跨物理节点的2层隔离网络--GRE通道

最新推荐文章于 2024-01-25 18:02:18 发布
最新推荐文章于 2024-01-25 18:02:18 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: openvswitch学习之路 文章标签: 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_baobo/article/details/47680989
版权
这篇博客介绍了如何在云计算环境中,通过GRE通道解决VLAN TAG限制,实现跨物理节点的2层隔离网络。详细阐述了使用TAG创建网络,以及通过扩展GRE包头的Key字段实现更多隔离网络的方法,并给出了实际操作步骤和示例。
摘要由CSDN通过智能技术生成

使用通道,在不同的节点部署虚拟2层网络

我们可以通过使用TAG来跨节点组件2层网络,但是根据协议来说,VLAN的TAG最多只能定12个bit长度的(VID):

16 bits 3 bits 1 bit 12 bits
TPID PCP CFI VID

当环境中的需要需要的vlan的TAG多于4096的时候就会出现问题,因此需要用其他的解决方案。
参照GRE的文档https://tools.ietf.org/html/rfc2890,使用其中的KEY作为标记,32位的长度就使得我们有足够的标记用来使用。

注:本文是一个简单的模型,并没有做成生产环境的模型,下一节我们将首先分析一个生产环境中的例子,并模拟该生产环境。

首先我们使用TAG创建跨节点的2层网络

此时我们需要两台物理机,在此我使用一台物理机和一台虚拟机来进行模拟的,约定为物理机A(server_1, ip: 10.180.66.3)和物理机B(servier_2,ip:10.180.64.184)

首先我们先初始化server_1中模拟环境

(server_1)(使用上一节说的脚本)
# ./init_vms 
+ ovs-vsctl add-br br-int
+ ip netns add vm_a_1
+ ip netns add vm_a_2
+ ip netns add vm_b_1
+ ip netns add vm_b_2
+ ovs-vsctl add-port br-int vm_a_1 -- set interface vm_a_1 type=internal
+ ovs-vsctl add-port br-int vm_a_2 -- set interface vm_a_2 type=internal
+ ovs-vsctl add-port br-int vm_b_1 -- set interface vm_b_1 type=internal
+ ovs-vsctl add-port br-int vm_b_2 -- set interface vm_b_2 type=internal
+ ip link set vm_a_1 netns vm_a_1
+ ip link set vm_a_2 netns vm_a_2
+ ip link set vm_b_1 netns vm_b_1
+ ip link set vm_b_2 netns vm_b_2
+ ip netns exec vm_a_1 ifconfig vm_a_1 up
+ ip netns exec vm_a_2 ifconfig vm_a_2 up
+ ip netns exec vm_b_1 ifconfig vm_b_1 up
+ ip netns exec vm_b_2 ifconfig vm_b_2 up
root@www /home/abaobo/tmp 2015-08-17 19:28:45 
# ip netns exec vm_a_1 ip a a 10.1.0.1/24 dev vm_a_1
root@www /home/abaobo/tmp 2015-08-17 19:29:50 
# ip netns exec vm_a_2 ip a a 10.1.0.2/24 dev vm_a_2
root@www /home/abaobo/tmp 2015-08-17 19:30:00 
# ip netns exec vm_b_2 ip a a 10.1.0.12/24 dev vm_b_2
root@www /home/abaobo/tmp 2015-08-17 19:30:10 
# ip netns exec vm_b_1 ip a a 10.1.0.11/24 dev vm_b_1
ovs-vsctl add-port br-int gre_tun -- set interface gre_tun type=gre options:remote_ip=10.180.64.184

接下来我们初始化server_2中模拟环境

(server_2)(在此我们只初始化两个模拟)
# ./init_vm 
+ ovs-vsctl add-br br-int
+ ip netns add vm_a_1
+ ip netns add vm_b_1
+ ovs-vsctl add-port br-int vm_a_1 -- set interface vm_a_1 type=internal
+ ovs-vsctl add-port br-int vm_b_1 -- set interface vm_b_1 type=internal
+ ip link set vm_a_1 netns vm_a_1
+ ip link set vm_b_1 netns vm_b_1
+ ip netns exec vm_a_1 ifconfig vm_a_1 up
+ ip netns exec vm_b_1 ifconfig vm_b_1 up
root@cnsdev-network-dca5999d-f2e4-4cec-80ac-1e673baa3b90 ~/tmp 19:31:16  
# ip netns exec vm_a_1 ip a a 10.1.0.101/24 dev vm_a_1
root@cnsdev-network-dca5999d-f2e4-4cec-80ac-1e673baa3b90 ~/tmp 19:31:46 
# ip netns exec vm_b_1 ip a a 10.1.0.111/24 dev vm_b_1
root@cnsdev-network-dca5999d-f2e4-4cec-80ac-1e673baa3b90 ~/tmp 19:32:09 
# ovs-vsctl add-port br-int gre_tun -- set interface gre_tun type=gre options:remote_ip=10.180.66.3

此时我们已经初始化完我们需要的环境,在server_1中的vm_a_1(10.1.0.1)的网络环境中ping宿主物理机server_2的vm_a_1(10.1.0.101):

root@www /home/abaobo/tmp 2015-08-17 20:27:24 
# ip netns exec vm_a_2 ping 10.1.0.101 -c 1
PING 10.1.0.101 (10.1.0.101) 56(84) bytes of data.
64 bytes from 10.1.0.101: icmp_seq=1 ttl=64 time=3.02 ms

--- 10.1.0.101 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 3.027/3.027/3.027/0.000 ms

此时我们已经满足了跨节点组件2层网络的目的,根据上面的vlan的TAG格式我们可以看出,该TAG只有12个bit的长度,也就是说整个环境中只允许存在不超过4096个2层隔离网络,对于云计算来说,这个远远不能满足我们的需求。

使用带标记的tunnel来跨物理节点组建隔离的2层网络。

本文章我们主要讲述通过使用GRE通道方式组建,参见技术资料:

在扩展的GRE包头格式资料,从中我们可以看出,扩展的包头多了一个key和一个Sequence,长度都为为32bit,在此我们使用的是key来标记分区分不同网络的,32 位的长度几乎为我们地球上的每一个人创建一个私有网络,足够了。

接下来我们来尝试组建一个这样的网络,

  • 1, 上面的基础上,分别再两个server上,我们把用户A的所有虚拟机使用tag打上标签1,把所有的用户B的虚拟机打上标签2。
(server_1)
root@www /home/abaobo/tmp 2015-08-17 20:49:19 
# ovs-vsctl set port vm_a_1 tag=1 -- set port vm_a_2 tag=1                                  
root@www /home/abaobo/tmp 2015-08-18 09:20:19 
# ovs-vsctl set port vm_b_1 tag=2 -- set port vm_b_2 tag=2 
root@www /home/abaobo/tmp 2015-08-18 09:20:34 
#
(server_2)
root@cnsdev-network-dca5999d-f2e4-4cec-80ac-1e673baa3b90 ~/tmp 20:26:31 
# ovs-vsctl set port vm_a_1 tag=1 
root@cnsdev-network-dca5999d-f2e4-4cec-80ac-1e673baa3b90 ~/tmp 09:20:50 
# ovs-vsctl set port vm_b_1 tag=2
root@cnsdev-network-dca5999d-f2e4-4cec-80ac-1e673baa3b90 ~/tmp 09:20:58 
#

然后我们在server_1上用vm_a_1分别ping,server_1的vm_a_2和server_2的vm_a_1

(server_1)
root@cnsdev-network-dc
最低0.47元/天 解锁文章
A_baobo
关注
专栏目录
热门技术中的应用:云计算中的网络-第28讲-云中网络隔离GRE、VXLAN:虽然住一个小区,也要保护隐私
分享学习心得,生命不息,学习不止,望共勉。
12-20 124
- 要对不同用户的网络进行隔离,解决VLAN数目有限的问题,需要通过Overlay的方式,常用的有GRE和VXLAN。 - GRE是一种点对点的隧道模式,VXLAN支持组播的隧道模式,它们都要在某个Tunnel Endpoint进行封装和解封装,来实现物理机的互通。 - OpenvSwitch可以作为Tunnel Endpoint,通过设置流表的规则,将虚拟机网络物理网络进行隔离、转换。
生产环境中节点隔离网络构架解析
A_baobo的专栏
08-18 670
云计算
二层交换网络
12-06 566
1、MUX VLAN 1.1、为什么会有MUX VLAN?应用场景? 二层交换网络当中的高级内容(可跟做) 应用场景? 企业外来访客、企业员工都能够访问企业服务器。 企业员工部门内部可以通信,而企业员工部门之间不能通信。 企业外来访客间不能通信、外来访客和企业员工之间不能互访。 为什么需要有MUX VLAN技术 对于企业来说,希望企业内部员工之间可以互相访问,而企业外来访客之间是隔离的,可通过配置...
GRE 3+2 两种VPN+原理+实现 一文全介绍
最新发布
qingwangheni的博客
01-25 2156
GRE(Generic Routing Encapsulation):即通用路由封装协议,一种隧道协议。作用:封装某些网络协议(如IPX、ATM、IPv6、AppleTalk等)报文,使这些报文能在另一个网络协议中传输。优点:可通过IPv4连通多种异种网络(IPX、AppleTalk),有效利用现有网络,降低成本。扩展网络跳数,支持灵活组网。(如RIP最大跳数限制为16)可封装组播数据,并和IPSec结合,保证语音、视频等组播业务安全。
二层端口隔离
qq_50929489的博客
09-15 1727
华为端口隔离的配置
华为二层网络隔离与互通(vlan隔离与端口隔离
m0_63775189的博客
07-11 1062
华为ENSP二层实验
二层隔离技术理论讲解与实验配置(端口隔离、Mux Vlan)
m0_49864110的博客
10-01 2493
通过Vlan进行网络资源控制的机制,通过Mux Vlan提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,企业外来访客之间的互访隔离等作用。适用于同一二层网络的不同Vlan之间(可以实现部分Vlan间互通、部分Vlan间隔离,同一Vlan内用户隔离)配置主Vlan为Vlan40,互通型Vlan为Vlan10 20,隔离型Vlan为Vlan30。Mux Vlan分为主Vlan和从Vlan,从Vlan又细分为隔离型和互通型Vlan。MUX Vlan为华为技术,思科此类型技术为PVLAN。
openstack-neutron的GRE、VLAN和VXLAN网络模式审核
oshhh的博客
03-21 419
另外一个是 qg-xxx 这样的接口,是连接到 router 服务的网络名字空间中,里面绑定一个路由器的外部IP,作为 NAT 时候的地址,另外,网络中的 floating IP 也放在这个网络名字空间中。br-tun将带有vlan tag的vm跟外部通信的流量转换到对应的gre隧道,这上面要实现主要的转换逻辑,Compute节点上发往GRE隧道的网包最终抵达Network节点上的br-tun.网络节点上的规则跟Compute节点上br-tun的规则相似,完成tunnel跟vlan之间的转换。
云中网络隔离:GRE、VXLAN
lingshengxiyou的博客
11-23 1757
32 位,够任何云平台喝一壶的了!load:NXM_NX_TUN_ID[]->NXM_NX_TUN_ID[]的意思是,在 Table 20 中,将包从物理机发出去的时候,设置 Tunnel ID,进来的时候是多少,发送的时候就是多少,所以学习完了之后,Table 20 中会有 set_tunnel。虚拟机 2 回复的包,到达 VTEP2 的时候,它当然也记得刚才学的东西,要找虚拟机 1,就去 VTEP1,于是将包封装在 VXLAN 里面,外加上 VTEP1 和 VTEP2 的 IP 地址,也发送出去。
华为路由器:IPSec加密GRE通道(GRE over IPsec)
兔子乖乖
08-08 2033
由于GRE隧道不提供安全性保障,使用ipsec加密gre隧道是现网中比较常用的VPN部署,它的加密方式分为两种:可以使用IPsec来加密隧道进行传输,叫做IPsec over GRE;加密数据流后从隧道传输,称为GRE over IPsec。下面将配置一个简单的IPsec over GRE实验。
二层协议,GRE,MGRE,RIP,ACL,NET技术华为设备综合实验操作示例
askerkiller的博客
09-22 223
从实验中学习华为系统,二层协议,MGRE,GRE等技术
二层技术——点对点协议ppp以及NBMA网络MGRE的tunnel隧道技术以及二层综合实验
L同学的博客
11-03 1655
二层技术—数据链路;—核心功能–介质访问控制功能—控制物理 网络类型: 1)MA–BMA、NBMA:多路访问–在一个网段内节点数量不限制 2)点到点:在一个网段只能两个节点存在,出现第三个节点时,无法正常通行-~- 一 、以太网:共享型网络—频分—在线缆上使用不冲突的不同波段频率来叠加带宽 以太网网线:同轴电缆、RJ-11(模拟转数字)、RJ-45、光纤(光信号转数字) 二层管理方案:BM...
二层封装技术(HDLC、PPP--PAP\CHAP、GRE)实验练习
m0_64188996的博客
07-19 262
HDLC 高级链路控制协议、PPP -- 点到点协议、GRE 通用路由封装
防火墙——GRE隧道讲解
m0_49864110的博客
05-19 8659
当对端设备访问公网时,也会进行GRE封装,目的地址为tunnel接口的目的地址(也就是对端公网地址),再次进行GRE封装;解决了越异种网络的报文传输问题——异种报文传输的通道称为Tunnel隧道(例如IPv6孤岛问题)GRE隧道配置后,只要有到达隧道中配置的目的地址的路由(无论是否可达),隧道口都会激活。GRE(通用路由封装)是一种三隧道封装技术,可以对某些网络协议的报文进行封装。“包装”乘客协议对应的报文,使得原始报文可以在新的网络中传输。封装后的报文在新网络中传输时所使用的网络协议。
GRE隧道协议
热门推荐
遇见你是我最美丽的意外
02-06 3万+
1. GRE协议简介 GRE(General Routing Encapsulation ,通用路由封装)是对某些网络协议(如IP和IPX)的数据报文进行封装,使这些被封装的报文能够在另一网络协议(如IP)中传输。此外 GRE协议也可以作为VPN的第三隧道协议连接两个不同的网络,为数据的传输提供一个透明的通道。 GRE主要有以下特点: 机制简单,无需维持状态,对隧道两端设备的CPU负担...
二层技术
qq_43561401的博客
11-08 497
二层(数据链路)技术 一、作用:介质访问控制功能,即控制物理。 二、二层介质的分类: 1.以太网:共享型网络使用数据链路频分 数据链路频分技术:在线缆上使用不冲突的不同波段频率来叠加带宽 (1).以太网网线:同轴电缆、RJ-11(模拟转数字)、RJ-45、光纤(光信号转数字) (2).二层管理方案: 1).BMA( 广播型多路访问)网路类型 BMA存在广播机制的MA网络 多个节点间还需要实...
OpenStack Neutron:GRE隧道与网络虚拟化的解析
Neutron通过VLAN、GRE或VxLAN等技术实现虚拟二层网络,以保证不同租户之间的隔离,确保网络资源的安全使用。 这篇摘要介绍了GRE封装在SDN网络中的运作,以及OpenStack Neutron如何通过网络虚拟化技术来提供灵活且...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值