网络安全与访问控制:从安全组到角色访问控制
1. 端口安全与允许地址对管理
端口安全是网络安全的重要组成部分。当端口安全扩展启用时,可以在创建或更新端口期间,通过相应设置port_security_enabled属性,来启用或禁用单个端口的端口安全。启用端口安全后,默认的反欺骗规则将应用于该端口,并且可以根据需要应用安全组;而禁用端口安全则会移除默认的反欺骗规则,并且该端口将不允许使用安全组。
允许地址对扩展允许除端口关联的固定 IP 和 MAC 地址之外的其他 IP、子网和 MAC 地址,作为离开端口或虚拟接口的流量的源地址。这在将实例视为路由设备或 VPN 集中器,或者在多个实例之间使用需要“浮动”的地址实现高可用性时非常有用。
可以使用openstack port show命令查看每个端口的现有允许地址对。对于每个允许的网络和/或 MAC 地址,应使用openstack port set命令并带上--allowed-address参数,示例如下:
openstack port set <port> --allowed-address ip_address=<IP_ADDR>,mac-address=<MAC_ADDR>MAC 地址值是可选的。如果未指定 MAC 地址,则使用端口的 MAC 地址。可以同时将多个允许地址对关联到 Neutron 端口,只需指定多个ip_addr
