Dans Linux Linux route entre différentes interfaces :

Documents pareils
Figure 1a. Réseau intranet avec pare feu et NAT.

Réalisation d un portail captif d accès authentifié à Internet

Programme formation pfsense Mars 2011 Cript Bretagne

Mise en place d'un Réseau Privé Virtuel

Réseau - VirtualBox. Sommaire

TP SECU NAT ARS IRT ( CORRECTION )

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Debian Lenny - Virtualisation avec Libvirt/KVM Debian GNU/Linux

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

TCP/IP, NAT/PAT et Firewall

Les Virtual LAN. F. Nolot 2008

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Présentation de netkit

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

LES RESEAUX VIRTUELS VLAN

Security and privacy in network - TP

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

TP Déploiement de réseaux IP sous Linux et MS Windows sur une infrastructure virtualisée

VIRTUALISATION DE RESEAU AVEC KVM

MANIPULATION DE LA TABLE DE ROUTAGE IP. par. G.Haberer, A.Peuch, P.Saadé

Le logiciel Netkit Installation et utilisation

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Introduction. Adresses

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Configuration réseau Basique

Configuration du matériel Cisco. Florian Duraffourg

Application Note. WeOS Création de réseaux et de réseaux virtuels VLAN

DIFF AVANCÉE. Samy.

Travaux Pratiques Introduction aux réseaux IP

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

Configuration des VLAN

acpro SEN TR firewall IPTABLES

Présentation et portée du cours : CCNA Exploration v4.0

Configuration des routes statiques, routes flottantes et leur distribution.

Mise en place d un cluster NLB (v1.12)

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Le protocole VTP. F. Nolot 2007

Rapport projet SIR 28/06/2003

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Présentation et portée du cours : CCNA Exploration v4.0

Linux Firewalling - IPTABLES

Le Cloud Open-Mind! Emilien Macchi

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Iptables. Table of Contents

Les systèmes pare-feu (firewall)

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Services proposés aux ligues par la M2L Accès Internet Les ligues disposent d'un accès Internet mutualisé que la M2L loue à un prestataire extérieur.

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Fonctions Réseau et Télécom. Haute Disponibilité

1 PfSense 1. Qu est-ce que c est

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Théorie sur les technologies LAN / WAN Procédure de test sur les réseaux LAN / WAN Prise en main des solutions de test

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

1. Warm up Activity: Single Node

Plan de cours. Fabien Soucy Bureau C3513

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Formation Iptables : Correction TP

Réseaux Locaux Virtuels

TP 3 Réseaux : Subnetting IP et Firewall

I. Adresse IP et nom DNS

SQUID Configuration et administration d un proxy

Internet Protocol. «La couche IP du réseau Internet»

Cisco Certified Network Associate

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Présentation du modèle OSI(Open Systems Interconnection)

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

FORMATION CN01a CITRIX NETSCALER

Utilisation de matériels industriels avec des outils de virtualisation open source. Open Source dans le monde industriel

Thèse de Doctorat Université Pierre et Marie Curie Paris 6 EDITE de Paris. Ahmed Amamou. Isolation réseau dans un datacenter virtualisé

! "# Exposé de «Nouvelles Technologies Réseaux»

DOCKER MEETUP. Christophe Labouisse

Documentation technique OpenVPN

COMMANDES RÉSEAUX TCP/IP WINDOWS.

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

TP Linux : Firewall. Conditions de réalisation : travail en binôme. Fonctionnement du parefeu Netfilter. I Qu est ce qu'un firewall?

Commutateur sûr, efficace et intelligent pour petites entreprises

TP 1 : LES COMMANDES RESEAUX Matière: RESEAUX LOCAUX

MEMO-LINUX.COM BLOG SUR GNU/LINUX, LE LIBRE ET L'OPEN-SOURCE.

TP Wireshark. Première approche de Wireshark. 1 ) Lancer Wireshark (double clic sur l icône sur le bureau). La fenêtre

pfsense Manuel d Installation et d Utilisation du Logiciel

Administration de Réseaux d Entreprises

Configuration serveur pour le mode L4 DSR

VPN TLS avec OpenVPN. Matthieu Herrb. 14 Mars 2005

SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5

Linux. Sécuriser un réseau. 3 e édition. l Admin. Cahiers. Bernard Boutherin Benoit Delaunay. Collection dirigée par Nat Makarévitch

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

Administration Réseaux

Spécialiste Systèmes et Réseaux

Transcription:

Virtualisation et réseau Lucas Nussbaum lucas.nussbaum@univ-lorraine.fr Licence professionnelle ASRALL Administration de systèmes, réseaux et applications à base de logiciels libres Lucas Nussbaum Virtualisation et réseau 1 / 20 Dans Linux Linux peut servir de routeur, mais il faut l activer : echo 1 > /proc/sys/net/ipv4/ip_forward (vérifier aussi les règles éventuelles de firewall) Linux route entre différentes interfaces : physiques (par exemple ) tap : point d accès à une machine virtuelle KVM ou Xen (dans Xen, elles s appellent vif, mais c est la même chose) veth : similaire à tap, point d accès à un conteneur LXC. C est en fait une paire d interfaces, l une étant dans l hôte, l autre dans le conteneur. tun : similaire à tap, point d accès à un VPN L3 (cf OpenVPN) bridge : permet d agréger des interfaces dans le même réseau L2... Lucas Nussbaum Virtualisation et réseau 3 / 20 Introduction La virtualisation apporte une grande souplesse pour le réseau L2 (bridging), L3 (routage), NAT, réseau virtuel (VXLAN), etc. Réseau L2 ( réseau ethernet) Exemple : salle de TP, ou ensemble de salles de TP Toutes les machines voient les broadcasts de toutes les autres Même plage d adresses pour les machines (152.81.5.0/24) ARP : savoir à quelle adresse MAC correspond une adresse IP Routage Pour interconnecter des réseaux L2 Routeurs (équipements réseaux ou machines) Tables de routage pour orienter les paquets Lucas Nussbaum Virtualisation et réseau 2 / 20 Cas 1 VM routée vers l extérieur v Deux réseaux L2 (1.0.0.0/8 et 2.0.0.0/8) et peuvent communiquer, et aussi Mais pas et Il faut faire du routage sur. Ajouter une route par défaut sur, puis deux solutions : A : sur, une route : pour 2.0.0.0/8, la gateway est B : Faire du NAT sur pour cacher Lucas Nussbaum Virtualisation et réseau 4 / 20

Cas 1 Topologie physique équivalente v Lucas Nussbaum Virtualisation et réseau 5 / 20 Rappel : Network Address Translation (NAT) Une seule IP visible de l extérieur cache plusieurs IP privées Réécriture de l en-tête IP (adresse et port source) par le routeur Table de correspondance renseignée et utilisée au retour Lorsqu un paquet est envoyé de vers : l adresse source est celle de jusqu à réécrit l en-tête et met sa propre adresse comme source reçoit le paquet provenant de, et répond à Lorsque la réponse arrive à, celui-ci réécrit l en-tête grâce à une table de correspondance pour remettre l IP de Voir la table de correspondance : conntrack -L Lucas Nussbaum Virtualisation et réseau 7 / 20 Cas 1 Mise en œuvre Note : dans les slides, les plages d adresses 1.0.0.0/8 et 2.0.0.0/8 sont utilisées, pour que les schémas restent lisibles. Dans la réalité, il faudrait probablement utiliser des plages d adresses dans les plages réservées à un usage local (RFC1918) : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 Activer le routage sur : # echo 1 > /proc/sys/net/ipv4/ip_forward Indiquer à comment atteindre le reste du monde : # ip route add default via Deux solutions : Route sur pour lui indiquer comment atteindre : # ip route add 2.0.0.0/8 via NAT sur pour cacher : # iptables -t nat -A POSTROUTING -o -j MASQUERADE Question : quels sont les avantages de chaque solution? Lucas Nussbaum Virtualisation et réseau 6 / 20 Utilisation du bridge Linux Équivalent à un switch réseau câblage virtuel Permet de rassembler plusieurs machines dans le même réseau L2 Utilisation : (installer le paquet bridge-utils) Créer un bridge br0 : brctl addbr br0 Ajouter une interface à br0 : brctl addif br0 Visualiser la liste des interfaces : brctl show br0 Visualiser la table de commutation du switch : brctl showmacs br0 On peut affecter une adresse IP au bridge pour accéder au réseau L2 qu il interconnecte (mais ce n est pas obligatoire) Lucas Nussbaum Virtualisation et réseau 8 / 20

Cas 2.1 réseau sans accès extérieur br0 v 2.0.0.3,, sont sur le même réseau L2, et peuvent communiquer Mais elles sont isolées, et ne peuvent communiquer qu entre-elles Lucas Nussbaum Virtualisation et réseau 9 / 20 Cas 2.3 dans le bridge br0 v 1.0.0.3 1.0.0.4 1.0.0.5,,,, sont sur le même réseau L2, et peuvent communiquer directement, sans routage L adresse IP pour joindre est celle du bridge ( n a plus d adresse IP) Lucas Nussbaum Virtualisation et réseau 11 / 20 Cas 2.2 bridge avec IP br0 2.0.0.4 v 2.0.0.3,, sont sur le même réseau L2, et peuvent communiquer Elles peuvent aussi communiquer avec, via l IP 2.0.0.4 Pour qu elles puissent communiquer avec, il faudrait utiliser du routage ou du NAT (cf cas 1) Lucas Nussbaum Virtualisation et réseau 10 / 20 Cas 2.3 Topologie physique équivalente 1.0.0.3 br0 1.0.0.4 1.0.0.5 Lucas Nussbaum Virtualisation et réseau 12 / 20

Aller plus loin Tout ce qui a été vu précédemment est généralisable lorsqu il y a plusieurs machines hôtes On peut aussi mettre plusieurs interfaces dans chaque machine virtuelle, et mettre un bridge dans une machine virtuelle Il est possible de combiner cela avec l utilisation de VLANs Autre alternative : utiliser un réseau overlay (VPN multi-point) entre les machines virtuelles situées sur différentes machines hôtes, avec VXLAN Utilisé dans OpenStack Neutron pour permettre à chaque utilisateur de disposer de son propre réseau virtuel Lucas Nussbaum Virtualisation et réseau 13 / 20 VLAN (802.1q) : ports et liens trunk Pour propager plusieurs VLAN sur un lien entre deux équipements Les trames ethernet sont taggées avec le numéro de VLAN Preamble 7 8 SFD Destination MAC Source MAC EtherType/ Size 1 2 Payload 1... n n = 46 1500 CRC / FCS Inter Frame Gap 7 8 9 10 11 12 Preamble 7 8 SFD Destination MAC Source MAC 802.1Q Header TPID=0x8100 PCP/DEI/VID EtherType/ Size 1 2 Payload 1... n n = 42 1500 CRC / FCS Inter Frame Gap 7 8 9 10 11 12 Sur un lien trunk, on peut aussi mélanger trames taggées et non taggées (dans le VLAN par défaut) Lucas Nussbaum Virtualisation et réseau 15 / 20 VLAN (802.1q) Segmenter un réseau L2 en plusieurs réseaux L2 Séparer des usages différents, assurer une meilleure étanchéité, etc. Configuration par port, sur un switch : Lucas Nussbaum Virtualisation et réseau 14 / 20 VLAN (802.1q) : ports et liens trunk avec Linux On peut propager un lien trunk jusqu à une machine Linux Ajouter une interface VLAN à une interface physique : ip link add link name.100 type vlan id 100 Visualiser la configuration VLAN des interfaces : ip -d link show Supprimer une interface VLAN : ip link delete.100 On peut affecter des adresses IPs aux interfaces VLAN, ou les mettre dans un bridge Les paquets transmis sur l interface sans VLAN () sont non taggés Lucas Nussbaum Virtualisation et réseau 16 / 20

Utilisation des network namespaces network namespaces (netns) = isolation réseau dans LXC Voir ip netns help Créer un nouvel environnement virtuel : ip netns add vm1 Créer une paire d interfaces veth (ext0/int0) : ip link add name ext0 type veth peer name int0 Déplacer int0 dans vm1 : ip link set dev int0 netns vm1 Renommer l interface int0 en (pour utiliser les noms des schémas) : ip link set dev int0 name (à faire dans le netns) Obtenir un shell dans vm1 : ip netns exec vm1 bash Lucas Nussbaum Virtualisation et réseau 17 / 20 Travaux pratiques (2) VLAN Dans l hôte, créez un bridge, ainsi que 4 machines virtuelles, avec un couple d interfaces veth pour chaque machine virtuelle. Reliez les interfaces veth au bridge Après les avoir configurées correctement, vérifiez que vous arrivez à communiquer entre les machines virtuelles Ajoutez une interface VLAN dans une machine virtuelle. Utilisez la pour communiquer avec les autres VM. Vérifiez que vous n y arrivez pas Ajoutez une interface VLAN avec le même numéro de VLAN dans une autre VM. Vérifiez que vous arrivez bien à communiquer avec l autre VM dans le même VLAN Lucas Nussbaum Virtualisation et réseau 19 / 20 Travaux pratiques 1 Écrire des scripts en utilisant des netns, pour mettre en place les infrastructures décrites dans les cas 1, 2.1, 2.2, 2.3 2 Créer la topologie virtuelle ci-dessous, et vérifier son bon fonctionnement Il est conseillé de faire du NAT sur Réseau physique bridge bridge Lucas Nussbaum Virtualisation et réseau 18 / 20 FAQ Autres commandes utiles : ip addr add 10.0.0.1/8 dev ext0 ip link set dev ext0 up Pour désactiver le NAT, il faut (1) enlever la règle iptables ; (2) vider le cache conntrack, avec conntrack -F Troubleshooting : 1 Arrêter NetworkManager pour éviter les conflits 2 Vérifier que les interfaces (y compris les bridges) sont up 3 Vérifier le contenu des règles de firewall 4 Utiliser tcpdump ou tshark ou wireshark 5 Par défaut, le bridge attend 15 secondes avant de commencer à forwarder les trames. Utiliser brctl setfd br0 0 pour supprimer ce délai. 6 Une VM ne peut pas se pinguer elle-même il faut mettre l interface lo à UP Lucas Nussbaum Virtualisation et réseau 20 / 20

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back