Dołączanie wydzielonej sieci ethernetowej do sieci zakładowej z wykorzystaniem routera EDR-810

Kryspin Wach Aktualności, How to, Sieć Ethernet Tagi: , , , ,
Siec_glowna_1a

Wpis ten poświęcony jest zagadnieniu routingu pomiędzy dwoma sieciami ethernetowymi (np. nowoutworzonej sieci automatyki oraz sieci zakładowej).

Jest to wpis dla osób mających podstawową wiedzę z zakresu sieci ethernetowych (a więc wiedzących co to jest adres IP, czym różni się od adresu MAC, co oznacza maska sieci, brama, itp.). Jeżeli ktoś nie czuje się zbyt dobrze zaznajomiony z tymi pojęciami to proponujemy zapoznać się najpierw np. z tematem różnic pomiędzy urządzeniami różnego typu Różnica pomiędzy switchem niezarządzalnym, zarządzalnym, a switchem warstwy trzeciej.

Tematem będzie najprostszy sposób konfiguracji routera EDR-810 w celu skomunikowania ze sobą dwóch różnych podsieci. Dotychczasowej sieci (nazwiemy ją siecią zakładową) oraz nowoutworzonej sieci automatyki.

Dlaczego router w sieci?

Załóżmy, że mamy sytuację jak na ilustracji poniżej. Istniejącą sieć zakładową (o adresie 1.1.1.0 /24) oraz niewielką podsieć o adresie 2.2.2.0 /24. Są to nasze dwie sieci, które chcemy skomunikować ze sobą. Załóżmy najprostszy wariant, czyli gdy chcemy aby wszystkie urządzenia z sieci zakładowej mogły komunikować się ze wszystkimi urządzeniami z podsieci sutomatyki i vice versa. Samo fizyczne połączenie odpowiednich portów pomiędzy switchami z tych dwóch różnych sieci nie zda egzaminu. Urządzenia nie będą w stanie wymieniać ze sobą poprawnie informacji, ponieważ należą do dwóch różnych posdsieci. Oznacza to niezgodność na poziomie warstwy trzeciej (L3), która to warstwa dba m. in. o to aby tylko urządzenia z tych samych podsieci mogły się ze sobą widzieć. Karty sieciowe urządzeń Ethernetowych na podstawie adresów IP i masek określają czy dane urządzenia mogą się ze sobą komunikować czy nie.

Fizyczne połączenie kabelkiem skrętkowym odpowiednich portów z jednego switcha (z sieci zakładowej) i drugiego switcha (z sieci automatyki) sprawi, że co prawda urządzenia będą mogły widzieć nawzajem swoje adresy fizyczne (adresy MAC, a więc komunikacja w warstwie drugiej), ale nadal komunikacja w warstwie trzeciej (a więc w oparciu o adresy IP) nie będzie możliwa.

 

Siec_glowna_1dRys. Połączenie dwóch sieci o różnej adresacji (urządzenia należą do różnych podsieci) bez użycia urządzenia działającego w warstwie trzeciej nie zapewni poprawnej komunikacji pomiędzy tymi podsieciami

Aby rozwiązać ten problem należy zastosować router bądź switch pracujący w warstwie trzeciej (a więc switch warstwy trzeciej).

Podłączamy router do sieci

Rozwiązaniem problemu przedstawionego powyżej jest zastosowanie routera (bądź switcha warstwy trzeciej – L3). Takie urządzenie musi posiadać co najmniej dwa porty (będziemy je nazywali interfejsami) i każdy z nich będzie przypisany do innej podsieci. Jeden port (interfejs) będzie należał do naszej sieci zakładowej (będzie posiadał adres IP należący do tej podsieci), a drugi będzie należał do sieci automatyki. Zadaniem routera będzie automatyczna wymiana ruchu pomiędzy tymi dwoma interfejsami (portami).

W przypadku routera EDR-810 jedna z podsieci będzie podłączona do portu (bądź grupy portów ) oznaczonego jako WAN, a druga do portu LAN. EDR-810 jest urządzeniem zaprojektowanym z myślą o sieciach dostępowych. Oznacza to, że jedną z ważniejszych funkcji dla tego modelu jest zapewnienie dostępu lokalnych zasobów (np. sieci lokalnej) m.in. do internetu. Stąd router posiada m.in. zaawansowane ustawienia bezpieczeństwa (ograniczenie dostępu) pod nazwą Zapora Ogniowa (ang. firewall). Zapora ogniowa ma na celu m.in. filtrowanie ruchu pomiędzy sieciami połaczonymi do interfejsów WAN i LAN celem zapobiegania przed nieautoryzowanym dostępem. Dla uproszczenie przyjmijmy, że na początek chcemy zapewnić pełną komunikację pomiedzy wszystkimi urządzeniami z sieci zakładowej (1.1.1.0 /24) a sieci automatyki (2.2.2.0 /24).

Konfiguracja

Pierszą rzeczą będzie zalogowanie się poprzez przeglądarkę web do panelu konfiguracyjnego naszego routera. Domyślnym adresem IP naszego urządzenia jest 192.168.127.254 /24. Najłatwiej jest zmienić adres IP karty sieciowej naszego komputera na taki aby należał do sieci 192.168.127.0 (bo w tej podsieci jest domyślny adres naszego routera). W naszym przypadku jako adres IP komputera możemy więc wykorzystać adresy z zakresu 192.168.127.1….192.168.127.253. Nie możemy wykorzystać ostatniego dostępnego adresu z tej sieci (254) ponieważ ten adres posiada właśnie nasz router. Przy wpisywaniu adresu trzeba jeszcze pamiętać o wpisaniu prawidłowej maski sieci. Maska sieci musi być taka sama dla wszystkich urządzeń w danej podsieci i w naszym przypadku będzie to 255.255.255.0 (co odpowiada dokładnie masce w postaci zapisu „/24” stosowanego w tym wpisie wcześniej). Gdy już uda nam się dostać do panelu konfiguracyjnego routera poprzez przeglądarkę możemy się zalogować (domyślny login to „admin”, domyślne hasło to „moxa”).

Po zalogowaniu się możemy skorzystać z odpowiedniego kreatora konfiguracji o nazwie „Interface Type Quick Setting” w celu przyspieszenia procesu konfiguracji.

konfiguracja EDR-810-2a

Po zalogowaniu się do panelu web na górnej poziomej belce (zielonej) widać m.in. aktualny adres IP interfejsu LAN (w naszym przypadku jest to 192.168.127.254 – przed konfiguracją) oraz adres IP interfejsu WAN. W tym momencie na urządzeniu wszystkie fizyczne porty są skonfigurowane jako LAN więc interfejs WAN nie jest jeszcze aktywny. Urządzenie posiada 10 portów i wszystkie one są zaznaczone jako LAN (każdy port routera jest oznaczony na zielono z napisem „LAN”). Klikamy w drzewku po lewej stronie „Quick Setting Profiles”, a następnie „Interface Type Quick Setting” aby rozpocząć pracę z kreatorem konfiguracji. Teraz wybierając odpowiedni port na obrazku naszego urządzenia jesteśmy w stanie przypisać mu funkcję LAN, WAN bądź BR (bridge). Zostawiamy port nr 1 jako LAN i ustawiamy przykładowo port nr 2 jako WAN. Port zmieni kolor na czerwony. Klikamy „Next Step”.

konfiguracja EDR-810-3a

W ten sposób skonfigurujemy jeden port do pracy w sieci WAN oraz kilka portów należących do sieci LAN. W następnym kroku podajemy adres IP naszego interfejsu LAN. Przyjmijmy, że interfejsy LAN routera będą należały do sieci automatyki, a więc nadajemy im adres np. 2.2.2.254 /24. Będzie to ostatni dostępny adres naszej podsieci automatyki (2.2.2.0 /24). Klikamy „Next Step”.

konfiguracja EDR-810-4a

Rys. Ustawienie adresu IP dla interfejsu LAN na routerze EDR-810 poprzez kreator konfiguracji.

W następnym kroku analogicznie postępujemy z interfejsem WAN. Wybieramy „Connect Type” jako „Static IP” ponieważ chcemy indywidualnie ustawić adres i wpisujemy IP Address jako np. 1.1.1.254 oraz maskę 255.255.255.0. Ten adres należy do podsieci zakładowej i podobniej jak wcześniej jest to ostatni adres w tej podsieci. Bardzo ważne jest upewnienie się, że ten adres IP jest wolny (nie jest już używany przez jakieś inne urządzenie w sieci zakładowej). Przechodzimy do następnej zakładki (Next Step) i wybieramy usługi, które mają być uruchomione na naszym routerze. Ponieważ nie potrzebujemy na razie żadnych dodatkowych funkcji odznaczamy zarówno pole „Enable DHCP server…” jak również „Enable N-1 NAT”.

konfiguracja EDR-810-6

Na zakończenie naszego kreatora klikamy jeszcze raz „Next Step”, a następnie aktywujemy ustawienia klikając „Apply”. Po około 2 minutach nasz router uruchomi się z nowymi ustawieniami.

Na routerze EDR-810 routing pomiędzy sieciami bezpośrenio podłączonymi uruchamiany jest automatycznie. Oznacza to że nasz router będzie przekazywał pakiety z interfejsu LAN na WAN i vice versa. Gdyby istniała potrzeba ograniczenia ruchu pomiędzy np. jakimiś urządzeniami (np. pomiędzy jakimś urządzeniem w sieci automatyki, a innym urządzeniem w sieci zakładowej) to można to zrobić wprowadzając odpowiednie reguły na zaporze ogniowej naszego routera (na firewall-u).

Dodawanie bramy (gateway) do konfiguracji urządzeń sieciowych

Abyśmy jednak mogli komunikaować ze sobą urządzenia należące do różnych sieci nasze urządzenia sieciowe muszą wiedzieć jaką drogą (którędy) mają to robić. Musimy pokazać im, że aby dostać się do adresów z innych sieci (spoza naszej sieci lokalnej) muszą wysyłać dane na tak zwaną bramę (ang. gateway). W przypadku naszych urządzeń z sieci automatyki musimy wpisać każdemu z nich z osobna bramę z adresem IP 2.2.2.254. Będzie to oznaczało, że jeżeli będą chciały wysłać coś do sieci innej niż ich własna (LAN) to mają to robić właśnie poprzez wysyłanie danych na adres 2.2.2.254 (czyli do interfejsu routera w tej sieci).

Podobnie urządzenia z sieci zakładowej. Jeżeli będą chciały wysyłać coś poza swoją własną sieć (z punktu widzenia naszego routera jest to WAN) to muszą to robić poprzez adres 1.1.1.254 (interfejs routera w sieci zakładowej). W naszym przypadku przyjęliśmy bardzo duże uproszczenie polegające na tym, że sieć zakładowa nie składa się z żadnych innych podsieci i nie ma też dostępu do internetu. W innym przypadku urządzenia z sieci zakładowej miałyby już wpisaną bramę i nie moglibyśmy jej zmienić (bo stracilibyśmy np. dostęp do internetu na tych urządzeniach).

Gdy już powpisujemy prawidłowe bramy możemy przetestować komunikację.

Tabela routingu

Informację o możliwości komunikacji pomiędzy naszymi sieciami zobaczymy w tablicy routingu naszego routera. Tablicę routingu zobaczymy w zakładce „Routing” (Routing Table)

EDR - 810 routing table_a

Widzimy docelowe sieci (Destination Address) oraz interfejsy przez które prowadzi do nich droga (Next Hop).

Konfiguracja końcowa

W naszym przykładzie router posiada skonfigurowany interfejs LAN (kilka portów) i WAN (jeden port). Taki tryb bardzo często jest wykorzystywany do zapewnienia dostępu do internetu. Dla bezpieczeństwa jest więc wyłączona możliwość dostępu do konfiguracji naszego routera z urządzeń sieci 1.1.1.0 (czyli urządzeń podłączonych do portu WAN routera). Tak samo nie możemy żadnym urządzeniem z sieci 1.1.1.0 uzyskać odpowiedzi na polecenie ping od interfejsu 1.1.1.254.

Aby zmienić te ustawienia (umożliwić odpowiedzi na polecenie ping na porcie WAN i włączyć możliwość konfiguracji routera z sieci WAN) należy zmienić ustawienia:

– w zakładce „Security” -> „User Interface Management” włączyć odpowiedź na polecenie ping dla zapytań przychodzących na port WAN od strony sieci WAN

– w tej samej zakładce „Security” -> „Trusted Access” wyłączyć opcję „Enable the accessible IP list…”

W powyższym przykładzie rozważyliśmy najprostszy sposób połączenia dwóch sieci za pomocą routera EDR-810. Pominęliśmy wiele niuansów, aby maksymalnie uprościć i wyjaśnić sposób komunikacji pomiędzy dwoma podsieciami. Założyliśmy m.in. że sieć zakładowa nie posiada żadnych innych podsieci i nie jest podłączona do internetu (w praktyce najczęściej jest zapewniony taki dostęp). Przyjęliśmy również, że nasza sieć automatyki nie będzie potrzebowała dostępu do internetu. Konfiguracja została przetestowana na urządzeniu EDR-810 z oprogramowaniem w wersji 3.13.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *