使用VLAN隔离虚拟机流量

配置步骤：

两个物理网络：

数据网络：以太网的虚拟机数据流量，将携带VLAN标记的虚拟机之间的流量。你的物理开关（ES）必须能够转发VLAN标记的流量,物理交换机端口应该是VLAN中继（通常这是默认行为）。
管理网络：该网络没有严格要求，但它让物理主机进行远程访问IP地址，因为IP地址是不能直接分配给eth0。

两个物理主机：

主机1，主机2。两台主机运行的是Open vSwitch。每个主机有两块网卡：
eth0连接到数据网络。没有IP地址分配给eth0。

eth1连接到管理网络（如果有必要）。 eth1有一个用来管理物理主机的IP地址。

四个VM：

VM1，VM2主机1上运行。 VM3，VM4主机2上运行。

每个虚拟机都有Linux设备（例如，“TAP0”）的物理主机上的单个接口。 （注：对于Xen的/ XenServer，linux上的虚拟接口，比如名称“vif1.0”）



目标：

在数据网络中使用vlan隔离划分虚拟机。
VLAN1：VM1，VM3
VLAN2：VM2，VM4

配置：

在主机1中进行如下配置：
创建一个OVS网桥：


ovs-vsctl add-br br0

添加网桥eth0（默认情况下，所有的OVS端口VLAN中继，故eth0将通过所有VLAN）：


ovs-vsctl add-port br0 eth0

在VLAN1中添加VM1作为一个“接入端口”：


ovs-vsctl add-port br0 tap0 tag=1

添加VM2到VLAN2中：

ovs-vsctl add-port br0 tap1 tag=2

在主机2中，重复相同的配置设置网桥eth0：

ovs-vsctl add-br br0

ovs-vsctl add-port br0 eth0

添加VM3到 VLAN 1:

ovs-vsctl
add-port br0 tap0 tag=1

添加VM4到 VLAN2：

ovs-vsctl
add-port br0 tap1 tag=2

故障排除：

从VM1 ping VM3，会ping成功。

从VM2 ping VM4，会ping成功。

从VM1/VM3
ping VM2/VM4，不会成功（除非你配置路由使得在VLAN之间转发，在这种情况下，到达VM3包应该包含路由器的源MAC地址不是VM1的）。

点击打开链接