브리지된 네트워크의 적절한 격리

공개 웹사이트와 분리된 비공개 웹사이트를 설정하려고 합니다.

공용 공간에서는 게스트 OS NIC가 DHCP 서버를 통해 IP 주소를 얻도록 하고 싶습니다.

제가 염두에 두고 있는 네트워크 토폴로지는 다음과 같습니다.

질문

내가 겪고 있는 문제는 그것이 제대로 격리되지 않는다는 ens3것 입니다 ens4. 게스트 VM을 시작할 때:

ens3 IP: 192.168.1.60  <-- Good, ens3 is getting it's IP via DHCP server!

ens4 IP: 192.168.1.61  <-- Uh-Oh, ens4 is also getting IP via DHCP Server.  Networks are not properly isolated!

교통수단은 에서 까지여야 합니다 ens3.ens4 또는어떻게 br0든 br1.

iproute2를 통해 br0을 설정합니다.

설정 방법은 다음과 같습니다 br0 (호스트 서버와 게스트 VM 간의 트래픽은 허용되지 않아야 함).

# ip link set eth3 up
# ip link add br0 type bridge
# ip link set dev eth3 master br0
# ip tuntap add dev tap0 mode tap
# ip link set tap0 master br0
# ip link set dev br0 type bridge vlan_filtering 1
# bridge vlan del dev br0 vid 1 self
# ip link set dev br0 up

br1부터 iproute2까지 설정

설정 방법은 다음과 같습니다 br1 (호스트 서버와 게스트 VM 간의 트래픽 허용).

# ip link set eth2 up
# ip link add br1 type bridge
# ip link set dev eth2 master br1
# ip tuntap add dev tap1 mode tap
# ip link set dev tap1 master br1
# ip link set dev br1 up

qemu를 통해 게스트 VM 시작

이것은 내 qemu 시작 명령입니다.

$ qemu-system-x86_64 \
   -m 4G \
   -enable-kvm \
   -cpu host \
   -smp 2 \
   -net nic,macaddr=52:54:00:00:00:05 \
   -net tap,ifname="tap0",script=no,downscript=no \
   -net nic,macaddr=52:54:00:00:00:10 \
   -net tap,ifname="tap1",script=no,downscript=no \
   -vga virtio -display gtk,gl=on \
   -drive format=qcow2,file=disk.cow,index=0,if=virtio

게스트 VM이 실행되면 탭을 위로 설정합니다.

# ip link set dev tap0 up
# ip link set dev tap1 up

질문

호스트 서버의 나머지 부분과 개인 네트워크 공간으로부터 br0( eth3, tap0, & )를 분리하기 위해 iproute2를 사용하여 이 네트워크를 올바르게 설정하려면 어떻게 해야 합니까 ?ens3