Lección 2: Trabajando con las redes de NETinVM Francisco Javier Cervigon Ruckauer

Lección 2: Trabajando con las redes de NETinVM

Las redes de NETinVM

Todas las máquinas virtuales utilizan el sistema operativo Linux. La máquina virtual VMware recibe el nombre 'base' y ejecuta la versión 13.2 de openSUSE. Las máquinas User-mode Linux usan la versión 6 de Debian y reciben nombres diferentes en función de su ubicación en la red virtual, ya que están agrupadas en tres subredes, que desempeñan el papel de las redes corporativa, perimétrica y externa de una organización. Estas redes reciben en NETinVM los nombres 'int' (por red interna), 'dmz' (por DMZ o zona desmilitarizada, que suele usarse como sinónimo de red perimétrica) y 'ext' (por red externa).
Una de las máquinas UML, 'fw', conecta entre sí las tres redes permitiendo la comunicación y el filtrado de paquetes. Las demás UMLs tienen una única interfaz de red conectada a la red que les da nombre:
int<X>
UMLs conectadas a la red interna. <X> puede tomar los valores de 'a' a 'f', ambos inclusive. Estas máquinas sólo ofrecen el servicio SSH.
dmz<X>
UMLs conectadas a la red perimétrica (DMZ). Pensadas como nodos bastión. En esta red hay dos máquinas con alias:
  • 'dmza' tiene el alias 'www.example.net' y ofrece los servicios HTTP y HTTPS.
  • 'dmzb' tiene el alias 'ftp.example.net' y ofrece el servicio FTP.
ext<X>
UMLs conectadas a la red externa de la organización (por ejemplo, el equivalente de 'Internet').

En la siguiente figura se muestra una visión detallada de la estructura de NETinVM con todas las máquinas virtuales en ejecución.

En la imagen están representados todos los elementos a los que se ha hecho referencia anteriormente con sus direcciones IP y ethernet correspondientes. Para la asignación de direcciones se han seguido las siguientes reglas:
  • La red externa es la 0, la perimétrica es la 1 y la interna es la 2.
  • Las direcciones IP son 10.5.red.máquina, donde red es 0, 1 ó 2 y máquina es 10 para 'exta', 'dmza' e 'inta', 11 para las 'b' y así sucesivamente hasta 15 para las 'f'.
  • Las máscaras de red son de 24 bits (255.255.255.0).
  • Las direcciones ethernet son CA:FE:00:00:0<RED>:0<MAQUINA>, donde <RED> es 0, 1 ó 2 y <MAQUINA> es a, b, c, d, e ó f.
  • Las interfaces de 'fw' tienen asignado el número 254 para IP y FE para ethernet.
  • Las interfaces de 'base' tienen asignado el número 1 para IP.

Además de las redes y máquinas descritas previamente, en la figura también aparece el ordenador en el que se ejecuta NETinVM, etiquetado como 'ORDENADOR REAL' y la red virtual 'vmnet8' característica de VMware Player, que proporciona (opcionalmente) conectividad entre las redes de NETinVM y el mundo exterior.

Información adicional sobre configuración y encaminamiento

Al arrancar, todas las máquinas virtuales UML obtienen su configuración de red de 'base', que ofrece los servicios DHCP y DNS a todas las redes a través de las interfaces 'tap0', 'tap1' y 'tap2'.
El encaminamiento se produce de la siguiente forma:
  • La pasarela por defecto para las redes interna y perimétrica (máquinas 'int<X>' y 'dmz<X>') es 'fw' (concretamente la dirección de 'fw' en la correspondiente subred).
  • 'fw' tiene como pasarela por defecto a 'base' (concretamente la dirección de 'base' en la red externa).
  • Las máquinas de la red externa ('ext<X>') tienen a 'base' (su dirección en la red externa) como pasarela por defecto y a 'fw' (su dirección en la red externa) como pasarela para acceder a las redes perimétrica e interna.
  • 'fw' aplica NAT (SNAT, Masquerading) a todo el tráfico proveniente de las redes interna y perimétrica que va a salir por su interfaz de la red externa, de modo que dichos paquetes salen a la red externa con la dirección IP 10.0.254 como dirección IP origen.

Por tanto, el tráfico entre las máquinas de las tres redes siempre circula a través de 'fw', mientras que el tráfico hacia fuera de la máquina virtual VMware atraviesa 'fw' si y sólo si proviene de las redes interna o perimétrica. En cualquier caso, ese tráfico hacia el mundo exterior sale a través de 'base', que a su vez, como 'fw', también tiene activado el reenvío IP y NAT.
La comunicación entre 'base' y cualquier máquina UML, en cualquiera de los dos sentidos, se realiza directamente, sin pasar por 'fw' (siempre que se utilice la IP de 'base' correspondiente a la red de la máquina UML de que se trate). Esta configuración resulta conveniente, pues permite el acceso desde 'base' a todas las máquinas UML usando SSH independientemente de la configuración del filtrado de paquetes en 'fw'.
Como nota adicional nótese que la configuración de SNAT en 'fw' descrita anteriormente es necesaria para que las respuestas a las conexiones salientes hacia Internet originadas en las redes interna y perimétrica vuelvan a través de 'fw' y no sean enviadas por 'base' directamente a las máquinas UML a través de tap1 o tap2 sin pasar por 'fw'.
Francisco Javier Cervigon Ruckauer
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)