Skip to main content

9.1 Smerovanie medzi sieťami

Základnou činnosťou smerovača (routra) je smerovanie (routing). Zaoberali sme sa ním už v kapitole 7.2 Základy smerovania medzi sieťami. Pripomeňme si základné princípy... Zariadenia priamo komunikujú len v rámci jednej siete a akonáhle chcú adresovať zariadenie z inej siete, paket odošlú predvolenej bráne (default gateway), čo je vlastne smerovač. Ten z prijatého paketu prečíta cieľovú adresu, prehľadá svoju tabuľku smerovania a nájde v nej (najlepšiu) trasu do cieľovej siete a paket pošle touto trasou.

Tabuľka smerovania

Každé zariadenie - nielen smerovač, ale aj počítač, má svoju tabuľku smerovania, ba dokonca až dve - pre IPv4 a pre IPv6. Sú v nich viaceré trasy, o každej sú tieto údaje:

  • typ trasy (ako bola získaná);
  • adresa siete;
  • brána (IP adresa alebo rozhranie);
  • vzdialenosť.

Vo Windows vieme tabuľky smerovania vypísať príkazom route print, v Linux ip route a ip -6 route a v MikroTik RouterOS príkazmi ip route print a ipv6 route print, sú tiež vo WinBox pod IP → Routes a IPv6 → Routes. Počítače majú v tabuľke obvykle len svoju vlastnú LAN sieť a adresu predvolenej brány pre „všetky ostatné siete“ (0.0.0.0/0 a ::/0). Smerovače však mávajú tabuľku bohatšiu, trasy môžu byť do nej pridané rôznymi cestami - môžeme ich pridať ručným zadaním (statická trasa), no môžu byť aj automaticky získané od iných smerovačov (dynamická trasa).

Typ trasy je obvykle vyjadrený písmenom (MikroTik používa malé písmená) a udáva, ako bola trasa získaná, napríklad:

  • c - connected: zariadenie je súčasťou uvedenej siete, teda je do nej priamo pripojené - trasa sa pridala automaticky;
  • s - static: trasa bola ručne zadaná;
  • d/g - DHCP/SLAAC: trasa získaná z DHCP servera / SLAAC smerovača, obvykle predvolená brána;
  • v - VPN: trasa získaná z VPN alebo PPP servera, ktorý toto podporuje;
  • o/r - OSPF/RIP: trasa získaná automaticky z iného smerovača dynamickým smerovacím protokolom OSPF/RIP.

Administratívna vzdialenosť trasy

V závislosti na type trasy, teda na spôsobe jej získania, je definovaná takzvaná administratívna vzdialenosť. Pri niektorých typoch trasy ju môžeme zmeniť, no pri iných je pevne daná. Táto vzdialenosť nie je štandardizovaná a u rôznych výrobcov sa líši, MikroTik a Cisco sa však zhodujú:

  • connected: vzdialenosť je 0, zariadenie je súčasťou siete a táto trasa sa uprednostní;
  • static: predvolená vzdialenosť je 1, no je ju možné zvýšiť na ľubovoľnú hodnotu pri zadávaní trasy;
  • DHCP/SLAAC, VPN: predvolená vzdialenosť je 1, no zväčša je ju možné zvýšiť na ľubovoľnú hodnotu pri konfigurácii klienta;
  • OSPF: vzdialenosť je 110, bez možnosti zmeny;
  • RIP: vzdialenosť je 120, bez možnosti zmeny.

Pravidlá výberu trasy

Bez ohľadu na spôsob získania trasy sa pri výbere trasy k cieľu používajú určité pravidlá smerovania v nasledovnom poradí:

  1. Vyberá sa trasa, ktorá cieľovú adresu špecifikuje presnejšie, teda má špecifickejšiu masku (viac bitov siete).
  2. Len v prípade, že existujú viaceré rovnako špecifické trasy, použije sa tá s menšou vzdialenosťou (nižšia hodnota Distance).

Príklad

Majme trasy do sietí:

  • 192.168.0.0/16 cez smerovač A;
  • 192.168.50.0/24 cez smerovač B;
  • predvolenou bránou (0.0.0.0/0) je smerovač C.

Cez ktoré smerovače pôjdu pakety adresované na zariadenia 192.168.50.8, 192.168.150.20 a 193.87.64.1?

Odpoveď

Paket adresovaný na zariadenie 192.168.50.8 pôjde cez smerovač B, paket pre 192.168.150.20 cez smerovač A a paket pre 193.87.64.1 cez smerovač C. Pritom vôbec nezáleží na definovaných vzdialenostiach.

Zahadzovanie paketov na hraničnom smerovači

Praktickou konfiguráciou smerovača MikroTik sme sa zaoberali v kapitole 7.3 Konfigurácia statického smerovania na smerovači. Základné možnosti konfigurácie už teda poznáme, doplníme však ešte jednu užitočnú možnosť…

Na hraničnom smerovači LAN siete (teda na tom smerovači, ktorý je bránou do internetu) je vhodné nastaviť zahadzovanie paketov adresovaných na rozsahy privátnych IPv4 adries (viď kapitola 7.4 Adresovanie IPv4), aby pakety smerujúce na tieto adresy neboli zbytočne posielané ďalšiemu smerovaču v internete. Toto dosiahneme pridaním trasy na konkrétny rozsah bez uvedenia brány a so zvolením možnosti blackhole. Rovnako môžeme blokovať aj rozsah CGNAT.

Pri smerovaní IPv6 môžeme využiť šikovnejšie riešenie - pokiaľ namiesto všeobecnej predvolenej brány (s cieľovou adresou ::/0) uvedieme len trasu pre globálne unicast adresy 2000::/3 (GUA, viď kapitola 8.1 Úvod do IPv6 a adresovanie), nie je potrebné paketom adresovaným na lokálne adresy blokovať preposielanie do internetu. Pokiaľ sme však dostali vlastný adresný blok GUA (napr. /48), je potrebné blokovať ho, pretože pakety smerované do nevyužitých podsietí by sa zacyklili - náš smerovač by ich posielal k ISP a smerovač ISP by ich posielal späť do našej siete.

Back to top