OpenVSwitch下发安全组流表

安全组

1、安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、数据库等实例的网络访问控制,是重要的网络安全隔离手段。
您可以通过配置安全组规则

2、安全组是一个逻辑上的分组,可以将同一地域内具有相同网络安全隔离需求的基础网络云服务器或弹性网卡实例加到同一个安全组内,允许或禁止安全组内的实例对公网或私网的访问

3、安全组策略可以对实例的出入流量进行安全过滤,实例可以是基础网络云服务器或弹性网卡实例 ,修改安全组的规则后新规则立即生效。

安全组和网络ACL的区别
安全组网络 ACL
在实例级别的操作(第一防御层)在实例级别的操作(第一防御层)
支持允许规则和拒绝规则支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响无状态:返回数据流必须被规则明确允许
只有在指定安全组与实例关联的情况下,操作才会被应用到实例自动应用到关联子网内的所有云服务器实例
流表下发过程(网桥br)

1、放过dhcp

// 匹配从dhcp client 68到dhcp server67的组播流量
ovs-ofctl add-flow br table=0,priority=100,udp,nw_dst=255.255.255.255,tp_src=68,tp_dst=67,actions=normal

// 匹配从dhcp server10.254.0.1到dhcp client67的流量
ovs-ofctl add-flow br table=0,priority=100,udp,nw_src=10.254.0.1,tp_src=67,tp_dst=68

2、放过normal

// 匹配table0和table255
ovs-ofctl add-flow br table=0,priority=1,actions=resubmit(,251)
ovs-ofctl add-flow br table=251,priority=1,actions=normal

3、放过arp

ovs-ofctl add-flow br table=0,priority=99,arp actions=resubmit(,251)

4、放过namespace

//在每个子网里创建的第一台VM时会在br上同时分配一个ns接口,这个ns的ip是该vm网段的.1的IP,mac是xx:xx:xx:xx:xx:xx(固定),作为dhcp server
ovs-ofctl add-flow br table=0,priority=99,dl_src=xx:xx:xx:xx:xx:xx, actions=resubmit(,251)
ovs-ofctl add-flow br table=0,priority=99,dl_dst=xx:xx:xx:xx:xx:xx, actions=resubmit(,251)

5、根据mac分表:ingress+egress

// 入流量
ovs-ofctl add-flow br table=0, priority=98,ip,dl_dst=00:50:56:e4:50:aa, actions=ct(table=100,zone=1)

// 出流量
ovs-ofctl add-flow br table=0, priority=98,ip,dl_src=00:50:56:e4:50:aa actions=ct(table=200,zone=1)

6、匹配虚拟机

// 添加入方向流表: 根据table=0中目的mac跳转到指定table100
ovs-ofctl add-flow br table=0, priority=98,ip,dl_dst=00:50:56:ea:50:ff,actions=ct(table=100,zone=1)

// 添加出方向流表: 根据table=0中目的mac跳转到指定table200
ovs-ofctl add-flow br table=0, priority=98,ip,dl_src=00:50:56:ea:50:ff actions=ct(table=200,zone=1)

// 删除入方向流表: 
ovs-ofctl del-flow br table=0, priority=98,ip,dl_dst=00:50:56:ea:50:ff,actions=ct(table=100,zone=1)

// 删除出方向流表: 
ovs-ofctl del-flow br table=0, priority=98,ip,dl_src=00:50:56:e4:50:fb actions=ct(table=177,zone=1

// 删除table表
ovs-ofctl del-flow br table=97
ovs-ofctl del-flow br table=177

7、匹配规则

// 添加从源地址1.1.1.0/24,目的端口88的流表
ovs-ofctl add-flow br table=100,priority=10000,ct_state=+new-est-rel-inv+trk,tcp,nw_src=1.1.1.0/24,tp_dst=88 actions=ct(commit,table=251,zone=NXM_NX_CT_ZONE[])

// 删除从源地址1.1.1.0/24,目的端口88的流表
ovs-ofctl del-flow br table=100,priority=10000,ct_state=+new-est-rel-inv+trk,tcp,nw_src=1.1.1.0/24,tp_dst=88
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值