記得在近三年前的2013年Vigor 2925上市以來,後續官方依照傳統推出了2925N、2925N+、以及2925VN+等等衍生機種,前一陣子則是推出了市場上較少見內建LTE的機種,Vigor 2925ac,在介紹LTE版本之前,先來聊聊關於VN+與AC這兩款比較特別的機種,這種內建FXO/FXS的機種應用在零售業的分點是非常好的應用情境,例如在總店建置了Asterisk或是IPPBX後,各分點用Vigor 2925VN+來註冊sip account到總店的PBX,而其它分店只需要購買市面上常見的P牌無線話機等等類型產品,並串接分店的代表號POTS電話,來達到相當低的門檻的多點串連的電話分機系統,可說是平價版的C牌VoIP系統一樣的效果,而目前的VoIP總機成熟度其實已幾乎可完全取代多數的類比式分機,在一定分機數量後整體成本也是低於數位/類比總機系統,所以這邊還是要先給予居易鼓勵能夠持續推出在商用領域也算少見內建類似功能的,相關的VoIP佈署未來有機會再另文聊聊,這類的應用也是有非常多樣化的應用的;
回歸到本次的主題, 以Vigor2925LTE來說為Vigor2925家族的分支, 雖大多數的本質與功能皆同於原型號, 但就因為LTE的特性是無線4G網路, 就能夠在很多使用情境下有各種的變化, 例如:
●WAN2/VPN電路備援
●移動式的營業場所: ex提供免費WiFi的行動咖啡車
●既有WAN1存取某些網站較緩慢:ex 部份國外路由
●額外的SMS應用
●彈性的隔離式Guest WiFi網段
●因應IOS10移除了PPTP, 提供了一個簡單相對易建立的IPSec/SSL方案
單就第一點來說,有經驗的網路規畫者或管理員都知道,多數狀況下很多環境是很難有第二個完全異質電路的IS提供的WAN2可使用,尤其在台灣,很多時候申請的Internet都是同一家的Last mile, 或是申請多條時才由ISP提供的Gateway IP發現跟本後端都是接在同一台ISP的L3 Switch上,因此很多有經驗的網管會申請在地的Cable modern來做為WAN2或備援使用,但實際上Cable modern也常出現二次NAT,或是僅能派發浮動Public IP, 形成另一種管理上的麻煩;
另外有些公司的所在地點或先天環境限制使然,因而使的許多MIS/網管僅能讓辦公/營業環境一條WAN1支撐大局,一但出現網路問題全公司斷線時往往是一翻兩瞪眼,然後隨時被老闆的熱情眼神不停的關照何時能修好,這時除了求神拜佛希望某大電信儘快修復外, 也別無它法, 因此有了LTE的備援除了是一個經濟的作法外,也是多數公司規模成長之餘必要性的升級,過往的Vigor2925VN/AC其實皆已支援外接USB 3G/4G 網卡來得到相同的效果,但這次的LTE版本除了直接內建在機身中LTE模組,省去各位選購與擔心相容性的問題外,現行的軔體也隨著時間的推演新增了許多”小改款”般的功能,接下來的介紹就讓我們來了解內建LTE模組的版本與原先外接的差異和與初版的2925的功能差異,當然居易一直兼顧舊買家的好公司,下面介紹的一些新版軔體功能,非LTE版大多也透過免費軔體升級獲得喔!
話不多說,讓我們來看一下LTE版的外觀差異吧,
首先可以發現在LTE版的VIGOR 2925 LTE上,USB1的Port消失了,推測為將usb port供為內嵌活動式的LTE USB dongle,雖保留了另一個port,但因此無法同時使用USB Drive儲存log與外接溫度探針較為可惜,
而SIM卡座則是使用標準大小的SIM,若是其它nano sim等size,依然可以正常用轉卡插入,唯須注意這一個蓋板的兩個螺絲並沒有做防掉出設計,所以請小心拆裝
這邊也不免俗的與其它款的小疊疊樂一下
而從側面可看出,LTE的下半部機殼跟過往的全深色系搭配稍有不同
但最明顯的還是在後方的天線由Vigor 2925N+版的3根WiFi天線改為2根WiFi天線與4G/3G所用的手機用天線,在Vigor2925LTE版變成了共有四支天線的霸氣外表;
LTE版的機身除了可供選擇直接安裝天線或靠底座延長安裝位置,居易方面也貼心的附上了長達100CM的延長底座, 方便MIS/網管將Vigor2925LTE若安裝到機房或機櫃內時, 仍可一定程度的調整4G/3G天線的收訊品質來取得最佳的效果,
另外值得一提的是,這個天線的延長底座還是磁吸式的,才不會因天線在機櫃內而被遮避效應影響收訊品質;
這邊可能會有人有些疑惑,若本質上僅是用內部bus的方式佔掉一個USB, 那跟過往的Vigor 2925安裝USB 4G/3G網卡有何不同?這其實用一張圖就可以秒懂:
若是有將Vigor2925安裝另購的19吋支架裝進標準型機櫃的朋友,相信看到上圖就能馬上理解, 除了4G/3G Dongle有相容性問題, 以下圖為例, 官方是建議僅能使用以下的Dongle
若更重要的是若另外插入如上圖的華為E3372 4G USB Stick的話,機櫃門就關不上了…..
另外還有就是以個人使用習慣與經驗來說,若是有標準型機櫃的環境我一定將設備上機架,若是平置於桌面上的環境,橫置式的也較通常能較穩當的安裝,
例如下圖它牌常見直立式的LTE Router來說,不只不方便固定在機櫃內,放在桌上橫置亦不易穩定固定
而進入到設定畫面時, 也會機身正面的USB port如同前述的實機照片一樣的遮避掉一個Port
在其它版本的VIGOR 2925 LTE依然有兩個USB port可供搭配使用
在往WAN>網際網路連線上會看到進一步的差異
LTE版僅剩3G/4G的DHCP模式
非LTE版仍保有PPP模式
在WAN的小圖示上也有微妙的差別, 上圖為非LTE版, 下圖為LTE版的基地台Icon
而實測過不管是中華電信或台灣大哥大都能穩定的以4G LTE做為主要WAN提供服務,比起多數手機單獨分享HOTSPOT大多只能分給3~5個設備, Vigor 2925LTE則能輕鬆僅用LTE就提供20人以上的環境分享4G網路
但需注意的是,若後端設備是透過WiFi連結並由4G LTE上網的話,因LTE版的WiFi僅為802.11n且不支援5G頻段,且WiFi晶片並未採用它牌較高階的雙核及802.11ac速率,因此與過往一樣依然較適合WiFi的Web圖文瀏覽或日常辦公等等需求輕量使用,以Acrylic WiFi工具於下列簡易圖示大約一般30-40人左右大小的辦公室經實際測試結果來看,Transmission speed大致上與友商802.11n的機種一樣落在2.5顆星左右的普通結果,但Signal quality若以超過2米的距離以後會開始下降,6米距離後會出現不太穩的狀況,
因此若需進行重度的影音串流,或是要求遊戲低延遲使用,則還是建議另外搭配高效能WiFi的ThinAP較為合適,另外而前面提的到除了做為WAN的主線路或作為備援,也能進一步的應用在一些很常見的情境:
●各項異常SMS的應用
●兩案三地的策略化路由達到翻牆,讓老闆在大陸辦公室不用撥VPN
●依照4G 費率方案來控管LTE線路的用量或連線時間
首先在簡訊支援上來說,Vigor2925LTE應該是最便宜能”順便”做到包括固網WAN異常告警、VPN中斷告警、機房室內溫度告警、額度限制等等簡訊發報的附加能機種, 過往扣除掉有建置自動環控的高級機房外, 大多MIS網管會在公司的機房建置類似這種探針式的偵測溫度濕度與是否漏水的SIM卡發報器,但現在僅需單台Vigor2925LTE即可做到偵溫的部份,可說是預算有限的MIS的機房異常的小救星。
再來以翻牆來說,基本上都是台商在大陸辦公室必做的事務,即便常常會被神秘的官方長城影響斷線或是不穩, 但GMAIL/GOOGLE/FACEBOOK/Youtube的需求是持續的不減反增的,常見的需求如同下圖
一般過往的VPN site 2 site大多只有內網的資料交換, 例如NAS or VoIP服務等…..但需要連往被長城鎖掉的服務時,就只能靠PPTP/IPSec/SSL VPN撥號來處理,要是遇上對電腦操作較不熟的同事,相信各位一定常有被抱怨不好用的經驗,或是另外要搭較為麻煩的VDI環境來滿足翻牆上特定網站的需求,偏偏這樣的需求也多半跟公務有關,近年來甚至很多台灣公司企業內的行銷、美術創意部門會反過來希望能連到只限定大陸IP可以存取的視頻網站來參考與了解目前對岸當下的媒體傳播方面最新的狀況,這樣的交互需求可說日趨增多
常見的辦公室網路大多如下圖一樣,僅ERP等內部系統是透過VPN存取
而有了Vigor的策略路由後,就能夠靠VIGOR 2925 LTE經規畫與設定很快的做到以策略的方式來活用各辦公室的外網,達到在辦公室網路內的翻牆上下車的特性
以上圖為例,目標是希望北京的辦公室同仁能透過台北的網路來存取Hinet的DNS,相關的設定只要先建立好兩端點的Site2Site VPN後,就可以用內建的策略路由精靈輕易的完成路由導向
同理也可應用的WAN1固網與LTE的備援或負載平衡機制上,來做出符合各種辦公或營業場合的備援模式與路由,而當然這樣越多的節點,整體需要維護與交換的路由表與時俱增後也會難以維護,所以VIGOR 2925 LTE也貼心了提供一個易懂的圖形化介面供管理者追蹤與了解,並很快的排除問題
但很可惜的,這次的LTE版依然在高速G級WAN加速方面比較弱,若開啟了加速達到與G級WAN匹配的NAT效能的話,多數的頻寬/APP/CSM/FLOW/QoS/功能皆會失效,推測CPU並沒有跟著升級,因應已陸續小量供裝的1G WAN光纖網路,希望居易在這方面也能將VIGOR 2925 LTE的CPU效能進一步升級,因為其它的友商已規畫要推出含L7硬體加速的同類型產品
而先前提到的相當適合使用VIGOR 2925 LTE的行動咖啡車的情境, 更能夠利用下面的使用者時間/流量額度化的各別設定檔,來達到提升翻桌次數或黏著的搭配使用,以下圖各位可看到VIGOR 2925 LTE除了原本就支援對外認證的RADIUS/AD/TACACS+外,本機的802.1x認證也能做到基本常見的咖啡廳免費WiFi的訪客認證與控管功能,這除了能讓一些小店降低自架LDAP/RADIUS/AD/TACACS+來達成訪客WiFi的建置難度外,也能搭配做為公司內的員工上網前皆需要認證才能透過Vigor 2925 LTE連往internet 並對時間排程/流量額度/每日使用時間來做各別的規畫;
首先各位可以看到在本機上的User profile已有時段/流量/連續使用時間的設定值:
當啟用這個User Profile的全域設定後,每位使用者打開瀏覽器就需要輸入相對應的帳號與密碼,輸入正確後才能允許連網,並可順便導向指定的網站,例如公司首頁,行動咖啡車的FB粉絲團等等等…..
以這裡的案例只要設定了連續使用時間+流量的話,不管何者先耗用完,都會將使用者踢出連線session要求重新登入,若在未被管理者重置額度的狀況下, 使用者將無法再次連線,管理者也能在自我診斷>驗證資訊這邊查看是否使用者無法連上只是因為單純的帳密輸入錯誤這種常見小錯
以上述這樣的認證式連線作法,對現今流行的零信任安全性網路是一種相對強固的方式;例如近來流行的各種APT攻擊為例,攻擊手法大多是透過瀏覽器的外掛插件,或是email的巨集殖入機碼後,再觸發使用者去下載惡意的元件, 當萬事具備後受害電腦會主動與駭客攻擊者的伺服器連線回報自身被操控,接下來駭客攻擊者就能夠在離峰或使用者不注意時坐收這些僵屍電腦的回應來做為跳版 /擴散者 /或是殖入加密勒索程式,有經歷過相關攻擊的資深管理者一定知道這些APT攻擊很有可能是無法被多數的知名防毒軟體所掃描出來,也有可能已被埋藏很久正在伺機而發作,這對管理者而言除了定期的更新各種Windows 7/8/10/或第三方軟體的Patch外,有限度的時段式連線,阻擋特定的危險副檔名,非上班時間自動阻檔常見的網路服務都是加強防禦的好作法, 過往需要做到這樣的防火牆效果都需要高貴的L7 NGFW防火牆,但其實補齊user profile control的Vigor 2925 LTE系列也能夠做到相似的效果,這邊有幾個推薦的搭配設定可以供各位參考:
搭配使用APPE特徵授權後使用CSM內的副檔名限定阻檔,因為大多數的APT攻擊很容易來自於Active X或是Torrent/EXE夾帶
或是依公司規範在非上班時段禁用常用網路通用服務(DNS/IMAP/POP3/etc…)或指定的APP,例如Teamviewer/Line等等…..來嚴格的限縮允許連線的時段,
以下圖為例,雖然本篇文章軔體使用的3.8.2.2對於部份的APP控管例如TeamViewer只支援v9,而台日韓常用的Line則是支援到4.4以下,但經過實測當下最新的TeamViewer v12與Line v4.10甚至Skype皆能夠正確的依封包特徵來阻檔連線
手機版的Line也同樣的能夠被阻擋, 對於前些日子TeamViewer有資安疑慮為戒,相關的APP管理誠心建議需要各位更加主動的積極管理
另外值得一提的是居易也在Vigor 2925 LTE這樣的中小型機種加入了DoS flood表單,這對我這樣深受DDOS其害的管理者是相當給予正面肯定,原因是以現今的網路威脅來看,除了針對性的APT跟散佈的Virus,另一個很大的威脅就是DDOS,而截至目前為止DDOS的有效解決方式除了請ISP在前端封鎖IP或設定黑洞路由外,就只能租用Full Proxy的清洗流量或是購買或租用天價的Clean pipe清洗設備來處理,這類設備會由觀察與自動學習flow flood來進行自動放行和阻擋,但市面上有效果的Clean pipe除了動輒數百~數千萬台幣外, 還需要網路環境內的設備支援完整的NetFLOW功能來搭配使用,甚至要與ISP配合申請AS number才能達到自動化效果,可說是一般企業搖不可及的建置, 但反過來說,其實多數的DDOS除了攻擊的pattern固定外,也需要相當大量的僵屍電腦來發動洪水流量才有其效果,所以大多數DDOS攻擊的對象都是大型企業或政府單位居多,而居易的Vigor 2925 LTE雖僅提供基本dos的防禦機制與flood表來手動分析防護, 但對多數目標客戶的採用單位來說應已足夠使用。
而AP的管理也隨著版本的更新功能也日趨完整了。
最後一個是因應Apple將IOS10與mac OS Sierra上的重大變化,也就是移除了PPTP這個存在IOS/OSX上多年的VPN協定:
這變化不只是iPhone或是Mac本身無法在用內建的PPTP撥入到遠端,是連帶的影響了安裝了IOS10版本以上的iPhone開啟hotspot分享網路給電腦時,即便Windows電腦使用原生的VPN連線或是安裝Draytek Smart VPN這種第三方VPN軟體,透過該hotspot連網的電腦一樣因為IOS10的PPTP pass-through已blocked,所以無法由電腦對外撥號使用PPTP VPN;簡單的說就是Windows電腦只要是透過IOS10以上版本的iPhone手機分享網路不能連上PPTP了,只/能透過其它的固網或非IOS10的WiFi熱點方式來連線PPTP,可預見這樣的改變會加速PPTP這協定會漸漸淡出主流。
往後要使用VPN也需要改用SSL通道或是L2TP over SSL,這方面對Vigor 2925系列來說早已做好準備不用像它牌可能需要重新購置,原本就提供了有相應的IPSec/SSL取代PPTP方案。
總結
我也相信很多的IT管理者連幫Server要升級個ram都不一定要的到預算,更難向老闆開口要個機房用溫度報警建置費了,本次LTE版本帶來的SMS附加功能,光是將USB溫度探針與SMS簡訊告警這兩個功能結合在一起,相同功能的報警機+探針安裝施工的費用已能夠買好幾台VIGOR 2925 LTE還有找了,這功能可以算是許多台灣中小企業機房環境的神器,因為我相信一定很多的VIGOR家族成員都在相當惡劣或沒有空調的環境中努力稱職的運作中,但與VIGOR設備一起相處的Server不管是Rack機架式或Tower直立型的伺服器機身耐熱度恐怕就沒那麼好,有了方便的溫度告警與簡訊重啟等等管理新功能協助,更能讓辛苦的MIS多了一個管理網路的神兵利器,而這次新增的內建原生4G支援,搭配Vigor 2925系列一直以來的高效率的NAT效能與易於管理,更能幫助中小企業建立起快速可靠、穩定運作的各式IT服務。
雖然本次Vigor 2925 LTE少了WiFi 5G頻段的功能,以及在WiFi傳輸效率上持平和WAN加速方面有些限制的缺憾,但整體上Vigor2925 LTE在各方面仍是中小企業商務及店面營業用的超值選擇,VIGOR 2925系列的硬體品質本身經過兩年多的考驗,在我遇過的環境不管是100人相對單純的上網辦公環境,或是50多人複雜的Policy/ Site 2 Site VPN兩案三地辦公室,還是較要求NAT效能的30人網咖,及小型媒體直撥環境都能穩定勝任工作,也希望居易對於很快到來的1G以上的大頻寬時代繼續推出對應的加強版型號來滿足需求,謝謝大家。
