{"id":4567,"date":"2014-05-04T23:18:17","date_gmt":"2014-05-04T21:18:17","guid":{"rendered":"http:\/\/security-planet.de\/?p=4567"},"modified":"2014-05-04T23:18:17","modified_gmt":"2014-05-04T21:18:17","slug":"der-fast-perfekte-home-office-router","status":"publish","type":"post","link":"https:\/\/cyber-fi.net\/index.php\/2014\/05\/04\/der-fast-perfekte-home-office-router\/","title":{"rendered":"Der (fast) perfekte Home-Office-Router"},"content":{"rendered":"

Gerade habe ich testweise meinen ersten Cisco 866VAE-k9 installiert. Hier beschreibe ich ein paar Eindr\u00fccke von diesem Ger\u00e4t.<\/p>\n

Warum der 866VAE-k9<\/strong>
\nIch wollte einen IOS-Router mit eingebautem VDSL-Modem. Eine Zeitlang hatte ich eine Fritzbox als DSL-Router und Telefonanlage laufen, aber das ist einfach zu unflexibel. Die Fritzbox bleibt zwar die Telefonanlage bis ich da etwas besseres finde, aber als Router wollte ich ein vollwertiges IOS-Ger\u00e4t haben, das zumindest anst\u00e4ndig VPNs beherrscht und auch Policy-Based Routing kann. Zus\u00e4tzlich ben\u00f6tigte ich DNS-Views um selektiv DNS-Abfragen an den DNS-Server im B\u00fcro zu senden<\/a>. Weiterhin sollte der Router keinen oder zumindest einen sehr leisen L\u00fcfter haben.
\nMeine Wahl fiel dann auf den Cisco 866VAE-k9, der ein eingebautes DSL-Modem hat, ohne L\u00fcfter daherkommt und zudem noch recht g\u00fcnstig ist. Meine erste Bef\u00fcrchtung war zwar, dass er am 50 MBit-VDSL \u00fcberfordert w\u00e4re, aber dort wurde ich angenehm \u00fcberrascht.<\/p>\n

Die VDSL-Konfig<\/strong>
\nDie Konfiguration des VDSLs bei diesem Router weicht deutlich von der ADSL-Konfig ab, wie sie auf \u00e4lteren Ger\u00e4ten durchgef\u00fchrt wurde. Hier ein kleiner Auszug aus der Konfig:<\/p>\n

controller VDSL 0\n operating mode vdsl2\n!\ninterface Ethernet0\n description VDSL Internet Verbindung - VLAN 7 tagged\n no ip address\n no ip route-cache cef\n!\ninterface Ethernet0.7\n encapsulation dot1Q 7\n pppoe-client dial-pool-number 1\n!\ninterface Dialer0\n description log. WAN-Interface\n dialer pool 1<\/pre>\n
F\u00fcr VDSL erwartet die Telekom die Daten getagged mit VLAN 7. Daf\u00fcr wird das logische Interface Ethernet0 verwendet, das als physikalischer Port nicht vorhanden ist. <\/p>\n
Die VPN-Konfig<\/strong>
\nDie ist nicht weiter erw\u00e4hnenswert da der Router wie jeder andere IOS-Router konfiguriert wird. Allerdings werden nicht alle VPN-Arten unterst\u00fctzt. IKEv1 und IKEv2 sind beide supported, Crypto-Maps und VTIs gehen nat\u00fcrlich auch und FlexVPN soll ebenfalls gehen. DMVPN ist anscheinend nicht supported. Mit FlexVPN ist aber ein leistungsf\u00e4higer Nachfolger verf\u00fcgbar. Auch WebVPN ist nicht enthalten, aber das ist bei der angepeilten Zielgruppe wohl auch nicht notwendig.
\nIch habe mein VPN wegen der dynamischen IP-Adresse mit einem Virtual Tunnel Interface (VTI) auf der Spoke-Seite und einem dynamic Virtual Tunnel Interface (dVTI) auf der Hub-Seite konfiguriert.<\/p>\n
Routing-M\u00f6glichkeiten:<\/strong>
\nBei dVTIs muss die Aussenstelle mit dynamischem Routing angebunden werden. Da kann es von Nachteil sein, dass der Router kein OSPF und EIGRP unterst\u00fctzt (der Router benutzt ein Advanced Security Image; diese haben auch bei anderen 800er Routern sehr eingeschr\u00e4nkte Routing-M\u00f6glichkeiten). Diese Routing-Protokolle sind unterst\u00fctzt:<\/p>\n
inet-home(config)#router ?\n  bgp  Border Gateway Protocol (BGP)\n  odr  On Demand stub Routes\n  rip  Routing Information Protocol (RIP)\n\ninet-home(config)#router<\/code><\/pre>\n
Eine echte Einschr\u00e4nkung sind die angebotenen Protokolle nat\u00fcrlich auch nicht, vor allem da BGP\/ODR und RIP noch besser skalieren als EIGRP oder OSPF wenn eine sehr gro\u00dfe Anzahl von Aussenstellen vorhanden sind. Ich habe jetzt unidirectional RIP f\u00fcr die Verbindung ins B\u00fcro laufen was auch sehr gut funktioniert.<\/p>\n
Geschwindigkeit am Telekom-VDSL:<\/strong>
\nDa war ich wie schon erw\u00e4hnt sehr \u00fcberrascht. Bei ein paar massiven Downloads steigt die CPU-Last des Routers zwar auf gute 50%, aber dabei erreiche ich Download-Raten von guten 5.2 bis 5.3 MB\/s. Mit der FritzBox 7390 habe ich nie \u00fcber 4.9 bis 5.0 MB\/s erreicht.<\/p>\n
Aber nat\u00fcrlich gibt es ein paar Nachteile:<\/strong><\/p>\n
    \n
  1. Das Flash: Wir haben 2014 und das Flash ist so klein, dass man nicht einmal ein zweites Image ablegen kann. Das ist einfach nur peinlich!<\/li>\n
    inet-home#sh flash:\n57344K bytes system flash allocated\n\nDirectory of flash:\/\n\n    2  -rwx    28385048  Jan 31 2014 13:02:11 +01:00  c860vae-advsecurityk9-mz.152-4.M5.bin\n    4  -rwx         780  Apr 19 2014 23:10:08 +02:00  vlan.dat\n\n55351296 bytes total (26959872 bytes free)<\/code><\/pre>\n
  2. CPU-Power<\/li>\n
    Das muss ich noch etwas weiter untersuchen. Aber das Upgrade des Routers auf das neuere IOS 15.2(4)M6a lief \u00fcber das LAN mit ca, 20 KB\/s. Das war die CPU-Auslastung dabei:<\/p>\n
    CPU utilization for five seconds: 99%\/1%; one minute: 99%; five minutes: 97%\n PID Runtime(ms)     Invoked      uSecs   5Sec   1Min   5Min TTY Process\n 234     1367564       10866     125857 97.20% 97.27% 94.18%   4 SSH Process<\/code><\/pre>\n
    Jetzt muss aber vor dem Update wegen des knappen Flashs das alte IOS gel\u00f6scht werden. Wenn dann das Update sehr lange dauert und der Router dabei eine sehr hohe Last hat, dann w\u00e4re mir etwas mulmig wenn ich das remote durchf\u00fchren m\u00fcsste.<\/p>\n
  3. Keine VRFs<\/li>\n
    Ok, f\u00fcr so ein kleines Ger\u00e4t sollte man das auch nicht erwarten, aber die Trennung von internem und public Routing w\u00e4re schon sch\u00f6n!\n<\/ol>\n
    Fazit?<\/strong>
    \nDer Router ist recht g\u00fcnstig und kommt daher nat\u00fcrlich mit einigen Nachteilen. Wenn diese bekannt und nicht zu st\u00f6rend sind, dann ist der 866VAE sicher ein guter Kauf. Wenn etwas mehr Budget zur Verf\u00fcgung steht w\u00fcrde ich aber doch lieber zu einem 886VAer greifen.<\/p>\n","protected":false},"excerpt":{"rendered":"
    Gerade habe ich testweise meinen ersten Cisco 866VAE-k9 installiert. Hier beschreibe ich ein paar Eindr\u00fccke von diesem Ger\u00e4t. Warum der 866VAE-k9 Ich wollte einen IOS-Router mit eingebautem VDSL-Modem. Eine Zeitlang hatte ich eine Fritzbox als DSL-Router und Telefonanlage laufen, aber das ist einfach zu unflexibel. Die Fritzbox bleibt zwar die Telefonanlage bis ich da etwas <\/p>\n
    continue reading<\/a><\/div>\n","protected":false},"author":3,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"twitterCardType":"","cardImageID":0,"cardImage":"","cardTitle":"","cardDesc":"","cardImageAlt":"","cardPlayer":"","cardPlayerWidth":0,"cardPlayerHeight":0,"cardPlayerStream":"","cardPlayerCodec":"","footnotes":""},"categories":[5],"tags":[40,307],"class_list":["post-4567","post","type-post","status-publish","format-standard","hentry","category-cisco","tag-866vae","tag-ios"],"_links":{"self":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/4567","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/comments?post=4567"}],"version-history":[{"count":0,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/posts\/4567\/revisions"}],"wp:attachment":[{"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/media?parent=4567"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/categories?post=4567"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cyber-fi.net\/index.php\/wp-json\/wp\/v2\/tags?post=4567"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}