項(xiàng)目5(1)-構(gòu)建跨宿主機(jī)的VLAN虛擬化網(wǎng)絡(luò)

項(xiàng)目五構(gòu)建企業(yè)級(jí)虛擬化網(wǎng)絡(luò)《云網(wǎng)絡(luò)技術(shù)項(xiàng)目教程》目錄/Contents(1)(2)配置相同VLAN虛擬機(jī)的跨主機(jī)互訪配置不同VLAN虛擬機(jī)的跨主機(jī)互訪(3)實(shí)現(xiàn)VLAN虛擬化網(wǎng)絡(luò)內(nèi)外網(wǎng)互訪圖5-1項(xiàng)目5任務(wù)思維導(dǎo)圖構(gòu)建雙機(jī)互聯(lián)虛擬化網(wǎng)絡(luò)【知識(shí)目標(biāo)】（1）掌握跨主機(jī)虛擬化網(wǎng)絡(luò)的常用技術(shù)。（2）掌握虛擬路由器的構(gòu)建與配置方法。（1）能夠配置跨主機(jī)的VLAN通信。（2）能夠使用虛擬路由器實(shí)現(xiàn)跨主機(jī)的虛擬機(jī)內(nèi)外網(wǎng)通信。【技能目標(biāo)】【網(wǎng)絡(luò)拓?fù)洹咳蝿?wù)5-1的網(wǎng)絡(luò)拓?fù)淙鐖D5-2所示。圖5-2任務(wù)5-1網(wǎng)絡(luò)拓?fù)浔貍渲R(shí)1.跨宿主機(jī)虛擬化網(wǎng)絡(luò)在傳統(tǒng)的物理網(wǎng)絡(luò)中，不同的計(jì)算設(shè)備通過(guò)物理連接進(jìn)行通信。而在虛擬化環(huán)境中，多個(gè)虛擬機(jī)或容器可能運(yùn)行在不同的宿主機(jī)上，它們需要能夠相互通信和交換數(shù)據(jù)?？缢拗鳈C(jī)虛擬化網(wǎng)絡(luò)解決了這一需求，使得虛擬化實(shí)例能夠在不同宿主機(jī)之間實(shí)現(xiàn)網(wǎng)絡(luò)連接?？缢拗鳈C(jī)虛擬化網(wǎng)絡(luò)可以通過(guò)不同的技術(shù)來(lái)實(shí)現(xiàn)，主要包括以下幾種。（1）VLAN（VirtualLocalAreaNetwork，虛擬局域網(wǎng)）使用虛擬局域網(wǎng)技術(shù)將跨宿主機(jī)的虛擬機(jī)劃分到不同的邏輯網(wǎng)絡(luò)中，實(shí)現(xiàn)隔離和通信。（2）VXLAN（VirtualExtensibleLAN，虛擬擴(kuò)展局域網(wǎng)）使用封裝技術(shù)將虛擬機(jī)數(shù)據(jù)包封裝在UDP數(shù)據(jù)包中，通過(guò)物理網(wǎng)絡(luò)傳輸，在目標(biāo)宿主機(jī)上解封裝并將數(shù)據(jù)包傳遞給相應(yīng)的虛擬機(jī)。（3）GRE（GenericRoutingEncapsulation，通用路由封裝）使用通用路由封裝技術(shù)將虛擬機(jī)數(shù)據(jù)包封裝在GRE報(bào)文中，在不同宿主機(jī)之間進(jìn)行路由轉(zhuǎn)發(fā)?？缢拗鳈C(jī)虛擬化網(wǎng)絡(luò)可以提供靈活性和可擴(kuò)展性，使虛擬化實(shí)例能夠在不同宿主機(jī)之間進(jìn)行遷移、負(fù)載均衡和故障恢復(fù)。它還可以提供網(wǎng)絡(luò)隔離、安全性和性能優(yōu)化等功能，為分布式應(yīng)用和云計(jì)算環(huán)境提供了高效的網(wǎng)絡(luò)通信解決方案。不同類型的名稱空間可以單獨(dú)或組合使用，以實(shí)現(xiàn)更細(xì)粒度的隔離和資源管理。它們對(duì)于容器技術(shù)和虛擬化等場(chǎng)景非常有用，可以提供更高級(jí)別的隔離和資源控制，增強(qiáng)系統(tǒng)的安全性、可擴(kuò)展性和性能隔離能力。必備知識(shí)2.網(wǎng)卡子接口網(wǎng)卡物理子接口（PhysicalSubinterface）是指在物理網(wǎng)卡上創(chuàng)建的邏輯接口，用于在單個(gè)物理網(wǎng)卡上實(shí)現(xiàn)多個(gè)邏輯網(wǎng)絡(luò)接口。通過(guò)創(chuàng)建物理子接口，將一個(gè)物理網(wǎng)卡劃分為多個(gè)獨(dú)立的邏輯接口，每個(gè)接口都具有自己的IP地址、子網(wǎng)掩碼和其他網(wǎng)絡(luò)配置參數(shù)，通常有以下幾種用途。（1）虛擬化環(huán)境在虛擬化環(huán)境中，物理網(wǎng)卡可以被劃分為多個(gè)物理子接口，每個(gè)子接口可以分配給不同的虛擬機(jī)或容器實(shí)例，從而實(shí)現(xiàn)虛擬機(jī)之間的隔離和獨(dú)立網(wǎng)絡(luò)連接。（2）網(wǎng)絡(luò)分割通過(guò)創(chuàng)建物理子接口，您可以將物理網(wǎng)卡劃分為多個(gè)邏輯網(wǎng)絡(luò)接口，每個(gè)接口連接到不同的網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)分割和隔離。這對(duì)于構(gòu)建復(fù)雜網(wǎng)絡(luò)拓?fù)浜蛯?shí)現(xiàn)安全策略非常有用。（3）帶寬管理通過(guò)將物理網(wǎng)卡劃分為多個(gè)物理子接口，可以對(duì)每個(gè)子接口設(shè)置帶寬限制和優(yōu)先級(jí)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的精細(xì)控制和管理。在操作系統(tǒng)中，可以使用特定的命令或工具來(lái)創(chuàng)建和配置物理子接口。具體的方式和命令可能會(huì)因操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備型號(hào)而有所不同。在Linux系統(tǒng)中，可以使用命令如ifconfig或ip來(lái)創(chuàng)建和配置物理子接口。在Windows系統(tǒng)中，可以使用圖形界面或命令行工具來(lái)進(jìn)行配置。配置相同VLAN虛擬機(jī)的跨主機(jī)互訪1.配置相同VLAN虛擬機(jī)的跨主機(jī)互訪首先使用CentOS8.ova模板機(jī)創(chuàng)建兩個(gè)名稱為node1、node2的服務(wù)器，兩臺(tái)服務(wù)器的網(wǎng)卡及IP地址配置如表5-1所示。表5-1網(wǎng)卡地址及所屬網(wǎng)絡(luò)服務(wù)器名稱網(wǎng)卡名稱

連接到網(wǎng)絡(luò)網(wǎng)絡(luò)模式IP地址node1ens160VMnet1僅主機(jī)192.168.10.2ens192VMnet4自定義網(wǎng)絡(luò)不配置IP地址ens256VMnet8nat模式不配置IP地址node2ens160VMnet1僅主機(jī)192.168.10.3ens192VMnet4自定義網(wǎng)絡(luò)不配置IP地址其中node1和node2服務(wù)器的ens160網(wǎng)卡用于登錄管理主機(jī)，ens192網(wǎng)卡用于跨主機(jī)之間的網(wǎng)絡(luò)通信，node1服務(wù)器的ens256用于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)，也就是說(shuō)，node2節(jié)點(diǎn)的虛擬機(jī)訪問(wèn)外部網(wǎng)絡(luò)也要通過(guò)node1節(jié)點(diǎn)的ens256網(wǎng)卡，配置完成后，查看node1服務(wù)器的網(wǎng)卡和IP地址配置，如圖5-3所示。圖5-3任務(wù)5-1node1服務(wù)器網(wǎng)卡配置查看node2服務(wù)器的網(wǎng)卡和IP地址配置，如圖5-4所示。圖5-4任務(wù)5-1node2服務(wù)器網(wǎng)卡配置配置相同VLAN虛擬機(jī)的跨主機(jī)互訪2.配置VM1與VM3、VM2與VM4的跨主機(jī)通信（1）創(chuàng)建ens192網(wǎng)卡的子接口在node1和node2服務(wù)器上，創(chuàng)建ens192的兩個(gè)子接口，分別是用于vm1和vm3之間通信的VLAN10子接口，名稱為ifcfg-ens192.10，用于vm2和vm4之間通信的VLAN20子接口，名稱為ifcfg-ens192.20，步驟如下。在node1和node2服務(wù)器上，進(jìn)入網(wǎng)卡配置文件目錄/etc/sysconfig/network-scripts/，在目錄下創(chuàng)建文件ifcfg-ens192.10，在文件中輸入以下內(nèi)容。VLAN=yes#啟用VLAN配置TYPE=VLAN#接口類型是VLAN接口PHYSDEV=ens192#指明是ens192網(wǎng)卡的子接口VLAN_ID=10#指明經(jīng)過(guò)這個(gè)接口的VLANID是10NAME=ens192.10#網(wǎng)卡的名稱DEVICE=ens192.10#設(shè)備名稱ONBOOT=yes#設(shè)置開(kāi)機(jī)啟動(dòng)這個(gè)網(wǎng)卡用來(lái)連接虛擬網(wǎng)橋1，為虛擬機(jī)1提供VLAN通信服務(wù)，同理建立ifcfg-ens192.20，在文件中輸入以下內(nèi)容VLAN=yes#啟用VLAN配置TYPE=VLAN#接口類型是VLAN接口PHYSDEV=ens192#指明是ens192網(wǎng)卡的子接口VLAN_ID=20#指明經(jīng)過(guò)這個(gè)接口的VLANID是20NAME=ens192.20#網(wǎng)卡的名稱DEVICE=ens192.20#設(shè)備名稱ONBOOT=yes#設(shè)置開(kāi)機(jī)啟動(dòng)配置完成后，在兩臺(tái)服務(wù)器上重啟啟動(dòng)網(wǎng)絡(luò)管理程序和網(wǎng)卡，發(fā)現(xiàn)在兩臺(tái)服務(wù)器上都增加了兩塊虛擬網(wǎng)卡，本別是ens192.10和ens192.20。node1服務(wù)器新增ens192的網(wǎng)卡子接口如圖5-5所示。圖5-5任務(wù)5-1node1新增虛擬網(wǎng)卡圖5-6任務(wù)5-1node2新增虛擬網(wǎng)卡node2服務(wù)器新增ens192的網(wǎng)卡子接口如圖5-6所示。當(dāng)某個(gè)網(wǎng)橋連接到ens192.10和ens192.20接口后，經(jīng)過(guò)ens192.10接口的不帶有VLAN標(biāo)識(shí)的數(shù)據(jù)就會(huì)打上VLAN10的標(biāo)記，帶有VLAN10標(biāo)記的數(shù)據(jù)會(huì)摘掉標(biāo)記。經(jīng)過(guò)ens192.20接口的不帶有VLAN標(biāo)識(shí)的數(shù)據(jù)就會(huì)打上VLAN20的標(biāo)記，帶有VLAN20標(biāo)記的數(shù)據(jù)會(huì)摘掉標(biāo)記。和物理網(wǎng)絡(luò)的道理是一致的。（2）node1服務(wù)器創(chuàng)建名稱空間、虛擬網(wǎng)卡、網(wǎng)橋①創(chuàng)建網(wǎng)絡(luò)名稱空間首先在node1服務(wù)器創(chuàng)建網(wǎng)絡(luò)名稱空間vm1和vm2，配置如下。[root@node1~]#ipnetnsaddvm1#創(chuàng)建網(wǎng)絡(luò)名稱空間vm1[root@node1~]#ipnetnsaddvm2#創(chuàng)建網(wǎng)絡(luò)名稱空間vm2②創(chuàng)建虛擬網(wǎng)卡首先在node1服務(wù)器創(chuàng)建連接虛擬vm1和虛擬網(wǎng)橋br1的成對(duì)虛擬網(wǎng)卡veth1和veth11，配置如下。[root@node1~]#iplinkaddveth1typevethpeernameveth11#創(chuàng)建成對(duì)虛擬網(wǎng)卡然后創(chuàng)建連接虛擬機(jī)vm2和虛擬網(wǎng)橋br2的成對(duì)網(wǎng)卡veth2和veth22，配置如下。[root@node1~]#iplinkaddveth2typevethpeernameveth22#創(chuàng)建成對(duì)虛擬網(wǎng)卡將創(chuàng)veth1移動(dòng)到vm1網(wǎng)絡(luò)名稱空間下，模擬虛擬機(jī)vm1。將veth2移動(dòng)到vm2網(wǎng)絡(luò)名稱空間下，模擬虛擬機(jī)vm2，配置如下。[root@node1~]#iplinksetveth1netnsvm1#移動(dòng)veth1網(wǎng)卡到vm1名稱空間[root@node1~]#iplinksetveth2netnsvm2#移動(dòng)veth2網(wǎng)卡到vm2名稱空間③創(chuàng)建網(wǎng)橋，連接虛擬網(wǎng)卡在node1服務(wù)器上，安裝網(wǎng)橋軟件，然后創(chuàng)建虛擬網(wǎng)橋br1和br2，配置如下。[root@node1~]#brctladdbrbr1#添加網(wǎng)橋br1[root@node1~]#brctladdbrbr2#添加網(wǎng)橋br2將虛擬網(wǎng)卡veth11和ens192.10添加到br1虛擬網(wǎng)橋上，配置如下。[root@node1~]#brctladdifbr1veth11#br1綁定veth11網(wǎng)卡[root@node1~]#brctladdifbr1ens192.10#br1綁定ens192.10網(wǎng)卡將veth22和ens192.20添加到虛擬網(wǎng)橋br2上，配置如下。[root@node1~]#brctladdifbr2veth22#br2綁定veth22網(wǎng)卡[root@node1~]#brctladdifbr2ens192.20#br2綁定ens192.20網(wǎng)卡配置完成后，查看node1服務(wù)器的網(wǎng)橋配置，如圖5-7所示。圖5-8任務(wù)5-1node1上的vm1名稱空間網(wǎng)卡信息網(wǎng)絡(luò)名稱空間vm1網(wǎng)卡配置信息，如圖5-8所示。圖5-9任務(wù)5-1node1上的vm2名稱空間網(wǎng)卡信息網(wǎng)絡(luò)名稱空間vm2網(wǎng)卡配置信息，如圖5-9所示。（3）node2服務(wù)器創(chuàng)建名稱空間、虛擬網(wǎng)卡、網(wǎng)橋①創(chuàng)建網(wǎng)絡(luò)名稱空間首先在node2服務(wù)器創(chuàng)建網(wǎng)絡(luò)名稱空間vm3和vm4，配置如下。[root@node2~]#ipnetnsaddvm3#添加網(wǎng)絡(luò)名稱空間vm3[root@node2~]#ipnetnsaddvm4#添加網(wǎng)絡(luò)名稱空間vm4②創(chuàng)建虛擬網(wǎng)卡首先在node2服務(wù)器創(chuàng)建連接虛擬vm3和虛擬網(wǎng)橋br1的成對(duì)虛擬網(wǎng)卡veth1和veth11，配置如下。[root@node2~]#iplinkaddveth1typevethpeernameveth11#添加成對(duì)veth網(wǎng)卡然后創(chuàng)建連接虛擬機(jī)vm2和虛擬網(wǎng)橋br2的成對(duì)網(wǎng)卡veth2和veth22，配置如下。將創(chuàng)veth1移動(dòng)到vm3網(wǎng)絡(luò)名稱空間下，模擬虛擬機(jī)vm1。將veth2移動(dòng)到vm4網(wǎng)絡(luò)名稱空間下，模擬虛擬機(jī)vm2，配置如下。[root@node2~]#iplinksetveth1netnsvm3#將veth1網(wǎng)卡移動(dòng)到vm3名稱空間[root@node2~]#iplinksetveth2netnsvm4#將veth2網(wǎng)卡移動(dòng)到vm4名稱空間③創(chuàng)建網(wǎng)橋，連接虛擬網(wǎng)卡在node2服務(wù)器上，安裝網(wǎng)橋軟件，然后創(chuàng)建虛擬網(wǎng)橋br3和br4，配置如下。[root@node2~]#brctladdbrbr3#添加虛擬網(wǎng)橋br3[root@node2~]#brctladdbrbr4#添加虛擬網(wǎng)橋br4將虛擬網(wǎng)卡veth11和ens192.10添加到br3虛擬網(wǎng)橋上，配置如下。[root@node2~]#brctladdifbr3veth11#網(wǎng)橋br3綁定veth11網(wǎng)卡[root@node2~]#brctladdifbr3ens192.10#網(wǎng)橋br3綁定ens192.10網(wǎng)卡將veth22和ens192.20添加到虛擬網(wǎng)橋br4上，配置如下。[root@node2~]#brctladdifbr4veth22#虛擬網(wǎng)橋br4綁定veth22網(wǎng)卡[root@node2~]#brctladdifbr4ens192.20#虛擬網(wǎng)橋br4綁定ens192.20網(wǎng)卡配置完成后，在node2服務(wù)器上查看網(wǎng)橋及綁定的網(wǎng)卡配置信息，如圖5-10所示。圖5-10任務(wù)5-1node1服務(wù)器網(wǎng)橋及綁定網(wǎng)卡網(wǎng)絡(luò)名稱空間vm3網(wǎng)卡配置信息，如圖5-11所示。圖5-11任務(wù)5-1node2上的vm3名稱空間網(wǎng)卡信息網(wǎng)絡(luò)名稱空間vm4網(wǎng)卡配置信息，如圖5-12所示。圖5-12任務(wù)5-1node2上的vm4名稱空間網(wǎng)卡信息（4）配置vm1、vm2、vm3、vm4的IP地址四臺(tái)虛擬機(jī)的IP地址規(guī)劃如表5-2所示。

表5-2IP地址及所屬VLAN服務(wù)器名稱虛擬機(jī)名稱IP地址所在VLAN網(wǎng)關(guān)node1vm1192.168.1.1/24VLAN10192.168.1.254node1vm2192.168.2.1/24VLAN20192.168.2.254node2vm3192.168.1.2/24VLAN10192.168.1.254node2vm4192.168.2.2/24VLAN20192.168.2.254在node1服務(wù)器上按照表5-2，配置vm1和vm2的IP地址，配置如下。[root@node1~]#ipnetnsexecvm1ipaddradd192.168.1.1/24devveth1#配置IP[root@node1~]#ipnetnsexecvm2ipaddradd192.168.2.1/24devveth2#配置IP在node2服務(wù)器上按照表5-1，配置vm3和vm4的IP地址，配置如下。[root@node2~]#ipnetnsexecvm3ipaddradd192.168.1.2/24devveth1#配置IP[root@node2~]#ipnetnsexecvm4ipaddradd192.168.2.2/24devveth2#配置IP（5）啟動(dòng)node1和node2服務(wù)器上的網(wǎng)卡和網(wǎng)橋?qū)ode1服務(wù)器網(wǎng)橋和網(wǎng)卡全部啟動(dòng)，配置如下。[root@node1~]#iplinksetbr1up#啟動(dòng)br1[root@node1~]#iplinksetbr2up#啟動(dòng)br2[root@node1~]#iplinksetveth11up#啟動(dòng)veth11[root@node1~]#iplinksetveth22up#啟動(dòng)veth22[root@node1~]#ipnetnsexecvm1iplinksetveth1up#啟動(dòng)vm1名稱空間的veth1[root@node1~]#ipnetnsexecvm2iplinksetveth2up#啟動(dòng)vm2名稱空間的veth2將node2服務(wù)器網(wǎng)橋和網(wǎng)卡全部啟動(dòng)，配置如下。[root@node2~]#iplinksetbr3up#啟動(dòng)br3[root@node2~]#iplinksetbr4up#啟動(dòng)br4[root@node2~]#iplinksetveth11up#啟動(dòng)veth11[root@node2~]#iplinksetveth22up#啟動(dòng)veth22[root@node2~]#ipnetnsexecvm3iplinksetveth1up#啟動(dòng)veth1[root@node2~]#ipnetnsexecvm4iplinksetveth2up#啟動(dòng)veth2配置相同VLAN虛擬機(jī)的跨主機(jī)互訪3.測(cè)試跨宿主機(jī)的網(wǎng)絡(luò)連通性（1）測(cè)試node1服務(wù)器上的vm1與node2連通性①使用tcpdump在node1和node2接口上抓包使用tcpdump工具在服務(wù)器node1的ens192接口抓取源主機(jī)是vm1虛擬機(jī)的流量，使用-e選項(xiàng)抓取數(shù)據(jù)鏈路層的數(shù)據(jù)流量，查看在數(shù)據(jù)流出時(shí)是否打上了VLAN10標(biāo)記，配置如下。[root@node1~]#tcpdump-t-e-iens192srchost192.168.1.1使用tcpdump工具在服務(wù)器node2的veth11接口抓取源主機(jī)是vm1虛擬機(jī)的流量，同樣使用-e選項(xiàng)抓取數(shù)據(jù)鏈路層的數(shù)據(jù)流量，查看vm1的數(shù)據(jù)到達(dá)veth11接口后是否還帶有VLAN標(biāo)記。②在服務(wù)器node1的vm1虛擬機(jī)測(cè)試與node2服務(wù)器的vm3虛擬機(jī)連通性在node1節(jié)點(diǎn)，測(cè)試vm1到vm3的連通性，結(jié)果如圖5-13所示。從結(jié)果發(fā)現(xiàn)，node1服務(wù)器上的vm1是能夠與node2服務(wù)器上的vm3正常通信的，實(shí)現(xiàn)了跨宿主機(jī)的VLAN10虛擬化網(wǎng)絡(luò)。③分析node1服務(wù)器抓包數(shù)據(jù)在node1服務(wù)器上，數(shù)據(jù)抓包結(jié)果如圖5-14所示。圖5-14任務(wù)5-1服務(wù)器node1的ens192抓包數(shù)據(jù)圖5-13任務(wù)5-1測(cè)試vm1到vm3的連通性從結(jié)果中可以發(fā)現(xiàn)，vm1首先發(fā)送的是arp請(qǐng)求，獲取192.168.1.2的mac地址，然后發(fā)送ICMP網(wǎng)絡(luò)測(cè)試請(qǐng)求，數(shù)據(jù)打上上VLAN10的標(biāo)記，說(shuō)明ens192.10子接口的配置已經(jīng)生效。④分析node2服務(wù)器抓包數(shù)據(jù)在node1服務(wù)器上，數(shù)據(jù)抓包結(jié)果如圖5-15所示。圖5-15任務(wù)5-1服務(wù)器node2的veth11抓包數(shù)據(jù)從結(jié)果中可以發(fā)現(xiàn)，veth11接口收到了來(lái)自vm1的arp數(shù)據(jù)和ICMP請(qǐng)求數(shù)據(jù)，但已經(jīng)不帶有VLAN10的標(biāo)記了，說(shuō)明數(shù)據(jù)在到達(dá)node2服務(wù)器的ens192.10接口時(shí)，已經(jīng)摘掉了VLAN10的標(biāo)記。（2）測(cè)試node1服務(wù)器上的vm2與node2服務(wù)器上的vm4連通性①使用tcpdump在node1和node2接口上抓包使用tcpdump工具在服務(wù)器node1的ens192接口抓取源主機(jī)是vm2虛擬機(jī)的流量，使用-e選項(xiàng)抓取數(shù)據(jù)鏈路層的數(shù)據(jù)流量，查看在數(shù)據(jù)流出時(shí)是否打上了VLAN20標(biāo)記，配置如下。[root@node1~]#tcpdump-t-e-iens192srchost192.168.1.2使用tcpdump工具在服務(wù)器node2的veth11接口抓取源主機(jī)是vm1虛擬機(jī)的流量，同樣使用-e選項(xiàng)抓取數(shù)據(jù)鏈路層的數(shù)據(jù)流量，查看vm2的數(shù)據(jù)到達(dá)veth11接口后是否還帶有VLAN標(biāo)記。②在服務(wù)器node1的vm1虛擬機(jī)測(cè)試與node2服務(wù)器的vm3虛擬機(jī)連通性在node1節(jié)點(diǎn)，測(cè)試vm1到vm3的連通性，結(jié)果如圖5-16所示。圖5-16任務(wù)5-1測(cè)試vm2到vm4的連通性從結(jié)果發(fā)現(xiàn)，node1服務(wù)器上的vm1是能夠與node2服務(wù)器上的vm3正常通信的，實(shí)現(xiàn)了跨宿主機(jī)的VLAN20虛擬化網(wǎng)絡(luò)。③分析node1服務(wù)器抓包數(shù)據(jù)在node1服務(wù)器上，數(shù)據(jù)抓包結(jié)果如圖5-17所示。圖5-17任務(wù)5-1服務(wù)器node1的ens192抓包數(shù)據(jù)從結(jié)果中可以發(fā)現(xiàn)，vm1首先發(fā)送的是arp請(qǐng)求，獲取192.168.2.2的mac地址，然后發(fā)送ICMP網(wǎng)絡(luò)測(cè)試請(qǐng)求，數(shù)據(jù)打上上VLAN20的標(biāo)記，說(shuō)明ens192.20子接口的配置已經(jīng)生效。④分析node2服務(wù)器抓包數(shù)據(jù)在node2服務(wù)器上，數(shù)據(jù)抓包結(jié)果如圖5-18所示。圖5-18任務(wù)5-1服務(wù)器node2的veth22抓包數(shù)據(jù)從結(jié)果中可以發(fā)現(xiàn)，veth22接口收到了來(lái)自vm2的arp數(shù)據(jù)和ICMP請(qǐng)求數(shù)據(jù)，但已經(jīng)不帶有VLAN20的標(biāo)記了，說(shuō)明數(shù)據(jù)在到達(dá)node2服務(wù)器的ens192.20接口時(shí)，已經(jīng)摘掉了VLAN20的標(biāo)記。配置不同VLAN虛擬機(jī)的跨主機(jī)互訪1.測(cè)試不同VLAN的網(wǎng)絡(luò)連通性在服務(wù)器node1上測(cè)試vm1與主機(jī)2上的vm4的連通性，如圖5-20所示。圖5-20任務(wù)5-1測(cè)試vm1與vm4的連通性圖5-19任務(wù)5-1測(cè)試vm1與vm2的連通性在服務(wù)器node1上測(cè)試vm1和vm2之間的連通性，如圖5-19所示。從結(jié)果中可以發(fā)現(xiàn)，當(dāng)虛擬機(jī)在不同VLAN時(shí)，無(wú)論是同一主機(jī)上的vm1和vm2還是不同主機(jī)上的vm1和vm4，都是無(wú)法通信的。配置不同VLAN虛擬機(jī)的跨主機(jī)互訪2.創(chuàng)建虛擬路由器為實(shí)現(xiàn)不同處于VLAN的虛擬機(jī)實(shí)現(xiàn)互訪，需要在某臺(tái)宿主機(jī)上創(chuàng)建虛擬路由器，為每個(gè)虛擬機(jī)提供路由轉(zhuǎn)發(fā)服務(wù)。在虛擬化網(wǎng)絡(luò)中，使用網(wǎng)絡(luò)名稱來(lái)實(shí)現(xiàn)虛擬路由器，為虛擬機(jī)或者容器提供路由服務(wù)。（1）創(chuàng)建虛擬路由器和連接網(wǎng)卡首先在node1服務(wù)器上創(chuàng)建虛擬路由器r1，配置如下。[root@node1~]#ipnetnsaddr1然后創(chuàng)建用于連接虛擬網(wǎng)橋br1與虛擬路由器相連的成對(duì)虛擬網(wǎng)卡，配置如下。[root@node1~]#iplinkaddvethbr1typevethpeernamevethbr11#添加成對(duì)veth網(wǎng)卡[root@node1~]#iplinksetvethbr11up#啟動(dòng)vethbr11[root@node1~]#iplinkaddvethbr2typevethpeernamevethbr22#添加成對(duì)網(wǎng)卡[root@node1~]#iplinksetvethbr22up#啟動(dòng)veth22（2）連接虛擬網(wǎng)橋和虛擬路由器[root@node1~]#brctladdifbr1vethbr11#虛擬網(wǎng)橋br1綁定vethbr11[root@node1~]#brctladdifbr2vethbr22#虛擬網(wǎng)橋br2綁定vethbr22[root@node1~]#iplinksetvethbr1netnsr1#將vethbr1移動(dòng)到名稱空間r1[root@node1~]#iplinksetvethbr2netnsr1#將vethbr2移動(dòng)到名稱空間r1（3）配置虛擬路由器r1的網(wǎng)卡地址首先進(jìn)入在r1名稱空間下配置vethbr1和vethbr2的IP地址，分別作為VLAN10虛擬機(jī)的網(wǎng)關(guān)和VLAN20虛擬機(jī)的網(wǎng)關(guān)，配置如下。[root@node1~]#ipnetnsexecr1ipaddradd192.168.1.254/24devvethbr1[root@node1~]#ipnetnsexecr1ipaddradd192.168.2.254/24devvethbr2然后啟動(dòng)vethbr1和vethbr2兩塊網(wǎng)卡，配置如下。[root@node1~]#ipnetnsexecr1iplinksetvethbr1up[root@node1~]#ipnetnsexecr1iplinksetvethbr2up配置完成后，查看虛擬路由器r1的路由表，如圖5-21所示。圖5-21任務(wù)5-1虛擬路由器r1的路由表從結(jié)果中發(fā)現(xiàn)，虛擬路由器r1已經(jīng)存在兩條直連路由，去往192.168.1.0/24網(wǎng)絡(luò)的出接口是vethbr1，去往192.168.2.0/24網(wǎng)絡(luò)的出接口是vethbr2。配置不同VLAN虛擬機(jī)的跨主機(jī)互訪3.測(cè)試不同VLAN虛擬機(jī)的網(wǎng)絡(luò)連通性（1）配置虛擬機(jī)的網(wǎng)關(guān)地址為VLAN10網(wǎng)絡(luò)虛擬機(jī)配置網(wǎng)關(guān)地址192.168.1.254，為VLAN20網(wǎng)絡(luò)的虛擬機(jī)配置網(wǎng)關(guān)地址192.168.2.254，配置如下。首先在服務(wù)器node1上配置vm1和vm2的網(wǎng)關(guān)，也就是默認(rèn)路由。[root@node1~]#ipnetnsexecvm1routeadddefaultgw192.168.1.254[root@node1~]#ipnetnsexecvm2routeadddefaultgw192.168.2.254然后在服務(wù)器node2上配置vm3和vm4的網(wǎng)關(guān)，也就是默認(rèn)路由。[root@node2~]#ipnetnsexecvm3routeadddefaultgw192.168.1.254[root@node2~]#ipnetnsexecvm4routeadddefaultgw192.168.2.254（2）開(kāi)啟路由轉(zhuǎn)發(fā)功能進(jìn)入到虛擬路由器名稱空間r1，命令如下。[root@node1~]#ipnetnsexecr1bash開(kāi)啟路由轉(zhuǎn)發(fā)功能，即在/etc/sysctl.conf中加入以下配置。net.ipv4.ip_forward=1然后執(zhí)行sysctl-p使配置生效。（3）測(cè)試網(wǎng)絡(luò)連通性①測(cè)試vm1與網(wǎng)關(guān)的連通性在node1服務(wù)器的vm1虛擬機(jī)上測(cè)試與vm2的連通性，首先測(cè)試與網(wǎng)關(guān)192.168.1.254的連通性，結(jié)果如圖5-22所示。圖5-22任務(wù)5-1測(cè)試vm1與網(wǎng)關(guān)的網(wǎng)絡(luò)連通性從結(jié)果中發(fā)現(xiàn)，已經(jīng)可以和網(wǎng)關(guān)正常通信了。②測(cè)試同宿主機(jī)不同VLAN的連通性測(cè)試vm1的vm2虛擬機(jī)連通性，結(jié)果如圖5-23所示。圖5-23任務(wù)5-1測(cè)試vm1與vm2的網(wǎng)絡(luò)連通性從結(jié)果中發(fā)現(xiàn)，已經(jīng)可以和同宿主機(jī)的不同VLAN網(wǎng)絡(luò)虛擬機(jī)正常通信了。③測(cè)試不同宿主機(jī)不同VLAN的連通性測(cè)試vm1與vm4的網(wǎng)絡(luò)連通性，結(jié)果如圖5-24所示。從結(jié)果中發(fā)現(xiàn)，已經(jīng)可以和不同宿主機(jī)的不同VLAN網(wǎng)絡(luò)虛擬機(jī)正常通信了。圖5-24任務(wù)5-1測(cè)試vm1與vm4的網(wǎng)絡(luò)連通性實(shí)現(xiàn)VLAN虛擬化網(wǎng)絡(luò)內(nèi)外網(wǎng)互訪1.內(nèi)部虛擬機(jī)訪問(wèn)外部網(wǎng)絡(luò)配置了虛擬路由器之后，內(nèi)部用戶可以實(shí)現(xiàn)跨宿主機(jī)的不同VLAN虛擬機(jī)互相訪問(wèn)了，但是內(nèi)部的虛擬機(jī)還無(wú)法訪問(wèn)外部網(wǎng)絡(luò)，如在vm1上訪問(wèn)外部網(wǎng)絡(luò)的8.8.8.8，結(jié)果如圖5-25所示。圖5-25任務(wù)5-1測(cè)試vm1與外部網(wǎng)絡(luò)的連通性發(fā)現(xiàn)虛擬機(jī)vm1是無(wú)法訪問(wèn)外部網(wǎng)絡(luò)的，當(dāng)然這時(shí)外部網(wǎng)絡(luò)也無(wú)法放問(wèn)幾臺(tái)虛擬機(jī)，如何實(shí)現(xiàn)內(nèi)外網(wǎng)的互相訪問(wèn)呢，這就需要在虛擬路由器上使用iptables進(jìn)行源IP和目的IP地址的轉(zhuǎn)換實(shí)現(xiàn)。配置源IP地址轉(zhuǎn)換實(shí)現(xiàn)內(nèi)部虛擬機(jī)訪問(wèn)外部網(wǎng)絡(luò)的步驟如下。（1）創(chuàng)建虛擬網(wǎng)橋brout和虛擬成對(duì)網(wǎng)卡首先創(chuàng)建虛擬網(wǎng)橋brout，配置如下。[root@node1~]#brctladdbrbrout#創(chuàng)建虛擬網(wǎng)橋brout[root@node1~]#iplinksetbroutup#啟動(dòng)虛擬網(wǎng)橋brout然后創(chuàng)建用于連接虛擬路由器r1和虛擬網(wǎng)橋brout的成對(duì)網(wǎng)卡vethbr33和bethbr3，配置如下。[root@node1~]#iplinkaddvethbr3typevethpeernamevethbr33#創(chuàng)建成對(duì)虛擬網(wǎng)卡[root@node1~]#iplinksetvethbr33up#啟動(dòng)網(wǎng)卡vethbr33（2）連接虛擬路由器r1和虛擬網(wǎng)橋brout首先將vethbr3連接到虛擬路由r1上，配置如下。[root@node1~]#iplinksetvethbr3netnsr1#將vethbr3連接到移動(dòng)到r1名稱空間[root@node1~]#ipnetnsexecr1iplinksetvethbr3up#啟動(dòng)vethbr3然后在brout上綁定網(wǎng)卡vethbr33，將node1服務(wù)器的ens256網(wǎng)卡綁定到宿主機(jī)，配置如下。[root@node1~]#brctladdifbroutvethbr33#虛擬網(wǎng)橋綁定vethbr33網(wǎng)卡[root@node1~]#brctladdifbroutens256#虛擬網(wǎng)橋綁定ens256宿主機(jī)網(wǎng)卡（3）配置虛擬路由器連接外部網(wǎng)絡(luò)的vethbr3接口IP地址由于node1服務(wù)器的ens256采用VMnet8的nat模式，VMnet8所在的網(wǎng)絡(luò)是192.168.200.0/24，網(wǎng)關(guān)是192.168.200.2。如圖5-26所示。所以配置虛擬路由器r1的vethbr3接口的IP地址為192.168.200.10，配置虛擬路由器r1的網(wǎng)關(guān)是192.168.200.2，配置如下。[root@node1~]#ipnetnsexecr1ipaddradd192.168.200.10/24devvethbr3#配置IP[root@node1~]#ipnetnsexecr1routeadddefaultgw192.168.200.2#添加網(wǎng)關(guān)圖5-26任務(wù)5-1ens256網(wǎng)卡所在的vment8網(wǎng)絡(luò)配置（4）配置Iptables源地址轉(zhuǎn)換實(shí)現(xiàn)內(nèi)部虛擬機(jī)訪問(wèn)外部網(wǎng)絡(luò)首先進(jìn)入虛擬路由器r1，配置如下。[root@node1~]#ipnetnsexecr1bash然后配置Iptables規(guī)則，當(dāng)內(nèi)網(wǎng)中虛擬機(jī)所在網(wǎng)絡(luò)192.168.1.0/24和192.168.2.0/24訪問(wèn)外部網(wǎng)絡(luò)時(shí)，轉(zhuǎn)換源地址為192.168.200.10，配置如下。[root@node1~]#iptables-tnat-APOSTROUTING-s192.168.1.0/24-jSNAT--to192.168.200.10#將來(lái)自192.168.1.0/24網(wǎng)絡(luò)的源地址轉(zhuǎn)換為192.168.200.10[root@node1~]#iptables-tnat-APOSTROUTING-s192.168.2.0/24-jSNAT--to192.168.200.10#將來(lái)自192.168.2.0/24網(wǎng)絡(luò)的源地址轉(zhuǎn)換為192.168.200.10配置完成后，在vm1虛擬機(jī)上測(cè)試與互聯(lián)網(wǎng)上IP地址8.8.8.8的連通性，結(jié)果如圖5-27所示。在vm2虛擬機(jī)上測(cè)試與互聯(lián)網(wǎng)上IP地址8.8.8.8的連通性，結(jié)果如圖5-28所示。圖5-27任務(wù)5-1測(cè)試vm1與外部網(wǎng)絡(luò)連通性圖5-28任務(wù)5-1測(cè)試vm2與外部網(wǎng)絡(luò)連通性在vm3虛擬機(jī)上測(cè)試與互聯(lián)網(wǎng)上IP地址8.8.8.8的連通性，結(jié)果如圖5-29所示。圖5-29任務(wù)5-1測(cè)試vm3與外部網(wǎng)絡(luò)連通性在vm4虛擬機(jī)上測(cè)試與互聯(lián)網(wǎng)上IP地址8.8.8.8的連通性，結(jié)果如圖5-30所示。通過(guò)測(cè)試發(fā)現(xiàn)，4臺(tái)虛擬機(jī)都可以正常訪問(wèn)外部網(wǎng)絡(luò)了，說(shuō)明Iptables源地址轉(zhuǎn)換配置已經(jīng)生效。圖5-30任務(wù)5-1測(cè)試vm4與外部網(wǎng)絡(luò)連通性實(shí)現(xiàn)VLAN虛擬化網(wǎng)絡(luò)內(nèi)外網(wǎng)互訪2.外部網(wǎng)絡(luò)主機(jī)訪問(wèn)內(nèi)部虛擬機(jī)虛擬機(jī)可以訪問(wèn)外部網(wǎng)絡(luò)后，由于租戶需要遠(yuǎn)程登陸虛擬機(jī)，所以外部主機(jī)也需要能夠訪問(wèn)內(nèi)部的虛擬機(jī)，需要在虛擬路由器r1上配置Iptables目的地址轉(zhuǎn)換實(shí)現(xiàn)這一學(xué)需求。（1）添加虛擬路由器連接外部網(wǎng)絡(luò)接口IP地址在虛擬路由器r1連接外部網(wǎng)絡(luò)的出口vethbr3上，只配置了一