Router-Virtualisierung
Separate IP-Netze in einem LAN
Immer mehr geschäftliche Anwendungen wie Telefonie, Fernwartung oder ähnliche nutzen die Vorteile der IP-Netze. Etliche Hersteller bieten durch Router-Virtualisierung (auch: Advanced Routing and Forwarding - ARF) eine elegante Möglichkeit, alle IP-Anwendungen über einen zentralen Router zu führen und dabei die verschiedenen Kommunikationskanäle sicher voneinander abzugrenzen.
Weite Verbreitung und leichte Administration der IP-Netze führen zum einen dazu, dass
Anwendungen mit bisher eigenen Netzen wie die Telefonie nun auch das IP-Netz als technische
Plattform nutzen (Voice over IP – VoIP). Darüber hinaus entstehen in IP-Netzen aber auch neue
Anwendungen, wie zum Beispiel der Informationsaustausch zwischen Managementinformationssystemen
(MIS), die Steuerung von Heizungs- und Klimaanlagen (Facility-Management) oder das Update von Spots
in Werbe-Terminals. Diese Infrastrukturen, in denen alle Anwendungen über ein Netz realisiert sind,
bezeichnet man auch als "All-IP-Netze".
Bisher werden die Möglichkeiten der All-IP-Netze jedoch nicht konsequent ausgereizt. Denn dies
bedeutet beispielsweise auch, firmenexternen Kommunikationsteilnehmern einen Zugang zum LAN
(Intranet) einzurichten, was aus Sicherheitsgründen in vielen Fällen nicht gewünscht ist. Advanced
Routing and Forwarding hingegen stellt alle Möglichkeiten zur sicheren Realisierung von
All-IP-Netzen über einen einzigen zentralen Router bereit. Das Kernstück des ARF ist dabei die
Fähigkeit, für unterschiedliche Anwendungen jeweils einen separaten IP-Kontext einzurichten. Jeder
IP-Kontext lässt sich wie ein eigenes Netz – zum Beispiel mit DHCP- und DNS-Server – konfigurieren
und gegen alle anderen Netze abschirmen. Auf diese Weise kann die Administration mehrere externe
Teilnehmer mit unterschiedlichen Anforderungen in das firmeninterne IP-Netz einbinden, ohne ihnen
einen Zugang zum eigenen Intranet einzuräumen. Damit entfällt der Bedarf für separate
Kommunikationsnetze, die Wartung und Konfiguration erfolgen zentral von einer Stelle aus. Weitere
Anwendungsmöglichkeiten dieser Technik – neben der Einbindung externer Dienstleister ins eigene
Netzt – sind beispielsweise WLAN-Gastzugänge für Kunden und Besucher, die Trennung von privatem und
geschäftlichen IP-Netz in Home-Offices oder die gemeinsame Nutzung von Internetzugängen in
Büroumgebungen mit unterschiedlichen Firmen.
Wie funktioniert ARF?
Das Advanced Routing and Forwarding besteht aus folgenden Einzelaspekten:
Im Router lassen sich mehrere IP-Netze definieren,
die einzelnen IP-Netze sind untereinander abgeschirmt, und
die verschiedenen IP-Netze werden getrennt geroutet.
Mehrere IP-Netze in einem Router: Dieser Aspekt ist von der Ausstattung der Hardware abhängig.
Je nach Modell können Router beispielsweise bis zu 64 unterschiedliche IP-Netze verwalten. Für
jedes IP-Netz lassen sich dabei der verwendete IP-Adresskreis, die IP-Adresse des Routers und
wichtige Funktionen wie DHCP- oder DNS-Server separat einstellen.
Trennung der Netze: Eine wesentliche Voraussetzung für den sicheren Betrieb von
unterschiedlichen IP-Netzen in einem Gerät ist die Möglichkeit, den Datenverkehr der einzelnen
Netze untereinander abzuschirmen. Die Netze sind über die physischen Schnittstellen mit dem Router
verbunden. Router bieten für die lokale Anbindung von Netzteilnehmern je nach Modell ein oder
mehrere Ethernet-Ports und eventuell auch WLAN-Module an. Diese physischen Interfaces werden aber
in der Regel nicht direkt für das Routing verwendet: Um eine möglichst hohe Flexibilität zu
erreichen, lassen sich die physischen Schnittstellen logischen Interfaces zuordnen.
Bei den kabelgebundenen LAN-Anschlüssen findet diese Zuordnung durch das Ethernet-Port-Mapping
statt: Für jeden Ethernet-Port kann der Administrator gezielt die gewünschte Verwendung als
logisches LAN-Interface konfigurieren, bei einigen Modellen ist alternativ auch die Verwendung als
WAN-Anschluss möglich.
Für die drahtlosen Netzeschnittstellen (WLAN-Module) entstehen durch den Aufbau von
Point-to-Point-Strecken (P2P) beziehungsweise durch die Verwendung von Multi-SSID auf jedem
physischen WLAN-Modul mehrere WLAN-Interfaces: zum Beispiel bis zu acht WLAN-Netze (Multi-SSID) und
bis zu sechs P2P-Strecken pro Modul, die sich für den Router jeweils als logische WLAN-
beziehungsweise P2P-Interfaces darstellen.
Bei Routern von Lancom Systems beispielsweise kann jedes IP-Netz eines der logischen LAN-, WLAN-
oder P2P-Interfaces und darüber die verbundene physische Schnittstelle nutzen. Das Netz befindet
sich damit in einer separaten Broadcast-Domäne und kann über dieses logische Interface
ausschließlich mit dem Router-Modul kommunizieren – eine direkte Datenübertragung in die anderen
Netze ist nicht möglich. Eine Broadcast-Domäne stellt einen Bereich in einem lokalen Netz dar, in
dem eine Broadcast-Nachricht alle Teilnehmer erreicht. Broadcasts lassen sich auch über Switches
oder Bridges hinweg übertragen. Erst ein Router oder die Aufteilung des lokalen Netzes in VLANs
(virtuelle LANs) begrenzen eine Broadcast-Domäne.
Die Entscheidung über die Datenübertragung zwischen den einzelnen IP-Netzen ist damit in das
Router-Modul verlagert, in dem die Datenströme aus allen IP-Netzen zusammenlaufen. Üblicherweise
ist dabei das Routing zwischen den verschiedenen lokalen IP-Netzen erlaubt.
Ein Ping oder eine Verbindung über die IP-Adresse wird über den Router richtig aufgelöst und
durchgeleitet. Ein Zugang zu den Netzgeräten über die Windows-Netzumgebung ist hingegen nicht
möglich, da die dafür benötigten NetBIOS-Broadcasts nicht den Rahmen der IP-Broadcast-Domäne
verlassen. Der Zugriff über die Windows-Netzumgebung lässt sich allerdings mit einem gemeinsamen
WINS-Server oder einer gemeinsamen Active-Directory-Struktur einrichten.
Geregeltes Routing mit Schnittstellen-Tags
Neben dem kompletten Abschalten des Routings zwischen den IP-Netzen kann die Administration über
eine integrierte Firewall in der Regel auch gezielt einstellen, welches IP-Netz über den Router auf
welche anderen Bereiche zugreifen darf. Bei einer größeren Anzahl von Netzen können dazu aber viele
Firewall-Regeln erforderlich sein. Um das Routing zwischen den logischen Interfaces zu
vereinfachen, kann der Router beispielsweise ein so genanntes Schnittstellen-Tag verwenden, mit dem
jedes IP-Netz intern markiert ist. Ein solches Tag regelt auf elegante Art und Weise, welche
IP-Netze sich über den Router miteinander verbinden lassen:
Die Netzgeräte in einem IP-Netz können nur auf Ressourcen in Netzen mit dem
gleichen Schnittstellen-Tag zugreifen.
Das Schnittstellen-Tag "0" kennzeichnet dabei ein "Supervisor"-Netz: Geräte in
diesem Netz können auch auf Ressourcen in allen anderen Netzen zugreifen.
Das Schnittstellen-Tag steuert die gegenseitige Sichtbarkeit von IP-Netzen des Typs "Intranet".
Daneben lassen sich Netze auch als "DMZ" (demilitarisierte Zone) konfigurieren. Mit dem Netz-Typ "
DMZ" definiert der Administrator ein IP-Netz, auf dessen Ressourcen die Teilnehmer aus allen
anderen IP-Netzen zugreifen können – unabhängig von den verwendeten Schnittstellen-Tags.
Virtuelle Interfaces
In manchen Anwendungen ist es notwendig, die eindeutige Zuordnung der IP-Netze zu den logischen
Interfaces zu erweitern. Dazu lassen sich die logischen Interfaces in einem weiteren Schritt auf "
virtuelle" Interfaces abbilden. Je nach Verfügbarkeit der logischen Interfaces sind dabei zwei
Varianten möglich:
Ein virtuelles Interface verbindet mehrere logische Interfaces: In einem IP-Netz sind nicht nur
Rechner aus einem kabelgebunden LAN, sondern gleichzeitig Stationen aus einem WLAN zu verbinden.
Hier kann der Administrator die benötigten logischen Interfaces (zum Beispiel ein LAN und ein WLAN
für das Intranet) zu einer so genannten "Bridge-Gruppe" (BRG) zusammenfassen.
Die Bridge-Gruppe spannt eine eigene Broadcast-Domäne auf. Sie definiert, welche logischen
Interfaces ihr zugeordnet sind und wirkt für den Router wie ein einziges, virtuelles Interface.
Zwischen den verbundenen logischen Interfaces der Bridge-Gruppe ist eine einfache Datenübertragung
im Bridge-Modus möglich – alle anderen logischen Interfaces können mit dieser Bridge-Gruppe nur
über den Router kommunizieren.
Mehrere virtuelle Interfaces nutzen ein logisches Interface: Der umgekehrte Fall liegt vor, wenn
das Gerät nicht ausreichend viele logische Interfaces bereitstellt, um jedem IP-Netz eine
eindeutige Zuordnung zu ermöglichen. In dieser Situation lassen sich mehrere virtuellen LANs
(VLANs) definieren, die jeweils das gleiche logische Interface nutzen. Dazu weist der Administrator
dem IP-Netz neben dem logischen Interfaces eine VLAN-ID zu.
Die VLANs stellen sich für den Router als separate, virtuelle Interfaces dar – der Datenverkehr
der einzelnen VLANs ist jedoch untereinander abgeschirmt, jedes VLAN stellt eine separate
Broadcast-Domäne dar. So lassen sich zum Beispiel an einem logischen LAN-Interface die beiden Netze
für die Abteilungen "Entwicklung" und "Vertrieb" mit unterschiedlichen VLAN-IDs einrichten. Der
Router sorgt intern für die richtige Zuordnung und Auswertung der VLAN-Tags. Im LAN werden die
Datenpakete anhand der VLAN-Tags entweder in den Netzkarten der Workstations oder in einem
vorgeschalteten VLAN-Switch separiert.
Über diese flexible Zuordnung stehen für die IP-Netze neben den logischen Interfaces zusätzlich
zahlreiche VLANs und Bridge-Gruppen als virtuelle Interfaces zur Auswahl, mit denen sich in jeder
Anwendung der Datenverkehr der Netze untereinander abschirmen lässt.
Virtuelle Router
Mit der Definition der IP-Netze und der Separierung des Datenverkehrs (über Zuordnung von
Schnittstellen beziehungsweise Bridge-Gruppen oder VLAN-IDs) läst sich der parallele Betrieb
mehrerer lokaler Netze an einem zentralen Router sicherstellen. Für die Verbindung zu anderen
Netzen ist der IP-Router zuständig. Die in der Routing-Tabelle angelegten Routen sind dabei
grundsätzlich für alle an das Gerät angeschlossenen lokalen Netze gültig – anders als zum Beispiel
DHCP-Einstellungen, die für jedes IP-Netz separat einzurichten sind.
Um für jedes Netz einen separaten (virtuellen) Router zu realisieren, lässt sich ebenfalls das
Schnittstellen-Tag nutzen. Neben der Sichtbarkeit der IP-Netze untereinander können diese Tags auch
die Verwendung der Routing-Tabelle steuern: Für jedes IP-Netz werden zunächst nur die
Routing-Einträge genutzt, deren Routing-Tag mit dem Schnittstellen-Tag des IP-Netzes übereinstimmt.
Eine Sonderstellung nimmt dabei das Routing-Tag "0" ein: Routen mit diesem Tag gelten für alle
Netze, unabhängig vom Schnittstellen-Tag. Durch diese spezielle Auswahl der Routen aus der
Routing-Tabelle entsteht für jedes IP-Netz ein eigener, virtueller Router.
Der große Vorteil virtueller Router wird in folgendem Beispiel deutlich: Anhand der Quelle eines
Datenpakets kann die Firewall üblicherweise ein Routing-Tag zuweisen, das der IP-Router zur Auswahl
der geeigneten Route nutzt. Dieses Verfahren reicht aber dann nicht mehr, wenn der Router mehrere
IP-Netze mit gleichem Adresskreis verwaltet: Eine Zuweisung des Tags anhand der Quelladresse wäre
dann nicht mehr eindeutig möglich. Über das Schnittstellen-Tag ist jedoch die Zuordnung der
Gegenstelle auch hier möglich. Das virtuelle Routing funktioniert allein durch die Auswertung der
Schnittstellen-Tags, eine Konfiguration zusätzlicher Firewall-Regeln ist nicht notwendig. Für jedes
lokale Netz lässt sich so beispielsweise ein separater Provider-Zugang über eine getagte
Default-Route in der Routing-Tabelle ansteuern.
Die Firewall ist nur dann nötig, wenn in den lokalen Netzen mit gleichen IP-Adressen auch Server
stehen, die aus dem Internet erreichbar sein sollen. In diesem Fall wird der Verbindungsaufbau von
außen nach innen ausgelöst. Die beim Router-Modul aus dem Internet eintreffenden Datenpakete sind
aber nicht über Schnittstellen-Tags qualifizierbar und verfügen auch nicht über diesen internen
Markierungen. In diesem Fall lässt sich jedoch die externe Gegenstelle auswerten, von der die
Pakete kommen: beispielsweise Daten vom Server eines externen Geschäftspartners. Mit einer
geeigneten Firewall-Regel lassen sich Verbindungen von dieser Gegenstelle über den entsprechenden
Port (zum Beispiel "80" für Webserver) in das jeweilige Netz erlauben, und der zugehörige
Port-Forwarding-Eintrag adressiert gezielt den vorgesehenen Webserver.
Flexibler Netzübergang
Das Advanced Routing and Forwarding realisiert an einem zentralen Router vollständig getrennte
IP-Netze. Manche Ressourcen in der Infrastruktur sollen jedoch eventuell für mehrere oder alle
Netze zur Verfügung stehen, zum Beispiel ein Netzwerkdrucker nicht nur für die eigenen Mitarbeiter
im Intranet, sondern auch für die Besucher im "Public"-Netz. Dazu lässt sich zunächst ein eigenes
IP-Netz "SHARE" für die geteilten Ressourcen einrichten, das an die Schnittstelle(n) gebunden ist,
über die diese Geräte angeschlossen sind. Dieses Netz wird außerdem als "Intranet" mit einem
eindeutigen Schnittstellen-Tag konfiguriert (zum Beispiel "99"). Damit ist dieses Netz zunächst
gegenüber allen anderen Netzen abgeschirmt.
Über eine passende Regel in der Firewall lässt sich dann gezielt der Zugang von allen Stationen
in anderen Netzen in das gemeinsame Netz SHARE ermöglichen. Diese Firewall-Regel erhält als
Routing-Tag das Schnittstellen-Tag des SHARE-Netzes. So werden alle Datenpakete, auf die diese
Firewall-Regel zutrifft, mit dem Tag "99" versehen und lassen sich damit dem IP-Netz SHARE
zuordnen. Bei Bedarf kann die Administration in der Firewall-Regel zusätzlich die Dienste
definieren, die im Netz SHARE erlaubt sind.
Lesen Sie mehr zum Thema
