导航：首页 > 服务器 >

如何进行Neutron FWaaS的实践

发表于：2025-12-03 作者：千家信息网编辑

千家信息网最后更新 2025年12月03日，这期内容当中小编将会给大家带来有关如何进行Neutron FWaaS的实践，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。今天将通过实验来学习 FWaaS。在我们的实

千家信息网最后更新 2025年12月03日如何进行Neutron FWaaS的实践

这期内容当中小编将会给大家带来有关如何进行Neutron FWaaS的实践，文章内容丰富且以专业的角度为大家分析和叙述，阅读完这篇文章希望大家可以有所收获。

今天将通过实验来学习 FWaaS。

在我们的实验环境中，有两个 instance： cirros-vm1（172.16.100.3）和 cirros-vm2（172.16.101.3）。

cirros-vm1 和 cirros-vm2 分别位于网络 vlan100 和 vlan101。 vlan100 和 vlan101 之间由虚拟路由器 test_router 连接。

在 test_router 没有应用任何 FWaaS 的情况下，cirros-vm1 可以通过 ping 和 ssh 跨网络访问 cirros-vm2。

下面我们将进行如下实验： 1. 创建一个不包含任何 rule 的 firewall "test_firewall" 并应用到 test_router。
此时 FWaaS 生效，默认情况下会阻止任何跨子网的流量。 2. 创建 rule 允许 ssh，并将其添加到 test_firewall。此时 cirros-vm1 应该能够 ssh cirros-vm2。

应用无 rule 的 firewall

点击菜单 Project -> Network -> Firewalls，打开 Firewall Policies 标签页面。目前没有定义任何 Policie。

点击按钮，显示Policy 创建页面。

将 Policy 命名为 "test_policy"，直接点击 "Add" 按钮。

这样我们创建的 test_policy 不包含任何 Rule。

进入 "Firewalls" 标签页，点击 "Create Firewall" 按钮

将新的 Firewall 命名为 "test_firewall"，并关联 "test_policy"。

在 "Routers" 标签页中选择 "test_router"。点击 "Add" 创建 firewall。

等待 test_firewall 的 Status 变为 "Active"，此时 test_router 已经成功应用 test_policy。

可以通过 iptables-save 查看 router namespace 的 iptables 规则

为了让大家了解底层到底发生了什么变化，下面用 vimdiff 显示了应用 test_firewall 前后 iptables 规则的变化。

下面我们来分析一下这些规则。

route 在转发数据包时会使用 chain：

-A FORWARD -j neutron-vpn-agen-FORWARD

neutron-vpn-agen-FORWARD 的规则如下：

-A neutron-vpn-agen-FORWARD -o qr-+ -j neutron-vpn-agen-iv4e85f4601
-A neutron-vpn-agen-FORWARD -i qr-+ -j neutron-vpn-agen-ov4e85f4601
-A neutron-vpn-agen-FORWARD -o qr-+ -j neutron-vpn-agen-fwaas-defau
-A neutron-vpn-agen-FORWARD -i qr-+ -j neutron-vpn-agen-fwaas-defau

我们以第一条为例，其含义是：从 router namespace 任何一个 qr-* interface 发出
的流量都会应用 chain neutron-vpn-agen-iv4e85f4601，该 chain 定义如下：