本節我們會將上節創建的 ext_net 連接到 router，并驗證內外網的連通性。

更重要的，我們會分析隱藏在表象之下的原理。

將外網連接到 Neutron 的虛擬路由器，這樣 instance 才能訪問外網。

點擊菜單 Project -> Network -> Routers 進入 router 列表。

點擊 router_100_101 的 “Set Gateway” 按鈕。

在 “External Network” 下拉列表中選擇 ext_net，點擊 “Set Gateway”。

外網設置成功。

我們需要看看 router 發生了什么變化。 點擊 “router_100_101” 鏈接，打開 “Interfaces” 標簽頁

router 多了一個新的 interface，IP 為 10.10.10.2。 該 interface 用于連接外網 ext_net。

查看控制節點的網絡結構，外網 bridge 上已經連接了 router 的 tap 設備 tapb8b32a88-03。

在 router 的 namespace 中查看 tapb8b32a88-03 的 veth pair 設備。

該 veth pair 命名為 qg-b8b32a88-03，上面配置了 IP 10.10.10.2。

router 的每個 interface 在 namespace 中都有對應的 veth。 如果 veth 用于連接租戶網絡，命名格式為 qr-xxx，比如 qr-d568ba1a-74 和 qr-e17162c5-00。 如果 veth 用于連接外部網絡，命名格式為 qg-xxx，比如 qg-b8b32a88-03。

查看 router 的路由表信息。

可以看到默認網關為 10.10.10.1。 意味著對于訪問 vlan100 和 vlan101 租戶網絡以外的所有流量，router_100_101 都將轉發給 ext_net 的網關 10.10.10.1。

現在 router_100_101 已經同時連接了 vlan100, vlan101 和 ext_net 三個網絡，如下圖所示：

下面我們在 cirros-vm3 上測試一下。

cirros-vm3 位于計算節點，現在已經可以 Ping 到 ext_net 網關 10.10.10.1 了。 通過 traceroute 查看一下 cirros-vm3 到 10.10.10.1 的路徑

數據包經過兩跳到達 10.10.10.1 網關。 1. 數據包首先發送到 router_100_101 連接 vlan101 的 interface（172.16.101.1）。 2. 然后通過連接 ext_net 的 interface（10.10.10.2） 轉發出去，最后到達 10.10.10.1。

當數據包從 router 連接外網的接口 qg-b8b32a88-03 發出的時候，會做一次 Source NAT，即將包的源地址修改為 router 的接口地址 10.10.10.2，這樣就能夠保證目的端能夠將應答的包發回給 router，然后再轉發回源端 instance。

可以通過 iptables 命令查看 SNAT 的規則。

當 cirros-vm3（172.16.101.3） Ping 10.10.10.1 時，可用通過 tcpdump 分別觀察 router 兩個 interface 的 icmp 數據包來驗證 SNAT 的行為。

vlan101 interface qr-e17162c5-00 的 tcpdump 輸出：

ext_net interface qg-b8b32a88-03 的 tcpdump 輸出：

SNAT 讓 instance 能夠直接訪問外網，但外網還不能直接訪問 instance。
因為 instance 沒有外網 IP。 這里 “直接訪問 instance” 是指通信連接由外網發起，例如從外網 SSH cirros-vm3。

這個問題可以通過 floating IP 解決，下一節我們將討論浮動 IP。

?

轉載于:https://www.cnblogs.com/zhaohongtian/p/6811588.html

總結

以上是生活随笔為你收集整理的外网访问原理分析的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。