1 Internet

Interfejs WAN typu Ethernet – możliwości wykorzystania
W niektórych routerach Vigor (np. serie 2900/2900V) interfejs WAN występuje w postaci portu Ethernet
ze standardowym gniazdem RJ-45. Router 2900 potrafi obsługiwać ruch o natężeniu kilkudziesięciu
Mbit/s, stąd interfejs WAN zaprojektowano jako szybki port Ethernet 10/100 Mbit/s. Można do niego
podłączać dowolne urządzenia Ethernet, jak modem xDSL, modem kablowy, router, switch czy nawet
pojedynczy komputer.
Niezależnie od tego czy do portu WAN podłączany jest modem,
router czy switch, można użyć kabla prostego (ang. straightthrough). W razie potrzeby wewnętrzny przeplot dokonuje się
automatycznie dzięki funkcji auto-crossover. W ramach interfejsu
użytkownika istnieje możliwość wyboru trybu pracy portu WAN, łącznie z
trybem autonegocjacji stosowanym w nowoczesnych przełącznikach:
Możliwości konfiguracji i wykorzystania interfejsu WAN typu Ethernet
Routery DrayTek są projektowane jako urządzenia brzegowe, zoptymalizowane dla obsługi szybkiego
dostępu do Internetu, stąd interfejs WAN może współpracować z szerokim wachlarzem urządzeń
dostępowych. Router Vigor 2900 można podłączyć do modemu xDSL (jak w usłudze DSL TP) lub do
modemu kablowego (jak w dostępie przez telewizję kablową). Port WAN będzie współpracował z
każdym urządzeniem dysponującym interfejsem Ethernet, także z innym routerem w trybie pełnego
routingu statycznego lub z użyciem RIP. Oznaczenie DCE na rysunku symbolizuje dowolne urządzenie
Ethernet:
Ethernet
Cable/xDSL/dowolna technologia
ISP
DCE
Internet
Za wymienionymi wariantami kryje się realizacja wszystkich popularnych technologii dostępu
szerokopasmowego, tzn. trybu klienta PPPoE, klienta PPTP, klienta DHCP lub statycznego adresu IP z
lokalną bramą w postaci innego routera.
W zależności od technologii należy wybrać i skonfigurować odpowiedni tryb dostępu:
1
2004 BRINET Sp. z o. o.
Interfejs WAN typu Ethernet – możliwości wykorzystania
1. Protokołu PPPoE użyjemy na przykład w sytuacji, kiedy posiadamy modem ADSL z interfejsem
Ethernet pracujący w ramach usługi typu Neostrada czy Net24. Sesja PPP na odcinku router-modem
jest przenoszona w warstwie Ethernet, a na odcinku modem-DSLAM w kanale ATM łącza ADSL.
2. Niektóre urządzenia dostępowe (chociażby modemy ADSL marki Alcatel) wymagają od routera
zainicjowania tunelu PPTP, co oznacza że sesja PPP na odcinku router-modem jest przenoszona za
pomocą protokołu TCP/IP. Dlatego wymagane jest podanie adresu modemu jako serwera PPTP, oraz
adresu IP samego routera w sieci Ethernet od strony WAN.
3. Klient DHCP będzie przydatny w sieci telewizji kablowej, kiedy do routera podłączymy modem
kablowy z interfejsem Ethernet. Modem kablowy pracuje zwykle jako most medialny, przenoszący ramki
Ethernet w paśmie radiowym. W tak powstałym rozległym środowisku Ethernet komputer pracujący w
trybie klienta DHCP i prezentujący się określonym adresem MAC otrzymuje publiczny adres IP od
serwera DHCP. Serwer DHCP jest zlokalizowany w sieci operatora i może wymagać, poza adresem MAC,
podania nazwy hosta DNS. Wszystkie te wymogi realizuje router Vigor. Wystarczy rejestracja jednego
adresu MAC u operatora kablowego, aby zapewnić dostęp wielu komputerom w oparciu o uzyskany
adres IP.
2
2004 BRINET Sp. z o. o.
Interfejs WAN typu Ethernet – możliwości wykorzystania
4. Wreszcie, najbardziej naturalną konfiguracją dla interfejsu WAN typu Ethernet jest przyznanie mu
statycznych parametrów IP, jak adres IP, maska podsieci i brama domyślna:
Statyczny adres IP to uniwersalna konfiguracja, umożliwiająca nie tylko dostęp do Internetu przez
pojedyncze urządzenie (jak modem ADSL w usłudze DSL TP), ale przede wszystkim pracę na krawędzi
odrębnych segmentów sieci IP. Router posiada bowiem dwa interfejsy komunikacyjne: LAN i WAN, oba
typu Ethernet. Interfejs WAN może pracować w ramach pojedynczej podsieci IP (o adresacji publicznej
lub prywatnej oraz dowolnej masce podsieci). Do samego interfejsu WAN można przypisać do 8
adresów z tej podsieci - router będzie odpowiednio reagował na ruch kierowany na te adresy. Interfejs
LAN natomiast może należeć do dwóch podsieci jednocześnie. Niezależnie od tego czy w podsieciach
LAN stosujemy adresy prywatne czy publiczne, ruch wychodzący z podsieci 1 jest poddawany translacji
adresów (NAT).
3
2004 BRINET Sp. z o. o.
Interfejs WAN typu Ethernet – możliwości wykorzystania
Router Vigor pracuje zawsze w sposób następujący:
pakiet wysyłany z podsieci 1 poprzez interfejs WAN podlega translacji NAT z użyciem adresu
WAN routera (nawet jeżeli jest to adres z puli adresów prywatnych)
pakiet wysyłany z podsieci 2 na zewnątrz poprzez interfejs WAN nie podlega
żadnym mechanizmom NAT i jest obsługiwany na zasadach pełnego routingu,
dlatego maszyny w podsieci 2 są osiągalne indywidualnie z podsieci WAN, a o ile
dysponują adresami publicznymi, także z Internetu
pakiet wysyłany lokalnie z podsieci 1 do podsieci 2 (a więc nie porzez interfejs WAN), podlega
translacji NAT z użyciem drugiego adresu IP routera (nawet jeżeli jest to adres z puli adresów
prywatnych)
Poniższy schemat prezentuje sytuację, w której router Vigor pracuje na granicy kilku sieci IP:
Internet
DCE
IP: 213.72.14.1
Router
Podsieć WAN
213.72.14.0/29
IP: 213.72.14.4
IP: 213.72.14.3
Serwer
WWW
IP (WAN): 213.72.14.2
1 IP: 192.168.1.1/24
2 IP: 84.12.43.73/29
NAT|Routing
dodatkowy switch
192.168.1.10
192.168.1.13
84.12.43.74
192.168.1.11
84.12.43.75
192.168.1.12
84.12.43.76
Schemat bazuje na założeniu, że operator (ISP) przydzielił dwie podsieci z adresami publicznymi,
zapewniając ich pełną osiągalność z Internetu:
podsieć 213.72.14.0/29
podsieć 84.12.43.72/29
4
2004 BRINET Sp. z o. o.
Interfejs WAN typu Ethernet – możliwości wykorzystania
Ponadto operator dostarczył urządzenie DCE (np. modem xDSL), które ma pełnić rolę bramy do
Internetu pod adresem 213.72.14.1. Do interfejsu WAN Vigora przypisujemy wybrany adres
(213.72.14.2) i wskazujemy bramę domyślną:
Inne adresy z tej podsieci możemy przydzielić dodatkowym urządzeniom pracującym w podsieci WAN
routera Vigor. Być może będzie to serwer WWW, komputer lub inny router korzystający z naszej bramy
do Internetu. Drugą podsieć publiczną możemy ulokować po stronie interfejsu LAN Vigora. Wybrany
adres (powiedzmy 84.12.43.73) przypisujemy jako drugi adres IP interfejsu LAN. Resztę wolnych
adresów przydzielamy komputerom, wskazując im bramę w postaci adresu routera (84.12.43.73):
Uzyskujemy tym samym pełen routing (bez NAT) pomiędzy podsiecią 84.12.43.72/29 a podsiecią WAN
213.72.14.0/29 oraz siecią Internet. Każdy z komputerów w ramach naszych dwóch podsieci jest
indywidualnie osiągalny z dowolnego miejsca w Internecie. Podsieć 84.12.43.72/29 może być przez
router chroniona mechanizmami firewall, natomiast podsieć 213.72.14.0/29 stanowi tutaj swoistą strefę
zdemilitaryzowaną (DMZ).
Ponieważ liczba adresów w podsieci publicznej jest ograniczona, dla potrzeb masowego dostępu do
Internetu wykorzystujemy mechanizm NAT i odrębną podsieć z dowolną adresacją prywatną,
powiedzmy 192.168.1.0/24. Wybieramy adres własny routera (192.168.1.1) i adresujemy komputery
używając np. mechanizmu DHCP. Limit liczby maszyn zaadresowanych z puli prywatnej praktycznie nie
istnieje – mogą ich być setki. Wszystkie zachowają dostęp do Internetu z wykorzystaniem translacji
NAT, prezentując się „na zewnątrz” adresem IP interfejsu WAN. Niektóre z nich mogą być osiągalne z
Internetu, po skonfigurowaniu stosownego przekierowania portów.
5
2004 BRINET Sp. z o. o.
Interfejs WAN typu Ethernet – możliwości wykorzystania
W przykładzie uruchomiono routing dynamiczny RIP w podsieci LAN i WAN, choć możliwe są również
trasy statyczne. Pozwala to w pełni zintegrować wiele podsieci osiągalnych przez routery podłączone
zarówno os strony LAN, jak i WAN. Co więcej, nawet odległe grupy sieci osiągalne poprzez tunele VPN
można zintegrować za pomocą routingu dynamicznego (RIPv1 i 2 jest realizowany także wewnątrz
tuneli VPN).
6
2004 BRINET Sp. z o. o.