案例：使用網絡命名空間模擬多主機并通過網橋訪問外部網絡

在這里插入圖片描述

案例目標

隔離性：在同一臺物理機上創建兩個獨立的網絡命名空間（模擬兩臺主機），確保其網絡配置完全隔離。
內部通信：允許兩個命名空間通過虛擬設備直接通信。
外部訪問：通過宿主機的網橋和 NAT 規則，使兩個命名空間能夠訪問外部互聯網。

核心要求

使用 ip netns 和 veth pair 實現網絡隔離。
通過網橋（Bridge）連接命名空間與宿主機物理網絡。
配置 NAT 實現外網訪問。
驗證隔離性、內部通信及外部連通性。

實現步驟

步驟 1：清理舊配置（如有）

# 刪除可能存在的舊命名空間和網橋
sudo ip netns delete ns1 2>/dev/null
sudo ip netns delete ns2 2>/dev/null
sudo ip link delete br0 2>/dev/null
sudo ip link delete veth1-host 2>/dev/null
sudo ip link delete veth2-host 2>/dev/null

步驟 2：創建網絡命名空間

# 創建兩個命名空間 ns1 和 ns2
sudo ip netns add ns1   # 模擬主機 A
sudo ip netns add ns2   # 模擬主機 B

步驟 3：創建網橋并連接物理網絡

# 1. 創建網橋 br0
sudo ip link add br0 type bridge
sudo ip link set br0 up# 2. 將物理網卡 eth0 綁定到網橋（假設 eth0 是宿主機的外網接口）
sudo ip link set eth0 master br0
sudo dhclient br0   # 自動獲取 IP（或手動分配：sudo ip addr add 192.168.1.100/24 dev br0）

步驟 4：為每個命名空間創建 veth pair 并連接網橋

# 為 ns1 創建 veth pair（宿主機端：veth1-host，命名空間端：veth1-ns）
sudo ip link add veth1-host type veth peer name veth1-ns
sudo ip link set veth1-host master br0   # 宿主機端加入網橋
sudo ip link set veth1-host up# 為 ns2 創建 veth pair（宿主機端：veth2-host，命名空間端：veth2-ns）
sudo ip link add veth2-host type veth peer name veth2-ns
sudo ip link set veth2-host master br0   # 宿主機端加入網橋
sudo ip link set veth2-host up# 將 veth 的另一端分配到命名空間
sudo ip link set veth1-ns netns ns1
sudo ip link set veth2-ns netns ns2

步驟 5：配置命名空間的網絡

# 配置 ns1 的網絡
sudo ip netns exec ns1 ip addr add 192.168.1.101/24 dev veth1-ns
sudo ip netns exec ns1 ip link set veth1-ns up
sudo ip netns exec ns1 ip route add default via 192.168.1.1  # 假設網關為 192.168.1.1# 配置 ns2 的網絡
sudo ip netns exec ns2 ip addr add 192.168.1.102/24 dev veth2-ns
sudo ip netns exec ns2 ip link set veth2-ns up
sudo ip netns exec ns2 ip route add default via 192.168.1.1

步驟 6：配置 NAT 允許外網訪問

# 1. 啟用 IP 轉發
sudo sysctl -w net.ipv4.ip_forward=1# 2. 添加 iptables NAT 規則（假設外網接口為 eth0）
sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i br0 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o br0 -m state --state RELATED,ESTABLISHED -j ACCEPT

步驟 7：驗證網絡功能

# 1. 驗證 ns1 和 ns2 的互通性
sudo ip netns exec ns1 ping -c 3 192.168.1.102   # ns1 -> ns2
sudo ip netns exec ns2 ping -c 3 192.168.1.101   # ns2 -> ns1# 2. 驗證外網訪問能力
sudo ip netns exec ns1 ping -c 3 8.8.8.8        # ns1 訪問谷歌 DNS
sudo ip netns exec ns2 ping -c 3 8.8.8.8        # ns2 訪問谷歌 DNS# 3. 驗證宿主機無法直接訪問命名空間 IP
ping -c 3 192.168.1.101   # 應失敗（隔離性驗證）

最終網絡拓撲

宿主機網橋 br0 (IP: 自動獲取或手動配置)
│
├─ eth0 (物理網卡，通過 DHCP/NAT 訪問外網)
├─ veth1-host (連接到 ns1 的 veth1-ns, IP: 192.168.1.101)
└─ veth2-host (連接到 ns2 的 veth2-ns, IP: 192.168.1.102)

總結

實現目標回顧

隔離性：通過 ip netns 創建獨立命名空間，確保 ns1 和 ns2 的網絡配置互不影響。
內部通信：通過 veth pair 和網橋，兩個命名空間可直接通信（同一子網）。
外部訪問：通過網橋綁定物理網卡并配置 NAT，命名空間可訪問外網。

關鍵技術點

網絡命名空間：隔離網絡協議棧（IP、路由表、設備）。
veth pair：跨命名空間通信的虛擬“網線”。
網橋：連接多個網絡接口，模擬物理交換機。
NAT：通過 iptables 實現地址轉換，允許內網訪問外網。

應用場景

容器網絡：Docker/Kubernetes 使用類似機制為容器提供網絡。
多租戶測試：為不同租戶分配獨立網絡環境。
安全實驗：隔離測試環境，防止實驗影響宿主機網絡。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/news/899082.shtml
繁體地址，請注明出處：http://hk.pswp.cn/news/899082.shtml
英文地址，請注明出處：http://en.pswp.cn/news/899082.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！