Routery

Sieć LAN - funkcje

przeczytasz w 4 min.

Rozbudowane możliwości routera w kwestii sieci WAN to nie wszystkie zalety Vigora 2850Vn. W większych sieciach biurowych dość często stosuje się podziały sieci fizycznej na podsieci logiczne (np. na poszczególne działy w firmie czy w zależności od rangi stanowiska). Proces ten określa się mianem VLAN-ów lub wirtualnych sieci lokalnych. Odbywa się to na bazie zarządzalnych przełączników sieciowych zgodnych ze standardem IEEE 802.11Q umożliwiających tagowanie ramek (odseparowanie poszczególnych portów przełącznika sieciowego). Producenci Vigora 2850Vn w tej kwestii stanęli na wysokości zadania. Dzięki wbudowanemu 4-portowemu przełącznikowi LAN możemy utworzyć do 4 podsieci VLAN z tagowaniem lub VLAN-ów opartych o porty. Dodatkowo dla każdej z podsieci możemy zdefiniować oddzielną sieć bezprzewodową z wydzielonymi zabezpieczeniami. Sieci WiFi nie posiadają tagowania, są jedynie częścią podsieci VLAN. Zaletą DrayTeka jest funkcja obsługi serwera DHCP, DNS i adresacji IP dla każdego z VLAN-ów oraz możliwość deakatywacji tagowania w przypadku podsieci, w której nie ma przełącznika sieciowego obsługującego tagowanie ramek.

By możliwa była komunikacja VLAN-ów opartych na portach warto skonfigurować wewnętrzny routing. Wykonujemy to w sekcji LAN - General Setup - Inter-LAN Routing.

Jeśli router stanowi jedynie system kierowania ruchem w sieci LAN zaś infrastruktura VLAN-ów przeniesiona została na zarządzalne przełączniki sieciowe to w takim przypadku również nic nie stoi na przeszkodzie by skonfigurować VLAN-y. Dla przykładu - opieramy je o tagowanie na routerze na jednym z portów (np. LAN1) i przełączniku sieciowym podłączonym poprzez trunk port. Oczywiście na switchu również należy skonfigurować odpowiednio tagowanie i oznaczenie portów tagowanych i portu trunkowego. Pozostanie skonfigurowanie wewnętrznego routingu i nadanie odpowiedniej adresacji dla VLAN-ów - co również możemy zrobić na routerze.

Draytek Vigor 2850Vn pozwala także na tworzenie Mulit-VLAN-ów. Jest to funkcja umożliwiająca skonfigurowanie wirtualnych interfejsów VLAN na łączu WAN i tagowanie pakietów wychodzących. Aktywując opcję Bridge możemy z kolei otagowane pakiety przychodzące kierować do sieci LAN do odpowiednich portów routera.

Jedną z ciekawszych funkcji dostępnych w Vigorze jest Bind IP to MAC. Router przyporządkowuje odpowiedni adres IP na podstawie adresów MAC kart sieciowych podłączonych klientów - tworząc parę IP-MAC. Bind to IP (znane również jako ARP Binding) doskonale sprawdzi się jako mechanizm wspierający reguły zarządzania pasmem czy reguły QoS oparte o adresy IP sieci LAN (w Drayteku łatwo to skonfigurować przenosząc pary IP-MAC z tablicy ARP). Jednak samo połączenie adresów IP i MAC nie jest w takim przypadku idealnym zabezpieczeniem. Jeśli do sieci podłączy się host z innym adresem MAC to wszystkie reguły oparte o adresację IP nie będą miały wpływu na ten host. Dlatego dużo pewniej jest ustawić Bind to IP w tryb Strict Bind. Taka konfiguracja pozwoli jedynie parom IP-MAC będącym na liście Bind to IP na dostęp do internetu. Pozostałe hosty będące jedynie w tablicy ARP będą tego dostępu pozbawione. Mechanizm Bind to IP jest dużo lepszym rozwiązaniem niż tworzenie statycznych wpisów i rezerwacji IP na podstawie MAC. W takim przypadku łatwo jest obejść mechanizm np. zmieniając sobie ręcznie adres IP, który został przydzielony przez serwer DHCP.

Oprócz funkcji zabezpieczających pozwalających na dostęp do sieci LAN Vigor 2850Vn jako klient wspiera także serwer RADIUS i uwierzytelnianie nie tylko klientów bezprzewodowych ale również przewodowych. Konfigurację serwera RADIUS przeprowadzamy w zakładce Applications - Radius. Natomiast uruchomienie autentykacji i obsługi IEEE 802.1x dla klientów przewodowych wykonujemy w zakładce LAN - Wired 802.1x.

Ważnym elementem szczególnie w przypadku zaawansowanych routerów oprócz możliwości tworzenia VLAN-ów są funkcje umożliwiające dostęp do wewnętrznych zasobów sieciowych. W tym celu stosuje się najczęściej przekierowania portów. W Vigorze do dyspozycji mamy kilka opcji związanych z dostępem do sieci LAN Z internet. Pierwsza z nich to Port Redirection gdzie pakiety z sieci internet są przekierowywane poprzez otwarty port lub porty na określony host i jego port w sieci LAN. W przypadku funkcji Open Ports, która jest podobna do Port Redirection możemy zdefiniować zakresy portów zewnętrznych oraz przekierowanie nie tylko na jeden port ale również na zakres portów zewnętrznych. Opcja jest przydatna szczególnie w przypadku aplikacji i systemów wymagających wielu portów komunikacyjnych zarówno po stronie Internetu jak i sieci LAN (np. aplikacje P2P). Przekierowanie odbywa się jeden do jednego - czyli ten sam zakres portów jest przekierowywany na ten sam zakres portów wewnętrznych. Dodatkowo deifniujemy przez który interfejs WAN będą przekierowywane pakiety.

Router obsługuje także Port Triggering. Jest to również proces przekierowana portów jednak jest on uruchamiany chwilowo. W momencie kiedy, któraś z aplikacji w sieci LAN zażąda dostępu do portu lub zakresu portów.

Jeśli w sieci posiadamy łącze lub łącza z kilkoma publicznymi adresami IP to z pewnością powinna nas zainteresować opcja Address Mapping znajdująca się w zakładce NAT. Mapowanie adresów pozwala na kierowanie ruchu sieciowego z określonych hostów sieci LAN przez określony publiczny adres IP i łącze WAN. Dodatkowo należy pamiętać w przypadku posiadania kilku adresów IP łącza WAN by dokonfigurować aliasy publicznych adresów IP w sekcji Multi-NAT.

Poniższy schemat obrazuje mechanizm mapowania adresów.

Vigor 2850VN wspiera także mechanizm DMZ czyli wydzielenie komputera w sieci LAN, który będzie publicznie dostępny w sieci Internet.