Vigor 3900 Multi WAN security router

  • 4 Gigabit ethernet WAN
  • 2 Gigabit ethernet LAN
  • SFP WAN poort
  • SFP LAN poort
  • 45 virtuele WAN profielen
  • 500 IPSec VPN / 100 SSL VPN verbindingen
  • Meerdere LAN subnetten - tot 50 subnetten
  • Port/tag based VLAN (802.1Q)
  • AP management voor 30 access points
  • Object oriented firewall
  • Uitgebreide QoS functionaliteiten
  • Bandwidth management
  • Load balancing
  • High availability
  • Fail over
  • IPv4/IPv6
  • Rackmountable incl. brackets

 

De Vigor 3900 is een krachtige high-performance Gigabit breedband router met vier Gigabit WAN poorten en active fiber interfaces. Dit model is uitermate geschikt voor oplossingen waar veel dataverkeer plaats vindt en waar snelheid en betrouwbaarheid een vereiste is. De vele functionaliteiten, zoals high availability, load balancing, fail over, VPN mogelijkheden en de uitgebreide firewall in de Vigor 3900 bieden een goede oplossing voor zakelijke toepassingen waar snelheid en betrouwbaarheid een vereiste is.

De Vigor 3900 is voorzien van een dedicated VPN server met een eigen VPN processor en ondersteunt 500 simultane VPN verbindingen. Daarnaast ondersteunt de Vigor 3900 100 SSL VPN verbindingen. SSL VPN is een web based versie van VPN waarbij geen VPN client software benodigd is. Middels de functionaliteit ‘Public Routed Subnet’ in de Vigor 3900 kunnen de publieke IP adressen die u van de provider ontvangt rechtstreeks gekoppeld worden aan de LAN interface. Hierdoor kunnen bijvoorbeeld web servers en ftp servers een eigen publiek IP adres krijgen.

In de Vigor 3900 is het mogelijk om 50 LAN subnetten aan te maken. Hierdoor kan de VLAN op de router ingedeeld worden in verschillende IP-segmenten met elk een eigen DHCP server. Daarnaast is het tevens mogelijk om met tag based VLAN te werken, hiermee kunt u een tag ID toekennen aan een VLAN.

De Vigor 3900 ondersteunt High Availability. Als er twee Vigor 3900 routers in een netwerkomgeving worden geplaatst, kan een master/slave configuratie worden gecreëerd. Mocht de master uitvallen dan zal de andere 3900, de slave, alles over nemen.
 

WAN Protocol
Ethernet PPPoE, PPTP, DHCP client, static IP, L2TP*, Ipv6
Multi WAN
Outbound policy based load balance Allow your local network to access Internet using multiple Internet connections with high-level of Internet connectivity availability.
4 dedicated Ethernet WAN ports (10/100/1000Mbps) and 1 active fiber (SFP) slot.
WAN fail-over or load-balanced connectivity.
Redundancy.
By WAN interfaces traffic volume.
By destination IP address range.
By fixed VPN connection.
Flexible pooling rule setting.
Auto-detect line status.
Service/IP based preference rules or auto-weight.
Bandwidth on demand Service/IP based preference rules or auto-weight
VPN
Prevent Replay Attack
Protocols PPTP, IPsec, L2TP, L2TP over IPsec.
Up to 500 connections simultaneously LAN to LAN, remote access (teleworker-to-LAN), dial-in or dial-out.
VPN trunking VPN load-balancing and VPN backup.
VPN throughput 760Mbps.
NAT-traversal (NAT-T) VPN over routes without VPN pass-through.
PKI certificate Digital signature (X.509).
IKE authentication Pre-shared key; IKE.
Authentication Hardware-based MD5, SHA-1.
Encryption MPPE and hardware-based AES/DES/3DES.
RADIUS client Authentication for PPTP remote dial-in.
DHCP over IPsec Because DrayTek add a virtual NIC on the PC, thus, while connecting to the server via IPSec tunnel, PC will obtain an IP address from the remote side through DHCP protocol, which is quite similar with PPTP.
GRE over IPsec Creating a virtual point-to-point link to various brands of routers at remote sites over an IP internetwork.
Dead Peer Detection (DPD) When there is traffic between the peers, it is not necessary for one peer to send a keep-alive to check for liveness of the peer because the IPSec traffic serves as implicit proof of the availability of the peer.
Smart VPN software utility Provided free of charge for teleworker convenience (Windows environment).
Easy of adoption No additional client or remote site licensing required.
Industrial-standard interoperability Compatible with other leading 3rd party vendor VPN devices.
SSL VPN
Allow users to use a web browser for secure remote user login tunnel mode*, application mode, proxy mode
Support 100 SSL tunnels
Content filter
IM/P2P blocking Java applet, cookies, active X, compressed, executable, multimedia file blocking.
Web content filter
Web content filter Dynamic URL filtering database.
Time schedule control Set rule according to your specific office hours.
Firewall
Stateful Packet Inspection (SPI) Outgoing/Incoming traffic inspection based on connection information.
Multi-NAT You have been allocated multiple public IP address by your ISP. You hence can have a one-to-one relationship between a public IP address and an internal/private IP address. This means that you have the protection of NAT (see earlier) but the PC can be addressed directly from the outside world by its aliased public IP address, but still by only opening specific ports to it (for example TCP port 80 for an http/web server).
Port redirection The packet is forwarded to a specific local PC if the port number matches with the defined port number. You can also translate the external port to another port locally.
Open ports As port redirection (above) but allows you to define a range of ports.
DMZ host This opens up a single PC completely. All incoming packets will be forwarded onto the PC with the local IP address you set. The only exceptions are packets received in response to outgoing requests from other local PCs or incoming packets which match rules in the other two methods.
Policy-based IP packet filter The header information of an IP packet (IP or Mac source/destination addresses; source /destination ports; DiffServ attribute; direction dependent, bandwidth dependent, remote-site dependent.
DoS/DDoS prevention Act of preventing customers, users, clients or other computers from accessing data on a computer.
IP address anti-spoofing Source IP address check on all interfaces only IP addresses classified within the defined IP networks are allowed.
Notification E-mail alert and logging via syslog.
Bind IP to MAC address Flexible DHCP with 'IP-MAC binding'.
User/Rule base User base integrates LDAP/Active directory authentication to enforce policies.
System management
Web-based user interface (HTTP/HTTPS) Integrated web server for the configuration of routers via Internet browsers with HTTP.
Quick start wizard Let administrator adjust time zone and promptly set up the Internet (PPPoE, PPTP, Static IP, DHCP).
User management Dial-in access management (PPTP/L2TP and mOTP) .
CLI(Command Line Interface, Telnet/SSH) Remotely administer router via telnet.
DHCP client/relay/server Provides an easy-to configure function for your local IP network.
Dynamic DNS When you connect to your ISP, by broadband or ISDN you are normally allocated an dynamic IP address. i.e. the public IP address your router is allocated changes each time you connect to the ISP. If you want to run a local server, remote users cannot predict your current IP address to find you.
Administration access control The password can be applied to authentication of administrators.
Configuration backup/restore If the hardware breaks down, you can recover the failed system within an acceptable time. Through TFTP, the effective way is to backup and restore configuration between remote hosts.
Built-in diagnostic function Dial-out trigger, routing table, ARP cache table, DHCP table, NAT sessions table, data flow monitor, traffic graph, ping diagnosis, trace route.
NTP client/call scheduling The Vigor has a real time clock which can update itself from your browser manually or more conveniently automatically from an Internet time server (NTP). This enables you to schedule the router to dial-out to the Internet at a preset time, or restrict Internet access to certain hours. A schedule can also be applied to LAN-to-LAN profiles (VPN or direct dial) or some of the content filtering options.
Tag-based VLAN (802.1Q) By means of using a VLAN ID, a tag-based VLAN can identify VLAN group membership. (Support 50 VLAN groups)
Support GVRP protocol in conjuction with switch (e.g. VigorSwitch).
Firmware upgrade via TFTP/HTTP/TR-069/HTTPS Using the TFTP server and the firmware upgrade utility software, you may easily upgrade to the latest firmware whenever enhanced features are added.
Remote maintenance With Telnet/SSL, SSH (with password or public key), browser (HTTP/HTTPS), TFTP or SNMP, firmware upgrade via HTTP/TFTP/TR-069/HTTPS.
Logging via syslog Syslog is a method of logging router activity.
SNMP management SNMP management via SNMP v1/v2, MIB II.
VigorACS Centralized Management TR-069 based
Certificate management
Advance encrypted method A pair of public/priviate key for encryption/decryption.
Comprehensive Certificate Authentication Trusted CA / Local Certificate / CA server.
Bandwidth management
Bandwidth management Dynamic bandwidth management with IP traffic shaping.
Bandwidth reservation Reserve minimum and maximum bandwidths by connection based or total data through send/ receive directions.
DiffServ codepoint classifying Priority queuing of packets based on DiffServ.
Individual IP bandwidth/session limitation Define session /bandwidth limitation based on IP address.
User-defined class-based rules More flexibility.
QoS Ingress/Egress Filter Rules monitor both LAN/WAN packets / 8 priority level setting.
Routing functions
Router IP and NetBIOS/IP-multi-protocol router.
Advanced routing and forwarding Complete independent management and configuration of IP networks in the device, i.e. individual settings for DHCP, DNS, firewall, VLAN, routing, QoS etc.
DNS DNS cache/proxy.
DHCP DHCP client/relay/server.
NTP NTP client, automatic adjustment for daylight-saving time.
Dynamic routing It is with routing protocol of RIP v2/OSPF v2/v3*. Learning and propagating routes; separate settings for WAN and LAN.
Static routing An instruction to re-route particular traffic through to another local gateway, instead of sending it onto the Internet with the rest of the traffic. A static route is just like a 'diversion sign' on a road.
High availability
CARP Common address redundancy protocol.
Enhanced security with encrypted packet.
Hardware
LAN 2 x 10/100/1000M Base-TX LAN switch, RJ-45
1 x active fiber (SFP) slot
WAN 4 x 10/100/1000M Base-TX WAN switch, RJ-45
1 x active fiber (SFP) slot
Console 1 x console, RJ-45
Reset 1 x factory reset button
USB 2 x USB host 2.0
Support
Firmware upgrade Free firmware upgrade from Internet.
Performance
 Throughput 1 Gbps 
Throughput VPN 800 Mbps (Max.) IPsec/AES-SHA-1
Throughput firewall 1 Gbps
Throughput firewall/VPN 800 Mbps
Concurrent sessions 120.000

 

Management

De geïntegreerde grafische web user interface in de router maakt het mogelijk om op efficiënte wijze management toe te passen op het netwerk. De web user interface is uiteraard bereikbaar vanuit het lokale netwerk, maar door de ingebouwde management access control is ook eenvoudig aan te geven hoe de router vanaf het internet gemanaged kan worden. Toegang van het management via internet kan middels FTP, HTTP, HTTPS, Telnet en SSH, waarbij uiteraard kan worden aangeven vanaf welk IP adres dit mogelijk is en welke poort hiervoor dient te worden gebruikt. De implementatie van het TR-069 protocol in de router maakt management via het centraal management systeem VigorACS mogelijk.

High Availability

De Vigor 3900/2960 ondersteunt High Availability. Wanneer u twee van deze routers plaatst in een netwerkomgeving kan er een master/slave configuratie worden gecreëerd. Mocht de master uitvallen dan zal de andere router, de slave, alles over nemen. Zo bent u altijd online.

Virtual WAN

De router beschikt over virtual WAN, waardoor het mogelijk is om over 1 fysieke aansluiting meerdere internetverbindingen en diensten af te leveren. Op basis van VLAN ID kan een extra internetverbinding worden toegevoegd aan dezelfde WAN interface.

VPN

De modellen uit deze serie beschikken over een geïntegreerde VPN server. Hierdoor kan een VPN tunnel gemaakt worden naar uw netwerk, zonder dat hiervoor een VPN server in het netwerk vereist is. VPN biedt een beveiligde verbinding over het internet naar uw eigen netwerk. Er zijn verschillende vormen van VPN. DrayTek ondersteunt L2TP, IPSec en PPTP.
Met deze routers is het mogelijk twee netwerken transparant te koppelen. Dit kan door gebruik te maken van de LAN-to-LAN VPN op basis van PPTP en IPSEC. Met deze VPN tunnel wordt de verbinding opgezet tussen 2 routers. Om vanaf een PC verbinding te kunnen maken met het netwerk, kan gebruik gemaakt worden van een Telewerker profiel. DrayTek stelt een gratis programma beschikbaar om ook een veilige telewerker verbinding op te kunnen zetten.

Firewall

Voor optimale beveiliging van het netwerk kan gebruik worden gemaakt van de ingebouwde firewall.
De firewall kan policy-based toestaan of blokkeren van in- en uitgaand verkeer. Aan de hand van regels kan communicatie van en naar een netwerk verboden of juist toegestaan worden. De firewall kan op basis van source en destination, poort nummer en interface worden toegepast. Alle firewall regels kunnen eveneens voor inkomende VPN verbindingen worden toegepast.

Doordat de firewall van de router is voorzien van Stateful Packet Inspection (SPI) worden alle pakketten gecontroleerd op 'connection state'. Als een pakket volgens de firewall regels wordt doorgelaten, dan wordt het ook gecontroleerd op actieve connecties. Zijn er geen actieve connecties, dan zal de router de pakketten alsnog blokkeren.

DoS defense
De router is in staat het netwerk te beschermen tegen DoS aanvallen vanaf het internet. Met een paar simpele handelingen wordt het netwerk beschermd tegen een groot aantal bekende aanvallen zoals port scans, ping of death en onbekende protocollen.

Object oriented firewall
Het is in de firewall tevens mogelijk om groepen aan te maken. Deze groepen kunnen vervolgens gebruikt worden om firewall regels te definiëren. Een groep kan bestaan uit een IP adres of een groep van IP adressen.
Er hoeft dan niet bij elke regel het IP adres of de groep van IP adressen te worden ingevoerd. Ook kan er gebruik worden gemaakt van de vooraf ingestelde regels voor Instant Messaging (IM), Voice over IP protocollen en peer 2 peer download programma's (P2P). Het is mogelijk zelf servicetypen te definiëren zoals HTTP of FTP. Zo is de firewall snel en efficiënt in te stellen.
De groepen kunnen bijvoorbeeld als volgt ingedeeld worden:
Er zijn 5 afdelingen in een bedrijf; verkoop, inkoop, directie, administratie en systeembeheer. De administratie heeft toegang tot het internet, maar mag geen P2P programma's of IM clients zoals MSN gebruiken. De verkoop- en inkoopafdeling heeft ook toegang tot het internet en mag wel gebruik maken van IM clients om met hun klanten te communiceren. De directie en de systeembeheerder hebben onbeperkt toegang tot het internet.
Naast de firewall functionaliteiten is het eveneens mogelijk om Port redirection, DMZ host, open ports toe te passen in uw configuratie.

LAN

Standaard beschikt de router over een DHCP server die de IP adressen uitdeelt aan de LAN zijde, dit kan worden toegepast over meerdere subnets. Indien gebruik wordt gemaakt van een andere DHCP server kan deze uiteraard ook worden uitgeschakeld. Daarnaast kunnen statische routeringen worden aangemaakt voor LAN en WAN.

IPv6

Een IPv4 adres is een reeks van 32 bits. Het maximale aantal adressen dat op deze manier gemaakt kan worden is in theorie 232, ongeveer 4,3 miljard. Om dit tekort aan IP adressen op te vangen, is een nieuwe versie van het Internet Protocol bedacht: IP versie 6. Een IPv6 adres is een reeks van 128 bits. Het maximum aantal adressen in deze versie is 2128 (34 met 37 nullen). Het aantal adressen is hierdoor bijna oneindig.
De modellen uit deze serie ondersteunen zowel het IPv4 als IPv6 protocol (dual stack). Internet Protocol versie 6 (IPv6) is het internet protocol dat IPv4 opvolgt. Doordat het aantal IP adressen met IPv4 beperkt is, zullen internet providers op korte termijn overgaan op het nieuwe IPv6. Deze overgang betekent dat ook de netwerkapparatuur IPv6 moet gaan ondersteunen. IPv4 en IPv6 kunnen simultaan naast elkaar gebruikt worden, waardoor IPv4 en IPv6 netwerkapparatuur in hetzelfde netwerk actief kunnen zijn.

NAT

Naast de firewall functionaliteiten is het eveneens mogelijk om Port redirection, DMZ host en address mapping toe te passen in uw configuratie.

Bandbreedte beheer / Quality of Service

Met bandwidth management kan de internetverbinding optimaal worden gebruikt. De QoS-functie in deze router zorgt ervoor dat datastromen, zowel inkomend als uitgaand, met een door u bepaalde prioriteit worden behandeld. U kunt bijvoorbeeld per poort of per IP adres de bandbreedte aangeven. Quality of Service (QoS) zorgt eveneens voor gegarandeerde VoIP kwaliteit. De toepassing van QoS garandeert dat overige datastromen, zoals HTTP en FTP, geen invloed hebben op de kwaliteit van het telefoongesprek.

Applicaties

In de router zijn verschillende applicaties geïmplementeerd waardoor toepassingen nog eenvoudiger worden, zo beschikken de modellen uit deze serie over Dynamic DNS, GVRP, Wake on LAN en UPnP.

Firmware

Product-specifieke downloads

Vigor 3900

Glasvezel

De Vigor 3900 heeft zowel aan de LAN als WAN kant de beschikking over een SFP Gigabit poort. Hierop kan direct een Gigabit glasvezelverbinding worden aangesloten.
 

Case tag based VLAN

Aan de hand van een voorbeeldcase over tag based VLAN worden de uitgebreide mogelijkheden van de Vigor 3900 uitgelegd.

Klik hier

500 IPSec VPN tunnels

De DrayTek Vigor 3900 biedt ondermeer ondersteuning voor 500 simultane IPSec VPN tunnels. Hierdoor kan een VPN tunnel naar uw netwerk gemaakt worden, zonder dat hiervoor een VPN server in het netwerk vereist is. VPN biedt een beveiligde verbinding over het internet naar uw eigen netwerk.
 

Central switch management

De Vigor 3900 beschikt over central switch management, waardoor het mogelijk is om vanuit de interface van de router, meerdere VigorSwitches centraal te beheren. De switches die over deze feature beschikken zijn de VigorSwitch G1241, G2260, P1100, P1280 en P2261.  

SSL VPN

De Vigor 3900 kan 100 SSL VPN verbindingen aanmaken. SSL VPN is een web based versie van VPN waarbij geen VPN client software nodig is. Het wordt niet beperkt door netwerkomgevingen en is zeer eenvoudig te configureren.

VPN trunking

De Vigor 3900 beschikt over meerdere WAN poorten. Met behulp van de diverse VPN trunking functionaliteiten kan de capaciteit van een VPN tunnel eenvoudig vergroot worden, door een enkele VPN tunnel te creëren die gebruik maakt van twee, drie of alle vier WAN poorten.