Все большее количество деловых приложений, включая телефонию и удаленное обслуживание, используют преимущества сетей IP. Посредством виртуализации маршрутизатора (другое название: расширенная маршрутизация и продвижение — Advanced Routing and Forwarding, ARF) многие производители предоставляют удобную возможность направлять все приложения IP через центральный маршрутизатор и при этом надежно изолировать различные коммуникационные каналы.
Широкое распространение простых для администрирования сетей IP привело к тому, что приложения, имевшие раньше соб-ственную сеть (к примеру, телефония) теперь стали использовать сети IP в качестве технической платформы (технология передачи голоса по IP — Voice over IP, VoIP). К тому же в сетях IP появляются новые приложения: обмен данными между управляющими информационными системами (Management Information System, MIS), управление отопительными или климатическими системами (управление основными фондами — Facility Management, FM) или обновление роликов в рекламных терминалах. Подобные структуры,
в которых все приложения реализованы с помощью одной сети, получили название «сети All IP».
Однако до сих пор все возможности полномасштабных сетей IP не были задействованы полностью, поскольку это означало бы предоставление доступа к локальной сети (Intranet) внешним пользователям, что во многих случаях нежелательно по соображениям безопасности. А вот ARF предлагает все необходимое для надежной реализации сетей All IP через единственный центральный маршрутизатор. Главное в ARF — создание отдельного контекста IP для различных приложений.
Каждый контекст IP настраивается как самостоятельная сеть (к примеру, с сервером DHCP или DNS), и его можно изолировать от других сетей. В результате администратор может допустить в корпоративную сеть IP внешних участников и учесть различные их требования, не предоставляя доступа к собственной сети Intranet. В результате отдельные коммуникационные сети не понадобятся, а обслуживание и настройка будут осуществляться централизованно.
Кроме того, эту технологию можно использовать для предоставления гостевого доступа клиентов и посетителей в беспроводную локальную сеть (Wireless Local Area Network, WLAN), для разделения деловых и частных сетей IP в домашних офисах или совместного использования доступа в Internet в помещениях, где находятся офисы различных компаний.
КАК ФУНКЦИОНИРУЕТ ARF?
Технология ARF отличается следующими особенностями:
-
маршрутизатор позволяет настроить несколько сетей IP;
-
отдельные сети IP изолированы друг от друга;
-
маршрутизация разных сетей IP осуществляется раздельно.
Возможность настройки нескольких сетей IP в одном маршрутизаторе зависит от технической оснащенности устройства. В зависимости от модели различные маршрутизаторы могут поддерживать до 64 сетей IP. При этом для каждой сети настраивается свой набор IP-адресов, IP-адрес маршрутизатора и такие важные функции, как серверы DHCP или DNS.
Важная предпосылка для безопасной эксплуатации нескольких сетей IP на одном устройстве — изоляция трафика отдельных сетей друг от друга. Сети связаны с маршрутизатором по-средством физических интерфейсов. Для локального соединения участников сети разные модели маршрутизаторов оснащены одним или несколькими портами Ethernet, а иногда и модулями WLAN. Однако эти физические интерфейсы, как правило, не используются напрямую для маршрутизации: чтобы добиться максимальной гибкости, физические интерфейсы соотносятся с интерфейсами логическими.
В проводной локальной сети (LAN) это распределение осуществляется путем отображения портов Ethernet (Ethernet Port Mapping): для каждого порта Ethernet администратор может настроить желаемое функционирование в качестве логического порта локальной сети; некоторые модели допускают альтернативное использование в качестве подключения глобальной сети (WAN). В результате построения трактов «точка-точка» (Point-to-Point, P2P) или применения множественных SSID на каждом беспроводном интерфейсе (модули WLAN) возникает несколько интерфейсов WLAN. К примеру, до восьми сетей WLAN (множественные SSID) и до шести трактов P2P на один модуль, которые маршрутизатор воспринимает как логические интерфейсы WLAN и P2P, соответственно.
Так, у маршрутизаторов от Lancom Systems каждая сеть IP может использовать один из логических интерфейсов LAN, WAN или P2P, а через них — соответствующий физический интерфейс. Таким образом, сеть находится в отдельном широковещательном домене (Broadcast Domain), и через этот логический интерфейс она взаимодействует только с модулем маршрутизатора — прямая передача данных в другие сети невозможна. Широковещательный домен представляет собой область в локальной сети, в пределах которой широковещательное сообщение рассылается всем участникам. Кроме того, сообщения передаются через коммутаторы и мосты. Широковещательный домен ограничивается лишь маршрутизатором или разделением локальной сети на виртуальные (VLAN).
Таким образом, передача данных между отдельными сетями IP возлагается на модуль маршрутизатора, куда стекаются потоки данных из всех сетей IP. Как правило, маршрутизация между различными локальными сетями IP разрешена.
Ping или соединение по IP-адресу правильно распознается маршрутизатором и пропускается. А вот доступ к сетевым устройствам посредством сетевого окружения Windows невозможен, поскольку требуемые для этого широковещательные сообщения NetBIOS не покидают предела широковещательного домена IP. Правда, доступ через сетевое окружение Windows можно организовать с помощью общего сервера WINS или общей структуры Active Directory.
РЕГУЛИРОВАНИЕ МАРШРУТИЗАЦИИ С ПОМОЩЬЮ ТЕГОВ ИНТЕРФЕЙСА
Помимо полного отключения маршрутизации между сетями IP, с помощью встроенного брандмауэра можно регулировать доступ из сетей IP к определенным областям. Правда, при большом количестве сетей придется задавать множество правил для бранд-мауэра. Чтобы упростить маршрутизацию между логическими интерфейсами, маршрутизатор может использовать так называемый тег интерфейса для внутренней маркировки сетей IP (см. Рисунок 1). Такой ярлык позволяет легко регулировать взаимодействие сетей IP при помощи маршрутизатора:
-
сетевые устройства сети IP имеют доступ лишь к сетям с таким же ярлыком интерфейса;
-
тег интерфейса «0» обозначает «главную» сеть — устройства этой сети имеют доступ к ресурсам всех других сетей.
Тег интерфейса регулирует взаимную видимость сетей IP типа Intranet. Помимо этого, сеть можно сконфигурировать в качестве демилитаризованной зоны (Demilitarized Zones, DMZ). Это позволяет создавать сети IP, доступ к ресурсам которых будет открыт для участников из всех остальных сетей IP, независимо от используемых тегов интерфейсов.
ВИРТУАЛЬНЫЕ ИНТЕРФЕЙСЫ
В некоторых случаях необходимо расширить однозначное соответствие между сетями IP и логическими интерфейсами. Тогда применяется отображение логических интерфейсов на виртуальные. В зависимости от доступности логических интерфейсов возможны два варианта.
Один виртуальный интерфейс объединяет несколько логических интерфейсов: в одной сети IP требуется объединить не только компьютеры из проводной локальной сети, но и станций WLAN. Для решения этой задачи следует включить нужные логические интерфейсы (к примеру, LAN и WLAN для Intranet) в одну так называемую «мостовую группу» (Bridge Group, BRG) (см. Рисунок 2).
Эта мостовая группа образует собственный широковещательный домен. Она определяет, какие логические интерфейсы к ней относятся, и воспринимается маршрутизатором как отдельный виртуальный интерфейс. Между связанными логическими интерфейсами мостовой группы возможна простая передача данных в режиме моста (Bridge Mode), а все остальные логические интерфейсы будут взаимодействовать с этой группой через маршрутизатор.
Несколько виртуальных интерфейсов используют один логический интерфейс: обратный случай имеет место быть, если устройство не предоставляет достаточное количество логических интерфейсов для однозначного распределения всех сетей IP. В этом случае можно определить несколько VLAN, которые будут использовать один и тот же логический интерфейс (см. Рисунок 3). Каждой сети IP помимо логического интерфейса присваивается также идентификационный номер VLAN ID.
VLAN воспринимается маршрутизатором как отдельный виртуальный интерфейс, где трафик изолирован. Каждая VLAN является обособленным широковещательным доменом. Так, например, на одном логическом интерфейсе локальной сеть можно организовать две сети для отделов «развитие» и «сбыт» с разными VLAN ID. Маршрутизатор позаботится о правильном внутреннем отождествлении и использовании тегов VLAN. Разделение пакетов данных в локальной сети осуществляется на основе тегов VLAN, либо в сетевых картах рабочих станций, либо во включенном перед маршрутизатором коммутаторе VLAN.
Благодаря такому гибкому распределению, сети IP располагают не только логическими интерфейсами, но и многочисленными VLAN и мостовыми группами в качестве виртуальных интерфейсов, поэтому для любого приложения можно изолировать потоки данных отдельных сетей.
ВИРТУАЛЬНЫЕ МАРШРУТИЗАТОРЫ
Определение сетей IP и разделение потоков данных (в результате назначения интерфейсов, мостовых групп или VLAN ID) позволяют обеспечить функционирование нескольких локальных сетей на центральном маршрутизаторе. За связь с другими сетями отвечает маршрутизатор IP. Маршруты, указанные в таблице маршрутизации, действительны для всех локальных сетей, подключенных к устройству, в отличие от настроек DHCP, которые задаются для каждой сети IP.
Реализовать отдельный (виртуальный) маршрутизатор для каждой сети можно и с помощью тега интерфейса. Эти теги помогают сетям IP «видеть» друг друга, а кроме того, они позволяют управлять использованием таблицы маршрутизации: для каждой сети IP сначала просматриваются те записи о маршрутизации, чей тег маршрутизации совпадает с тегом интерфейса сети IP. Особое положение занимает ярлык маршрутизации «0»: маршруты с таким тегом действительны для всех сетей, независимо от тега интерфейса. В результате такой специфической выборки маршрутов из таблицы для каждой сети IP создается собственный виртуальный маршрутизатор.
Преимущество виртуальных маршрутизаторов становится понятно на следующем примере: брандмауэр обычно присваивает пакету данных от кон-кретного отправителя определенный тег маршрутизации, который маршрутизатор IP использует для определения подходящего маршрута. Если же маршрутизатору приходится управлять несколькими сетями IP с одинаковым набором адресов, однозначное присвоение тега на основе адреса отправителя невозможно. Однако идентификация вызываемой станции благодаря тегам интерфейса и в этом случае возможна. Виртуальная маршрутизация осуществляется исключительно в результате обработки тега интерфейса; настройки дополнительных правил брандмауэра не требуется. Для каждой локальной сети, к примеру, можно организовать отдельный доступ к провайдеру по-средством тегированного маршрута, заданного по умолчанию в таблице маршрутизации.
Брандмауэр требуется лишь в том случае, если в локальных сетях с одинаковыми IP-адресами находятся серверы, которые должны быть доступны из Internet. В этом случае соединение строится извне внутрь. Пакеты данных, поступающие на модуль маршрутизатора из сети Internet, не поддаются идентификации по тегам интерфейса, поскольку не располагают такой внутренней маркировкой. Но определить внешний источник пакетов можно: к примеру, выяснить, что данные поступили с сервера внешнего делового партнера. С помощью подходящего правила брандмауэра разрешаются соединения с сетью, исходящие из этой точки, через соответствующий порт (к примеру, 80 для сетевого сервера), а запись о переадресации порта указывает на предопределенный сервер Web.
ГИБКИЙ СЕТЕВОЙ ПЕРЕХОД
Технология ARF позволяет реализовать на центральном маршрутизаторе полностью разделенные сети IP. Однако некоторые инфраструктурные ресурсы должны быть доступны нескольким сетям или всем сразу, к примеру, сетевой принтер — не только для пользователей сети Intranet, но и для посетителей «общедоступной» сети. Для этого сначала создается собственная сеть IP под названием SHARE для общих ресурсов, привязанная к интерфейсам, через которые подключаются устройства. Кроме того, как и Intranet, сеть снабжается однозначным тегом (к примеру, 99). Пока эта сеть еще изолирована от всех остальных.
Подходящее правило для брандмауэра позволяет обеспечить целевой доступ со всех других станций из других сетей в общую сеть SHARE. В качестве тега маршрутизации это правило получает тег интерфейса сети SHARE. Иначе говоря, все пакеты данных, на которые распространяется правило для брандмауэра, снабжаются тегом 99 и таким образом соотносятся с сетью SHARE. При необходимости в правиле для брандмауэра администратора дополнительно указываются службы, разрешенные в сети SHARE.
Экхарт Трабер — менеджер Lancom Systems.
© AWi Verlag