W poprzednim odcinku przyjrzeliśmy się wirtualizacji warstwy sieciowej w środowisku Xen, a w szczególności możliwościom łączenia maszyn wirtualnych w różnych warstwach modelu OSI: mostom linuksowym, brctl, Virtual Distributed Ethernet oraz Open Virtual Switch. Na zakończenie cyklu wykorzystamy wirtualizację pod kontrolą hypervisora Xen do emulacji problemów na łączach oraz przyjrzymy się centralnej zaporze sieciowej - iptables.
Emulacja problemów na łączach
Do emulowania właściwości sieci takich jak opóźnienia, zagubienie czy powielanie pakietów możemy użyć dwóch narzędzi. Pierwszym z nich jest standardowe narzędzie Linuxa tc (traffic controll) użyte wraz ze standardowym dla jądra 2.6 emulatorem netem. Kolejkę netem zapina się bezpośrednio do interfejsu, który ma symulować np. opóźnienia pakietów. tc służy do kolejkowania pakietów wychodzących (a nie przychodzących) z danego interfejsu do sieci.
Drugim narzędziem, przeznaczonym tylko dla sieci opartej o switche VDE jest komponent wirefilter. Filtr ten wpinamy poprzez dpipe, pomiędzy dwa switche VDE. W tym wypadku symulacja odbywa się już w obie strony.
Dwukierunkowy strumień pipe, łączy ze sobą dwa vde_switche, wpięte z kolei przez dwa vde_plugi.
Do zarządzania pracującym wirefiltrem, tak jak i switchem, służy terminal vdeterm, który łączymy do odpowiedniego socketu określonego wcześniej parametrem „-M”
Ponieważ interfejsy wszystkich VM są dostępne w domenie 0, za pomocą programu do zarządzania ruchem - tc, możemy sterować przepustowością dowolnych wirtualnych maszyn. Możemy także stosować skomplikowane algorytmy podziału łącza (HTB, HFSC, SFQ itp).
Jak widać, domyślnie na wszystkich interfejsach wirtualnych maszyn, zastosowana jest kolejka packet FIFO.
Ćwiczenie 1:
Łącząc ze sobą Debiana <-> program wirefilter <-> Fedorę, zasymulujmy utratę pakietów w kablu VDE. Przetestujmy to połączenie pingiem.
Po utworzeniu połączenia, łączymy się do obu maszyn i konfigurujemy je tak aby były w jednej podsieci.
Przykładowo IP interfejsu eth0 w Debianie konfigurujemy na 10.0.0.1/24, a w Fedorze 10.0.0.2/24.
Po skonfigurowaniu interfejsów sprawdzamy pingiem komunikację między maszynami. Jeśli ping działa poprawnie łączymy się poprzez konsolę do wirefiltra:
i będąc w konsoli ustawiamy na wirefiltrze utratę pakietów w kablu rzędu 30%:
Rys. Na łączu VDE 40% pakietów ping zostało zagubionych
Wykonajmy i sprawdźmy pingiem to samo zadanie jednak za pomocą zwykłego programu tc:
