Топологія мережі

Це мережева топологія, яка використовується як спільна основа для більшості конфігурацій у цьому розділі.

На верхівці діаграми — публічний Інтернет. Мережа має одну публічну IPv4-адресу, орендовану у Verizon (5 доларів США/місяць), яка завершується на маршрутизаторі Verizon Multimedia over Coax Alliance (MoCA). Цей маршрутизатор обслуговує телефони, відеоприставки та доступ до Інтернету (т. зв. triple play). Єдиний інтерфейс GigE 802.3 з'єднаний з основним маршрутизатором MAIN, який надає весь дротовий та бездротовий доступ до Інтернету у внутрішній мережі.

:!: Цікаво, що маршрутизатор Verizon MoCA працює на базі ARM926 із прошивкою jungo openrq, що базується на ядрі Linux 2.6.16. Схоже, jungo багато років тому була придбана компанією Cisco Systems; зараз Cisco продає openrq. Складається враження, що Verizon вже давно працює без підтримки розробників...

А тепер — до сучасніших технологій...

Комутатор у MAIN сконфігуровано для об'єднання всього трафіку з LAN-сторони в інтерфейс br-lan за замовчуванням у мережі 192.168.3.0/24. Див. lan bridge для опису. MAIN обслуговує всі внутрішні станції у мережі 192.168.3.0/24 — переважно це бездротові клієнти WLAN, але є й кілька дротових клієнтів Ethernet (для принтера та NAS). У тестовій мережі фаєрвола:

  • MAIN — це робочий маршрутизатор OpenWrt;
  • STA1 — це ноутбук з Linux, з якого ініціюються більшість тестів;
  • DUT — це тестовий пристрій OpenWrt (Device Under Test), підключений до одного з Ethernet-портів MAIN;
  • STA2 — ще один ноутбук з Linux;
  • STA3 та STA4 — Wi-Fi-пристрої (планшет, телефон тощо);
  • STA-server1 — це сервер з Linux, підключений до Ethernet-порту DUT у VLAN 102;
  • STA-server2 — це настільний комп'ютер з Linux, підключений до DUT у VLAN 103.

Якщо не зазначено інше, IPv4-адреси призначаються через DHCP.

Для DUT у MAIN задається статична DHCP-оренда, щоб DUT завжди отримував ту саму IP-адресу: 192.168.3.11. Також у маршрутизаторі MAIN додаються статичні маршрути до мереж DUT, щоб STA1 міг спілкуватися з пристроями у VLAN 102 та VLAN 103. Див. налаштування ipv4 для створення статичних маршрутів.

DUT сконфігурований з двома VLAN:

  • eth0.102 — це міст LAN у мережі 192.168.10.0/24 для базового тестування фаєрвола;
  • eth0.103 — це один дротовий Ethernet-порт у мережі 192.168.30.0/24 для тестування DMZ.

Ця референсна топологія дозволяє змінювати правила фаєрвола на DUT у пісочниці, не підключаючи його до Інтернету — лише внутрішні станції з LAN-сторони MAIN можуть звертатися до DUT. Додаткова перевага: тестування правил фаєрвола не призводить до повної втрати зв'язку між STA1 і DUT (хоча таке все одно можливо, якщо сильно зіпсувати правила).

:!: Зазвичай політика для LAN-to-WAN встановлюється як ACCEPT, тобто весь трафік з LAN-сторони дозволяється. У цій топології політика встановлена як REJECT, тому для кожної служби (наприклад, ICMP, SSH, HTTP) потрібно явно додати правило фаєрвола. Це зменшує плутанину, коли пакет проходить, хоча очікувалося, що його буде відкинуто.

This website uses cookies. By using the website, you agree with storing cookies on your computer. Also you acknowledge that you have read and understand our Privacy Policy. If you do not agree leave the website.More information about cookies
  • Last modified: 2025/06/06 13:42
  • by vazaz