Praxistest - GUI (Teil 3 - ACL, QoS & PoE)
Warum der Punkt ACL nicht in das Obermenü Security fällt ist uns vom Aufbau her zwar etwas schleierhaft, dennoch handelt es sich auch bei den Access Control List um ein sehr mächtiges Werkzeug im Umfeld der Netzwerktechnik. DrayTek treibt es hier noch einen Schritt weiter und erlaubt es direkt auf den Switch, also noch bevor überhaupt Firewall-Regeln auf dem Router/Netzwerkgateway greifen können, entsprechende ACL umzusetzen. Dies kann sowohl IPv4, IPv6 also Layer 3 oder gar schon Layer 2 MAC-ACL sein.
Dabei muss man jedoch mit Bedacht vorgehen - legt man nur eine ACL an die ein deny auf ein bestimmtes Ziel enthält jedoch keine weiteren Permit-Regeln, so fährt man im Zweifelsfall das Ganze Netzwerk gegen die Wand (Wir sprechen da aus Erfahrung :) ). Betrachtet man die GUI jedoch genauer fällt auch auf warum dieses Verhalten auftritt: Als Default Regel wurde seitens DrayTek eine deny all Regel eingefügt, die alles blockt, was vorher nicht explizit freigegeben wurde. Diese Regel lässt sich im Zweifelsfall durch ein permit all überschreiben. Dann sollte jedoch beachtet werden, dass das permit all als letzte Regel vor dem deny all platziert wird und nicht irgendwo vor anderen Regeln, da ein deny nach dem permit all nicht mehr greifen würde.
.png)
Ein weiterer Hinweis sei an dieser Stelle gegeben: eine einmal eingerichtete ACL lässt sich solange nicht ändern, wie sie einem Interface zugewiesen ist. Um nachträglich eine Änderung an einer bestehenden ACL vornehmen zu können muss erst die ACL vom Interface entfernt werden, die Änderung vorgenommen werden und dann die ACL dem Interface wieder zugewiesen werden. Hier sollte DrayTek dringend nacharbeiten, da dies den administrativen Aufwand doch enorm erhöht.
In der Praxis können derartige ACL jedoch sehr praktisch sein - weiß man beispielsweise das ein Server oder Endgerät ausschließlich auf HTTP oder HTTPS reagiert, kann jeglicher andere Traffic bereits am Switch aussortiert werden und somit die Netzwerklast reduziert werden. Auch Angriffsvektoren lassen sich durch ein möglichst frühes aussortieren des Datenverkehrs verkleinern und die Last von der Firewall des Netzwerks nehmen.
Im Menü QoS lassen sich verschiedene Einstellungen für Quality of Service setzen - dies wird im Falle des DrayTek Switches insbesondere für Voice over IP (VoIP) Datenverkehr, aber auch für die Streams der Überwachungskameras recht komfortabel ermöglicht (Siehe Menü Switch LAN -> VLAN Management und dort Voice VLAN und Surveillance VLAN). Über den Wert Class of Service (CoS) lässt sich dabei für jeden Port oder eben für entsprechende VLAN festlegen, wie der Datenverkehr behandelt werden soll. Hat man beispielsweise an einem Port ein Gerät angeschlossen, welches über allen anderen Geräten priorisiert werden soll, dann kann man die Default CoS höher setzen als für die anderen Ports. In diesem Fall würde selbst Traffic, der vom Endgerät ohne 802.1p Markierung gesendet wird entsprechend höher priorisiert. Hat man an einem Port an anderes - beispielsweise nicht direkt unter eigener Kontrolle stehendes Netzwerk angeschlossen - erlaubt das Menü des DrayTek Switches weiterhin die Option 802.1p Markierungen auf dem betreffenden Port zu ignorieren (Trust Ports). Während die QoS Einstellung auf einem wirklich stark genutzten Switch definitiv Sinn macht, wird man die Leistung des Switches im normalen privaten Einsatz selten ausreißen, so dass hier eigentlich auf QoS verzichtet werden kann - dennoch sollte man gerade VoIP Traffic auf Grund der Laufzeitanforderungen bevorzugt behandeln lassen.
.png)
Auch im Hinblick auf Power over Ethernet bietet der P2540x einige Einstellungsoptionen - der G2540x auf Grund der fehlenden PoE Funktionalität logischer Weise nicht). So lässt sich grundsätzlich definieren, ob PoE im Automatik- oder Manuellen-Modus arbeiten soll oder gar gänzlich deaktiviert werden soll.
Während im Automatik-Modus der Switch automatisch erkennt ob und welches PoE-Gerät mit welcher PoE-Klasse angeschlossen wurde und somit das Power Limit festgelegt werden kann, kann im manuellen Modus eigenständig festgelegt werden, auf welchem Port welches Power-Limit greifen soll. In beiden Modi lässt sich PoE für einen Port gänzlich aktivieren oder deaktivieren. Auch die Priorität lässt sich in beiden Modi für jeden einzelnen Port setzen - wird also das Power Limit potentiell überschritten werden erst die Ports mit niedrigerer Priorität deaktiviert. Das macht beispielsweise Sinn, wenn eine Haustürklingel versorgt werden soll: Die Klingelfunktion ist üblicherweise wichtiger, als ob die Kamera im Schuppen mit Strom versorgt wird.
.png)
Im Untermenü Status lässt sich übersichtlich der Gesamtverbrauch des Switches betrachten, weiterhin wird für jeden Port einzeln aufgeschlüsselt ob und welches Gerät angeschlossen ist und wie der momentane Verbrauch des Geräts ist. So lässt sich hier beispielsweise deutlich sehen, dass eine Überwachungskamera mit Nachtsicht IR-LED nachts mehr Leistung aufnimmt als tagsüber. Nützlich ist auch der "Power Cycle" Knopf in der Übersicht, der es direkt von der GUI aus erlaubt ein Gerät PoE seitig neu zu starten.
Über die Einstellungen im Untermenü Schedule lässt sich ein Zeitplan festlegen, was welcher Port mittels PoE versorgt werden soll. Dies kann beispielsweise genutzt werden, um nachts die Klingel abschalten zu können, setzt aber voraus, dass die PoE-Einstellungen im manuellen Modus arbeiten.
.png)