icon วางระบบเครือข่าย ติดต่อ info@corecasys.com  บทความที่  00288 [DrayTek Tips]
บทความ นิตยสารไมโครคอมพิวเตอร์ มิ.ย. 52 (Review 2950)

 

Unified Threat Management  (UTM)  ตัวเดียวครบทุกความต้องการ

 

Vigor 2950 + Smart Monitor = พยัคฆ์ร้าย 007

 

ตรวจจับ และสืบค้น ร่องรอย พนักงานในองค์กร

 

 

ก่อนที่จะ Review ผลิตภัณฑ์ Vigor 2950 นั้น  ข้าพเจ้าคิดอยู่นาน  เนื่องจากการ Review Vigor 2910 (เทพแห่ง Boardband Router)  ที่ผ่านมานั้น  กินความยาวหน้ากระดาษไปหลายหน้ามาก  แต่มาถึงปัจจุบัน  ข้าพเจ้าไม่สามารถที่จะเลี่ยงการ Review อุปกรณ์ตัวนี้ได้อีกแล้ว  เนื่องจากคุณสมบัติที่โดดเด่นของ Vigor 2950 ในส่วนของ Smart Monitor, SSL VPN, VPN Backup และ VPN Load Balance ที่โดดเด่นอย่างแท้จริง  มาดูคุณสมบัติโดยรวมของอุปกรณ์กันก่อน

 

1.       2 WAN Port Load Balance  (Back Pane WAN 90 Mbps.)

2.       4 LAN Ports 10/100/1000 Mbps/ 4 VLAN

3.       1 Lan Monitor Port 10/100/1000 Mbps  สำหรับดักจับข้อมูลผ่านโปรแกรม Smart Monitor

4.       ฟรีโปรแกรม Smart Monitor  ตรวจจับและสืบค้นร่องรอยการใช้งาน

5.       รองรับ Nat Session = 20,000 Session  หรือ เครื่องลูกข่ายประมาณ 200 เครื่อง  หรือมากกว่า

6.       รองรับ 3  Dynamic DNS พร้อมๆ กัน  และกำหนด  DDNS  แต่ละขา WAN ได้

7.       รองรับ VPN 4 แบบ (SSL, PPTP, IPSec และ L2TP)

8.       จุใจกับ VPN Lan-to-LAN  200  Tunnels

9.       ทำ QOS ได้อย่างยอดเยี่ยม โดยเฉพาะกับ Voice Box ทุกประเภท

10.          เหนือกว่าด้วย VPN Backup  และ  VPN Load Balance

11.          รองรับ Static Router 10 เส้นทาง  (พลิกแพลงการเชื่อมโยงแบบไร้ขีดจำกัด)

12.          Lock Mac Address ในการออกอินเตอร์เน็ตได้ 1 Class C  (Bind IP to MAC)

13.          Port Forward  20 Ports  สามารถแปลง Port ได้ทั้งขานอก  และขาใน

14.          Port Forward ได้ 10 Port ต่อ 1 IP  สูงสุดถึง 20 IP  (200 Ports)

15.          Firewall ที่สามารถใช้งานได้จริงในทุกสถานการณ์

16.          Block IM = MSN, Yahoo, ICQ

17.          Block P2P ได้กว่า 90%  (และใช้งานได้ฟรีไม่ต้องเสียค่า License ในการ Block)

18.          สามารถ Block เว็บไซต์ที่ไม่ต้องการได้  รวมถึง Java, ActiveX, Compress Files, EXE Files

19.          สามารถ Limit การใช้งาน Session ต่อ IP ได้  (ป้องกันไวรัส)

20.          สามารถทำ Bandwidth Management ต่อ IP ได้จริง  แบบ Kbps ต่อ IP

21.          รองรับการจัดเก็บ Log

22.          มีระบบการวิเคราะห์  Nat Session,  Data Flow Monitor  (IP ไหนใช้งาน Block ได้ 5 นาที)

23.   กำหนด IP Access List ที่จะเข้ามาควบคุม Router ผ่านอินเตอร์เน็ตได้

 

 

1. 2 WAN  Load Balance Router  (Body ภายนอก)

 

ภาพที่ 1 อุปกรณ์ที่มีมาให้กับ Vigor 2950

 

ภาพที่ 2  รูปแบบ Packing ของ Vigor 2950

 

อุปกรณ์ที่มีมาให้

1. สาย Power AC 1 เส้น

2. Vigor 2950 1 ตัว

3. คู่มือ Quick Guide 1 เล่ม

4. CD คู่มือใช้งานและโปรแกรมต่างๆ ที่ใช้งานควบคู่กับ Router 1 แผ่น

5. ขายึดเข้า Rack 19’ 1 คู่  พร้อมน็อตยึด

6. สาย LAN 1 เส้น (2 เมตร)

 

ภาพที่ 3  Interface ด้านหน้าของ Vigor 2950

 

รูปร่างหน้าตาจะเป็นแบบนี้  Style ดั้งเดิมแบบ DrayTek  จากการทดสอบใช้งาน  ในระยะเวลานานๆ  ไม่พบปัญหาความร้อนที่ตัวอุปกรณ์เลย  แม้เปิดในอุณหภูมิปกติในเมืองไทย 37-40 องศา

 

ภาพที่ 4  ขยายภาพ Interface ด้านหน้าแบบเจาะลึก

 

ด้านหน้าเครื่องมี 4 LAN Port Switch 10/100/1000  และ 2 WAN Port  10/100  ในส่วนของ Lan Monitor Port นั้นใช้ควบคู่กับโปรแกรม Smart Monitor ซึ่งจะช่วยดักจับข้อมูลภายในองค์กรได้อย่างมีประสิทธิภาพ

 

ภาพที่ 5  ไฟแสดงสถานการณ์ทำงานของ Vigor 2950

 

ไฟแสดงสถานการณ์ทำงาน  บอกให้รู้ว่ามีการใช้งาน VPN, QOS หรือ Lan Monitor หรือไม่  และมีปุ่ม Reset ซึ่งกดค้างไว้ 5 วินาที  จึงจะทำงาน

 

Load Balance ของ DrayTek สามารถกำหนดได้ 3 แบบคือ

1.  Load Balance 2 WAN port พร้อมกัน

2. ให้ WAN 2 ทำงานเมื่อ WAN ล่ม

3. .ให้ WAN 2 ทำงานเมื่อ WAN 1 ใช้ Speed เกินกว่าที่กำหนด

 

ภาพที่ 6  Load Balance Mode ของ Vigor 2950

 

ภาพที่ 7  โหมดการเชื่อมต่อ Wan Connection ของ Vigor 2950

 

WAN Interface ของ Vigor 2950  รองรับการเชื่อมต่อแบบ RJ45 ที่มาจาก Leased Line, ADSL. G.Shdsl จึงทำให้ยืดหยุ่นมากในการใช้งาน  โดยทั่วไปแล้ว  หากต้องการให้ Public IP ของ ISP มาอยู่ที่ขา WAN ของ Vigor 2950 นั้น  โดยทั่วไปจะใช้ Mode PPPoE  เชื่อมต่อไปยัง Modem Bridge ซึ่งอยู่ด้านหน้า  แต่หากต้องการเชื่อมต่อเข้ากับ Leased Line ที่มี Interface ออกมาเป็น RJ45 ก็จะใช้ Static or Dynamic IP  โดย IP ที่เหลือจาก Leased Line นั้นสามารถทำ IP Alias ไปยัง IP ภายในได้อีก 32 Public IP

 

ภาพที่ 8  ตัวอย่างการกำหนดขาออก Internet ของเครื่องลูกข่ายภายใน

 

พระเอกของฟังก์ชั่นโหลด Balance อยู่ตรงจุดนี้  Vigor 2950  กำหนด Wan ขาออกของเครื่องลูกข่ายแต่ละเครื่องได้ทั้งแบบ IP Address และแบบ Port  ตัวอย่างจากภาพที่ 8 เช่น IP 192.168.95.101 ให้ออกเน็ตผ่าน WAN 2 อย่างเดียว  หรือจะให้ Application ในการส่งเมล์เช่น SMTP (Port 25), FTP (Port 21) และ POP3 (Port 110)  ส่งออกผ่าน WAN 1 อย่างเดียวก็ได้  ซึ่ง Load Balance ในท้องตลาดหลายยี่ห้อมีปัญหาตรงจุดนี้กันมาก  ซึ่งหากใช้ Internet ของ ISP ที่ต่างกัน  เช่น WAN1=INET และ WAN2=True  ทั้ง 2 ISP นี้จะใช้ SMTP ในการส่งข้อมูลต่างกัน  ดังนั้นหากกำหนดให้ Port 25 ส่งออกผ่าน WAN ใด WAN หนึ่ง  ปัญหาในการส่งเมล์ก็จะไม่เกิดขึ้น

 

ภาพที่ 9  รายละเอียดภายในของการกำหนด Load Balance Policy

 

 

2.  4 LAN Ports 10/100/1000 Mbps/ 4 VLAN

 

ภาพที่ 10  ตัวอย่างการทำ VLAN กับ VOIP

 

องค์ประกอบสำคัญสองอย่างที่จะขาดเสียไม่ได้สำหรับการติดตั้ง VOIP ในระบบเครือข่าย  คือการทำ VLAN  หรือ QOS กับ Router ซึ่งนอกจาก Vigor 2950 จะทำ QOS ได้อย่างยอดเยี่ยมแล้ว  ยังสามารถทำ VLAN ที่ Router ได้อย่างง่ายดาย  จากตัวอย่างภาพที่ 10 นั้น  มีการแยก LAN Port 2 ออกจากเครือข่ายทั้งหมด  ซึ่ง LAN Port เชื่อมต่อกับ Voice Box  และเวลาจะ Remote ไปยัง Voice Box นั้น  จะ Remote อ้อมจาก Internet ด้านนอกเข้ามาด้วยวิธีการ Forward Port

 

 

3.  1 Lan Monitor Port 10/100/1000 Mbps  สำหรับดักจับข้อมูลผ่านโปรแกรม Smart Monitor

 

 

ภาพที่ 11  การเชื่อมต่อ Smart Monitor กับ Vigor 2950

 

ช่อง LAN Monitor Port ที่มีมาให้กับ Vigor 2950 นั้น  เป็นช่องที่รองรับเทคโนโลยี Mirror Port  โดยโปรแกรม Smart Monitor นั้นจะใช้เทคโนโลยีการ Sniffer  ดักจับ Package ทุกอย่างที่วิ่งผ่านเข้า-ออก  จาก Wan ทั้ง 2 ขา  โดยเทคโนโลยีการ Sniffer นี้  จะสามารถดักจับได้ถึงเนื้อในของ Service ต่างๆ  ได้อีกด้วย  วิธีการใช้ก็ง่ายมาก  เพียงแค่จัดเตรียมเครื่องคอมพิวเตอร์ 1 เครื่อง Spec ขั้นต่ำประมาณ P4, RAM 2 GB และ HDD 500 GB, Windows XP หรือ 2003  จากนั้นก็ลงโปรแกรม Smart Monitor ไปที่คอมพิวเตอร์เครื่องนั้น  แล้วเสียบเข้าไปที่ช่อง Lan Monitor Port

 

ในการลงโปรแกรม Smart Monitor นั้น  ขอให้สำรวจภายในเครื่องก่อนว่า  มีการลงโปรแกรมประเภท Web Server ไว้แล้วหรือยัง  เพราะ Smart Monitor จะใช้ Port 80 ในการ Report รายงาน  และโครงสร้าง Web Base ใช้ Apache เป็นตัว Run Web Server ดังนั้น  หากมี Web Server หรือ Apache ฝังอยู่ภายในให้เครื่อง  ให้ถอนโปรแกรมเหล่านั้นออกก่อน

 

4.  ฟรีโปรแกรม Smart Monitor  ตรวจจับและสืบค้นร่องรอยการใช้งาน

 

โปรแกรม Smart Monitor สามารถดักจับข้อมูลภายใน Service ต่างๆ เหล่านี้  ได้แก่  FTP, Mail (POP3/SMTP), HTTP, IM (MSN Messenger, ICQ, Yahoo Messenger), Telnet, P2P (Bit Torrent / U-Torrent / Bit Comet)  การใช้งานก็แสนง่ายดาย  เพียงแค่เปิด Internet Explorer แล้ว Browser เข้าไปยังเครื่องที่ลงโปรแกรม Smart Monitor ไว้แล้วเท่านั้น  ซึ่งในการเข้าดูข้อมูลของโปรแกรม Smart Monitor นั้น  สามารถกำหนดสิทธิ์ผู้เข้าดูได้ว่า  สามารถอ่านข้อมูลประเภทใดได้บ้าง  เช่น User A อาจเข้าดู Content เฉพาะส่วนที่เป็น HTTP ได้อย่างเดียว  ส่วน User B สามารถดูได้ทั้งหมดเป็นต้น

 

ภาพที่ 12 Menu การ Login เข้าสู่โปรแกรม Smart Monitor

 

ภาพที่ 13  Service และ Content ทั้งหมดที่โปรแกรม Smart Monitor จัดเก็บ

 

ภาพที่ 14  ตัวอย่างการจัดเก็บ Content ของ E-mail ที่รับเข้าและส่งออก

 

ภาพที่ 15  ตัวอย่างการจัดเก็บ Content ของ MSN Messenger

 

ในการจัดเก็บ Log ตาม พรบ. ผ่านโปรแกรม Smart Monitor นั้น  จำเป็นต้องประกาศให้พนักงานภายในบริษัทฯ ทราบถึงระบบดังกล่าวก่อนด้วย  มิเช่นนั้นอาจละเมิด พรบ.50 ตามมาตร 8 ได้  ซึ่ง พรบ. ได้มีการกำหนดไว้ว่า  การดักจับหรือล่วงรู้ข้อมูลของบุคคลอื่นโดยไม่ได้รับอนุญาตนั้น  ถือเป็นความผิด  มีระวางโทษจําคุกไมเกินสามปหรือปรับไมเกินหกหมื่นบาท หรือทั้งจําทั้งปรับ

 

5.  รองรับ Nat Session = 20,000 Session

 

ภาพที่ 16  แสดงปริมาณ Nat Session ของ Vigor 2950  โดยใช้ Telnet

 

ทดสอบโดยเชื่อมต่อเข้าสู่ Router โดยใช้ Telnet Command ‘sh session’  โดยปกติแล้วคอมพิวเตอร์หนึ่งเครื่องที่ใช้งานอินเตอร์เน็ต  จะใช้งาน Session โดยเฉลี่ยประมาณ 100 Session  นั่นหมายความว่า  Vigor 2950  สามารถรองรับคอมพิวเตอร์ลูกข่ายได้ประมาณ 200 เครื่อง  หรือหากมี Proxy / Radius ภายในระบบเครือข่าย  Vigor 2950 ก็จะรับโหลดเครื่องลูกข่ายได้มากขึ้นเป็นทวีคูณ

 

ภาพที่ 17  แสดงการใช้งาน Nat Session แบบ Real Time

 

จุดเด่นคงไม่ได้อยู่ที่ Vigor 2950 รองรับ Session ได้เป็นปริมาณมากๆ ได้เพียงอย่างเดียว  แต่อยู่ที่ Session ที่ใช้งานแล้ว  จะถูกเคลียร์ทิ้งโดยอัตโนมัติทันที  ทุกครั้งที่ใช้งานเสร็จสิ้น  จึงไม่ทำให้เกิดปัญหา Session Overflow  ซึ่งเป็นสาเหตุการ Hang ของตัวอุปกรณ์  ท่านสามารถดูปริมาณการใช้งาน Session ได้ที่ Menu Diagnostics >> Nat Session Table ..... Vigor 2950 รองรับ Session ได้มาก  และไม่มีปัญหาเรื่องความร้อนที่ตัวอุปกรณ์  จึงทำให้เป็น Vigor 2950 Series เป็นอุปกรณ์เครือข่ายที่มีเสถียรภาพสูงสุดตัวนึงเลยทีเดียว

 

 

6.  รองรับ 3  Dynamic DNS พร้อม กัน

 

นอกจาก Vigor 2950 จะรองรับ Dynamic DNS ได้ถึง 3 ชื่อพร้อมกันแล้ว  ยังสามารถกำหนด DDNS กับขา WAN แต่ละขาได้ด้วย  ดังนั้นหาก  www.dyndns.com  ล่ม  ก็สามารถเชื่อมต่อเข้ามายัง www.no-ip.com แทนได้  หรือหาก Wan 1 ล่ม  DDNS ที่ WAN 1 จะถูกย้ายอัตโนมัติมาที่ Wan 2 ในทันที  จึงทำให้ไม่มีปัญหาเรื่องการควบคุม Router จากภายนอก  หรือการเชื่อมโยงเครือข่ายผ่าน Dynamic DNS

 

ภาพที่ 18  ภาพรวมการกำหนดค่า Dynamic DNS

 

ภาพที่ 19  การกำหนด DDNS ในแต่ละ Profile

 

ภาพที่ 20  DDNS ทั้งหมดที่ Vigor 2950 รองรับ

 

ภาพที่ 21  DDNS บน Vigor 2950 จะ Update ทุกๆ ชั่วโมง

 

 

7.  รองรับ VPN 4 รูปแบบ (SSL, PPTP, IPSec และ L2TP)

 

จุดเด่นของ DrayTek Vigor ทุกรุ่น  แต่ไหนแต่ไรมานั้น  ก็คือการที่ DrayTek ทำงานเสมือนหนึ่ง Windows VPN Server  ซึ่งท่านไม่จำเป็นต้องตั้ง VPN Server ขึ้นมาให้ยุ่งยาก  มีเพียง Vigor 2950 เท่านั้น  โดยท่านสามารถเชื่อมโยงมายัง DrayTek Router โดยใช้ VPN ใน Windows ได้เลย  ซึ่ง VPN ใน Windows นั้น  เรียกว่า VPN แบบ PPTP  อีกทั้งหากท่านเป็นองค์กรขนาดใหญ่  ท่านยังสามารถใช้ Vigor 2950 เป็น Router ตัวแม่  รองรับการเชื่อมโยงจาก Router ลูกข่ายต่างๆ  ไม่ว่าจะเป็น Cisco Router, Zyxel หรือ Router ยี่ห้ออื่นๆ ได้อีก  ผ่านโปรโตคอลมาตรฐาน IPSec และ L2TP  นอกจากนั้น DrayTek ยังรองรับการเชื่อมต่อ LAN ระหว่างสาขาเข้าหากันได้อย่างแท้จริง  ซึ่งท่านสามารถมั่นใจได้ว่า  คอมพิวเตอร์ใน LAN 2 ฝั่ง  จะมองเห็นกัน  และใช้ทรัพยากรร่วมกันได้อย่างแน่นอน

 

สำหรับการเชื่อมต่อแบบ SSL VPN นั้น  ก็แสนง่ายดาย  เพียงแค่ท่านเปิด Web Browser ขึ้นมา  พิมพ์ https://  ตามด้วย  Public IP หรือ Dynamic DNS ของ Router  จากนั้นติดตั้ง Java ตามที่ Web Browser ร้องขอมา  เพียงเท่านี้ท่านก็สามารถเชื่อมโยงเครือข่ายเข้าสู่สำนักงานใหญ่ผ่าน SSL VPN ได้แล้ว

 

ภาพที่ 22  การเชื่อมต่อ SSL VPN ผ่าน Web Browser

 

 

8.  จุใจกับ VPN Lan-to-LAN  200  Tunnels

 

นอกจาก Vigor 2950  จะรองรับ VPN 4 รูปแบบแล้ว  ยังสามารถรองรับ Tunnel ได้ถึง 200 Tunnel อีกทั้ง 200 Tunnel ที่มีนั้น  ยังรองรับการเชื่อมต่อแบบ LAN  Site-to-Site ทั้ง 200 Tunnel อีกด้วย

 

 

9. ทำ QOS ได้อย่างยอดเยี่ยม โดยเฉพาะกับ Voice Box ทุกประเภท

 

พื้นฐานของเทคโนโลยีที่จะใช้งาน VOIP ได้อย่างมีประสิทธิภาพนั้น  จะต้องมี QOS ที่ทำงานได้อย่างแท้จริง  โดย QOS ของ Vigor 2950 นั้น  มี User Interface ที่สวยงามกว่า  ซึ่งสามารถดูกราฟการทำงานได้จริงแบบ Realtime  หากระบบเครือข่ายของท่าน  ต้องการการ Guarantee Service ใด Service หนึ่งเป็นพิเศษ  เช่น  อยากกัน Service ของ VOIP เอาไว้ที่ 25%  ของ Bandwidth ทั้งหมด  ก็สามารถทำได้อย่างง่ายดาย  ทั้งนี้ QOS ของ Vigor ตระกูล 2000 Series สามารถทำ QOS ได้ทั้งแบบ Service (Port) และ IP

 

 

ภาพที่ 23  แสดงสถานการณ์ทำงานของ QOS

 

ภาพที่ 24  ภาพรวมของการกำหนด QOS

 

ภาพที่ 25  แสดงการทำงาน QOS ของ DrayTek ว่า  ทำได้ทั้งแบบ Service (Port) และ IP

 

 

10.  เหนือกว่าด้วย VPN Backup และ VPN Load Balance

 

Function นี้จะทำให้การเชื่อมโยง VPN ของคุณมีเสถียรภาพอย่างไร้ที่ติด  เนื่องจากพื้นฐานอินเตอร์เน็ตที่มีเสถียรภาพนั้น  จะประกอบด้วย 2 โครงสร้างคือ  2 Carrier และ 2 Gateway  ดังนั้นหากท่านมีอินเตอร์เน็ตที่มีเสถียรภาพโดยใช้ Load Balance ของ Vigor 2950 แล้ว  หาก VPN ใด VPN หนึ่งล่ม  อีก 1 VPN ที่เหลืออยู่จะพยายามใช้อินเตอร์เน็ตที่มีอยู่  เชื่อมต่อไปยังจุดหมายปลายทางใด้สำเร็จ  ทั้งนี้จากการทดลองระบบ VPN Backup นั้น  การเชื่อมต่อ Tunnel สำรองจะทำได้แล้วเสร็จภายใน 5 วินาที  โดยหากท่าน Ping ไปยังจุดหมายปลายทางทิ้งเอาไว้  แล้วปลดสาย Wan ที่กำลังเชื่อมต่อ VPN อยู่  Time out จะมีเพียงบรรทัดเดียวเท่านั้น

 

ภาพที่ 26  แสดงหลักการทำงานของ VPN Backup

 

ในส่วนของการทำงานแบบ VPN Load Balance นั้น  เมื่อก่อน  ท่านอาจต้องใช้ Vigor 2700 ขวางด้านหน้า Vigor 2950  เพื่อให้  VPN ทั้ง 2 เส้นทำงานพร้อมกันเป็นคู่ขนาน  แต่ด้วย Function ใหม่ล่าสุดของ Vigor 2950 นั้นสามารถทำ VPN 2 Tunnel เชื่อมต่อไปยังจุดหมายปลายทางเดียวกันได้เลย  โดยไม่ต้องมี Vigor 2700 มาวางขวางด้านหน้า

 

ภาพที่ 27 แสดงการทำงานของ VPN Load Balance ในอดีต

 

ภาพที่ 28  แสดง Function การทำงานของ VPN Load Balance

 

 

11.  รองรับ Static Router = 10 เส้นทาง  (พลิกแพลงการเชื่อมโยงแบบไร้ขีดจำกัด)

 

เป็น Function การใช้งานที่ Router ส่วนใหญ่มีกัน  ซึ่ง DrayTek ก็สามารถทำได้  โดยฟังก์ชั่น Static Route จะช่วยทำให้ท่านสามารถแยกสายสัญญาณในการเชื่อมโยงเครือข่าย  และสายสัญญาณในการเล่นอินเตอร์เน็ต  เป็นอิสระจากกัน  นอกจากนี้ยังสามารถใช้เทคนิคนี้พลิกแพลงการเชื่อมโยงเครือข่ายในลักษณะของ VPN Load Balance ได้อีกด้วย

 

 

ภาพที่ 29  การเชื่อมโยงเครือข่ายโดยใช้ Static Route

 

รายละเอียด VPN Load Balance สามารถดูได้ที่ลิงค์ด้านล่างนี้  http://www.draytek.co.th/draytek/277.pdf  และ  http://www.nickservice.com/board/read.asp?no=165

 

 

12.  กำหนดสิทธิ์ในการเล่นอินเตอร์เน็ตได้จาก MAC Address

 

ภาพที่ 30  การ Lock Mac Address ในการเล่นอินเตอร์เน็ต

 

กำหนดสิทธิ์การเล่นอินเตอร์เน็ตสำหรับ IP อย่างเดียวคงยังไม่พอ  แต่ถ้า IP นั้นต้องเป็น Mac Address ที่กำหนดเสมอด้วยล่ะ  Super User คง Hack ระบบคุณยากขึ้น  คุณสมบัตินี้  ท่านสามารถกำหนดสิทธิ์การใช้งาน Internet ของแต่ละ IP ได้อย่างแม่นยำ  โดย IP Address ที่สามารถออกอินเตอร์เน็ตได้นั้น  นอกจากจะต้องเป็น IP Address ตามที่ Router กำหนดแล้ว  ยังจะต้องมี Mac Address ตรงตามฐานข้อมูลที่บันทึกไว้ที่ Router ด้วย  ซึ่งหาก IP Address ใดไม่มีฐานข้อมูลตรงตามที่ Router กำหนดไว้  ก็จะไม่สามารถใช้งานอินเตอร์เน็ตได้  และจะไม่สามารถมองเห็น Router ได้อีกด้วย

 

 

13.  Nat Session =20 Ports  โดยสามารถกำหนดได้ทั้งขานอก  และขาใน

 

ภาพที่ 31  การแปลง Port ขานอก  มาเป็น Port ขาใน

 

จากตัวอย่างภาพที่ 31 จะเห็นได้ว่า  หากเชื่อมต่อมายัง Router ผ่าน Port 81 ก็จะเข้ามาที่ Web Server IP 192.168.10.2  และหากเชื่อมต่อมายัง Router ที่ Port 82 ก็จะเข้ามาที่ Web Server IP 192.168.10.3  เป็นต้น ..... โดยทั่วไปแล้วการใช้งาน Nat บน Router ทั่วไปไม่สามารถแปลง Port จากขานอกมาเป็น Port ขาในตามต้องการได้

 

 

14.  Port Forward  ได้ 10 Port ต่อ 1 IP  สูงสุดถึง 20 IP  (200 Ports)

 

ในกรณีที่ Nat Port Redirection ไม่พอเพียงต่อการใช้งาน  คือมีการ Forward Port เข้ามายัง IP ภายในมากกว่า 20 Port  ท่านก็ยังสามารถใช้ Open Port แต่ละ IP ได้อีก 10 Port ต่อ 1 IP  และสามารถกำหนด Open Port ได้สูงสุดถึง 20 IP  รวมแล้ว 200 Port เลยทีเดียว

 

ภาพที่ 32  การกำหนด Open Port เข้ามายังแต่ละ IP

 

 

15.  Firewall ที่สามารถใช้งานได้จริงในทุกสถานการณ์

 

Firewall ที่ดีนั้น  ไม่ได้ขึ้นอยู่กับว่าใช้ Firewall ยี่ห้อไหน  ไม่ได้ขึ้นอยู่กับว่า Firewall นั้นราคาเท่าใด  หากแต่ ขึ้นอยู่กับว่า  ใครเป็น Administrator ที่ควบคุม Firewall นั้นๆ  มากกว่า ..... Firewall ที่ใช้งานได้ง่าย  และใช้งานได้จริง  จึงเป็นเครื่องมือที่มีประสิทธิภาพสำหรับ Admin  การติดตั้ง Firewall ในองค์กรนั้น  มีมากมายหลากหลายรูปแบบ  ท่านสามารถดูตัวอย่างการติดตั้ง Firewall ได้ที่นี่  http://www.nickservice.com/board/read.asp?no=106

 

 

16.  Block IM  (MSN, Yahoo…) / Block P2P  (BitTorrent, Bit Comet …)

 

Vigor 2950 ยกระดับในการBlock IM ได้อย่างแนบเนียน  โดยสามารถแบ่งระดับการ Block IM (MSN Messenger, ICQ, Yahoo Messenger, AIM)  ได้เช่น  IP  บางกลุ่ม อนุญาตให้ใช้ IM เพื่อรับส่งข้อความเพียงอย่างเดียว  IP บางกลุ่ม  อนุญาตให้รับส่งข้อความได้และรับส่งไฟล์ได้  หรือ  IP บางกลุ่มอาจอนุญาตให้ใช้ IM แบบเต็มรูปแบบเลยก็ได้เช่น  รับส่งข้อความ  รับส่งไฟล์  และใช้ VDO Conference ได้ด้วย

 

ภาพที่ 33  การกำหนดระดับในการ Block โปรแกรมประเภท IM

 

 

17.  Block P2P ได้กว่า 90%

 

P2P ได้มากกว่า 90%  โดยไม่ต้องเสียเงินค่า License เพิ่มแบบอุปกรณ์ตัวอื่นๆ  ซึ่งมักสอดไส้ค่าใช้จ่ายภายในเอาไว้ ..... ต้องยอมรับว่า  โปรแกรม P2P  มีการพัฒนาไปมาก  P2P  บางตัวมีการ Encrypt ในส่วนของ Header และ Message  จึงทำให้ Vigor ไม่สามารถดักจับ Signature Files ของ P2P  ได้หมดทุกรุ่น  แต่โดยรวมแล้ว  90% ของโปรแกรม P2P  Vigor 2950 สามารถ Block การใช้งานได้

 

เทคนิคในการป้องกันไม่ให้ P2P ส่งผลกระทบต่อระบบเครือข่ายนั้น  สามารถทำได้ง่ายๆ  เพียงแค่ใช้ความสามารถในส่วนของ Bandwidth Management, Session Limit และ QOS ที่ Vigor 2950  ถึงแม้ Vigor 2950 จะไม่สามารถ Block P2P ได้ 100%  แต่ P2P ที่หลุดรอดเข้ามาก็ไม่สามารถส่งผลกระทบกับระบบโดยรวมได้

 

ภาพที่ 34  โปรแกรม P2P ที่ Vigor 2950 สามารถ Block ได้

 

 

18.  สามารถ Block เว็บไซต์ที่ไม่ต้องการได้  รวมถึง Java, ActiveX, Compress Files, EXE Files

 

Vigor 2950 สามารถบล็อกเว็บไซต์ที่ไม่ต้องการได้  และหากบางกลุ่ม IP  ที่ต้องการ Access ไปยังเว็บไซต์ที่ Block ไว้  ก็สามารถอนุญาต  ให้บางกลุ่ม IP ออกไปได้เช่นกัน  อีกทั้งยังสามารถ Block Java, ActiveX, Compress files (Zip, RAR ….), Executable files, Multimedia files, Cookie และ Proxy ได้อีกด้วย  โดยกำหนดช่วงเวลาได้เช่นกัน

 

ภาพที่ 35  Function การ Block Web Site และไฟล์ต่างๆ

 

 

19. สามารถ Limit Session ต่อ IP

 

Session Limit ที่ Vigor 2950 สามารถยับยั้งของเขตความเสียหายของระบบอันเนื่องมาจาก Virus หรือ Trojan ในระบบได้  เช่นหากภายในระบบเครือข่ายมีเครื่องลูกข่ายติดไวรัส  และไวรัสสายพันธุ์นั้น Broadcast Package ไปที่ Gateway เป็นปริมาณมากๆ  ฟังก์ชั่นนี้ก็จะช่วยจำกัดขอบเขตความเสียหายของระบบขึ้นได้  โดยปกติแล้ว Session ที่ใช้ในเครื่องคอมพิวเตอร์แต่ละเครื่อง  ควรกำหนดไม่ต่ำกว่า 100 Sessions  อีกทั้งฟังก์ชั่นนี้ยังสามารถกำหนดช่วงเวลาการทำงานได้เช่นกัน

 

ภาพที่ 36  Function การใช้ Session Limit

 

 

20.  สามารถทำ Bandwidth Management ต่อ IP แบบ Kbps Rate

 

คุณสมบัติเด่นอย่างหนึ่งของ Vigor 2910 Series ที่ Router ยี่ห้ออื่นๆ ไม่มีก็คือ  การกำหนดความเร็วอินเตอร์เน็ตของแต่ละ IP แบบ Kbps Rate ได้อย่างแท้จริง  โดยปกติแล้ว  Router ทั่วไปที่ขายตามท้องตลาดสามารถทำได้เพียง QOS เท่านั้น  คือกำหนดการทำงานได้เพียง  ให้ Web หรือ FTP วิ่งที่กี่เปอร์เซ็นต์ของ Bandwidth ทั้งหมดเป็นต้น  ฟังก์ชั่นนี้โดยทั่วไปจะมีเฉพาะกับ Manage Switch หรือ Router รุ่นใหญ่ๆ เท่านั้น  เช่น  IP 192.168.1.10 ให้สามารถใช้ Download (RX) ได้ที่  256Kbps  และ Upload (TX) ที่ 128 Kbps เป็นต้น  อีกทั้งยังสามารถกำหนดช่วงเวลาในการใช้ Policy ดังกล่าวได้อีกด้วย

 

ภาพที่ 37  Function การใช้งาน Bandwidth Management

 

 

21.  รองรับการจัดเก็บ Log

 

หากระบบเครือข่ายมีปัญหา  ท่านก็ไม่ต้องไปหาซื้อโปรแกรมเพื่อวิเคราะห์จากที่ไหน  เพราะ Vigor 2950 รองรับการจัดเก็บ Log ตาม พรบ.50  โดยจะจัดเก็บ IP Address ข้างในที่ออกไปยัง Public ด้านนอกทุก Port  แม้คำสั่ง Ping ก็จะมีการบันทึกไว้ทั้งหมด  จึงไม่มีทางที่ผู้ใช้ภายในระบบเครือข่าย  จะออกไปยังเครือข่ายภายนอก  โดยไม่มีการบันทึกไว้  ทั้งนี้ Vigor 2950 มีโปรแกรม System Log มาให้ท่านอยู่แล้วในแผ่น CD ที่มากับเครื่อง

 

ภาพที่ 38  ตัวอย่างการจัดเก็บ IP ภายในระบบที่ออกยังเครือข่ายด้านนอก

 

 

22.  มีระบบการวิเคราะห์การใช้งานอินเตอร์เน็ตที่สมบูรณ์แบบ

 

ไม่มี Router ยี่ห้อไหนที่ให้คุณได้มากเท่านี้อีกแล้ว  Vigor 2950 สามารถวิเคราะห์ให้คุณได้ว่า  IP ไหนสร้างปัญหาให้กับเครือข่ายของคุณ  จากภาพคุณจะสามารถเห็นได้ว่า IP ไหนใช้ Session ไปแล้วเท่าไหร่  และใช้ Speed ในการ Download และ Upload เท่าไหร่  ซึ่งหาก IP ไหนสร้างปัญหาหรือใช้ Session มากนักคุณก็สามารถสั่ง Block มันไว้สักพักก็ยังได้  (5 นาที)  อีกทั้งยังมี MRTG ที่ตัวอุปกรณ์อีกด้วย  เพื่อวิเคราะห์ปริมาณการใช้งาน Bandwidth ได้อย่างแม่นยำ

 

ภาพที่ 39  Function Data Flow Monitor ที่จะคอยวิเคราะห์การใช้งาน

 

ภาพที่ 40 MRTG ที่ตัวอุปกรณ์  ซึ่งจะช่วยวิเคราะห์ปริมาณการใช้ Bandwidth

 

23.  กำหนด IP Access List ที่จะเข้ามาควบคุม Router ผ่านอินเตอร์เน็ตได้

โดยปกติแล้วอุปกรณ์ประเภท Router ในปัจจุบัน จะสามารถ Remote และควบคุมการทำงานจากภายนอกได้ แต่หากท่านต้องการกำหนด Security สูงสุด ในการควบคุมอุปกรณ์จากภายนอก ท่านสามารถกำหนด Fix IP (Public IP) ที่จะเข้ามา Remote Router ตัวนี้ได้จากภายนอก หรือหากท่านมี Admin หลายคนที่ต้องทำงานร่วมกัน ท่านอาจตั้ง Proxy ไว้ 1 เครื่อง เพื่อทำ Authentication ในการเข้าควบคุม Router ในแต่ละครั้งก็ได้ ..... ในฟังก์ชั่น Management นี้ ท่านสามารถส่งค่า SNMP ไปยัง MRTG Server ของท่านได้อีกด้วย

 

 

ภาพที่ 41 ตัวอย่างการกำหนด IP Access List และ SNMP ไปยัง MRTG Server

 

ภาพที่ 42 Report จาก MRTG Server แสดงการใช้งาน Bandwidth แบบรายวัน / รายเดือน

ในสภาวะเศรษฐกิจที่ถดถอยเช่นนี้  คำกล่าวของนักธุรกิจชั้นนำท่านหนึ่งที่เคยกล่าวไว้ว่า  การทำธุรกิจนั้น  ขึ้นอยู่กับจังหวะและโอกาส  ขอให้รู้จักคำเพียง 4 คำนี้ คือ  เร็ว  ช้า  หนัก  เบา  แม้ในภาวะเศรษฐกิจวิกฤตเช่นนี้  อาจเป็นการยากที่จะขยายยอดจำหน่ายสินค้าให้เพิ่มขึ้น  แต่หากเราใช้ช่วงเวลานี้  ทบทวนสิ่งผิดพลาดที่เกิดขึ้น  Re-Engineer  ระบบการจัดการขององค์กรใหม่  แก้ไขช่องโหว่  และจุดบกพร่องในอดีตที่ผ่านพ้นมา  หากผ่านพ้นวิกฤตเศรษฐกิจนี้ไปได้  เราก็จะมีกำลังเพียงพอที่จะเติบโตต่อไปในอนาคตได้อย่างมั่นคง

 

ผู้เขียนได้เคยแต่งบทกลอนบทหนึ่งไว้  ในยามที่ต้องต่อสู้กับวิกฤตของชีวิต  ซึ่งไม่มีทางที่จะชนะได้เลย  ถึงแม้จะสู้เพียงไรก็ไม่มีทางทำสำเร็จได้  แต่การได้มาซึ่งความพยายามนั้น  มีค่ายิ่งกว่าความสำเร็จนัก  เพราะความสำเร็จที่จีรังยั่งยืนนั้นไม่มี  ไม่มีสิ่งใดในโลกนี้ที่เที่ยงแท้แน่นอน  จึงขอฝากบทกลอนนี้ถึงผู้ประกอบการทุกคน

 

ผ่านวัน  ผ่านคืน  อันโหดร้าย

ยังดีใจ  ถ้ายืนหยัด  กลับมาได้

ล้มแล้วลุก  ลุกขึ้นใหม่  อย่างตั้งใจ

จำบทเรียน  แต่คราวหลัง  ที่ผ่านมา

วันข้างหน้า  ถึงแม้  จะมนมืด

เรานอนอยู่  มืดนั้น  มิจางหาย

หากเราเพียร  เดินต่อ  ด้วยแรงกาย

ทั้งกำลัง  พลังใจ  สุดพยายาม

ถึงหากแม้  ความมืด  มิคลายหาย

จะไม่รุ่ม  กลุ้มใจ  เพราะผิดหวัง

เมื่อเราทำ  อย่างเต็มที่  สุดกำลัง

ความภูมิใจ  คือเราทำ  สุดความเพียร

 

ขอบคุณครับ

บจก. เดรย์เทค (ประเทศไทย)

โทร. 02-2497910 / www.DrayTek.Co.th

 

จากคุณ : NickService.Com [30 เมษายน 2552 - 17:35:36]  

HOME  |  SOLUTION  |  PRODUCT  |  SPEED TEST  |  Check IP WAN  |  CONTACT US

© 2007 NJ Network Co.,Ltd.  TEL. 02-2497910