vLan網路原理解析

恆天雲技術分享系列：

 

Vlan網路模式優點

1. 增加網路可擴充套件性
2. 網路隔離，每個租戶擁有獨立的網路及vlan

網路架構圖

 

說明：

         每個租戶有獨立的一個vlan網路

         每個vlan會獨立建立一個橋

         每個橋充當閘道器角色，橋內的所有虛擬機器閘道器指向橋IP

         dns監聽在每個橋上，所以會有多個dns程式

 

Vlan網路模式配置

1. 思科千兆交換機設定

設定15 16 17 18四個乙太網介面為 trunk 模式，並建立兩個 vlan。
    sina>enable
    sina#configure terminal
    sina(config-if)#interface GigabitEthernet0/15
    sina(config-if)#switchport mode trunk
    sina(config-if)#interface GigabitEthernet0/16
    sina(config-if)#switchport mode trunk
    sina(config-if)#interface GigabitEthernet0/17
    sina(config-if)#switchport mode trunk
    sina(config-if)#interface GigabitEthernet0/18
    sina(config-if)#switchport mode trunk
    sina(config-if)#exit
    sina(config)#vlan 100
    sina(config-vlan)#exit
    sina(config)#vlan 101
    sina(config-vlan)#exit
    sina(config)#exit
    sina#write

1. Nova配置/etc/nova/nova.conf

# Network settings

network_manager=nova.network.manager.VlanManager

force_dhcp_release=True

dhcpbridge_flagfile=/etc/nova/nova.conf

dhcpbridge=/usr/bin/nova-dhcpbridge

firewall_driver=nova.virt.libvirt.firewall.IptablesFirewallDriver

multi_host=true

public_interface=eth0

1. 新增vlan網路命令

nova-manage network create public --bridge_interface=eth0 --vlan=101

--fixed_range_v4="10.10.3.0/25" --network_size=128 --multi_host=T --bridge=br101

 

資料流分析

場景1：從10.0.2.2 ping 10.0.2.5

 

 

場景2：VM_1 to VM_3.

前提是tenant1與tenant2安全規則互信

tenant1: nova secgroup-add-rule default tcp 1 65535 10.1.0.0/24

tenant2: nova secgroup-add-rule default tcp 1 65535 10.0.0.0/24

 

從10.0.0.1ping10.1.0.1

 

場景3：VM_1 to VM_6

 

場景4：VM_1 to VM_6

 

結論：透過內網互信vlan之間不能保證能夠通訊，最好使用外網通訊

vlan不足之處

1. 數量限制 4096
2. 需要硬體（交換機）支援
3. 需提前建立好，無法實現SDN

 

實際環境分享資料流

Iptables 流程圖: