Linux中的网络隔离功能 netns

已于 2024-05-14 10:18:24 修改
阅读量440 收藏 2
点赞数 10
分类专栏: Linux 文章标签: Linux中的网络隔离功能 ip netns 网络名称空间
于 2024-05-13 10:58:09 首次发布
^_^ ^_^ ^_^
本文链接:https://blog.csdn.net/Michael_lcf/article/details/138793235
版权

Network Namespace(netns) 是Linux内核提供的一项实现网络隔离的功能,它能隔离多个不同的网络空间,并且各自拥有独立的网络协议栈。通过 namespace 可以隔离容器的进程 PID、文件系统挂载点、主机名等多种资源,它可以为不同的命名空间从逻辑上提供独立的网络协议栈,具体包括网络设备(网卡)、路由表、arp表、iptables、以及套接字(socket)等。使得不同的网络空间就都好像运行在独立的网络中一样。如大名鼎鼎的docker便是基于netns实现的网络隔离。

1、ip netns 帮助文档

A network namespace is logically another copy of the network stack, with its own routes, firewall rules, and network devices.
ip-netns - process network namespace management.

ip netns help
man ip-netns
man ip netns
=========================================
Usage: 
ip [ OPTIONS ] netns  { COMMAND | help }
ip netns [ list ]
ip netns add NETNSNAME
ip [-all] netns delete [ NETNSNAME ]
ip netns set NETNSNAME NETNSID
ip netns identify [ PID ]
ip netns pids NETNSNAME
ip [-all] netns exec [ NETNSNAME ] command...
ip netns monitor
ip netns list-id

1.将 {网卡名字} 移动到 {网络命名空间}
ip link set {网卡名字} netns {网络命名空间}
2.将接口iner1从网络名称空间ns2移动到网络名称空间ns1
ip netns exec ns2 ip link set iner1 netns ns1
3.将接口iner1从名称空间ns2移动到Linux上默认网络名称空间

2、ip netns 实践

在这里插入图片描述

2.1、添加两个tap设备并配置IP信息

添加两个tap设备并配置IP信息

1.添加并启动虚拟网卡tap设备
ip tuntap add dev tap0 mode tap
ip tuntap add dev tap1 mode tap
ip link set tap0 up
ip link set tap1 up

2.配置IP
ip addr add 10.0.0.1/24 dev tap0
ip addr add 10.0.0.2/24 dev tap1

在宿主机器上使用测试与tap0 10.0.0.1的网络连通性 

ping -c 1 10.0.0.1
===========================================================
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.032 ms

--- 10.0.0.1 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.032/0.032/0.032/0.000 ms

在宿主机器上使用测试与tap0 10.0.0.2的网络连通性 

ping -c 1 10.0.0.2
===========================================================
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.046 ms

--- 10.0.0.2 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.046/0.046/0.046/0.000 ms

2.2、添加两个netns,移动tap设备到netns中

然后添加两个netns,最后将tap设备移动到netns中

3.添加netns
ip netns add ns0
ip netns add ns1

4.查看已存在的netns
ip netns list

5.将虚拟网卡tap0,tap1分别移动到ns0和ns1中
ip link set tap0 netns ns0
ip link set tap1 netns ns1

6.移动后查看netns中的网络接口网络配置丢失
【在不同的网络命名空间中移动虚拟网络接口时会重置虚拟网络接口的状态】
ip netns exec ns0 ip addr
ip netns exec ns1 ip addr


7.启动netns中网络接口
ip netns exec ns0 ip link set tap0 up
ip netns exec ns1 ip link set tap1 up

8.重新配置netns中网络接口的IP
ip netns exec ns0 ip addr add 10.0.0.1/24 dev tap0
ip netns exec ns1 ip addr add 10.0.0.2/24 dev tap1

9.添加netns
ip netns exec ns0 ip addr
ip netns exec ns1 ip addr

宿主机上使用测试与tap0 10.0.0.1的网络连通性 不通

ping -c 1 10.0.0.1
===========================================================
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.

--- 10.0.0.1 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

宿主机上使用测试与tap0 10.0.0.2的网络连通性 不通

ping -c 1 10.0.0.2
===========================================================
PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.

--- 10.0.0.2 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

在命名空间ns0中测试与tap0的网络连通性 不通

ip netns exec ns0 ping -c 1 10.0.0.1

在命名空间ns0中测试与tap1的网络连通性 不通

ip netns exec ns0 ping -c 1 10.0.0.2
====================================
connect: Network is unreachable

在命名空间ns1中测试与tap1的网络连通性 不通

ip netns exec ns1 ping -c 1 10.0.0.2

在命名空间ns1中测试与tap0的网络连通性 不通

ip netns exec ns1 ping -c 1 10.0.0.1
====================================
connect: Network is unreachable

在netns中执行命令有两种方式:
法1::先在宿主机器上执行 ip netns exec <netns name> bash 进入netns的命令行窗口,然后就可以像是在本机一样执行命令了。
法2:每次在宿主机器上使用完整命令。例:ip netns exec ns0 ping 10.0.0.2 (含义:在命名空间ns0中执行ping 10.0.0.2命令)

可以看到在宿主机器上访问netns是丢包,而在netns中互相访问是网络不可达了,这是为什么呢?让我们来检查一下netns吧。

使用ip netns exec ns0 ip a在ns0中查看网卡

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
16: tap0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 42:ad:98:a2:cc:81 brd ff:ff:ff:ff:ff:ff

使用ip netns exec ns1 ip a在ns1中查看网卡

1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
17: tap1: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
    link/ether 12:06:1d:06:41:57 brd ff:ff:ff:ff:ff:ff

可以看到不仅本地环回lo和tap设备的状态都是DOWN,甚至就连tap设备的IP信息也没有了,这是因为。

我们将ns0和ns1中的相关设备都重新启动并配置上IP

ip netns exec ns0 ip link set lo up
ip netns exec ns0 ip link set tap0 up
ip netns exec ns0 ip addr add 10.0.0.1/24 dev tap0

ip netns exec ns1 ip link set lo up
ip netns exec ns1 ip link set tap1 up
ip netns exec ns1 ip addr add 10.0.0.2/24 dev tap1

首先我们测试一下netns中本地网络是否正常

使用ip netns exec ns0 ping 10.0.0.1在命名空间ns0中测试本地网卡是否启动

PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
64 bytes from 10.0.0.1: icmp_seq=1 ttl=64 time=0.036 ms
64 bytes from 10.0.0.1: icmp_seq=2 ttl=64 time=0.033 ms
64 bytes from 10.0.0.1: icmp_seq=3 ttl=64 time=0.084 ms
64 bytes from 10.0.0.1: icmp_seq=4 ttl=64 time=0.044 ms
^C
--- 10.0.0.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 65ms
rtt min/avg/max/mdev = 0.033/0.049/0.084/0.021 ms

使用ip netns exec ns1 ping 10.0.0.2在命名空间ns1中测试本地网卡是否启动



PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
64 bytes from 10.0.0.2: icmp_seq=1 ttl=64 time=0.033 ms
64 bytes from 10.0.0.2: icmp_seq=2 ttl=64 time=0.034 ms
64 bytes from 10.0.0.2: icmp_seq=3 ttl=64 time=0.065 ms
64 bytes from 10.0.0.2: icmp_seq=4 ttl=64 time=0.035 ms
^C
--- 10.0.0.1 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 65ms
rtt min/avg/max/mdev = 0.033/0.049/0.084/0.021 ms

可以看出本地网络没有问题,然后我们再来测试一下两个netns之间的网络连通性

使用ip netns exec ns0 ping 10.0.0.2在命名空间ns0中测试与tap1的网络连通性

PING 10.0.0.2 (10.0.0.2) 56(84) bytes of data.
^C
--- 10.0.0.2 ping statistics ---
3 packets transmitted, 0 received, 100% packet loss, time 84ms

使用ip netns exec ns1 ping 10.0.0.1在命名空间ns1中测试与tap0的网络连通性

PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
^C
--- 10.0.0.1 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 30ms

可以看出没有任何ICMP回复包,netns确实把在同一台主机上的两张虚拟网卡隔离起来了。在这里我们只是简单的使用ping命令来测试网络的连通性,实际上可以做到更多,例如修改某一个netns的路由表或者防火墙规则,完全不会影响到其他的netns,当然也不会影响到宿主机器,在这里由于篇幅原因就不再展开实验了,感兴趣的同学可以实验一下。下一节我们将学习另一个网络设备veth pair,使用它来把两个netns连接起来,让两个隔离的​netns之间可以互相通信。

初心易得,始终难守;不忘初心,方得始终。

Michael_lcf
关注
  • 10
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Linux下使用ip netns命令进行网口的隔离和配置ip地址
01-10
1. 添加隔离标记符: ip netns add fd 2. 将指定网卡放入隔离ip link set eth1 netns fd 3. 在隔离环境下执行命令: ip netns exec fd ifconfig eth1 down ip netns exec fd ifconfig eth1 up ip netns exec fd ip addr add 192.168.1.2/24 dev eth1 4. 有多个网口时,可以将两对网口直连,配置同网段ip,执行ping操作,验证隔离网口ip配置是否成功: ping -I eth2 192.168.1.2 知识点扩展:Linux查看i
基于Namespace的Linux网络隔离
aiyo_的博客
06-17 1259
## 简介 &emsp;&emsp;为了限制服务器某些进程进行网络访问,或者不干扰Host上的其他进程的网络空间等.需要开辟出一个隔离网络,专门服务于这些(单个或集群式)进程. &emsp;&emsp;基于现阶段版本Linux提供的iproute2工具集(新),net-tools(旧),brctl,iptables等命令.该网络隔离的方法也被docker底层用于在Linux系统上的网络子模块的隔离. &emsp;&emsp;鉴于未研究过新iprout
如何在 CentOS 配置 Linux 命名空间ip netns
最新发布
CloudJourney的博客
07-10 544
Linux 命名空间是一种内核特性,允许将一组进程和资源隔离开来,使它们看起来像是在不同的系统环境运行,从而实现资源的隔离和虚拟化。
Linux ip netns 命令
weixin_33774883的博客
07-02 308
ip netns 命令用来管理 network namespace。它可以创建命名的 network namespace,然后通过名字来引用 network namespace,所以使用起来很方便。 ip netns 命令格式如下:ip [ OPTIONS ] netns  { COMMAND | help } 可以通过 help 命令查看 ip netns 所有操作的帮助信息: network...
Linux 网络虚拟化 】Netns
anmo7165的博客
08-28 329
1.创建网络空间 ip netns add r1 ip netns add r2 2.查看网络空间 ip netns list 结果: 3.创建虚拟网卡,虚拟网卡分前半段和后半段 root@k8s-master:~# ip link add name veth1.1 type veth peer name veth1.2 ...
linux网络命名空间.docx
01-03
Linux 网络命名空间Linux 操作系统的一项功能,可以将网络设备和网络栈从主机的其余部分隔离出来,以便更好地管理和控制网络资源。 创建 Network Namespace ------------------------ 要创建一个新的网络命名...
MySQL网络命名空间支持.pdf
07-02
MySQL网络命名空间支持(Network Namespace Support)是一项重要的功能,它提供了在Linux系统创建和管理多个隔离网络空间的能力。这项技术对于设置容器或虚拟环境非常有用,使得每个独立的网络命名空间都可以...
基于C语言实现的一个软件模拟的ETH网卡设备驱动,加载驱动后,会产生veth0和veth1两个设备,两个网卡设备可以互相通信
09-26
这是一个软件模拟的ETH网卡设备驱动,加载驱动后,会产生veth0和veth1两个设备,不同的应用程序分别打开这两个网卡设备可以互相通信(注意要使用linux网络命名空间隔离两个设备以免进入本地lo网络设备)。...
计算机网络基础02-linux虚拟网络隔离(网桥bridge,路由,虚拟网卡veth)
liaomin416100569的专栏
09-29 5103
通过linux的虚拟网络隔离,来模拟熟悉交换机,路由器,网卡,网桥等物理设备间的关系和区别。网桥:是一种虚拟设备,可以将 Linux 内部多个网络接口连接起来,一个网络接口接收到网络数据包后,会复制到其他网络接口,Bridge 是二层设备,仅用来处理二层的通讯。Bridge 使用 MAC 地址表来决定怎么转发帧(Frame)。Bridge 会从 host 之间的通讯数据包学习 MAC 地址。
linux netns vlan 路由,可公开路由的IPv6 linux容器
weixin_28978471的博客
05-14 391
我的目标是为每个docker容器提供可路由的公共IPv6地址.我希望能够使用IPv6协议连接进出容器.我正在使用Linode,我已经被分配了一个公共IPv6池:2600:3c01:e000:00e2:: / 64 routed to 2600:3c01::f03c:91ff:feae:d7d7“路由到”地址由dhcp自动配置:# ip -6 addr show eth03: eth0: mtu ...
Linuxnetns 间设备互联
weixin_34387468的博客
03-13 105
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux命名空间网络命名空间netns
legend050709的专栏
11-05 235
目录使用范例参考 使用 范例 参考 https://mp.weixin.qq.com/s/lscMpc5BWAEzjgYw6H0wBw
Linux网络防火墙 局域网怎么实现内外网隔离 查看网络 iptables 路由跟踪
万有文的博客
05-20 1086
Linux系统,使用iptables来配置网络防火墙并实现内外网隔离是一个常见的做法。iptables是Linux内核集成的IP信息包过滤系统,它允许用户定义基于包过滤的防火墙规则。以下是如何使用iptables来实现内外网隔离,并查看网络状态和路由跟踪的步骤。拒绝所有进入的流量你可以首先拒绝所有进入的流量,然后逐步开放需要的端口。bash允许内部网络流量然后,你可以允许内部网络的流量通过。允许外部网络到特定服务的流量(例如SSH)保存iptables规则。
linux netns vlan 路由,通过python创建vlan并将其添加到networknamespace
weixin_31765677的博客
05-14 377
可以用python编写以下命令吗?在在终端:#create a vlanip link add name Lan1 link eth0 type vlan id 10ip addr add 192.168.1.11/24 brd 192.168.1.255 dev Lan1#create a namespaceip netns add vnsp1#connect the vlan with th...
Linux ip netns 命令
weixin_30363817的博客
05-23 693
通过 ip netns help 可以查看所有关于ip netns的命令: network namespace 在逻辑上是网络堆栈的一个副本,它有自己的路由、防火墙规则和网络设备。 ip netns add r1 ip netens add r2 此命令可以添加 名字为 r1 r2 的network namespace对象 ip netns list 显示所有network n...
linux端口隔离,arp以及端口隔离
weixin_42117150的博客
05-09 495
地址解析协议(Address Resolution Protocol,ARP)是在仅知道主机的IP地址时确定其物理地址的一种协议。因IPv4和以太网的广泛应用,其主要作用是通过已知IP地址,获取对应物理地址的一种协议。但其也能在ATM(异步传输模式)和FDDIIP(Fiber Distributed Data Interface光纤分布式数据接口)网络使用。从IP地址到物理地址的映射有两种方式:...
linux服务器网络隔离,docker容器是如何做到网络隔离
weixin_42365539的博客
05-08 665
docker容器的网络通常有 host模式、container模式、none模式和bridge模式等。在host网络模式Docker使用了Linux的Namespaces技术来进行资源隔离,如PID Namespace隔离进程,Mount Namespace隔离文件系统,Network Namespace隔离网络等。一个Network Namespace提供了一份独立的网络环境,包括网卡、路由、I...
linux虚拟网络ip netns
05-07 1272
linux虚拟网络ip netns命令可以在一台linux服务器上搭建很多虚拟空间,这些独立的空间拥有自己的网络结构 两个独立的虚拟空间可以通过桥接的方式进行通信,两个peer网卡加载到同一个桥上:配置完成后,需要打开虚拟网络空间ip转发功能,以实现模拟路由器转发:echo 1 &gt; /proc/sys/net/ipv4/ip_forward...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值