Block 4: Virtuelle Netzwerke und Switches

• Auftrag 4.1: Virtuelle Netzwerke
• Auftrag 4.2: Virtuelle Switches
• Auftrag 4.3: Virtuelle Netzwerkumgebung realisieren

Auftrag 4.1: Virtuelle Netzwerke

1. NAT (Network Address Translation):

   • Funktionsweise: NAT erlaubt es einer VM, über die IP-Adresse des Host-Systems auf externe Netzwerke zuzugreifen. Dabei wird die IP-Adresse der VM vom Host-System "übersetzt".
   • Einsatz: Ideal für VMs, die Internetzugang benötigen, aber von außen nicht direkt erreichbar sein sollen. Häufig genutzt für allgemeine Internetaktivitäten oder Software-Updates.

2. Bridged Networking:

   • Funktionsweise: Bei dieser Option erscheint die VM im Netzwerk wie ein eigenständiger physischer Computer. Die VM erhält eine eigene IP-Adresse im gleichen Subnetz wie der Host.
   • Einsatz: Ideal, wenn die VM im lokalen Netzwerk wie ein eigenständiger Rechner agieren soll, z.B. als Server, der von anderen Netzwerkteilnehmern erreichbar sein muss.

3. Internal Networking:

   • Funktionsweise: Ermöglicht die Kommunikation zwischen VMs innerhalb desselben Host-Systems, ohne dass diese mit dem externen Netzwerk oder dem Host-System kommunizieren können.
   • Einsatz: Nützlich für das Testen und Entwickeln von Netzwerkapplikationen oder das Einrichten eines isolierten Netzwerks für Sicherheitstests.

4. Host-Only Networking:

   • Funktionsweise: VMs können untereinander und mit dem Host-System kommunizieren, haben aber keinen Zugang zum externen Netzwerk.
   • Einsatz: Geeignet, wenn die VMs untereinander und mit dem Host interagieren müssen, aber kein Zugang zum Internet oder zum lokalen Netzwerk erforderlich ist.

Auftrag 4.2: Virtuelle Switches

Was ist ein vSwitch:

Ein vSwitch, kurz für "virtueller Switch", ist eine Softwareanwendung, die die Netzwerkfunktionalitäten eines physischen Netzwerkswitches nachahmt und erweitert. In virtuellen Umgebungen ermöglicht er die Kommunikation zwischen virtuellen Maschinen (VMs) sowie zwischen VMs und dem physischen Netzwerk. Ein vSwitch kann auch Funktionen wie Netzwerkverkehrskontrolle, VLAN-Unterstützung und Sicherheitsmaßnahmen bereitstellen, die für die Verwaltung und den Schutz virtueller Netzwerke wichtig sind. Er ist ein zentraler Bestandteil der Netzwerkinfrastruktur in virtualisierten Umgebungen.

Eigenschaften von vSwitch0:

• vSwitch0 ist in der Regel der Standard-vSwitch, der bei der Installation eines Hypervisors wie VMware ESXi erstellt wird.
• Er verbindet VMs mit dem physischen Netzwerk.
• Standardmäßig sind Management-Netzwerkschnittstellen an vSwitch0 angebunden.
• Er unterstützt VLAN-Tagging, Portgruppen und kann mit physischen Netzwerkadaptern verbunden werden.

Erstellen weiterer vSwitches:

• Weitere vSwitches können über das Hypervisor-Management-Interface erstellt werden.
• Der Benutzer kann Eigenschaften wie Anzahl der Ports und Verbindungstypen konfigurieren.
• Diese zusätzlichen vSwitches können für spezielle Netzwerkanforderungen oder Isolationszwecke verwendet werden.

Verbindung eines vSwitch mit einem physischen Switch:

• Ein vSwitch wird mit einem physischen Switch verbunden, indem man einen oder mehrere physische Netzwerkadapter (NICs) des Host-Servers mit dem vSwitch verbindet.
• Diese Verbindung ermöglicht den Datenverkehr zwischen den VMs auf dem Host und dem externen Netzwerk.

Was ist ein VLAN?

• Ein VLAN (Virtual Local Area Network) ist eine Gruppe von Hosts mit einem gemeinsamen Set von Anforderungen, die kommunizieren, als ob sie an derselben Broadcast-Domäne angeschlossen wären, unabhängig von ihrer physischen Lage.
• VLANs erhöhen die Netzwerkeffizienz und verbessern die Sicherheit.

Was versteht man unter Trunk?

• Ein Trunk ist eine Netzwerkverbindung, die mehrere VLANs über denselben physischen Link transportieren kann.
• Trunk-Ports werden häufig verwendet, um VLANs zwischen Switches zu transportieren.

Verbindung eines vSwitch mit einem VLAN:

• Ein vSwitch kann mit einem VLAN verbunden werden, indem VLAN-Tagging auf seinen Ports oder Portgruppen konfiguriert wird.
• Jeder Port oder jede Portgruppe auf dem vSwitch kann einem spezifischen VLAN zugeordnet werden.
• Diese Konfiguration ermöglicht es VMs, die an diesen Ports angeschlossen sind, innerhalb des spezifischen VLANs zu kommunizieren.

Auftrag 4.3: Virtuelle Netzwerkumgebung realisieren

Aufgabenstellung

Bauen Sie das folgende virtuelle Netzwerk auf Ihrem ESXi Server auf:

Aufbau

ESXI Netzwerk anpassungen (Neuer vSwitch und dazugehörige Port Gruppe erstellen):

VM Konfiguration

Hardware

Permanente Installation

Username: vyos
Passwort: vyos

install image

Interface Konfiguration

WAN und LAN herausfinden und Konfigurieren

Kontrollieren welches Interface wohin geht (Mit ESXI abgleichen):

show interfaces

eth0 = WAN
eth1 = LAN

configure
set interface ethernet eth0 address '213.167.226.36/24'
set interface ethernet eth0 description 'OUTSIDE'
set interface ethernet eth1 address '10.1.1.1/24'
set interface ethernet eth1 description 'INSIDE'
set protocols static route 0.0.0.0/0 next-hop 213.167.226.1
commit 
save

NAT

set nat source rule 100 outbound-interface name 'eth0'
set nat source rule 100 source address '10.1.1.0/24'
set nat source rule 100 translation address masquerade

Firewall (Optional)

configure
# Erstellen der Firewall Regeln
set firewall ipv4 name local-lan default-action accept
set firewall ipv4 name local-wan default-action accept

set firewall ipv4 name lan-local default-action drop
set firewall ipv4 name lan-local rule 10 action accept
set firewall ipv4 name lan-local rule 10 destination port 22
set firewall ipv4 name lan-local rule 10 protocol tcp
set firewall ipv4 name lan-wan default-action accept

set firewall ipv4 name wan-local default-action drop
set firewall ipv4 name wan-lan default-action drop
set firewall ipv4 name wan-lan rule 10 action accept
set firewall ipv4 name wan-lan rule 10 state established
set firewall ipv4 name wan-lan rule 10 state related
set firewall ipv4 name wan-lan rule 20 action accept
set firewall ipv4 name wan-lan rule 20 destination port 3389
set firewall ipv4 name wan-lan rule 20 protocol tcp
commit
save

Port Forwarding (Optional)

# Public iface: eth0
# Public subnet: 213.167.226.0/24
# Private iface: eth1
# Private subnet: 10.1.1.0/24
set nat destination rule 70 description 'Port Forward public ssh port 22 to bastion 192.168.16.12 port 22'
set nat destination rule 70 inbound-interface name 'eth0'
set nat destination rule 70 translation address '10.1.1.2'
set nat destination rule 70 destination port '3389'
set nat destination rule 70 translation port '3389'
set nat destination rule 70 protocol 'tcp'

# With Firewall
set firewall ipv4 name OUTSIDE-IN rule 71 description 'Allow Port Forward public ssh port 22 to bastion 192.168.16.12 port 22'
set firewall ipv4 name OUTSIDE-IN rule 71 action 'accept'
set firewall ipv4 name OUTSIDE-IN rule 71 destination address '10.1.1.2'
set firewall ipv4 name OUTSIDE-IN rule 71 destination port '3389'
set firewall ipv4 name OUTSIDE-IN rule 71 protocol 'tcp'
set firewall ipv4 name OUTSIDE-IN rule 71 state new 'enable'