在虛擬化環境中，虛擬機（Virtual Machine, VM）與外部網絡之間的通信方式有多種，比如 NAT 模式、Host-Only 模式、橋接模式（Bridged Networking） 等。其中，橋接模式是最接近“真實物理機”網絡行為的一種方式——虛擬機可以直接出現在局域網中，擁有自己的 MAC 地址、自己的 IP 地址、自己的協議棧，外部設備可以像訪問一臺普通電腦一樣訪問它。

1. 什么是橋接（Bridge）

在計算機網絡中，橋接（Bridge）是一個二層（數據鏈路層）的概念，本質上是將多個網絡接口（網卡）連接起來，讓它們像在同一個物理交換機上一樣工作。

橋接設備會維護一個 MAC 地址表：

• 當收到以太幀時，記錄源 MAC 與入口端口的映射關系
• 轉發時根據目標 MAC 查表決定輸出端口
• 如果 MAC 未知，則廣播到所有端口

在虛擬化中，“橋接”意味著把虛擬機的虛擬網卡（vNIC）和主機的物理網卡（NIC）接到同一個虛擬交換機（vSwitch）上，從而讓虛擬機直接參與局域網通信。

2. 橋接模式的工作機制

橋接模式的核心在于虛擬交換機（vSwitch）：

1. 虛擬化軟件在主機系統中創建一個 虛擬交換機（Linux 下是 bridge 設備，Windows 下是“網絡橋”）
2. 將主機的物理網卡和虛擬機的虛擬網卡都接入這個虛擬交換機
3. 虛擬交換機基于二層轉發規則（MAC 學習表）直接轉發以太幀
4. 虛擬機通過 DHCP 或靜態配置，獲得與主機同一網段的 IP 地址

數據流示意

[虛擬機協議棧] → [vNIC 驅動] → [虛擬交換機 vSwitch] → [主機物理網卡 NIC] → [局域網交換機]

反向通信時，數據從局域網到主機物理網卡后，由 vSwitch 按 MAC 轉發到 VM 的 vNIC。

橋接模式下主機和虛擬機協議棧對照圖

                ┌─────────────────────────┐│     局域網交換機/路由器    │└────────────┬────────────┘│  (以太網幀)┌───────┴────────┐│ 主機物理網卡NIC  │└───────┬────────┘│┌─────────┴──────────┐│  虛擬交換機(vSwitch) │└───────┬────────────┘橋接二層轉發  ┌────────┴────────┐│                 │▼                 ▼┌────────────────┐   ┌────────────────┐│   主機協議棧     │   │   虛擬機協議棧   ││(Host TCP/IP)   │   │(Guest TCP/IP)  ││                │   │                ││ 應用層   	     │   │ 應用層          ││ TCP/UDP 層     │   │ TCP/UDP 層      ││ IP 層     	 │   │ IP 層           ││ 鏈路層(主機NIC)  │  │ 鏈路層(vNIC驅動)  │└────────────────┘   └────────────────┘

圖中：

1. 兩套獨立協議棧

   • 左邊是主機（Host OS）的 TCP/IP 棧
   • 右邊是虛擬機（Guest OS）的 TCP/IP 棧
   • 它們彼此獨立運行，互不干擾，就像兩臺不同的電腦

2. vSwitch（虛擬交換機）

   • 工作在 二層（鏈路層）
   • 只根據 MAC 地址轉發以太幀，不解析 IP/TCP
   • 橋接主機的物理網卡和 VM 的虛擬網卡

3. 橋接的效果

   • VM 的 vNIC 像插在真實交換機上一樣
   • VM 可以直接通過 DHCP 拿到局域網的 IP
   • VM 對其他設備是一個完全獨立的主機

3. 協議棧隔離：VM 是獨立主機

橋接模式下，虛擬機在網絡上的地位與物理機完全一致，它有：

• 獨立的 MAC 地址（vNIC 生成）
• 獨立的 IP 地址（DHCP/靜態）
• 獨立的 TCP/IP 協議棧（由虛擬機操作系統實現）

主機和虛擬機的網絡協議棧互不干擾，vSwitch 只負責二層轉發，不解析三層以上數據。

協議棧結構對比

主機： 應用層 → TCP/UDP → IP → Ethernet → 主機NIC
虛機： 應用層 → TCP/UDP → IP → Ethernet → vNIC → vSwitch → 主機NIC

4. 橋接模式的優缺點

優點	說明
完全接入局域網	與物理機平等，外部可直接訪問 VM
獨立身份	獨立 MAC / IP / 協議棧
兼容性強	支持各種網絡協議和服務

缺點	說明
安全風險高	VM 完全暴露在局域網中，容易被掃描/攻擊
DHCP 依賴	需要局域網有可用 IP 地址池
網絡環境要求	某些企業/ISP 網絡限制 MAC 數量或綁定 MAC

5. 常見問題

Q1: 為什么橋接模式下 VM 拿不到 IP？
可能原因：

• 局域網 DHCP 池已滿
• 網絡管理員啟用了 MAC 綁定
• 無線網卡驅動/虛擬化平臺不支持二層混雜模式

Q2: 橋接模式是否影響主機網絡？
正常情況下不會，因為主機和虛擬機的協議棧獨立，只有物理鏈路共享。

Q3: 橋接模式能否跨 VLAN？
能否跨 VLAN 取決于物理交換機的配置，與橋接本身無關。

6. 適用場景

• 需要對外提供服務（如 Web 服務器、數據庫、SSH）
• 模擬真實網絡環境（測試真實 IP 通信、網絡安全實驗）
• 與局域網設備交互（訪問 NAS、打印機、物聯網設備）

7. 總結

橋接模式讓虛擬機直接接入物理網絡，從網絡的角度看，它就是一臺真實的電腦，擁有獨立的 MAC、IP 和協議棧。理解橋接模式的關鍵，是理解虛擬交換機如何在二層橋接虛擬網卡與物理網卡，以及虛擬機與主機協議棧之間的隔離關系。在選擇橋接模式時，請權衡安全性與可訪問性——它提供了最真實的網絡體驗，但也讓虛擬機暴露在真實網絡的風險中。