Review Draytek Vigor3910 Loadbalance Firewall

สวัสดีครับ ☺️

มีลูกค้าหลายๆท่าน สอบถามเรื่องตัว Gateway ที่รองรับ Internet ได้มากกว่า 1Gbps

เพราะเดี๋ยวนี้ หลายๆ Site ได้เริ่ม Upgrade ความเร็ว Internet เป็น 1Gbps กันแล้ว โดยที่ราคา Package Internet ยังเท่าเดิม และบางที่ก็ได้ติดตั้ง Internet มากกว่า 1 Wan อีก

Loadbalance ทั่วๆไป อุปกรณ์จะรองรับ Internet Throughput กันไม่เกิน 1Gbps ครับ ด้วยเพราะความเร็วของ Port Lan ที่ได้แค่ 1Gbps หรือ CPU ที่ไม่สูงมาก


เวลานำไปใช้งาน ถ้าเรามี Internet 2 เส้น รวมแล้วมากกว่า 1Gbps และไม่ต้องการเปลี่ยนอุปกรณ์ Loadbalance การใช้วิธีเป็น Backup-Link หรือ Fail-Over จะเสถียรกว่า แต่ระยะยาวไม่ค่อยคุ้มเท่าไหร่


การจะทำให้ Throughput โดยรวมสูงขึ้น ก็ต้องใช้ Loadbalance ที่มี Throughput มากกว่า 1Gbps ครับ รวมถึง Port ที่เป็น Uplink ควรจะต้องมี Port SFP+ ความเร็ว 10Gbps อย่างน้อย 1 Port


ในปัจจุบัน มี Loadbalance หลายรุ่นที่รองรับความเร็วเกิน 1Gbps เช่น

Draytek Vigor 2962 รุ่นนี้รองรับ Internet ได้ 2 เส้น Throughput สูงสุดได้ 2.2Gbps รุ่นนี้รองรับการทำ VPN
Draytek Vigor 1000B รุ่นนี้รองรับ Internet ได้ 6 เส้น Throughput สูงสุดได้ 9.4Gbps รุ่นนี้ไม่รองรับการทำ VPN ครับ


ใน Review หัวข้อนี้จะเป็นรุ่น Draytek Vigor3910 ครับ ลูกค้าสอบถามเข้ามาค่อนข้างเยอะ ตาม Hardware Spec รองรับ Internet ได้ถึง 8 Wan และ ความเร็วได้สูงถึง 9.4Gb ทำ VPN IPSecs ทั้งแบบ Site To Site และ Client To Site ได้

ขอแนะนำเรื่องการนำไปใช้งานเบื้องต้นก่อนนะครับ

กรณีที่เรามี Internet ความเร็ว 1G และใช้ Device ไม่กี่เครื่อง ความเร็ว Internet ใช้งานได้สบายๆอยู่แล้วครับ

แต่..ถ้าเรามี หลายๆเครื่อง

เช่น ซัก 200 เครื่อง รวมพวก มือถือ, Internet TV... ใช้งานพร้อมๆกัน เฉลี่ยความเร็วก็จะเหลืออยู่ 5Mbps แต่จริงๆใช้ไม่พร้อมกันหรอกครับ หารให้มันลงตัวเฉยๆ

แล้วถ้า เราอยากได้ความเร็วมากกว่านี้ โดยการเพิ่ม Internet เป็น 2 เส้น ทำ Loadbalance ความเร็วขาออกโดยรวมจะเป็น 2Gbps


และจัดการให้ขาออก ออกพร้อมๆกันทั้ง 2 เส้น อาจจะจะใช้วิธีแยก Network กัน โดยแบ่งเป็น 2 วง ให้วงแรก วิ่งออก Wan 1, วงที่สอง ออก WAN2 ก็จะได้ความเร็วโดยรวมเพิ่มมาอีกเท่าตัว รูปแบบนี้จะเรียกว่า Loadbalance แบบ IP Base

หรือจะจัดการให้เกลี่ยๆ Sessions ให้ออกแต่ละ WAN ขึ้นอยู่กับ algorithm ของตัว Loadbalance เอง แล้วล๊อคให้ Sessions ที่เกี่ยวกับ Security วิ่งออก Wan เส้นนึงเป็นหลัก แบบนี้จะเรียกว่า Loadbalance แบบ Sessions Base ครับ

ตัวอย่างรูปแบบการเชื่อมต่อหลักๆก็จะมีประมาณนี้ครับ

แบบที่ 1 ใช้ Access Switch ที่เป็น Port Gigabit กำหนด Port Lan ของ Draytek ให้เป็นวง Network ที่ต่างกัน แล้วก็ทำ IP Route Policy เลือกเอาว่า Network วงไหน วิ่งออก Wan ไหนครับ

แบบนี้จะประหยัดค่าใช้จ่าย ไม่ต้อง Upgrade พวกอุปกรณ์ Network ให้เป็น Multi-Gig หรือ 10Gbps ตัว Access Switch ก็เป็นแบบ UnManaged ทั่วๆไป

เช่น Network 10.10.1.0/24 วิ่งออก Wan 1, Network 10.10.2.0/24 วิ่งออก Wan 2 และเราก็กำหนด Fail Over ได้ กรณีที่ Internet มันล่ม

หรือ จะเป็น Network เดียวกัน แต่จัดกลุ่มของ IP เช่น IP 10.10.1.2-100 วิ่งออก Wan 1, IP 10.10.1.254 วิ่งออก Wan2 ก็ได้ครับ หรือ จะระบุเป็น Service ก็ได้เช่นกัน เช่น HTTP/HTTPS ออก WAN 1 , พวก Email, FTP, Web Server ออก WAN 2

แบบที่ 2 คล้ายๆ แบบที่ 1 แต่ Switch ต้องเป็น Managed Switch สร้าง VLAN ใน Draytek และทำ Port Lan ให้เป็น Trunk ต่อเข้า Access Switch และ จาก Access Switch ก็ต่อเข้า Access Point ทำ Multi-SSID VLAN Tag ครับ

ในรูปแบบนี้ ทางร้านเคย Config ให้ลูกค้าใช้งานอยู่ครับ มี Internet 3 WAN ทำ Multi-SSID ครับ

แบบที่ 3 ต่อ เข้ากับ Access Switch ที่มี Port Multi-Gig (Port 2.5Gb)  ความเร็วสูงสุดเราก็จะได้ 2.5Gb ครับ


Switch ที่มี Port Multi-Gig แบบนี้จะแพงหน่อย

แบบที่ 4

นิยมใช้งานกันมากที่สุด ใช้ Port SFP+ ร่วมกับ Switch ที่มี Port Uplink SFP+ ทำให้เราได้ความเร็ว Internet สูงสุดได้ถึง 9Gbps เต็มๆตาม Spec ของอุปกรณ์

เนื่องด้วยเดี๋ยวนี้อุปกรณ์ Switch ที่มี Port Uplink SFP+ ราคาค่อนข้างถูกลงมาเยอะ Link --andgt; Switch SFP+


และใช้สาย DAC ที่เป็นสายสำเร็จรูปพร้อมหัว SFP+ เดี๋ยวนี้ก็ราคาพันหน่อยๆ Link XS+DA0001


แนะนำใช้วิธีนี้จะดีที่สุดเลยครับ ถูกกว่าใช้ Switch ที่เป็น Port Multi-Gig ค่อนข้างเยอะ





ผมลองทดสอบ Internet 2 WAN เส้นนึงความเร็ว 1Gbps และอีกเส้นความเร็ว 300Mbps

หน้าตา และ Spec อุปกรณ์

Draytek Vigor3910 มี Port SFP+ ความเร็ว 10Gbps จำนวน 2 Port (P1, P2) จะเลือกเป็น Port Mode Lan หรือ Wan ก็ได้ครับ และ Port Multi-Gig (P3, P4) รองรับความเร็ว 1Gb/2.5Gb เลือกเป็น Mode Lan หรือ Wan เช่นกัน

Port 5-8 เป็น Port Gigabit ถ้าเลือกเป็น Mode Lan จะเป็น Bridge เชื่อมต่อกัน แต่ถ้าเลือกเป็น Wan ก็จะแยกอิสระจากกันครับ

ส่วน Port 9-12 Port Gigabit จะเป็น Bridge เชื่อมต่อกัน เลือกเป็น Port Mode WAN ไม่ได้ครับ

Port USB รองรับการต่อเข้ากับ 4G USB Modem

ใช้ CPU แบบ Quad-Core ทำให้รองรับ NAT Throughput ได้สูงถึง 9.4Gbps 1000k Sessions, ทำ Loadbalance ได้ 8 Wan, VPN ได้ 500 Tunnels รองรับ VPN Throughput ได้สูงถึง 3.3Gbps

Web Management

Default IP จะเป็น 192.168.1.1 และ user/password เป็น admin/admin

Login แล้วจะเข้าหน้า Dashboard แสดงรายละเอียด Status ต่างๆ เช่น Port ที่เชื่อมต่อ, LAN/WAN IP Address, VPN

Web Management ในรุ่น Vigor3910 จะเป็น DrayOS แต่ถ้ารุ่น Vigor3900 จะเป็น LinuxOS ครับ หน้าจอการ Config จะคล้ายๆกัน

Menu Port Setup เป็นการกำหนด Port จะให้เป็น Port LAN หรือ Port WAN ในตัวอย่างผม Set Port P3 และ P4 เป็น Port WAN ส่วนที่เหลือเป็น Port LAN

เลือก Mode การเชื่อมต่อ Internet

Inter VLAN

ขออธิบายในส่วนการ Config VLAN ใน Draytek ซักนิดครับ ผมลองทีแรกก็งงๆอยู่เหมือนกัน เลยอยากจะขอแชร์นิดนึงครับ

การสร้าง Interface VLAN บน Draytek จะระบุชื่อ VLAN ให้เลย (VLAN0 มันก็คือ VLAN1 Native VLAN ใน Managed Switch ทั่วๆไปครับ) VLAN1 - VLAN49 ถ้าเราต้องการ Tag VLAN ID ออกไปด้วย ก็ให้ระบุ VID

SUBNET จะเป็นการระบุว่า VLAN ที่ต้องการอยู่ใน Network ไหน รองรับได้ 50 Subnet ครับ

P2 - P12 ก็คือหมายเลข Port บนอุปกรณ์ Draytek ครับ

*** ผมต้องการสร้าง VLAN10 สำหรับ Manager, VLAN20 สำหรับ Staff และทำ Port 11,12 ให้เป็น Trunk Port เพื่อเชื่อมต่อกับ Managed Switch

กำหนด ให้ VLAN Manager ออก Internet WAN1, VLAN Staff ออก Internet WAN2

Port 7,8 เป็น VLAN วง Manager และ Port 9,10 เป็น VLAN วง Staff , สามารถนำ PC มาต่อที่ 4 Port นี้ได้เลย จะได้ IP Address ตามวง Network ที่กำหนด

[VLAN0] Enable P2, P5, P6, P11,P12 เลือก Subnet [LAN1] ทุก Port ที่เรา Enable จะเป็น VLAN0 (Native VLAN ถ้าตามมาตรฐานมันก็คือ VLAN ID 1)

[VLAN1] Enbale VID ก่อน แล้วกำหนด VID=10, Enable P11, P12, เลือก Subnet [LAN 2] , Port ที่เรา Click Enable จะเป็นสมาชิก VLAN 10

[VLAN2] Enbale VID กำหนด VID=20 และ Enable P11, P12, เลือก Subnet [LAN 3] จะเป็นสมาชิก VLAN 20

*** การกำหนดให้ P11, P12 เป็นทั้งสมาชิก VLAN 10 และ VLAN 20 แบบนี้ Port 2 Port นี้จะกลายเป็น Port Trunk ครับ

[VLAN3] Enable P7, P8 เลือก Subnet [LAN 2] ไม่ใส่ VID จะทำให้ Port 7 และ Port 8 เป็น Access Port ถ้านำ PC มาต่อจะได้ IP วง [LAN 2]

[VLAN4] Enable P9, P10 เลือก Subnet [LAN 3], Port 9 และ Port 10 จะเป็น Access Port ถ้านำ PC มาต่อจะได้ IP วง [LAN 3]

*** Subnet LAN1 เป็น LAN Default ของ Draytek ครับ ส่วน Subnet LAN2 และ LAN3 เราต้องมากำหนด IP Address กันต่อครับ

หลังจาก กำหนด Subnet LAN1, LAN2 และ LAN3 แล้ว ใน Menu LAN --andgt; General Setup จะมีรายการ Subnet โผล่ขึ้นมา เข้าไปแก้ไข IP Address, DHCP Server ได้เลยครับ

การกำหนด Policy Base Routing

ง่ายๆเลยครับ

ระบุเลยว่า Network วงไหน จะให้ออก WAN ไหน และถ้า WAN ล่ม จะให้ไปเส้นทางไหนต่อ

Network: 10.10.10.0/24 ออก WAN 3 ถ้าออกไมได้ ให้ไปที่ WAN 4

Network: 10.10.20.0/24 ออก WAN 3 ถ้าออกไมได้ ให้ไปที่ WAN 4

ใน Draytek มีวิธีการ Config หลายแบบครับ ถ้าสงสัยตรงไหนสอบถามกับทางร้านเพิ่มเติมได้เลยนะครับ

การเชื่อมต่อ WAN

จะมี 3 แบบที่เป็นพื้นฐานทั่วไปคือแบบ DHCP Client, Static IP และ แบบ PPPoE พวกอุปกรณ์ Loadbalance จะสำคัญเรื่อง Mode ครับ ใน Draytek จะมี 2 Mode คือ

1. Session Based จะเป็นการจัดการ Session ให้ออก WAN ใด WAN นึงเป็นหลัก ใน Mode นี้ต้องระวังเวลาเราเข้า Web ที่มีความ Security สูงๆครับ เช่นพวก Internet Banking เพราะบางทีเราทำ Transaction ยังไม่เสร็จ แต่ Session มันดันสลับไปอีก WAN จะทำให้หลุดการเชื่อมต่อกับ Web ครับ ต้อง Login กันใหม่ แต่ก็แก้ได้โดยการ ระบุ Protocol เลยว่า ไม่ต้องใช้ Loadbalance

2. IP Based จะจัดการให้ IP ที่เชื่อมต่อเข้ามา ออก WAN ใด WAN นึงเป็นหลัก แนะนำ Mode นี้ครับ ปัญหาน้อยสุด

Bind IP to MAC

จะคล้ายๆ พวก Static Lease ในอุปกรณ์ Router ทั่วๆไปครับ คือ ถ้ามี MAC Address ที่กำหนดเชื่อมต่อเข้ามา จะระบุให้ Vigor3910 แจก IP Address ตามที่กำหนด และจะมี Option ถ้าไม่มีในรายการ MAC Address หรือ User Fix IP เข้ามาเอง จะไม่สามารถออก Internet ได้ครับ

Controller Mode

Draytek Vigor3910 รองรับการทำตัวเองเป็น Controller ด้วยนะครับ Managed พวก Access Point และก็ Switch ได้

VPN Connection

Draytek Vigor3910 ทำ VPN ทั้งแบบ Site To Site และ Remote Access (Client To Site)

แบบ Site To Site จะเป็นการเชื่อมวง Network ให้มองเห็นกัน เช่น ต้องการให้แต่ละสาขา เชื่อมต่อมายังวง Network ของสำนักงานใหญ่ได้ ใน Draytek จะเรียกว่า LAN to LAN รองรับ Protocol PPTP, L2TP with IPSec และ SSL Tunnel

การ Config ก็ง่ายครับ ฝั่ง สำนักงานใหญ่ จะเป็นแบบ Dial-In ส่วนฝั่งสาขาจะเป็น Dial-Out กำหนด Protocol เลือก WAN

วิธีการ Config IPSecs VPN Site-To-Site บนอุปกรณ์ DrayTek

แบบ Client To Site

จะเป็นการยอมให้ User Remote เข้ามาแล้วอยู่ในวง Network ของสำนักงานครับ ประมาณว่า พนักงานใช้ Notebook เชื่อมต่อ 4G แล้วต้องการเข้ามาใช้ Resource ต่างๆในบริษัท จะประมาณ Work From Home ครับ

กำหนด Protocol, Username/Password ระบุได้ด้วยครับว่า User นี้ Dial-In เข้ามาจะให้ IP เบอร์อะไร รองรับได้ 500 Accounts ครับ

วิธีการ Config VPN L2TP IPSec บนอุปกรณ์ Draytek Vigor2926

Firewall

รองรับการ Block ในระดับ Application เช่นพวก Block Bittorents, Youtube, Line , Facebook จากที่ทดสอบ Block Bit อยู่ครับ แต่พวก FB, Line และ Youtube นี้เอาไม่อยู่

เลือกได้ครับว่าจะ Block วง Network ไหน หรือ จะ Block เวลาไหน

Block Bit นี้นิ่งสนิทครับ Bittorents นี้สำคัญครับ เป็น Protocol P2P มี Internet เท่าไหร่ ได้ใช้อยู่คนเดียวเลย

มี Log ด้วย ว่าใครที่พยายาม Download

Web Content Filter

ต้องซื้อ License ครับ

Bandwidth Management

เป็นการทำ QOS (Quality Of Service) เบื้องต้นต้องกำหนดความเร็ว Internet แต่ละ WAN ก่อน จากนั้นก็กำหนด Class ว่าจะให้ Class ไหน ใช้ความเร็วสูงสุดเป็นกี่ % ของความเร็ว Internet ที่มี

แล้วเราก็มาระบุว่า Application ไหนอยู่ใน Class อะไรครับ

เช่น กำหนด App Bittorrent, Youtube, Netflix เป็น Class 2 ก็ได้ความเร็วแค่ 25%

การทำ Bandwidth Limit จะเป็นระบุเลยครับ ว่า IP ที่กำหนด หรือ Network ที่กำหนด ได้ความเร็ว Download/Upload เท่าไหร่

ถ้าเลือก Option เป็น Each จะหมายถึงแต่ละ IP จะได้ความเร็วที่กำหนดไว้ เช่นกำหนด Download ไว้ 20Mbps แต่ละเครื่องจะได้คนละ 20Mbps

แต่ถ้าเลือกเป็น Shares จะหมายถึงทุกๆเครื่องใช้รวมๆกันได้ไม่เกิน 20Mbps

Syslog

รองรับการส่ง Log เช่น Firewall Log, VPN, User Access Log ไปยัง NAS ครับ ถ้าใช้ในสำนักงาน ใช้ร่วมกับ Bind IP to MAC ก็จะระบุได้ว่าใครเข้า Web ไหนในเวลาอะไรครับ

ตัวอย่าง ลองเข้า Web Pantip ในรูปเป็นโปรแกรม Sylog Server ที่ทางผมเขียนมาเพื่อไว้ทดสอบครับ ถ้าต้องการเก็บ Log จริงๆ แนะนำให้ใช้ NAS นะครับ เป็นของ Zyxel ก็ OK เลยครับ ราคาสามพันกว่าบาท ทำ Rotate 90 วันได้ด้วย

Dynamic DNS

ทาง Dratek มี Dynamic DNS ให้ใช้ฟรีๆครับ ชื่อว่า DrayDDNS

Remote Management

ถ้าต้องการ Remote จากภายนอกผ่าน Intenret เข้ามา Manage อุปกรณ์ อย่าลืม Enable Internet Access ด้วยครับ ค่า Default จะถูก Block เอาไว้

RADIUS Server

ตัว Draytek Vigor3910 รองรับการทำเป็น RADIUS Server ได้ด้วยครับ สร้าง Users ได้ 200 Account

การทำ Authenticate 802.1X Draytek Vigor3220, IP-COM Access Point, Log การใช้ Internet

Feature ต่างๆ ที่ผมกล่าวมาข้างต้น จะมีในอุปกรณ์ Draytek Router เกือบทุกรุ่นครับ แต่ข้อแตกต่างของ รุ่น Vigor3910 คือรองรับความเร็ว Internet ได้สูงมากขึ้น มากกว่า 1Gbps เหมาะกับสำนักงาน โรงเรียน โรงงแรม ที่มีจำนวน Clients ใช้งาน Internet กันมากๆ พวก Content ต่างๆก็ใช้ข้อมูลเยอะขึ้น ไฟล์ก็ขนาดใหญ่ขึ้น ไปเก็บไว้ใน Service Cloud ก็ทำใไไม่ต้องเสียเวลา Download/Upload มากนัก

รวมถึงการเชื่อมต่อ VPN ที่ร้องรับ Throughput ได้ถึง 3.3Gbps ถ้าใช้แบบ Client To Site นี้สบายๆเลยครับ ส่วนแบบ Site To Site ความเร็วที่ได้ก็จะขึ้นอยู่กับ VPN Router ฝั่งสาขาด้วยครับ

ในปัจจุบัน Internet ก็ราคาถูกลง บางค่ายให้ความเร็วขั้นต่ำที่ 1Gbps ถ้าเรามี Internet มากกว่า 1 เส้น Draytek Vigor3910 ถือเป็นทางเลือกที่ดีครับ จะว่าไปราคาถูกกว่า iphone อีก