Kolejna główna zakładka Advanced może z początku sprawiać przytłaczające wrażenie. Zgormadzono w niej 18 różnych sekcji dotyczących szczegółowych ustawień urządzenia. Przyglądając się DIR-645 muszę przyznać, że jest to jeden z niewielu modeli, które mają tak rozbudowaną możliwość konfiguracji sieciowej. Prześledźmy pokrótce poszczególne sekcje. Pierwsze dwie sekcje, Virtual Server oraz Port Forwarding, dotyczą dostępu do naszej sieci LAN, jej usług czy komputerów wprost z internetu. W przypadku sekcji Port Forwarding przekierowujemy ruch przychodzący, np. na port 22 (SSH) na określony adres IP w naszej sieci LAN, również na port 22. W routerze możemy zdefiniować do 24 takich przekierowań.
Doskonałym ułatwieniem w przypadku konfiguracji przekierowań jest gotowy zestaw ustawień dla poszczególnych aplikacji czy gier, które możemy wybrać z menu rozwijalnego.
W przypadku Virtual Server, oprócz przekierowania portu, otrzymujemy możliwość ustawienia zarówno portu zewnętrznego jak i wewnętrznego. Będzie to przydatne np. w przypadku konfiguracji usług sieci WWW (ruch przychodzący na port 80, a następnie kierowany na port 8080 do lokalnego komputera w sieci) czy FTP.
Niektóre aplikacje (torrent, komunikatory internetowe, gry internetowe) do poprawnego działania wymagają wielu połączeń. W przypadku mechanizmów NAT w sieciach lokalnych trudno będzie ustawiać kilkadziesiąt przekierowań portów dla wszystkich niezbędnych aplikacji. Dodatkową trudnością będzie ustawienie tych samych portów dla różnych komputerów w sieci. Rozwiązaniem problemu jest port triggering. Jeśli jakaś aplikacja zażąda dostępu do określonego portu, router otworzy go na czas zestawienia połączenia, po którego zakończeniu port zostanie zamknięty. W D-Linku ustawienia port triggeringu dokonujemy w sekcji Applications Rules. Tu podobnie jak w przypadku przekierowania portów możemy posłużyć się rozwijalnym menu, z którego wybieramy predefiniowane ustawienia dla określonej aplikacji.
QoS
W sekcji QoS Engine dostosujemy mechanizmy kolejkowania, kształtowania ruchu sieciowego i ustawienia pierwszeństwa dla określonego ruchu w sieci LAN. QoS umożliwia przesyłanie danych bez opóźnień, co jest ważnym elementem przy transmisji strumieniowej, grach sieciowych czy multimediach.
DIR-645 ma dwa rodzaje mechanizmu QoS: Strict Priority Queue(SPQ) oraz Weighted Fair Queue(WFQ). Strict Priority Queue, który kształtuje ruch internetowy za pomocą priorytetów kolejkowania ruchu, przydzielając określonemu ustawieniu odpowiednią rangę (Queue ID 1 - najwyższa, Queue ID 4 - najniższa). W przypadku Weighted Fair Queue ruch jest kształtowany na podstawie procentowej klasyfikacji prędkości łącza internetowego dla każdej z kolejek. WFQ możemy dla przykładu ustawić ruch dla streamingu mediów na poziomie 80%, a pozostałe usługi rozdzielić na 20%.
W jaki sposób przekłada się to na ruch sieciowy? Zrobiliśmy bardzo prosty test ustawiając QoS w tryb Weighted Fair Queue. Następnie dla jednego z komputerów w sieci LAN ustawiliśmy najwyższy priorytet ruchu P2P i rozpoczęliśmy pobieranie pliku torrent. Drugi komputer w sieci pobierał w tym czasie plik poprzez HTTP, a reguła QoS ustawiona była na najniższą. Wyniki prezentują poniższe zrzuty.
Odwróciliśmy sytuację i zdegradowaliśmy P2P do normalnego poziomu, ustawiając jednocześnie wysoki priorytet dla pobierania HTTP. Jak widać prędkość pobierania torrenta zmalała, a pobieranie pliku poprzez HTTP znacząco wzrosło
Oczywiście jest to tylko prosty przykład ustawienia kolejkowania i priorytetowania ruchu sieciowego. Poszczególne ustawienia należy dostosować do wymagań w swojej sieci lokalnej, a także dla posiadanego łącza internetowego WAN.
Dodatkowe bezpieczeństwo
Oprócz mechanizmów kontroli rodzicielskiej opartej na usługach OpenDNS, router DIR-645 ma dodatkowe możliwości zabezpieczenia komputerów i usług w sieci lokalnej oraz dostępu do internetu. Służy do tego 5 kolejnych sekcji w zakładce Advanced: Network Filter, Access Control, Website Filter, Inbound Filter oraz Firewall Settings.
Network Filter odpowiada za możliwość blokowania dostępu do sieci i internetu określonym urządzeniom na podstawie ich adresów MAC. W zależności od ustawień możemy blokować wszystkie komputery za wyjątkiem ustawionej listy. Służy do tego opcja "Turn MAC Filtering ON and ALLOW computers with MAC address listed below to access the network". Prościej jednak będzie wybrać opcję "Turn MAC Filtering ON and DENY computers with MAC address listed below to access the network", która zabroni komputerom z listy dostępu do sieci. Dodatkowo każdy z filtrów możemy dostosować, szczegółowo wprowadzając harmonogram blokady. Niestety w wersji oprogramowania 1.02 routera, które testowaliśmy, harmonogram generował błąd i strona nie otwierała się poprawnie w przeglądarce Safari. Błąd nie występował w przypadku przeglądarek pod systemem Windows.
Jeśli nie będziemy korzystać z kontroli rodzicielskiej opartej na OpenDNS, w zamian możemy skorzystać z mechanizmu Access Control, który pozwala na blokowanie lub zezwalanie dostępu do określonych adresów IP lub usług sieciowych. Pomaga w tym jak zwykle prosty kreator. Blokadę możemy założyć na dowolny lokalny adres IP, klienta lub adres MAC.
Access Control ma jedną zasadniczą wadę. Pozwala on na ustawienie blokady na określone adresy IP, jednak brak w nim możliwości ustawienia zabezpieczeń na poszczególne strony WWW. Opcja ta jest dostępna w kolejnej zakładce Website Filter. Tu możemy wpisać dowolne 40 adresów stron, które powinny zostać zablokowane lub komputery będą mieć dostęp tylko do wylistowanych witryn.
Ważnym aspektem funkcjonowania sieci lokalnych i dostępu do internetu jest bezpieczeństwo sieciowe. Nie wyraża się go tylko poprzez posiadanie antywirusa i firewalla na swojej stacji roboczej. Jeśli wykorzystujemy naszą sieć w intensywny sposób, np. udostępniając dane z serwerów, otwierając dodatkowe porty w celu dostępu do usług czy mając dostęp zdalny np. poprzez VNC czy RDP do komputerów w sieci lokalnej, jesteśmy narażeni na ataki z zewnątrz. Możemy zminimalizować ryzyko celowego lub przypadkowego ataku, ograniczając pulę zewnętrznych adresów IP mogących mieć dostęp do sieci i jej zasobów. Tego typu ustawienia zabezpieczeń wykonujemy w sekcji Inbound Filter.
By wprowadzić odpowiednie ustawienia podajemy zakres adresów IP, które będą mogły (lub nie) liczyć na dostęp z zewnątrz.
Na zakończenie omawiania najważniejszych zabezpieczeń sieciowych warto wspomnieć o blokadzie firewall. D-Link ma zaporę sieciową SPI, która dynamicznie filtruje pakiety i zapobiega atakom z zewnątrz.
Funkcja NAT Endpoint Filtering pozwala na weryfikację pakietów przychodzących do klientów sieci LAN. Opcję można włączyć oddzielnie dla protokołu UDP i TCP, a do wyboru mamy 3 rodzaje ustawień:
- Endpoint Independent - pakiety przesłane na otwarty port są następnie przesyłane do aplikacji, która go otworzyła. Po określonym czasie bezczynności port jest zamykany
- Address Restricted - pakiety przychodzące muszą zwierać adres IP połączenia wychodzącego
- Address + Port Restriction - pakiety przychodzące muszą zwierać nie tylko adres IP, ale także numer portu połączenia wychodzacego
Pozostaje jeszcze opcja DMZ, która umożliwia ustawienie sieci zdemilitaryzowanej i wystawienie jednego komputera na dostęp z internetu. To ustawienie przydatne będzie dla osób, które mają w swojej sieci usługi serwerowe wymagające bezpośredniego dostępu do nich wprost z internetu.
Sekcja Application Level Gateway (ALG) Configuration opowiada za ustawienia związane z blokadą lub zezwoleniem dostępu dla określonych usług i i aplikacji, m.in. protokół VPN (PPTP i IPSec), a także RTSP (Real Time Streaming Protocol) - zezwalanie na odbiór streamingu z internetu oraz SIP - umożliwienie komunikacji VoIP przez NAT.
Jeśli mamy włączoną obsługę IPv6, powinniśmy zainteresować się dwoma ostatnimi zakładami: IPv6 Firewall oraz IPv6 Routing - znajdziemy tu dodatkowe ustawienia związane z wyznaczeniem tras routowania i zabezpieczeniem sieciowym IPv6.