kvm bridges: отключить неразборчивый режим, можно ли и разумно ли это?

SinaOwolabi

27.12.2022, 04:20

Я немного сбит с толку, правильный ли это вопрос, но у меня есть несколько хостов KVM с несколькими мостами на (иногда) связанных интерфейсах, и каждый мост сопоставлен с собственной отдельной VLAN. (Хост KVM может иметь, возможно, гостя маршрутизатора, гостя балансировщика нагрузки и, возможно, сервер DNS и гостей внутреннего сервера, каждый на своем собственном мосту).

Хост-операционные системы KVM — CentOS 6-8. Гости — любая необходимая ОС Linux. Сетевые коммутаторы — это Cisco 2960, сконфигурированные с магистральными линиями для соединений узлов KVM.

Я заметил, что когда я выполняю такие действия, как tcpdump, или даже просматриваю трафик между внутренними и внешними коммутаторами, я нахожу MAC-адреса и внутренние IP-адреса, которые, по моему мнению, не должны быть видны. (например, некоторые из гостей kvm являются маршрутизаторами и связаны мостами с сетями VLAN, имеющими доступ к внешнему коммутатору, для доступа к Интернету/внешним ресурсам, а некоторые являются балансировщиками нагрузки, а некоторые используют NTOPNG/анализаторы трафика).

По сути, гости на разных мостах VLAN могут видеть/получать трафик, не предназначенный для них, а я вижу внутренний трафик на внешних коммутаторах. Есть ли способ помешать гостям видеть трафик, не предназначенный для их моста? Это мудро?

100

0 + 3

выключатель

сентос

сетевая загрузка

linux-сеть

kvm-виртуализация

Tom Yan

27.12.2022, 09:31

`некоторые из гостей kvm являются маршрутизаторами и связаны мостами с VLAN`. Обратите внимание, что использование моста для группы виртуальных машин / «внутренней» сети НЕ требует, чтобы вы подключали физический сетевой адаптер к этому мосту. Также одна виртуальная машина может быть подключена к нескольким мостам. У вас должны быть только виртуальные машины, которые служат шлюзом/маршрутизатором, подключенным к «внешнему» мосту (и внутреннему мосту). Вам НЕ нужно порабощать физическую сетевую карту «внутренним» мостом, если хост виртуальной машины должен быть шлюзом. В таком случае вы должны использовать IP-переадресацию на хосте (так же, как вы использовали бы это на виртуальной машине маршрутизатора).

Ответить

Tom Yan

27.12.2022, 09:32

Кроме того, есть iptables/ebtables или nftables.

Ответить

SinaOwolabi

29.12.2022, 17:21

Спасибо, но это смешанная ситуация, которая произошла из-за безумных сроков и сильного давления руководства на то, чтобы «сделать все немедленно», а также безумного выбора оборудования и планирования. Таким образом, у меня есть смешанный пакет виртуальных машин в разных VLAN, выполняющих несколько задач на нескольких хостах kvm, некоторым требуется доступ в Интернет (балансировщики нагрузки и маршрутизаторы), некоторые обрабатывают маршрутизацию между VLAN, а некоторые просто являются серверами, и все они взаимодействуют на одних и тех же коммутаторах. Это действительно плохо. Поэтому мне было интересно, как ограничить некоторую утечку трафика с хостов kvm.

Ответить

Admin

Этот вопрос на других языках:

EN: kvm bridges: disable promiscuous mode, is it possible and is it wise?

TH: สะพาน kvm: ปิดโหมดสำส่อน เป็นไปได้ไหม และฉลาดไหม

RO: poduri kvm: dezactivați modul promiscuu, este posibil și este înțelept?

RU: kvm bridges: отключить неразборчивый режим, можно ли и разумно ли это?

VI: cầu kvm: vô hiệu hóa chế độ bừa bãi, có khả thi không và có khôn ngoan không?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.