我们正在开始转移到新设施的过程。 办公室和仓库业务都将搬迁,我们必须在新的位置开始运行,并继续从旧的位置运送。 我们与一些第三方仓库租户的合同需要两个工作日的周转时间(仅限周末和节假日除外),所以我们不能在搬迁过程中出现大的停机时间。 我们希望保持我们的172.16.60 / 61.xxx内部地址空间在整个移动中的使用。 是否有可能继续使用这个相同的内部范围,并有我们现有的WatchGuard Firebox 520以及我们为其他位置(最好是同一型号)获得的路由器只将这两个位置视为一个networking,在整个移动过程中使我们的主机IP保持一致? 在移动服务器时对服务器进行重新编号并不是什么大不了的事情,但是我们在仓库中进行订单拣选的无线terminal具有固定的IP(以及与他们交谈的主机的固定IP,非DNS参考),这将是一个巨大的任务当服务器移动时重新configuration(每个设备必须重新configuration至less2次 – 有些当我们开始在新build筑中使用它们,并且主机仍然在这里时,当主机移动到新build筑物时,所有这些设备都在两个位置其余的时候他们最终搬到新的大楼)。 如果可能,我们正试图避免这种情况。
我configuration了我的Debian(带有KVM),如下所示: /etc/network/interfaces: auto lo iface lo inet loopback auto eth0 iface eth0 inet manual auto vmbr0 iface vmbr0 inet static address 176.xy133 netmask 255.255.255.224 gateway 176.xy129 bridge_ports eth0 bridge_stp off bridge_fd 0 dns-nameservers 8.8.8.8 8.8.4.4 重新启动后,我有以下ifconfig(ip a): 1: lo: … 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether AA:BB:CC:DD:EE:FF brd ff:ff:ff:ff:ff:ff […]
我正在设置一个Debian Squeeze框作为KVM主机。 我想为每个KVM来宾添加多个接口,所以我希望它们位于不同的VLAN上。 读完这个之后,我认为最好的方法是在物理网卡上添加多个逻辑VLAN(子)接口,然后为每个VLAN接口创build一个网桥适配器,并将每个网桥分配为KVM访客的网卡。 这是否合理,或疯狂? 我必须像这样使用KVM的桥接接口吗? 我不能只将eth1.xx和eth1.yy添加到下面的接口configuration中,然后将它们直接configuration为桥接KVM访客网卡? 如果是这样的话,应该如何查看下面的接口configuration文件? user@host:~$ cat /etc/network/interfaces # This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # Management Interface auto eth0 iface eth0 inet static address 172.22.0.31 […]
我有一个Linux机器设置作为客户端和服务器之间的桥梁; brctl addbr0 brctl addif br0 eth1 brctl addif br0 eth2 ifconfig eth1 0.0.0.0 ifconfig eth2 0.0.0.0 ip link set br0 up 我也有一个应用程序在本机的端口8080上侦听。 是否有可能将目的地为80端口的stream量传递给我的应用程序? 我已经做了一些研究,看起来可以使用ebtables和iptables来完成。 这是我的其他设置: //set the ebtables to pass this traffic up to ip for processing; DROP on the broute table should do this ebtables -t broute -A BROUTING -p ipv4 –ip-proto tcp […]
我在服务器上有两组lxc contianers,并且出于安全原因希望隔离它们的networkingstream量。 我将使用端口转发,因此每个容器都有独立的IP。 我知道我必须把两个小组划分,并且打算给每个小组29个。 我也假设我需要把每个子网放在它自己的vlan上。 但是我不知道如何安排Veth#,网桥,vlan和主机网卡,以及有什么select? 理想情况下,我想将vlans限制在服务器上,以便主机网卡从未加标签的路由器/防火墙接收转发的数据包。 然后,当它们从主机NIC通过任何桥接器和vlan传递到容器上的Veth#时,它们被标记并且不标记。 简而言之,我只想将每个子网与另一个子网隔离,同时允许将数据包从路由器转发到每个子网上的任何容器。 如果有一个更简单的方法,我会很高兴听到它。 PS我正在使用Ubuntu服务器12.04与它的lxcnetworking库。 我没有单独安装libvirt。 任何信息或build议非常感谢。
我正在用XEN 4.1使用Debian wheezy。 我有两个网桥xenbr0和xenbr1。 xenbr0与真正的eth0-nic联系在一起,所以domU可以和外界沟通,这很好。 xenbr1被用作domU和dom0之间通信的内部networking桥梁。 问题是xenbr1,我不知道为什么。 domU与xenbr1成功连接,因为我可以在domU之间Ping。 所以这座桥在某种程度上是工作的,但是没有任何来自dom0的xenbr1的交通是可能的。 / etc / network / interfaces中的我的xenbr1设置: auto xenbr1 iface xenbr1 inet static pre-up brctl addbr $IFACE up ip link set $IFACE up post-down brctl delbr $IFACE down ip link set $IFACE down address 10.0.0.1 netmask 255.255.255.0 hwaddress ether MAC brctl显示: bridge name bridge id STP enabled […]
我从镜像端口接收stream量,我想将其发送到NFQUEUE进行处理。 由于镜像端口,数据包目标MAC地址不是我的主机MAC地址。 所以stream量永远不会到达我的NFQUEUE。 (如果我采取一个数据包,我用Scapy手动replace目标MAC地址与我的主机MAC地址,它的工作原理) 即使在过滤pipe道中尽可能快地应用了iptable规则,它也不能与镜像端口一起工作: iptables -A PREROUTING -t raw -j NFQUEUE –queue-num 1 正如在其他一些线程中提到的,我尝试在我的界面上创build一个网桥,并使用以下命令过滤stream量。 tunctl -u root brctl addbr br0 brctl addif br0 eth0 brctl addif br0 tap0 brctl setfd br0 0 brctl stp br0 off ifconfig br0 up ifconfig eth0 up 0.0.0.0 ifconfig tap0 up 0.0.0.0 echo 0 > /sys/class/net/br0/bridge/ageing_time echo 1 > […]
我的主机位于192.168.2.0/24子网,我想与VirtualBox中的各个主机build立一个10.0.0.0/8networking,彼此通信。 所以VirtualBox应该充当这两个networking之间的路由器。 现在在VB中,我可以select不工作的桥接networking和我不想要的NAT,因为我只想要一个没有NAT的普通子网。 我怎么能做到这一点? 可能吗?
我有以下设置: client(s) <—> (eth0) router (eth1) <—> wan 我有一个静态的IPv4地址和一个/ 48的IPv6地址块。 我需要把所有的客户连接到(wan)。 每个客户将拥有自己的公共IPv6。 同时,我需要把那些同样的客户NAT到(wan)。 所有的IPv4相关和NAT都正常工作。 来自(eth0)< – >(clients)>的IPv6通信正常工作,而来自(eth1)< – >(wan)的IPv6通信正常工作。 为了给所有的客户提供IPv6,我想到了太多的select: 将路由器作为网关,在每个接口上具有不同的IP。 这听起来像我需要告诉我的ISP通过单个IP路由整个块,所以这不是一个真正的select。 透明地传递IPv6数据包到/从eth0 – eth1,所有客户端都可以与上游网关进行通信(如果不需要保持IPv4兼容性,我实际上会有一个交换机)。 所以,因为我select了第二种select,所以我怀疑:我怎样才能透明地从eth0到eth1传递所有IPv6stream量? 我需要的是一个3级桥,但是linux的bridgeutils创build了一个2级桥(这也可以桥接ipv4,但我不能这样做)。 这是一个DD-WRT设备,但它几乎是一个embedded式Linux,所以大多数build议,将在Linux上工作,是值得欢迎的。 谢谢。
我正在用这个命令手动创build一个桥: docker network create –driver bridge –internal –subnet=172.20.0.0/24 br0 然后我启动容器使用该桥参数–net=br0 –ip=172.20.0.x 问题是这些容器没有互联网接入,我甚至不能ping通外面。 真正的问题是与iptables有关。 当我重新启动服务器,iptables显示我一些规则,容器没有互联网接入。 但是,当我重新启动docker服务,然后iptables有不同的规则和容器有互联网接入。 我只会在这里粘贴规则集之间的区别。 当我重新启动服务器,此规则显示: *filter -A DOCKER-ISOLATION ! -s 172.20.0.0/24 -o br-aa4c507d3f06 -j DROP -A DOCKER-ISOLATION ! -d 172.20.0.0/24 -i br-aa4c507d3f06 -j DROP COMMIT 当我重新启动docker服务,这2条规则消失,我看到这个: *filter -A FORWARD -o br-aa4c507d3f06 -j DOCKER -A FORWARD -o br-aa4c507d3f06 -m conntrack –ctstate RELATED,ESTABLISHED -j ACCEPT […]