Routery

Sieć LAN

Konfigurację sieci LAN warto rozpocząć od zakładki Network – LAN gdzie ustawiamy klasę adresową oraz maskę podsieci dla tworzonej sieci lokalnej. Kolejny krok to określenie obecności serwera DHCP w sieci domowej, ustawienie bramy, a także serwerów DNS. Te elementy znalazły się w zakładce DHCP. W sekcji DHCP Client List możemy sprawdzić podłączonych klientów i nadany adres IP dla urządzenia. Z kolei Address Reservation odnosi się do mechanizmu rezerwacji adresu IP dla określonego urządzenia. Rezerwacja pozwala na utworzenia filtru, który dla urządzenia o określonym adresie sprzętowym MAC będzie zawsze przydzielał ten sam adres IP na serwerze DHCP.

Co ciekawe prócz funkcji routingu TP-Link w Archerze zaimplementował także mechanizm sprzętowej obsługi NAT (w dużym skrócie to mechanizm umożliwiający dostęp urządzeniom z sieci lokalnej do internetu z wykorzystaniem jednego publicznego adresu IP). Jej aktywację wykonujemy w zakładce NAT. Będąc już przy zagadnieniach dostępu do i z sieci internetu warto rzucić okiem na funkcje przekierowania portów. W zakładce Forwarding mamy możliwość ustawienia stałego przekierowania portu lub zakresu portów – sekcja Virtual Server lub też czasowego otwarcia portu na czas komunikacji z usługami zewnętrznymi – Port Tirggering. O ile przekierowanie konkretnego portu można wykonać tylko dla określonego wewnętrznego klienta w sieci LAN lub usług, o tyle Port Triggering pozwala na czasowe przekierowania dla wszystkich klientów w sieci, o ile oczywiście klient wyśle takie żądanie. Dodatkowym ułatwieniem w Archerze jest obsługa UPnP pozwalający na automatyczną konfigurację komunikacji w sieci LAN-Internet.

Jeśli zaś w sieci domowej dysponujemy urządzeniem lub usługami, które mają być zawsze dostępne z internetu (np. serwer WWW czy FTP) możemy umieścić go w sieci DMZ. Dzięki temu router będzie kierował zawsze komunikację dla określonych usług do tego serwera.

W zakładce Security użytkownik odnajdzie wszelkie narzędzia pozwalające zwiększyć bezpieczeństwo routera oraz sieci domowej. Mamy do dyspozycji zaporę sieciową SPI, możliwość ograniczenia ruchu VPN, włączenie ochrony przed atakami typu DoS (sekcja Advanced Security), a także ograniczenia dotyczące zarządzania routerem. W sekcji Local management możemy określić, które urządzenie klienckie będzie miało dostęp do panelu administracyjnego routera. Również możemy ustawić zdalny adres IP i port pozwalający na zarządzanie routerem na odległość.

Mając wstępnie skonfigurowane łącze WAN a także parametry związane z bezpieczeństwem sieci warto przyjrzeć się bliżej dwóm zakładkom: Parent Control, Access Control oraz IP & MAC Binding. To one w połączeniu z limitowaniem pasma pozwolą na pełniejszą kontrolę nad domową siecią LAN. I tu TP-Link zaskakuje. Otrzymujemy nie tylko prosty mechanizm filtrowania treści. Po „przeklikaniu” menu okazuje się, że Archer C20i posiada bardzo konfigurowalny mechanizm blokowania i przepuszczani ruchu oparty o harmonogramy.

Proces tworzenia blokad wygląda na mocno skomplikowany jednak po krótkim rozpoznaniu okazuje się dość logiczny. Na początek należy utworzyć reguły dostępu lub blokady do określonych portów – zakładka Access Control – Host. Tu precyzujemy adresy IP lokalnych urządzeń oraz porty komunikacyjne. To na ich podstawie będziemy ustawiać reguły dostępowe dla klientów sieci LAN do sieci internet.

Teraz pora przejść do sekcji Target. Tutaj z kolei definiujemy albo adresy IP albo adresy URL lub MAC urządzeń docelowych, które będą blokowane/przepuszczane. A na sam koniec określamy harmonogram reguł blokad lub dostępu.

Prócz kontroli w Access Control możemy określić dodatkowe reguły i harmonogramy w zakładce Parental Control. To prosty mechanizm umożliwiający dodanie do 4 urządzeń (definiowanych na podstawie adresów MAC kart sieciowych), które będą objęte dodatkowymi regułami. Następnie należy ustawić harmonogram i listę dozwolonych stron.

Dodatkowym zabezpieczeniem w TP-Linku, które rzadko spotykane jest w tej klasie routerów jest funkcja IP & MAC Binding. Mając uruchomiony serwer DHCP w routerze przyporządkowuje on określone adresy z dostępnych z puli dla podłączających się klientów. Jeśli chcemy by urządzenie miało zawsze określony adres możemy ustawić rezerwację na serwerze DHCP. Jest to wygodny mechanizm, jednak w przypadku stosowania dodatkowych reguł zabezpieczeń (Access Control czy Parental Control) dość prosty do obejścia. Użytkownik komputera może zmienić np. adres IP ręcznie. Mechanizm Bind IP to MAC pozwala na utworzenie pary IP i adresu MAC. W takim przypadku nawet zmiana adresu IP utrudni obejście zabezpieczeń (m.in. podszywanie się pod adres IP), bo adres IP jest ściśle powiązany z adresem MAC urządzenia klienckiego.