よくL2スイッチとかについてるポート間のIsolateが便利にゃんだが、vmが増えてくるとそんにゃL2SWが沢山欲しくにゃってくる。いちいち外部のSWを経由させるのも面倒にゃので、速度が必要でにゃい場合はソフトウェアでL2SWの機能を実現したいところ。
で、それにゃらOpenflowでしょう、ってわけにゃんだがまだ少々敷居が高いので、地道にLinuxで。
せっかくにゃのでタグVLANを直接放り込む場合の例。
apt-get install vlan
modprobe 8021q
vconfig
ifconfig eth1 up
vconfig add eth1 10
vconfig add eth1 11
vconfig add eth1 900
ifconfig eth1.10 up
ifconfig eth1.11 up
ifconfig eth1.900 up
ifconfig -a
とかで何とにゃくTag解釈出来てることを確認。
あとは/etc/network/interfacesに
auto eth1.10
iface eth1.10 inet static
address x.x.x.x
netmask x.x.x.x
broadcast x.x.x.x
auto eth1.11
iface eth1.11 inet static
address x.x.x.x
netmask x.x.x.x
broadcast x.x.x.x
auto eth1.900
iface eth1.900 inet static
address x.x.x.x
netmask x.x.x.x
broadcast x.x.x.x
みたいにゃのを書いて通信できてればOK。
次にブリッジ。上の/etc/network/interfacesは消して
apt-get install bridge-utils
brctl addbr br0
brctl addif br0 eth1.10
brctl addif br0 eth1.11
brctl addif br0 eth1.900
こんにゃのでブリッジ動作してるかどうか確認。vmにゃら当然vnicがpromiscuous許可されてるかどうかが影響する。
/etc/network/interfacesは
auto eth1.10
iface eth1.10 inet static
address 0.0.0.0
auto eth1.11
iface eth1.11 inet static
address 0.0.0.0
auto eth1.900
iface eth1.900 inet static
address 0.0.0.0
auto br0
iface br0 inet static
address x.x.x.x
netmask x.x.x.x
metwork x.x.x.x
broadcast x.x.x.x
bridge_ports eth1.10 eth1.11 eth1.900
こんにゃ感じでブリッジ動作してればOK。
でやっとこさポート間Isolateの話だが、この状態で
apt-get install ebtables
ebtables -P FORWARD DROP
ebtables -F FORWARD
ebtables -A FORWARD -i eth1.900 -j ACCEPT
ebtables -A FORWARD -o eth1.900 -j ACCEPT
こんにゃんで割と簡単に。この状態で
network10 が eth1.10 に
network11 が eth1.11 に
network900 が eth1.900 に
繋がっていたとすると、
network10 <---> network900
network11 <---> network900
network10 <-X-> network11
こういうことににゃる。
より複雑にゃ通信可否表を満たすためにはebtablesの書式を勉強する必要がありそうだが、とりあえずこれだけでもマルチプルVLAN的にゃことは実現出来ちゃうのでよいかにゃと。
もっとL3にゃ条件で振り分けたい場合は
iptables -m physdev --physdev-in eth
的にゃ手法も組み合わせることが出来るぽい。ブリッジ経由の場合は
iptables -A FORWARD --in-interface eth
では動かにゃいぽいので。
これでifやらMACとかIPやらTCPやら幅広いフィルタマッチングしつつ、L2レベルで転送できるわけで、L3FW積んだL2SWみたいにゃ物も作れそう。