SDN控制器OVN网络安全功能

本文通过使用OVN访问控制列表(ACL)来实现基本的网路安全功能。

OVN中的ACL规则贮存于北向资料库的ACL表中，并且可使用ovnnbctl的acl命令进行配置。目前，ACL只能利用于逻辑交换机，但是未来将支援利用到逻辑路由器。

在出站和入站方向都支援使用ACL：

入站：从工作负载(fromlport)进入逻辑埠

出站：从逻辑端口出去到工作负载(tolport)。

另外，为每一个ACL分配一个优先顺序，以肯定它们的匹配顺序，最高优先顺序首先被匹配。另外ACL可以被赋予相同的优先顺序。但是，在两个具有相同优先顺序并且都匹配同一个分组的ACL的情况下，将仅匹配一个ACL。确切地说，哪个ACL终究将被匹配是不肯定的，你不能真正地肯定哪一个规则将利用于给定的情况。所以我建议：在大多数情况下儘量使用不同的优先顺序。

ACL中的匹配规则基于OVS中的流语法，对具有程式设计背景的人都会觉得很熟习。该语法在ovnsb手册页的“Logical_Flow表”部份中进行了说明。它值得一读，特别是介绍“!=”匹配规则的那部份内容。

另外值得强调的一点是，您不能在具有type=router的埠上建立ACL匹配规则。为了减少ACL表中的条目数量，可使用定义相同型别地址组的地址集。例如，一组IPv4地址/网路，一组MAC地址或一组IPv6地址可以放置在一个可命名的地址集内。为了减少ACL表中的条目数，可使用定义相同型别地址组的地址集。例如，一组IPv4地址/网路，一组MAC地址或一组IPv6地址可以放置在命名地址集内。然后地址集可以被ACL的match子句内的“name”援用(以$name的情势)。

TikTok千粉号购买平台：https://tiktokusername.com/