Funkcje sieci WiFi
W porównaniu z typowymi routerami z WiFi, sekcja sieci bezprzewodowej w Archerze C7 została bardzo rozbudowana. Warto jej poświęcić kilka chwil, gdyż znajdziemy tu wiele ciekawych opcji konfiguracyjnych. Sekcja sieci bezprzewodowej to aż cztery zakładki: Wireless 2.4 GHz, Wireless 5 GHz, Dual Band Selection oraz Guest Network. W przypadku zakładki Wireless 2.4 GHz router oferuje typowe możliwości konfiguracji i ustawień. Sekcja Wireless Settings oraz Wireless Advanced pozwalają na ustawienie nazwy sieci, regionu pracy, trybu (802.11bgn), długości kanału (20, 40 MHz, auto) a także samego kanału. Dodatkowo możemy ukryć nazwę sieci WiFi wyłączając opcję Enable SSID Broadcast. Router pozwala także na budowanie mostu WDS – wystarczy w tym celu aktywować Enable WDS Bridging. Z kolei w zakładce Wireless Advanced możemy skonfigurować moc nadawania, włączyć WMM czy izolować klientów sieci WiFi, by nie widziały się wzajemnie.
Funkcje bezpieczeństwa sieci pracującej w paśmie 2,4 GHz zostały zgromadzone w zakładkach: WPS, Wireless Security oraz Wireless MAC Filtering. Mechanizm WPS wraz ze sprzętowym przyciskiem na tylnej ściance routera umożliwia szybkie przyłączanie do sieci WiFi klientów bezprzewodowych. Usługa WPS to dość proste rozwiązanie, dzięki któremu nie musimy znać hasła do sieci czy rodzaju zabezpieczeń, by móc przyłączyć do niej kolejnych klientów. Wystarczy nacisnąć przyciski WPS lub też podać kod PIN.
Dostęp do sieci WiFi możemy ograniczyć stosując filtrowanie adresów MAC. Jednak jest to mechanizm dość prosty do złamania. Dlatego można go stosować jedynie jako uzupełnienie głównych zabezpieczeń WiFi. Chodzi tu przede wszystkim o włączenie szyfrowania i zabezpieczenie sieci hasłem. Archer C7 oferuje wszystkie mechanizmy zabezpieczeń (WEP, WPA, WPA2 w wersji Personal) a także szyfrowania wykorzystujące serwer Radius – WPA/WPA2 w wersji Enterprise.
Bardzo podobnie wygląda sekcja tycząca się obsługi sieci bezprzewodowej w paśmie 5 GHz. Możemy zmienić nazwę sieci, jej typ zabezpieczeń, izolować klientów czy też włączyć filtrowanie adresów. Niewielka różnica tkwi jedynie w wyborze kanałów. W przypadku sieci 5 GHz brak jest możliwości określenia szerokości kanału. W przypadku standardu AC1750 router oferuje pasma 80 MHz.
Długość kanału | ||||
Liczba strumieni | 20 MHz | 40 MHz | 80 MHz | 160 MHz |
1 | 86 Mbps | 200 Mbps | 433 Mbps | 866 Mbps |
2 | 173 Mbps | 400 Mbps | 866 Mbps | 1,73 Gbps |
3 | 288,9 Mbps | 600 Mbps | 1,3 Gbps | 2,34 Gbps |
4 | 346,7 Mbps | 800 Mbps | 1,73 Gbps | 3,46 Gbps |
W domowych sieciach LAN bardzo często zachodzi potrzeba przydzielenia dostępu do internetu dla znajomych czy gości, którzy znajdą się w naszym domu. Możemy przydzielić im dostęp do produkcyjnej sieci WiFi. A co za tym idzie zdradzić nasze hasła, a także dać dostęp do zasobów domowej sieci LAN. Wygodniejszym i bezpieczniejszym rozwiązaniem jest uruchomienie sieci gościnnej. Taką funkcjonalnością dysponuje Archer C7 i to zarówno dla sieci 2,4, jak i 5 GHz. Możliwości, jakie w tej kwestii oferuje TP-Link są zaskakująco duże. Typowe funkcjonalności sieci gościnnej to: odrębna sieć WiFi z innym SSID innymi zabezpieczeniami i innym hasłem. Dodatkowo Archer oferuje możliwość limitowania pasma internetowego dla sieci gościnnej (limity obowiązują takie same dla obydwu częstotliwości). Ograniczeniom pasma podlega zarówno ruch wychodzący, jak i przychodzący (upload/download). Kolejną ciekawą opcją jest funkcja harmonogramów. Sieć gościnna może być aktywna w określone dni tygodnia oraz o określonej porze. Jest to wygodna funkcjonalność pozwalająca na uruchomienie sieci gościnnej np. tylko w weekend w godzinach wieczornych. W pozostałe dni i godziny sieć nie będzie dostępna.
Ograniczenia sieci gościnnej mogą takż dotyczyć dostępu do zasobów domowych i podłączonych do niej urządzeń. Wystarczy w sekcji Guest Network – Wireless Settings odznaczyć opcję: Allow Guest To Access My Local Network.
Funkcje LAN i bezpieczeństwo
Choć TP-Link Archer C7 należy do urządzeń przeznaczonych do użytku domowego to producent dość duży nacisk położył nie tylko na bezpieczeństwo samego rozwiązania, ale także na bezpieczeństwo użytkowników oraz konfigurowalny dostęp do sieci wewnętrznej. Znajdziemy tu zatem typowe dla TP-Linka możliwości przekierowania portów – zarówno w postaci Virtual Server, jak i Port Triggering. O ile pierwsza opcja pozwala na ustawienie przekierowania „na sztywno” dla określonych hostów w sieci LAN, o tyle Port Triggering jest bardziej elastyczny. Umożliwia otworzenie portu lub portów dla różnych hostów w sieci LAN w zależności od ich żądania. Jest to funkcja przydatna szczególnie w przypadku gier sieciowych, gdzie często wymagane jest otworzenie kilku portów tylko na czas komunikacji z serwerami zewnętrznymi.
TP-Link został także wyposażony w mechanizm UPnP oraz strefę DMZ (pozwala na przypisanie jednego komputera lub urządzenia) – funkcja umożliwia bezpośredni dostęp do danego urządzenia z pominięciem reguł i zabezpieczeń routera czy firewalla.
W zakresie bezpieczeństwa mamy do dyspozycji obsługę zapory sieciowej SPI oraz możliwość przepuszczania pakietów VPN, a także aktywację Application-level Gateway (ALG) pozwalając na ruch sieciowy dla specyficznych usług.
Dodatkowo w zakładce Advanced security można skonfigurować pozostałe parametry zapory sieciowej. Mowa tu przede wszystkim o wykrywaniu wszelkiego rodzaju ataków polegających na wysyłaniu dużej liczby pakietów ICMP-Flood, UDP-Flood czy TCP-SYN-FLOOD. Definiując blokady ustawiamy je określając liczbę pakietów na sekundę.
Z kolei w sekcji Local Management i Remote Management możemy ustawić dostęp do interfejsu konfiguracyjego routera dla określonych hostów. Konfiguracją lokalną opieramy na bazie adresów MAC kart sieciowych komputerów czy urządzeń klienckich. Z kolei ustawienia zdalne opierają się na podaniu adresu lub adresów IP i portu zarządzania.
Bardzo rozbudowany jest również mechanizm kontroli dostępu do treści internetowych. Pierwsza z opcji – kontrola rodzicielska (Parental Control) umożliwia zdefiniowanie zakresu stron dozwolonych dla poszczególnych komputerów czy urządzeń w sieci LAN. Funkcja kontroli rodzicielskiej oparta jest na harmonogramach, które pozwalają precyzyjnie określić, kiedy dane urządzenie będzie miało dostęp do dozwolonych stron. Ustawiając kontrolę rodzicielską podajemy adres MAC komputera, który zarządza ustawieniami (np. komputer rodzica) oraz adresy MAC komputerów, które objęte są kontrolą rodzicielską. Ważne – komputer kontrolujący nie może być objęty ograniczeniami Parental Control. To, czego zabrakło to wyraźny komunikat ze strony routera, że nie może otworzyć danej strony z uwagi na nałożone ograniczenia. W przypadku blokady strona po prostu się nie wyświetla i wyświetlany jest komunikat o braku odpowiedzi serwera.
Rozbudowaną funkcją jest także kontrola dostępu do sieci - Access Control. Pozwala ona na precyzyjne dostosowanie reguł blokad w oparciu nie tylko o nazwy hostów czy słowa kluczowe. W tej sekcji definiujemy zakresy adresów IP komputerów w sieci lokalnej objętych blokadą. Następnie tworzymy reguły dostępowe podając albo nazwy domenowe stron, albo zakres adresów IP i określonych portów. Tak stworzoną regułę możemy dodatkowo opatrzyć harmonogramem.
Mechanizm kontroli rodzicielskiej oraz zestawy reguł kontroli dostępu można w prosty sposób obejść zmieniając adres IP, oraz adres MAC karty sieciowej. Nie jest to trudne w przypadku domowej sieci LAN i niepełnej konfiguracji routera. Wystarczy, że użytkownik zna klasę adresową sieci, a także wie jak zmienić adres MAC na komputerze, który pozbawiony jest restrykcji konta użytkownika. I tu z pomocą przychodzi TP-Link implementując w swoim urządzeniu IP & MAC Binding. Funkcja opiera się o tablicę ARP i tworzy powiązane pary adres IP – adres MAC. Włączenie IP & MAC Binding skutkowało będzie utworzeniem stałych par adresów co pozwoli na lepszą kontrolę nad podłączanymi komputerami w sieci, a dodatkowo uchroni przed atakami ARP (podszywanie się pod MAC adres). Tu warto podkreślić, że stosowanie zabezpieczeń ARP Binding powinno wykorzystywać się w sieci ze stałymi adresami IP (wyłączony serwer DHCP) lub też po wpisaniu adresów IP do tablicy rezerwacji serwera DHCP.
Uzupełnieniem kontroli rodzicielskiej oraz dostępu do stron internetowych jest możliwość uruchomienia kontroli zajętości pasma internetowego. W sekcji Bandwidth Control podajemy maksymalne prędkości pobierania i wysyłania dla naszego operatora ISP. Następnie w sekcji Rule List definiujemy zakresy adresów IP w sieci lokalne oraz zakresy portów objęte regułami limitów prędkości. Po aktywowaniu usługi możemy w prosty sposób sprawdzić jej działanie badając szybkość połączenia np. przy użyciu witryny speedtest.net. Pierwsza z grafik prezentuje szybkość połączenia internetowego bez limitów, druga z kolei z nałożonymi limitami – maksymalnie 200 kbps pobieranie i wysyłanie.