Định tuyến lưu lượng từ một cây cầu đến một giao diện cụ thể

Câu hỏi cơ bản về định tuyến trong Ubuntu 20.04.

Tôi có một thiết lập baremetal trong Hetzner có địa chỉ IPV4 11.22.33.44/32 cùng với mạng con 2a01:db8:30/64 được phân bổ cho nó.

enp7s0 là giao diện vật lý có địa chỉ 11.22.33.44/32.

Tôi cũng có máy chủ baremetal được kết nối với vSwitch có mạng con Công khai 2a01:1111:2222:3333::/64 được phân bổ cho nó. Các cổng cho mạng con này là 2a01:1111:2222:3333::1 và nó có thể truy cập qua giao diện vlan.4001 (giao diện con của enp7s0 với id thẻ Vlan là 4001)

Trong quá trình thiết lập của tôi, một cầu nối được tạo trên Máy chủ có tên br1 với địa chỉ IP 2a01:1111:2222:3333::10/64. Nhiều máy ảo được tạo trên này bridge và mỗi máy ảo có một địa chỉ IPV6 được phân bổ từ mạng con 2a01:1111:2222:3333::/64 IPV6. Tôi phải sử dụng một cây cầu và không có tùy chọn nào khác do các yêu cầu khác nhau.

Các máy ảo trên br1 có thể nói chuyện với nhau và với br1. Tôi muốn định tuyến tất cả lưu lượng truy cập ra thế giới bên ngoài từ br1 qua vlan.4001. Tôi không muốn thêm giao diện vlan.4001 vào br1 (Tôi không muốn địa chỉ MAC của máy ảo được hiển thị với vSWitch). Tôi đã gán địa chỉ 2a01:1111:2222:3333::2/64 cho vlan.4001 nhưng lại gặp khó khăn trong việc tìm ra cách định tuyến lưu lượng từ br1 đến giao diện vlan.4001.

Như tôi đã đề cập trước đó, tôi phải sử dụng cầu nối để kết nối tất cả các máy ảo trên máy chủ với 2a01:1111:2222:3333::/64 (không cho phép NAT đối với máy ảo) và vẫn có thể truy cập internet bên ngoài thông qua vlan.4001.

Thiết lập này thậm chí có thể sử dụng Ubuntu 20.04 không?

tôi cũng sẽ không phải có thể sử dụng VRF hoặc netns, cả hai đều bị loại trừ do các yêu cầu khác.

Tùy chọn duy nhất tôi có là sử dụng Định tuyến dựa trên chính sách nhưng tôi không thể tạo PBR cho 2a01:1111:2222:3333::/64 để sử dụng giao diện vlan.4001 cho giao thông bên ngoài.

Một cây cầu không định tuyến. Kết nối xảy ra ở lớp 2, định tuyến ở lớp 3. Bạn sẽ phải quyết định xem bạn muốn định tuyến hay kết nối giữa mạng nội bộ kết nối các máy ảo (do br1 triển khai) và kết nối Internet của bạn (vlan.4001). Lựa chọn nào cũng có những hậu quả cụ thể.

Nếu bạn chọn bắc cầu, máy ảo của bạn sẽ nói chuyện trực tiếp với cổng 2a01:1111:2222:3333::1, hiển thị địa chỉ MAC của chúng với cổng đó và mạng lớp 2 can thiệp. Mặt khác, giải pháp đó rất đơn giản, do đó an toàn và đáng tin cậy hơn.

Nếu bạn chọn định tuyến, bạn cần một phiên bản định tuyến giữa máy ảo của bạn và giao diện bên ngoài, cũng như một phân đoạn mạng riêng biệt có dải địa chỉ IPv6 riêng để kết nối phiên bản định tuyến đó với bộ định tuyến cổng của máy chủ lưu trữ. Vì vậy, bạn sẽ phải yêu cầu Hetzner cung cấp /64 khác, họ sẽ định tuyến đến bộ định tuyến nội bộ của bạn hoặc thay vào đó là /56 mà sau đó bạn sẽ tự chia mạng con. Phiên bản định tuyến có thể được triển khai dưới dạng một máy ảo chuyên dụng chạy tường lửa hoặc bởi hệ điều hành của máy chủ baremetal của bạn.

Cho dù bạn sử dụng Ubuntu 20.04 hay bất kỳ hệ điều hành nào khác cũng không phát huy tác dụng ở cấp độ đó. Bất kỳ giải pháp nào bạn chọn đều có thể được triển khai với Ubuntu cũng như với bất kỳ HĐH nào khác.