Présentation des interfaces virtuelles Linux: tunnels

Linux prend en charge de nombreux types de tunnels. Cela confond les débutants qui ont du mal à comprendre les différences technologiques et à comprendre quel tunnel est préférable d'utiliser dans une situation particulière. Le matériel, dont nous publions la traduction aujourd'hui, donnera un bref aperçu des interfaces de tunnel couramment utilisées du noyau Linux. Nous ne nous pencherons pas en profondeur sur ce sujet, en considérant uniquement les caractéristiques générales des tunnels et les options pour leur utilisation sous Linux.



L'auteur de ce document estime que ce qui sera discuté ici peut intéresser tous ceux qui ont quelque chose à voir avec la gestion des réseaux informatiques. La liste des interfaces de tunnel, ainsi que des informations de référence sur une configuration spécifique, peuvent être obtenues à l' ip link help commande d' ip link help iproute2 ip link help .

Les interfaces couramment utilisées suivantes seront couvertes ici: IPIP, SIT, ip6tnl, VTI et VTI6, GRE et GRETAP, GRE6 et GRE6TAP, FOU, GUE, GENEVE, ERSPAN et IP6ERSPAN.

Après avoir lu cet article, vous découvrirez les fonctionnalités de ces interfaces et découvrirez les différences entre elles. Vous apprendrez comment les créer et découvrirez les situations dans lesquelles ils sont le mieux utilisés.

IPIP

Le tunnel IPIP, comme son nom l'indique, est un tunnel fonctionnant en mode IP sur IP ( RFC 2003 ). L'en-tête de paquet de tunnel IPIP est comme indiqué ci-dessous.


En-tête de paquet de tunnel IPIP

Ces tunnels sont couramment utilisés pour connecter deux sous-réseaux IPv4 internes sur un réseau IPv4 public (Internet). L'utilisation d'IPIP crée une charge supplémentaire minimale sur le système, mais seule la transmission de données unidirectionnelle (unicast) peut être effectuée sur un tel tunnel. Autrement dit, après avoir construit un tel tunnel, il ne sera pas possible de l'utiliser pour la transmission de données de multidiffusion.

Les tunnels IPIP prennent en charge les modes IP sur IP et MPLS sur IP.

Veuillez noter que lorsque le module ipip est chargé, ou lorsque le périphérique IPIP est créé pour la première fois, le noyau Linux créera un périphérique tunl0 par défaut dans chaque espace de noms avec les attributs local=any et remote=any . Lors de la réception de paquets IPIP, le noyau, dans certains cas, les redirigera vers tunl0 comme périphérique par défaut. Cela se produit lorsque le noyau ne peut pas trouver un autre périphérique dont local/remote attributs local/remote plus étroitement aux adresses source et de destination des paquets.

Voici comment créer un tunnel IPIP:

Sur le serveur A:

 # ip link add name ipip0 type ipip local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR # ip link set ipip0 up # ip addr add INTERNAL_IPV4_ADDR/24 dev ipip0 Add a remote internal subnet route if the endpoints don't belong to the same subnet # ip route add REMOTE_INTERNAL_SUBNET/24 dev ipip0 

Sur le serveur B:

 # ip link add name ipip0 type ipip local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR # ip link set ipip0 up # ip addr add INTERNAL_IPV4_ADDR/24 dev ipip0 # ip route add REMOTE_INTERNAL_SUBNET/24 dev ipip0 

Veuillez noter que lorsque vous utilisez cette configuration, elle doit être alignée sur des données réelles. En particulier, LOCAL_IPv4_ADDR , REMOTE_IPv4_ADDR , INTERNAL_IPV4_ADDR et REMOTE_INTERNAL_SUBNET doivent être remplacés par les adresses utilisées dans votre environnement. Il en va de même pour d'autres exemples de configurations, que nous considérerons plus loin.

S'asseoir

SIT (Simple Internet Transition) est une technologie de tunneling dont le but principal est de connecter des réseaux IPv6 isolés via Internet en utilisant le protocole IPv4.

Initialement, la technologie SIT ne pouvait fonctionner qu'en mode de tunneling «IPv6 sur IPv4». Cependant, au fil des années de développement, il a gagné le soutien de plusieurs autres régimes. En particulier, c'est ipip (la même chose s'est produite avec le tunnel IPIP), ip6ip , mplsip et any .

any mode est utilisé pour fonctionner avec le trafic IP et IPv6, ce qui peut être utile dans certaines situations. Les tunnels SIT prennent également en charge ISATAP . Voici un exemple d' utilisation de cette technologie.

L'en-tête du paquet SIT est comme indiqué ci-dessous.


En-tête de paquet de tunnel SIT

Lorsque le module sit charge, le noyau Linux crée le sit0 par défaut sit0 .

Voici comment créer un tunnel SIT (ces étapes doivent être effectuées sur les serveurs A et B):

 # ip link add name sit1 type sit local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR mode any # ip link set sit1 up # ip addr add INTERNAL_IPV4_ADDR/24 dev sit1 

Ip6tnl

L'interface ip6tnl fonctionne en mode IPv4 / IPv6 sur IPv6. Elle est similaire à la version IPv6 du tunnel SIT. Voici à quoi ressemble l'en-tête du package ip6tnl.


En-tête de paquet de tunnel IP6TNL

Les tunnels IP6tnl prennent en charge ip6ip6 , ipip6 et any modes. Le mode ipip6 représenté par le schéma IPv4 sur IPv6, le mode ip6ip6 est IPv6 sur IPv6. any mode prend en charge les deux schémas.

Lorsque le module ip6tnl , le noyau Linux crée un périphérique par défaut appelé ip6tnl0 .

Voici comment créer un tunnel ip6tnl:

 # ip link add name ipip6 type ip6tnl local LOCAL_IPv6_ADDR remote REMOTE_IPv6_ADDR mode any 

VTI et VTI6

L'interface Linux VTI (Virtual Tunnel Interface) est similaire à l'interface Cisco VTI et à l'implémentation Juniper d'un tunnel sécurisé (st.xx).

Ce pilote de tunneling implémente l'encapsulation IP, qui peut être utilisée avec xfrm pour créer des tunnels sécurisés, puis utiliser des tunnels de routage au niveau du noyau sur ces tunnels.

En général, les tunnels VTI fonctionnent un peu comme les tunnels IPIP ou SIT. L'exception est qu'ils utilisent l'encapsulation / décapsulation fwmark et IPsec.

VTI6 est l'équivalent IPv6 de VTI.

Voici comment créer un tunnel VTI:

 # ip link add name vti1 type vti key VTI_KEY local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR # ip link set vti1 up # ip addr add LOCAL_VIRTUAL_ADDR/24 dev vti1 # ip xfrm state add src LOCAL_IPv4_ADDR dst REMOTE_IPv4_ADDR spi SPI PROTO ALGR mode tunnel # ip xfrm state add src REMOTE_IPv4_ADDR dst LOCAL_IPv4_ADDR spi SPI PROTO ALGR mode tunnel # ip xfrm policy add dir in tmpl src REMOTE_IPv4_ADDR dst LOCAL_IPv4_ADDR PROTO mode tunnel mark VTI_KEY # ip xfrm policy add dir out tmpl src LOCAL_IPv4_ADDR dst REMOTE_IPv4_ADDR PROTO mode tunnel mark VTI_KEY 

De plus, IPsec peut être configuré à l'aide de libreswan ou strongSwan .

GRE et GRETAP

La technologie GRE (Generic Routing Encapsulation) est décrite dans la RFC 2784 . Dans le tunneling GRE, un en-tête GRE supplémentaire est ajouté entre les en-têtes des paquets IP internes et externes.

Théoriquement, GRE peut encapsuler des paquets de n'importe quel protocole de couche 3 avec un type Ethernet valide. Cela distingue la technologie GRE de la technologie IPIP, qui ne prend en charge que l'encapsulation des paquets IP. Voici à quoi ressemble l'en-tête du package lors de l'utilisation de la technologie GRE.


En-tête de paquet tunnel GRE

Veuillez noter que les tunnels GRE permettent la prise en charge de la multidiffusion et IPv6.

Lors du chargement du module gre , le noyau Linux crée le gre0 par défaut gre0 .

Voici comment créer un tunnel GRE:

 # ip link add name gre1 type gre local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR [seq] key KEY 

Alors que les tunnels GRE fonctionnent sur la couche 3 OSI, les tunnels GRETAP fonctionnent sur la couche 2 OSI. Cela signifie que l'un des en-têtes internes des paquets respectifs est un en-tête Ethernet.


En-tête de paquet de tunnel GRETAP

Voici comment créer un tunnel GRETAP:

 # ip link add name gretap1 type gretap local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR 

GRE6 et GRE6TAP

GRE6 est l'équivalent IPv6 de GRE. Les tunnels GRE6 vous permettent d'encapsuler n'importe quel protocole de couche 3 dans IPv6. Voici à quoi ressemble l'en-tête du package GRE6.


En-tête de paquet de tunnel GRE6

Dans les tunnels GRE6TAP, comme dans les tunnels GRETAP, il existe des en-têtes Ethernet parmi les en-têtes de paquets internes.


En-tête de paquet de tunnel GRE6TAP

Voici comment créer un tunnel GRE:

 # ip link add name gre1 type gre6 local LOCAL_IPv6_ADDR remote REMOTE_IPv6_ADDR # ip link add name gretap1 type gretap6 local LOCAL_IPv6_ADDR remote REMOTE_IPv6_ADDR 

Fou

Le tunneling peut être effectué à différents niveaux de la pile réseau. Les tunnels IPIP, SIT et GRE existent au niveau de la couche IP. Et les tunnels FOU (ils sont disposés selon le schéma «foo over UDP») fonctionnent au niveau UDP.

Il existe certains avantages à utiliser le tunneling UDP sur le tunnelage IP. Le fait est que le protocole UDP fonctionne avec l'infrastructure matérielle existante.

Par exemple, c'est RSS dans les cartes réseau, ECMP dans les commutateurs, ce sont des technologies pour calculer les sommes de contrôle sans la participation d'un processeur central. L'application du correctif FOU approprié aux développeurs montre une augmentation significative des performances pour SIT et IPIP.

Actuellement, les tunnels FOU prennent en charge l'encapsulation de protocole basée sur IPIP, SIT et GRE. Voici à quoi pourrait ressembler l'en-tête d'un package FOU.


En-tête de l'ensemble de tunnels FOU

Voici comment créer un tunnel FOU:

 # ip fou add port 5555 ipproto 4 # ip link add name tun1 type ipip remote 192.168.1.1 local 192.168.1.2 ttl 225 encap fou encap-sport auto encap-dport 5555 

La première commande configure le port de réception FOU pour IPIP lié à 5555. Pour utiliser GRE, vous devez utiliser ipproto 47 . La deuxième commande configure la nouvelle interface IPIP virtuelle ( tun1 ), conçue pour l'encapsulation FOU, dont le port cible est 5555.

Veuillez noter que les tunnels FOU ne sont pas pris en charge sur Red Hat Enterprise Linux.

Gue

Un autre type de tunneling UDP est introduit par la technologie GUE ( Generic UDP Encapsulation ). La différence entre FOU et GUE est que GUE a son propre en-tête, qui contient des informations de protocole et d'autres données.

Les tunnels GUE prennent actuellement en charge l'encapsulation interne d'IPIP, SIT et GRE. Voici à quoi pourrait ressembler un en-tête de package GUE.


En-tête de package de tunnel GUE

Voici comment créer un tunnel GUE:

 # ip fou add port 5555 gue # ip link add name tun1 type ipip remote 192.168.1.1 local 192.168.1.2 ttl 225 encap gue encap-sport auto encap-dport 5555 

Grâce à ces commandes, un port GUE de réception pour IPIP lié au numéro 5555 et un tunnel IPIP configuré pour l'encapsulation GUE seront créés.

Les tunnels GUE ne sont pas pris en charge sur Red Hat Enterprise Linux.

GENEVE

Les tunnels GENEVE (Generic Network Virtualization Encapsulation) prennent en charge toutes les fonctionnalités de XLAN, NVGRE et STT. La technologie GENEVE est conçue pour contourner les limites identifiées de ces trois technologies. Beaucoup pensent que cette technologie est capable, à long terme, de remplacer complètement ces trois anciens formats. Voici à quoi ressemble l'en-tête du paquet de tunnel GENEVE.


En-tête de paquet de tunnel GENEVE

Cet en-tête est similaire à l'en-tête d'un paquet VXLAN . La principale différence entre les deux est que l'en-tête GENEVE est plus flexible. Il facilite l'implémentation de nouvelles fonctionnalités en développant les en-têtes à l'aide des champs TLV (Type-Length-Value).

Des détails sur GENEVE peuvent être trouvés ici et ici .

GENEVE est utilisé dans la solution SDN Open Virtual Network (OVN) comme outil d'encapsulation standard. Voici comment créer un tunnel GENEVE:

 # ip link add name geneve0 type geneve id VNI remote REMOTE_IPv4_ADDR 

ERSPAN et IP6ERSPAN

La technologie ERSPAN (Encapsulated Remote Switched Port Analyzer) utilise l'encapsulation GRE pour étendre les capacités de base de la mise en miroir des ports de la couche 2 à la couche 3. Cela vous permet de transférer le trafic en miroir sur un réseau IP routé. Voici à quoi ressemble l'en-tête du package ERSPAN.


En-tête de package de tunnel ERSPAN

Les tunnels ERSPAN permettent aux hôtes Linux d'agir en tant que source de trafic ERSPAN et d'envoyer du trafic ERSPAN en miroir soit vers un hôte distant, soit vers une destination ERSPAN qui reçoit et traite les paquets ERSPAN générés par les commutateurs Cisco ou d'autres périphériques prenant en charge ERSPAN. Un système similaire peut être utilisé pour analyser et diagnostiquer le réseau, pour détecter le trafic malveillant.

Linux prend actuellement en charge la plupart des fonctionnalités des deux versions d'ERSPAN - v1 (type II) et v2 (type III).

Voici comment créer des tunnels ERSPAN:

 # ip link add dev erspan1 type erspan local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR seq key KEY erspan_ver 1 erspan IDX 

Vous pouvez également le faire:

 # ip link add dev erspan1 type erspan local LOCAL_IPv4_ADDR remote REMOTE_IPv4_ADDR seq key KEY erspan_ver 2 erspan_dir DIRECTION erspan_hwid HWID 

Ajoutez un filtre tc pour surveiller le trafic:

 # tc qdisc add dev MONITOR_DEV handle ffff: ingress # tc filter add dev MONITOR_DEV parent ffff: matchall skip_hw action mirred egress mirror dev erspan1 

Résumé

Nous avons couvert pas mal de technologies de tunneling sous Linux ici. Voici un tableau récapitulatif pour eux.


Veuillez noter que tous les tunnels, dont les exemples de création sont présentés ici, n'existent que jusqu'au redémarrage du serveur. Si vous souhaitez créer un tunnel qui se rétablit après le redémarrage, envisagez d'utiliser un démon pour configurer le réseau, comme NetworkManager , ou utilisez le mécanisme approprié de la distribution Linux que vous utilisez.

Chers lecteurs! Quels tunnels Linux utilisez-vous?