<div dir="ltr">So, if I have a provider vlan network managed by neutron, tenant isolation and overlapping ips are not possible in this case ?</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Jul 22, 2021 at 9:34 PM Sean Mooney <<a href="mailto:smooney@redhat.com">smooney@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On Thu, 2021-07-22 at 21:20 +0530, Gk Gk wrote:<br>
> Hi,<br>
> <br>
> I want to know if tenant isolation and overlapping ips, possible in the<br>
> case of provider vlan networks ? <br>
> <br>
<br>
> If not, how is it different when compared<br>
> to tenant networks of type vlan where tenant isolation is possible ?<br>
for vlan tenant network you can have overlapping ips and tenant isolation<br>
<br>
for provider networks however all routing between networks is providied by yoru providre routers so<br>
you as the operator have to implent that routing in such a way that supports both of your requriement.<br>
<br>
> Please explain.  I am confused between the two regarding their tenant<br>
> isolation and overlapping ips features.<br>
neutron support both for vlan tenant netwroks provided you do not violate neutron requriement that physnets never overlap.<br>
<br>
e.g. if you have 2 port on a physical host attached to physnet 1 and phsynet 2 you must ensure that tehy are phsyically<br>
coonnected to different top of rack swiches and physical networks in the datachenter.<br>
<br>
if you violate this requiremetn then you can have two tenant networks with the same segementation id but differnt physnets.<br>
<br>
from neutron point of view they are isolated but if you have muplipel physnet lables for the same phyical network in your datacenter<br>
then tenant isolation will be broken.<br>
<br>
some operators try to use physnets as hack for exampel to select numa ndoes on a host when usign sriov wehre tehy intentionall violate<br>
the requriement that physical networks must never hsare an l2 broadcat domains but wehn they do that they are giving ups the ablity to do<br>
tenant isolation.<br>
> <br>
> <br>
> Thanks<br>
> Kumar<br>
<br>
<br>
</blockquote></div>