Что это такое?

Это настройка виртуальных маршрутизаторов (в терминологии Linux — network namespaces).

Зачем это нужно?

На устройстве NSG могут быть созданы, наряду с его физической сущностью как маршрутизатора, виртуальные маршрутизаторы (ВМ). Каждый ВМ функционирует независимо от остальных и имеет свой собственный набор портов, таблицу маршрутизации, конфигурацию, пароли и т.п.

Как это работает?

Каждый из маршрутизаторов (физический или виртуальный) имеет свой набор портов и интерфейсов, свой стек IP, свою таблицу маршрутизации, свою конфигурацию и т.п. Разграничение между устройствами определяется следующими правилами:

• Все виртуальные маршрутизаторы функционируют независимо друг от друга и могут управляться одновременно, каждый своим администратором.
• Факт существования каждого виртуального маршрутизатора и его "аппаратный" состав определяются администратором физического устройства. Каждый порт или иной неделимый физический или логический объект (напр., встроенный коммутатор или клиент NTP) может принадлежать одному и только одному маршрутизатору (физическому или виртуальному). Исключением вяляются порты и некоторые другие объекты Ethernet, для которых можно создавать клоны (macvlan) и раздавать эти клоны разным ВМ.
• Каждый виртуальный маршрутизатор имеет свою полную конфигурацию, включая дерево конфигурационных параметров, пароли, ключи, сертификаты, пользовательские скрипты и другие файлы.
• На каждом виртуальном маршрутизаторе существуют свои пользователи nsg и root, а также могут существовать дополнительные пользователи, созданные его администратором. Всем им доступен вход только в их собственный маршрутизатор.
• Пользователи nsg и root физического маршрутизатора могут со своим именем и паролем входить в любой из виртуальных маршрутизаторов через Web-интерфейс. Это же относится к дополнительным пользователям, если на виртуальном маршрутизаторе существует пользователь с таким же именем (но не обязательно с таким же паролем).
• Пользователь root физического маршрутизатора при доступе через консольную оболочку имеет неограниченные права доступа к конфигурации как физического маршрутизатора (директория /etc), так и к конфигурациям виртуальных маршрутизаторов, которые монтируются для него в директории /etc/netns/NAME.
• Операции импорта-экспорта и применения конфигурации виртуального маршрутизатора относятся только к нему самому.
• Экспорт-импорт и применение полной конфигурации (/etc) физического устройства включают в себя также конфигурации всех виртуальных устройств. Экспорт-импорт и применение одного только дерева конфигурации (/etc/nsgconfig) физического маршрутизатора относятся только к нему самому (если при этом не затрагивается "аппаратный" состав виртуальных маршрутизаторов).

Вновь созданный виртуальный маршрутизатор имеет абсолютно пустую конфигурацию по умолчанию. Получить к нему доступ возможно только через страницу входа в физическое устройство. Если на нём созданы виртуальные устройства и они не пустые (т.е. им переданы какие-либо объекты), то дополнительно к обычным полям (имя и пароль) на этой странице появляется меню со списком этих устройств. Если в данном списке не выбран ни один из них, осуществляется вход в физическое устройство, если выбран — то в соответствующий виртуальный маршрутизатор.

По умолчанию, на каждом из виртуальных маршрутизаторов имеется обычный набор пользователей: nsg с пустым паролем и root с неизвестным случайным паролем. Входить на виртуальный маршрутизатор можно также с реквизитами пользователей физического устройства.

После входа в виртуальный маршрутизатор необходимо настроить на нём хотя бы один интерфейс, через который можно будет получить к нему доступ напрямую. В отличие от физического устройства, интерфейсы, включённые в состав виртуального маршрутизатора, находятся в двух узлах:

• физические порты — в узле port
• клоны Ethernet-подобных интерфейсов — в узле pseudo-interfaces

В остальном дерево конфигурации выглядит аналогично таковому для физического устройства, за исключением того, что в нём отсутствуют узлы netns (т.е. создавать вложенные виртуальные устройства уже невозможно).

После того, как хотя бы одному из интерфейсов виртуального маршрутизатора назначен IP-адрес, дальнейший доступ к устройству и управление им могут производиться обычным образом по этому адресу.

ВНИМАНИЕ! Не все программные функции и не все аппаратные платформы поддерживаются механизмом network namespaces в полном объёме.

Как это настроить?

1. Создать ВМ командой +, _new или _insert. ВМ может иметь произвольное алфавитно-цифровое имя.
2. Включить в состав ВМ физические порты и другие объекты и сервисы с помощью команд netns и macvlan в меню порта.
3. Если на устройстве созданы ВМ, то на странице входа на устройство будет предложено выпадающее меню для выбора того, в какой именно из них войти.
4. Настроить каждый из ВМ, как если бы это было отдельное физическое устройство.
5. Для удаления существующего ВМ используется команда - или _remove.

Что делать, если это не работает?

Отлаживать ВМ так же, как и обычный. Если локализация проблемы приводит к предположению, что на нём не работает какой-либо порт, проверить настройки этого порта на физическом устройстве и правильность его включения в состав ВМ.

Администратор физического устройства может, с помощью разовых команд, рестартовать виртуальное устройство (что равносильно грубому выключению питания для физического устройства) и посмотреть журнал его работы как цельного объекта в рамках физического устройства. Другие способы вмешательства извне в работу виртуального маршрутизатора не предусмотрены.