|
|
Xen网络概览Xen可配置让它的虚拟机(VMs):使用已有的网络与IP地址.使用新创建的私有IP地址段.Xen在/etc/xen/xend-config.sxp有3个主要配置:...
Xen网络概览
Xen可配置让它的虚拟机(VMs):
- 使用已有的网络与IP地址.
- 使用新创建的私有IP地址段.
Xen在/etc/xen/xend-config.sxp有3个主要配置:
网桥模式(Bridge Networking)
(network-script network-bridge)
(vif-script vif-bridge)
NAT路由网络模式(Routed Networking with NAT)
(network-script network-nat)
(vif-script vif-nat)
双向路由网络模式(Two-way Routed Network)
(network-script network-route)
(vif-script vif-route)
一般XEN的网络只能工作运行于上述3种方式之一,其他2种必须注释掉。
上述3种工作模式的选择依赖于当前的网络结构或网络规划,下面会讨论一些场景,以帮助大家选取何种XEN网络模式。
网络应用场景
应用场景 1
- 已存在一个计算机网络.
- 只间简单地让任一VMs (xen虚拟机)显现在现有网络中.
- 可以随意添加新的计算机到已有网络中(通过静态IP地址或DHCP).
- 希望能从本地电脑访问这些VMs,也可以由VMs访问本地电脑.
配置使用: 网桥模式(Bridge Networking)
应用场景 2
- 已存在一个计算机网络.
- 已由ISP指定一段静态公网IP地址.
- 希望提供多个WEB服务与邮件服务.
配置使用: 网桥模式(Bridge Networking)
应用场景 3
- 没有已存在网络(如家中).
- 仅有1台独立的计算机使用xen.
- 这台计算机(dom0) 可能有,也可能没有internet连接.
- 希望VMs可以访问Internet(若dom0有internet连接).
- 希望VMs是私有的,不被Internet所见.
配置使用: NAT路由模式( Routed Networking with NAT)
应用场景 4
- 已存在一个计算机网络.
- 希望为新的VMs创建一个新的私有网络.
- 希望对于其他外部网络而言,VMs是私有且隐藏.
- 希望可以访问internet或其他网络.
配置使用: NAT路由网络模式( Routed Networking with NAT)
应用场景 5
- 已存在一个计算机网络.
- 希望为新的VMs创建一个新的私有网络.
- 希望对于已存在的外部网络而言,VMs是可见的.
- 希望能从本地电脑访问这些VMs,也可以由VMs访问本地电脑.
配置使用: 双向路由网络模式(Two-way Routed Network)
网桥模式
XEN中网桥模式是最简单与最容易配置的。这种网络模式只是让VMs以虚拟以太网卡加入现存网络,很多情况下都会用到。典型的网桥模式被用于:
- 可随意加入计算机或设备到现存网络.
- 现存网络使用DHCP或静态IP地址.
- 希望VMs在现有网络中可见,允许双向访问.
类似VMware,Xen提供了几种不同的网络连接方式,主要有桥接模式,NAT模式,路由模式。其中最常用的,也是Xen默认安装的方式就是桥接模式。
在桥接模式下,Xen会创建了一个网桥,并且把服务器上的物理网卡接口加入到这个网桥中。之后,Xen会把dom0和其他domU的虚拟网卡接口也加入到这个网桥中来。这样在这个网桥之内的所有domU在网桥内部可以互相通讯,另外还可以通过网桥中的物理网卡接口跟外界通讯。物理网卡连接到哪些网络,则domU也可以连接到同样的网络,这是让domU与外界通讯的最简单方法。
在Xend的配置文件/etc/xen/xend-config.sxp中,桥接模式是默认的模式。需要注意的是,除了network-bridge和vif-bridge以外的其他行都是被注释掉的。
配置文件看起来像如下所示:
(network-script network-bridge)
(vif-script vif-bridge)
#(network-script network-route)
#(vif-script vif-route)
#(network-script network-nat)
#(vif-script vif-nat)
network-bridge脚本和vif-bridge脚本都存放在/etc/xen/scripts目录下。
network-bridge脚本的作用是建立网络环境,并且使用bridge-utils工具创建一个网桥xenbr0。
vif-bridge脚本的作用是当一台guest服务器启动的时候,为这个guest服务器创建后端的vif接口。
在没有创建任何gueste服务器的时候,在Dom0上使用ifconfig命令查看网络的时候,可以看到类似下边的输出。
[iyunv@localhost xen]# ifconfig
eth0 Link encap:Ethernet HWaddr48:5B:39:89:E5:43
inet addr:192.168.1.86
Bcast:192.168.1.255Mask:255.255.255.0
lo Linkencap:Local Loopback
inet addr:127.0.0.1
Mask:255.0.0.0
peth0 Linkencap:Ethernet HWaddr
FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64Scope:Link
vif0.0 Link encap:Ethernet HWaddrFE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64Scope:Link
xenbr0 Link encap:Ethernet HWaddrFE:FF:FF:FF:FF:FF
UP BROADCAST RUNNING NOARP MTU:1500Metric:1
除了熟悉的eth0以外,多出几个接口。你可能会好奇,这些接口是什么时候,怎么创建的?如下所示步骤,是当Xen Server和Xend服务启动的时候接口的创建顺序。(本例中,除了Dom0以外,没有其他gusetdomain被Xend设置为自动启动,且服务器上只有一个物理网卡接口)
1.执行在/etc/xen/xend-config.sxp中指定的/etc/xen/scripts/network-bridge脚本
2.network-bridge脚本创建一个新网桥,名字为xenbr0
3.复制物理网卡接口eth0的MAC地址和IP地址
4.停止物理网卡接口eth0
5.创建一对相连的虚拟网卡接口,veth0和vif0.0
6.将之前复制的物理网卡接口的MAC,IP分配给虚拟接口veth0
7.重命名物理网卡接口,从eth0改名为peth0
8.重名名虚拟网卡接口,从veth0改名为eth0
9.将物理网卡接口peth0,虚拟网卡接口vif0.0加入到网桥xenbr0中
10.启动网桥xenbr0,启动其他网络接口peth0,eth0,vif0.0
对于每一个新的domU,Xen会创建"一对相连的虚拟网卡",其中一块在新建的domU上,另一块在dom0上。对于Linux的domU来说,其虚拟网卡名字是eth0,而在dom0这端的这一块的网卡名字是vif<id#>.0
当一台domU关机的时候,相关的虚拟网卡会被删除。
当domU启动的时候,dom0上的xend会运行vif-bridge脚本,该脚本会:
-将vif<id#>.0加入到xenbr0网桥中
-启动vif<id#>.0接口
所以在增加了新的domU以后,在dom0上用ifconfig查看网络,会得到类似的结果:
dom0:~# ifconfig
eth0 Link encap:Ethernet HWaddr00:50:8B:DC:F7:2B
inet addr:192.168.0.3 Bcast:192.168.0.255 Mask:255.255.255.192
inet6 addr: fe80::250:8bff:fedc:f72b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2848 errors:0 dropped:0 overruns:0 frame:0
TX packets:1768 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:256292 (250.2 KiB) TX bytes:277686(271.1 KiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:13 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1120 (1.0 KiB) TX bytes:1120 (1.0KiB)
peth0 Link encap:Ethernet HWaddr
FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:3716 errors:0 dropped:0 overruns:0 frame:0
TX packets:2046 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:493403 (481.8 KiB) TX bytes:318089(310.6 KiB)
vif0.0 Link encap:Ethernet HWaddr
FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:1768 errors:0 dropped:0 overruns:0 frame:0
TX packets:2848 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:277686 (271.1 KiB) TX bytes:256292(250.2 KiB)
vif1.0 Link encap:Ethernet HWaddr
FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:265 errors:0 dropped:0 overruns:0 frame:0
TX packets:408 errors:0 dropped:203 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:35758 (34.9 KiB) TX bytes:215469(210.4 KiB)
xenbr0 Link encap:Ethernet HWaddr
FE:FF:FF:FF:FF:FF
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:208 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:16101 (15.7 KiB) TX bytes:0 (0.0b)
可以看到,其中的vif1.0就是新增的domU相关联的虚拟网卡。
而在domU内部,使用ifconfig命令查看网络,会看到类似下边的结果:
[user@DomU]#ifconfig -a
eth0 Link encap:Ethernet HWaddr00:16:3E:5A:32:DA
inet addr:128.153.144.96 Bcast:128.153.145.255Mask:255.255.254.0
inet6 addr: fe80::216:3eff:fe5a:32da/64 Scope:Link
lo Linkencap:Local Loopback
inet addr:127.0.0.1
Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
在guestdomain内部,无论Xen使用网桥模式还是路由模式,网络看起来和物理机没有任何区别。
每一个guestdomain都有一个配置文件,我们可以在这个文件中指定它的网络设置。
vif =[mac=00:16:3E:02:00:41,bridge=xenbr0' ]
Vif: 指定该domain的虚拟网卡配置,采用如下格式
vif = ["key1 = value1", "key2 = value2" ]
常用的配置指令有:
bridge: 指定该虚拟网卡连接的网桥名称
mac: 指定该虚拟网卡的MAC地址,如果不指定MAC,Xen启动的时候会在IEEE分配给Xensource的地址范围中随机分配一个MAC地址。
经过上面的解释,你应该已经了解dom0中的那些接口是从何而来的了。接下来,我们要看一看数据包在网桥中是如何流动的。参考下图
数据包到达硬件物理网卡接口peth0,dom0上的网卡驱动会进行处理。因为peth0绑定在网桥上,所以数据包被发送到网桥上。返回上边,观察ifconfig的输出,你会发现peth0,xenbr0,vif0.0和vif1.0都共享一个相同的MAC地址FE:FF:FF:FF:FF:FF,该地址是以太网广播地址。这表明物理网卡接口,dom0的loopback接口,所有guestdomain的后端接口都广播到网桥接口xenbr0。当物理网卡接口peth0接收到一个数据包,它会将数据包直接发送到网桥接口xenbr0上。然后网桥会分发数据包,像交换机一样(话说交换机也是网桥的一种)。网桥会根据数据包接收者的MAC地址将其转发到正确的网络接口上。所以peth0这个接口不需要配置ip地址,只有MAC地址就够了。然后vif接口会将数据包发送给domU上相连的接口,然后domU中返回的数据包也通过vif发送回来。dom0也是一样的操作模式,通过vif0.0->eth0这一对相连的网卡。
如果你不想使用默认的xenbr0这个网桥的名字,可以在xend的配置文件中修改:
(network-script 'network-bridgebridge=<name>')
将<name>改成任何其他你想要的名字。
另外,network-script通常将物理接口eth0绑定到网桥上,如果要绑定其他物理网卡接口,可以如下修改:
(network-script 'network-bridgebridge=<name> netdev=eth1')
如果服务器上不只一个物理网卡接口,且连接不同的网络,那么最好创建多个网桥,并将这些物理网卡绑定到不同的网桥上。例如一个guest domain连接xenbr0,peth0和xenbr1,peth1,另一个guestdomain只连接xenbr1,peth1。所有这些都可以在network-bridge中配置。
要让Xen在启动时自动创建多个网桥,需要对/etc/xen/xend-config.sxp进行一些调整。因为启动时它只调用一次network-bridge脚本创建网桥,即只创建一个网桥。为了解决这个问题,我们需要创建一个network-wrapper脚本,它可以调用network-bridge脚本两次。
创建/etc/xen/scripts/network-wrapper,内容如下:
#!/bin/sh
/etc/xen/scripts/network-bridge $1 netdev=eth0 bridge=xenbr0
/etc/xen/scripts/network-bridge $1 netdev=eth1 bridge=xenbr1
然后修改/etc/xen/xend-config.sxp,让其调用我们创建的/etc/xen/scripts/network-wrapper
(network-script network-bridge-wrapper)
然后在每个domU中的配置文件中确认,如果你想使用新创建的第二个网桥
vif=['bridge=xenbr1', 'mac=00:16:3e:07:d2:0e', ]
网络结构示意图
配置Xen使用网桥模式(Bridge Networking)
主要的网络配置步骤见下:
1.配置xend-config.sxp
vi /etc/xen/xend-config.sxp
(network-script network-bridge)
#(network-script network-nat)
#(network-script network-route)
(vif-script vif-bridge)
#(vif-script vif-nat)
#(vif-script vif-route)
2. 配置vm01.cfg (vm配置文件)
vi /etc/xen/auto/vm01.cfg
vif = [ 'ip=192.168.0.6' ]
#thats all that is required for the networking part.
3. 配置VM自己的接口/etc/network/interfaces
mount /srv/xen/vm01-disk.img /mnt
vi /mnt/etc/network/interfaces
auto eth0
iface eth0 inet static
address 192.168.0.6
gateway 192.168.0.1
netmask 255.255.255.0
xm create /etc/xen/vm01.cfg
xm console vm01
完成。
网桥模式的排障步骤
在dom0上,运行ifconfig 应该看到下面类似的内容:
dom0:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:50:8B:DC:F7:2B
inet addr:192.168.0.3 Bcast:192.168.0.255 Mask:255.255.255.192
inet6 addr: fe80::250:8bff:fedc:f72b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2848 errors:0 dropped:0 overruns:0 frame:0
TX packets:1768 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:256292 (250.2 KiB) TX bytes:277686 (271.1 KiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:13 errors:0 dropped:0 overruns:0 frame:0
TX packets:13 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:1120 (1.0 KiB) TX bytes:1120 (1.0 KiB)
peth0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:3716 errors:0 dropped:0 overruns:0 frame:0
TX packets:2046 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:493403 (481.8 KiB) TX bytes:318089 (310.6 KiB)
vif0.0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:1768 errors:0 dropped:0 overruns:0 frame:0
TX packets:2848 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:277686 (271.1 KiB) TX bytes:256292 (250.2 KiB)
vif1.0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:265 errors:0 dropped:0 overruns:0 frame:0
TX packets:408 errors:0 dropped:203 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:35758 (34.9 KiB) TX bytes:215469 (210.4 KiB)
xenbr0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet6 addr: fe80::200:ff:fe00:0/64 Scope:Link
UP BROADCAST RUNNING NOARP MTU:1500 Metric:1
RX packets:208 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:16101 (15.7 KiB) TX bytes:0 (0.0 b)
若没看到xenbr0, 或vif1.0, 或peth0,刚网桥没有正确配置. 检查xend-config.sxp文件确保仅有network-script network-bridge与vif-script vif-bridge这2项启用,同时确保安装了bridge-utils.
在dom0上运行iptables -L 应该看到类似下面的内容:
dom0:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 192.168.0.6 anywhere PHYSDEV match --physdev-in vif1.0
ACCEPT udp -- anywhere anywhere PHYSDEV match --physdev-in vif1.0 udp spt:bootpc dpt:bootps
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
若没看到上述类似内容,则需要重启dom0,重启xend,并确保iptables正确安装. 检查所列ip地址正确.
在VM (vm01)上运行ifconfig 应看到以下类似内容:
vm01:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:3E:1D:1A:E9
inet addr:192.168.0.6 Bcast:192.168.0.255 Mask:255.255.255.0
inet6 addr: fe80::216:3eff:fe1d:1ae9/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:391 errors:0 dropped:0 overruns:0 frame:0
TX packets:263 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:214108 (209.0 KiB) TX bytes:39372 (38.4 KiB)
检查是否配置了正确的IP地址,且默认网关配置正确.
NAT路由网络模式
NAT路由网络模式最常用于将Xen虚机(VMs)置于独立的私有网络的情形。来自VMs的流量通过NAT (Network Address Translation-网络地址转换)进入外部网络。按下列步骤设置,dom0即自动执行所需NAT操作.
网络结构示意图
示意图说明如下:
- domU机器位于一个不同的私有LAN网络.
- domU机器须通过dom0的NAT才能通达其他LAN网络,网络流量显示是来自dom0 (192.168.0.3).
举例:若ssh's到192.168.0.5 , 看到则是来自192.168.0.3的网络ssh!! 换句话说,私有IP被隐藏了.
- domU机器隐藏于192.168.0.0/24网络中(有保护作用).
配置Xen使用NAT路由网络模式(NAT'd Networking)
主要的配置步骤如下:
1. 配置xend-config.sxp
vi /etc/xen/xend-config.sxp
(network-script network-nat)
#(network-script network-bridge)
#(network-script network-route)
(vif-script vif-nat)
#(vif-script vif-bridge)
#(vif-script vif-route)
2. 配置vm01.cfg (vm配置文件)
vi /etc/xen/auto/vm01.cfg
vif = [ 'ip=10.0.0.1' ]
#thats all that is required for the networking part.
3. 配置VM自己的网络接口/etc/network/interfaces
mount /srv/xen/vm01-disk.img /mnt
vi /mnt/etc/network/interfaces
auto eth0
iface eth0 inet static
address 10.0.0.1
gateway 10.0.0.254
netmask 255.255.255.0
xm create /etc/xen/vm01.cfg
xm console vm01
完成. 这样所有VMs (10.0.0.0/24)将可访问其他的机器,其通过dom0访问外部网络(192.168.0.0/24). 所有10.0.0.0/24到192.168.0.0/24的网络流量在外部网络中将显示dom0的IP,即 192.168.0.3. 结果所有位于私网中的VMs受保护.
NAT路由网络模式排障
在dom0上运行ifconfig 应显示以下相似内容:
dom0:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:50:8B:DC:F7:2B
inet addr:192.168.0.3 Bcast:192.168.0.254 Mask:255.255.255.0
inet6 addr: fe80::250:8bff:fedc:f72b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1662 errors:0 dropped:0 overruns:0 frame:0
TX packets:998 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:153897 (150.2 KiB) TX bytes:145027 (141.6 KiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:560 (560.0 b) TX bytes:560 (560.0 b)
vif1.0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet addr:10.0.0.128 Bcast:0.0.0.0 Mask:255.255.255.255
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:129 errors:0 dropped:0 overruns:0 frame:0
TX packets:144 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:13672 (13.3 KiB) TX bytes:17774 (17.3 KiB)
在dom0上运行iptables -L 应显示以下相似内容:
dom0:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 10.0.0.1 anywhere PHYSDEV match --physdev-in vif1.0
ACCEPT udp -- anywhere anywhere PHYSDEV match --physdev-in vif1.0 udp spt:bootpc dpt:bootps
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
在dom0上运行route 应显示以下相似内容:
dom0:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 * 255.255.255.255 UH 0 0 0 vif1.0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
在domU上运行ifconfig 应显示以下相似内容:
vm01:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:3E:4B:2F:21
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::216:3eff:fe4b:2f21/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:144 errors:0 dropped:0 overruns:0 frame:0
TX packets:129 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:17774 (17.3 KiB) TX bytes:15478 (15.1 KiB)
双向路由网络模式
此xen配置相对复杂一些. 转发规则均须手工设置.这个配置当然有更大的弹性,其允许建立私有网络并进行路由.
网络结构示意图
示意图说明如下:
- domU机器处于不同的私有网段中.
- domU的流量是被路由到外部网络(192.168.0.0/24)的.
- domU机器可直接被192.168.0.0/24访问. 但一条路由必须加到默认网关(192.168.0.1)中.
- 192.168.0.0/24 可见domU机器.
此模式与NAT路由模式唯一的区别是domU机器暴露于外部网络中。当VM (10.0.0.1) ssh到外部机器 (192.168.0.5)时,会显示它的原始IP.
配置Xen使用双向路由网络模式
主要配置步骤如下.
1. 配置xend-config.sxpvi /etc/xen/xend-config.sxp
(network-script network-route)
#(network-script network-bridge)
#(network-script network-nat)
(vif-script vif-route)
#(vif-script vif-bridge)
#(vif-script vif-nat)
2.配置vm01.cfg (vm配置文件)vi /etc/xen/auto/vm01.cfg
vif = [ 'ip=10.0.0.1' ]
#thats all that is required for the networking part.
3.配置dom0进行转发echo 1 > /proc/sys/net/ipv4/conf/all/proxy_arp
iptables -t nat -A POSTROUTING -s 10.0.0.0 -j MASQUERADE
4. 配置VM自己的网络接口 /etc/network/interfacesmount /srv/xen/vm01-disk.img /mnt
vi /mnt/etc/network/interfaces
auto eth0
iface eth0 inet static
address 10.0.0.1
gateway 10.0.0.254
netmask 255.255.255.0
xm create /etc/xen/vm01.cfg
xm console vm01
5. 配置默认网关192.168.0.1到 10.0.0.0的路由为让192.168.0.0/24 IP地址段的机器可以看到10.0.0.0/8,需要配置增加一条路由. 需要配置在外部网络的默认网关上(192.168.0.1),以当机器查询 10.0.0.0/8 地址时,他们的默认网关可以找到路由记录.
192.168.0.1:~# route add -net 10.0.0.0 netmask 255.255.255.0 gw 192.168.0.3
route
#to delete this route:
route del -net 172.16.0.0 netmask 255.255.255.0 gw 193.1.99.76
完成.这样所有VMs (10.0.0.0/24) 将可全面互相访问,外部网络(192.168.0.0/24)可通过dom0访问到他们。所有流量会通过dom0进行转发,所有自10.0.0.0/8到192.168.0.0/24的连接都会显示其真实IP地址.
注: 第5步是关键. 没有这一步,连接不能回去.
双向路由模式排障
在Odom0上运行ifconfig 应有如下相似内容:
dom0:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:50:8B:DC:F7:2B
inet addr:192.168.0.3 Bcast:192.168.0.3 Mask:255.255.255.0
inet6 addr: fe80::250:8bff:fedc:f72b/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1105 errors:0 dropped:0 overruns:0 frame:0
TX packets:723 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:105354 (102.8 KiB) TX bytes:99490 (97.1 KiB)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:560 (560.0 b) TX bytes:560 (560.0 b)
vif1.0 Link encap:Ethernet HWaddr FE:FF:FF:FF:FF:FF
inet addr:192.168.0.3 Bcast:192.168.0.3 Mask:255.255.255.255
inet6 addr: fe80::fcff:ffff:feff:ffff/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:194 errors:0 dropped:0 overruns:0 frame:0
TX packets:153 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:13094 (12.7 KiB) TX bytes:25365 (24.7 KiB)
在dom0上运行route 应有如下相似内容:
dom0:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
10.0.0.1 * 255.255.255.255 UH 0 0 0 vif1.0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
default 192.168.0.1 0.0.0.0 UG 0 0 0 eth0
在dom0上运行iptables -L 应有如下相似内容:
dom0:~# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT 0 -- 10.0.0.1 anywhere PHYSDEV match --physdev-in vif1.0
ACCEPT udp -- anywhere anywhere PHYSDEV match --physdev-in vif1.0 udp spt:bootpc dpt:bootps
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
在dom0上运行iptables -t nat -L 应有如下相似内容:
dom0:~# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE 0 -- 10.0.0.0 anywhere
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
在domU上运行ifconfig 应有如下相似内容:
vm01:~# ifconfig
eth0 Link encap:Ethernet HWaddr 00:16:3E:35:B8:A1
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0
inet6 addr: fe80::216:3eff:fe35:b8a1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:153 errors:0 dropped:0 overruns:0 frame:0
TX packets:194 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:25365 (24.7 KiB) TX bytes:15810 (15.4 KiB)排查与帮助提示
tcpdump
tcpdump是非常有用的工具,它可以看到ip连接与否!
192.168.0.1:~# tcpdump | grep 10.0.0.1
|
|
|
QQ群⑧:
窥视卡
雷达卡
发表于 2015-10-12 07:47:46
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡