OpenVSwitch下发安全组流表

最新推荐文章于 2024-06-13 14:09:18 发布
最新推荐文章于 2024-06-13 14:09:18 发布
阅读量1.6k 收藏 3
点赞数 3
分类专栏: 云计算
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ambzheng/article/details/110408237
版权
安全组

1、安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、数据库等实例的网络访问控制,是重要的网络安全隔离手段。
您可以通过配置安全组规则

2、安全组是一个逻辑上的分组,可以将同一地域内具有相同网络安全隔离需求的基础网络云服务器或弹性网卡实例加到同一个安全组内,允许或禁止安全组内的实例对公网或私网的访问

3、安全组策略可以对实例的出入流量进行安全过滤,实例可以是基础网络云服务器或弹性网卡实例 ,修改安全组的规则后新规则立即生效。

安全组和网络ACL的区别
安全组网络 ACL
在实例级别的操作(第一防御层)在实例级别的操作(第一防御层)
支持允许规则和拒绝规则支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响无状态:返回数据流必须被规则明确允许
只有在指定安全组与实例关联的情况下,操作才会被应用到实例自动应用到关联子网内的所有云服务器实例
流表下发过程(网桥br)

1、放过dhcp

// 匹配从dhcp client 68到dhcp server67的组播流量
ovs-ofctl add-flow br table=0,priority=100,udp,nw_dst=255.255.255.255,tp_src=68,tp_dst=67,actions=normal

// 匹配从dhcp server10.254.0.1到dhcp client67的流量
ovs-ofctl add-flow br table=0,priority=100,udp,nw_src=10.254.0.1,tp_src=67,tp_dst=68

2、放过normal

// 匹配table0和table255
ovs-ofctl add-flow br table=0,priority=1,actions=resubmit(,251)
ovs-ofctl add-flow br table=251,priority=1,actions=normal

3、放过arp

ovs-ofctl add-flow br table=0,priority=99,arp actions=resubmit(,251)

4、放过namespace

//在每个子网里创建的第一台VM时会在br上同时分配一个ns接口,这个ns的ip是该vm网段的.1的IP,mac是xx:xx:xx:xx:xx:xx(固定),作为dhcp server
ovs-ofctl add-flow br table=0,priority=99,dl_src=xx:xx:xx:xx:xx:xx, actions=resubmit(,251)
ovs-ofctl add-flow br table=0,priority=99,dl_dst=xx:xx:xx:xx:xx:xx, actions=resubmit(,251)

5、根据mac分表:ingress+egress

// 入流量
ovs-ofctl add-flow br table=0, priority=98,ip,dl_dst=00:50:56:e4:50:aa, actions=ct(table=100,zone=1)

// 出流量
ovs-ofctl add-flow br table=0, priority=98,ip,dl_src=00:50:56:e4:50:aa actions=ct(table=200,zone=1)

6、匹配虚拟机

// 添加入方向流表: 根据table=0中目的mac跳转到指定table100
ovs-ofctl add-flow br table=0, priority=98,ip,dl_dst=00:50:56:ea:50:ff,actions=ct(table=100,zone=1)

// 添加出方向流表: 根据table=0中目的mac跳转到指定table200
ovs-ofctl add-flow br table=0, priority=98,ip,dl_src=00:50:56:ea:50:ff actions=ct(table=200,zone=1)

// 删除入方向流表: 
ovs-ofctl del-flow br table=0, priority=98,ip,dl_dst=00:50:56:ea:50:ff,actions=ct(table=100,zone=1)

// 删除出方向流表: 
ovs-ofctl del-flow br table=0, priority=98,ip,dl_src=00:50:56:e4:50:fb actions=ct(table=177,zone=1

// 删除table表
ovs-ofctl del-flow br table=97
ovs-ofctl del-flow br table=177

7、匹配规则

// 添加从源地址1.1.1.0/24,目的端口88的流表
ovs-ofctl add-flow br table=100,priority=10000,ct_state=+new-est-rel-inv+trk,tcp,nw_src=1.1.1.0/24,tp_dst=88 actions=ct(commit,table=251,zone=NXM_NX_CT_ZONE[])

// 删除从源地址1.1.1.0/24,目的端口88的流表
ovs-ofctl del-flow br table=100,priority=10000,ct_state=+new-est-rel-inv+trk,tcp,nw_src=1.1.1.0/24,tp_dst=88
我的猫叫土豆
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OVS流表分析
weixin_60043341的博客
08-10 3263
在具体介绍OVS的工作机制之前,读者要先理解OVS并不是Neutron网络实现的唯一选择。实际上,Neutron中底层网络的实现千差万别:有的agent本地是真正处理数据流的网络设备(OVS,Router,LoadBalancer等),而有的agent本地是SDN控制器(如ODL、ONOS、OpenContrail、NSX等)。上述Neutron底层网络的两种模型示意如下。第一种模型中Neutron相当于SDN控制器,plugin与agent间的通信机制(如rpc)就相当于简单的南向协议。第二种模型中Neu
ovs-ofctl下发流表测试实验
qq_37622344的博客
10-09 960
mininet拓扑 这里用的自动创建的最简单的拓扑(h1-s1-h2) sudo mn 既转发又丢弃可以吗?会产生冲突吗? sudo ovs-ofctl add-flow s1 in_port=2,actions=output:1,drop 结果: 好吧,不行。drop不允许和其他action一起下发。 可以同时转发到多个端口吗? sudo ovs-ofctl add-flow s1 in_port=2,actions=output:1,2 结果: 是可以的。 ...
Postman下发流表至Opendaylight
最新发布
m0_74367891的博客
06-13 1479
URL地址栏输入如下形式的地址:http://{controllerip}:8080/restconf/config/opendaylight-inventory:nodes/node/{node-id}/table/{table-id}/flow/{flow-id}URL地址栏输入:http://192.168.112.132:8080/restconf/config/opendaylight-inventory:nodes/node/openflow:1/table/0/flow/111。
Open vSwitch---流表控制主机数据转发实验(五)---group表实践
北风
02-02 3661
一、group表介绍 OpenFlow v1.1中增加了组表(Group Table)的概念,并一直被后续的版本所沿用。 OpenFlow支持四种组表类型: Indirect:执行该group中一个已定义的bucket,该组仅支持一个bucket。 允许多个流表项或组表项指向一个公共的组(例如IP转发的下一跳)。 这是最简单的group类型,交换机通常比较支持这种类型的group。 All:执行该group中所有的bucket。这种类型的group用来进行multicast和broadcast。为.
OpenStack OVS防火墙驱动程序
redwingz的博客
07-09 1453
OVS驱动程序与当前的iptables防火墙驱动程序具有相同的API接口,将安全组和端口的状态保留在防火墙内。创建类“SGPortMap”以保持防火墙状态的一致,并负责从端口映射到安全组,或者相反。每个端口和安全组都通过其封装必要信息的自身对象所表示。 注: Open vSwitch防火墙驱动程序使用register 5标识与流关联的端口,使用register 6标识特别应用于conntrack ...
neutron openvswitch agent实现安全组的方法
weixin_30376509的博客
01-13 281
关于openstack安全组,采用一问一答的形式记录如下 1. 是加载在计算节点的还是网络节点的? 是加载在计算节点的 2. 是使用iptable规则实现的吗? M版的neutron实现了openvswitch 基于流表的防火墙 之前常见的是用iptables实现的,一般会创建neutron-openvswi-...
mininet中下发流表
BreezeChasingDrizzle
01-28 1982
mininet中下发流表 使用postman下发流表参考了这篇文章SDN-Postman及python编程对流表的操作 在mininet/custom文件夹中创建自己的拓扑,touch po.py,内容如下: from mininet.topo import Topo from mininet.net import Mininet from mininet.node import RemoteController from mininet.link import TCLink from minine
openvswitch:OpenWrt的Open vSwitch软件包
05-10
更新openvswitch ./scripts/feeds install -a -p openvswitch 制作menuconfig 选择网络-> openvswitch-switchopenvswitch-brcompat和openvswitch-controller 回显'#CONFIG_KERNEL_BRIDGE未设置'>> .conf
openvswitch离线安装所需依赖包
11-02
包含autoconf、automake、libtool和m4,以及必须的python six库 autoconf安装方法见 https://blog.csdn.net/Tiffany_959/article/details/125693188 six只需解压后执行setup.py即可
openvswitch
09-13
OpenvSwitch(简称OVS)是一款开源的虚拟交换机,被广泛应用于云计算和数据中心网络环境中。它支持多种网络协议和接口类型,可以实现虚拟机之间的通信以及与物理网络的连接。在Docker容器技术中,OVS也常作为网络...
Open vSwitch in Neutron
12-11
4. **安全组**:Neutron通过OVS的流表规则实现安全组,控制流入和流出虚拟机的流量。 5. **负载均衡**:结合其他组件如Neutron的Loadbalancer服务,OVS可以实现虚拟负载均衡器功能。 6. **overlay网络**:如 VXLAN ...
openvswitch_exporter:命令openvswitch_exporter为Open vSwitch实现一个Prometheus导出器
05-09
openvswitch_exporter 命令openvswitch_exporter为Open vSwitch实现一个Prometheus导出器。 Apache 2.0许可。用法openvswitch_exporter可用标志包括: $ ./openvswitch_exporter -hUsage of ./openvswitch_exporter:...
Open vSwitch---流表控制主机数据转发实验(二)
北风
01-21 2195
上一节的试验中讲到了ovs的控制管理类和流表类的简单试验(详见:https://blog.csdn.net/weixin_40042248/article/details/112854471)。 这一节,继续根据上节内容对ovs的匹配项和指令动作进行讲解,并讲解控制器ryu的安装和连接。 一、ryu控制器的安装 (1)安装python套件 apt install python3-eventlet apt install python3-routes apt install python3-webo
OpenvSwitch命令整理记录
Flytiger
07-19 3868
OpenvSwitch简介 OVS是一个高质量的、多层虚拟交换机,使用开源Apache2.0许可协议,主要实现代码为可移植的C代码。OpenvSwitch是一个虚拟交换软件,主要用于虚拟机VM环境,作为一个虚拟交换机,支持Xen/XenServer,KVM以及virtualBox多种虚拟化技术。在这种虚拟化的环境中,一个虚拟交换机主要有两个作用:传递虚拟机之间的流量,以及实现虚拟机和外界网络的通信。 OpenvSwitch组件 OVS包含三个重要的组件:ovsdb-server、ovs-vswitchd
OVS流表下发
lincy521的专栏
08-19 2172
    ovs-ofctl: none of the usable flow formats (OXM,OpenFlow11) is among the allowed flow formats (OpenFlow10,NXM)       报上面的错误一般就是OpenFlow版本格式化的问题,所以下发流表的时候要加上OpenFlow版本(-O OpenFlow13)     例如(流表...
Open vSwitch流表应用实战 (非常好的一片文章)
ming1093的博客
06-12 6337
1 实验目的掌握Open vSwitch下发流表操作;掌握添加、删除流表命令以及设备通信的原理。2 实验原理在SDN环境下,当交换机收到一个数据包并且交换机中没有与该数据包匹配的流表项时,交换机将此数据包发送给控制器,由控制器决策数据包如何处理。控制器下发决策后,交换机根据控制器下发的信息来进行数据包的处理,即转发或者丢弃该数据包。我们可以通过对流表操作来控制交换机的转发行为。3 实验任务本实验基...
OpenStack OVS实现安全组(五)
bob的博客
06-30 3082
防火墙 防火墙是避免网络信息基础设施免受复杂网络环境中安全攻击的必要设施。高效的防火墙则更需要实时跟踪来往于不同网络设备间的各类网络连接,即“有状态防火墙”。对于实际的硬件物理网络基础设施需要防火墙,对于虚拟网络设备,openstack在这样的云平台亦需要同样的防火墙进行网络保护。 在Openstack中,防火墙由“Security Group”和“FWaas”两大服务组成。其中Security Group在port级别提供对VM网络通信的访问控制。而Fwaas则运行在vrouter上在subnet的边界控
2月技术周 | OVS实现安全组,你需要知道这些!
OpenInfra的博客
03-12 1872
防火墙 防火墙是避免网络信息基础设施免受复杂网络环境中安全攻击的必要设施。高效的防火墙则更需要实时跟踪来往于不同网络设备间的各类网络连接,即“有状态防火墙”。对于实际的硬件物理网络基础设施需要防火墙,对于虚拟网络设备,openstack在这样的云平台亦需要同样的防火墙进行网络保护。 在Openstack中,防火墙由“Security Group”和“FWaas”两大服务组成。其中Securit...
openstack安全组ovs实现原理
weixin_35664258的博客
03-26 2923
ddd
OpenvSwitch安装与配置详解
6. 数据路径与流表:OpenvSwitch的内核模块包含多个数据路径,每个都有多个vports,每个数据路径都有自己的流表。流表是基于规则的,用于定义如何处理特定的数据包,实现流量的精细化控制。 安装OpenvSwitch通常...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值