Я удостоверился, что D-link DFL-260E — отличный аппарат, который всего за 12000 рублей готов предоставить очень впечатляющий функционал сетевой инфраструктуры. Причем его производительность удивляет: раздача интернета с шейпингом (весьма широко настраиваемыми ограничениями скорости по сервисам) до 200 Мбит\с! Как настраивать данный аппарат и на что он реально способен, а также его отличительные достоинства будем обсуждать в этой статье. Кроме того, сравним девайс с другими решениями? но наперед скажу, что D-link мне понравился.

Что такое D-link DFL-260E

DFL-260E является членом серии межсетевых роутеров/фаерволов от D-Link. Только не спешите закрывать эту страничку, услышав название «глючно-виснующего» бренда. Эта популярная серия межсетевых экранов имеет имя NetDefend UTM и прогремела положительными отзывами в интернете с момента появления этой линейки продуктов. Я расскажу все бонусы серии на примере младшей модели, являющейся законченным решением для управления, мониторинга и обслуживания корпоративной сети. Я настаиваю, что такое решение способно удовлетворить большинство потребностей именно корпоративных сетей размером от 20 до 200 компьютеров. Как таковая модель является младшей в линейке NetDefend, однако железка способна на многое.

Обзор серии межсетевыйх экранов NetDefend от D-Link

Очень кратенько о NetDefend, с точки зрения позиционирования на рынке, и решаемых задач с помощью данной серии продуктов.

Назначение

  • Корпоративные сети. Почему не домашние? Да потому что самые младшие модели имеют высокую производительность, которая дома (где от силы 6-7 девайсов, из них 2 компа, 1 NAS, телик, пара телефонов на wifi…) ну вообще ни к чему. Почему для корпоративных сетей? Да потому что вполне переваривает офисы в 100-200 компьютеров, а это могут быть как центральные офисы небольших компаний, так и филиальные офисы более масштабных компаний.
  • Точка выхода в интернет. Это роутер для раздачи интернета, фаервол (причем его возможности весьма гибкие) трафика, динамическая маршрутизация для сложного роутинга по критериям-признакам  трафика, отказоустойчивость интернет-каналов (в штатном режиме работаем, маршрутизируя трафик на оба канала, при аварии одного из них переключаемся на другой), шейпер трафика (настраивается легко и просто: это несомненное достоинство). За отдельную подписку — сканирование трафика антивирусом (эта функция очень требовательна к ресурсам фаервола, и на младших моделях сильно замедляет его работу). Ну и конечно, приятные няшки вроде DHCP-серверов и DHCP-релеев, vlan-ов, IGMP-Rulers и т.п.
  • VPN-сервер и клиент (ipsec, pptp, l2tp) c LDAP-возможностями. Отдельный пункт. Роутер идеально вписывается для использования в филиале, откуда надо ip-sec-нуть канальчик до центрального офиса мегабит так 20-40.
  • Старшие модели линейки NetDefand стоят как Циски но имеют производительность многим выше Цисок того же ценового диапазона. Умеют работать в отказоустойчивой инфраструктуре и по сути, очень грубо говоря, аналоги Cisco ASA 5500 серии. Старшие модели в этой статье мы рассматривать не будем.

Ценник

Чем хороша линейка NetDefend — так это приемлемыми ценами:

  1. D-link DFL-260E стоит 12000 рублей и умеет:
    • производительность межсетевого экрана: 150 Мбит/с;
    • Производительность VPN: 45 Мбит/с;
    • Производительность IPS: 60 Мбит/с;
    • Производительность  антивируса: 35 Мбит/с.
  2. D-Link DFL-860E стоит 18000 рублей, является копией DFL-260E с железом помощнее и умеет:
    • производительность межсетевого экрана: 200 Мбит/с;
    • Производительность VPN: 60 Мбит/с;
    • Производительность IPS: 80 Мбит/с;
    • Производительность  антивируса: 50 Мбит/с.
  3. D-Link DFL-1660 (от 90000 рублей), серия DFL-2500 ( за 150000 рублей) — профессиональные девайсы совершенно другого уровня и более серьезного назначения. Даже не будем их обсуждать, ограничимся словами «мощные, дорогие, умеют много, и судя по отзывам, работают исправно без сюрпризов».

Да, кстати, данные производительности взяты с сайта D-Link, и цифры вещают настроящее быстродействие, в чем я полностью убедился (у меня пара простых правил на фаерволе и шейпинг показали итоговую производительность даже выше на треть от задекларированной в документации)

На что можно расчитывать от DFL-260E

Как и более мощная модель DFL-860E — это небольшая коробочка, которая решает кучу сетевых вопросов. Отличаются обе друг от друга производительностью, но не возможностями. Да, у DFL-260E есть более строгие ограничения по поличеству vlan-ов (до 8-ми штук), количество сессий (до 25000 штук, до 2500 новых сессий в секунду), поменьше портов LAN (пять против восьми), но нравится мне этот девайс больше: низкая цена, большие возможности. Что еще можно прикупить аналогичного за 12 тысяч рублей?

Итак, девайс готов раздавать интернет для 100 компьютеров (канал в 100 мегабит\с) плюс держать пару-тройку ipsec-туннелей по 10-20 Мбит. Нужно больше интернета? Пожалуйста, второй шнурок от провайдера в порт роутера — и у вас два канала в интернет: настраиваете роутинг между каналами как хотите. Хотите — через один пойдет ipsec-трафик, через другой — http. Или, к примеру к подсетке 123.45.67.0/24 трафик будет лезть через одного провайдера, а весь остальной — через другой.

Не надо ipsec, но нужно быстрый интернет? Да пожалуйста: без нагрузки на ipsec-тунели DFL-260E готов порадовать каналом в 200 мегабит\с.

Нужно ограничить скорость каналов для пользователей и\или отдельных сервисов? Чавкает ip-телефония? Вот вам шейпер: пара строк, пара правил, циферки подобрать под требования к скорости — и готово!

Я не говорю про всем понятные мелочи типа DHCP-серверов, DMZ-зоны и публикации серверов и портов в интернет. Это все, естественно, есть.

Достоинства и недостатки DFL-260E

Начнем с достоинств — тех качеств, которые выделяют эту железку среди прочих:

  1. Цена. За такую цену не видел ничего рядом стоящего с Длинком. Вообще ничего не видел дешевле с той же производительностью!
  2. Юзерфрендли — вебморда для администрирования. Админится все через веб-страничку, это удобно. Привыкать к интерфейсу все же придется, нет ничего «интуитивно-понятного», и админ должен разбираться в теории сетей, чтобы осилить девайс. Ни разу не домашний роутер.
  3. Отличнейший шейпер скорости: легко настраивается, отлично работает
  4. Удобная настройка роутера относительно нескольких сетей: lan, dmz, vlan. Это продумано. Роутинг между сетями и нат между ними гибко настраивается на одной страничке «ip-rules». Ваще жара!
  5. vpn настроить просто и понятно. Плюсуем пол-балла.

Недостатки: те недоработки и «особенности», которые могут подкинуть палки в колеса:

  1. vlan… Реализация вланов неполноценна в том смысле, что приходится выбирать одно:
    • или у тебя vlan выходит из настраиваемых LAN-портов роутера как нетегируемый трафик, но тогда ты не можешь остальные LAN-порты настроить для vlan-tagged пакетов,
    • или у тебя все LAN-порты роутера принимают все заведенные vlan-ы на всех портах LAN, причем все vlan будут тегируемыми.
    • конечно, vlan-ы на WAN-порту никак не касаются LAN. Можно задать несколько vlan-ов провайдера и натить-шейпить-роутить все их как-будто отдельные WAN-порты. Кстати, про роутинг vlan-ов
  2. роутинг vlan-ов проходит через фаервол DFL-260E. А это значит, что роутинг ограничен производительностью фаервола на 150-200 мегабитах в секунду. Если необходимо соединить два влана (читать два сегмента сети) и сделать между ними простой роутинг, длинк с этим справится плохо, каждый vlan он будет фаерволить точно также, как и трафик между LAN и WAN.
  3. греется… На DFL-260E вообще нет вентиляторов, и железяки нагреваются до 50 градусов. Тепленькие. Как-то несерьезно на самом деле… Нужно класть в холодную серверную.
  4. Нет такой банальной вещи, как STP или Loopback-защиты. У девайса встроенный свич на 5 LAN-портов. И как-бы должно же быть! Девайс стабильно и сразу напрочь зависает, когда делаешь петлю.

Настройка D-link DFL-260E

Приступим к настройке. Перед этим определим задачи, которые мы будем решать с помощью данного девайса. Сразу хочу отметить, что инструментов об организации отказоустойчивости на уровне шлюза-межсетевого экрана у DFL-260E попросту нет. Поэтому это единственный девайс для раздачи интернета в офисе, и он не будет кластеризован. Т.е. один девайс для выхода в интернет для всего офиса, это единственная точка отказа. Это дешево и д-линк прямо делался для такой инфраструктуры! Нет, ну конечно же, в целях отказоустойчивости мы можем взять второй аналогичный девайс, потом взять пару линукс-машин и настроить на них роутинг с high availability,.. но это же уже совсем другие требования, масштабы, бюджеты… и DFL-260E в таком случае совсем не игрок.

Требования к сети небольшой компании (до 200 компьютеров), которые DFL-260E решает в одиночку в представленных мной настройках:

  1. Раздать интернет посредством nat офису в 200 машин, где имеется три отдельных vlan: один нетегируемый, остальные с тегами.
  2. Подключение к интернету одним каналом от одного провайдера на скорости 50 Мбит\с.
  3. Настроить вспомогательные сервисы, а именно: dhcp-сервер для внутренней сети и в каждом vlan-е. Для тегируемого влана должен быть настроен DHCP-relay на управляемом Layer-2 свиче, если же vlan заводить отдельными «шнурками» на отдельные LAN-порты Длинка, это не требуется. Я в своей конфигурации рассматриваю первый вариант с тегированным vlan-ом, и не касаюсь темы настройки DHCP-relay (но там все чертовски просто).
  4. Настроить базово фаервол, который будет ограничивать внутренних пользователей некоторыми интернет-ресурсами.
  5. Настроить ограничение скоростей для всех интернет-пользователей во всех сетях (LAN, vlan) таким образом, чтобы пресечь попытки торрент-сетей загрузить весь канал в офисе. Кроме того, приоритезировать необходимый трафик, выделить ему скорость побольше, и приоритет повыше. Это касается как входящего трафика, так и исходящего (DFL легко справляется с этой задачей).

Конфигурирование D-Link DFL-260E

  1. Новый девайс из коробки имеет ip-адрес 192.168.10.1 в LAN. По-умолчанию, веб-морда администрирования доступна по httpS (secured http), и следовательно, узел администрирования https://192.168.10.1 логин admin пароль admin
    1. Если девайс уже имеет конфигурацию, и ее надо обнулить (обнуляется, кстати, и прошивка: откатывается до заводской версии, предустановленной при производстве), не читайте документацию — там неправильно указана последовательность действий для сброса всех настроек. Делайте следующее: выключаете шнур питания от роутера, зажимаете кнопку Reset на морде свича какой-нибудь скрепкой, и, не отпуская ее, включаете шнур питания обратно. Держите кнопку Reset 30 секунд (за это время на морде успеет загореться лампа «галочка»), потом отпускаете, и ждете пока роутер перегрузится. ПОтом открываете https://192.168.10.1, логин admin пароль admin
  2. Заходим и видим слева разделы. Возможно, вы увидите мастер первоначальной  настройки, который спросит базовые настройки. Рекомендую им воспользоваться, он достойно сделан (настроит ip-адреса и dhcp-сервер для LAN);

Итак, веб-морда открыта, готовы к администрированию.

Заметка номер раз: если Вы меняете конфигурацию vlan, а именно выделение или удаление LAN-портов для отдельного vlan (отправка нетегируемых пакетов с определенного LAN-порта в рамках vlan-сети), необходимо сохранить и активировать настройки, дождаться завершения, и роутер надо полностью обесточить-включить.

Продолжение следует…