DFL-260E – роутер для небольшой компании.

Итак, наконец у меня дошли руки поделиться всеми мыслями о такой железке как D-Link DFL-260E. Это роутер, который заявлен как устройство для малого бизнеса. Эта модель пришла на смену 210 и 260, которые уже сняты с производства и более не поддерживаются. Цена в Красноярске под заказ (доставка от двух недель) порядка 12.000 рублей. Тест проводился из тех потребностей малого бизнеса, которые представляются мне наиболее актуальными. Попробуем разобраться что же нам предлагается за такие деньги.

Начнем, традиционно с комплектации и внешности. Коробка обычная, серая, без излишеств, которые должны привлечь покупателя. Устройство предназначено для тех, кто знает чего хочет. Внутри, кроме самого устройства, можно найти привычные кабель питания, патч-корд и мануал. Также, там есть консольный кабель и комплект для крепления в стойку. Вообще, крепление в стойку ранее было только у старших моделей начиная с 860, теперь же считается, что и малый бизнес вырос из настольного расположения оборудования и в принципе готов разориться на стойку. Корпус металлический с внутренним блоком питания. Это очень удобно, поскольку лично у меня есть грустный опыт ремонта БП от DFL-210. Само устройство исправно, значит БП ремонтируется/покупается за отдельные деньги. Опять же, стандартный разъем снимает проблему подключения, например, к ИБП и поиска соответствующего кабеля в случае его утери/повреждения.

На верхней стороне красуется логотип D-Link. Все разъемы, кроме упомянутого выше питания, вынесены на переднюю панель. Слева направо – индикаторы питания и статуса, кнопка сброса, 2 USB-разъема, 5 портов для внутренней сети, порт DMZ, порт WAN и консольный разъем. С индикаторами все просто и понятно – горят, значит все работает 🙂

Кнопка сброса предназначена для перезагрузки устройства или возврата к настройкам по умолчанию (держать 30 секунд при включении питания). С USB все как-то неоднозначно, потому что не очень понятно для каких целей их следует использовать – в описании на официальном сайте сказано “зарезервировано”. Вероятнее всего, в последующих прошивках туда можно будет подключить разного рода модемы сотовых операторов, благо подобный опыт у D-Link’а есть.

Все сетевые порты могут работать на скоростях 10/100/1000, что есть очень хорошо – гигабитной сетью на работе нынче уже никого не удивишь. По умолчанию, первые пять портов – локалка, потом DMZ c серой подсетью и порт wan с включенным DHCP. Таким образом, в принципе, роутер уже работоспособен сразу из коробки, что удобно для лентяев. Но платить такие деньги за то, что может Dir-100 как-то странно, поэтому мы будем добиваться бОльшего.

Интерфейс, в общем-то, стандартен для этой линейки роутеров. Применяется интересный метод работы, когда все настройки делаются на объект, к которому можно так или иначе привязать другие объекты. Таким образом смена IP-адреса сводится только к смене данных в соответствующем пункте адресной книги и нет необхдимости бегать по всем настройкам и вспоминать где еще упоминается эта проклятая цифра. Опять же, объекты можно безболезненно переименовывать – все везде поменяется автоматически. По умолчанию, веб-интерфейс работает по HTTPS, но можно использовать приывчный HTTP или популярный у некоторых SSH. Права доступа определяются типом подключения, интерфейсом и списком пользователей – комбинируйте назоровье.

Прежде чем описывать все настройки и возможности (их великое множество), предлагаю понять что же нужно не слишком большой компании в вопросах построения сети. Ведь хочется не только локальную сеть, но и интернет. Причем интернет бесперебойно. Если не для всех, то хотя бы для избранных. На текущий момент, хочется еще и быстро. Вполне вероятно, что есть некоторое количество людей, которые работают удаленно, то есть мобильные пользователи. Очень хочется дать им доступ в сеть компании, причем желательно без дополнительных логинов-паролей. Вполне возможно, захочется как-то отделить часть пользователей от остальных (бухов отсадить от греха подальше). Возможно, все это нужно только нам, но мне хочется верить, что потребности примерно одинаковы.

Итак, по порядку – интернет сегодня понятие весьма растяжимое, но ген.директор об этом знать не хочет, он хочет читать новости и сидеть в соц.сети. Растяжимость выражается, во-первых, в разнообразии типов подключения и, во-вторых, в его гарантированности за совершенно неприличные деньги. В нашем городе сейчас предлают как выделенку, так и ADSL. Это автоматически требует от роутера уметь Static IP, Dynamic IP, PPPoE и PPTP, иначе никуда мы не выйдем. DFL-260E все это прекрасно умеет и даже позволяет указать расписание, когда использовать коммутируемые подключения. Для тех, кому провайдер не дает никакого доменного имени на статический адрес или вовсе предлагает только динамику, можно работать с DynDNS и его родственниками – все это поддерживается и функционирует.

Бесперебойный интернет доступен, но стоит такая услуга столько, что не каждый крупный бизнес готов заплатить. Наш выбор – использование нескольких каналов от разных не слишком между собой связанных провайдеров. Кстати, это может параллельно решить проблему предоставления высокой скорости пользователям. Вообще, к этому маршрутизатору можно подключить до 10 (десяти!) разнообразных сетей. Это означает, что мы можем сделать практчески что угодно! Можно переназначить порты и сделать из LAN внешний мир, а из WAN локалку при желании. Мои планы несколько меньше, поэтому я просто переточил DMZ во второго провайдера. Я пробовал и балансировку, и режим Failover – все работает как часы. Единственное, что необходимо руками настроить маршруты и контроль их. Я использовал режим контроля среды – считать маршрут мертвым, если линка нет, и ARP-запросы до шлюза – не отвечает, значит неживой. Последний режим особенно удобен, если вы вынуждены заводить в один порт несколько каналов с использованием VLAN’ов, поскольку линк до свитча с полуметровым патч-кордом обычно не падает.

Чтобы не слишком заморачиваться с прописыванием правил доступа, есть возможность логически объединить несколько интерфейсов в один алиас, что в случае с двумя интерфейсами в моей сети снижает количество правил ровно вдвое. Если есть нужда в дорогом, но стабильном канале (я использовал Wellcom и модем с ethernet), можно теми же правилами ограничить доступ наружу только избранным в случае отказа основного канала. Правила доступа вообще позволяют достаточно гибко и точно описать что куда и кому можно, а чего нельзя. Но не следует забывать, что правил не бескоечное количество – есть смысл использовать групы везде, где только можно.

Поговорим немного про удаленных пользователей. Роутер прекрасно справляется с IPSec-туннелями, если верить людям (у меня не было возможности протестировать). Также есть встроенный PPTP и L2TP сервер, то есть можно совершенно свободно снабдить сотрудников чем угодно, что умеет VPN и устроить им доступ в локалку. Это у меня получилось без особых проблем. Прелесть в том, что можно использовать встроенную базу пользователей, а можно испрашивать дозволения у кого-нибудь. Лично я подключался к радиусу, поднятому на контроллере домена, что позволило уменьшить количество данных, вводимых пользователем вручную. В Windows же можно настроить VPN так, чтобы использовались данные входа в систему. Опять же, шифрование… Можно не особо волноваться о перехвате данных злым админом провайдера.

Ну и хватит, наверное. На самом деле эта модель поддерживает еще такие вещи, как QOS, шейпинг траффика, несколько таблиц маршрутизации, GRE, вещание Multicast (если провайдер, показывает телевизор – можно смотреть; я смотрел :)), можно подписаться на встроенный антивирус и IDP/IPS (в России купить подписку оказалось проблемой), есть поддержка ALG и многого другого. Но оно вам в вашей микросети надо? Мне – нет, поэтому даже не заморачивался.

Огромное спасибо нашему местному представительству D-Link, которое дало потестировать это добро. Особое спасибо одному из моих провайдеров, который показывает Multicast-телевидение (чтоб им икалось без перерыва за мерзкую поддержку).