Tudo,
Desculpas pelas perguntas dos novatos, mas este é meu primeiro mergulho no Linux e no systemd, então espero que alguém com melhor conhecimento do que eu possa ajudar aqui.
Eu tenho um servidor físico executando o Clear Linux como o sistema operacional host. Tem duas portas Ethernet físicas de 1 Gbps. Estou construindo uma configuração que hospedará um firewall virtual (entre outras VMs, que o firewall virtual precisa proteger).
Eu consegui dar um nó na minha calcinha sobre o que realmente é uma 'ponte' (br0) no Linux. Eu não sou muito mais claro depois de ler o link abaixo, além de dizer que eu acho que uma bridge virtual e um switch virtual equivalem à mesma coisa: Qual é a diferença entre uma bridge e um switch?
Tenho várias vlans não confiáveis e várias confiáveis que estão sendo entroncadas em interfaces físicas separadas de um switch de hardware usando 802.1q. Eu quero garantir que o tráfego nessas VLANs permaneça completamente separado, incluindo seu tráfego de broadcast, uma vez que eles atinjam o host KVM e sua configuração de rede virtual.
Meu plano era criar uma br0 e uma br1 no host KVM e, em seguida, anexar essas pontes virtuais às suas respectivas interfaces físicas no servidor host. Essas NICs físicas são cabeadas para separar interfaces no comutador de hardware, com as interfaces entroncando apenas vlans confiáveis em uma porta e com a internet imunda e mal-cheirosa não confiável, como vlans, na outra.
Parece que você pode realmente fazer VLANs via br's que estão configuradas em um host KVM, a fim de obter vlans com tags expostas a domínios guest KVM, ao usar um sistema operacional que utilize systemd (como o Clear Linux), de acordo com esse cookie inteligente quem fez o mesmo com o Debian: link
Minhas perguntas reais:
No momento estou visualizando br0 e br1 como sepearte switches físicos plugados em duas portas diferentes de um firewall físico (que na verdade seria uma VM em execução no host KVM) ... mas não tenho certeza se Eu tenho isso correto?
Não estou claro se estou criando um risco à segurança neste processo ou não. Qualquer clareza seria muito apreciada.
Felicidades
Tags linux-networking bridge