ARUBA INSTANT WI-FI: SIMPLĂ, PUTERNICĂ, DISPONIBILĂ
Cu toate acestea, până în prezent toate caracteristicile rețelelor IP scară completă nu au fost implicați în totalitate, deoarece ar însemna acordarea accesului la rețeaua locală (Intranet) pentru utilizatorii externi, care, în multe cazuri, nu este de dorit din motive de siguranță. Dar ARF oferă tot ce este necesar pentru implementarea fiabilă a rețelelor All IP prin intermediul unui singur router central. Principalul lucru în ARF este crearea unui context IP separat pentru diferite aplicații.
Fiecare context IP este configurat ca o rețea autonomă (de exemplu, cu un server DHCP sau DNS) și poate fi izolat de alte rețele. În consecință, administratorul poate permite participanților externi să se alăture rețelei corporative și să țină cont de cerințele lor diferite, fără a le permite accesul la rețeaua lor intranet. Ca urmare, rețelele de comunicații separate nu vor fi necesare, iar întreținerea și reglarea vor fi efectuate la nivel central.
În plus, această tehnologie poate fi folosită pentru a clienților acces furnizarea de clienți și vizitatori la WLAN (Wireless Local Area Network, WLAN), pentru separarea rețelelor IP private de afaceri și la birou acasă sau schimbul de acces la internet în camerele în care birourile de diferite sunt companii.
CUM FUNCTIONEAZA ARF?
Tehnologia ARF are următoarele caracteristici:
Router-ul vă permite să configurați mai multe rețele IP;
rețelele IP separate sunt izolate una de cealaltă;
rutarea diferitelor rețele IP se efectuează separat.
O condiție prealabilă importantă pentru funcționarea în siguranță a mai multor rețele IP pe un singur dispozitiv este izolarea traficului de rețele individuale una de cealaltă. Rețelele sunt conectate la router prin intermediul interfețelor fizice. Pentru conectarea locală a participanților la rețea, diferite modele de router sunt echipate cu unul sau mai multe porturi Ethernet și uneori cu module WLAN. Cu toate acestea, aceste interfețe fizice, ca regulă, nu sunt utilizate direct pentru rutare: pentru a obține o flexibilitate maximă, interfețele fizice corespund interfețelor cu cele logice.
Într-o rețea locală prin cablu (LAN), această distribuție se realizează prin afișarea porturilor Ethernet (maparea porturilor Ethernet): pentru fiecare port Ethernet, administratorul poate seta funcția dorită ca port logic al rețelei locale; Unele modele permit utilizarea alternativă ca o conexiune la rețeaua Wide Area (WAN). Ca urmare a construirii punct-la-punct (P2P) sau a aplicării mai multor SSID-uri pe fiecare interfață fără fir (module WLAN), apar mai multe interfețe WLAN. De exemplu, până la opt rețele WLAN (multiple SSID) și până la șase căi P2P pe modul, pe care routerul le percepe ca interfețe logice pentru WLAN și P2P.
Deci, la routerele Lancom Systems, fiecare rețea IP poate utiliza una dintre interfețele logice LAN, WAN sau P2P și prin ele - interfața fizică corespunzătoare. Astfel, rețeaua se află într-un domeniu de difuzare separat (Domeniul de difuzare) și prin această interfață logică interacționează numai cu modulul router - transmisia directă de date către alte rețele este imposibilă. Un domeniu difuzat este o zonă din rețeaua locală în care un mesaj difuzat este trimis tuturor participanților. În plus, mesajele sunt transmise prin comutatoare și punți. Un domeniu de difuzare este limitat doar de un router sau prin împărțirea rețelei locale la virtual (VLAN).
Astfel, transferul de date între rețelele individuale de IP este încredințat modulului de router, unde fluxul de date din toate rețelele IP curge. Ca regulă, este permisă rutarea între diferite rețele locale IP.
REGLEMENTAREA RUTĂRII CU TAGURI DE INTERFAȚĂ
Pe lângă dezactivarea ruterului între rețelele IP, firewall-ul încorporat vă permite să controlați accesul din rețelele IP la anumite zone. Adevărat, cu un număr mare de rețele, va trebui să setați o mulțime de reguli pentru foc-mauer. Pentru a simplifica rutarea între interfețele logice, router-ul poate folosi așa-numita etichetă de interfață pentru marcarea internă a rețelelor IP (vezi Figura 1). Această comandă rapidă facilitează controlul interacțiunii rețelelor IP cu un router:
dispozitivele de rețea din rețeaua IP au acces numai la rețele cu aceeași comandă rapidă pentru interfață;
eticheta interfeței "0" reprezintă rețeaua "principală" - dispozitivele acestei rețele au acces la resursele tuturor celorlalte rețele.
Eticheta de interfață reglează vizibilitatea reciprocă a rețelelor IP intranet. În plus, rețeaua poate fi configurată ca zonă demilitarizată (DMZ). Aceasta vă permite să creați rețele IP a căror acces la resurse va fi deschis participanților din toate celelalte rețele IP, indiferent de etichetele de interfață utilizate.
În unele cazuri, este necesară extinderea corespondenței lipsite de ambiguitate între rețelele IP și interfețele logice. Apoi se aplică maparea interfețelor logice cu interfețele virtuale. În funcție de disponibilitatea interfețelor logice, există două opțiuni.
O interfață virtuală combină mai multe interfețe logice: în aceeași rețea IP, trebuie să combinați nu numai computerele din rețeaua LAN, ci și stațiile WLAN. Pentru a rezolva această problemă, trebuie să includeți interfețele logice necesare (de exemplu LAN și WLAN pentru Intranet) într-un așa-numit "grup de bridge" (Bridge Group, BRG) (a se vedea figura 2).
Acest grup de punți își formează propriul domeniu de difuzare. Acesta determină care interfețe logice îi aparțin și este percepută de router ca o interfață virtuală separată. Între interfețele logice interconectate ale grupului de punți, datele pot fi transmise cu ușurință în modul bridge (Bridge Mode), iar toate celelalte interfețe logice vor comunica cu acest grup prin router.
Mai multe interfețe virtuale utilizează o interfață logică: cazul reversibil are loc dacă dispozitivul nu furnizează interfețe logice suficiente pentru distribuirea neechivocă a tuturor rețelelor IP. În acest caz, puteți defini mai multe VLAN-uri care vor folosi aceeași interfață logică (a se vedea Figura 3). Fiecare rețea IP, pe lângă interfața logică, are de asemenea un ID VLAN.
VLAN-ul este perceput de router ca o interfață virtuală separată, unde traficul este izolat. Fiecare VLAN este un domeniu difuzat separat. De exemplu, pe o interfață logică a unei rețele locale, puteți organiza două rețele pentru departamentele "development" și "sales" cu diferite identificări VLAN. Router-ul va avea grijă de identificarea internă corectă și de utilizarea etichetelor VLAN. Separarea pachetelor de date din rețeaua locală se bazează pe etichete VLAN, fie pe carduri de stații de lucru de rețea, fie pe comutatorul VLAN comutat în fața routerului.
Datorită acestei distribuție flexibile, rețeaua IP nu este doar o interfețe logice, dar, de asemenea, numeroase VLAN și pod echipe ca interfețe virtuale, astfel încât să puteți izola datele de rețea specifice fluxuri pentru orice aplicație.
Definirea rețelelor IP și separarea fluxurilor de date (ca rezultat al atribuirii interfețelor, grupurilor de punți sau identificărilor VLAN) permit funcționarea mai multor rețele locale pe routerul central. Pentru comunicarea cu alte rețele, routerul IP răspunde. Rutele specificate în tabelul de rutare sunt valabile pentru toate rețelele locale conectate la dispozitiv, spre deosebire de setările DHCP configurate pentru fiecare rețea IP.
Puteți implementa un router separat (virtual) pentru fiecare rețea utilizând eticheta de interfață. Aceste etichete ajuta rețelele IP «vezi» reciproc, și, în plus, acestea vă permit să controleze utilizarea tabelului de rutare: pentru fiecare rețea IP, mai întâi revizuit înregistrările de rutare, tag-ul de rutare a cărei etichetă se potrivește cu interfața de rețea IP. Un loc special este ocupat de eticheta de rutare "0": rutele cu o astfel de etichetă sunt valabile pentru toate rețelele, indiferent de eticheta de interfață. Ca urmare a acestei selecții specifice de rute, un ruter virtual separat este creat pentru fiecare rețea IP din tabel.
REFLECȚIA FLEXIBILĂ A REȚELEI
Tehnologia ARF permite realizarea unor rețele IP separate complet pe routerul central. Cu toate acestea, unele resurse de infrastructură ar trebui să fie disponibile pentru mai multe rețele sau simultan, de exemplu, o imprimantă de rețea - nu numai pentru utilizatorii rețelei intranet, ci și pentru vizitatorii rețelei "publice". Pentru a face acest lucru, creați mai întâi propria rețea IP numită SHARE pentru resursele partajate, legate de interfețele prin care sunt conectate dispozitivele. În plus, ca și în Intranet, rețeaua este furnizată cu o etichetă fără ambiguități (de exemplu, 99). În timp ce această rețea este încă izolată de toate celelalte.
O regulă adecvată pentru paravanul de protecție vă permite să furnizați accesul vizat de la toate celelalte posturi de la alte rețele la rețeaua comună SHARE. Ca etichetă de rutare, această regulă primește eticheta de interfață a rețelei SHARE. Cu alte cuvinte, toate pachetele de date acoperite de regula pentru firewall sunt etichetate cu 99 și astfel corelate cu rețeaua SHARE. Dacă este necesar, regula pentru firewallul administratorului specifică și serviciile permise în rețeaua SHARE.
Eckhart Traber este managerul Lancom Systems.
Distribuiți materialul împreună cu colegii și prietenii
Articole similare
Trimiteți-le prietenilor: