第1章基于Linux下KVM虛擬機(jī)的三種網(wǎng)絡(luò)模式

1、第1章 基于Linux的KVM虛擬機(jī)三種網(wǎng)絡(luò)模式KVM虛擬機(jī)是Kernel-based Virtual Machine的簡稱，是一個開源的系統(tǒng)虛擬化模塊，自Linux 2.6.20之后集成在Linux的各個主要發(fā)行版本中。它使用Linux自身的調(diào)度器進(jìn)行管理，所以相對于Xen，其核心源碼很少。在高級網(wǎng)絡(luò)操作系統(tǒng)課程中需要練習(xí)搭建各種服務(wù)器，為了操作簡便，KVM的使用勢在必行，而KVM虛擬機(jī)所提供的三種網(wǎng)絡(luò)模式，又是所有服務(wù)器連接的基點(diǎn)，想要有一個連通性好能夠正常的運(yùn)作的網(wǎng)絡(luò)環(huán)境，學(xué)習(xí)這三種網(wǎng)絡(luò)模式是很有必要的。1.1 虛擬機(jī)虛擬機(jī)（Virtual Machine）指通過軟件模擬的具有完整硬件系

2、統(tǒng)功能的，能運(yùn)行在一個完全隔離的環(huán)境中的完整的計算機(jī)系統(tǒng)。流行的虛擬機(jī)軟件有VMWare（VMWare ACE），Virtual Box和Virtual PC，它們都能在Windows系統(tǒng)上虛擬出多個計算機(jī)。當(dāng)然還有下面介紹到的運(yùn)行在Linux環(huán)境中的KVM虛擬機(jī)。1.2 KVM虛擬機(jī)三種網(wǎng)絡(luò)模式簡介1.2.1 橋接（Bridge）網(wǎng)絡(luò)模式橋接網(wǎng)絡(luò)是指本地物理網(wǎng)卡和虛擬網(wǎng)卡通過VMnet0虛擬交換機(jī)進(jìn)行橋接，物理網(wǎng)卡和虛擬網(wǎng)卡在拓?fù)鋱D上處于同等地位，那么物理網(wǎng)卡和虛擬網(wǎng)卡就相當(dāng)于處于同一個網(wǎng)段，虛擬交換機(jī)就相當(dāng)于一臺現(xiàn)實(shí)網(wǎng)絡(luò)中的交換機(jī),所以兩個網(wǎng)卡的IP地址也要設(shè)置為同一網(wǎng)段。所以當(dāng)我們要在局

3、域網(wǎng)使用虛擬機(jī)，用來對局域網(wǎng)其他計算機(jī)提供服務(wù)時，例如提供FTP，SSH，HTTP等服務(wù)時，那么就要選擇橋接模式。1.2.2 NAT網(wǎng)絡(luò)模式NAT模式中，就是讓虛擬機(jī)借助NAT(Network Address Translation，網(wǎng)絡(luò)地址轉(zhuǎn)換)功能，通過宿主物理機(jī)所在的網(wǎng)絡(luò)來訪問公網(wǎng)。NAT模式中，虛擬機(jī)的網(wǎng)卡和物理網(wǎng)卡的網(wǎng)絡(luò)，不在同一個網(wǎng)絡(luò)，虛擬機(jī)的網(wǎng)卡，是在KVM中提供的一個虛擬網(wǎng)絡(luò)。1.2.3 隔離網(wǎng)絡(luò)模式（Host-Only）在隔離網(wǎng)絡(luò)（Host-Only）模式下，虛擬網(wǎng)絡(luò)是一個全封閉的網(wǎng)絡(luò)環(huán)境，它唯一能夠訪問的就是宿主物理機(jī)。其實(shí)Host-Only網(wǎng)絡(luò)和NAT網(wǎng)絡(luò)很相似，不同的地

4、方就是Host-Only網(wǎng)絡(luò)沒有NAT服務(wù)，所以虛擬網(wǎng)絡(luò)不能通過宿主物理機(jī)連接到公網(wǎng)。Host-Only的宗旨就是建立一個與外界隔絕的內(nèi)部網(wǎng)絡(luò)，來提高內(nèi)網(wǎng)的安全性。這個功能或許對普通用戶來說沒有多大意義，但大型服務(wù)商會常常利用這個功能。1.3 配置前注意事項必須關(guān)閉系統(tǒng)默認(rèn)開啟的部分服務(wù)及功能，才能在后續(xù)實(shí)驗中實(shí)現(xiàn)對三種網(wǎng)絡(luò)模式的配置?！? service NetworkManager stop” /關(guān)閉NetworkManager服務(wù) 如圖1-1所示。圖 1-1 計算機(jī)上的NetworkManager服務(wù)的配置“# chkconfig NetworkManager off” /默認(rèn)開機(jī)關(guān)閉N

5、etworkManager功能“# chkconfig list NetworkManager” /查看關(guān)于NetworkManager的狀態(tài)如圖 1-2 所示。圖 1-2 設(shè)置NetworkManager為開機(jī)關(guān)閉狀態(tài)，避免影響網(wǎng)絡(luò)互聯(lián)“# iptables F” /清空防火墻規(guī)則 如圖 1-3 所示。圖 1-3清空防火墻規(guī)則使用界面關(guān)閉防火墻 如圖 1-4，1-5 所示。流程：菜單>>System>>Adminstration>>Firewall 點(diǎn)擊Distable按鈕禁用防火墻規(guī)則。圖 1-4 查看目前防火墻狀態(tài)點(diǎn)擊Apply按鈕使禁用防火墻設(shè)置生效

6、。圖 1-5 關(guān)閉防火墻后應(yīng)用設(shè)置狀態(tài)“# vim /etc/selinux/config” /將selinux的值改成permissive如圖 1-6，1-7所示。圖 1-6 SELINUX的的配置文件圖 1-7 SELINUX配置文件的更改信息如圖標(biāo)識但上述方式更改底層配置文件后只在重啟電腦后生效，再不重啟的情況下，需要查看當(dāng)前的SELinux，若為enforcing，更改配置為permissice。如圖1-8所示。圖 1-8 SELINUX設(shè)置1.4 橋接（Bridge）網(wǎng)絡(luò)模式配置方法及常見問題解決1.4.1 創(chuàng)建橋接模式網(wǎng)卡打開KVM虛擬機(jī)管理器，點(diǎn)擊菜單欄 Edit Connect

7、ion Details如圖 1-9所示。圖 1-9 KVM虛擬機(jī)管理器選擇菜單欄第四項 Network Interfaces ，點(diǎn)擊左下角 Add Interfaces如圖 1-10 所示。圖 1-10 網(wǎng)絡(luò)接口面板顯示各個網(wǎng)絡(luò)接口信息添加網(wǎng)絡(luò)接口，并選擇Bridge橋接模式如圖 1-11所示。圖 1-11 創(chuàng)建網(wǎng)絡(luò)接口選擇Bridge類型設(shè)置名字為br0設(shè)置初始狀態(tài)為onboot /即開機(jī)自啟動狀態(tài)設(shè)置是否激活 在Activate now 后面打勾 /網(wǎng)卡處于可使用狀態(tài)下面勾選eth0 /將原本的eth0創(chuàng)建成新的網(wǎng)橋接口如圖 1-12所示。圖 1-12 橋接網(wǎng)絡(luò)接口配置信息選擇yes，完成

8、網(wǎng)橋的創(chuàng)建過程如圖1-13所示。圖 1-13 選擇yes完成橋接接口的創(chuàng)建網(wǎng)橋創(chuàng)建成功后效果圖如圖 1-14所示。圖 1-14 Bridge橋接網(wǎng)卡創(chuàng)建完成效果圖打開KVM管理器，需要改變設(shè)置的虛擬機(jī)，雙擊rhel6界面打開。如圖1-15所示。圖 1-15 虛擬機(jī)管理器界面虛擬機(jī)雙擊后界面如圖1-16所示。圖 1-16 rhel6虛擬機(jī)信息面板打開一個虛擬機(jī)將網(wǎng)卡模式修改成剛剛創(chuàng)建的“Bridge br0”注意：虛擬機(jī)網(wǎng)卡改變必須在關(guān)機(jī)狀態(tài)下才能生效，所以在更改虛擬機(jī)網(wǎng)卡配置前，務(wù)必關(guān)閉需要修改配置的虛擬機(jī)保證實(shí)驗的順利進(jìn)行。如圖 1-17 所示。圖 1-17 網(wǎng)卡選擇橋接模式點(diǎn)擊右下角App

9、ly保存設(shè)置。完成橋接網(wǎng)卡的配置。效果：配置完成啟動虛擬機(jī)，虛擬機(jī)即可進(jìn)行網(wǎng)絡(luò)測試，虛擬機(jī)的網(wǎng)卡的顯示為eth0，且IP網(wǎng)段為物理機(jī)所在網(wǎng)段。1.4.2 物理機(jī)沒有IP問題的解決辦法分析問題: br0配置文件缺少BOOTPROTO一行 br0網(wǎng)卡配置文件路徑 “/etc/sysconfig/network-scripts/ifcfg-br0”解決辦法: (1) 配置動態(tài)IP設(shè)置"# vim /etc/sysconfig/network-scripts/ifcfg-br0"采用BOOTPROTO=dhcp 配置文件內(nèi)容如下圖所示：圖1-18 BOOTPROTO更改為dhcp，

10、即動態(tài)分配IP方式(2) 配置靜態(tài)IP設(shè)置，采用BOOTPROTO=static 如圖 1-19所示。圖1-19 設(shè)置成靜態(tài)IP方式，配置IP為3“# service network restart” /重啟服務(wù)，使網(wǎng)絡(luò)配置生效1.4.3 虛擬機(jī)網(wǎng)卡配置文件和ip a測試顯示結(jié)果不同-缺少底層配置文件“#cp/etc/sysconfig/network-scripts/ifcfg-eth0 /etc/sysconfig/network-scripts/ifcfg-eth1” /拷貝生成另一網(wǎng)卡的配置文件如圖 1-20 所示。圖 1-20 拷貝生成另一個網(wǎng)卡的底層配置文件復(fù)

11、制產(chǎn)生新的配置文件，并修改DEVICE為新名，與配置文件文件名對應(yīng)編輯拷貝的網(wǎng)卡配置文件“# vim /etc/sysconfig/network-scripts/ifcfg-eth1”保留以下行即可。DEVICE=eth1/見DEVICE改成與文件名相匹配ONBOOT=yes/開啟開機(jī)啟動的選項，激活網(wǎng)卡TYPE=Ethernet/以太網(wǎng)的網(wǎng)絡(luò)類型BOOTPROTO=dhcp/自動從dhcp服務(wù)器獲取IP如圖1-21 所示。圖 1-21 將拷貝的配置文件設(shè)置成如圖所示“# service network restart” /重啟網(wǎng)絡(luò)服務(wù)1.4.4 網(wǎng)卡底層信息與ip a不相符“#ip a”

12、顯示多網(wǎng)卡信息時并不是按順序的eth0-eth1，而出現(xiàn)亂序網(wǎng)卡信息“# > /etc/udev/rules.d/70-persistent-net.rules” /利用重定向清空網(wǎng)卡配置信息如圖 1-22所示。圖1-22 使用重定向清空網(wǎng)卡設(shè)備識別信息“# reboot” /重啟電腦如圖 1-23所示。圖1-23 重啟電腦，是電腦重新識別更新的設(shè)備信息“# ip a” /查看現(xiàn)在的ip狀態(tài)如圖 1-24所示。圖 1-24 更新過后ip a顯示結(jié)果為正序的網(wǎng)卡信息1.4.5 問題綜述(1) 在局域網(wǎng)內(nèi)存在可用的dhcp服務(wù)器的情況下，在本地客戶機(jī)上使用dhcp獲取IP或者手動配置靜態(tài)IP

13、都是可以的，配置文件參考上圖如圖1-8（dhcp動態(tài)從服務(wù)器獲取IP）如圖1-9（手動配置靜態(tài)ip 的配置文件信息，但需保證IP不沖突方能張嘗試用）(2)測試過程中，出現(xiàn)部分電腦不能通過dhcp方式獲取穩(wěn)定動態(tài)ip，可能因為實(shí)驗環(huán)境中機(jī)器的不穩(wěn)定造成的，但可通過手動配置與已知dhcp分配的ip不沖突的ip來解決這個問題1.5 NAT網(wǎng)絡(luò)模式配置方式1.5.1 NAT網(wǎng)絡(luò)創(chuàng)建方法打開KVM虛擬機(jī)管理器，點(diǎn)擊菜單欄 edit Connection Details如圖 1-25所示。圖 1-25 KVM虛擬機(jī)管理器界面選擇菜單欄第二項Virtual Networks如圖1-26 所示。圖 1-26

14、虛擬網(wǎng)絡(luò)管理界面點(diǎn)擊左下角Add Network 添加虛擬網(wǎng)絡(luò)如圖 1-27 所示。圖 1-27 虛擬網(wǎng)絡(luò)創(chuàng)建流程為虛擬網(wǎng)絡(luò)命名，此處設(shè)置為“NAT”如圖 1-28 所示。圖 1-28 虛擬網(wǎng)絡(luò)命名選擇虛擬網(wǎng)絡(luò)的IP地址域，默認(rèn)為/24 此處設(shè)置為/24如圖 1-29 所示。圖 1-29 配置虛擬網(wǎng)絡(luò)地址域選擇是否啟用dhcp獲取ip本處選擇使用dhcp為虛擬機(jī)自動分配2網(wǎng)段ip注。若不勾選dhcp可用，則需進(jìn)入虛擬機(jī)后手動配置IP，注意手動配置IP必須為虛擬網(wǎng)絡(luò)設(shè)置的IP地址段才能正常使用如圖 1-30所示。圖 1-30 虛擬網(wǎng)絡(luò)開啟dhcp，

15、自動分配虛擬網(wǎng)絡(luò)ip選擇是否鏈接到物理網(wǎng)絡(luò)的模式，此處選擇實(shí)驗用的NAT模式，且接入所有物理設(shè)備如圖 1-31 所示。圖 1-31 選擇是否接入物理設(shè)備虛擬網(wǎng)絡(luò)創(chuàng)建完成信息統(tǒng)計界面如圖 1-32 所示。圖 1-32 創(chuàng)建虛擬網(wǎng)絡(luò)設(shè)置信息統(tǒng)計創(chuàng)建完成后，虛擬網(wǎng)絡(luò)界面出現(xiàn)剛剛創(chuàng)建好的NAT虛擬網(wǎng)絡(luò)，右側(cè)為虛擬網(wǎng)絡(luò)參數(shù)如圖 1-33 所示。圖 1-33 虛擬網(wǎng)絡(luò)管理界面選擇虛擬機(jī)，將網(wǎng)卡模式選擇為剛剛創(chuàng)建的NAT網(wǎng)絡(luò)。Apply保存配置使生效。注意：虛擬機(jī)網(wǎng)卡改變必須在關(guān)機(jī)狀態(tài)下才能生效，所以在更改虛擬機(jī)網(wǎng)卡配置前，務(wù)必關(guān)閉需要修改配置的虛擬機(jī)保證實(shí)驗的順利進(jìn)行。如圖 1-34 所示。圖 1-34

16、選擇虛擬機(jī)網(wǎng)卡連接的網(wǎng)絡(luò)類型虛擬機(jī)重啟后分配到新的NAT網(wǎng)絡(luò)模式下的IP如圖 1-35 所示。圖 1-35 虛擬機(jī)獲得NAT網(wǎng)絡(luò)ip1.5.2NAT網(wǎng)絡(luò)連通性測試條件。 兩臺NAT模式下的虛擬機(jī)，兩臺物理機(jī)虛擬機(jī)1 IP 46虛擬機(jī)2 IP 73物理機(jī)1 IP 3物理機(jī)2 IP 1（虛擬機(jī)1，虛擬機(jī)2建立在物理機(jī)1上）(1) NAT向外界ping測試虛擬機(jī)1ping虛擬機(jī)2測試如圖 1-36 所示。圖 1-36 虛擬機(jī)1ping虛擬機(jī)2測試虛擬機(jī)1 ping物理機(jī)測試如圖 1-37 所示。圖 1-37 虛擬

17、機(jī)1ping物理機(jī)測試虛擬機(jī)1 ping 物理機(jī)2如圖 1-38 所示。圖 1-38 虛擬機(jī)1 ping 物理機(jī)2實(shí)驗結(jié)論：NAT模式下的虛擬機(jī)，能夠ping通物理機(jī)，物理機(jī)上的虛擬機(jī)，其他NAT模式下的虛擬機(jī)，其他與物理機(jī)同網(wǎng)段的物理機(jī)(2) 外界向NAT ping測試物理機(jī)1 ping 虛擬機(jī)1 如圖 1-39 所示。圖 1-39 物理機(jī)1 ping 虛擬機(jī)1物理機(jī)2 ping 虛擬機(jī)1 如圖 1-40 所示。圖 1-40 物理機(jī)2 ping 虛擬機(jī)1 物理機(jī)上橋接模式下的虛擬機(jī) ping 虛擬機(jī)1如圖 1-41 所示。圖 1-41 物理機(jī)上橋接模式下的虛擬機(jī) ping 虛擬機(jī)1實(shí)驗結(jié)論：

18、外界除本地物理機(jī)外，均不能ping通NET模式下的機(jī)器1.6 Host-Only網(wǎng)絡(luò)模式配置方法及網(wǎng)絡(luò)測試1.6.1 隔離網(wǎng)絡(luò)配置方式打開虛擬機(jī)管理器如圖 1-42 所示。圖 1-42 虛擬機(jī)管理界面在虛擬網(wǎng)絡(luò)管理界面添加隔離網(wǎng)絡(luò)，點(diǎn)擊左下角 Add Network按鈕如圖 1-43 所示。圖 1-43 虛擬網(wǎng)絡(luò)管理界面進(jìn)入添加虛擬網(wǎng)絡(luò)流程如圖 1-44 所示。圖 1-44 添加虛擬網(wǎng)絡(luò)流程為虛擬網(wǎng)絡(luò)命名為“LXF”如圖1-45 所示。圖 1-45 為虛擬網(wǎng)絡(luò)命名為虛擬網(wǎng)絡(luò)設(shè)置IP地址段此處將IP地址段設(shè)置成/24 網(wǎng)段如圖 1-46所示。圖 1-46 設(shè)置虛擬網(wǎng)絡(luò)網(wǎng)段是

19、否在虛擬網(wǎng)絡(luò)中使用DHCP服務(wù)（鑒于NAT模式網(wǎng)絡(luò)測試已使用DHCP服務(wù)獲取IP，在隔離網(wǎng)絡(luò)中使用手動配置IP的方式做測試）如圖 1-47 所示。圖 1-47 是否啟用DHCP界面選擇虛擬網(wǎng)絡(luò)模式，此處選擇第一項，即選擇隔離網(wǎng)絡(luò)模式如圖 1-48 所示。圖 1-48 虛擬網(wǎng)絡(luò)類型選擇界面設(shè)置完成，虛擬網(wǎng)絡(luò)信息總覽界面如圖 1-49 所示。圖 1-49 新建虛擬網(wǎng)絡(luò)信息總覽界面Host-Only網(wǎng)絡(luò)網(wǎng)卡創(chuàng)建成功效果顯示如圖 1-50 所示。圖 1-50 LXF隔離網(wǎng)絡(luò)創(chuàng)建成功配置測試用虛擬機(jī)網(wǎng)卡為“LXF”Host-Only網(wǎng)絡(luò)模式工作。注意：虛擬機(jī)網(wǎng)卡改變必須在關(guān)機(jī)狀態(tài)下才能生效，所以在更改虛

20、擬機(jī)網(wǎng)卡配置前，務(wù)必關(guān)閉需要修改配置的虛擬機(jī)保證實(shí)驗的順利進(jìn)行。如圖 1-51 所示。圖 1-51 配置虛擬機(jī)網(wǎng)卡界面虛擬機(jī)1 網(wǎng)卡配置文件（手動配置IP方式）“# vim /etc/sysysconfig/network-scripts/ifcfg-eth0”配置文件信息如圖 1-52 所示。圖 1-52 虛擬機(jī)1 修改完網(wǎng)卡配置文件，重啟服務(wù)使生效。如圖 1-53 所示。圖 1-53 重啟服務(wù)使配置生效“# ip a” 查看虛擬機(jī)1 的網(wǎng)卡信息。如圖 1-54 所示。圖 1-54 ip a查看網(wǎng)卡信息虛擬機(jī)2 網(wǎng)卡配置文件（手動配置IP）“# vim /etc/sysconfig/network-scripts/ifcfg-eth0”配置文件內(nèi)容如圖 1-55 所示。圖 1-55 虛擬機(jī)2配置文件虛擬機(jī)2 重啟