将在下面的示例中看到这一点。
图 30子菜单短信/邮件服务对象和通知对象允许您配置多达10个配置文件的通知服务的应用>>短信/邮件地址警报服务。CSM菜单
内容安全管理(CSM)是在应用程序级别工作的防火墙子系统,它允许您按关键字和内容类型来阻止URL链接,例如Java Applet,Cookie,Active X,还可以阻止各种网络应用程序,例如,IM / P2P或应用程序级别的协议(例如MySQL,SMB,SSH,UltraVPN),服务和协议的列表令人印象深刻。可以阻止DNS的关键字。在“ APP强制配置文件”子菜单中,创建了配置文件以过滤可以使用动态更改端口的网络应用程序,每个此类应用程序都有其自己的详细信息,例如Skype。
图31在上面给出的数据过滤器表的防火墙规则的设置示例中,指示了此规则。子菜单URL内容过滤简介负责过滤网页内容。这里将指示先前创建的“ 组/对象关键字”对象,并允许使用URL访问控制功能,然后将通过关键字搜索每个网站地址。在我们的示例中,我们将包含带有社交网络地址的关键字的social-nets-gro组添加到了先前创建的组中。在“ Web功能”部分中,可以使用文件扩展配置文件中指定的文件启用cookie,代理阻止和文件上传;在前面的示例中,我们创建了1-blk-img配置文件。在“ URL内容过滤器”字段的防火墙规则中分配创建的社交资料。
图32当规则在尝试打开时起作用时,例如vk.com,用户将在“ 管理消息”字段中看到一条消息,上一个图像中显示了该字段的内容示例。
图33子菜单Web内容过滤器配置文件。另一个强大的CSM工具是GlobalView Web内容过滤器系统。旨在按主题级别过滤掉不需要的内容,例如,主题为色情,犯罪,赌博等的网站。管理员创建配置文件,他在其中指示站点的主题并将其分配给防火墙规则,然后指示当规则匹配(例如阻止)时该怎么做。 Web Content Filter已获得许可,但是免费提供了用于测试的试用许可证。以下是按类别的配置文件设置:
图。 34 DNS过滤器配置文件子系统根据分配的URL内容过滤器配置文件或Web内容过滤器配置文件检查并阻止UDP端口53上的DNS查询。您还可以自定义在资源锁定时将显示给用户的消息。带宽管理菜单
子菜单带宽管理>>会话限制用于与可同时安装在局域网的IP地址的NAT会话数限制。例如,P2P(对等)应用程序通常需要许多并发会话,并且它们消耗大量网络资源。您还可以限制任何IP的默认会话数。带宽管理>>带宽限制子菜单设置主机和IP地址范围的带宽利用率限制。此外,可以按计划配置规则,您可以分别限制传入和传出流量的范围。
在带宽管理>>服务质量子菜单中已配置流量服务质量。首先,根据规则(例如源IP和目标IP,服务类型和DiffServ代码)对使用规则的流量进行分类。然后,将保留每个流量类别在指定接口的总带宽中所占的百分比。
图 35顺便说一下,默认情况下启用VoIP流量优先级。应用程序菜单
该菜单包含实用程序应用程序的设置,可帮助您微调各个功能。例如,在“计划”子菜单中,配置了计划配置文件,这些配置文件可用于路由器的功能和规则的各种设置中;计划中最多可以创建15个条目。
图36在LAN DNS菜单中,您可以指定本地网络中IP地址和域名的对应关系。在RADIUS和Active Directory / LDAP菜单中,可以选择在相应的服务器子菜单名称上启用用户授权。在IGMP子菜单中,可以为多播流量(例如IP TV)启用IGMP代理或IGMP侦听。子菜单值得特别注意高可用性,用于配置主路由器2925备份和备用路由器的硬件和软件资源的预留,以防主服务器发生故障。为此,请执行以下步骤:1)在主用和备用路由器上启用高可用性 -高可用性模式(2)在主用路由器上设置最高优先级ID级别,在备用或备用路由器上设置较低的优先级3)设置相同的冗余主路由器和备用路由器上的方法/组ID /身份验证密钥4)将管理接口安装在主路由器和备用路由器的同一子网上。5)为使用的每个子网允许一个虚拟IP地址,并在每个路由器上设置相同的虚拟IP地址。预订可以在两种模式下工作:热备-此方法适用于使用一个Internet连接:- 备用路由器上的所有WAN必须使用HA功能关闭
- 主路由器和备用路由器的WAN设置应该相同
当HA功能在路由器上开始起作用时,无线网络将在主路由器上自动启用,而在备用路由器上,它将自动关闭。所有客户端将只能连接到主路由器。另外,设置了从主路由器到备用路由器同步配置的时间段。最多可以在10个路由器之间同步配置。活动待机-此方法适用于使用多个Internet连接。- 备用路由器上的所有WAN必须启用。用户可以将流量路由到这些接口。
- 主路由器和备用路由器上的WAN接口设置不应相同
- 路由器之间的配置同步应关闭
图 36-1VPN和远程访问菜单
该路由器最多支持50个LAN-to-LAN类型的VPN *隧道,以在组织的网络之间建立安全连接,或使用SSL / PPTP / IPSec / L2P / L2TPover IPSec协议从家庭作业者的远程工作站创建VPN连接。AES / DES / 3DES加密和IKE身份验证提供了增强的安全性。使用双WAN连接不仅可以使用负载平衡方案,还可以使用冗余。因此,如果VPN通道的主通道不可用,则备用VPN通道将替换它。顺便说一下,Draytek中的VPN功能非常易于配置。只需单击几下,您就可以配置LAN到LAN的连接以及从远程工作站的访问。Dryatek拥有自己的VPN客户端以简化工作场所的连接,称为Draytek Smart VPN Client,该应用程序可在draytek.com上免费下载。*在正式交付给俄罗斯联邦的路由器中,所有不符合GOST的加密软件都已删除,因此,此固件中仅支持PPTP而没有加密。可以通过安装标准软件来解决此问题,该软件可以从draytek.com下载。
在子菜单中的远程访问控制设置包括在全球范围内的VPN协议,子菜单中的IPsec常规设置指示IKE认证预共享密钥的方法,被指定的加密方法。例如,指定键draytek.commmmm
。 37“ 远程拨入用户”子菜单指示可以通过VPN从其远程位置连接到路由器LAN的LAN的用户。
图38在“ 状态”列表中,很明显,用户ignat处于在线状态,因为它标记为绿色。在下面的示例中,ignat用户通过PPTP连接,第二个用户将使用上面预设的预共享密钥= draytek.commmmm通过IPSec隧道连接。
图39为了从客户端进行连接,我使用了Draytek Smart VPN Client,只需单击两次即可安装和配置它。以下是PPTP的示例。
图40同样,第二个VPN客户端被配置为使用我们先前在“ IPsec常规设置”子菜单中指定为draytek.commmmm的预共享密钥进行动态连接。
图42成功连接后,在“ 连接管理”子菜单中,我们将看到活动的连接。
图43LAN到LAN子菜单用于配置两个网络之间的VPN连接。 LAN-to-LAN配置文件已创建,它指示创建连接所需的所有设置:连接类型-传入,传出或双向,VPN协议-PPTP,带有IPsec策略的L2TP或IPsec隧道,具体取决于协议,特定设置,例如,登录名或密码或IKE预共享密钥,加密方法等。实际上,设置并不多,在一般情况下它们很简单。指示远端应“查看”哪个本地网络,以及通过此VPN连接将流量路由到哪个远程网络。保存连接设置后,根据设置,本地端将启动连接或等待来自远程端的传入连接。建立的连接也可以在“ 连接管理”子菜单中查看。中央VPN管理菜单
此菜单配置VPN连接的集中管理和Draytek 2925与远程路由器之间的某些服务功能。设置非常简单-仅需几个步骤。在CVM >> General Setup子菜单中,设置了授权设置,然后必须将其复制到远程客户端设备(在我们的示例中,通过SSL):https : //192.168.85.156:8443/ACSServer/services/ACSServlet,用户名= acs和密码。
图43-1接下来,在远程设备上的系统维护>> TR-069子菜单中,需要通过输入上面列出的设置来启用其管理:
并选中允许从Internet管理框在系统维护>>管理设置子菜单中。接下来,您需要重新启动远程路由器并再次登录Draytek 2925 Web界面,如果设置正确,则在Central VPN Management >> CPE Management子菜单中,您将看到刚刚添加的设备。
图43-3现在,可以从Draytek 2925 Web界面配置远程路由器(在我们的示例中为Vigor2860n +),除了配置和监视VPN隧道外,您还可以更新远程路由器上的软件版本,保存和还原配置,然后重新启动。您可以为一个设备或一组设备执行此操作。用户手册中有详细的说明,包括“操作方法”格式。在CVM >> VPN Management子菜单中,您可以配置和监视VPN隧道。为此,请单击要配置的远程路由器,然后选择VPN隧道的类型。当您单击隧道类型(例如IPSec)时,将自动创建并激活它。
图 43-4单击刷新链接时,将看到已创建的VPN连接的状态。
图 43-5在这种情况下,将自动创建LAN到LAN配置文件。如有必要,可以手动调整配置文件,唯一的限制是您不能更改VPN配置文件的名称,因为这可能会导致Central VPN Management工具的操作出错。中央AP管理菜单
此菜单用于自动检测,配置和维修Draytek接入点。中央AP管理>>仪表板子菜单显示活动的接入点。此外,Draytek 2925会自动在网络上查找访问点并将其显示在此子菜单中。图43-6
子菜单中央AP管理>> WLAN配置文件中包含的接入点设置的配置文件。
将WLAN配置文件分配给访问点,然后根据配置文件中指定的设置自动配置或重新配置访问电流。图43-7
要将配置文件应用到接入点,您需要用一个daw标记配置文件,然后单击“ 应用到设备”按钮
并选择所需的设备。以下是详细的配置文件设置,该设置分为四个步骤:在四个页面上,所有设置均按顺序设置。从示例中可以看到,有很多设置。
图
图43-8 43-9完成配置文件编辑后,在第四页上,单击“ 完成”按钮以保存在配置文件中所做的所有设置。中央AP管理>>状态子菜单显示所有访问点,其状态和详细设置的列表。
在中央AP管理>> AP维护子菜单中,对于一个访问点或组,您可以执行以下服务功能:保存和恢复配置,更新固件,重新引导,重置为出厂设置。接下来,有一组子菜单用于监视接入点:流量图 -来自接入点的总流量的图形表示,恶意AP检测 -检测“您的”和“外国”接入点,事件日志 -查看事件日志,总流量 -经过配置的流量LAN网段,站号 -活动的无线客户端总数。在中央AP管理>>负载平衡子菜单中通过指定2.4GHz和5GHz网络上的最大无线客户端数量并调整每个无线客户端的传入和传出流量,可以配置负载平衡。中央AP管理>>功能支持列表子菜单显示当前固件支持的功能列表,具体取决于接入点的型号。有关两个选项卡的信息-客户端和服务器。图 43-10
无线局域网菜单
根据型号的不同,路由器支持802.11ac,802.11n,n +无线网络,并具有两个或三个全向天线。路由器中有许多用于无线功能的设置。该设备最多支持4个具有自己设置的独立无线网络,对于每个网络,您都可以限制传出和传入流量的最大频带,还可以根据这些限制起作用的时间表进行调度。在下面说明设置时,将显示“ 常规设置”和“安全设置”子菜单。设置非常清晰。
图444个无线网络中的每一个都配置有其自己的安全设置,包括MAC地址过滤器。对于每个网络,您可以基于MAC地址和重新提交配额的超时来启用Wi-Fi使用时间配额。下面是“ 站点列表”的子菜单,其中显示了当前连接的无线终端。
图45另外,在“ 访问控制”子菜单中,您可以启用MAC地址过滤器,并创建MAC地址的白名单和黑名单。列表可以保存到计算机上的文件中,也可以根据需要从文件中下载。在高级设置子菜单中包含微调无线电信道,例如,输出信号功率,工作模式,信道宽度,片段长度等。还可以通过WPS(Wi-Fi保护设置)和WDS设置支持无线,这些设置可以在Wireless LAN菜单的相应子项目中找到。SSL VPN菜单
在Draytek 2925上,您可以使用标准的Web浏览器配置通过SSL VPN对应用程序的访问。与传统的VPN相比,此方法具有某些优势,其中不需要额外的软件,例如VPN客户端来创建安全连接,另一个优势是:与传统的SSL相比,使用SSL加密数据的限制更少。通过在VPN和“远程访问>>远程访问控制设置”子菜单中为“ 启用SSL VPN服务”选项设置一个daw,可以全局启用该服务。接下来,在“ SSL VPN >>常规设置”子菜单中指示服务在哪个WAN接口和哪个端口上可用。默认值为443。为避免与Draytek Web控件的标准端口冲突,建议您将其更改为另一个。此外,类似于上述VPN PPTP和PPTP设置,在SSL VPN >>远程拨入用户子菜单中,您需要通过为SSL隧道选项设置一个daw来配置可以使用SSL VPN的用户。现在,在SSL VPN >> SSL Web代理子菜单中,您需要指定需要通过SSL SSL打开访问权限的URL地址。在SSL VPN >> SSL Application菜单中,您可以选择应用程序以及主机和端口,例如192.168.1.50 {389上的RDP,它将通过SSL SSL转发。保存所有设置后,用户将打开Web浏览器,在WAN界面上输入IP和端口,VPN SSL服务将在其中运行,使用从管理员那里收到的名称和密码登录,然后进入具有VPN SSL服务可用页面的页面。
图 45-1在SSL VPN >>联机状态子菜单中,将显示活动连接。
图 45-2USB应用程序菜单
路由器具有一个USB端口,可以在三种不同模式下使用。首先,连接USB 3G / 4G调制解调器以保留Internet连接,如果没有其他方法可以连接到Internet,则可以将其作为主要Internet连接。其次,将USB打印机连接到路由器,该路由器将成为打印服务器,并且用户可以通过设置对网络的访问来使用它。
图46
在上图中,使用USB端口连接驱动器并使用FTP和SMB通过网络交换文件的示例。创建了具有不同主目录的两个用户。
在下图中,USB设备状态子菜单的示例, , USB- 8 , .
. 47
-, USB- FTP NetBios/SMB. Modem Support List, LAN SMB Client Support List.
3G/4G , Modem Printer USB Device Status.
. 47-1
System Maintenance
. User Administrator, TR-069 . Configuration Backup . Configuration Backup SysLog, . , .
. 48
, Draytek syslog . Draytek Syslog. .
. 49
Management . , , WAN .
. 50
Diagnostics
, — .
Routing Table , ARP Cache Table MAC- , DHCP-Table DHCP-, NAT- DNS-.
. 51
Ping Traceroute. , : VPN, Firewall, WAN .
. 52
Traffic Graph , , WAN .
. 53
Draytek 2925 2925n , . , , , , Draytek 2925n, , , , VPN-, NAS- . Drayatek 2925 – , 6 , VoIP.
, , , – . Draytek VigorACS SI, , . Draytek Smart Monitor, , . 2925 Central VPN Management VPN- Draytek 2925 . VPN- .
, Dryatek 2925 AP Central Management, - , .
High Availability, 2925 «» Draytek, , WAN .
, , . .
, , , WAN LAN, , , VPN, , NAT , USB, . SSL VPN, High Availability, VPN- Central AP Management Central VPN Management. , , , Draytek .
Draytek 2925n , , -, CLI TR-69. , VigorACS SI Smart Monitor , . «», SMB+ , «» 100\ WAN- -. , . , , , .