ARUBA INSTANT WI-FI: ПРОСТІ, ПОТУЖНІ, ДОСТУПНІ
Однак до сих пір всі можливості повномасштабних мереж IP не були задіяні повністю, оскільки це означало б надання доступу до локальної мережі (Intranet) зовнішнім користувачам, що в багатьох випадках небажано з міркувань безпеки. А ось ARF пропонує все необхідне для надійної реалізації мереж All IP через єдиний центральний маршрутизатор. Головне в ARF - створення окремого контексту IP для різних додатків.
Кожен контекст IP налаштовується як самостійна мережу (наприклад, з сервером DHCP або DNS), і його можна ізолювати від інших мереж. В результаті адміністратор може допустити в корпоративну мережу IP зовнішніх учасників і врахувати різні їхні вимоги, котрі дають доступу до власної мережі Intranet. В результаті окремі комунікаційні мережі не знадобляться, а обслуговування та налаштування будуть здійснюватися централізовано.
Крім того, цю технологію можна використовувати для надання гостьового доступу клієнтів і відвідувачів в бездротову локальну мережу (Wireless Local Area Network, WLAN), для поділу ділових і приватних мереж IP в домашніх офісах або спільного використання доступу в Internet в приміщеннях, де знаходяться офіси різних компаній.
ЯК ФУНКЦІОНУЄ ARF?
Технологія ARF відрізняється наступними особливостями:
маршрутизатор дозволяє налаштувати декілька мереж IP;
окремі мережі IP ізольовані один від одного;
маршрутизація різних мереж IP здійснюється окремо.
Важлива передумова для безпечної експлуатації декількох мереж IP на одному пристрої - ізоляція трафіку окремих мереж друг від друга. Мережі пов'язані з маршрутизатором по-засобом фізичних інтерфейсів. Для локального з'єднання учасників мережі різні моделі маршрутизаторів оснащені одним або декількома портами Ethernet, а іноді і модулями WLAN. Однак ці фізичні інтерфейси, як правило, не використовуються безпосередньо для маршрутизації: щоб домогтися максимальної гнучкості, фізичні інтерфейси співвідносяться з інтерфейсами логічними.
У дротової локальної мережі (LAN) цей розподіл здійснюється шляхом відображення портів Ethernet (Ethernet Port Mapping): для кожного порту Ethernet адміністратор може налаштувати бажане функціонування в якості логічного порту локальної мережі; деякі моделі допускають альтернативне використання в якості підключення глобальної мережі (WAN). В результаті побудови трактів «точка-точка» (Point-to-Point, P2P) або застосування множинних SSID на кожному бездротовому інтерфейсі (модулі WLAN) виникає кілька інтерфейсів WLAN. Наприклад, до восьми мереж WLAN (множинні SSID) і до шести трактів P2P на один модуль, які маршрутизатор сприймає як логічні інтерфейси WLAN і P2P, відповідно.
Так, у маршрутизаторів від Lancom Systems кожна мережа IP може використовувати один з логічних інтерфейсів LAN, WAN або P2P, а через них - відповідний фізичний інтерфейс. Таким чином, мережа знаходиться в окремому широкомовному домені (Broadcast Domain), і через цей логічний інтерфейс вона взаємодіє тільки з модулем маршрутизатора - пряма передача даних в інші мережі неможлива. Широкомовний домен являє собою область в локальній мережі, в межах якої широковещательное повідомлення розсилається всім учасникам. Крім того, повідомлення передаються через комутатори і мости. Широкомовний домен обмежується лише маршрутизатором або поділом локальної мережі на віртуальні (VLAN).
Таким чином, передача даних між різними мережами IP покладається на модуль маршрутизатора, куди стікаються потоки даних з усіх цих служб IP. Як правило, маршрутизація між різними локальними мережами IP дозволена.
РЕГУЛЮВАННЯ МАРШРУТИЗАЦІЇ ЗА ДОПОМОГОЮ ТЕГІВ ІНТЕРФЕЙСУ
Крім повного відключення маршрутизації між мережами IP, за допомогою вбудованого брандмауера можна регулювати доступ з мереж IP до певних областях. Правда, при великій кількості мереж доведеться ставити безліч правил для бранд-Мауера. Щоб спростити маршрутизацію між логічними інтерфейсами, маршрутизатор може використовувати так званий тег інтерфейсу для внутрішньої маркування мереж IP (див. Малюнок 1). Такий ярлик дозволяє легко регулювати взаємодію мереж IP за допомогою маршрутизатора:
мережеві пристрої мережі IP мають доступ лише до мереж з таким же ярликом інтерфейсу;
тег інтерфейсу «0» означає «головну» мережу - пристрої цієї мережі мають доступ до ресурсів всіх інших мереж.
Тег інтерфейсу регулює взаємну видимість мереж IP типу Intranet. Крім цього, мережу можна конфігурувати як демілітаризованої зони (Demilitarized Zones, DMZ). Це дозволяє створювати мережі IP, доступ до ресурсів яких буде відкритий для учасників з усіх інших мереж IP, незалежно від використовуваних тегів інтерфейсів.
У деяких випадках необхідно розширити однозначна відповідність між мережами IP і логічними інтерфейсами. Тоді застосовується відображення логічних інтерфейсів на віртуальні. Залежно від доступності логічних інтерфейсів можливі два варіанти.
Один віртуальний інтерфейс об'єднує кілька логічних інтерфейсів: в одній мережі IP потрібно об'єднати не тільки комп'ютери з дротової локальної мережі, але і станцій WLAN. Для вирішення цього завдання слід включити потрібні логічні інтерфейси (наприклад, LAN і WLAN для Intranet) в одну так звану «бруківку групу» (Bridge Group, BRG) (див. Малюнок 2).
Ця бруківка група утворює власний широкомовний домен. Вона визначає, які логічні інтерфейси до неї відносяться, і сприймається маршрутизатором як окремий віртуальний інтерфейс. Між пов'язаними логічними інтерфейсами бруківці групи можлива проста передача даних в режимі моста (Bridge Mode), а всі інші логічні інтерфейси будуть взаємодіяти з цією групою через маршрутизатор.
Кілька віртуальних інтерфейсів використовують один логічний інтерфейс: зворотний випадок має місце бути, якщо пристрій не надає достатню кількість логічних інтерфейсів для однозначного розподілу всіх мереж IP. В цьому випадку можна визначити кілька VLAN, які будуть використовувати один і той же логічний інтерфейс (див. Малюнок 3). Кожній мережі IP крім логічного інтерфейсу присвоюється також ідентифікаційний номер VLAN ID.
VLAN сприймається маршрутизатором як окремий віртуальний інтерфейс, де трафік ізольований. Кожна VLAN є відокремленим широкомовною доменом. Так, наприклад, на одному логічному інтерфейсі локальної мережі можна організувати дві мережі для відділів «розвиток» і «збут» з різними VLAN ID. Маршрутизатор подбає про правильне внутрішньому ототожненні і використанні тегів VLAN. Поділ пакетів даних в локальній мережі здійснюється на основі тегів VLAN, або в мережевих картах робочих станцій, або у включеному перед маршрутизатором комутаторі VLAN.
Завдяки такому гнучкому розподілу, мережі IP розташовують не тільки логічними інтерфейсами, але і численними VLAN і мостовими групами в якості віртуальних інтерфейсів, тому для будь-якої програми можна ізолювати потоки даних окремих мереж.
Визначення мереж IP і поділ потоків даних (в результаті призначення інтерфейсів, мостових груп або VLAN ID) дозволяють забезпечити функціонування декількох локальних мереж на центральному маршрутизаторі. За зв'язок з іншими мережами відповідає маршрутизатор IP. Маршрути, зазначені в таблиці маршрутизації, дійсні для всіх локальних мереж, підключених до пристрою, на відміну від налаштувань DHCP, які задаються для кожної мережі IP.
Реалізувати окремий (віртуальний) маршрутизатор для кожної мережі можна і за допомогою тега інтерфейсу. Ці теги допомагають мереж IP «бачити» один одного, а крім того, вони дозволяють управляти використанням таблиці маршрутизації: для кожної мережі IP спочатку проглядаються ті записи про маршрутизації, чий тег маршрутизації збігається з тегом інтерфейсу мережі IP. Особливе положення займає ярлик маршрутизації «0»: маршрути з таким тегом дійсні для всіх мереж, незалежно від тега інтерфейсу. В результаті такої специфічної вибірки маршрутів з таблиці для кожної мережі IP створюється власний віртуальний маршрутизатор.
ГНУЧКИЙ СЕТЕВОЙ ПЕРЕХІД
Технологія ARF дозволяє реалізувати на центральному маршрутизаторе повністю розділені мережі IP. Однак деякі інфраструктурні ресурси повинні бути доступні декількох мереж або всім відразу, наприклад, мережевий принтер - не тільки для користувачів мережі Intranet, але і для відвідувачів «загальнодоступної» мережі. Для цього спочатку створюється власна мережа IP під назвою SHARE для загальних ресурсів, прив'язана до інтерфейсів, через які підключаються пристрої. Крім того, як і Intranet, мережа забезпечується однозначним тегом (наприклад, 99). Поки ця мережа ще ізольована від решти.
Відповідне правило для брандмауера дозволяє забезпечити цільової доступ з усіх інших станцій з інших мереж в загальну мережу SHARE. Як тега маршрутизації це правило отримує тег інтерфейсу мережі SHARE. Інакше кажучи, всі пакети даних, на які поширюється правило для брандмауера, забезпечуються тегом 99 і таким чином співвідносяться з мережею SHARE. При необхідності в правилі для брандмауера адміністратора додатково вказуються служби, дозволені в мережі SHARE.
Екхарт Трабер - менеджер Lancom Systems.
Поділіться матеріалом з колегами і друзями