{"id":812,"date":"2021-08-13T19:36:00","date_gmt":"2021-08-13T17:36:00","guid":{"rendered":"https:\/\/www.pinguytaz.net\/?p=812"},"modified":"2021-08-06T19:37:32","modified_gmt":"2021-08-06T17:37:32","slug":"usando-qemu-kvm-con-libvirt-3-x-redes-virtuales","status":"publish","type":"post","link":"https:\/\/www.pinguytaz.net\/index.php\/2021\/08\/13\/usando-qemu-kvm-con-libvirt-3-x-redes-virtuales\/","title":{"rendered":"Usando QEMU\/KVM con LibVirt (3\/6) Redes Virtuales"},"content":{"rendered":"\n

Los ficheros de configuraci\u00f3n de las redes los encontraremos en:<\/p>\n\n\n\n

etc<\/em>\/libvirt\/qemu\/networks\/*.xml<\/p>\n\n\n\n

El componete principal del las redes libvirt son los \u201cSwitch-Virtuales\u201d, conmutador de red virtual, al que las maquinas se conectaran a los NIC (vNIC) de estas.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Si realizamos un ifconfig<\/em> veremos que tenemos un dispositivo virbrX<\/em> virtual que creemos y tengamos activa , esto son los Switch-Virtuales, y un dispositivo (vnetX) por cada vNIC que este levantado en las maquinas virtuales. Aunque esto nos los directamente virt-manager<\/em>, mas adelante veremos exactamente como crear las redes, en la opci\u00f3n Editar\u2192Detalles_Conexi\u00f3n<\/strong> dentro de la carpeta \u201cRedes Virtuales\u201d.<\/p>\n\n\n\n

\"\"<\/figure><\/div>\n\n\n\n

Desde comando podremos crear estos dispositivos de la siguiente forma<\/p>\n\n\n\n

brctl addbr \/\/ Switch Virtuales\n\/\/ Los vNICs tipos TIN\/TAP\nip tuntap add dev mode tap\nbrctl addif<\/pre>\n\n\n\n
Los diferentes tipos de redes que podremos configurar son:<\/p>\n\n\n\n
  1. NAT<\/strong>: Las maquinas virtuales pueden comunicarse con el exterior, pero el exterior no con ellas y lo realizan mediante una interfaz de red puente.<\/li>
  2. Enrutada<\/strong>: Permiten la conexi\u00f3n de las maquinas virtuales directamente a la red f\u00edsica<\/li>
  3. Insolated (Aislada)<\/strong>: Nos permite crear una red privada entre el hipervisor y las maquinas virtuales<\/li>
  4. SR-IOV<\/strong>: Dispositivo PCI directamente, logrando una red nativa en la maquina virtual.<\/li>
  5. MacVtap<\/strong> Se utiliza para permitir que usuarios de la red Local se conecten a las maquinas virtuales, pero no deseamos crear un puente.<\/li>
  6. Puente:<\/strong> Una red con puente comparte un dispositivo Ethernet real con las m\u00e1quinas virtuales (VM), estas maquinas tendr\u00e1n una IP de la LAN como si de una maquina f\u00edsica se tratara.<\/li><\/ol>\n\n\n\n
    \"\"<\/figure><\/div>\n\n\n\n
    1.- Modo NAT<\/strong><\/p>\n\n\n\n
    Este es el modo por defectos que se crea y es el m\u00e1s sencillo es el mejor a utilizar para la primera configuraci\u00f3n de nuestras maquinas ya que dispone de salida a Internet.<\/p>\n\n\n\n
    En este caso las maquinas invitadas se conectan al Switch-Virtual (virbrX) y este funciona en modo NAT de forma que se utiliza la IP del anfitri\u00f3n para conectarse al exterior.<\/p>\n\n\n\n
    En este modo tendremos las siguientes conexiones:<\/p>\n\n\n\n
    • Conectarnos a servidores externos mediante NAT, conexi\u00f3n saliente.<\/li>
    • Conectarnos desde nuestra maquina anfitriona a la invitada.<\/li>
    • Conexi\u00f3n desde otras maquinas invitadas de la misma red.<\/li>
    • Cualquier otra conexi\u00f3n procedente del exterior no se podra conectar a nuestra maquina privada.<\/li><\/ul>\n\n\n\n
      Los Switch-Virtuales disponen de un servidor DHCP (dnsmasq) que nos permite asignar Ips, dentro del rango que configuremos, a las maquinas invitadas que se conecten a esa red de forma autom\u00e1tica.<\/p>\n\n\n\n
      Para cada red se habilita una instancia de dnsmasq<\/em> de forma que solo podr\u00e1n acceder a ella las maquinas invitadas de esa red.<\/p>\n\n\n\n
      \"\"<\/figure><\/div>\n\n\n\n
      Al crear una red NAT nos solicitara:<\/p>\n\n\n\n
      • Nombre de la red<\/li>
      • Modo \u201cNAT\u201d<\/li>
      • Dispositivo puente de acceso al exterior
        • Interfaz f\u00edsica<\/li>
        • Interfaz agregados \u201cBonding\u201d<\/li>
        • VLAN<\/li><\/ul><\/li>
        • O<\/strong> cualquier dispositivo (utilizado en nuestro NAT default)<\/li>
        • Configuraci\u00f3n IPv4 e IPv6
          • RED<\/li>
          • Si deseamos tener DHCP y la configuraci\u00f3n de este para definir el rango.<\/li><\/ul><\/li>
          • Nombre de dominio<\/li><\/ul>\n\n\n\n
            Desde linea de comandos podremos ejecutar virsh<\/em> con los siguientes par\u00e1metros:<\/p>\n\n\n\n
            • net-list – -all \/\/ Listado de las redes configuradas y sus estado.<\/li><\/ul>\n\n\n\n
              • net-dumpxml default \/\/Volcamos la configuraci\u00f3n XML de nuestra red por defecto.<\/li>
              • net-edit <red> Para editar la configuraci\u00f3n, desde virt-manager tambi\u00e9n se puede en modo texto.<\/li>
              • net-info <red> \/Informaci\u00f3n de la red. Podemos ver el dispositivo de switch-virtual que utiliza<\/li>
              • net-start, net-destroy, net-autostart <red><\/li><\/ul>\n\n\n\n
                Tambi\u00e9n podemos utilizar otros comandos del sistema para obtener informaci\u00f3n de los interfaz como ifconfig<\/em> o brctl show<\/em> que nos informara de los Switch-Virtuales y los interfaz de vNIC que est\u00e1n conectados a estos.<\/p>\n\n\n\n
                Al crear la red libvirt<\/em> creara reglas iptables<\/em> para permitir que el trafico al dispositivo virtual virbrX, los chains INPUT, OUTPUT, FORWARD y POSTROUTING, y habilitara ip_forward<\/em> en caso de que no se habilite o alguna aplicaci\u00f3n los inhaboilite lo podemos activar modificando el fichero \u201c\/etc\/sysctl.conf\u201d poniendo la linea net.ipv4.ip_forward=1<\/strong><\/em>.<\/p>\n\n\n\n
                Se comento al principio que una maquina externa no podr\u00eda conectarse a nuestra maquina invitada, es decir no podremos tener un servicio en nuestra invitada, pero eso no es del todo cierto ya que podemos configurar reglas de iptables<\/em> que nos permitan reenviar conexiones entrantes (del exterior) a nuestra maquina anfitriona por un puerto a un puerto de nuestra maquina invitada.<\/p>\n\n\n\n
                Para realizar esto editaremos o crearemos el archivo \u201c\/etc\/libvirt\/hooks\/qemu\u201d con permiso de ejecuci\u00f3n (es un script) con el siguiente bloque de c\u00f3digo para cada redirecci\u00f3n que se desee realizar.<\/p>\n\n\n\n
                #!\/bin\/bash\n# IMPORTANT: Change the \"VM NAME\" string to match your actual VM Name.\n# In order to create rules to other VMs, just duplicate the below block and configure\n# it accordingly.\nIf [ \"${1}\" = \"<NOMBRE_MAQUINA>\" ]; then\n   IP_INVITADA=<IP MAQUINA INVITADA>\n   PUERTO_INVITADA=<PUERTO INVITADA DE RECEPCI\u00d3N>\n   PUERTO_ANFITRION=<PUERTO ANFITRION A RENVIAR>\n\n   if [ \"${2}\" = \"stopped\" ] || [ \"${2}\" = \"reconnect\" ]; then\n\t\/sbin\/iptables -D FORWARD -o <INTERFAZ SwitchVirtual> -p tcp -d $IP_INVITADA --dport $PUERTO_INVITADA -j ACCEPT\n\t\/sbin\/iptables -t nat -D PREROUTING -p tcp --dport $PUERTO_ANFITRION -j DNAT --to $IP_INVITADA:$PUERTO_INVITADA\n   fi\n   if [ \"${2}\" = \"start\" ] || [ \"${2}\" = \"reconnect\" ]; then\n\t\/sbin\/iptables -I FORWARD -o <INTERFAZ SwitchVirtual> -p tcp -d $IP_INVITADA --dport $PUERTO_INVITADA -j ACCEPT\n\t\/sbin\/iptables -t nat -I PREROUTING -p tcp --dport $PUERTO_ANFITRION -j DNAT --to $IP_INVITADA:$PUERTO_INVITADA\n   fi\nfi<\/pre>\n\n\n\n
                2.- Modo Enrutado<\/strong><\/p>\n\n\n\n
                En este modo similar al anterior y tambi\u00e9n utiliza el Switch virtual pero en este caso este esta conectado a la LAN del anfitri\u00f3n sin realizar NAT, de esta forma las maquinas virtuales invitadas estar\u00e1n en una subred del anfitri\u00f3n pero no ser\u00e1n vista por maquinas de la red del anfitri\u00f3n (estas no conocen la subred) por lo tanto si queremos que las maquinas de nuestra red local (red del anfitri\u00f3n) vean a las maquinas virtuales sera necesario configurar reglas en los routers en la red f\u00edsica para que estas conozcan la subred.<\/p>\n\n\n\n
                3.-Modo Insolated (Red Cerrada)<\/strong><\/p>\n\n\n\n
                \"\"<\/figure><\/div>\n\n\n\n
                Este modo lo utilizaremos para que solo se vean las maquinas virtuales configuradas en esta red, por lo tanto no tendremos acceso al exterior.<\/p>\n\n\n\n
                Como es l\u00f3gico en este modo no nos solicita el dispositivo ya que todo se queda interno, lo que si generara en el anfitri\u00f3n un dispositivo conectado a esta red.<\/p>\n\n\n\n
                4.- Modo Puente<\/strong><\/p>\n\n\n\n
                Las m\u00e1quinas virtuales invitadas aparecen dentro de la misma subred que la m\u00e1quina f\u00edsica del host y la m\u00e1quinas f\u00edsicas en la misma red f\u00edsica son conscientes de las m\u00e1quinas virtuales y pueden acceder a ellas, modo puente opera en Capa 2 del modelo de red OSI.<\/p>\n\n\n\n
                5.- MacVTAP<\/strong><\/p>\n\n\n\n
                El controlador macvtap nos permite conectar la NIC del invitado directamente a una interfaz f\u00edsica espec\u00edfica de la m\u00e1quina host.<\/p>\n\n\n\n
                La conexi\u00f3n Macvtap tiene los siguientes modos: VEPA, puente, privado, passthrouth.<\/p>\n\n\n\n
                <\/p>\n\n\n\n
                <\/p>\n","protected":false},"excerpt":{"rendered":"
                Los ficheros de configuraci\u00f3n de las redes los encontraremos en: etc\/libvirt\/qemu\/networks\/*.xml El componete principal del las redes libvirt son los \u201cSwitch-Virtuales\u201d, conmutador de red virtual, al que las maquinas se conectaran a los NIC (vNIC) de estas. Si realizamos un ifconfig veremos que tenemos un dispositivo virbrX virtual que creemos y tengamos activa , esto […]<\/p>\n","protected":false},"author":1,"featured_media":849,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"site-container-style":"default","site-container-layout":"default","site-sidebar-layout":"default","disable-article-header":"default","disable-site-header":"default","disable-site-footer":"default","disable-content-area-spacing":"default","footnotes":""},"categories":[155,65],"tags":[156,157,152,42],"class_list":["post-812","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-qemu-kvm-virtualizacion","category-virtualizacion","tag-brtcl","tag-iptables","tag-libvirt","tag-nat"],"_links":{"self":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/812","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/comments?post=812"}],"version-history":[{"count":5,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/812\/revisions"}],"predecessor-version":[{"id":865,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/posts\/812\/revisions\/865"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media\/849"}],"wp:attachment":[{"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/media?parent=812"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/categories?post=812"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.pinguytaz.net\/index.php\/wp-json\/wp\/v2\/tags?post=812"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}