Advanced-Routing and Forwarding: Virtualisierung über das LAN hinaus

Virtualisierung ist einer der großen, aktuellen Trends in der IT-Branche. Die Gründe liegen auf der Hand: mit Virtualisierung werden Ressourcen flexibler und wirtschaftlicher genutzt, Unternehmen realisieren mitunter massive Einsparungen. Auch im LAN bringt Virtualisierung viele Vorteile mit sich: so wird ein einziges, physikales Netz durch Virtualisierung zur Grundlage einer Vielzahl von Anwendungen.

Virtuelle Router – die flexible Schnittstelle ins WAN

Mit der Definition der IP-Netze und der Separierung des Datenverkehrs wird der parallele Betrieb mehrerer LANs an einem zentralen Router sichergestellt. Für die Verbindung zu anderen Netzen ist der IP-Router zuständig. Die in der Routing-Tabelle angelegten Routen sind grundsätzlich für alle an das Gerät angeschlossenen lokalen Netze gültig – anders als beispielsweise die DHCP-Einstellungen, die für jedes IP-Netzwerk separat eingerichtet werden.

Der große Vorteil der virtuellen Router wird in folgendem Beispiel deutlich: Anhand der Quelle eines Datenpakets kann die Firewall ein Routing-Tag zuweisen, das im IP-Router zur Auswahl der geeigneten Route genutzt wird. Dieses Verfahren reicht aber dann nicht mehr, wenn der Router mehrere IP-Netze mit gleichem Adresskreis verwaltet: Eine Zuweisung des Tags anhand der Quell-Adresse wäre dann nicht mehr eindeutig möglich. Über das Schnittstellen-Tag ist jedoch die Zuordnung der Gegenstelle auch hier möglich. Das virtuelle Routing funktioniert nur durch die Auswertung der Schnittstellen-Tags, eine Konfiguration von zusätzlichen Firewallregeln ist nicht nötig. Für jedes lokale Netz kann so ein separater Provider-Zugang über eine getaggte Default-Route in der Routing-Tabelle angesteuert werden.

Die Firewall wird nur dann benötigt, wenn in den LANs mit gleichen IP-Adressen auch Server stehen, die aus dem Internet erreichbar sind. In diesem Fall wird der Verbindungsaufbau von außen nach innen ausgelöst. Die beim Router-Modul aus dem Internet eintreffenden Datenpakete verfügen aber nicht über Schnittstellen-Tags, die für die weitere Verarbeitung verwendet werden könnten. In diesem Fall kann jedoch die externe Gegenstelle ausgewertet werden, über welche die Pakete empfangen werden. Mit einer speziellen Firewallregel können Verbindungen von dieser Gegenstelle über den entsprechenden Port (z. B. Port 80 für Webserver) in das jeweilige Netzwerk erlaubt werden.

Fazit

Mit seinem Advanced-Routing & Forwarding bietet Lancom vielfältige Wege, Router zu virtualisieren. Auf diese Weise lässt sich nicht nur der interne Datenverkehr im LAN lenken, sondern auch der Weg nach draußen und die Zugriffe von außen. Unternehmen erhalten damit ganz neue Möglichkeiten, ihre Infrastruktur externen Teilnehmern zu öffnen, ohne gleich den Zugriff auf das ganze LAN zu ermöglichen. Dank ARF wird sicher abgegrenzt: wer darf rein, worauf darf zugegriffen werden – und mit welcher Priorität.

Eckhart Traber, Lancom

Übersicht