Quería configurar mi servidor CentOS 7 para que mis máquinas virtuales KVM obtengan una concesión DHCP de mi VLAN 30 configurada Cisco Meraki MX (firewall) y estén segregadas de la VLAN 1.
Como no tengo dos interfaces físicas, pensé en virtualizar una, agregarle la etiqueta VLAN y luego conectar la interfaz virtualizada etiquetada con VLAN y configurarla en mi script virt-install. Sin embargo, quería asegurarme de que todo el tráfico que se dirige a mi máquina CentOS permaneciera en la VLAN 1 (con la excepción del tráfico dirigido a las máquinas virtuales).
Pensé que lo tenía funcionando el otro día, sin embargo, por capricho, intenté hacer ping a través de subredes y me sorprendió ver las respuestas ICMP.
Seguí (más o menos) esta referencia al configurar todo:Configuración del etiquetado VLAN 802.1Q utilizando archivos ifcfg
Actualmente tengo /etc/sysconfig/network-scripts/ifcfg-em1(interfaz Ethernet predeterminada) configurada de la siguiente manera:
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
BOOTPROTO="dhcp"
GATEWAY="192.168.128.1"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
NAME="em1"
UUID="bac1228e-fe29-4e7c-9073-6b2d4542d003"
DEVICE="em1"
ONBOOT="yes"
ZONE=public
Esta interfaz extrae con éxito una IP 192.168.128.x de la subred VLAN 1.
A continuación tengo /etc/sysconfig/network-scripts/ifcfg-em1.30(interfaz virtual con etiqueta VLAN 30):
TYPE="Ethernet"
#BOOTPROTO="dhcp"
DEVICE="em1.30"
ONBOOT="yes"
ZONE=public
VLAN="yes"
BRIDGE="br0"
Lo cual, debido a la opción BRIDGE (creo), no obtiene una dirección IP.
Finalmente, /etc/sysconfig/network-scripts/ifcfg-br0(mi conexión en puente desde em1.30):
BOOTPROTO="dhcp"
IPV6INIT="no"
DEFROUTE="no"
GATEWAY="10.100.0.1"
IPV6_AUTOCONF="no"
ONBOOT="yes"
TYPE="Bridge"
DELAY="0"
ZONE=public
Esta interfaz también extrae la ruta DHCP correcta de la subred VLAN 30 (10.100.0.x)
El uso de la interfaz br0 en mis scripts virt-install parece funcionar ya que todas mis máquinas virtuales, cuando se inician, también extraen con éxito de la subred VLAN 30. Sin embargo, como se mencionó anteriormente, cuando intento hacer ping (o SSH) de una subred a otra, obtengo respuestas completas.
Sospecho que esto quizás tenga algo que ver con las rutas. Aquí está el resultado de route -n:
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 192.168.128.1 0.0.0.0 UG 0 0 0 em1
10.100.0.0 0.0.0.0 255.255.255.0 U 0 0 0 br0
169.254.0.0 0.0.0.0 255.255.0.0 U 1002 0 0 em1
169.254.0.0 0.0.0.0 255.255.0.0 U 1045 0 0 br0
192.168.128.0 0.0.0.0 255.255.255.0 U 0 0 0 em1
Por si sirve de algo, /etc/sysconfig/networkactualmente está en blanco, deshabilité NetworkManager y cuando pensé que estaba funcionando, no tenía configurada la opción DEFROUTE o GATEWAY en ifcfg-br0 (las agregué hoy sin cambios en el resultado, así que las dejé).
¿Quizás necesito una opción de VLAN configurada en ifcfg-br0 y en ifcfg-em1.30? ¡Gracias por tomarse el tiempo de leer todo eso!