Связность сети и целевая маршрутизация

TODO лекция была прочитана за 1:10, есть +20 минут на какую-нибудь тему

Задачи (повторение):

1. Глобальная идентификация (адресация)
   1. Структура адреса

   2. Установление соответствия адресов абонентам

2. Алгоритм доставки (маршрутизация)
   1. Топология заранее спланированных сетей (в т. ч. динамически меняющихся)
   2. Связность крупных сетей (карта достижимости / стоимость) как автономных систем

Автоматическая настройка «выхода в интернет» (быстрый старт)

• dhcpcd eth0 — автоматическая настройка IP, маршрута по умолчанию и DNS по протоколу DHCP

• sysctl net.ipv4.ip_forward=1 — включение маршрутизации пакетов

• iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE — трансляция сетевых адресов всех выходящих пакетов в адрес интерфейса eth0

Можно посмотреть /etc/resolv.conf и ip route show (оно же ip r).

• Содержимое /etc/resolv.conf нам ещё понадобится!

  • В более ранних Virtualbox оно бралось из внешней сети, т. е. совпадало с настройками host-системы

  • На момент 2025-03-15 оно стало nameserver 10.0.2.3, то есть управляется самим Virtualbox

Ещё немного читерства:

• Сценарий host-системы vbsnap не только настраивает сетевое подключение к COM-порту виртуалки и используемые ею виртуальные сети, но и записывает в поле BIOS «SKU Number» виртуалки строку, состоящую из порта для проброса и имён сетей.

• Сценарий гостевой системы autonet настраивает в виртуалках сеть, пользуясь полем BIOS «SKU Number» в аппаратном профиле, и включает net.ipv4.ip_forward=1.

Динамическое распространение таблиц маршрутизации

• Большая сеть в едином администрировании (возможно, с делегированием прав администраторам локалок)
• Непростая и/или динамическая топология
• …

⇒ Сложно каждый раз руками делать ip route del / ip route add на всех машинах сразу

• Использовать периодически обновляемую «автоматическую настройку» (например, DHCP)

  • требует строгой централизации

• Использовать протокол динамического обновления маршрутных таблиц (OSPF, IS-IS и т. п.)

  • (самым простой из этого списка — протокол RIP, но он уже давно не используется)

OSPF

• отслеживание общего статуса всей сети
• расчёт кратчайшего взвешенного пути по Дейкстре
• удаление петель
• …

ПО: zebra, quagga, bird, frr, …

Настройка OSPF в BIRD

Площадка:

• base (маршрутизатор)

  • eth0 — выход в интернет (см. выше)

  • eth1 — в сети alpha

  • bird.conf:

    router id 10.1.0.26;
    protocol kernel {
            learn;                  # Learn all alien routes from the kernel (gathered by dhcpcd)
            scan time 20;           # Scan kernel routing table every 20 seconds
            ipv4 { export all; };             # Default is export none
    }
    protocol device {
            scan time 10;           # Scan interfaces every 10 seconds
    }
    protocol ospf SIMPLE {
            ipv4 { export all; };
            area 0.0.0.0 {
                    interface "eth1" {
                    };
            };
    }

• router (маршрутизатор)

  • eth1 — в сети alpha

  • eth2 — в сети beta

  • bird.conf:

    router id 10.2.0.27;
    protocol kernel {
            scan time 20;
            ipv4 { export all; };
    }
    protocol device {
            scan time 10;
    }
    protocol ospf SIMPLE {
            ipv4 { export all; };
            area 0.0.0.0 {
                    interface "eth1" {
                    };
                    interface "eth2" {
                    };
            };
    }

• client

  • eth1 — в сети beta

  • bird.conf:

    router id 10.2.0.28;
    protocol kernel {
            scan time 20;
            ipv4 { export all; };
    }
    protocol device {
            scan time 10;
    }
    protocol ospf SIMPLE {
            area 0.0.0.0 {
                    interface "eth1" {
                    };
            };
    }

Итак:

• Настроить сеть (и выход в интернет на base)

• Настроить и запустить bird

• …посмотреть как приезжают маршруты!

Обеспечение глобальной связности

Проблема глобальной связности: табличная эскалация и дескалация, а что между?

• Весь интернет в full view не запихаешь

• ⇒ укрупнение до «системы под единым администрированием» (внутри таких систем OSPF и ему подобные решают проблемы) — т. н. автономных систем

• Выдаются IANA / локальными регистраторами

• Сложный протокол BGP

  • Анонс собственной доступности
  • Вычисление доступности и стоимости других AS
• Вот из AS-ок можно соорудить Full View, но

  • Их больше миллиона: маршрутов (год назад было 965 000+, два года назад — 940 000+)

  • Имеет смысл только если у вас несколько AS в доступе

    • и вы хотите пропускать транзитный трафик либо выгадывать на стоимости перенаправления трафиков

  • Так делают большинство крупных операторов

• Иначе — вырожденный BGP-узел с т. н. «Last resort» (он же default route)

Т. е. очередная дихотомия: задачу связности решать надо, анонсировать доступность надо, но вычислять топологию нужно только если от этого есть польза.

(ещё раз упомяну Сети для самых маленьких с замечанием, что по этой теме они точно не про Linux)

Целевая маршрутизация

Destination-based принцип табличной маршрутизации: «сеть получателя ⇒ маршрут».

Задача source-based маршрутизации: «свойства пакета отправителя ⇒ маршрут».

Linux: просто заведём несколько таблиц маршрутизации (разных), и будем обрабатывать пакет по правилам одной из них сообразно его свойствам:

• Адрес отправителя
• Порт получателя (или отправителя)
• Интерфейс, протокол и т. п. …

Команда ip rule (немного документации)

Заготовка:

0. Два компьютера с выходом в интернет у каждого

1. Маршрутизатор, подключённый к этим двум машинам по отдельным интерфейсам и третьей сетью для внутренних клиентов

Пример 1: подключаем два клиента ко внутренней сети, настраиваем source routing: с одного адреса пакеты в одну сторону, с другого — в другую

При этом настраиваем сеть как обычно для IP_A, а для второго клиента делаем так:

# ip route add default второй_сервер table какой-то-номер
# ip rule add from «IP_B» table какой-то-номер

Пример 2: подключаем один клиент, перекидываем трафик по 80/443 портам в другую сторону

# ip route add default второй_сервер table какой-то-номер
# ip rule add dport 80 table какой-то-номер

Получаем такую настройку (первый пример от второго отличается только правилом 32765):

   1 [root@router ~]# ip rule list
   2 0:      from all lookup local
   3 32765:  from all dport 80 lookup какой-то-номер
   4 32766:  from all lookup main
   5 32767:  from all lookup default
   6 [root@router ~]# ip route list
   7 default via Сервер1 dev eth1
   8 …
   9 [root@router ~]# ip route list table какой-то-номер
  10 default via Сервер2 dev eth2
  11 

Правила в ip rule

• Просматриваются в порядке увеличения номера (приоритет 0 — наивысший)

• Правило lookup приводит к поиску в соответствующей таблице

  • Если этот поиск удачен, происходит маршрутизация

  • Например, правило с наивысшим приоритетом «0: from all lookup local» приводит к поиску в таблице local (посмотрите на неё), отражающей подключённые локальные сети. Если адрес не из локальной сети, lookup local ничего не находит,

  • Если правило lookup не нашло маршрута, поиск продолжается дальше

• Приоритет правила можно задавать вручную, добавив в конце priority номер

• Основная таблица — main, именно её показывает ip route (т. е. ip route list table main)

Разумеется, в обоих примерах на серверах надо дополнительно настраивать маршрут в клиентскую сеть через центральный маршрутизатор.

Кстати! BIRD умеет записывать результаты не в основную, а в целевую таблицу маршрутизации (параметр kernel table №; в секции protocol kernel).

Д/З

Новое в образе (за несколько итераций):

• Время ожидания загрузки GRUB снижено до 5 секунд

• Остановлен сервер avahi (он проявляет ненужную нам сетевую активноcть)

• Свободное место на диске увеличено до 3 гигабайт (поскольку образ упакован, это не влияет ни на размер скачиваемого файла, ни на размер образа после импорта)

  • Теперь в образ можно ставить пакеты (настроить сеть, apt-repo set sisyphus; apt-get update и вперёд!)

Задание 5

0. Суть: объединить policy routing и OSPF в следующей топологии

   • Верхний сервер srv: «выход в интернет» + доступность машины client

   • Нижний сервер web: «выход в интернет» + доступность машины client

   • Маршрутизатор router:

     • TCP-соединения на 80-й и 443-й порты идут через web; весь остальной трафик (например, ping или traceroute) — через srv

   • Клиент client — «просто работает»

   • Дополнительное условие: никаких заранее заданных статических маршрутов (в т. ч. по умолчанию) в основной таблице маршрутизации, используйте OSPF (в srv и web они приедут по DHCP).

   • Допустимо использовать статические маршруты в целевых таблицах маршрутизации (в идеале они тоже должны заполняться BIRD-ом, но я сам пока не пробовал)

   • Подсказка. Есть три варианта настройки web;

     0. Я делал так:

        • На srv вписал в 0.0.0.0 зону ipv4 { export all; }; (чтобы пропихивать маршрут по умолчанию), а на web — нет;

        • При этом на web приезжают два неправильных маршрута через srv: 0.0.0.0/0 — default, и 10.0.2.0/24 ( «выход в интернет» на обеих машинах настроен идентично!)

     1. Поэтому я в протокол kernel вписал preference 200 (записи в таблице ядра стали более приоритетны, чем в таблице OSPF; по умолчанию — наоборот, у OSPF приоритет 100, а у kernel — 10).

     2. Можно использовать фильтр на web в секции protocol ospf:

        import filter { if (net = 0.0.0.0/0 || net = 10.0.2.0/24) then reject; accept; };

     3. (не рекомендуется: это абъюз условия, хотя формально всё верно) Поскольку статические маршруты в целевых таблицах маршрутизации разрешены, можно на web вообще не запускать bird, а создать целевую таблицу маршрутизации на client и соответствующее правило.

1. ВНИМАНИЕ! Предварительная настройка в отчёт не входит! Отчёт делается по уже работоспособной сети.

2. Отчёт (конфигурацию bird надо показывать, даже если вы его на данном хосте не использовали):

   1. report 5 srv и report 5 web (они, по идее, идентичны?):

      • ip addr

      • ip route

      • grep "^[^#]" /etc/bird/bird.conf

      • birdc show route

      • ping -c3 <client>

        • <client> — это IP-адрес клиента

      • tcpdump -i eth0 -c 2 tcp

   2. report 5 router

      • ip addr

      • ip route

      • ip rule

      • ip route list table <номер>

        • <номер> — это номер целевой таблицы маршрутизации для web

        • Если в вашем решении используется несколько целевых таблиц, команда выполняется для каждой

      • grep "^[^#]" /etc/bird/bird.conf

      • birdc show route

   3. client

      • ip addr

      • ip route

      • grep "^[^#]" /etc/bird/bird.conf

      • birdc show route

      • dig +tcp @<dns-server> oeis.org

        • <dns-server> — это адрес, оказавшийся в файле /etc/resolv.conf на машине srv после настройки по DHCP

      • echo -e "GET / HTTP/1.1\nHOST: oeis.org\n" | netcat -i1 <ip-адрес> 80

        • <ip-адрес> — это один из адресов, которые вернёт dig

3. Четыре отчёта с названиями report.05.router, report.05.srv, report.05.web, report.05.client переслать одним письмом в качестве приложений на uneexlectures@cs.msu.ru

   • В теме письма должно встречаться слово LinuxNetwork2025