 |
|
25.5. LAN-Kopplung mit einer Bridge
Geschrieben von Steve Peterson.25.5.1. Einführung
Manchmal ist es nützlich, ein physikalisches Netzwerk (wie ein Ethernetsegment) in zwei separate Netzwerke aufzuteilen, ohne gleich IP-Subnetze zu erzeugen, die über einen Router miteinander verbunden sind. Ein Gerät, das zwei Netze auf diese Weise verbindet, wird als Bridge bezeichnet. Jedes FreeBSD-System mit zwei Netzkarten kann als Bridge fungieren.
Die Bridge arbeitet, indem sie die MAC Layeradressen (Ethernet Adressen) der Geräte in ihren Netzsegmenten lernt. Der Verkehr wird nur dann zwischen zwei Netzsegmenten weitergeleitet, wenn sich Sender und Empfänger in verschiedenen Netzsegmenten befinden.
In vielerlei Hinsicht entspricht eine Bridge daher einem Ethernet-Switch mit sehr wenigen Ports.
25.5.2. Situationen, in denen Bridging angebracht ist
Eine Bridge wird vor allem in folgenden zwei Situationen verwendet:
25.5.2.1. Hohes Datenaufkommen in einem Segment
In der ersten Situation wird Ihr physisches Netz mit Datenverkehr überschwemmt. Aus irgendwelchen Gründen wollen Sie allerdings keine Subnetze verwenden, die über einen Router miteinander verbunden sind.
Stellen Sie sich einen Zeitungsverlag vor, in dem sich die Redaktions- und Produktionsabteilungen in verschiedenen Subnetzen befinden. Die Redaktionsrechner verwenden den Server A für Dateioperationen, und die Produktionsrechner verwenden den Server B. Alle Benutzer sind über ein gemeinsames Ethernet-LAN miteinander verbunden. Durch das hohe Datenaufkommen sinkt die Geschwindigkeit des gesamten Netzwerks.
Würde man die Redaktionsrechner und die Produktionsrechner in separate Netzsegmente auslagern, könnte man diese beiden Segmente über eine Bridge verbinden. Nur der für Rechner im jeweils anderen Segment bestimmte Verkehr wird dann über die Brigde in das andere Netzsegment geleitet. Dadurch verringert sich das Gesamtdatenaufkommen in beiden Segmenten.
25.5.2.2. Filtering/Traffic Shaping Firewall
Die zweite häufig anzutreffende Situation tritt auf, wenn Firewallfunktionen benötigt werden, ohne dass Network Adress Translation (NAT) verwendet wird.
Ein Beispiel dafür wäre ein kleines Unternehmen, das über DSL oder ISDN an seinen ISP angebunden ist. Es verfügt über 13 weltweit erreichbare IP-Adressen, sein Netzwerk besteht aus 10 Rechnern. In dieser Situation ist die Verwendung von Subnetzen sowie einer routerbasierten Firewall schwierig.
Eine brigdebasierte Firewall kann konfiguriert und in den ISDN/DSL-Downstreampfad ihres Routers eingebunden werden, ohne sich um IP-Adressen kümmern zu müssen.
25.5.3. Die LAN-Kopplung konfigurieren
25.5.3.1. Auswahl der Netzkarten
Eine Bridge benötigt mindestens zwei Netzkarten. Leider sind unter FreeBSD 4.X nicht alle verfügbaren Netzkarten dafür geeignet. Lesen Sie bridge(4) für Informationen zu unterstützten Karten.
Installieren und testen Sie beide Netzkarten, bevor Sie fortfahren.
25.5.3.2. Anpassen der Kernelkonfiguration
Um die Kernelunterstützung für die LAN-Kopplung zu aktivieren, fügen Sie
options BRIDGE
in Ihre Kernelkonfigurationsdatei ein, und erzeugen einen neuen Kernel.
25.5.3.3. Firewallunterstützung
Wenn Sie die Bridge als Firewall verwenden wollen, müssen Sie zusätzlich die Option IPFIREWALL einfügen. Die Konfiguration einer Firewall wird in Kapitel 24 des Handbuchs beschrieben.
Wenn Sie Nicht-IP-Pakete (wie ARP-Pakete) durch Ihre Bridge leiten wollen, müssen Sie eine zusätzliche Option verwenden. Es handelt sich um IPFIREWALL_DEFAULT_TO_ACCEPT. Beachten Sie aber, dass Ihre Firewall durch diese Option per Voreinstellung alle Pakete akzeptiert. Sie sollten sich also über die Auswirkungen dieser Option im Klaren sein, bevor Sie sie verwenden.
25.5.3.4. Unterstützung für Traffic Shaping
Wenn Sie die Bridge als Traffic-Shaper verwenden wollen, müssen Sie die Option DUMMYNET in Ihre Kernelkonfigurationsdatei einfügen. Lesen Sie dummynet(4), um weitere Informationen zu erhalten.
25.5.4. Die LAN-Kopplung aktivieren
Fügen Sie die Zeile
net.link.ether.bridge.enable=1
in /etc/sysctl.conf ein, um die Bridge zur Laufzeit zu aktivieren, sowie die Zeile
net.link.ether.bridge.config=if1,if2
um die LAN-Kopplung für die festgelegten Geräte zu ermöglichen (ersetzen Sie dazu if1 und if2 durch die Namen Ihrer Netzkarten). Wenn Sie die Datenpakete via ipfw(8) filtern wollen, sollten Sie zusätzlich folgende Zeile einfügen:
net.link.ether.bridge.ipfw=1
Vor FreeBSD 5.2-RELEASE verwenden Sie die folgenden Zeilen:
net.link.ether.bridge=1 net.link.ether.bridge_cfg=if1,if2 net.link.ether.bridge_ipfw=1
25.5.5. Sonstige Informationen
Wenn Sie via ssh(1) auf die Bridge zugreifen wollen, können Sie einer der Netzkarten eine IP-Adresse zuzuweisen. Es besteht Einigkeit darüber, dass es eine schlechte Idee ist, beiden Karten eine IP-Adresse zuzuweisen.
Wenn Sie verschiedene Bridges in Ihrem Netzwerk haben, kann es dennoch nicht mehr als einen Weg zwischen zwei Arbeitsplätzen geben. Das heißt, Spanning tree link Management wird nicht unterstützt.
Eine Bridge kann, besonders für Verkehr über Segmente, die Laufzeiten von Paketen erhöhen.
| Zurück | Zum Anfang | Weiter |
| Bluetooth | Nach oben | Start und Betrieb von FreeBSD über ein Netzwerk |
Wenn Sie Fragen zu FreeBSD haben, schicken Sie eine E-Mail an
<de-bsd-questions@de.FreeBSD.org>.
Wenn Sie Fragen zu dieser Dokumentation haben, schicken Sie eine E-Mail an <de-bsd-translators@de.FreeBSD.org>.
Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 17:56:55