Міжмережевий екран і мережеві інтерфейси

Завдання маршрутизатора — переспрямовувати потоки пакетів із вхідних мережевих інтерфейсів на вихідні. Правила міжмережевого екрана (firewall) додають додатковий рівень точності: визначають, які пакети дозволено переспрямовувати між інтерфейсами, а також які — дозволено надсилати до самого маршрутизатора або з нього. У цьому розділі описується взаємозв’язок між міжмережевим екраном і мережевими інтерфейсами.

У центрі кожного маршрутизатора — апаратний комутатор (switch) з кількома портами. Коли пакет надходить на один із портів, комутатор аналізує певне поле в пакеті та пересилає його на інший порт для передачі.

Комутатор зазвичай орієнтується на MAC-адресу одержувача (рівень 2 моделі OSI). Кожен порт має кеш MAC-адрес пристроїв, які доступні через цей порт. Записи в кеші поступово застарівають, тому в разі повторного використання адреси її потрібно знову “виявити”. Фрейми з відомою MAC-адресою направляються на відповідний LAN-порт. Якщо адреса невідома, надсилається широкомовний запит (наприклад, ARP) на всі порти LAN, щоб виявити, через який з них досяжна потрібна MAC-адреса.

Маршрутизатори OpenWrt мають два типи LAN-інтерфейсів:

• дротовий Ethernet (IEEE802.3 або Ethernet II за RFC894, де Ethernet II — найпоширеніший),
• бездротовий Ethernet (IEEE802.11).

Кожен дротовий LAN-порт фізично відповідає одному порту комутатора. Зазвичай є один Wi-Fi інтерфейс, підключений до радіомодуля (2.4 ГГц або 5 ГГц). Кожен такий модуль підтримує один або кілька протоколів IEEE802.11 (наприклад, 802.11a, 802.11n), а також додаткові функції — наприклад, mesh-мережі (802.11s). Wi-Fi-чіпи перетворюють сигнали 802.11 у стандартні Ethernet-кадри, які потім надходять у комутатор. Усі пристрої, підключені до точки доступу, використовують спільний радіомодуль і той самий порт комутатора.

Інтерфейс `br-lan` (LAN-міст) об’єднує бездротові інтерфейси з дротовими портами в одну логічну мережу.

Використовуйте міст (bridge) при поєднанні Wi-Fi та дротових портів. Інакше — розділіть інтерфейси за допомогою VLAN.

OpenWrt дозволяє об’єднувати інтерфейси у зони (zones), щоб логічно фільтрувати трафік. Зона може включати довільну кількість інтерфейсів, але зазвичай існує принаймні дві зони:

• `lan` — для всіх LAN-інтерфейсів,
• `wan` — для інтерфейсів доступу до Інтернету.

Це дещо спрощує логіку фільтрації:

• правило для пакета, що надходить із зони, означає, що пакет входить у маршрутизатор через один з інтерфейсів, що належить іншій зоні;
• правило для пакета, що прямує в зону, означає, що він виходить через один з інтерфейсів, що належить іншій зоні.

Зверніть увагу, що концепція зон не суттєво спрощує налаштування простого SOHO-маршрутизатора з одним інтерфейсом `br-lan` і одним `wan`. У такому випадку кожен інтерфейс відповідає окремій зоні один-до-одного.

Налаштування VLAN описано в таких розділах:

• Огляд VLAN
• Налаштування апаратного комутатора
• Створення віртуальних VLAN
• Використання VLAN для створення DMZ

Комутатор, розділений на кілька VLAN, допомагає краще організувати мережеві порти. Рекомендується налаштовувати відповідність 1:1 між VLAN і зонами.

Перевага VLAN-архітектури полягає в тому, що пакети отримують мітку VLAN ID — це дозволяє однозначно ідентифікувати призначення трафіку і застосовувати правильні правила маршрутизації та фільтрації.