Сетевой мост представляет собой тип работы интерфейсов сетевого устройства, который объединяет сети на канальном уровне, позволяя коммуницировать узлам и конечным точкам между объединенными интерфейсами. Принцип работы заключается, в том что создается на устройстве новое логическое, затем подключаются два и более физических или виртуальных интерфейсов. Затем пакеты свободно проходят в две стороны, образуя единую канальную среду.
Что может быть полезно при добавлении нового устройства в инфраструктуру, при отсутствии коммутатора или объединении с контейнерами или виртуальными машинами.
Что такое Linux Bridge?
В контексте семейства ОС Linux, мост так же представляет собой логическое устройство, которое находится в ядре Linux и программно реализует работу моста. Принцип работы, абсолютно идентичен описанному ранее, все пакеты канального уровня свободно передаются через Linux Bridge путем управления сетевыми интерфейсами.
Однако существуют отличия! В Linux мост поддерживает таблицу коммутации пакетов и работу STP протокола для нейтрализации петель. Что является существенным преимуществом перед обычным мостом, так как в Linux мост выполняет функции коммутатора. Когда обычный мост представляет собой логический повторитель, который просто транслирует пакеты между портами.
Достаточно часто данную технологию используют, при построении единой сети с виртуализированными средами в виде виртуальных машин и контейнеров. Рассмотрим схему подключения:
В рамках ОС разворачиваются контейнеры, которые имеют свои сетевые интерфейсы и конфигурацию. Так же со стороны машины представлен интерфейс eth0. Для организации единой канальной среды на хостовой машине поднимается виртуальный интерфейс, в режиме моста. Который и объединяет эмулированные veth0 и хостовый eth0.
Настройка Linux Bridge
Для настройки будем использовать среду предоставляемую облачным сервером от Serverspace, для этого перейдем к созданию сервера, на любой из двух платформ vStack cloud или же VMware cloud. Нажмем на кнопку Создать сервер и выберем конфигурацию, подходящую под наши задачи, затем нажмем кнопку Создать:
Потребуется некоторое время для развертывания серверных мощностей. После чего вы можете подключиться любым из удобных способов. Вернемся к настройке моста для сетевых интерфейсов и откроем терминал нашего сервера. Для просмотра текущий интерфейсов пропишем команду:
Как видим сейчас есть два интерфейса enp0s6 и enp0s5, которые в текущий момент подключены к оконечному устройству. Функционируют по принципу получения пакетов только из своей подсети и своего канального домена. Для того, чтобы создать мост необходимо установить пакет, который позволит управлять устройством:
Ознакомимся с основными командами для работы, для этого пропишем:
Рассмотрим основной функционал утилиты:
- addbr/delbr возможно создание и удаление моста;
- addif/delif добавления и исключения интерфейса;
- setfd возможность установить задержку на пересылку кадров;
- show покажет количество мостов;
- showmacs покажет список MAC адресов в мостах;
- hairpin концепция позволяет использовать интерфейс моста/коммутатора для коммуникации с другими устройствами, вместо использования адресата MAC;
- stp позволяет подключить функцию нейтрализации петель.
Представим, что нам необходимо объединить две сети в единую канальную среду и мост должен выполнять функцию коммутатора, для этого создадим сам мост:
После можем добавить необходимые интерфейсы для коммуникации командой addif.
Добавим интерфейсы enp0s6 и enp0s7 по командам ниже:
Для нейтрализации петель подключим STP протокол, который позволит исключить избыточное соединение:
После чего просмотрим какие изменения были произведены:
По желанию, можно настроить задержку для пересылки пакетов командой:
После чего, кадры будут пересылаться с задержкой в 10 секунд и станут доступны на другой стороне устройствам! Данные решения позволяют объединить канальные среды, однако, нужно относится вн, при их использовании. Так как, если подключить виртуальному машину с вредоносом, то заражение может быстро расползтись по всей сети. Необходимо принимать релевантные меры защиты, при использовании соответствующих технологий.