Open vSwitch簡介
Open vSwitch是一款由Nicira Networks主導開發的虛擬交換機,可以在虛擬化平臺上運行。並且,Open vSwitch採用與平臺無關的C語言開發,充分考慮了不同平臺之間的移植性。
Open vSwitch運行在虛擬化平臺上,可以爲動態變化的端點提供二層交換功能,很好的控制虛擬網絡中的訪問策略、網絡隔離、流量監控等。另外,Open vSwitch還提供了對OpenFlow協議的支持,用戶可以使用任何支持OpenFlow的控制器來遠程管控Open vSwitch。
Open vSwitch的主要模塊包括:
- ovs-vswitchd:守護程序,實現交換功能。和Linux內核兼容模塊openvswitch_mod.ko一起,實現基於流的交換。
- ovsdb-server:輕量級的數據庫服務,主要保存整個Open vSwitch的配置信息。ovs-vswitchd會根據數據庫中的配置信息工作。
- ovs-dpctl:一個工具,用來配置交換機內核模塊,可以控制轉發規則。
- ovs-vsctl:主要是獲取或者更改ovs-vswitchd的配置信息,此工具操作的時候會更新ovsdb-server中的數據庫。
- ovs-ofctl:用來控制Open vSwitch作爲OpenFlow交換機工作時候的流表內容。
Open vSwitch遵循Apache 2.0許可,用戶無論是自用還是商用都可以,而同類產品大多都是收費的。Open vSwitch作爲一款開源產品,雖然不收取費用但是依舊保證了高品質的產品質量。通俗的說就是,Open vSwitch的性價比相當高。
Open vSwitch中的重要概念:
Bridge:代表一個以太網交換機,一個主機中可以創建多個Bridge。
Port:與物理交換機的port概念相似,每個port都隸屬於一個Bridge。
Interface:interface連接port,通常port和interface是一對一的關係,如果將port設置爲bond模式,那麼port和interface就是一對多的關係。
Flow table:每個datapath與一個flow table關聯,當datapath接收到數據後,Open vSwitch就在flow table中查找匹配的flow,並且根據匹配結果採取相應的操作,例如準發數據包到某個指定的端口。
基本配置命令
首先,我們通過簡單的命令瞭解Bridge、Port和Interface的概念,並且直觀的瞭解三者之間的關係。Bridge、Port和Interface三者就像俄羅斯套娃一般,添加一個bridge會配套同名的port和interface,添加一個port則會配套同名的interface。同樣,刪除一個bridge則會將隸屬於該bridge的所有port和interface一併刪除。與俄羅斯套娃的不同之處就是,一個bridge下可以有多個port,而一個port下也可能會有多個inerface(bond模式)。
1、添加網橋br0
ovs-vsctl add-br br02、添加port,將網口eth0掛接到br0上。添加port時如果不指定interface類型則會默認尋找系統中的網口。所以如果添加的port名稱系統中不存在,那麼就會彈出錯誤提示。
ovs-vsctl add-port br0 eth03、在bond模式下添加port,此時的interface需要單獨指定,所以port名稱可以不是系統中的網卡。
ovs-vsctl add-bond br0 port0 eth2 eht3
4、刪除port,可以刪除手動添加的port,不能單獨刪除bridge配套生成的port。
ovs-vsctl del-port br0 eth0
ovs-vsctl del-port br0 br0
ovs-vsctl del-port br0 port0
5、刪除bridge,刪除bridge不僅僅會一併刪除配套生成的port,該bridge下所有的port和interface都會一起刪除。
ovs-vsctl bel-br br0
簡單流表操作
OpenFlow是管理交換機流表的協議,ovs-ofctl是 Open vSwitch提供的命令行工具,當沒有配置控制器是,可以使用ovs-ofctl通過OpenFlow協議直接連接 Open vSwitch,並且通過創建、修改、刪除流表項等操作來管控Open vSwitch。
1、查看bridge信息
ovs-ofctl show br02、查看流表項
ovs-ofctl dump-flows br0
3、下發流表,以in_port作爲匹配字段,將in_port爲2的所有數據包從3端口轉發出去。
ovs-ofctl add-flow br0 'in_port=2,actions=output:3'4、下發流表,以nw_dst、nw_dst作爲匹配字段,丟棄所有源IP地址爲10.0.0.2,目的IP地址爲10.0.0.3的數據包,需要注意的是需要指定以太網類型,其中0x800代表IPv4協議。
ovs-ofctl add-flow br0 'dl_type=0x0800,nw_src=10.0.0.2,nw_dst=10.0.0.3,actions=drop'5、下發流表,以dl_src、dl_dst作爲匹配字段,將源mac地址爲fa:16:3e:86:44:6c,目的mac地址爲fa:13:23:3e:12:14的數據包從2端口轉發出去,並且指定該流表項的優先級爲25。
ovs-ofctl add-flow br0 'priority=25,dl_src=fa:16:3e:86:44:6c,dl_dst=fa:13:23:3e:12:14,actions=output:2'
6、通過指定匹配字段刪除對應的流表項,例如,刪除所有in_port=2的流表項。
ovs-ofctl del-flows br0 'in_port=2'流表中常用字段包括:
- in_port:接收數據包的端口號
- dl_vlan:數據包的VLAN id,範圍是 0-4095,0xffff 代表不包含 VLAN Tag 的數據包
- dl_src:源MAC地址
- dl_dst:目的MAC地址
- dl_type:以太網協議類型,其中0x0800 代表IPv4協議,0x086dd代表 IPv6協議,0x0806代表ARP協議
- nw_src:源IP地址
- nw_dst:目的IP地址
- table:指定要使用的流表的編號,範圍是 0-254。在不指定的情況下,默認值爲 0。OpenFlow1.0協議只支持單流表,OpenFlow1.3協議支持多級流表。
流表項不僅僅需要有匹配字段,要需要有相應的動作,用於處理匹配到的數據包。常見的action有:
- output:port: 將數據包從指定端口轉發出去
- mod_vlan_vid: 修改數據包中的VLAN tag
- strip_vlan: 移除數據包中的VLAN tag
- mod_dl_src/ mod_dl_dest: 修改源或者目標的MAC地址信息
- mod_nw_src/mod_nw_dst: 修改源或者目標IPv4地址信息
- resubmit:port: 替換流表的in_port字段,並重新進行匹配
作者:糯米藕
鏈接:http://www.jianshu.com/p/b9b0de59ca97
來源:簡書
著作權歸作者所有。商業轉載請聯繫作者獲得授權,非商業轉載請註明出處。