摘要：掛接到兩個(gè)上的網(wǎng)絡(luò)設(shè)備自動(dòng)加入到相應(yīng)的中。實(shí)驗(yàn)的目的是要驗(yàn)證屬于同一個(gè)中和能通，而屬于不同中的不通。重啟宿主機(jī)，查看網(wǎng)絡(luò)接口用查看當(dāng)前的配置，和分別掛載和上了。配置的配置的配置的使用能通，不能通。

本文首發(fā)于我的公眾號(hào) cloud_dev，專(zhuān)注于干貨分享，號(hào)內(nèi)有大量書(shū)籍和視頻資源，后臺(tái)回復(fù)「1024」即可領(lǐng)取，歡迎大家關(guān)注，二維碼文末可以?huà)摺?/pre>
01 準(zhǔn)備環(huán)境
環(huán)境：ubuntu 16.04 環(huán)境（物理 or 虛擬）
確認(rèn) CPU 是否支持虛擬化：
# egrep -o "(vmx|svm)" /proc/cpuinfo
# vmx
如果不支持，開(kāi)啟 KVM 嵌套虛擬化之后再重啟。
1.1 安裝 KVM 環(huán)境
sudo apt-get install -y qemu-kvm qemu-system libvirt-bin virt-manager bridge-utils vlan
1.2 安裝 Ubuntu 圖形化界面
sudo apt-get install -y xinit gdm kubuntu-desktop
02 創(chuàng)建 KVM 虛擬機(jī)
使用 virt-manager 創(chuàng)建 KVM 虛擬機(jī)，方法比較簡(jiǎn)單，由于篇幅有限，大家可以查閱相關(guān)資料自行了解。
創(chuàng)建完之后用 virsh list --all 查看創(chuàng)建的 VM：
Id    Name                           State
----------------------------------------------------
 -     kvm1                           shut off
 -     kvm2                           shut off
 -     kvm3                           shut off
我們的實(shí)驗(yàn)拓?fù)淙缦拢?/p>

圖中創(chuàng)建了 2 個(gè) Linux Bridge：brvlan1 和 brvlan2，宿主機(jī)的物理網(wǎng)卡 eth0 抽象出兩個(gè)虛擬設(shè)備 eth0.1 和 eth0.2，也就是兩個(gè) VLAN 設(shè)備，它們分別定義了兩個(gè) VLAN：VLAN1 和 VLAN2。掛接到兩個(gè) Bridge 上的網(wǎng)絡(luò)設(shè)備自動(dòng)加入到相應(yīng)的 VLAN 中。VLAN1 接兩個(gè) VM，VLAN 接一個(gè) VM。
實(shí)驗(yàn)的目的是要驗(yàn)證屬于同一個(gè) VLAN1 中 VM1 和 VM2 能 ping 通，而屬于不同 VLAN 中的 VM ping 不通。
03 實(shí)驗(yàn)開(kāi)始
3.1 配置 VLAN
編輯 /etc/network/interfaces，加入兩個(gè) Bridge 和兩個(gè) VLAN 設(shè)備的配置，如下：
# The primary network interface
auto ens33
iface ens33 inet dhcp

auto ens33.1
iface ens33.1 inet manual
        vlan-raw-device ens33

auto brvlan1
iface brvlan1 inet manual
        bridge_stp off
        bridge_waitport 0
        bridge_fd 0
        bridge_ports ens33.1

auto ens33.2
iface ens33.2 inet manual
        vlan-raw-device ens33

auto brvlan2
iface brvlan2 inet manual
        bridge_stp off
        bridge_waitport 0
        bridge_fd 0
        bridge_ports ens33.2
注意，這里務(wù)必和自己電腦的接口名稱(chēng)統(tǒng)一，比如我這里叫 ens33，就配 ens33.1 和 ens33.2 的 VLAN 設(shè)備，當(dāng)然你也可以改成 eth0 的形式。
重啟宿主機(jī)，ifconfig 查看網(wǎng)絡(luò)接口：

用 brctl show 查看當(dāng)前 Linux Bridge 的配置，ens33.1 和 ens33.2 分別掛載 brvlan1 和 brvlan2 上了。
# brctl show
bridge name    bridge id        STP enabled    interfaces
brvlan1        8000.000c298c57e8    no        ens33.1
brvlan2        8000.000c298c57e8    no        ens33.2
virbr0        8000.000000000000    yes
3.2 配置 VM
我們先配置 VM1，啟動(dòng) virt-manager，在圖形界面中將 VM1 的虛擬網(wǎng)卡掛到 brvlan1 上：

同樣的方式配置 VM2 和 VM3，VM2 也配到 brvlan1 上，VM3 配到 brvlan2 上。
3.3 查看 VM 配置
用 virsh start xxx 啟動(dòng) 3 個(gè) VM：
# virsh start kvm1
# virsh start kvm2
# virsh start kvm3
再通過(guò) brctl show 查看 Bridge，這時(shí)發(fā)現(xiàn) brvlan1 下接了 vnet0 和 vnet1，brvlan2 下接了 vnet2：
# brctl show
bridge name    bridge id        STP enabled    interfaces
brvlan1        8000.000c298c57e8    no        ens33.1
                            vnet0
                            vnet1
brvlan2        8000.000c298c57e8    no        ens33.2
                            vnet2
virbr0        8000.000000000000    yes
通過(guò) virsh domiflist xxx 確認(rèn)這就是 VM 的虛擬網(wǎng)卡：
# virsh domiflist kvm1
Interface  Type       Source     Model       MAC
-------------------------------------------------------
vnet0      bridge     brvlan1    rtl8139     52:54:00:b3:dd:3a

# virsh domiflist kvm2
Interface  Type       Source     Model       MAC
-------------------------------------------------------
vnet1      bridge     brvlan1    rtl8139     52:54:00:b7:4f:ef

# virsh domiflist kvm3
Interface  Type       Source     Model       MAC
-------------------------------------------------------
vnet2      bridge     brvlan2    rtl8139     52:54:00:d8:b8:2a
04 驗(yàn)證
為了驗(yàn)證相同 VLAN 之間的連通性和不同 VLAN 之間的隔離性，我們?yōu)?3 個(gè) VM 都配置同一網(wǎng)段的 IP。
使用 virt-manager 進(jìn)入 VM console 控制面。
配置 VM1 的 IP：
ifconfig eth0 192.168.100.10 netmask 255.255.255.0
配置 VM2 的 IP：
ifconfig eth0 192.168.100.20 netmask 255.255.255.0
配置 VM3 的 IP：
ifconfig eth0 192.168.100.30 netmask 255.255.255.0
使用 VM1 ping VM2 能 ping 通，VM2 ping VM3 不能 ping 通。

驗(yàn)證完畢。
大家如果有興趣，可以抓個(gè)包看看，在發(fā)送 ping 包之前，需要知道對(duì)方的 MAC 地址，所以會(huì)先在網(wǎng)絡(luò)中廣播 ARP 包。ARP 是二層協(xié)議，VLAN 的作用就是隔離二層的廣播域，ARP 包自然就不能在不同 VLAN 中流通，所以在相同 VLAN 中，通信雙方能夠拿到對(duì)方的 MAC 地址，也就能 ping 通，不同 VLAN 反之。

我的公眾號(hào) cloud_dev，號(hào)內(nèi)有大量書(shū)籍和視頻資源，后臺(tái)回復(fù)「1024」即可領(lǐng)取，分享的內(nèi)容包括但不限于云計(jì)算虛擬化、容器、OpenStack、K8S、霧計(jì)算、網(wǎng)絡(luò)、工具、SDN、OVS、DPDK、Linux、Go、Python、C/C++編程技術(shù)等內(nèi)容，歡迎大家關(guān)注。