Routery DrayTek charakteryzują się bogatym zestawem narzędzi służącym do kształtowania ruchu w sieci LAN. Funkcje Bandwidth Management oraz aplikacje w zakładce Firewall umożliwiają w bardzo prosty a jednocześnie pewny sposób dokonać klasyfikacji użytkowników routera tzn. przydzielić im różny poziom obsługi. Co oczywiście będzie wiązało się z mniejszą lub większą szerokością dostępu do wspólnego pasma. Przyjrzyjmy się z bliska możliwością konfiguracji ruchu sieciowego. 1. Na początek pole Bandwidth Management z trzema zakładkami: a) Limit Session Ogranicza liczbę jednoczesnych sesji dla określonego adresu IP lub grupy adresów IP. Uwaga: Można zdefiniować do 10 wpisów. W podanym przykładzie zaprezentowano trzy grupy adresów: 1. Dział Handlowy z ograniczeniami do 60 sesji (adresy od 192.168.20.10 do 192.168.20.25) 2. Zarząd z ograniczeniami do 120 sesji (adresy od 192.168.20.10 do 192.168.20.25) 3. Sekretariat z ograniczeniem do 30 sesji (adres od 192.168.20.31) 4. Wszyscy pozostali użytkownicy dysponują domyślną wartością 100 jednoczesnych sesji. 1
Ważna informacja, która odnosi się do większości funkcji routerów DrayTek: Ustawione parametry ograniczeń mogą być uwzględniane według zdefiniowanego kalendarza (z dokładnością do 1 godziny w określonych dniach tygodnia). W tym celu należy skorzystać z funkcji planowania czasowego. Przedstawiony przykład ilustruje regułę czasową nr 4, która pozwala zastosować lżejszy charakter ograniczeń. Dokładnie rzecz biorąc, dzięki tym zapisom funkcja Limit Session będzie aktywna tylko od poniedziałku do piątku w godzinach od 7.00 do 21.00. Uruchamiając funkcję Limit Session zabezpieczamy się przed zapychaniem sieci przez programy P2P, które potrafią wykorzystywać nawet do kilkuset jednoczesnych sesji (parametr zależny od liczby ściąganych plików). 2
b) Limit Bandwidth Ogranicza pasmo w górę i w dół dla określonego adresu IP lub grupy adresów IP. Uwaga: Tutaj również można zdefiniować do 10 wpisów. Podany przykład oparty jest na identycznej grupie adresów: 1. Dział Handlowy z ograniczeniami 100 Kbps (w górę) i 500 Kbps (w dół) 2. Zarząd z ograniczeniami 300 Kbps (w górę) i 1200 Kbps (w dół) 3. Sekretariat z ograniczeniem 300 Kbps (w górę) i 1000 Kbps (w dół) 4. Wszyscy pozostali użytkownicy mają przypisaną domyślną wartość 200 Kbps (w górę) i 800 Kbps (w dół) Ważna informacja: Powyższe zapisy mogą być uwzględniane tylko w określonych godzinach i dniach tygodnia. W tym celu należy skorzystać z funkcji planowania czasowego. W naszym przykładzie wykorzystano czwartą regułę czasową ograniczającą liczbę sesji od poniedziałku do piątku w godzinach od 7.00 do 21.00. 3
c) Quality of Service Rezerwuje pasmo uwzględniając adresację IP oraz protokoły komunikacyjne. Można zdefiniować cztery klasy ruchu. W podanym przykładzie pasmo jest zarezerwowane dla następujących usług: 1) VoIP 40% 2) WWW 30% 3) FTP 10% 4) pozostałe protokoły - 20% 4
2. Pole Firewall z ośmioma zakładkami: Cześć z dostępnych opcji firewall a może służyć również do kształtowania ruchu. a) Bind IP to MAC Korzystając z tej funkcji przypisujemy na stałe dla określonego adresu IP dany adres MAC. W ten sposób mamy pewność, że restrykcje i uprawnienia w naszej sieci dotyczą właściwego użytkownika. W powyższym przykładzie mamy w sieci 8 użytkowników (tak wynika z tablicy ARP), ale tylko trzech z nich ma przyporządkowany adres IP do MAC (patrz tablica IP Bind List): 1. 192.168.20.10 00-50-7F-31-11-D1 2. 192.168.20.11 00-0E-35-F8-61-7A 3. 192.168.20.57 00-12-79-C7-14-8B Jeśli chodzi o tę trójkę adresów to mamy pewność, że użytkownicy Ci będą zmuszeni do zastosowania się do reguł panujących w administrowanej sieci. Pozostali być może przypadkowi klienci naszego routera (np. klienci WLAN) mogą zmieniać swoje adresy IP i w ten sposób obchodzić nasze ustawienia ruchu w sieci. Aby temu zapobiec można: 1. Każdemu adresowi IP przypisać adres MAC. 2. Wybrać opcję Stricte Bind ograniczając dostęp do Internetu do grupy użytkowników będących na liście IP Bind List, czyli tych którzy posiadają skojarzoną parę IP-MAC. 5
b) URL Content Filter Funkcja filtruje strony www na podstawie adresów URL Mając ustawiony router zgodnie z powyższym zapisem administrator sieci ma pewność, że dostęp do wszystkich stron zawierających w adresie słowa: sex, sympatia, chat czy tez gadu-gadu będzie zablokowany. Ponadto w przedstawionym przykładzie użytkownicy nie będą mogli ściągać na swoje komputery żadnych skompresowanych plików. 6
c) WEB content filter Funkcja filtruje strony www na podstawie ich zawartości. Stosując tą metodę można realizować zadanie filtrowania stron www w sposób bardziej elastyczny i przyjemny. Wystarczy, zaznaczyć określone kategorie zawartości stron: chat, sex, przemoc, narkotyki/alkohol, gry, praca/kariera, a wszystkie serwisy powiązane z tą tematyką zostaną zablokowane. (Web Filter jest aplikacją rezydującą w punkcie granicznym między komputerem a Internetem, przechwytującą cały ruch sieciowy. Jeśli odnotuje próbę dostania się użytkownika do zablokowanego ośrodka, podmienia zablokowany adres URL, wysyłając zwrotnie użytkownikowi wiadomość o ograniczeniu w dostępie do danej strony.) Decydując się na takie rozwiązanie nie musimy martwić się, że pojawił się nowy serwis który jest niedozwolony dla naszych użytkowników i nie wpisaliśmy go na naszą listę, ponieważ zrobi to za nas firma zajmująca się tym tematem w sposób profesjonalny. Ważne: Większość routerów Draytek wyposażona jest w testową wersję SurfControl (30 dni bez żadnych opłat). 7
d) P2P Bloking Służy do blokady większości znanych programów do wymiany plików przez Internet tzw. programów P2P. Aby zblokować aplikację P2P wystarczy zaznaczyć wybrane protokoły. W połączeniu z ograniczeniem jednoczesnej liczby sesji jest to idealny mechanizm ograniczający lub nawet eliminujący niepożądany ruch w sieci. Podobnie jak w przypadku innych funkcji w routerach DrayTek, możemy skorzystać z profili czasowych i stosować w/w ograniczenia wyłącznie w określonej porze dnia. 8