OpenVSwitch下发安全组流表

最新推荐文章于 2024-03-01 10:25:20 发布
原创 最新推荐文章于 2024-03-01 10:25:20 发布 · 1.9k 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

安全组和网络ACL是云环境中实现网络安全的重要手段。安全组是一种有状态的虚拟防火墙,允许或禁止实例的网络访问,而网络ACL则无状态,对流量进行更细粒度的控制。两者都在实例级别操作,但安全组只在与实例关联时生效,网络ACL自动应用于关联子网。此外,通过OVS-OFCTL命令可以配置流表规则,实现流量的精细管理。
安全组

1、安全组是一种虚拟防火墙,具备有状态的数据包过滤功能,用于设置云服务器、负载均衡、数据库等实例的网络访问控制,是重要的网络安全隔离手段。
您可以通过配置安全组规则

2、安全组是一个逻辑上的分组,可以将同一地域内具有相同网络安全隔离需求的基础网络云服务器或弹性网卡实例加到同一个安全组内,允许或禁止安全组内的实例对公网或私网的访问

3、安全组策略可以对实例的出入流量进行安全过滤,实例可以是基础网络云服务器或弹性网卡实例 ,修改安全组的规则后新规则立即生效。

安全组和网络ACL的区别
安全组网络 ACL
在实例级别的操作(第一防御层)在实例级别的操作(第一防御层)
支持允许规则和拒绝规则支持允许规则和拒绝规则
有状态:返回数据流会被自动允许,不受任何规则的影响无状态:返回数据流必须被规则明确允许
只有在指定安全组与实例关联的情况下,操作才会被应用到实例自动应用到关联子网内的所有云服务器实例
流表下发过程(网桥br)

1、放过dhcp

// 匹配从dhcp client 68到dhcp server67的组播流量
ovs-ofctl add-flow br table=0,priority=100,udp,nw_dst=255.255.255.255,tp_src=68,tp_dst=67,actions=normal

// 匹配从dhcp server10.254.0.1到dhcp client67的流量
ovs-ofctl add-flow br table=0,priority=100,udp,nw_src=10.254.0.1,tp_src=67,tp_dst=68

2、放过normal

// 匹配table0和table255
ovs-ofctl add-flow br table=0,priority=1,actions=resubmit(,251)
ovs-ofctl add-flow br table=251,priority=1,actions=normal

3、放过arp

ovs-ofctl add-flow br table=0,priority=99,arp actions=resubmit(,251)

4、放过namespace

//在每个子网里创建的第一台VM时会在br上同时分配一个ns接口,这个ns的ip是该vm网段的.1的IP,mac是xx:xx:xx:xx:xx:xx(固定),作为dhcp server
ovs-ofctl add-flow br table=0,priority=99,dl_src=xx:xx:xx:xx:xx:xx, actions=resubmit(,251)
ovs-ofctl add-flow br table=0,priority=99,dl_dst=xx:xx:xx:xx:xx:xx, actions=resubmit(,251)

5、根据mac分表:ingress+egress

// 入流量
ovs-ofctl add-flow br table=0, priority=98,ip,dl_dst=00:50:56:e4:50:aa, actions=ct(table=100,zone=1)

// 出流量
ovs-ofctl add-flow br table=0, priority=98,ip,dl_src=00:50:56:e4:50:aa actions=ct(table=200,zone=1)

6、匹配虚拟机

// 添加入方向流表: 根据table=0中目的mac跳转到指定table100
ovs-ofctl add-flow br table=0, priority=98,ip,dl_dst=00:50:56:ea:50:ff,actions=ct(table=100,zone=1)

// 添加出方向流表: 根据table=0中目的mac跳转到指定table200
ovs-ofctl add-flow br table=0, priority=98,ip,dl_src=00:50:56:ea:50:ff actions=ct(table=200,zone=1)

// 删除入方向流表: 
ovs-ofctl del-flow br table=0, priority=98,ip,dl_dst=00:50:56:ea:50:ff,actions=ct(table=100,zone=1)

// 删除出方向流表: 
ovs-ofctl del-flow br table=0, priority=98,ip,dl_src=00:50:56:e4:50:fb actions=ct(table=177,zone=1

// 删除table表
ovs-ofctl del-flow br table=97
ovs-ofctl del-flow br table=177

7、匹配规则

// 添加从源地址1.1.1.0/24,目的端口88的流表
ovs-ofctl add-flow br table=100,priority=10000,ct_state=+new-est-rel-inv+trk,tcp,nw_src=1.1.1.0/24,tp_dst=88 actions=ct(commit,table=251,zone=NXM_NX_CT_ZONE[])

// 删除从源地址1.1.1.0/24,目的端口88的流表
ovs-ofctl del-flow br table=100,priority=10000,ct_state=+new-est-rel-inv+trk,tcp,nw_src=1.1.1.0/24,tp_dst=88
SDN — OpenvSwitch 软件架构与运行原理
烟云的计算
05-04 1580
ovs-vswitchd 是一个运行在 User space 中的 Daemon(守护进程),是 vSwitch 的具体实现,作为 User Datapath,与 Kernel Datapath 共同完成 Flow-based Switching(基于)的数据转发。SDN Controller 可以通过 OpenFlow 协议对 OvS 进行管理,实际上是对 OvS 的 Bridge 和 Flow Table 进行管理,通过 Flow Rules 的控制策略的下发,来决策数据的向。
Openvswitch虚拟网络环境的规划与部署
qq_45755030的博客
09-13 2540
要求 宿主机平台:CentOS Linux 7 计算环境的处理器平台及结构:x86、SMP结构、CPU数量>=2 虚拟网络:在2个宿主机之间建立二层网络,使用VxLAN技术 虚拟网络要求与物理网络互通 虚拟计算环境:分别在2个宿主机上创建计算资源,并互通 虚拟存储:不做要求 虚拟机的远程管理:通过VNC协议实现 网络安全:通过SDN技术,实现2个计算资源的单向访问 通过sflow技术对虚拟机之间的量进行采集与分析 分析 需要两个宿主机需要搭建两台openswitch交换机 两台openswit
ovs 机制(一)
lingshengxiyou的博客
04-10 806
启动tap0和tap3、lo及它们的对端。# 设置tap0和tap3的ip地址。再添加一条更高优先级的flow,把从。tap0_br收到的数据包drop。
Open vSwitch---控制主机数据转发实验(五)---group实践
北风
02-02 4448
一、group介绍 OpenFlow v1.1中增加了组(Group Table)的概念,并一直被后续的版本所沿用。 OpenFlow支持四种组类型: Indirect:执行该group中一个已定义的bucket,该组仅支持一个bucket。 允许多个项或组项指向一个公共的组(例如IP转发的下一跳)。 这是最简单的group类型,交换机通常比较支持这种类型的group。 All:执行该group中所有的bucket。这种类型的group用来进行multicast和broadcast。为.
mininet中下发
BreezeChasingDrizzle
01-28 2326
mininet中下发 使用postman下发参考了这篇文章SDN-Postman及python编程对的操作 在mininet/custom文件夹中创建自己的拓扑,touch po.py,内容如下: from mininet.topo import Topo from mininet.net import Mininet from mininet.node import RemoteController from mininet.link import TCLink from minine
Open vSwitch---控制主机数据转发实验(二)
北风
01-21 2691
上一节的试验中讲到了ovs的控制管理类和类的简单试验(详见:https://blog.youkuaiyun.com/weixin_40042248/article/details/112854471)。 这一节,继续根据上节内容对ovs的匹配项和指令动作进行讲解,并讲解控制器ryu的安装和连接。 一、ryu控制器的安装 (1)安装python套件 apt install python3-eventlet apt install python3-routes apt install python3-webo
OpenStack OVS实现安全组(五)
bob的博客
06-30 3671
防火墙 防火墙是避免网络信息基础设施免受复杂网络环境中安全攻击的必要设施。高效的防火墙则更需要实时跟踪来往于不同网络设备间的各类网络连接,即“有状态防火墙”。对于实际的硬件物理网络基础设施需要防火墙,对于虚拟网络设备,openstack在这样的云平台亦需要同样的防火墙进行网络保护。 在Openstack中,防火墙由“Security Group”和“FWaas”两大服务组成。其中Security Group在port级别提供对VM网络通信的访问控制。而Fwaas则运行在vrouter上在subnet的边界控
OpenStack OVS防火墙驱动程序
redwingz的博客
07-09 1734
OVS驱动程序与当前的iptables防火墙驱动程序具有相同的API接口,将安全组和端口的状态保留在防火墙内。创建类“SGPortMap”以保持防火墙状态的一致,并负责从端口映射到安全组,或者相反。每个端口和安全组都通过其封装必要信息的自身对象所示。 注: Open vSwitch防火墙驱动程序使用register 5标识与关联的端口,使用register 6标识特别应用于conntrack ...
Open vSwitch实战指南:Neutron中OVS agent与生成的8大逻辑揭秘
传统理解常将OVS视为“增强版Linux bridge”,但事实上,它是一个具备完整控制平面接口、支持多级水线处理、可编程调度的**软件定义交换机引擎**。当与Neutron结合时,这套系统实现了从“静态配置”到“事件
debian+OpenvSwitch 构建sdn
最新发布
07-17
实际应用中可以根据需求扩展更多功能,如动态下发、QoS 策略实施等[^1]。 #### 管理 SDN 网络 SDN 网络的管理涉及多个方面,包括私有子网配置、虚拟 IP 分配、访问控制、安全组策略、带宽管理、网络拓扑维护、...
Open vSwitch功能特性与网络虚拟化支持详解
通过OpenFlow,控制器可以直接下发项到OVS,实现集中式的量转发决策,打破传统网络设备封闭控制面的局限。这一特性使其成为构建SDN架构的理想选择,尤其适合大规模云平台中动态网络配置的需求。 在网络扩展性...
neutron openvswitch agent实现安全组的方法
weixin_30376509的博客
01-13 341
关于openstack安全组,采用一问一答的形式记录如下 1. 是加载在计算节点的还是网络节点的? 是加载在计算节点的 2. 是使用iptable规则实现的吗? M版的neutron实现了openvswitch 基于的防火墙 之前常见的是用iptables实现的,一般会创建neutron-openvswi-...
ovs-ofctl下发测试实验
qq_37622344的博客
10-09 1121
mininet拓扑 这里用的自动创建的最简单的拓扑(h1-s1-h2) sudo mn 既转发又丢弃可以吗?会产生冲突吗? sudo ovs-ofctl add-flow s1 in_port=2,actions=output:1,drop 结果: 好吧,不行。drop不允许和其他action一起下发。 可以同时转发到多个端口吗? sudo ovs-ofctl add-flow s1 in_port=2,actions=output:1,2 结果: 是可以的。 ...
OpenvSwitch命令整理记录
Flytiger
07-19 4348
OpenvSwitch简介 OVS是一个高质量的、多层虚拟交换机,使用开源Apache2.0许可协议,主要实现代码为可移植的C代码。OpenvSwitch是一个虚拟交换软件,主要用于虚拟机VM环境,作为一个虚拟交换机,支持Xen/XenServer,KVM以及virtualBox多种虚拟化技术。在这种虚拟化的环境中,一个虚拟交换机主要有两个作用:传递虚拟机之间的量,以及实现虚拟机和外界网络的通信。 OpenvSwitch组件 OVS包含三个重要的组件:ovsdb-server、ovs-vswitchd
OVS下发
lincy521的专栏
08-19 2358
    ovs-ofctl: none of the usable flow formats (OXM,OpenFlow11) is among the allowed flow formats (OpenFlow10,NXM)       报上面的错误一般就是OpenFlow版本格式化的问题,所以下发的时候要加上OpenFlow版本(-O OpenFlow13)     例如(...
Open vSwitch应用实战 (非常好的一片文章)
ming1093的博客
06-12 6602
1 实验目的掌握Open vSwitch下发操作;掌握添加、删除命令以及设备通信的原理。2 实验原理在SDN环境下,当交换机收到一个数据包并且交换机中没有与该数据包匹配的项时,交换机将此数据包发送给控制器,由控制器决策数据包如何处理。控制器下发决策后,交换机根据控制器下发的信息来进行数据包的处理,即转发或者丢弃该数据包。我们可以通过对操作来控制交换机的转发行为。3 实验任务本实验基...
openstack安全组ovs实现原理
weixin_35664258的博客
03-26 3203
ddd
2月技术周 | OVS实现安全组,你需要知道这些!
OpenInfra的博客
03-12 2044
防火墙 防火墙是避免网络信息基础设施免受复杂网络环境中安全攻击的必要设施。高效的防火墙则更需要实时跟踪来往于不同网络设备间的各类网络连接,即“有状态防火墙”。对于实际的硬件物理网络基础设施需要防火墙,对于虚拟网络设备,openstack在这样的云平台亦需要同样的防火墙进行网络保护。 在Openstack中,防火墙由“Security Group”和“FWaas”两大服务组成。其中Securit...
Neutron — 安全组
qq_53058639的博客
03-01 413
Rules 来定义 ACCEPT 操作集合,所以本质是一个 White List(白名单)ACL,即不支持显式的 DENY 操作(默认 DENY ALL)。这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方优快云官方合作二维码免费领取哦,无偿分享!我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~④50份安全攻防面试指南。⑨历年CTF夺旗赛题解析。⑥HW护网行动经验总结。⑦100个漏洞实战案例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值