Die
Trennung der Kundennetze erfolgt in der CPE über separate, virtuelle Ethernet-Interfaces
am zweiten physikalischen Ethernet-Interface (eth1). Damit ist es möglich, für jedes
Kundennetz eine individuelle Konfiguration der Firewall und der Netzdienste vorzunehmen. Das
virtuelle Interface lautet jeweils eth1.<VLAN-ID>.
Da
die Kundennetze aus dem Private-Address-Space des Internets stammen sollen (
Einsparung realer IP-Adressen), wurde daraufhin das folgende Netzkonzept erarbeitet:
Der
IP-Adressraum für die Endkunden (kurz: Kunden-LAN) stammt aus dem Bereich
10.0.0.0. Bezüglich der festgelegten Zielgruppe, wurde der Adressbereich in „256er-Netze“
aufgeteilt. Damit ergeben sich rechnerisch 65535 Kundennetze mit jeweils 252 IP-Adressen.
Diese
großzügige Dimensionierung wurde vorgenommen, um den Kunden die Möglichkeit zu
einzuräumen, das zugewiesene Netz selbstständig nochmals zu teilen (z.B. ein Netzsegment
WLAN, ein Netzsegment herkömmliches LAN).
Folgende
Festlegungen wurden getroffen:
Beispiel:
Ein
Kunde wird an einen Switch-Port angeschaltet, der mit dem VLAN 1048 beschaltet ist.
Dementsprechend
lautet die zugehörige IP-Adresse:
VLAN(High)
= Ganzzahl (1048 / 256) = 4
VLAN(Low)
= 1048 – 4 * 256 = 24
Kunden-LAN: 10.4.24.0
Server-Adresse: 10.4.24.1
Netmask: 255.255.255.0
Damit
ergibt sich:
Broadcast: 10.4.24.255
Per
Default wurden folgende VLANs werksseitig eingestellt:
1: 10.0.1.0
(Für Wartungsaufgaben, Default-VLAN (nicht für Kunden))
bis
Wie
aus dem bisher Ausgeführten ersichtlich, sind damit für Kundennetze nur die IP-Adressen
10.0.0.0 bis 10.16.0.0 vergebbar (VLAN-ID ist ja nur 10 bit!!!). Damit stehen die Adressen
oberhalb dieses Bereiches für spätere Anwendungen (z.B. Vernetzungsaufgaben im Backbone,
Dial-In, etc.) zur Verfügung.
Für
Wartungsaufgaben steht ein PPP-Dial-In-Interface zur Verfügung. Zur völligen
addressmäßigen Entkopplung des Kundennetzes, haben wir für diesen Zugang den
Adressbereich 192.168.1.0 gewählt.
