[開箱]居易Vigor 2925與NAT效能測試 [7/30更新]

[7/30] 更新SSL VPN部份功能測試

前言
我相信很多網路技術愛好者或計進階的電腦玩家，包括我自己，最早接觸居易的產品都是從著名的超值分享器，Vigor 2104/2104p，在距今十年前的2003那個年代，光是要找一個能在Bitottrent摧殘下穩定運作的分享器產品都是一個挑戰，有許多的玩家前輩在受夠某些在各大賣場都容易買到的大廠牌的家用產品的氣後，都轉向Amazon，ebay之類的全球購買平台去取得Linksys，（已整併至Cisco） Netscreen(現已被Junipter收購)，等等，而Vigor 2104的出現，效能的表現，當時號稱BT操不死的穩定性，而含網路印表機分享功能版本的Vigor 2104P，更是對許多LTP介面的點陣式印表機能夠不需額外添購印表機伺服器帶來福音，最重要的是，2104/2104p的價位更是非常平實，也使的這個機種在多年後的今天居然還能在部份通路買的到，而居易也因此一砲而紅，奠定了在台灣與歐洲中小企業中的IT人員眼中C/P值的首選。

相較Vigor 3系列，29系列大多被定位在中型企業，而在Vigor 2950與Vigor 2910出現後開始有了定位在在中小企業與企業分支辦公室的功能性區別，而區別方式大多是以支援的WAN數量，VPN tunnel的concurrent連線數或居易免費提供的Smart Monitor的監控數量來做為產品區隔，而一般我也以這樣的方式建置中小企業的環境，大體來說在總部100人以下，分支辦公室在30人以下的跨區域或跨國組織，都可以使用Vigor 2950與Vigor 2920搭配出非常穩定的企業路由環境，而經過適當的QoS與session limited設定，人數在2~3倍以上使用者的企業運作起來也不會有問題，因此Vigor2920也漸漸成了在無力負擔分支辦公室採用常見但昂貴的Cisco 1800/2800 router的首選，這次有幸參與開箱文活動測試的是居易定位在中小企業/SOHO的產品Vigor 2920的後繼產品Vigor 2925。

首先可以看到的是產品的包裝上仍是Draytek一貫的紅白配色，並搭上條列式的產品特點說明，而不會像其它台灣網通廠商一樣將重點放在行銷名詞(雲路由…)或介面華麗度來做為訴求



打開後就看到期待已久的Vigor 2925正靜靜的躺在裡面


接下來就是正面還貼著QC過關貼紙的本尊現身囉


不能免俗的要來疊疊樂一下，但可惜Vigor 2925的老大哥Vigro 2920剛好被借走不在，由上而下分別是Vigor 2925，Vigor 2910VG，以及Vigor 2900G



拖掉外衣的Vigor 2925…


最後就是露背圖，可以看到最完整接頭的還是中間的一代銘機Vigor 2910VG



還有一個額外的附件，就是下圖的探針式的USB溫度計，據原廠表示目前此溫度計仍為選購，希望未來能夠是標準配備甚至內建在機身內囉




最後一張就是全部內容物大合照，還是維持居易一貫的樸實專業風格



而這次的Vigor 2925，除了硬體上的進步外，在功能上也有不少的追加與調整
●雙Gigabit WAN埠 支援負載平衡及備援功能
●50*VPN channel / 25*SSL VPN
●2*USB 2.0埠 支援USB儲存裝置/4G(LTE)/3.5G網卡支援/印表機
●物件式管理防火牆
●免費Smart Monitor無聲側錄軟件
●IPv6/ v4同步支援


從上述的介紹也可以看到Vigor 2925相比Vigor 2920的硬體上的進步，既然是要介紹Vigor 2925，自然也要拉一下它成功的前輩2920來比一下，而這次手上的對照組的2920是含Wireless與VOIP版的2920VN，所以請忽略下述在右側的2920內的無線網路與VOIP部份與左側2925的差異，首先在登入畫面可以看到多了一個Group的下拉式選單，這個選單則是2925針對SSL VPN的部份，將各別的本機帳號/RADIUS/AD or LDAP各別帳號，可以以群組方式較為快速設定允許使用的SSL Web Proxy或SSL Application的方式，而這兩個的使用差異，則會在後面做較多的敘述與介紹。

首先映入眼簾的就是Vigor 2925新的登入畫面



登入後可以看見2925有了相當程度的翻新，首先可見在主畫面中增加了類似Cisco及Dell愛用的機身狀態的Dashboard，能讓IT人員很快的由GUI上了解目前2925運作的狀態及網路孔上運作的Ethernet速度，不過很可惜的，並不能像它牌一樣，直接按下圖示即可進入各別的Port或interface的設定，希望能在後續的軔體版本加上這樣的功能，



而畫面由上往下分別是2925的系統資訊，包含型號設備、運作時間，自訂義的設備名，及韌體版本號及時間等等，再往下就是看到WAN與LAN的Status，以及Physical Interfaces 與VPN的撥出撥入狀態，而中間右邊也增加了Quick Access的首頁捷徑，可以進入一些放在左邊傳統選單中的子選項功能，以便快速進行防火牆規則調整或排程工作等等常見的變更，但這邊的Quick Access選項似乎無法進行替換或變更順序，因此像是LDAP或TR-069中央控管等功能應該使用頻率跟其他主要功能仍有落差，建議原廠在這部份也可在未來韌體新增自行調整個功能。

附帶一提的，所有頁面皆在右上角新增了固定的四個icon包括由左起為GUI Map，可以做為整體的介面功能索引使用。



已經Web化的Web console (CLI)和Configuration Backup和logout，比起2920的Logout在左下角會跟著展開的選單長度而變動位置，在2925固定在右上的方式顯，這讓查找主要功能和備份設定的順手度提高了不少



而在左側的功能選單部份，與2920的差異不大，只要是使用過2920的人應該可以很輕易的上手，但各位可以發現在NAT的下一項新增了Hardware Acceleration，這個其實就是在Vigor 2110上也有的PPA也是從 Infinion 的 Protocol Processing Engine (PPE)設計而來。在網路流量(進及出)上，它可支援128條連線數，透過三種不同模式自動模式(Auto Mode)、手動模式(Manual)以及關閉模式(Disable) 來進行。據居易原廠表示此功能是硬體式的TCP/UDP加速功能，使的WAN的流量都可以做硬體加速，啟動後可以選擇auto讓2925自行進行硬體加速，或者可以針對指定的條件(protocol，heavy traffic，特定的PC)作硬體加速，增加設定的彈性，但要注意的是，若啟動PPA後，頻寬管理會無法作用。


LAN 設定介紹，含多網段設定及頻寬管理等應用
在2925的LAN的功能部相較於2920，增加了LAN5及Routing的細部調整，並新增了DMZ的Subnet，也就是除了原本就有的DMZ host外，更可以把整個網段都規畫成DMZ，來讓部份大量依賴虛擬化的環境能更快速的設DMZ，但需要注意的若啟用DMZ Subnet的話，是將LAN1的Port視為DMZ subnet並覆蓋既有的Lan1設定


而另外2925也新增一個非常好用的功能—Policy Route策略式路由，這個過往在國外大廠牌的中階以上機種才有的功能這次也實做在2925上，可由下圖得知除可支援基本的TCP/UDP/ICMP協定外，更能指定Interface是WAN，LAN，甚至是VPN Tunnel，也因此可以在實作出類似部份大專院校的VPN是為了認證一些微軟的KMS的服務機制的效果，或快速的指定只有某一個VPN user，甚至拿來規劃”翻牆服務”都可以變的非常有彈性，但可惜的是VPN User的帳號不像Vigor 2950/2955可先創建後再由下拉式選單指定由外部Radius認證即可，因此若有外部VPN User需指定特別限制型路由的話，建議還是使用Vigor 2925本身的local account較為單純，而且在3.7.2版下測試的策略式路由並沒有正確的運作，推測應該還是需要進一步軔體修正






而頻寬管理的部份Vigor 2925與Vigor 2920是完全一樣的，皆含Session的控制，IP使用單位的上傳與下載頻寬，以及好用的QoS機制，這邊分享一個實務上經驗是不管Vigor 2920或2925的頻寬，建議設為低於實際頻寬乘以0.8，例如60M/15M的對外頻寬的話，建議設為45M/10M為QoS的上限，因QoS的分配是在多組設備使用對外頻寬且達繁忙上限時才會發生作用，再加上距離或連各種外部因素，因此將QoS條件設為略低於實際狀況才能感受到其作用，並且在Auto best utilization 這邊給予實際上的對外最大值，則依然可確保設備本身閒置流量時提供最大對外速率。



VPN應用與防火牆管理
[7/30]更新
在先前提到過Vigor 2925的SSL VPN部份，經過版友提醒與原廠協助, 確認支援網頁瀏覽器使用帳號登入後由Portal後，再選擇SSL Tunnel的確可以如同現有的SSL VPN 設備一樣，使用網頁方式第一次安裝Active-X或JRE，就可以使用瀏覽器連線SSL VPN甚至設為Default GW，並且一樣是在瀏覽器關閉後連線自動結束





這邊稍微提醒一下有AD或權限控管環境的IT人員，記得登入SSL Portal後首次安裝時要有可以在瀏覽器安裝Plug-in權限的帳號下才能正常安裝SSL agent，而經過測試除了Web portal沒問題外，使用Draytek的Smar VPN client選取SSL VPN與OpenVPN 通道也都是沒問題的，這樣對於一些出差的人員在容易被網路管制的區域，例如大陸廣州或部份飯店/酒店，臨時PPTP/L2TP撥不出去時，SSL VPN與Open VPN通道會相對容易成功而不被阻擋，是非常有用的功能





另外傳統的PPTP/L2TP/IPSec皆提供完整功能與整合外部RADIUS/LDAP帳號認證外，另外兩項Web Proxy與SSL Application的方式則是舊款機種就有提供的兩種服務，就是要事先指定給予特定的網址或VNC/RDP/Samba的對應IP與Port的中介服務




至此Vigor 2925在VPN相關功能而言，C/P值可說是相當高，只是其他非IE流派的JRE相容性這邊可能需要一點時間修正軔體穩定性，所以也希望Draytek原廠也能早讓重新下放完整的SSL VPN 相關功能給更強的Vigor 2960，才不會辜負2960那麼強大的效能。

而Vigor 2925除了繼承2920開始即有的RADIUS外，更直接支援Active Directory/LDAP的認證方式，以提供更多的大量使用者管理解決方案，在此仍以RADIUS方式使用Windows Server 2012 Standard做為遠端認證為例，首先需要將兩端點Vigor設備先使用IPSec連接在一起



待VPN Tunnel建起來，雙邊都可Ping的到設備的IP後




就需要先將Windows Server的NPS網路原則服務啟動後，新增Vigor 2925的資訊到RADIUS用戶端如下圖，並在NPS內的原則>網路原則新增一筆關於Vigor 2925的Policy：







最後在原則NDS的網路原則中勾選IPv4的範圍與Authenticate Only



待大功告成後，別忘了要在Active Directory中將使用者勾選允許撥入，這樣就可在VPN Status中看見當前連線進來的外部帳號狀態顯示為Radius如下圖：



防火牆的部份，Vigor 2925則維持與2920幾乎一樣的配置，也就傳統的DrayOS的Data filter的操作，也就是先編輯好數個物件套用成一個群組後，再進行阻擋或放行的配置，再搭配User Management的功能，能夠使的一些民宿或咖啡廳店家能夠很簡單的做到類似一些飯店酒店那種，輸入房號與密碼後才允許放行的上網認證模式，並且成功登入後會，還會自動跳轉到指定的網站(通常是所在地的官網)，這樣的一種半自助的服務模式，並且能做到設備自動計算來店客/房客的使用配額與時間上限，這邊可以說Vigor 2925依然繼承了2920的優良傳統，不過這邊有個建議是希望居易原廠能在，使用者管理與套用到防火牆規則這邊簡化GUI流程或新增一個導引精靈，幫助上述的這些小型業者能夠較快速的自行完成相關的設定，附帶一提在Vigor 2925原廠手冊是有User Management已支援外部RADIUS/LDAP認證的截圖，但不知為何在我手上這版的3.7.2 RC3並沒有該選項可以使用，推測會在後續軔體修正此問題


進階的防火牆管理與其它應用

而雖然有些人表示居易的防火牆雖然跟其他台灣友廠相比，其GUI較不親切，但實際上在熟悉其嚴謹的邏輯與感受其穩定性後，反而會更加愛不適手與推薦它人使用居易的產品，而這次的CSM (Content Security Management)內的IM/P2P/Protocol的管理功能並沒有太多的變化，依然是很簡單的將不想放行的服務勾選之後，再搭配前述的Data filter這邊來對各別人員或整個部門進行控管的套用，



雖然CSM的部份沒有什麼更新，但新增了一個APPE Support list的功能並在其中列出CSM所能阻檔的服務是否有額外限制，例如Skype只能控制登入等等….而在這邊也建議居易能持續更新這清單並與時精進，例如MSN已成過往的現在應該是加強對Line，Facebook這類較新的IM的管理功能，希望能在未來軔體納入管理



其它附加應用功能方式，廣為人知的居易的Smart Monitor除了免費外，也一直有持續在更新，從最早只支援Windows XP開始，到目前已廣泛支援XP/Win7/Win7x64/Linux等等主流作業系統，而Vigor 2925更能支援到50台的監控，另外值得一提的是，這次的Vigor 2925也和前一陣子的Vigor 2960一樣，支援USB溫度計顯示的功能，雖然目前溫度計還是選購(隨身碟型與探針型)，但這功能對於許多中小企業的分點的小型機櫃或電信機櫃是不可多得的好功能，過往想要監控溫溼度變化，除了導入昂貴的自動環控系統外，就是退而其次使用UPS的SNMP或Server內建的主動管理功能，而價格實惠的Vigor 2925提供此功能後，對於無人值守或沒有資訊相關人員就近處理的倉庫，廠房，或是客戶端，都能很快的透過Web GUI的方式了解目前Vigor 2925的機身溫度k線圖，而做為簡單的初步環境判斷的參考指標



Vigor 2925除了繼承2920好用的USB disk做為簡單的內/外網檔案分享，不過很可惜檔案分享依然只能使用本機帳號，而不能像主流NAS一樣去使用外部RADIUS/LDAP的帳號進行讀寫權限的管理，另外在3.5g的modern dongle部份也提供了支援列表供使用者參考，以及提供了一個親切的自訂歡迎頁面功能，雖然可填寫的範圍與字數受限系統因素無法提供太大版面，但這親切的小功能對於多層樓的佈署環境或多人輪班維護的中大型企業其實非常的好用，小小的提醒能避免很多誤差設定到別台設備的情況發生


另外可以看到在應用部份還新增了一個Land DNS的功能，此功能主要使用在當內部DNS request解析時，可以將指定的domain name由Public IP 轉換對應到Private IP，這樣對某些環境除了可以簡少流量向外繞一圈的問題外，也可簡化一些情況下的佈署難度，是相當好用的功能



實際環境應用與NAT效能測試

而在這陣子的測試中，Vigor 2925確實提供了另人滿意的系統穩定度，雖然有部份功能應該仍需軔體修正，但整體效能與運作的穩定性和功能豐富性仍令人印象深刻，而基於Vigor 2920的2925最令人注目的升級點，還是全GbE的WAN與LAN，因此這邊使IPERF來做NAT效能的模擬測試，以確定Vigor 2925能勝任未來數年的頻寬快速增長的幅度，測試的兩個端點都是使用以下配備

Intel Xeon E3-1245 V2
Kinston Hyper-X 8G Ram
H77 Pro4/MVP
Realtek RTL8111E
Plextor M5S-256G SSD
Win7 SP1 Enterprise 無安裝額外系統/主機版軟體
Avaya CAT6廠壓線


先測試Lan內對傳的效能做為對照組參考，可看到Lan的速度已達到近900m，在不開啟Jumbo frame下此效能算不錯



另外Lan>WAN的部份模擬參數如下
iperf.exe -c “server IP” -w 256K -t 120 -i 10 –P 10
而在全預設的狀況下，Vigor 2925的WAN效能只落在約300Mbps上下



但是在開啟Vigor 2925的Hardware acceleration的PPA功能後，速度就一舉衝上750Mbps左右，而在WAN2的部份測試結果也落在765左右的誤差範圍內






而在實務環境上，Vigor 2925在下圖的環境中，也就是大約50個使用者
，每人皆配發一台NB與IP Phone，伺服器為一台但運作4個Guest，並且不定時還有15~20使用手持式裝置(手機/平板)運作的非常穩定。



小結

一直以來Vigor產品主要的特色就是以合理的售價提供自行開發韌體與硬體搭配的各種網路解決方案，不管是Router的Dray OS，或是一直佛心免費的自行撰寫的VPN client/Smart Monitor/SIP softphone/等等.. 以及不斷的更新韌體服務，或是加入新功能與改進穩定度和解決問題，甚至是技術客服部份，個人也是給予很高的評價，而這樣的苦幹精神即使是在Vigor 2960之後跨入Linux base的router OS之後，居易仍然持續回頭更新自有的OS產品，我有時在工作上會與歐洲或美國的一些工程師一起合作，其中一些歐洲與英國的工程師對於中小企業在採購小型防火牆時，原來他們也像我一樣會推薦居易的產品給他們的中小客戶，原因也跟上述一樣，產品穩定並持續改進，這樣的精神真的值得大家鼓勵與支持優良的國產品，或許有一天你也會跟我當初一樣一試成主顧呢!