Ruuting domeenid

Allikas: Kuutõrvaja

Sissejuhatus

Ruuting domeenid (ingl. k. routing domains) võimaldavad ühe füüsilise arvuti abil ehitada mitu suhteliselt iseseisvat virtuaalset ruuterit. Ennustatakse, et praktiliselt võiks asuda seda tehnikat kasutama alates 4.7 OpenBSD versioonist, st 2010 aasta kevadel.

Üheks ruutingdomeenide kasutusalaks oleks võimalus ühendada ISPi kasutusjuhtumil mitmeid samu võrguaadresse kasutavaid klientide subnette sama OpenBSD tulemüüri külge.

Tööpõhimõte

Olgu tarvis ühe füüsilise arvutiga ruutida internetti kahte subnetti ja olgu arvutil on olemas neli füüsilist võrguseadet

                                          .. internet ...
                                      |                     |
                                     _|_                   _|_
                                    |   |                 |   |
                             isp 1  |___|                 |___|  isp 2
                   192.168.100.254    |                     |    10.0.100.254
                                       \                  /
                                         \              /
                                           \          /
                                             \      /
                                               |  |   
                          192.168.100.1, em0  _|__|_  bge0, 10.0.100.1
                                             |      |
                                             |______|
                          192.168.1.254, em1   |  |   bge1, 10.0.1.254
                                               |  |
                                               |  |
                                               | -|-------- 10.0.1.0/24 subnet 2, isp 2 ----- 
                                               |
 ------- 192.168.1.0/24 subnet 1, isp 1 -------|-

kusjuures

  • subnet 1 on ühendatud internetti läbi isp 1
  • subnet 2 on ühendatud internetti läbi isp 2
  • subnettide vahel ei toimu otse mingit liiklust (aga kui neist subnettidest pakutakse teenuseid, siis võib saada neile ligi üle avaliku võrgu)

Ruuting domeen on instrument, millega saab kasutaja määrata, millised füüsilised võrguseadmed komplekti moodustavad, kusjuures ruuting domeenil on iseseisev

  • ruuting domeeni number, vaikimisi on seadmed ruuting domeenis 0
  • ruutingutabel sh vaikelüüs
  • arp tabel

Seega antud juhtumil tuleks seadistada domeenid selliselt

  • 1 - em0, em1
  • 2 - bge0, bge1

Liiklus domeenide vahel on täielikult eraldatud.

Võrguseadmete seadistamine domeeni

Võrguseadme seadistamiseks ruuting domeeni tuleb näidata lisaks nö tavalistele seadistustele rdomain parameetriga ruuting domeeni nimi, nr 1

 # cat /etc/hostname.em0
 inet 192.168.100.1 255.255.255.0 NONE rdomain 1
 # sh /etc/netstart em0

Tulemus paistab selline

 # ifconfig em0
 em4: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> rdomain 1 mtu 1500
         lladdr 00:0c:29:fe:eb:82
         priority: 0
         media: Ethernet autoselect (1000baseT full-duplex,master)
         status: active
         inet 192.168.100.1 netmask 0xffffff00 broadcast 192.168.100.255

Lisaks sõna otseses mõttes füüsilistele seadmetele saab kasutada ruuting domeenides ka nt vlan seadmeid.

Domeeni ruutingutabeli seadistamine

Domeeni ruutingutabeli seadistamiseks tuleb lisaks kasutada -T parameetri järel domeeni nime, nt sedasi sobib seada vaikelüüs domeenis 1

 # route -T 1 add default 192.168.100.254

Domeeni ruutingutabeli küsimiseks sobib öelda nt

 # route -T 1 -n show

Paketifiltri kasutamine ruuting domeenidega

Ruuting domeene sisaldava tulemüüri paketifiltrimist kontrollib üks ja sama paketifiltri reeglibaas. Üheks võimaluseks näidata, millises ruuting domeenis reegel kehtib on kasutada reeglis võrguseadet või võrguseadmete gruppi.

Paketifiltri abil saab pakette saata ühest ruuting domeenist teise nt selliselt

pass in quick on re0 inet from 192.168.10.206 to 192.168.32.82 port 80 tag TO_RD85 rtable 85
pass out quick on re1 tagged TO_RD85 nat-to 172.16.10.2

kus

  • re0 asub ühes ruuting domeenis
  • re1 asub teises ruuting domeenis, mille id on 85

Võrguutiliitide kasutamine ruuting domeenidega

Järgevas on lühidalt iseloomustatud erinevate populaarsete võrguutiliitide kasutamist ruuting domeenide seisukohast. Lisaks on teadaolevalt ka nc, telnet ja traceroute nö ruuting domeenide võimelised.

tcpdump

tcpdump abil saab kuulata kõigi domeenide liiklust, iseenesest sõltub kuulatav domeen konkreetse seadme valikust kuna üks ja sama seade saab samaaegselt asuda vaid ühes domeenis.

arp

mac aadresside ja ip aadresside andmebaasi saab esitada domeenide kaupa kasutades lisaks parameetrit -V, nt

 # arp -V 1 -na

ping

Tulemüüri külge ühendatud erinevate domeenide subnettides olevaid arvuteid saab pingida kasutades lisaks parameetrit -V, nt

 # ping -V 1 192.168.1.23

Deemonite seostamine ruuting domeeniga

Võrgus teenust pakkuvat protsessi saab ruuting domeeniga seostada kasutades route käsu exec parameetrit.

named

# route -T 85 exec /usr/sbin/named

kus

  • exec /usr/sbin/named - parameetri järel näidatakse käivitatava programmi nimi, /usr/sbin/named
  • -T 85 - programm seostatakse ruuting domeeniga number 85

Tulemusena binditakse programm ainult kõnaluse ruuting domeeni võrguseadmete soketitele.

dhcpd

# route -T 85 exec /usr/sbin/dhcpd dc0 vlan14

CARP kasutamine ruuting domeenidega

CARP seadmed tuleb seadistada samasse ruuting domeeni kuhu kuuluvad vastavad füüsilised seadmed, muus osas töötab CARP nö tavalisel moel.

Märkused

  • systat tundub, et ei esita admeid ruuting domeenide kohta otseselt nähtaval kujul

Kasulikud lisamaterjalid