Základní L3 routing v lokálních sítích LAN nejen na přepínačích Planet
FAQ: Základní L3 routing v lokálních sítích LAN nejen na přepínačích Planet
S roustoucí potřebou a stále vzrůstajícím počtem aktivních zařízení nejen v internetu ale i v lokálních LAN sítích je nutné definovat IP subnety pro jejich větší počet. Nabízí se řešení v použití síťové masky třídy B (CIDR /16), která by umožnila vytvořit subnet až pro více jak 65 tisíc adres. To však není vhodný přístup z hlediska bezpečnostního ani provozního!
Pojďte definovat více IP subnetů nad VLAN, jejich provozy můžete filtrovat, jednoduše budete provozovat služby nebo uživatele odděleně, IP adres bude i maskou třídy C k dispozici dostatek (255x255 ~ 65tis). Kritickým částem (databáze, NAS) VLAN můžete omezit provoz do internetu nebo můžete priorizovat komunikaci nad ostatními (VoIP, IPTV).
Nejvhodnějším řídícím prvkem i když stále trochu opomíjeným je L3 přepínač, který na sebe převezme úlohu definice VLAN na L2 vrstvě a definice subnetů na L3 vrstvě. Kvalitní stroje jsou vybaveny ASIC čipsety s hardware zpracováním dat, mají vysoký výkon a jsou dimenzovány na plné zatížení i přes datově náročné 10GbE porty nebo i rychlejší.
Pro gateway a spojení do internetu postačí relativně jednoduchý ~ levný router s NAT s editovatelnou routovací tabulkou (či podporou protokolu RIP,ten zajistí automatickou výměnu routovacích pravidel). Podpora VLAN a multisubnetů není vůbec nutná.
Schéma uvádí základní dělení lokální sítě na defaultní provozní a public veřejnou část... těch můžete definovat mnohem více podle potřeb.
Pro každou je v L3 přepínači definována VLAN síť a vlastní subnet, zde konkrétně:
- VLAN ID=1 pro default segment
- VLAN ID=2 pro spojení s výchozí branou do internetu na portu 24
- VLAN ID=3 pro připojení public segmentu jako jsou WiFi AP nebo další zařízení na prvních 4 portech
Pro každé VLAN rozhraní je definována jeho IP adresa subnetu, jde fakticky o výchozí brány:
V dalším kroku definujete DHCP servery pro každý subnet:
včetně DNS a výchozí brány pro každý subnet, zde příklad pro „default“, DNS je IP adresa routeru do internetu, gateway je IP adresou VLAN rozhraní pro „default“. Nastavení pro „public“ bude analogické:
Nyní již bude celá LAN infrastruktura aktivní, posledním krokem bude definice routovacích cest směrem ven...
... a z internet gateway routeru do jednotlivých subnetů přepínače. To spraví ručně tolik pravidel, kolik subnetů používáte, pro náš příklad to budou dvě s destinací jednotlivých subnetů, jejich bránou bude IP adresa L3 přepínače; tu jsme definovali výše ve spojení s VLAN ID=2 a portem 24, kterým se L3 přepínač spojen fyzicky s internetovou bránou:
V neposlední řadě nezapomeňte filtrovat provoz mezi VLAN nebo i ve směru spojení do internetu... z dnešního pohledu je to citlivá problematika bezpečnosti a spolehlivosti provozu!
Návod "jak na to" najdete kliknutím ZDE, je to snadné ;-)
