ovs+ns+vxlan通信+多租户隔离

最新推荐文章于 2024-06-13 22:06:28 发布
最新推荐文章于 2024-06-13 22:06:28 发布
阅读量1.9k 收藏 5
点赞数 1
分类专栏: # OpenvSwitch 文章标签: ovs openvswitch vxlan namespace
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ledrsnet/article/details/121310559
版权
该配置示例展示了如何使用OpenvSwitch(OVS)、网络命名空间(ns)、VXLAN和流表策略实现多租户间的流量隔离。在主机host1和host2上,分别创建了虚拟机并设置了VXLAN隧道,通过设置不同的VLAN标签实现不同租户间的流量隔离。此外,还详细说明了如何配置流表规则,确保同一租户内的通信,并阻止不同租户间的非法通信。最后,通过修改VLAN标签,实现了特定虚拟机间的通信。
摘要由CSDN通过智能技术生成

1. ovs+ns+vxlan通信+多租户隔离

明细流表(vlan tag场景)

同一租户下流量互通,不通租户下流量隔离。
在这里插入图片描述
host1

# 创建ns模拟vm,创建veth pair连接
ip netns add ns1
ip link add tap1 type veth peer name tap2
ip link set dev tap2 up
ip link set tap1 netns ns1
ip netns exec ns1 ip link set dev tap1 up 
ip netns exec ns1 ip addr add 10.1.1.1/24 dev tap1

# 创建qbr,连接tap2端
brctl addbr qbr
brctl addif qbr tap2

# 创建br-int,通过veth pair连接qbr网桥
ovs-vsctl add-br br-int
ip link add qvo type veth peer name qvb
ip link set dev qvb up
ip link set dev qvo up
ip link set qbr up
brctl addif qbr qvb
ovs-vsctl add-port br-int qvo


# 创建br-tun,通过patchport连接br-int
ip link add patch-int type veth peer name patch-tun
ovs-vsctl add-br br-tun
ovs-vsctl add-port br-tun patch-int
ovs-vsctl add-port br-int patch-tun
ovs-vsctl set interface patch-int type=patch
ovs-vsctl set interface patch-tun type=patch
ovs-vsctl set interface patch-int options:peer=patch-tun
ovs-vsctl set interface patch-tun options:peer=patch-int

ip link set br-int up
ip link set br-tun up
ip link set patch-tun up
ip link set patch-int up
# 配置vxlan
ip link add vxlan1 type vxlan id 100 dstport 4789 \
 remote 192.168.1.101 local 192.168.1.100 dev ens38
# ip a a 192.168.10.1/24 dev vxlan1
ip link set vxlan1 up
ovs-vsctl add-port br-tun vxlan1

host1 增加vm4
ip netns add ns2
ip link add tap10 type veth peer name tap20
ip link set dev tap20 up
ip link set tap10 netns ns2
ip netns exec ns2 ip link set dev tap10 up 
ip netns exec ns2 ip addr add 10.1.1.4/24 dev tap10

brctl addbr qbr20
brctl addif qbr20 tap20


ip link add qvo20 type veth peer name qvb20
ip link set dev qvb20 up
ip link set dev qvo20 up
ip link set qbr20 up
brctl addif qbr20 qvb20
ovs-vsctl add-port br-int qvo20

host2

# 创建ns模拟vm,创建veth pair连接
ip netns add ns1
ip link add tap1 type veth peer name tap2
ip link set dev tap2 up
ip link set tap1 netns ns1
ip netns exec ns1 ip link set dev tap1 up 
ip netns exec ns1 ip addr add 10.1.1.2/24 dev tap1

# 创建qbr,连接tap2端
brctl addbr qbr
brctl addif qbr tap2

# 创建br-int,通过veth pair连接qbr网桥
ovs-vsctl add-br br-int
ip link add qvo type veth peer name qvb
ip link set dev qvb up
ip link set dev qvo up
ip link set qbr up
brctl addif qbr qvb
ovs-vsctl add-port br-int qvo


# 创建br-tun,通过patchport连接br-int
ip link add patch-int type veth peer name patch-tun
ovs-vsctl add-br br-tun
ovs-vsctl add-port br-tun patch-int
ovs-vsctl add-port br-int patch-tun
ovs-vsctl set interface patch-int type=patch
ovs-vsctl set interface patch-tun type=patch
ovs-vsctl set interface patch-int options:peer=patch-tun
ovs-vsctl set interface patch-tun options:peer=patch-int

ip link set br-int up
ip link set br-tun up
ip link set patch-tun up
ip link set patch-int up
# 配置vxlan
ip link add vxlan1 type vxlan id 100 dstport 4789 \
 remote 192.168.1.100 local 192.168.1.101 dev ens38
# ip a a 192.168.10.1/24 dev vxlan1
ip link set vxlan1 up
ovs-vsctl add-port br-tun vxlan1

host2增加vm3

ip netns add ns2
ip link add tap10 type veth peer name tap20
ip link set dev tap20 up
ip link set tap10 netns ns2
ip netns exec ns2 ip link set dev tap10 up 
ip netns exec ns2 ip addr add 10.1.1.3/24 dev tap10

brctl addbr qbr20
brctl addif qbr20 tap20


ip link add qvo20 type veth peer name qvb20
ip link set dev qvb20 up
ip link set dev qvo20 up
ip link set qbr20 up
brctl addif qbr20 qvb20
ovs-vsctl add-port br-int qvo20

host1

ovs-vsctl set port qvo tag=10
ovs-vsctl set port qvo20 tag=20

host2

ovs-vsctl set port qvo tag=10
ovs-vsctl set port qvo20 tag=20

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
host1和host2 流表相同,前提是ovs-ofctl show br-tun显示的端口编号一致

ovs-ofctl del-flows br-tun # 清掉NORMAL规则

ovs-ofctl add-flow br-tun "in_port=2,priority=1,actions=resubmit(,12)"
ovs-ofctl add-flow br-tun "in_port=1,actions=resubmit(,4)"
ovs-ofctl add-flow br-tun "table=4,priority=1,dl_vlan=100,actions=mod_vlan_vid:10,resubmit(,10)"
ovs-ofctl add-flow br-tun "table=4,priority=1,dl_vlan=200,actions=mod_vlan_vid:20,resubmit(,10)"
ovs-ofctl add-flow br-tun "table=10,priority=1,actions=learn(table=20,hard_timeout=300,priority=1,NXM_OF_VLAN_TCI[0..11],NXM_OF_ETH_DST[]=NXM_OF_ETH_SRC[],load:0->NXM_OF_VLAN_TCI[],load:NXM_NX_TUN_ID[]->NXM_NX_TUN_ID[],output:NXM_OF_IN_PORT[]),output:2"
ovs-ofctl add-flow br-tun "table=12,priority=1,dl_vlan=10,actions=mod_vlan_vid:100,resubmit(,2)"
ovs-ofctl add-flow br-tun "table=12,priority=1,dl_vlan=20,actions=mod_vlan_vid:200,resubmit(,2)"
ovs-ofctl add-flow br-tun "table=2,priority=0,dl_dst=00:00:00:00:00:00/01:00:00:00:00:00 actions=resubmit(,20)"
ovs-ofctl add-flow br-tun "table=2,priority=0,dl_dst=01:00:00:00:00:00/01:00:00:00:00:00 actions=resubmit(,20)"
ovs-ofctl add-flow br-tun "table=20,priority=0,actions=resubmit(,22)"
ovs-ofctl add-flow br-tun "table=22,actions=set_tunnel:0x64,output:1"

测试
在这里插入图片描述
在host2将qvo20 tag改为10,即可通信
ovs-vsctl set port qvo20 tag=10
在这里插入图片描述

2. 扩展:

对br-int网桥增加流表仅让10.1.1.1的arp请求能够转发出去。
在这里插入图片描述

ovs-ofctl add-flow br-int "priority=10,arp,in_port=1,actions=resubmit(,4)"
ovs-ofctl add-flow br-int "table=4,priority=2,arp,in_port=1,arp_spa=10.1.1.1,actions=NORMAL"
ovs-ofctl add-flow br-int table=4,priority=0,actions=drop

在这里插入图片描述
将vm1的IP改为10.1.1.10,ping vm2,arp_spa不是10.1.1.1,被流表拒绝。
在这里插入图片描述
在这里插入图片描述

清枫cc
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
OVS那些事儿之VXLAN隧道协议
liushen0916的专栏
09-20 2万+
上篇文章介绍了Open vSwitch 的基本功能,这篇将介绍OVS 实现的隧道协议GRE 和 VXLAN
ovs+namespace实现跨网络通信(2)
xulu_1990的博客
01-29 3393
openvswitch vlan 转换
VXLAN技术揭秘:实现大规模网络隔离与虚拟机无缝迁移
最新发布
zgt_certificate的博客
06-13 1039
而基于Overlay的VXLAN技术,不感知当前的物理网络,能够在任意路由可达的网络上叠加二层虚拟网络,实现站点与站点之间的二层互联。通过VXLAN,企业A的虚拟机报文被封装成UDP报文,使得网络设备无需关注这些虚拟机的MAC地址,只需关注外层的IP和MAC地址,从而大幅减少MAC地址表的压力。VXLAN将管理员规划的同一区域内的VM发出的原始报文封装成新的UDP报文,并使用物理网络的IP和MAC地址作为外层头,这样报文对网络中的其他设备只表现为封装后的参数。VXLAN的解决方案。
OVS实现VXLAN隔离
dianshu9815的博客
03-23 1404
一、实验环境 1.准备3个CentOS7 mini版本的虚拟机,每个主机3个网卡。如图:   图中OVS-1、OVS-2、OVS-3分别为三台CentOS7 mini版虚拟机,分别配备3个虚拟网卡。如图中编号所示:   网卡1(eno16777736):作为管理网,桥接到办公网络。   网卡2(eno33554960):VXLAN VTEP互联的L3网络。IP段为10....
OVS vxlan 底层结构分析 - 每天5分钟玩转 OpenStack(148)
cpongo881
02-08 273
上一节创建了 vxlan100_net 并部署 instance,今天我们来分析底层网络结构。 控制节点 执行 ovs-vsctl show: br-int br-int 连接了如下 port: tap0d4cb13a-7a 是 vxla...
云计算:Linux 部署 OVS 集群(服务端)实现VXLAN
cronaldo91的博客
04-11 1389
原始数据(二层包)封装在UDP,原端口随机,目的端口为4789。观察抓取的流量(源端口一直在变化,目的端口都为4789)(5)ovs_server02创建云主机。(4)ovs_server01创建云主机。云主机1 ping 云主机2 ,目前不通。云主机1 ping 云主机2 ,目前已通。(13) 流量抓包(Wireshark)(14)流量分析(Wireshark)(12)流量抓包(tcpdump)云主机1 ping 云主机2。云主机1 ping 云主机2。(7)查看云主机网卡并修改。
OVS 手动配置VXLAN隧道
老网工的岁月独白
09-07 1321
ns1—host71—物理网络—host72—ns1配置host71: //新建ovs 交换机br-tun ovs-vsctl add-br br-tun ovs-vsctl add-port br-tun vxlan0 – set interface vxlan0 type=vxlan options:remote_ip=192.168.181.72 options:key=100 //新建一对veth ip link add veth1-0 type peer name veth1-1 //新建一个n
openstack-M+ovs+kvm+docker
03-22
### OpenStack-M 版本与 OVS、KVM 和 Docker 的集成 #### 一、概述 OpenStack 是一个开源的云操作系统平台,旨在提供可扩展性强且功能丰富的基础设施即服务 (IaaS) 解决方案。它由多个项目组成,每个项目负责管理...
149-OVS VxLAN Flow 分析1
08-08
"149-OVS VxLAN Flow 分析1" 本文将对 OVS 中的 VxLAN Flow 规则进行详细分析,从 br-int 和 br-tun 两个方面进行讲解。 在 OVS 中,数据流向都是由 Flow 规则控制的。今天我们来分析 VxLAN 的 Flow 规则。Flow ...
146-ML2 配置 OVS VxLAN1
08-08
总之,配置OVS以支持VXLAN涉及多个步骤,包括ML2插件配置、VNI范围设定、启用l2population、VTEP配置以及网络结构的检查。正确完成这些步骤后,OpenStack环境就能提供基于VXLAN的overlay网络服务,实现虚拟机的跨...
148-OVS vxlan 底层结构分析1
08-08
在这个分析中,我们将深入理解OVSOpen vSwitch)如何实现VXLAN隧道,并探讨其底层结构。 首先,OVS是一个开源的虚拟交换机,它可以在多种操作系统上运行,支持多种网络协议,包括VXLAN。在描述中提到的"br-tun"是...
openstack+quantum之ovs配置手册
06-04
ovs-vsctl 支持在同一运行中执行多个命令,这些命令作为针对数据库的单一原子性事务实现。 **OPTIONS** - `--no-wait`:不等待 ovs-vswitchd 完成配置更新即退出。 - `--timeout`:设置超时时间(秒),用于等待 ...
玩转OpenStack网络Neutron(2)--使用Open vSwitch实现VLAN类型租户网络
峰云四起
03-31 2119
VLAN 介绍计算节点 Open vSwitch 配置网络节点 Open vSwitch 配置配置Neutron使用 Open vSwitch Mechanism Driver配置Neutron 使用 VLAN type driver配置 VLAN 编号范围查看 分配给网络的 VLAN 编号创建特定编号的 VLAN
ovs+namesapce模拟虚机网络使用vxlan通信
ledrsnet的博客
11-13 728
1. ovs+namesapce模拟虚机网络使用vxlan通信 1.1 配置 host1 # 创建ns模拟vm,创建veth pair连接 ip netns add ns1 ip link add tap1 type veth peer name tap2 ip link set dev tap2 up ip link set tap1 netns ns1 ip netns exec ns1 ip link set dev tap1 up ip netns exec ns1 ip addr add 10
ovs+namespace实现跨网络通信(1)
xulu_1990的博客
01-24 1074
ovs网桥vlan二层隔离namespace三层路由隔离,解决IP资源冲突问题(1)
VXLAN配置实例(四)——VXLAN多租户网络隔离
永远是少年
08-07 4217
今天给大家介绍VXLAN的相关内容。本文以华为eNSP模拟器为工具,设计并实现了一个典型的VXLAN的应用场景,并完成了相应的配置。主要是VXLAN应用场景下,集中式双活网关的配置方式。 阅读本文,您需要对VXLAN等基础理论知识有基本的了解。 推荐阅读文章: VXLAN详解(一) VXLAN详解(二) VXLAN配置实例(一)——VXLAN基本配置 VXLAN配置实例(二)——VXLAN跨子网互通 VXLAN配置实例(三)——VXLAN集中式双活网关 一、实验拓扑及目的 实验拓扑如上所示,现在网络中同时
[原] 利用 OVS 建立 VxLAN 虚拟网络实验
weixin_33834679的博客
09-25 946
OVS 配置 VxLAN HOST A ------------------------------------------ | zh-veth0(10.1.1.1) VM A | | ---|---- | | | ...
用ovs-docker让容器网络支持Vlan隔离
Hcloud
12-15 5513
docker原生使用linux bridge来创建网桥,这样无法使用vlan对容器间的网络进行网络隔离openvswitch社区提供了一个工具ovs-docker来给docker快速搭建ovs网络。 先看一下例子: (1)从ovs社区下载ovs-docker工具 wget https://raw.githubusercontent.com/openvswitch/ovs/master/u
OVS vxlan(二十八)
bob的博客
06-03 1581
vxlan 端口是ovs 的OVS_VPORT_TYPE_VXLAN 类型的隧道端口,用户态netdev 库通过 ==netdev_vport_tunnel_register()==注册vport_class 结构,它包含如vxlan、gre 等各种类 型隧道的相关处理函数。 一、添加vxlan 端口 添加命令为ovs-vsctl add-port br0 vxlan – set interface vxlan type=vxlan, 用户态处理流程和上节的添加端口相同,不同时的是对vxlan 端口的参数配
OVS与OVS+DPDK有什么区别
04-19
OVS和OVS DPDK都是用于虚拟化网络的技术,但是它们有一些区别。OVSOpen vSwitch的缩写,是一个开源的虚拟交换机,支持多种虚拟化技术。而OVS DPDK是使用DPDK技术优化过的OVS版本,可以提供更高的性能和吞吐量。DPDK是数据平面开发套件的缩写,它是一个开源库,可以帮助应用程序直接访问网卡和硬件,从而提高数据包处理的速度。因此,OVS DPDK相对于普通的OVS可以获得更高的性能,但是它需要更多的硬件资源来支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

清枫cc

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值