eth0和eth1配置:
DEVICE=eth0ONBOOT=yes
MASTER=bond0
SLAVE=yes
bond0 配置:
#配置默认bonding,用以配置宿主机默认bridge以及宿主机管理地址DEVICE=bond0
ONBOOT=yes
BRIDGE=bridge0
VLAN=yes
ONBOOT=yes
ARP=no
bond0.X 配置:
#配置带有tag的bonding,用以配置对应的bridgeDEVICE=bond0.X
ONBOOT=yes
BRIDGE=bridgeX
VLAN=yes
ONBOOT=yes
ARP=no
bridge0配置:
#配置默认bridge,用以配置宿主机管理地址DEVICE=bridge0
ONBOOT=yes
TYPE=Bridge
BOOTPROTO=none
IPADDR=IPADDRESS
NETMASK=NETMASK
STP=off
DELAY=0
BRIDGING_OPTS="max_age=0 ageing_time=0"
GATEWAY=GATEWAY
bridgeX配置:
#配置业务bridge,每个bridge只转发包含相应tag的流量#虚拟机根据业务不同,桥接到不同的bridgeX即可
DEVICE=bridgeX
ONBOOT=yes
TYPE=Bridge
BOOTPROTO=none
STP=off
DELAY=0
BRIDGING_OPTS="max_age=0 ageing_time=0"
以上配置在bond0.X处解tag,然后将流量分发到不同的bridgeX上,每个bridgeX只能转发解除tag后vlanX的流量。虚拟机桥接到bridgeX,因此也只能获取到指定的vlanX的流量,保证虚拟机隔离在一个vlan中。
还有一种配置是不在bond0上做解tag动作,而是在bridge0上设定tag,创建bridge0.X,bridge0从而可转发所有流量,虚拟机桥接到bridge0,虚拟机可以通过配置不同的vlan接口来获取所有流量,这样会带来一定的不安全因素。
没有评论:
发表评论