Advanced-Routing and Forwarding: Virtualisierung über das LAN hinaus

Virtualisierung ist einer der großen, aktuellen Trends in der IT-Branche. Die Gründe liegen auf der Hand: mit Virtualisierung werden Ressourcen flexibler und wirtschaftlicher genutzt, Unternehmen realisieren mitunter massive Einsparungen. Auch im LAN bringt Virtualisierung viele Vorteile mit sich: so wird ein einziges, physikales Netz durch Virtualisierung zur Grundlage einer Vielzahl von Anwendungen.

Trennung der Netzwerke

Wesentliche Voraussetzung für den sicheren Betrieb von unterschiedlichen IP-Netzen in einem Gerät ist die Möglichkeit, den Datenverkehr der einzelnen Netze voneinander abzuschirmen. Die Netzwerke sind über die physikalischen Schnittstellen mit dem Router verbunden. Router bieten für die lokale Anbindung von Netzwerkteilnehmern je nach Modell ein oder mehrere Ethernet-Ports und WLAN-Module an. Diese physikalischen Interfaces werden aber nicht direkt für das Routing verwendet. Um eine möglichst hohe Flexibilität zu erreichen, werden die physikalischen Schnittstellen auf logische Interfaces gebunden.

Bei kabelgebundenen LAN-Anschlüssen findet die Zuordnung durch das Ethernet-Port-Mapping statt: für jeden Ethernet-Port kann gezielt die gewünschte Verwendung als logisches LAN-Interface konfiguriert werden.

Für WLAN-Schnittstellen entstehen durch den Aufbau von Point-to-Point-Strecken (P2P) beziehungsweise durch die Verwendung von Multi-SSID auf jedem physikalischen WLAN-Modul mehrere WLAN-Interfaces: bis zu acht WLAN-Netze (Multi-SSID) und bis zu sechs P2P-Strecken pro Modul, die sich dem Router jeweils als logische WLAN- beispielsweise P2P-Interfaces darstellen.

Beispielsweise bei Lancom-Routern kann jedes IP-Netzwerk eines der logischen LAN-, WLAN- oder P2P-Interfaces und die verbundene, physikalische Schnittstelle nutzen. Das Netzwerk befindet sich damit in einer separaten Broadcast-Domain und kann über das logische Interface ausschließlich mit dem Routermodul kommunizieren – eine direkte Datenübertragung in die anderen Netzwerke ist nicht möglich. Eine Broadcast-Domain stellt einen Bereich in einem lokalen Netzwerk dar, in dem ein eine Broadcast-Nachricht alle Teilnehmer erreicht. Broadcasts können auch über Switches oder Bridges hinweg übertragen werden. Erst mit dem Einsatz eines Routers oder durch durch die Aufteilung des lokalen Netzwerks in VLANs wird eine Broadcast-Domain begrenzt.

Die Entscheidung über die Datenübertragung zwischen den einzelnen IP-Netzen ist also in den Router verlagert, in dem die Datenströme aus allen IP-Netzwerken zusammenlaufen. Grundsätzlich wird dabei das Routing zwischen den verschiedenen lokalen IP-Netzen erlaubt.

Ein Ping oder eine Verbindung über die IP-Adresse wird über den Router richtig aufgelöst und durchgeleitet. Ein Zugang zu den Netzwerkgeräten über die Windows-Netzwerkumgebung ist nicht möglich, da die dafür benötigten Netbios-Broadcasts nicht den Rahmen der Broadcast-Domain verlassen. Der Zugriff über die Windows-Netzwerkumgebung kann allerdings mit einem gemeinsamen WINS-Server oder einer gemeinsamen Active-Directory-Struktur eingerichtet werden.

Geregeltes Routing mit Schnittstellen-Tags

Neben dem kompletten Abschalten des Routings zwischen den IP-Netzen kann über die Firewall gezielt eingestellt werden, welches IP-Netz über den Router auf welche Bereiche zugreifen darf. Bei einer größeren Anzahl von Netzen können dazu aber viele Firewall-Regeln erforderlich sein. Um das Routing zwischen den logischen Interfaces zu vereinfachen, wird jedes IP-Netzwerk mit einem Schnittstellen-Tag versehen. Dieses Tag regelt auf sehr elegante Art und Weise, welche IP-Netze über den Router miteinander verbunden werden:

  • Die Netzwerkgeräte in einem IP-Netzwerk können nur auf Ressourcen in Netzwerken mit dem gleichen Schnittstellen-Tag zugreifen. Das Schnittstellen-Tag »0« kennzeichnet ein Supervisor-Netzwerk: Geräte in diesem Netzwerk können auch auf Ressourcen in allen anderen Netzwerken zugreifen.
  • Das Schnittstellen-Tag steuert die Sichtbarkeit von IP-Netzen vom Typ »Intranet«. Neben den Intranets können die Netzwerke auch als »DMZ« (demilitarisierte Zone) konfiguriert werden. Mit dem Netzwerk-Typ »DMZ« wird ein IP-Netzwerk definert, auf dessen Ressourcen Teilnehmer aus allen anderen IP-Netzen zugreifen können – unabhängig von den verwendeten Schnittstellen-Tags.

Virtuelle Interfaces

Manchmal ist es nötig, die eindeutige Zuordnung der IP-Netze zu logischen Interfaces zu erweitern. Dazu können logische Interfaces in einem weiteren Schritt auf »virtuelle« Interfaces abgebildet werden. Je nach Verfügbarkeit der logischen Interfaces sind zwei Varianten möglich:

  • Mehrere logische Interfaces werden zu einem virtuellen Interface verbunden: Beispiel: In einem IP-Netz sollen neben Rechnern aus einem LAN auch Stationen aus einem WLAN verbunden werden. Hier werden die benötigten logischen Interfaces (z. B. ein LAN und ein WLAN für das Intranet) zu einer so genannten »Bridge-Gruppe« (BRG) zusammengefasst. Die Bridge-Gruppe spannt eine eigene Broadcast-Domain auf und definiert, welche logischen Interfaces ihr zugeordnet werden und wirkt für den Router wie ein einziges, virtuelles Interface. Zwischen den verbundenen logischen Interfaces der Bridge-Gruppe ist eine einfache Datenübertragung im Bridge-Modus möglich – alle anderen logischen Interfaces können mit dieser Bridge-Gruppe nur über den Router kommunizieren.
  • Ein logisches Interfaces wird von mehreren virtuellen Interfaces genutzt: Der ungekehrte Fall liegt vor, wenn das Gerät nicht ausreichend logische Interfaces bereitstellt, um jedem IP-Netz eine eindeutige Zuordnung zu ermöglichen. In dieser Situation werden mehrere VLANs definiert, die jeweils das gleiche logische Interface nutzen. Dazu wird dem IP-Netz neben dem logischen Interface eine VLAN-ID zugewiesen. Die VLANs stellen sich für den Router als separate, virtuelle Interfaces dar – der Datenverkehr der einzelnen VLANs ist jedoch untereinander abgeschirmt, jedes VLAN stellt eine separate Broadcast-Domain dar. So stehen für die IP-Netze neben den logischen Interfaces zusätzlich zahlreiche VLANs und Bridge-Gruppen als virtuelle Interfaces zur Auswahl, mit denen sich in jeder Anwendung der Datenverkehr der Netze untereinander abschirmen lässt.