In einfachen Anwendungsfällen verwaltet ein Gerät lediglich zwei lokale Netzwerke: das Intranet und die DMZ. In einer komplexeren Umgebung ist es jedoch oft wünschenwert, mehr als ein Intranet und eine DMZ mit einem Gerät zu realisieren, um auf diese Weise z. B. mehreren IP-Netzen über ein zentrales Gerät den Zugang zum Internet zu ermöglichen. Aktuelle Geräte unterstützen je nach Modell bis zu 64 verschiedene IP-Netzwerke.
Bei der Realisierung von mehreren IP-Netzwerken sind mehrere Szenarien möglich:
- Ein Netzwerk je Interface.
- Mehrere Netzwerke je Interface.
- Mehrere VLANs je Interface, auf jedem VLAN ein oder mehrere Netzwerke (das entspricht einer Kombination aus den ersten beiden Szenarien).
Um diese Szenarien zu ermöglichen, stehen mit den Funktionen des Advanced Routing and Forwarding (ARF) sehr flexible Möglichkeiten zur Definition von IP-Netzwerken und der Zuordnung dieser Netzwerke zu den Interfaces bereit. Das untenstehende Diagramm verdeutlicht die Zuordnung von Netzwerken zu Interfaces auf verschiedenen Ebenen. Die dabei verwendeten Konfigurationsmöglichkeiten werden in den folgenden Kapiteln vorgestellt.
So verläuft die Zuordnung von IP-Netzwerken zu Interfaces:
- Je nach Modell haben die Geräte eine unterschiedliche Anzahl von physikalischen Interfaces, also Ethernet-Ports oder WLAN-Module. Diesen zugeordnet sind die logischen Interfaces:
- Für die Ethernet-Ports geschieht die Zuordnung durch das Ethernet Port Mapping. Anmerkung: Die Anzahl der logischen LAN-Interfaces entspricht nicht bei allen Modellen der Anzahl der verfügbaren physikalischen Ethernet-Ports.
- Für die WLAN-Module entstehen durch den Aufbau von Point-to-Point-Strecken (P2P) bzw. durch die Verwendung von Multi-SSID auf jedem physikalischen WLAN-Modul mehrere WLAN-Interfaces: bis zu 16 WLAN-Netze und bis zu 16 P2P-Strecken pro Modul.
- Für die Ethernet-Ports geschieht die Zuordnung durch das Ethernet Port Mapping.
- Diese logischen Interfaces werden im nächsten Schritt weiter spezifiziert bzw. gruppiert:
- Bei Geräten mit VLAN-Unterstützung können für jedes logische Interface durch die Verwendung von VLAN-IDs mehrere VLANs definiert werden. Der Datenverkehr der verschiedenen VLANs läuft dann zwar ggf. über ein gemeinsames logisches Interface ab, wird aber durch die VLAN-ID streng von den anderen VLANs getrennt. Aus Sicht der Geräte stellen sich die VLANs also als separate Interfaces dar, aus einem einzelnen logischen Interface werden also für das Gerät mehrere logische Interfaces, die einzeln angesprochen werden können.
- Bei Geräten mit WLAN-Modulen können die einzelnen logischen Interfaces zu Gruppen zusammengefasst werden. Dazu wird die LAN-Bridge verwendet, welche die Datenübertragung zwischen den LAN- und WLAN-Interfaces regelt. Durch die Zusammenfassung zu Bridge-Gruppen (BRG) können mehrere logische Interfaces gemeinsam angesprochen werden und wirken so für das Gerät wie ein einzelnes Interface – damit wird also das Gegenteil des VLAN-Verfahrens erreicht.
- Im letzten Schritt wird durch die Möglichkeiten des ARF eine Verbindung zwischen den logischen Interfaces mit VLAN-Tags und den Bridge-Gruppen einerseits sowie den IP-Netzwerken andererseits hergestellt. Ein IP-Netzwerk enthält daher in der Konfiguration den Verweis auf ein logisches Interface (ggf. mit VLAN-ID) oder eine Bridge-Gruppe. Darüber hinaus kann für jedes IP-Netzwerk ein Schnittstellen-Tag festgelegt werden, mit dem ein IP-Netz auch ohne Firewall-Regel von anderen Netzen getrennt werden kann.
Gerade die zuletzt dargestellte Definition von Schnittstellen-Tags für IP-Netze stellt einen der bedeutenden Vorteile des Advanced Routing and Forwarding dar – mit Hilfe dieser Option werden "virtuelle Router" realisiert. Ein virtueller Router nutzt anhand des Schnittstellen-Tags für ein IP-Netz nur einen Teil der Routing-Tabelle und steuert so das Routing ganz speziell für dieses eine IP-Netzwerk. Auf diese Weise können in der Routing-Tabelle z. B. mehrere Default-Routen definiert werden, jeweils mit Routing-Tags versehen. Die virtuellen Router für die IP-Netze wählen anhand dieser Tags diejenige Default-Route aus, die für das jeweilige IP-Netz mit dem passenden Schnittstellen-Tag gilt. Die Separation der IP-Netzwerke über die virtuellen Router geht so weit, dass sogar mehrere IP-Netzwerke mit identischem Adresskreis problemlos parallel in einem Gerät betrieben werden können.
Ein Beispiel: In einem Bürogebäude sollen mehrere Firmen über ein zentrales Gerät an das Internet angebunden werden, dabei hat jede Firma einen eigenen Internetprovider. Alle Firmen wollen das oft verwendete IP-Netzwerk '10.0.0.0' mit Netzmaske '255.255.255.0' nutzen. Um diese Aufgabe zu realisieren, wird für jede Firma ein IP-Netz '10.0.0.0/255.255.255.0' mit einem eindeutigen Namen und einem eindeutigen Schnittstellen-Tag angelegt. In der Routing-Tabelle wird für jeden Internetprovider eine entsprechende Default-Route mit dem passenden Routing-Tag angelegt. Auf diese Weise können die Clients in den verschiedenen Firmennetzen mit den gleichen IP-Adressen über ihren jeweiligen Provider das Internet nutzen. Mit dem Einsatz von VLANs können die logischen Netzwerke auch auf demselben physikalischen Medium (Ethernet) voneinander getrennt werden.
Unterschiede zwischen Routing-Tags und Schnittstellen-Tags
Routing-Tags, die über die Firewall zugewiesen werden, und die über IP-Netzwerke definierten Schnittstellen-Tags haben einiges gemeinsam, es gibt aber auch wichtige Unterschiede:
- Der Router wertet beide Tags gleich aus. Für die Pakete mit dem Schnittstellen-Tag '2' gelten also alle Routen mit Routing-Tag '2' in der Routing-Tabelle (und alle Routen mit Default-Routing-Tag '0'). Die gleichen Routen gelten auch für Pakete, denen die Firewall das Routing-Tag '2' zugewiesen hat. Das heißt, beim Routing wird das Schnittstellen-Tag wie ein Routing-Tag verwendet!
- Schnittstellen-Tags schränken aber darüber hinaus noch die Sichtbarkeit (oder Erreichbarkeit) der Netzwerke untereinander ein:
- Grundsätzlich können sich nur Netzwerke mit gleichem Schnittstellen-Tag untereinander "sehen", also Verbindungen in das jeweils andere Netz aufbauen.
- Netzwerke mit dem Schnittstellen-Tag '0' haben eine besondere Bedeutung – sie sind quasi Supervisor-Netze. Diese Netze können alle anderen Netze sehen, also Verbindungen in andere Netze aufbauen. Netze mit Schnittstellen-Tag ungleich '0' können hingegen keine Verbindungen in die Supervisor-Netze aufbauen.
- Netzwerke vom Typ 'DMZ' sind unabhängig vom Schnittstellen-Tag für alle anderen Netzwerke sichtbar – das ist auch sinnvoll, da in der DMZ oft öffentlich zugängliche Server wie Webserver etc. stehen. Die DMZ-Netze selbst sehen aber nur die Netze mit gleichem Schnittstellen-Tag (und natürlich alle anderen DMZ-Netze).
- Einen Sonderfall stellen Netze vom Typ 'DMZ' mit dem Schnittstellen-Tag '0' dar: diese Netze können als "Supervisor-Netz" selbst alle anderen Netze sehen, werden aber auch gleichzeitig von allen anderen Netze gesehen.
Anmerkung: In Fällen, die keine eindeutige Zuordnung der IP-Adressen über die Schnittstellen-Tags erlauben, wird das Advanced Routing and Forwarding durch entsprechende Firewall-Regeln unterstützt. Das ist im vorgenannten Beispiel der Fall, wenn in jedem Netzwerk ein öffentlich erreichbarer Web- oder Mailserver steht, die ebenfalls die gleiche IP-Adresse verwenden.
