neutron flat和vxlan网络访问外网流量走向

简介: OpenStack版本:Mitaka 物理节点: Hostname Management IP Tunnel IP Role test-ctrl-01 192.168.100.11 192.

OpenStack版本:Mitaka

物理节点:

Hostname Management IP Tunnel IP Role
test-ctrl-01 192.168.100.11 192.168.120.11 Controller Node、Network Node
test-cmpt-01 192.168.100.21 192.168.120.21 Compute Node
test-cmpt-02 192.168.100.22 192.168.120.22 Compute Node

 

 

 

 

Neutron网络:

网络 网络类型 网络模式 子网
public_net External Network Flat 192.168.100.0/24
share_net Private Network Vxlan 192.168.111.0/24

 

 

 

网络拓扑:

 

虚拟机:

test-01:直接连接到public_net,fixed ip为192.168.100.101

test-02:连接到share_net,fixed ip 192.168.111.4,绑定floating ip 192.168.100.102

特意将两个虚拟机建到同一台宿主机test-cmpt-02上,方便进行对比。

 

网络节点test-ctrl-01的网桥结构图:

计算节点test-cmpt-02上的网桥结构图:

flat网络(虚拟机test-01)访问外网的流量

1. 数据包从虚拟网卡tapaf305168-66出来,到达网桥qbraf305168-66,此处有iptables规则做IP/MAC pairs的匹配,如果配置了安全组规则,还会有对应的iptables规则:

2. 通过qvbaf305168-66和qboaf305168-66这对peer,到达br-int。由于qboaf305168-66在br-int上的vlan tag是2(类似交换机的access口),数据包的vlan_id会被标记成2。

3. br-int的flow table对ip和mac进行过滤,防止ip和mac伪造:

可以看到对arp和icmp有ip和mac的匹配。对mac的检测在mitaka版本以后都有,而kilo版只有arp_spa的规则。

这是些规则是neutron-openvswitch-agent添加的,具体实现在neutron.plugins.ml2.drivers.openvswitch.agent.openflow.ovs_ofctl.br_int. OVSIntegrationBridge的install_icmpv6_na_spoofing_protection(), set_allowed_macs_for_port()和install_arp_spoofing_protection()三个函数。

4. MAC地址检测通过后的action是normal,数据包有两个走向:

1) 通过patch-tun和patch-int这对peer到达br-tun:

最后会到达table 22,此处对于dl_vlan=2没有添加任何规则,会直接被丢弃。

2) 通过int-br-ex和phy-br-ex这对peer到达br-ex:

此处对于dl_vlan=2的action是normal,数据包会根据路由表规则从eth3发出。

 

vxlan网络(虚拟机test-02)访问外网的流量

前3步同test-01。

4. MAC地址检测通过后的action是normal,数据包有两个走向:

1) 通过int-br-ex和phy-br-ex这对peer到达br-ex:

此处对于dl_vlan=1没有添加任何规则,会直接被丢弃。

2) 通过patch-tun和patch-int这对peer到达br-tun:

对于dl_vlan=1的包,会将vlan id去除,设置tunnel id为0x10050(也就是share_net的segmentation_id 65616),从port 2和port 3(分别和test-ctrl-01和test-cmpt-01建立的tunnel隧道)发出。这一步即是vxlan封装。

 

下面的流程在网络节点进行:

5. 网络节点通过tunnel隧道收到这个封装过的vxlan数据包,到达br-tun上的vxlan-c0a87b16这个端口:

匹配到tunnel id是0x10050,会将vlan id设置为1,这一步就是vxlan的解包。然后从port 1送出。

6. 同过patch-int和patch-tun这对peer,到达br-int,br-int的流表对dl_vlan=1的包没有任何处理,action是normal:

7. 数据包有三个走向:

1) 通过int-br-ex和phy-br-ex这对peer到达br-ex:

此处对于dl_vlan=1没有添加任何规则,会直接被丢弃。

2) 到达tap96835b35-be,直接丢弃。

3) 到达qr-466214fa-3d,直接丢弃。

4) 到达qg-169d638e-0e,接收此数据包,进入qrouter-c8aec0d9-3203-4bdb-9237-9818603f521f,根据iptables规则,对来自192.168.111.4的数据包做SNAT:

然后根据路由表规则最终从eth3发出。

 

目录
相关文章
|
14天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
72 7
|
4月前
|
消息中间件 存储 Serverless
函数计算产品使用问题之怎么访问网络附加存储(NAS)存储模型文件
函数计算产品作为一种事件驱动的全托管计算服务,让用户能够专注于业务逻辑的编写,而无需关心底层服务器的管理与运维。你可以有效地利用函数计算产品来支撑各类应用场景,从简单的数据处理到复杂的业务逻辑,实现快速、高效、低成本的云上部署与运维。以下是一些关于使用函数计算产品的合集和要点,帮助你更好地理解和应用这一服务。
|
2月前
|
运维 定位技术 网络虚拟化
|
2月前
|
负载均衡 监控 网络虚拟化
|
2月前
|
网络协议 Ubuntu 前端开发
好好的容器突然起不来,经定位是容器内无法访问外网了?测试又说没改网络配置,该如何定位网络问题
本文记录了一次解决前端应用集成到主应用后出现502错误的问题。通过与测试人员的沟通,最终发现是DNS配置问题导致的。文章详细描述了问题的背景、沟通过程、解决方案,并总结了相关知识点和经验教训,帮助读者学习如何分析和定位网络问题。
104 0
|
2月前
|
移动开发 网络协议 测试技术
Mininet多数据中心网络拓扑流量带宽实验
Mininet多数据中心网络拓扑流量带宽实验
61 0
|
4月前
|
云安全 安全 物联网
惊叹:《黑神话:悟空》所在 Steam 发行平台遭网络狂袭,威胁流量猛增两万倍!
8月24日,热门游戏《黑神话:悟空》的玩家发现主要发行平台Steam无法登录,引发“#Steam崩了#”登上微博热搜。起初猜测是在线人数过多导致,但完美世界竞技平台公告表示系遭受DDoS攻击。奇安信Xlab实验室详细解析了此次攻击,发现攻击指令暴增两万多倍,涉及多个僵尸网络。此次攻击对Steam造成严重影响,但也凸显了网络安全的重要性。为保障游戏环境安全,需加强服务器防护并选择可靠的防御公司。德迅云安全提供高防服务器、DDoS高防IP和安全加速SCDN等服务,助力游戏企业提升安全性。
|
4月前
|
网络协议 安全 前端开发
【应用服务 App Service】Azure 应用服务测试网络访问其他域名及请求超时限制(4分钟 ≈ 230秒)
【应用服务 App Service】Azure 应用服务测试网络访问其他域名及请求超时限制(4分钟 ≈ 230秒)
|
4月前
|
JSON 安全 网络协议
【Azure Policy】添加策略用于审计Azure 网络安全组(NSG)规则 -- 只能特定的IP地址允许3389/22端口访问
为了确保Azure虚拟机资源的安全管理,只有指定IP地址才能通过RDP/SSH远程访问。解决方案包括使用Azure Policy服务扫描所有网络安全组(NSG),检查入站规则中的3389和22端口,并验证源地址是否在允许的IP列表中。不符合条件的NSG规则将被标记为非合规。通过编写特定的Policy Rule并定义允许的IP地址参数,实现集中管控和合规性检查。
|
4月前
|
缓存 负载均衡 NoSQL
【Azure Redis】Azure Redis添加了内部虚拟网络后,其他区域的主机通过虚拟网络对等互连访问失败
【Azure Redis】Azure Redis添加了内部虚拟网络后,其他区域的主机通过虚拟网络对等互连访问失败