1. Главная страница » Компьютеры

D link dfl 870 настройка

Автор: | 16.12.2019
Нет комментариев

Внимание. Данный пример будет приведен на международной прошивки (без ограничения шифрования). Используя данную прошивку на территории РФ вы берете всю ответственность на себя.

Настройка будет проходить в несколько этапов:

  • Создание объектов, remote_dev (IP удаленного DFL), remote_net (подсеть за удаленным DFL) , PSK (ключ для IPsec тоннеля, должен быть идентичен на обоих устройствах) и политики шифрования для первой и второй фазы.
  • Создание IPsec тоннеля.
  • Создание разрешающих IP политик (разрешить трафик в тоннель и обратно).

Настройка DFL-870.

Создание объектов.

Пример для CLI.

add Address IP4Address remote_dev Address=10.0.0.2
add Address IP4Address remote_net Address=192.168.20.0/24
add PSK tunkey Type=ASCII PSKAscii=1234567890
add IKEAlgorithms ike_des DESEnabled=Yes SHA1Enabled=Yes
add IPsecAlgorithms ipsec_des DESEnabled=Yes SHA1Enabled=yes

Пример для Web интерфейса.

Пройдите в Web интерфейсе Objects → Address book, нажмите кнопку Add и выберите IP4 Address.

Заполните поля следующим образом:

Name: remote_dev
Address: 10.0.0.2

Нажмите кнопку Ок.

Аналогичным образом создайте объект remote_net со следующими параметрами:

Name: remote_net
Address: 192.168.20.0/24

Пройдите в Web интерфейсе Objects → IKE Algorithms, нажмите кнопку Add и выберите IKE Algorithms

Включите протокол шифрование DES и контроль целостности sha1, в поле name укажите ike_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → IPsec Algorithms, нажмите кнопку Add и выберите IPsec Algorithms.

Включите протокол шифрование DES и контроль целостности sha1, в поле Name укажите ipsec_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → Key Ring, нажмите кнопку Add и выберите Pre-Shared Key

Заполните поля следующим образом:

Name: tunkey
Type: Passphrase (выбрать из выпадающего меню)
Shared Secret: 1234567890
Confirm Secret: 1234567890

Нажмите кнопку Ок.

Настройка IPsec тоннеля.

Пример для CLI.

add Interface IPsecTunnel tun PSK=tunkey LocalNetwork=InterfaceAddresses/lan1_net RemoteNetwork=remote_net RemoteEndpoint=remote_dev IKEAlgorithms=ike_des IPsecAlgorithms=ipsec_des

Пример для Web интерфейса.

Пройдите в Web интерфейсе Network → Interfaces and VPN → IPsec нажмите кнопку Add и выберите Ipsec Tunnel.

Заполните поля на вкладке General следующим образом:

Name: tun
Local Network: lan1_net (выбрать из выпадающего меню)
Remote Network: remote_net (выбрать из выпадающего меню)

Пройдите на вкладку Authentication и заполните поля следующим образом:

Authentication Method: Pre-shared Key
Pre-shared Key: tunkey

Пройдите на вкладку IKE (Phase-1) и в поле Algorithms укажите ike_des

Пройдите на вкладку IPsec (Phase-2) и в поле Algorithms укажите IPsec_des

Настройка IP политик.

Пример для CLI.

add IPPolicy Name=from_tun SourceInterface=tun SourceNetwork=remote_net DestinationInterface=lan1 DestinationNetwork=InterfaceAddresses/lan1_net Service=all_services Action=Allow

add IPPolicy Name=to_tun SourceInterface=lan1 SourceNetwork=InterfaceAddresses/lan1_net DestinationInterface=tun DestinationNetwork=remote_net Service=all_services Action=Allow

Пример для Web интерфейса.

Пройдите в Web интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку Add и выберите IP Policy.

Заполните поля как показано на рисунке ниже затем нажмите кнопку Ок.

Нажмите кнопку Add и выберите IP Policy, заполните поля как показано на рисунке ниже.

Нажмите кнопку Ок.

Сохраните и активируйте настройки.

Настройки DFL-260E.

Создание объектов.

Пример для CLI

add Address IP4Address remote_dev Address=10.0.0.1
add Address IP4Address remote_net Address=192.168.10.0/24
add PSK tunkey Type=ASCII PSKAscii=1234567890
add IKEAlgorithms ike_des DESEnabled=Yes SHA1Enabled=Yes
add IPsecAlgorithms ipsec_des DESEnabled=Yes SHA1Enabled=yes

Пример для Web интерфейса.

Пройдите в Web интерфейсе Objects → Address book, нажмите кнопку Add и выберите IP4 Address.

Заполните поля следующим образом:

Name: remote_devAddress: 10.0.0.1

Нажмите кнопку Ок.

Аналогичным образом создайте объект remote_net со следующими параметрами:

Name: remote_net
Address: 192.168.10.0/24

Пройдите в Web интерфейсе Objects → IKE Algorithms, нажмите кнопку Add и выберите IKE Algorithms

Включите протокол шифрование DES и контроль целостности sha1, в поле name укажите ike_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → IPsec Algorithms, нажмите кнопку Add и выберите IPsec Algorithms.

Включите протокол шифрование DES и контроль целостности sha1, в поле Name укажите ipsec_des, затем нажмите кнопку Ок.

Пройдите в Web интерфейсе Objects → Key Ring, нажмите кнопку Add и выберите Pre-Shared Key

Заполните поля следующим образом:

Name: tunkey
Type: Passphrase (выбрать из выпадающего меню)
Shared Secret: 1234567890
Confirm Secret: 1234567890

Настройка IPsec тоннеля.

Пример для CLI.

add Interface IPsecTunnel tun PSK=tunkey LocalNetwork=InterfaceAddresses/lannet RemoteNetwork=remote_net RemoteEndpoint=remote_dev IKEAlgorithms=ike_des IPsecAlgorithms=ipsec_des

Пример для Web интерфейса.

Пройдите в Web интерфейсе Network → Interfaces and VPN → IPsec нажмите кнопку Add и выберите Ipsec Tunnel.

Заполните поля на вкладке General следующим образом:

Name: tun
Local Network: lannet (выбрать из выпадающего меню)
Remote Network: remote_net (выбрать из выпадающего меню)
IKE Algorithms: ike_des (выбрать из выпадающего меню)
IPsec Algorithms: ipsec_des (выбрать из выпадающего меню)

Перейдите на вкладку Authentication, в поле Pre-shared key укажите tunkey.

Нажмите кнопку Ок.

Создание IP политик.

Пример для CLI.

add IPPolicy Name=from_tun SourceInterface=tun SourceNetwork=remote_net DestinationInterface=lan DestinationNetwork=InterfaceAddresses/lannet Service=all_services Action=Allow

add IPPolicy Name=to_tun SourceInterface=lan SourceNetwork=InterfaceAddresses/lannet DestinationInterface=tun DestinationNetwork=remote_net Service=all_services Action=Allow

Пример для Web интерфейса.

Пройдите в Web интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку Add и выберите IP Policy.

Заполните поля как показано на рисунке ниже затем нажмите кнопку Ок.

Нажмите кнопку Add и выберите IP Policy, заполните поля как показано на рисунке ниже.

Инструкция D-LINK DFL-870 (DFL-870/A1A) для устройства маршрутизатор содержит страницы на русском языке.

Размер файла: 1.20 MB. Состоит из 5 стр.

Вы можете скачать pdf файл этой инструкции: Скачать PDF

В) Механическая нагрузка — Не размещайте на устройстве
посторонние предметы. При установке устройства в стойку

Г) Перегрузка электросети — Подключение устройства к сети
питания не должно приводить к перегрузке проводников и
устройств защиты от перегрузки по току. При определении
оптимальных параметров подключения к сети питания
руководствуйтесь электротехническими характеристиками,
указанными на маркировке устройства.

Д) Заземление — Устройство должно быть заземлено, если это
предусмотрено конструкцией корпуса или вилки на кабеле питания.

Установка межсетевого экрана в стойку

Пожалуйста, следуйте приведенным ниже инструкциям
по установке DFL-870 в 19-дюймовую стойку.
1. Прикрепите входящие в комплект поставки кронштейны

к боковым панелям DFL-870 и зафиксируйте их с
помощью входящих в комплект поставки винтов.

Рисунок 3: Крепление кронштейнов

2. Установите межсетевой экран в стойку и

закрепите его с помощью винтов от стойки.

Рисунок 4: Установка устройства в стойку

Подключение межсетевого экрана к сети

Перед подключением к сети: При включении питания
DFL-870 подождите 1-2 минуты, когда загрузка устройства
будет завершена. Пожалуйста, следуйте приведенным
ниже инструкциям по выполнению сетевых соединений:
1. Подключите внешний маршрутизатор к порту WAN1

межсетевого экрана с помощью Ethernet-кабеля.
По умолчанию в качестве порта WAN1 настроен порт 1.

2. (Опционально) Подключите коммутатор к порту DMZ

(порт 3) DFL-870 с помощью Ethernet-кабеля.

3. Подключите другие Ethernet-устройства к портам

LAN (порты 4, 5, 6) DFL-870 с помощью Ethernet-
кабелей. Данные порты настроены в качестве
интерфейсов LAN по умолчанию.

4. Подключите станцию управления к консольному

порту DFL-870 с помощью входящего в комплект
поставки кабеля для настройки устройства через CLI.

Примечание: При подключении ПК к консольному порту с
помощью входящего в комплект поставки кабеля с разъемами
Mini-USB и USB, ОС Windows распознает устройство и
автоматически установит соответствующий драйвер. При
использовании системы Linux или Mac OS Вам, возможно,
потребуется скачать и установить драйверы для
Mini-USB. Чтобы скачать драйверы, зайдите на сайт

http://security.dlink.com.tw и перейдите в

Support > Download Software.

Доступ к межсетевому экрану

Доступ к Web-интерфейсу DFL-870 можно получить,
используя один из следующих браузеров: Firefox 11+,

Opera 11.6+, Safari 5+, Internet Explorer 9+ или Chrome 18+.

Примечание: Доступ к DFL-870 можно получить с любого
узла управления, используя как HTTP, так и HTTPS-соединение.
Однако в целях безопасности, по умолчанию разрешено только
защищенное HTTPS-соединение. Для получения дополнительной
информации о настройке параметров подключения,
пожалуйста, обратитесь к руководству пользователя.
1. Подключите станцию управления к порту LAN1

(порт 4). Убедитесь, что станция управления
настроена со статическим IP-адресом из

192.168.10.2-254 и маской подсети

2. Откройте один из указанных выше Web-браузеров

и введите в адресной строке IP-адрес по умолчанию

следует оградить его от опасности повреждения, вызываемого

неравномерным распределением механической нагрузки.

Б) Вентиляция — Необходимо предусмотреть достаточную
вентиляцию для обеспечения безопасной работы устройства.

А) Рабочая температура — Температура условий эксплуатации
не должна превышать максимальную рабочую температуру
окружающей среды, разрешенную производителем.

Не давно компания D-Link объявила о завершении выпуска межсетевых экранов DFL-260E и DFL-860E. Новость огорчила многих пользователей т.к. эти модели очень хорошо показали себя в работе. На счету лаборатории ИТ для бизнеса десятки успешных внедрений, как единичных установок, так и комплексные развертывания распределенных корпоративных сетей с IPsec туннелями, балансировкой нагрузки и резервированием WAN соединений. Взамен D-Link предложила новую модель межсетевого экрана DFL-870. Производитель гарантирует полную совместимость в настройках. Изменяется только аппаратная часть на более производительную и надежную. Но объявленная цена не радует. Если раньше покупатель для сегмента SMB (Small Medium Business) мог выбирать между функциональным, но менее производительным DFL-260E за $325 и более производительным DFL-860E за $650, то теперь остается только один DFL-870 за $650.

Упаковка и комплектация

Предлагаем Вашему вниманию сравнительный анализ нового DFL-870 с «устаревшими» DFL-260E и DFL-860E, делая акцент на различиях. Межсетевой экран DFL-870 поставляется в строгой упаковке, свойственной продукции D-Link для корпоративного сектора. Товарная этикетка на коробке отображает версию аппаратной ревизии устройства и версию Firmware.

Комплект поставки включает:

  • Межсетевой экран DFL-870;
  • Кабель питания 1,5 метра 220В с евро вилкой;
  • Ethernet патч-корд 1,5 метра серого цвета, прямой;
  • Резиновые амортизаторы (4 шт.) для установки DFL-870 на поверхности;
  • Два кронштейна для монтажа DFL-870 в 19” коммуникационный шкаф;
  • Технические характеристики на русском языке и краткое руководство по установке на английском языке.

Первое, что бросается в глаза при распаковке это малый размер устройства. Габариты корпуса DFL-870 равны габаритам DFL-260E. Количество Gigabit Ethernet портов меньше, чем у DFL-860E и DFL-260E. Кроме того, в новой модели отсутствует классификация портов (WAN, DMZ, LAN). Ранее мы читали, что в новом устройстве каждый порт является полноценным т.е. маршрутизируемым, но об этом позднее.

По-прежнему на фронтальной панели 2 USB коннектора А-типа. К сожалению, эти порты так же не имеют функциональной пользы для потребителя. Хотелось бы иметь возможность подключения 3G/4G модемов для резервирования WAN соединения. В новом устройстве консольный порт выполнен в стандарте Mini USB B-типа вместо RJ-45. Это вполне логично и не допускает ошибочной коммутации. На задней панели 870-го имеется выключатель, что более удобно, как показывает практика, чем его отсутствие в DFL-260E. Боковые стенки имеют крупную перфорацию для обеспечения естественной вентиляции. Устройство полностью бесшумное т.к. не оснащено вентиляторами. В целом дизайн строгий, лаконичный и не вызывает нареканий.

Включение и настройка

Перед включением нам необходимо заглянуть в документацию. В «старых» DFL все было интуитивно понятно. Имеется группа портов LAN и для подключения к web-интерфейсу устройства нам необходимо подключиться к этой группе портов. В новом 870-м не все так очевидно. Порты 1 и 2 расположены отдельно, как бы намекая нам, что они WAN.

Заметим, что DFL-870 после включения загружается до рабочего состояния достаточно быстро (около 30 секунд). Для сравнения DFL-260E требуется для загрузки более минуты. Короткое время загрузки полезно при аварийных перезапусках. Однако, для таких надежных устройств как межсетевые экраны серии DFL, это требуется очень редко.

Открываем руководство по быстрой установке (печатное из комплекта поставки или электронное, скачанное с сайта) на второй странице и видим, что доступ Web-интерфейсу разрешен только из LAN1, т.е. с порта №4 .

Примечание: Для начального конфигурирования Вы можете использовать консольный порт, но Web-интерфейс представляется нам удобнее и нагляднее.

Включаем на компьютере автоматическую настройку IP-сети (DHCP), подключаем патч-корд к порту №4 DFL-870, вводим в строке браузера 192.168.10.1 и получаем окно вводи логина и пароля. В нижней части страницы приводится список совместимых браузеров. Для подключения вводим логин / пароль по умолчанию: admin / admin .

Примечание: Если по каким-то причинам Вы не увидели страницу логина, попробуйте отключить / включить патч-корд от порта №4 DFL-870. Убедитесь, что Вы переадресованы на страницу https и получили соответствующее предупреждение. Подтвердите переход на страницу с не доверенным сертификатом. Если по каким-то причинам Вы не переадресованы на https страницу, попробуйте набрать в адресной строке браузера https://192.168.10.1 .

Интерфейс англоязычный. Межсетевой экран — это достаточно сложное устройство, поэтому администратор должен обладать хотя бы начальными навыками проектирования и безопасности IP-сетей. Отсутствие локализованного интерфейса не должно смущать такого администратора, тем более, что большинство терминов нет смысла переводить. Тем не менее, компания D-Link выпускает локализации интерфейса для серии DFL, которые можно скачать с сайта производителя. К сожалению, версии локализации отстают от версий Firmware.

Примечание: Если Вы решите установить локализацию интерфейса DFL, убедитесь в ее совместимости с версией Firmware.

Web-интерфейс нового DFL-870 идентичен предыдущим моделям. За исключением некоторых деталей. На главной странице статуса устройства имеется счетчик доступных / задействованных ресурсов. В таблице приведены данные для различных устройств серии DFL.

Параметр DFL-260E DFL-860E DFL-870
IPsec 100 200 200
PPP 100 200 200
802.1q VLAN 8 16 128
VLAN на основе портов Есть Есть Нет
Правила Firewall 500 1000 2000
Режим HA Нет Нет Есть

Новая модель DFL-870 обеспечивает более высокую производительность. Отсутствие функции VLAN на основе портов связано с тем, что в 870-м нет встроенного коммутатора. Каждый порт независим и может быть настроен на отдельную IP-сеть к которой могут быть применены самостоятельные политики безопасности, правила Firewall и маршруты. Таким образом, несмотря на меньшее количество физических портов Gigabit Ethernet DFL-870 обладает большей производительностью и функционалом с точки зрения управления трафиком.

Тип интерфейса
DFL-260E DFL-860E DFL-870
WAN 1 2
DMZ 1 1
LAN 1 1
Настраиваемый 6
Всего 3 4 6

Справедливости ради отметим, что в предыдущих моделях можно создать VLAN для каждого порта встроенного коммутатора и количество маршрутизируемых интерфейсов увеличится. Но такие действия требуют отдельных усилий в настройке и вычислительных ресурсов устройства. К тому же, если к DFL-870 подключить коммутатор (ы) с поддержкой 802.1q VLAN, то количество маршрутизируемых сетей можно увеличить на (128 минус количество задействованных портов для подключения внешних коммутаторов). Это очень серьезные возможности, которые могут удовлетворить сетевые потребности большинства организаций.

Обратим Ваше внимание на наличие в новой модели функции HA (High Availability или Высокая Доступность). До сих пор этот функционал был доступен в старших моделях DFL-1600 и DFL-2500. Функция HA позволяет создать высоко доступный кластер устройств с автоматическим резервированием. Для реализации этой функции соединяется два устройства, определяется Master и Slave (ведущее и ведомое), пути синхронизации конфигурации. Таким образом можно в автоматическом режиме выявлять и устранять отказы каналов связи, избежать проблем, связанных с отказом устройства, синхронизировать сессии VPN и Firewall. Настройка параметров режима HA производится из меню SystemDeviceHigh Availability.

Еще одна из новинок DFL-870 это наличие контроля датчиков аппаратного мониторинга (Hardware Monitoring). В предыдущих версиях функции аппаратного мониторинга ограничивались контролем состояния оперативной памяти. В новом устройстве добавляется контроль датчиков. В частности, в DFL-870 на нашем тесте есть датчик температуры процессора. Имеется возможность добавить для мониторинга датчик частоты вращения вентилятора, но нам это сделать не удалось, тем более, что внутри DFL-870 никакого вентилятора нет. Возможно имеются датчики температуры других компонентов (памяти, блока питания, печатной платы), но этот вопрос требует пояснений производителя.

Суть мониторинга заключается в том, что в настройках задается максимальное пороговое значение и в случае его превышения система оповестит администратора или выполнит предопределенное действие (например, отключение устройства).

Несколько слов об IPsec. Дело в том, что линейки прошивок DFL для России и всего остального мира различаются. Это связано с ограничениями ФСБ России на использование средств шифрования с длиной ключа свыше 56 бит. Поэтому в параметрах создания туннеля IPsec Российской версии прошивки администратор увидит сильно урезанный список (NULL и DES). В случае применения прошивок с индексом WW (World Wide) список алгоритмов шифрования расширяется (NULL, DES, 3DES, CAST128, Blowfish, Twofish, AES).

Выводы и впечатление

Новая модель межсетевого экрана D-Link DFL-870 получилась удачной, обеспечивает более высокую производительность и новые функциональные возможности, свойственные устройствам корпоративного уровня. Однако с выпуском новой модели с рынка уходит качественное устройство для малого бизнеса (DFL-260E). Теперь за устройство с возможностями интеграции с сетевыми службами и богатой функциональностью VPN придется платить вдвое больше. Остается надеяться, что D-Link сможет предложить что-то взамен.

Что касается владельцев сетей от 30 рабочих мест или просто любителей качественного сетевого оборудования, то им смело можно рекомендовать DFL-870 к покупке. Новое устройство получилось более функциональным, производительным и гибким.

Приобрести DFL-870 на выгодных условиях Вы можете в нашем интернет-магазине, а наши специалисты помогут Вам с настройками и консультациями по эффективному использованию межсетевого экрана в различных условиях.

Читайте также:  Java лямбда выражения примеры

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *