Настройка коммутатора D-Link DSR-250N

Описание:
Унифицированные маршрутизаторы D-Link серии DSR представляют собой высокопроизводительные решения, обеспечивающие защиту сети и предназначенные для удовлетворения растущих потребностей малого и среднего бизнеса. Поддержка стандарта IEEE 802.11n, реализованная в маршрутизаторах DSR-150N, DSR-250N, DSR-500N, DSR-1000N, позволяет достичь той же производительности, что и в проводных сетях, но с меньшим количеством ограничений. Оптимальная защита сети достигается за счет организации туннелей VPN (Virtual Private Network), поддержки протоколов IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP), Layer 2 Tunneling Protocol (L2TP), Generic Routing Encapsulation (GRE)1. Благодаря VPN-туннелям торговые представители и сотрудники территориальных подразделений получают удаленный доступ к корпоративной сети из любой точки и в любое время без инсталляции клиентской программы.

Возможности комплексного управления
Маршрутизаторы DSR-500/500N и DSR-1000/1000N оснащены двумя WAN-портами Gigabit Ethernet и поддерживают управление на основе политик, что обеспечивает максимальную производительность при выполнении бизнес-операций. Функция автоматического переключения после отказа (failover) обеспечивает надежную передачу данных, в том числе и при отказе одного из соединений. Применение функции балансировки нагрузки позволяет распределить исходящий трафик между двумя WAN-интерфейсами и оптимизировать производительность системы, обеспечивая, таким образом, бесперебойную работу сети. Второй WAN-порт может быть настроен как DMZ-порт, что позволяет изолировать серверы от сети LAN.

Высокая производительность беспроводной сети
DSR-150N, DSR-250N, DSR-500N и DSR-1000N поддерживают стандарты 802.11a5/b/g/n и работу в диапазоне частот 2,4 ГГц или 5 ГГц5. Благодаря поддержке технологии Multiple In Multiple Out (MIMO) маршрутизаторы DSR-150N, DSR-250N, DSR-500N и DSR-1000N обеспечивают высокую скорость передачи данных и расширенную зону покрытия беспроводной сети, позволяя сократить количество «мертвых зон».

Универсальная установка
Маршрутизаторы DSR поддерживают возможность организации доступа к Интернет по сети 3G с помощью USB-модема4. Поддержка сети 3G обеспечивает возможность дополнительного подключения для защищенной передачи критически важных данных или стабильной работы служб резервирования. Для маршрутизаторов DSR-1000/1000N 3G USB-модем может быть настроен в качестве третьего WAN-соединения с поддержкой функций автоматического переключения после отказа и балансировки нагрузки в случае потери основного WAN-соединения.
На маршрутизаторах DSR-500/500N1 второй WAN-порт может быть выделенным WAN2 или использоваться для 3G модема, с поддержкой функций автоматического переключения после отказа и балансировки нагрузки в случае потери основного WAN-соединения. Для маршрутизаторов DSR-150/150N/250/250N1 3G USB-модем может быть настроен в качестве первого WAN-соединения или резервного соединения в случае потери основного соединения.

Надежные функции VPN
Виртуальная частная сеть (VPN) предоставляет мобильным пользователям и филиалам защищенный канал связи для подключения к корпоративной сети. DSR-150/150N, DSR-250/250N, DSR-500/500N и DSR-1000/1000N поддерживает 5, 10, 15 или 20 туннелей Generic Routing Encapsulation (GRE)1, обеспечивая мобильным пользователям удаленный доступ к центральной корпоративной базе данных. При создании Site-to-site VPN-туннелей используются протоколы IP Security (IPSec), Point-to-Point Tunneling Protocol (PPTP) или Layer 2 Tunneling Protocol (L2TP), применение которых упрощает процесс подключения удаленных пользователей и филиалов через зашифрованные виртуальные каналы. DSR-150/150N поддерживает до 10 одновременных VPN-туннелей IPSec и до 10 VPN-туннелей PPTP/L2TP. DSR-250/250N, DSR-500/500N и DSR-1000/1000N поддерживает до 25, 35 и 70 одновременных VPN-туннелей IPSec соответственно, а также 25 дополнительных VPN-туннелей PPTP/L2TP.

Технология Green
Поддержка технологий D-Link Green Wi-Fi и D-Link Green Ethernet позволяет оптимизировать энергопотребление и сократить расходы на электроэнергию. Использование планировщика D-Link Green WLAN обеспечивает дополнительную защиту и позволяет сократить потребление электроэнергии за счет отключения беспроводной сети по установленному пользователем расписанию в часы наименьшей нагрузки. Технология D-Link Green Ethernet позволяет определять статус соединения и автоматически переводить устройство в режим сохранения электроэнергии. Помимо этого, маршрутизаторы DSR соответствуют требованиям директив RoHS (Restriction of Hazardous Substances) и WEEE (Waste Electrical and Electronic Equipment), целью которых является защита окружающей среды.

Характеристики:
Версия аппаратного обеспечения
A1

Интерфейс Ethernet
• 1 WAN-порт 10/100/1000 Мбит/с
• 8 LAN-портов 10/100/1000 Мбит/с

Интерфейс Wireless
802.11b/g/n (однополосный) 2 внешних всенаправленных съемных антенны с коэффициентом усиления 2dBi

Порт USB
1 порт USB 2.0

Консольный порт
RJ-45

Выходная мощность передатчика
• IEEE 802.11b
18dBm при 1,2,5.5,11 Мбит/с
• IEEE 802.11g
17dBm при 6~18 Мбит/с
16dBm при 24~36 Мбит/с
15dBm при 48~54 Мбит/с
• IEEE 802.11n
17dBm (±2dB) при MCS0-MCS4 и MCS8-MCS12
13dBm (±2dB) при MCS5 и MCS13
12dBm (±2dB) при MCS6 и MCS14
6dBm (±2dB) при MCS7 и MCS15

Производительность
• Пропускная способность межсетевого экрана7: 45 Мбит/с
• Пропускная способность VPN9: 35 Мбит/с
• Количество одновременных сессий: 20 000
• Количество новых сессий (в секунду): 200
• Политики межсетевого экрана: 200

Типы Интернет-соединения
• Статический/Динамический IP-адрес
• PPPoE/ L2TP/ PPTP
• Multiple PPPoE

Межсетевой экран
• Статический маршрут
• Dynamic DNS
• Маршрутизация между VLAN
• NAT, PAT
• Фильтрация web-содержимого: cтатический URL-адрес, ключевые слова
• Система предотвращения вторжений (IPS): пакет сигнатур, входящий в комплект ПО

Сеть
• Сервер/Клиент DHCP
• DHCP Relay
• IEEE802.1q VLAN
• VLAN (на основе порта)
• IP Multicast: IGMP Proxy
• IPv611

Wireless
• Несколько идентификаторов беспроводной сети (SSID)
• Service Set Identifier (SSID) to VLAN Mapping
• Стандарты: 802.11b/g/n
• Защита беспроводной сети:
- Wired Equivalent Privacy (WEP)
- Wi-Fi Protect Setup (WPS)
- Wi-Fi Protected Access – Personal (WPA-PSK)
- Wi-Fi Protected Access – Enterprise (WPA-EAP)
- Wi-Fi Protected Access версия 2 – Personal (WPA-PSK)
- Wi-Fi Protected Access версия 2 – Enterprise (WPA-EAP)
• До 4 вирутальных сетей (SSID) одновременно
• До 16 клиентов в каждой виртуальной сети
• Максимальное количество беспроводных клиентов - 64

Виртуальная частная сеть (VPN)
• VPN-туннели: 65
• IPSec-туннели: 25
• Клиенты PPTP/L2TP: 25
• GRE1: 10
• IPSec NAT Traversal
• Обнаружение недействующих узлов
• IP Encapsulating Security
• Payload (ESP)
• IP Authentication Header (AH)
• VPN Tunnel Keep Alive
• Hub and Spoke

Управление полосой пропускания
• Управление максимальной полосой пропускания
• Управление приоритетной полосой пропускания:
- QoS на основе порта
- 3 Classes

Управление системой
• Web-интерфейс пользователя: HTTP, HTTPS
• Командная строка
• SNMP v1, v2c, v3

Физические параметры
Источник питания
Внешний источник питания 12 В постоянного тока/1,5 А

Макс. потребляемая мощность
11,8 Вт/ 12,6 Вт

Размеры
140 x 203 x 35 мм

Рабочая температура
От 0 до 40 °C

Температура хранения
От -20 до 70 °C

Рабочая влажность
От 5% до 95% без образования

Настройка D-Link DSR-250N

1. Зайдите на роутер по адресу 192.168.10.1 с логином / паролем admin / admin и обновите прошивку. В данной статье все скриншоты соответствуют версии прошивки 1.05B20_WW.

2. Зайдите в раздел Setup - Internet Settings – WAN Settings – WAN Setup, установите параметры вашего интернет подключения и нажмите Save Settings.

3. Зайдите в раздел Setup - Network Settings - LAN Setup Configuration и настройте распределение IP адресов в вашей сети. Для самого роутера я назначил IP адрес 192.168.0.1, а пул адресов DHCP (которые будут выдаваться как компьютерам, так и телефонам) 192.168.0.100 – 192.168.0.254. Если в вашей сети нет другого DNS сервера, например, контроллера домена, оставьте галочку Enable DNS Proxy.

4. В разделе Advanced – Firewall Settings – Custom Services опишем сервисы, которые необходимы для 3CX Phone System. В дальнейшем они используются в правилах сетевого экрана и правилах приоретизации трафика.

Создадим описание сервиса SIP (сигнализация). Порт сервиса 5060, протокол UDP.

Создадим описание сервиса RTP (голосовой поток). Порты сервиса 9000 – 9049 (в вашем случае номер конечного порта может отличаться и зависит от предполагаемого количества одновременных внешних разговоров). Протокол UDP.

Аналогично создаются описания сервиса 3CX Tunnel - 5090 TCP

и 3CX Fax T.38 – 10000 - 10049 UDP.

В конечном счете страница описания сервисов будет иметь такой вид.

5. После того, как описания сервисов созданы, можно перейти к описанию правил сетевого экрана в разделе Advanced – Firewall Settings – Firewall Rules.

Первое правило “пробросит” порт SIP 5060 на сервер 3CX Phone System с адреса источника 62.64.127.43. Этот адрес является IP адресом нашего SIP оператора. Таким образом, я разрешаю входящий SIP трафик только для своего SIP оператора и запрещаю для всех остальных адресов. Это значит, что я защищаю 3CX Phone System от телефонных хакеров, пытающихся подключиться к системе и совершать звонки за мой счет.

Второе правило пробросит порты RTP таким же образом.

Третье правило пробросит порты для факса по протоколу T.38. Надо отметить, что далеко не все SIP операторы поддерживают этот протокол.

Четвертое правило пробросит подключения по туннелю 3CX. Поскольку подключаться пользователи могут из любых мест, поле Source Hosts должно иметь значение Any.

В конечном счете таблица правил сетевого экрана будет иметь такой вид.

6. В разделе Advanced – Firewall Settings – ALG’s проверьте настройки для SIP. Как правило, галочка должна быть снята (это состояние по умолчанию). Если у вас возникают проблемы с регистрацией на SIP операторах, с регистрацией удаленных абонентов, с односторонним прохождением голоса и т.п. – попробуйте эту галочку включить.

7. Теперь задействуем одну из интересных функций роутера D-link DSR – приоритезацию VoIP трафика через WAN порт. Практически это означает, что когда через WAN порт роутера будет проходить VoIP трафик от сервера 3CX Phone System, этому трафику будет присвоен наивысший приоритет, и другой интернет трафик не повлияет на качество передаваемого голоса. В разделе Advanced – Advanced Network – Traffic Management – Bandwith Profiles включим функцию приоретизации трафика.

и создадим профиль 3CX-VoIP, присваивающий трафику наивысший приоритет.

8. Далее в разделе Advanced – Advanced Network – Traffic Management – Traffic Selectors добавим описания всех видов трафика, которые нужно “ускорить”. Приоретизироваться будет трафик, поступающий с IP адреса сервера 3CX Phone System – 192.168.0.2. Для уменьшения объема статьи я приведу только описание для сервиса 3CX-SIP. Для остальных сервисов 3CX (созданных в п.4) процедура выполняется аналогично.