Internet - DrayTek

Switch w routerach DrayTek - możliwości
We wszystkich routerach DrayTek dostępnych obecnie w ofercie interfejs LAN ma postać czterech
równorzędnych portów Ethernet:
Porty te tworzą przełącznik (ang. switch), tzn. posiadają zdolność wzajemnej komunikacji z prędkością
100 Mbit/s w trybie full duplex (FDX), choć możliwa jest też praca w trybie 10 Mbit/s (tryb pracy jest
negocjowany automatycznie). Do portów można podłączać dowolne urządzenia Ethernet (komputery,
routery, dodatkowe przełączniki), nadając lokalnej sieci dowolną topologię i rozmiar. Dodatkowe
przełączniki będą służyć podłączeniu większej liczby komputerów i serwerów, zaś routery mogą
stanowić bramy do innych lokalnych segmentów sieci.
Internet
NAT
dodatkowy switch
VLAN 1
VLAN 2
Prawidłowe podłączenie urządzenia do portu jest sygnalizowane diodami: kolor zielony oznacza
połączenie 100 Mbit/s, żółty - 10 Mbit/s, natomiast pulsowanie oznacza zachodzącą transmisję:
Wystarczy fizyczne podłączenie kabli do portów P1-P4, aby urządzenia mogły się wzajemnie
komunikować z dużą prędkością (100 Mbit/s) bez angażowania funkcji właściwych dla samego routera.
1
2004 BRINET Sp. z o. o.
Switch w routerach DrayTek - możliwości
Następnie, po odpowiednim skonfigurowaniu routera Vigor, może on być dla tych urządzeń bezpieczną
bramą do Internetu i ewentualnie do innych sieci (lokalnych – poprzez inny router, lub odległych –
poprzez tunel VPN). Niezależnie od tego czy podłączamy router, switch czy komputer, można
użyć kabla prostego (ang. straight-through). W razie potrzeby wewnętrzny przeplot (cross-over)
dokonuje się automatycznie na dowolnym z 4 portów dzięki funkcji auto-uplink.
Typowy scenariusz
Jeżeli posiadamy nie więcej niż 4 komputery, możemy je połączyć bezpośrednio z routerem, tworząc
sieć lokalną z dostępem do Internetu i wzajemnym dzieleniem zasobów (pliki, drukarki). Każda maszyna
może być oddalona do 100 m od routera. W miarę zapotrzebowania na kolejne porty, można w miejsce
jednego z komputerów zastosować dodatkowy switch.
Liczba komputerów w sieci
Router nie ogranicza liczby komputerów w naszej sieci. Jest ona raczej fizycznie ograniczona
pojemnością wszystkich naszych przełączników (liczba portów). Sam router, przy odpowiednim
skonfigurowaniu maski podsieci, jest w stanie obsłużyć nawet setki maszyn (domyślnie 253 dla maski
24-bitowej). Możemy zatem stopniowo rozbudowywać sieć w miarę naszych potrzeb, nie martwiąc się,
że osiągniemy jakąś granicę wyznaczoną przez router.
Protokoły
Switch wbudowany w router Vigor będzie przełączał wszelką komunikację lokalną, nawet jeżeli
urządzenia komunikują się za pomocą protokołów sieciowych innych niż TCP/IP (np. NetBIOS/NetBEUI
w starszych sieciach Windows, czy IPX/SPX w sieciach Novell itd.).
VLAN (wzajemna izolacja grup urządzeń podłączonych do switcha)
Termin VLAN (ang. Virtual LAN) oznacza tzw. wirtualną sieć LAN. Jest to zamknięta grupa komputerów,
które mogą się komunikować wyłącznie pomiędzy sobą, pozostając jednocześnie w całkowitej separacji
z innymi komputerami podłączonymi do tego samego switcha. Oznacza to, że switch posiada zdolność
inteligentnego filtrowania ramek na podstawie źródła ich pochodzenia, blokując ich przekazanie do
komputera spoza określonej grupy.
Istnieje kilka standardowych metod realizacji funkcji VLAN. W switchu, jakim dysponują wybrane
routery DrayTek, zaimplementowano tzw. VLAN skupiony na portach (ang. port-centric VLAN).
Definiowanie segmentu VLAN polega na określeniu, które porty mają do niego należeć. Wszystkie
komputery korzystające z portu należącego do danego VLAN (np. podłączone przez inny switch) stają
się automatycznie członkiem tego VLAN. Nie mniej dany port może zostać przydzielony do kilku sieci
VLAN jednocześnie. Wówczas komputery do niego dołączone mają dostęp do wszystkich tych sieci
VLAN.
Vigor pozwala na wyodrębnienie do 4 oddzielnych grup komputerów (segmentów VLAN) w ramach
swojego switcha. Do każdej z nich można niezależnie przydzielać poszczególne porty switcha.
Domyślnie (ustawienia fabryczne) żaden VLAN nie jest zdefiniowany, tzn. wszystkie komputery mogą
wymieniać dane między sobą. Po zdefiniowaniu VLAN, jego komputery tworzą zamkniętą grupę –
lokalnie odizolowaną od innych maszyn, jednak zachowującą dostęp do Internetu.
2
2004 BRINET Sp. z o. o.
Switch w routerach DrayTek - możliwości
Rysunek prezentuje przykładową konfigurację, która pomaga zrozumieć opisane mechanizmy. Zakłada
on, że do portu P1 routera podłączono dodatkowy switch skupiający kilka komputerów. Takie
koncentratory mogą być podłączone do wszystkich portów, jeżeli zachodzi potrzeba stworzenia
oddzielnych sieci VLAN złożonych z wielu maszyn.
dodatkowy switch
PC1
PC2
PC3
PC4
PC5
PC6
VLAN 1
VLAN 2
VLAN 3
W przykładzie na rysunku utworzono 3 sieci wirtualne:
VLAN 1 obejmuje porty P1 (PC1, PC2, PC3) i P2 (PC4)
VLAN 2 to port P2 (PC4) i P3 (PC5)
do VLAN 3 należy pojedynczy port P4 (a więc tylko komputer PC6)
Logiczne relacje pomiędzy komputerami będą takie:
PC1, PC2 i PC3 mogą wymieniać dane pomiędzy sobą oraz z PC4 (ale nie z PC5 ani z PC6)
PC4 i PC5 mogą wymieniać dane pomiędzy sobą (ale nie z PC6)
PC6 nie może wymieniać danych z żadnym z pozostałych komputerów
wszystkie komputery mogą się komunikować z Internetem. Aby uniemożliwić dostęp do
Internetu można zastosować odpowiednie mechanizmy filtru pakietów.
3
2004 BRINET Sp. z o. o.
Switch w routerach DrayTek - możliwości
Zastosowanie VLAN – bezpieczeństwo i prywatność
Ponieważ separacja VLAN odbywa się w warstwie łącza danych, gwarantuje duże bezpieczeństwo.
Całkowicie bowiem eliminuje przepływ jednostek danych w tej warstwie, a więc m. in. pakietów IP
niezbędnych dla przeprowadzenia większości ataków i włamań, ale także jednostek protokołu ARP itd.
Poszczególni użytkownicy Internetu są zatem solidnie izolowani, zachowując całkowitą prywatność
pomimo podłączenia do tego samego switcha.
1. Funkcja VLAN zaimplementowana w routerze Vigor umożliwia współdzielenie szybkiego łącza
internetowego przez wielu użytkowników (np. sąsiadów) przy ich absolutnym odizolowaniu od reszty, o
ile wyrażą takie życzenie. Warto zaznaczyć, że używając prawidłowo wykonanego kabla (UTP kategorii
5) do portu routera można podłączyć urządzenie oddalone na odległość do 100 m. Dlatego komputery
czy koncentratory użytkowników mogą pracować w ich mieszkaniach, tworząc odrębne sieci VLAN
zdefiniowane w porozumieniu z administratorem routera.
2. Podobnie można odseparować dwie lub więcej firm posiadających wspólne łącze szerokopasmowe i
wspólny router. Administrator może tak skonfigurować jeden z portów switcha, aby mieć dostęp do obu
sieci firmowych, podczas gdy pracownicy będą mieli dostęp tylko do komputerów w ramach swojej
firmy.
3. Jeżeli posiadamy serwer WWW, FTP, SMTP itd., lub jakikolwiek inny komputer, który ma być
osiągalny z sieci publicznej, możemy się spodziewać, że będzie on narażony na różne formy ataku z
Internetu. Pracując w sieci LAN mógłby zatem stanowić potencjalną furtkę do innych jej zasobów. Aby
temu zapobiec, serwer można umieścić w osobnym segmencie VLAN. W efekcie nawet przejęcie nad
nim całkowitej zdalnej kontroli wyklucza użycie serwera jako narzędzia ataku wobec innych
komputerów. Ewentualne szkody będą zatem minimalne.
Rate Control (limitowanie przepływności portów w switchu)
W routerze Vigor maksymalne pasmo oferowane przez każdy port switcha sięga 100 Mbit/s. Nawet
jeżeli do portu podłączono wiele komputerów (dodatkowy switch), prędkość 100 Mbit/s gwarantuje
każdemu z nich swobodny dostęp do łącza internetowego, które jest znacznie wolniejsze (do kilku
Mbit/s). Sprawia to, że wszystkie komputery rywalizują o wspólne pasmo na odcinku dostępowym.
Normalnie router kolejkuje dane i stara się je obsłużyć według kolejności napływu, czyli według zasady
„kto pierwszy ten lepszy”. Nie jest to uciążliwe w sytuacji, kiedy użytkownicy korzystają z przeglądania
stron www, lub innych usług charakteryzujących się momentami natężenia ruchu (pobranie)
oddzielonymi okresami bezczynności (czytanie). Sytuacja ulega zmianie, kiedy jakiś komputer uzyskuje
dostęp do szybkiego serwera w Internecie, zajmując istotną część wspólnego pasma wyłącznie dla
siebie. W efekcie inni użytkownicy łącza doświadczają znacznego spowolnienia transmisji. Jeżeli
obciążenie jest chwilowe i występuje sporadycznie (transfer plików), może być tolerowane. Natomiast
uruchomienie strumienia danych (aplikacje P2P typu Kazaa, Imesh) lub usług online (radio przez
Internet) może prowadzić do zakłócenia statystycznej równowagi, czy wręcz zawłaszczenia pasma przez
jednego użytkownika. Jest to trudne do zaakceptowania, zwłaszcza, jeżeli wszyscy użytkownicy mają
swój udział w kosztach dostępu.
Funkcja sterowania przepływem ma pomóc w bardziej sprawiedliwym gospodarowaniu pasmem.
Założenia implementacji są proste: na każdym porcie switcha można wyznaczyć limit prędkości
przepływu danych. Robi się to osobno dla obu kierunków transmisji. Każdy port, dla którego
uaktywniono kontrolę przepływu, będzie przekazywał otrzymywane dane z wyznaczoną prędkością bez
względu na rodzaj danych czy źródło ich pochodzenia (adresy MAC/IP). Jest to więc ogólne tłumienie
prędkości przekazywania jednostek danych w warstwie drugiej OSI, bez względu na rodzaj usług.
4
2004 BRINET Sp. z o. o.
Switch w routerach DrayTek - możliwości
Przykładowe zastosowanie Rate Control
Funkcja Rate Control znajdzie zastosowanie zwłaszcza w sytuacji współdzielenia szerokopasmowego
dostępu do Internetu przez wielu użytkowników/komputerów. Aby to zilustrować zakładamy, że 4 osoby
decydują się wspólnie ponosić opłaty za łącze ADSL 512/128 kbit/s przy następującym rozłożeniu
pasma i opłat:
Użytkownik
Użytkownik
Użytkownik
Użytkownik
1=256/64 kbit/s (50 % opłat)
2=128/32 kbit/s (25 % opłat)
3=64/32kbit/s (12,5 % opłat)
4=64/32kbit/s (12,5 % opłat).
Rysunek prezentuje przykładowe podłączenie komputerów użytkowników do routera (od lewej
użytkownik 1 – kolor zielony, użytkownik 2 – kolor żółty itd.):
dodatkowy switch
256↓ 64↑
rywalizacja statystyczna (first in-first out)
128↓ 32↑
64↓ 32↑
64↓ 32↑
PC2
PC4
PC5
PC6
PC1
PC3
W sytuacji na rysunku komputery korzystające z portu P1 (użytkownik 1) mają zagwarantowane pasmo
256/64 kbit/s, o które jednak muszą między sobą konkurować w ramach dodatkowego switcha, do
którego są podłączone.
5
2004 BRINET Sp. z o. o.
Switch w routerach DrayTek - możliwości
Z drugiej strony, ponieważ limit wyznaczony na porcie ogranicza komunikację lokalną, zastosowanie
dodatkowego switcha pozwoli zainteresowanym użytkownikom zachować komunikację wzajemną na
poziomie 100 Mbit/s (gry komputerowe, transfer plików itp). Sprzyja to stworzeniu oddzielnego VLAN w
ramach grupy użytkowników, godzących się na wewnętrzną rywalizację o pasmo dostępu do Internetu
(patrz opis funkcji VLAN).
UWAGA! W nowych seriach routerów (2700G, 2800G) funkcja VLAN oraz ograniczanie
pasma obejmuje także interfejs radiowy WLAN. Stacje mogą być odizolowane od segmentu
switcha, wzajemnie izolowane w niezależne grupy oraz limitowane pod względem pasma
dla obu kierunków transmisji.
6
2004 BRINET Sp. z o. o.