Назад | Перейти на главную страницу

Безопасность Linux - Systemd-networkd (Clear Linux) - Топология мостовых интерфейсов (br0 / br1)

Все,

Приносим извинения за вопросы новичков, но это мое первое погружение в Linux и systemd, поэтому я надеюсь, что кто-то с лучшими знаниями, чем я, сможет здесь помочь.

У меня есть физический сервер под управлением Clear Linux в качестве операционной системы хоста. Он имеет два физических порта Ethernet 1 Гбит / с. Я создаю конфигурацию, в которой будет размещен виртуальный брандмауэр (среди других виртуальных машин, которые виртуальный брандмауэр должен защищать).

Мне удалось завязать в узле мои трусики о том, что на самом деле представляет собой / делает «мост» (br0) в Linux. Я не стал намного яснее после прочтения ссылки ниже, кроме как сказать, что я думаю, что виртуальный мост и виртуальный коммутатор означают одно и то же: В чем разница между мостом и коммутатором?

У меня есть несколько ненадежных и несколько доверенных виртуальных локальных сетей, которые транслируются на отдельных физических интерфейсах от аппаратного коммутатора с использованием 802.1q. Я хочу гарантировать, что трафик в этих VLAN останется полностью разделенным, включая их широковещательный трафик, после того, как они попадут на хост KVM и его конфигурацию виртуальной сети.

Я планировал создать br0 и br1 на хосте KVM, а затем подключить эти виртуальные мосты к соответствующим физическим интерфейсам на хост-сервере. Эти физические сетевые адаптеры подключены к отдельным интерфейсам на аппаратном коммутаторе, при этом интерфейсы транслируют только доверенные виртуальные локальные сети на один порт, а грязный, неприятный запах ненадежного Интернета, такой как виртуальные локальные сети, на другом.

Кажется, вы действительно можете создавать VLAN через br, которые настроены на хосте KVM, чтобы получать тегированные vlan, доступные для гостевых доменов KVM, при использовании ОС, использующей systemd (например, Clear Linux), в соответствии с этим интеллектуальным файлом cookie, который много сделал то же самое с Debian: http://wiki.hoeft-online.de/VLAN_for_virtual_machines#linux_bridge_with_libvirt_hook_scripts

Мои актуальные вопросы:

  1. Linux мосты vlan прозрачны? (вышесказанное подразумевает, что нет, но в других статьях говорится, что это так ..)
  2. Разделяет ли Linux-мост широковещательный трафик между помеченными vlan?
  3. Разделяет ли он трансляции между нетегированным (собственным) vlan и тегированным vlan?
  4. Можете ли вы разместить логические br0 и br1 на одном физическом интерфейсе хоста и при этом полностью разделить трафик?
  5. Если vlan помечены, нужны ли мне даже два логически отдельных моста?

На данный момент я представляю br0 и br1 как отдельные физические коммутаторы, подключенные к двум разным портам физического брандмауэра (который на самом деле будет виртуальной машиной, работающей на хосте KVM) .... но я не уверен, есть ли у меня это верный?

Я просто не понимаю, создаю ли я угрозу безопасности в этом процессе или нет. Любая ясность будет принята с благодарностью.

Ура