項目4-構(gòu)建小型虛擬化網(wǎng)絡

項目四構(gòu)建小型虛擬化網(wǎng)絡《云網(wǎng)絡技術項目教程》目錄/Contents(1)(2)構(gòu)建雙機互聯(lián)虛擬化網(wǎng)絡構(gòu)建Flat扁平虛擬化網(wǎng)絡項目描述為提升IT基礎設施的運行效率，學習在物理服務器上部署虛擬機，在虛擬機上部署各類業(yè)務系統(tǒng)和數(shù)據(jù)庫。虛擬機之間需要相互訪問，同時需要與外部網(wǎng)絡互訪。使用名稱空間和Veth虛擬網(wǎng)卡構(gòu)建雙機互聯(lián)網(wǎng)絡、使用虛擬網(wǎng)橋構(gòu)建Flat扁平網(wǎng)絡，熟悉各種虛擬網(wǎng)絡設備的功能和應用。

項目4任務思維導圖如圖4-1所示圖4-1

項目4任務思維導圖構(gòu)建雙機互聯(lián)虛擬化網(wǎng)絡【知識目標】（1）掌握網(wǎng)絡虛擬化的定義。（1）掌握tap/tun與veth虛擬網(wǎng)卡的區(qū)別。（2）掌握網(wǎng)絡名稱空間的作用和配置方法。（1）能夠運維tap/tun/veth虛擬網(wǎng)卡。（2）能夠使用網(wǎng)絡名稱空間和veth虛擬網(wǎng)卡模擬雙機互聯(lián)?！炯寄苣繕恕俊揪W(wǎng)絡拓撲】任務4-1的網(wǎng)絡拓撲如圖4-2所示。圖4-2

任務4-1網(wǎng)絡拓撲必備知識1.網(wǎng)絡虛擬化網(wǎng)絡虛擬化是一種將物理網(wǎng)絡資源劃分為多個虛擬網(wǎng)絡的技術。它允許多個虛擬網(wǎng)絡在同一物理網(wǎng)絡上并行運行，每個虛擬網(wǎng)絡都具有自己獨立的網(wǎng)絡拓撲、策略和服務，實現(xiàn)以下功能。（1）資源隔離通過網(wǎng)絡虛擬化，可以將物理網(wǎng)絡資源劃分為多個虛擬網(wǎng)絡，從而實現(xiàn)資源的隔離。不同的虛擬網(wǎng)絡可以獨立配置和管理，互相之間不會產(chǎn)生干擾或影響。（2）多租戶支持網(wǎng)絡虛擬化后，可以為多個租戶提供獨立的虛擬網(wǎng)絡。每個租戶可以有自己的網(wǎng)絡拓撲、IP地址空間、安全策略等，從而實現(xiàn)多租戶的隔離和定制化。（3）靈活性和敏捷性通過網(wǎng)絡虛擬化，可以快速創(chuàng)建、配置和管理虛擬網(wǎng)絡。對于企業(yè)來說，可以根據(jù)需要動態(tài)調(diào)整虛擬網(wǎng)絡的規(guī)模和配置，適應業(yè)務需求的變化。（4）增強安全性網(wǎng)絡虛擬化可以提供更精細的安全控制和隔離。通過在虛擬網(wǎng)絡中實施安全策略、訪問控制和流量監(jiān)測，增強網(wǎng)絡的安全性。（5）高性能和可靠性網(wǎng)絡虛擬化技術通過物理網(wǎng)絡資源的合理利用提供高性能和可靠性。虛擬網(wǎng)絡可以動態(tài)分配帶寬、負載均衡，并支持流量工程和故障恢復等功能，滿足不同應用場景的需求。必備知識2.Tap/tun/veth虛擬網(wǎng)卡目前主流的虛擬網(wǎng)卡方案有tun/tap和veth兩種，在時間上tun/tap出現(xiàn)得更早，在LinuxKernel2.4版之后發(fā)布的內(nèi)核都會默認編譯tun/tap的驅(qū)動。veth是另一種主流的虛擬網(wǎng)卡方案，在LinuxKernel2.6版本，Linux開始支持網(wǎng)絡名稱空間隔離的同時，也提供了專門的虛擬以太網(wǎng)（VirtualEthernet，習慣簡寫做veth）讓兩個隔離的網(wǎng)絡名稱空間之間可以互相通信。veth實際是一對設備，因而也常被稱作Veth-Pair，被廣泛的應用在虛擬化網(wǎng)絡中。tap虛擬網(wǎng)卡工作在數(shù)據(jù)鏈路層，不配置IP地址，一般應用在虛擬機與外界的網(wǎng)絡互聯(lián)上。虛擬機是宿主機上的一個應用程序，可以理解成宿主機上的一個應用軟件，所以工作在用戶態(tài)。當虛擬機與外界通信時，首先利用tap虛擬網(wǎng)卡提供的字符文件設備進行IO讀寫操作。如圖4-3所示，虛擬機中的每個網(wǎng)卡都與宿主機的一個虛擬tap網(wǎng)卡相連。當一個tap虛擬網(wǎng)卡被創(chuàng)建時，在Linux設備文件目錄下生會生成一個對應的字符設備文件，用戶程序可以打開普通文件一樣打開這個文件進行讀寫。①tap虛擬網(wǎng)卡圖4-3任務4-1Tap虛擬網(wǎng)卡當虛擬機對外發(fā)送數(shù)據(jù)時，對這個tap設備文件執(zhí)行寫操作，tap虛擬網(wǎng)卡收到了數(shù)據(jù)，Linux內(nèi)核收到此數(shù)據(jù)后將根據(jù)TCP/IP配置進行網(wǎng)絡處理，處理過程類似于普通的物理網(wǎng)卡從外界收到數(shù)據(jù)。當虛擬機從外界接收數(shù)據(jù)時，對這個tap設備文件執(zhí)行讀操作，向內(nèi)核查詢tap設備上是否有數(shù)據(jù)需要被發(fā)送，有的話則取出。tun虛擬網(wǎng)卡工作在網(wǎng)絡層，配置IP地址，一般應用來建立網(wǎng)絡安全隧道，如圖4-4所示，當本機與遠端主機建立隧道后，瀏覽器訪問遠端的地址時，發(fā)送的數(shù)據(jù)首先到達tun虛擬網(wǎng)卡，然后OpenVPN(OpenVirtualPrivateNET，開放虛擬私有網(wǎng)絡)軟件讀取tun虛擬網(wǎng)卡數(shù)據(jù)，再將數(shù)據(jù)發(fā)送給內(nèi)核TCP/IP協(xié)議，最后由內(nèi)核發(fā)送給物理網(wǎng)卡。②tun虛擬網(wǎng)卡圖4-4

任務4-1隧道發(fā)送數(shù)據(jù)流程遠端主機接收到數(shù)據(jù)后的處理過程如圖4-5所示，首先物理網(wǎng)卡將數(shù)據(jù)發(fā)送給內(nèi)核，內(nèi)核將數(shù)據(jù)交給OpenVPN處理，OpenVPN向tun虛擬網(wǎng)卡寫入數(shù)據(jù)，虛擬網(wǎng)卡再將數(shù)據(jù)發(fā)送給內(nèi)核，內(nèi)核再發(fā)送給瀏覽器。圖4-5

任務4-1隧道接收數(shù)據(jù)流程veth-pair是一對虛擬設備接口一端連著協(xié)議棧，一端彼此相連著，在veth設備的其中一端輸入數(shù)據(jù)，這些數(shù)據(jù)就會從設備的另外一端原樣不變地流出，veth虛擬網(wǎng)卡最大的作用就是將不同名稱空間的網(wǎng)絡設備連接通信，將不同的網(wǎng)絡設備加入不同的名稱空間是非常必要的。③Veth虛擬網(wǎng)卡在二層網(wǎng)絡上，VLAN可以將一個物理交換機分割成幾個獨立的虛擬交換機。類似地，在三層網(wǎng)絡上，網(wǎng)絡名稱空間(namespace)可以將一個物理三層網(wǎng)絡分割成幾個獨立的虛擬三層網(wǎng)絡。每個namespace都有自己獨立的網(wǎng)絡棧，包括網(wǎng)絡接口、交換路由設備、路由表，防火墻規(guī)則等。從而允許用戶創(chuàng)建重疊的網(wǎng)絡。如圖4-6所示，Linux默認的名稱空間叫根空間，物理網(wǎng)卡位于根空間，各名稱空間之間可以通過veth成對設備直接通信，其中名稱空間1和根空間通過veth0和veth1成對設備通信，名稱空間1和名稱空間2通過veth2和veth3成對設備直接通信。圖4-6任務4-1veth虛擬網(wǎng)卡必備知識3.名稱空間Linux提供了多種類型的名稱空間（Namespace），用于隔離不同的系統(tǒng)資源，使得每個命名空間中的進程具有獨立的資源視圖。以下是一些常見的Linux名稱空間類型。①進程ID命名空間（PIDNamespace）每個PID命名空間都有獨立的進程ID號碼空間，使得在不同的命名空間中運行的進程可以具有相同的進程ID。②掛載命名空間（MountNamespace）每個掛載命名空間都有獨立的掛載點層次結(jié)構(gòu)，使得不同命名空間中的進程可以擁有不同的文件系統(tǒng)視圖。③UTS命名空間（UTSNamespace）UTS命名空間用于隔離主機名和域名，使得不同命名空間中的進程可以擁有不同的主機名。④IPC命名空間（IPCNamespace）IPC命名空間用于隔離SystemVIPC和POSIX消息隊列等進程間通信機制，使得不同命名空間中的進程無法直接通信。⑤網(wǎng)絡命名空間（NetworkNamespace）每個網(wǎng)絡命名空間都有獨立的網(wǎng)絡設備、IP地址、路由表和防火墻規(guī)則等，使得不同命名空間中的進程可以擁有獨立的網(wǎng)絡棧。⑥用戶命名空間（UserNamespace）用戶命名空間用于隔離用戶和用戶組標識符，使得不同命名空間中的進程可以擁有不同的用戶視圖。⑦控制組命名空間（CgroupNamespace）Cgroup命名空間用于隔離控制組層次結(jié)構(gòu)，使得不同命名空間中的進程可以擁有獨立的資源控制。不同類型的名稱空間可以單獨或組合使用，以實現(xiàn)更細粒度的隔離和資源管理。它們對于容器技術和虛擬化等場景非常有用，可以提供更高級別的隔離和資源控制，增強系統(tǒng)的安全性、可擴展性和性能隔離能力。運維Tap/Tun虛擬網(wǎng)卡1.查看tun內(nèi)核模塊使用CentOS8模板機創(chuàng)建一臺Linux服務器，修改名稱為node1，Linux使用tun模塊創(chuàng)建管理tap/tun虛擬網(wǎng)卡，所以首先查看是否已經(jīng)安裝了tun模塊，命令如下。[root@node1~]#lsmod|greptun圖4-7任務4-1查看默認是否加載了tun模塊運維Tap/Tun虛擬網(wǎng)卡2.管理tap/tun虛擬網(wǎng)卡（1）創(chuàng)建tap/tun虛擬網(wǎng)卡使用iptuntap命令可以創(chuàng)建tap/tun虛擬網(wǎng)卡，創(chuàng)建tap虛擬網(wǎng)卡的命令如下。[root@node1~]#iptuntapadddevtap0modetap#創(chuàng)建tap0虛擬網(wǎng)卡[root@node1~]#iptuntapadddevtun0modetun#創(chuàng)建tun0虛擬網(wǎng)卡（2）啟動tap/tun虛擬網(wǎng)卡使用iplinkset啟動網(wǎng)卡，命令如下。[root@node1~]#iplinksettap0up#啟動tap0虛擬網(wǎng)卡[root@node1~]#iplinksettun0up#啟動tun0虛擬網(wǎng)卡添加并啟動完成后，使用iplink查看系統(tǒng)所有網(wǎng)卡信息，如圖4-8所示。圖4-8任務4-1查看默認是否加載了tun模塊從圖中發(fā)現(xiàn)tap0和tun0兩塊虛擬網(wǎng)卡被創(chuàng)建出來了，雖然使用命令啟動了網(wǎng)卡，但網(wǎng)卡的狀態(tài)都是DOWN狀態(tài)，這是因為tap/tun設備的兩端分別是應用程序和TCP/IP內(nèi)核，由于虛擬網(wǎng)卡對應的應用程序端沒有應用程序，自然就無法打開網(wǎng)卡對應的文件描述符，所以tun/tap虛擬網(wǎng)卡的狀態(tài)一直是DOWN，在后面構(gòu)建KVM虛擬化網(wǎng)絡項目中，使用tap網(wǎng)卡和虛擬機網(wǎng)卡配對，就可以啟動虛擬tap虛擬網(wǎng)卡了。（3）為tun虛擬網(wǎng)卡配置IP地址tap類型的虛擬網(wǎng)卡工作在數(shù)據(jù)鏈路層，不配置IP地址，tun類型的虛擬網(wǎng)卡需要配置IP地址。為tun0配置IP地址的命令如下所示。[root@node1~]#ipaddradd192.168.1.1/24devtun0刪除地址的命令如下。[root@node1~]#ipaddrdel192.168.2.1/24devtun0（4）刪除虛擬網(wǎng)卡刪除網(wǎng)卡的命令如下。[root@node1~]#iplinkdeldevtap0#刪除tap0虛擬網(wǎng)卡[root@node1~]#iplinkdeldevtun0#刪除tun0虛擬網(wǎng)卡以上創(chuàng)建虛擬網(wǎng)卡的命令iptuntap、添加刪除IP地址命令ipaddr、刪除網(wǎng)卡命令iplink都可以在后面加上help查看命令的幫助信息。使用網(wǎng)絡名稱空間和Veth網(wǎng)卡模擬雙機互聯(lián)1.運維veth虛擬網(wǎng)卡（1）創(chuàng)建veth虛擬網(wǎng)卡veth虛擬網(wǎng)卡是成對出現(xiàn)的，所以在添加一個虛擬網(wǎng)卡的時候，需要指明對端的虛擬網(wǎng)卡名稱。[root@node1~]#iplinkaddveth1typevethpeernameveth2以上命令添加了一對虛擬網(wǎng)卡，名稱分別是veth1和veth2，使用iplink查看網(wǎng)卡，結(jié)果如圖4-9所示。圖4-9任務4-1查看添加的veth1和veth2網(wǎng)卡從結(jié)果中看到已經(jīng)添加了一對網(wǎng)卡veth1和veth2，每個網(wǎng)卡的后邊使用@veth2或者@veth1表示自己的對端，這時網(wǎng)卡狀態(tài)還是DOWN的。（2）啟動veth虛擬網(wǎng)卡[root@node1~]#iplinksetveth1up[root@node1~]#iplinksetveth2up使用iplinkset命令啟動了虛擬網(wǎng)卡veth1和對端的虛擬網(wǎng)卡veth2，再次查看虛擬網(wǎng)卡，如圖4-10所示。圖4-10任務4-1啟動網(wǎng)卡后查看狀態(tài)發(fā)現(xiàn)兩塊網(wǎng)卡已經(jīng)成功UP啟動了，因為兩塊網(wǎng)卡是成對出現(xiàn)的，所以可以將它們啟動起來。(3)配置網(wǎng)卡IP地址[root@node1~]#ipaddradd192.168.1.1/24devveth1[root@node1~]#ipaddradd192.168.1.2/24devveth2為兩塊網(wǎng)卡添加IP地址后，再次查看網(wǎng)卡IP地址信息，如圖4-11所示。圖4-11任務4-1查看veth1和veth2虛擬網(wǎng)卡IP地址使用網(wǎng)絡名稱空間和Veth網(wǎng)卡模擬雙機互聯(lián)2.運維網(wǎng)絡名稱空間在LinuxKernel2.6版本，Linux開始支持網(wǎng)絡名稱空間，不同網(wǎng)絡名稱空間共享主機的內(nèi)核，但相互隔離，每個網(wǎng)絡名稱空間具備自己獨立的網(wǎng)絡接口、路由表，防火墻規(guī)則。核心的功能在于網(wǎng)絡隔離，不同用戶可以利用自己的名稱空間創(chuàng)建網(wǎng)絡，從而實現(xiàn)網(wǎng)絡的重疊，主機默認的名稱空間是rootspace，使用veth虛擬網(wǎng)卡的兩端連接到不同的名稱空間，實現(xiàn)名稱空間的網(wǎng)絡通信。（1）創(chuàng)建網(wǎng)絡名稱空間使用ipnetns命令進行名稱空間的操作，創(chuàng)建名稱空間的命令如下。[root@localhost~]#ipnetnsaddns1#創(chuàng)建名稱空間，名稱為ns1[root@localhost~]#ipnetnsaddns2#創(chuàng)建名稱空間，名稱為ns2（2）查看名稱空間可以使用ipnetnslist查看本機的名稱空間列表，如圖4-12所示。[root@node1~]#ipnetnslist圖4-12任務4-1查看名稱空間（3）進入網(wǎng)絡名稱空間執(zhí)行操作使用ipnetnsexec進入網(wǎng)絡名稱空間，命令如下。[root@node1~]#ipnetnsexecns1bash進入后可以執(zhí)行相關網(wǎng)絡命令，如圖查看網(wǎng)卡信息，結(jié)果如圖4-13所示。圖4-13任務4-1進入ns1網(wǎng)絡名稱空間退出ns1網(wǎng)絡命令空間，進入根名稱空間使用exit，命令如下。[root@node1~]#exit也可以在不改變當前名稱空間直接操作其它名稱空間，方法是使用ipnetnsexec命令后接上要執(zhí)行的相關操作，如查看ns1名稱空間的網(wǎng)卡信息、IP地址信息、路由表的命令如下。[root@node1~]#ipnetnsexecns1iplink#查看ns1名稱空間的網(wǎng)卡信息[root@node1~]#ipnetnsexecns1ipa#查看ns1名稱空間的IP地址信息[root@node1~]#ipnetnsexecns1route-n#查看ns1名稱空間的路由表以上3條命令結(jié)果如圖4-14所示。圖4-14任務4-1不改變當前名稱空間狀態(tài)進入ns1名稱空間執(zhí)行相關操作（4）驗證不同網(wǎng)絡名稱空間的網(wǎng)絡隔離性首先在ns1名稱空間下添加veth11和veth12一對虛擬網(wǎng)卡，命令如下。[root@node1~]#ipnetnsexecns1iplinkaddveth11typevethpeernameveth12查看ns1名稱空間下的查看網(wǎng)卡信息，如圖4-15所示。圖4-15任務4-1查看ns1名稱空間添加的veth虛擬網(wǎng)卡圖4-16任務4-1查看ns2名稱空間查看網(wǎng)卡信息從結(jié)果中看出，在ns1中添加的虛擬網(wǎng)卡veth11和veth12沒有出現(xiàn)在ns2名稱空間下，說明兩個名稱空間的網(wǎng)絡是相互隔離開的。然后在ns2名稱空間下的查看網(wǎng)卡信息，命令如下。[root@node1~]#ipnetnsexecns2iplink結(jié)果如圖4-16所示。使用網(wǎng)絡名稱空間和Veth網(wǎng)卡模擬雙機互聯(lián)3.模擬雙機互聯(lián)由于每個網(wǎng)絡名稱空間的網(wǎng)絡協(xié)議棧都是隔離的，所以可以將一個名稱空間模擬成具有獨立網(wǎng)絡配置的虛擬機，將veth成對網(wǎng)卡配置在不同的網(wǎng)絡空間下，為veth配置IP地址后，可以模擬不同虛擬機之間的通信。（1）移動veth12到ns2名稱空間首先將在ns1中創(chuàng)建的veth12移動到ns2網(wǎng)絡名稱空間下，命令如下。[root@node1~]#ipnetnsexecns1iplinksetveth12netnsns2配置完成后，在ns2網(wǎng)絡空間下查看網(wǎng)卡信息，如圖4-17所示。圖4-17任務4-1查看ns2的網(wǎng)卡信息從結(jié)果中發(fā)現(xiàn)，veth12已經(jīng)移動到ns2名稱空間下，連接到ns1名稱空間，但網(wǎng)卡還是DOWN狀態(tài)。（2）配置IP地址首先啟動ns1網(wǎng)絡命令空間的veth11和ns2網(wǎng)絡命名空間的veth12網(wǎng)卡，命令如下。[root@node1~]#ipnetnsexecns1iplinksetveth11up[root@node1~]#ipnetnsexecns2iplinksetveth12up然后配置ns1中的veth11虛擬網(wǎng)卡地址為192.168.1.1/24，配置ns2中的veth12虛擬網(wǎng)卡地址為192.168.1.2/24，命令如下。[root@node1~]#ipnetnsexecns1ipaddradd192.168.1.1/24devveth11[root@node1~]#ipnetnsexecns2ipaddradd192.168.1.2/24devveth12配置完成后，查看ns1名稱空間和ns2名稱空間的網(wǎng)卡IP地址，如圖4-18所示。圖4-18任務4-1查看ns1與ns2的網(wǎng)卡IP地址從結(jié)果中發(fā)現(xiàn)網(wǎng)卡都處于啟動狀態(tài)，而且配置了相應的IP地址。（3）測試名稱空間ns1與ns2的網(wǎng)絡連通性在網(wǎng)絡名稱空間ns1上測試與ns2網(wǎng)絡名稱空間的連通性，結(jié)果如圖4-19所示。圖4-19任務4-1在ns1名稱空間測試與ns2名稱空間的連通性在網(wǎng)絡名稱空間ns2上測試與ns1網(wǎng)絡名稱空間的連通性，結(jié)果如圖4-20所示。圖4-20任務4-1在ns2名稱空間測試與ns1名稱空間的連通性從結(jié)果中發(fā)現(xiàn)，兩個名稱空間的網(wǎng)絡是可以正常通信的?？梢詫⒚Q空間ns1理解成一臺虛擬機，將名稱空間ns2理解成另一臺虛擬機，兩臺虛擬機配置了各自的網(wǎng)絡。在項目4和項目5的任務中，采用此方法來模擬虛擬機，幫助讀者理解虛擬設備與虛擬網(wǎng)絡配置，在虛擬網(wǎng)絡設備和配置方面，與實際生產(chǎn)中網(wǎng)絡虛擬化是完全一致的。使用網(wǎng)絡名稱空間和Veth網(wǎng)卡模擬雙機互聯(lián)4.持久化配置創(chuàng)建的名稱空間和虛擬網(wǎng)卡在重啟后就會消失，在大型的云平臺項目中，會使用相關程序和數(shù)據(jù)庫管理虛擬網(wǎng)絡設備，比如Openstack云平臺使用Neutron和Mysql數(shù)據(jù)庫管理虛擬化設備，當系統(tǒng)重啟后，加載相關的虛擬化設備配置。為方便管理，我們可以將配置虛擬化設備的命令寫到Shell腳本中，將腳本放在/etc/profile.d目錄下，當系統(tǒng)重啟時，就會讀取命令腳本，創(chuàng)建好虛擬化網(wǎng)絡設備，步驟如下。[root@node2~]#cd/etc/profile.d/#進入系統(tǒng)啟動讀取腳本目錄[root@node2profile.d]#touchstart.sh#創(chuàng)建腳本文件start.sh[root@node2profile.d]#chmod+xstart.sh#增加腳本的可執(zhí)行權限然后將以下配置加入到文件中。#/bin/bashipnetnsaddns1ipnetnsaddns2ipnetnsexecns1iplinkaddveth11typevethpeernameveth12ipnetnsexecns1iplinksetveth12netnsns2ipnetnsexecns1iplinksetveth11upipnetnsexecns2iplinksetveth12upipnetnsexecns1ipaddradd192.168.1.1/24devveth11ipnetnsexecns2ipaddradd192.168.1.2/24devveth12當系統(tǒng)重新啟動后，就會默認讀取start.sh腳本，創(chuàng)建配置相關的虛擬網(wǎng)絡設備了。構(gòu)建Flat扁平虛擬化網(wǎng)絡【知識目標】（1）掌握虛擬網(wǎng)橋的功能。（2）掌握LinuxBridge虛擬網(wǎng)橋的運維方法。（3）掌握虛擬化扁平網(wǎng)絡的特點。（1）能夠使用LinuxBridge構(gòu)建扁平虛擬化網(wǎng)絡。（2）能夠使用虛擬網(wǎng)橋綁定宿主機網(wǎng)卡實現(xiàn)外部網(wǎng)絡訪問虛擬機?！炯寄苣繕恕繄D4-21任務4-2網(wǎng)絡拓撲【網(wǎng)絡拓撲】任務4-2的網(wǎng)絡拓撲如圖4-21所示。必備知識1.LinuxBridge虛擬網(wǎng)橋Linux網(wǎng)橋（LinuxBridge）是一個在Linux操作系統(tǒng)上實現(xiàn)的虛擬網(wǎng)橋技術，用于連接和轉(zhuǎn)發(fā)網(wǎng)絡數(shù)據(jù)包。它可以將多個網(wǎng)絡接口（物理或虛擬）連接在一起，形成一個邏輯上的局域網(wǎng)，并提供基本的二層網(wǎng)絡交換功能。LinuxBridge工作在數(shù)據(jù)鏈路層，通過學習和轉(zhuǎn)發(fā)MAC地址來實現(xiàn)數(shù)據(jù)包的轉(zhuǎn)發(fā)。它采用透明的方式工作，不需要對連接到網(wǎng)橋上的設備進行任何特殊配置，就像連接到物理交換機一樣。LinuxBridge的主要特點和功能包括：（1）虛擬化LinuxBridge可以連接不同虛擬機之間的虛擬網(wǎng)絡接口，實現(xiàn)虛擬機之間的通信和互連。（2）廣播域隔離通過創(chuàng)建多個虛擬網(wǎng)橋，可以將不同的網(wǎng)絡接口隔離到不同的廣播域中，實現(xiàn)邏輯上的網(wǎng)絡隔離。（3）網(wǎng)絡擴展LinuxBridge支持添加更多的網(wǎng)絡接口到網(wǎng)橋上，以擴展網(wǎng)絡規(guī)模。（4）STP支持LinuxBridge支持SpanningTreeProtocol（STP），用于防止網(wǎng)絡環(huán)路，提高網(wǎng)絡穩(wěn)定性。（5）VLAN支持LinuxBridge可以配置虛擬局域網(wǎng)（VLAN）接口，實現(xiàn)不同VLAN之間的隔離和通信。（6）網(wǎng)橋監(jiān)控LinuxBridge提供監(jiān)控和管理網(wǎng)橋的工具，可以查看網(wǎng)橋狀態(tài)、端口信息等。必備知識2.Flat扁平網(wǎng)絡在計算機網(wǎng)絡中，F(xiàn)lat（扁平）網(wǎng)絡是指沒有分層結(jié)構(gòu)的網(wǎng)絡，所有設備都處于同一層級。具體來說，F(xiàn)lat網(wǎng)絡有以下特點。（1）所有設備都可以直接相互通信，無需通過任何中間設備。（2）所有設備都有唯一的IP地址，這些地址可以通過簡單的子網(wǎng)掩碼進行劃分。（3）所有設備都可以與任何其他設備直接通信，網(wǎng)絡中沒有任何障礙或限制。（4）扁平網(wǎng)絡通常用于小型局域網(wǎng)或測試環(huán)境中，因為它們可以提供簡單、快速和低成本的網(wǎng)絡連接方式。但在大型企業(yè)網(wǎng)絡環(huán)境中，使用Flat網(wǎng)絡可能會導致網(wǎng)絡管理和安全性方面的挑戰(zhàn)。由于Flat網(wǎng)絡中所有設備都處于同一層級，因此較難對網(wǎng)絡流量進行管理和監(jiān)控。此外，由于所有設備都可以直接通信，安全風險也會增加。在大型企業(yè)網(wǎng)絡中，通常采用分層結(jié)構(gòu)來提高管理和安全性，并對不同層級的設備實施不同的訪問控制策略。運維LinuxBridge虛擬網(wǎng)橋1.創(chuàng)建管理LinuxBridge使用brctl命令運維LinuxBridge，包括添加查看刪除網(wǎng)橋、在網(wǎng)橋上添加網(wǎng)卡、刪除網(wǎng)卡等操作，使用brctl--help可以查看運維網(wǎng)橋的相關命令，如圖4-23所示。圖4-23任務4-2上傳虛擬網(wǎng)橋安裝包到系統(tǒng)上（1）創(chuàng)建虛擬網(wǎng)橋在系統(tǒng)中添加一個虛擬網(wǎng)橋的命令如下。[root@node1~]#brctladdbrbr0（2）查看虛擬網(wǎng)橋查看虛擬網(wǎng)橋的命令如下。[root@node1~]#brctlshow，結(jié)果如圖4-24所示，添加了名稱為br0的網(wǎng)橋。圖4-24查看虛擬網(wǎng)橋（3）添加網(wǎng)絡接口到網(wǎng)橋上將ens192網(wǎng)卡綁定到網(wǎng)橋上的命令如下。[root@node1~]#brctladdifbr0ens192配置完成后，再次查看網(wǎng)橋，如圖4-25所示，在接口字段顯示了ens192網(wǎng)卡。圖4-25任務4-2添加網(wǎng)卡到網(wǎng)橋（4）刪除網(wǎng)絡接口將網(wǎng)橋上的ens192接口刪除的命令如下。[root@node1~]#brctldelifbr0ens192再次查看網(wǎng)橋，ens192就已經(jīng)被刪除了。（5）刪除網(wǎng)橋首先將網(wǎng)橋的模式設置成DOWN關閉狀態(tài)。[root@node1~]#iplinksetbr0down然后刪除網(wǎng)橋，命令如下。[root@node1~]#brctldelbrbr0運維LinuxBridge虛擬網(wǎng)橋2.LinuxBridge網(wǎng)橋持久化配置使用命令創(chuàng)建的網(wǎng)橋在系統(tǒng)重啟后會消失，創(chuàng)建持久化網(wǎng)橋br0的步驟如下。（1）進入網(wǎng)卡配置文件目錄[root@node4~]#cd/etc/sysconfig/network-scripts/（2）創(chuàng)建ifcfg-br0文件在創(chuàng)建的文件中輸入以下配置。TYPE=BridgeNAME=br0DEVICE=br0ONBOOT=yes配置完成后，重啟網(wǎng)絡管理后，br0網(wǎng)橋就出現(xiàn)在系統(tǒng)中了，重啟后也不會消失。（3）配置網(wǎng)卡連接到網(wǎng)橋在原有網(wǎng)卡配置文件內(nèi)容的基礎上，在最后增加一行BRIDGE=br0，重啟網(wǎng)絡管理和網(wǎng)卡后，就可以通過配置文件方式將網(wǎng)卡加入到網(wǎng)橋了。使用虛擬網(wǎng)橋構(gòu)建Flat網(wǎng)絡1.創(chuàng)建Flat主機首先使用CentOS8.ova模板機創(chuàng)建一個名稱為Flat的服務器，服務器的第一張網(wǎng)卡連接到vmnet1上，虛擬機的第2張網(wǎng)卡連接到vmnet8上，使用nat模式，網(wǎng)絡地址規(guī)劃如表4-1所示。表4-1網(wǎng)卡地址及所示網(wǎng)絡網(wǎng)卡名稱連接到交換機IP地址網(wǎng)絡模式nat網(wǎng)關ens160vmnet1192.168.10.2/24僅主機

ens192vmnet8不啟動nat192.168.200.2按照4-1表格創(chuàng)建虛擬，登陸后，查看IP如圖4-26所示圖4-26任務4-2flat主機初始狀態(tài)其中ens160用來登陸管理主機，ens192用來連接外部網(wǎng)絡。使用虛擬網(wǎng)橋構(gòu)建Flat網(wǎng)絡2.構(gòu)建Flat扁平化網(wǎng)絡（1）創(chuàng)建3臺虛擬機在系統(tǒng)中創(chuàng)建3個網(wǎng)絡名稱空間，名稱分別為vm1、vm2、vm3，命令如下。[root@flat~]#ipnetnsaddvm1[root@flat~]#ipnetnsaddvm2[root@flat~]#ipnetnsaddvm3（2）添加veth虛擬網(wǎng)卡，配置IP地址。①添加veth虛擬網(wǎng)卡在根空間添加3對虛擬網(wǎng)卡，分別是veth1和veth11、veth2和veth12、veth3和veth13，命令如下。[root@flat~]#iplinkaddveth1typevethpeernameveth11[root@flat~]#iplinkaddveth2typevethpeernameveth12[root@flat~]#iplinkaddveth3typevethpeernameveth13②移動veth網(wǎng)卡到指定網(wǎng)絡名稱空間將veth1移動到vm1網(wǎng)絡名稱空間下，veth2移動到vm2網(wǎng)絡名稱空間下，veth3移動到vm3網(wǎng)絡名稱空間下，命令如下。[root@flat~]#iplinksetveth1netnsvm1[root@flat~]#iplinksetveth2netnsvm2[root@flat~]#iplinksetveth3netnsvm3③啟動虛擬網(wǎng)卡，配置IP配置veth1網(wǎng)卡IP地址和子網(wǎng)掩碼為192.168.200.10/24，配置veth2網(wǎng)卡IP地址和子網(wǎng)掩碼為192.168.200.20/24，配置veth3網(wǎng)卡IP地址和子網(wǎng)掩碼為192.168.200.30/24，命令如下。[root@flat~]#ipnetnsexecvm1ipaddradd192.168.200.10/24devveth1[root@flat~]#ipnetnsexecvm2ipaddradd192.168.200.20/24devveth2[root@flat~]#ipnetnsexecvm3ipaddradd192.168.200.30/24devveth3配置IP地址后，啟動6塊虛擬網(wǎng)卡，命令如下。[root@flat~]#ipnetnsexecvm1iplinksetveth1up[root@flat~]#ipnetnsexecvm2iplinksetveth2up[root@flat~]#ipnetnsexecvm3iplinksetveth3up[root@flat~]#iplinksetveth11up[root@flat~]#iplinksetveth12up[root@flat~]#iplinksetveth13up（3）添加LinuxBridge虛擬網(wǎng)橋，綁定veth11、veth12、veth13①添加虛擬網(wǎng)橋安裝網(wǎng)橋工具后，使用brctl命令添加虛擬網(wǎng)橋br0，啟動網(wǎng)橋，命令如下。[root@flat~]#br