(no subject)

Dec 12, 2018 02:30

Пришла в голову идея объеденить два VLAN-а в разных облачных датацентрах в один - прокинув между ними туннель VXLAN. Чтобы Ethernet-фреймы между ними ходили, как у себя дома.

Сказано - сделано: разобрался, как это делается на Фортигейте, для пущей безопасности пустил VXLAN поверх IPsec. Сценарий с NAT документирован не был, но ничего, скумекал. Ура, заработал мой туннель. И не успел я возликовать, как получил лопатой по всей морде. Облачко-то на VMware, ограничивает каждую виртуалочку её собственным MAC-адресом, и изменить это возможности не даёт. Стало быть, если мой Фортигейт начнёт вдруг фреймы от других машин передавать, то их жестокий vSwitch выкинет, и конец делу. Элементарная же штука, сто лет её знаю - а вовремя не сообразил. Ну хоть конфигурацию в технобложик задокументировал, и то хлеб.

Попутно это дело зарезало мне ещё пару-тройку идеек. Мир их праху.

Но до чего ж обидно, а! Посылает, скажем, виртуалка ARP-запрос. Фортигейт его принимает, инкапсулирует в VXLAN, шифрует IPsec-ом, суёт в UDP-пакет для NAT traversal, внешний раутер меняет source IP, пакет через ещё надцать раутеров добирается до дальнего датацентра, там всё это декапсулируется обратно, удалённая виртуалка посылает ARP-ответ, тот проходит весь этот путь в обратном направлении - и вот когда осталось Фортигейту своему соседу по VLAN-у ответ вручить, вмешивается таможня и выкидывает его нафиг. Эх.

cloud, networking, computing

Previous post Next post
Up