24.9 Netzwerktechnik

Auch bei der Konfiguration von Netzwerken hält sich Xen an die eigene Devise, so »schlank wie möglich« zu sein. Dies hat zur Folge, dass sich Xen lediglich um die intern verbundenen virtuellen Netzwerkschnittstellen kümmert. Für die Anbindung an die physikalischen Netzwerkschnittstellen sind die gängigen Linux-Tools zuständig.

Alle für das Netzwerk relevanten Einstellungen werden durch Konfigurationsdateien gesteuert, die durch Skripte im Verzeichnis /etc/xen/scripts gesteuert werden. Es handelt sich hierbei um einfache Bash-Skripte, sodass jedes geläufige Linux-Tool mit diesen Dateien umgehen können sollte.

Grundlagen

Die Integration von Xen in Ihre Netzwerkarchitektur ist ein komplizierter Prozess und erfordert abhängig von Ihrer Infrastruktur möglicherweise eine angepasste Konfiguration, um mehrere Ethernet-Schnittstellen einzusetzen und ein Bridging (eine Überbrückung) einzurichten.

Jede Domain-Netzwerkschnittstelle ist mit einer virtuellen Netzwerkschnittstelle via Punkt-zu-Punkt-Verbindung unter dom0 verbunden. Diese Geräte sind vif<domid> und <vifid>. Dabei steht vif1.0 für die erste Schnittstelle in Domain 1 und vif3.1 für die zweite Schnittstelle in Domain 3.

Domain0 handhabt den Datenverkehr auf diesen virtuellen Schnittstellen unter Verwendung von standardmäßigen Linux-Konventionen für das Bridging, das Routing, die Limitierung der Übertragungsrate etc.

Der xend-Daemon verwendet zwei Shell-Skripte, um eine erste Konfiguration Ihres Netzwerks und der neuen virtuellen Schnittstellen durchzuführen. Diese Skripte konfigurieren eine einzelne Brücke (single bridge) für alle virtuellen Schnittstellen.

Durch Anpassung dieser Skripte können Sie zusätzliches Routing und Bridging konfigurieren. Die virtuelle Vernetzung wird von den beiden Shell-Skripten network-bridge und vif-bridge kontrolliert. xend ruft diese Skripte bei bestimmten Ereignissen auf. Argumente können an die Skripte weitergegeben werden, um zusätzliche, situationsabhängige Informationen zu liefern.

Die Skripte befinden sich im Verzeichnis /etc/xen/scripts. Sie können die Skript-Eigenschaften ändern, indem Sie die Konfigurationsdatei xend-config.sxp im Verzeichnis /etc/xen modifizieren.

• network-bridge Wenn xend gestartet oder gestoppt wird, initialisiert oder deaktiviert dieses Skript das virtuelle Netzwerk. Anschließend wird durch die Initialisierung der Konfiguration die Bridge xen--br0 erstellt und eth0 auf diese Bridge verschoben, während gleichzeitig das Routing angepasst wird. Wenn sich xend schließlich beendet, entfernt dieses Skript die Bridge und entfernt eth0. Dabei wird die ursprüngliche IP- und Routing-Konfiguration wiederhergestellt.

• vif-bridge Dieses Skript wird für jede virtuelle Schnittstelle auf der Domain aufgerufen. Es konfiguriert Firewall-Regeln und kann vif zur entsprechenden Bridge hinzufügen. Es gibt weitere Skripte, die Sie zur Unterstützung bei der Einrichtung von Xen in Ihrem Netzwerk verwenden können. Dazu gehören beispielsweise network-route, network-nat, vif-route, und vif-nat. Diese Skripte können auch durch angepasste Varianten ersetzt werden.

Wir werden uns die eben vorgestellten Konzepte jetzt etwas genauer ansehen.

Initialisieren

Bei der Betrachtung der virtuellen Netzwerkschnittstellen möchte ich zwischen Domain 0 und U unterscheiden. Dies ist von Vorteil, um sich mit dem Konzept der virtuellen Schnittstellen und dem Umgang mit ihnen Umgang vertraut zu machen.

Domain 0

Die Domain 0 stellt 16 virtuelle Netzwerkschnittstellen zur Verfügung. Dabei sind jeweils zwei von ihnen sind miteinander verbunden.

Die physikalisch vorhandenen (realen) Netzwerkkarten werden auf diese Schnittstellen abgebildet:

veth0 – vif0.0 
veth1 – vif0.1 
veth2 – vif0.2 
veth3 – vif0.3 
veth4 – vif0.4 
veth5 – vif0.5 
veth6 – vif0.6 
veth7 – vif0.7

Die Domain 0 stellt lediglich diese virtuellen Schnittstellen bereit. Eine Vergabe der notwendigen IP-Adressen und bestimmte Konfigurationen (wie beispielsweise Routing oder Bridging) werden erst später vorgenommen. Die dazu erforderlichen Angaben machen Sie in der Datei /etc/init.d/xend.

Xen sieht vor, dass in der Standardeinstellung die realen mit den virtuellen Schnittstellen ein sogenanntes Bridged Network erstellen. Um dies zu ändern, müssen Sie den Parameter network-script in der Datei /etc/xen/xend-config.sxp ändern.

Es stellt sich berechtigterweise die Frage, warum der Kunstgriff über die internen Verbindungen nötig ist. Der Grund ist darin zu sehen, dass einige Netzwerkkonfigurationen wie das Bridging auf einem OSI-Layer 2 arbeiten und dementsprechend nicht auf TCP/IP-Anfragen reagieren können.

OSI-Modell

Als OSI-Modell (auch ISO-OSI-Schichtmodell, OSI-Referenzmodell; engl. Open Systems Interconnection Reference Model) wird ein Schichtenmodell der Internationalen Standardisierungsorganisation (ISO) bezeichnet. Es wurde als Designgrundlage von Kommunikationsprotokollen entwickelt.

Die Aufgaben der Kommunikation wurden dazu in sieben aufeinander aufbauende Schichten (layers) unterteilt. Die zweite dieser Schichten ist die sogenannte »Sicherungsschicht«. Die Aufgabe dieser Schicht ist es, eine zuverlässige und fehlerfreie Übertragung zu gewährleisten und den Zugriff auf das Übertragungsmedium zu regeln. Sie erfahren mehr über das Routing und Bridging in den Abschnitten »Routed Network« auf Seite und »Bridged Network« auf Seite .

Domain U

Wie Sie bereits wissen, teilt Xen jeder Domain U eine eindeutige und fortlaufende ID zu (ID 1, ID 2, ID 3, ...). Dies geschieht unabhängig davon, ob einzelne dieser Domains eventuell gar nicht mehr existieren. Diese Eindeutigkeit in der Benennung macht sich Xen auch für die Netzwerkschnittstellen zunutze. Jede gestartete Domain U stellt Netzwerkschnittstellen mit der Bezeichnung ethX bereit, wobei das X einen fortlaufenden alphanumerischen Wert darstellt. Jede dieser Schnittstellen ist mit einer virtuellen Schnittstelle in der Domain 0 verbunden, um eine Kommunikation zwischen Gast und Wirt zu ermöglichen.

Allgemein haben die virtuellen Schnittstellen der Domain 0 folgenden Aufbau:

vif<ID der Domain U>.<Schnittstellen-Nummer>

Für die erste gestartete Domain finden wir folgende Zuordnung:

vif1.0 – eth0 
vif1.1 – eth1 
vif1.2 – eth2 
...

Vergessen Sie nicht: Die Schnittstellen vom Typ vif0.x sind der Domain 0 und ihrer »inneren« Verknüpfung vorbehalten.

Für die zweite gestartete Domain sieht die Zuordnung folgendermaßen aus:

vif2.0 – eth0 
vif2.1 – eth1 
vif2.2 – eth2 
...

Die genannten Einstellungen bezüglich der Schnittstellenzuordnung lassen sich in der Datei /etc/xen/xend-config.sxp modifizieren, vif-script ist hierfür zuständig. Die standardmäßige Einstellung vif-bridge fügt vifY.X der Bridge xenbr0 hinzu.

24.9.1 Routed Network

Sie können Ihr Netzwerk entweder im Bridged oder im Routed Mode betreiben. Während wir uns in Abschnitt »Bridged Network« ab Seite mit einem Bridged Network beschäftigen, werfen wir an dieser Stelle einen Blick auf ein alternatives Routed Network. Hierbei handelt es sich um ein klassisches, geroutetes Netzwerk.

Grundlagen

Es kann vorkommen, dass Sie an ein Netzwerk angeschlossen sind, das das Subnetz 192.168.0.x verwendet, Sie aber Ihren persönlichen Rechner lieber mit der IP-Adresse 192.168.1.1 versehen möchten. In diesem Fall müssen die beiden Subnetze miteinander verbunden werden. Diese Verbindung geschieht am einfachsten über die Erweiterung der Subnetzmaske in der Gestalt, dass beide Netzwerke erreicht werden können. Eine manuelle Konfiguration können Sie auf der Kommandozeile mittels ifconfig vornehmen. Anschließend muss das Netzwerk neu gestartet werden:

sudo sudo ifconfig eth0 192.168.1.1 netmask 255.255.0.0 
sudo /etc/init.d/networking restart

Selbstverständlich können Sie die obige Einstellung auch mit dem grafischen Netzkonfigurationswerkzeug vornehmen. Um den Linux-Rechner von einem anderen Netzwerkteilnehmer aus erreichen zu können, muss dort die Subnetzmaske entsprechend gesetzt werden. Zugegebenermaßen ist die ein eher künstliches Beispiel, um Ihnen die Technik des Routings zu verdeutlichen.

Skripte

Die Konfiguration eines Routed Networks geschieht über die beiden Parameter network-script und vif-script in der Datei /etc/xen/xend-config.sxp:

... 
(network-script network-route) 
(vif-script vif-route) 
...

Über den Parameter vif-script wird für jede gestartete Domain das Skript /etc/xen/scripts/vif-route aufgerufen. Als Parameter nimmt es die IP-Adresse entgegen, die Sie in der Konfigurationsdatei der jeweiligen Domain mit dem Parameter vif definieren müssen:

vif = [ 'ip=192.168.1.1' ]

Die Angabe dieser IP-Adresse ist zwingend notwendig, wenn Sie ein Routed Network aufbauen, da ansonsten die betreffende Domain U nicht erreicht werden kann.

Das Skript vif-route kopiert die gegebene IP-Adresse von eth0 auf die jeweilige vif-Schnittstelle und erzeugt damit eine statische Route, die Sie mit dem Befehl ip route kontrollieren können. Des Weiteren wird für die betreffende vif-Schnittstelle das Skript Proxy-ARP eingeschaltet.

Manuell wird das Proxy-ARP beispielsweise für die Schnittstelle eth0 über das /proc-Dateisystem eingeschaltet:

Listing 24.1 Aktivieren des Proxy-ARP für eth0

sudo echo 1 > /proc/sys/net/ipv4/neigh/eth0/proxy_arp

ARP

Das Address Resolution Protocol (ARP) ist ein Netzwerkprotokoll, das zu einer Netzwerkadresse der Internetschicht die physikalische Adresse der Netzzugangsschicht ermittelt. Diese Zuordnung von Netzwerkadressen zu Hardware-Adressen wird gegebenenfalls in den sogenannten ARP-Tabellen der beteiligten Rechner hinterlegt.

Es gibt allerdings auch spezielle ARP-Nachrichten. Das sogenannte »Proxy ARP« erlaubt beispielsweise einem Router, ARP-Anforderungen für Hosts zu beantworten. Die Hosts befinden sich dabei üblicherweise in verschiedenen Netzen. Bei der Kommunikation ist der Router transparent. Die Hosts können wie gewöhnlich Pakete über verschiedene Netze hinweg versenden.

Die Funktionsweise ist folgende: Rechner A sendet eine ARP-Anforderung an Rechner B. Anstelle von Rechner B reagiert aber der dazwischen liegende Router mit einer ARP-Antwort und der Hardware-Adresse (MAC) des Ports auf dem Router, auf dem die Anfrage empfangen wurde. Der anfragende Rechner A sendet dann seine Daten an den Router, der sie an Rechner B weiterleitet.

24.9.2 Bridged Network

Xen verwendet die Technik des »Bridged Network« als Standard, weil diese für die Benutzer ein Maximum an Komfort mitbringt. Ohne umständliche Konfigurationen können sämtliche Domains untereinander und mit externen Maschinen in Verbindung treten.

Grundlagen

Meist verwendet man die oben beschriebene Lösung des Routings aus Sicherheitsgründen nicht, da man zwei Netzwerke logisch und physikalisch trennen möchte. Ein mögliches Beispiel wäre ein aus zwei Segmenten bestehendes Verwaltungsnetzwerk einer öffentlichen Institution. Beide Segmente sollen zwar miteinander kommunizieren, aber logisch voneinander getrennt sein. In diesem Fall setzt man einen Rechner als Bridge (Brücke) ein, der über zwei Netzwerkkarten verfügt, die mit den beiden einzelnen Netzwerken verbunden sind.

Für das folgende Beispiel nehmen wir an, dass den beiden Karten im Bridge-Rechner die Netzwerkadresse 192.168.1.9 bzw. 192.168.0.9 zugewiesen wurde. Die Subnetze liegen entsprechend auf 192.168.1.0 und 192.168.0.0.

IP-Forwarding

Zunächst ist es notwendig, für derartige Experimente das IP-Forwarding auf dem Bridge-Rechner zu aktivieren. Dies geschieht mit dem folgenden Befehl:

Listing 24.2 Aktivierung des IP-Forwardings

sudo echo 1 > /proc/sys/net/ipv4/ip_forward

Ob der Befehl erfolgreich war, zeigt ein:

Listing 24.3 Ist das IP-Forwarding aktiv?

sudo cat /proc/sys/net/ipv4/ip_forward

Hier sollte nun eine »1« ausgegeben werden. Nun muss die Routing-Tabelle auf der Bridge wie folgt ergänzt werden:

Listing 24.4 Ergänzen der Routing-Tabelle

sudo route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.1.9 
sudo route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.0.9

Der Bridge-Rechner fungiert in diesem Fall als Gateway (gw) zwischen den beiden Subnetzen. Mit dem Befehl route überprüfen Sie, ob die Routing-Tabelle erfolgreich geändert wurde. Schließlich können Sie abschließend testen, ob sich die Rechner gegenseitig »anpingen« lassen.

In Abschnitt »Virtuelle Netzwerke« ab Seite , werde ich mich näher mit virtuellen Netzwerken und der Kommunikation zwischen diesen beschäftigen.

Skripte

Wie ich bereits erwähnt habe, wird das Netzwerk über die Parameter

• network-script und

• vif-script

in der Datei /etc/xen/xend-config.sxp konfiguriert. Bei einem Bridged Network stehen hinter diesen Parametern die Variablen network-bridge bzw. vif-bridge.

Für die detaillierte Umsetzung des Bridged Network ist das Bash-Skript /etc/xen/scripts/network-bridge in Verbindung mit den beiden Werkzeugen brct1 und ip verantwortlich. Detailliert geschieht beim Ausführen des Skripts Folgendes:

• Die physikalische Schnittstelle eth0 wird in peth0 umbenannt, um diese Bezeichnung für das virtuelle veth0 zur Verfügung zu stellen: veth0 -> eth0 -> peth0. Aus der realen Schnittstelle eth0 ist durch diese Methodik eine virtuelle geworden.

• In diesem Zusammenhang wird zuerst die IP- und MAC-Adresse von peth0 auf eth0 zuerst kopiert. In einem zweiten Schritt wird die IP-Adresse von peth0 gelöscht und die MAC-Adresse auf den Wert FE:FF:FF:FF:FF:FF gesetzt. Zusätzlich wird das Address Resolution Protocol (ARP) ausgeschaltet, um auftretende TCP/IP-Anfragen an das virtuelle eth0 weiterzuleiten.

• Die zweite wichtige Funktion des Skripts besteht in der Erstellung der Bridge xenbr0. Zu dieser Bridge werden nun die beiden Schnittstellen peth0 und vif0.0 hinzugefügt. Die Schnittstelle vif0.0 war vorher innerhalb der Domain 0 mit veth0 verbunden und stellt somit eine Verbindung über eth0 her. Das bedeutet, dass alle Anfragen, die an die IP-Adresse eth0 gerichtet sind, die Schnittstelle vif0.0 erreichen und somit über die interne Verbindung auch das virtuelle eth0. Umgekehrt werden alle Pakete über peth0 an externe Maschinen geleitet.

Eine zweite IP-Adresse vergeben

Wenn Sie für die Domain 0 eine zweite IP-Adresse vergeben möchten, muss über das Skript eine weitere vethX-Schnittstelle erstellt und die damit verbundene vif0.X-Schnittstelle der Bridge hinzugefügt werden. Hierzu sind folgende Schritte nötig:

sudo ip address add 192.168.0.4/24 dev veth1 
sudo ip link set veth1 up 
sudo ip link set vif0.1 up 
sudo brctl addif xenbr0 vif0.0

Mehrere Bridges

Selbstverständlich können Sie bei der Existenz mehrerer physikalischer Netzwerkgeräte auch mehr als eine Bridge einrichten. Somit ist es möglich, den Netzwerkverkehr gezielt auf eine der realen Schnittstellen zu lenken.

Die erste standardmäßig konfigurierte Bridge mit der Schnittstelle eth0 besitzt die Bezeichnung xenbr0, die über den Parameter bridge im Skript network-bridge gesetzt wird.

Um eine zweite Bridge einzurichten, müssen Sie das Skript folgendermaßen aufrufen:

sudo ./network-bridge netdev=eth1 bridge=xenbr1 start

Wie Sie an den übergegebenen Parametern erkennen können, nennen wir die neue Bridge xenbr1 und verbinden Sie mit der Schnittstelle eth1. Zum Abschluss müssen Sie noch die Konfigurationsdatei /etc/xen/xend-config.sxp modifizieren, damit xend beim Booten des Rechners auch die richtige Bridge erstellt. Tragen Sie hier die neu erstellte Bridge ein.

Der Parameter network-script kann leider nur einmal in der genannten Konfigurationsdatei gesetzt werden. Es ist also prinzipiell nicht möglich, an dieser Stelle zwei Bridges einzutragen. Um dennoch das Starten mehrerer Bridges zu ermöglichen, legen Sie sich ein kleines Skript an, das den Befehl ./network-bridge zweimal ausführt.

Das Skript kann einen beliebigen Namen besitzen, muss aber im Verzeichnis /etc/xen/scripts abgelegt werden. Der Inhalt sollte mindestens Folgendes umfassen:

#!/bin/sh 
/etc/xen/scripts/network-bridge netdev=eth0 bridge=xenbr0 start 
/etc/xen/scripts/network-bridge netdev=eth1 bridge=xenbr1 start

Zu guter Letzt müssen Sie dieses Skript ausführbar machen:

Listing 24.5 Das Skript ausführbar machen

sudo chmod 755 <Name>

In der Datei /etc/xen/xend-config.sxp müssen Sie nun selbstverständlich die Angabe der Bridge durch den Namen dieses Skripts ersetzen:

Listing 24.6 Angabe des Skripts

(network-script <Name>)

24.9.3 Netzwerküberwachung

Ist die Netzwerkschnittstelle einmal eingerichtet, so ist es oftmals nützlich, den Datentransfer zu überwachen. Unter GNOME finden Sie ein kleines Netzwerk-Icon im oberen Bereich der Taskleiste. Dieses blinkt bei jeglichen Netzwerkaktivitäten auf.

Wenn Sie die Netzwerkaktivitäten etwas anschaulicher dargestellt haben möchten, können Sie das Werkzeug EtherApe einsetzen (siehe Abbildung).

Sie können EtherApe als Root mittels etherape oder aus dem GNOME-Menü über Anwendungen • Internet • EtherApe as root starten. Führen Sie anschließend einmal ein ping auf einen bekannten Internetrechner durch, und verfolgen Sie den Weg der Pakete in der grafischen Darstellung.

Abbildung 24.5 Der Netzwerkmonitor EtherApe

Paketsniffer

Um sich den Netzwerkverkehr explizit anzuschauen, bedient man sich des Werkzeugs tcpdump. Öffnen Sie dazu eine Konsole, und geben Sie den gleichnamigen Befehl ein. Starten Sie nun beispielsweise den Webbrowser Firefox, und rufen Sie eine Internetseite auf. Sollten Sie via DSL über eine Netzwerkkarte an das Internet angebunden sein, so protokolliert das Programm tcpdump alle Pakete, die über die Leitung gehen.

sudo tcpdump 
tcpdump: verbose output suppressed 
listening on eth0, link-type EN10MB (Ethernet) 
15:31:40.526335 arp who-has 192.168.0.254 tell august 
... 
15:31:45.632652 IP august.46492 > 66.249.93.99.www: S

Im vorliegenden Fall wurde mit dem Browser die Seite www.google.de aufgerufen. Der PC richtet seine Anfrage betreffs der IP-Adresse der Webseite zunächst an den Router und erhält kurze Zeit später die Antwort (66.249.93.99). Das Werkzeug ist insbesondere dann nützlich, wenn es darum geht, Störungen im DSL-Betrieb auf den Grund zu gehen.

Abbildung 24.6 Der Paketsniffer Ethereal

Wenn Sie genau protokollieren möchten, was für Daten über die Ethernet-Schnittstelle gehen, dann sollten Sie das Tools Ethereal verwenden. Nachdem Sie das Programm im Root-Modus gestartet haben, wählen Sie zunächst über Capture • Interfaces das Device ausgewählt werden, das belauscht werden soll.

Durch Anklicken des Buttons Capture wird der Mitschnitt gestartet. Sollte Ihr E-Mail-Verkehr über das entsprechende Interface laufen (dies ist beispielsweise bei Verwendung von DSL der Fall), so können Sie einmal spaßeshalber eine E-Mail an sich selbst schicken und nachschauen, ob die Informationen vielleicht sogar im Klartext lesbar sind. Dies ist ein deutliches Indiz dafür, dass Sie sich Gedanken über den Wechsel des Mailservers/Providers machen sollten (Abbildung).

Ihr Kommentar