LANCOM LCOS 9.00 Referenzhandbuch Seite 318

Referenzhandbuch
6 Routing und WAN-Verbindungen
Gerade die zuletzt dargestellte Definition von Schnittstellen-Tags für IP-Netze stellt einen der bedeutenden Vorteile des
Advanced Routing and Forwarding dar – mit Hilfe dieser Option werden „virtuelle Router" realisiert. Ein virtueller Router
nutzt anhand des Schnittstellen-Tags für ein IP-Netz nur einen Teil der Routing-Tabelle und steuert so das Routing ganz
speziell für dieses eine IP-Netzwerk. Auf diese Weise können in der Routing-Tabelle z. B. mehrere Default-Routen definiert
werden, jeweils mit Routing-Tags versehen. Die virtuellen Router für die IP-Netze wählen anhand dieser Tags diejenige
Default-Route aus, die für das jeweilige IP-Netz mit dem passenden Schnittstellen-Tag gilt. Die Separation der IP-Netzwerke
über die virtuellen Router geht so weit, dass sogar mehrere IP-Netzwerke mit identischem Adresskreis problemlos parallel
in einem Gerät betrieben werden können.
Ein Beispiel: In einem Bürogebäude sollen mehrere Firmen über ein zentrales Gerät an das Internet angebunden werden,
dabei hat jede Firma einen eigenen Internetprovider. Alle Firmen wollen das oft verwendete IP-Netzwerk '10.0.0.0' mit
Netzmaske '255.255.255.0' nutzen. Um diese Aufgabe zu realisieren, wird für jede Firma ein IP-Netz
'10.0.0.0/255.255.255.0' mit einem eindeutigen Namen und einem eindeutigen Schnittstellen-Tag angelegt. In der
Routing-Tabelle wird für jeden Internetprovider eine entsprechende Default-Route mit dem passenden Routing-Tag
angelegt. Auf diese Weise können die Clients in den verschiedenen Firmennetzen mit den gleichen IP-Adressen über
ihren jeweiligen Provider das Internet nutzen. Mit dem Einsatz von VLANs können die logischen Netzwerke auch auf
demselben physikalischen Medium (Ethernet) voneinander getrennt werden.
Unterschiede zwischen Routing-Tags und Schnittstellen-Tags
Routing-Tags, die über die Firewall zugewiesen werden, und die über IP-Netzwerke definierten Schnittstellen-Tags haben
einiges gemeinsam, es gibt aber auch wichtige Unterschiede:
1
Der Router wertet beide Tags gleich aus. Für die Pakete mit dem Schnittstellen-Tag '2' gelten also alle Routen mit
Routing-Tag '2' in der Routing-Tabelle (und alle Routen mit Default-Routing-Tag '0'). Die gleichen Routen gelten
auch für Pakete, denen die Firewall das Routing-Tag '2' zugewiesen hat.
Das heißt, beim Routing wird das Schnittstellen-Tag wie ein Routing-Tag verwendet!
1
Schnittstellen-Tags schränken aber darüber hinaus noch die Sichtbarkeit (oder Erreichbarkeit) der Netzwerke
untereinander ein:
2
Grundsätzlich können sich nur Netzwerke mit gleichem Schnittstellen-Tag untereinander „sehen", also Verbindungen
in das jeweils andere Netz aufbauen.
2
Netzwerke mit dem Schnittstellen-Tag '0' haben eine besondere Bedeutung – sie sind quasi Supervisor-Netze.
Diese Netze können alle anderen Netze sehen, also Verbindungen in andere Netze aufbauen. Netze mit
Schnittstellen-Tag ungleich '0' können hingegen keine Verbindungen in die Supervisor-Netze aufbauen.
2
Netzwerke vom Typ 'DMZ' sind unabhängig vom Schnittstellen-Tag für alle anderen Netzwerke sichtbar – das
ist auch sinnvoll, da in der DMZ oft öffentlich zugängliche Server wie Webserver etc. stehen. Die DMZ-Netze
selbst sehen aber nur die Netze mit gleichem Schnittstellen-Tag (und natürlich alle anderen DMZ-Netze).
2
Einen Sonderfall stellen Netze vom Typ 'DMZ' mit dem Schnittstellen-Tag '0' dar: diese Netze können als
„Supervisor-Netz" selbst alle anderen Netze sehen, werden aber auch gleichzeitig von allen anderen Netze
gesehen.
318