Verder Terug Inhoud

8. Netwerk interconnectie

Linux netwerken zijn rijk aan mogelijkheden. Een Linux box kan zodanig worden geconfigureerd dat het als een router, bridge, enz... fungeert. Een aantal van de beschikbare opties wordt hieronder beschreven.

8.1 Router

De Linux kernel heeft ingebouwde ondersteuning voor routing functies. Een Linux box kan óf als een IP óf als een IPX router fungeren voor een fractie van de kosten van een commerciële router. Recente kernels bevatten speciale opties voor computers die primair als routers fungeren:

Er zijn een aantal gerelateerde projecten waarvan er een is gericht op het bouwen van een compleet, Linux draaiende router op een diskette: Linux router project

8.2 Bridge

De Linux kernel heeft ingebouwde ondersteuning voor het fungeren als een Ethernet bridge, wat betekent dat de verschillende Ethernetsegmenten waarmee het is verbonden voor de deelnemers als éé Ethernet zal verschijnen. Verscheidene bridges kunnen met elkaar samenwerken om zelfs grotere netwerken met Ethernets te creëren met behulp van het IEEE802.1 spanning tree algoritme. Aangezien dit een standaard is, zullen Linux bridges goed met andere bridgeproducten van derden werken. Extra packages maken het filteren gebaseerd op IP, IPX of MAC-adressen mogelijk.

Gerelateerde HOWTO's:

8.3 IP Masquerade

IP Masquerade is een ontwikkelaars netwerkfunctie onder Linux. Als een Linux host met daarop IP-Masquerade geactiveerd een verbinding heeft met het Internet, dan kunnen ook de computers die daarop zijn aangesloten (óf op hetzelfde LAN of verbonden middels modems) het Internet bereiken, zelfs als ze geen officieel toegekend IP-adres hebben. Dit scheelt in de kosten, aangezien veel mensen zo het Internet kunnen benaderen met een enkele modemverbinding en het draagt tevens bij aan een verhoogde beveiliging (op een bepaalde manier fungeert de computer als firewall, aangezien onofficieel toegekende adressen niet van buiten dat netwerk kunnen worden benaderd).

IP masquerade gerelateerde pagina's en documenten:

8.4 IP Accounting

Deze optie van de Linux kernel houdt IP netwerkverkeer bij, zorgt voor de uitvoering van het loggen van pakketjes en produceert wat statistieken. Een serie regels kan worden gedefinieerd wanneer een pakketje met een bepaald patroon overeenkomt, een actie wordt uitgevoerd: een teller wordt opgehoogd, het wordt geaccepteerd/verworpen, enz.

8.5 IP aliasing

Deze feature van de Linux kernel voorziet in de mogelijkheid meerdere netwerkadressen op dezelfde low-level netwerk devicedriver in te stellen. (b.v twee IP-adressen voor één Ethernetkaart). Het wordt typisch gebruikt voor services die anders reageren gebaseerd op het adres waarnaar ze luisteren (b.v. "multihosting" of "virtuele domeinen" of "virtueel hosting services".

Gerelateerde HOWTO:

8.6 Traffic Shaping

De traffic shaper is een virtueel netwerkdevice welke het mogelijk maakt de hoeveelheid uitgaande gegevens die over een ander netwerkdevice stroomt te beperken. Dit is vooral handig in scenario's zoals ISP's, waar het wenselijk is het beleid betreffende hoeveel bandbreedte door iedere client wordt gebruikt te beheren en af te dwingen. Een ander alternatief (alleen voor webservices) kan bestaan uit bepaalde Apache modules waarmee het aantal IP-connecties of de gebruikte bandbreedte door een client kan worden beperkt.

8.7 Firewall

Een firewall is een device dat een privé netwerk voor het publieke deel (het Internet als een geheel) afschermt. Het is ontworpen om de stroom aan pakketjes gebaseerd op de source, de bestemming, poort en pakket type informatie in ieder pakket te beheren.

Er zijn verschillende firewall toolkits voor Linux beschikbaar als ook ingebouwde ondersteuning in de kernel. Andere firewalls zijn TIS en SOCKS. Deze firewall toolkits zijn zeer compleet en maken het gecombineerd met andere tools mogelijk alle soorten verkeer en protocollen te blokkeren/door te sturen. Via configuratiebestanden of GUI programma's kunnen verschillende gedragslijnen worden geïmplementeerd.

8.8 Port forwarding

Een toenemend aantal websites wordt interactief door gebruik van cgi-bins of Java applets waarmee een database of andere service kan worden benaderd. Aangezien deze toegang een beveiligingsprobleem in het daglicht kan stellen, zou de computer met daarop de database niet direct met het Internet verbonden moeten zijn.

Port Forwarding kan een vrijwel ideale oplossing voor dit toegangsprobleem bieden. Op de firewall kunnen IP pakketjes, die via een specifiek poortnummer binnenkomen, worden herschreven en naar de interne server worden doorgestuurd waar de werkelijke service wordt geleverd. De reply pakketjes vanaf de interne server worden zodanig herschreven dat het lijkt alsof ze vanaf de firewall kwamen.

Port forwarding informatie is te vinden op: http://www.ox.compsoc.net/~steve/portforwarding.html

8.9 Load Balancing

De vraag naar load balancing doet zich meestal voor bij database/web toegang wanneer clients simultaan verzoeken richten aan een server. Meerdere identieke servers waarbij verzoeken naar de minder overladen server worden doorgestuurd zijn wenselijk als veel clients simultaan verzoeken richten aan een server. Dit kan worden bereikt via Network Address Translation technieken (NAT) waarvan IP-masquerading een subset is. Netwerkbeheerders kunnen een enkele server, die Webservices of enige andere applicaties verleent, vervangen - door een logische samenbundeling van servers die een algemeen IP-adres delen. Inkomende connecties worden doorgestuurd naar een bepaalde server door gebruik te maken van het load-balancing algoritme. De virtuele server herschrijft inkomende en uitgaande pakketjes om de clients te laten denken dat er slechts één server bestaat.

Linux IP-NAT informatie is te vinden op: http://www.csn.tu-chemnitz.de/HyperNews/get/linux-ip-nat.html

8.10 EQL

EQL is in de Linux kernel geïntegreerd. Als twee seriële connecties bestaan op een andere computer (hiervoor zijn meestal twee modems en twee telefoonlijnen nodig) en SLIP of PPP (protocollen voor het versturen van Internetverkeer via telefoonlijnen) wordt hierop gebruikt, dan is het mogelijk ze met gebruik van deze driver te laten gedragen als één dubbele snelheidsconnectie. Natuurlijk moet die ook aan de andere kant worden ondersteund.

8.11 Proxy Server

De term proxy betekent "iets doen namens iemand anders". In netwerkterminologie kan een proxyserver namens verscheidene clients optreden. Een HTTP proxy is een computer welke verzoeken om webpagina's van een andere computer (computer A) ontvangt. De proxy haalt de verzochte pagina op en retourneert het resultaat naar computer A. Het kan zijn dat de proxy een cache heeft met de pagina's waarom is verzocht, dus als een andere computer om dezelfde pagina vraagt, zal de kopie in de cache daarvoor in de plaats worden geretourneerd. Dit maakt efficiënter gebruik van bandbreedte bronnen mogelijk en de responsetijd is korter. Een neveneffect is de beveiligde wijze van het interne netwerk, aangezien de client computers geen directe verbinding hebben met de buitenwereld. Een goed geconfigureeerde proxy kan net zo effectief zijn als een goede firewall.

Er bestaan verscheidene proxy servers voor Linux. Een populaire oplossing is de Apache proxy module. Een completere en robuuste implementatie van een HTTP proxy is SQUID.

8.12 Diald on demand

Het doel van dial on demand is om het transparant te laten lijken dat de gebruikers een permanente connectie met een remote site hebben. Meestal is er een daemon die het verkeer met pakketjes in de gaten houdt en waar een interessant pakketje arriveert (interessant wordt meestal gedefinieerd door middel van een set regels/prioriteiten/permissies) een connectie tot stand brengt met de computer op afstand. Wanneer het kanaal een bepaalde periode niet actief is, wordt de verbinding verbroken.

8.13 Tunnelling, mobiel IP en virtuele privé netwerken

De Linux kernel staat tunneling (inkapseling) van protocollen toe. Het kan IPX tunnelling via IP, waarbij de verbinding van twee IPX netwerken via een enkele IP link mogelijk is. Ook IP-IP tunneling is mogelijk, wat essentieel is voor mobiele IP ondersteuning, multicast ondersteuning en amateur radio. (zie http://metalab.unc.edu/mdw/HOWTO/NET3-4-HOWTO-6.html#ss6.8)

Mobiele IP specificeert uitbreidingen waarbij transparante routing van IP-datagrammen naar mobiele nodes op het Internet mogelijk is. Iedere mobiele node wordt altijd geïdentificeerd door zijn thuisadres, ongeacht zijn huidige verbindingspunt met het Internet. Terwijl weg van huis gesitueerd, wordt een mobiele node ook met een care-of adres geassocieerd, welke informatie levert over het huidige koppelingspunt naar het Internet. Het protocol levert voor registratie het care-of adres met een home agent. De home agent stuurt de datagrammen bestemd voor de mobiele node via een tunnel naar het care-of adres. Na het arriveren aan het einde van de tunnel, wordt ieder datagram vervolgens bij de mobiele node bezorgd.

Point-to-Point Tunneling Protocol (PPTP) is een netwerktechnologie dat het gebruik van het Internet als een beveiligd virtueel privé netwerk (VPN) toestaat. PPTP is met de Remote Access Services (RAS) server geïntegreerd, welke in de Windows NT Server is gebouwd. Met PPTP, kunnen gebruikers inbellen bij een lokale ISP, of direct een verbinding met Internet tot stand brengen, en het netwerk benaderen alsof dit hun eigen bureaublad is. PPTP is een gesloten protocol en de beveiliging ervan is onlangs gecompromitteerd. Het is ten zeerste aan te bevelen andere op Linux gebaseerde alternatieven te gebruiken, aangezien die op open standaards afgaan die zorgvuldig zijn bestudeerd en getest.

Mobiel IP: Virtual Private Networks gerelateerde documenten:
Verder Terug Inhoud