Neutron自身并不提供任何網(wǎng)絡(luò )功能，它只是一個(gè)架子。Neutron的網(wǎng)絡(luò )功能大部分是Plugin提供的，除了DHCP和L3-agent等的某些部分功能。

Neutron將網(wǎng)絡(luò )按照三層交換機的概念分為：

Network：相當于交換機根據vlan創(chuàng )建的一個(gè)三層接口；

Subnet：相當于交換機創(chuàng )建了一個(gè)三層接口地址；

Port：相當于交換機的一個(gè)物理端口，但是這個(gè)端口有一個(gè)MAC地址；

Neutron 有什么?

L2

在 L2 層，由虛擬交換機來(lái)實(shí)現。虛擬交換機有下列這些種：

Linux 網(wǎng)橋，基于 Linux 內核的網(wǎng)橋。需要說(shuō)明的是，網(wǎng)橋就是交換機，是交換機的一種常用的書(shū)面叫法。

OpenvSwitch（OVS）：OVS 有兩種模式，一種是當普通的虛擬交換機來(lái)使用，另一個(gè)是和 OpenFlow 控制器協(xié)作當作 OpenFlow 控制器來(lái)使用。

一些基于 Overlay 技術(shù)的 SDN 實(shí)現，如 Dove 等。

一些非開(kāi)源的商業(yè)交換機。

目前，Neutron 已經(jīng)實(shí)現的 L2 層插件如下圖 6 所示，linuxbridge 實(shí)現了 Linux 網(wǎng)橋，openvswitch 插件實(shí)現了 openvswitch 網(wǎng)橋，bigswitch 插件實(shí)現了一種 SDN 控制器，ml2 是一種通用的插件（這些 L2 層的插件主要分寫(xiě)數據庫的 plugin 部分和運行在計算節點(diǎn)的 agent 部分，plugin 寫(xiě)數據庫的字段有差異但不多，所以代碼重復，ml2 可以理解為一個(gè)公共的 plugin）。且每種插件基本上實(shí)現了 FLAT, VLAN, VXLAN, GRE 等四種拓撲。

Neutron 中 L2 層插件

Neutron 中 L2 層插件

L3

Neutron 的 L3 層由基于 namespace ipv4 forward + iptables 實(shí)現。

需要啟動(dòng) l3-agent 進(jìn)程，如果需要 DHCP 服務(wù)的話(huà)也需要啟動(dòng) dhcp-agent 進(jìn)程。

L4-L7

LBaaS 基于 Haproxy 實(shí)現；FWaaS 基于 iptables 實(shí)現；VPNaaS 有基于 IPSec 的 VPN 實(shí)現，也有基于 MPLS 的 VPN 實(shí)現，也有基于 SSL 的 VPN 實(shí)現。

截止到筆者寫(xiě)此文為止，目前只有 LBaaS 能用，其他的 FWaaS, VPNaaS 和 NATaaS 仍在開(kāi)發(fā)中。但對于 FWaaS 有 Security Group 功能可用，區別在于前者由于作為獨立服務(wù)也能部署在網(wǎng)絡(luò )節點(diǎn)上提供邊緣防火墻特性，后者依然能夠在計算節點(diǎn)上使用 iptables 規則控制從虛機出去的，進(jìn)來(lái)虛機的，虛機之間的流量。

這樣neutron的CLI或者horizon的頁(yè)面配置了網(wǎng)絡(luò )功能后，就會(huì )調用neutron的API，然后如果plugin是OVS的話(huà)，就會(huì )生成對應的比如OVS的命令下發(fā)到底層虛擬網(wǎng)絡(luò )設備，底層就提供了相應的網(wǎng)絡(luò )功能（如果支持的話(huà)，有的不支持也不會(huì )報錯，比如H版對IPV6轉發(fā)的支持）。這些網(wǎng)絡(luò )功能包括二層vlan或vxlan等租戶(hù)之間的隔離、floating IP之間的三層轉發(fā)和NAT轉換、防火墻、VPN和負載均衡等，看官網(wǎng)還提供有IDS和DC互聯(lián)，但是還沒(méi)有驅動(dòng)力去調研。

如果你能配置出如下圖3中網(wǎng)絡(luò )且都能訪(fǎng)問(wèn)外網(wǎng)和相互隔離，說(shuō)明你已經(jīng)對底層有了一定了解：

neutron配置后的一種網(wǎng)絡(luò )拓撲實(shí)例

上面圖中，如果用OVS作為plugin的話(huà)需要注意，里面的一個(gè)虛擬路由器并不是直接對應創(chuàng )建一個(gè)OVS，很有迷惑性，在底層其僅僅是在OVS上創(chuàng )建了一個(gè)vlan，配置了一個(gè)三層接口地址，并且添加了一個(gè)和這個(gè)網(wǎng)段相連的虛擬port。有興趣的可以配置成功后，到底層詳細dump下。