使用 ip 命令创建虚拟网络接口(如 veth 对),并将其分配给特定应用程序或服务

最新推荐文章于 2025-04-18 00:25:40 发布
最新推荐文章于 2025-04-18 00:25:40 发布
阅读量905 收藏 12
点赞数 7
分类专栏: RedHat(Red Hat Kubernetes) Linux(POSIX GNU GCC Emacs) Ubuntu(Ubuntu 18.04 LTS) 文章标签: tcp/ip php 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blog_programb/article/details/146520537
版权

使用 ip 命令创建虚拟网络接口(如 veth 对),并将它们分配给特定的应用程序或服务是一种常见的技术手段,尤其在容器化环境、网络命名空间管理等领域非常有用。下面详细为您介绍这一过程及相关背景知识。

一、veth 接口简介

veth(Virtual Ethernet Pair)是一组成对的虚拟网络接口,其中一个端点发送的数据包会被传递到另一个端点。这种机制类似于管道通信,在 Linux 系统中常用于连接两个独立的网络命名空间(Network Namespace)。

典型应用场景包括:

  • 容器间通信
  • 虚拟路由器配置
  • 测试复杂的网络拓扑

二、准备工作

在开始之前,您需要确保以下条件已满足:

  1. 系统支持 network namespaces 和 veth 设备。
  2. 具有 root 权限(可通过 sudo 实现)。
  3. 已安装必要的工具 (ip, ping, ssh 等)。

三、操作步骤

1. 创建一对 veth 接口

运行命令:

sudo ip link add veth0 type veth peer name veth1

上述命令会在当前系统中创建两对接口:veth0veth1,两者相互连通。

2. 查看新生成的 veth 接口

您可以查看新增加的 veth 接口状态:

ip link show

应该能看到类似如下内容:

5: veth0@if6: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether aa:bb:cc:dd:ee:ff brd ff:ff:ff:ff:ff:ff
6: veth1@if5: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN mode DEFAULT group default qlen 1000
    link/ether ff:ee:dd:cc:bb:aa brd ff:ff:ff:ff:ff:ff

可以看到这两者关联在一起,并且默认处于关闭状态。

3. 分配 IP 地址

为每个 veth 接口分别指定 IP 地址,并启用它:

对于 veth0

sudo ip addr add 192.168.5.1/24 dev veth0
sudo ip link set veth0 up

对于 veth1

sudo ip addr add 192.168.5.2/24 dev veth1
sudo ip link set veth1 up

此时两条链路均已激活并且可以互相 ping 达对方了!

4. 移动一个 veth 到新的 Network Namespace 中去

首先新建一个 namespace 叫做 ns1 :

sudo ip netns add ns1

接着把刚才建立起来的一个 endpoint (比如说是 veth1) 放入这个 namespace 当中:

sudo ip link set veth1 netns ns1

切换至刚刚创建的新namespace 下面去做一些基础性的初始化工作,像赋予其IP地址啦之类的:

sudo ip netns exec ns1 bash
# Inside the new shell...
ip addr add 192.168.5.2/24 dev lo && ip link set dev lo up
exit

现在我们已经成功构建了一个隔离出来的小型局域网环境!

5. 验证联通性

从主宿主机尝试 Ping 新建Namespace 内部设备:

ping -c 4 192.168.5.2

同理也可以进入目标namespace 后反过来测试一下能否访问外侧资源.

四、限制流量只允许某程序穿越特定VETH

为了实现让某个特定进程只能经由指定路由走数据流的目的,则需要用到 iptables 或 nftables 规则集来进行源目的匹配过滤; 还有一种更简洁的方式便是借助 cgroup (control groups).

假设我们要限定 curl 请求仅通过刚设立完成的那个隧道:

方式A - 使用 iptables 标记+规则绑定策略:

设定 mark标记值后结合 fwmark 参数引导路由选择.

iptables -t mangle -I OUTPUT ! -o eth0 -p tcp --sport 1024:65535 -j MARK --set-mark 1
ip rule add fwmark 1 table 10
ip route add local 0.0.0.0/0 dev veth0 scope host table 10
方式B - Control Group(CGroup):

创建专门针对本任务所需CGROUP分类单元, 并指派相应PID加入其中即可自动生效分流效果.

以上即完成了整个流程描述! 如果还有疑问欢迎继续提问~

Linux网络隔离配置方法‌
一、使用虚拟网络接口‌

创建虚拟网络接口‌
使用 ip 命令创建虚拟网络接口(如 veth 对),并将其分配给特定应用程序或服务。

bash
Copy Code
sudo ip link add myveth0 type veth peer name myveth1
sudo ip link set myveth0 up
sudo ip link set myveth1 up

这种方法适用于隔离不同应用程序的网络流量‌。

配置虚拟IP地址‌
在现有网卡上创建虚拟网卡并分配IP地址,实现网络隔离。

bash
Copy Code
ifconfig eth0:1 192.168.1.2

虚拟IP地址仅存在于客户端网络接口中,不存储在网络设备中,适合增强网络安全性‌。

二、使用网络命名空间‌

创建网络命名空间‌
使用 ip netns 命令创建独立的网络命名空间,隔离网络环境。

bash
Copy Code
sudo ip netns add myns
sudo ip netns exec myns ip addr add 192.168.100.1/24 dev lo
sudo ip netns exec myns ip link set lo up

每个命名空间都有自己的网络设备和配置,适合隔离不同服务的网络流量‌。

将网络接口分配到命名空间‌
将物理或虚拟网络接口分配到特定命名空间,实现隔离。

bash
Copy Code
sudo ip link set eth1 netns myns
sudo ip netns exec myns ip addr add 192.168.1.3/24 dev eth1
sudo ip netns exec myns ip link set eth1 up

这种方法适合在复杂环境中实现网络隔离‌。

三、使用Netplan配置网络隔离‌

创建Netplan配置文件‌
在 /etc/netplan/ 目录下创建配置文件,定义网络接口的隔离设置。

yaml
Copy Code
network:
version: 2
ethernets:
eth0:
dhcp4: true
eth1:
addresses: [192.168.1.2/24]
gateway4: 192.168.1.1

使用 sudo netplan apply 应用配置‌。

结合网络命名空间‌
将Netplan配置与网络命名空间结合,实现更精细的隔离。

bash
Copy Code
sudo ip netns add ns1
sudo ip link set eth1 netns ns1
sudo ip netns exec ns1 ip addr add 192.168.1.3/24 dev eth1
sudo ip netns exec ns1 ip link set eth1 up

这种方法适合在服务器环境中实现网络隔离‌。

四、使用iptables进行流量隔离‌

配置iptables规则‌
使用 iptables 限制特定IP或端口的访问,实现流量隔离。

bash
Copy Code
iptables -A INPUT -s 192.168.1.100 -j DROP
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

这种方法适合在防火墙层面实现网络隔离‌。

结合虚拟网络接口‌
将 iptables 规则应用于虚拟网络接口,增强隔离效果。

bash
Copy Code
iptables -A INPUT -i eth0:1 -j DROP

这种方法适合在复杂网络环境中使用‌。

五、总结‌
虚拟网络接口‌:适合简单隔离场景,如为特定应用程序分配独立接口‌。
网络命名空间‌:提供完全隔离的网络环境,适合复杂服务隔离‌。
Netplan配置‌:适合在服务器环境中实现网络隔离,结合命名空间效果更佳‌。
iptables规则‌:适合在防火墙层面实现流量隔离,增强安全性‌。
根据实际需求选择合适的方法,可以有效实现Linux网络隔离。
Linux IPsec VPN配置教程‌
一、IPsec VPN简介‌

IPsec(Internet Protocol Security)是一种用于保护IP通信的协议套件,通过加密和认证确保数据的安全传输。它支持两种模式:传输模式(保护数据包内容)和隧道模式(保护整个IP数据包)‌。

二、配置工具与环境‌

工具‌

Libreswan‌:Linux上常用的IPsec实现,支持IKEv1和IKEv2协议‌。
NetworkManager‌:提供图形化配置界面,适合桌面环境‌。

环境要求‌

确保系统已安装 libreswan 和 NetworkManager-libreswan-gnome 包‌。
确保防火墙允许IPsec相关端口(如UDP 500和4500)‌。
三、命令行配置步骤‌
安装Libreswan‌
bash
Copy Code
sudo apt-get install libreswan


bash
Copy Code
sudo yum install libreswan



配置IPsec连接‌
编辑 /etc/ipsec.conf 文件,添加以下内容:
bash
Copy Code
conn myvpn
    left=192.168.1.100  # 本地IP
    leftsubnet=192.168.1.0/24  # 本地子网
    right=203.0.113.1  # 远程IP
    rightsubnet=10.0.0.0/24  # 远程子网
    authby=secret
    auto=start
```‌:ml-citation{ref="3" data="citationList"}。


配置预共享密钥‌
编辑 /etc/ipsec.secrets 文件,添加以下内容:
bash
Copy Code
192.168.1.100 203.0.113.1 : PSK "your_shared_secret"
```‌:ml-citation{ref="3" data="citationList"}。


启动IPsec服务‌
bash
Copy Code
sudo systemctl start ipsec
sudo systemctl enable ipsec
```‌:ml-citation{ref="2" data="citationList"}。


验证连接‌
bash
Copy Code
sudo ipsec status

查看连接状态,确保隧道已建立‌。
四、图形化配置步骤‌

打开NetworkManager‌

按 Super 键,搜索并打开 Settings,选择 Network‌。

添加VPN连接‌

点击 + 图标,选择 IPsec,填写以下信息:
网关‌:远程VPN服务器IP。
预共享密钥‌:与远程服务器一致。
本地子网‌:本地网络范围。
远程子网‌:远程网络范围‌。

保存并启用连接‌

点击 Apply,然后启用连接,确保状态显示为 Connected‌。
五、高级配置‌
加密算法配置‌
在 /etc/ipsec.conf 中指定加密算法,例如:
bash
Copy Code
ike=aes256-sha2_256-modp2048
esp=aes256-sha2_256
```‌:ml-citation{ref="3" data="citationList"}。


日志调试‌
启用详细日志:
bash
Copy Code
sudo ipsec whack --debug-all

查看日志文件 /var/log/secure 或 /var/log/messages‌。
六、总结‌
命令行配置‌:适合服务器环境,灵活性高‌。
图形化配置‌:适合桌面环境,操作简单‌。
高级配置‌:可根据需求调整加密算法和日志级别‌。
通过以上步骤,您可以在Linux上快速配置并启用IPsec VPN,确保网络通信的安全性和可靠性‌。
![在这里插入图片描述](https://i-blog.csdnimg.cn/direct/4ef66ff783c44259b9a034c544bd6a7a.jpeg#pic_center)
Linux: ip命令总结(2):namespace & veth, openstack, route 相关
mzhan017的博客
09-13 751
ip network 相关的命令ip 详细的实例
Docker (五):Docker网络与Spring boot项目发布
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
08-31 5万+
🟢 Docker (五):Docker网络与Spring boot项目发布
ip link add 命令
小獣专栏
07-31 4791
命令创建两个设备(在这个例子中,它们是 veth0 和 veth1),任何发送到一个设备的数据包都会从另一个设备出现,就像一个虚拟的网线一样。物理设备的驱动程序需要与具体的网络硬件进行交互,而虚拟设备的驱动程序则与其他内核组件(如其他虚拟设备网络命名空间)进行交互。和网络命名空间,你可以在同一台机器上运行的不同进程间提供强隔离的网络环境,这对于提高系统的安全性非常有用。这意味着虚拟设备的性能可能受到 CPU 和内存的限制,而物理设备的性能可能受到网络硬件的限制。
两万字教你入门Redis
最新发布
B19276363838的博客
04-18 752
1~2数据主要存储在内存,读写性能极高(微秒级响应)。数据存储在内存有宕机丢失的风险,RDB/AOF持久化功能#3。#11~12#7~9#6通过channel,可以给某个channel中发布消息,订阅该channel的客户端就可以收到,List只能被取用一次,而channel中的消息可以被多个客户端以广播的形式获得#11在web1.0时代,数据的访问量有限,仅靠单点服务器访问数据库提供服务
ip netns命令veth pair
09-21 1495
vethpair的思路很重要,本身ip netnsadd net1、ipnetns add net2,这个创建网络命名空间是很简单的,让不同的docker容器都关联到不同的netns,就实现了网络的隔离。 但是同一个物理主机上的docker容器IP地址不一样,分属不同的netns,怎么互相通信,就要靠vethip link add type veth这个命令就是创建vethpair的,一对嘛 [root@localhost ~]# ip link add type veth [root@lo...
虚拟网卡技术-VETH、MACVLAN、IPVLAN
bob的博客
02-08 4280
Linux的网卡驱动中内含了很多“虚拟网卡”。早先的文章曾经详细分析过tun,ifb等虚拟网卡,类似的思路,在虚拟化大行其道的趋势下,Linux源码树中不断增加对“网络虚拟化”的支持,不光是为了支持“虚拟机”技术,更多的是给了用户和程序员更多的选择。 这些对网络虚拟化的支持技术包括任何重量级的虚拟化技术,比较重的比如对虚拟机技术的支持,轻量级的则是net namespace技术。近期的工作基于net namespace技术,关于这个技术我也不多说了,它主要是提供了每个namespace独立的协议栈以及网卡,
Linux虚拟网络设备之veth
weixin_34266504的博客
05-01 808
有了上一篇关于tun/tap的介绍之后,大家应该对虚拟网络设备有了一定的了解,本篇将接着介绍另一种虚拟网络设备vethveth设备的特点 veth和其它的网络设备都一样,一端连接的是内核协议栈。 veth设备是成对出现的,另一端两个设备彼此相连 一个设备收到协议栈的数据发送请求后,会将数据发送到另一个设备上去。 下面这张关系图很清...
linux虚拟网络设备之vlan配置详解
09-15
1. 创建设置网桥:首先,我们需要创建一个网桥,例如`br-test-vlan`,将物理虚拟网络设备添加到网桥上。这可以通过`brctl`命令完成。 2. 创建veth对:veth对是一种特殊的网络设备,用于连接两个网络接口。在...
详解docker容器分配静态IP
09-30
Docker 容器分配静态IP是一项关键的网络配置任务,特别是在需要稳定网络接口标识需与其他系统进行预定通信的情况下。默认情况下,Docker容器会自动分配一个动态IP,基于Docker的bridge网络策略,它创建一个名为...
Linux IP命令大揭秘:网络管理的“轻功绝学”,一招制敌
专注于深入研究多种编程语言,以实战为导向,逐步拓展开发技能,提升工程化编码和思维能力,展现无敌技术实力。
09-27 414
Linux IP命令网络管理的“轻功绝学”,精妙无比。一招配置、一路畅通,轻松掌控路由、接口、地址等,仿佛操控江湖中的神兵利器。掌握它,网络问题迎刃而解,万象皆可操控。
Docker基础命令-网络(network)管理(Docker网络类型、创建与管理自定义网络、DNS与服务发现、网络隔离与安全、网络桥接与路由、高级网络特性)
atbigapp的博客
08-15 1572
Docker网络管理涉及从基础配置到高级策略的广泛内容,是构建稳定、可扩展的Docker化应用架构的关键。通过深入理解网络类型、配置自定义网络、优化DNS与服务发现机制、强化网络安全措施,掌握这些技巧,无论是单机环境还是分布式集群,都能确保容器间通信的顺畅与隔离,满足不同应用场景的需求。
linux虚拟网络设备之veth(二)
bob的博客
05-21 2152
有了上一篇关于tun/tap的介绍之后,大家应该对虚拟网络设备有了一定的了解,本篇将接着介绍另一种虚拟网络设备vethveth设备的特点 veth和其它的网络设备都一样,一端连接的是内核协议栈。 veth设备是成对出现的,另一端两个设备彼此相连 一个设备收到协议栈的数据发送请求后,会将数据发送到另一个设备上去。 下面这张关系图很清楚的说明了veth设备的特点: +----------------------------------------------------------------+ |
虚拟网卡接口VETH(Virtual Ethernet )创建使用和绑定关系
turbock的博客
09-10 9265
1. veth创建使用   VETH(Virtual Ethernet )是Linux提供的另外一种特殊的网络设备,中文称为虚拟网卡接口。它总是成对出现,要创建创建一个pair。一个Pair中的veth就像一个网络线缆的两个端点,数据从一个端点进入,必然从另外一个端点流出。每个veth都可以被赋予IP地址,参与三层网络路由过程,可以实现不同netns之间网络通信。 # yum install -y iproute ##确保安装iproute工具 $ ip netns add blue #创建命令空间
【linux 虚拟网络实战之veth下】
qq_37674060的博客
07-29 623
【linux 虚拟网络实战之veth下】
Cloud_10虚拟机网络模型
分享各种网络协议知识
07-22 296
桥接Bridged 虚拟机桥接网络模型就是使用虚拟交换机(Linux Bridge),将虚拟机和物理机连接起来,它们处于同一个网段,IP 地址是一样的。如下图所示: cloud_netmode_bridge.png 在这种网络模型下,虚拟机和物理机都处在一个二层网络里面,所以有: 虚拟机之间彼此互通 虚拟机与主机彼此可以互通 只要物理机可以上网,那么虚拟机也可以。 桥接网络的好处是简单方便,...
【计算机网络】Linux虚拟网络设备之veth(arp incomplete)
m0_45406092的博客
07-08 2258
文章目录1. veth设备的特点2. 示例2.1 只给一个veth设备配置IP给两个veth设备都配置IP参考 1. veth设备的特点 veth和其它的网络设备都一样,一端连接的是内核协议栈。 veth设备是成对出现的,另一端两个设备彼此相连 创建veth时,必须提供2个成对的目标 一个设备收到协议栈的数据发送请求后,会将数据发送到另一个设备上去。 下面这张关系图很清楚的说明了veth设备的特点: +---------------------------------------------------
vlan 划分
wlf_go的博客
03-03 1821
2. ip link 命令格式 括号内为可选内容,小写为参数,直接带入,大写的为占位符,需替换为实际的值 ip link help查看可用的命令: <span style="color:#000000"><span style="background-color:#f3f4f5"><code class="language-bash">Usage: <span style="color:#795da3">ip</span> <span
深入理解Linux内核网络(九):容器网络虚拟化
一枚菜鸡
10-29 1327
本文讲解了容器网络虚拟化的三大基础,veth网络命名空间和Bridge。veth模拟了现实物理网络中一对连接在一起可以相互通信的网卡。Bridge则模拟了交换机的角色,可以把Linux上的各种网卡设备连接在一起,让它们之间可以互相通信。网络命名空间则是将网络设备、进程、socket等隔离开,在一台机器上虚拟出多个逻辑上的网络栈。
Linux虚拟网络设备---之Veth pair详解
meihualing的专栏
06-10 2636
linux, veth pair, namespaces命令空间
用nmcli命令增加虚拟网卡怎么做?
04-02
<think>好的,我现在需要帮助用户了解如何使用nmcli命令添加虚拟网卡。首先,我要回顾一下nmcli的基本用法,确保自己理解正确。用户提到了参考的引用内容,其中引用[1]提到了nmcli命令建立网络和配置参数,引用[2]则涉及虚拟网络配置,如NAT模式和虚拟网卡的使用。这应该与用户的问题相关。 用户的问题是如何使用nmcli创建和配置虚拟网卡。我需要明确虚拟网卡的类型,可能包括桥接、Team桥接者其他虚拟设备。根据引用[2],NAT模式中的VMnet8虚拟网卡用于主机与虚拟机通信,这可能涉及虚拟网络适配器的配置。 首先,我应该考虑常见的虚拟网卡类型,比如以太网桥接(bridge)者虚拟以太网设备(veth)。然后,使用nmcli命令添加这些设备。例如,添加桥接接口可能需要指定类型为bridge,配置相关参数。同时,需要确保命令语法正确,符合Linux网络管理的要求。 接下来,我需要检查引用中的具体命令示例。引用[1]中有一个例子:`nmcli connection add type ethernet ifname eth0 con-name eth0`,这里添加了一个以太网连接。类似地,创建虚拟网卡可能需要不同的类型参数,比如type bridgeveth。 可能的步骤包括: 1. 创建虚拟网卡设备,比如桥接接口。 2. 配置IP地址、子网掩码等参数。 3. 激活连接验证配置。 需要确保每个步骤的命令正确,且解释清晰。例如,添加桥接接口的命令可能为: `nmcli con add type bridge ifname br0 con-name br0` 然后配置IP地址: `nmcli con mod br0 ipv4.addresses 192.168.1.10/24` `nmcli con mod br0 ipv4.method manual` 之后激活连接: `nmcli con up br0` 另外,可能需要设置从属接口,将物理网卡添加到桥接中。例如: `nmcli con add type bridge-slave ifname eth0 master br0` 还需要注意不同虚拟化环境下的配置差异,比如VMware的NAT模式是否需要特定的虚拟网卡设置,但根据引用[2],用户可能更关注如何在Linux主机上使用nmcli创建虚拟网卡,而不是虚拟机内部的设置。 需要验证这些步骤是否正确,是否有遗漏的参数,者是否需要额外的配置步骤。例如,某些情况下需要启用STP(生成树协议)者设置其他桥接参数。 同时,要提醒用户权限问题,可能需要root权限执行这些命令。另外,配置完成后,使用`nmcli con show`和`ip addr show`来验证配置是否生效。 最后,确保回答结构清晰,分步骤说明,涵盖创建、配置和验证过程。可能还需要提到持久化配置,确保重启后配置仍然有效,因为nmcli默认会保存配置到网络脚本目录。</think>### 使用 nmcli 命令创建和配置虚拟网卡的方法 #### 1. **创建虚拟网卡(桥接类型)** 通过`nmcli`创建桥接型虚拟网卡,常用于虚拟机网络容器网络: ```bash # 添加名为 br0 的桥接接口 [root@server ~]# nmcli connection add type bridge ifname br0 con-name br0 ``` - `type bridge`:指定类型为桥接设备 - `ifname br0`:设置接口名称为 br0 - `con-name br0`:设置连接配置名称为 br0[^1] #### 2. **配置网络参数** 为虚拟网卡分配静态 IP 地址: ```bash # 配置 IPv4 地址和子网掩码 [root@server ~]# nmcli con mod br0 ipv4.addresses 192.168.1.10/24 # 设置网关 [root@server ~]# nmcli con mod br0 ipv4.gateway 192.168.1.1 # 指定 DNS 服务器 [root@server ~]# nmcli con mod br0 ipv4.dns "8.8.8.8" # 启用静态 IP 配置 [root@server ~]# nmcli con mod br0 ipv4.method manual ``` #### 3. **绑定物理网卡到桥接** 将物理网卡(如 eth0)作为从属接口加入桥接: ```bash # 添加桥接从属接口 [root@server ~]# nmcli connection add type bridge-slave ifname eth0 master br0 ``` - `master br0`:指定桥接主接口为 br0 #### 4. **激活验证配置** ```bash # 启动桥接接口 [root@server ~]# nmcli connection up br0 # 查看所有连接状态 [root@server ~]# nmcli connection show # 检查 IP 地址分配 [root@server ~]# ip addr show br0 ``` #### 5. **创建虚拟以太网对(veth pair)** 用于容器网络命名空间通信: ```bash # 添加 veth 对(需使用 ip 命令创建设备,nmcli 仅管理连接) [root@server ~]# ip link add veth0 type veth peer name veth1 # 为 veth0 创建连接配置 [root@server ~]# nmcli con add type ethernet ifname veth0 con-name veth0 ``` --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bol5261

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值