华云数据-Openvswitch防火墙如何防止IP地址欺骗

1、vm 出方向流量由tap口到达br-int网桥时，首先会经过table 0 表分流至table 3Vm tap 对应 ovs port 为port1，匹配in_port=1流表，跳转至table 71出方向基础规则表

2、由table 71 规则表对转发IP报文做合法性校验，要求必须匹配条件为 in_port, dl_src（源mac），nw_src(源IP)

3、如无法匹配上述流表，则会命中默认丢包流表。当使用ovs防火墙后， 再次发生图二例子时，vm1 将它发往 vm2 的数据帧的源IP设置为 vm3 的IP，当前数据包ip与mac 无法与vm1 tap port 71号表记录的真实ip mac匹配，将无法命中table 71号表，数据包被丢包，因为IP欺诈被ovs防火墙有效拦截。