虚拟隔离网络外网访问(SNAT)

最新推荐文章于 2023-12-01 00:15:26 发布
最新推荐文章于 2023-12-01 00:15:26 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 云计算 openvswitch学习之路 文章标签: 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_baobo/article/details/48048517
版权

首先介绍下iptables

百度百科:iptables介绍
我们熟悉的防火墙过滤数据包规则只是iptables的一个子功能。

iptables能完成的功能有:

1:过滤规则前的NAT转换
2:过滤数据包
3:过滤后的NAT转换

这节我们主要讲解的是,第三条:过滤后的额NAT规则转换

  • 其中的过滤数据包规则是私有网络的ACL规则部分,将在之后讲解机房网络的时候做讲解。

NAT转换分为SNAT转换和DNAT转换。作用原理分别是把所有的包的源IP换为某个IP或者将所有包的目标地址换为某个IP。

目前我们生产环境中的构架图如下图所示:

这里写图片描述

解释:

  • br-int就是我们上节所叙述的用户的虚拟网路的网关,也可以说说是用户的路由器。
  • 我们为为每一个用户创建一个netns用来转换虚拟网络的外网数据。如上图的两个租户的虚拟网络的地址空间均是10.1.0.0/24,域名空间的网关地址均为10.1.0.1地址,我们在对其网络包进行过滤之后对其分别进行SNAT,其中用户A的私有网络空间数据包被SNAT转换为169.254.4.24,B的被转换为169.254.4.25
  • 被转换后的数据包经由br-ex传输物理机空间之后经过第二次的SNAT转换,然后选择合适的路由转换。

公网数据回来的路径也需要经过这条路线。

测试我们再次仍然用一个虚拟的netns代替vm进行测试。

搭建测试环境

我们仍然使用脚本来进行初始化

#!/bin/bash -x
# create two switch br-int and br-ex

ovs-vsctl add-br br-int -- add-br br-ex

ovs-vsctl add-port br-int l3_s1_a -- set port l3_s1_a tag=2 -- set interface l3_s1_a type=internal
ovs-vsctl add-port br-int l3_s1_b -- set port l3_s1_b tag=1 -- set interface l3_s1_b type=internal

ovs-vsctl add-port br-ex ex_a -- set interface ex_a type=internal
ovs-vsctl add-port br-ex ex_b -- set interface ex_b type=internal

ip netns add l3_a
ip netns add l3_b
# 在一个netns里面添加两个网卡,一个是虚拟网络的网关,一个是出口网关
ip link set ex_a netns l3_a
ip link set l3_s1_a netns l3_a
ip netns exec l3_a ifconfig ex_a up
ip netns exec l3_a ifconfig lo up
ip netns exec l3_a ifconfig l3_s1_a up
ip netns exec l3_a ip a a 10.1.0.1/24 dev l3_s1_a
ip netns exec l3_a ip a a 169.254.4.24/24 dev ex_a

# 添加默认路由,对于不认识的路由都默认都网关出去,此处可以用来进行acl规则限制,后面讲述
ip netns exec l3_a ip r a default via 169.254.4.1 dev ex_a
ip netns exec l3_a sysctl -w net.ipv4.ip_forward=1 # 打开IP转发
# 添加SNAT规则,每个虚拟网络的SNAT不一样。
ip netns exec l3_a iptables -t nat -A POSTROUTING ! -d 10.1.0.1/24 -j SNAT --to-source 169.254.4.24

#  与上面重复,在此不再详细叙述
ip link set ex_b netns l3_b
ip link set l3_s1_b netns l3_b
ip netns exec l3_b ifconfig ex_b up
ip netns exec l3_a ifconfig lo up
ip netns exec l3_b ifconfig l3_s1_b up
ip netns exec l3_b ip a a 10.1.0.1/24 dev l3_s1_b
ip netns exec l3_b ip a a 169.254.4.25/24 dev ex_b

ip netns exec l3_b ip r a default via 169.254.4.1 dev ex_b
ip netns exec l3_b sysctl -w net.ipv4.ip_forward=1
ip netns exec l3_b iptables -t nat -A POSTROUTING ! -d 10.1.0.1/24 -j SNAT --to-source 169.254.4.25

# 添加一个本地端口,加上出口的虚拟ip,169.254.4.1
ovs-vsctl add-port br-ex p_ex -- set interface p_ex type=internal
ifconfig p_ex up
ip a a 169.254.4.1/24 dev p_ex

# 添加本地的ip转发,和SANT规则,此处IP我们让系统默认为我们选择。
sysctl -w net.ipv4.ip_forward=1
iptables -t nat -A POSTROUTING -s 169.254.4.0/24  -j MASQUERADE


# create test vm  这段就不解释了
ovs-vsctl add-port br-int vm_s1_a1 -- set port vm_s1_a1 tag=2 -- set interface vm_s1_a1 type=internal
ip netns add vm_s1_a1
ip link set vm_s1_a1 netns vm_s1_a1
ip netns exec vm_s1_a1 ifconfig vm_s1_a1 up
ip netns exec vm_s1_a1 ip a a 10.1.0.11/24 dev vm_s1_a1
ip netns exec vm_s1_a1 ip r a default via 10.1.0.1 dev vm_s1_a1

接下来我们来做测试:

root@linux /home/abaobo/tmp 2015-08-28 18:36:00 
# ip netns exec l3_a ping 10.240.153.143
PING 10.240.153.143 (10.240.153.143) 56(84) bytes of data.
64 bytes from 10.240.153.143: icmp_seq=1 ttl=64 time=0.566 ms
^C
--- 10.240.153.143 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.566/0.566/0.566/0.000 ms
root@linux /home/abaobo/tmp 2015-08-28 18:36:06 
# ip netns exec l3_a ping 8.8.8.8       
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
64 bytes from 8.8.8.8: icmp_seq=2 ttl=38 time=116 ms
64 bytes from 8.8.8.8: icmp_seq=3 ttl=38 time=115 ms
^C
--- 8.8.8.8 ping statistics ---
3 packets transmitted, 2 received, 33% packet loss, time 2009ms
rtt min/avg/max/mdev = 115.726/115.909/116.092/0.183 ms
root@linux /home/abaobo/tmp 2015-08-28 18:36:15

从测试结果来看我们已经完成了我们需要的功能

总结

前面的这几节我们已经讲述了除了acl规则控制之外的虚拟私有网络的所有功能,

这里面包括:

  • 1,本地的2层网络。
  • 2,跨物理节点的2层网络。
  • 3,虚拟网络的DHCP服务(静态分配策略)。
  • 4,私有网络的接入服务,vpn。
  • 5,私有网络的外出口,SNAT。

在下面一节我们将讲述分析openstak中的那张非常复杂的网络图。
虚拟网络的ACL规则部分的实现就是L3中做的iptables过滤规则,基本内容也就是iptables的添加,将不再讲述。

关于机房网络(网易云计算特色)我们也将在后面单独讲述。

其实这些只是基本的功能,在实际的生产环境中我们要做到的所有服务的高可用,应该怎么做到高可用呢,敬请期待。

A_baobo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux虚拟接通外网
qq_68454715的博客
03-21 1244
1.进入虚拟机,打开编辑模式 2.添加网络编辑器 IP地址分配不要勾选 3.鼠标右击,设置 4.添加网络适配器 5.su root 进入root用户 6. ifconfig 查看网络适配器是否添加成功 7. 添加网卡 8.切换到所在的目录文件下 9.编辑 10.在做后一行添加IP I 进入编辑模式 IPADDER= NETMASK= ESC 返回 :wq 保存退出 11.重启网卡 1...
虚拟机连接外网(桥接)
玩命的狙击手
10-29 3679
摘要:系统centos os 第一步:创建虚拟网络VMnet0 VMware -> 编辑 -> 虚拟网络编辑器 打开虚拟网络编辑器后,如图1创建虚拟网络VMnet0 图1 如图2为VMnet0选择桥接模式,点击确定 图2 第二步:虚拟机选择桥接模式 ...
虚拟机连接外网(CentOS7)
酒肉猿
04-24 1873
一、虚拟机设置 选择【仅主机模式】 二、本地连接(可以访问外网)属性设置 ps:如果出现【internet连接共享访问被启用时 出现了一个错误 ,(null)】,启动【Windows Firewall】服务。 查看VMnet1 IPv4属性,会发现 自动分配了IP 192.168.137.1 三、VMware-编辑-虚拟网络编辑器 四、linux系统设置 4.1 配置ifcfg-e...
关于内外网隔离网络访问解决方案
热门推荐
天将降大任于是人
09-01 2万+
该问题的解决方案比较简单,但是偶有同事还是在问这个问题,因此将该问题的解决方案记录下来,写给那些需要这个方案的小朋友。如有不正之处,欢迎批评指正。问题描述在公司的生产环境中存在DMZ 和 APP 两个网络区域,从外网中可以直接访问 DMZ 区,不可以直接访问 APP 区,如下图所示: 目前在开发的微信小程序部署在微信的服务器上(也就是在外网中),它需要访问 APP 区部署的服务接口。也
linux network namespace 模拟docker的网络隔离访问外网
liuyij3430448的博客
11-11 542
模拟docker 网络 访问外网
105-外网访问原理分析1
08-08
在OpenStack这样的云环境中,网络连接的实现是一个关键部分,特别是涉及到从内部虚拟机(instance)访问外部网络外网)的功能。这个过程涉及到多个组件和网络技术的交互,包括路由器(router)、网络地址转换(NAT...
Neutron 网络之负载均衡 - UnitedStack
07-20
网络之间通过路由器连接,其中服务器网络和负载均衡器网络的地址通过SNAT(源网络地址转换)映射到公共网络,以允许外部访问。同时,需要浮动IP(FloatingIP)允许从办公室网络到服务器网络的双向通信。 **负载均衡...
Kubernetes内外网通信,集群外节点访问 pod ip 路由隧道.C/S架构实现
02-23
原文链接:https://blog.csdn.net/weixin_48711696/article/details/135972824
云上网络架构设计及解决方案.pdf
08-25
例如,不同租户可以根据需求在不同地域和可用区创建VPC,自定义地址空间和访问控制列表(ACL),并支持虚拟服务器(VM)和容器(Docker)的部署。 【管理公网流量】场景中,阿里云提供了Elastic IP(EIP)、NAT网关...
让主机能和Linux的虚拟机内部SNAT网络互访
01-09
它的功能超级强大,但是有个问题,我要怎么样在我的主机上很方便的访问到这些装在docker上的服务应用,通常情况下,需要做端口转发,但是这种方式太扰人了,比如我在我docker容器上装了三个linux发行版,用来做linux集群的...
NATACL执行顺序测试
05-23
1、ACL的执行顺序在SNAT之后。 2、这样尽管还要进行NAT转换看起来是耗费了资源。但是这样却有利于ACL对内网 的控制。假设ACLNAT之前的话,哪么ACL就不能根据内网的IP以及端口等 信息对内网的出入数据流进行控制。 3、这样的执行顺序是比较合理的。
Netruon 理解(11):使用 NAT 将 Linux network namespace 连接外网
weixin_30325971的博客
08-11 180
学习 Neutron 系列文章: (1)Neutron 所实现的虚拟网络 (2)Neutron OpenvSwitch + VLAN 虚拟网络 (3)NeutronOpenvSwitch + GRE/VxLAN 虚拟网络 (4)Neutron OVS OpenFlow 流表 和 L2 Population (5)Neutron DHCP Agent (6)Neutron L3 Ag...
第七章 NAT综合小实验一【SNAT+DNAT+ACL
沐一清
09-04 1198
实验要求: A 内网主机PC1在VLAN10 网段,内网服务器server1在VLAN20 网段。 B 在内网环境中,内网主机PC1通过NAT地址转换只能访问外网服务器server2,不能访问外网76.12.12.0和76.12.20.0网段的任何设备。 C 外网主机PC2通过NAT地址转换访问http:// 76.12.12.80来访问内网服务器(server1)。 实验思路: 实验步骤: ...
SDN控制器之OVN实验五:配置OVN网络安全功能(ACL
筋斗云计算
07-19 2866
本文通过使用OVN访问控制列表(ACL)来实现基本的网络安全功能。 OVN访问控制列表和地址集介绍 OVN中的ACL规则存储于北向数据库的ACL表中,并且可以使用ovn-nbctl的acl命令进行配置。目前,ACL只能应用于逻辑交换机,但是未来将支持应用到逻辑路由器。 在出站和入站方向都支持使用ACL: 入站:从工作负载(t
2022年上半年软考-嵌入式系统设计师-回忆版
m0_37494104的博客
06-05 1290
2022年上半年软考-嵌入式系统设计师-回忆版
从 Network Namespace 了解 Pod 是如何访问外网
03-13 2556
Network namespace 是实现 linux 网络空间隔离网络虚拟化的基础,无论是docker还是其他虚拟化技术也都是通过 linux 的 network namespace ...
计算机网络 SNAT/DNAT 部署(三种VMware网卡模式)
lpfstudy的博客
03-28 2244
计算机网络SNAT 和 DNAT 的详细配置步骤
snat与dnat
Cloud034的博客
12-01 476
局域网主机共享单个公网IP地址接入Internet (私有IP不能在Internet中正常路由)在Internet中发布位于局域网内的服务器。
使用netns虚拟网络进行网络测试 *********************
tycoon的专栏
01-01 2592
网络虚拟化技术(一): Linux网络虚拟化 http://ju.outofmemory.cn/entry/73667 netns是在linux中提供网络虚拟化的一个项目,使用netns网络空间虚拟化可以在本地虚拟化出多个网络环境,目前netns在lxc容器中被用来为容器提供网络。 使用netns创建的网络空间独立于当前系统的网络空间,其中的网络设备以及iptables规则等都是
centos8外网访问内网怎么配置
最新发布
04-03
要实现CentOS 8的外网访问内网,你可以通过配置网络地址转换(NAT)来实现。下面是一种常见的配置方法: 1. 确保CentOS 8服务器已正确连接到内网,并且可以通过内网访问其他设备。 2. 在CentOS 8服务器上打开终端,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值