项目5(1)-构建跨宿主机的VLAN虚拟化网络

项目五构建企业级虚拟化网络《云网络技术项目教程》目录/Contents(1)(2)配置相同VLAN虚拟机的跨主机互访配置不同VLAN虚拟机的跨主机互访(3)实现VLAN虚拟化网络内外网互访图5-1项目5任务思维导图构建双机互联虚拟化网络【知识目标】（1）掌握跨主机虚拟化网络的常用技术。（2）掌握虚拟路由器的构建与配置方法。（1）能够配置跨主机的VLAN通信。（2）能够使用虚拟路由器实现跨主机的虚拟机内外网通信。【技能目标】【网络拓扑】任务5-1的网络拓扑如图5-2所示。图5-2任务5-1网络拓扑必备知识1.跨宿主机虚拟化网络在传统的物理网络中，不同的计算设备通过物理连接进行通信。而在虚拟化环境中，多个虚拟机或容器可能运行在不同的宿主机上，它们需要能够相互通信和交换数据。跨宿主机虚拟化网络解决了这一需求，使得虚拟化实例能够在不同宿主机之间实现网络连接。跨宿主机虚拟化网络可以通过不同的技术来实现，主要包括以下几种。（1）VLAN（VirtualLocalAreaNetwork，虚拟局域网）使用虚拟局域网技术将跨宿主机的虚拟机划分到不同的逻辑网络中，实现隔离和通信。（2）VXLAN（VirtualExtensibleLAN，虚拟扩展局域网）使用封装技术将虚拟机数据包封装在UDP数据包中，通过物理网络传输，在目标宿主机上解封装并将数据包传递给相应的虚拟机。（3）GRE（GenericRoutingEncapsulation，通用路由封装）使用通用路由封装技术将虚拟机数据包封装在GRE报文中，在不同宿主机之间进行路由转发。跨宿主机虚拟化网络可以提供灵活性和可扩展性，使虚拟化实例能够在不同宿主机之间进行迁移、负载均衡和故障恢复。它还可以提供网络隔离、安全性和性能优化等功能，为分布式应用和云计算环境提供了高效的网络通信解决方案。不同类型的名称空间可以单独或组合使用，以实现更细粒度的隔离和资源管理。它们对于容器技术和虚拟化等场景非常有用，可以提供更高级别的隔离和资源控制，增强系统的安全性、可扩展性和性能隔离能力。必备知识2.网卡子接口网卡物理子接口（PhysicalSubinterface）是指在物理网卡上创建的逻辑接口，用于在单个物理网卡上实现多个逻辑网络接口。通过创建物理子接口，将一个物理网卡划分为多个独立的逻辑接口，每个接口都具有自己的IP地址、子网掩码和其他网络配置参数，通常有以下几种用途。（1）虚拟化环境在虚拟化环境中，物理网卡可以被划分为多个物理子接口，每个子接口可以分配给不同的虚拟机或容器实例，从而实现虚拟机之间的隔离和独立网络连接。（2）网络分割通过创建物理子接口，您可以将物理网卡划分为多个逻辑网络接口，每个接口连接到不同的网络，实现网络分割和隔离。这对于构建复杂网络拓扑和实现安全策略非常有用。（3）带宽管理通过将物理网卡划分为多个物理子接口，可以对每个子接口设置带宽限制和优先级，实现对网络流量的精细控制和管理。在操作系统中，可以使用特定的命令或工具来创建和配置物理子接口。具体的方式和命令可能会因操作系统和网络设备型号而有所不同。在Linux系统中，可以使用命令如ifconfig或ip来创建和配置物理子接口。在Windows系统中，可以使用图形界面或命令行工具来进行配置。配置相同VLAN虚拟机的跨主机互访1.配置相同VLAN虚拟机的跨主机互访首先使用CentOS8.ova模板机创建两个名称为node1、node2的服务器，两台服务器的网卡及IP地址配置如表5-1所示。表5-1网卡地址及所属网络服务器名称网卡名称

连接到网络网络模式IP地址node1ens160VMnet1仅主机192.168.10.2ens192VMnet4自定义网络不配置IP地址ens256VMnet8nat模式不配置IP地址node2ens160VMnet1仅主机192.168.10.3ens192VMnet4自定义网络不配置IP地址其中node1和node2服务器的ens160网卡用于登录管理主机，ens192网卡用于跨主机之间的网络通信，node1服务器的ens256用于内部网络与外部网络互联，也就是说，node2节点的虚拟机访问外部网络也要通过node1节点的ens256网卡，配置完成后，查看node1服务器的网卡和IP地址配置，如图5-3所示。图5-3任务5-1node1服务器网卡配置查看node2服务器的网卡和IP地址配置，如图5-4所示。图5-4任务5-1node2服务器网卡配置配置相同VLAN虚拟机的跨主机互访2.配置VM1与VM3、VM2与VM4的跨主机通信（1）创建ens192网卡的子接口在node1和node2服务器上，创建ens192的两个子接口，分别是用于vm1和vm3之间通信的VLAN10子接口，名称为ifcfg-ens192.10，用于vm2和vm4之间通信的VLAN20子接口，名称为ifcfg-ens192.20，步骤如下。在node1和node2服务器上，进入网卡配置文件目录/etc/sysconfig/network-scripts/，在目录下创建文件ifcfg-ens192.10，在文件中输入以下内容。VLAN=yes#启用VLAN配置TYPE=VLAN#接口类型是VLAN接口PHYSDEV=ens192#指明是ens192网卡的子接口VLAN_ID=10#指明经过这个接口的VLANID是10NAME=ens192.10#网卡的名称DEVICE=ens192.10#设备名称ONBOOT=yes#设置开机启动这个网卡用来连接虚拟网桥1，为虚拟机1提供VLAN通信服务，同理建立ifcfg-ens192.20，在文件中输入以下内容VLAN=yes#启用VLAN配置TYPE=VLAN#接口类型是VLAN接口PHYSDEV=ens192#指明是ens192网卡的子接口VLAN_ID=20#指明经过这个接口的VLANID是20NAME=ens192.20#网卡的名称DEVICE=ens192.20#设备名称ONBOOT=yes#设置开机启动配置完成后，在两台服务器上重启启动网络管理程序和网卡，发现在两台服务器上都增加了两块虚拟网卡，本别是ens192.10和ens192.20。node1服务器新增ens192的网卡子接口如图5-5所示。图5-5任务5-1node1新增虚拟网卡图5-6任务5-1node2新增虚拟网卡node2服务器新增ens192的网卡子接口如图5-6所示。当某个网桥连接到ens192.10和ens192.20接口后，经过ens192.10接口的不带有VLAN标识的数据就会打上VLAN10的标记，带有VLAN10标记的数据会摘掉标记。经过ens192.20接口的不带有VLAN标识的数据就会打上VLAN20的标记，带有VLAN20标记的数据会摘掉标记。和物理网络的道理是一致的。（2）node1服务器创建名称空间、虚拟网卡、网桥①创建网络名称空间首先在node1服务器创建网络名称空间vm1和vm2，配置如下。[root@node1~]#ipnetnsaddvm1#创建网络名称空间vm1[root@node1~]#ipnetnsaddvm2#创建网络名称空间vm2②创建虚拟网卡首先在node1服务器创建连接虚拟vm1和虚拟网桥br1的成对虚拟网卡veth1和veth11，配置如下。[root@node1~]#iplinkaddveth1typevethpeernameveth11#创建成对虚拟网卡然后创建连接虚拟机vm2和虚拟网桥br2的成对网卡veth2和veth22，配置如下。[root@node1~]#iplinkaddveth2typevethpeernameveth22#创建成对虚拟网卡将创veth1移动到vm1网络名称空间下，模拟虚拟机vm1。将veth2移动到vm2网络名称空间下，模拟虚拟机vm2，配置如下。[root@node1~]#iplinksetveth1netnsvm1#移动veth1网卡到vm1名称空间[root@node1~]#iplinksetveth2netnsvm2#移动veth2网卡到vm2名称空间③创建网桥，连接虚拟网卡在node1服务器上，安装网桥软件，然后创建虚拟网桥br1和br2，配置如下。[root@node1~]#brctladdbrbr1#添加网桥br1[root@node1~]#brctladdbrbr2#添加网桥br2将虚拟网卡veth11和ens192.10添加到br1虚拟网桥上，配置如下。[root@node1~]#brctladdifbr1veth11#br1绑定veth11网卡[root@node1~]#brctladdifbr1ens192.10#br1绑定ens192.10网卡将veth22和ens192.20添加到虚拟网桥br2上，配置如下。[root@node1~]#brctladdifbr2veth22#br2绑定veth22网卡[root@node1~]#brctladdifbr2ens192.20#br2绑定ens192.20网卡配置完成后，查看node1服务器的网桥配置，如图5-7所示。图5-8任务5-1node1上的vm1名称空间网卡信息网络名称空间vm1网卡配置信息，如图5-8所示。图5-9任务5-1node1上的vm2名称空间网卡信息网络名称空间vm2网卡配置信息，如图5-9所示。（3）node2服务器创建名称空间、虚拟网卡、网桥①创建网络名称空间首先在node2服务器创建网络名称空间vm3和vm4，配置如下。[root@node2~]#ipnetnsaddvm3#添加网络名称空间vm3[root@node2~]#ipnetnsaddvm4#添加网络名称空间vm4②创建虚拟网卡首先在node2服务器创建连接虚拟vm3和虚拟网桥br1的成对虚拟网卡veth1和veth11，配置如下。[root@node2~]#iplinkaddveth1typevethpeernameveth11#添加成对veth网卡然后创建连接虚拟机vm2和虚拟网桥br2的成对网卡veth2和veth22，配置如下。将创veth1移动到vm3网络名称空间下，模拟虚拟机vm1。将veth2移动到vm4网络名称空间下，模拟虚拟机vm2，配置如下。[root@node2~]#iplinksetveth1netnsvm3#将veth1网卡移动到vm3名称空间[root@node2~]#iplinksetveth2netnsvm4#将veth2网卡移动到vm4名称空间③创建网桥，连接虚拟网卡在node2服务器上，安装网桥软件，然后创建虚拟网桥br3和br4，配置如下。[root@node2~]#brctladdbrbr3#添加虚拟网桥br3[root@node2~]#brctladdbrbr4#添加虚拟网桥br4将虚拟网卡veth11和ens192.10添加到br3虚拟网桥上，配置如下。[root@node2~]#brctladdifbr3veth11#网桥br3绑定veth11网卡[root@node2~]#brctladdifbr3ens192.10#网桥br3绑定ens192.10网卡将veth22和ens192.20添加到虚拟网桥br4上，配置如下。[root@node2~]#brctladdifbr4veth22#虚拟网桥br4绑定veth22网卡[root@node2~]#brctladdifbr4ens192.20#虚拟网桥br4绑定ens192.20网卡配置完成后，在node2服务器上查看网桥及绑定的网卡配置信息，如图5-10所示。图5-10任务5-1node1服务器网桥及绑定网卡网络名称空间vm3网卡配置信息，如图5-11所示。图5-11任务5-1node2上的vm3名称空间网卡信息网络名称空间vm4网卡配置信息，如图5-12所示。图5-12任务5-1node2上的vm4名称空间网卡信息（4）配置vm1、vm2、vm3、vm4的IP地址四台虚拟机的IP地址规划如表5-2所示。

表5-2IP地址及所属VLAN服务器名称虚拟机名称IP地址所在VLAN网关node1vm1192.168.1.1/24VLAN10192.168.1.254node1vm2192.168.2.1/24VLAN20192.168.2.254node2vm3192.168.1.2/24VLAN10192.168.1.254node2vm4192.168.2.2/24VLAN20192.168.2.254在node1服务器上按照表5-2，配置vm1和vm2的IP地址，配置如下。[root@node1~]#ipnetnsexecvm1ipaddradd192.168.1.1/24devveth1#配置IP[root@node1~]#ipnetnsexecvm2ipaddradd192.168.2.1/24devveth2#配置IP在node2服务器上按照表5-1，配置vm3和vm4的IP地址，配置如下。[root@node2~]#ipnetnsexecvm3ipaddradd192.168.1.2/24devveth1#配置IP[root@node2~]#ipnetnsexecvm4ipaddradd192.168.2.2/24devveth2#配置IP（5）启动node1和node2服务器上的网卡和网桥将node1服务器网桥和网卡全部启动，配置如下。[root@node1~]#iplinksetbr1up#启动br1[root@node1~]#iplinksetbr2up#启动br2[root@node1~]#iplinksetveth11up#启动veth11[root@node1~]#iplinksetveth22up#启动veth22[root@node1~]#ipnetnsexecvm1iplinksetveth1up#启动vm1名称空间的veth1[root@node1~]#ipnetnsexecvm2iplinksetveth2up#启动vm2名称空间的veth2将node2服务器网桥和网卡全部启动，配置如下。[root@node2~]#iplinksetbr3up#启动br3[root@node2~]#iplinksetbr4up#启动br4[root@node2~]#iplinksetveth11up#启动veth11[root@node2~]#iplinksetveth22up#启动veth22[root@node2~]#ipnetnsexecvm3iplinksetveth1up#启动veth1[root@node2~]#ipnetnsexecvm4iplinksetveth2up#启动veth2配置相同VLAN虚拟机的跨主机互访3.测试跨宿主机的网络连通性（1）测试node1服务器上的vm1与node2连通性①使用tcpdump在node1和node2接口上抓包使用tcpdump工具在服务器node1的ens192接口抓取源主机是vm1虚拟机的流量，使用-e选项抓取数据链路层的数据流量，查看在数据流出时是否打上了VLAN10标记，配置如下。[root@node1~]#tcpdump-t-e-iens192srchost192.168.1.1使用tcpdump工具在服务器node2的veth11接口抓取源主机是vm1虚拟机的流量，同样使用-e选项抓取数据链路层的数据流量，查看vm1的数据到达veth11接口后是否还带有VLAN标记。②在服务器node1的vm1虚拟机测试与node2服务器的vm3虚拟机连通性在node1节点，测试vm1到vm3的连通性，结果如图5-13所示。从结果发现，node1服务器上的vm1是能够与node2服务器上的vm3正常通信的，实现了跨宿主机的VLAN10虚拟化网络。③分析node1服务器抓包数据在node1服务器上，数据抓包结果如图5-14所示。图5-14任务5-1服务器node1的ens192抓包数据图5-13任务5-1测试vm1到vm3的连通性从结果中可以发现，vm1首先发送的是arp请求，获取192.168.1.2的mac地址，然后发送ICMP网络测试请求，数据打上上VLAN10的标记，说明ens192.10子接口的配置已经生效。④分析node2服务器抓包数据在node1服务器上，数据抓包结果如图5-15所示。图5-15任务5-1服务器node2的veth11抓包数据从结果中可以发现，veth11接口收到了来自vm1的arp数据和ICMP请求数据，但已经不带有VLAN10的标记了，说明数据在到达node2服务器的ens192.10接口时，已经摘掉了VLAN10的标记。（2）测试node1服务器上的vm2与node2服务器上的vm4连通性①使用tcpdump在node1和node2接口上抓包使用tcpdump工具在服务器node1的ens192接口抓取源主机是vm2虚拟机的流量，使用-e选项抓取数据链路层的数据流量，查看在数据流出时是否打上了VLAN20标记，配置如下。[root@node1~]#tcpdump-t-e-iens192srchost192.168.1.2使用tcpdump工具在服务器node2的veth11接口抓取源主机是vm1虚拟机的流量，同样使用-e选项抓取数据链路层的数据流量，查看vm2的数据到达veth11接口后是否还带有VLAN标记。②在服务器node1的vm1虚拟机测试与node2服务器的vm3虚拟机连通性在node1节点，测试vm1到vm3的连通性，结果如图5-16所示。图5-16任务5-1测试vm2到vm4的连通性从结果发现，node1服务器上的vm1是能够与node2服务器上的vm3正常通信的，实现了跨宿主机的VLAN20虚拟化网络。③分析node1服务器抓包数据在node1服务器上，数据抓包结果如图5-17所示。图5-17任务5-1服务器node1的ens192抓包数据从结果中可以发现，vm1首先发送的是arp请求，获取192.168.2.2的mac地址，然后发送ICMP网络测试请求，数据打上上VLAN20的标记，说明ens192.20子接口的配置已经生效。④分析node2服务器抓包数据在node2服务器上，数据抓包结果如图5-18所示。图5-18任务5-1服务器node2的veth22抓包数据从结果中可以发现，veth22接口收到了来自vm2的arp数据和ICMP请求数据，但已经不带有VLAN20的标记了，说明数据在到达node2服务器的ens192.20接口时，已经摘掉了VLAN20的标记。配置不同VLAN虚拟机的跨主机互访1.测试不同VLAN的网络连通性在服务器node1上测试vm1与主机2上的vm4的连通性，如图5-20所示。图5-20任务5-1测试vm1与vm4的连通性图5-19任务5-1测试vm1与vm2的连通性在服务器node1上测试vm1和vm2之间的连通性，如图5-19所示。从结果中可以发现，当虚拟机在不同VLAN时，无论是同一主机上的vm1和vm2还是不同主机上的vm1和vm4，都是无法通信的。配置不同VLAN虚拟机的跨主机互访2.创建虚拟路由器为实现不同处于VLAN的虚拟机实现互访，需要在某台宿主机上创建虚拟路由器，为每个虚拟机提供路由转发服务。在虚拟化网络中，使用网络名称来实现虚拟路由器，为虚拟机或者容器提供路由服务。（1）创建虚拟路由器和连接网卡首先在node1服务器上创建虚拟路由器r1，配置如下。[root@node1~]#ipnetnsaddr1然后创建用于连接虚拟网桥br1与虚拟路由器相连的成对虚拟网卡，配置如下。[root@node1~]#iplinkaddvethbr1typevethpeernamevethbr11#添加成对veth网卡[root@node1~]#iplinksetvethbr11up#启动vethbr11[root@node1~]#iplinkaddvethbr2typevethpeernamevethbr22#添加成对网卡[root@node1~]#iplinksetvethbr22up#启动veth22（2）连接虚拟网桥和虚拟路由器[root@node1~]#brctladdifbr1vethbr11#虚拟网桥br1绑定vethbr11[root@node1~]#brctladdifbr2vethbr22#虚拟网桥br2绑定vethbr22[root@node1~]#iplinksetvethbr1netnsr1#将vethbr1移动到名称空间r1[root@node1~]#iplinksetvethbr2netnsr1#将vethbr2移动到名称空间r1（3）配置虚拟路由器r1的网卡地址首先进入在r1名称空间下配置vethbr1和vethbr2的IP地址，分别作为VLAN10虚拟机的网关和VLAN20虚拟机的网关，配置如下。[root@node1~]#ipnetnsexecr1ipaddradd192.168.1.254/24devvethbr1[root@node1~]#ipnetnsexecr1ipaddradd192.168.2.254/24devvethbr2然后启动vethbr1和vethbr2两块网卡，配置如下。[root@node1~]#ipnetnsexecr1iplinksetvethbr1up[root@node1~]#ipnetnsexecr1iplinksetvethbr2up配置完成后，查看虚拟路由器r1的路由表，如图5-21所示。图5-21任务5-1虚拟路由器r1的路由表从结果中发现，虚拟路由器r1已经存在两条直连路由，去往192.168.1.0/24网络的出接口是vethbr1，去往192.168.2.0/24网络的出接口是vethbr2。配置不同VLAN虚拟机的跨主机互访3.测试不同VLAN虚拟机的网络连通性（1）配置虚拟机的网关地址为VLAN10网络虚拟机配置网关地址192.168.1.254，为VLAN20网络的虚拟机配置网关地址192.168.2.254，配置如下。首先在服务器node1上配置vm1和vm2的网关，也就是默认路由。[root@node1~]#ipnetnsexecvm1routeadddefaultgw192.168.1.254[root@node1~]#ipnetnsexecvm2routeadddefaultgw192.168.2.254然后在服务器node2上配置vm3和vm4的网关，也就是默认路由。[root@node2~]#ipnetnsexecvm3routeadddefaultgw192.168.1.254[root@node2~]#ipnetnsexecvm4routeadddefaultgw192.168.2.254（2）开启路由转发功能进入到虚拟路由器名称空间r1，命令如下。[root@node1~]#ipnetnsexecr1bash开启路由转发功能，即在/etc/sysctl.conf中加入以下配置。net.ipv4.ip_forward=1然后执行sysctl-p使配置生效。（3）测试网络连通性①测试vm1与网关的连通性在node1服务器的vm1虚拟机上测试与vm2的连通性，首先测试与网关192.168.1.254的连通性，结果如图5-22所示。图5-22任务5-1测试vm1与网关的网络连通性从结果中发现，已经可以和网关正常通信了。②测试同宿主机不同VLAN的连通性测试vm1的vm2虚拟机连通性，结果如图5-23所示。图5-23任务5-1测试vm1与vm2的网络连通性从结果中发现，已经可以和同宿主机的不同VLAN网络虚拟机正常通信了。③测试不同宿主机不同VLAN的连通性测试vm1与vm4的网络连通性，结果如图5-24所示。从结果中发现，已经可以和不同宿主机的不同VLAN网络虚拟机正常通信了。图5-24任务5-1测试vm1与vm4的网络连通性实现VLAN虚拟化网络内外网互访1.内部虚拟机访问外部网络配置了虚拟路由器之后，内部用户可以实现跨宿主机的不同VLAN虚拟机互相访问了，但是内部的虚拟机还无法访问外部网络，如在vm1上访问外部网络的8.8.8.8，结果如图5-25所示。图5-25任务5-1测试vm1与外部网络的连通性发现虚拟机vm1是无法访问外部网络的，当然这时外部网络也无法放问几台虚拟机，如何实现内外网的互相访问呢，这就需要在虚拟路由器上使用iptables进行源IP和目的IP地址的转换实现。配置源IP地址转换实现内部虚拟机访问外部网络的步骤如下。（1）创建虚拟网桥brout和虚拟成对网卡首先创建虚拟网桥brout，配置如下。[root@node1~]#brctladdbrbrout#创建虚拟网桥brout[root@node1~]#iplinksetbroutup#启动虚拟网桥brout然后创建用于连接虚拟路由器r1和虚拟网桥brout的成对网卡vethbr33和bethbr3，配置如下。[root@node1~]#iplinkaddvethbr3typevethpeernamevethbr33#创建成对虚拟网卡[root@node1~]#iplinksetvethbr33up#启动网卡vethbr33（2）连接虚拟路由器r1和虚拟网桥brout首先将vethbr3连接到虚拟路由r1上，配置如下。[root@node1~]#iplinksetvethbr3netnsr1#将vethbr3连接到移动到r1名称空间[root@node1~]#ipnetnsexecr1iplinksetvethbr3up#启动vethbr3然后在brout上绑定网卡vethbr33，将node1服务器的ens256网卡绑定到宿主机，配置如下。[root@node1~]#brctladdifbroutvethbr33#虚拟网桥绑定vethbr33网卡[root@node1~]#brctladdifbroutens256#虚拟网桥绑定ens256宿主机网卡（3）配置虚拟路由器连接外部网络的vethbr3接口IP地址由于node1服务器的ens256采用VMnet8的nat模式，VMnet8所在的网络是192.168.200.0/24，网关是192.168.200.2。如图5-26所示。所以配置虚拟路由器r1的vethbr3接口的IP地址为192.168.200.10，配置虚拟路由器r1的网关是192.168.200.2，配置如下。[root@node1~]#ipnetnsexecr1ipaddradd192.168.200.10/24devvethbr3#配置IP[root@node1~]#ipnetnsexecr1routeadddefaultgw192.168.200.2#添加网关图5-26任务5-1ens256网卡所在的vment8网络配置（4）配置Iptables源地址转换实现内部虚拟机访问外部网络首先进入虚拟路由器r1，配置如下。[root@node1~]#ipnetnsexecr1bash然后配置Iptables规则，当内网中虚拟机所在网络192.168.1.0/24和192.168.2.0/24访问外部网络时，转换源地址为192.168.200.10，配置如下。[root@node1~]#iptables-tnat-APOSTROUTING-s192.168.1.0/24-jSNAT--to192.168.200.10#将来自192.168.1.0/24网络的源地址转换为192.168.200.10[root@node1~]#iptables-tnat-APOSTROUTING-s192.168.2.0/24-jSNAT--to192.168.200.10#将来自192.168.2.0/24网络的源地址转换为192.168.200.10配置完成后，在vm1虚拟机上测试与互联网上IP地址8.8.8.8的连通性，结果如图5-27所示。在vm2虚拟机上测试与互联网上IP地址8.8.8.8的连通性，结果如图5-28所示。图5-27任务5-1测试vm1与外部网络连通性图5-28任务5-1测试vm2与外部网络连通性在vm3虚拟机上测试与互联网上IP地址8.8.8.8的连通性，结果如图5-29所示。图5-29任务5-1测试vm3与外部网络连通性在vm4虚拟机上测试与互联网上IP地址8.8.8.8的连通性，结果如图5-30所示。通过测试发现，4台虚拟机都可以正常访问外部网络了，说明Iptables源地址转换配置已经生效。图5-30任务5-1测试vm4与外部网络连通性实现VLAN虚拟化网络内外网互访2.外部网络主机访问内部虚拟机虚拟机可以访问外部网络后，由于租户需要远程登陆虚拟机，所以外部主机也需要能够访问内部的虚拟机，需要在虚拟路由器r1上配置Iptables目的地址转换实现这一学需求。（1）添加虚拟路由器连接外部网络接口IP地址在虚拟路由器r1连接外部网络的出口vethbr3上，只配置了一