小獣专栏

网络基础知识。

是一个虚拟桥接网络设备，通常由虚拟机管理程序（如 KVM、VirtualBox 或者 libvirt 等）创建和管理。它用于在宿主机和虚拟机之间进行网络连接，以便虚拟机可以通过宿主机访问网络。无正在运行的虚拟机使用这个虚拟桥接设备，因此设备自动关闭了。在虚拟机开始使用该设备时，设备会自动打开。这个网络设备和对应的网络段被用于 libvirt 管理的虚拟机的 NAT 网络连接。虚拟机管理程序出现问题，导致它无法正确管理该设备。虚拟桥接设备的配置出现问题，导致设备无法启动。

则意味着这是一个C类网络，网络部分占用前3个字节，而主机部分占用最后一个字节。也就是说，同一网络内的所有IP地址，前3个字节（或24位）是相同的，最后一个字节（或8位）可以用于区分网络内的不同主机。默认路由是当路由器不知道如何将数据包路由到特定网络时，它将数据包发送到的网络。，这是CIDR（无类别域间路由）表示法，常用于路由表中。这种写法表示网络地址的前24位被用于网络部分，剩下的位用于主机部分。是一种网络掩码，用于识别一个IP地址的网络部分和主机部分。是广播地址，其余的地址可以被分配给网络内的主机。

在这种环境下，你可能会使用到一些在公网中是无效的 IP 地址，比如 10.0.0.0/8，172.16.0.0/12，192.168.0.0/16 等地址段。在 Internet 世界中，有一部分 IP 地址因为特殊的原因被保留，不应该出现在公开的 Internet 路由表中，这些地址被称为 "bogon IP"。如果你不希望看到 "bogon"，那么你可能需要检查一下你的网络配置，确保你的路由表中所有的 gateway 都是有效的 IP 地址。如果没有找到相应的条目，你可能需要添加一条新的路由。

`-t`：指定操作的表。例如，`-t nat` 会操作 NAT 表。如果不指定 `-t`，默认操作的是 filter 表。- `-L`：列出所有规则。可以与 `-t` 一起使用来指定要列出哪个表的规则。- `-P`：设置链的默认策略（ACCEPT, DROP, REJECT）。- `-A`：在链（Chain）的末尾添加一条或者更多的规则。- `-I`：在链的顶部或者指定位置插入一条规则。- `-Z`：将所有链的包计数和流量计数归零。- `-D`：从链中删除一条规则。- `-F`：从链中删除所有规则。

此命令将创建两个设备（在这个例子中，它们是 veth0 和 veth1），任何发送到一个设备的数据包都会从另一个设备出现，就像一个虚拟的网线一样。物理设备的驱动程序需要与具体的网络硬件进行交互，而虚拟设备的驱动程序则与其他内核组件（如其他虚拟设备或网络命名空间）进行交互。和网络命名空间，你可以在同一台机器上运行的不同进程间提供强隔离的网络环境，这对于提高系统的安全性非常有用。这意味着虚拟设备的性能可能受到 CPU 和内存的限制，而物理设备的性能可能受到网络硬件的限制。

在操作系统中命名空间命名空间提供的是系统资源的隔离，其中系统资源包括了：进程、网络、文件系统等等实际上linux系统实现命名空间主要目的之一就是为了实现轻量级虚拟化服务，也就是我们说的容器，在同一个命名空间下的进程可以感知彼此的变化，而对其他命名空间的进程一无所知，这样就可以让容器中的进程产生一个错觉，仿佛它自己置身于一个独立的系统环境当中，以此达到独立和隔离的目的。Linux的namespace(名字空间)的作用就是“隔离内核资源”。在Linux的世界里,文件系统挂载点、主机名、

我认为是因为是相同网段路由表优先级导致的问题,但是我没有完全验证出来,后续验证出来单独写个文章补充。测试Linux namespace的网络空间 虚拟网卡 veth的隔离性.我的虚拟机是vmvare,网络模式是NAT,虚拟机OS是centos7。使用NAT模式下,一旦开启veth,则宿主机立刻无法ping通虚拟机。我的问题在于我把虚拟网卡的网段设置的和vmvare的网段一样了。我的宿主机IP 172.16.193.0/24 这个网段。启动成对的虚拟网卡和空间内的lo回环网卡。改成一个单独的网段就解决了。

tcpdump是一个强大的网络分析工具，可以捕获和分析网络流量。它可以应用于任何网络接口，包括veth、bridge等设备。例如，你可以使用以下命令来捕获在某个veth设备上的流量：其中vethXXX是你想要观察的veth设备的名称。: ip命令是一个多功能的网络配置工具。你可以使用它来查看网络设备、路由表、ARP表等信息。例如，你可以使用以下命令来查看veth设备的状态：你还可以使用以下命令来查看路由表：: netstat命令可以显示网络连接、路由表、接口统计等信息。