Movatterモバイル変換

[0]ホーム
URL:

h-otter, profile picture
Uploaded byh-otter
PDF, PPTX485 views

透過 L2 BRIDGE NAT

@a_r_g_v と開発したICTSC6で使用したKernel Moduleについての説明

Embed presentation

Download as PDF, PPTX
透過 L2 BRIDGE NAT@H-OTTERICTSC6
自己紹介 (軽く)Twitter: @_h_otter_電気通信大学MMACTF 難しい…
皆さん…
は?
NAT挟んでるのかな?
謎の挙動HOP増えない TRACEROUTE
運営において大変なこと…
運営において大変なこと…プロビジョニングとオーケストレーション!!
プロビジョニングとオーケストレーション!!サーバーをチーム分展開することが死ぬほど大変サーバー同士が通信するようなものだとIPをハードコードする必要があり、展開後書き換える必要がある
プロビジョニングとオーケストレーション!!Client: 10.1.0.10 Server: 10.1.0.11Team 1Client: 10.2.0.10 Server: 10.2.0.11Team 2・・・同じ環境を展開するが、IPなどは変更しなければならない
面倒くさい!
面倒くさい!⇒ NATを挟もう!!
NATを挟もう!!Client: 192.168.0.10 Server: 192.168.0.11Team 1Client: 192.168.0.10 Server: 192.168.0.11Team 2・・・完全に同じ環境を展開できる!Team 1: 10.1.0.10Team 2: 10.2.0.10NAT
ここまでは普通
要件定義1チーム当たり20VLAN程度をさばく⇒ 20 * 15 = 300VLAN!!1チーム当たり1つNATルーターを置ければいいが、そんなものはないRouting はL3SWに任せてトラフィックをしっかり確保したいLinux サーバーで処理をすれば柔軟にできるんじゃない?
いける!ブリッジインターフェイスを作成VLANをもとにチームIDを推定し、IPアドレスを相互に変換する (static NAT)ARPを正しく処理すればいけるだろ!Team ID: 1VLAN ID: 101192.168.0.1Team ID: 1VLAN ID: 15110.1.0.1Team ID: 2VLAN ID: 201192.168.0.1Team ID: 2VLAN ID: 25110.2.0.1
iptables結論から言うとダメVLANをそれぞれ処理するには仮想インターフェイスを持つ必要があり、300個のVLANを処理することは難しいIptablesは結局 L3 の処理しかいじれないL2まで下りればVLANを柔軟に処理をできる
netfilter hookLinuxのネットワークに関するイベントをフックする機構Iptables はnetfilterのL3のイベントをパックしたものといえるLinuxが処理をできるすべてのネットワークについて干渉できる
netfilter hookLinuxのネットワークに関するイベントをフックする機構Iptables はnetfilterのL3のイベントをパックしたものといえるLinuxが処理をできるすべてのネットワークについて干渉できる_人人人人人人人人_> Kernel Module < ̄Y^Y^Y^Y^Y^Y^Y ̄
大変だったことARP tablesSwitch tablesBridge tableChecksum
ARPL3SWIP: 192.168.0.2HW: AIP: 10.1.0.1HW: BVLAN100VLAN150 (trunk) VLAN150VLAN100 (trunk)SRC IP: 192.168.0.2DEST IP: 192.168.0.1SRC HW: ADEST HW: broadcast
ARPL3SWIP: 192.168.0.2HW: AIP: 10.1.0.1HW: BVLAN100VLAN150 (trunk) VLAN150VLAN100 (trunk)SRC IP: 192.168.0.2DEST IP: 192.168.0.1SRC HW: ADEST HW: broadcast
ARPL3SWIP: 192.168.0.2HW: AIP: 10.1.0.1HW: BVLAN100VLAN150 (trunk) VLAN150VLAN100 (trunk)SRC IP: 192.168.0.2DEST IP: 192.168.0.1SRC HW: ADEST HW: broadcastSRC IP: 10.1.0.2DEST IP: 10.1.0.1SRC HW: ADEST HW: broadcast
ARPL3SWIP: 192.168.0.2HW: AIP: 10.1.0.1HW: BVLAN100VLAN150 (trunk) VLAN150VLAN100 (trunk)SRC IP: 10.1.0.2DEST IP: 10.1.0.1SRC HW: ADEST HW: broadcast
ARPL3SWIP: 192.168.0.2HW: AIP: 10.1.0.1HW: BVLAN100VLAN150 (trunk) VLAN150VLAN100 (trunk)SRC IP: 192.168.0.2DEST IP: 192.168.0.1SRC HW: ADEST HW: broadcastSRC IP: 10.1.0.2DEST IP: 10.1.0.1SRC HW: ADEST HW: broadcastここで、VLANが同じだとL3SWのVLAN100のmac テーブルが汚れてしまい、直接HW: Bへ通信されてしまう
ARPL3SWIP: 192.168.0.2HW: AIP: 10.1.0.1HW: BVLAN100VLAN150 (trunk) VLAN150VLAN100 (trunk)SRC IP: 192.168.0.2DEST IP: 192.168.0.1SRC HW: ADEST HW: broadcastSRC IP: 10.1.0.2DEST IP: 10.1.0.1SRC HW: ADEST HW: broadcastL3SWがごみパケットを送信して、flooding することも…
IPL3SWIP: 192.168.0.2HW: AIP: 10.1.0.1HW: BVLAN100VLAN150 (trunk) VLAN150VLAN100 (trunk)
TCP, UDPL3SWIP: 192.168.0.2HW: AIP: 10.1.0.1HW: BVLAN100VLAN150 (trunk) VLAN150VLAN100 (trunk)SRC IP: 192.168.0.2DEST IP: 192.168.0.1SRC HW: ADEST HW: broadcastSRC IP: 10.1.0.2DEST IP: 10.1.0.1SRC HW: ADEST HW: broadcastTCP, UDP checksumが書き換わってしまい、通信が失敗する
しんどかった…
スペック帯域: 約400Mbps (NIC: 1Gbps * 2)レイテンシ: 約0.5 msec
スペック帯域: 約400Mbps (NIC: 1Gbps * 2)レイテンシ: 約0.5 msec
@a_r_g_v の発表https://goo.gl/sTgxnA
透過 L2 BRIDGE NAT@H-OTTER, @A_R_G_VICTSC6

Recommended

PPTX
NUCで始めるVMware Tanzu
PDF
Sheepdogを使ってみて分かったこと(第六回ストレージ研究会発表資料)
PDF
Openflowの気持ち
PDF
自宅サーバラックの勧め 簡易版
PDF
ICTSC8 Backboneの紹介
PDF
給料の気持ち
PDF
Router board勉強会vol2(配布用)
PDF
自宅実験環境 Aug 2014
PDF
Lagopus + DockerのDPDK接続
PDF
Pdp11 on-fpga
PDF
Ethernetの受信処理
PDF
ACRi_webinar_20220118_miyo
PDF
僕のIntel nucが起動しないわけがない
PDF
FPGAアクセラレータの作り方
PDF
Router board勉強会vol2(ベンチマーク班まとめ)
PDF
サーバー初心者のためのWordPressサイト構築手順〜付録〜 MacターミナルやTera Termを使用したSSH接続方法など
PDF
Rps・rfs等最新linux kernel事例
PDF
Pdp11onfpga
 
PDF
自動でできるかな?
PDF
Using Xeon D 10GBase-T
PDF
Xeon d
PDF
Node-RED勉強会(20160826)追補
PDF
Fpgax 20130604
PDF
Google 20130218
PDF
Fluentd Meetup #2 @外道父 Fluentdを優しく見守る監視事例
ODP
Openflow超解釈
PDF
Vyatta 201310
PDF
FPGA startup 第一回 LT
PPTX
ミドクラ様講演 OpenStack最新情報セミナー 2014年4月
PPTX
コンテナのネットワークインターフェース その実装手法とその応用について

More Related Content

PPTX
NUCで始めるVMware Tanzu
PDF
Sheepdogを使ってみて分かったこと(第六回ストレージ研究会発表資料)
PDF
Openflowの気持ち
PDF
自宅サーバラックの勧め 簡易版
PDF
ICTSC8 Backboneの紹介
PDF
給料の気持ち
PDF
Router board勉強会vol2(配布用)
PDF
自宅実験環境 Aug 2014
NUCで始めるVMware Tanzu
Sheepdogを使ってみて分かったこと(第六回ストレージ研究会発表資料)
Openflowの気持ち
自宅サーバラックの勧め 簡易版
ICTSC8 Backboneの紹介
給料の気持ち
Router board勉強会vol2(配布用)
自宅実験環境 Aug 2014

What's hot

PDF
Lagopus + DockerのDPDK接続
PDF
Pdp11 on-fpga
PDF
Ethernetの受信処理
PDF
ACRi_webinar_20220118_miyo
PDF
僕のIntel nucが起動しないわけがない
PDF
FPGAアクセラレータの作り方
PDF
Router board勉強会vol2(ベンチマーク班まとめ)
PDF
サーバー初心者のためのWordPressサイト構築手順〜付録〜 MacターミナルやTera Termを使用したSSH接続方法など
PDF
Rps・rfs等最新linux kernel事例
PDF
Pdp11onfpga
 
PDF
自動でできるかな?
PDF
Using Xeon D 10GBase-T
PDF
Xeon d
PDF
Node-RED勉強会(20160826)追補
PDF
Fpgax 20130604
PDF
Google 20130218
PDF
Fluentd Meetup #2 @外道父 Fluentdを優しく見守る監視事例
ODP
Openflow超解釈
PDF
Vyatta 201310
PDF
FPGA startup 第一回 LT
Lagopus + DockerのDPDK接続
Pdp11 on-fpga
Ethernetの受信処理
ACRi_webinar_20220118_miyo
僕のIntel nucが起動しないわけがない
FPGAアクセラレータの作り方
Router board勉強会vol2(ベンチマーク班まとめ)
サーバー初心者のためのWordPressサイト構築手順〜付録〜 MacターミナルやTera Termを使用したSSH接続方法など
Rps・rfs等最新linux kernel事例
Pdp11onfpga
 
自動でできるかな?
Using Xeon D 10GBase-T
Xeon d
Node-RED勉強会(20160826)追補
Fpgax 20130604
Google 20130218
Fluentd Meetup #2 @外道父 Fluentdを優しく見守る監視事例
Openflow超解釈
Vyatta 201310
FPGA startup 第一回 LT

Similar to 透過 L2 BRIDGE NAT

PPTX
ミドクラ様講演 OpenStack最新情報セミナー 2014年4月
PPTX
コンテナのネットワークインターフェース その実装手法とその応用について
PDF
Open contrail days 2014 fall
PDF
Wireless bridge
PDF
2015.7.9 Juniper Cloud Builder Conference 2015
PDF
クラウド構築 勉強会やったのでまとめました
PPTX
Jtf2014 sdi and_contrail_22th-apr-2014_s
PDF
TremaDay #2
ミドクラ様講演 OpenStack最新情報セミナー 2014年4月
コンテナのネットワークインターフェース その実装手法とその応用について
Open contrail days 2014 fall
Wireless bridge
2015.7.9 Juniper Cloud Builder Conference 2015
クラウド構築 勉強会やったのでまとめました
Jtf2014 sdi and_contrail_22th-apr-2014_s
TremaDay #2

More from h-otter

PDF
自作クラウド基盤 n0stack と ソフトウェア開発の気持ち
PDF
自作クラウド基盤 n0stack と開発自動化の気持ち
PDF
NiFiの紹介
PDF
Kubernetesのワーカーノードを自動修復するために必要だったこと
PDF
自宅サーバラックの勧め ~In osc nagoya~
PDF
自宅サーバラックの勧め BGP4編
PDF
自宅サーバラックの勧め 〜ファシリティ編〜
PDF
自作クラウド基盤 n0stack in ICTSC 2018
PPTX
MMA Tech:Talk 2017-1 仮想化技術的なあれ
自作クラウド基盤 n0stack と ソフトウェア開発の気持ち
自作クラウド基盤 n0stack と開発自動化の気持ち
NiFiの紹介
Kubernetesのワーカーノードを自動修復するために必要だったこと
自宅サーバラックの勧め ~In osc nagoya~
自宅サーバラックの勧め BGP4編
自宅サーバラックの勧め 〜ファシリティ編〜
自作クラウド基盤 n0stack in ICTSC 2018
MMA Tech:Talk 2017-1 仮想化技術的なあれ

透過 L2 BRIDGE NAT

[8]ページ先頭
©2009-2025 Movatter.jp