neutron flat和vxlan网络访问外网流量走向

简介: OpenStack版本:Mitaka 物理节点: Hostname Management IP Tunnel IP Role test-ctrl-01 192.168.100.11 192.

OpenStack版本:Mitaka

物理节点:

Hostname Management IP Tunnel IP Role
test-ctrl-01 192.168.100.11 192.168.120.11 Controller Node、Network Node
test-cmpt-01 192.168.100.21 192.168.120.21 Compute Node
test-cmpt-02 192.168.100.22 192.168.120.22 Compute Node

 

 

 

 

Neutron网络:

网络 网络类型 网络模式 子网
public_net External Network Flat 192.168.100.0/24
share_net Private Network Vxlan 192.168.111.0/24

 

 

 

网络拓扑:

 

虚拟机:

test-01:直接连接到public_net,fixed ip为192.168.100.101

test-02:连接到share_net,fixed ip 192.168.111.4,绑定floating ip 192.168.100.102

特意将两个虚拟机建到同一台宿主机test-cmpt-02上,方便进行对比。

 

网络节点test-ctrl-01的网桥结构图:

计算节点test-cmpt-02上的网桥结构图:

flat网络(虚拟机test-01)访问外网的流量

1. 数据包从虚拟网卡tapaf305168-66出来,到达网桥qbraf305168-66,此处有iptables规则做IP/MAC pairs的匹配,如果配置了安全组规则,还会有对应的iptables规则:

2. 通过qvbaf305168-66和qboaf305168-66这对peer,到达br-int。由于qboaf305168-66在br-int上的vlan tag是2(类似交换机的access口),数据包的vlan_id会被标记成2。

3. br-int的flow table对ip和mac进行过滤,防止ip和mac伪造:

可以看到对arp和icmp有ip和mac的匹配。对mac的检测在mitaka版本以后都有,而kilo版只有arp_spa的规则。

这是些规则是neutron-openvswitch-agent添加的,具体实现在neutron.plugins.ml2.drivers.openvswitch.agent.openflow.ovs_ofctl.br_int. OVSIntegrationBridge的install_icmpv6_na_spoofing_protection(), set_allowed_macs_for_port()和install_arp_spoofing_protection()三个函数。

4. MAC地址检测通过后的action是normal,数据包有两个走向:

1) 通过patch-tun和patch-int这对peer到达br-tun:

最后会到达table 22,此处对于dl_vlan=2没有添加任何规则,会直接被丢弃。

2) 通过int-br-ex和phy-br-ex这对peer到达br-ex:

此处对于dl_vlan=2的action是normal,数据包会根据路由表规则从eth3发出。

 

vxlan网络(虚拟机test-02)访问外网的流量

前3步同test-01。

4. MAC地址检测通过后的action是normal,数据包有两个走向:

1) 通过int-br-ex和phy-br-ex这对peer到达br-ex:

此处对于dl_vlan=1没有添加任何规则,会直接被丢弃。

2) 通过patch-tun和patch-int这对peer到达br-tun:

对于dl_vlan=1的包,会将vlan id去除,设置tunnel id为0x10050(也就是share_net的segmentation_id 65616),从port 2和port 3(分别和test-ctrl-01和test-cmpt-01建立的tunnel隧道)发出。这一步即是vxlan封装。

 

下面的流程在网络节点进行:

5. 网络节点通过tunnel隧道收到这个封装过的vxlan数据包,到达br-tun上的vxlan-c0a87b16这个端口:

匹配到tunnel id是0x10050,会将vlan id设置为1,这一步就是vxlan的解包。然后从port 1送出。

6. 同过patch-int和patch-tun这对peer,到达br-int,br-int的流表对dl_vlan=1的包没有任何处理,action是normal:

7. 数据包有三个走向:

1) 通过int-br-ex和phy-br-ex这对peer到达br-ex:

此处对于dl_vlan=1没有添加任何规则,会直接被丢弃。

2) 到达tap96835b35-be,直接丢弃。

3) 到达qr-466214fa-3d,直接丢弃。

4) 到达qg-169d638e-0e,接收此数据包,进入qrouter-c8aec0d9-3203-4bdb-9237-9818603f521f,根据iptables规则,对来自192.168.111.4的数据包做SNAT:

然后根据路由表规则最终从eth3发出。

 

目录
相关文章
|
23天前
|
运维 监控 网络协议
面对全球化的泼天流量,出海企业如何观测多地域网络质量?
网络监控与分析在保证网络可靠性、优化用户体验和提升运营效率方面发挥着不可或缺的作用,对于出海企业应对复杂的网络环境和满足用户需求具有重要意义,为出海企业顺利承接泼天流量保驾护航。
|
2月前
|
Kubernetes 网络协议 应用服务中间件
Kubernetes Ingress:灵活的集群外部网络访问的利器
《Kubernetes Ingress:集群外部访问的利器-打造灵活的集群网络》介绍了如何通过Ingress实现Kubernetes集群的外部访问。前提条件是已拥有Kubernetes集群并安装了kubectl工具。文章详细讲解了Ingress的基本组成(Ingress Controller和资源对象),选择合适的版本,以及具体的安装步骤,如下载配置文件、部署Nginx Ingress Controller等。此外,还提供了常见问题的解决方案,例如镜像下载失败的应对措施。最后,通过部署示例应用展示了Ingress的实际使用方法。
87 2
|
3月前
|
网络协议 安全 文件存储
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问
动态DNS(DDNS)技术在当前网络环境中日益重要,它允许使用动态IP地址的设备通过固定域名访问,即使IP地址变化,也能通过DDNS服务保持连接。适用于家庭网络远程访问设备及企业临时或移动设备管理,提供便捷性和灵活性。示例代码展示了如何使用Python实现基本的DDNS更新。尽管存在服务可靠性和安全性挑战,DDNS仍极大提升了网络资源的利用效率。
171 6
|
3月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。
访问控制列表(ACL)是网络安全管理的重要工具,用于定义和管理网络资源的访问权限。ACL 可应用于路由器、防火墙等设备,通过设定规则控制访问。其类型包括标准、扩展、基于时间和基于用户的ACL,广泛用于企业网络和互联网安全中,以增强安全性、实现精细管理和灵活调整。然而,ACL 也存在管理复杂和可能影响性能的局限性。未来,ACL 将趋向智能化和自动化,与其他安全技术结合,提供更全面的安全保障。
200 4
|
3月前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
432 7
|
4月前
|
网络协议 Ubuntu 前端开发
好好的容器突然起不来,经定位是容器内无法访问外网了?测试又说没改网络配置,该如何定位网络问题
本文记录了一次解决前端应用集成到主应用后出现502错误的问题。通过与测试人员的沟通,最终发现是DNS配置问题导致的。文章详细描述了问题的背景、沟通过程、解决方案,并总结了相关知识点和经验教训,帮助读者学习如何分析和定位网络问题。
160 0
|
4月前
|
运维 定位技术 网络虚拟化
|
4月前
|
移动开发 网络协议 测试技术
Mininet多数据中心网络拓扑流量带宽实验
Mininet多数据中心网络拓扑流量带宽实验
131 0
|
4月前
|
负载均衡 监控 网络虚拟化
|
6月前
|
JSON 安全 网络协议
【Azure Policy】添加策略用于审计Azure 网络安全组(NSG)规则 -- 只能特定的IP地址允许3389/22端口访问
为了确保Azure虚拟机资源的安全管理,只有指定IP地址才能通过RDP/SSH远程访问。解决方案包括使用Azure Policy服务扫描所有网络安全组(NSG),检查入站规则中的3389和22端口,并验证源地址是否在允许的IP列表中。不符合条件的NSG规则将被标记为非合规。通过编写特定的Policy Rule并定义允许的IP地址参数,实现集中管控和合规性检查。

热门文章

最新文章