読者です 読者をやめる 読者になる 読者になる

ネットワーク設計を見直してみた(タグVLAN対応KVMホスト, 仮想化Linuxルーター, IPv6対応)(1)

諸事情により自宅PCのネットワーク設計を見直してみた。目標としては、
1. ルーターLinuxベース(Linux VM)に移行する (市販のIPv6対応ブロードバンドルーターは高価なため。。)
2. 外部サーバーを公開することを考慮して、DMZを作れる構成にする。
3. (少なくとも内部の通信については、)IPv6に対応する(もともとのモチベーションは全通信のIPv6対応だったのだが、ISP側の事情もあり、内部だけの対応となった。。 orz )
とした。

1,2,3はそれぞれ別のモチベーションから来ているのだが、せっかくなのでこのタイミングでまとめて変更を行うことにしている。

構成図はこんな感じである。


構成図の各部分の目的は、次のようになっている。。
1. ( 光通信のモデム ==> ブロードバンドルーター ) の接続を撤廃し、光通信モデムとVLAN使用可能のスイッチを直つなぎにする (VLAN254: インターネット側VLAN につなぐ)
2.LinuxサーバーとVLANスイッチをタグVLANで接続し、VLAN254 の仮想スイッチにルーター役のVMをつなぐ
3.ルーター役のVMは、仮想NICを2つ持ち、 1枚はVLAN254, もう1枚はVLAN251とする。(VLAN251はDMZ向け)
4.VLAN251(DMZ向け)とVLAN11(内部向け)の間にF/Wとして使用するVMを挟む

結果として、サーバー(物理も仮想も) のつなぎ先として、VLAN251(192.168.251.0/24, ブリッジ: br0x251), VLAN11(192.168.1.0/24, ブリッジ: br0x11)があり、用途によって使い分けられる状態になっている。

VLAN11は基本的に外部からの通信は一切来ないので、あまりセキュリティは意識していない。。 w

VLAN251は比較的インターネットに近いため、不要なサービスはあげない等のハードニングを行う予定である。。 また、グローバルIPは1つしか持っていないため、複数のVMで複数のサービスを動かす方策として、ルーター上のiptablesでDNAT(バーチャルサーバー構成)を使うことができる。

※ ただし、切り替えのタイミング等の都合により、まだVLAN251ができておらず、現状はVLAN254, VLAN11しかないのだが。。 orz
==> 追記: 2月始めに切り替えを行い、構成図通りのネットワーク構成になっている。

また、内部の通信(VLAN11上)は、内部のVMIPv6アドレスを振り、通信を全体的にIPv6化していこうと思う。(調べてみたら、http, ssh, ntp, DNSが多かった w 他にLDAP, Kerberosが少し動いている ) 最終的には外部との通信がv6対応になることを期待して、ゆるやかに全通信をv6化していこうと思う。(ルーターLinuxベースに移行できれば、新規にv6ルーターを買わなくても、外向け通信もv6に移行できる。)

今回、かなり大きな構成変更だったのだが、PPP, iptables, virt-manager, v6アドレスの割り振り、各種サービスのIPv6対応などいくつかはまるポイントがあった orz ので、これから順次書き残していこうと思う。