%20-%20%E6%A1%A5%E6%8E%A5%E6%8E%A5%E5%8F%A3%E6%8B%93%E6%89%91%20(br0%2Fbr1).png)
全部,
对于这些菜鸟问题,我深表歉意,但这是我第一次深入研究 Linux 和 systemd,所以我希望有比我更了解的人可以提供帮助。
我有一台物理服务器,运行 Clear Linux 作为主机操作系统。它有两个物理 1 Gbps 以太网端口。我正在构建一个配置,用于托管虚拟防火墙(以及虚拟防火墙需要保护的其他虚拟机)。
我对 Linux 中的“桥接器”(br0) 到底是什么/起什么作用感到困惑。阅读下面的链接后,我并没有更清楚,只能说我认为虚拟桥接器和虚拟交换机是同一件事: 网桥和交换机有什么区别?
我有多个不受信任的 VLAN 和多个受信任的 VLAN,它们使用 802.1q 从硬件交换机的独立物理接口进行中继。我希望确保这些 VLAN 上的流量(包括它们的广播流量)在到达 KVM 主机及其虚拟网络配置后保持完全独立。
我的计划是在 KVM 主机上创建一个 br0 和一个 br1,然后将这些虚拟网桥连接到主机服务器上的相应物理接口。这些物理 NIC 连接到硬件交换机上的单独接口,接口在一个端口上仅中继受信任的 VLAN,而在另一个端口上中继肮脏、难闻的不受信任的互联网类 VLAN。
看来您确实可以通过在 KVM 主机上配置的 br 来执行 VLAN,以便在使用采用 systemd 的操作系统(例如 Clear Linux)时将标记的 VLAN 暴露给 KVM 客户域,正如这位聪明人对 Debian 所做的那样: http://wiki.hoeft-online.de/VLAN_for_virtual_machines#linux_bridge_with_libvirt_hook_scripts
我的实际问题是:
- Linux 桥接器 vlan 是否透明?(上面暗示不是,但其他文章说是的..)
- Linux‘桥接器’是否会将广播流量在标记的 VLAN 之间分开?
- 它是否将未标记(本机)VLAN 和标记 VLAN 之间的广播分开?
- 您能否将逻辑 br0 和 br1 放在主机上的同一个物理接口上,同时仍保持流量完全分开?
- 如果 VLAN 已标记,我是否还需要两个逻辑上独立的网桥?
目前,我将 br0 和 br1 想象为插入物理防火墙两个不同端口的独立物理交换机(实际上是在 KVM 主机上运行的 VM)......但我不确定我是否正确?
我只是不清楚我在这个过程中是否造成了安全隐患。如能澄清,我将不胜感激。
干杯