Routery Vigor mogą obsługiwać dwie niezależne podsieci IP w ramach sieci LAN (patrz opis funkcji związanych z routingiem IPv4). Podsieć pierwsza przeznaczona jest dla realizacji mechanizmu NAT, aby umożliwić komputerom korzystanie z tzw. prywatnych adresów IP. Adresy prywatne to grupy adresów wydzielone w ramach klas adresów A, B i C, nieobsługiwane przez urządzenia publicznej Sieci (czyli nie można się za ich pomocą komunikować w Internecie). Adresy prywatne mogą za to być wielokrotnie wykorzystywane w lokalnych, zamkniętych sieciach różnych organizacji (tzw. Intranetach), a ich użycie jest dowolne i nie wymaga uzyskania oficjalnego zezwolenia czy przydziału. Pomysł ten zrodził się jako jeden z środków zaradczych wobec kurczenia się puli adresów IP w latach intensywnego rozwoju Internetu. Został wykorzystany przez producentów urządzeń, którzy opracowali sposób na dostęp do Internetu dla maszyn zaadresowanych z puli prywatnej translację adresów. NAT (ang. Network Address Translation) pozwala na wykorzystanie jednego bądź kilku adresów publicznych do obsłużenia całej komunikacji pomiędzy siecią prywatną a Internetem. Pakiety wychodzące z sieci prywatnej do Internetu muszą mieć adres źródłowy podmieniony na adres publiczny, aby mogły osiągnąć cel. Dzięki temu możliwa będzie odpowiedź systemu zdalnego i wzajemna komunikacja przez Internet. Dlatego kiedy pakiet opuszcza podsieć 1, router Vigor w polu jego adresu źródłowego umieszcza adres publiczny uzyskany od operatora. Kiedy przychodzi odpowiedź, jest ona zaadresowana na ten właśnie adres własny routera, a komputer odpowiadający nie wie jaki jest rzeczywisty adres maszyny prowadzącej dialog. Przekazanie pakietu do właściwego komputera jest już lokalną sprawą routera NAT. Aby obsłużyć wiele niezależnych procesów komunikacji na raz, stosuje się odwzorowywanie portów źródłowych na tzw. pseudo-porty, wybierane przez router z określonego zakresu. Do tego dochodzą różne operacje dodatkowe, mające na celu usprawnienie mechanizmu translacji adresów. Ponieważ podsieć prywatna jest ukryta za pojedynczym adresem routera, nie jest możliwe wysyłanie pakietów z Internetu bezpośrednio na adresy poszczególnych komputerów, a jedynie na adres routera. Każdy pakiet przychodzący, który nie jest wysłany w odpowiedzi na inny pakiet w ramach sesji wymiany zainicjowanej przez lokalny komputer, będzie zawsze odrzucony przez router. Ma to swoje zalety w postaci domyślnego maskowania sieci, jednak z drugiej strony ogranicza możliwości korzystania z usług i zasobów sieci prywatnej. Jednak wykorzystując pewne informacje pomocnicze, jak numery portów protokołów, można zdefiniować reguły kierowania określonego ruchu na dane adresy prywatne. Proces ten jest określany jako NAPT (Network Address & Port Translation) i funkcjonuje w routerach Vigor w kilku odmianach, opisanych dalej. Przekierowywanie portów Ustawienia te dotyczą ruchu przychodzącego od strony sieci publicznej, zaadresowanego na określony numer portu protokołu TCP bądź UDP. Istnieje tutaj możliwość skierowania takiego ruchu na ten sam bądź inny port docelowy funkcjonujący na wybranej maszynie należącej do sieci prywatnej. Możliwe jest zatem publiczne udostępnianie różnych usług, działających na tym samym bądź różnych serwerach w sieci LAN. Warto zauważyć, że wystarczy do tego jeden publiczny adres IP przydzielony od strony interfejsu WAN. Istotną zaletą jest też bezpieczeństwo wewnętrzny rozkład ruchu i rzeczywista struktura sieci są ukryte przez mechanizm NAT: 1
Okno pokazuje udostępnienie na zewnątrz popularnych usług dzięki przekierowaniu portów: Nr numer przekierowania (1-10) Nazwa usługi dowolny komentarz administratora, np. www, ftp. Protokół należy wybrać protokół, który ma być przekierowany (TCP lub UDP) Port zewnętrzny oryginalny numer portu, oczekiwany dla danej usługi (np. 80, 23, 25, 21 itd). Należy pamiętać, że pewne usługi korzystają z więcej niż jednego portu np. ftp. Jeżeli w grę wchodzą całe grupy portów można wykorzystać opcję Sterowanie portami (patrz dalej). Adres lokalny prywatny adres maszyny-serwera w sieci lokalnej, na który zostanie skierowany ruch Port wewnętrzny rzeczywisty numer portu, na którym funkcjonuje usługa (niekoniecznie standardowy, jeżeli serwer pozwala użyć innego i na takim porcie oczekuje na zgłoszenia klientów). Aktywne włączenie danego przekierowania Analogicznie możliwe jest też przekierowywanie portów wewnętrznych, tzn. realizacja odwzorowania portów pomiędzy dwoma adresami IP z sieci prywatnej, np. dla ukrycia rzeczywistego adresu/portu serwera obsługującego lokalnych użytkowników. 2
Sterowanie portami Ta opcja NAT pozwala przeadresować ruch dla pewnego ciągłego zakresu portów, wysyłając go na określony prywatny adres IP. Można to wykorzystać na przykład do upublicznienia usług korzystających z kilku kolejnych portów, czy też odsłonięcia wybranego, niestandardowego zakresu portów na danym hoście w celach szczególnych np. do testowania własnych aplikacji sieciowych. W oknie głównym powyżej wyświetlane są stany bieżących profili: Nr numer reguły (1-10) Komentarz pomocniczy ciąg znaków wprowadzony dla opisu Adres lokalnego hosta adres IP hosta, na który skierowano ruch Status pozycja aktywna bądź nie Anuluj rezygnacja z zatwierdzenia zmian i wyjście z menu Wyczyść wszystko sprowadzenie wszystkich wpisów do stanu wyjściowego, równoznaczne z usunięciem zdefiniowanych przekierowań 3
Po kliknięciu na wybraną cyfrę otwiera się okno definicji reguły: Włącz profil uaktywnienie danej reguły Komentarz dowolny komentarz administratora Host lokalny docelowy adres IP można wybrać z listy bądź wpisać w odpowiednie pola w oknie Możliwe jest wybranie do 10 zakresów portów dla protokołów TCP jak i UDP: Protokół protokół transportowy (TCP lub UDP) Port początkowy pierwszy port definiowanego zakresu Port końcowy ostatni port definiowanego zakresu Anuluj rezygnacja z zatwierdzenia zmian i wyjście z menu Wyczyść wszystko sprowadzenie wszystkich wpisów do stanu wyjściowego, równoznaczne z usunięciem zdefiniowanych przekierowań Warto zwrócić uwagę na fakt, iż nie ma tutaj możliwości odwzorowania oryginalnych portów wyznaczonych ruchem przychodzącym na inne, niestandardowe. Dokonuje się raczej otwarcia zakresów portów na danym hoście lokalnym. Za to można za pomocą pojedynczej reguły otworzyć dowolną liczbę portów (w maksymalnie 10 osobnych zakresach) na dowolnym serwerze w sieci prywatnej. Takich reguł można zdefiniować do 10, podobnie jak w opcji poprzedniej. 4
Host DMZ Funkcja ta pozwala na nadanie wybranej maszynie w sieci lokalnej statusu tzw. strefy zdemilitaryzowanej (ang. DMZ - Demilitarized Zone). Komputer taki nie jest osłonięty mechanizmem NAT w tym sensie, że następuje proste przekierowanie wszystkich możliwych portów na ten właśnie adres IP. Od strony sieci publicznej host taki jest zatem dostępny tak samo jak gdyby to on posiadał publiczny adres IP w rzeczywistości przypisany do interfejsu routera. Istotne jest jednak to, że router nadal zapewnia ochronę za pomocą reguł filtrowania ruchu i alarmowania o różnego rodzaju podejrzanej aktywności od strony Internetu (patrz dalej Filtr/Firewall). DMZ może służyć do zastosowań generujących duży ruch i korzystających z wielu portów np. wielofunkcyjne komunikatory typu NetMeeting, gry internetowe typu Quake, Starcraft itp. Opcja DMZ jest też przydatna dla zapewnienia komunikacji aplikacjom, które nie działają prawidłowo z mechanizmem NAT w pełnym wydaniu (NAPT). Włącz uruchomienie strefy zdemilitaryzowanej dla danego adresu IP IP hosta lokalnego adres IP można wybrać z listy bądź wpisać w odpowiednie pola w oknie. Dla uniknięcia niejednoznaczności wszystkie funkcje związane z przeadresowywaniem ruchu przychodzącego ustawione są według przyznanych im priorytetów ważności. Układ priorytetów jest niezmienny i wygląda następująco: Przekierowywanie portów Sterowanie portami Host DMZ W konsekwencji, dla danego pakietu przychodzącego jako pierwsze brane są pod uwagę ustawienia funkcji Przekierowanie portów i następuje obsługa pakietu zgodnie z zawartą tam regułą. Jeżeli dla pakietu nie istnieje tam żadna reguła, następuje przejście do funkcji Sterowanie portami. Jeżeli żadna z reguł tej funkcji nie pasuje do odebranego pakietu, zaczyna się poszukiwanie adresu IP Hosta DMZ. Jeżeli tylko jest on aktywny, pakiet zostanie wysłany na jego adres (niezależnie od numeru portu docelowego patrz opis DMZ). Jeżeli strefa DMZ nie została uruchomiona, pakiet zostanie odrzucony. Tak rozbudowana i zróżnicowana struktura mechanizmu NAPT gwarantuje administratorom wysoki stopień elastyczności podczas planowania udostępniania usług i aplikacji. 5
Multi-NAT (wielokrotny NAT) Do interfejsu WAN routera Vigor, oprócz podstawowego adresu IP przydzielanego statycznie bądź dynamicznie przez operatora, można przypisać kilka zakupionych dodatkowo adresów stałych. Będą to tak zwane aliasy IP, czyli swego rodzaju adresy dodatkowe, traktowane przez router podobnie jak adres podstawowy. Ich obecność poszerza możliwości komunikacyjne, co widać szczególnie w przypadku funkcji NAT (patrz opis dalej). Dodatkowe adresy przypisuje się w tym samym menu co adres podstawowy przy konfiguracji Dostępu do Internetu. Należy wybrać pole Alias IP interfejsu WAN, pokazane na rysunku dla dostępu MPoA. To samo pole jest dostępne również w innych opcjach dostępu szerokopasmowego: Po kliknięciu na wskazane pole otwiera się okno, w którym można zarządzać dodatkowymi adresami IP (następny rysunek). Pierwszy adres na liście (adres podstawowy) staje się tam obecny w sposób automatyczny po poprawnej konfiguracji połączenia z Internetem, i automatycznie staje się adresem NAT. Kolejne adresy aliasy należy wprowadzić ręcznie. Dzięki większej liczbie adresów NAT można realizować przekierowanie ruchu w zależności od tego, na który z adresów WAN routera został on wysłany. W praktyce otwiera to możliwość wyznaczenia wielu stref DMZ, czy też uruchomienia w sieci prywatnej kilku publicznych serwerów tej samej usługi. Oba przypadki pokazano na przykładzie. Bazuje on na założeniu, że operator przydzielił publiczną podsieć 80.55.79.88/29, przy czym do dyspozycji użytkownika pozostają adresy 80.55.79.90-94. Adres pierwszy posłużył jako podstawowy, i został na trwałe przypisany do interfejsu WAN. Następnie dodano jeszcze adresy 80.55.79.91 i 92 jako aliasy. 6
W efekcie przypisania dodatkowego adresu publicznego do puli NAT, w ramach funkcji DMZ możliwy jest wybór różnych hostów: 7
Analogicznie, po wejściu w menu Sterowanie portami widać, jak router poszerzył swoją ofertę o dodatkowe adresy publiczne jako potencjalne adresy, na które można kierować ruch z zewnątrz. Prezentowany przykład zawiera propozycję uruchomienia pod adresem 80.55.79.90 (w rzeczywistości 192.168.1.7) pary serwerów www i ftp. Jednocześnie pod adresem 80.55.79.91 (191.168.1.9) następuje udostępnienie oddzielnej pary serwerów (patrz ilustracja dalej). W rezultacie można by tutaj uruchomić serwisy o przykładowych nazwach ftp.firma.com i www.firma.com jak również ftp.prywftep.pl i www.mojastrona.pl: 8
Zarówno aktualne sesje NAT, inicjowane z sieci prywatnej, jak i aktywne przekierowania można monitorować z poziomu interfejsu użytkownika: Dodatkowo, dzięki obsłudze standardu UpnP (ang. Universal Plug and Play), niektóre aplikacje mogą same otwierać porty dla swoich potrzeb bez ingerencji użytkownika. 9