在虚拟化环境中，虚拟机（Virtual Machine, VM）与外部网络之间的通信方式有多种，比如 NAT 模式、Host-Only 模式、桥接模式（Bridged Networking） 等。其中，桥接模式是最接近“真实物理机”网络行为的一种方式——虚拟机可以直接出现在局域网中，拥有自己的 MAC 地址、自己的 IP 地址、自己的协议栈，外部设备可以像访问一台普通电脑一样访问它。

1. 什么是桥接（Bridge）

在计算机网络中，桥接（Bridge）是一个二层（数据链路层）的概念，本质上是将多个网络接口（网卡）连接起来，让它们像在同一个物理交换机上一样工作。

桥接设备会维护一个 MAC 地址表：

• 当收到以太帧时，记录源 MAC 与入口端口的映射关系
• 转发时根据目标 MAC 查表决定输出端口
• 如果 MAC 未知，则广播到所有端口

在虚拟化中，“桥接”意味着把虚拟机的虚拟网卡（vNIC）和主机的物理网卡（NIC）接到同一个虚拟交换机（vSwitch）上，从而让虚拟机直接参与局域网通信。

2. 桥接模式的工作机制

桥接模式的核心在于虚拟交换机（vSwitch）：

1. 虚拟化软件在主机系统中创建一个 虚拟交换机（Linux 下是 bridge 设备，Windows 下是“网络桥”）
2. 将主机的物理网卡和虚拟机的虚拟网卡都接入这个虚拟交换机
3. 虚拟交换机基于二层转发规则（MAC 学习表）直接转发以太帧
4. 虚拟机通过 DHCP 或静态配置，获得与主机同一网段的 IP 地址

数据流示意

[虚拟机协议栈] → [vNIC 驱动] → [虚拟交换机 vSwitch] → [主机物理网卡 NIC] → [局域网交换机]

反向通信时，数据从局域网到主机物理网卡后，由 vSwitch 按 MAC 转发到 VM 的 vNIC。

桥接模式下主机和虚拟机协议栈对照图

                ┌─────────────────────────┐│     局域网交换机/路由器    │└────────────┬────────────┘│  (以太网帧)┌───────┴────────┐│ 主机物理网卡NIC  │└───────┬────────┘│┌─────────┴──────────┐│  虚拟交换机(vSwitch) │└───────┬────────────┘桥接二层转发  ┌────────┴────────┐│                 │▼                 ▼┌────────────────┐   ┌────────────────┐│   主机协议栈     │   │   虚拟机协议栈   ││(Host TCP/IP)   │   │(Guest TCP/IP)  ││                │   │                ││ 应用层   	     │   │ 应用层          ││ TCP/UDP 层     │   │ TCP/UDP 层      ││ IP 层     	 │   │ IP 层           ││ 链路层(主机NIC)  │  │ 链路层(vNIC驱动)  │└────────────────┘   └────────────────┘

图中：

1. 两套独立协议栈

   • 左边是主机（Host OS）的 TCP/IP 栈
   • 右边是虚拟机（Guest OS）的 TCP/IP 栈
   • 它们彼此独立运行，互不干扰，就像两台不同的电脑

2. vSwitch（虚拟交换机）

   • 工作在 二层（链路层）
   • 只根据 MAC 地址转发以太帧，不解析 IP/TCP
   • 桥接主机的物理网卡和 VM 的虚拟网卡

3. 桥接的效果

   • VM 的 vNIC 像插在真实交换机上一样
   • VM 可以直接通过 DHCP 拿到局域网的 IP
   • VM 对其他设备是一个完全独立的主机

3. 协议栈隔离：VM 是独立主机

桥接模式下，虚拟机在网络上的地位与物理机完全一致，它有：

• 独立的 MAC 地址（vNIC 生成）
• 独立的 IP 地址（DHCP/静态）
• 独立的 TCP/IP 协议栈（由虚拟机操作系统实现）

主机和虚拟机的网络协议栈互不干扰，vSwitch 只负责二层转发，不解析三层以上数据。

协议栈结构对比

主机： 应用层 → TCP/UDP → IP → Ethernet → 主机NIC
虚机： 应用层 → TCP/UDP → IP → Ethernet → vNIC → vSwitch → 主机NIC

4. 桥接模式的优缺点

优点	说明
完全接入局域网	与物理机平等，外部可直接访问 VM
独立身份	独立 MAC / IP / 协议栈
兼容性强	支持各种网络协议和服务

缺点	说明
安全风险高	VM 完全暴露在局域网中，容易被扫描/攻击
DHCP 依赖	需要局域网有可用 IP 地址池
网络环境要求	某些企业/ISP 网络限制 MAC 数量或绑定 MAC

5. 常见问题

Q1: 为什么桥接模式下 VM 拿不到 IP？
可能原因：

• 局域网 DHCP 池已满
• 网络管理员启用了 MAC 绑定
• 无线网卡驱动/虚拟化平台不支持二层混杂模式

Q2: 桥接模式是否影响主机网络？
正常情况下不会，因为主机和虚拟机的协议栈独立，只有物理链路共享。

Q3: 桥接模式能否跨 VLAN？
能否跨 VLAN 取决于物理交换机的配置，与桥接本身无关。

6. 适用场景

• 需要对外提供服务（如 Web 服务器、数据库、SSH）
• 模拟真实网络环境（测试真实 IP 通信、网络安全实验）
• 与局域网设备交互（访问 NAS、打印机、物联网设备）

7. 总结

桥接模式让虚拟机直接接入物理网络，从网络的角度看，它就是一台真实的电脑，拥有独立的 MAC、IP 和协议栈。理解桥接模式的关键，是理解虚拟交换机如何在二层桥接虚拟网卡与物理网卡，以及虚拟机与主机协议栈之间的隔离关系。在选择桥接模式时，请权衡安全性与可访问性——它提供了最真实的网络体验，但也让虚拟机暴露在真实网络的风险中。