QEMU 虚拟机网卡探究

前述

我们知道无论是VMware，Virtual Box还是HyperV 都支持 NAT/Bridge/Host-Only 三种上网方式。其中 NAT 是我最常用，最熟悉的。

需要说明的是，无论是NAT 还是 Bridge， 虚拟机与宿主机、虚拟机与虚拟机、虚拟机与外网、宿主机与外网之间都是通的！！！（不要相信CSDN某些人的博客，实践出真知！）

下面就用qemu 模拟实现下 NAT与Bridge。无论哪种本质上都是在宿主机侧的设置，因为虚拟机的IP网关设置不属于必须操作！

注：建议看完NAT自己实现下host-only模式. host-only 虚拟机是不通外网的（提示，按照NAT的步骤，但不设置防火墙试试）

NAT

NAT实现需要借助于防火墙，这里用iptables来做转发与网络地址转换！

涉及到虚拟机网卡 vnet0（虚拟机起来后，host端生成的网卡，不是虚拟机内的网卡），网桥 br，宿主机网卡 enp1s0

iptable与更详细的设置参考

宿主机设置：

brctl addbr br # 创建网桥
brctl addif br vnet0  # 添加成员
ifconfig br up

报文转发流程图

# 出栈
虚拟机网卡（eth0）-> 虚拟机网卡（vnet0）->网桥（br）---- iptable forward -----宿主机网卡（enp1s0）->发出
# 入栈
虚拟机网卡（eth0）<- 虚拟机网卡（vnet0）<-网桥（br）---- iptable forward -----宿主机网卡（enp1s0）<-收到

如上，需要配置iptable的转发，让报文能够从 br 转到 enp1s0 上，这步很重要（host-only 可以跳过）。（需要 /proc/sys/net/ipv4/ip_forward 为 1）

# 1. 简单粗暴的操作
iptables -F # 清空防火墙规则
iptables -P FORWARD ACCEPT # 接受所有转发

# 2. 也可以这样，定义精细的规则
iptables -A FORWARD -i br -o enp1s0 -j ACCEPT
iptables -A FORWARD -o br -i enp1s0 -j ACCEPT

另外要知道 NAT 发出的报文原地址是enp1s0 的地址，这就要求iptable也要做地址转换（host-only 可以跳过）

iptable -t nat -A POSTROUTING -s 192.168.122.0/24 -j MASQUERADE

至此，NAT 设置完毕，设置地址ping测试就行了

# 宿主机
ifconfig br 192.168.122.1/24

# 虚拟机内
ifconfig eth0 192.168.122.10/24
ip route add default via 192.168.122.1 dev eth0

这时候在虚拟机 eth0 上测试 ping 8.8.8.8 是ok的

虚拟机：

宿主机：

Bridge

网桥比较简单，这里是自己摸索的，因为没查到资料，不保证和VMWare 之类虚拟机方案一样。

宿主机报文转发流程图

# 出栈
网桥（br）-> 宿主机网卡（enp1s0）->发出
# 入栈
网桥（br）<- 宿主机网卡（enp1s0）<-收到

虚拟机报文转发流程图

思考为什么这时候不需要iptable做 forward 规则（因为vnet0，enp1s0 都是网桥子网卡，这时候相当于二层交换机的两个端口，因此是互通的，不需要三层的iptable支持转发）

# 出栈
虚拟机网卡（eth0）-> 虚拟机网卡（vnet0）->网桥（br）-> 宿主机网卡（enp1s0）->发出
# 入栈
虚拟机网卡（eth0）<- 虚拟机网卡（vnet0）<-网桥（br）<- 宿主机网卡（enp1s0）<-收到

宿主机设置：

brctl addbr br
brctl addif br enp1s0 # 添加网卡
brctl addif br vnet0 # 添加网卡
ifconfig br up

# 注意此时宿主机网卡不能配置地址，或者说配置地址也没用，需要把地址配置到网桥br上
ifconfig br 192.168.100.125/24
ip route add default via 192.168.100.1 dev br

宿主机：

虚拟机：

然后在虚拟机做dhcp,或者手动配置（手动配置需要确保地址与宿主机网卡地址在同一网段,比如地址设为 192.168.100.10/24）

现在在虚拟机ping 网关,主机或者8.8.8.8 都是通的