Хороший роутер за смешные деньги

LordStanis
2/3/2015, 4:13:09 PM
На этой доске есть несколько похожих тем, но все они немного не о том, что я хочу выяснить. А задавать в них после главного вопроса - это почти гарантированно многие пройдут мимо.

Итак. В последнее время пришлось понастраивать порядка десятка моделей #роутеров. Но ни один из них на все 100% меня не устроил. В сумме нужные мне функции на них существовали все. То есть в природе на бюджетных роутерах они есть. Но вот вместе на одном устройстве ни разу не видел. Конкретно интересуют следующие функции:

1. Два и более WAN-портов (Если с распределением нагрузки, то еще лучше)(Суммарное количество WAN и LAN не менее 5-ти)
2. Отдельный IP на каждом LAN-порте.
3. Толковые IP и MAC-фильтры (Вход/Выход) на WAN.
4. Настраиваемый Firewall.
5. Родительский контроль.
6. Полноценный NAT.
7. Web-интерфейс.
8. Не обязательно, но, возможно, сервер VPN

И вот ожидаемый вопрос: "Такой существует в ценовом диапазоне до 10 000 рублей?

Я отдаю себе отчет, что можно купить профессиональный Cisco и строить через консоль или заморочиться с софтовым гейтом на Linux, но я оптимист. А вдруг такая железяка существует.
delter
2/5/2015, 12:53:06 PM
был , 3 года назад
LordStanis
2/5/2015, 4:08:58 PM
(delter @ 05.02.2015 - время: 13:53)
был , 3 года назад

Не понятен смысл ответа.

Три года назад был:

а) такой #роутер

б) такой топик

в) автор поста на этой доске

г) что-то еще

Alpha51
4/4/2015, 6:08:47 PM
попробуй что нить с линейки микротиков! стоимость до 100 у.е. и хороший функционал
LordStanis
4/4/2015, 7:42:03 PM
Смотрел парочку, которые в рознице лежат. Сочетание цена-качество у них хромает. При одинаковой стоимости с каким-нибудь Netgear, Микротик может раза в полтора меньше.
lamma
4/6/2015, 1:41:31 AM
1. Берем Cisco 2811 - 12тыр,
2. вставляем коммутационный модуль NM-16ESW (это полноценный L3 коммутатор: практически Catalyst 3750 - только маленький) - 6тыр.
3. Если надо 3г аплинк: HWIC-3G-GSM - 14тыр.

И получаем чудо, которое запрашиваем. И имеем 18 полностью управляемых как угодно портов 100 mbps на выходе.

По цене - минимум 18тыр. Но зато оно работает, надежно и не компостирует голову - в отличии от тазиков и всевозможных мыльниц. Оборудование, конечно, будет бывшее в употреблении. Но по сути - не пофигу ли.

Ну и придется прикупить консольный кабель для конфигурирования. Около 100р за бу-шный и около 800р за новый. Кабель рассчитан на ком-порт, если ком-порта нет - плюс переходник за 300р в USB.

Для дома - за глаза. Я не знаю еще ни одного домашнего пользователя - кто мог бы загрузить на 100% банальную 2811. Она даже торренты жует и не давится.


А что такое "полноценный NAT"??? Как можно неполноценно перебить башку пакета?

Касаемо "родительского контроля" - автор надеюсь понимает, что роутеру надо для этого пакет разбирать до 7го уровня и смотреть хттп заголовки? И дешего тут не будет.

Linux/BSD-based роутеры (далее тазики) в этом плане проигрывают. Почему?
1. Если мы не имеем умного свича с vlan и транками - обретаем геморрой с кучей сетевых карт. Если вич есть - транк на тазик и сабы помогут.
2. Размеры и уровень шума. Или тазик размеров непонятных или 2811 циска размеров в 1U где уже в ней есть и коммутатор и маршрутизируемые порты. А в ней можно еще нафик отключить вентиляторы - и шума почти нет. Тазик будет шуметь.
3. Питание - циска жрет мало, тазик много.
4. Циске пофигу на пропажу питания - даже если она выключилась - так же включится, загрузит конфигурацию и продолжит работу. В тазике есть диск - диски не любят неправильное выключение. Привет траблшутинг.
5. И зададимся вопросом - а сколько времени займет конфигурирование тазика? В тазике даже тот же SLA - это пишем скрипт - ставим в крон и имеем лаг на переключение некст-хопа. Балансировка - тоже можно - выучи вагон правил iptables. В cisco это решается двумя строчками и парой очевидных ACL.
6. Если есть IPTV и оно нужно - в тазике его маршрутизировать - это нужно быть готовым забухать на неделю минимум.

Веб-интерфейс у цисок есть. Есть даже отдельная приблуда SDM называется - можно локально с компа конфигурить маршрутизатор. Но это убожество. И полноценно девайс законфигурить во первых сложно, во вторых - куча лишнего в конфигурации. Проще загуглить или скачать как минимум видяйки курса ICND, SWITCH, ROUTE и во первых начать понимать как работают сети, а во вторых за 5 минут настроить то, что веб-интерфейсом настраивать часами с непонятным результатом.

К примеру у меня дома:
Маршрутизатор Cisco 2821 с AIM-VPN-2 модулем и цифрация обрабатывается уже отдельным процессором. Плюс HWIC-3G плата - и даже если на доме сдохли все провайдеры - у меня какой-никакой интернет остается через 3Г c политикой - пускать только меня.
Коммутатор Cisco SG-500-52P (Куча портов, наличие PoE и возможность подключаться хоть по оптике - только SFPшку вставляй нужную).
Точка доступа Cisco Aironet 1600.

В результате имею:
1. Скольугодно больше кол-во апликнов. Кабель в коммутатор, а на маршрутизатор транком пачку вланов. Маршрутизатор это все добро принимает на сабинтерфейсы и прекрасно маршрутизирует
2. Отказоустойчивость по некст-хопу. Помер провайдер, да и черт с ним SLA тут же переключила некст-хоп на другой аплинк. А при желании можно вообще балансировать разные типы трафика слать в разных провайдеров.
3. С NAT и мультикастом проблем нет.
4. Полноценный FW на основе как IP ACL, так и MAC ACL. При желании настраиваем NBAR и делаем policy на основе L7 (но разбор трафика до L7 жрет процессор - нужно понимать что анализировать).
5. Поскольку коммутатор с PoE - нет лишних проводов на точке доступа - она на кабеле висит под потолком и не мозолит глаза.
6. Точка двухдиапазонная - 2,4 и 5 ГГц, плюс возможно создать кучу SSID как для собственных нужд, так и для гостей - нацепив разные политики трафика. К примеру детям отдельный SSID со своими политиками (интернет допустим с 10 утра до 9 вечера с семейными ДНС от яндекса и блокировкой иных днс и типов трафика, кроме хттп - и пусть зубами грызут в поисках неполноценного и контент-фильтр как таковой не нужен). Не говоря уж об изоляции клиентов друг от друга и фильтрации трафика на уровне точки.
7. Полноценный IPv6
8. Наличие динамических протоколов маршрутизации - тот же туннель c шифрацией до работы и не нужно заниматься онанизмом - мою сеть там принимают и маршрутизируют.
9. Наличие VPN сервера - и хоть из зимбабве мы можем прицепится к домашней сети и скачать необходимый документ или же послать на домашний принтер необходимую информацию.
10. На коммутаторе мы можем так же ограничивать на уровне L2 сразу как только пакет поступает в порт - прощай броадкаст штромы - прощай поддельные dhcp и прочая зараза, которая может возникнуть даже в домашней сети.
Продолжать можно до бесконечности.

И что кроме Cisco сможет качественно решить все эти вопросы причем из коробки?
И сколько времени потребуется, что бы тебе фичи собрать на тазике?

Тут могут прибежать любители микротиков. У меня был с ними опыт - последний микротик я ритуально сжег перед офисом. Пусть он и дешевле, но его конфигурирование и траблшутинг проблем - убивает все желание иметь дело с этим поделием. Но любители - пускай любят, я не против садо-мазо. ((((-
semey
12/2/2015, 10:58:03 PM
lamma
Спасибо, очень познавательно, оказывается как много я еще не знаю :))