Erkundung - Vernetzung von zwei Rechnernetzen
Ein Router als Bindeglied zwischen Rechnernetzen
Sensible Daten wie Personaldaten oder Firmengeheimnisse eines Unternehmens sollten vor unbefugtem Zugriff besonders geschützt sein. So sieht es auch unser Startup-Unternehmen INF-DESIGNS und tauscht diese Daten seit einiger Zeit nur noch innerhalb eines Verwaltungsbereichs in einem vom eigentlichen "Firmennetz" getrennten lokalen Netzwerk - dem "Verwaltungsnetz" - aus.
Nun äußert der Firmenchef doch den besonderen Wunsch, von seinem Rechner im Firmennetz ausgehend auch mit Rechnern des Verwaltungsnetzes zu kommunizieren - ohne dass die Trennung der beiden Netze dabei vollständig aufgehoben wird. Erfüllen kannst du ihm diesen Wunsch durch das Verbinden der beiden Teilnetze über einen Router, der den Datenaustausch zwischen ihnen regelt und je nach Wunsch einschränken kann.
Aufgabe 1
Öffne in Filius die Datei filius_zwei_teilnetze.flsund ergänze das Verwaltungsnetz wie oben abgebildet. Verbinde beide Teilnetze mit einem Router (in Filius: Vermittlungsrechner).
Konfiguration des Routers und der Gateways
Momentan ist das Kommunizieren zwischen Firmennetz und Verwaltungsnetz über den Router noch nicht möglich. Zunächst müssen sowohl der Router als auch die beteiligten Rechner konfiguriert werden.
Aufgabe 2
(a) Der Router hat hier zwei LAN-Schnittstellen mit voreingestellten IP-Adressen. Ändere diese passend zu ihren angeschlossenen lokalen Netzwerken ab in 192.168.0.100 und 192.168.1.100. Trage zudem am Rechner des Firmenchefs (192.168.0.1) das Gateway 192.168.0.100 und am Rechner 192.168.1.1 das Gateway 192.168.1.100 ein.
(b) Teste jetzt die Verbindung zwischen dem Rechner des Firmenchefs (192.168.0.1) im Firmennetz und dem Rechner 192.168.1.1 im Verwaltungsnetz mit dem Ping-Befehl. Konfiguriere auch weitere Rechner für die Kommunikation zwischen beiden Teilnetzen.
(c) Für die Komponenten eines lokalen Netzwerks ist das, was sich hinter einem angeschlossenen Router verbirgt, nicht sichtbar. Beim Versenden einer Nachricht über die Grenzen des lokalen Netzwerks hinweg stößt man deshalb auf verschiedene Probleme:
- Woran kann man erkennen, ob sich der Zielrechner einer Nachricht innerhalb des lokalen Netzwerks oder außerhalb (extern) befindet?
- Wie erkennt und entscheidet man, zu welchem Ziel im lokalen Netzwerk eine Nachricht mit externer Zieladresse gesendet werden muss?
Einschränken des Datenverkehrs zwischen Rechnernetzen
Über den Router kann nun jeder Rechner des Firmennetzes von INF-DESIGNS, der die IP-Adresse des Routers als Gateway eingetragen hat, beliebige Daten in das Verwaltungsnetz senden und von dort empfangen. Der Wunsch des Firmenchefs, dass nur Pakete seines Rechners (192.168.0.1) den Router passieren dürfen, ist damit jedoch noch nicht erfüllt.
Einschränken kannst du die Kommunikation, die über den Router läuft, durch das Einrichten einer Firewall auf dem Router selbst: Simulieren kannst du dies in Filius, indem du im Entwurfsmodus in den Einstellungen des Routers "Firewall einrichten" wählst.
Hier kannst du für den Router über Firewall-Regeln Einstellungen zur Filterung (Durchlassen oder Blockieren) von Datenpaketen zwischen ausgewählten Rechnern vornehmen.
Aufgabe 3
(a) Mit der oben abgebildeten Firewall-Regel lassen sich Pakete des Protokolls TCP filtern, das in Filius zum Beispiel bei der Kommunikation mit einem Echo-Server verwendet wird. Kannst du die Regel interpretieren?
(b) Probiere sie selbst in deinem in den Aufgaben 1 und 2 konfigurierten Rechnernetz aus. Teste die Regel dabei am besten mit den Anwendungen "Echo-Server" (Server) und "Einfacher Client" (auf verschiedenen Clients). Experimentiere auch mit weiteren Firewall-Regeln.
Hinweis: Ping-Anfragen zwischen bestimmten Rechnern kannst du in Filius mit solchen Regeln nicht filtern. Sie lassen sich nur für alle Rechner gleichzeitig zulassen oder blockieren (Einstellung "ICMP-Pakete filtern" im Bereich "Netzwerkschnittstellen").