Nie wszystkie testowane rutery cechowały się dużą różnicą między maksymalnymi i średnimi opóźnieniami w transmisji. Pod tym względem najlepiej wypadł model Rebel firmy ImageStream, który we wszystkich wariantach testowych osiągał konsekwentnie najniższe różnice między opóźnieniem maksymalnym i średnim.
Także ruter Riverstone 3000 odnotował niewielkie różnice między średnimi i maksymalnymi opóźnieniami transmisji. Ponadto osiągnął najniższe opóźnienia we wszystkich testach z użyciem krótkich ramek i pracował najstabilniej, wykazując najmniejsze różnice w osiągach dla poszczególnych scenariuszy testów.
Tasman 1004 zajął drugie miejsce pod względem średniej opóźnień, jednak w większości testów wnoszone przez ten model maksymalne opóźnienia były znacznie większe od opóźnień rutera Riverstone. Gwoli sprawiedliwości trzeba jednak dodać, że Riverstone to faktycznie metropolitalny ruter brzegowy, który dysponuje znacznie większą mocą obliczeniową niż ruter dostępowy Tasman 1004. Różnicę widać zresztą nie tylko w wynikach, ale także w cenie: urządzenie Riverstone kosztuje co najmniej dwa razy tyle co router firmy Tasman.
Jeden z testów opóźnień: transmisja ramek 256-bajtowych
Kłopot z interpretacją wyników sprawił ruter dostępowy Lucenta Access Point 1500. Zgodnie z zaleceniami opóźnienia należy mierzyć przy pełnym obciążeniu, odpowiadającym maksymalnej przepustowości łącza. Jednak Access Point 1500 ma tak duże bufory, że w czasie testów maksymalna przepustowość łącza została przekroczona, i to do tego stopnia, że rutery wysyłały sobie pakiety z buforów jeszcze przez 17 s po wyłączeniu testu. Jak łatwo przewidzieć, wywołało to efekt w postaci pozbawionych sensu, absurdalnie wysokich czasów opóźnień. Poproszono producenta, żeby specjalnie na potrzeby tego testu zmniejszył wielkość buforów, jednak nawet po tym zabiegu Access Point 1500 odnotował wyższe czasy opóźnień niż większość pozostałych urządzeń. Bufory o dużych rozmiarach mogą być przydatne, szczególnie jeśli transmisja jest zdominowana przez dane o dużej objętości. Jednak użytkownicy, którzy chcą wykorzystywać systemy Lucenta do transmisji głosu i wideo, powinni ograniczyć wielkość buforów. W laboratorium zabieg ten zmniejszył średnie opóźnienia do ok. 2000 mikrosekund i uplasował ruter Lucenta na trzeciej pozycji w teście z pakietami o wielkości 256 bajtów.
Zresztą przy tej wielkości ramki różnice między ruterami poszczególnych producentów nieco się zacierały (patrz wykres str. 49), choć i w tym wypadku systemy Riverstone 3000 i Tasman 1004 miały najniższe opóźnienia we wszystkich wariantach testu. Najmniej fluktuacji w opóźnieniach dla różnych wariantów testowych wykazywały rutery Rebel firmy ImageStream i - po raz kolejny - Riverstone 3000, co sugeruje, że w przypadku tych urządzeń opóźnienia będą się utrzymywały na stabilnym poziomie niezależnie od tego, ile tras obsługuje urządzenie i jak rozbudowane są reguły filtrowania.
Filtrowanie pakietów w praktyce
Należy blokować segmenty lub pakiety z fałszywymi adresami IP na styku sieci firmowej z Internetem (tzw. IP spoofing). Minimalna konfiguracja filtra pakietów to w takim przypadku odrzucanie wszystkich przychodzących pakietów o adresach źródłowych pochodzących z sieci wewnętrznej oraz wszystkich wychodzących pakietów o adresach nienależących do przestrzeni adresowej firmy.
Należy odrzucać wszystkie "nierutowalne" adresy IP, a więc standardowe adresy z prywatnej przestrzeni adresowej, określone w RFC 1918, oraz adresy sieci zarezerwowanych przez IANA (Internet Assigned Numbers Authority).
Należy też blokować ruch generowany przez niepożądane aplikacje. Standardowa technika polega w tym wypadku na blokowaniu określonych protokołów i połączeń kierowanych do określonych portów. Przykładowo, aby uniemożliwić próby włamania za pośrednictwem zdalnych sesji telnetowych, trzeba zablokować port TCP 23. Technika ta jest jednak bezradna w przypadku niektórych aplikacji peer-to-peer, które tunelują połączenia przez port 80 (HTTP).
Należy prowadzić statystyki zajętości pasma przez poszczególne aplikacje i częstotliwości odwiedzin określonych adresów IP. W większości ruterów można łatwo uaktywnić rejestrowanie takich informacji poprzez logowanie aktywności filtra pakietów: jeśli określona reguła została wykorzystana 10 razy, oznacza to dziesięciokrotną próbę połączenia z określonym adresem lub otwarcia portu określonej aplikacji.
W urządzeniach Cisco wystarczy w tym celu dopisać warunek "log" na końcu reguły na liście kontroli dostępu. Niektóre rutery, w tym urządzenia produkcji Enterasys Networks, mają domyślnie włączone logowanie takich informacji.
Nie należy przesadzać z konfiguracją filtrów pakietów. Wyniki testów potwierdzają zastrzeżenia w dokumentacji rutera Cisco: filtrowanie pakietów ma negatywny wpływ na wydajność rutowania. Jedna z możliwych w takim przypadku sztuczek polega na tym, by zamiast filtrować, kierować niechciane pakiety do urządzenia null0.
Przy konfigurowaniu list reguł filtra pakietów ważna jest ich kolejność. Różne filtry stosują różne algorytmy, jednak ogólnie rzecz biorąc, reguły szczegółowe powinny poprzedzać bardziej ogólne, aby nie odcięły rutera od sieci, lub - w przypadku gdy filtr domyślnie akceptuje ruch - nie przepuszczały niepożądanych pakietów. Jeśli domyślny tryb pracy rutera polega na odrzucaniu wszystkich pakietów, należy odpowiednią regułę umieścić na końcu listy kontroli dostępu, poprzedzając ją regułami, które jawnie określają, jaki ruch jest akceptowany.
Warto pamiętać, że ruter nie zastąpi zapory ogniowej. Filtry pakietów blokują określone rodzaje ruchu zarówno w ruterze, jak i zaporze, jednak na tym podobieństwa się kończą. Ruter nie może przechowywać stanu sesji w warstwie transportu i aplikacji, a na potrzeby filtrowania ruchu są to bardzo istotne mechanizmy - dysponuje nimi praktycznie każdy współczesny firewall. Filtrowanie pakietów trzeba stosować, ponieważ stanowi w ruterze dodatkowy mechanizm bezpieczeństwa. Jednak ruter nie zapobiegnie wielu atakom, z którymi może sobie poradzić zapora ogniowa.
