[Top] [All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[Xen-fr] Re: Problemes reseau

Bonjour,

J'utilise ce type de config en prod sur mes deux dom0 :
eth0 : mon rÃseau local (IPs privÃes).
eth1 : ma DMZ (IPs publiques).
eth2 : accÃs à mon SAN pour pouvoir faire des migration live de mes
domU.

Les cartes rÃseaux sont toutes sur un VLAN diffÃrent et un firewall en
amont contrÃle le trafic et les accÃs entre eth0 et eth1.

Afin de pouvoir assigner une IP (local ou dmz) Ã un domU et faire
transiter le trafic rÃseau sur la bonne interface, il faut modifier la
config du ou des dom0 :

1) Je reste en mode bridge: pour eth0 mon firewall fait dÃjà du NAT et
pour ma DMZ il fait du filtrage IP et du routage uniquement.

2) Pour ce faire, modifier le fichier /etc/xen/xend-config.sxp pour lui
indiquer d'utiliser un nouveau script rÃseau (en fait un wrapper):

# cp /etc/xen/xend-config.sxp /etc/xen/xend-config.sxp.ORG

Modifs :

# diff /etc/xen/xend-config.sxp.ORG /etc/xen/xend-config.sxp
.../...
89c93,94
< (network-script network-bridge)
---
> #(network-script network-bridge)
> (network-script network-bridge.NEW)

3) CrÃer un wrapper sur le script network-bridge :

# cat /etc/xen/scripts/network-bridge.NEW
#!/bin/sh
# Exit if anything goes wrong.
set -e

# First arg is the operation.
OP=$1
shift

script=/etc/xen/scripts/network-bridge

case ${OP} in
  start)
        $script start bridge=xen-br-loc netdev=eth0 vifnum=0
antispoof=no
        $script start bridge=xen-br-dmz netdev=eth1 vifnum=1
antispoof=no
        ;;

    stop)
        $script stop bridge=xen-br-loc netdev=eth0 vifnum=0
        $script stop bridge=xen-br-dmz netdev=eth1 vifnum=1
        ;;

    *)
       echo 'Unknown command: ' ${OP}
       echo 'Valid commands are: start, stop'
       exit 1
esac


4) J'ai donc maintenant deux interfaces de type bridge avec des noms
bien spÃcifiques et des interfaces dÃdiÃes :
xen-br-loc (mon rÃseau local) pour eth0
xen-br-dmz (ma dmz) pour eth1

5) Il reste juste à modifier le fichier de startup de mes domU pour
pouvoir en profiter :
.../...
# network
vif = [ 'bridge=xen-br-loc' ]
ip="192.168.0.103"
netmask="255.255.255.0"
gateway="192.168.0.1"
.../...

Ou pour un domU dans ma DMZ :
# network
vif = [ 'bridge=xen-br-dmz' ]
ip="214.*.*.*"
netmask="255.255.255.224"
gateway="214.*.*.*"

6) Faire un reboot pour tester car sinon le dom0 ne va pas trouver vos
interfaces.

Voila si ca peut t'aider et rÃpondre à ta question.

Cordialement,
Yacine.

http://www.alyseo.com/
http://www.coraid.fr/

> ----------------------------------------------------------------------
> Message: 1
> Date: Tue, 29 May 2007 11:31:59 +0200
> From: "Le poulpe qui bloppe !" <monpoulpe@xxxxxxxxx>
> Subject: [Xen-fr] Problemes reseau
> To: xen-fr@xxxxxxxxxxxxxxxxxxx
> Message-ID:
>       <ca8ba4880705290231m25ffd14fj308dd267b29eca5@xxxxxxxxxxxxxx>
> Content-Type: text/plain; charset="iso-8859-1"
> 
> Bonjour,
> Je suis tout ouveau sur la liste, j'utilise xen de maniere tres simple
> depuis 1 mois, et j'ai besoin de passer dans une configuration un peu plus
> compliquee.
> Voila ce que je souhaite faire:
> Ma machine dom0 doit avoir 2 cartes reseau:
>  - eth1 branchee sur le net avec mon ip publique.
>  - eth0 branchee sur un switch vers mon reseau local en 192.168.13.254
> Jusqu'a present, mon xen etait en bridge avec mes domu dans le meme reseau
> que mon lan 192.168.13.xxx
> Et maintenant, j'ai besoin d'avoir mes domU dans un autre sous reseau pour
> ne pas etre pollue par mon lan, donc les mettre en 192.168.51.xxx
> Mon gros probleme, c'est que je ne comprends pas tout entre nat et bridge,
> et que le plus loin ou j'arrive a aller, c'est effectivement une domu en
> 51.x qui qrrive a pinguer ma dom0, mais pas le lan, et pas de net...
> 
> J'ai beau googler, je trouve pas grand chose.
> 
> Le principe ideal ou j'aimerais arriver, en pensant a une infrastructure
> physique, c'est un peu comme si ma dom0 avait 3 carte reso:
>  - eth1 = internet
>  - eth0 = mon lan en .13.xx
>  - eth2 = branchee sur un switch qui part sur le 51.xxx
> De cette maniere, j'aurais vraiment des reseau separes et je pourrait mettre
> un iptables sur ma dom0 et regler qui a acces a quoi et comment.
> 
> Donc si quelqu'un peu me donner une piste, ce serait vraiment sympa.
> 
> Merci de votre attention.
> 
> 
> PS: dsl pour les accents, je suis en qwerty....
> -------------- section suivante --------------
> Une piÃce jointe HTML a Ãtà enlevÃe...
> URL: 
> http://lists.xensource.com/archives/html/xen-fr/attachments/20070529/e236d381/attachment.html
> 
> ------------------------------




_______________________________________________
Xen-fr mailing list
Xen-fr@xxxxxxxxxxxxxxxxxxx
http://lists.xensource.com/xen-fr

 

©2013 Xen Project, A Linux Foundation Collaborative Project. All Rights Reserved.
Linux Foundation is a registered trademark of The Linux Foundation.
Xen Project is a trademark of The Linux Foundation.

Rackspace

Lists.xenproject.org is hosted with RackSpace, monitoring our
servers 24x7x365 and backed by RackSpace's Fanatical Support®.