网桥常识
网桥是二层设备,网桥可以识别到mac地址 因为网桥是二层网络设备,不需要像路由器一样需在网络接口上设置IP,但是如果需远程管理,就必须在网桥接口上设置ip 透明式防火墙 transparent firewall 又叫桥接式防火墙 bridge firewall
网桥特点:
- 转发广播数据包:A发广播,桥收到后,复制成两份,一份到B,一份到C、D,也就是说桥不会隔绝以太网广播数据包。
- 隔离相同实体网段的单播:D传数据给C,网桥发现发送端与接位端位于同一个实体网段,桥不会处理这个数据包,A,B看不到数据。
- 不同实体网段单的单播,网桥只会将数据转发到相关实体网段上。如A发B,网桥收到后,会判断接收者在哪个网段,然后送给B所在的实体网段 C、D看不到数据包。
优点:
- 部署能力强,不需要改变原来网络的环境,可以部署在任何希望有墙的地方。
- 隐蔽性好:不用设置IP,难以发现其存在。
- 安全性高:同上,没IP,没有攻击目标。
部署:
echo 1 >/proc/sys/net/ipv4/ip_forward //打开数据包转发功能
brctl addbr br0 //新建一个桥口
brctl addif br0 eth0 //将eth0绑到桥口
brctl addif br0 eth1 //将eth1绑到桥口
ifconfig br0 up //启动
如要在网桥上设置IP进行管理
ifconfig br0 192.168.0.253 netmask 255.255.255.0
ip route add default via 192.168.0.254 //设置默认网关
管理
查看
brctl show
新增网桥接口
brctl addbr br0
将网卡添加到网桥接口
brctl addif br0 eth0
brctl addif br0 eth1
从网桥接口上删网卡
brctl delif br0 eth0
删除存在的网桥接口
brctl delbr br0 //可直接删,即使有网口绑定也没关系
注意事项
广播风暴 预防方法STP (spanning tree protocol) 设置
brctl stp br0 on
brctl stp br0 off
