控制器向上提供接口,用来供应用程序调用,此接口成为北向接口;控制器向下调用接口,控制网络设备,此接口成为南向接口。
OpenFlow是控制器和网络设备之间互通的南向协议,OpenvSwitch 用于创建软件的虚拟交换机。
原理
用户态进程
ovsdb:本地数据库,存储ovs的配置信息
vswitchd:ovs-ofctl用来跟该命令通讯,下发流表规则
install OpenvSwitch on CentOS 7 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 # 安装依赖 yum install openssl-devel python-sphinx gcc make python-devel openssl-devel kernel-devel graphviz kernel-debug-devel autoconf automake rpm-build redhat-rpm-config libtool python-twisted-core python-zope-interface PyQt4 desktop-file-utils libcap-ng-devel groff checkpolicy selinux-policy-devel gcc-c++ python-six unbound unbound-devel -y mkdir -p ~/rpmbuild/SOURCES && cd ~/rpmbuild/SOURCES # 下载ovs源码 wget https://www.openvswitch.org/releases/openvswitch-2.12.0.tar.gz tar zvxf openvswitch-2.12.0.tar.gz # 构建rpm包 rpmbuild -bb --nocheck openvswitch-2.12.0/rhel/openvswitch-fedora.spec # 安装rpm包 yum localinstall /root/rpmbuild/RPMS/x86_64/openvswitch-2.12.0-1.el7.x86_64.rpm systemctl start openvswitch.service
在编译的时候有如下报错:
1 2 3 File "/usr/lib64/python2.7/site-packages/jinja2/sandbox.py", line 22, in <module> from markupsafe import EscapeFormatter ImportError: cannot import name EscapeFormatter
是因为markupsafe的版本不对导致的,解决方法为安装合适的版本:
1 2 pip uninstall markupsafe pip install markupsafe==0.23
vlan实验 1 2 3 # 创建虚拟交换机ovs_br ovs-vsctl add-br ovs_br ovs-vsctl add-port ovs_br first_port
flow table试验 1 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 # 创建namespace ip netns add ns1 ip netns add ns2 # 创建veth pair设备 ip link add veth1 type veth peer name veth1_br ip link add veth2 type veth peer name veth2_br # 设置veth pair设备的namespace ip link set veth1 netns ns1 ip link set veth2 netns ns2 # 创建OVS网桥 ovs-vsctl add-br ovs1 # 将veth pair设备另一端绑到网桥ovs1 ovs-vsctl add-port ovs1 veth1_br ovs-vsctl add-port ovs1 veth2_br # 启动veth pair ip netns exec ns1 ip link set veth1 up ip netns exec ns2 ip link set veth2 up ip link set veth1_br up ip link set veth2_br up # 设置veth1和veth2的ip地址 ip netns exec ns1 ip addr add 192.168.1.100 dev veth1 ip netns exec ns2 ip addr add 192.168.1.200 dev veth2 # 配置路由 ip netns exec ns1 route add -net 192.168.1.0 netmask 255.255.255.0 dev veth1 ip netns exec ns2 route add -net 192.168.1.0 netmask 255.255.255.0 dev veth2
可以使用如下命令来查看刚才的操作:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 # 可以看到刚才创建的网桥 $ ovs-vsctl list-br ovs1 # 查看网桥的端口 $ ovs-vsctl list-ports ovs1 veth1_br veth2_br # 查看网桥的状态 $ ovs-vsctl show 4ec35070-a763-4748-878a-c3784b5938a4 Bridge "ovs1" Port "veth1_br" Interface "veth1_br" Port "ovs1" Interface "ovs1" type: internal Port "veth2_br" Interface "veth2_br" ovs_version: "2.12.0" # 查看interface的状态,跟port是一一对应的 $ ovs-vsctl list interface veth1_br ... mac : [] mac_in_use : "32:13:6b:99:91:2b" mtu : 1500 mtu_request : [] name : "veth1_br" ofport : 1 # ovs port编号 ...
接下来测试一下网络的连通性是没问题的。
1 ip netns exec ns1 ping 192.168.1.200
查看当前流表,可以看到有一条默认的规则,该条规则用来实现交换机的基本动作。
1 2 $ ovs-ofctl dump-flows ovs1 cookie=0x0, duration=1428.955s, table=0, n_packets=22, n_bytes=1676, priority=0 actions=NORMAL
将上述规则删除,再执行ping命令发现已经不通。说明该默认规则会将流量在端口之间进行转发。
1 ovs-ofctl del-flows ovs1
新增加如下两条规则,用来表示将port 1的流量转发到port 3,将port 3的流量转发到port 1。其中的1和3分别为port编号,使用ovs-vsctl list interface veth1_br命令中的ofport可以看到。
1 2 3 4 5 6 ovs-ofctl add-flow ovs1 "priority=1,in_port=1,actions=output:3" ovs-ofctl add-flow ovs1 "priority=2,in_port=3,actions=output:1" $ ovs-ofctl dump-flows ovs1 cookie=0x0, duration=69.378s, table=0, n_packets=4, n_bytes=280, priority=1,in_port="veth1_br" actions=output:"veth2_br" cookie=0x0, duration=69.063s, table=0, n_packets=4, n_bytes=280, priority=2,in_port="veth2_br" actions=output:"veth1_br"
再执行ping命令,发现可以ping通了。
重新增加一条优先级更高的规则,将port 1的数据drop掉。此时再ping发现已经不通了。
1 ovs-ofctl add-flow ovs1 "priority=3,in_port=1,actions=drop"
多table 接下来清理掉规则,并将规则重新写入到table1中,默认规则是写入到table0中的
1 2 3 ovs-ofctl del-flows ovs1 ovs-ofctl add-flow ovs1 "table=1,priority=1,in_port=1,actions=output:3" ovs-ofctl add-flow ovs1 "table=1,priority=2,in_port=3,actions=output:1"
此时再执行ping命令,发现网络是不通的。因为table0中没有匹配成功,包被drop掉了。
再增加如下规则,即将table 0的规则发送到table 1处理,此时可以ping通。
1 ovs-ofctl add-flow ovs1 "table=0,actions=goto_table=1"
group table 执行ovs-ofctl del-flows ovs1重新清理掉规则,执行下面命令查看group table内容,可以看到内容为空。
1 2 # ovs-ofctl -O OpenFlow13 dump-groups ovs1 OFPST_GROUP_DESC reply (OF1.3) (xid=0x2):
执行如下命令,完成数据包从table0 -> group table -> table1的过程,真正数据处理在table1中。
1 2 3 4 5 6 7 8 9 10 # 创建一个group table,其作用为将数据包发送到table 1 ovs-ofctl add-group ovs1 "group_id=1,type=select,bucket=resubmit(,1)" # 将port 1和3 的数据发往group table 1 ovs-ofctl add-flow ovs1 "table=0,in_port=1,actions=group:1" ovs-ofctl add-flow ovs1 "table=0,in_port=3,actions=group:1" # table 1为真正要处理数据的逻辑 ovs-ofctl add-flow ovs1 "table=1,priority=1,in_port=1,actions=output:3" ovs-ofctl add-flow ovs1 "table=1,priority=2,in_port=3,actions=output:1"
此时再执行ping命令,发现是可以ping通的。
清理操作 1 2 3 4 5 6 # 删除网桥 ovs-vsctl del-br ovs1 ip link delete veth1_br ip link delete veth2_br ip netns del ns1 ip netns del ns2
常用操作
ovs-appctl fdb/show ovs1: 查看mac地址表ovs-ofctl show ovs1: 可以查看网桥的端口号ovs-vsctl set bridge ovs1 stp_enable=false: 开启网桥的生成树协议ovs-appctl ofproto/trace ovs1 in_port=1,dl_dst=7a:42:0a:ca:04:65: 可用来验证一个包到达网桥后的处理流程
reference
