openlan
| 简体中文 | English |
🌐 什么是 OpenLAN?
OpenLAN 是一套多租户网络解决方案,可在广域网链路上传输局域网报文,帮助您在跨地域、云环境与分支站点之间构建并运营多个相互隔离的虚拟以太网络。
🤔 为什么选择 OpenLAN?
如果您需要灵活的 VPN 方案来实现企业内网安全访问、流量代理转发或经公网云主机建立隧道,OpenLAN 可以显著简化部署并提升运维效率。
✨ 核心功能
- 🔒 多网络与命名空间隔离:支持多网络空间、VRF/Namespace 绑定、跨网络隔离、按作用域启用 SNAT,以及网络内 DHCP 地址分配;
- 🔗 Central Switch 互联与路由转发:支持 TCP/UDP output、三节点转发、静态路由、FindHop 主备/负载均衡和 External BGP 前缀过滤;
- 🖥️ OpenVPN 接入能力:支持 OpenVPN 接入、静态客户端地址、客户端互通、路由重定向、TCP reset 处理,以及经 SNAT 访问远端 VIP;
- 🛡️ 隧道与叠加网络:支持 TCP/UDP 传输、VxLAN/GRE output 与 IPSec 隧道,并覆盖无 IPSec/启用 IPSec 的连通和性能采样;
- 🔑 认证与分级加密:支持用户名/密码认证、同账号互斥、多管理员并发登录、全局与网络级预共享密钥,以及 AES/SM4 OpenVPN cipher 协商;
- 🧭 策略控制面:内置 ACL 默认动作、精细规则保存/重载、零信任 Guest/Knock 控制、DNAT 端口发布和客户端 QoS 规则;
- ⚙️ 可运维流量治理:支持限速规则动态调整、Linux tc/iptables 状态观测、reload 持久性,以及 ping/RTT/iperf3 性能采样;
- 🔄 Ceci 代理与服务转发:支持 HTTP/TCP/DNS Proxy、按域名匹配多后端,以及 TCP/HTTP Service 的路由后端、全局后端和重启恢复。
🗺️ 典型应用场景
🏢 分支中心接入
Central Switch(企业中心) - 10.16.1.10/24
^
|
Wifi(DNAT)
|
|
-----------------Internet-----------------
^ ^ ^
| | |
分支 1 分支 2 分支 3
| | |
OpenLAN OpenLAN OpenLAN
10.16.1.11/24 10.16.1.12/24 10.16.1.13/24
OpenLAN 可以将 Central Switch 作为企业统一接入中心。分支设备或边缘网关通过公网认证接入中心,并以分配的地址加入同一个虚拟局域网。分支到中心、分支到分支的流量都运行在可管理的 overlay 之上,同时中心节点可以统一承载用户认证、共享加密、ACL、SNAT、DNAT、DHCP 和限速等策略。
🌍 多区域互联
192.168.1.20/24 192.168.1.21/24
| |
OpenLAN -- 酒店 Wifi --> Central Switch(南京) <--- 其他 Wifi --- OpenLAN
|
|
互联网
|
|
Central Switch(上海) - 192.168.1.10/24
|
|
------------------------------------------------------
^ ^ ^
| | |
办公 Wifi 家庭 Wifi 酒店 Wifi
| | |
OpenLAN OpenLAN OpenLAN
192.168.1.11/24 192.168.1.12/24 192.168.1.13/24
OpenLAN 可以连接不同城市、云环境以及酒店/家庭 Wi-Fi 等临时网络。每个区域保留本地 OpenLAN Switch,再通过 output 建立经过认证的 TCP/UDP 隧道。静态路由或 FindHop 路由可以让远端网段和 VIP 通过正确的 nexthop 可达,从而让应用跨站点迁移或访问时,不必把每个后端服务直接暴露到互联网。
🔐 零信任接入控制
访客终端 员工终端 运维终端
| | |
OpenVPN OpenVPN OpenVPN
\ | /
\ | /
----------------------互联网----------------------
|
|
Central Switch(策略中心)
ZTrust + ACL + Knock + Auth
/ \
/ \
Guest Network(仅受限访问) Trusted Network(按策略访问业务)
172.16.100.0/24 10.16.1.0/24
OpenLAN Zero Trust 可以将虚拟网络切换为对新建流量默认拒绝的访问平面,同时保持已建立连接不受影响。远程用户可以通过 OpenVPN 接入,但受保护服务在用户被注册为 ZTrust Guest,并为指定协议和 socket 创建临时 Knock 规则前不可访问,例如 tcp/192.59.0.1:8081。这适用于外包访问、应急运维,以及需要按服务审批并同时控制网络可达性、身份和时效的场景。
🔀 HTTP 路由转发
Client request Client request Client request
Host: group.test Host: single.test Host: unknown.test
| | |
+---------------------------+---------------------------+
|
v
Ceci HTTP Service
listen: 192.168.1.10:13083
|
+------------------+-----------------+
/ | \
/ group route | single route \ global backend
/ | \
sw2 group backends sw2 single backend sw3 fallback backend
192.56.0.2:18084 192.56.0.2:18086 192.56.0.3:18088
192.56.0.2:18085
192.56.0.2:18087
OpenLAN 可以发布一个本地 HTTP Service 入口,并根据 HTTP Host 头将请求路由到不同后端。single.test 这样的主机名可以映射到单个后端,group.test 可以映射到多个后端并按 round-robin 方式负载均衡。没有匹配主机名的请求可以回落到全局后端。后端服务可以位于其他 OpenLAN Switch 后面,因此应用分布在多个站点时,也能保持稳定统一的服务入口。
📚 文档指南
- 📦 软件安装
- 🏢 分支接入
- 🌍 多区域互联
- 🔐 零信任网络
- 🔀 Ceci Proxy 示例
- 🐳 Docker Compose
🧪 场景测试
OpenLAN 提供了 42 个可直接执行的场景测试脚本,位于 tests/cases,
共组织为 75+ 个验证函数,累计包含 1000+ 条断言。
统一入口为 tests/start.sh。
常用命令:
# 列出所有场景
bash tests/start.sh --list
# 运行全部场景
bash tests/start.sh
# 运行指定场景
bash tests/start.sh switch_tcp access_success
# 生成测试报告(md/html)
bash tests/start.sh --report
报告查看:run.md
功能覆盖(按测试场景分组):
- Access 认证与会话
access_success:验证双客户端登录与互通,并覆盖全局加密更新后的重连。access_fail:验证错误密码拒绝。access_admin_multi_login:验证管理员多端并发。access_same_user_mutex:验证普通用户同账号互斥登录。
- Access 加密、SNAT 与 QoS
access_pre_network_crypt:验证网络级预共享密钥与更新后新旧客户端行为。access_snat_scope_matrix:覆盖 OpenVPN、Network A 与 Network B 的 SNAT 作用域矩阵。access_client_qos:验证客户端 QoS 规则的新增、更新、列表、保存和删除。
- OpenVPN 接入链路
access_openvpn:覆盖 OpenVPN 添加/删除、客户端 CCD 文件、非法 cipher 拒绝以及 AES/SM4 数据通道协商。access_openvpn_acl:验证 OpenVPN ACL 走 iptables,bridge ACL 走 ebtables。access_openvpn_client_ping:验证静态地址客户端互 ping。access_openvpn_redirect:验证源路由重定向到二级 Switch 后的 VIP 访问。access_openvpn_tcp_reset:验证服务端 TCP reset 场景。access_openvpn_snat_vip:验证 OpenVPN 客户端经 SNAT 访问远端 VIP。access_openvpn_multi_route:验证 sw1 network a 的 OpenVPN 客户端在 sw2 补充回程路由前不可达、补充后可访问 sw2 network a 与 b。access_openvpn_multi_snat:验证 sw1 network a 的 OpenVPN 客户端在无 sw2 回程路由时,启用 OpenVPN SNAT 后可访问 sw2 network a 与 b。
- OpenVPN 性能采样
access_openvpn_perf:覆盖 TCP/UDP OpenVPN 的连通性、0% 丢包 RTT 摘要、iperf3 带宽采样和 reload 持久性。
- Ceci Proxy 与 Service
proxy_http、proxy_tcp、proxy_name、proxy_name_backends:覆盖 HTTP/TCP/DNS 代理、域名匹配多后端路由和 reload 后恢复。service_tcp、service_http:覆盖 Ceci Service 的 TCP/HTTP 转发、后端路由/全局后端和重启恢复。
- Switch 基础输出链路
switch_tcp、switch_udp:覆盖 TCP/UDP output 的认证、连通、reload 和 output 删除后的隔离。
- Switch IPSec 与叠加隧道
switch_ipsec_vxlan、switch_ipsec_gre:覆盖 VxLAN/GRE output 与 IPSec 隧道建立、reload 和删除。switch_ipsec_vxlan_perf:对比无 IPSec 与启用 IPSec 后的 ping、RTT 和 TCP/UDP iperf3 采样。
- Switch ACL 与零信任
switch_acl:验证 VIP TCP/80 与 ICMP 的 ACL 新增、列表、保存、reload 和删除。switch_acl_default:验证 ACL 默认动作在 drop 和 accept 之间切换。switch_acl_network:验证 ACL ebtables hook 只作用于 bridge ingress。switch_ztrust:验证 ZTrust 启停、Guest 添加、无地址 client 错误输出、Knock add/list token 推导、其他用户 knock 失败和 reload 持久性。
- Switch 路由与转发控制
switch_bgp:验证 BGP 邻居建立、前缀接收/发布和 reload。switch_route3:验证三节点转发与静态路由可达。switch_findhop:验证 FindHop 路由绑定、删除保护、主备和负载均衡。
- Switch NAT、DHCP、限速与命名空间隔离
switch_dnat:验证 DNAT 新增、访问、reload 和删除。switch_dhcp:验证 DHCP enable/disable API、独立 dhcpConfig、dnsmasq 启停、命名空间和 Access 客户端获取租约、互 ping 以及 reload 持久性。switch_ratelimit:验证桥接与 OpenVPN 设备限速规则更新和 tc 状态。switch_setaddress:验证修改网桥地址后,地址下发、SNAT 源网段和 OpenVPN push route 随新地址范围刷新。switch_namespace、switch_namespace_snat、switch_namespace_openvpn:覆盖 VRF 绑定、SNAT 源地址改写、OpenVPN 设备入 VRF、跨网络隔离和 reload 持久性。
- Switch Output 综合性能
switch_output_perf:覆盖中心 Switch 同时接入 UDP/TCP output 的认证、连通性、0% 丢包 RTT 摘要、带宽采样和 reload 恢复。