1、vm 出方向流量由tap口到达br-int网桥时,首先会经过table 0 表分流至table 3Vm tap 对应 ovs port 为port1,匹配in_port=1流表,跳转至table 71出方向基础规则表
2、由table 71 规则表对转发IP报文做合法性校验,要求必须匹配条件为 in_port, dl_src(源mac),nw_src(源IP)
3、如无法匹配上述流表,则会命中默认丢包流表。当使用ovs防火墙后, 再次发生图二例子时,vm1 将它发往 vm2 的数据帧的源IP设置为 vm3 的IP,当前数据包ip与mac 无法与vm1 tap port 71号表记录的真实ip mac匹配,将无法命中table 71号表,数据包被丢包,因为IP欺诈被ovs防火墙有效拦截。
