Unified Threat Management (UTM) ตัวเดียวครบทุกความต้องการ
Vigor 2950 + Smart Monitor = พยัคฆ์ร้าย 007
ตรวจจับ และสืบค้น ร่องรอย พนักงานในองค์กร
ก่อนที่จะ Review ผลิตภัณฑ์ Vigor 2950 นั้น ข้าพเจ้าคิดอยู่นาน เนื่องจากการ Review Vigor 2910 (เทพแห่ง Boardband Router) ที่ผ่านมานั้น กินความยาวหน้ากระดาษไปหลายหน้ามาก แต่มาถึงปัจจุบัน ข้าพเจ้าไม่สามารถที่จะเลี่ยงการ Review อุปกรณ์ตัวนี้ได้อีกแล้ว เนื่องจากคุณสมบัติที่โดดเด่นของ Vigor 2950 ในส่วนของ Smart Monitor, SSL VPN, VPN Backup และ VPN Load Balance ที่โดดเด่นอย่างแท้จริง มาดูคุณสมบัติโดยรวมของอุปกรณ์กันก่อน
1. 2 WAN Port Load Balance (Back Pane WAN 90 Mbps.)
2. 4 LAN Ports 10/100/1000 Mbps/ 4 VLAN
3. 1 Lan Monitor Port 10/100/1000 Mbps สำหรับดักจับข้อมูลผ่านโปรแกรม Smart Monitor
4. ฟรีโปรแกรม Smart Monitor ตรวจจับและสืบค้นร่องรอยการใช้งาน
5. รองรับ Nat Session = 20,000 Session หรือ เครื่องลูกข่ายประมาณ 200 เครื่อง หรือมากกว่า
6. รองรับ 3 Dynamic DNS พร้อมๆ กัน และกำหนด DDNS แต่ละขา WAN ได้
7. รองรับ VPN 4 แบบ (SSL, PPTP, IPSec และ L2TP)
8. จุใจกับ VPN Lan-to-LAN 200 Tunnels
9. ทำ QOS ได้อย่างยอดเยี่ยม โดยเฉพาะกับ Voice Box ทุกประเภท
10. เหนือกว่าด้วย VPN Backup และ VPN Load Balance
11. รองรับ Static Router 10 เส้นทาง (พลิกแพลงการเชื่อมโยงแบบไร้ขีดจำกัด)
12. Lock Mac Address ในการออกอินเตอร์เน็ตได้ 1 Class C (Bind IP to MAC)
13. Port Forward 20 Ports สามารถแปลง Port ได้ทั้งขานอก และขาใน
14. Port Forward ได้ 10 Port ต่อ 1 IP สูงสุดถึง 20 IP (200 Ports)
15. Firewall ที่สามารถใช้งานได้จริงในทุกสถานการณ์
16. Block IM = MSN, Yahoo, ICQ
17. Block P2P ได้กว่า 90% (และใช้งานได้ฟรีไม่ต้องเสียค่า License ในการ Block)
18. สามารถ Block เว็บไซต์ที่ไม่ต้องการได้ รวมถึง Java, ActiveX, Compress Files, EXE Files
19. สามารถ Limit การใช้งาน Session ต่อ IP ได้ (ป้องกันไวรัส)
20. สามารถทำ Bandwidth Management ต่อ IP ได้จริง แบบ Kbps ต่อ IP
21. รองรับการจัดเก็บ Log
22. มีระบบการวิเคราะห์ Nat Session, Data Flow Monitor (IP ไหนใช้งาน Block ได้ 5 นาที)
23. กำหนด IP Access List ที่จะเข้ามาควบคุม Router ผ่านอินเตอร์เน็ตได้
1. 2 WAN Load Balance Router (Body ภายนอก)
ภาพที่ 1 อุปกรณ์ที่มีมาให้กับ Vigor 2950
ภาพที่ 2 รูปแบบ Packing ของ Vigor 2950
อุปกรณ์ที่มีมาให้
1. สาย Power AC 1 เส้น
2. Vigor 2950 1 ตัว
3. คู่มือ Quick Guide 1 เล่ม
4. CD คู่มือใช้งานและโปรแกรมต่างๆ ที่ใช้งานควบคู่กับ Router 1 แผ่น
5. ขายึดเข้า Rack 19 1 คู่ พร้อมน็อตยึด
6. สาย LAN 1 เส้น (2 เมตร)
ภาพที่ 3 Interface ด้านหน้าของ Vigor 2950
รูปร่างหน้าตาจะเป็นแบบนี้ Style ดั้งเดิมแบบ DrayTek จากการทดสอบใช้งาน ในระยะเวลานานๆ ไม่พบปัญหาความร้อนที่ตัวอุปกรณ์เลย แม้เปิดในอุณหภูมิปกติในเมืองไทย 37-40 องศา
ภาพที่ 4 ขยายภาพ Interface ด้านหน้าแบบเจาะลึก
ด้านหน้าเครื่องมี 4 LAN Port Switch 10/100/1000 และ 2 WAN Port 10/100 ในส่วนของ Lan Monitor Port นั้นใช้ควบคู่กับโปรแกรม Smart Monitor ซึ่งจะช่วยดักจับข้อมูลภายในองค์กรได้อย่างมีประสิทธิภาพ
ภาพที่ 5 ไฟแสดงสถานการณ์ทำงานของ Vigor 2950
ไฟแสดงสถานการณ์ทำงาน บอกให้รู้ว่ามีการใช้งาน VPN, QOS หรือ Lan Monitor หรือไม่ และมีปุ่ม Reset ซึ่งกดค้างไว้ 5 วินาที จึงจะทำงาน
Load Balance ของ DrayTek สามารถกำหนดได้ 3 แบบคือ
1. Load Balance 2 WAN port พร้อมกัน
2. ให้ WAN 2 ทำงานเมื่อ WAN ล่ม
3. .ให้ WAN 2 ทำงานเมื่อ WAN 1 ใช้ Speed เกินกว่าที่กำหนด
ภาพที่ 6 Load Balance Mode ของ Vigor 2950
ภาพที่ 7 โหมดการเชื่อมต่อ Wan Connection ของ Vigor 2950
WAN Interface ของ Vigor 2950 รองรับการเชื่อมต่อแบบ RJ45 ที่มาจาก Leased Line, ADSL. G.Shdsl จึงทำให้ยืดหยุ่นมากในการใช้งาน โดยทั่วไปแล้ว หากต้องการให้ Public IP ของ ISP มาอยู่ที่ขา WAN ของ Vigor 2950 นั้น โดยทั่วไปจะใช้ Mode PPPoE เชื่อมต่อไปยัง Modem Bridge ซึ่งอยู่ด้านหน้า แต่หากต้องการเชื่อมต่อเข้ากับ Leased Line ที่มี Interface ออกมาเป็น RJ45 ก็จะใช้ Static or Dynamic IP โดย IP ที่เหลือจาก Leased Line นั้นสามารถทำ IP Alias ไปยัง IP ภายในได้อีก 32 Public IP
ภาพที่ 8 ตัวอย่างการกำหนดขาออก Internet ของเครื่องลูกข่ายภายใน
พระเอกของฟังก์ชั่นโหลด Balance อยู่ตรงจุดนี้ Vigor 2950 กำหนด Wan ขาออกของเครื่องลูกข่ายแต่ละเครื่องได้ทั้งแบบ IP Address และแบบ Port ตัวอย่างจากภาพที่ 8 เช่น IP 192.168.95.101 ให้ออกเน็ตผ่าน WAN 2 อย่างเดียว หรือจะให้ Application ในการส่งเมล์เช่น SMTP (Port 25), FTP (Port 21) และ POP3 (Port 110) ส่งออกผ่าน WAN 1 อย่างเดียวก็ได้ ซึ่ง Load Balance ในท้องตลาดหลายยี่ห้อมีปัญหาตรงจุดนี้กันมาก ซึ่งหากใช้ Internet ของ ISP ที่ต่างกัน เช่น WAN1=INET และ WAN2=True ทั้ง 2 ISP นี้จะใช้ SMTP ในการส่งข้อมูลต่างกัน ดังนั้นหากกำหนดให้ Port 25 ส่งออกผ่าน WAN ใด WAN หนึ่ง ปัญหาในการส่งเมล์ก็จะไม่เกิดขึ้น
ภาพที่ 9 รายละเอียดภายในของการกำหนด Load Balance Policy
2. 4 LAN Ports 10/100/1000 Mbps/ 4 VLAN
ภาพที่ 10 ตัวอย่างการทำ VLAN กับ VOIP
องค์ประกอบสำคัญสองอย่างที่จะขาดเสียไม่ได้สำหรับการติดตั้ง VOIP ในระบบเครือข่าย คือการทำ VLAN หรือ QOS กับ Router ซึ่งนอกจาก Vigor 2950 จะทำ QOS ได้อย่างยอดเยี่ยมแล้ว ยังสามารถทำ VLAN ที่ Router ได้อย่างง่ายดาย จากตัวอย่างภาพที่ 10 นั้น มีการแยก LAN Port 2 ออกจากเครือข่ายทั้งหมด ซึ่ง LAN Port เชื่อมต่อกับ Voice Box และเวลาจะ Remote ไปยัง Voice Box นั้น จะ Remote อ้อมจาก Internet ด้านนอกเข้ามาด้วยวิธีการ Forward Port
3. 1 Lan Monitor Port 10/100/1000 Mbps สำหรับดักจับข้อมูลผ่านโปรแกรม Smart Monitor
ภาพที่ 11 การเชื่อมต่อ Smart Monitor กับ Vigor 2950
ช่อง LAN Monitor Port ที่มีมาให้กับ Vigor 2950 นั้น เป็นช่องที่รองรับเทคโนโลยี Mirror Port โดยโปรแกรม Smart Monitor นั้นจะใช้เทคโนโลยีการ Sniffer ดักจับ Package ทุกอย่างที่วิ่งผ่านเข้า-ออก จาก Wan ทั้ง 2 ขา โดยเทคโนโลยีการ Sniffer นี้ จะสามารถดักจับได้ถึงเนื้อในของ Service ต่างๆ ได้อีกด้วย วิธีการใช้ก็ง่ายมาก เพียงแค่จัดเตรียมเครื่องคอมพิวเตอร์ 1 เครื่อง Spec ขั้นต่ำประมาณ P4, RAM 2 GB และ HDD 500 GB, Windows XP หรือ 2003 จากนั้นก็ลงโปรแกรม Smart Monitor ไปที่คอมพิวเตอร์เครื่องนั้น แล้วเสียบเข้าไปที่ช่อง Lan Monitor Port
ในการลงโปรแกรม Smart Monitor นั้น ขอให้สำรวจภายในเครื่องก่อนว่า มีการลงโปรแกรมประเภท Web Server ไว้แล้วหรือยัง เพราะ Smart Monitor จะใช้ Port 80 ในการ Report รายงาน และโครงสร้าง Web Base ใช้ Apache เป็นตัว Run Web Server ดังนั้น หากมี Web Server หรือ Apache ฝังอยู่ภายในให้เครื่อง ให้ถอนโปรแกรมเหล่านั้นออกก่อน
4. ฟรีโปรแกรม Smart Monitor ตรวจจับและสืบค้นร่องรอยการใช้งาน
โปรแกรม Smart Monitor สามารถดักจับข้อมูลภายใน Service ต่างๆ เหล่านี้ ได้แก่ FTP, Mail (POP3/SMTP), HTTP, IM (MSN Messenger, ICQ, Yahoo Messenger), Telnet, P2P (Bit Torrent / U-Torrent / Bit Comet) การใช้งานก็แสนง่ายดาย เพียงแค่เปิด Internet Explorer แล้ว Browser เข้าไปยังเครื่องที่ลงโปรแกรม Smart Monitor ไว้แล้วเท่านั้น ซึ่งในการเข้าดูข้อมูลของโปรแกรม Smart Monitor นั้น สามารถกำหนดสิทธิ์ผู้เข้าดูได้ว่า สามารถอ่านข้อมูลประเภทใดได้บ้าง เช่น User A อาจเข้าดู Content เฉพาะส่วนที่เป็น HTTP ได้อย่างเดียว ส่วน User B สามารถดูได้ทั้งหมดเป็นต้น
ภาพที่ 12 Menu การ Login เข้าสู่โปรแกรม Smart Monitor
ภาพที่ 13 Service และ Content ทั้งหมดที่โปรแกรม Smart Monitor จัดเก็บ
ภาพที่ 14 ตัวอย่างการจัดเก็บ Content ของ E-mail ที่รับเข้าและส่งออก
ภาพที่ 15 ตัวอย่างการจัดเก็บ Content ของ MSN Messenger
ในการจัดเก็บ Log ตาม พรบ. ผ่านโปรแกรม Smart Monitor นั้น จำเป็นต้องประกาศให้พนักงานภายในบริษัทฯ ทราบถึงระบบดังกล่าวก่อนด้วย มิเช่นนั้นอาจละเมิด พรบ.50 ตามมาตร 8 ได้ ซึ่ง พรบ. ได้มีการกำหนดไว้ว่า การดักจับหรือล่วงรู้ข้อมูลของบุคคลอื่นโดยไม่ได้รับอนุญาตนั้น ถือเป็นความผิด มีระวางโทษจําคุกไมเกินสามป หรือปรับไมเกินหกหมื่นบาท หรือทั้งจําทั้งปรับ
5. รองรับ Nat Session = 20,000 Session
ภาพที่ 16 แสดงปริมาณ Nat Session ของ Vigor 2950 โดยใช้ Telnet
ทดสอบโดยเชื่อมต่อเข้าสู่ Router โดยใช้ Telnet Command sh session โดยปกติแล้วคอมพิวเตอร์หนึ่งเครื่องที่ใช้งานอินเตอร์เน็ต จะใช้งาน Session โดยเฉลี่ยประมาณ 100 Session นั่นหมายความว่า Vigor 2950 สามารถรองรับคอมพิวเตอร์ลูกข่ายได้ประมาณ 200 เครื่อง หรือหากมี Proxy / Radius ภายในระบบเครือข่าย Vigor 2950 ก็จะรับโหลดเครื่องลูกข่ายได้มากขึ้นเป็นทวีคูณ
ภาพที่ 17 แสดงการใช้งาน Nat Session แบบ Real Time
จุดเด่นคงไม่ได้อยู่ที่ Vigor 2950 รองรับ Session ได้เป็นปริมาณมากๆ ได้เพียงอย่างเดียว แต่อยู่ที่ Session ที่ใช้งานแล้ว จะถูกเคลียร์ทิ้งโดยอัตโนมัติทันที ทุกครั้งที่ใช้งานเสร็จสิ้น จึงไม่ทำให้เกิดปัญหา Session Overflow ซึ่งเป็นสาเหตุการ Hang ของตัวอุปกรณ์ ท่านสามารถดูปริมาณการใช้งาน Session ได้ที่ Menu Diagnostics >> Nat Session Table ..... Vigor 2950 รองรับ Session ได้มาก และไม่มีปัญหาเรื่องความร้อนที่ตัวอุปกรณ์ จึงทำให้เป็น Vigor 2950 Series เป็นอุปกรณ์เครือข่ายที่มีเสถียรภาพสูงสุดตัวนึงเลยทีเดียว
6. รองรับ 3 Dynamic DNS พร้อม กัน
นอกจาก Vigor 2950 จะรองรับ Dynamic DNS ได้ถึง 3 ชื่อพร้อมกันแล้ว ยังสามารถกำหนด DDNS กับขา WAN แต่ละขาได้ด้วย ดังนั้นหาก www.dyndns.com ล่ม ก็สามารถเชื่อมต่อเข้ามายัง www.no-ip.com แทนได้ หรือหาก Wan 1 ล่ม DDNS ที่ WAN 1 จะถูกย้ายอัตโนมัติมาที่ Wan 2 ในทันที จึงทำให้ไม่มีปัญหาเรื่องการควบคุม Router จากภายนอก หรือการเชื่อมโยงเครือข่ายผ่าน Dynamic DNS
ภาพที่ 18 ภาพรวมการกำหนดค่า Dynamic DNS
ภาพที่ 19 การกำหนด DDNS ในแต่ละ Profile
ภาพที่ 20 DDNS ทั้งหมดที่ Vigor 2950 รองรับ
ภาพที่ 21 DDNS บน Vigor 2950 จะ Update ทุกๆ ชั่วโมง
7. รองรับ VPN 4 รูปแบบ (SSL, PPTP, IPSec และ L2TP)
จุดเด่นของ DrayTek Vigor ทุกรุ่น แต่ไหนแต่ไรมานั้น ก็คือการที่ DrayTek ทำงานเสมือนหนึ่ง Windows VPN Server ซึ่งท่านไม่จำเป็นต้องตั้ง VPN Server ขึ้นมาให้ยุ่งยาก มีเพียง Vigor 2950 เท่านั้น โดยท่านสามารถเชื่อมโยงมายัง DrayTek Router โดยใช้ VPN ใน Windows ได้เลย ซึ่ง VPN ใน Windows นั้น เรียกว่า VPN แบบ PPTP อีกทั้งหากท่านเป็นองค์กรขนาดใหญ่ ท่านยังสามารถใช้ Vigor 2950 เป็น Router ตัวแม่ รองรับการเชื่อมโยงจาก Router ลูกข่ายต่างๆ ไม่ว่าจะเป็น Cisco Router, Zyxel หรือ Router ยี่ห้ออื่นๆ ได้อีก ผ่านโปรโตคอลมาตรฐาน IPSec และ L2TP นอกจากนั้น DrayTek ยังรองรับการเชื่อมต่อ LAN ระหว่างสาขาเข้าหากันได้อย่างแท้จริง ซึ่งท่านสามารถมั่นใจได้ว่า คอมพิวเตอร์ใน LAN 2 ฝั่ง จะมองเห็นกัน และใช้ทรัพยากรร่วมกันได้อย่างแน่นอน
สำหรับการเชื่อมต่อแบบ SSL VPN นั้น ก็แสนง่ายดาย เพียงแค่ท่านเปิด Web Browser ขึ้นมา พิมพ์ https:// ตามด้วย Public IP หรือ Dynamic DNS ของ Router จากนั้นติดตั้ง Java ตามที่ Web Browser ร้องขอมา เพียงเท่านี้ท่านก็สามารถเชื่อมโยงเครือข่ายเข้าสู่สำนักงานใหญ่ผ่าน SSL VPN ได้แล้ว
ภาพที่ 22 การเชื่อมต่อ SSL VPN ผ่าน Web Browser
8. จุใจกับ VPN Lan-to-LAN 200 Tunnels
นอกจาก Vigor 2950 จะรองรับ VPN 4 รูปแบบแล้ว ยังสามารถรองรับ Tunnel ได้ถึง 200 Tunnel อีกทั้ง 200 Tunnel ที่มีนั้น ยังรองรับการเชื่อมต่อแบบ LAN Site-to-Site ทั้ง 200 Tunnel อีกด้วย
9. ทำ QOS ได้อย่างยอดเยี่ยม โดยเฉพาะกับ Voice Box ทุกประเภท
พื้นฐานของเทคโนโลยีที่จะใช้งาน VOIP ได้อย่างมีประสิทธิภาพนั้น จะต้องมี QOS ที่ทำงานได้อย่างแท้จริง โดย QOS ของ Vigor 2950 นั้น มี User Interface ที่สวยงามกว่า ซึ่งสามารถดูกราฟการทำงานได้จริงแบบ Realtime หากระบบเครือข่ายของท่าน ต้องการการ Guarantee Service ใด Service หนึ่งเป็นพิเศษ เช่น อยากกัน Service ของ VOIP เอาไว้ที่ 25% ของ Bandwidth ทั้งหมด ก็สามารถทำได้อย่างง่ายดาย ทั้งนี้ QOS ของ Vigor ตระกูล 2000 Series สามารถทำ QOS ได้ทั้งแบบ Service (Port) และ IP
ภาพที่ 23 แสดงสถานการณ์ทำงานของ QOS
ภาพที่ 24 ภาพรวมของการกำหนด QOS
ภาพที่ 25 แสดงการทำงาน QOS ของ DrayTek ว่า ทำได้ทั้งแบบ Service (Port) และ IP
10. เหนือกว่าด้วย VPN Backup และ VPN Load Balance
Function นี้จะทำให้การเชื่อมโยง VPN ของคุณมีเสถียรภาพอย่างไร้ที่ติด เนื่องจากพื้นฐานอินเตอร์เน็ตที่มีเสถียรภาพนั้น จะประกอบด้วย 2 โครงสร้างคือ 2 Carrier และ 2 Gateway ดังนั้นหากท่านมีอินเตอร์เน็ตที่มีเสถียรภาพโดยใช้ Load Balance ของ Vigor 2950 แล้ว หาก VPN ใด VPN หนึ่งล่ม อีก 1 VPN ที่เหลืออยู่จะพยายามใช้อินเตอร์เน็ตที่มีอยู่ เชื่อมต่อไปยังจุดหมายปลายทางใด้สำเร็จ ทั้งนี้จากการทดลองระบบ VPN Backup นั้น การเชื่อมต่อ Tunnel สำรองจะทำได้แล้วเสร็จภายใน 5 วินาที โดยหากท่าน Ping ไปยังจุดหมายปลายทางทิ้งเอาไว้ แล้วปลดสาย Wan ที่กำลังเชื่อมต่อ VPN อยู่ Time out จะมีเพียงบรรทัดเดียวเท่านั้น
ภาพที่ 26 แสดงหลักการทำงานของ VPN Backup
ในส่วนของการทำงานแบบ VPN Load Balance นั้น เมื่อก่อน ท่านอาจต้องใช้ Vigor 2700 ขวางด้านหน้า Vigor 2950 เพื่อให้ VPN ทั้ง 2 เส้นทำงานพร้อมกันเป็นคู่ขนาน แต่ด้วย Function ใหม่ล่าสุดของ Vigor 2950 นั้นสามารถทำ VPN 2 Tunnel เชื่อมต่อไปยังจุดหมายปลายทางเดียวกันได้เลย โดยไม่ต้องมี Vigor 2700 มาวางขวางด้านหน้า
ภาพที่ 27 แสดงการทำงานของ VPN Load Balance ในอดีต
ภาพที่ 28 แสดง Function การทำงานของ VPN Load Balance
11. รองรับ Static Router = 10 เส้นทาง (พลิกแพลงการเชื่อมโยงแบบไร้ขีดจำกัด)
เป็น Function การใช้งานที่ Router ส่วนใหญ่มีกัน ซึ่ง DrayTek ก็สามารถทำได้ โดยฟังก์ชั่น Static Route จะช่วยทำให้ท่านสามารถแยกสายสัญญาณในการเชื่อมโยงเครือข่าย และสายสัญญาณในการเล่นอินเตอร์เน็ต เป็นอิสระจากกัน นอกจากนี้ยังสามารถใช้เทคนิคนี้พลิกแพลงการเชื่อมโยงเครือข่ายในลักษณะของ VPN Load Balance ได้อีกด้วย
ภาพที่ 29 การเชื่อมโยงเครือข่ายโดยใช้ Static Route
รายละเอียด VPN Load Balance สามารถดูได้ที่ลิงค์ด้านล่างนี้ http://www.draytek.co.th/draytek/277.pdf และ http://www.nickservice.com/board/read.asp?no=165
12. กำหนดสิทธิ์ในการเล่นอินเตอร์เน็ตได้จาก MAC Address
ภาพที่ 30 การ Lock Mac Address ในการเล่นอินเตอร์เน็ต
กำหนดสิทธิ์การเล่นอินเตอร์เน็ตสำหรับ IP อย่างเดียวคงยังไม่พอ แต่ถ้า IP นั้นต้องเป็น Mac Address ที่กำหนดเสมอด้วยล่ะ Super User คง Hack ระบบคุณยากขึ้น คุณสมบัตินี้ ท่านสามารถกำหนดสิทธิ์การใช้งาน Internet ของแต่ละ IP ได้อย่างแม่นยำ โดย IP Address ที่สามารถออกอินเตอร์เน็ตได้นั้น นอกจากจะต้องเป็น IP Address ตามที่ Router กำหนดแล้ว ยังจะต้องมี Mac Address ตรงตามฐานข้อมูลที่บันทึกไว้ที่ Router ด้วย ซึ่งหาก IP Address ใดไม่มีฐานข้อมูลตรงตามที่ Router กำหนดไว้ ก็จะไม่สามารถใช้งานอินเตอร์เน็ตได้ และจะไม่สามารถมองเห็น Router ได้อีกด้วย
13. Nat Session =20 Ports โดยสามารถกำหนดได้ทั้งขานอก และขาใน
ภาพที่ 31 การแปลง Port ขานอก มาเป็น Port ขาใน
จากตัวอย่างภาพที่ 31 จะเห็นได้ว่า หากเชื่อมต่อมายัง Router ผ่าน Port 81 ก็จะเข้ามาที่ Web Server IP 192.168.10.2 และหากเชื่อมต่อมายัง Router ที่ Port 82 ก็จะเข้ามาที่ Web Server IP 192.168.10.3 เป็นต้น ..... โดยทั่วไปแล้วการใช้งาน Nat บน Router ทั่วไปไม่สามารถแปลง Port จากขานอกมาเป็น Port ขาในตามต้องการได้
14. Port Forward ได้ 10 Port ต่อ 1 IP สูงสุดถึง 20 IP (200 Ports)
ในกรณีที่ Nat Port Redirection ไม่พอเพียงต่อการใช้งาน คือมีการ Forward Port เข้ามายัง IP ภายในมากกว่า 20 Port ท่านก็ยังสามารถใช้ Open Port แต่ละ IP ได้อีก 10 Port ต่อ 1 IP และสามารถกำหนด Open Port ได้สูงสุดถึง 20 IP รวมแล้ว 200 Port เลยทีเดียว
ภาพที่ 32 การกำหนด Open Port เข้ามายังแต่ละ IP
15. Firewall ที่สามารถใช้งานได้จริงในทุกสถานการณ์
Firewall ที่ดีนั้น ไม่ได้ขึ้นอยู่กับว่าใช้ Firewall ยี่ห้อไหน ไม่ได้ขึ้นอยู่กับว่า Firewall นั้นราคาเท่าใด หากแต่ ขึ้นอยู่กับว่า ใครเป็น Administrator ที่ควบคุม Firewall นั้นๆ มากกว่า ..... Firewall ที่ใช้งานได้ง่าย และใช้งานได้จริง จึงเป็นเครื่องมือที่มีประสิทธิภาพสำหรับ Admin การติดตั้ง Firewall ในองค์กรนั้น มีมากมายหลากหลายรูปแบบ ท่านสามารถดูตัวอย่างการติดตั้ง Firewall ได้ที่นี่ http://www.nickservice.com/board/read.asp?no=106
16. Block IM (MSN, Yahoo
) / Block P2P (BitTorrent, Bit Comet
)
Vigor 2950 ยกระดับในการBlock IM ได้อย่างแนบเนียน โดยสามารถแบ่งระดับการ Block IM (MSN Messenger, ICQ, Yahoo Messenger, AIM) ได้เช่น IP บางกลุ่ม อนุญาตให้ใช้ IM เพื่อรับส่งข้อความเพียงอย่างเดียว IP บางกลุ่ม อนุญาตให้รับส่งข้อความได้และรับส่งไฟล์ได้ หรือ IP บางกลุ่มอาจอนุญาตให้ใช้ IM แบบเต็มรูปแบบเลยก็ได้เช่น รับส่งข้อความ รับส่งไฟล์ และใช้ VDO Conference ได้ด้วย
ภาพที่ 33 การกำหนดระดับในการ Block โปรแกรมประเภท IM
17. Block P2P ได้กว่า 90%
P2P ได้มากกว่า 90% โดยไม่ต้องเสียเงินค่า License เพิ่มแบบอุปกรณ์ตัวอื่นๆ ซึ่งมักสอดไส้ค่าใช้จ่ายภายในเอาไว้ ..... ต้องยอมรับว่า โปรแกรม P2P มีการพัฒนาไปมาก P2P บางตัวมีการ Encrypt ในส่วนของ Header และ Message จึงทำให้ Vigor ไม่สามารถดักจับ Signature Files ของ P2P ได้หมดทุกรุ่น แต่โดยรวมแล้ว 90% ของโปรแกรม P2P Vigor 2950 สามารถ Block การใช้งานได้
เทคนิคในการป้องกันไม่ให้ P2P ส่งผลกระทบต่อระบบเครือข่ายนั้น สามารถทำได้ง่ายๆ เพียงแค่ใช้ความสามารถในส่วนของ Bandwidth Management, Session Limit และ QOS ที่ Vigor 2950 ถึงแม้ Vigor 2950 จะไม่สามารถ Block P2P ได้ 100% แต่ P2P ที่หลุดรอดเข้ามาก็ไม่สามารถส่งผลกระทบกับระบบโดยรวมได้
ภาพที่ 34 โปรแกรม P2P ที่ Vigor 2950 สามารถ Block ได้
18. สามารถ Block เว็บไซต์ที่ไม่ต้องการได้ รวมถึง Java, ActiveX, Compress Files, EXE Files
Vigor 2950 สามารถบล็อกเว็บไซต์ที่ไม่ต้องการได้ และหากบางกลุ่ม IP ที่ต้องการ Access ไปยังเว็บไซต์ที่ Block ไว้ ก็สามารถอนุญาต ให้บางกลุ่ม IP ออกไปได้เช่นกัน อีกทั้งยังสามารถ Block Java, ActiveX, Compress files (Zip, RAR
.), Executable files, Multimedia files, Cookie และ Proxy ได้อีกด้วย โดยกำหนดช่วงเวลาได้เช่นกัน
ภาพที่ 35 Function การ Block Web Site และไฟล์ต่างๆ
19. สามารถ Limit Session ต่อ IP
Session Limit ที่ Vigor 2950 สามารถยับยั้งของเขตความเสียหายของระบบอันเนื่องมาจาก Virus หรือ Trojan ในระบบได้ เช่นหากภายในระบบเครือข่ายมีเครื่องลูกข่ายติดไวรัส และไวรัสสายพันธุ์นั้น Broadcast Package ไปที่ Gateway เป็นปริมาณมากๆ ฟังก์ชั่นนี้ก็จะช่วยจำกัดขอบเขตความเสียหายของระบบขึ้นได้ โดยปกติแล้ว Session ที่ใช้ในเครื่องคอมพิวเตอร์แต่ละเครื่อง ควรกำหนดไม่ต่ำกว่า 100 Sessions อีกทั้งฟังก์ชั่นนี้ยังสามารถกำหนดช่วงเวลาการทำงานได้เช่นกัน
ภาพที่ 36 Function การใช้ Session Limit
20. สามารถทำ Bandwidth Management ต่อ IP แบบ Kbps Rate
คุณสมบัติเด่นอย่างหนึ่งของ Vigor 2910 Series ที่ Router ยี่ห้ออื่นๆ ไม่มีก็คือ การกำหนดความเร็วอินเตอร์เน็ตของแต่ละ IP แบบ Kbps Rate ได้อย่างแท้จริง โดยปกติแล้ว Router ทั่วไปที่ขายตามท้องตลาดสามารถทำได้เพียง QOS เท่านั้น คือกำหนดการทำงานได้เพียง ให้ Web หรือ FTP วิ่งที่กี่เปอร์เซ็นต์ของ Bandwidth ทั้งหมดเป็นต้น ฟังก์ชั่นนี้โดยทั่วไปจะมีเฉพาะกับ Manage Switch หรือ Router รุ่นใหญ่ๆ เท่านั้น เช่น IP 192.168.1.10 ให้สามารถใช้ Download (RX) ได้ที่ 256Kbps และ Upload (TX) ที่ 128 Kbps เป็นต้น อีกทั้งยังสามารถกำหนดช่วงเวลาในการใช้ Policy ดังกล่าวได้อีกด้วย
ภาพที่ 37 Function การใช้งาน Bandwidth Management
21. รองรับการจัดเก็บ Log
หากระบบเครือข่ายมีปัญหา ท่านก็ไม่ต้องไปหาซื้อโปรแกรมเพื่อวิเคราะห์จากที่ไหน เพราะ Vigor 2950 รองรับการจัดเก็บ Log ตาม พรบ.50 โดยจะจัดเก็บ IP Address ข้างในที่ออกไปยัง Public ด้านนอกทุก Port แม้คำสั่ง Ping ก็จะมีการบันทึกไว้ทั้งหมด จึงไม่มีทางที่ผู้ใช้ภายในระบบเครือข่าย จะออกไปยังเครือข่ายภายนอก โดยไม่มีการบันทึกไว้ ทั้งนี้ Vigor 2950 มีโปรแกรม System Log มาให้ท่านอยู่แล้วในแผ่น CD ที่มากับเครื่อง
ภาพที่ 38 ตัวอย่างการจัดเก็บ IP ภายในระบบที่ออกยังเครือข่ายด้านนอก
22. มีระบบการวิเคราะห์การใช้งานอินเตอร์เน็ตที่สมบูรณ์แบบ
ไม่มี Router ยี่ห้อไหนที่ให้คุณได้มากเท่านี้อีกแล้ว Vigor 2950 สามารถวิเคราะห์ให้คุณได้ว่า IP ไหนสร้างปัญหาให้กับเครือข่ายของคุณ จากภาพคุณจะสามารถเห็นได้ว่า IP ไหนใช้ Session ไปแล้วเท่าไหร่ และใช้ Speed ในการ Download และ Upload เท่าไหร่ ซึ่งหาก IP ไหนสร้างปัญหาหรือใช้ Session มากนักคุณก็สามารถสั่ง Block มันไว้สักพักก็ยังได้ (5 นาที) อีกทั้งยังมี MRTG ที่ตัวอุปกรณ์อีกด้วย เพื่อวิเคราะห์ปริมาณการใช้งาน Bandwidth ได้อย่างแม่นยำ
ภาพที่ 39 Function Data Flow Monitor ที่จะคอยวิเคราะห์การใช้งาน
ภาพที่ 40 MRTG ที่ตัวอุปกรณ์ ซึ่งจะช่วยวิเคราะห์ปริมาณการใช้ Bandwidth
23. กำหนด IP Access List ที่จะเข้ามาควบคุม Router ผ่านอินเตอร์เน็ตได้
โดยปกติแล้วอุปกรณ์ประเภท Router ในปัจจุบัน จะสามารถ Remote และควบคุมการทำงานจากภายนอกได้ แต่หากท่านต้องการกำหนด Security สูงสุด ในการควบคุมอุปกรณ์จากภายนอก ท่านสามารถกำหนด Fix IP (Public IP) ที่จะเข้ามา Remote Router ตัวนี้ได้จากภายนอก หรือหากท่านมี Admin หลายคนที่ต้องทำงานร่วมกัน ท่านอาจตั้ง Proxy ไว้ 1 เครื่อง เพื่อทำ Authentication ในการเข้าควบคุม Router ในแต่ละครั้งก็ได้ ..... ในฟังก์ชั่น Management นี้ ท่านสามารถส่งค่า SNMP ไปยัง MRTG Server ของท่านได้อีกด้วย
ภาพที่ 41 ตัวอย่างการกำหนด IP Access List และ SNMP ไปยัง MRTG Server
ภาพที่ 42 Report จาก MRTG Server แสดงการใช้งาน Bandwidth แบบรายวัน / รายเดือน
ในสภาวะเศรษฐกิจที่ถดถอยเช่นนี้ คำกล่าวของนักธุรกิจชั้นนำท่านหนึ่งที่เคยกล่าวไว้ว่า การทำธุรกิจนั้น ขึ้นอยู่กับจังหวะและโอกาส ขอให้รู้จักคำเพียง 4 คำนี้ คือ เร็ว ช้า หนัก เบา แม้ในภาวะเศรษฐกิจวิกฤตเช่นนี้ อาจเป็นการยากที่จะขยายยอดจำหน่ายสินค้าให้เพิ่มขึ้น แต่หากเราใช้ช่วงเวลานี้ ทบทวนสิ่งผิดพลาดที่เกิดขึ้น Re-Engineer ระบบการจัดการขององค์กรใหม่ แก้ไขช่องโหว่ และจุดบกพร่องในอดีตที่ผ่านพ้นมา หากผ่านพ้นวิกฤตเศรษฐกิจนี้ไปได้ เราก็จะมีกำลังเพียงพอที่จะเติบโตต่อไปในอนาคตได้อย่างมั่นคง
ผู้เขียนได้เคยแต่งบทกลอนบทหนึ่งไว้ ในยามที่ต้องต่อสู้กับวิกฤตของชีวิต ซึ่งไม่มีทางที่จะชนะได้เลย ถึงแม้จะสู้เพียงไรก็ไม่มีทางทำสำเร็จได้ แต่การได้มาซึ่งความพยายามนั้น มีค่ายิ่งกว่าความสำเร็จนัก เพราะความสำเร็จที่จีรังยั่งยืนนั้นไม่มี ไม่มีสิ่งใดในโลกนี้ที่เที่ยงแท้แน่นอน จึงขอฝากบทกลอนนี้ถึงผู้ประกอบการทุกคน
ผ่านวัน ผ่านคืน อันโหดร้าย
ยังดีใจ ถ้ายืนหยัด กลับมาได้
ล้มแล้วลุก ลุกขึ้นใหม่ อย่างตั้งใจ
จำบทเรียน แต่คราวหลัง ที่ผ่านมา
วันข้างหน้า ถึงแม้ จะมนมืด
เรานอนอยู่ มืดนั้น มิจางหาย
หากเราเพียร เดินต่อ ด้วยแรงกาย
ทั้งกำลัง พลังใจ สุดพยายาม
ถึงหากแม้ ความมืด มิคลายหาย
จะไม่รุ่ม กลุ้มใจ เพราะผิดหวัง
เมื่อเราทำ อย่างเต็มที่ สุดกำลัง
ความภูมิใจ คือเราทำ สุดความเพียร
ขอบคุณครับ
บจก. เดรย์เทค (ประเทศไทย)
โทร. 02-2497910 / www.DrayTek.Co.th