Router profesional D-Link DSR-1000AC
Os presentamos un completo análisis del router profesional D-Link DSR-1000AC, un modelo que está diseñado específicamente para entornos empresariales de pequeñas y medianas empresas, donde tengamos que segmentar la red local en VLANs independientes y separadas, aunque también podremos intercomunicarlas entre ellas activando el inter-VLAN routing y pasando por el router para controlar los accesos. Este modelo es el más avanzado de D-Link, y nos permitirá configurar en detalle tanto el firewall como también las redes privadas virtuales (VPN). En esta completa review podrás ver las características técnicas del router, el rendimiento real del equipo en diferentes ámbitos, y todas las opciones de configuración de su completo firmware.
Principales características técnicas
Este router profesional del fabricante D-Link es actualmente su tope de gama, no hay ningún router de este fabricante más potente y que permita tantas conexiones simultáneas y tantos túneles VPN levantados. Debido a la gran cantidad de características que tiene este router, vamos a hablar de sus principales características por partes, primero hablaremos de sus características cableadas, después características WiFi, USB, y finalmente las principales opciones del firmware. Un detalle muy importante, es que el firmware está íntimamente relacionado con las características hardware, por lo que también hablaremos de las funcionalidades firmware cuando hablemos del hardware.
Características cableadas
Este router tiene 2 puertos Gigabit Ethernet para la WAN de Internet. El firmware nos permite configurar VLANs en cada una de las dos WAN de Internet, por tanto, es compatible con los operadores de FTTH en España que hacen uso de VLANs para proporcionar el servicio de Internet. También vamos a poder configurar un balanceo de carga entre estas WAN, y ponderar el uso de una u otra WAN, además, podremos configurarlo como failover de la conexión en caso de fallo. Otra característica muy importante, es que tendremos una tercera WAN a través de un módem 3G/4G conectado al puerto USB 2.0 del router. Por último, el firmware soporta las configuraciones de dirección IP estática, dirección IP dinámica, PPPoE y también PPTP/L2TP como suele ocurrir habitualmente en los equipos profesionales. También debemos indicar que soporta redes IPv6 por completo, por tanto, si el operador de Internet utiliza este protocolo de red no tendrás problemas.
Este equipo dispone de 4 puertos Gigabit Ethernet para la LAN. En este caso, también podremos configurar diferentes VLANs en la LAN, esto es ideal para montar una arquitectura de red router-on-stick y que todo el tráfico de las VLANs pase por este router, para permitir o denegar dicho tráfico. Cada uno de los cuatro puertos físicos para la LAN los podremos configurar como acceso o como trunk, dependiendo de si estamos conectando un PC o un switch gestionable con VLANs. También podremos habilitar o no el inter-VLAN routing para intercomunicar las diferentes subredes entre ellas, además, gracias a su completo firewall vamos a poder configurar todos los accesos en detalle. Por supuesto, al crear diferentes VLANs vamos a poder configurar diferentes servidores DHCP, uno por cada subred, para segmentar correctamente a todos los clientes. El firmware nos permitirá configurar el Static DHCP, configurar el IP/MAC Binding, habilitar el protocolo IGMP, UPnP y mucho más.
Características inalámbricas WiFi
Las principales características inalámbricas WiFi de este router, son que es doble banda simultánea con Wi-Fi AC1750. En la banda de 2.4GHz podremos conseguir una velocidad de hasta 450Mbps, gracias a sus tres antenas en configuración MIMO 3T3R. En la banda de 5GHz podremos conseguir una velocidad de hasta 1.300Mbps, gracias a sus tres antenas en configuración MIMO 3T3R. El firmware nos permitirá configurar multiple-SSID, tanto para la banda de 2.4GHz como 5GHz, además, podremos configurar cada SSID en una VLAN ID determinado, para segmentar correctamente la red inalámbrica WiFi y que estén en diferentes subredes que hayamos creado anteriormente.
Algunas configuraciones interesantes del firmware son las de configurar el WDS, el WPS, características avanzadas como el beacon interval, DTIM y otros parámetros.
Características USB
Este router dispone de dos puertos USB 2.0, estos puertos USB tienen diferentes funciones:
- Conectar un módem 3G/4G y utilizarlo como tercera WAN de Internet.
- Cargar firmwares al router directamente, sin usar un PC para subir el firmware vía web.
- Guardar la configuración actual del router, también permite guardado automático al realizar cambios en el router.
- Restaurar la configuración actual del router.
- Compartir una impresora por USB (hay que activarlo específicamente).
- Compartir datos a través de Samba (hay que activarlo específicamente), pero es USB 2.0 por lo que no conseguiremos más de 25MB/s.
Otras características del router
Respecto al tamaño de este router profesional, mide 28cm de ancho, 18cm de profundidad y 4,4cm de alto, con un consumo máximo de 23W a pleno rendimiento.
Este router permite un rendimiento de hasta 950Mbps pasando por su firewall, respecto a las VPN podremos tener un rendimiento de hasta 250Mbps usando el cifrado simétrico 3DES. Además, vamos a poder crear los siguientes túneles VPN:
- Un máximo de 155 túneles VPN
- 70 túneles IPsec
- 20 túneles SSL/TLS
- 25 túneles PPTP/L2TP
- 20 túneles GRE
- 20 túneles OpenVPN
Por supuesto, vamos a poder utilizar cifrados robustos como AES-128 y también AES-256, además, tenemos la posibilidad de configurar SHA256 y SHA384 en diferentes protocolos de VPN. Por último, este router permite hasta 100.000 conexiones concurrentes, 1.000 sesiones nuevas por segundo y crear hasta 600 políticas en el firewall. Otros servicios del firmware son que podremos configurar rutas estáticas y dinámicas (RIP y OSPF), posibilidad de configurar el NAT/PAT en detalle, filtrado de contenido web basado en URL y palabras clave, e incluso tenemos un IPS integrado en el firmware.
Una vez que ya conocemos las principales características de este router profesional, vamos a ver cómo es el router en detalle.
Análisis externo
Este router profesional D-Link DSR-1000AC viene en la típica caja marrón del fabricante D-Link, como el resto de equipos business que siempre vienen en este tipo de cajas. En el lateral derecho de la caja podremos ver una pegatina con el modelo exacto del equipo, el D-Link DSR-1000AC, y también podremos ver el número de serie, la versión hardware del equipo, la versión de firmware que viene instalada de forma predeterminada, y la dirección MAC del router.
En el interior de la caja podremos ver todos los accesorios, documentación del router y también el D-Link DSR-1000AC, el contenido de la caja es el siguiente:
- Router profesional D-Link DSR-1000AC.
- Tres antenas externas duales con conector RP-SMA para el WiFi.
- Soportes y tornillos para enrackar el router.
- Tacos de goma para colocar el router encima de una mesa.
- Transformador de corriente con 12V y 3A, con dos conectores de pared para diferentes mercados (EU y UK).
- Cable de consola, RJ-45 a puerto RS-232.
- Cable de red Ethernet Cat5e.
- Documentación (garantía, declaración de conformidad y guía de instalación rápida).
En la siguiente galería podéis ver en detalle todo lo que incluye la caja de este router profesional.
Los soportes y los tornillos que vienen en la caja del router profesional D-Link DSR-1000AC, nos servirá para meterlo dentro de un rack de 19» típico, este router cumple perfectamente con las dimensiones de altura requeridas para su instalación en un rack con 1U. No obstante, también tenemos tacos de goma para colocar el router encima de una mesa sin ningún problema. Debemos tener en cuenta que es un router profesional orientada a pequeñas y medianas empresas, es posible que un centro de formación no tenga un rack y necesite ponerlo encima de una mesa.
Las tres antenas incorporadas son duales (2.4GHz y 5GHz) y tienen conector RP-SMA, por tanto, solo es necesario enroscarlas y automáticamente tendremos cobertura WiFi sin problemas. También tendremos un transformador de corriente con dos clavijas de pared, la de mercado EU y también UK. Las especificaciones técnicas del transformador de corriente son que es capaz de proporcionar una tensión de corriente de 12V y una intensidad de corriente de 3A, suficiente para alimentar este router profesional sin problemas.
Por último, tenemos un cable RJ-45 a RS-232, es decir, el cable de consola para gestionar este router a través de CLI con programas como Puttty. También tenemos un cable de red Ethernet Cat5e que nos permitirá conectarnos a la red local a una velocidad de 1Gbps.
La documentación incorporada en este router profesional es la garantía del producto, el código GPL del firmware, un CD con toda la información en formato PDF, y lo más importante: una guía de instalación rápida de este router profesional. Esta guía rápida de instalación la tenemos en idioma español, y podremos ver el contenido de la caja, la descripción general del producto, nos describirán los LEDs de estado que tiene este router, e incluso nos ayudará a entrar en el menú del firmware vía web para empezar con su administración avanzada.
Otra información interesante en esta guía de instalación rápida, es cómo debemos colocar este router encima de una mesa o en un rack, además, nos indicará la configuración inicial a través del firmware vía web. Este router está configurado por defecto en 192.168.10.0/24, por tanto, deberemos conectarnos a cualquier LAN y poner en la barra de navegación la dirección siguiente: https://192.168.1.1. Por defecto tenemos el protocolo HTTPS con un certificado autofirmado, por tanto, tendremos que poner una excepción en el navegador web.
Este router profesional D-Link DSR-1000AC es bastante compacto, mide 28cm de ancho, 18cm de profundidad y 4,4cm de alto, por lo que podremos enrackarlo sin problemas con 1U. En la parte superior encontramos el logo del fabricante D-Link, y en la parte frontal es donde encontraremos todos los puertos y LEDs de estado del equipo.
En la zona de la izquierda veremos el LED de encendido del equipo, el LED de estado general y los dos LEDs de las bandas de frecuencia WiFi (2.4GHz y 5GHz). En la parte central es donde encontraremos los cuatro puertos Gigabit Ethernet para la LAN, también soporta sincronización a 100Mbps. Por último, en la parte derecha veremos los dos puertos Gigabit Ethernet para la WAN de Internet, y el puerto de consola para administrar el router vía CLI.
En el lateral derecho del router D-Link DSR-1000AC podremos ver una rejilla de ventilación para refrigerar adecuadamente los componentes internos, y también los típicos cuatro agujeros para atornillar el soporte para el rack. En el lateral izquierdo podremos ver la misma rejilla de ventilación y también los cuatro agujeros para atornillas el soporte del rack. Este router no dispone de refrigeración activa, es refrigeración
En la parte trasera de este router profesional es donde encontraremos los tres conectores RP-SMA donde deberemos enroscar las antenas externas, para tener conectividad WiFi en la empresa. También encontraremos el conector Kensington, para evitar robos del router, el botón de Reset del router, el botón de encendido y apagado, así como el conector de alimentación. Justo encima del conector de alimentación veremos los requisitos mínimos para que funcione, 12V y 2.5A, pero el transformador de corriente es capaz de proporcionar 12V y 3A, por tanto, es perfecto.
En la parte inferior del router podremos ver una pegatina en la parte central, en esta pegatina podremos ver el modelo exacto del router, el D-Link DSR-1000AC, también podremos ver el número de serie, la dirección MAC, la versión de hardware del router y la versión de firmware del equipo.
Este router profesional tiene un diseño muy similar a los switches profesionales, un acabado metálico, con todos sus puertos en la parte frontal para conectar fácilmente los diferentes equipos, y en la parte trasera las antenas WiFi para dar cobertura inalámbrica. Este modelo tiene las dimensiones perfectas para enrackarlo, pero debemos tener en cuenta que las antenas externas ocuparán más espacio por la parte trasera, y si tenemos otros equipos con más profundidad, tendremos un problema.
Hasta aquí hemos llegado con nuestro análisis externo del router profesional D-Link DSR-1000AC, ahora vamos a irnos al laboratorio de pruebas para comprobar el rendimiento real de este router en diferentes pruebas cableadas, WiFi y más.
Laboratorio de pruebas
En las pruebas cableadas utilizaremos el programa Jperf para ver cómo se comporta con múltiples hilos en la red local, y también de cara a Internet, además, al tener inter-VLAN routing también comprobaremos el rendimiento que conseguiremos. Este router tiene NAT por hardware, y su firmware implementa esta característica, por lo que esperamos conseguir el mejor rendimiento LAN-WAN. Respecto a las pruebas WiFi, probaremos el rendimiento inalámbrico en el mismo escenario, y conectando el servidor Jperf en la misma LAN de la red WiFi.
Pruebas LAN
En estas pruebas LAN hemos usado dos PC para intercambiar tráfico entre ellos con Jperf, ambos están en la LAN y en el mismo VLAN ID. Un detalle muy importante, es que hemos activado los Jumbo Frames a 9K para obtener el mejor rendimiento cableado posible en la red local.
Con 100 hilos TCP concurrentes obtenemos una velocidad de transferencia de 118 MB/s, un resultado excelente. Podemos ver cómo los hilos se transfieren a la misma velocidad, esto es sinónimo de estabilidad.
Con 250 hilos TCP concurrentes obtenemos una velocidad de transferencia de 117 MB/s, un resultado excelente.
Con 500 hilos TCP concurrentes obtenemos una velocidad de transferencia de 114 MB/s, un resultado que también es perfecto, teniendo en cuenta el número de hilos TCP concurrentes.
Con 750 hilos TCP concurrentes obtenemos una velocidad de transferencia de 112 MB/s, un resultado que sigue siendo excelente, superando sin problemas los 100MB/s.
Con 1000 hilos TCP concurrentes obtenemos una velocidad de transferencia de 84,4 MB/s, un resultado sobresaliente.
En la siguiente tabla podéis ver un resumen de los resultados conseguidos:
Hilos LAN-LAN | 100 | 250 | 500 | 750 | 1000 |
---|---|---|---|---|---|
D-Link DSR-1000AC | 118MB/s | 117MB/s | 114MB/s | 112MB/s | 84,4MB/s |
Conclusiones LAN-LAN
Ha quedado claro que este router profesional nos va a proporcionar un rendimiento excelente en LAN-LAN, en estas pruebas hemos hecho uso de Jumbo Frames que nos permitirá obtener el mejor rendimiento en la red local doméstica, ideal para transferir datos a la máxima velocidad de la interfaz Gigabit Ethernet. No obstante, si usas tramas de tamaño normal (1500 bytes) el rendimiento también es sobresaliente, y te funcionará mejor para el tráfico inter-VLAN routing y de cara a Internet, tal y como veremos a continuación.
Pruebas LAN con inter-VLAN routing
En estas pruebas LAN hemos usado dos PC para intercambiar tráfico entre ellos con Jperf, ambos están en la LAN, pero con diferente VLAN ID, un PC está en la VLAN 1 y otro PC está en la VLAN 100, el inter-vlan routing lo tenemos activado, por tanto, tendremos comunicación entre ambas subredes. Hemos comprobado que si tenemos los Jumbo Frames a 9K activados, el rendimiento cableado inter-vlan routing es deficiente, tan solo conseguimos 16MB/s.
Si desactivamos los Jumbo Frames del router y también de las tarjetas de red Ethernet, el rendimiento es similar al de las pruebas LAN-LAN, como si no hubiera inter-vlan routing. En este caso, hemos conseguido una velocidad de 105MB/s, un rendimiento excelente en esta prueba.
Teniendo en cuenta que la activación de los Jumbo Frames va a mejorar muy poco en la interfaz Gigabit Ethernet, y que es un gran hándicap para el tráfico inter-vlan routing, y también de cara a la WAN de Internet (porque tenemos 1500 bytes normalmente), entonces os recomendaríamos siempre tener los Jumbo Frames desactivados.
El resto de pruebas de inter-vlan routing con Jumbo Frames desactivados son las siguientes:
En la siguiente tabla podéis ver un resumen de todos los resultados obtenidos en esta prueba inter-VLAN routing:
Hilos LAN-LAN | 100 | 250 | 500 | 750 | 1000 |
---|---|---|---|---|---|
D-Link DSR-1000AC | 105MB/s | 103MB/s | 101MB/s | 67,4MB/s | 52,1MB/s |
Conclusiones LAN inter-VLAN routing
Hemos comprobado que activar los Jumbo Frames significa que no podamos conseguir más de 16MB/s de velocidad para el tráfico entre dos VLANs diferentes, si lo desactivamos conseguiremos un rendimiento sobresaliente. Hasta la prueba de 500 hilos TCP concurrentes (incluido) el rendimiento es sobresaliente, a partir de los 750 hilos TCP concurrentes el rendimiento es notable, porque no hemos conseguido superar los 100MB/s de velocidad que usamos como referencia.
Pruebas LAN-WAN
En esta prueba simularemos cómo se va a comportar con P2P ya que conectaremos múltiples hilos desde la LAN hacia la WAN. Tal y como os dijimos anteriormente, este router tiene NAT por hardware, y su firmware implementa esta característica por lo que esperamos un gran rendimiento en esta prueba. Aquí también tenemos los Jumbo Frames desactivados.
Con 100 hilos TCP concurrentes obtenemos una velocidad de transferencia de 109 MB/s, un resultado excelente. Podemos ver cómo los hilos se transfieren a la misma velocidad, esto es sinónimo de estabilidad y que el NAT por hardware está funcionando muy bien.
Con 250 hilos TCP concurrentes obtenemos una velocidad de transferencia de 110 MB/s, un resultado excelente.
Con 500 hilos TCP concurrentes obtenemos una velocidad de transferencia de 101 MB/s, un resultado excelente.
Con 750 hilos TCP concurrentes obtenemos una velocidad de transferencia de 97,2 MB/s, un resultado sobresaliente.
Con 1000 hilos TCP concurrentes obtenemos una velocidad de transferencia de 92,7 MB/s, un resultado sobresaliente.
En la siguiente tabla podéis ver un resumen de la velocidad conseguida en estas pruebas LAN-WAN que hemos realizado:
Hilos LAN-LAN | 100 | 250 | 500 | 750 | 1000 |
---|---|---|---|---|---|
D-Link DSR-1000AC | 109MB/s | 110MB/s | 101MB/s | 97,2MB/s | 92,7MB/s |
Conclusiones LAN-WAN
El rendimiento que nos ha proporcionado este router profesional en las pruebas LAN-WAN ha sido excelente, hemos comprobado que la velocidad es muy alta en todas las pruebas realizadas. Este router ha sido capaz de pasar todas las pruebas, incluyendo la prueba de 1.000 hilos TCP con velocidades de más de 740Mbps. En un entorno real de pequeña empresa u oficina nunca llegaremos a este número de conexiones concurrentes, por lo que podremos llegar a velocidades superiores a 600Mbps sin problemas.
Pruebas LAN-WLAN (Wireless)
Ha llegado la hora de comprobar si la cobertura y velocidad inalámbrica está a la altura de los mejores, o si, por el contrario, está por debajo. Hemos colocado el router profesional D-Link DSR-1000AC en la ubicación del «Salón», y hemos ido por las diferentes habitaciones comprobando la cobertura y velocidad real con la tarjeta Intel AX200 que incorpora el portátil Lenovo X1 Carbon.
Muchos routers nuevos no permiten separar las bandas de frecuencias WiFi usando diferentes SSID, sin embargo, este router profesional sí lo permite, además, nos permite asignar a cada SSID una VLAN ID en concreto. Hemos separado las dos bandas de frecuencias para probar el rendimiento de la banda de 2.4GHz y 5GHz por separado, de esta forma, podremos conocer cuál es la velocidad máxima de ambas bandas.
D-Link DSR-1000AC AC1750: Prueba en 2.4GHz
La banda de 2.4GHz la hemos configurado en el canal 6+10, ya que hemos activado los 20/40MHz de ancho de canal. El firmware no permite desactivar el HT20/40 Coexistence, por lo que es muy probable que siempre esté activado los 20MHz de ancho de canal en lugar de los 40MHz de ancho de canal. Hemos activado el cifrado WPA2-Personal en esta banda de frecuencias, para comprobar que funcione todo correctamente con la máxima seguridad posible que nos proporicona el firmware. El resto de opciones son las de por defecto.
Aquí tenéis los resultados obtenidos con el cliente-servidor jperf2 con 50 hilos TCP concurrentes:
D-Link DSR-1000AC | Salón | Cocina | Habitación Principal | Habitación 2 | Ático |
---|---|---|---|---|---|
Intel AX200 AX3000 | Sincro: 144Mbps Velocidad: 11,5MB/s |
Sincro: 115Mbps Velocidad: 8,8MB/s |
Sincro: 72,2Mbps Velocidad: 8,1MB/s |
Sincro: 65Mbps Velocidad: 3,5MB/s |
Sincro: 26Mbps Velocidad: 1,0MB/s |
La velocidad máxima teórica que conseguiríamos en esta banda de frecuencias sería de 450Mbps con un cliente 3×3, nosotros al usar un cliente 2×2 la máxima velocidad teórica sería 300Mbps, y hemos conseguido 92Mbps reales, un rendimiento notable pero hubiera sido el doble si no tuviéramos HT20/40 Coexistence.
D-Link DSR-1000AC AC1750: Prueba en 5GHz
La banda de 5GHz la hemos configurado en el canal 40 con los 80MHz de ancho de canal típicos. Hemos desactivado en el firmware la asistencia al roaming, ya que en lugares alejados nos expulsaría de la red inalámbrica Wi-Fi. Hemos activado el cifrado WPA2-Personal en esta banda de frecuencias, para comprobar que funcione todo correctamente con la máxima seguridad posible que nos proporicona el firmware. El resto de opciones son las de por defecto, excepto que la potencia de emisión de esta banda de frecuencias la hemos fijado al 100% para tener el mejor rendimiento posible.
Aquí tenéis los resultados obtenidos con el cliente-servidor iperf3 con 50 hilos TCP concurrentes:
D-Link DSR-1000AC | Salón | Cocina | Habitación Principal | Habitación 2 | Ático |
---|---|---|---|---|---|
Intel AX200 AX3000 | Sincro: 867Mbps Velocidad: 42,5MB/s |
Sincro: 650Mbps Velocidad: 25,4MB/s |
Sincro: 260Mbps Velocidad: 16,5MB/s |
Sincro: 43Mbps Velocidad: 2,1MB/s |
Sin conexión |
La velocidad máxima teórica que conseguiríamos en esta banda de frecuencias sería de 1300Mbps con un cliente 3×3, nosotros al usar un cliente 2×2 la máxima velocidad teórica sería 867Mbps, y hemos conseguido 332Mbps reales, un rendimiento sobresaliente teniendo en cuenta la tarjeta WiFi que hemos usado.
Conclusiones Wireless
Este router en la banda de 2.4GHz se ha comportado de manera notable, en todo momento al cobertura es muy buena, sin embargo, la decisión de incorporar HT20/40 Coexistence lastra el rendimiento real que podamos llegar a conseguir, y es que tan solo hemos podido llegar hasta los 92Mbps reales, hubiéramos conseguido unos 180Mbps aproximadamente se tener 40MHz de ancho de canal. En las diferentes habitaciones la conexión es muy estable, y en el lugar más alejado (trastero) es donde hemos conseguido 8Mbps, una velocidad baja, pero debemos tener en cuenta que estamos dos pisos por encima del router, y con interferencias de otras redes WiFi en esta banda de frecuencias.
El DSR-1000AC en la banda de 5GHz se ha comportado de manera sobresaliente, consiguiendo una velocidad de hasta 330Mbps reales, una cifra muy buena, y que hubiera sido mejor si tuviéramos una tarjeta WiFi 3×3 en lugar de la Intel AX200 que es 2×2. En las diferentes habitaciones, la conexión es muy estable en todo momento, y en el lugar más alejado (trastero) no hemos podido conectarnos, la cobertura es demasiada baja y no conseguimos conectarnos.
La cobertura y velocidad en general de este router es sobresaliente, aunque la banda de 5GHz brilla sobre la banda de 2.4GHz en velocidad, y la banda de 2.4GHz sobre la de 5GHz en cobertura, algo completamente normal y que ya esperábamos.
Pruebas USB
Este router dispone de dos puertos USB 2.0, el objetivo de estos puertos USB es usar una tercera WAN con un módem 3G/4G, también nos permitirá guardar configuraciones, restaurar configuraciones y cargar firmwares directamente desde el USB, es decir, tareas de administración, como ocurre con muchos otros routers profesionales de similares características. No obstante, D-Link también ha incorporado la posibilidad de usar estos puertos USB 2.0 para compartir impresoras en red (si se activa específicamente) y también para compartir archivos y carpetas a través de la red local (si se activa específicamente).
Si quieres compartir archivos y carpetas, solamente soporta el protocolo Samba 1.0, no soporta Samba 2.0 o superior, por lo que, si usas un sistema operativo como Windows 10, tendrás que habilitar el soporte de este protocolo antiguo para poder entrar. Nuestra recomendación es no habilitarlo, porque es un protocolo actualmente no seguro. Este router no tiene servidor FTP para acceder a los puertos USB, solamente SMB 1.0.
Pruebas VPN
Este router profesional D-Link DSR-1000AC permite configurar diferentes tipos de VPN, dependiendo de las necesidades de la empresa, podremos configurar una VPN basada en IPsec o en OpenVPN. En RedesZone hemos configurado VPN en la red local para comprobar el rendimiento real de estas redes VPN, sin que haya problemas de peering con el operador etc. De esta forma, en la WAN de Internet tendremos al cliente VPN, y en la LAN tendremos otro PC para comprobar la velocidad como si estuviera en la red local.
Pruebas con IPsec IKEv1
La primera prueba la hemos hecho con IPsec IKEv1, la configuración a nivel de cifrado y hash en fase 1, y cifrado, hash y PDF en fase 2 lo detallaremos, para que veáis cómo cambia el rendimiento si modificamos la seguridad del enlace.
En la primera prueba con la VPN IPsec IKEv1 hemos configurado la seguridad de la siguiente forma:
- Fase 1: AES-128 bits, SHA-256, DH Grupo 2 (1024 bits)
- Fase 2: AES-128 bits, SHA-256, PFS desactivado
El rendimiento conseguido es de 113Mbps, un rendimiento sobresaliente teniendo en cuenta que tenemos una muy buena seguridad.
En la segunda prueba con la VPN IPsec IKEv1 hemos configurado la seguridad de la siguiente forma:
- Fase 1: AES-256 bits, SHA-512, DH Grupo 14 (2048 bits)
- Fase 2: AES-256 bits, SHA-512, PFS DH Grupo 2 (1024 bits)
El rendimiento conseguido es de 124Mbps, un rendimiento sobresaliente teniendo en cuenta que tenemos una mejor seguridad que antes, activando el PFS.
Tal y como podéis ver, el rendimiento de la VPN con IPsec es sobresaliente, consiguiendo 124Mbps reales.
Pruebas con OpenVPN
Respecto al servidor OpenVPN, la configuración realizada ha sido de AES-128-CBC y SHA-256, el rendimiento que hemos conseguido es de 28,5Mbps, un rendimiento bueno teniendo en cuenta que hace uso de SSL/TLS, esta velocidad es la que normalmente obtenemos en routers profesionales, a no ser que tengan aceleración de cifrado por hardware o que sean realmente potentes.
Gracias a estos servicios de VPN incorporados en el router, podremos establecer túneles VPN seguros con la mejor seguridad posible.
Firmware
El firmware de este router profesional D-Link DSR-1000AC es muy avanzado, disponemos de decenas de opciones de configuración que nos permitirán una gran versatilidad. Al ser un router profesional, no disponemos de un asistente de configuración paso a paso, sino que directamente tendremos el firmware vía web para acceder con un PC a través de https://192.168.10.1. Un detalle importante es que al ser HTTPS, tendremos un certificado digital autofirmado, por tanto, tendremos que añadir la excepción en nuestro navegador para poder acceder a él sin errores.
El nombre de usuario es «admin» y la clave es «admin», pero nos pedirá cambiar la contraseña por defecto, una vez cambiada, podremos acceder al menú del firmware con las nuevas credenciales de usuario.
En el menú principal del router podremos ver el panel de visualización de estado, y todas las opciones de configuración en la parte superior. Además, vamos a poder configurar y personalizar el dashboard con diferentes widgets, para tener todo lo que nos interese bajo control. Tal y como podéis ver, en esta zona veremos el tipo de tráfico de la red, el estado de las WAN de Internet, el ancho de banda usado, las VPN, la utilización de CPU y RAM, información del tráfico y también de las VLANs que tenemos configuradas en el router.
Debido a la gran cantidad de opciones de configuración en diferentes zonas, hemos subdividido esta sección del firmware en diferentes partes bien diferenciadas, el firmware está en inglés solamente, por lo que pondremos las partes del firmware en este idioma sin traducir:
- Status (veremos el estado general del router, CPU, RAM, conexiones, estado de clientes DHCP, de clientes VPN, estadísticas de interfaz, estadísticas WiFi y mucho más).
- Wireless (todas las configuraciones relacionadas con el WiFi).
- Network (configuración de la LAN, las VLANs, configuración de la WAN de Internet, routing estático y dinámico, y todo lo relacionado con IPv6).
- VPN (configuración de OpenVPN, IPsec, GRE y más).
- Security (configuración de la autenticación, filtrado web, firewall y IPS entre otras opciones).
- Maintenance (opciones de administración, gestión del equipo, firmware, guardar y cargar configuraciones, y ver y configurar el logging).
Una vez que ya hemos visto todas las partes de las que consta el firmware, vamos a ver en detalle los diferentes menús que tenemos disponibles.
Status
En la sección de «Status» podremos ver el estado del sistema, la LAN, todas las WAN que tenemos la posibilidad de configurar, y también el estado general de la red WiFi. Aquí podremos ver tanto la versión de firmware y hardware, como las direcciones IP y datos de estado de la LAN y WAN, además, también podremos ver los SSID de la red WiFi que hayamos configurado y en qué canales está emitiendo.
También podremos ver todos los logs e incluso filtrar los logs para que nos muestre solamente lo que nos interese, además, también tendremos el estado de los puertos USB y si hemos conectado algún dispositivo de almacenamiento externo, por supuesto, tendremos la opción de ver los clientes por DHCP en la LAN, ya sea con IPv4 o IPv6, también si tenemos clientes en la DMZ.
Otras opciones de visualización de estado, es ver el listado de clientes en el portal cautivo, las sesiones activas actualmente, si tenemos clientes VPN configurados, estadísticas de las diferentes interfaces, ver los clientes WiFi y también estadísticas inalámbricas y del dispositivo.
Wireless
En la sección de «Wireless» es donde podremos configurar todo lo relacionado con la red WiFi, tendremos «Virtual AP» para configurar diferentes SSID en la banda de 2.4GHz o 5GHz, además, vamos a poder editar estos perfiles fácilmente para adaptarlo a nuestras necesidades. Vamos a poder configurar el SSID que nosotros queramos, con la autenticación que nosotros necesitemos, recomendable siempre WPA2-Personal o Enterprise.
Otras opciones de configuración están relacionadas con el «Radio», es decir, el modo de funcionamiento, ancho de canal, canal, potencia de emisión y velocidad de transmisión, para ambas bandas de frecuencia. Algo que nos ha llamado la atención es que en la banda de 5GHz la potencia de transmisión está en 54% de forma predeterminada, debemos ponerlo en 100% para tener el máximo rendimiento inalámbrico posible.
Otras opciones de configuración relacionado con WiFi es el WMM, opciones de WDS para ambas bandas de frecuencia, y también configuraciones avanzadas del WiFi, donde podremos configurar el Beacon Interval, DTIM y otros parámetros avanzados. Estas opciones las tenemos disponibles también en las dos bandas de frecuencia. Por último, podremos activar el WPS que, por defecto, se encuentra desactivado para tener la mejor seguridad posible.
Network
En la sección de LAN vamos a poder configurar si queremos permitir el ping desde la LAN hacia la interfaz del router en la LAN, también podremos configurar la LAN principal con VLAN ID 1, con su correspondiente servidor DHCP en el que podremos configurar también Static DHCP para proporcionar la misma IP a una determinada MAC, además, podremos activar el IP/MAC Binding para mitigar los ataques ARP Spoofing. Otras opciones disponibles son las de activar el IGMP Proxy y el UPnP, ambas funciones por defecto están desactivadas.
En la sección de VLAN es donde vamos a poder configurar nuevas VLANs con nuevas subredes, incluyendo un servidor DHCP para cada una de las subredes que queramos crear. Vamos a poder configurar VLAN por puerto, donde configuraremos que el puerto LAN 4 esté en modo trunk, o en modo acceso en una determinada VLAN, esto es ideal para segmentar adecuadamente el tráfico de red de las diferentes LAN que tenemos disponibles.
En la sección de WAN es donde podremos configurar la conexión a Internet, ya sea con una WAN o con varias, porque tenemos las mismas opciones de configuración en WAN 1 y WAN 2. Vamos a poder configurar VLAN Tag en la WAN de Internet, configurar IP estática, dinámica, PPPoE y también otras formas de conexión. Además, el puerto WAN2 se puede configurar como DMZ para tener una red totalmente aislada de la LAN. Debemos recordar que la WAN 3 es con un módem 3G/4G, y que podremos configurar bajo demanda siempre que queramos usarla, en esta sección es donde tendremos que poner los datos de APN, autenticación etc.
Por último, debemos tener en cuenta que tenemos diferentes modos de configuración de la WAN, con balanceo de carga o failover de la conexión, además, también podremos configurar el comportamiento de las diferentes WAN ponderando el tráfico que se le solicita.
En la sección de routing vamos a poder configurar la NAT, IP alias, la configuración de la DMZ y si queremos activar el DHCP aquí, e incluso ver el listado de direcciones IP reservadas que están en la DMZ. Por último, podremos configurar el Dynamic DNS (DDNS) con diferentes proveedores, como DynDNS, FreeDNS, No-IP y otros.
En la sección de «Traffic Management» es donde podremos configurar los diferentes perfiles de ancho de banda, QoS, traffic shaping, límite de sesiones y mucho más. Si necesitas priorizar ciertos equipos o cierto tráfico, aquí es donde deberes realizar las diferentes configuraciones avanzadas.
Este router permite enrutamiento estático, y también enrutamiento dinámico. Tenemos la posibilidad de configurar RIP y OSPF, tanto para IPv4 como para IPv6, además, también tendremos el protocolo VRRP de redundancia en routers.
VPN
En la sección de VPN, vamos a poder configurar en detalle el protocolo IPsec, tanto en su versión IKEv1 como en la versión IKEv2. Vamos a poder configurar VPN de tipo IPsec tanto de acceso remoto como Site-to-Site, tenemos una gran cantidad de opciones de configuración disponibles, tanto para la fase 1 como para la fase 2, ideal para proporcionar la mejor seguridad posible con algoritmos de cifrado robustos como AES-128 o AES-256, además, también tendremos a nuestra disposición el uso de SHA2-256 y SHA2-512 entre otros. Respecto a la autenticación, vamos a poder configurar autenticación basado en PSK y también en certificados RSA.
Otras opciones de configuración en esta sección de VPN, es la posibilidad de utilizar el modo «Full tunnel» para tunelizar todo el tráfico por la VPN, y también «Split tunnel» para tunelizar solamente cierto tráfico dirigido a ciertos equipos o redes, lo mismo ocurres respecto a los servidores DNS del túnel, si se resuelven los del propio servidor VPN o externamente. En la sección de «Trusted Certificates» es donde podremos subir una nueva CA para usar autenticación basada en RSA.
En la sección de «L2TP VPN» podremos configurar este protocolo para conectarnos a la red local de forma remota. Disponemos de muchas opciones de configuración como habilitar el NAT en el túnel, autenticar a los usuarios con una base de datos local o externa, diferentes protocolos de autenticación como CHAP o MSCHAPv2, habilitar una clave secreta en el túnel y más. También debemos tener en cuenta que en este firmware podremos configurar un cliente L2TP, para que este router se conecte vía VPN a otro.
En la sección de OpenVPN es donde podremos configurar el servidor o cliente OpenVPN, y conectarnos remotamente al router o nosotros conectarnos con otro router VPN. Soporta ambos modos de configuración, además, también podremos configurarlo para VPN de acceso remoto o utilizar un Site-to-Site. Respecto a la autenticación, podremos configurar una CA y posteriormente configurar certificados digitales para la autenticación de los clientes. D-Link incluye internamente la posibilidad de generar certificados OpenVPN automáticamente, pero también los podemos generar de forma externa y subir los certificados OpenVPN a la interfaz web del router. Otras mejoras en la seguridad consisten en configurar una clave TLS para autenticación adicional, e incluso crear políticas de OpenVPN para tunelizar o no este tráfico.
En la sección de OmniSSL podremos crear los certificados cliente de OpenVPN y tener un portal cautivo. Por último, tenemos la posibilidad de crear túneles GRE.
Security
En la sección de «Seguridad» tenemos todas las opciones respecto a la autenticación en la base de datos local, podremos crear diferentes usuarios y grupos de usuarios, también podremos configurar un servidor RADIUS externo para la autenticación de clientes, además, podremos configurar servidores POP3, LDAP, Active Directory y también dominios NT. En cuanto al RADIUS, tendremos la posibilidad de habilitar un porcal cautivo y también para el accounting (externo). Otras opciones en esta sección son las de configurar un perfil de inicio de sesión e incluso servicios para enrutar el tráfico por ciertas interfaces.
En la sección de «Web content filter» es donde podremos filtrar contenido web, y tendremos diferentes opciones de configuración basadas en URL y palabras clave, no obstante, lo más interesante es activar la sección de «Dynamic Filtering» pero requiere una suscripción adicional para que nos proporcione el servicio. Lo mejor si quieres filtrar este tipo de contenido, es utilizar unos DNS como NextDNS o directamente un AdGuard Home en la red local, para que todas las peticiones DNS sean filtradas.
En la sección de reglas de firewall es donde podremos configurar todas las políticas del cortafuegos, permitir o denegar el tráfico que va y viene hacia o desde una interfaz en concreto, podremos bloquear a nivel de subredes y también de direcciones IP. Tendremos la posibilidad de configurar reglas para IPv4, IPv6 y también podremos configurar reglas si estamos actuando en modo «bridge». En la sección de «Schedules» podremos crear una regla para que se ejecute una regla específica durante un determinado tiempo o en un determinado horario. También podremos bloquear a clientes en función de su dirección MAC. Por último, también podremos configurar servicios personalizados para permitir o denegar el tráfico.
Otras opciones disponibles en la sección de «Firewall» son los ALG típicos que siempre encontramos en todos los routers, incluyendo el VPN Passthrough, el reenvío de puertos dinámico y diferentes tipos de ataques que podremos parar, ideal para proteger la red local adecuadamente. También tendremos la posibilidad de configurar el Intel AMT y Intel AMT Reflector. Finalmente, el IPS y el IDS también podremos activarlo en el router, e incluso entre qué subredes queremos habilitarlo: LAN y WAN y/o DMZ y WAN.
Para finalizar con la sección de «Security», tenemos la sección de control de aplicaciones donde podremos configurar diferentes políticas.
Maintenance
En la sección de «Maintenance / Administration» podremos ver el nombre del propio router, configurar la fecha y hora, configurar el tiempo de sesión sin que caduque y tengamos que volver a autenticarnos, añadir la licencia del WCF que os hemos contado antes (el filtrado web dinámico), configurar los diferentes puertos USB para compartir impresoras en red y también para habilitar el compartir datos a través de la red local vía Samba, configurar los SMS si introducimos un módem 3G/4G compatible, instalar los drivers para los módem 3G/4G compatibles, cambiar el idioma de la interfaz gráfica de usuario y habilitar que la gestión web solamente esté disponible para ciertas direcciones IP o ciertas VLANs.
Otras opciones de gestión son la posibilidad de administrar este router localmente vía SSH, remotamente vía SSH o SNMP, responder a ping desde la WAN de Internet, e incluso si se permite acceso a LAN vía WAN (sin hacer uso de VPN). También tendremos un menú específico y muy completo para configurar el protocolo SNMP para administrar remotamente este router, e incluso para monitorizarlo.
Otras opciones interesantes son las utilidades de red incorporadas, podremos hacer el típico ping o traceroute desde el router, un DNS lookup, habilitar el WireShark integrado y también comprobar el sistema. D-Link también permite apagar el LED de estado del equipo e incluso permite detectar la longitud del cable para ahorrar la máxima energía posible. Por último, tenemos la posibilidad de activar o no el DDP Client en el router.
Respecto al firmware, vamos a poder cargar un nuevo firmware vía web desde nuestro PC, también tendremos la posibilidad de cargarlo a través del puerto USB con un dispositivo de almacenamiento extraíble, e incluso comprobar online si tenemos un nuevo firmware. En cuanto a la copia de seguridad, podremos guardar una copia de la configuración en nuestro PC o en cualquiera de los puertos USB, además, también podremos restaurarlo de estas formas. Una opción interesante es la posibilidad de guardar copias de seguridad de la configuración de forma automática vía USB, y también cifrar el archivo de configuración con una contraseña, para que nadie vea nuestra configuración en texto claro. Por último, podremos hacer un reinicio a través del firmware, y también un reseteo a valores de fábrica.
En la sección de «Logs» es donde podremos configurar todo lo relacionado con los registros de los diferentes servicios del router, además, podremos enviar los logs clasificados por emergency, alert, critical, error etc, y en diferentes servicios, ideal para tenerlo todo bajo control y ver si hay algún tipo de error. También podremos enviar todos estos logs a un servidor syslog local o remoto. Otras opciones de configuración son ver los logs de paquetes aceptados o dropeados (bloqueados) en las diferentes interfaces que tenemos disponibles. Por último, podremos configurar los logs del propio sistema, tanto del FTP, tráfico unicast etc.
En la sección de «Remote Logging» es donde podremos configurar que nos envíen los logs vía email, o almacenarlos en un servidor Syslog remoto, en el caso de haber metido un módem 3G/4G, también tenemos la posibilidad de que nos envién ciertos logs por SMS, siempre que tengamos una tarifa de SMS gratis, porque si no, tendremos un gran gasto.
Hasta aquí hemos llegado con nuestro análisis del firmware del router D-Link DSR-1000AC, un equipo realmente completo con un firmware muy avanzado, que nos permitirá realizar una gran cantidad de configuraciones para adaptarse a las necesidades de las empresas. También hemos llegado hasta el final de nuestro completo análisis, por lo que ahora vamos a enumerar un listado de puntos fuertes, puntos débiles y las conclusiones finales.
Puntos Fuertes
- Dos puertos WAN para balanceo de carga, y una tercera WAN opcional con módem 3G/4G. Soporta VLANs en la WAN.
- Cuatro puertos Gigabit Ethernet para la LAN, con soporte para VLANs e inter-vlan routing.
- Puertos USB 2.0 multifunción para tareas de administración, compartir impresoras y archivos
- Firmware muy completo a todos los niveles, funciones a destacar:
- Configuración de subredes segmentadas en VLANs
- Permite configurar un firewall avanzado de forma muy detallada
- Permite multiple SSID con un SSID o varios por cada VLAN configurada
- VPN con IPsec y OpenVPN principalmente, además de otros protocolos como L2TP y también GRE.
- Autenticación en RADIUS externo y soporte de diferentes protocolos
- Completo sistema de registro (logs) para detectar posibles fallos o problemas.
- Rendimiento LAN-LAN y rendimiento inter-vlan routing sobresaliente
- Rendimiento LAN-WAN excelente
- Rendimiento inalámbrico WiFi notable en la banda de 2.4GHz y sobresaliente en la banda de 5GHz.
- Rendimiento VPN con IPsec de 124Mbps con muy buena seguridad, OpenVPN consigue 28,5Mbps.
- Diseño metálico, enrackable y orientado a pequeñas y medianas empresas con características técnicas avanzadas.
- Precio: notable, este router profesional vale unos 380 euros.
Puntos Débiles
- Si usamos el puerto USB 2.0 para compartir archivos o carpetas, debes habilitar el protocolo SMB 1.0.
- No tenemos servidor FTP para entrar en el contenido de los puertos USB 2.0
- El firmware no incorpora un servidor RADIUS interno para autenticar a clientes y/o para AAA, debe ser externo.
Conclusiones Finales
Este router profesional es una gran opción para oficinas y pequeños negocios que necesitan comunicar sus sedes de forma segura a través de una VPN como IPsec, las características hardware de este modelo son de un equipo de gama media-alta, y es que gracias a sus dos puertos Gigabit Ethernet para la WAN de Internet, podremos tener dos operadores ISP y configurar nosotros el balanceo de carga entre ambas líneas de Internet. Respecto a los puertos LAN, tenemos un total de cuatro puertos Gigabit Ethernet en los que podremos configurar VLANs untagged y tagged, ya que permite configurar los puertos en modo trunk para «pasarle» las VLANs a un switch gestionable, y segmentar adecuadamente la red profesional. La incorporación de WiFi con doble banda simultánea AC1750 es un añadido bastante interesante para conectarnos de forma inalámbrica al router, a la subred que nosotros hayamos creado, no obstante, si no tuviera WiFi también sería muy recomendable, porque en entornos profesionales normalmente se utilizan puntos de acceso WiFi profesionales.
El rendimiento LAN-LAN ha sido excelente en todas las pruebas de rendimiento, y lo mismo ocurre con el rendimiento inter-VLAN routing al activarlo, hemos tenido un rendimiento sobresaliente, por lo que podremos exprimir al máximo los puertos Gigabit Ethernet que incorpora este router. En cuanto a las pruebas LAN-WAN, el rendimiento también ha sido excelente. Respecto al rendimiento WiFi, ha sido sobresaliente de forma global, tanto en la banda de 2.4GHz como en la banda de 5GHz se ha comportado como un router doméstico de alto rendimiento. Por último, en cuanto al rendimiento de los túneles VPN, hemos conseguido una velocidad de 124Mbps con IPsec IKEv1, un rendimiento sobresaliente si tenemos en cuenta el nivel de seguridad que hemos configurado la VPN, además, también hemos conseguido 28,5Mbps con OpenVPN que es un rendimiento bueno. Debemos tener en cuenta que este router no tiene aceleración por hardware AES-NI dedicado exclusivamente para el cifrado y descifrado del tráfico.
Lo que más nos ha gustado de este router profesional es su firmware, tiene una grandísima cantidad de opciones de configuración avanzadas, como crear subredes asociadas a una VLAN, configurar de forma avanzada el firewall, soporte para redes IPv6, soporte para crear túneles IPsec con todas las opciones posibles, posibilidad de crear un servidor OpenVPN y mucho más, como configurar en detalle el firewall del router o la WAN como nosotros queramos. Si eres nuevo en el mundo de las redes, este firmware te vendrá un poco «grande» porque disponemos de opciones muy avanzadas, incluyendo enrutamiento dinámico de pasarela interior como RIP y OSPF, además de VRRP. Si ya tienes experiencia, entonces la mayoría de opciones de configuración disponibles te resultarán muy conocidas.
Nuestra valoración de este router D-Link DSR-1000AC después de probar su rendimiento a fondo, comprobar todas las opciones de su firmware, incluyendo las funciones que están orientadas a las VPN, y el precio de 380 euros, es de 9/10.
Esperamos que os haya gustado el análisis, si tenéis alguna duda podéis ponernos un comentario y os responderemos encantados.
El artículo Router profesional D-Link DSR-1000AC se publicó en RedesZone.
Powered by WPeMatico