Software
Nach der Inbetriebnahme des Routers wird man von der DrayTek-üblichen Weboberfläche begrüßt. Eine Live-Demo steht auf der DrayTek-Webseite bereit.
Auf der Startseite findet man eine sauber organisierte Übersicht aller Funktionen des Routers. Auf einer schematischen Darstellung der Front werden beispielsweise die aktiven Ports dargestellt, während darunter mittels entsprechender Balkendiagramme die CPU-Auslastung angezeigt wird. Genauere Informationen zu den jeweiligen Ports lassen sich im Reiter "Online Status" -> "Physical Connection" finden. Hier stellt DrayTek. Die jeweilige Datenrate und die gesendeten / empfangenen Datensummen dar.
Im Menü "Port Setup" lässt sich die jeweilige Geschwindigkeit der Ports einstellen. Mit der standardmäßig installierten Firmware-Version 3.9.1.1 ist die jeweilige Funktion "LAN" / "WAN" jedoch festgelegt und lässt sich nicht ändern. Erst nach einem Softwareupdate auf 3.9.2 werden die dafür benötigten Dropdown-Felder aktiviert. Anschließend würden sich beispielsweise die beiden 10G Ports rein für die Nutzung im LAN konfigurieren - dies macht beispielsweise Sinn, wenn man mehrere Server anschließen möchte und keine WAN-Verbindung hat die mehr als 1G oder 2,5G benötigt.
Wie bereits in den Vorstellungen anderer DrayTek-Produkte lässt sich unter WAN die jeweilige Konfiguration der WAN-Ports vornehmen. Die Besonderheit des 3910 ist jedoch, dass dieser mit entsprechender Konfiguration bis zu acht WAN-Schnittstellen verwalten kann. In den Einstellungen der jeweiligen Schnittstelle lässt sich definieren wann diese genutzt werden sollen - hier lässt sich zwischen "Always On" und "Failover" wählen. Im Falle von Failover kann man beispielsweise definieren, dass die eine WAN-Schnittstelle erst genutzt werden soll, wenn eine andere definierte WAN-Schnittstelle offline ist oder ein bestimmter Datenraten-Schwellwerte auf einem Interface überschritten wird. Aktiviert man hier dann zusätzlich die Option "Load Balance" würde dann automatisch die Last auf den weiteren WAN-Port verteilt.
Analog zu den anderen DrayTek Produkten unterstützt auch der Vigor 3910 VLAN auf den WAN-Schnittstellen. Hierbei lassen sich auf den acht physikalischen Schnittstellen bis zu 52 VLAN nutzen.
Im Hinblick auf das lokale Netzwerk lassen sich über VLAN bis zu 50 verschiedene Subnetze anlegen und am Router verwalten. Diese können im Anschluss auf die verschiedenen vorhandenen physikalischen Ports verteilt werden. Dies erfolgt über eine übersichtliche GUI bei der Haken an den entsprechenden Stellen gesetzt werden können.
Als weitere Besonderheit bietet der Vigor 3910 einen integrierten PPPoE-Server - über diesen lassen sich auch im LAN PPPoE-Verbindungen aufbauen und so beispielsweise entsprechende Verbindungen realisieren, bei denen ein Zugriff auf bestimmte Ressourcen erst nach Anmeldung per PPPoE möglich wird.
Im Bereich Routing trifft man wie bereits beim Vigor 2865 erneut auf BGP als Protokoll, dieses Protokoll findet man folglich auch bei kleineren Modellen aus dem Hause DrayTek. Erweitert wurde lediglich die Anzahl von möglichen Regeln - konnte man beim Vigor 2865 8 BGP Nachbarschaften einrichten, lassen sich beim Vigor 3910 bis zu 64 Nachbarschaften konfigurieren. Als weitere Funktion wird weiterhin OSPF angeboten, welches insbesondere in größeren Unternehmensnetzen häufig zum Einsatz kommt. Weitere Infos zu OSPF findet man beispielsweise auf Wikipedia. Hierbei bietet der Vigor 3910 die Möglichkeit bis zu 8 Profile zu hinterlegen und den jeweiligen LAN-Subnetzen zuzuweisen. Neben diesen Routing-Protokollen bietet der Vigor 3910 weiterhin die Option bis zu 300 statische IPv4-Routen und bis zu 40 statische IPv6 Routen einzurichten.
Auch im Hinblick auf NAT fallen die Limits entsprechend größer aus als bei den kleineren Modellen. Das Modell aus dem Hause DrayTek erlaubt bis zu 150.000 NAT-Sitzungen und bis 520 Portfreigaben können eingerichtet werden. Weiterhin kann für jedes WAN ein Rechner ausgewählt werden, welcher per DMZ erreichbar ist.
Die Firewall-Funktion verhält sich analog zu den bisher bekannten DrayTek Produkten. Fragwürdig ist jedoch, ob ein User der multiple WAN und LAN nutzt wirklich mit 12 Filtersets a 7 Firewall-Regeln auskommt. Dies lässt sich zwar mittels APP-/URL-/WebContent- und DNS-Filterung aufbohren, wird im realen Betrieb jedoch nur einen Bruchteil der Use-Case abdecken. Hier wird der Nutzer also im Zweifelsfall nicht um die Nutzung einer dedizierten Firewall umher kommen, um entsprechende Regeln für alle VLAN und Subnetze erreichen zu können. Gerade strikte Regelvorgaben, bei denen für jeden Host oder jede Hostgruppe einzeln angegeben werden muss, welches System welches Ziel erreichen darf werden die vorhandenen Filtersets nicht ausreichen.
Als praktische Funktion muss man an dieser Stelle den Reiter "Diagnose" hervorheben, da hier schnell geprüft werden kann ob und welche Regel greift - eine solche Funktion bieten diverse andere Firewall-Produkte nicht.
Wie üblich lassen sich auf dem Router verschiedene Objekte anlegen, die sich in den verschiedenen Funktionen des Routers nutzen lassen.
Im Rahmen der Nutzung von 10G Schnittstellen ist es sinnvoll die erreichbare Datenraten einzelner Clients zu begrenzen. Auch diese Option wird seitens DrayTek implementiert. Auch Session-Limits und Quality of Service lassen sich, wie bereits bei den kleineren DrayTek-Produkten konfigurieren.
Praktisch - und im Hinblick auf die nicht vorhandene Netzteil-Redundanz nötig - ist die High Availability Option. Hier lassen sich mehrere Router miteinander koppeln. Diese teilen sich dann in den jeweiligen Subnetzen eine virtuelle IP. Fällt ein Router aus, kann der andere die Verbindungen übernehmen. Mangelns passender WAN-Schnittstellen und zweiten Router konnten wir leider nicht verifizieren inwieweit ein solcher Schwenk von einem Router auf den anderen unterbrechungsfrei funktioniert. In der Theorie sollte auf Basis der virtuellen IP der Datenverkehr im Falle eines Ausfalls einfach auf dem Ersatzrouter terminieren, da jedoch nach außen vermutlich (je nach Netzwerkdesign) andere WAN-IP Adressen genutzt werden TCP-Verbindungen mindestens einmal vollständig zusammenbrechen und müssen entsprechend neu aufgebaut werden.
Auch im Hinblick auf VPN-Funktionalitäten deckt sich der Funktionsumfang des 3910 prinzipiell mit den kleineren Modellen, einzig der Datendurchsatz erhöht sich entsprechend (laut DrayTek auf 3,5GBit/s maximum) als auch die Limits der Software selbst (500 Peer Identities, 500 Remote Dial-In-User, 500 LAN zu LAN Kopplungen). Weiterhin ist die Option der Nutzung von VPN Trunks und die neue "DrayTek VPN Matcher" genannte Funktion hinzugekommen. Letzteres soll ein einfacherer Weg sein, DrayTek-Produkte entsprechend zu konfigurieren und Site-2-Site VPN Verbindungen aufbauen zu können ohne manuellen Konfigurationsaufwand. Näheres dazu findet man auf der DrayTek-Webseite.
Die VPN-Matcher Funktion wird jedoch erst mit Firmware 3.9.2 nutzbar und benötigt demnach zwingend ein Firmware-Update des Produkts.
