1、Openstack 流表介绍
# Table to decide whether further filtering is needed
# 临时的,暂时的处理,决定是否需要更深处理
TRANSIENT_TABLE = 60
TRANSIENT_EGRESS_TABLE = 61
# Tables used for ovs firewall
# 出方向的基础表
BASE_EGRESS_TABLE = 71
# 出方向的规则表
RULES_EGRESS_TABLE = 72
# 接收或入方向的表
ACCEPT_OR_INGRESS_TABLE = 73
# 入方向的基础表
BASE_INGRESS_TABLE = 81
# 入方向的规则表
RULES_INGRESS_TABLE = 82
# Tables for parties interacting with ovs firewall
# 和ovs防火墙交互的各个方向处理表
ACCEPTED_EGRESS_TRAFFIC_TABLE = 91
ACCEPTED_INGRESS_TRAFFIC_TABLE = 92
DROPPED_TRAFFIC_TABLE = 93
ACCEPTED_EGRESS_TRAFFIC_NORMAL_TABLE = 94
2、关闭端口安全功能
br-int外部流量通过patch port进入,进行虚机端口的强制校验,目的是虚机端口则normal转发,否则drop
br-int虚机端口流量,直接normal转发
3、开启端口安全,安全组规则是空
br-int外部流量通过patch port进入,进行虚机端口的强制校验,目的是虚机端口且匹配vlan和mac后strip vlan,通过output转发
br-int虚机端口流量,确定是虚机端口,放过一些协议,进行匹配vlan和mac进行output转发,或normal转发,ip-mac防欺骗校验,已建立相关连接进行normal转发,新建等其他drop
71,72,73,81,82表,都有一条最低优先级流表action drop
4、开启端口安全,默认安全组
br-int外部流量通过patch port进入,进行虚机端口的强制校验,目的是虚机端口且匹配vlan和mac后strip vlan,放过协议通过output转发;正常检查远程安全组或根据配置规则进行放过后output转发。
br-int虚机端口流量,确定是虚机端口,放过一些协议,进行匹配vlan和mac进行output转发,ip-mac防欺骗校验,已建立相关连接进行匹配规则后output转发
71,72,73,81,82表,都有一条最低优先级流表action drop
5、开启端口安全,默认安全组,配置INGRESS EGRESS tcp 22
与default安全组相比,72表和82表分别增加了虚机网卡,tcp端口22的出流量放行,入流量放行
71,72,73,81,82表,都有一条最低优先级流表action drop