10 малоизвестных функций беспроводного маршрутизатора

Тема в разделе "IT-раздел", создана пользователем Z-User, 6 окт 2017.


    1. Z-User

      Z-User Модератор Команда форума

      Регистрация:
      7 ноя 2011
      Сообщения:
      3.671
      Симпатии:
      1.748
      Город:
      Житомир
      Понятно, что многие пункты уже форумчанинам известный, но думаю консолидировать все вместе - не помешает :)
      Взял тут.

      «Установить и забыть» — таково желание большинства пользователей беспроводных маршрутизаторов. Для них беспроводной маршрутизатор — простое устройство, которое всего лишь обеспечивает связь с Интернетом и беспроводной доступ к сетевым устройствам. Однако тот, кто готов посвятить немного времени его настройке, может заметно повысить отдачу от WiFi-маршрутизатора, в том числе увеличить производительность, усилить безопасность и предоставить дистанционный доступ к внутренним сетевым ресурсам в домашней или офисной сети.

      Большинство пользователей знают и, надеемся, используют некоторые очевидные варианты настройки беспроводного маршрутизатора. Почти во всех современных беспроводных клиентах реализован самый надежный вид беспроводного шифрования, WPA2, и большинству пользователей следует применить WPA2 в своей домашней сети. Новые маршрутизаторы, такие как Cisco Linksys EA4500, по умолчанию изначально настраиваются на надежную защиту WPA2. Покупая маршрутизатор, следует убедиться в том, что в нем реализован режим безопасности WPA2.

      Среди других широко известных компонентов — брандмауэр и средства родительского контроля. Современные маршрутизаторы поставляются со встроенным брандмауэром для защиты от исходящих из Интернета угроз, таких как атаки, вызывающие отказ в обслуживании (DoS), и несанкционированный доступ к данным (snooping). Средства родительского контроля все чаще используются в потребительских маршрутизаторах, и, благодаря стараниям поставщиков, рядовому пользователю становится все проще настраивать этот компонент и управлять им. В результате взрослые получают возможность оградить детей от соприкосновения с сомнительным контентом в Интернете.

      Все эти возможности важны, но в большинстве программ управления маршрутизаторами есть и другие мощные функции, неизвестные массовому пользователю. Мы познакомим вас с десятью малоизвестными параметрами маршрутизатора, позволяющими повысить производительность и усилить безопасность сети.

      1. Ширина канала
      Представьте себе, что данные, передаваемые по беспроводному каналу, — это автомобили на шоссе. Чем шире шоссе, тем больше автомобилей может проехать по нему. Однако, чем больше автомобилей, тем больше вероятность аварий и других неприятностей.

      Аналогичное значение имеет ширина канала. Этот параметр управляет шириной полосы сигнала для беспроводной передачи данных. Ширину канала можно установить как для 2,4-, так и для 5-ГГц диапазона. В настоящее время для протокола 802.11ac предусмотрены настройки 20 МГц, 40 МГц и даже 60 МГц.

      По умолчанию для 2,4-ГГц устанавливается ширина канала 20 МГц. Данные по 20-МГц каналу перемещаются медленнее, чем по более широким каналам 40 и 60 МГц, но к 20-МГц каналу можно подключать старые устройства 802.11x, а дальность связи, как правило, лучше, чем у 40-МГц каналов.

      В большинстве случаев по умолчанию устанавливается автоматический режим Auto (20 or 40 MHz), и маршрутизатор самостоятельно решает сложную задачу — выбирает подходящую ширину канала связи.

      Владельцам двухдиапазонного маршрутизатора 802.11n, желающим настроить пропускную способность для игр и потоковой передачи видео высокой четкости, рекомендуется выбрать 40-МГц канал в 5-ГГц диапазоне (вместо более медленного 20-МГц канала). Убедитесь в том, что все компьютеры и устройства, используемые для игр и потоковой передачи видео, совместимы с протоколом 802.11n, могут работать в 5-ГГц диапазоне с 40-МГц каналом и подключены к 5-ГГц диапазону. Обратите внимание, что при этом уменьшается дальность связи, но вряд ли вам потребуется вести передачу видео на большие расстояния. Тем не менее, если некоторые из устройств расположены на границе зоны приема, то, возможно, придется применить повторитель, если выяснится, что дальность связи через 40-МГц канал недостаточна.

      В настоящее время беспроводные клиенты, совместимые с 802.11ac, не выпускаются. Но когда они появятся в продаже, к ним будет применим тот же принцип: для повышения пропускной способности размещайте будущие устройства 802.11ac в 5-ГГц беспроводной локальной сети и попробуйте настроить сверхширокий канал 60 МГц, предусмотренный в протоколе 802.11ac.

      2. Фильтрация MAC
      Любое устройство, подключаемое к сети, имеет MAC-адрес, назначаемый его сетевому адаптеру. Вы можете повысить безопасность сети, применяя фильтрацию MAC-адреса, чтобы разрешать или запрещать доступ к сети.

      Фильтрация MAC — стандартная функция почти любого беспроводного маршрутизатора. Ее можно использовать одним из двух способов: запретить определенным устройствам доступ к сети или разрешить доступ определенным устройствам.

      Включите фильтрацию MAC в интерфейсе управления маршрутизатора. Затем введите MAC-адреса всех устройств и запретите или разрешите доступ каждому устройству. Для разных моделей маршрутизаторов эти шаги могут немного отличаться, но чаще всего в беспроводных маршрутизаторах домашних сетей и малых офисов фильтрация MAC настраивается именно так. Небольшой совет: в большинстве беспроводных устройств MAC-адрес находится среди параметров сети. На клиенте Windows выполните команду ipconfig /all. Физический адрес, связанный с беспроводной платой компьютера, и есть MAC-адрес. В операционной системе OS X ищите MAC-адрес в разделе Network Preferences, а в Linux запустите команду ifconfig -a от лица привилегированного пользователя.

      3. QoS (качество обслуживания)
      Гарантированное качество обслуживания (QoS) поможет увеличить скорость передачи сетевого трафика определенных типов, например игр, потокового видео и даже Skype. В большинстве маршрутизаторов предусмотрен какой-нибудь вид QoS, хотя отдельные поставщики предоставляют собственные варианты QoS под фирменными названиями. Одно время некоторые маршрутизаторы компании D-Link поставлялись с особым QoS для игр, GameFuel.

      При включенном QoS большинство маршрутизаторов можно настроить на приоритетное предоставление канала связи определенным прикладным программам и типам трафика. Например, можно назначить высокий приоритет трафику iTunes, и тогда маршрутизатор будет отводить основную часть доступной полосы пропускания для iTunes, обеспечивая более живое, бесперебойное общение с iTunes.

      В некоторых моделях возможен еще более глубокий уровень QoS. Чтобы научиться использовать QoS и получить максимальную пропускную способность сети, приходится действовать методом проб и ошибок, но если возникают проблемы с быстродействием, то время, потраченное на освоение QoS, не пропадет напрасно.

      4. WMM
      WMM (WiFi Multimedia) — автоматизированная, встроенная технология QoS, предназначенная специально для сохранения целостности мультимедийных материалов: видео, голоса и звука. Как правило, эту функцию нужно просто включить или выключить в маршрутизаторе, без дополнительной настройки.

      Включение WMM в маршрутизаторе не гарантирует улучшения его рабочих характеристик. Иногда WMM может привести к ухудшению показателей, особенно если уже действует режим QoS. Тем не менее, если возникают проблемы, полезно выяснить, как WMM отразится на пропускной способности сети.
       
      Even нравится это.
    2. Z-User

      Z-User Модератор Команда форума

      Регистрация:
      7 ноя 2011
      Сообщения:
      3.671
      Симпатии:
      1.748
      Город:
      Житомир
      5. Frame Burst
      Мы вступаем на довольно опасную территорию. Существует несколько действительно глубоких беспроводных параметров, настраиваемых в маршрутизаторе. Почти все поставщики рекомендуют пользователям воздержаться от изменения этих параметров. Ошибки в настройках могут ухудшить или даже блокировать беспроводной сигнал. Однако с помощью некоторых параметров можно повысить производительность. Один из из них — Frame Burst (Серия кадров).

      Теоретически в режиме Frame Burst беспроводные клиенты пересылают данные с более высокой скоростью. В большинстве маршрутизаторов режим включен по умолчанию. Обычно его можно включать и отключать. Попробуйте запустить маршрутизатор с включенным и выключенным режимом Frame Burst, чтобы оценить производительность. Как правило, включение Frame Burst помогает увеличить общее быстродействие сети, но на сетевых форумах встречаются сообщения пользователей об уменьшении числа сбоев связи при отключении Frame Burst.

      6. Дополнительные параметры беспроводной передачи данных
      В большинстве маршрутизаторов имеется раздел дополнительных параметров беспроводной передачи. Их следует изменять лишь в крайнем случае для устранения хронических проблем, таких как потеря связи или падение скорости передачи данных. Эти параметры определяют метод обработки пакетов данных в сети. Установите значение Beacon Interval (Период сигналов сети компьютер-компьютер) равным 50 (по умолчанию обычно 100), Fragmentation Threshold (Порог фрагментации) — 2306 (по умолчанию обычно 2346) и RTS Threshold (Порог RTS) — 2307 (по умолчанию 2347). Обязательно запишите значения параметров, прежде чем вносить изменения, на случай если результаты будут неудачными.

      7. Динамическая DNS (DDNS)
      Динамическая DNS — обычная служба современных маршрутизаторов. С помощью DDNS можно связать маршрутизатор с общим IP-адресом, предоставляемым поставщиком DNS. DDNS полезна для дистанционного доступа к локальной сети, если у вас есть собственный Web-сервер или сервер электронной почты. Через DDNS можно обращаться к таким сетевым ресурсам, используя имя узла, например mywebsite.ddns.com, вместо IP-адреса.

      В большинстве маршрутизаторов параметры настройки конфигурации предлагаются в интерфейсе DDNS. Собственно служба предоставляется поставщиками DNS-хостинга; два наиболее широко используемых — DynDNSD.org и TZO.com. Обычно требуется обратиться на сайт поставщика и получить учетную запись (чаще всего бесплатно), а затем настроить DNS в интерфейсе маршрутизатора.

      8. Резервное копирование и восстановление
      Большинство пользователей забывают о необходимости выполнять резервное копирование своих данных, не говоря уже о маршрутизаторах. Однако, после того как маршрутизатор настроен оптимальным образом, полезно скопировать и сохранить эту конфигурацию. Почти во всех маршрутизаторах есть функции резервного копирования и восстановления, и для их запуска обычно достаточно одного нажатия на клавишу мыши. Сохраненные настройки маршрутизатора чаще используются не при поломках устройства, а в тех случаях, когда требуется вернуться к заводским значениям (например, если забыт пароль), чтобы потом восстановить рабочий режим. Если маршрутизатор выйдет из строя, то настройки пригодятся в случае приобретения устройства той же модели. Резервная копия значений параметров настройки обычно находится в файле .cfg, который можно сохранить в USB-накопителе, службе архивации или другом безопасном месте.

      9. Поддержка VPN (VPN Pass Through)
      Поддержка VPN полезна, если не удается подключиться через VPN к офисной сети из дома. Поддержка VPN — не VPN. В высокоуровневых маршрутизаторах для домашних пользователей и сферы бизнеса часто есть VPN-сервер, с помощью которого можно организовать собственную частную VPN.

      Но чаще потребительские маршрутизаторы обеспечивают возможность пропускать данные, созданные с помощью протоколов VPN. В этом режиме VPN-трафик проходит в вашу сеть. Среди типов VPN-трафика, которые можно пропускать, — IPSec, PPTP и L2TP. Вы можете разрешить проход всего VPN-трафика или выяснить, какой протокол используется в интересующей вас VPN.

      VPN — способ соединения двух защищенных сетей через Интернет, например домашней и офисной сетей. На обоих концах необходимо установить специальное оборудование или программное обеспечение.

      10. Трансляция сетевых адресов (NAT)
      Трансляция сетевых адресов позволяет использовать для всех сетевых устройств единственный IP-адрес, назначаемый большинству пользователей Интернет-провайдером. По умолчанию во многих маршрутизаторах включен режим NAT, и все устройства могут подключаться к Интернету.

      Но если в сети два маршрутизатора, один из которых выполняет маршрутизацию между локальной и региональной (WAN) сетями, а другой используется в качестве моста, то только маршрутизатор, подключенный к WAN, должен выполнять трансляцию сетевых адресов. Второй маршрутизатор, служащий мостом, должен работать в режиме моста с отключенной NAT.

      Двойная трансляция может привести к конфликту пакетов и появлению узких мест в сети, резко снижая пропускную способность. Отключить NAT на вторичном маршрутизаторе, функционирующем как мост, можно из консоли управления.
       
      Even, sedlecky и Yaroha нравится это.
    3. DmitryAVET

      DmitryAVET Модератор Команда форума

      Регистрация:
      18 дек 2011
      Сообщения:
      3.760
      Симпатии:
      1.139
      Адрес:
      http://weblance.com.ua
      Город:
      Зимбабве
      Много интересных вещей, но также множество антисоветов для начинающих.

      20 и 40 МГц поддерживается только стандартом 802.11n, в то время как 802.11 b/g поддерживают только 20 МГц. К тому же N может работать и в 5 ГГц.
      Касаемо 802.11 ac, стандартным каналом является 80 МГц, что вкупе с коротким защитным интервалом (GI, 400 ns) дает те самые 433.3 Мбит на поток. Вторая волна стандарта 802.11ac Wave 2 допускает использование 160 МГц. Касаемо 60 МГц - этот канал используется только на профессиональном оборудовании, чаще всего для PtP.
      По поводу дальности... все дело в уровне шума, для 40 МГц нужен более "чистый" эфир, с лучшим SNR, нежели для 20 МГц.

      Защита от школьников, которая только грузит дешевые маршрутизаторы. Современные инструменты позволяют без проблем перехватывать МАСи. Лучше бы рассказали про необходимость использования только WPA2 с шифрованием AES, вместо уязвимых WAP/TKIP.

      Что за ... это писал? Измените то измените это... для начала можно было расписать что за что отвечает. А вообще параметры эти не надо трогать, если вы не знаете для чего они.
      Единственное на Mikrotik советую ставить "RTS CTS" - данная опция позволит точке доступа управлять интервалами передачи клиентов, что поможет в ситуациях, когда 2 клиента не видят друг друга, но видят точку и начинают "дружно" валить её пакетами.

      Не совсем верно... PPTP и L2TP даже с MPPE 128 являются уязвимыми.
       
    4. Alex-S

      Alex-S

      Регистрация:
      11 сен 2017
      Сообщения:
      59
      Симпатии:
      6
      Город:
      Львов
      Вы забыли указать еще об одной малоизвестной функции Jumbo-кадр — Википедия

      Так же, не стоит забывать о том, что у пользователей существует возможность:
      А конкретно, речь идет о славной теории цифр 192.168.xxx.yyy. Об этой теме можно развивать целую дискуссию, но никто не запрещает применить в локальной сети внутреннюю адресацию класса A или B, не только С.
      Ранее было сложно просчитать диапазон по маске под сети, но теперь достаточно в сети всяких онлайн калькуляторов. Это позволит в сетевой маске ограничить количество подключаемых устройств к одному роутеру.
      --- Добавлено, 7 окт 2017, Дата поста: 7 окт 2017 ---
      На других роутерах достаточно Включить защиту DoS и тогда клиенты будут “обламываться” если у них есть прямое желание завалить её флудом :D
       
    5. DmitryAVET

      DmitryAVET Модератор Команда форума

      Регистрация:
      18 дек 2011
      Сообщения:
      3.760
      Симпатии:
      1.139
      Адрес:
      http://weblance.com.ua
      Город:
      Зимбабве
      До фонаря Jumbo на практике...

      Объясняю почему. Джамбо нужен в локальной сети, и только при передаче очень больших массивов данных, когда при этом скорость упирается в сам канал. В таких случаях применяется джамбо-кадр 9К. При этом возрастает КПД канала и уменьшается соотношение служебной информации к данным. Грубо говоря, при передаче блока 8 КБ тратится образно в 8 раз меньше служебной информации, в сравнении с блоком 1 КБ.

      Все современные железки не теряют производительность уже с 1400-1500 байт, и если вы используете менее 95% ширины канала. от Jumbo нет толку. Я скажу даже больше, вот статистика з одного из наших управляемых свичей Ubiquiti TOUGHSwitch:

      2.png

      Обратите внимание на распределение по размеру пакетов. При этом коммутатор также служит для передачи потокового видео с нескольких устройств, как видите, джамбо там нет и в помине.

      Едем дальше. Джамбо можно использовать в локальной сети, в WAN вы его не сможете использовать. Не верите?
      Выполните в командной строке:
      Код:
      ping 8.8.8.8 -l 1400 -t
      Как видим, пакеты по 1400 байт проходят, правда?
      А теперь попробуйте сделать то же самое с пакетами по 1600 байт)
      Код:
      ping 8.8.8.8 -l 1600 -t
      Ну как, удалось? :D

      Если же профессионально используется еще и VPN, к примеру тот же L2TP, сам или в связке с IPsec, во многих конфигурациях вообще стараются объединять пакеты для избегания фрагментации, например в блоки по 1400 байта. Это повышает производительность. Полагаю вопрос с джамбо мы закрыли?

      Называется это "частный IP", диапазоны:
      • 10.0.0.0 — 10.255.255.255 (маска 255.0.0.0 или /8)
      • 100.64.0.0 — 100.127.255.254 (маска 255.192.0.0 или /10) - Carrier-Grade NAT.
      • 172.16.0.0 — 172.31.255.255 (маска 255.240.0.0 или /12)
      • 192.168.0.0 — 192.168.255.255 (маска 255.255.0.0 или /16)
      Тут многое зависит от провайдера, потому как есть провайдеры, предоставляющие внутри NAT айпишки в сети 192.168.х.х - да да... есть такие больные уроды.

      Вообще для дома - 192.168.х.х, а сетки 10.0.0.0 и 172.16.0.0 обычно используются для адресации внутри VPN. Операторы и провайдеры для своего NAT должны использовать 100.64.0.0.

      И само собой разумеется, для дома хватит маски 255.255.255.0, она же /24.

      Вообще ничего не даст ваша защита от DDoS.

      Посмотрите на схему, может поймете:
      Figure-1-RTSCTS-Example-1.png

      Управление RTS-CTS на точке доступа это эдакий аналог TDMA.

      Я на своих Mikrotik делаю вот так:
      22.png
       


    6. Alex-S

      Alex-S

      Регистрация:
      11 сен 2017
      Сообщения:
      59
      Симпатии:
      6
      Город:
      Львов
      Я и не говорил использовать Jumbo в интернет, речь зашла о маршрутизаторе и локальной сети. Так что не переставляйте чушь с головы на попу. :mad:

      Но благодарю за детальное описание Jumbo-кадров.
      Вероятно еще кто-то добавит мысли

      какая разница :ps_ih: — вон Кэпу Врунгелю было похуй как называть яхту “БЕДА” либо «ПОБЕДА». К финишу пришел первый… :D

      VPN у меня нет и не будет. Захотел себе
      этот сегмент, указал для локальной сети.
      у себя вообще отрезал до 2 хостов, 255.255.255.252
       
    7. DmitryAVET

      DmitryAVET Модератор Команда форума

      Регистрация:
      18 дек 2011
      Сообщения:
      3.760
      Симпатии:
      1.139
      Адрес:
      http://weblance.com.ua
      Город:
      Зимбабве
      Я не встречал свича, который не поддерживает Jumbo. По теме маршрутизаторов - в домашних SOHO-решениях максимум MTU можно "подправить", а на Jumbo вы никак не повлияете. Разве что производитель добавляет в ПО опцию "включить поддержку Jumbo-Frame". А ведь это только поддержка, нужно еще чтоб отправитель "хотел" и "мог" отправлять такие кадры.

      100.64.0.0/10 предназначен для операторов/провайдеров, а не для домашней локалки)

      А если нужно будет новый смартфон или ноутбук по WiFi подключить?)

      Двигаясь по этой логике тогда уже нужно МАС привязать в ACL. В DHCP сделать сопоставление MAC:IP, добавлять ARP на все аренды, а в настройках бриджа установить ARP: reply-only, чтобы запретить статические IP в локалке.

      Чем дальше в лес - тем больше дров)
       
    8. Alex-S

      Alex-S

      Регистрация:
      11 сен 2017
      Сообщения:
      59
      Симпатии:
      6
      Город:
      Львов
      И какая у меня может быть проблема от операторов/провайдеров. В том что киевстар всех по-умолчанию подключает за NAT втыкает, и приходится просить диспетчера через заявку вывести на внешний IP.
      У меня вот не давно проблема была, не мог отвязаться от услуги Киевстар -30% так вот меня отвязали в ручном режиме :D без my.кабинета

      255.255.255.248 расширим маску.
      :eek:ну что же — значит я “знатный дровосек”.:)
       
    9. edd

      edd

      Регистрация:
      1 янв 2012
      Сообщения:
      230
      Симпатии:
      51
      Город:
      Херсон
      это как? 100мбит коммутаторы не знают про Jumbo.
       
    10. DmitryAVET

      DmitryAVET Модератор Команда форума

      Регистрация:
      18 дек 2011
      Сообщения:
      3.760
      Симпатии:
      1.139
      Адрес:
      http://weblance.com.ua
      Город:
      Зимбабве
      на старых коммутаторах оно писалось явно, мол есть поддержка Jumbo, сейчас попросту перестали писать. Он вообще не определен стандартом по сути.

      Вообще, Jumbo будет работать только в том случае, если он поддерживается оборудованием на всем пути (!) следования фрейма.

      А теперь банальный пример. У меня КС, соответственно он подключен на скорости 100 Мбит, и мой роутер также держит 100 Мбит. Локальная сеть у меня 100 Мбит. На другом конце с другим провайдером второй Mikrotik, с подключением 100 Мбит. Между микротиками L2TP. Внутри сети проверил несколько железок с разными IP, которые подключены 100-мбитными коммутаторами, на все Jumbo проходит. Вот результат:

      jumbo.png

      Что я делаю не так? :D
       
    11. Ads Master

      Киевстаров

       Регистрация:   27 май 2011  Сообщения:               120  Симпатии:                  50  Город:                     Киев

    Поделиться этой страницей