linux下brctl配置網橋

原文：http://zhumeng8337797.blog.163.com/blog/static/1007689142011643834429/

先裝好網卡，連上網線，這是廢話，不用說了。
然后開始！

設置linux讓網橋運行    配置網橋
我們需要讓linux知道網橋，首先告訴它，我們想要一個虛擬的以太網橋接口：（這將在主機bridge上執行，不清楚的看看測試場景）
root@bridge:~> brctl addbr br0
其次，我們不需要STP(生成樹協議)等。因為我們只有一個路由器，是絕對不可能形成一個環的。我們可以關閉這個功能。（這樣也可以減少網絡環境的數據包污染）：
root@bridge:~> brctl stp br0 off
經過這些准備工作后，我們終於可以做一些立竿見影的事了。我們添加兩個（或更多）以太網物理接口，意思是：我們將他們附加到剛生成的邏輯（虛擬）網橋接口br0上。
root@bridge:~> brctl addif br0 eth0
root@bridge:~> brctl addif br0 eth1
現在，原來我們的兩個以太網物理接口變成了網橋上的兩個邏輯端口。那兩個物理接口過去存在，未來也不會消失。要不信的話，去看看好了。 .現在他們成了邏輯網橋設備的一部分了，所以不再需要IP地址。下面我們將這些IP地址釋放掉
root@bridge:~> ifconfig eth0 down
root@bridge:~> ifconfig eth1 down
root@bridge:~> ifconfig eth0 0.0.0.0 up
root@bridge:~> ifconfig eth1 0.0.0.0 up

好了！我們現在有了一個任何IP地址都沒有的box w/o了。 好了，這下如果你想通過TP配置你的防火牆或路由器的話，你就只能通過本地的控制端口了。你不會告訴我你的機器上連串行端口都沒有吧？
注：上面紅色部分其實是可選的，在試驗中，我發現，就算不把原有的網卡地址釋放掉，網橋也能工作！但是，為了更規范，或者說為了避免有什幺莫名其妙的問題，最好還是按要求做，執行這四步吧！

最后，啟用網橋 root@bridge:~> ifconfig br0 up

可選：    我們給這個新的橋接口分配一個IP地址
root@bridge:~> ifconfig br0 10.0.3.129

或者把最后這兩步合成一步：
root@bridge:~> ifconfig br0 10.0.3.129 up
就是多一個up!

這下我們做完了 。

關閉網橋命令

     brctl delif ena eth1;
     brctl delif ena eth0;
     ifconfig ena down;
     brctl delbr ena;

ALinux網橋的實現分析與使用

http://www.ibm.com/developerworks/cn/linux/kernel/l-netbr/index.html

 

一、什么是橋接

 

       橋接工作在OSI網絡參考模型的第二層數據鏈路層，是一種以MAC地址來作為判斷依據來將網絡划分成兩個不同物理段的技術，其被廣泛應用於早期的計算機網絡當中。

       我們都知道，以太網是一種共享網絡傳輸介質的技術,在這種技術下，如果一台計算機發送數據的時候，在同一物理網絡介質上的計算機都需要接收，在接收后分析目的MAC地址，如果是屬於目的MAC地址和自己的MAC地址相同便進行封裝提供給網絡層，如果目的MAC地址不是自己的MAC地址，那么就丟棄數據包。

       橋接的工作機制是將物理網絡段（也就是常說的沖突域）進行分隔，根據MAC地址來判斷連接兩個物理網段的計算機的數據包發送。

下面，我們舉個例子來為各位網友講解：在下圖中的網絡結構中，有兩台集線器分別連接多台計算機，我們分別將A集線器和B集線器定為A沖突域和B沖突域。在這樣的網絡環境中，如果計算機A向計算機C發送數據包時，集線器A會將數據包在整個網絡中的全部計算機（包括集線器B）發送一遍，而不管這些數據包是不是需要發送到另一台區域B。

 

圖1

 

       我們再將集線器A和集線器B分別連接到網橋的兩個端口上，如果計算機A再向計算機C發送數據包時會遇到什么樣的情況呢？這時集線器A也是同樣會將數據包在全網發送，當到達網橋后，網橋會進行數據包目的MAC地址的分析，然后對比自己學習到的MAC地址表，如果這個表中沒有此MAC地址，網橋便會在兩個網段上的發送數據包，同時會將計算機A的MAC地址記錄在自己的表當中。

       經過多次這樣的記錄，網橋會將所有的MAC地址記錄，並划分為兩個段。這時計算機A再次發送數據包給B的時候，因為這兩台計算機同處在一個物理段位上，數據包到達網橋時，網橋會將目的MAC地址和自己的表進行對比，並且判斷計算機A和計算機B在同一個段位上，便不會轉發到區域B當中，而如果不在同一個物理段當中，網橋便會允許數據包通過網橋。

       通過以上的例子我們了解到，網橋實際上是一種控制沖突域流量的設備。網橋現在基本上已經很少用到了，除了隔離沖突域以外，網橋還可以實現不同O類型網絡的連接（令牌環網和以太網之間的連接）和網絡的擴展（IEEE的5.4.3連接規則）等等功能。

二、什么是交換

       交換同樣工作在OSI網絡參考模型的第二層數據鏈路層，也是一種以MAC地址來作為判斷依據來將網絡划分成兩個不同段的技術，不同的是交換將物理網段划分到每一個端口當中，簡單的理解就是一種多端口的網橋，它實際上是一種橋接技術的延伸。

       在前面的了解當中，我們已經知道橋接是連接兩個不同的物理網段（沖突域）的技術，交換是連接多個物理網段技術，典型的交換機通常都有多個端口，每個端口實際上就是一個網橋，當連接到交換機端口的計算機要發送數據包時，所有的端口都會判斷這個數據包是否是發給自己的，如果不是就將其丟棄，這樣就將沖突域的概念擴展到每個交換機端口上。

       我們還是舉例為大家說明，在下面的圖中，我們可以看到計算機A、B分別連接到交換機的不同端口當中，當計算機A向B發送數據包時，假設這時A端口並沒有學習到B端口的MAC地址，這時，A端口便會使用廣播將數據包發送到除A端口以外的所有端口（廣播域），當其他計算機接收到數據包后會與自己的MAC地址進行對比，然后簡單的丟棄數據包；當B接收到數據包后，通過對比后接收數據包，並且記錄源地址。通過反復這樣的學習，交換機會構建一個基於所有端口的轉發數據庫，存儲在交換機的內容可尋址存儲器當中（CAM）。

 

圖1

 

       在交換機學習到所有端口的信息后，計算機A再次發送數據包給B時，就不再廣播地址，而是直接發送到轉發數據庫中所對應的B端口。通過這樣的學習，在交換機上實現了微分段，每個連接到交換機端口的計算機都可以獨享帶寬。

三、什么是路由

       路由工作在OSI參考模型的第三層網絡層當中，它是基於第三層的IP地址信息來作為判斷依據來將網絡划分成不同段（IP子網）的技術，與橋接和交換不同，路由划分的是獨立的邏輯網段，每個所連接的網段都具有獨立的網絡IP地址信息，而不是以MAC地址作為判斷路徑的依據，這樣路由便有隔離廣播的能力；而交換和橋接是划分物理網段，它們僅僅是將物理傳輸介質進行分段處理。同時路由具備路徑選擇的功能，會根據不同的目的IP地址來分析到達目的地最合適的路徑。

       在下圖中，我們看到路由器所連接了三台交換機，這三台交換機分別被划分為三個不同的子網地址段：192.168.0.0、192.168.1.0、192.168.3.0。當計算機A向B發送數據包時，在不知道到達B的路徑時，交換機A會將數據包在自己所在的段上全網廣播，當到達路由器中，路由器便不會再廣播這個數據包，它根據路由協議的規則來判斷到達B應該選擇將其轉發到那個段上，這時便會將數據包轉發到對應的IP地址段當中，而不廣播到不需要這個數據包的C網段當中。如果路由器中沒有規則定義到達目的IP地址的路徑時，它會直接丟棄這個數據包。

 

圖3

       路由器主要有路徑選擇和數據轉發兩個基本功能，但在很多場景下，路由器一般都承擔着網關的角色。在國內，我們通常都是采用PPPOE撥號或者靜態路由兩種方式實現局域網共享上網。這時，路由器主要的功能是實現局域網和廣域網之間的協議轉換，這同樣也是網關的主要用途。

四、三者之間的區別

1、位於參考模型的層數不同

       在開放系統互聯參考模型當中，網橋和交換機都是位於參考模型的第二層-數據鏈路層，而路由器則位於更高一層-網絡層。

2、基於的路徑判斷條件不同

       由於位於OSI參考模型的層數不同，所以使交換機、網關這兩種設備判斷路徑的條件也不相同，網橋和交換機是根據端口的MAC地址來判斷數據包轉發，而路由器則使用IP地址來進行判斷。

3、控制廣播的能力不同

       網橋和交換機（三層交換機或支持VLAN功能的除外）這兩種設備是無法控制網絡的廣播，如果有廣播數據包，就會向所有的端口轉發，所以在大的網絡環境當中，必須得要有路由器來控制網絡廣播。

4、智能化程度不同

       在判斷數據的時候，網橋只能判斷是否在同一個物理網段，交換機則可以判斷數據包是屬於那個端口，但是這兩種設備都沒有選擇最優路徑的能力，而路由器基於IP地址判斷路徑，所以會根據IP地址信息來判斷到達目的地的最優路徑。

 

五、三者的不同應用場景及未來發展

       在現實的應用環境當中，網橋已經基本上不會被使用了，在中小型的局域網當中，最常用到的組網設備便是交換機，是否選擇路由器會根據網絡的規模和功能來決定，在大型網絡中，路由器是必須的，用來控制廣播，但是由於技術的不斷延伸，交換機也被集成了基於IP地址判斷路徑及控制廣播的功能，所以，路由器現在逐步在被可路由式交換機所取代。

       前面提到，路由器在很多場景下都是被用過網關，所以，隨着寬帶技術的迅速發展，在最末一公里，一種新興的設備-寬帶路由器將會逐步取代傳統路由器來實現網絡的接入功能。

       相信通過上面的介紹，大家對於網橋、交換、路由及網關的功能有了更清晰的了解！

三、   brctl 的使用方法

有五台主機。其中一台主機裝有linux ，安裝了網橋模塊，而且有四塊物理網卡，分別連接同一網段的其他主機。我們希望其成為一個網橋，為其他四台主機(IP 分別為192.168.1.2，192.168.1.3 ，192.168.1.4 ，192.168.1.5) 之間轉發數據包。同時，為了方便管理，希望網橋能夠有一個IP （192.168.1.1 ），那樣管理員就可以在192.168.1.0/24 網段內的主機 上telnet 到網橋，對其進行配置，實現遠程管理。

前一節中提到，網橋在同一個邏輯網段轉發數據包。針對上面的拓撲，這個邏輯網段就是192.168.1.0/24 網段。我們為這個邏輯網段一個名稱，br0 。首先需要配置這樣一個邏輯網段。

# brctl addbr br0 ( 建立一個邏輯網段，名稱為br0)

 

# brctl delbr br0

實際上，我們可以把邏輯網段192.168.1.0/24 看作使一個VLAN ，而br0 則是這個VLAN 的名稱。

建立一個邏輯網段之后，我們還需要為這個網段分配特定的端口。在Linux 中，一個端口實際上就是一個物理網卡。而每個物理網卡的名稱則分別為eth0 ，eth1 ，eth2 ，eth3 。我們需要把每個網卡一一和br0 這個網段聯系起來，作為br0 中的一個端口。

 

# brctl addif br0 eth0      （讓eth0 成為br0 的一個端口)

# brctl addif br0 eth1                ( 讓eth1 成為br0 的一個端口)

# brctl addif br0 eth0                ( 讓eth2 成為br0 的一個端口)

# brctl addif br0 eth3                ( 讓eth3 成為br0 的一個端口)

 

# brctl delif br0 eth0

網橋的每個物理網卡作為一個端口，運行於混雜模式，而且是在鏈路層工作，所以就不需要IP了。

 

 

# ifconfig eth0 0.0.0.0

# ifconfig eth1 0.0.0.0

# ifconfig eth2 0.0.0.0

# ifconfig eth3 0.0.0.0

# ip addr add 127.0.0.1/8 dev lo brd +

（ip 是iproute2 軟件包里面的一個強大的網絡配置工具，它能夠替代一些傳統的網絡管理工具。例如：ifconfig 、route 等。這個手冊將分章節介紹ip 命令及其選項。） 

然后給br0 的虛擬網卡配置IP ：192.168.1.1 。那樣就能遠程管理網橋。

 

# ifconfig br0 192.168.1.1

 

 

給br0 配置了IP 之后，網橋就能夠工作了。192.168.1.0/24 網段內的主機都可以telnet 到網橋上對其進行配置。

以上配置的是一個邏輯網段，實際上Linux 網橋也能配置成多個邏輯網段( 相當於交換機中划分多個VLAN) 。 

四、   brctl 命令詳細分析

增加橋接過程

 （ 1 ） # brctl addbr br0
（ 2 ） # brctl addif br0 eth0  
（ 3 ） #   ip addr add 172.16.12.43/8 dev br0 brd +
（ 4 ） #   ifconfig br0 up

刪除橋接過程

（ 1 ） # ip addr del 172.16.12.43/8 dev br0 brd +

（ 2 ） # ifconfig br0 down  

（ 3 ） # brctl delif br0 eth0

（ 4 ） # brctl delbr br0