KVM中四种网络模型（三）

1、隔离模型

该模型的特点是宿主机上的所有虚拟机之间可以组建网络，但是虚拟机无法与宿主机进行通信，也无法与其他网络的主机或其他宿主机上的虚拟机进行通信；相当于将虚拟机只是连接到一个交换机上，而这个交换机是在宿主机上虚拟出来的，即我们通常所说的网桥设备。

隔离模型中的虚拟机无法与宿主机的物理网卡和外部通信，但是可以与宿主机中的网桥通信；

图中VM表示虚拟机，每个虚拟机的网卡包含前半段和后半段；前半段vNIC在虚拟机上，后半段VIF在宿主机上。图中虚拟机中vNIC网卡对应的后半段为VIF网卡，VM虚拟机中发往vNIF网卡的数据报文都会发往后半段网卡VIF；

图中br-in是宿主机上的桥设备，也称之为Virtual Switch或者Bridge；在隔离模型中，相当于一个二层的虚拟交换机，要想实现同一宿主机中的虚拟机互相通信，需要满足几个条件：

需要在宿主机中创建一个Bridge，图中为br-in；
需要互相通信的每个虚拟机的前半段IP地址必须在同一网段内；
需要互相通信的每个虚拟机的后半段网卡VIF网卡设备添加至br-in这个桥设备n桥。

注意：如果要实现同网段虚拟机不能通信，即虚拟机之间隔离，则需要创建不同的网桥，并将虚拟机的后半段添加至不同的网桥设备，即可实现隔离。

2、路由模型

该模型的特点是在隔离模型的基础上，在宿主机开启了ip路由转发功能，此时的宿主机相当于路由器，完成虚拟机与宿主机的数据报文转发。因此，虚拟机可以宿主机的物理网卡进行通信，但是无法与宿主机之外的主机进行通信，因为宿主机没有对源地址转换，报文可以送到外部主机，但是外部主机无法回应。

路由模型中的虚拟机要与宿主机的物理网卡进行通信，要满足以下几个条件：

宿主机必须在内核打开IP转发功能，即net.ipv4.ip_forward = 1；
宿主机中的网桥br-in需要添加一个与虚拟机同网段的IP地址；
虚拟机需要添加一条路由，下一跳地址设置为网桥br-in的ip；

路由模型中的虚拟机无法与外部进行通信；因为虚拟机发送到外部网络的主机时，源地址内网地址，内网地址无法与外部直接通信，且没有对源地址转换为物理网卡的IP地址，因此，外部网络发送的响应报文中的目标地址为虚拟机的IP地址时，无法到达宿主机的物理网卡，故虚拟机无法收到响应报文。

3、NAT模型

该模型的特点是当虚拟机需要与外部进行通信时，需要将源IP地址转换为物理网卡的IP地址，这样外部主机接收到报文后可以正确的将响应报文发送给目标IP地址（宿主机的物理网卡IP地址），因此，实现虚拟机与外部的通信；

注意：该模型仅仅是实现了源地址转换，实现虚拟机与外部网络的通信，但那是外部网络无法访问虚拟机，如果要实现，则需要在宿主机做目标地址转换。

NAT模型与路由模型的通信机制基本一致，唯一不同的就是，NAT模型可以使虚拟机直接与外部网络进行通信；即只需要在NAT模型中，在宿主机SNAT地址转换，将虚拟机的源地址IP转换为物理网卡的IP地址，发送报文至外部网络的主机；外部网络的主机收到报文后构建的响应报文的目标IP地址，为宿主机的物理网卡的IP地址，而后宿主机在将报文发送至虚拟机，实现了虚拟机与外部网络的通信。

4、桥接模型

该模型的特点是通过创建一个虚拟网卡，为该虚拟机网卡分配可以访问外部网络的IP地址；此时的物理网卡相当于一台交换机设备；虚拟机可以分配与外部网络通信的IP地址实现与外部网络的通信；此时，虚拟机相当于宿主机所在的局域网内单独的一台主机，它宿主机的地位是同等的，没有依存关系。

桥接模型不同于隔离模型、路由模型和NAT模型；在模型下，宿主机会虚拟出一块网卡作为该宿主机的通信网卡，而宿主机的物理网卡则成为桥接设备（也可称为交换机），此时，虚拟机相当于宿主机所在的局域网内单独的一台主机，它宿主机的地位是同等的，没有依存关系。

以上是KVM最简单的四种网络模型，在生产环境中使用的最多的是桥接模型，但是桥接模型的安全性是最低的，因为虚拟机直接暴露给了外部网络；而现在的容器技术中，NAT网络模型使用的较多，比如docker。

原文链接：https://blog.csdn.net/ccschan/article/details/88095718