Redes de Nueva Generación

Virtualización con VirtualBox 1. Introducción y objetivos

El objetivo de esta práctica es familiarizarse con los entornos de virtualización, enconcreto con algunas funcionalidades de VirtualBox similares (aunque de formasimplificada)aloquesepuedeemplearenunentornodeservidorenelcentrodedatos.Practicaremos con la posibilidadde crear redes internas donde algunos hosts virtualespuedan actuar por ejemplo como routers o servidores (o balanceadores, o firewalls, oproxies,oIDS...),asícomoconelmovimientodemáquinasvirtualesentrehosts.

Estaprácticanopretendeseruntutorialpaso-a-paso.Seplantean losobjetivosdecadaapartado pero puede haber múltiples formas de alcanzarlos, incluso se puede llevar acabo la práctica en plataformas diferentes (Linux del laboratorio,macOS,Windows). Alfinaldelguióndelaprácticaseincluyenanotaciones,pistasyconsejosquepuedenayudarante ciertas dificultades, aunque todo se puede resolver con un poco de trabajo ybuscandodocumentación.

2. Networking virtual

VirtualBoxpermitediferentesformasdenetworkingentrelasmáquinasvirtualesyconelexterior.Seremiteasumanualparamásdetalle1.

EnesteapartadoselepidequecreeunescenariocomoelquesemuestraenlaFigura1.Los equipos vRouter1 y vRouter2 son máquinas virtuales Linux con dos interfacesEthernet, actuando como routers. Los equipos PC1, PC2, PC3 y PC4 son máquinasvirtualesconuninterfazdered,actuandocomohostsnormales. TodosellossonguestsenelmismohostVirtualBox.

Figura1-Topologíadered

Los equipos vSwitch1, vSwitch2 y vSwitch3 podrían ser equipos Linux actuando comopuentes, sin embargo para este ejercicio se recomienda emplear la capacidad de crearredes internas independientes en VirtualBox2. Cree tres redes internas independientesparaactuarcomocadaunadeesasLANs.Estasredes internas,paraunuso“normal”secomportancasicomounconmutador,aunquetengaencuentaquenotienenexactamenteelmismocomportamientoyenciertosescenarioscomplejospuedendarproblemas.ConfiguredireccionesIPyrutasentodosloshostsyroutersycompruebelaconectividadycaminoscontraceroute.SilainstalacióndeLinuxquehaempleadoparalosPCsincluyeservidoryclientedesshpuedeprobartambiénaaccederdeunamáquinavirtualalaotra.NohacefaltaqueningunodelosPCsincluyauninterfazgráfico.

Punto de control: Muestre el escenario completo en funcionamiento al profesor. PorejemplopruebeahacertracerouteentrecualquierpardePCsdelescenariovirtual.

1https://www.virtualbox.org/manual/ch06.html2https://www.virtualbox.org/manual/ch06.html#network_internal

Redes de Nueva Generación3. Migración de máquinas virtuales entre hosts

Enesteapartadodebereproduciruncasodemovimientodemáquinavirtual“encaliente”deunhostaotro.VirtualBoximplementaalgodeeseestilomediantelafuncionalidadquellama“Teleporting”3.SesugierecrearunescenariocomoelmostradoenlaFigura2.EnéllosequiposHost1yHost2sonordenadoresdellaboratorio,interconectadosporlaLANdelmismoy“vm”esunamáquinavirtualejecutándosegraciasaVirtualBoxenunadeesasmáquinas/hostsyquedebemosmoversindetenerlaalaotra.

Figura2–Escenariodeteleporting

Queremosquelamáquinavirtualtengaconectividadderedconelexterior.Puedehaceresto por ejemplo ofreciendo los host un acceso puenteado a la LAN del laboratorio.DeberáentoncesasignarunadirecciónIPalamáquinavirtualquenocolisioneconotrasmáquinasdellaboratorio.Consultealprofesorquédirecciónpuedeemplear.Compruebequé dirección MAC está empleando la máquina virtual y que efectivamente alcomunicarse con otra máquina del laboratorio la comunicación es puenteada (semantienenlasdireccionesMAC).Compruebequésucedesiantesdelteleport lamáquinavirtualestabahaciendounpingsostenidoaotrasmáquinasdelaredyquésucedesi loque tenía es una conexión TCP establecida con otra máquina (por ejemplo un ssh oempleandonc).Analiceeltráficoproducido(puedeemplearwiresharkotcpdump).AhorapruebaimplementandoelaccesodelaVMalaredmedianteunNATofrecidoporelhosty repitael experimentode teleport así comola comprobaciónde sisemantieneelfuncionamientodepingyssh.

Puntodecontrol:Muestreunamigracióndemáquinavirtualalprofesorycontesteasuspreguntas.

4. Recomendaciones, pistas, consejos y comentarios

• Paralosguestdelapartado2puedeemplearunainstalaciónpequeñadeLinux,porejemplounaSlitaz4,unLinuxCore5ounTinyCore6.Siescogeunapensadaparatengaencuentaqueprobablementenecesiteactivarelreenvíodepaquetesconelcomandosysctl7.Si tomaunLinuxCore pensado para actuar comorouter traerá ya activada esta opción(aunquelaimagendeldiscopuedeserunpocomásgrande).EncualquiercasotengaencuentaquealgunosdeestosLinuxpequeñosmontanel sistemade ficherosenunRAMdisk,asíqueloscambiosaficherosnopermanecentrasunreiniciodelmismo(peroestoprobablemente no resulte trascendente en la primera parte de esta práctica). UnLinuxCoreounaSlitazpuedecorrerlacomounLiveCDohacerunainstalaciónlocal.Consultelawebdelaasignaturasihaydiponiblealgunainstalaciónyahecha,aunquesiempreesun

3https://www.virtualbox.org/manual/ch07.html#teleporting4http://www.slitaz.org5http://brezular.com/2013/09/17/linux-core-appliances-download/6http://tinycorelinux.net7sysctl net.ipv4.ip_forward=1

Redes de Nueva Generaciónbuen ejercicio hacer una propia (pero se le recomienda hacerlo fuera del horario deprácticasparaaprovechareltiempodelmismo).• Para ahorrar recursos puede crear una máquina virtual y clonarla varias veces(clonenlazadoo“linkedclone”)enVirtualBox.• SiempleaNATenelhostparalaconectividaddeunguesthaciaelexterioryesteúltimonotomadirecciónIPautomáticamenteseráprobablementeporqueéstenotengalanzadounclientedeDHCP(elhosthaciendoNATsueletenerunservidordeDHCPparalos guests). Puede lanzar un cliente de DHCP en la mayoría de los Linux del guesthaciendosimplemente(sitieneinstaladodhclient):

# dhclient eth0

Según la versión de Linux o el usuario empleado tendrá que usar sudoy puede que elcliente de DHCP tenga también otro nombre. El nombre del interfaz es el que quieraconfigurar(yqueestéenunaLANconunservidorDHCP,comoeselcasodeunaredNATenVirtualBox).

• Si emplea un guest con un sistema operativo de escritorio como puede ser unUbuntuDesktop tengaencuentaquenormalmentehayserviciosdelsistemaencargadosdeconfigurarautomáticamentelosinterfacesdered.Puedequeustedvayaaconfigurarun interfaz de red en línea de comandos (ifconfig) y se encuentre al rato con que elsistema le ha cambiado la configuración. Normalmente se puede desactivar esecomportamientoconelpaneldecontrolcorrespondientealaconfiguraciónderedenesesistemaoperativodeescritorio(tambiénpuedeahorrarseproblemasdeestetipoycederantelatentacióndeconfigurarelinterfazderedcondichopaneldecontrol).• Paraunteleportnecesitaqueeldiscodelamáquinavirtualamoverseencuentreen un volumen compartido entre losdos hosts. Recuerde que su directoriohome en ellaboratorioseencuentraenunvolumencompartidoporNFScontodaslasmáquinasdelmismo.Noempleeunamáquinavirtualconundiscograndesipretendeguardarlaensudirectorio home; tenga en cuenta que el laboratorio implementa cuotas (puede ver sulímitedeusuarioconelcomandoquota).• Parahacerunteleportentredosmáquinasdel laboratorioserecomiendaqueencadaunahagaloginconunusuariodiferente(coordíneseconuncompañeroopidaunasegunda cuenta al profesor). Elmotivo es que puede dar problemas hacer login con elmismousuarioendosmáquinasdadoqueelhomedelmismoescompartidoyelinterfazgráfico guarda ficheros de configuración, por lo que podrían entrar en conflicto ambasmáquinasalmodificarlosmismosficheros.• En caso de querer crear una máquina virtual con un disco de centenares demegabytesoinclusoalgúngigabyte,enlasmáquinasdellaboratoriotieneundirectorioeneldiscolocalenelquepuedeescribir:/opt/rng/practica

Tenga en cuenta que ese directorio es local, no está compartido con otras máquinas.Tambiénvigilesuusodeldiscopuessi lo llenaempezaráa tenerproblemasdeusodelordenador.Nodeberíanecesitarcrearmáquinasvirtualesdemásdeunpardegigabytes.PordefectoVirtualBoxguardalasmáquinasvirtualesquecreaoimportaenundirectorioenelhomedelusuario.DesdelaspreferenciasdeVirtualBox,enlasecciónGeneralpuedecambiar ese comportamiento y cambiarlo por ejemplo a que se guarden en unsubdirectoriode/opt/rng/practicaparanotenerproblemasdeespacio(aunqueentoncessololastendrádisponiblesenesamáquina).TambiéncuandoimportaunaVMdesdeunfichero .ova tiene en la ventana de importación la opción de modificar dónde se va aguardar la VM. Otra causa habitual de agotamiento de cuota es que su carpeta dedescargas del navegador se encuentra también en su home. Si hace la descarga deimágenesgrandeshágaloen/opt/rng/practica

Redes de Nueva Generación• La prueba de teleport se puede llevar a cabo sin emplear los ordenadores dellaboratorio, empleando por ejemplo unordenador portátil, aunque puede resultarmáscomplicada (pero también más instructiva). Si dispone de un ordenador con una CPUsuficientemente moderna puede instalar dos máquinas virtuales que incluyan unainstalación de VirtualBox cada una y mover una máquina virtual desde una de esasmáquinasvirtualesalaotra(Figura3).Enestecasolavirtualizaciónesdobleperopuedellevar a cabo el ejercicio con un solo ordenador (esto se ha probado sin demasiadosproblemas empleando un ordenador del laboratorio). En la configuración de red deVirtualHostdelosHostVirtualX(Figura3)configurequepuedanusarelmodopromiscuoenelinterfaz.PruebetantoelcasoenquelosHostVirtualXtienenconfiguradodaraccesoal guestvma la red conunNATcomoconunbridge.Puedeponerun tercerhostparapoderhacerpingosshdesdevmhastaélmientrasteleportaesamáquina.

Figura3-Teleportcompletamentevirtualizado

• En todos los casos de teleport recuerde que el disco de lamáquina virtual debeencontrarseenunvolumenaccesibleporlosdoshosts.Enelcasodellaboratorioestosepuedelograrsinmásqueteniendodichodiscoensuhome,dadoqueesedirectorioestámontadodeunservidorNFSentodoslostlmXY(siestádandoaccesoalficherodediscodeunaVMaotrousuariodeberá tener cuidadocon lospermisosdeacceso– comandochmod) En el caso de un teleport en un escenario completamente virtualizado (porejemploensuportátil) tendráque instalarunaterceramáquinavirtualqueactúecomoservidorNFSdondehospedelaimagendeldiscodelamáquinavirtual(Figura4)opuedehacer que uno de los HostVirtualX actúe también como servidor NFS (simplementeresultaunpocomásconfuso).CómoconfigurarunservidorNFSdependedelaversióndeUnix8(enunUbuntupuedequetengaqueindicareldirectorioquedeseecompartirenelfichero /etc/exports y activar algún servicio del sistema o del kernel; en el clientenormalmentedeberáusarelcomandomount)

Figura4-TeleportcondiscoenservidorNFSindependiente

• En el caso de la Figura 4, lo más sencillo es implementar la infraestructura decomunicaciónentrelastresmáquinasvirtuales(NFSserver,HostVirtual1yHostVirtual2)8http://www.tldp.org/HOWTO/NFS-HOWTO/server.html

Redes de Nueva GeneraciónmedianteunaInternalNetworkdelVirtualBoxdesuHostfísico.Estaopciónfuncionaencasi su totalidad, pero puede encontrarse con algunos problemas debido a que esaInternalNetworknosecomportaexactamentecomounconmutadorEthernet.TengaencuentaqueahoralosHostVirtualXqueseconectanaesaInternalNetworkenvíantramastantoconsudirecciónMACcomoconladirecciónMACdevm.UnaalternativaquedaunfuncionamientocompletodelTeleport(pudiendomantenerconexionesTCPestablecidasen la vm que se migra) es implementar esa comunicación mediante un puente, porejemplounpuenteconunLinux.La Figura 5 intenta mostrar este último escenario, donde los 3 hosts (virtuales) seinterconectanatravésdeuncuartohostqueesunLinuxcon3interfacesenelquesehaconfiguradoquehagadepuenteentreellos.Paracrearunpuenteyañadir interfacesalmismosesuelenemplearlabridge-utils,delascualesnecesitaráelcomandobrctl.Puedecrearelpuentecon“brctladdbr”yañadiraél interfacescon“brctladdif”(volveremosausarestecomandoenotrasprácticas).

Figura5-TeleportenunescenarioconpuenteimplementadoconunLinux

• En la configuración de los interfaces de red, en la parte “Advanced” (Figura 6),cuando haga estos escenarios con virtualización dentro de virtualización o máquinasvirtuales haciendo de puentes es recomendable que configure el “Promiscuous Mode”paraquepermitaalasmáquinasvirtualesvertramasquenosonparaellas.TambiénenesaseccióntieneelcontroldeladirecciónMACdelinterfazdelamáquinavirtual,lacualestáenlaconfiguracióndelamáquinaenVirtualBoxydebeserlamismaenelorigenydestinodelTeleport.

Figura6–ConfiguracióndeinterfacesdereddeVMenVirtualBox