我的思科交换机有一些很棒的 L3 功能,比如 ACL
我将让其中一台物理主机运行 KVM 和多台虚拟机。它们以桥接模式联网。我不太熟悉,但想阻止虚拟机之间的“对等”访问。这似乎是 ACL 的完美用法。
但是,考虑到客户机 A 和客户机 B 位于同一物理主机上,我很好奇当他们尝试相互访问时是否会到达交换机...
问题
- 尝试相互通信的桥接配置的虚拟机是否到达物理交换机,或者驻留在其运行的主机内?
- 如果 VM-VM 通信将被主机拦截,那么主机上的 IPTables 是阻止通信的最佳方法吗?
答案1
1/ 否,虚拟机到虚拟机的桥接通信仍保留在主机内部。
2/ 如果您希望交换机能够应用 acl,我认为您应该考虑使用 macvlan VEPA 模式而不是桥接模式。[更多详细信息请参见此处 https://hicu.be/bridge-vs-macvlan]