16、网络安全与访问控制：从安全组到角色访问控制

网络安全与访问控制：从安全组到角色访问控制

1. 端口安全与允许地址对管理

端口安全是网络安全的重要组成部分。当端口安全扩展启用时，可以在创建或更新端口期间，通过相应设置port_security_enabled属性，来启用或禁用单个端口的端口安全。启用端口安全后，默认的反欺骗规则将应用于该端口，并且可以根据需要应用安全组；而禁用端口安全则会移除默认的反欺骗规则，并且该端口将不允许使用安全组。

允许地址对扩展允许除端口关联的固定 IP 和 MAC 地址之外的其他 IP、子网和 MAC 地址，作为离开端口或虚拟接口的流量的源地址。这在将实例视为路由设备或 VPN 集中器，或者在多个实例之间使用需要“浮动”的地址实现高可用性时非常有用。

可以使用openstack port show命令查看每个端口的现有允许地址对。对于每个允许的网络和/或 MAC 地址，应使用openstack port set命令并带上--allowed-address参数，示例如下：

openstack port set <port> --allowed-address ip_address=<IP_ADDR>,mac-address=<MAC_ADDR>

MAC 地址值是可选的。如果未指定 MAC 地址，则使用端口的 MAC 地址。可以同时将多个允许地址对关联到 Neutron 端口，只需指定多个ip_addr