Kapitel 1
Das Labornetzwerk
Ein einzelner VyOS-Router ohne umgebendes Netzwerk ist wenig beeindruckend. Für den praxisnahen Einstieg erwacht VyOS in einem konstruierten Labornetz zum Leben. In dieser Umgebung kann VyOS Kapitel für Kapitel mit seinen Fähigkeiten glänzen. Vor dem Einstieg in den Umgang mit VyOS steht der Aufbau des Labornetzwerks.
Alle Themen der Kapitel haben einen praktischen Hintergrund. Theoretische Grundlagen werden nur am Anfang eines Kapitels angesprochen um Verständnis aufzubauen oder angestaubtes Wissen aufzufrischen. Die Beispiele und Übungen sind zum Nachspielen konzipiert.
Die Kapitel basieren alle auf demselben Netzaufbau. Es stellt ein kleines Firmennetz mit drei Standorten und redundanten WAN-Verbindungen dar. Je nach Komplexität eines Themas reicht ein Teil des Labornetzwerks aus, um die Kernaussage zu beschreiben.
Wenn ein Kapitel einen gesonderten Aufbau benötigt oder ein weiteres Gerät untersucht werden soll, gibts am Anfang der Lektion einen entsprechenden Hinweis mit Erklärung.
Ressourcen
Der stets unveränderte Aufbau des Labornetzes hat den charmanten Vorteil, dass zwischen den Kapiteln nicht umgebaut werden muss. Kein Umverkabeln der Geräte oder Umkonfigurieren der virtuellen Umgebung. Das spart Zeit und verhindert Fehler. Und nach ein paar Kapiteln wird das Labornetz zum vertrauten Begleiter, denn die Namen der Router, Clients, Netzschnittstellen und IP-Adressen bleiben gleich.
Das vollständige Labornetz ist als Netzdiagramm in Abbildung 1.1 dargestellt. In den folgenden Kapiteln werden meist nur Teile dieses Netzwerks zur Untersuchung benutzt.
Da ein händischer Eingriff nach dem ersten Aufbau nicht mehr notwendig ist, kann das Lab auch „aus der Ferne“ betrieben werden - Remotezugriff vorausgesetzt.
Die offiziellen Angaben für Arbeitsspeicher und Festplattengröße sind nicht die Mindestausstattungen – aber nah dran. Damit ist es möglich, das Lab auf dem eigenen Laptop zu starten oder preisgünstig in Hardware nachzubauen. Beispielsweise nutzt ein VyOS-Router gerade mal 256 MB Arbeitsspeicher mit einer 2 Gigabytes großen Festplatte.
Manche Kapitel arbeiten isoliert; andere benötigen Internetzugriff. Der Zugang zum Internet läuft stets über den Core-Router, der hinter seiner Netzkarte eth0 das Internet erwartet. Ganz praktisch passiert das in einer virtuellen Umgebung über eine NAT-Schnittstelle. In Hardware reicht ein Uplink zum DSL-Router. Hierbei ist alles möglich, was letztendlich ins Internet führt.
Virtualisierung
Alle Geräte im Lab können vollständig virtualisiert werden. Der einzige Hardwarerouter wird dann durch einen VyOS-Router ersetzt, weil EdgeOS keine virtuelle Plattform unterstützt. Auch ein Mischbetrieb mit physikalischen Geräten ist möglich.
Jeder Router im Labornetz ist dann eine eigene virtuelle Maschine (VM) mit virtuellen Netzwerkkabeln zu den benachbarten VMs. Die Verbindungsnetze zwischen den VMs sind VMnetX (bei VMware) und vboxnetX (bei VirtualBox). Eine physikalische Netzwerkkarte im Hostsystem ist nötig, wenn mit echter Hardware gemischt wird.
Abbildung 1.1: Das Labornetzwerk als Vorlage für alle Kapitel
Welches Routerinterface in welchem virtuellen Netz zuhause ist, zeigt Tabelle 1.1.
| Router | Interface | VMnet/vboxnet | IPv4 | IPv6 |
| RT-1 | eth0 eth1 eth2 eth3 eth4 | VMnet1 VMnet6 VMnet4 Management VMnet7 | 10.1.1.1 192.0.2.1 10.4.1.1 10.5.1.1 198.51.100.1 | fd00:1::1 2001:db8:2::1 fd00:4::1 fd00:5::1 2001:db8:1::1 |
| RT-2 | eth0 eth1 eth2 eth3 | VMnet1 VMnet7 VMnet4 Management | 10.1.1.2 198.51.100.2 10.4.1.2 10.5.1.2 | fd00:1::2 2001:db8:1::2 fd00:4::2 fd00:5::2 |
| RT-3 | eth0 eth1 eth2 | VMnet2 VMnet6 Management | 10.2.1.3 192.0.2.3 10.5.1.3 | fd00:2::3 2001:db8:2::3 fd00:5::3 |
| RT-4 | eth0 eth1 eth2 | VMnet2 VMnet7 Management | 10.2.1.4 198.51.100.4 10.5.1.4 | fd00:2::4 2001:db8:1::4 fd00:5::4 |
| RT-5 | eth0 eth1 eth2 eth3 | VMnet3 VMnet6 VMnet7 Management | 10.3.1.5 192.0.2.5 198.51.100.5 10.5.1.5 | fd00:3::5 2001:db8:2::5 2001:db8:1::5 fd00:5::5 |
| RT-core | eth0 eth1 eth2 | Management VMnet6 VMnet7 | 10.5.1.6 192.0.2.6 198.51.100.6 | fd00:5::6 2001:db8:2::6 2001:db8:1::6 |
| labsrv | eth0 eth1 | Management VMnet4 | 10.5.1.7 10.4.1.7 | fd00:5::7 fd00:4::7 |
Tabelle 1.1: Alle Router mit Interface und VMnet/vboxnet
Technisch nicht erforderlich, aber hilfreich zum Auswerten: Die Netzwerkkarten der VMs verwenden vordefinierte MAC-Adressen. Damit sind alle Geräte in den Kommandoausgaben eindeutig erkennbar und mit den Beispielen im Buch vergleichbar.
Getestet und geprüft sind die Labs mit VMware Workstation 10, VMware ESXi 6 und VirtualBox 5.0.
Hardware
VyOS läuft grundsätzlich auf Geräten mit i386- oder x86_64-Prozessor. Auch der Typ der Netzwerkkarte ist unwichtig, da das Labor-Netz Verständnis bieten soll und nicht Höchstleistung. Bei Unsicherheit über passende Hardware lohnt sich ein Blick in die Kompatibilitätsmatrix von Debian [2].
Die Netze zwischen den Routern basieren auf Ethernet. Jedes Teilnetz ist eine eigene Broadcast-Domäne. Bei der Verkabelung ist es also wichtig, dass sich die Kabel verschiedener Netzsegmente nicht vermischen. Für die korrekte Trennung gibt es zwei gängige Methoden:
Trennung mit Switchen Jedes Netzsegment hat seinen eigenen Switch oder Hub. Die Switche sind untereinander nicht verbunden. Da die Subnetze eher klein sind, reichen 5-Port-Geräte aus. Ein beliebiger Switch ist dafür passend.
Trennung mit VLANs Alle Kabel führen zum selben Switch. Kabel bzw. Switchports, die zum selben Netzsegment gehören, landen in einem gemeinsamen virtuellen LAN (VLAN). So erhalten beispielsweise alle Switchports zum/vom hellgrauen Kernnetz die Zuordnung zu VLAN 6.
Da alle Router mit allen Anschlüssen mit diesem Switch verkabelt sind, muss es ein Modell mit ausreichend vielen Ports sein. Der Switch muss kein Routing zwischen den VLANs beherrschen. Ein VLAN-fähiger Layer-2 Switch ist ausreichend.
Ein Mischbetrieb ist ebenfalls möglich: Beispielsweise terminieren die WAN-Segmente auf einen Switch und die Standort-Netze auf einen anderen Switch. Die Anforderung an die Geräte entspricht der Methode Trennung mit VLANs.
Router
Die VyOS-Router verwenden die aktuelle stabile VyOS-Version 1.1.7 und teilweise zum Reinschnuppern und Vergleichen die Vorab-Version 1.2.0 als 64-bit-Image. Der einzige Ubiquiti-Router läuft auf der aktuellen EdgeOS-Version 1.9.1. Wenn zusätzliche Versionen oder Geräte anderer Hersteller mitspielen, wird das entsprechende Gerät ersetzt oder der Laboraufbau ergänzt.
Jeder Router hat eine zusätzliche Netzwerkkarte für den Konsolenzugriff. Darüber erreicht der SSH-Client sein Ziel, wenn eine Konfigurationsänderung mal schiefgeht. Dieses Management-Interface kann auch weggelassen werden, wenn die Hardware nicht genug Schnittstellen bietet.
Die Labor-Router sind von eins bis sechs durchnummeriert. Diese Router-Nummer findet sich in den IPv4-, IPv6- und MAC-Adressen wieder. Damit sind Adressen in einer Kommandoausgabe leichter dem passenden Gerät zuzuordnen.
Der Name der Netzkarte ist stets am Routersymbol angeschlagen. Die vollständige IPv4-Adresse ist unterhalb davon abgedruckt. Die Angaben zum IPv4-Netz und IPv6-Präfix stehen unweit davon an der Subnetz-Linie.
Der Core-Router benutzt schon VyOS in der neueren Betaversion. Das hat weniger mit Mut zu tun, als mit der Verfügbarkeit von Features: Erst VyOS 1.2.0-beta1 bietet einen PPPoE-Server, der im Laboraufbau von Kapitel 12 benötigt wird.
Die Kompatibilität zu EdgeOS wird an Router 5 getestet: Ein kleiner Ubiquiti EdgeRouter-X nimmt im Lab Platz und bietet fünf Gigabit-Ports. EdgeRouter gibts nur in Hardware. Wenn EdgeOS uninteressant ist, kann dieser Teil des Netzwerks ausgelassen oder durch VyOS ersetzt werden.
Adressierung
Die Netze der imaginären Außenstellen bauen auf private IPv4-Adressen bzw. Unique-Local IPv6-Adressen. In jedem Standort gibt es einen symbolischen Client, der nur zum Prüfen von Features oder zum Erzeugen von Datenverkehr benutzt wird. Mehr als ping, traceroute, netstat oder einen Webbrowser wird nicht gefordert. Das Betriebssystem ist relativ egal; Im Demo-Lab finden aus Popularitätsgründen Debian und Windows 7...
