主页 / server / 问题

问题[bridged-adapter](server)

Martin Hope
t09
Asked: 2021-08-02 19:57:53 +0800 CST
  • -1

在 KVM vm 和主机之间设置 NAT 网络的正确方法是什么?

KVM 虚拟机:

未安装防火墙

$ sudo arp-scan -r 5 -t 1000 --interface=eth0 --localnet

10.0.2.2     52:55:0a:00:02:02    locally administered
10.0.2.3     52:55:0a:00:02:03    locally administered

$ ip r

default via 10.0.2.2 dev eth0 proto dhcp metric 100
10.0.2.0/24 dev eth0 proto kernel scope link src 10.0.2.15 metric 100

如果配置

eth0: inet 10.0.2.15 netmask 255.255.255.0 broacast 10.0.2.255
      ether 52:54:00:12:34:56
lo: inet 127.0.0.1 netmask 255.0.0.0
      inet6 ::1

主持人:

:~$ ip r

0.0.0.0/1 via 10.211.1.10 dev tun0 
default via 192.168.1.1 dev wlan0 proto dhcp metric 600 
10.21xxxxxxxx dev tun0 proto kernel scope link src 10.21xxxxx 
xxxxxxxxxxxx dev wlan0 
128.0.0.0/1 via 10.211.1.10 dev tun0 
192.168.1.0/24 dev wlan0 proto kernel scope link src 192.168.1.172 metric 600 
192.168.4.0/22 dev eth0 proto kernel scope link src 192.168.4.8 metric 100

:~$ ifconfig

 eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
    inet 10.0.2.3  netmask 255.0.0.0  broadcast 10.255.255.255
    inet6 fe80::76c8:79b4:88d4:7f5c  prefixlen 64  scopeid 0x20<link>
    ether ec:8e:b5:71:33:6e  txqueuelen 1000  (Ethernet)
    RX packets 1700  bytes 194730 (190.1 KiB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 2862  bytes 246108 (240.3 KiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
    device interrupt 16  memory 0xe1000000-e1020000  

 lo: flags=73<UP,LOOPBACK,RUNNING>  mtu 65536
    inet 127.0.0.1  netmask 255.0.0.0
    inet6 ::1  prefixlen 128  scopeid 0x10<host>
    loop  txqueuelen 1000  (Local Loopback)
    RX packets 13251  bytes 7933624 (7.5 MiB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 13251  bytes 7933624 (7.5 MiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

tun0: flags=4305<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST>  mtu 1500
    inet 10.211.1.69  netmask 255.255.255.255  destination 10.211.1.70
    inet6 fe80::a920:941c:ffa8:5579  prefixlen 64  scopeid 0x20<link>
    unspec 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00  txqueuelen 100  (UNSPEC)
    RX packets 4348  bytes 2242726 (2.1 MiB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 3823  bytes 404190 (394.7 KiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
    inet 192.168.1.172  netmask 255.255.255.0  broadcast 192.168.1.255
    inet6 fe80::651b:5014:7929:9ba3  prefixlen 64  scopeid 0x20<link>
    ether d8:55:a3:d5:d1:30  txqueuelen 1000  (Ethernet)
    RX packets 114455  bytes 117950099 (112.4 MiB)
    RX errors 0  dropped 0  overruns 0  frame 0
    TX packets 67169  bytes 14855011 (14.1 MiB)
    TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

~$ sudo arp-scan -r 5 -t 1000 --localnet

just hangs......

主机无法 ping 10.0.2.2

没有启用防火墙

试过了

$ sudo ip route add default via 10.0.2.0
$ sudo ip route add default via 10.0.2.2
$ sudo ip route add default via 10.0.2.0/24

NAT 可以在没有 virsh 的情况下工作吗?

只能从命令行修复 NAT 吗?

更新:

$ sudo ip link add natbr0 type bridge
$ sudo ip link set dev natbr0 up
$ sudo ip link set dev eth0 up
$ sudo ip link set dev eth0 master natbr0

可以将 eth0 slave 桥接到 kvm - vm 可以 ping 网络上的其他计算机。但不是主机@Tom Yan 的回答结合上面创建的可以ping其他网络IP的命令的archlinux-Network_bridge

所以我试图改变工作桥连接以允许主机和 kvm 交谈。

Goal: host$ ping kvm

$ sudo ip link add natbr0 type bridge
$ sudo ip link set dev natbr0 up
$ sudo ip a add 10.0.2.1/24 dev natbr0
$ sudo kvm -m 3G -hdb /dev/sde  -nic bridge,br=natbr0
kvm$ sudo ip link add natbr0 type bridge
kvm$ sudo ip a add 10.0.2.2
kvm$ sudo ip link set dev natbr0 up
kvm can ping it self

$ 平 10.0.2.2

PING 10.0.2.2 (10.0.2.2) 56(84) bytes of data
64 bytes from 10.0.2.2: icmp_seq=1 ttl=64 time=0.027 ms

但是 kvm$ping 10.0.2.1

Destination Host Unreachable

主机$ ping 10.0.2.2

(just hangs)

更喜欢命令行来测试进程/系统裸骨的弹性,而不是许多可能对失败造成更多脆弱性的脚本。- 命令行工作与否,错误更容易追踪、隔离和重现。根据 linux 风格,某些脚本/部分脚本(如包含在提供的 xml 替代解决方案中的那些)可能工作或不工作。如果可以按照上面的命令在任何 linux 风格上重现与 kvm 的桥接......那么似乎也可以使用 cli 命令实现 kvm NAT - 只是为了澄清这篇文章的重点,NAT kvm 的 cli 步骤将是更标准化,所以更可取。

通常@NikitaKipriyanov 的答案是正确的道路,这是答案,但需要调整命令

$ sudo kvm -m 3G -hdb /dev/sde -net nic -net user,hostfwd=tcp::1810-:22

使用命令调整 vm 可以像默认一样与互联网通信,也可以通过 ssh 与主机通信。感谢@NikitaKipriyanov 和@cnst 的调整https://stackoverflow.com/a/54120040

用户将需要使用 localhost 地址使用端口 1810 进行 ssh

$ ssh p@localhost -p 1810

networking kvm-virtualization command-line-interface nat bridged-adapter
Martin Hope
Nathan
Asked: 2020-11-27 07:20:56 +0800 CST
  • 2

我在 CentOS 上的 ARP 表有问题。有时,当我创建 TAP 接口并将其添加到网桥时,ARP 表会被清除。

例如,当我执行此命令时:

sudo ip tuntap add dev tap-device-u98 mode tap; sudo ip link set dev tap-device-u98 master br0

ARP 表下降到只有几个条目。

当我这样做时也会发生这种情况:

sudo ip link set dev tap-device-u98 nomaster

ARP 表中的大多数条目都是永久性的,由自制的专用应用程序管理(满足我们的特定需求)。它们最多可以容纳 12k 条目,但数量无关紧要(大表(12k)和小表(10)一样)。

这发生在我们的大部分服务器上,从 CentOS6.2 到 CentOS7.8。

生产中出现的确切问题不是上述命令,而是 openvpn(创建 TAP 接口)和 brctl(将接口添加到网桥)。但这似乎无关紧要,因为问题也发生在“ip”上。带有“ip”命令的 PoC 在 CentOS 7.4.1708 上执行,内核为 3.10.0-693.2.2.el7.x86_64 #1 SMP Tue Sep 12 22:26:13 UTC 2017

/var/log/messages 没有多大帮助:

--- (Create interface and mount it on br0)
Nov 26 15:52:51 localhost NetworkManager[733]: <info>  [1606402371.7604] manager: (tap-device-u98): new Tun device (/org/freedesktop/NetworkManager/Devices/2723)
Nov 26 15:52:51 localhost kernel: br0: port 7(tap-device-u98) entered blocking state
Nov 26 15:52:51 localhost kernel: br0: port 7(tap-device-u98) entered disabled state
Nov 26 15:52:51 localhost kernel: device tap-device-u98 entered promiscuous mode
--- (Remove interface from br0 and delete it)
Nov 26 15:52:51 localhost kernel: device tap-device-u98 left promiscuous mode
Nov 26 15:52:51 localhost kernel: br0: port 7(tap-device-u98) entered disabled state
Nov 26 15:52:51 localhost NetworkManager[733]: <info>  [1606402371.8909] device (tap-device-u98): released from master device br0

关于可能出错的任何想法?

centos arp bridged-adapter