Neutron L3

L3的实现只负责路由的功能，传统路由器中的其他功能（如Firewalls、LB、VPN）都被独立出来实现了，因此ML3的实际需求比较少。

neutron-server 接到请求 –> 将请求发送到MQ –> neotron-plugins 得到请求 –> 发送请求到MQ –> neotron-agent 建立网络设备。

neutron-plugin ： 处理 Neutron Server 发来的请求，维护 OpenStack 逻辑网络的状态， 并调用 Agent 处理请求。每个厂商基于Openstack开发了模拟自己硬件的软件，这个软件就是plugin。 在早期，每个厂商开发各自的plugin，功能也是各自实现，有大量的代码是重复的；另外，不同的厂商有不同的开发标准，导致程序的兼容性很差。针对这种情况neutron-plugin 被分为了两部分：Core-plugin 和 Service-plugin 。

Service-plugin ： 即为除core-plugin以外其它的plugin，包括l3 router、firewall、loadbalancer、VPN、metering等等，主要实现L3-L7的网络服务。这些plugin要操作的资源比较丰富，对这些资源进行操作的REST API被neutron-server看作Extension API，需要厂家自行进行扩展。

Router

提供虚拟三层服务，包括租户网络（Tenant Network）之间、租户网络与外部网络（External Network）之间的路由和网络地址转换，原生模式下路由器管理功能以Service Plugin的形式集成在Neutron Server中，路由器实体以Linux网络命名空间的形式存在，由Neutron L3 Agent管理。

由上图可以看出，Neutron L3模块的功能主要由Server端的L3RouterPlugin和Agent端的L3NATAgentWithStateReport配合实现:

Client通过HTTP向Server发起L3资源Router、Floating IP的管理命令，Server负责处理资源在数据库的增删改查，并通过RPC将资源的更新事件通知到Agent，Agent最终通过Linux下的网络工具栈来实现具体的L3功能。

L3的核心资源是Router，大部分L3 API都是围绕着Router的基础属性、扩展属性或附属资源的增删改查，Router也是L3 Plugin与L3 Agent进行同步的数据单元。

neutron-agent ： 处理 Plugin 的请求，负责在 network provider 上真正实现各种网络功能。和 plugin 是一一对应的关系。

iproute2

如何查看网络接口、地址、路由
iproute2 工具包最基础的功能就是管理本机的网络接口。

ip addr

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 54:be:f7:08:c2:1b brd ff:ff:ff:ff:ff:ff
    inet 192.168.56.126/24 brd 192.168.56.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::56be:f7ff:fe08:c21b/64 scope link 
       valid_lft forever preferred_lft forever
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 54:be:f7:08:c2:1b brd ff:ff:ff:ff:ff:ff
    inet 192.168.56.126/24 brd 192.168.56.255 scope global eth0
       valid_lft forever preferred_lft forever
    inet6 fe80::56be:f7ff:fe08:c21b/64 scope link 
       valid_lft forever preferred_lft forever

你也可以输入如下的命令来修改 MTU 和分组队列的长度：

ip link set eth1 mtu 1500
ip link set eth1 txqueuelen 1000

一般来说，本机的网络接口通常会被命名成像是eth0，eth1，lo这样的名称。在过去，常常使用net-tools包提供的ifconfig命令来配置网络接口。而使用iproute2时，通常可以使用子命令ip addr和ip link来完成相同的功能。

IP 路由规则（rule）

ip rule show
0:  from all lookup local 
32766:  from all lookup main 
32767:  from all lookup default

这三条路由规则是内核配置的默认规则。第一行可以匹配任何流量，用于路由高优先级的流量。第二行是处理常规路由的主要规则。最后一行是空规则，如果上面的规则与数据包不匹配，则使用该行进行后处理（post-processing）。

OpenStack FWaaS功能
在架构设计上， Neutron沿用了OpenStack完全分布式的思想，各组件之间通过消息机制进行通信，使得Neutron中各个组件甚至各个进程都可以运行在任意的节点上。

SWaas

Neutron是OpenStack网络即服务项目，包括一个防火墙即服务（FWaaS）插件，该插件在OpenStack对象（如项目、路由器端口和路由器）上实施防火墙。

防火墙规则：指定当流量与一组属性（如端口范围、协议或IP地址）匹配时，防火墙应采取的操作（允许或拒绝）。
防火墙策略：一组有序的规则。你可以发布策略以在项目间共享。

防火墙可以根据你使用的驱动程序以各种方式实现。
例如：
——iptables驱动程序使用iptable规则来实现防火墙；
——OpenVSwitch驱动程序使用流表中的流条目来实现防火墙规则；
——Cisco防火墙驱动程序可用于NSX设备。

FWaaS v2的新增功能如下：

FWaaS v1已被弃用，取而代之的是v2。在v2中，防火墙的概念已被防火墙组所取代，这表明防火墙需要两个策略：出口策略和入口策略。防火墙组应用于端口级别，而不是路由器级别，你可以指定要保护的路由器端口。

FWaaS 2中的新功能概括如下：

——默认情况下不支持路由器的3级防火墙，但你可以通过将防火墙组应用于某个路由器中的所有端口来启用它。
——支持路由器端口的3级防火墙。
——支持2级防火墙（即VM端口）。
——提供命令行界面（CLI）。
——支持OpenStack Horizon仪表板。

启用FWaaS v2
要在OpenStack中启用FWaaS v2插件，需要执行以下步骤：

——安装必要的软件依赖关系。你需要安装neutron-fwaas和neutron-fwaas-dashboard包以及特定OpenStack部署所需的任何其他依赖关系。
——在OpenStack配置文件中启用FWaaS v2插件。这通常涉及将以下行添加到neutron.conf文件中：
[fwaas]
driver = neutron_fwaas.services.firewall.drivers.linux.iptables_fwaas.IptablesFwaasDriver
——重新启动OpenStack Neutron服务。你需要重新启动Neutron服务才能使更改生效。

iptables和firewalld都不是真正的防火墙，他们都是用来定义防火墙策略的防火墙管理工具而已，他们只是一种服务，iptables服务会把配置好的防火墙策略交给内核层面的netfilter网络过滤器来处理。而firewalld服务则是把配置好的防火墙策略交给内核层面的nftables包过滤框架来处理。

VPN

sudo apt-get install neutron-vpnaas-agent
sudo service neutron-vpn-agent restart

编辑/etc/neutron/neutron.conf文件并添加以下行：

service_plugins = router,vpnaas

sudo service neutron-server restart
sudo neutron-db-manage --subproject neutron-vpnaas upgrade head

创建VPNaaS服务提供者：

neutron vpn-service-provider-create --name <provider-name> \
--vpn-service-provider <vpn-service-provider>

此命令将创建一个名为<provider-name>的VPNaaS服务提供者，并将其配置为<vpn-service-provider>。

neutron vpn-service-list

创建VPN连接：

neutron ipsec-site-connection-create --name <ipsec-connection-name> \
--vpnservice-id <vpn-service-id> \
--ikepolicy-id <ikepolicy-id> \
--ipsecpolicy-id <ipsecpolicy-id> \
--peer-address <peer-address> \
--peer-cidr <peer-cidr> \
--peer-id <peer-id> --psk <psk> \
--mtu <mtu> --dpd <dpd> --initiator <initiator>

此命令将创建一个名为<ipsec-connection-name>的VPN连接，并配置其所属的VPN服务、IKE策略、IPsec策略、对等地址、对等CIDR、对等ID、预共享密钥、MTU、DPD和发起方。

neutron ipsec-site-connection-list