Недавно у меня появилась необходимость в маршрутизации между офисной сетью и лабой.
Лаба представляет из себя XenServer с двумя реальными сетевыми адаптерами. Один интерфейс смотрит в локальную сеть, а второй интерфейс соединен с внутренними лабораторными ресурсами, там есть своя Microsoft инфраструктура XenMobile Solution Bundle и т.д. Для исключения конфликта с DHCP для исключения сетевых проблем, наподобие броадкаст шторма и BPDU guard необходимо лабораторную сеть на уровне ip отделить от офисного сегмента.
Обычно для этого используют Vyatta роутер. Это достаточно функциональный маршрутизатор в виде виртуальной машины с дружественным для сетевого специалиста интерфейсом похожим на смесь Cisco и Juniper . Те, кто с технологиями Microsoft дружит больше, чем с сетевыми вещами, поднимают роутинг на Wndows server . Мне оба этих варианта не подходили. Сделать отдельную виртуальную машину для роутинга я не мог, потому что был очень ограничен в Equipment ресурсах. Говоря по правде XenServer располагался на обычной рабочей станции. Поднимать маршрутизацию на Windows Server'е тоже было проблемой, потому что по вышеописанным причинам выделить виртуалку для этого нельзя, а все существующие виртуальные машины используются по максимуму в экспериментах и иногда не выдерживают, глючат и так далее .
Поэтому было принято волевое решение поднять роутинг на самом Linux -ядре DOM -0 XenServer'а . Это тоже не очень правильно, загружать DOM -0 подобной не специфической нагрузкой, но с другой стороны это не противоречит концепции Software Defined Network работает же Virtual Swith и ни чего ...
Разрешить роутинг в ядре не проблема - ищется в google менее чем за одну минуту:
To enable these options to edit / etc / sysctl.conf and add or uncomment the following lines:
net.ipv4.ip_forward = 1
Как только опция была включена, ping'и сразу заработали. Но по of RDP к Widows Server'ам стенда не получалось. Первое, на что пало подозрение - это не отключенный Windows Firewall . Отключил - картина не поменялась. Второе на что пало подозрение - это просто на Windows . Я решил на уровне сетевой карты посмотреть, доходит ли вообще TCP SYN на порт 3389. Можно было это сделать на контроллере Distributed Virtual Swith , но мне показалось проще поставить на Windows сниффер Microsoft Network Monitor . В итоге пинги приходящие на Windows я увидел TCP на порты 22, 80 и 443 тоже увидел. После этого стало понятно, что где-то по пути на сетевом уровне стоит firewall . Варианта оставалось два
1. Distributed Virtual Switch - его я посмотрел - запрещающих правил нет. Для уверенности на каждом уровне добавил в явном виде " allow a whole ".
2. XenServer iptable на ядре linux . Тут действительно была проблема:
/ etc / sysconfig / iptables:
http://www.jansipke.nl/using-xenserver-in-a-routed-ip-network/
http://wiki.xen.org/wiki/Network_Configuration_Examples_ (Xen_4.1% 2B) #Routing
http://wiki.xen.org/wiki/Xen_Networking#Routing
http://support.citrix.com/article/CTX133910
0 Komentar