我刚刚升级了两台服务器Debian 10(巴斯特)到Debian 11(靶心)。此后,我再也无法通过网络联系到他们。经过一番排查,发现问题如下:
两台机器都配置了桥接设备。显然,Debian 用于为桥接设备分配 MAC 地址的算法已从版本 10 更改为版本 11。升级后,第一台服务器上的桥接设备与第二台服务器上的桥接设备具有相同的 MAC 地址,以前肯定没有这样的情况。
之一那里有答案声称网桥是纯粹的内部设备,因此网桥的 MAC 地址并不重要。然而,这显然是错误的。至少就我而言,两台机器的数据包均以硬件源地址是网桥的 MAC 地址,两台机器上的网络端口都在处理传入的数据包仅当它们的目的地是网桥的 MAC 地址时。
由于两台机器上的 MAC 地址相同,因此网络变得无法使用,这是完全合乎逻辑且可以理解的。
如何让 Debian 为不同机器上的桥接设备生成不同的 MAC 地址(甚至在同一台机器上,但这不是我的问题)?
答案1
浏览互联网时我发现了这个错误报告systemd-udev与 Debian 11 网桥相关:systemd-udev 会干扰不应该执行的接口的 MAC 地址 #21185:
ash.in.ffho.net:~# for n in 0 1 2 3; do ip l add br$n type bridge; done ash.in.ffho.net:~# ip -br l br0 DOWN d2:9e:b3:32:53:42 <BROADCAST,MULTICAST> br1 DOWN e2:00:44:2c:5b:70 <BROADCAST,MULTICAST> br2 DOWN 0e:99:b7:42:f0:25 <BROADCAST,MULTICAST> br3 DOWN a6:3f:5f:b5:9a:d6 <BROADCAST,MULTICAST> ash.in.ffho.net:~# for n in 0 1 2 3; do ip link del br${n}; done ash.in.ffho.net:~# for n in 0 1 2 3; do ip l add br$n type bridge; done ash.in.ffho.net:~# ip -br l br0 DOWN d2:9e:b3:32:53:42 <BROADCAST,MULTICAST> br1 DOWN e2:00:44:2c:5b:70 <BROADCAST,MULTICAST> br2 DOWN 0e:99:b7:42:f0:25 <BROADCAST,MULTICAST> br3 DOWN a6:3f:5f:b5:9a:d6 <BROADCAST,MULTICAST>
正如您所看到的,网桥是使用低级命令创建的,但它们始终继承相同的 MAC 地址值:组件systemd
干扰并设置 MAC 地址。人们可以使用以下命令来查看这一操作ip monitor link
:
22: brtest0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
link/ether 0a:ae:c3:0d:ec:68 brd ff:ff:ff:ff:ff:ff
22: brtest0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
link/ether 1a:d0:fc:63:c1:71 brd ff:ff:ff:ff:ff:ff
Deleted 22: brtest0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
link/ether 1a:d0:fc:63:c1:71 brd ff:ff:ff:ff:ff:ff
23: brtest0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
link/ether 4e:e9:11:dd:a5:aa brd ff:ff:ff:ff:ff:ff
23: brtest0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
link/ether 1a:d0:fc:63:c1:71 brd ff:ff:ff:ff:ff:ff
您可以看到最初随机的 MAC 地址如何被覆盖为固定地址,对于给定的网桥名称,两次覆盖为相同的值。
另一个副作用是当设置接口时行政上的UP,桥操作因此,状态最初变为 DOWN 而不是 UNKNOWN (请参阅我在 SU 和 SF 上的这些答案,提到有关 DOWN 和 UNKNOWN 的行为:Linux 如何确定桥接设备的默认 MAC 地址?,强制mac地址时linux ipv6桥接地址不起作用)。无论如何,一旦连接了第一个桥接端口,这就不再重要了。
在不干扰的网络命名空间内(例如:在运行上述命令两次之前)进行相同的实验将显示每次具有不同随机地址的ip add netns experiment
常见ip netns exec experiment bash -l
行为。systemd-udevd
这是一个效果系统生态系统,并且不会发生在未运行 systemd(或旧版本的 systemd)的系统上。一项建议的修复方法是使用:
# /etc/systemd/network/90-bridge.link [Match] OriginalName=br* [Link] MACAddressPolicy=random
但看来真正的解决方法是更改参与生成此“稳定随机”值的文件,如下所述:https://wiki.debian.org/MachineId
每台机器应该有不同的值。这对于从基本模板克隆虚拟机尤其重要。之间的关系machine-id
和生成方式在补丁已实现(相当重大的)更改:
=== 这个补丁
这个补丁意味着我们将默认为几乎所有虚拟设备设置一个“稳定”的 MAC,其中“稳定”意味着关闭机器 ID 和接口名称。
这不限于类型的接口桥但对于任何会生成随机MAC地址:例如类型veth
,macvlan
tuntap
也会受到影响。
我可以验证在执行 Debian 链接中描述的操作后,相同的网桥名称将获得不同的“稳定随机”值:
rm -f /etc/machine-id /var/lib/dbus/machine-id dbus-uuidgen --ensure=/etc/machine-id dbus-uuidgen --ensure
ip monitor
现在在删除和重新创建时为相同的网桥名称提供一个新的 MAC 地址:32:ee:c8:92:9f:e8 而不是 1a:d0:fc:63:c1: 71 brtest0
。
Deleted 23: brtest0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
link/ether 1a:d0:fc:63:c1:71 brd ff:ff:ff:ff:ff:ff
24: brtest0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
link/ether da:72:b6:63:23:e5 brd ff:ff:ff:ff:ff:ff
24: brtest0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default
link/ether 32:ee:c8:92:9f:e8 brd ff:ff:ff:ff:ff:ff
结论:
由于桥接 MAC 地址现在是手动设置的,因此桥接器将不再继承设置为桥接端口的其他接口的 MAC 地址之一,包括通常的永久(物理或虚拟机)接口,这些接口预计具有不同的 MAC 地址。两个系统使用相同machine-id
且相同的网桥名称(例如:br0
),且此类网桥参与路由(即:网桥上配置了 IP 地址,但即使没有,网桥也可以根据其设置发出与桥接相关的其他帧)同一 LAN 上的网络将发出具有相同源 MAC 地址(网桥)的帧,可能会中断路径中的交换机,并且无论如何都会忽略来自对等方的相同源 MAC 地址。
答案2
您可以使用指令告诉 Debian 克隆 MAC 地址bridge_hw
。
例如我的/etc/network/interfaces
文件:
iface enp2s0 inet manual
auto br0
iface br0 inet dhcp
bridge_ports enp2s0
bridge_hw enp2s0
现在两者enp2s0
都有br0
相同的地址。
$ sudo dmesg | grep 18:d6
[ 2.660733] r8169 0000:02:00.0 eth0: RTL8168e/8111e, 18:d6:c7:05:89:07, XID 2c2, IRQ 26
$ ifconfig enp2s0 | grep ether ; ifconfig br0 | grep Description: Debian GNU/Linux 11 (bullseye)
ether 18:d6:c7:05:89:07 txqueuelen 1000 (Ethernet)
ether 18:d6:c7:05:89:07 txqueuelen 1000 (Ethernet)
答案3
首先,AB的答案显示了正确的解决方案。如果您也遇到同样的问题,请按照AB的回答进行正确的解决。
然而,为了完整起见,我想展示一个替代(低劣得多)的解决方案。我压力很大,没想到这么快就得到了正确答案。因此我通过稍微改变自己暂时解决了这个问题/etc/network/interfaces
:
auto br0
iface br0 inet static
bridge_ports eno1
address 192.168.20.11
netmask 255.255.255.0
broadcast 192.168.20.255
gateway 192.168.20.250
hwaddress ether 02:01:01:01:11:01
最后一行是关键点。它使操作系统将指示的 MAC 地址分配给网桥。显示的 MAC 地址是半官方私有 MAC 地址范围中的地址。我已经验证,当您在网桥中删除或添加设备时,该 MAC 地址保持不变。
当然,您必须为每个网桥指定不同的 MAC 地址,无论网桥是否位于同一台机器上。
再次强调,上述方法仅解决了网桥MAC地址问题。我相信,如果不同机器上有相同的机器 ID,可能会出现严重错误。 AB 的答案提到了如何创建新的机器 ID,快速测试表明,以这种方式创建的每个机器 ID 都与以这种方式创建的每个其他机器 ID 不同。