1 Internet dodatkowy switch

Możliwości routingu IP i adresowania interfejsów LAN/WAN
Interfejs LAN
Fizycznie interfejs LAN routera DrayTek jest dostępny w postaci 4 portów przełącznika 10/100 Mbit/s, a
w wybranych modelach oznaczonych symbolem „G”, dodatkowo rozszerzony o koncentrator WLAN. Na
poziomie protokołu IP interfejs jest wyposażony w dwa niezależne zbiory ustawień. Taka implementacja
pozwala na funkcjonowanie w ramach sieci lokalnej urządzeń należących do dwóch różnych logicznych
podsieci. Ma to na celu zwiększenie funkcjonalności urządzenia – zgodnie z dalszym opisem, każda z
podsieci IP jest obsługiwana przez router Vigor w odmienny sposób.
Internet
IP (WAN): 213.72.14.2
1 IP: 192.168.1.1/24
2 IP: 84.12.43.73/29
NAT|Routing
dodatkowy switch
192.168.1.10
192.168.1.13
84.12.43.74
192.168.1.11
84.12.43.75
192.168.1.12
84.12.43.76
Podsieć 1 umożliwia komunikację z wykorzystaniem prywatnych adresów IP zdefiniowanych w RFC
1918, w połączeniu z mechanizmem NAT (ang. Network Address Translation). Kiedy pakiet opuszcza
podsieć, proces NAT w polu jego adresu źródłowego umieszcza specjalny adres, którym dysponuje
router. Adres ten należy zwykle do grupy adresów publicznych, przydzielonych przez operatora. W
skrajnym przypadku wiele hostów zaadresowanych prywatnie może komunikować się z maszynami w
sieci publicznej, wykorzystując jeden adres IP uzyskany od ISP. Aby obsłużyć wiele niezależnych
procesów komunikacji na raz, stosuje się odwzorowywanie portów źródłowych na tzw. pseudo-porty,
wybierane przez router z określonego zakresu. W podsieci 1 można przyjąć koncepcję statycznego
1
2006 BRINET Sp. z o. o.
Możliwości routingu IP i adresowania interfejsów LAN/WAN
przydziału adresów dla hostów (konfiguracja ręczna), bądź zastosować mechanizm DHCP (ang.
Dynamic Host Configuration Protocol). Można też połączyć oba rozwiązania, przydzielając wybranym
maszynom (np. lokalnym serwerom) adresy stałe wybrane spoza puli używanej przez serwer DHCP
(patrz dalej – konfiguracja DHCP). Co ważne, nawet kiedy router kieruje ruch z podsieci 1 do podsieci
2, stosowany jest NAT z użyciem drugiego adresu IP interfejsu LAN.
Podsieć 2 przeznaczona została do realizacji klasycznego routingu IP. Dlatego wszelki ruch
wychodzący z tej podsieci jest obsługiwany przy zachowaniu oryginalnych adresów źródłowych oraz
numerów portów. Jeżeli więc zachodzi potrzeba przypisania wybranym maszynom (np. serwerom)
publicznych adresów IP, dostarczonych przez operatora, można wykorzystać właśnie podsieć 2. Jeden z
adresów trzeba przydzielić samemu routerowi jako adres bramy dla hostów. Może on też pełnić rolę
adresu NAT dla komputerów z podsieci 1, łącząc je z siecią publiczną. Na rysunku dla przykładu
założono posiadanie publicznej podsieci 84.12.43.72/255.255.255.248 (użyteczne adresy w tej podsieci
to 84.12.43.73-78). Naturalnie w podsieci 2 można także stosować adresację prywatną. Jednak
pamiętać trzeba o nieobecności mechanizmu translacji adresów, przez co bezpośrednia komunikacja z
Internetem nie będzie możliwa, nawet jeżeli od strony interfejsu ADSL przydzielono adres publiczny.
Można sobie jednak wyobrazić router Vigor, który pracuje jako jeden z wielu routerów w sieci Intranet, i
pełni rolę bramy VPN do odległych sieci LAN. Wówczas za pomocą ustawień podsieci 2 możliwa jest
integracja z innymi routerami poprzez zarówno routing statyczny, jak i dynamiczny. Podobnie jak w
podsieci 1, i tu możliwa jest automatyczna konfiguracja hostów. Mechanizm DHCP dla drugiej podsieci
konfiguruje się jednak nieco inaczej (patrz dalej).
Podsieć 1 jest zawsze włączona, natomiast podsieć 2 jest opcjonalna (domyślnie jej obsługa jest
wyłączona). Natomiast rysunek ilustruje aktywne użycie obu podsieci. Obsługa dwóch osobnych
podsieci IP (w tym zwłaszcza w trybie pełnego routingu) w ramach LAN jest poważną
zaletą routerów DrayTek. Niemal zawsze w tego typu urządzeniach producenci oferują wyłącznie
jedną podsieć z mechanizmem NAT, nie zapewiając opcji jego ominięcia. Stwarza to liczne ograniczenia
w momencie posiadania wielu publicznych adresów IP, gdyż i tak nie eliminuje procesu translacji
adresów na drodze pakietów.
Dla obu podsieci można uruchomic osobne serwery DHCP. Serwer dla podsieci 1 konfiguruje się
w oknie glównym TCP/IP (poprzedni rysunek). Aby uruchomic serwer dla drugiej podsieci, należy
poinformować router które interfejsy (adresy MAC) mają otrzymywać adresy z drugiej podsieci
(komputery nieobecne na liscie będą domyślnie konfigurowane z puli dla podsieci 1).
2
2006 BRINET Sp. z o. o.
Możliwości routingu IP i adresowania interfejsów LAN/WAN
Cenną zaletą routera jest zdolność trwałego kojarzenia MAC-IP przez oba serwery DHCP,
tak aby dana stacja otrzymywała zawsze zarezerwowany dla niej adres. Jest to pomocne np.
podczas konfiguracji Filtru Pakietów w sieci gdzie adresy są przydzielane dynamicznie. Rezerwacje MACIP wykonuje się za pomocą specjalnej komendy Telnet.
Tryb Proxy DNS/ DNS Cache
W ramach konfiguracji DHCP router przydziela hostom także adresy serwerów DNS (podstawowy i
dodatkowy-zapasowy). Adresy te są w pełni konfigurowalne (rysunek). Otrzymując od routera Vigor
powyższe dwa adresy, hosty będą kierować żądania DNS bezpośrednio z sieci lokalnej do serwera
podstawowego. Jeżeli nie otrzymają odpowiedzi, np. z powodu awarii lub przeciążenia serwera,
wykorzystają adres serwera dodatkowego. Jeżeli oba pola pozostaną puste, router przydzieli hostom
własny adres IP jako adres serwera DNS i będzie działał jako serwer proxy DNS. Żądania hostów będą
przekazywane do serwerów udostępnionych przez operatora (ISP). Jednocześnie w pamięci podręcznej
(ang. DNS cache) będą zapamiętywane poznane nazwy i odpowiednie adresy IP. Jeżeli nastąpi
ponowna prośba o adres dla danej nazwy, router odpowie natychmiast, bez odwoływania się do
odległych serwerów DNS. Pamięć podręczna zwiększa efektywność mechanizmu DNS dla lokalnych
hostów, znacznie skracając średni czas odpowiedzi.
3
2006 BRINET Sp. z o. o.
Możliwości routingu IP i adresowania interfejsów LAN/WAN
Interfejs WAN (na przykładzie routera ADSL)
W routerach ADSL interfejs WAN można podłączyć tylko bezpośrednio do linii operatora, tzn. nie istnieje
opcja współpracy tego interfejsu z lokalnym routerem, komputerem czy koncentratorem, jak w
przypadku interfejsu Ethernet. Interfejs ten musi zatem posiadać przynajmniej 1 publiczny adres IP,
uzyskiwany od operatora dynamicznie lub przydzielony statycznie, aby router mógł być obecny w
Internecie. Szczegóły przydzielania konfiguracji IP zależą tutaj od trybu dostępu stosowanego przez
operatora.
W trybie PPPoE i PPPoA router inicjuje połączenie PPP do urządzenia dostepowego operatora, skąd
uzyskuje pojedynczy adres IP za pomocą tzw. negocjacji IPCP – tak jest np. w przypadku usług
Neostrada (TP) i Net24 (Netia). Po uzyskaniu tego adresu router wykorzystuje go do komunikacji z
innymi urządzeniami w Internecie. Ades IP może też być przypisany statycznie, choć rzadko operatorzy
stosują te opcję w trybie PPPoE/PPPoA.
Dzięki opcji Alias IP interfejsu WAN, mamy możliwość przypisania dodatkowych adresów publicznych
do interfejsu ADSL (do 8), jeżeli operator zechce przydzielić nam takie dodatkowe adresy. Wówczas
router jest osiągalny pod każdym z nich, dzięki czemu może realizować tzw. Multi-NAT, tzn. niezależne
otwieranie portów dla połączeń kierowanych na różne adresy WAN (zobacz opis funkcji NAT).
PPPoE Pass-through to możliwość nawiązywania wielu niezależnych sesji PPPoE przez urządzenia
zlokalizowane w sieci LAN za routerem (tzw. PPPoE pass-through) – poszczególne komputery i routery
w sieci LAN mogą realizować indywidualne procesy logowania na osobne konta i otrzymywać własne
adresy IP od dostawcy usługi, natomiast router Vigor pełni rolę modemu ADSL, dostarczając wspólnego
dla wszystkich połączeń pasma transmisyjnego. W praktyce możemy sprawić, że nasz komputer w sieci
LAN otrzyma publiczny adres IP, co może być bardzo przydatne w celu ominięcia mechanizmu NAT dla
pewnych specjalnych potrzeb (np. połaczenia audio/video, VPN, gry sieciowe).
4
2006 BRINET Sp. z o. o.
Możliwości routingu IP i adresowania interfejsów LAN/WAN
W trybie dostępu MPoA (np. Dialnet DSL Dialogu) nie stosuje się połączeń PPP, lecz ruch IP jest
realizowany w sposób zbliżony do środowiska Enhernet (bezpośrednia komunikacja IP z wieloma
urządzeniami o różnych adresach sprzętowych w ramach wspólnej podsieci). Dlatego konfiguracja
interfejsu wymaga określenia maski podsieci oraz wybrania domyślnej bramy:
Opcja Uzyskaj adres IP automatycznie oznacza tutaj uruchomienie klienta DHCP na interfejsie
WAN/ADSL. Będzie on normalnie wysyłał żądania przydzielenia adresu, maski i bramy do serwera DHCP
zlokalizowanego u operatora. Może to wymagać podania adresu MAC i/lub nazwy DNS oczekiwanej
przez operatora (oba te parametry są jak widać dowolnie konfigurowalne).
Podobnie jak w trybie PPPoE/PPPoA, i tutaj istnieje opcja Alias IP interfejsu WAN. Jest też możliwość
realizacji routingu dynamicznego we współpracy z routerami dostępnymi w ramach tej samej publicznej
podsieci IP (włączenie protokołu RIP). Mogą to być routery w sieci operatora lub w innym oddziale
naszej firmy (jeżeli łaczymy oddziały za pomocą danego kanału PVC udostępnionego przez operatora).
Tryb Bridge jest specjalnym trybem pracy, w którym router potrafi zrezygnować z realizacji routingu na
rzecz roli mostu, przezroczyście przekazującego jednostki danych (ramki Enhernet) do urządzeń
obecnych w sieci LAN. W efekcie możliwe jest uzyskanie adresu/adresów publicznych przez komputer
pracujący w trybie klienta DHCP (lub przez wiele komputerów niezależnie, jeżeli operator zgodzi się na
jednoczesną dzierżawę wielu adresów publicznych). Jest to pełna analogia do opcji PPPoE pass-through
obecnej w dostępie PPPoE.
Routing do innych podsieci
Router Vigor potrafi realizować routing statyczny i dynamiczny zarówno od strony
interfejsu LAN, jak i WAN, a nawet, co bardzo ważne, wewnątrz poszczególnych tuneli VPN
(ta ostatnia opcja jest omówiona w opisie poświęconym VPN). Pozwala to na pełną wspołpracę z innymi
routerami nawet w rozbudowanym środowisku złożonym z wielu podsieci.
Routing statyczny realizuje się definiując trwałe trasy, prowadzące do konkretnych podsieci poprzez
wskazane routery. Przykładowa trasa do podsieci 172.28.0.0/16 prowadząca przez router 192.168.1.30
będzie konfigurowana następująco:
5
2006 BRINET Sp. z o. o.
Możliwości routingu IP i adresowania interfejsów LAN/WAN
Można określić trasy statyczne do 10 różnych podsieci, jednak w przypadku użycia routingu
dynamicznego liczba obsługiwanych podsieci jest nieograniczona.
Routing dynamiczny jest realizowany przez implementację protokołu RIPv1 oraz RIPv2 (do wyboru).
Uruchomienie routingu dynamicznego na interfejsie WAN polega na włączeniu obsługi RIP. Na
interfejsie LAN można jeszcze zdecydować, w ramach której z podsieci chcemy taki routing realizować:
Podsieć 1 – router w stałych odstępach czasu wysyła informacje o znanych mu podsieciach do innych
routerów należących do podsieci 1 (broadcast UDP w podsieci 1).
Podsieć 2 – pakiety RIP będą wysyłane do routerów należących do podsieci 2. Podsieć 1 nie bierze
wówczas udziału w routingu dynamicznym (pakiety RIP nie są w niej rozgłaszane).
Najprostszy przypadek środowiska wielu podsieci jest pokazany na rysunku. Router Vigor może
zapewnić dostęp do Internetu oraz wzajemną komunikację wszelkim innym podsieciom, podłączonym
przez dodatkowe routery. Można przy tym stosować odpowiednie limity i ograniczenia dla całych
podsieci lub wybranych adresów IP:
Internet
xDSL
Vigor
R2
R3
192.168.1.1
192.168.1.2
192.168.1.3
192.168.1.0/24
192.168.10.0/24
6
2006 BRINET Sp. z o. o.
Do odległej
podsieci
211.100.88.0/28
Możliwości routingu IP i adresowania interfejsów LAN/WAN
Konkretnie, można np. zapewnić dostęp do Internetu tylko niektórym komputerom z podsieci
192.168.10.0/24, podczas gdy będą one miały pełen dostęp do podsieci 192.168.1.0/24.
Lub inaczej – wszystkie komputery z podsieci 192.168.10.0/24 mają dostęp do Internetu, ale nie
wszystkie mają dostęp do podsieci 192.168.1.0/24.
Możliwe są różne złożone warianty tych dwóch podstawowych scenariuszy, np. blokowanie wybranych
usług i/lub filtrowanie zawartości na poziomie aplikacji (ang. content filtering) dla konkretnych adresów
lub całych podsieci.
7
2006 BRINET Sp. z o. o.