
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:x="urn:schemas-microsoft-com:office:excel" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 12 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:宋体;


        panose-1:2 1 6 0 3 1 1 1 1 1;}


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


@font-face


        {font-family:"\@宋体";


        panose-1:2 1 6 0 3 1 1 1 1 1;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:宋体;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.EmailStyle17


        {mso-style-type:personal-reply;


        font-family:"Calibri","sans-serif";


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:72.0pt 90.0pt 72.0pt 90.0pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="ZH-CN" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span lang="EN-US" style="font-size:14.0pt;font-family:"Calibri","sans-serif";color:#1F497D">From real solution scenario, we usually have to integrate hardware to provide tenant north-south  traffic. So the DVR should work not only for


 distributed FWaaS, but also for central FWaaS/SNAT/FIP for north-south traffic. <o:p>


</o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<p class="MsoNormal" style="text-align:justify;text-justify:inter-ideograph"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D">Best Regards<o:p></o:p></span></p>


<p class="MsoNormal" style="text-align:justify;text-justify:inter-ideograph"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D">Chaoyi Huang ( Joe Huang )<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="font-size:10.5pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>


<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span style="font-size:10.0pt">发件人<span lang="EN-US">:</span></span></b><span lang="EN-US" style="font-size:10.0pt"> Richard Woo [mailto:richardwoo2003@gmail.com]


<br>


</span><b><span style="font-size:10.0pt">发送时间<span lang="EN-US">:</span></span></b><span lang="EN-US" style="font-size:10.0pt"> 2014</span><span style="font-size:10.0pt">年<span lang="EN-US">6</span>月<span lang="EN-US">29</span>日<span lang="EN-US"> 12:23<br>


</span><b>收件人<span lang="EN-US">:</span></b><span lang="EN-US"> OpenStack Development Mailing List (not for usage questions)<br>


</span><b>主题<span lang="EN-US">:</span></b><span lang="EN-US"> Re: [openstack-dev] DVR and FWaaS integration<o:p></o:p></span></span></p>


</div>


<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>


<div>


<p class="MsoNormal"><span lang="EN-US">Regarding of user case of this feature, are you referring E-W traffic or N-S traffic?<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-US"><o:p> </o:p></span></p>


<div>


<p class="MsoNormal"><span lang="EN-US">On Wed, Jun 25, 2014 at 4:00 PM, Yi Sun <<a href="mailto:beyounn@gmail.com" target="_blank">beyounn@gmail.com</a>> wrote:<o:p></o:p></span></p>


<div>


<p class="MsoNormal"><span lang="EN-US">All,<o:p></o:p></span></p>


<div>


<p class="MsoNormal"><span lang="EN-US">During last summit, we were talking about the integration issues between DVR and FWaaS. After the summit, I had one IRC meeting with DVR team. But after that meeting I was tight up with my work and did not get time to


 continue to follow up the issue. To not slow down the discussion, I'm forwarding out the email that I sent out as the follow up to the IRC meeting here, so that whoever may be interested on the topic can continue to discuss about it.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US">First some background about the issue:<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US">In the normal case, FW and router are running together inside the same box so that FW can get route and NAT information from the router component. And in order to have FW to function correctly, FW needs to see the both


 directions of the traffic.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US">DVR is designed in an asymmetric way that each DVR only sees one leg of the traffic. If we build FW on top of DVR, then FW functionality will be broken. We need to find a good method to have FW to work with DVR.<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US">---forwarding email---<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US" style="font-size:8.0pt;font-family:"Arial","sans-serif";color:#500050"> During the IRC meeting, we think that we could force the traffic to the FW before DVR. Vivek had more detail; He thinks that since the br-int knowns


 whether a packet is routed or switched, it is possible for the br-int to forward traffic to FW before it forwards to DVR. The whole forwarding process can be operated as part of service-chain operation. And there could be a FWaaS driver that understands the


 DVR configuration to setup OVS flows on the br-int.<br>


The concern is that normally firewall and router are integrated together so that firewall can make right decision based on the routing result. But what we are suggesting is to split the firewall and router into two separated components, hence there could be


 issues. For example, FW will not be able to get enough information to setup zone. Normally Zone contains a group of interfaces that can be used in the firewall policy to enforce the direction of the policy. If we forward traffic to firewall before DVR, then


 we can only create policy based on subnets not the interface. </span><span lang="EN-US"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US" style="font-size:8.0pt;font-family:"Arial","sans-serif";color:#500050">Also, I’m not sure if we have ever planed to support SNAT on the DVR, but if we do, then it depends on at which point we forward traffic to the FW,


 the subnet may not even work for us anymore (even DNAT could have problem too). </span><span lang="EN-US"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US" style="font-size:8.0pt;font-family:"Arial","sans-serif";color:#500050">Another thing that I may have to get detail is that how we handle the overlap subnet, it seems that the new namespaces are required.</span><span lang="EN-US"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US"><br clear="all">


<o:p></o:p></span></p>


<div>


<p class="MsoNormal"><span lang="EN-US">--- end of forwarding ----<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US">YI<o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>


</div>


</div>


</div>


<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-US"><br>


_______________________________________________<br>


OpenStack-dev mailing list<br>


<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>


<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><o:p></o:p></span></p>


</div>


<p class="MsoNormal"><span lang="EN-US"><o:p> </o:p></span></p>


</div>


</div>


</body>


</html>