Virtualisation et réseau

Documents pareils
Réalisation d un portail captif d accès authentifié à Internet

Réseau - VirtualBox. Sommaire

TP SECU NAT ARS IRT ( CORRECTION )

Programme formation pfsense Mars 2011 Cript Bretagne

Mise en place d'un Réseau Privé Virtuel

Figure 1a. Réseau intranet avec pare feu et NAT.

Debian Lenny - Virtualisation avec Libvirt/KVM Debian GNU/Linux

TCP/IP, NAT/PAT et Firewall

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

MANIPULATION DE LA TABLE DE ROUTAGE IP. par. G.Haberer, A.Peuch, P.Saadé

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Les Virtual LAN. F. Nolot 2008

Présentation et portée du cours : CCNA Exploration v4.0

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Configuration réseau Basique

VIRTUALISATION DE RESEAU AVEC KVM

Configuration du matériel Cisco. Florian Duraffourg

Licence 3 Systèmes et Réseaux II. Chapitre V : Filtrage

DIFF AVANCÉE. Samy.

TP Déploiement de réseaux IP sous Linux et MS Windows sur une infrastructure virtualisée

Présentation et portée du cours : CCNA Exploration v4.0

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Sécuriser son réseau. Sécuriser son réseau Philippe Weill (IPSL/LATMOS) Frédéric Bongat (SSI/GOUV/FR)

ASR4 Réseaux Département Informatique, IUT Bordeaux 1. DHCP Prénom : Nom : Groupe :

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Atelier Pivoting KHOULOUD GATTOUSSI (RT3) ASMA LAHBIB (RT3) KHAOULA BLEL (RT3) KARIMA MAALAOUI (RT3)

Security and privacy in network - TP

Introduction. Adresses

Présentation de netkit

LES RESEAUX VIRTUELS VLAN

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Capture, Filtrage et Analyse de trames ETHERNET avec le logiciel Wireshark. Etape 1 : Lancement des machines virtuelles VMWARE et de Wireshark

Le logiciel Netkit Installation et utilisation

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Plan de cours. Fabien Soucy Bureau C3513

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Le Cloud Open-Mind! Emilien Macchi

Application Note. WeOS Création de réseaux et de réseaux virtuels VLAN

Rapport projet SIR 28/06/2003

Configuration des VLAN

Travaux Pratiques Introduction aux réseaux IP

Master 1 ère année. UE Réseaux Avancés I. Corrections décembre Durée : 2h Documents autorisés

acpro SEN TR firewall IPTABLES

Utilisation de matériels industriels avec des outils de virtualisation open source. Open Source dans le monde industriel

Iptables. Table of Contents

Les systèmes pare-feu (firewall)

Configuration des routes statiques, routes flottantes et leur distribution.

Services proposés aux ligues par la M2L Accès Internet Les ligues disposent d'un accès Internet mutualisé que la M2L loue à un prestataire extérieur.

1. Warm up Activity: Single Node

Mise en place d un cluster NLB (v1.12)

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Le protocole VTP. F. Nolot 2007

Commutateur sûr, efficace et intelligent pour petites entreprises

I. Adresse IP et nom DNS

! "# Exposé de «Nouvelles Technologies Réseaux»

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

EPREUVE PRATIQUE DES TECHNIQUES INFORMATIQUES ACTIVITE N 1. Thème de l activité : Configuration d un firewall

Linux Firewalling - IPTABLES

Présentation du modèle OSI(Open Systems Interconnection)

Réseaux Locaux Virtuels

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

FILTRAGE de PAQUETS NetFilter

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

CASE-LINUX CRÉATION DMZ

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

DOCKER MEETUP. Christophe Labouisse

Configuration du serveur ESX

Fonctions Réseau et Télécom. Haute Disponibilité

MEMO-LINUX.COM BLOG SUR GNU/LINUX, LE LIBRE ET L'OPEN-SOURCE.

Procédure d utilisation et de paramétrage (filtrage) avec IPFIRE

TP Wireshark. Première approche de Wireshark. 1 ) Lancer Wireshark (double clic sur l icône sur le bureau). La fenêtre

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Mise en place des TPs Réseau en machines virtuelles. Utilisation de VmPlayer

COMMANDES RÉSEAUX TCP/IP WINDOWS.

pfsense Manuel d Installation et d Utilisation du Logiciel

Formation Iptables : Correction TP

SOMMAIRE : CONFIGURATION RESEAU SOUS WINDOWS... 2 INSTRUCTIONS DE TEST DE CONNECTIVITE... 5

Couche application. La couche application est la plus élevée du modèle de référence.

Accès aux ressources informatiques de l ENSEEIHT à distance

Internet Protocol. «La couche IP du réseau Internet»

SQUID Configuration et administration d un proxy

Cisco Certified Network Associate

Le service IPv4 multicast pour les sites RAP

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

SECURIDAY 2013 Cyber War

Documentation : Réseau

Filtrage IP MacOS X, Windows NT/2000/XP et Unix

1 PfSense 1. Qu est-ce que c est

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

FORMATION CN01a CITRIX NETSCALER

Sécurité et Firewall

Théorie sur les technologies LAN / WAN Procédure de test sur les réseaux LAN / WAN Prise en main des solutions de test

Thèse de Doctorat Université Pierre et Marie Curie Paris 6 EDITE de Paris. Ahmed Amamou. Isolation réseau dans un datacenter virtualisé

Les réseaux de campus. F. Nolot

Les possibilités de paramétrage réseau des logiciels de virtualisation sont les suivantes quant à la connexion réseau :

Transcription:

Virtualisation et réseau Lucas Nussbaum lucas.nussbaum@univ-lorraine.fr Licence professionnelle ASRALL Administration de systèmes, réseaux et applications à base de logiciels libres Lucas Nussbaum Virtualisation et réseau 1 / 21

Introduction La virtualisation apporte une grande souplesse pour le réseau L2 (bridging), L3 (routage), NAT, réseau virtuel (VXLAN), etc. Réseau L2 ( réseau ethernet) Exemple : salle de TP, ou ensemble de salles de TP Toutes les machines voient les broadcasts de toutes les autres Même plage d adresses pour les machines (152.81.5.0/24) ARP : savoir à quelle adresse MAC correspond une adresse IP Routage Pour interconnecter des réseaux L2 Routeurs (équipements réseaux ou machines) Tables de routage pour orienter les paquets Lucas Nussbaum Virtualisation et réseau 2 / 21

Dans Linux Linux peut servir de routeur, mais il faut l activer : echo 1 > /proc/sys/net/ipv4/ip_forward (vérifier aussi les règles éventuelles de firewall) Linux route entre différentes interfaces : physiques (par exemple ) tap : point d accès à une machine virtuelle KVM ou Xen (dans Xen, elles s appellent vif, mais c est la même chose) veth : similaire à tap, point d accès à un conteneur LXC. C est en fait une paire d interfaces, l une étant dans l hôte, l autre dans le conteneur.... tun : similaire à tap, point d accès à un VPN L3 (cf OpenVPN) bridge : permet d agréger des interfaces dans le même réseau L2 Lucas Nussbaum Virtualisation et réseau 3 / 21

Cas 1 VM routée vers l extérieur Host1 2.0.0.2 v 2.0.0.1 VM1 1.0.0.1 Host2 1.0.0.2 Deux réseaux L2 (1.0.0.0/8 et 2.0.0.0/8) Host1 et Host2 peuvent communiquer, Host1 et VM1 aussi Mais pas VM1 et Host2 Il faut faire du routage sur Host1. Ajouter une route par défaut sur VM1, puis deux solutions : A : sur Host2, une route : pour 2.0.0.0/8, la gateway est Host1 B : Faire du NAT sur Host1 pour cacher VM1 Lucas Nussbaum Virtualisation et réseau 4 / 21

Cas 1 Topologie physique équivalente Host1 1.0.0.1 v 2.0.0.2 Host2 1.0.0.2 VM1 2.0.0.1 Lucas Nussbaum Virtualisation et réseau 5 / 21

Cas 1 Mise en œuvre Note : dans les slides, les plages d adresses 1.0.0.0/8 et 2.0.0.0/8 sont utilisées, pour que les schémas restent lisibles. Dans la réalité, il faudrait probablement utiliser des plages d adresses dans les plages réservées à un usage local (RFC1918) : 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 Activer le routage sur Host1 : Host1# echo 1 > /proc/sys/net/ipv4/ip_forward Indiquer à VM1 comment atteindre le reste du monde : VM1# ip route add default via 2.0.0.2 Deux solutions : Route sur Host2 pour lui indiquer comment atteindre VM1 : Host2# ip route add 2.0.0.0/8 via 1.0.0.1 NAT sur Host1 pour cacher VM1 : Host1# iptables -t nat -A POSTROUTING -o -j MASQUERADE Question : quels sont les avantages de chaque solution? Lucas Nussbaum Virtualisation et réseau 6 / 21

Rappel : Network Address Translation (NAT) Une seule IP visible de l extérieur cache plusieurs IP privées Réécriture de l en-tête IP (adresse et port source) par le routeur Table de correspondance renseignée et utilisée au retour Lorsqu un paquet est envoyé de VM1 vers Host2 : l adresse source est celle de VM1 jusqu à Host1 Host1 réécrit l en-tête et met sa propre adresse comme source Host2 reçoit le paquet provenant de Host1, et répond à Host1 Lorsque la réponse arrive à Host1, celui-ci réécrit l en-tête grâce à une table de correspondance pour remettre l IP de VM1 Voir la table de correspondance : conntrack -L Lucas Nussbaum Virtualisation et réseau 7 / 21

Utilisation du bridge Linux Équivalent à un switch réseau câblage virtuel Permet de rassembler plusieurs machines dans le même réseau L2 Utilisation : (installer le paquet bridge-utils) Créer un bridge br0 : brctl addbr br0 Ajouter une interface à br0 : brctl addif br0 Visualiser la liste des interfaces : brctl show br0 Visualiser la table de commutation du switch : brctl showmacs br0 On peut affecter une adresse IP au bridge pour accéder au réseau L2 qu il interconnecte (mais ce n est pas obligatoire) Lucas Nussbaum Virtualisation et réseau 8 / 21

Cas 2.1 réseau sans accès extérieur Host1 1.0.0.1 br0 Host2 1.0.0.2 v 2.0.0.1 VM1 veth1 2.0.0.2 VM2 veth2 2.0.0.3 VM3 VM1, VM2, VM3 sont sur le même réseau L2, et peuvent communiquer Mais elles sont isolées, et ne peuvent communiquer qu entre-elles Lucas Nussbaum Virtualisation et réseau 9 / 21

Cas 2.2 bridge avec IP Host1 1.0.0.1 br0 2.0.0.4 Host2 1.0.0.2 v 2.0.0.1 VM1 veth1 2.0.0.2 VM2 veth2 2.0.0.3 VM3 VM1, VM2, VM3 sont sur le même réseau L2, et peuvent communiquer Elles peuvent aussi communiquer avec Host1, via l IP 2.0.0.4 Pour qu elles puissent communiquer avec Host2, il faudrait utiliser du routage ou du NAT (cf cas 1) Lucas Nussbaum Virtualisation et réseau 10 / 21

Cas 2.3 dans le bridge Host1 br0 1.0.0.1 Host2 1.0.0.2 v 1.0.0.3 VM1 veth1 1.0.0.4 VM2 veth2 1.0.0.5 VM3 Host1, Host2, VM1, VM2, VM3 sont sur le même réseau L2, et peuvent communiquer directement, sans routage L adresse IP pour joindre Host1 est celle du bridge ( n a plus d adresse IP) Lucas Nussbaum Virtualisation et réseau 11 / 21

Cas 2.3 Topologie physique équivalente VM1 1.0.0.3 br0 1.0.0.2 VM2 1.0.0.4 VM3 1.0.0.5 Host1 1.0.0.1 Host2 Lucas Nussbaum Virtualisation et réseau 12 / 21

Aller plus loin Tout ce qui a été vu précédemment est généralisable lorsqu il y a plusieurs machines hôtes On peut aussi mettre plusieurs interfaces dans chaque machine virtuelle, et mettre un bridge dans une machine virtuelle Il est possible de combiner cela avec l utilisation de VLANs Autre alternative : utiliser un réseau overlay (VPN multi-point) entre les machines virtuelles situées sur différentes machines hôtes, avec VXLAN Utilisé dans OpenStack Neutron pour permettre à chaque utilisateur de disposer de son propre réseau virtuel Lucas Nussbaum Virtualisation et réseau 13 / 21

VLAN (802.1q) Segmenter un réseau L2 en plusieurs réseaux L2 Séparer des usages différents, assurer une meilleure étanchéité, etc. Configuration par port, sur un switch : Lucas Nussbaum Virtualisation et réseau 14 / 21

VLAN (802.1q) : ports et liens trunk Pour propager plusieurs VLAN sur un lien entre deux équipements Les trames ethernet sont taggées avec le numéro de VLAN Preamble 1 2 3 4 5 6 SFD Destination MAC 7 8 1 2 3 4 5 6 EtherType/ Source MAC Payload CRC / FCS Size 1 2 3 4 5 6 1 2 1... n 1 2 3 4 n = 46 1500 Inter Frame Gap 5 6 7 8 1 2 3 4 9 10 11 12 Preamble 1 2 3 4 5 6 SFD Destination MAC 7 8 1 2 3 4 5 6 TPID=0x8100 PCP/DEI/VID EtherType/ Source MAC 802.1Q Header Payload CRC / FCS Size 1 2 3 4 5 6 1 2 3 4 1 2 1... n 1 2 3 4 n = 42 1500 Inter Frame Gap 5 6 7 8 1 2 3 4 9 10 11 12 Sur un lien trunk, on peut aussi mélanger trames taggées et non taggées (dans le VLAN par défaut) Lucas Nussbaum Virtualisation et réseau 15 / 21

VLAN (802.1q) : ports et liens trunk avec Linux On peut propager un lien trunk jusqu à une machine Linux Ajouter une interface VLAN à une interface physique : ip link add link name.100 type vlan id 100 Visualiser la configuration VLAN des interfaces : ip -d link show Supprimer une interface VLAN : ip link delete.100 On peut affecter des adresses IPs aux interfaces VLAN, ou les mettre dans un bridge Les paquets transmis sur l interface sans VLAN () sont non taggés Lucas Nussbaum Virtualisation et réseau 16 / 21

Utilisation des network namespaces network namespaces (netns) = isolation réseau dans LXC Voir ip netns help Créer un nouvel environnement virtuel : ip netns add vm1 Créer une paire d interfaces veth (ext0/int0) : ip link add ext0 type veth peer name int0 Déplacer int0 dans vm1 : ip link set dev int0 netns vm1 Renommer l interface int0 en (pour utiliser les noms des schémas) : ip link set dev int0 name (à faire dans le netns) Obtenir un shell dans vm1 : ip netns exec vm1 bash Lucas Nussbaum Virtualisation et réseau 17 / 21

Travaux pratiques 1 Écrire des scripts en utilisant des netns, pour mettre en place les infrastructures décrites dans les cas 1, 2.1, 2.2, 2.3 2 Créer la topologie virtuelle ci-dessous, et vérifier son bon fonctionnement Il est conseillé de faire du NAT sur VM1 Réseau physique bridge VM1 Host1 bridge VM2 VM3 Lucas Nussbaum Virtualisation et réseau 18 / 21

Travaux pratiques (2) VLAN Dans l hôte, créez un bridge, ainsi que 4 machines virtuelles, avec un couple d interfaces veth pour chaque machine virtuelle. Reliez les interfaces veth au bridge Après les avoir configurées correctement, vérifiez que vous arrivez à communiquer entre les machines virtuelles Ajoutez une interface VLAN dans une machine virtuelle. Utilisez la pour communiquer avec les autres VM. Vérifiez que vous n y arrivez pas Ajoutez une interface VLAN avec le même numéro de VLAN dans une autre VM. Vérifiez que vous arrivez bien à communiquer avec l autre VM dans le même VLAN Lucas Nussbaum Virtualisation et réseau 19 / 21

FAQ Autres commandes utiles : ip addr add 10.0.0.1/8 dev ext0 ip link set dev ext0 up Pour désactiver le NAT, il faut (1) enlever la règle iptables ; (2) vider le cache conntrack, avec conntrack -F Troubleshooting : 1 Arrêter NetworkManager pour éviter les conflits 2 Vérifier que les interfaces (y compris les bridges) sont up 3 Vérifier le contenu des règles de firewall 4 Utiliser tcpdump ou tshark ou wireshark 5 Par défaut, le bridge attend 15 secondes avant de commencer à forwarder les trames. Utiliser brctl setfd br0 0 pour supprimer ce délai. 6 Une VM ne peut pas se pinguer elle-même il faut mettre l interface lo à UP Lucas Nussbaum Virtualisation et réseau 20 / 21

Liens utiles Deux présentations très techniques sur le fonctionnement interne du réseau sous Linux : https://www.slideshare.net/thomasgraf5/ linuxcon-2015-linux-kernel-networking-walkthrough https://www.slideshare.net/thomasgraf5/ linux-networking-explained Lucas Nussbaum Virtualisation et réseau 21 / 21

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back