這次借測 DrayTek 居易推出 Vigor3912s 高效能路由器,屬於一種高階防火牆,對於大小型企業公司或者SOHO族工作室的網路環境也能適用,除了支援 2.5G/10G 高速網路之外,最重要是專為 Vigor3912s 加入 Suricata IDS/IPS 先進網路防禦系統功能設計,而且免費訂閱制,能即時更新更加以防護。
硬體規格
- CPU:Quad-Core 4core CPU 2GHz
- RAM:8GB DDR4
- SSD:M.2 SSD 256G (台灣限定 Vigor3912s 才有內置 SSD)
- WAN/LAN Switchable Port:
2x 10G/2.5G/1G SFP+ Fiber Slot
2x 2.5G/1G/100M/10M Ethernet, RJ-45
4x 1G/100M/10M Ethernet, RJ-45 - Fixed LAN Port:4x 1G/100M/10M Ethernet, RJ-45
- USB Port:2x USB 3.0 for storage
- Console Port:1x RJ-45
- Power Input:AC 100~240V
- 功率:35W
- 機身尺寸:443mm x 285mm x 45mm
- 機身重量:3.35kg
簡易開箱
收到借測產品是 DrayTek Vigor3912s,環保呼應,採簡樸紙箱盒。
外盒可看型號,比較容易辨別是 Vigor3912s 還是 Vigor3912 型號,差在有沒有內置 M.2 SSD 規格,而且是台灣製造,對資安品質把關到位。
盒裝內容物包括 DrayTek Vigor3912s 本機、電源線、RJ-45網路線、Console Flat 線、Console 轉接器、機架安裝套件以及說明書。
DrayTek Vigor3912s 機身上,內建 2 個 SFP+ 規格的 10GbE 埠、2 個 RJ-45 接頭 2.5GbE 埠、以及 8 個 RJ-45 接頭 GbE 埠(總共12埠)。
值得一提的是,內建 2 個 SFP+ 規格的 10GbE 埠,支援 Multi-Giga 變速 10G/2.5G/1G 規格。
背後電源開關設計,不必重插來做重啓,很方便;有注意到是有多出「only use with 250v fuse」字樣,專給電壓在 250v 以下都能用,它能夠承受的最大電流來進行運作,對於路由器來說真的很少見有這個功能。
兩側整面網孔透氣,來幫助散熱。
這一定要大字推廣 DrayTek 品牌,運用行銷來滿足顧客內在需求,能讓真正忠誠品牌的顧客。
安裝方式
一開始先插在 P4 孔,後台 IP 位址為 192.168.1.1,預設帳號密碼為 admin / admin 來登入。
登入完後,看到整個儀表面板狀態,包括系統資訊、資源、IPv4 狀態都有。
設定精靈
左側選單點選設定精靈進入,為資安需要,記得更改登入自訂密碼,建議強度比較好。
再來一開始設定 WAN 介面,要先連線上網,我設定 WAN P3 孔,顯示名稱自訂都可以,例如 HiNet-ISP 即可,傳送資料模式不更改設定,它會自動偵測,因為它有支援 Multi-Giga 變速 10G/2.5G/1G 規格。
連線方式,以下參照對應即可:
- 非固定制、網外 Off-net:PPPoE
- 固定制、網內 On-net:靜態 IP
- Cable、社區網路:DHCP
然後輸入連線設定完成了。
埠號設定
參照紅圈處是預設對應 WAN,但是它 P1~ P8 埠可以自由設定互換 WAN / LAN,來設定多家 ISP 可以唷~ 記得是 P9~P12 埠孔固定 LAN 是無法設定 WAN 埠,這要注意。
廣域網路 WAN
可以設定多家 ISP 對應不同的頻寬,也會看到延遲、抖動、封包遺失即時狀態。
如果多家 ISP 要改連線模式,可以在連線設定更改模式。
區域網路 LAN
它會掃瞄出來有那些設備,做 ARP IP 綁定設定,不會被搶 IP 佔用使用。
客製化入口網站
跟訪客 WIFI 登入一樣原理,可自訂介面畫面、標題做客製化。
額度管理,針對訪客設定頻寬限制、連線數限制,還能限制連線時間,很方便。
Fast Routing / NAT
跟加速 NAT 有點像,Vigor3912 除了 CPU 之外,有多一顆 Fast NAT 晶片,專透過 Fast Routing / NAT 最大限度地提高效能,此功能優化了資料包的處理和轉發,從而加快傳輸速度並最大限度地減少網路延遲。
在什麼情況下,才使用 Fast Routing / NAT 功能呢?
- 路由器的 CPU 使用率超過 90% 資源。
- 路由器大量 NAT sessions 處理。
但,開啓功能之後,會有可能致 Firewall / Web Portal / Session Limit / NAT Port Redirection 失效問題,須依照您喜好設定需要。
防火牆攻擊防禦
高吞吐量是 Vigor3912 的最大亮點,導入多核心處理器架構與軟體最佳化,處理 DoS 攻擊封包處理效率提高。
數位內容安全管理 CSM
應用程式管控設定檔,看那些應用程式要阻檔,把它加入到設定檔清單內。
網頁內容過濾,依照您需求要封鎖那些,不過放心沒有 RPZ 規則(誤)
Suricata IDS/IPS 防禦
Vigor3912s 首度引進 Suricata IDS/IPS 防禦,而且是免費訂閱,威脅檢測的網路弱點建立關聯,及早提出警示,還可調度政策,使其能夠達到與維持網路安全的狀態。
Suricata 組態設定完成後,再去其它應用 → 聰明動作,新增設定檔如下:
- 註解:IDS
- 事件分類:系統
- 事件類型:Log Keyword Match
- Keyword:*
- Keyword Type:TEXT
- Count:1
- Timespan:0
- Facility:Suricata
- Level:INFO(6)
- 動作分類:系統
- 動作類型:Web Notification 並且選擇 WAN IP
以上設定檔建立完成如下圖
然後去 Linux Applications → General Setup 設定開通
- Setup Linux IP and Gatewey:192.168.1.2 / 192.168.1 → VLAN0
- Setup Linux Service:Enable Linux SSH service
回到 Suricata 那邊,會看到 running 更新啓用成功了。
過一段時間,在 Log collector 就會看到 Log 記錄了,代表阻擋成功。
網路實測
本來要外部實測,但考量到外部網路環境變數多,產生數據可能不準確,所以改由內部 10GbE 對 10GbE 實測比較準確,從 LibreSpeed 跟 Iperf3 進一步下探實測出來,連線穩定性及吞吐量來看,如此一來就能大幅提高吞吐量並降低延遲,是非常優秀。
總結
總結來說,這幾天借測 DrayTek 居易 Vigor3912s 高效能路由器,主要是資安定位上提供烕脅檢測保護,對於企業和 IT 人員來說,最重要是它當中的功能已經相當齊全,並且即時接收警報和事件日誌,能夠更安全的網絡使用環境。
Vigor代理經銷商資訊
- 公司名稱:裕笠科技股份有限公司
- 統一編號:28109353
- 地址:台中市南區樹義一巷13之19號
- 電話:04-2260-5121
- 網址:https://www.ublink.org/
- Meta粉專:https://www.facebook.com/ublinknetwork
- LINE官方帳號:https://page.line.me/xat.0000132120.jmw?openQrModal=true