Linux Bridge + VLAN = 虚拟交换机
网桥:将多个计算机连接起来
交换机:多个网桥,但可实现不同网桥的隔离
Linux Bridge
注:
eth0 是宿主机上的物理网卡。
br0 是Linux Bridge
vnet0,vnet1 是虚拟机对应的虚拟网卡
效果:
VM1,VM2,宿主机可以相互通讯, 也均可以访问外网
VLAN
注:
eth0 是宿主机上的物理网卡,有一个命名为 eth0.10 的子设备与之相连。
eth0.10 就是 VLAN 设备了,其 VLAN ID 就是 VLAN 10。
eth0.10 挂在命名为 brvlan10 的 Linux Bridge 上,虚机 VM1 的虚拟网卡 vent0 也挂在 brvlan10 上。
效果:
宿主机用软件实现了一个交换机(当然是虚拟的),上面定义了一个 VLAN10。
eth0.10,brvlan10 和 vnet0 都分别接到 VLAN10 的 Access口上。 而 eth0 就是一个 Trunk 口。
VM1 通过 vnet0 发出来的数据包会被打上 VLAN10 的标签。
eth0.10 的作用是:定义了 VLAN10 .
brvlan10 的作用是:Bridge 上的其他网络设备自动加入到 VLAN10 中.
虚拟交换机
注:
通过两个虚拟网桥将两个网桥上的机器隔离
效果:
VM1 VM2不能通讯,但brvlan10上的虚拟机和宿主机可以通讯,也均可以访问外网.
VM1, VM2无法通讯原因:
- VM2 向 VM1 发 Ping 包之前,需要知道 VM1 的 IP 192.168.100.10 所对应的 MAC 地址。VM2 会在网络上广播 ARP 包,其作用就是问 “谁知道 192.168.100.10 的 MAC 地址是多少?”
- ARP 是二层协议,VLAN 的隔离作用使得 ARP 只能在 VLAN20 范围内广播,只有 brvlan20 和 eth0.20 能收到,VLAN10 里的设备是收不到的。VM1 无法应答 VM2 发出的ARP包。
- VM2 拿不到 VM1 vnet0 的 MAC 地址,也就 Ping 不到 VM1
现在对 KVM 的网络虚拟化做个总结。
-
物理交换机存在多个 VLAN,每个 VLAN 拥有多个端口。
同一 VLAN 端口之间可以交换转发,不同 VLAN 端口之间隔离。
所以交换机其包含两层功能:交换与隔离。 -
Linux 的 VLAN 设备实现的是隔离功能,但没有交换功能。
一个 VLAN 母设备(比如 eth0)不能拥有两个相同 ID 的 VLAN 子设备,因此也就不可能出现数据交换情况。 -
Linux Bridge 专门实现交换功能。
将同一 VLAN 的子设备都挂载到一个 Bridge 上,设备之间就可以交换数据了。
总结起来,Linux Bridge 加 VLAN 在功能层面完整模拟现实世界里的二层交换机。
eth0 相当于虚拟交换机上的 trunk 口,允许 vlan10 和 vlan20 的数据通过
eth0.10,vent0 和 brvlan10 都可以看着 vlan10 的 access 口
eth0.20,vent1 和 brvlan20 都可以看着 vlan20 的 access 口
通常交换机的端口有两种配置模式: Access 和 Trunk
Access 口
这些端口被打上了 VLAN 的标签,表明该端口属于哪个 VLAN。
不同 VLAN 用 VLAN ID 来区分,VLAN ID 的 范围是 1-4096。
Access 口都是直接与计算机网卡相连的,这样从该网卡出来的数据包流入 Access 口后就被打上了所在 VLAN 的标签。
Access 口只能属于一个 VLAN。
Trunk 口
假设有两个交换机 A 和 B。
A 上有 VLAN1(红)、VLAN2(黄)、VLAN3(蓝);B 上也有 VLAN1、2、3
那如何让 AB 上相同 VLAN 之间能够通信呢?
办法是将 A 和 B 连起来,而且连接 A 和 B 的端口要允许 VLAN1、2、3 三个 VLAN 的数据都能够通过。这样的端口就是Trunk口了。
VLAN1、2、3 的数据包在通过 Trunk 口到达对方交换机的过程中始终带着自己的 VLAN 标签。
3492
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
