W routerach Vigor interfejs LAN jest wyeksponowany w postaci czterech równorzędnych portów Ethernet.

Transkrypt

1 Ustawienia IP i DHCP dla sieci LAN. Fizycznie interfejs LAN jest dostępny w postaci przełącznika (4 porty 10/100 Base-T), a w modelach z indeksem G dodatkowo rozszerzony o koncentrator WLAN pracujący w standardach IEEE b i g. Opis wbudowanego 4-portowego switcha (przełacznika) W routerach Vigor interfejs LAN jest wyeksponowany w postaci czterech równorzędnych portów Ethernet. Porty te tworzą przełącznik (ang. switch), tzn. posiadają zdolność wzajemnej komunikacji z prędkością 100 Mbit/s w trybie full duplex (FDX), choć możliwa jest też praca w trybie 10 Mbit/s (tryb pracy jest negocjowany automatycznie). Do portów można podłączyć dowolne urządzenia Ethernet (komputery, routery, dodatkowe przełączniki), nadając lokalnej sieci dowolna topologie i rozmiar. Dodatkowe przełączniki będą służyć podłączeniu większej liczby komputerów i serwerów, zaś routery mogą stanowić bramy do innych lokalnych segmentów sieci. Prawidłowe podłączenie urządzenia do portu jest sygnalizowane diodami: kolor zielony oznacza połączenie 100 Mbit/s, żółty - 10 Mbit/s, natomiast pulsowanie oznacza zachodzącą transmisję. Wystarczy fizyczne podłączenie kabli do portów P1-P4, aby urządzenia mogły się wzajemnie komunikować z dużą prędkością (100 Mbit/s) bez angażowania funkcji właściwych dla samego routera. Następnie, po odpowiednim skonfigurowaniu routera Vigor, może on być dla tych urządzeń bezpieczną bramą do Internetu i ewentualnie do innych sieci (lokalnych poprzez inny router, lub odległych poprzez tunel VPN). Niezależnie od tego czy podłączamy router, switch czy komputer, można użyć kabla prostego (ang. straight-through). W razie potrzeby wewnętrzny przeplot (ang. cross-over) dokonuje się automatycznie na dowolnym z 4 portów dzięki funkcji autouplink. Jeżeli posiadamy nie więcej niż 4 komputery, możemy je połączyć bezpośrednio z routerem, tworząc sieć lokalną z dostępem do Internetu i wzajemnym dzieleniem zasobów (pliki, drukarki). Każda maszyna może być oddalona do 100 m od routera. W miarę zapotrzebowania na kolejne porty, można w miejsce jednego z komputerów zastosować dodatkowy switch. Router nie ogranicza liczby komputerów w naszej sieci. Jest ona raczej fizycznie ograniczona pojemnością wszystkich naszych przełączników (liczba portów). Sam router, przy odpowiednim skonfigurowaniu maski podsieci, jest w stanie obsłużyć nawet setki maszyn (domyślnie 253 dla maski 24-bitowej). Możemy zatem stopniowo rozbudowywać sieć w miarę naszych potrzeb, nie martwiąc się, że osiągniemy jakąś granicę wyznaczoną przez router. Switch wbudowany w router Vigor będzie przełączał wszelką komunikację lokalną, nawet jeżeli urządzenia komunikują się za pomocą protokołów sieciowych innych niż TCP/IP (np. NetBIOS/NetBEUI w starszych sieciach Windows, czy IPX/SPX w sieciach Novell itd.). 1/13

2 Ustawienia LAN Na poziomie protokołu IP interfejs jest wyposażony w dwa niezależne zbiory ustawień. Taka implementacja pozwala na funkcjonowanie w ramach sieci lokalnej hostów należących do dwóch różnych logicznych podsieci. Ponadto istnieje możliwość konfiguracji tras statycznych, VLAN oraz przypisania IP do MAC Ustawienia ogólne Podsieć 1 (NAT) umożliwia komunikację z wykorzystaniem prywatnych adresów IP zdefiniowanych w RFC 1918, w połączeniu z mechanizmem NAT (ang. Network Address Translation). Kiedy pakiet opuszcza podsieć, proces NAT w polu jego adresu źródłowego umieszcza specjalny adres, którym dysponuje router. Adres ten należy zwykle do grupy adresów publicznych, przydzielonych przez operatora. W skrajnym przypadku wiele hostów zaadresowanych prywatnie może komunikować się z maszynami w sieci publicznej, wykorzystując jeden adres IP uzyskany od ISP. Aby obsłużyć wiele niezależnych procesów komunikacji na raz, stosuje się odwzorowywanie portów źródłowych na tzw. pseudo-porty, wybierane przez router z określonego zakresu. W podsieci 1 można przyjąć koncepcję statycznego przydziału adresów dla hostów (konfiguracja ręczna), bądź zastosować mechanizm DHCP (ang. Dynamic Host Configuration Protocol). Można też połączyć oba rozwiązania, przydzielając wybranym maszynom (np. lokalnym serwerom) adresy stałe wybrane spoza puli używanej przez serwer DHCP. Pierwszy adres IP pierwszy adres IP interfejsu LAN (domyślnie ) Maska podsieci maska dla pierwszej podsieci (domyślnie ) Podsieć 2 (routing) zgodnie z intencją producenta, przeznaczona została do realizacji klasycznego routingu IP (brak translacji adresów). Dlatego wszelki ruch wychodzący z tej podsieci jest obsługiwany przy zachowaniu oryginalnych adresów źródłowych oraz numerów portów. Jeżeli więc zachodzi potrzeba przypisania wybranym 2/13

3 maszynom (np. serwerom) publicznych adresów IP, dostarczonych przez operatora, można wykorzystać właśnie podsieć 2. Jeden z adresów trzeba przydzielić samemu routerowi jako adres bramy dla hostów. Naturalnie w podsieci 2 można także stosować adresację prywatną. Jednak pamiętać trzeba o nieobecności mechanizmu translacji adresów, przez co bezpośrednia komunikacja z Internetem nie będzie możliwa, nawet jeżeli od strony interfejsu WAN przydzielono adres publiczny. Można sobie jednak wyobrazić router Vigor, który pracuje jako jeden z wielu routerów w sieci Intranet, i pełni wyłącznie rolę serwera zdalnego dostępu (VPN) dla odległych sieci LAN lub pojedynczych pracowników. Wówczas za pomocą ustawień podsieci 2 możliwa jest integracja z innymi routerami poprzez zarówno routing statyczny, jak i dynamiczny. Podobnie jak w podsieci 1, i tu możliwa jest automatyczna konfiguracja hostów. Mechanizm DHCP dla drugiej podsieci konfiguruje się jednak nieco inaczej (patrz dalej). Ustawienia Podsieci 2: Włącz należy zaznaczyć aby włączyć obsługę podsieci 2 (obsługa podsieci 1 jest zawsze aktywna, zaś podsieć 2 jest traktowana jako opcjonalna). Wyłącz w każdej chwili podsieć 2 może zostać wyłączona. Komputery posiadające adresy IP oraz maski należące do podsieci 2 będą się mogły komunikować wyłącznie pomiędzy sobą w ramach segmentu LAN, lecz z pominięciem routera. Routing do innych sieci będzie nieaktywny. Dotyczy to także podsieci 1, nawet jeżeli komputery są podłączone do wspólnego koncentratora. Drugi adres IP - drugi adres IP interfejsu LAN (domyślnie ). Jeżeli będzie to adres publiczny (jak na rysunku), można go wykorzystać w mechanizmie NAT obsługującym podsieć 1. Maska podsieci maska dla drugiej podsieci (domyślnie ) Serwer DHCP dla podsieci 2 konfiguracja serwera DHCP dla podsieci 2 (otwiera się okno pokazane na następnym rysunku). Część kolejnych adresów IP w ramach podsieci 2 może być zarezerwowana i wykorzystana do dynamicznej konfiguracji hostów. Wystarczy podać adres początkowy oraz określić ile kolejnych adresów serwer DHCP ma do dyspozycji, wskazując jednocześnie urządzenia, które mają otrzymywać dane od serwera. 3/13

4 Adres początkowy początkowy adres IP dla puli adresów przydzielanych dynamicznie. Oczywiście musi to być adres należący do podsieci 2 (według zastosowanej dla tej podsieci maski) Liczba adresów liczba kolejnych adresów, którymi będzie dysponował serwer (maksymalnie 10, włączając adres początkowy). Indeks numer kolejnego wpisu Pasujący MAC adres fizyczny interfejsu sieciowego urządzenia, które ma być konfigurowane przez serwer DHCP w ramach drugiej podsieci. Jeżeli komputer został ustawiony w tryb klienta DHCP, a jego adres MAC nie znajduje się na liście, będzie on zawsze konfigurowany przez serwer DHCP dla pierwszej podsieci. przyznany adres IP w tej pozycji router pokazuje adres IP, który został aktualnie przydzielony do urządzenia o określonym adresie MAC Pole poniżej służy do wprowadzania zmian na liście: Adres MAC tutaj podaje się adres MAC który ma się znaleźć na liście Dodaj umieszczenie nowego wpisu na liście Usuń usunięcie wybranego wpisu Edytuj zmiana (edycja) wybranego wpisu Anuluj anulowanie dokonanych zmian Pozostałe przyciski odnoszące się do serwera DHCP dla podsieci 2: OK zatwierdzenie zmian Wyczyść wszystko usunięcie wszystkich wpisów z listy Zamknij zamknięcie okna konfiguracji serwera DHCP Uwaga Warunkiem działania serwera dla podsieci 2 jest włączenie serwera dla podsieci 1. Można zatem uaktywnić oba serwery lub tylko pierwszy. Protokół RIP włączanie/wyłączanie popularnego protokołu routingu dynamicznego RIP (ang. Routing Information Protocol) w wersji 2 dla jednej z podsieci RIPv2 jest kompatybilny również ze starszą, pierwszą wersją RIP. Wyłącz protokół RIP nieaktywny, co oznacza routing statyczny w obu podsieciach IP. Pierwsza podsieć router w stałych odstępach czasu wysyła informacje o znanych mu podsieciach do innych routerów należących do podsieci 1 (broadcast UDP RIP w podsieci 1). Druga podsieć pakiety RIP będą wysyłane do routerów należących do podsieci 2. Podsieć 1 nie bierze wówczas udziału w routingu dynamicznym (pakiety RIP nie są w niej rozgłaszane). Domyślnie protokół RIP jest wyłączony, a decyzja o jego użyciu powinna być świadoma i konkretnie umotywowana. Korzyści wynikające z zastosowania RIP ujawniają się w większych, złożonych sieciach, gdzie istnieje np. podział na wiele sieci LAN i do ich łączenia stosuje się wiele routerów. Aby router Vigor mógł sprawnie funkcjonować także w takich sieciach, zaimplementowano w nim obsługę RIP. Jednak nieuzasadnione włączenie RIP powoduje niepotrzebne obciążanie zasobów sprzętowych routera (dodatkowe obliczenia), jak i zmniejszenie efektywnego pasma w sieci lokalnej (rozgłaszanie dodatkowych pakietów), co przy dużym ruchu może się okazać nie bez znaczenia. Należy także rozważyć względy bezpieczeństwa jeżeli nie jest to konieczne, informacje o danej podsieci nie powinny być propagowane w innych sieciach, nawet wewnątrz Intranetu. W typowych zastosowaniach domowych - jak współdzielenie dostępu do Internetu - zaleca się pozostawienie sugerowanych ustawień domyślnych (RIP wyłączony). Warto tutaj dodać, że protokół RIP można wykorzystać także podczas łączenia sieci w technologii VPN. Jednak metoda routingu dla połączeń VPN (statyczny lub RIP) jest określana w ramach oddzielnych ustawień. 4/13

5 Konfiguracja DHCP Włącz serwer uaktywnienie mechanizmu DHCP dla podsieci 1 Wyłącz serwer wyłączenie serwera DHCP. Należy wówczas samodzielnie skonfigurować parametry IP na każdym komputerze w ramach podsieci 1 i 2. Nieaktywny będzie bowiem również serwer dla podsieci 2. Agent DHCP po zaznaczeniu tej opcji router Vigor nie będzie serwerem, ale agentem przekazującym żądania i odpowiedzi protokołu DHCP pomiędzy hostami i serwerami, które nie należą do tej samej podsieci. Na przykład maszyny w podsieci 1 mogą być dzięki temu konfigurowane przez odległy serwer. Router odegra rolę proxy DHCP, przekazując żądanie do właściwego serwera, i udzielając w jego imieniu odpowiedzi. Vigor może więc pracować w złożonej sieci, obsługiwanej przez jeden centralny serwer DHCP, który ułatwia administratorowi zarządzanie przydziałem adresów w poszczególnych podsieciach. Podsieć 1 włączenie agenta DHCP dla podsieci 1 Podsieć 2 włączenie agenta DHCP dla podsieci 2 Adres początkowy pierwszy z puli adresów, które mają być przydzielane w odpowiedzi na żądania DHCP wysyłane przez urządzenia (domyślnie ). Adres ten musi należeć do podsieci 1, zgodnie z wybraną maską podsieci. Pula IP (rozmiar) liczba kolejnych adresów IP w puli, łącznie z adresem początkowym (domyślnie 50). Adres bramy adres routera, który będzie wspólną bramą domyślną dla konfigurowanych hostów. Zwykle będzie to pierwszy adres IP interfejsu LAN, gdyż Vigor stanie się wtedy dla hostów bramą do Internetu (NAT). Jednak nie jest konieczne, aby był to adres routera Vigor np. część hostów można skonfigurować statycznie, zaś tym dołączanym dynamicznie można wskazywać inną bramę (drugi router) dla rozdzielenia obciążenia. Co więcej, ponieważ Vigor realizuje mechanizm proxy ARP, bramą dla hostów może być nawet router należący do innej podsieci. Ważne jest tylko, aby zapewnić routerowi Vigor osiągalność bramy. Adres serwera DHCP dla Agenta DHCP adres właściwego serwera DHCP dla opcji agenta. Jeżeli Vigor ma pracować jako agent DHCP, musi znać adres rzeczywistego serwera, do którego będzie się odwoływał i w którego imieniu będzie występował wobec lokalnych hostów. Zwykle adres ten będzie należał do innej podsieci w innym wypadku wybór opcji agenta nie ma sensu praktycznego. Zalety dynamicznej konfiguracji parametrów IP są oczywiste, zarówno dla użytkownika sieci jak i administratora. Po pierwsze, użytkownik często przenoszący swój komputer (np. klasy notebook) i podłączający się do różnych sieci może za każdym razem ograniczyć swoje działania do podłączenia kabla sieciowego lub włączenia interfejsu dla sieci bezprzewodowej. Ustawienia IP konieczne do pracy w danej sieci zostaną automatycznie przydzielone przez serwer, i komputer stanie się jej członkiem. Po drugie, podsieć 2 została przeznaczona szczególnie do używania adresów publicznych. Te zaś, jak wiadomo, stały się zasobem bardzo cennym i drogim, stąd należy je wykorzystywać jak najefektywniej. Nietrudno wskazać sytuację, w której grupa komputerów wymaga adresów publicznych (np. stanowiska wideokonferencyjne i multimedialne, wybrane stanowiska w pracowniach szkolnych). Jeżeli wszystkie maszyny nie muszą pracować jednocześnie, dynamiczne gospodarowanie małą liczbą adresów pozwoli obsłużyć wiele stanowisk. Przydzielanie adresów statycznych byłoby tutaj niekorzystne, przynajmniej z punktu widzenia efektywności ich wykorzystania. Należy pamiętać, że w ogólności dynamiczna konfiguracja nie gwarantuje przydzielenia komputerowi za każdym razem tego samego adresu IP, gdyż np. może on być aktualnie zajęty. Nie jest to poważny problem, kiedy z DHCP współpracuje dodatkowo serwer nazw komputer może, pomimo zmiany IP, pozostać dostępny dla innych maszyn pod stałą nazwą, co dla wielu aplikacji jest wystarczające. Aby jednak zapobiec ewentualnym niekorzystnym skutkom wymiany adresów, serwery DHCP dla podsieci 1 i 2 wyposażono w zdolność rezerwowania adresów IP dla wybranych hostów na podstawie ich adresów sprzętowych MAC. Możliwe jest stworzenie trwałych powiązań typu adres IP-adres MAC (patrz Przypisz IP do MAC). Zdefiniowanie konkretnego powiązania spowoduje, że za każdym razem host wyposażony w interfejs sieciowy o danym adresie MAC otrzyma podany adres IP. Jeżeli jednak karta sieciowa zostanie zainstalowana w innym urządzeniu, wówczas to ono będzie otrzymywać podany adres. 5/13

6 Poza tym im więcej adresów IP zostanie na stałe zarezerwowane dla konkretnych urządzeń, tym mniej efektywnie mogą być one wykorzystywane jako grupa adresów współdzielonych, zwłaszcza gdy urządzenia te nie pracują w trybie ciągłym (jak serwer) lecz są używane sporadycznie (stanowisko komputerowe z adresem publicznym). Użycie w podsieci 2 adresów prywatnych (np. domyślnego /24 oferującego 253 użyteczne adresy) pozwala oczywiście zaniedbać powyższe uwagi odnośnie efektywności gospodarowania przydziałem. Wyklucza to jednak bezpośrednią komunikację z siecią publiczną, do jakiej podsieć 2 została głównie przeznaczona. Również konfiguracja mechanizmu DNS w routerze Vigor jest częścią ustawień DHCP, ponieważ adresy serwerów DNS są przyznawane w ramach procesu automatycznej konfiguracji hostów. System nazw domen DNS (ang. Domain Name System) rozwinięto w celu wprowadzenia łatwych do zapamiętania nazw, np. zamiast złożonych i trudnych do rozróżnienia adresów IP. Ponieważ maszyny w globalnej komunikacji wykorzystują adresy protokołu IP, komputer musi dokonać zamiany wprowadzonej przez użytkownika nazwy na rzeczywisty adres odległej maszyny. Serwery DNS tworzą hierarchię, która w odpowiedzi na przesłaną nazwę odsyła odpowiedni adres IP. Aplikacja (np. przeglądarka www) wysyła na adres znanego sobie serwera DNS nazwę wpisaną przez użytkownika. W odpowiedzi poznaje adres IP serwisu i nawiązuje sesję wymiany danych z serwerem. Adresy serwerów DNS: Podstawowy DNS adres IP podstawowego serwera DNS Zapasowy DNS adres IP dodatkowego serwera DNS Otrzymując od routera Vigor powyższe dwa adresy, hosty będą kierować żądania DNS bezpośrednio z sieci lokalnej do serwera podstawowego. Jeżeli nie otrzymają odpowiedzi, np. z powodu awarii lub przeciążenia serwera, wykorzystają adres serwera dodatkowego. Tryb Proxy DNS Jeżeli oba pola Podstawowy i Zapasowy DNS pozostaną puste, router przydzieli hostom własny adres IP jako adres serwera DNS i będzie działał jako serwer proxy DNS. Żądania hostów będą przekazywane do serwerów udostępnionych przez operatora (ISP). Jednocześnie w pamięci podręcznej (ang. DNS cache) będą zapamiętywane poznane nazwy i odpowiednie adresy IP. Jeżeli nastąpi ponowna prośba o adres dla danej nazwy, router odpowie natychmiast, bez odwoływania się do odległych serwerów DNS. Pamięć podręczna zwiększa efektywność mechanizmu DNS dla lokalnych hostów, skracając średni czas odpowiedzi. 6/13

7 Trasy Statyczne Będąc wielofunkcyjnym urządzeniem dostępowym, Vigor pozostaje również klasycznym routerem. Mieści się w tym realizacja zarówno routingu dynamicznego (RIP ver.2), jak i statycznego. Urządzenie buduje typową tablicę routingu, zawierającą definicje rozkładu ruchu wychodzącego przez poszczególne interfejsy (LAN/ISDN/ADSL/VPN). Wpis w tablicy routingu mówi w którym kierunku (poprzez który interfejs fizyczny i na jaki adres IP następnego węzła) najlepiej wysłać pakiet, żeby dotarł pod ostateczny adres docelowej podsieci. W każdym routerze, a tym bardziej w routerze dostępowym, obok tras określonych trwale i wyznaczanych dynamicznie kluczowe znaczenie ma trasa domyślna. Jeżeli router dla danego adresu docelowego nie posiada jednoznacznie określonego wpisu, odwołuje się do trasy domyślnej. Użycie tej trasy zakłada, że kolejne systemy (routery) będą w stanie odnaleźć właściwą trasę. Koncepcja trasy domyślnej upraszcza routing na kierunku sieć LAN Internet, gdyż realizuje tzw. agregację wszystkich możliwych tras. Internet rozrasta się i zmienia, dlatego poznanie przez router wszystkich tras nie byłoby możliwe. Możliwe jest jednak przeniesienie tego zadania na duże systemy szkieletu operatora wystarczy domyślnie skierować w tę właśnie stronę cały ruch odwołujący się do publicznych zasobów. Router Vigor automatycznie wybiera trasę domyślną. Z wymienionych powodów pokrywa się ona zawsze z łączem dostępu do Internetu. I tak, po skonfigurowaniu dostępu szerokopasmowego w tablicy routingu pojawia się wpis wskazujący na interfejs ADSL (IF3). Definiowanie trasy do konkretnej podsieci Dla zapewnienia komunikacji z innymi lokalnymi podsieciami IP konieczne będzie zadbanie o to, aby ruch adresowany do takiej podsieci rzeczywiście do niej trafił. Nie zawsze kierunek taki będzie odpowiadał trasie domyślnej, zwłaszcza kiedy prowadzi ona do sieci publicznej. W takim przypadku należy skorzystać z możliwości precyzyjnego określenia kierunku czyli tzw. trasy statycznej. Jak widać, router potrafi zapamiętać 10 definicji tras, pozwalających dotrzeć przez dowolny interfejs do 10 różnych podsieci IP: 7/13

8 Aby zdefiniować trasę statyczną klikamy w pierwszy wolny numer Indeksu (od 1 do 10), np. Indeks 1: Stan/Akcja służy do dodawania i usuwania, oraz włączania i deaktywacji trasy - należy wybrać zamierzoną pozycję Adres docelowy adres IP docelowej podsieci. Nie podaje się adresu pojedynczego hosta, lecz całej podsieci, gdyż normalnie i tak wszystkie hosty należące do tej podsieci będą osiągalne przez ostatni router na trasie. Ewentualne ograniczenia dla wybranych hostów można nałożyć wykorzystując funkcję filtrowania ruchu (Firewall). Maska podsieci maska właściwa dla docelowej podsieci (format dziesiętny) Adres bramy adres IP następnego routera, który pełni funkcję bramy do określonej podsieci, stanowiąc tzw. router następnego skoku (ang. next hop router). Należy zauważyć, że z danym interfejsem (zwłaszcza Ethernet) może być połączonych kilka routerów, i mogą one prowadzić do różnych podsieci. Dlatego wybranie właściwej bramy jest istotne dla wyznaczenia jednoznacznej trasy do podsieci docelowej. Interfejs kluczowy parametr wskazujący fizyczny interfejs routera, przez który będzie wysłany pakiet mający dotrzeć do podsieci docelowej: LAN taki wybór oznacza, że router wyśle pakiet poprzez odpowiedni port switcha, tak aby dotarł on na adres MAC odpowiadający IP bramy (bądź hosta docelowego, jeżeli znajduje się on w lokalnej sieci LAN). WAN pakiet zostanie wysłany poprzez interfejs ADSL. Bramą będzie zwykle konkretny router w sieci szkieletowej operatora (po drugiej stronie dwupunktowego łącza PPPoE/PPPoA/MPoA). Zwykle operator i tak podaje tylko jeden adres bramy, i zostaje on użyty w kreowanej automatycznie definicji trasy domyślnej, dlatego rzadko tworzenie statycznej trasy ze wskazaniem na interfejs ADSL będzie miało sens praktyczny. Nie mniej możliwość taka istnieje i można ją wykorzystać, kierując ruch do danej sieci przez konkretny router. Definiowanie trasy domyślnej W pewnych sytuacjach może wystąpić potrzeba skierowania trasy domyślnej do innego routera, pracującego w sieci LAN. Wykonuje się to z poziomu sesji terminalowej za pomocą komendy ip route: ip route add <dst> <netmask> <gateway> <iface> <rtype> gdzie dst adres docelowy netmask maska sieci docelowej gateway adres bramy iface typ interfejsu: 0 - LAN, 3 - WAN1, 4 - WAN2 rtype typ trasy: default - trasa domyślna, static - trasa statyczna 8/13

9 Dokonując wpisu trasy domyślnej należy zachować następującą konwencję: ip route add brama 0 default gdzie brama to adres IP następnego routera na trasie. Przykładowo będzie to adres właściwej bramy do Internetu w sytuacji, kiedy Vigor nie ma pełnić tej funkcji. 0 to symbol interfejsu LAN, zaś default zwraca uwagę na fakt że trasa domyślna jest szczególną formą trasy statycznej. Wartość oznacza tutaj każdy możliwy adres docelowy i maskę podsieci. Poniższe okno ukazuje podstawowe czynności, wykonane po zalogowaniu do routera: wyświetlenie tablicy routingu, zdefiniowanie trasy domyślnej prowadzącej przez bramę , oraz ponowne wyświetlenie tablicy w celu weryfikacji zmian: Jak widać, na czele listy pojawiła się nowa informacja. Pozycja ta o niczym nie przesądza. Wpisana trasa domyślna zostanie uwzględniona przez router dopiero w momencie stwierdzenia, że żaden inny wpis nie daje konkretnej informacji o tym jak osiągnąć sieć docelową. 9/13

10 VLAN Termin VLAN (ang. Virtual LAN) oznacza tzw. wirtualną sieć LAN. Jest to zamknięta grupa komputerów, które mogą się komunikować wyłącznie pomiędzy sobą, pozostając jednocześnie w całkowitej separacji z innymi komputerami podłączonymi do tego samego switcha. Oznacza to, że switch posiada zdolność inteligentnego filtrowania ramek na podstawie źródła ich pochodzenia, blokując ich przekazanie do komputera spoza określonej grupy. Istnieje kilka standardowych metod realizacji funkcji VLAN. W switchu, jakim dysponują wybrane routery DrayTek, zaimplementowano tzw. VLAN skupiony na portach (ang. Portcentric VLAN). Definiowanie segmentu VLAN polega na określeniu, które porty mają do niego należeć. Wszystkie komputery korzystające z portu należącego do danego VLAN (np. podłączone przez inny switch) stają się automatycznie członkiem tego VLAN. Nie mniej dany port może zostać przydzielony do kilku sieci VLAN jednocześnie. Wówczas komputery do niego dołączone mają dostęp do wszystkich tych sieci VLAN. Vigor pozwala na wyodrębnienie do 4 oddzielnych grup komputerów (segmentów VLAN) w ramach swojego switcha. Do każdej z nich można niezależnie przydzielać poszczególne porty switcha. Domyślnie (ustawienia fabryczne) żaden VLAN nie jest zdefiniowany, tzn. wszystkie komputery mogą wymieniać dane między sobą. Po zdefiniowaniu VLAN, jego komputery tworzą zamkniętą grupę lokalnie odizolowaną od innych maszyn, jednak zachowującą dostęp do Internetu. Włącz uruchomienie funkcji VLAN VLAN0, VLAN1, VLAN2, VLAN3 oznacza cztery wyodrębnione podsieci VLAN0, VLAN1, VLAN2 oraz VLAN3 P1, P2, P3, P4 oznacza 4 kolejne porty switcha (przełącznika) o indeksach P1, P2, P3 oraz P4 np. zaznaczenie pól P1 i P3 na wysokości wiersza VLAN1 oznacza, że komputery (dodatkowe switche) podpięte do portów P1 i P3 należą do wyodrębnionej sieci wirtualnej VLAN1. OK zatwierdzenie i zapisanie ustawień Anuluj anulowanie wprowadzanych ustawień Wyczyść powrót do ustawień domyślnych Ponieważ separacja VLAN odbywa się w warstwie łącza danych, gwarantuje duże bezpieczeństwo. Całkowicie bowiem eliminuje przepływ jednostek danych w tej warstwie, a więc m. in. pakietów IP niezbędnych dla przeprowadzenia większości ataków i włamań, ale także jednostek protokołu ARP itd. Poszczególni użytkownicy Internetu są zatem solidnie izolowani, zachowując całkowitą prywatność pomimo podłączenia do tego samego switcha. 10/13

11 1. Funkcja VLAN zaimplementowana w routerze Vigor umożliwia współdzielenie szybkiego łącza internetowego przez wielu użytkowników (np. sąsiadów) przy ich absolutnym odizolowaniu od reszty, o ile wyrażą takie życzenie. Warto zaznaczyć, że używając prawidłowo wykonanego kabla (UTP kategorii 5) do portu routera można podłączyć urządzenie oddalone na odległość do 100 m. Dlatego komputery czy koncentratoryużytkowników mogą pracować w ich mieszkaniach, tworząc odrębne sieci VLAN zdefiniowane w porozumieniu z administratorem routera. 2. Podobnie można odseparować dwie lub więcej firm posiadających wspólne łącze szerokopasmowe i wspólny router. Administrator może tak skonfigurować jeden z portów switcha, aby mieć dostęp do obu sieci firmowych, podczas gdy pracownicy będą mieli dostęp tylko do komputerów w ramach swojej firmy. 3. Jeżeli posiadamy serwer WWW, FTP, SMTP itd., lub jakikolwiek inny komputer, który ma być osiągalny z sieci publicznej, możemy się spodziewać, że będzie on narażony na różne formy ataku z Internetu. Pracując w sieci LAN mógłby zatem stanowić potencjalną furtkę do innych jej zasobów. Aby temu zapobiec, serwer można umieścić w osobnym segmencie VLAN. W efekcie nawet przejęcie nad nim całkowitej zdalnej kontroli wyklucza użycie serwera jako narzędzia ataku wobec innych komputerów. Ewentualne szkody będą zatem minimalne. 11/13

12 Przypisz IP do MAC Jest to bardzo przydatna funkcja, która współpracuje z usługa serwera DHCP. Pozwala na przydział określonego adresu IP poprzez DHCP do MAC-adresu sprzętowego karty sieciowej dowolnego komputera w sieci LAN. A więc można zdefiniować, np. komputer o MAC-adresie karty AA-BB-CC będzie zawsze otrzymywał adres Poniżej na rysunku występują dwie tablice/listy: Tablica ARP i Lista adresów IP. W pomocniczej Tablicy ARP (po lewej stronie), znajdują się urządzenia wykryte przez router. Wystarczy zaznaczyć taki adres i kliknąć przycisk Dodaj, aby pojawił się w tablicy po prawej stronie. Można też adresy dodawać ręcznie, wpisując w polu Adres IP konkretny adres (np ), a w polu Adres MAC powiązany z nim adres MAC (np. AA-BB-CC ). Ponadto zaznaczenie pola Ścisła kontrola spowoduje, że tylko wyznaczone przez nas komputery, znajdujące się w tablicy Lista adresów IP (po prawej stronie) uzyskają dostęp do Internetu. Reszta zostanie domyślnie zablokowana. Włącz włączenie funkcji Przypisz IP do MAC Wyłącz wyłączenie funkcji Przypisz IP do MAC Ścisła kontrola włączenie tej funkcji spowoduje, że tylko adresy IP przypisane do MAC adresów (umieszczone w Lista adresów IP) będą miały dostęp do Internetu Adres IP adres IP, który chcesz dodać Adres MAC adres MAC, do którego przypisany będzie powyższy adres IP 12/13

13 Dodaj dodanie skojarzonej pary IP-MAC do tablicy Edytuj edycja skojarzonej pary IP-MAC z tablicy Usuń usuniecie skojarzonej pary IP-MAC z tablicy 13/13