Inhaltsverzeichnis
Virtualisierung Systemplanung
Nachfolgende Systemplanung, ist für eine kleine private Netzwerkumgebung konzipiert, welche unter Einbindung der Virtualisierungsumgebung - KVM verschiedene Aufgaben innerhalb der Virtualisierungsumgebung für die Netzwerkumgebung realisiert und Dienste und Anwendungen zur Verfügung stellt.
Voraussetzungen
Voraussetzungen für die Realisierung des nachfolgend dargestellten Systems, ist der Einsatz von
- Hardware, welche zum Einsatz von Virtualisierung geeignet ist –> siehe auch internen Link Virtualisierung Hardware und mind. über zwei physische Netzwerkkarten verfügt
- Hardware, welche als Switch für die Anbindung von physischer Hardware genutzt werden kann
- Internetzugang, physischer Zugang mit Einwahlkennung ggf. optional auch eine feste IPv4-Adresse
Zonenaufteilung
Nachfolgende drei Zonen, in den genannten Netzsegmenten, mit den ebenfalls nachfolgend beschriebenen Bezeichnungen
- EDMZ -
88.217.171.167/32-tachtler.net - XDMZ -
192.168.1.0/24-xdmz.tachtler.net - DMZ -
192.168.0.0/24-dmz.tachtler.net - Intranet -
192.168.10.0/24-intra.tachtler.net
sollen realisiert werden.
Netzwerkumgebung
+----------------+----------------+----------------+----------------------------+---------------------------------+
| phys. Leitung | phys. Hardware | virt. Hardware | Zone | Netzsegment |
+----------------+----------------+----------------+----------------------------+---------------------------------+
| | | | | |
| +--------+ | +--------+ | +--------+ | +--------------------+ | +--------------------+ |
| | ISP | --> | | eth1 | --> | | br1 | --> | | tachtler.net | --> | | 88.217.171.167/32 | ------+ |
| +--------+ | +--------+ | +--------+ | +--------------------+ | +--------------------+ | |
| | | | | | |
| | | +--------+ | +--------------------+ | +--------------------+ | |
| | | | virbr1 | --> | | xdmz.tachtler.net | --> | | 192.168.1.0/24 | ------| |
| | | +--------+ | +--------------------+ | +--------------------+ | |
| | | | | | |
| | | +--------+ | +--------------------+ | +--------------------+ | |
| | | | virbr0 | --> | | dmz.tachtler.net | --> | | 192.168.0.0/24 | ----+ | |
| | | +--------+ | +--------------------+ | +--------------------+ | | |
| | | | | | | |
| | +--------+ | +--------+ | +--------------------+ | +--------------------+ | | |
| | | eth0 | --> | | br0 | --> | | intra.tachtler.net | --> | | 192.168.10.0/24 | --+ | | |
| | +--------+ | +--------+ | +--------------------+ | +--------------------+ | | | |
| | | | | | | | |
+----------------+----------------+----------------+----------------------------+--------------------------|-|-|--+
| | |
Nachfolgend die Erklärungen, zur skizzierten Netzwerkumgebung:
- Das physikalisches Interface -
eth1- soll zur Einwahl, viarpppoezum ISP genutzt werden. - Das virtuelles Interface -
virbr0- soll zur Verbindung, mit den virtuellen Maschinen und dem Wirt-System genutzt werden - Das physikalisches Interface -
eth0- soll zur Verbindung, mit dem physikalischen Switch und darüber zu weiterer physischer Hardware genutzt werden.
Dabei werden, die physikalischen Interface in der Virtualisierungsumgebung wie folgt eingebungen und nutzbar gemacht:
- physikalisches Interface -
eth1- Zugriff durch die Virtualisierungsumgebung durch das Bridging Interface -br1 - physikalisches Interface -
eth0- Zugriff durch die Virtualisierungsumgebung durch das Bridging Interface -br0
Die Definition der physikalischen Interface ist unter nachfolgenden internen Links beschrieben:
HINWEIS - Das physikalische Interface - eth1 ist wie das physikalische Interface - eth0 zu konfigurieren, jedoch nicht auf das Bridging Interface - br0, sondern auf das Bridging Interface - br1 !!!
Die Definition des virtuellen Interface ist unter nachfolgenden internen Links beschrieben:
Virtualisierungsumgebung
| | | +----------------------------------------------------------------------------------------------------------|-|-|--+ | | | | | | +--------------------+ | | | | | | VIRTUELLE MASCHINE | | | | | | | INTRA/DMZ | | | | | | +--------------------+ | | | | | +------------------------------------------ | 192.168.10.1/24 | <-------------------------------------+ | | | | | +------------- | 192.168.0.1/24 | <---------------------------------------+ | | | | | +--------------------+ | | | | | | | | | | | | | | +--------------------+ | +--------------------+ | | | | | WIRT-SYSTEM | | | VIRTUELLE MASCHINE | | | | | | DMZ | | | EDMZ/XDMZ | | | | | +--------------------+ | +--------------------+ | | | | | 192.168.0.1/24 | <--+ | 88.217.171.167/32 | <-----------------------------------------+ | | | +--------------------+ | +----------- | 192.168.1.1/24 | <-----------------------------------------+ | | | | | +--------------------+ | | | | | | | | | | +--------------------+ +--------------------+ +--------------------+ | | | | | | VIRTUELLE MASCHINE | | VIRTUELLE MASCHINE | | VIRTUELLE MASCHINE | | | | | | | DMZ/XDMZ | | DMZ/XDMZ | | DMZ/XDMZ | | | | | | +--------------------+ +--------------------+ +--------------------+ | | | +-+> | 192.168.0.20/24 | +-> | 192.168.0.30/24 | +-> | 192.168.0.40/24 | | | | | +> | 192.168.1.20/24 | |+> | 192.168.1.30/24 | |+> | 192.168.1.40/24 | | | | | | +--------------------+ || +--------------------+ || +--------------------+ | | | | | || || | | | | +-------------------------++------------------------ ++ | | | +-+-------------------------+--------------------------+ | | | | | | | | | | +--------------------+ +--------------------+ +--------------------+ | | | | | | VIRTUELLE MASCHINE | | VIRTUELLE MASCHINE | | VIRTUELLE MASCHINE | | | | | | | DMZ/XDMZ | | DMZ/XDMZ | | DMZ/XDMZ | | | | | | +--------------------+ +--------------------+ +--------------------+ | | | +-+> | 192.168.0.50/24 | +-> | 192.168.0.60/24 | +-> | 192.168.0.70/24 | | | | | +> | 192.168.1.50/24 | |+> | 192.168.1.60/24 | |+> | 192.168.1.70/24 | | | | | | +--------------------+ || +--------------------+ || +--------------------+ | | | | | || || | | | | +-------------------------++------------------------ ++ | | | +-+-------------------------+--------------------------+ | | | | | | | | | | +--------------------+ +--------------------+ +--------------------+ | | | | | | VIRTUELLE MASCHINE | | VIRTUELLE MASCHINE | | VIRTUELLE MASCHINE | | | | | | | DMZ/XDMZ | | DMZ/XDMZ | | DMZ/XDMZ | | | | | | +--------------------+ +--------------------+ +--------------------+ | | | +-+> | 192.168.0.80/24 | +-> | 192.168.0.90/24 | +-> | 192.168.0.100/24 | | | | | +> | 192.168.1.80/24 | |+> | 192.168.1.90/24 | |+> | 192.168.1.100/24 | | | | | | +--------------------+ || +--------------------+ || +--------------------+ | | | | | || || | | | | +-------------------------++------------------------ ++ | | | +---------------------------+--------------------------+ | | | | +-|---------------------------------------------------------------------------------------------------------------+ |
Nachfolgend die Erklärungen, zur skizzierten Virtualisierungsumgebung:
Das WIRT-SYSTEM - DMZ:
- hält keine eigene Verbindung zum ISP und dadurch auch keine eigene Verbindung ins Internet
- dient NUR als Wirt-System für die Virtualisierungsumgebung und hat sonst keine weiteren Aufgaben
- ist nur über die Zone - DMZ - aus der Zone - DMZ erreichbar
- besitzt nur die nötigsten Firewall-Regeln um am Netzwerkverkehr rudimentär teilnehmen zu können
Die VIRTUELLE MASCHINE - INTRA:
- ist das Gateway für alle Zonen
- ist der Router für alle Netzsegmente
- weist Dienste innerhalb des gesamten Netzwerks via
iptables- NAT-Regeln, den anderen virtuellen Maschinen zu, z.B. Web-Server - ist die zentrale Firewall für die Trennung der untrusted und trusted Bereiche des Netzwerks
Die weiteren VIRTUELLEN MASCHINEN - DMZ:
- stellen Dienste und Anwendungen innerhalb des gesamten Netzwerks zur Verfügung
- haben nur über die VIRTUELLE MASCHINE - INTRA/DMZ geregelten Zugriff in das gesamte Netzwerk, bzw. ins Internet
- verteidigen sich selbst, mit jeweils einer eigenen Firewall
Die weiteren VIRTUELLEN MASCHINEN - EDMZ/XDMZ:
- hält als einzige und virtuelle Maschine Verbindung zum Bridging Interface -
br1(Einwahl viarpppoezum ISP) - stellen Dienste und Anwendungen innerhalb des von außen erreichbaren Netzwerks zur Verfügung
- haben nur über die VIRTUELLE MASCHINE - EDMZ/XDMZ geregelten Zugriff in das gesamte Netzwerk, bzw. ins Internet
- verteidigen sich selbst, mit jeweils einer eigenen Firewall
Intranet
| +-|---------------------------------------------------------------------------------------------------------------+ | | | | | +--------------------+ | | | | HARDWARE-SWITCH | | | | | INTRA | | | | +--------------------+ | | +-----------------------------------------> | 192.168.10.2/24 | ---+ | | +--------------------+ | | | | +--------------------+ | | | | PHYSISCHE MASCHINE | | | | | INTRA | | | | +--------------------+ | | +--> | 192.168.10.3/24 | | | | +--------------------+ | | +--------------------+ | | | | PHYSISCHE MASCHINE | | | | | INTRA | | | | +--------------------+ | | | | 192.168.10.4/24 | <--+ | | +--------------------+ | | | | | | | | | usw. | | | +-----------------------------------------------------------------------------------------------------------------+
Nachfolgend die Erklärungen, zum skizzierten Intranet:
Der HARDWARE-SWITCH - INTRA:
- stellt die Verbindung zum Gateway, der VIRTUELLE MASCHINE - INTRA/DMZ/XDMZ/EDMZ-ISP her
Die PHYSISCHEN MASCHINEN - INTRA:
- gelangen über die physikalische Verbindung zum HARDWARE-SWITCH - INTRA zu den Diensten aus der Zone - DMZ bzw. ins Internet