2. 程式人生 > >KVM虛擬化的四種簡單網絡模型介紹及實現(一)

KVM虛擬化的四種簡單網絡模型介紹及實現(一)

阿新 發佈:2018-06-24
_for only 應該 code eth tun x86_64 信息 dock

KVM中的四種簡單網絡模型,分別如下:
1、隔離模型:虛擬機之間組建網絡,該模式無法與宿主機通信,無法與其他網絡通信,相當於虛擬機只是連接到一臺交換機上。
2、路由模型:相當於虛擬機連接到一臺路由器上,由路由器(物理網卡),統一轉發,但是不會改變源地址。
3、NAT模型:在路由模式中,會出現虛擬機可以訪問其他主機,但是其他主機的報文無法到達虛擬機,而NAT模式則將源地址轉換為路由器(物理網卡)地址,這樣其他主機也知道報文來自那個主機,在docker環境中經常被使用。
4、橋接模型:在宿主機中創建一張虛擬網卡作為宿主機的網卡,而物理網卡則作為交換機。

下面分別對四種網絡模型進行解讀和實現,在之前,首先還是先交待一下環境:

宿主機:VMware虛擬機,2CPU,4G內存,40G存儲
宿主機操作系統:CentOS 6.5 x86_64
網卡1:192.168.49.10 (NAT模式) 默認網關:192.168.49.2 可訪問外網
網卡2:172.28.88.100 (Host-Only模式)

一、隔離模型

技術分享圖片

如上圖(圖片搜集於網絡)所示,Guest1和Guest2都是在宿主機上創建的虛擬機,虛擬機的網卡分為前半段和後半段,前半段位於虛擬機上,後半段在宿主機上,按照圖中所示,前半段就是eth0,它是在虛擬機內部看到的網卡名字,而後半段就是vnet0和vnet1,它們是在宿主機上看到的網卡名字。實際上,在Guest1上所有發往eth0的數據就是直接發往vnet0,是由vnet0進行數據的傳送處理。

在隔離模式下,宿主機創建一個虛擬交換機vSwitch,然後把vnet0和vnet1接入到該虛擬交換機,交換機也可以叫做bridge,因為vnet0和vnet1在一個網橋內,所以可以互相通信,而虛擬機的eth0是通過後半段進行數據傳輸,所以只要虛擬機的前半段ip在一個網段內,就可以互相通信,這就是隔離模式。

實現方式:
1、創建虛擬網橋br0
[root@kvm-node1 ~]# yum -y install bridge-utils
[root@kvm-node1 ~]# brctl addbr br0
[root@kvm-node1 ~]# ifconfig br0 up
[root@kvm-node1 ~]# brctl show

bridge name bridge id STP enabled interfaces
br0 8000.000000000000 no
2、編寫一個網卡啟動腳本
[root@kvm-node1 ~]# vi /opt/tools/qemu-ifup
[root@kvm-node1 ~]# cat /opt/tools/qemu-ifup 

#!/bin/bash

BRIDGE=br0
if [  -n $1 ];then
    ip link set $1 up
    sleep 2
    brctl addif $BRIDGE $1
    [ $? -eq 0 ] && exit 0 || exit 1
else
    echo -e "\033[1;31mYou must give an interface.\033[0m"
    exit 3
fi

3、使用qumu-kvm創建2臺虛擬機
創建第一臺名為centos5-1的kvm虛擬機:
qemu-kvm -name "centos5-1" -smp 1 -m 512 -drive file=/images/kvm/centos5.img,if=virtio,media=disk,cache=writeback -net nic,model=virtio,macaddr=00:0c:29:86:4e:1a -net tap,ifname=vnet0.0,script=/opt/tools/qemu-ifup
創建第二臺名為centos5-2的kvm虛擬機:
qemu-kvm -name "centos5-2" -smp 1 -m 512 -drive file=/images/kvm/centos5_2.img,if=virtio,media=disk,cache=writeback -net nic,model=virtio,macaddr=00:0c:29:86:4e:6a -net tap,ifname=vnet0.1,script=/opt/tools/qemu-ifup
這裏我使用了之前安裝過的虛擬機鏡像文件,跳過安裝過程,可以直接進入系統,安裝過程可參照之前的文章。
4、到宿主機上查看虛擬機的網卡後半段
待兩臺虛擬機都啟動後,我們在宿主機中可以看到有2章虛擬網卡vnet0.0和vnet0.1,這就是兩臺虛擬機網卡的後半段。
[root@kvm-node1 ~]# ifconfig
...........
vnet0.0 Link encap:Ethernet HWaddr D2:65:97:7B:15:00
inet6 addr: fe80::d065:97ff:fe7b:1500/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:24 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:4993 (4.8 KiB) TX bytes:468 (468.0 b)

vnet0.1 Link encap:Ethernet HWaddr 82:94:C0:92:18:34
inet6 addr: fe80::8094:c0ff:fe92:1834/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:25 errors:0 dropped:0 overruns:0 frame:0
TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:5329 (5.2 KiB) TX bytes:468 (468.0 b)

查看虛擬網橋信息:
技術分享圖片

5、登錄虛擬機中進行查看
技術分享圖片
由於我並沒有dhcp服務,所以虛擬機獲取不到IP地址,我選擇手動配置兩個IP地址,
技術分享圖片
此時,兩個虛擬機的eth0已經配好了IP地址,我們嘗試在每臺虛擬機上ping對方的IP地址,
技術分享圖片
兩臺虛擬機可以互相通信了,那麽虛擬機和宿主機之間呢?
技術分享圖片
虛擬機無法ping通宿主機
技術分享圖片
宿主機也無法ping通虛擬機。
這就是隔離模型,虛擬機之間可以互相通信,宿主機和虛擬機之間的網絡是隔離開的。

二、路由模型

技術分享圖片

在隔離模型的基礎上,將宿主機的一塊虛擬網卡virnet0加入到虛擬網橋中,這樣virnet0就可以和虛擬機通信,通過將虛擬機的默認網關設置為virnet0的IP地址,然後在宿主機中打開IP地址轉發,使得虛擬機可以訪問宿主機。不過此時虛擬機僅僅可以將報文發送到外部網絡,因為外部網絡沒有路由到虛擬機中,所以外部網絡無法將報文回傳給虛擬機。

實現方式:
1、在宿主機上創建一個虛擬網卡
[root@kvm-node1 ~]# yum -y install tunctl
[root@kvm-node1 ~]# tunctl -b
tap0
[root@kvm-node1 ~]# ifconfig tap0
tap0 Link encap:Ethernet HWaddr 12:37:6E:87:3C:A8
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:500
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
2、將tap0網卡加入到虛擬網橋br0中
[root@kvm-node1 ~]# ifconfig tap0 192.168.220.100 up
[root@kvm-node1 ~]# brctl addif br0 tap0
[root@kvm-node1 ~]# ifconfig tap0 0.0.0.0
[root@kvm-node1 ~]# ifconfig br0 192.168.220.100 netmask 255.255.255.0 up
技術分享圖片
3、進入虛擬機並將虛擬機的默認網關設置為tap0的IP地址
技術分享圖片
4、打開宿主機的ip轉發功能
[root@kvm-node1 ~]# sed -i ‘/ip_forward/s/0/1/‘ /etc/sysctl.conf
[root@kvm-node1 ~]# sysctl -p
5、嘗試在虛擬機中ping宿主機的IP地址
技術分享圖片
可以ping通宿主機的IP地址
6、嘗試ping宿主機的網關的ip地址
技術分享圖片
無法ping通宿主機的網關的IP地址
之所以無法ping通,是因為報文發到網關後,網關找不到回包的路由,所以報文無法回復,這時候,我們通過在宿主機上添加一條iptables規則,使得網關可以回包。
iptables -t nat -A POSTROUTING -s 192.168.220.0/24 -j MASQUERADE
技術分享圖片
此時,我們再次嘗試在虛擬機上ping宿主機網關地址
技術分享圖片
已經可以ping通宿主機的網關了
7、在宿主機外的主機上ping虛擬機的地址
比如,我在運行VMware的主機上,當然宿主機的網關也在該主機上(熟悉VMware的應該了解),此時我的windows主機的IP地址有192.168.49.1和172.28.88.1,我嘗試在windows主機上去ping虛擬機的地址。
技術分享圖片
此時,外部主機(windows主機)也無法ping通虛擬機,那麽為了能ping通,我們還需要添加一條路由,
route add 192.168.220.0 mask 255.255.255.0 192.168.49.10
技術分享圖片
添加該路由後,外部主機已經可以和虛擬機通信了。

通過上述實踐,也可以發現路由模型的缺陷,雖然虛擬機能同宿主機通信,也能將數據包發到外部網絡,但是外部網絡無法回傳數據包,要想外部網絡能與虛擬機通信,就要添加對應的路由規則。這對於大規模的虛擬環境,顯然是不切實際的。

KVM虛擬化的四種簡單網絡模型介紹及實現(一)

相關推薦

KVM虛擬化簡單模型介紹實現

_for only 應該 code eth tun x86_64 信息 dock KVM中的四種簡單網絡模型,分別如下:1、隔離模型:虛擬機之間組建網絡,該模式無法與宿主機通信,無法與其他網絡通信,相當於虛擬機只是連接到一臺交換機上。2、路由模型:相當於虛擬機連接到一臺路由

KVM虛擬化簡單模型介紹實現

str drive 51cto -c water -a return dfa 模型 接上篇,介紹NAT網絡模型和橋接模型。 三、NAT模型 NAT模型其實就是SNAT的實現,路由中虛擬機能將報文發送給外部主機,但是外部主機因找不到通往虛擬機的路由因而無法回應請求。但是外部

socket 編程高速入門教你編寫基於UDP/TCP的服務client通信

unix fflush ins tracking ng- main ack ndt accept 由於UNIX和Win的socket大同小異,為了方便和大眾化,這裏先介紹Winsock編程。 socket 網絡編程的難點在入門的時候就是對基本函數的了解和使用,由於

Java Socket編程學習筆記

out 消息 服務端 soc stream ron () tro throws 0.前言   其實大概半年前就已經看過網絡編程Socket的知識了(傳統IO),但是因為長時間的不使用導致忘的一幹二凈,最近正好準備校招,又重新看了網絡編程這一章,  是傳統IO(BIO)

kali系統——安全v6筆記總結

堅持 pen 掃描 回溯 自己 是你 定義 bili 自主 kali:(Kali Linux)是一個***測試,安全審計(Security Auditing)平臺,繼承了多款漏洞檢測,安全掃描,漏洞利用等安全工具。基於Linux操作系統——Debian,前身為Back Tr

python之pandas簡單介紹使用

dad all 就會 能夠 簡單的 兩種 first 模型 自己 python之pandas簡單介紹及使用(一) 一、  Pandas簡介1、Python Data Analysis Library 或 pandas 是基於NumPy 的一種工具,該工具是為了解決數據分析任

簡單的個人銀行管理系統實現

Java的一個實驗內容,修改上學期用C++編寫的個人銀行管理系統。 1、 個人銀行管理系統版本0.1(對應第4章記錄) 1.1 系統需求 設計一個活期儲存賬戶類,包含使用者的賬號、餘額、年利率等資訊,還可以實現顯示賬戶資訊、存款、取款、結算利息的操

工程師如何避免走彎路

網絡工程師 系統集成 如何 天臺 種類 之前說完網絡工程師進階之路 中的網管之後,很多同學表示對網絡工程師的人生感到絕望,但大家先把準備好的刀子收一下,在天臺的同學也請等一等。<img src=\‘#\‘" //pic1.zhimg.com/v2-9ee18e

攻防第一次作業201421450010

ping 目錄 -1 nis 進入目錄 del har 文件夾 基本命令 姓名:陳書揚 學號:201421450010 指導教師:高見 1、虛擬機安裝與調試 安裝windows和linux(kali)兩個虛擬機,均采用NAT網絡模式,查看主機與兩個虛擬機器的IP地址

《國家空間安全戰略》全文

生活 奮鬥 組織建設 規範 法律法規 電視 組織 信息技術 道路 作為一名偽安全從業者,緊隨大趨勢,大政策是十分有必要的,今天我這篇文章貼出,國家網信辦發布的《國家網絡空間安全戰略全文。 12月27日,經中央網絡安全和信息化領導小組批準,國家互聯網信息辦公室發布《國

python3爬蟲學習——使用requests1

返回 hub origin 存儲 python3 中文 json head flat reuqests庫中有很多便捷的方法,比如以GET方式獲得網頁,在requests庫中就是方法get(),上代碼 import requests r = requests.get(‘ht

工程師高手養成記,你湊齊了嗎?

路由 依靠 shell 51cto 安全 連接 園區網 分布式 路由器 多數網工都聽過很多教程,看過很多書,尤其是剛畢業的網工,剛剛考完CCIE或HCIE,鬥誌昂揚,但在聽到需求後卻無從下手。 那些老師沒講過的知識? 老師講過OSPF骨幹區域和Normal區域,講過各種L

命令——traceroute、tracertwindows

unix 就是 咨詢 通信 地址 fff 數值 默認值 com traceroute 路由追蹤 語法:traceroute 參數 ip / 域名1、檢測是否安裝 traceroute rpm -qa | grep traceroute2、可以用 yum apt 進

文字分類實戰—— Bi-LSTM模型 文字分類實戰—— word2vec預訓練詞向量

1 大綱概述   文字分類這個系列將會有十篇左右,包括基於word2vec預訓練的文字分類,與及基於最新的預訓練模型(ELMo,BERT等)的文字分類。總共有以下系列:   word2vec預訓練詞向量   textCNN 模型   charCNN 模型   Bi-LSTM 模型   Bi-LST

IP 外IP 卡 路由器通訊過程

       這幾天上了計算機網路的課,對於老師講的內容也是懵懵懂懂,一個慌神就沒跟上,啥ip 啥NAT一臉矇蔽。課後oogle補了點東西算是大致有了點了解,不過網上的總結都是零零散散而且點到即止。蒐集了好多大佬的總結,終於算是得出自己的一些感悟。故此在這總結一

Linux學習路線編程經典書籍轉載

網絡體系結構 https swe htm 推薦 pro 高效編程 可用 是我 linux學習資源整理:https://zhuanlan.zhihu.com/p/22654634 Linux初學者(學習資料):https://zhuanlan.zhihu.com/p/217

kali系統——安全v6筆記總結

方法 upd set udp tar 發現 lsof sources 安裝 1、kali的SSH配置與使用SSH——安全的shell,常用於遠程連接 【服務端口】tcp/22 在kali中SSH默認不開啟netstat -tnlp | grep":22&qu

kali系統——安全v6筆記總結

ado 我們 bcf sha 網絡安全 ef6 筆記 proc oss kali系統利用ms12-020漏洞***測試1、首先我們要準備一個windos7系統的虛擬機,打開系統開啟3389端口,並啟動共享。2、打開工具Metasploit,第一次啟動最好用圖形化方式,之後可

kali系統——安全v6筆記總結

計算 弱點 軟件 很多 cve 用戶 經歷 後綴名 挖礦病毒 勒索病毒——GandCrad於2018年1月面世,在短短幾個月經歷三次快速叠代,現有GandCrad v1、GandCrad v2、GandCrad v3三個版本。GandCrad v3使用CVE——2017——

kali系統——安全v6筆記總結

解密 不同的 兩種 一個 kali系統 安全 快速 由於 對稱 對稱非對稱及混合加密對稱式加密:對稱是加密是指加密方用一個密鑰加密然後把加密內容和密鑰用網絡發送給解密方,然後解密方直接用收到的密鑰解密這是一種最快速、最簡單的加密方式,加密與解密用的是同樣的密鑰所以也稱為單密