140-分析 OVS 如何实现 vlan 隔离1

通过内部的 VLAN ID 1 和 5 进行隔离。OVS 实现 VLAN 隔离的核心在于流规则（Flow Rules），这些规则定义了数据包如何在不同 VLAN 之间进行转发和处理。Open vSwitch（OVS）并不依赖于传统的 VLAN 接口（如 eth1.100 或 eth1.101）来划分 VLAN，而是通过在虚拟网桥（如 br-int 和 br-eth1）上设置流规则来实现 VLAN 间的隔离。 我们关注计算节点上的 br-eth1 网桥。这里有四条流规则，其中两条与 VLAN 相关。第一条规则是：当数据包从 in_port=2（即 phy-br-eth1）进来，VLAN ID 为 1 时，将其 VLAN ID 修改为 100，然后正常转发（NORMAL）。第二条规则类似，但将 VLAN ID 5 修改为 101。这里的 VLAN ID 转换是必要的，因为 br-int 中的 VLAN ID 与物理网络中的 VLAN ID 不一致。Neutron 作为 OpenStack 的网络服务组件，负责管理和配置这些转换规则。 接下来，我们转向 br-int 网桥，这里的关键流规则是： 1. 当数据包从 inport=1（即 int-br-eth1）进来，VLAN ID 为 100 时，将其 VLAN ID 修改为 1。 2. 如果 VLAN ID 为 101，则将其修改为 5。 这两个规则确保了从物理网络到达计算节点的数据包根据其 VLAN ID 被正确地分配到对应的内部 VLAN ID，从而实现了虚拟机（cirros-vm2 和 cirros-vm3）之间的隔离。 在这个场景中，cirros-vm2 属于 VLAN 100，而 cirros-vm3 属于 VLAN 101。cirros-vm1 位于控制节点，不在讨论范围内。当 cirros-vm2（VLAN 100）与 cirros-vm3（VLAN 101）尝试通信时，由于它们被不同的 VLAN ID 分隔，OVS 流规则会阻止它们直接通信，除非有适当的规则允许 VLAN 间通信。 OVS 的这种工作方式提供了高度灵活和可扩展的网络隔离机制。它不仅支持 VLAN，还可以与其他网络技术如 VXLAN、GRE 配合使用，提供多租户环境下的网络隔离。Neutron 通过 OVS 插件可以轻松地创建、修改和删除流规则，以适应不断变化的网络需求。 总结来说，Open vSwitch 通过流规则实现了 VLAN 隔离，而不是依靠传统的 VLAN 接口。这些规则定义了数据包如何在不同的 VLAN 之间进行转换和转发，从而实现不同 VLAN 虚拟机之间的逻辑隔离。在网络环境中，这种灵活性和控制力对于云计算和数据中心网络管理至关重要。