ARP Proxy a VLAN

Verze pro tisk

7. ARP Proxy a VLAN

ARP Proxy lze použít, pokud IP adresy RTU za různými radiomodemy RipEX jsou z jakéhokoli důvodu v rámci stejné IP podsítě, nejdou tedy routovat.

Virtuální LAN (VLAN) funkce se obvykle používá, když je potřeba rozdělit síť do několika logických částí. Např. pro rozlišení mezi uživatelskými daty a správou zařízení nebo mezi různými aplikacemi (například různé technologie RTU).

Obě funkce je možné pro získání potřebných funkcí kombinovat.

7.1. Transparentní LAN (ARP Proxy)

I když RipEX funguje jako standardní IP router, umožňuje propojit i části stejné IP podsítě za různými jednotkami RipEX, a to bez definování výchozí brány. To může být provedeno použitím funkce proxy ARP.

[Poznámka]Poznámka

Viz 1.4 – „Flexible protokol v režimu Router“ – příklady konfigurace bez použití ARP proxy.

RipEX může odpovědět na jakoukoliv ARP žádost s tím, že předstírá, že má tuto konkrétní IP adresu (RipEX může odpovídat na více ARP požadavků). Tato funkce se obvykle používá tam, kde IP adresy RTU jsou za různými jednotkami RipEX ve stejné IP podsíti a RTU nemají schopnost routingu.

Základní použití ARP proxy

Obr. 7.1: Základní použití ARP proxy

V tomto diagramu RTU nemají schopnost routingu (tj. RTU očekává, že její protějšek je ve stejné fyzické síti Ethernet). Pokud RTU Master začíná komunikovat s RTU Slave, požaduje jeho MAC adresu. RTU Slave, přestože je ve stejné podsíti LAN, neodpoví (protože je až za radiomodemem RipEX). Pokud však jednotka RipEX (radio IP 10.10.10.2) má funkci ARP proxy zapnutu, odpoví na tuto ARP žádost.

Takže s funkcí ARP proxy serveru, může lokální RipEX napodobit jakoukoliv IP adresu a odpovídat na ARP žádosti. V našem případě RTU Master bude považovat MAC adresu jednotky RipEX za MAC adresu Slave. A s příslušnými pravidly Routingu v jednotkách RipEX, můžeme dosáhnout potřebného vzájemného propojení. Nepotřebujeme nic nastavovat na připojeném RTU – bez brány a pravidel pro routing.

[Důležité]Důležité

Při použití této funkce buďte velmi opatrní, protože pomocí ARP Proxy lze zakázat veškerý provoz v LAN síti!

[Poznámka]Poznámka
  • Můžete kombinovat funkce ARP proxy, TCP proxy a terminál serveru. Viz podrobnosti příslušného helpu ve webovém rozhraní jednotky RipEX.

  • RipEX, ani při zapnuté funkci ARP proxy, nevysílá broadcast pakety přes rádiové linky.

7.2. Transparentní VLAN

VLAN tag (802.1Q protokol) tvoří pole 4 bytů Ethernetového rámce. Je vložen mezi MAC adresou a polem EtherType/Length fields původního rámce.

VLAN paket je definován dvěma hlavními parametry:

VLAN tag

– VLAN identifikátor (VID) je také nazýván „číslo VLAN“. Je 12 bitů dlouhý, takže můžeme mít až 4096 sítí VLAN (hodnoty 0x0000 a 0xFFF jsou vyhrazeny).

Priority Code Point (PCP)

– Tří bitové pole, které se vztahuje k prioritě IEEE 802.1p. Určuje úroveň priority rámce. Možné hodnoty jsou od 0 (best effort) do 7 (nejvyšší priorita); 1 představuje nejnižší prioritu. Tyto hodnoty mohou být použity pro stanovení priorit různých způsobů provozu (hlas, data, …).

Schéma VLAN

Obr. 7.2: Schéma VLAN

Jak je vidět z obrázku Obr. 7.2 – „Schéma VLAN“, máme samostatné sítě VLAN pro Management a dvě odlišné technologie, každá podsíť s vlastním IP.

[Poznámka]Poznámka

Můžete kombinovat funkce VLAN, TCP proxy a Terminal server. Viz podrobnosti příslušného helpu ve webovém rozhraní jednotky RipEX.

7.3. Příklady konfigurace

V této kapitole projdeme několik příkladů s cílem vysvětlit ARP proxy server a funkce VLAN v praxi. Všechny příklady budou mít stejnou hardwarovou konfiguraci a budeme měnit pouze nastavení softwaru (ARP proxy serveru, VLAN tagging, routing, …). Namísto RTU použijeme osobní počítače (PC).

Postupujte prosím jeden příklad po druhém, pro úplné pochopení rozdílů v konfiguraci a přínosů různých řešení.

7.3.1. Bez ARP Proxy a bez VLAN

Začneme se základním příkladem konfigurace bez použití ARP proxy nebo VLAN. Viz následující schéma:

Schéma základní konfigurace

Obr. 7.3: Schéma základní konfigurace

Tento příklad neodráží typickou konfiguraci, protože počítače sdílejí stejnou IP podsíť, ale za různými jednotkami RipEX v režimu Router. Obvykle by jednotky RipEX propojily různé IP podsítě. To lze snadno provést pomocí ARP proxy, ale v tomto případě je můžeme nastavit i zvláštními pravidly routingu.

[Poznámka]Poznámka

Nepřipojujte PC přes ETH/USB adaptér, ale používejte Ethernetové rozhraní. ETH/USB adaptér lze použít jen pro konfiguraci, nelze použít pro testy připojení.

Konfigurace routeru Ripex

Pro přístup do první jednotky RipEX jděte do Settings a nazvěte ji RipEX A. Nastavte následující IP adresy:

  • Radio IP address: 10.10.10.2, mask 255.255.255.0

  • Ethernet IP address: 192.168.2.251, mask 255.255.255.0

Na druhé jednotce, nastavte jméno RipEX B a nakonfigurujte ji s příslušnými IP adresami:

  • Radio IP address: 10.10.10.4, mask 255.255.255.0

  • Ethernet IP address: 192.168.2.252, mask 255.255.255.0

Viz nastavení jednotky RipEX A na následujícím snímku obrazovky.

Nastavení jednotky RipEX A

Obr. 7.4: Nastavení jednotky RipEX A

Nezapomeňte nastavit stejně frekvence TX/RX, kanálový odstup (Channel spacing), modulační rychlost (Modulation rate) a další parametry na obou jednotkách RipEX. Nepovolujte ARP proxy nebo VLAN.

Dalším krokem je nastavení Routingu (viz menu Routing). Konfigurujte jednotku RipEX A s těmito pravidly Routingu:

  • Destination: 192.168.2.252/32, Mask: 255.255.255.255, Gateway 10.10.10.4

  • Destination: 192.168.2.2/32, Mask: 255.255.255.255, Gateway 10.10.10.4

RipEX B bude mít velmi podobné cesty:

  • Destination: 192.168.2.251/32, Mask: 255.255.255.255, Gateway 10.10.10.2

  • Destination: 192.168.2.1/32, Mask: 255.255.255.255, Gateway 10.10.10.2

Nezapomeňte aktivovat obě cesty. Můžete také přidat poznámku ke každé trase. Viz příklad RipEX A Routing:

RipEX A Routing

Obr. 7.5: RipEX A Routing

Konfigurace počítače

Když jsme úspěšně nakonfigurovali obě jednotky RipEX, můžeme pokračovat s nastavením počítače.

  • PC #1: IP address: 192.168.2.1, Mask: 255.255.255.0, Default Gateway: 192.168.2.251

  • PC #2: IP address: 192.168.2.2, Mask: 255.255.255.0, Default Gateway: 192.168.2.252

[Poznámka]Poznámka

Pokud si nevíte rady s konfigurací těchto počítačů, viz manuál RipEX, http://www.racom.eu/eng/products/m/ripex/bench-test.html#connect-PC (anglicky).

Při společné konfiguraci se dvěma různými IP podsítěmki za jednotkami RipEX, bychom nepotřebovali žádné další kroky k připojení koncového bodu. V tomto příkladu musíme přidat dvě routovací pravidla na obou počítačích.

Chcete-li přidat pravidla Routingu v systému Windows, musíte spustit Windows Command Processor (cmd). Klikněte na tlačítko Start a potom zadejte příkaz cmd ve vyhledávacím poli Start. Vyberte ikonu Cmd.

Poté, co se zobrazí okno příkazového řádku, zadejte následující příkazy na PC # 1:

  • route add 192.168.2.252 mask 255.255.255.255 192.168.2.251

  • route add 192.168.2.2 mask 255.255.255.255 192.168.2.251

Je také potřeba přidat podobná pravidla Routingu na PC # 2:

  • route add 192.168.2.251 mask 255.255.255.255 192.168.2.252

  • route add 192.168.2.1 mask 255.255.255.255 192.168.2.252

[Poznámka]Poznámka

V OS Windows 7 potřebujete pro přidání cesty oprávnění správce (Admin).

Příkazový řádek

Obr. 7.6: Příkazový řádek

Test připojení

Zkontrolujte připojení spuštěním příkazu ping, který je také spuštěn z příkazového řádku. Zadejte „ping 192.168.2.1“ nebo „ping 192.168.2.251“, pokud jste provedli ping z PC # 1 a kontrolujte výsledky. Můžete také zkusit jiný směr, stačí přepnout IP adresy. Viz následující příklad:

Výsledky příkazu Ping (základní konfigurace)

Obr. 7.7: Výsledky příkazu Ping (základní konfigurace)

[Poznámka]Poznámka

Pokud ping není úspěšný, zkuste vypnout firewall systému Windows. Ten může blokovat ping pakety.

7.3.2. ARP Proxy

Pokud bychom neměli počítače jako koncové stanice, ale pouze jednoduché stanice RTU, může se stát, že nemohou být nakonfigurovány trasy a výchozí brány. V tomto případě musíme dosáhnout připojení prostřednictvím funkce serveru proxy ARP. Viz diagram:

Schéma konfigurace ARP proxy

Obr. 7.8: Schéma konfigurace ARP proxy

Konfigurace radiomodemu RipEX

Na obou jednotkách RipEX máme již skoro všechno nakonfigurováno. Stačí jít do menu Settings a kliknout na tlačítko VLAN & Subnets.

Zapněte funkci a zaškrtněte volbu ARP proxy na obou jednotkách. Potvrďte a uložte změny.

Povolení ARP proxy

Obr. 7.9: Povolení ARP proxy

Nemusíte měnit pravidla routingu. Jen nezapomeňte, že funkce proxy ARP funguje pro všechny cílové IP adresy v routingové tabulce jednotky RipEX. RipEX nebude napodobovat ARP proxy v odpovědích na jinou IP adresu.

Přidání routingových pravidel umožní ARP proxy na jiných IP adresách (například pokud chcete používat ARP proxy pro IP adresy 192.168.2.8-15, přidejte IP podsítě 192.168.2.8/29 do routingových pravidel).

Konfigurace počítače

Oba počítače mají stejné IP adresy jako v příkladě základní konfigurace. Stačí odstranit výchozí bránu.

  • PC #1:

    IP address: 192.168.2.1, Mask: 255.255.255.0

  • PC #2:

    IP address: 192.168.2.2, Mask: 255.255.255.0

Je třeba odstranit routingová pravidla, která jsme přidali dříve. Stačí jít znovu do příkazového řádku a zadat následující příkazy:

  • PC #1:

    • route delete 192.168.2.252 mask 255.255.255.255 192.168.2.251

    • route delete 192.168.2.2 mask 255.255.255.255 192.168.2.251

  • PC #2:

    • route delete 192.168.2.251 mask 255.255.255.255 192.168.2.252

    • route delete 192.168.2.1 mask 255.255.255.255 192.168.2.252

Zkouška spojení

Test je úplně stejný jako v kapitole „Test připojení“.

Nejdůležitější věcí je zapamatovat si v příkladě s ARP proxy, že jsme nemuseli konfigurovat jakoukoli výchozí bránu nebo routingová pravidla na počítačích (RTU stanicích). Díky tomu můžeme přidat i „jednoduché“ RTU stanice do naší sítě a můžeme mít stejné IP podsítě za různými jednotkami RipEX.

[Tip]Tip

Pečlivě zvažte návrh sítě, protože dobrý design sítě může výrazně snížit počet potřebných routingových pravidel v routingové tabulce jednotky RipEX.

Příklad 7.1. Routingová pravidla

Máte čtyři koncové stanice s IP adresami 192.168.2.1, .2.2, .2.5 a 2.6 a potřebujete dvě z nich za jednotkou RipEX A a dvě z nich za jednotkou RipEX B. S adresou 192.168.2.1 a .2.2 za jednotkou RipEX A, budete potřebovat přidat pouze jedno pravidlo v jednotce RipEX B: 192.168.2.4/30 přes RipEX A. V opačném případě budete muset přidat dvě pravidla (např s .2.1 a .2.5 IP adresami).

7.3.3. VLAN

Vysvětlíme dva podobné příklady ukazují funkci VLAN.

VLAN na jednom konci

V tomto příkladě budeme mít VLAN ID 2 použitou mezi jednotkou RipEX A a PC # 1. Management jednotky RipEX na stejném ethernetovém portu bude netagovaný.

Provoz na rádiovém kanálu je vždy netagovaný.

Komunikace mezi jednotkou RipEX B a PC # 2 bude také netagovaná.

Schéma konfigurace VLAN

Obr. 7.10: Schéma konfigurace VLAN

Konfigurace radiomodemu RipEX

Konfigurace jednotky RipEX A bude trochu složitější. K dispozici budou dvě podsítě, jedna pro VLAN a jedna pro ostatní komunikaci. Jděte do menu Settings a změňte Ethernetovou IP adresu na 192.168.3.251. Poté klikněte na tlačítko VLAN & Subnets a přidejte novou VLAN – budeme používat VLAN ID 2 s IP adresou 192.168.2.251.

RipEX A – konfigurace VLAN

Obr. 7.11: RipEX A – konfigurace VLAN

Na jednotce RipEX B, vypněte volbu VLAN & Subnets.

Pravidla routingu mohou zůstat na obou jednotkách stejná jako u předchozího příkladu ARP proxy. Chcete-li mít management IP podsítě (ETH) jednotky RipEX A dostupný z jednotky RipEX B, přidejte toto pravidlo pro routing: 192.168.3.0/24 přes 10.10.10.2. Ale není to nutné pro připojení koncové stanice.

Nastavení počítače

Konfigurace IP PC #2 je stejná.

  • IP address: 192.168.2.2

  • Subnet Mask: 255.255.255.0

  • Default Gateway: 192.168.2.252

Nastavení PC # 1 není tak jednoduché. Nastavte prosím následující parametry:

  • IP address: 192.168.3.1

  • Subnet Mask: 255.255.255.0

  • Default Gateway: 192.168.3.251

Jak můžete vidět, jsme napojeni na RipEX A uvnitř managementu IP podsítě 192.168.3.0/24. My ale stále potřebujeme nakonfigurovat rozharní VLAN. Tento krok se liší podle operačního systému (OS), který používáte. Popíšeme nezbytné kroky v Ubuntu 12.04 a dáme vám také krátký popis pro Windows 7.

Ubuntu 12.04

V příkazovém řádku zadejte následující příkazy:

modprobe 8021q
vconfig add eth0 2
ip link set eth0.2 up
ip link set mtu 1496 dev eth0.2
ip addr add 192.168.2.1/24 dev eth0.2

Nejdůležitější je příkaz vconfig, který vytváří VLAN rozhraní s názvem eth0.2. Umožníme tím rozhraní snížit MTU, protože další 4 bajty jsou přidány do každého frame kvůli VLAN tag a samozřejmě přiřadíme IP adresu rozhraní.

Poslední dva příkazy vytvářejí cesty, takže paket určený pro 192.168.2.2 nebo 192.168.2.252 je směrován přes gateway 192.168.2.251 (rozhraní RipEX VLAN).

Windows 7

V operačním systému Windows 7 neexistuje žádný nástroj jako vconfig. Funkce VLAN jsou závislé na síťovém adaptéru a nainstalovaných ovladačích. Podívejte se prosím na příslušné stránky vaší síťové karty pro získání správného ovladače VLAN.

[Poznámka]Poznámka

Může se stát, že vaše síťová karta nebude sítě VLAN vůbec podporovat.

Chcete-li zjistit, jakou máte síťovou kartu a ovladače, jděte do menu Start → Ovládací panely → Systém a zabezpečení → Správce zařízení → Síťové adaptéry. Zde byste měli vidět vaši síťovou kartu. Klikněte na ni pravým tlačítkem myši a zvolte možnost Vlastnosti.

Přidání VLAN v OS Windows 7

Obr. 7.12: Přidání VLAN v OS Windows 7

V našem příkladě jsme přidali rozhraní VLAN 2. Pro více informací viz manuál síťové karty.

Pokud jste byli úspěšní při přidávání nového VLAN rozhraní, měli byste vidět toto rozhraní mezi jinými fyzickými rozhraními sítě. Nastavte IP adresu, masku a bránu jako obvykle:

  • IP address: 192.168.2.1

  • Subnet Mask: 255.255.255.0

  • Default Gateway: 192.168.2.251

Nyní stačí přidat cesty na IP adresy 192.168.2.2 a 192.168.2.252 IP. Spusťte příkazový řádek a zadejte:

route add 192.168.2.252 mask 255.255.255.255 192.168.2.251
route add 192.168.2.2 mask 255.255.255.255 192.168.2.251
[Poznámka]Poznámka

V OS Windows 7 potřebujete pro přidání cesty oprávnění správce (Admin).

Zkouška spojení

Tento test je stejný, jak je popsáno v předcházejících kapitolách.

Můžete spustit funkci Monitoring v jednotce RipEX pro sledování paketů na rozhraní rádio/Ethernet a uvidíte Ethernet VLAN tagy a další informace. Viz následující příklad:

Monitoring ping paketů s VLAN tagy

Obr. 7.13: Monitoring ping paketů s VLAN tagy

VLAN na obou koncích

Můžeme také nastavit VLAN na obou jednotkách RipEX, takže údaje VLAN (označené) budou také přenášeny prostřednictvím Ethernetové linky mezi PC # 2 a jednotkou RipEX B. Nicméně provoz je vždy neoznačený na rádiovém kanále.

Schéma konfigurace VLAN č. 2

Obr. 7.14: Schéma konfigurace VLAN č. 2

Konfigurace jednotky RipEX

RipEX má stejnou konfiguraci jako v předchozím příkladu. Pokud si chcete vyzkoušet připojení ETH rozhraní jednotky RipEX, budete muset přidat toto routingové pravidlo:

  • Destination: 192.168.4.0/24, Mask: 255.255.255.0, Gateway 10.10.10.4

U jednotky RipEX B je třeba provést několik změn. Změňte ethernetovou IP adresu 192.168.4.252 s maskou 255.255.255.0. Nyní přejděte do menu VLAN & Subnets, povolte funkci a přidejte novou VLAN – nepoužívejte VLAN ID 2 s IP adresou 192.168.2.252.

Konfigurace VLAN jednotky RipEX B

Obr. 7.15: Konfigurace VLAN jednotky RipEX B

VLAN ID je stejné jako u jednotky RipEX A, ale v případě potřeby lze nastavit jakékoliv ID.

[Poznámka]Poznámka

Po dokončení tohoto příkladu můžete zkusit povolit VLAN na výchozím rozhraní.

Routingová tabulka pro jednotku RipEX B má tři pravidla:

  • Destination: 192.168.2.251/32, Mask: 255.255.255.255, Gateway 10.10.10.2

  • Destination: 192.168.2.1/32, Mask: 255.255.255.255, Gateway 10.10.10.2

  • Destination: 192.168.3.0/24, Mask: 255.255.255.0, Gateway 10.10.10.2

Routingová tabulka jednotky RipEX B

Obr. 7.16: Routingová tabulka jednotky RipEX B

Konfigurace počítače

Nemusíme nic měnit na PC # 1. PC # 2 potřebuje následující změny:

  • IP address: 192.168.4.2, mask 255.255.255.0, gateway 192.168.4.252

Nyní musíme přidat rozhraní VLAN s ID 2. Viz postup v předchozím příkladu.

Pokud jste přidali rozhraní VLAN, přidejte následující pravidla pro Routing:

  • route add 192.168.2.251 mask 255.255.255.255 192.168.2.252

  • route add 192.168.2.1 mask 255.255.255.255 192.168.2.252

[Poznámka]Poznámka

V OS Windows 7 potřebujete pro přidání cesty oprávnění správce (Admin).

Zkouška spojení

Postupujte podle kroků popsaných v některém z předchozích kapitol s názvem „Zkouška spojení“. Měli byste být schopni poslat ping z kteréhokoliv zařízení na jakoukoliv VLAN nebo Ethernetovou IP adresu.

Management VLAN

Nyní byste měli mít dostatek zkušeností pro další test. Nastavte jinou VLAN ID na obou počítačích. Použijte stejnou VLAN ID na rozhraní ETH.0 pro RipEX management. Budete mít sítě „VLAN only“.

Schéma managementu VLAN

Obr. 7.17: Schéma managementu VLAN

[Poznámka]Poznámka

VLAN 2 je ve stejné podsíti 192.168.2.0/24. VLAN 3 je v podsíti 192.168.3.0/24 a VLAN 4 v podsíti 192.168.4.0/24.