xenserver集群中将ip从虚拟机中取消后但是ip还是通的

第一步：添加一个虚拟网卡

点击“网络连接”→“Add Network(添加网络)” → “External Network(外部网络)”→输入网卡的名称 →选择NIC0(注意这里要选能连接外网的网卡），建议将“自动将此网络添加到新虚拟机”，我将新添加的网络命名为“共享IP上网”

第二步：为新添加的虚拟网卡配置ip地址

网络添加好后回到网络连接主界面，然后点击配置（Config），点添加ip地址，选择之前添加的网络，设置与虚拟机同网段内网IP地址(如192.168.10.1)，也就是之后虚拟机要设置的网关地址。

第三步：配置NAT规则，让192.168.10.0网段的虚拟机可以上网：

(警告：如果已经配置过默认规则为deny的环境，iptables -F将使系统的所有网络访问中断，可以先iptables -P INPUT ACCEPT，再iptables -F)

iptables -F #清除防火墙的默认策略，这只适合在没有配置防火墙的环境中，否则所有网络访问中断

echo "1" >/proc/sys/net/ipv4/ip_forward #开启转发支持，默认是关闭的。

iptables -t -nat -A POSTROUTING -s 192.168.10.0/24 -o xenbr0 -j MASQUERADE #让192.168.10.0网段的虚拟机可以上网，xenbr0是共享上网网口名称(用ifconfig查看)。

##iptables -t -net -A POSTROUTING -o xenbr0 -j SNAT --to-source 59.36.100.206#不用操作仅供参考:此行今天与上一条效果一样，59.36这个是公网IP。

/etc/init.d/iptables save #保存防火墙配置，避免重启主机后规则失效

vi /etc/sysctl.conf #编辑/etc/sysctl.conf文件

将将net.ipv4.ip_forward项设置为1 ，保存并退出。 （开启转发支持，不受重启影响）

iptables -t -nat -A PREROUTING -p tcp --dport 10100 -j DNAT --to-destination 192.168.10.100:3389 #端口转发，外网直接用主机公网IP连接到虚拟机。

Xen 上有个 antispoof 配置选项就是来解决这个问题的，不过默认配置没有打开这个 antispoof 选项，需要修改：

代码如下:

# vi /etc/xen/xend-config.sxp

...

(network-script network-bridge antispoof=yes)

...

修改 /etc/xen/scripts/vif-common.sh 里面的 frob_iptable() 函数部分，加上 iptables 一行：

代码如下:

# vi /etc/xen/scripts/vif-common.sh

function frob_iptable()

{

...

iptables -t raw "$c" PREROUTING -m physdev --physdev-in "$vif" "$@" -j NOTRACK

}

修改完 Xen 配置后还需要修改 domU 的配置，给每个 domU 分配固定 IP 和 MAC 地址，还有 vif 名字：

代码如下:

# vi /etc/xen/vm01

...

vif = [ "vifname=vm01,mac=00:16:3e:7c:1f:6e,ip=172.16.39.105,bridge=xenbr0" ]

...

很多系统上 iptables 在默认情况下都不会理会网桥上的 FORWARD 链，所以需要修改内核参数确保 bridge-nf-call-iptables=1，把这个修改可以放到 antispoofing() 函数里，这样每次 Xen 配置网络的时候会自动配置内核参数：

代码如下:

# vi /etc/xen/scripts/network-bridge

antispoofing () {

echo 1 >/proc/sys/net/bridge/bridge-nf-call-iptables

...

}

修改完毕后测试的话需要关闭 domU，重启 iptables 和 xend 服务，再启动 domU.

代码如下:

# xm shutdown vm01

# /etc/init.d/iptables restart

# /etc/init.d/xend restart

# xm create vm01

上面的方法在 Xen 3.x 上 测试有效，有人说在 Xen 4.x 上行不通，我们下面将要介绍的方法绕开了 Xen 配置，直接从 iptables 限制，在 Xen 3.x 和 Xen 4.x 上应该都可以用 。

[本主题是预发布文档，在以后的发布中可能需要更改。 空的主题以占位符形式包括在内。]

可以使用以下过程来配置 Citrix XenServer 主机上的网络设置 System02Center02201202– Virtual02Machine02Manager02(VMM)，并查看主机上的物理网络适配器的法规遵从性信息。若要使在外部虚拟网络上的逻辑网络对虚拟机可用，必须配置虚拟网络设置和物理网络适配器相关联的逻辑网络。法规遵从性信息指示是否所有 IP 子网和与逻辑网络关联的网络站点中包含 Vlan 都分配到物理网络适配器。先决条件这些过程之前，请确保满足以下先决条件： 您必须创建外部虚拟网络通过 Citrix XenCenter。VMM识别并用于虚拟机部署现有的外部虚拟网络。

注释 VMM使用一个虚拟交换机来表示所有 XenServer 开关使用不同的 VLAN Id 绑定到一个物理网络适配器。

与物理网络适配器 （对于外部虚拟网络） 相关联的逻辑网络打开结构区。在结构 窗格中，展开 服务器，展开 的所有主机，然后单击主机所在的主机组。在主机窗格中，单击您想要配置的 XenServer 主机。在主机 选项卡上，在 属性 进行分组，请单击 属性。在主机名02属性 对话框中，单击 硬件选项卡。在下网络适配器，单击您想要配置的物理网络适配器。在下逻辑网络连接，选择您想要将与每个物理网络适配器相关联的每个逻辑网络旁边的复选框。注释 请注意这里 ； 列出了所有逻辑网络 而不仅仅是逻辑网络所到的主机组中可用主机驻留的位置。

例如，如果您配置的后端逻辑网络在VMM 中准备构造节，以及后端逻辑网络可供主机所在的主机组，选中复选框旁边的 后端。要配置高级的设置，请单击高级。在高级网络适配器属性对话框中，您可以查看和修改的 IP 子网和可用于给定逻辑网络的网络适配器上的 Vlan。默认情况下，对于所选的逻辑网络，给网络适配器分配 IP 子网和主机组仅限于或继承父主机组通过 Vlan。注释 如果没有 IP 子网或 Vlan 出现在可用 或分配列，这表明没有网络站点存在选定的逻辑网络的应用范围限定为主机组或主机组的继承。有关网络网站的详细信息，请参阅如何在 VMM 中创建逻辑网络和如何在 VMM 中修改或删除逻辑网络.

若要修改可用的 IP 子网和 Vlan，请单击中的逻辑网络逻辑网络列表。然后，使用添加 和中删除按钮以配置的 IP 子网和 Vlan 分配给的适配器。重要 启用使用 Vlan （而不是 VLAN 0) 的网络适配器上的逻辑网络之前，请确保您有至少一个其他可用于主机和 VMM 管理服务器之间的通信的网络适配器。

在逻辑网络 列表中，如果 未分配选项是可用的则可以查看所有 Vlan 的物理网络适配器连接到，但不是包括在网络站点。从网络适配器，或者删除这些 Vlan 或网络站点中定义它们。完成后，请单击确定应用任何更改。若要验证或配置虚拟网络设置打开结构区。在结构 窗格中，展开 服务器，展开 的所有主机，然后单击主机所在的主机组。在主机窗格中，单击您想要验证虚拟网络设置的主机。在主机 选项卡上，在 属性 进行分组，请单击 属性。在主机名02属性 对话框中，单击 虚拟网络选项卡。在下虚拟网络，执行下列任一操作： 单击外部虚拟网络，您想要查看的属性。下一步的验证逻辑网络设置， 逻辑网络，验证是否列出了您与前面过程中的物理网络适配器相关联的逻辑网络。

单击添加若要添加新的专用虚拟网。在名称 框中，输入虚拟网络的名称或接受默认值、 输入的可选说明，然后单击 确定。

注释 专用虚拟网允许同一台主机上，但不是能与主机或与外部网络中的虚拟机之间的通信。专用虚拟网络在主机操作系统中没有虚拟网络适配器，也没有绑定到物理网络适配器。当您想要隔离的虚拟机从外部网络和主机操作系统中的网络通信，可以使用专用的虚拟网络。

提示 在主机上的网络配置的图形化概况，主机，用鼠标右键单击，然后单击查看网络。悬停在一个项目以查看其他信息。

若要查看物理网络适配器的法规遵从性信息打开结构区。在结构 窗格中，展开 网络，然后单击 的逻辑网络。在的主页 选项卡上，在 显示 分组，请单击 主机。在的主机的逻辑网络信息窗格中，展开主机，然后单击物理网络适配器。在的法规遵从性列中，查看符合性状态。 如果值为完全符合指示所有子网和网络站点中包含 Vlan 分配给网络适配器。

值为非兼容表示没有相应 IP 子网和逻辑网络定义分配给物理适配器的 Vlan。另请参阅概念在VMM 中配置网络概述

---