Rede do IES de Rodeira

De Wiki do Ciclo ASIR do IES de Rodeira
Saltar á navegación Saltar á procura

Introducción

A estrutura de comunicación informática do IES de Rodeira está dividida en distintas redes. A principal división é entre as redes dos ciclos, que utilizan unha liña de fibra para a súa conexión con internet e a rede do centro, que sae a través da infraestrutura de rede da Xunta de Galiza. As dúas redes están desconectadas entre sí de xeito que físicamente non é posible acceder dende a rede dos ciclos á rede do centro.

As redes dos ciclos están divididas a súa vez entre a rede dos ciclos de informática, a rede dos ciclos de electrónica e a rede dos ciclos de administrativo que saen hacia internet a través dun proxy que conecta coa rede de saída a internet

A rede do centro a súa vez está dividida (xestionado pola xunta) en dúas redes separadas por VLAN. A rede de docencia e a rede de administración, sen acceso entre elas.

O resumo das redes é o seguinte:

  • Rede do centro: 10.65.24.0/23
  • Redes dos Ciclos: - Informática: 172.20.0.0/24 - Electrónica: 172.16.0.0/24 - Administrativo: 172.17.0.0/24
  • Rede de Internet: 192.168.1.0/24
  • Rede de Virtualización: 192.168.2.0/24 (interconexión entre os servidores de virtualización)
  • Rede de Hardware: 192.168.0.0/24 (acceso ao hardware de rede (switches) )

As distintas redes están organizadas en VLAN de xeito que a separación sexa completa. Como queremos ofrecer servizos virtualizados á rede de docencia, os servidores de virtualización terán acceso físico á rede do centro (VLAN 6), aínda que non terán configurada ningunha IP.

Polo tanto, os servidores de virtualización terán acceso físico ás seguintes redes:

  • VLAN por defecto (default, ou 1): Rede do hardware. A través desta rede é posible comunicar os servidores de virtualización co hardware de rede (switches físicos). Se utilizará a rede 192.168.0.0/24
  • VLAN 10: Rede de virtualización. Os servidores de virtualización se comunicarán entre eles a través desta VLAN usando a rede 192.168.2.0/24
  • VLAN 2: Rede do ciclo de Electrónica. Os equipos da rede de electrónica utilizarán rangos de IP da dirección de rede 172.16.0.0/16
  • VLAN 3: Rede do ciclo de Administrativo. Os equipos da rede de administrativo utilizarán rangos de IP da dirección de rede 172.17.0.0/16
  • VLAN 4: Rede do ciclo de Informática. Os equipos da rede de informática utilizarán rangos de IP da dirección de rede 172.20.0.0/16
  • VLAN 5: Actualmente non está en uso. Nesta rede se situarían os puntos de acceso inalámbrico públicos
  • VLAN 6: Rede do centro, VLAN de docencia. Nesta rede se situarían os equipos da rede de docencia do centro (aulas en xeral e equipamento común do profesorado). Obteñen a súa IP mediante DHCP no rango 10.65.24.0/23
  • VLAN 9: Rede de Internet. Esta é a rede con acceso directo ao router de fibra do proveedor de servizos e nela estarán situados os servizos da DMZ. O rango de IP corresponde coa rede 192.168.1.0/24, sendo o router de fibra o equipo 172.20.1.1/24.

Para o acceso a internet das redes de informática, electrónica e administrativo se utilizará unha máquina actuando de proxy con tarxetas de rede nas VLAN 2,3,4 e 9 co proxy squid instalado e o interfaz web de acceso websqusr.

Servidores de Virtualización

Todos os servidores de virtualización xestionan a rede mediante Openvswitch creando as seguintes pontes:

  • gateway: Serve como conexión a internet. Conecta cun contedor LXC (rt-internet-xxxx) que terá conexión con internet
  • rodeira: Serve como conexión á rede de Docencia do centro. Conecta cun contedor LXC (rt-docencia-xxxx) que estará conectado coa rede do centro
  • asir: Serve como conexión á rede dos ciclos de informática. Conecta cun contedor LXC (rt-asir-xxxx) que estará conectado coa rede dos ciclos de informática
  • lan: E a ponte que serve para as conexión físicas con todas as VLAN. Aquí estará en bonding as tarxetas de rede físicas do servidor

O bridge lan ten as interfaces físicas do servidor de virtualización en bonding (LACP) e levará todas as VLAN da rede de rodeira (trunk das vlan 2,3,4,5,6,9 e 10). Por aquí chegarán as conexións as distintas máquinas virtuais hospedadas no Host. As máquinas virtuais terán tarxetas de rede que se colocarán na VLAN apropiada no bridge lan.

Boxinfo info.png
Os servidores de virtualización non terán acceso directo a ningunha VLAN salvo a 10, destinada á comunicación entre os distintos servidores de virtualización.

Para permitir o acceso dende as distintas redes aos servidores de virtualización se proporciona un acceso indirecto utilizando 3 contedores intermedios LXC que se executan nos propios servidores:

  • rt-internet: Contedor Firewall-LXC. E o equipo accesible dende internet mediante SSH, e permite acceder logo ao servidor de virtualización ou as máquinas virtuais situadas na DMZ
  • rt-asir: Contedor Firewall-LXC. É o equipo que separa o servidor de virtualización da rede de informática. Permite o acceso indirecto dende a rede de informática ao servidor de virtualización e a servizos presentes en oturas redes.
  • rt-docencia: Contedor Firewall-LXC. E o equipo que separa o servidor de virtualización da rede de rodeira (docencia). Permite acceder dende o servidor de virtualización aos equipos da rede de docencia e acceder a servizos situados en outras redes.

Gondor

Descricion do Hardware

Espazo de Disco

Configuración da Rede

Interface Tipo Ponte OVS VLAN Bond IP Descrición
enp4s0 Físico lan trunk bond0 - Interface LACP
enp3s0f0 Físico lan trunk bond0 - Interface LACP
enp3s0f1 Físico lan trunk bond0 - Interface LACP
enp2s0 Físico - - - 192.168.0.3/24 Enlace coa rede do hardware de rede (switches), permite conectarse e xestionar os switches físicos
internet@eth-inet virtual - - - 192.168.254.1/24 (veth pair) Conexión co contedor LXC que está conectado a rede de saída a internet
eth-inet@internet virtual gateway - - - (veth pair) Parella de "internet", este extremo é o que vai insertado no bridge "gateway"
docencia@eth-doc virtual - - - 192.168.253.1/24 (veth pair) Conexión co contedor LXC que está conectado a rede do centro (docencia)
eth-doct@docencia virtual rodeira - - - (veth pair) Parella de "docencia", este extremo é o que vai insertado no bridge "rodeira"
informatica@eth-info virtual - - - 192.168.252.1/24 (veth pair) Conexión co contedor LXC que está conectado a rede do ciclo de informática
eth-info@informatica virtual asir - - - (veth pair) Parella de "informática", este extremo é o que vai insertado no bridge "asir"
vservers@eth-vservers virtual - - - 192.168.2.1/24 (veth pair) Conexión coa rede de interconexión dos servidores de virtualización. Permite a comunicación entre os distintos servidores.
eth-vservers@vservers virtual lan 10 - - (veth pair) Parella de "vservers", este extremo é o que vai insertado no bridge "lan" na VLAN 10

Barbol

Alatar

Galileo

Máquinas Virtuais

Scripts de Configuración

Sistema de Backup

Procedemento de Recuperación