Review Draytek Vigor3912 Loadbalance/VPN Router สำหรับงานสำนักงาน

Review Draytek Vigor3912 Loadbalance/VPN Router สำหรับงานสำนักงาน

ในปัจจุบันราคาค่าบริการ Internet ลดลงมาค่อนข้างมาก เพื่อความเสถียรในการใช้งาน Internet ทางร้านมักจะแนะนำลูกค้าให้เลือกใช้งาน Internet ร่วมกันหลายๆค่าย เผื่อกรณีที่ Internet ค่ายใดค่ายนึงล่มหรือมีปัญหา ก็จะยังเหลือค่ายอื่นๆให้ใช้งาน นอกจากว่ารถไปชนเสาไฟฟ้าทำให้ Fiber ขาด ^^

Internet ที่ใช้ในสำนักงาน ส่วนใหญ่ก็จะเลือกใช้ Package 500Mbps ขึ้นไป ทีนี้่ เราใช้ 3 ค่าย อาจจะค่ายละ 1Gbps รวมกันก็จะเป็น 3Gbps ถ้าเราเลือกใช้ Gateway ที่รองรับ Internet Throughput ได้ไม่ถึง 3Gbps (ส่วนใหญ่จะ 1Gbps เพราะเป็นความเร็วสูงสุดของ Port LAN ที่มีใน Gateway คือ 1Gbps) ก็เหมือนกับว่าเราเสียค่า Internet รายเดือนฟรีๆไป

งานที่ต้องการความเร็ว Internet เกิน 1Gbps ต้องการทำ Loadbalance จัดสรรความเร็ว Internet ที่มีให้ทุกๆ Client ในระบบได้ความเร็วสูงสุด จัดการสลับเส้น Internet อัตโนมัติในกรณีที่ Internet เส้นใดเส้นนึงมีปัญหา รวมถึง VPN เชื่อมต่อระหว่างสาขาหรือให้พนักงานที่อยู่ข้างนอกเชื่อมต่อเข้ามาเพื่อใช้ Resource ต่างๆ ไม่ว่าจะเป็น File Sharing, Database, Printer Server ฯลฯ

ทางร้านขอแนะนำสินค้า Draytek รุ่น Vigor3912  ครับ

• รองรับการทำ Loadbalance ได้สูงสุด 8WAN ความเร็วสูงสุด 15.6Gbps
• Loadbalance Mode เลือกได้ทั้งแบบ Session-Based และ IP-Based
• Port LAN ความเร็ว 2.5Gbps x2 และ Port SFP+ x2ความเร็ว 10Gbps ไม่มีปัญหาเรื่องคอขวดของความเร็ว Port
• รองรับ Client ได้สูงสุดถึง 500 Client
• VPN รองรับมาตรฐาน IPSecs, L2TP, PPTP, SSL, OpenVPN และ Wireguard VPN
• VPN สูงสุด 500Tunnels ได้ Throughput 5.7Gbps
• รองรับ DDNS ได้หลายบริษัท และยังมี DrayDDNS ให้ใช้งานได้ฟรี
   

รูปอาจจะเยอะนิดนึงนะครับ ผมจะเน้นพวก Feature ต่างๆที่นิยมใช้ในงานสำนักงานครับ

หน้าตาอุปกรณ์

• LED แสดงสถานะ Power, Act (ถ้าทำงานปกติจะกระพริบช้าๆ), Reset Button
• 2 Port USB3.0
• RJ-45 Console Port
• 2x 10G/2.5G/1G SFP+ Port
• 2x 2.5G/1G Base-T RJ-45
• 4x 1G Base-T RJ-45
• 4x 1G/100M/10M Base-T RJ-45

Port P1-P8 สลับการทำงานใน Mode WAN หรือ LAN ได้
Port P9-P12 จะเป็น Mode LAN

ทดสอบใช้งานกันครับ

Dashboard

Detail ต่างๆ เช่น รุ่น, Version ของ Firmware, CPU, IP WAN/LAN, Port Status ถ้าเขียวอ่อน 1G, เขียวเข้ม 2.5G ถ้าฟ้าก็ 10G

LAB ที่ผมทำการทดสอบ มี Internet 2 เส้น
1. 3BB เชื่อมต่อแบบ DHCP ความเร็ว 1000/1000Mbps (WAN5)
2. TRUE เชื่อมต่อแบบ PPPoE ความเร็ว 500/300Mbps (WAN3)

Port Setup

เป็นการกำหนด Port จะให้เป็น Port LAN หรือ Port WAN ในตัวอย่างผม Set Port P3 และ P5 เป็น Port WAN ส่วนที่เหลือเป็น Port LAN 

WAN

Internet Access

กำหนดการเชื่อมต่อ Internet กับทาง ISP แบบ PPPoE, Dynamic/Static IP และ IPv6 รวมถึงรองรับ Tagged VLAN สำหรับ ISP บางรายที่ต้อง Taged VLAN

Loadbalance Mode 

มีให้เลือก 2 แบบ

1. Session Based 

จะเป็นการจัดการ Session ให้แบ่งออกแต่ละ WAN ตาม Line Speed

ข้อดี

รวมความเร็ว Internet ทุก WAN เข้าด้วยกัน เวลา Test Speed จะสูงมาก

ข้อเสีย

ต้องระวังเวลาเราเข้า Web ที่มีความ Security สูงๆ เช่นพวก Internet Banking เพราะบางทีเราทำ Transaction ยังไม่เสร็จ แต่ Session มันดันวิ่งไปอีก WAN จะทำให้หลุดการเชื่อมต่อกับ Web ครับ ต้อง Login กันใหม่ แต่ก็แก้ได้โดยการ ระบุ Protocol เลยว่า ไม่ต้องใช้ Loadbalance (แต่จากที่ลองใช้ ยังพบว่ามีปัญหาอยู่บ้าง)

2. IP Based 

ใช้หลักการ Source IP + Destination IP ถ้าต้นทางและปลายทางเป็น IP เดิม จะจัดการข้อมูลเข้าออก WAN เดิม แต่ก็มีการคำนวนจัดสรรให้วิ่งบน WAN ที่มี Traffic น้อยๆ แนะนำ Mode นี้ครับ ปัญหาน้อยสุดละครับ

ทดสอบ Test Speed Internet 2 WAN ผ่าน LAN

ความเร็ว 1,152/1,175 Mbps

ทดสอบ Test Speed Internet 2 WAN ผ่าน WIFI7

LAN

LAN Setup

กำหนด IP แต่ละ LAN กรณีทำ Inter-VLAN ปกติแต่ละวง VLAN จะเป็น Connected-Route จะมองเห็นข้ามวงกันหมด แต่ใน Draytek จะ Block ไว้ครับ ถ้าต้องการให้วง VLAN ไหน สามารถเชื่อมต่อวง VLAN อื่นได้ ให้ทำการ Click เลือกที่ตาราง Matrix ได้เลย

VLAN

draytek-

ต้องการให้ Port  ไหน Untagged/Tagged VLAN อะไร สามารถ Click เลือกและใส่ VLAN ID ได้เลยครับ

ตัวอย่าง

Port P2,P4,P9 Untagged VLAN1, Tagged VLAN 10,20 และ 30
Port P10 อยู่ในวง LAN2 (10.0.10.1/24) , P11 อยู่ในวง LAN3 (10.0.20.1) และ P12 อยู่ในวง LAN4 (10.0.30.1/24)

Hotspot Web Portal

รองรับการทำ Captive Portal เดี๋ยวผมขออนุญาติทำเป็นอีกหัวข้อนะครับ รายละเอียดค่อนข้างเยอะ

Routing

Load-Balance/Route Policy

หรือที่เรียกกันว่า PBR (Policy Base Routing) เป็นการระบุว่าต้องการให้ IP Address/Protocol ต้นทาง หรือ IP Address/Protocol/Domain-Name ปลายทาง วิ่งเข้าออกทาง WAN ไหน รวมถึง Fail-Over กรณีที่ WAN นั้นๆล่มจะให้ไปวิ่งที่ WAN ไหนต่อ

ใช้กรณีที่ต้องการให้ IP/Service อะไรก็ตามที่ต้องการเส้นทาง (WAN) ที่เร็วสุดหรือมีความเสถียรสุด หรือ มี Security ที่ Service ปลายทาง มีการระบุว่า IP Address อะไรที่จะเข้ามาใช้ Service นี้ได้

ตัวอย่าง เป็นการระบุทุกๆ IP ของ VLAN20 ปลายทางทุกๆที่ ให้ออก WAN5 กรณีที่ WAN5 ใช้งานไม่ได้ ให้ออกไปที่ WAN3 (แต่ถ้า WAN5 กลับมาใช้งานได้ ก็จะมาวิ่งที่ WAN5 เหมือนเดิม)

ทดสอบโดยการใช้ Tracert

หรือจะระบุปลายทางเป็น Domain Name ก็ได้ครับ

Fast Routing

ใน Vigor3912 จะมี Mode Fast Roting และ Fast NAT จะใช้ CPU ในการ Process เรื่อง Routing และ NAT ทำการ Bypass ตามระดับ Level ที่เลือกไว้

NAT

Port Redirection

เป็นการทำ Forward Port ระบุ WAN เป็น ALL ได้ครับ ตอนวิ่งเข้ามาก็ระบุ WAN IP:Port ได้เลย

Firewall

รองรับการ Block ระดับ Application, URL, Web Content และ DNS 

กฏ Firewall สามารถระบุเป็น IP, Range IP และตั้ง Time Schedule ได้ครับ

Block ระดับ Application มีให้เลือกเยอะอยู่ครับ

ทดสอบ Block Protocol P2P (BitTorrent)

ฺBlock ได้อยู่ครับ เพราะ BitTorrent นี้ตัวปัญหาเลย โหลดกันซัก 3-4 เครื่อง คนอื่นไม่ต้องได้ใช้ Internet กัน

ส่ง Syslog ไปเก็บที่ NAS มี Log แจ้งว่าใครพยายามใช้ BitTorrent

Bandwidth Management

Bandwidth Limit

กำหนดความเร็วให้แต่ละ IP หรือ แต่ละวง Network

ตัวอย่าง กำหนดที่ 200/100Mbps

เกินนิดหน่อย

APP QoS

กำหนด Priority จัดสรรลำดับความสำคัญให้ Application หรือ Service ต่างๆ 

Applications

Dynamic DNS

กรณีที่ไม่ได้ใช้แบบ FIX IP มี DDNS ให้เลือกใช้หลายค่ายครับ ของทาง Draytek ก็มีให้ใช้ฟรี (drayddns) 

RADIUS/TACACS+

เป็นรูปแบบการทำ Authen ที่มีประสิทธิภาพมากครับ แต่การ Config ก็ค่อนข้างจะวุ่นวายไปซักหน่อย รองรับ .1X เชื่อมต่อกับ External/Internal RADIUS

HA.  High Availability

รองรับการทำ High Availability ทำ Active/Standby) ติดตั้ง Draytek รุ่นเดียวกัน 2 ตัว ตัวแรกล่ม  ตัวที่สองจะทำงาน

ตัวอย่างจากงานที่ทางร้าน Config ให้ลูกค้าครับ

VPN and Remote Access

รายละเอียดการเชื่อมต่อ VPN อยู่ในหัวข้อนี้ครับ  ต้องการเชื่อมเครือข่าย Network ระหว่างสำนักงานด้วย VPN

VPN Matcher

เป็น Solution สำหรับงาานที่ติดตั้ง VPN Router เชื่อมต่อ WAN ในรูปแบบ NAT อีกที และ IP Public ที่ตัว Router หลักไม่ใช่ Public IP (เดี๋ยวลองอย่างละเอียดอีกครั้งครับ)

LAN to LAN VPN

เป็นการเชื่อมต่อ VPN ระหว่างสาขาให้สามารถเชื่อมต่อ Network ทั้งสองฝั่งหากันได้ เช่นสาขาหลักกับสาขาย่อย

การ Config VPN ในอุปกรณ์ Draytek น่าจะง่ายที่สุดแล้วครับ ใช้ค่า Default ทำการกำหนดค่าอีกสองสามค่า ก็ใช้งานได้แล้ว 

ทดสอบ VPN Throughput

โยนไฟล์ไปให้ Computer ที่อยู่ในวงฝั่ง Site ได้ความเร็วสูงถึง 304Mbps

หรือจะเชื่อมต่อไปยัง VPN Service ต่างๆก็ได้เช่นกันครับ ตัวอย่าง ทางร้านเคย Config ให้เชื่อมต่อไปยัง NordVPN ให้กับลูกค้า

Remote Dial-in User

เป็นการทำ VPN แบบ Client To Site ให้ User ที่อยู่ข้างนอกเชื่อมต่อ VPN เข้ามายังสำหนักงาน จะใช้ Internet จากที่ไหนก็ได้ครับ 

ความง่ายในการใช้งาน VPN ของ Draytek คือ มี Software Draytek Smart VPN Clinet สำหรับติดตั้งรองรับทั้ง Windows, MAC, iOS และ Android ครับ 

L2TP With IPsec VPN

การ Config Remote Dial-In User ก็ง่ายครับ แทบจะเป็นค่า Default เลย กำหนด VPN Protocol, ตั้ง User/Password 

และยังมี Feature ระบุว่าเมื่อ User นี้ VPN เข้ามาจะให้อยู่ในวง Network ไหน เพื่อกรณีที่ไม่ต้องการให้ User นี้เข้าไปวง Network อื่นๆครับ

ตัวอย่าง ระบุให้ User VPN เข้ามาอยู่ในวง LAN 2 เมื่อ VPN เข้ามาแล้วก็จะเชื่อมต่อได้แค่วง LAN2 เท่านั้นครับ

ทดสอบ L2TP IPsec Throughput

ได้ 54Mbps

Wireguard VPN

พวก VPN Protocol เช่น PPTP, L2TP จะมีปัญหาเวลา Users นั่งอยู่ใน Network วงเดียวกัน แล้วเชื่อมต่อ VPN Diaup-In เข้ามาที่สำนักงาน จะ VPN เข้ามาได้แค่เครื่องเดียวครับ เป็นปัญหาที่ Protocol

ปัจจุบันมี VPN อีกรูปแบบที่นิยมใช้งานคือ Wireguard VPN ช่วยแก้ปัญหาที่กล่าวมาข้างต้นได้ รวมถึง VPN Throughput ที่เร็วกว่าด้วย

การ Config บน Draytek ก็ง่ายครับ Generate Key ต่างๆ แล้ว Copy/Paste

ทดสอบ Wireguard VPN Throughput

สูงถึง 240Mbps

Syslog

ถ้าในสำนักงานมี NAS ใช้อยู่ แนะนำให้ Draytek ทำการส่ง Sylog มาเก็บไว้ที่ NAS ด้วยนะครับ 

Log แจ้งว่ามีผู้ใช้งาน Bittorent

มี User VPN Dial-In เข้ามา

โดยปกติทางร้านมักจะแนะนำอุปกรณ์ Gateway หรือ Router ให้เผื่ออนาคตไว้ก่อนครับ เพราะเป็นอุปกรณ์ที่ติดตั้งตัวเดียวในระบบ Network กรณีที่เลือก Gateway ที่ Spec ต่ำๆ พออนาคตต้องการ Upgrade อาจจะมี User เพิ่มมากขึ้น Internet ราคาถูกลงได้ความเร็วมากขึ้น เพิ่มเส้น Internet หมายถึงเราต้องซื้อ Gateway ตัวใหม่ครับ ตัวเก่าไม่ได้ใช้

มันจะไม่เหมือนพวก Access Point ที่ไม่ค่อยเปลี่ยนแปลงอะไรมาก มีการ Upgrade เพิ่มด้วยการซื้อตัวใหม่ ไอ้ตัวเก่าเราก็ยังไปวางที่จุดอื่นเพื่อกระจายสัญญาณ WIFI ให้ใช้งานได้ รวมถึงพวก Network Switch ก็เช่นกัน

Draytek Vigor3912 ถ้างบถึง ใช้งานได้ยาวๆเลยครับ ไม่ต้องกังวลเรื่องคอขวดที่ Interface เพราะมี Port LAN RJ45 ที่รองรับความเร็วถึง 2.5Gbps และ Port SFP+ ที่ได้ความเร็ว 10Gbps และอุปกรณ์ยี่ห้อนี้ขึ้นชื่อเรื่องความทนทานด้วยครับ 

เสริม...ปัญหาสำคัญที่จะทำให้อุปกรณ์อิเล็กทรอนิกส์พังเอาง่ายๆคือระบบไฟฟ้าครับ บ้านเราบางพื้นที่ค่อนข้างมีปัญหา แนะนำให้ใช้ UPS ที่มีระบบป้องกันไฟตกไฟกระชากไว้ด้วยนะครับ

ขอจบ Review เท่านี้ก่อนนะครับ มีบางอย่างที่ผมจะเพิ่มเติมอีก เดี๋ยวหาเวลาทดสอบก่อน แล้วจะเพิ่มเข้ามาอีกทีครับ