Draytek Vigor 2920 Dual WAN Security VPN Router
De Draytek Vigor 2920 beschikt over 2 WAN poorten, waarvan 1 Gigabit WAN, 4 Gigabit LAN poorten en 3,5G UMTS/HSDPA ondersteuning op de USB poort. De USB poort kan ook worden gebruikt om een harde schijf of printer op aan te sluiten.
 Dual WAN (1x Gigabit WAN)
Gigabit LAN
Load-balancing met Fail-over
Uitgebreide firewall
3,5G UMTS/HSDPA
32 VPN IPSec simultaan
19” rackmountable (met rackmount kit, zie bundels)
|
Dual WAN
|
Door gebruik te maken van twee WAN poorten op de router worden de netwerkprestaties, de schaalbaarheid en de betrouwbaarheid van de internetverbinding verbeterd.
|
|
|
Load-balancing
Als er gebruik gemaakt wordt van beide WAN poorten kan load-balancing worden toegepast. Voor elke datastroom kan gedefinieerd worden over welke WAN poort het verkeer naar buiten gaat.
Onderstaand enkele voorbeelden van toe te passen load-balancing regels.
• Regulier internetverkeer en uitgaande e-mail afkomstig van de mailserver dient te verlopen over WAN poort 1.
• VoIP verkeer dient te verlopen over WAN poort 2.
Er kunnen 20 load-balancing regels aangemaakt worden.
Met de functie “auto weight” bepaalt de router zelf wanneer deze overgaat naar de andere WAN interface. Ook is het mogelijk om zelf in te stellen, dat als een bepaalde bandbreedte verbruikt wordt, de 2e WAN interface automatisch ingeschakeld wordt. Zo is het mogelijk om bijvoorbeeld regulier internetverkeer en uitgaande email afkomstig van de mailserver te laten verlopen over WAN poort 1. VoIP verkeer dient dan te verlopen over WAN poort 2.
Ook kan QoS toegepast worden op beide WAN poorten.
|
|
|
|
|
Fail-over
Op beide WAN poorten kan “fail-over/backup” worden toegepast. Als één van de twee WAN poorten uitvalt, neemt de andere WAN poort de taken over. Op deze manier is er dus altijd een werkende internetverbinding. Als de weggevallen verbinding hersteld is, wordt automatisch overgeschakeld naar de herstelde verbinding. De gebruikers merken nagenoeg niets van deze overschakeling.
|
Gigabit WAN
|
|
|
De Gigabit WAN poort kan worden aangesloten op VDSL2 modems, glasvezelmodems en EuroDOCSIS 3.0 kabelmodems. Voor de Gigabit WAN poort heeft DrayTek diverse WAN protocollen geïmplementeerd. DHCP client, een statisch IP adres, PPPoE, PPTP en L2TP.
De Vigor 2920 kan door de implementatie van de Gigabit WAN poort en 4 Gigabit LAN poorten een doorvoer behalen van 130Mbps.
|
|
Gigabit LAN
|
|
|
De Vigor 2920 beschikt over een 4 poort Gigabit LAN switch die port-based VLAN en Layer-2 (802.1p) QoS ondersteunen.
Deze Gigabit poorten kunnen worden aangesloten op Gigabit servers, werkstations of switches.
De Vigor 2920 kan door de implementatie van de Gigabit WAN poort en 4 Gigabit LAN poorten een doorvoer behalen van 130Mbps.
|
|
|
|
|
Bind IP to MAC
Met de functie 'Bind IP to MAC' wordt een IP adres gekoppeld aan het MAC adres van een netwerkapparaat.
Het is lastig om firewall regels toe te passen op IP adressen die continu veranderen. Wanneer de PC automatisch een IP adres krijgt toegewezen van de router dan is dit een willekeurig adres. Doordat het IP adres verandert, is het dus niet mogelijk firewall regels of port forwarding toe te passen. De functie Bind IP to MAC zorgt ervoor dat de PC altijd hetzelfde IP adres krijgt toegewezen. Dit gebeurt op basis van het MAC adres van de netwerkaart in de PC. Doordat de PC altijd hetzelfde IP adres krijgt, worden automatisch alle firewall regels correct toegepast. Er kunnen 300 IP adressen gekoppeld worden.
De functie “strict bind” voegt extra beveiliging toe aan het netwerk. Als deze functie ingeschakeld wordt, dan krijgen alleen de MAC adressen die zijn gedefinieerd in de Bind IP to MAC lijst toegang tot het internet.
|
|
|
|
|
Wake on LAN
Wake on LAN is een functie om de PC op afstand aan te zetten. De meeste netwerkkaarten ondersteunen dit. Bij Wake on LAN stuurt de router een “Magic Packet” naar het MAC adres van de PC terwijl deze uitstaat. De netwerkkaart herkent het signaal en zal de computer opstarten. Deze functie kan gebruikt worden als bijvoorbeeld thuis via een beveiligde VPN tunnel de PC op het werk aangezet moet worden. Vervolgens kan de PC gebruikt worden.
|
|
|
|
VLAN
|
|
Met de VLAN functionaliteit kunt u van alle vier de ethernet aansluitingen een apart netwerk maken. Dit kan betekenen dat niemand op een ander netwerk kan of alleen op een vooraf geselecteerd netwerk. Zo kan het zijn dat twee bedrijven van dezelfde breedbandverbinding gebruik maken, maar niet bij elkaar op het netwerk kunnen.
|
|
|
|
|
|
|
|
3,5G UMTS / HSDPA
Op de USB poort van de router kan een 3,5G UMTS/HSDPA USB modem van mobiele providers worden aangesloten. Door een aantal instellingen te configureren in de webuser interface van de router, is de USB aansluiting te gebruiken als WAN poort en geschikt voor het UMTS/HSDPA netwerk.
|
|
|
|
|
USB storage **
|
|
|
|
Een USB opslagmedium, zoals een USB stick of een NAS met USB aansluiting, kan worden aangesloten op de USB poort van de router en kan dan als een FTP server gebruikt worden. Gebruikers hebben toegang via WAN en/of LAN.
|
|
|
Zodra het USB opslagmedium aangesloten is op de USB poort, is de status zichtbaar in de webuser interface van de router. In FTP user management kunnen vervolgens accounts met wachtwoord worden aangemaakt. Zo hebben gebruikers met een account toegang tot het USB opslagmedium. Er kunnen 16 gebruikers worden aangemaakt, waarvan er 6 gelijktijdig gebruik kunnen maken van het opslagmedium. Op de PC kan FTP client software worden geïnstalleerd. Het IP adres van de router en de gebruikersnaam en wachtwoord worden ingegeven. Vervolgens kan de gebruiker bij de gegevens op het USB opslagmedium.
|
|
|
Bandwidth management
|
De DrayTek Vigor 2920 is uitgerust met bandwidth management. Hiermee kan er optimaal gebruik gemaakt worden van de internet verbinding. De bandwidth management functie in de DrayTek Vigor 2920 bestaat uit 3 onderdelen:
|
|
|
|
1) Session limit
|
|
|
Met de session limit functie kan het maximaal aantal sessies per IP adres of groep van IP adressen worden aangegeven. Hiermee wordt voorkomen dat één gebruiker alle beschikbare bandbreedte verbruikt.
|
|
|
2) Bandwidth limit
|
|
|
Met behulp van bandwidth limit kan worden aangegeven hoeveel bandbreedte bepaalde IP adressen mogen gebruiken. Er kan een standaard waarde worden ingesteld. Ook kan een groep van IP adressen gedefinieerd worden. Bandwidth limit is toe te passen op zowel up- als download verkeer.
|
|
|
3) Quality of Service
|
|
|
De QoS-functie zorgt ervoor dat datastromen, zowel inkomend als uitgaand, met een bepaalde prioriteit worden behandeld. Er kan bijvoorbeeld per poort of per IP adres de bandbreedte worden aangeven. Quality of Service (QoS) zorgt eveneens voor gegarandeerde VoIP kwaliteit. De toepassing van QoS garandeert dat overige datastromen, zoals HTTP en FTP, geen invloed hebben op de kwaliteit van het telefoongesprek.
|
|
|
|
|
|
Online statistics
Met behulp van de online statistics kan de bandbreedte per service weergegeven worden. Hier is in één oogopslag te zien hoeveel bandbreedte door een bepaalde service gebruikt wordt.
|
|
|
|
Traffic graph
Traffic graph geeft in een grafiek een overzicht van de totaal gebruikte bandbreedte die de laatste 24 tot 48 uur verbruikt is.
|
|
|
Data flow monitor
Geeft aan hoeveel bandbreedte er momenteel verbruikt wordt. In dit menu is het tevens mogelijk gebruikers te blokkeren voor een periode van 5 minuten.
|
|
VPN
|
|
|
|
De DrayTek producten beschikken over een geïntegreerde VPN server. Dit model ondersteunt tot 32 IPSec LAN-to-LAN VPN tunnels. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server in het netwerk vereist is. VPN biedt een beveiligde verbinding over het internet naar uw eigen netwerk.
Er zijn verschillende vormen van VPN. DrayTek ondersteunt L2TP, IPSec, PPTP en SSL. Van deze protocollen is PPTP de snelste, doch de minst beveiligde vorm van VPN. IPSec biedt een betere beveiliging door een encryptie die continu veranderd. L2TP is, in combinatie met IPSec, de meest veilige vorm van VPN. Helaas is dit ook de reden dat het protocol moeilijk in gebruik is. Momenteel is IPSec de meest gebruikte vorm van VPN.
|
|
Beveiliging van de VPN tunnel gebeurt door de verschillende encryptie protocollen. DrayTek ondersteunt DES, 3DES, AES en MPPE. Van deze protocollen is MPPE de meest eenvoudige vorm van encryptie. Deze wordt toegepast bij een PPTP verbinding. DES biedt aanzienlijk meer veiligheid ten opzichte van MPPE. Dit door het verbeterde algoritme dat wordt gebruikt. 3DES is, zoals de naam wellicht doet vermoeden, een 3-voudige DES encryptie. Dit verbetert de beveiliging aanzienlijk. De laatst ontwikkelde encryptie standaard is AES. Dit is de meest veilige vorm van encryptie. Helaas ondersteunen vooral de oudere producten deze standaard niet.
Met de DrayTek routers is het mogelijk twee netwerken transparant te koppelen. Dit kan door gebruik te maken van de LAN-to-LAN VPN. Met deze VPN tunnel wordt de verbinding opgezet tussen 2 routers. Om vanaf een PC verbinding te kunnen maken met het netwerk, kan gebruik gemaakt worden van een Telewerker profiel. DrayTek stelt een gratis programma beschikbaar om ook een veilige telewerker verbinding op te kunnen zetten.
|
Firewall
|
|
Voor betere beveiliging van het netwerk kan gebruik gemaakt worden van de ingebouwde firewall.
|
|
|
|
Wat doet de firewall?
De firewall kan policy-based toestaan of blokkeren van in- en uitgaand verkeer. Aan de hand van regels kan communicatie van en naar een netwerk verboden of juist toegestaan worden. De router is in staat om firewall toe te passen op basis van IP adres, poort nummer en protocol. Alle firewall regels kunnen ook voor inkomende VPN verbindingen worden toegepast.
Stateful Packet Inspection (SPI)
Doordat de firewall is voorzien van Stateful Packet Inspection (SPI) worden alle pakketten gecontroleerd op “connection state”. Als een pakket volgens de firewall regels wordt doorgelaten, dan wordt het ook gecontroleerd op actieve connecties. Zijn er geen actieve connecties, dan zal de router de pakketten alsnog blokkeren.
|
|
|
|
|
DoS / DDoS defense
De DrayTek router is in staat uw netwerk te beschermen tegen DoS aanvallen vanaf het internet. Met een paar simpele handelingen wordt het netwerk beschermd tegen een groot aantal bekende aanvallen zoals port scans, ping of death en onbekende protocollen.
|
|
|
|
Object-based firewall
|
|
Met een object-based firewall is het mogelijk in de firewall groepen aan te maken. Deze groepen kunnen vervolgens gebruikt worden om firewall regels te definiëren. Een groep kan bestaan uit een IP adres of een groep van IP adressen.
Er hoeft dan niet bij elke regel het IP adres of de groep van IP adressen te worden ingevoerd. Ook kan er gebruik worden gemaakt van de vooraf ingestelde regels voor Instant Messaging (IM), Voice over IP protocollen en Peer 2 Peer download programma's (P2P). Het is mogelijk zelf servicetypen te definiëren zoals HTTP of FTP. Zo is de firewall snel en efficiënt in te stellen.
|
|
De groepen kunnen bijvoorbeeld als volgt ingedeeld worden:
Er zijn 5 afdelingen in een bedrijf; verkoop, inkoop, directie, administratie en systeembeheer. De administratie heeft toegang tot het internet, maar mag geen P2P programma's of IM clients zoals MSN gebruiken. De verkoop- en inkoopafdeling heeft ook toegang tot het internet en mag wel gebruik maken van IM clients om met hun klanten te communiceren. De directie en de systeembeheerder hebben onbeperkt toegang tot het internet.
|
|
Instant Messaging blocking
|
|
Met Instant Messaging blocking kunt u eenvoudig Instant Messaging programma's zoals MSN Messenger en Yahoo Messenger blokkeren. Door een vinkje te zetten voor een service is eenvoudig de toegang tot deze service te blokkeren. Door middel van Time Schedule is het ook mogelijk deze toepassingen op bepaalde tijden wel toe te staan.
|
|
|
P2P blocking
|
|
Naast Instant Messaging blocking is ook P2P (Peer-to-Peer) blocking een nieuwe toepassing in de firewall. Door P2P blocking in te schakelen kunnen eenvoudig de meest gebruikte P2P programma's geblokkeerd of juist toegelaten worden. Ook is het mogelijk om bij gebruik van enkele P2P programma's het uploaden tegen te gaan. Voor het blokkeren van de verschillende P2P programma's hoeft enkel 'Disallow' aangevinkt te worden achter de applicatie.
|
|
|
DoS defense
|
|
Door DOS defense te activeren wordt het netwerk beschermd tegen bijvoorbeeld UDP of SYN flood. Eveneens kunnen trace route, fraggle attack of ping of death worden geblokkeerd.
|
|
|
Content Security Management (CSM)
|
|
|
|
Met CSM (Content Security Management) kan misbruik van de internettoegang tegen worden gegaan. In deze router is het mogelijk websites met een bepaalde inhoud te blokkeren door middel van Instant Messaging/Peer 2 Peer blocking, URL content filtering en web content filtering.
|
|
|
|
|
Web Content Filter
|
|
|
|
Met de functie Web Content Filter in deze router is het mogelijk websites met een bepaalde inhoud te blokkeren. Indien het netwerk gebruik dient te maken van deze dienst, kan dat in de web user interface aangegeven worden. U kunt aangeven welke soort onderwerpen u wilt blokkeren door deze aan te vinken. Websites die betrekking op deze onderwerpen hebben, worden dan geblokkeerd.
Door middel van keywords kunnen websites geblokkeerd worden. Tevens kan de router zo ingesteld worden dat deze alleen een vooraf ingestelde website of alle websites, met uitzondering van ingestelde websites, kan laten zien. Ook JAVA / Active X applet downloads, Cookies, HTML of specifieke bestandstypen (ZIP, EXE, etc.) kunnen worden geblokkeerd.
|
|
|
|
|
|
|
|
Het is eveneens mogelijk om een Time Schedule te gebruiken, dit is met name handig om bepaalde websites op bepaalde tijdstippen te blokkeren.
|
|
|
|
|
|
|
|
Instant Messaging/Peer 2 Peer blocking
|
|
|
|
Om verder misbruik van de internetverbinding tegen te gaan of gebruikers te beschermen tegen ongewenste inhoud, kunnen ook peer-to-peer applicaties alsmede instant messaging geblokkeerd worden.
|
|
|
|
|
|
|
|
|
|
|
URL content filtering
|
|
|
|
URL content filtering geeft de mogelijkheid om een white- en blacklist op te stellen met URL's (Uniform Resource Locator) die wel of niet bezocht mogen worden. Een URL is bijvoorbeeld http://www.hotmail.com
In de blacklist kunnen woorden worden vermeld die niet in de URL mogen voorkomen zoals bijvoorbeeld het woord 'mail'.
Bij Enable Restrict Web Features kunnen bepaalde bestanden zoals ActiveX of Multimediafiles worden geblokkeerd. Aan deze URL content filtering kan vervolgens een tijdschema worden gekoppeld wanneer wel en wanneer geen toegang tot de URL's mag plaatsvinden.
|
|
|
|
|
|
QoS
|
|
|
|
De QoS-functie zorgt ervoor dat datastromen, zowel inkomend als uitgaand, met een door u bepaalde prioriteit worden behandeld. U kunt bijvoorbeeld per poort of per IP-adres de bandbreedte aangeven.
|
|
|
Windows Syslog Tool
|
|
|
|
De DrayTek Vigor 2920 is voorzien van een syslog tool. Hiermee kunt u de routerstatus en activiteit loggen. Deze tool kan op één of meerder pc's gedraaid worden. In de log file kunt u informatie krijgen over de activiteit van iedere individuele PC/gebruiker. Ook kan het effect van firewall regels en de werking van de router bekeken worden. Syslog programma's voor andere besturingssystemen zijn beschikbaar bij derde partijen. De DrayTek Vigor 2920 ondersteunt SNMP (MIB-II) hiermee kan een SNMP cliënt de router zowel lokaal als op afstand monitoren.
|
|
Specificaties
Draadloos
Nee
Draadloze beveiliging
n.v.t.
Afneembare antenne
n.v.t.
Type ant. aansluiting
n.v.t.
Switch
4-Poorts 10/100/1000Mbps
Firewall
Ja, Stateful Packet Inspection
VoIP
VoIP Passthrough
VPN
32x PPTP, IPSec, L2TP, L2TP over IPSec
VPN Encryptie
n.v.t.
Printserver
Ja, USB
Quality of Service
Ja
Virtual LAN
Ja
Plug & Play
Ja, UPnP
Standaarden
n.v.t.
Bijzonderheden
2x WAN
USB voor Printer of HDD
Ja, voor Printer, HDD of 3G
IPv6 Ondersteuning
Nee
Reviews
Willy65
29-11-2012
Is een rpima product werkt al 2 jaar zonder problemen als je weet hoe je een roll moet maken is zeer goed beschreven dan is het instellen kinder spel, ik zou niets anders meer willen dan een Draytek.
Tim
21-04-2012
We maken al jaren gebruik van draytek routers binnen ons bedrijf. Verschillende vpn verbindingen naar thuiswerkers en dependances. Al het voip verkeer gaat hierover naar de telefoon centrale en dit alles zonder problemen.
Als je er wat tijd in stopt, is de router prima in te stellen, en wijst alles voor zich.
Voor mij niks anders meer!
Wallie
08-08-2011
prima apparaat voor de serieuze thuisgebruiker. firewall en nat zijn nogal irritant in te stellen en niet overzichtelijk om maar niet te spreken over VPN tunnels over IPSec. naamgeving protocollen en beveiligingsparameters is anders dan bij andere professionele routers.Ook WAN loadbalancing werkt niet altijd even vlekkeloos met verlies van productie tot gevolg
Marco
01-03-2011
Heb deze router nu 3 maanden werkend in ons bedrijf zonder dat ik hem 1x heb moeten resetten..
VPN werkt zeer stabiel en de router heeft perfecte instel mogelijkheden.
De Content Filter werkt ook erg goed en heel simpel in te stellen.
Met één woord geweldig!
