基于三层流量卸载方案的子网路由

天翼云开发者社区
• 阅读 488

本文分享自天翼云开发者社区《基于三层流量卸载方案的子网路由》,作者:l****n

顾名思义,子网路由是子网级别的。如果子网关联了子网路由,那么会优先查子网路由表中的路由。通过使用子网路由,用户的虚拟私有网络将具备一些高/级的功能,比如在VPC中部署集中式防火墙等。

本文介绍的子网路由功能是基于三层流量卸载方案、通过OpenFlow流表方式来实现的。在介绍子网路由之前,先了解一下东西向三层流量卸载方案。如图1所示,vm1、vm2和vm3分别属于三个不同网段的子网,同属于一个VPC,即三层可通。在卸载之前,同VPC三层流量均需要通过租户网关TGW拉通,导致TGW的流量压力较大,无法满足大客户对于同VPC三层互访流量的需求。

基于三层流量卸载方案的子网路由 图1 基本组网图

卸载前同主机跨网段和跨主机跨网段互访流量路径分别如下图2和图3所示。可以发现,不管是同主机还是跨主机,只要是跨网段都需要绕行租户网关。因此,可以考虑对三层东西向流量进行卸载,使它们下沉至OVS,以减轻租户网关的压力。

基于三层流量卸载方案的子网路由 图2 同主机跨网段互访(卸载前) 基于三层流量卸载方案的子网路由 图3 跨主机跨网段互访(卸载前)

卸载后的三层互访流量路径分别如图4和5所示。东西向三层流量不再需要绕行租户网关,同主机内的流量在OVS内部完成转发,跨主机的流量直接送至目的虚机所在宿主机,从而实现流量的最短路径转发。

基于三层流量卸载方案的子网路由 图4 同主机跨网段互访(卸载后) 基于三层流量卸载方案的子网路由 图5 跨主机跨网段互访(卸载后)

跨网段路由转发处理过程大致如下:当路由器收到一个IP数据包,路由器就会找出数据包的三层包头中的目的IP地址,然后拿着目的IP地址到自己的路由表中进行查询,找到“最匹配”的路由条目后,将数据包根据路由条目所指示的出接口或者下一跳IP转发出去,这就是IP路由。(当然路由器还会做一些额外的工作:将数据包的三层包头的TTL减一,修改数据包的二层源MAC地址为自己出接口的MAC,修改数据包的二层目的MAC地址为下一跳的MAC)。

接下来回归主题,介绍一下子网路由。VPC内子网和路由表的关联关系如图6所示,一个子网只能关联一个路由表,一个路由表(只能属于一个VPC)可以被多个子网关联。VPC1内的子网不允许关联属于VPC2的路由表。

基于三层流量卸载方案的子网路由 图6 VPC内子网和路由表的关联关系

路由表由一系列具体的路由规则(条目)组成,按照类型可分为默认路由表和自定义路由表。默认路由表中包含用于子网之间互通,访问公网的路由规则,以及VPN,专线和云间高速等在创建业务之后同步过来的路由,这些路由属于系统路由,用户不可以删除。在删除自定义路由表时,如果路由表存在关联的子网则不允许删除。在删除子网时,如果子网存在关联的自定义路由表,则不允许删除;如果子网存在关联的默认路由表,则可以删除。

基于三层流量卸载方案的子网路由 图7 默认路由表和自定义路由表

如图7所示,在创建VPC时,自动创建默认路由表,一个VPC对应一张默认路由表。VPC内新创建的子网,自动关联所属VPC内的默认路由表。在用户创建了自定义路由表之后,可以将子网换绑到该VPC内已经创建的自定义路由表,以管理和控制子网内虚机的(出方向)流量转发路径。每条路由规则对应OVS上一条路由流表,流表的动作会将源MAC更改为网关MAC,目的MAC更改为下一跳的MAC。

点赞
收藏
评论区
推荐文章
Stella981 Stella981
3年前
OpenVPN搭建中tap与tun的实际使用区别
tap俗称网桥模式,tun俗称路由模式,tap在二层,tun在三层,在实际应用中,其实以上这些知识概念,我是抄来的,具体的解释可以看以下参考链接。下面将介绍在实际使用中的区别:1、tap可以直接使用route这样的路由表命令,但不能用于手机设备。2、tun可以用于手机,但不能使用route这样的路由表命令,压根无法穿透。3、tap和tun的路
Wesley13 Wesley13
3年前
AWS 核心服务概述(二)
\TOC\AWS网络服务VPCVPC与虚拟网络是逻辑隔离的一个VPC只能属于一个区域,但可以属于多个可用区VPC主要属性:IP范围,路由,网关,安全设置DirectConnect用户数据中心到AWS的专用网络连接在高吞吐的情况下可以
Stella981 Stella981
3年前
Spring Boot demo系列(二):简单三层架构Web应用
2021.2.24更新1概述这是SpringBoot的第二个Demo,一个只有三层架构的极简Web应用,持久层使用的是MyBatis。2架构一个最简单的SpringBootWeb应用分为三层:Controller层:负责具体业务流程的控制,调用Se
Wesley13 Wesley13
3年前
VRF
VRFVirtualroutingforwarding,虚拟路由转发表,简称VPN。他能在两个site之间建立两个不用的路由表,相互隔离,把每台交换机逻辑上分成多台虚拟交换机,即多VPN路由转发实力。一般用于区分不同业务流量,不同的业务走不同的路由表,从而互相独立,达到控制设备全局路由流量走向的目的。Vlan1960:10.130.229
Stella981 Stella981
3年前
Spring Cloud Gateway限流浅析之一段脚本实现令牌桶
前言在一个分布式高并发的系统设计中,限流是一个不可忽视的功能点。如果不对系统进行有效的流量访问限制,在双十一和抢票这种流量洪峰的场景下,很容易就会把我们的系统打垮。而作为系统服务的卫兵的网关组件,作为系统服务的统一入口,更需要考虑流量的限制,直接在网关层阻断流量比在各个系统中实现更合适。SpringCloudGateway的实现
京东云开发者 京东云开发者
12个月前
增长实验室-ab分流的流量保护功能介绍 | 京东云技术团队
介绍ab分流的流量保护功能之前,先普及一下ab分流的一些概念和术语名词解释:实验:用来验证某个决定请求处理方式的功能或策略的一部分流量,通常用来验证某个功能或策略对系统指标(如PV/UV,CRT,下单转化率等)的影响。流量:指所有访问用户的请求Hash因子
Linux查看网络流量
作为一个非职业运维,不时需要查看Linux服务器上的网络流量状况。本文介绍几个常用的Linux查看网络流量命令,并简要介绍其用法。部分命令系统已经内置,某些命令则需要从软件仓库或者自行编译安装,本文以CentOS系统为例介绍软件安装方法。查看总流量ipip命令来自iproute2util包,是查看、配置网络/路由的工具。作为ifconfig的替代品
全场景流量验证系统 | 京东物流技术团队
本文介绍了一种基于线上流量实现对重构系统进行功能和性能验证的实践方案。针对线上流量如何拦截、如何录制、如何存储、如何回放以及如何发压均作了详细说明,为具有类似需求的读者提供了一种可供参考的思路。1业务背景随着百川项目的启动,中台需要对订单流量收口,将ECL
子桓 子桓
1年前
网络数据抓包分析 Debookee 最新免激活版
Debookee是一款为Mac用户设计的网络数据分析工具,能够拦截和监控同一子网中任何设备的流量。借助中间人攻击(MITM),Debookee可以捕获网络数据,无需通过代理,且不会中断网络连接。它支持HTTP、HTTPS、DNS、TCP、DHCP、SIP、
子桓 子桓
1年前
VJ音视频软件Resolume Arena 7 注册码激活版
Debookee是一款为Mac用户设计的网络数据分析工具,能够拦截和监控同一子网中任何设备的流量。借助中间人攻击(MITM),Debookee可以捕获网络数据,无需通过代理,且不会中断网络连接。它支持HTTP、HTTPS、DNS、TCP、DHCP、SIP、
天翼云开发者社区
天翼云开发者社区
Lv1
天翼云是中国电信倾力打造的云服务品牌,致力于成为领先的云计算服务提供商。提供云主机、CDN、云电脑、大数据及AI等全线产品和场景化解决方案。
文章
693
粉丝
15
获赞
40