Почему Keenetic Peak - идеальный роутер для периферийных (Edge) проектов
Если перед вашей компанией стоит задача подключить к интернету десятки небольших объектов, таких как выездные торговые точки, деревенские магазинчики, эко-отели в отдалённых уголках планеты, да и просто маленькие офисы в бизнес-центрах, вы наверняка неприятно удивитесь тому, сколько стоит специализированное оборудование для периферийных (Edge) инсталляций. Я предлагаю рассмотреть вариант использования для таких случаев топовых домашних интернет-роутеров Keenetic, и расскажу вам почему последовав моему совету вы не только сэкономите, но и решите максимум возникающих задач, но сначала чуть поговорим про Edge.
Концепция Edge, если по-простому, это «суровые условия»: никаких охлаждаемых стоек дата-центров, никаких настенных шкафов, а скорее наоборот: вот всё что есть в IT сфере самого плохого, всё оно вам встретится на объектах, которые ранее к интернету не подключались, и ваше оборудование должно быть к этому готово: крепление на стенах, пыль, забивающая вентиляторы, вечные уборщицы, отрывающие провода - это ещё цветочки. У вас на разных объектах могут быть разные интернета: Ethernet от домашнего провайдера, магистральная оптика, 3G, Wi-Fi или всё и сразу, при этом очень хочется сохранять одинаковую номенклатуру оборудования на каждой точке для оперативной замены и одинакового обслуживания. Так почему же Keenetic, и в частности модель Peak?
Интернет
Раз уж мы упомянули типы подключений, давайте с них и начнём. Keenetic Peak позволяет подключаться как по RJ45 к обычному кабельному интернету, так и по оптике, для чего модель имеет SFP-слот. Помимо этого, роутер совместим с 3G/4G модемами, подключаемыми к USB-порту. Но самое интересное, что эта модель имеет Wi-Fi контроллер с формулой 4х4, который может работать в режиме моста: подключаться к интернету через Wi-Fi и поддерживать работу локального Wi-Fi в том же диапазоне.
Конечно, есть небольшие ограничения: поскольку для приёма и раздачи Wi-Fi используется один и тот же радиомодуль, локальная беспроводная сеть будет работать на том же канале, что интернет, что не всегда удобно, но не принципиально.
Для тестирования производительности роутера, был запущен стенд с использованием нескольких виртуальных машин и сетевых устройств:
- Windows Server 2019 - в диапазоне внешних IP адресов, генерирующая нагрузку со стороны WAN
- 2 x Windows Server 2019 - в диапазоне внутренних IP адресов, подключенные к LAN-портам роутера, генерирующие нагрузку со стороны локальной сети
- Точка доступа Huawei AirEngine 8760-X1-Pro в диапазоне внешних IP адресов для тестирования WISP
- 10-гигабитный сетевой коммутатор Zyxel XS1930-12HP на стороне LAN
- Сетевые карты Intel X550-T2 для подключения к нагрузке
Для генерации нагрузки использовался iPerf3 по протоколу TCP в 8 потоков.
Гораздо важнее, что роутер может резервировать интернет-подключение: например, использовать кабель в качестве основного способа соединения с сетью, а Wi-Fi и/или 4G - в качестве запасного. При этом, если смотреть на проводные подключения, то любой из портов можно назначить как для локальной сети, так и для WAN, и это - не единственная особенность встроенного коммутатора.
Коммутатор
Keenetic Peak имеет 10 портов, то есть даже если у вас используется проводное подключение к NAS, МФУ и рабочим местам, почти всегда вы обойдётесь без покупки дополнительного коммутатора. На уровне роутера поддерживается работа VLAN по принципу «1 порт - 1 виртуальная сеть», что позволит сегментировать ЛВС в целях повышения безопасности, особенно когда у вас установлены устройства с закрытой операционной системой (различные датчики, проекторы, IP телефоны и прочие девайсы, не гарантирующие что в них нет «закладок»).
Так же на уровне коммутатора реализованы технологии повышения надёжности сети, которые обычно в домашних роутерах не используются. Прежде всего, это хорошо всем известная защита от петель (STP протокол с поддержкой MSTP/RSTP/STP).
Наверняка вы сталкивались с ситуацией, когда кто-то подключает сетевой кабель не туда, и коммутатор «повисает» из-за образующейся петли, останавливая работу сети. В случае, если на порту Keenetic Peak образуется такая петля, роутер просто останавливает проблемные порты, но остальная сеть продолжает работу, а в интерфейсе указывается на образование петли.
Начиная с версии KeeneticOS 3.7.0, в устройстве появился кабель-тестер, способный показать обрыв или неправильную обжимку на линии.
Что особенно приятно, Keenetic Peak показывает вам расстояние до обрыва с погрешностью около 1 метра. В условиях, когда кабель проложен за мебелью, в плинтусах или за фальш-потолком, и этого бывает достаточно, чтобы вырезать проблемный кусок и установить вставку.
Ещё одним свойством дорогих управляемых коммутаторов является аггрегация каналов (здесь используется логика XOR, а не LACP). В Keenetic Peak объединить можно попарно два порта: 5+6 и 9+10. На ответном устройстве в настройках нужно указать тип бонда «ip addr+port». То есть, можно подключить компьютер к NAS и получить двойную скорость передачи файлов. Но в большинстве случаев NAS-ом может выступать и сам Keenetic.
NAS-функции
Keenetic Peak имеет USB 3.0 порт, в который можно подключить как флешку, так и внешний SSD и настроить общий файловый обмен по протоколу SMB/CIFS. Мы подробно рассматривали эту возможность ранее в этой статье, и с тех пор каких-то принципиальных изменений в этом плане не было. Разве что, сегодня имеет смысл использовать вместо внешних HDD, твердотельные накопители - скорость и USB 3.0 и процессора и даже самой простой док-станции позволяет полностью загрузить сетевой порт. Для тестирования я использовал SATA-накопитель Intel DC S3500 для серверного сегмента. Первоначально я купил для теста простой переходник USB30-SATA без внешнего питания, но он этот SSD не потянул, и пришлось обменять его на 20-долларовую док-станцию DEXP с блоком питания. Эта связка работала превосходно!
Для тестирования использовался сервер с двумя виртуальными машинами под Windows Server 2019, в каждую из которых был проброшен аппаратный 10-гигабитный сетевой контроллер Intel X550-T2. Виртуалки соединялись напрямую с LAN-портами роутера Keenetic, к которому был подключён SSD через док-станцию. Для замеров скорости использовался тестовый пакет IOmeter.
То есть, на подключенный SSD можно не только писать документацию, логи оборудования или файлы с системы видеонаблюдения, но и вообще использовать сетевой диск для установки на него программ и запуска их по сети.
На данный момент поддерживается протокол SMB, причём подключенный диск может выполнять роль Time Machine для бэкапов техники Apple. Сам накопитель может иметь файловую систему NTFS (то есть его достаточно отформатировать под Windows), ExFAT (файловая система, с которой продаются многие внешние SSD диски), FAT/FAT32, HFS+ (применяемую в технике Apple) или EXT2 / EXT3 / EXT4.
Выдающиеся результаты! По пропускной способности, этот NAS показывает производительность, сопоставимую с суммарной скоростью двух сетевых портов, при этом загрузка процессора превышает 75%. Очевидно, что устройство легко можно использовать для таких задач последовательного чтения/записи, как архивирование, восстановление резервных копий, запись на сетевую папку со сменных носителей через ПК и видеонаблюдение. Причём, тут есть один нюанс: некоторые IP-камеры, например Hikvision, могут сохранять видеозаписи только в запароленные папки, а если предложить им публичную папку с открытым гостевым доступом - они писать откажутся. Для решения этой проблемы в Keenetic есть модуль управления правами доступа. Количество операций чтения/записи и задержка дисковых команд достаточно подойдут и для офисных программ, и для хостинга микросервисов, и для резервировного копирования и для сохранения метрики IoT датчиков. Тут, разве что, недостаёт квотирования томов, но можно вручную разметить накопитель на нужные объёмы.
VPN
Сегодня многие инженеры предпочитают строить сети по принципу «всё через VPN»: на объекте устанавливается шлюз, который весь исходящий трафик направляет через туннель в централизованный гейт в облаке или центральном офисе. Там трафик проходит через IDP-защиту и антивирус, и считается безопасным. Тут Keenetic может выступать и как клиент, и как сервер, поддерживающий все современные протоколы: PPTP, IPSec, универсальный OpenVPN, экзотический SSTP и очень быстрый WireGuard.
Для тестирования использовалась та же конфигурация из виртуальных машин, что и для скорости коммутатора. Здесь меня интересовала как скорость между двумя клиентами VPN-сервера, подключенными со стороны WAN (на диаграмме обозначено например Wireguard-to-Wireguard), так и скорость между клиентом VPN-сервера и машиной, подключенной к локальной сети (на диаграмме обозначено например Wireguard-to-LAN). Для генерации нагрузки использовался iPerf3 в 8-поточном режиме
Предыдущие модели Keenetic имели аппаратную разгрузку AES, но в модели Peak этого уже нет, и вся обработка трафика осуществляется программно. Однако, мощный 2-ядерный процессор вытягивает на себе работу VPN настолько хорошо, что можно не ограничиваться 100-мегабитным каналом, а подключать более высокоскоростной интернет и настраивать прямую связь, например, между СХД в главном ЦОДе компании и камерой наблюдения на объекте, подключенной через VPN. Роутер может раскрыть потенциал 1-гигабитных интернет-каналов.
Удалённое управление
Независимо от того, использует ли ваш провайдер белые динамические IP адреса или вовсе держит всех клиентов за NAT, доменная служба KeenDNS позволит всегда иметь доступ к веб-интерфейсу роутера. Для "серых" IP-адресов есть ещё и возможность настраивать удалённый доступ к web-интерфейсу каких-либо сетевых устройств, например NAS или системой управления питания. В условиях, когда роутер периодически переключается между резервным и основным каналами, это особенно актуально: всегда, когда есть интернет, вы можете зайти в Web-панель и посмотреть логи, сделать перезагрузку или проверить статистику использования.
Вся процедура получения доступа к устройству через облако сведена к минимуму: просто вбиваем будущее доменное имя, и если оно свободно, ваш Keenetic будет доступен через интернет по зашифрованному соединению по указанному адресу. Нигде не нужно не регистрироваться, ни вводить E-Mail, ничего не надо подтверждать - всё прямо как в сказке. Правда, если вы всё же зарегистрируетесь в системе, то сможете получать на почту уведомления, иметь доступ к расширенной статистике и т.д.
Облачный мониторинг парка Keenetic-ов
Что сегодня является самой “горячей” фишкой среди производителей сетевого оборудования? Конечно же централизованный сервис мониторинга и управления всем парком устройств, в разных уголках мира. Недавно Keenetic запустил собственное облако RMM (пока в стадии бета и только на английском языке) для облегчения массового управления “Кинетиками” в крупной организации.
Для настройки нужно перейти по адресу https://rmm.keenetic.com и зарегистрироваться в системе. После регистрации, можно и нужно настроить двухфакторную аутентификацию. Теперь убедитесь, что для всех роутеров, которые вы хотите добавить в централизованный интерфейс управления, включен облачный доступ через KeenDNS, о чём мы говорили двумя абзацами выше, а затем просто вводите их адреса и логиньтесь от имени администратора. Здесь есть очень приятный момент: сам факт добавления роутера в "облако" никак не отражается на его конфигурациях, в этом процессе он даже не перегружается и не отключает клиентов.
На загрузку информации с роутера уходит несколько минут, но по итогу вы получаете:
- красивый дашборд с графиками распределения трафика
- статистику по подключенным проводным/беспроводным клиентам
- возможность удалённой перезагрузки роутера
- уведомления в telegram о статусе устройства
- доступ к web-интерфейсу роутера без ввода логина/пароля
Что можно делать на текущий момент с роутерами? Прежде всего, перегружать и обновлять прошивку, причём сразу для нескольких устройств. Подключенным клиентам можно присваивать теги, но какого-то влияния на них из дашборда нет: всё, что вы хотите осуществить на более детальном уровне, вам придётся делать через Web-интерфейс непосредственно роутера. Конечно, это очень приятный шаг для пользователей Keenetic, строящих проекты на этом оборудовании, особенно Mesh-сети, ведь в Keenetic RMM можно просматривать существующие сети и включенные в них устройства, но всё же хотелось бы в будущем видеть размещение девайсов на карте, лёгкую настройку VPN между узлами, единые правила аутентификации для Wi-Fi, экспорт логов и прочие фишки "взрослых" корпоративщиков.
Приоритизация трафика на основе приложений
Последнее время в связи с ростом трафика в сети, стала особенно актуальной возможность настраивать очерёдность прохождения пакетов, в зависимости от того, к какому приложению или хотя бы роду приложений они принадлежат. В высоконагруженных сетях, где в пиковые часы работы WAN-каналы загружены полностью, QoS помогает проводить видео-конференции и пользоваться IP-телефонией без задержек. Сегодня для интернет-шлюзов хорошим тоном считается использование сигнатур, содержащих параметры соединений наиболее распространённых приложений (IP-адреса и домены серверов, а так же порты и размеры пакетов). Достаточно мощные шлюзы могут без задержек классифицировать исходящие пакеты, выстраивая очередь для приоритетного прохождения чувствительных к задержке приложений - тех же VoIP, конференц-связи и игр. Такая возможность появилась и в Keenetic: на сегодня шлюз может классифицировать свыше 1600 приложений, достаточно лишь установить приложение IntelliQoS.
Никакой пользовательской настройки делать не надо - просто включаете эту функцию и выбираете мышкой, трафик какой категории приложений ставить в списке повыше, а какой - пониже. Естественно, речь идёт только об исходящем трафике, ведь когда пакет из интернета уже пришёл на ваш роутер, выставлять ему приоритет уже бесполезно.
И уж если Keenetic знает, к какому классу принадлежит каждый сетевой пакет каждого клиента, то нет ничего сложного отобразить в панели мониторинга, а кто конкретно какой трафик генерирует, и собственно кто качает торренты :). Кстати, анализатор трафика очень удобно использовать для детектирования аномалий, да и вообще для понимания узких мест канала и возможностей оптимизации, например чтобы переместить окно резервного копирования устройств, перейти на более высокоскоростные облачные сервисы или детектировать работу зловредного ПО в сети.
Заключение
Keenetic активно продвигается в бизнес-сегмент, и это хорошо сказывается как на домашних пользователях, реализующих сложные сетевые проекты, связывающие несколько квартир и дач в единую систему, так и на тех компаниях, которые создают вполне жизнеспособные отказоустойчивые решения на периферийных объектах крупных компаний. То, что у Keenetic достаточно мощности процессоров для реализации VPN на скорости, сравнимой с тарифом провайдера, мы видели и ранее - сегодня этим никого не удивишь, ведь сетевой мир двинулся в сторону упрощения развёртывания, безопасности внутри периметра и облегчения обслуживания.
Что уже есть
Здесь, оказывается, у Keenetic тоже давно всё есть: и изоляция клиентов в подсетях, и централизованный контроллер беспроводной сети с лёгким добавлением звеньев, и доступ к устройствам с серым IP, и теперь ещё централизованная система управления через Web. В интерфейс встроен удобный трафик-шейпер и аналитика сетевой активности клиентов, которая при включении IntelliQoS ещё и показывает тип приложений. При нехватке покрытия встроенным Wi-Fi контроллером, можно докупить ещё один Keenetic попроще, и организовать бесшовную сеть. Всего этого достаточно для периферийных объектов невысокой сложности.
Чего нет, но хотелось бы
Такому роутеру как Keenetic Peak не хватает PoE хотя бы на 2-3 портах для IP-камер или настольных телефонов, чтобы можно было полностью оборудовать небольшой объект с единой номенклатурой сетевого оборудования, не покупая PoE инжекторы и свитчи. Хотелось бы иметь возможность отключения соединений между устройствами, подключенными в единый сегмент.
Чего нет и не нужно
Я бы не стал мечтать о каких-то расширенных средствах безопасности, поскольку в периферийных сценариях основная масса клиентов - это устройства автоматизации, и угроза исходит от них, а не извне. У Keenetic есть удобная и наглядная изоляция устройств по подсетям и через VLAN, и этого уже достаточно.
В целом, реализация проектов на Keenetic - это не что-то новое, или из ряда вон выходящее. Вы не откроете Америку, узнав что Keenetic-и часто используются в сегментах HoReCa, в бизнес-центрах и небольших магазинчиках.
О чём ещё почитать?
- На базе Keenetic-ов можно строить большие Wi-Fi сети, с бесшовным роумингом, переключением между диапазонами и централизованным управлением. О том, как это сделать, мы писали здесь.
- Как один из вариантов беспроводной сети, можно рассматривать Mesh-сети, и как это настраивается на Keenetic-ах, мы рассказывали здесь.
- О настройках VPN и доступу пользователей к Wi-Fi через Captive Portal мы рассказывали в этой статье.
- Подробно изучали NAS-функции устройства в этом обзоре.
Михаил Дегтярёв (aka LIKE OFF)
27/01.2022