《虚拟化技术项目化教程》课件 项目4 配置KVM虚拟网络

项目4配置KVM虚拟网络目录0102KVM支持的网络类型深入理解桥接、NAT、隔离、路由四种网络模式的工作原理03Linux网桥原理掌握网桥的工作机制、数据处理流程及特殊属性04配置NAT虚拟网络学习图形界面和字符界面两种配置方法，掌握完整配置流程配置桥接虚拟网络掌握桥接网络的配置方法和验证技巧，实现虚拟机与物理网络通信05项目拓展与训练拓展视野，提升实战能力，了解阿里云虚拟化技术发展历程项目背景与重要性虚拟网络配置的关键作用虚拟网络配置是KVM虚拟化环境中的关键组成部分，它决定了虚拟机之间以及虚拟机与外部网络之间的通信方式。合理的网络配置能够确保虚拟机高效、安全地进行数据传输。智慧水务项目案例随着智慧水务项目规模扩大，数据交互愈发频繁，对虚拟网络的性能与安全性提出极高要求。原有网络架构难以满足众多节点间稳定、高效的数据传输需求。远程水质监测数据传输供水调度指令传输多节点间稳定通信项目成员小李的任务小李承担起优化KVM虚拟网络的重任，深入钻研NAT网络和桥接网络原理，针对多种业务场景合理配置并管理这两种网络。全力保障通信稳定且高效任务分解任务1配置NAT虚拟网络NATVirtualNetworkConfiguration任务目标在KVM虚拟化环境中配置NAT网络，使虚拟机能够通过宿主机访问外部网络，实现内外网地址转换与通信连接。配置方法1图形界面配置（virt-manager）2字符界面配置（virsh命令）应用场景适用于需要隐藏内部网络真实IP地址、提供安全防护、多个虚拟机共享少量公网IP地址的场景。任务2配置桥接虚拟网络BridgeVirtualNetworkConfiguration任务目标在KVM虚拟化环境中配置桥接网络，使虚拟机能够直接与物理网络通信，获得独立IP地址。配置方法1创建网桥配置文件2修改物理网卡配置绑定网桥3重启网络服务并验证应用场景适用于需要虚拟机完全融入现有网络环境、作为独立服务器与网络中其他设备平等通信的场景。项目目标1掌握虚拟网络基础掌握虚拟网络的基本概念和类型，理解虚拟网络在虚拟化环境中的作用及其配置的重要性，建立扎实的理论基础。理论基础2配置网络模式能够配置NAT网络和桥接网络，理解两种模式的工作原理和应用场景，掌握图形界面和字符界面两种配置方法。实践技能3虚拟机网络通信能够为虚拟机配置网络接口，使虚拟机之间进行通信，实现虚拟机与宿主机、外部网络的互联互通。通信能力4独立操作与问题解决能力具备独立操作和解决虚拟网络问题的能力，能够诊断网络故障、优化网络配置、确保虚拟网络的高效稳定运行。综合能力01KVM支持的网络类型KVM网络类型概览桥接模式BridgeMode客户机和宿主机处于平等地位，作为独立节点存在，共享物理网络设备，客户机获得独立IP地址，可直接接入与宿主机相同的网络。双向访问NAT模式NATMode内部虚拟机报文在通过物理网卡发送前，将内部地址转换为物理网卡地址，实现地址转换和访问外部网络，提供一定的安全防护。地址转换隔离模式IsolatedMode虚拟机可与相互通信和与宿主机通信，但通信范围局限于内部，不会传播到宿主机之外，也无法从外部接收通信。内部隔离路由模式RoutedMode虚拟交换机连接到宿主机物理LAN，在不借助NAT的情况下进行流量传输，虚拟机处于各自独立的子网中，通过虚拟交换机进行路由操作。三层路由学习提示：理解每种网络模式的特点和适用场景，是正确配置虚拟网络的基础。在实际应用中，需要根据业务需求和安全要求选择合适的网络模式。桥接模式概述核心概念在桥接模式下，客户机和宿主机处于平等地位，它们在网络中都作为一个独立的节点存在，两者拥有相同的网络环境，类似于VMware中的桥接网络。平等地位独立节点相同网络环境关键作用桥接模式能够使客户机和宿主机共享一个物理网络设备以连接到网络，从而使客户机获得自己的独立IP地址，可直接接入与宿主机相同的网络。双向访问能力虚拟机访问外部网络虚拟机可以直接访问外部网络，如同物理机一样，无需额外的地址转换或路由配置。外部网络访问虚拟机外部网络能够如同访问普通物理机一样访问虚拟机，虚拟机在网络中具有完全的可见性。多虚拟机共享即便宿主机仅配备一个网络设备，通过桥接模式，多个客户机也能够与宿主机共同使用该网络设备。应用场景：桥接模式适用于需要将虚拟机完全融入现有网络环境，使其具有与宿主机相同的网络访问权限和可见性的场景，如企业网络中部署多个服务器应用程序。桥接模式特点一：子网位置子网一致性当采用桥接模式时，所有的虚拟机都处于和宿主机相同的子网之中。这确保了虚拟机在网络层次结构上的位置与宿主机一致。相同子网地址范围相同网关配置相同网络层次通信便利性虚拟机可以方便地与该子网内的其他设备进行通信，不需要额外的网络转换或配置，如同它们就是物理网络中的普通主机一样。网络架构示意宿主机0同一子网虚拟机11虚拟机22虚拟机33子网：/24桥接模式特点二：通信能力通信能力位于该网络中的任何物理机都具备与虚拟机通信的能力。虚拟机所产生的网络流量会经过虚拟交换机，然后从绑定在虚拟交换机上的物理网络接口转发出去。物理机与虚拟机通信虚拟机与虚拟机通信虚拟机与外部网络通信流量转发机制1虚拟机产生网络流量2流量经过虚拟交换机3从物理网络接口转发桥接模式网络架构外部网络Internet/物理网络物理网卡eth0虚拟交换机Bridge虚拟机1虚拟机2宿主机桥接模式应用场景企业服务器部署在企业网络中部署多个服务器应用程序，每个虚拟机都可以作为独立的服务器与网络中的其他设备进行通信。Web服务器数据库服务器应用服务器平等网络地位需要在网络中平等对待虚拟机和宿主机的情况，虚拟机具有与宿主机相同的网络访问权限和可见性。独立IP地址完全可见性双向访问简化网络配置不需要额外的网络隔离或复杂的网络配置，虚拟机可以直接融入现有网络环境，降低管理复杂度。无需NAT配置无需路由配置易于管理优势网络部署便利灵活，虚拟机完全融入现有网络环境注意事项需要足够的IP地址资源，虚拟机暴露在外部网络中NAT模式概述核心原理NAT模式是一种重要的网络模式，其核心原理是所有来自内部虚拟机的报文在通过物理网卡向外发送之前，会将内部虚拟机地址转换为物理网卡的地址。内部地址→外部地址外部地址→内部地址关键特点隐藏内部网络真实IP地址多个虚拟机共享公网IP提供一定的安全防护NAT地址转换过程虚拟机0NAT转换宿主机转发外部网络Internet出站流量虚拟机发起请求→NAT转换源地址→通过物理网卡转发到外部网络入站流量外部网络回应→NAT转换目标地址→转发到相应虚拟机NAT模式的IP地址伪装IP地址伪装机制默认情况下，虚拟交换机运行在NAT模式下，使用IP地址伪装，而非源网络地址转换（SNAT）或目标网络地址转换（DNAT）。使用接口作为参数适应IP地址变化不指定具体IP地址iptables配置IP地址伪装是在iptables上配置外部网卡地址时不指定具体的IP地址，而是使用接口作为参数。iptables-tnat-APOSTROUTING-oeth0-jMASQUERADEIP地址伪装的优势1适应动态IP即便外部网络接口的IP地址经常发生变化，也能够正常地通过NAT将地址转换到该网卡上，无需手动修改配置。2简化配置管理使用接口名称而非具体IP地址，大大简化了配置管理的复杂度，提高了系统的灵活性和可维护性。3保证通信稳定性确保虚拟机能够在不暴露自身IP地址的情况下访问外部网络，同时保证了网络通信的稳定性和灵活性。NAT模式的转发流程转发流程详解1虚拟机产生网络流量虚拟机发起网络请求，数据包进入虚拟网络2经过虚拟交换机数据包经过虚拟交换机进行处理3广播到virbr0虚拟网桥数据包被广播到virbr0虚拟网桥4内核协议栈地址转换内核网络协议栈将virbr0地址转换到物理网卡eth05通过eth0转发到外部网络最终通过物理网卡eth0转发到外部网络转发模式特点地址转换透明不暴露内部IP多虚拟机共享关键技术点virbr0虚拟网桥连接虚拟机和宿主机的桥梁内核协议栈负责地址转换的核心组件eth0物理网卡连接外部网络的物理接口iptables在NAT模式中的作用iptables简介iptables是Linux操作系统的防火墙和数据包过滤工具，在KVM的NAT模式下，它通过NAT表和filter表及相关联的控制数据包进行流动和处理，实现网络地址转换。NAT表：地址转换filter表：数据包过滤iptables表结构NAT表PREROUTING、POSTROUTING、OUTPUT链filter表INPUT、FORWARD、OUTPUT链数据包处理流程1接收数据包外部网络发往宿主机的数据包首先到达iptables的PREROUTING链（NAT表），可能进行目标网络地址转换。PREROUTING→DNAT→路由判断2转发数据包需转发的数据包经路由判断后，进入filter表FORWARD链，可设转发规则，之后进入NAT表POSTROUTING链进行源网络地址转换。FORWARD→POSTROUTING→SNAT3发出数据包宿主机或虚拟机自身发数据包时，数据包先经NAT表OUTPUT链，再经filter表OUTPUT链，最后在NAT表POSTROUTING链进行源网络地址转换后发出。OUTPUT→filterOUTPUT→POSTROUTINGNAT模式中的DHCP服务DHCP服务在NAT模式下，需要在宿主机上运行一个DHCP服务器，以便为内部网络的机器分配IP地址，通常可以使用dnsmasq工具来实现这一功能。自动分配IP地址提供DNS解析服务无需手动配置dnsmasq工具dnsmasq服务绑定在virbr0虚拟网桥上，为连接到该网桥的虚拟机提供DHCP和DNS解析服务，从而确保虚拟机能够顺利获取IP地址。绑定位置virbr0虚拟网桥DHCP工作原理虚拟机DHCP请求dnsmasqDHCP请求过程1DHCPDiscover2DHCPOffer3DHCPRequest4DHCPACK服务功能IP地址分配子网掩码配置网关地址分配DNS服务器配置优势：虚拟机在启动时可以从DHCP服务器自动获取到合适的IP地址，无须手动配置，为网络管理提供了便利。NAT模式的网络转发过程详解完整转发过程虚拟机0virbr0虚拟网桥virbr0-nic虚拟网卡eth0物理网卡第一步虚拟机流量先经过virbr0网桥，进入虚拟网络层进行处理第二步通过virbr0-nic虚拟网卡进行地址转换，准备转发到物理网络第三步将虚拟机IP地址伪装成eth0物理网卡IP地址，转发到外部网络说明：virbr0-nic到eth0的流量处理是由Linux操作系统完成的，与KVM本身并无直接关系，只需要正确地配置iptables即可保证该过程的顺利进行。工作机制这种分离的工作机制使得NAT模式在利用Linux操作系统的网络功能的同时，也能借助KVM实现虚拟机的网络隔离和地址转换需求。层次关系虚拟机层KVM管理虚拟网络层libvirt管理操作系统层Linux内核处理NAT模式与桥接模式的对比NAT模式网络架构虚拟网桥virbr0并未直接绑定到实际的物理网卡，数据包经过虚拟网桥virbr0进行地址转换后，将IP包从实际的物理网络设备转发出去。核心特点网络独立性强隔离性相对更强地址转换机制桥接模式网络架构虚拟机与宿主机共享同一个网络设备，虚拟机直接连接到物理网络，获得独立的IP地址，与宿主机处于平等地位。核心特点完全网络可见性独立IP地址双向直接访问对比总结网络绑定NAT：virbr0不直接绑定物理网卡桥接：直接共享物理网卡IP地址NAT：内部私有IP，外部不可见桥接：独立公网IP，完全可见安全性NAT：隐藏内部网络，更安全桥接：完全暴露，需注意安全适用场景NAT：需要隔离和安全的场景桥接：需要完全网络访问的场景隔离模式概述隔离模式特点在使用隔离（Isolated）模式时，连接到虚拟交换机的虚拟机具备一定的通信能力，它们既可以相互之间进行通信，也能够与宿主机进行通信。虚拟机之间相互通信虚拟机与宿主机通信不与外部网络通信通信限制此模式下的通信具有独特的限制，即虚拟机的通信范围局限于内部，不会传播到宿主机之外，同时也无法从宿主机的外部接收通信信息。重要特性形成相对封闭的通信环境隔离模式网络架构宿主机允许通信虚拟交换机隔离模式虚拟机1虚拟机2虚拟机3注意：虚拟机无法与外部网络通信，外部网络也无法访问虚拟机隔离模式的DNS解析特性DNS解析服务在此模式下，对于如DHCP等基本功能的实现，使用dnsmasq工具是必不可少的。其原因在于，尽管该网络与任何物理网络相互隔离，但DNS名称仍然能够被解析。dnsmasq提供DNS服务DNS名称可解析虚拟机间通信便利特殊现象这种特性也会导致一种特殊情况的出现，即可能会发生DNS名称能成功解析，但互联网控制报文协议（ICMP）回应请求命令会失败的现象。现象：DNS解析成功，但ping命令失败隔离模式转发过程虚拟交换机隔离模式允许通信虚拟机之间虚拟机与宿主机DNS解析禁止通信外部网络访问ICMP请求互联网访问转发特点：此模式下的虚拟机在网络中的位置和通信路径类似于仅仅连接到一台独立的交换机上，虚拟机之间以及它们与宿主机之间形成了一个相对封闭的通信环境。隔离模式的应用场景安全测试环境在需要创建一个安全的内部测试环境，对外部网络访问有限制的情况下，隔离模式可以有效地防止内部通信和操作受到外部网络的影响。安全测试漏洞扫描渗透测试开发测试环境在构建一个不需要外部网络干扰的开发或测试环境时，隔离模式可以确保在相对独立的环境中完成开发、测试等任务。应用开发功能测试集成测试内部网络隔离满足内部网络功能的基本需求，确保在相对独立的环境中完成各项任务，同时保障内部通信的安全性和独立性。网络隔离数据保护访问控制核心价值：隔离模式在保障内部通信的同时，实现了与外部网络的隔离，适用于需要高度安全性和独立性的场景，如安全测试、开发环境、内部网络隔离等。路由模式概述路由模式原理当使用路由（Routed）模式时，虚拟交换机将连接到宿主机的物理局域网（LAN），并在不借助NAT的情况下进行流量的来回传输。连接到物理LAN不借助NAT流量来回传输虚拟交换机角色在此模式中，虚拟交换机扮演着重要的角色，它可以对所有流量进行检查，同时依据网络数据包中的信息来做出路由决策。OSI第三层运行物理LAN/24虚拟交换机路由模式虚拟机1/24虚拟机2/24特点：所有虚拟机都处于各自独立的子网之中，并且通过虚拟交换机进行路由操作。路由模式的特点与局限独立子网在这种模式下，所有虚拟机都处于各自独立的子网之中，并且通过虚拟交换机进行路由操作。这种架构提供了更好的网络隔离和管理灵活性。虚拟机位于独立子网通过虚拟交换机路由更好的网络隔离局限性由于虚拟机位于自己的子网中，物理网络上的其他物理主机在未进行手工配置路由信息的情况下，无法发现这些虚拟机，更无法访问它们。配置要求1Linux系统路由配置如果期望实现与外部网络的通信，则必须在Linux操作系统上配置正确的路由信息。iprouteadd/24via2外部路由设备配置同时还需要在外部路由设备上配置正确的路由信息，否则会导致网络通信的障碍。配置建议这意味着在使用路由模式时，需要额外关注路由信息的配置，否则会影响网络的可达性和通信效果。路由模式的典型应用：DMZ场景DMZ（隔离区）DMZ中的主机承担着为LAN主机和WAN提供服务的任务，因此它们需要被内部网络中的其他主机以及互联网中的主机访问。然而，将这些主机放置在LAN中存在安全风险。为LAN和WAN提供服务需要被内外网访问放置在特殊子网保证安全安全风险一旦遭受攻击，攻击者就可能会访问到LAN。所以，将它们放置在特殊子网中是更为安全的选择。DMZ网络架构Internet(WAN)防火墙DMZ/24内部LAN/24路由模式优势：这些主机不能处于NAT模式或隔离模式，因为这两种模式无法满足其既需要为不同区域提供服务又需要保证一定安全性的需求，而路由模式则可以在一定程度上解决这些问题。02Linux操作系统中的网桥及其基本原理桥接技术概述桥接定义桥接是一种基于OSI参考模型数据链路层协议的数据转发机制，其操作发生在OSI参考模型的第二层。从技术实现的角度来看，桥接是将一台机器上的多个网络接口在数据链路层进行逻辑连接。工作在数据链路层（第二层）逻辑连接多个网络接口实现数据包转发功能数据包转发当其中一个网络接口接收到网络数据包时，该数据包会按照数据链路层协议的规定被复制并传输至其他网络接口，从而实现网络接口之间的数据包转发功能，确保数据在网络接口之间的高效流通。Linux网桥功能TCP/IP二层协议交换在Linux操作系统中，网桥是一种用于TCP/IP二层协议交换的设备，其功能与现实世界中的物理交换机具有高度的相似性。网络设备连接网桥设备实例可与Linux操作系统中的其他网络设备实例建立连接，这种连接可以被视为在现实网络环境中，将用户终端通过网络线缆连接到交换机上的过程。MAC信息处理当网络数据包到达网桥时，网桥会依据数据包中的MAC信息进行广播、转发、丢弃三种处理操作。网桥的广播操作广播机制若接收到的数据包的目的MAC地址为广播地址，则网桥将依据网络的广播规则，将该数据包向与之相连的所有网络接口发送，使网络中的所有节点都能接收到此数据包，以确保信息的全面传播。目的MAC为广播地址向所有接口发送所有节点接收广播地址以太网广播地址FF:FF:FF:FF:FF:FFIP广播地址55广播过程示例主机A发送广播包网桥识别广播地址主机B接收广播主机C接收广播主机D接收广播网桥的转发操作转发机制对于具有明确目的MAC地址的数据包，网桥会通过其内部维护的MAC地址映射表进行查找，将数据包准确地转发至相应的目标网络接口，保证数据能精确地到达目标设备，从而保障网络通信的有效性和准确性。明确目的MAC地址查找MAC映射表精确转发到目标接口MAC地址映射表网桥内部维护一个MAC地址映射表，记录MAC地址与网络接口的对应关系，用于快速查找目标接口。MAC地址接口AA:BB:CC:DD:EE:01eth0AA:BB:CC:DD:EE:02eth1AA:BB:CC:DD:EE:03eth2转发过程示例1接收数据包网桥从eth0接口接收到目的MAC为AA:BB:CC:DD:EE:02的数据包2查找映射表网桥查询MAC地址映射表，找到AA:BB:CC:DD:EE:02对应的接口为eth13转发数据包网桥将数据包从eth1接口转发出去，精确到达目标设备网桥的丢弃操作丢弃机制当接收到的数据包不符合网络传输的相关标准，或者无法通过内部MAC地址映射表找到相应的目的MAC地址时，网桥将根据预设的网络管理规则丢弃该数据包，以此保证网络的正常运行和数据传输的有序性。数据包不符合标准找不到目的MAC地址按预设规则丢弃丢弃的作用保证网络正常运行确保数据传输有序性防止无效数据包传播提高网络性能丢弃场景无效数据包数据包格式错误、校验和不正确、长度异常等不符合网络传输标准的情况未知目的MACMAC地址映射表中找不到目的MAC地址对应的接口，无法确定转发目标安全策略根据网络安全策略，某些数据包被明确配置为需要丢弃，如来自黑名单的数据包网桥数据流向示例数据流向示意图主机A交换机S1eth0端口交换机S1eth1端口主机B交换机S2主机C主机D流程说明主机A发出的数据包被传输至交换机S1的eth0端口，鉴于eth0端口与eth1、eth2端口处于桥接状态，依据数据链路层协议的操作规则，此数据包会被复制至eth1和eth2端口并发送出去。转发机制这些数据包会被主机B和交换机S2接收，而交换机S2会依据自身的转发机制将接收到的数据包继续传递给主机C和主机D。桥接端口复制数据包多级交换机转发数据精确到达目标Linux内核中的网桥支持内核支持在Linux内核中，对网络接口的桥接功能提供了支持，不过当前仅针对以太网接口。这种桥接功能与传统的交换机有着显著的区别。支持以太网接口内核级实现与交换机有显著区别Linux机器的独特角色对于运行Linux内核的机器而言，其具有独特的网络角色。它不仅是一台主机，而且在网络环境中，它自身就有可能成为网络报文的最终目的地。核心特点既是主机，又可能成为报文目的地复杂处理流程转发和丢弃操作当该机器接收到网络报文时，其处理流程更为复杂，并非仅仅局限于转发或丢弃操作。推送至协议栈上层除了执行转发和丢弃操作外，它还可能将接收到的报文推送至网络协议栈的上层，即网络层，以便系统自身对该报文进行进一步的处理和解析。内部处理使系统能够基于这些报文进行内部的网络应用和服务处理，功能更加强大和灵活。Linux网桥与传统交换机的区别传统交换机二层网络设备传统的交换机作为二层网络设备，其主要功能在于处理接收到的报文，其操作模式较为单一。硬件构成小型的交换机通常仅需配备一块交换芯片，其工作无须CPU的参与，主要依赖交换芯片所提供的二层交换功能。操作模式对于输入的报文仅执行转发或丢弃操作，功能相对简单。Linux网桥主机角色对于运行Linux内核的机器而言，其具有独特的网络角色。它不仅是一台主机，而且在网络环境中，它自身就有可能成为网络报文的最终目的地。复杂处理当该机器接收到网络报文时，其处理流程更为复杂，并非仅仅局限于转发或丢弃操作。协议栈交互除了执行转发和丢弃操作外，它还可能将接收到的报文推送至网络协议栈的上层，即网络层，以便系统自身对该报文进行进一步的处理和解析。核心区别：Linux网桥功能更加强大和灵活，不仅可以像传统交换机一样进行数据包转发，还可以与操作系统进行深度交互，实现更复杂的网络功能。虚拟网桥设备的工作机制虚拟网桥设备Linux内核通过一种虚拟的网桥设备来达成桥接功能。此虚拟网桥设备具备强大的功能，它能够将多个以太网接口设备进行绑定，从而形成一个桥接网络架构。虚拟设备实现绑定多个接口形成桥接网络上层协议栈感知对于网络协议栈的上层部分而言，仅会感知到br0这一虚拟网桥设备。这是因为桥接功能是在数据链路层进行操作和实现的，上层协议栈无须深入探究桥接的具体细节。网桥架构示例br0虚拟网桥eth0eth1发送报文上层协议栈需要向外发送报文时，会将报文发送至虚拟网桥设备br0接收报文当从eth0或eth1接口接收报文时，这些报文会被递交给虚拟网桥设备br0虚拟网桥的数据处理流程发送报文流程1发送至br0上层协议栈需要向外发送报文时，会将报文发送至虚拟网桥设备br02处理代码判断由虚拟网桥设备br0的相关处理代码根据一定的逻辑和算法来判断报文的转发路径3转发决策可能将报文转发至eth0或eth1接口，或者同时将报文发送至这两个接口接收报文流程1接口接收报文当从eth0或eth1接口接收报文时，这些报文会被递交给虚拟网桥设备br0的处理代码2判定处理方式在该处理代码中，会依据特定的网络规则和策略来判定报文的后续处理方式3多种处理方式可能将报文转发到其他接口，也可能将其丢弃，或者将其递交给网络协议栈的上层进行进一步的处理网桥的特殊属性一：与物理二层交换机的区别独特功能网桥可直接接收数据，有主动发送报文的能力，可看作自带隐藏端口与Linux操作系统连接，如bridge0连接eth0时拥有两个MAC地址且能通信。直接接收数据主动发送报文自带隐藏端口多MAC地址支持隐藏端口机制网桥可看作自带隐藏端口与Linux操作系统连接，这种设计使得网桥能够与操作系统进行深度交互，实现更复杂的网络功能。功能对比物理交换机不能直接接收数据不能主动发送报文无隐藏端口单一MAC地址Linux网桥可直接接收数据能主动发送报文自带隐藏端口支持多MAC地址网桥的特殊属性二：IP地址设置IP地址设置虽然IP地址属于三层协议，但Linux操作系统中网桥作为通用网络设备可设IP地址。给bridge0设IP地址后，Linux操作系统可通过路由表或IP地址表规则定位。网桥可设置IP地址通过路由表定位相当于隐藏虚拟网卡带路由的交换机相当于拥有与bridge0隐藏端口相连的隐藏虚拟网卡，当符合该IP地址的数据包到达时，应用程序可通过Socket接收。如同带路由的交换机设备。工作机制三层协议处理其三层协议处理程序对应Linux内核协议栈程序，管理程序对应应用程序隐藏虚拟网卡相当于拥有与bridge0隐藏端口相连的隐藏虚拟网卡，扩展了网桥的功能Socket通信当符合该IP地址的数据包到达时，应用程序可通过Socket接收，实现应用层通信网桥的特殊属性三：设备IP地址的失效限制IP地址失效机制其他设备连接网桥后原IP地址失效，Linux操作系统在三层操作中不再使用该IP地址接收数据，以保证桥接网络正常运行，避免地址冲突和通信混乱。连接网桥后IP失效三层操作不再使用保证桥接网络正常运行避免地址冲突这种机制有效避免了地址冲突和通信混乱，确保桥接网络中的每个设备都有明确的网络身份和通信路径。失效过程示意eth0原IP：0连接网桥br0eth0原IP失效不再用于接收数据网桥的特殊属性四：数据流方向的考虑数据流方向连接网桥的设备仅在收到数据时将其转发至网桥进行后续操作；发送数据时，数据将按路由规则寻找其他出口，避免资源浪费和传输混乱。接收时转发至网桥发送时按路由规则避免资源浪费优化网络性能这种设计优化了网络性能，确保数据流的高效传输，避免不必要的转发和处理，提高整体网络效率。数据流方向示意接收数据流程当设备从外部网络接收到数据时，会将数据转发至网桥进行处理外部网络物理接口网桥目标设备发送数据流程当设备需要发送数据时，数据将按路由规则寻找其他出口，不经过网桥源设备路由决策物理接口外部网络优势：这种分离的数据流方向设计，优化了网络性能，避免了资源浪费和传输混乱。03任务1:配置NAT虚拟网络NAT网络配置概述配置目的配置NAT虚拟网络可以实现内外网地址转换与通信连接，让多个内部虚拟机共享少量的公网IP地址，同时隐藏内部网络真实IP地址，提供一定的安全防护。内外网地址转换多虚拟机共享IP隐藏内部网络提供安全防护配置方法1图形界面配置使用virt-manager工具2字符界面配置使用virsh命令行工具配置流程概览图形界面配置流程1启动虚拟机管理器2新建虚拟网络3配置IPv4/IPv6网络4连接到物理网络5应用NAT虚拟网络6验证网络连通性字符界面配置流程1查看网络信息2查看网桥信息3查看路由信息4创建网络配置文件5激活并设置自启动6应用配置并验证图形界面配置步骤一：启动虚拟机管理器操作步骤1打开终端在RedHat7虚拟机中打开终端窗口2输入命令virt-manager3打开连接详情在界面中找到并选择"编辑"→"选择详情"选项注意事项确保virt-manager已正确安装需要root权限或sudo权限图形界面需要XWindow支持操作界面示意终端窗口[root@node1~]#virt-manager#虚拟机管理器启动虚拟机管理器打开连接详情界面图形界面配置步骤二：新建虚拟网络操作步骤1进入虚拟网络面板进入连接详情界面之后，单击"虚拟网络"标签，打开虚拟网络面板2新建虚拟网络在此面板中，单击左下角的【+】按钮，新建一个NAT虚拟网络3命名网络命名为YPINAT（可以根据需要自定义名称）命名建议使用有意义的名称，便于识别避免使用特殊字符建议使用项目或功能相关名称操作界面示意虚拟网络面板default活动NAT1活动YPINAT（新建）配置中...新建虚拟网络对话框网络名称YPINAT请输入虚拟网络的名称图形界面配置步骤三：配置IPv4网络配置参数IPv4地址范围设置虚拟机可使用的IP地址范围，本项目设置为28～54子网掩码定义子网的大小和范围，通常为网关地址设置虚拟网络的网关地址，通常是网段的第一个可用IPDNS服务器地址配置DNS服务器地址，用于域名解析配置界面示意IPv4网络配置网络地址/24DHCP范围起始28结束54网关DNS提示：IPv4网络配置完成后，可以继续配置IPv6网络（可选），本项目不做IPv6配置。图形界面配置步骤四：连接到物理网络操作步骤1选择连接方式在完成IPv4网络和IPv6网络的配置之后，需要选择连接到物理网络的方式2选中转发选项选中"转发到物理网络"单选按钮3选择物理设备在"目的"下拉列表中选择"物理设备ens32"选项4完成创建单击【完成】按钮，生成一个新的YPINAT网络配置界面示意连接到物理网络转发到物理网络目的物理设备ens32模式NAT隔离虚拟网络完成取消说明：通过将虚拟网络与物理网卡相连接，能够为虚拟网络中的设备提供与外部物理网络进行数据交换的通道，从而使其融入更广泛的网络环境。图形界面配置步骤五：应用NAT虚拟网络操作步骤1打开虚拟机硬件详情在虚拟机vm01的硬件详情界面中，找到虚拟机网络接口卡的相关设置2选择NAT网络通过对该网络接口卡的设置，选择使用创建好的YPINAT网络3应用配置实现与其他设备或网络的通信注意事项确保虚拟机已关闭或暂停应用后可能需要重启虚拟机检查网络接口卡状态配置界面示意虚拟机硬件详情-网络接口卡网络源虚拟网络'YPINAT'：NAT设备型号virtioMAC地址52:54:00:12:34:56应用取消说明：应用NAT虚拟网络后，虚拟机将通过YPINAT网络进行通信，实现与外部网络的连接。图形界面配置步骤六：验证网络连通性验证步骤1登录虚拟机继续登录虚拟机vm01，查看其网络情况2查看网络配置验证虚拟机vm01是否成功接入YPINAT网络，以及网络的各项参数是否正常3测试连通性vm01虚拟机分别能够连通RedHat7虚拟机、Windows物理机、百度域名4查看宿主机网络打开宿主机查看网络信息，了解virbr0、vnet0、virbr0-nic的作用验证命令查看网络配置[root@vm01~]#ipaddr#查看IP地址、网卡信息测试网络连通性[root@vm01~]#ping2ping00ping宿主机查看网络[root@node1~]#ipaddrbrctlshow#查看网桥信息字符界面配置步骤一：查看网络信息查看命令virshnet-list在RedHat7虚拟机中输入virshnet-list命令查看网络信息显示信息网络名称状态（活动/不活动）自动开始功能持久性命令说明virsh是libvirt的命令行工具net-list用于列出所有虚拟网络可以查看网络的详细状态信息命令执行示例[root@node1~]#virshnet-list名称状态自动开始持久-----------------------------------------default活动是是NAT1活动是是[root@node1~]#输出信息说明活动：网络正在运行自动开始：开机自动启动持久：配置持久保存字符界面配置步骤二：查看网桥信息查看命令brctlshowvirbr0输入brctlshowvirbr0命令查看网桥信息，看到两个接口分别是virbr0-nic和vnet0显示信息网桥名称绑定的接口接口状态接口说明virbr0-nicvirbr0连接主机ens33的内置接口vnet0连接虚拟机vm01的接口命令执行示例[root@node1~]#brctlshowvirbr0bridgenamebridgeidSTPenabledinterfacesvirbr08000.525400123456yesvirbr0-nicvnet0[root@node1~]#输出信息说明bridgename网桥名称bridgeid网桥ID，包含优先级和MAC地址STPenabled生成树协议是否启用interfaces绑定的网络接口字符界面配置步骤三：查看路由信息查看路由iproute或route-n查看RedHat7虚拟机的路由信息，可以看到到达vm01虚拟机的数据包是从virbr0中转发的路由表信息目标网络网关地址子网掩码出口接口路由分析通过查看路由表，可以了解数据包的转发路径，确认NAT网络配置是否正确。命令执行示例[root@node1~]#iproutedefaultviadevens33protostatic/24devens33protokernelscopelink/24devvirbr0protokernelscopelink[root@node1~]#关键路由说明默认路由defaultviadevens33所有未知目标的数据包通过ens33转发到网关NAT网络路由/24devvirbr0到达虚拟机的数据包通过virbr0转发字符界面配置步骤四：查看网络配置文件配置文件位置切换目录cd/usr/share/libvirt/networks/这个目录下存放了虚拟机vm01的网络配置文件default.xml配置文件说明网络名称网段配置DHCP范围NAT配置配置建议理解配置文件结构备份原始配置文件基于模板创建新配置配置文件示例[root@node1networks]#catdefault.xmldefault12345678-1234-1234-1234-123456789abc关键配置项说明网络名称NAT转发模式IP地址和DHCP配置字符界面配置步骤五：创建新的网络配置文件操作步骤1复制配置文件cpdefault.xmlnat1.xml2编辑配置文件使用vi编辑器按I键打开网络配置文件nat1.xml进行修改3修改内容名称改为nat1网段改为DHCP范围改为～254保存配置修改完毕，按Esc键，输入:wq命令保存并退出修改后的配置文件[root@node1networks]#catnat1.xmlnat187654321-4321-4321-4321-cba987654321修改项对比原配置名称：default网段：新配置名称：nat1网段：字符界面配置步骤六：使网络配置文件生效生效命令virshnet-definevirshnet-definenat1.xml通过virshnet-define命令，使网络配置文件nat1.xml生效，将配置加载到系统中命令作用加载配置文件注册网络定义创建网络对象注意事项确保配置文件路径正确配置文件格式必须正确需要root权限执行命令执行示例[root@node1networks]#virshnet-definenat1.xml从nat1.xml中定义网络nat1[root@node1networks]#执行结果说明网络定义成功网络已注册到libvirt但网络尚未激活注意：定义网络后，还需要激活网络才能使用字符界面配置步骤七：激活和设置开机自启动操作步骤1查看网络状态virshnet-list--all查看网络信息，确认nat1网络当前状态2激活网络virshnet-startnat1激活网络nat1，使其状态变成"活动"3设置开机自启动virshnet-autostartnat1设置网络nat1开机自启动命令执行示例[root@node1~]#virshnet-list--all名称状态自动开始持久-----------------------------------------default活动是是nat1不活动否是[root@node1~]#virshnet-startnat1网络nat1已开始[root@node1~]#virshnet-autostartnat1网络nat1标记为自动开始[root@node1~]#virshnet-list--all名称状态自动开始持久-----------------------------------------default活动是是nat1活动是是状态变化初始状态：不活动，不自动开始最终状态：活动，自动开始字符界面配置步骤八：应用配置并验证操作步骤1设置虚拟机网络设置vm01虚拟机的网络为nat1，单击【应用】按钮2重启虚拟机重启虚拟机，通过root用户登录3查看网络信息输入ipa命令查看vm01虚拟机的网络信息4验证结果验证网络地址已经修改为1验证命令与结果[root@vm01~]#ipa1:lo:mtu65536...inet/8scopehostlo2:eth0:...inet1/24brd55scopeglobaldynamiceth0[root@vm01~]#验证结果网络接口：eth0IP地址：1子网掩码：/24()配置类型：dynamic(DHCP)成功：NAT网络配置成功，虚拟机已获取到正确的IP地址04任务2:配置桥接虚拟网络桥接网络配置步骤一：切换目录切换目录切换命令cd/etc/sysconfig/network-scripts/在RedHat7虚拟机中输入cd/etc/sysconfig/network-scripts/命令切换目录目录说明网络脚本配置目录存放网卡配置文件存放网桥配置文件目录内容ifcfg-ens33（物理网卡配置）ifcfg-br0（网桥配置，待创建）命令执行示例[root@node1~]#cd/etc/sysconfig/network-scripts/[root@node1network-scripts]#lsifcfg-ens33ifdownifup[root@node1network-scripts]#目录结构说明/etc/sysconfig/network-scripts/RedHat/CentOS系统网络配置文件目录该目录下存放所有网络接口的配置文件桥接网络配置步骤二：创建网桥配置文件创建配置文件创建文件在目录下创建文件ifcfg-br0，并使用vi编辑器打开配置内容编写网桥配置文件内容，包括设备名称、类型、IP地址等关键配置项DEVICE=br0设备名称TYPE=Bridge设备类型为网桥BOOTPROTO=static静态IP配置配置文件内容[root@node1network-scripts]#catifcfg-br0DEVICE=br0NAME=br0ONBOOT=yesTYPE=BridgeBOOTPROTO=staticIPADDR=2PREFIX=24GATEWAY=DNS1=配置说明ONBOOT=yes开机自动启动IPADDR=2网桥IP地址PREFIX=24子网掩码桥接网络配置步骤三：修改网卡配置文件修改配置打开网卡配置文件打开RedHat7虚拟机的网卡配置文件ifcfg-ens33添加网桥绑定BRIDGE="br0"添加一行信息BRIDGE="br0"，将物理网卡绑定到网桥绑定原理通过BRIDGE参数将物理网卡ens33绑定到网桥br0，使网桥能够使用物理网卡进行网络通信。修改后的配置文件[root@node1network-scripts]#catifcfg-ens33TYPE=EthernetBOOTPROTO=noneNAME=ens33DEVICE=ens33ONBOOT=yesBRIDGE="br0"关键变化原配置BOOTPROTO=staticIPADDR=2新配置BOOTPROTO=noneBRIDGE="br0"物理网卡不再配置IP地址，由网桥统一管理桥接网络配置步骤四：重启网络并查看网桥信息重启网络重启网络服务systemctlrestartnetwork重启网络服务，使网桥配置生效查看网桥信息brctlshowbr0查看网桥br0的信息，验证网桥创建成功注意事项重启网络会中断现有连接确保配置文件无误后再重启验证网桥是否正确创建命令执行示例[root@node1network-scripts]#systemctlrestartnetwork[root@node1network-scripts]#brctlshowbr0bridgenamebridgeidSTPenabledinterfacesbr08000.525400123456yesens33[root@node1network-scripts]#输出信息说明bridgename:br0网桥名称正确interfaces:ens33物理网卡ens33已绑定到网桥STPenabled:yes生成树协议已启用成功：网桥br0创建成功，ens33已绑定桥接网络配置步骤五：验证网卡与网桥信息验证步骤查看网卡信息ipaddrshowens33查看网卡ens33的信息，确认原IP地址已失效查看网桥信息ipaddrshowbr0查看网桥br0的信息，确认显示ens33之前的IP信息验证要点网卡ens33查不到网络信息网桥br0显示ens33之前的IP验证网桥配置正确命令执行示例[root@node1~]#ipaddrshowens332:ens33:...link/ether00:0c:29:12:34:56...#无inet行，说明无IP地址[root@node1~]#ipaddrshowbr03:br0:...link/ether00:0c:29:12:34:56...inet2/24brd55scopeglobalbr0对比结果ens33网卡无IP地址（符合预期）br0网桥IP:2（原ens33的IP）成功：网桥配置正确，ens33的IP已转移到br0桥接网络配置步骤六：虚拟机使用网桥连接操作步骤1打开虚拟机硬件详情vm01虚拟机使用网桥br0进行连接，在虚拟机硬件详情界面的网络接口卡中选择br02处理异常情况如果网络接口卡中没有显示br0选项，则关闭RedHat7虚拟机中所有窗口和终端，新建终端并重新启动virt-manager图形界面注意事项确保网桥br0已正确创建虚拟机需要重启才能生效重新启动virt-manager刷新界面配置界面示意虚拟机硬件详情-网络接口卡网络源桥接br0：Hostdevicebr0设备型号virtioMAC地址52:54:00:ab:cd:ef应用取消说明：选择br0网桥后，虚拟机将直接连接到物理网络，获得与宿主机相同网段的IP地址。桥接网络配置步骤七：验证网络连通性验证步骤1在RedHat7虚拟机中查看网桥信息2启动vm01虚拟机3编辑vm01网卡配置文件设置静态IP4重启网络并查看网卡信息5测试网络连通性验证命令查看网桥信息[root@node1~]#brctlshowbr08000.xxxyesens33vnet0配置静态IP[root@vm01~]#vi/etc/.../ifcfg-eth0IPADDR=00测试连通性[root@vm01~]#ping2[root@vm01~]#ping05项目拓展与拓展训练拓展阅读：阿里云虚拟化技术发展历程发展历程2009年：起步云计算