OVS使用VLAN隔离VM流量

本文描述如何使用Open vSwitch的VLAN隔离VM流量。

Setup 建立

本指南假设如下的配置环境

两个物理网络

• 数据网络

  VM数据流量的以太网络，用于承载VM之间的VLAN流量。你的物理交换机必须支持转发带有VLAN标签的流量，并且物理交换机接口应工作在VLAN Trunk模式。（通常情况下，这是默认的行为。配置物理交换机硬件超出了本文的讨论范围）。

• 管理网络

  严格意义上来说，此网络并不必须，但是，这是一种非常简单的方式给与物理主机可远程访问的IP地址，因为eth0端口不能直接赋予IP地址（马上讲述这一点）。

两个物理主机

此环境假设使用两个主机: host1 and host2. 他们都运行Open vSwitch软件。每个主机两个网卡NIC：eth0 和 eth1, 配置如下:

• eth0 连接到数据网络. 无IP地址分配到 eth0.

• eth1 连接到管理网络 (如果需要). eth1 拥有IP地址，可用于管理此物理机.

四个虚拟机

每个主机运行两个虚拟机（VM）。vm1 和 vm2 运行在host1, 而 vm3 和 vm4 运行在 host2.

每个虚拟机有一个端口，在物理主机中显示为一个Linux设备（例如, tap0）。

注意:
对于 Xen/XenServer, VM虚拟机的接口显示为名称类似vif1.0的Linux设备。其它的Linux系统也许将其端口显示为 vnet0,
vnet1, 等待.

配置步骤

在主机host1上执行以下的配置:

#. 创建 OVS 网桥:

 $ ovs-vsctl add-br br0

#. 添加 eth0 端口到网桥:

 $ ovs-vsctl add-port br0 eth0

注意:

  默认情况下，所有的OVS端口都是VLAN Trunk模式，所以eth0运行所有VLAN标签通过。

注意:

当你将eth0添加到OVS网桥后，任何分配给eth0的IP地址将停止工作。eth0的IP地址应在将其添加到OVS网桥前迁移到一个不同的端口上。这就是通过eth1实现分离的管理连接的原因。

1. 将 vm1 作为VLAN 100的"Access端口"添加到网桥. 这意味着由VM1进入OVS的流量将没有VLAN tag，并被假设为VLAN 100的一部分:

   $ ovs-vsctl add-port br0 tap0 tag=100

   在VLAN 200上添加 VM2:

   $ ovs-vsctl add-port br0 tap1 tag=200

在主机 host2重复以上的操作:

2. 建立将eth0作为VLAN trunk的网桥:

   $ ovs-vsctl add-br br0
   $ ovs-vsctl add-port br0 eth0

3. 添加 VM3 到 VLAN 100::

   $ ovs-vsctl add-port br0 tap0 tag=100

4. 添加 VM4 到 VLAN 200::

   $ ovs-vsctl add-port br0 tap1 tag=200

验证

从vm1 PING vm3应该成功，因为这两个虚拟机在相同的VLAN中（100）。

从vm2 ping vm4也应当成功，因为这两个虚拟机也在相同的VLAN中（200）。

从vm1或vm3 ping vm2或vm4都不应成功，因为这些虚拟机不在同一个VLAN中。如果你有一个路由器，配置为在VLAN间转发流量，ping可成功工作。但是，到的vm3的报文的源MAC地址应为路由器的MAC地址，而不是 vm1的MAC地址.