Open vSwitch簡介
Open vSwitch是一款由Nicira Networks主導開發(fā)的虛擬交換機,可以在虛擬化平臺上運行沪摄。并且,Open vSwitch采用與平臺無關的C語言開發(fā)茉兰,充分考慮了不同平臺之間的移植性泌参。
Open vSwitch運行在虛擬化平臺上,可以為動態(tài)變化的端點提供二層交換功能签杈,很好的控制虛擬網絡中的訪問策略瘫镇、網絡隔離鼎兽、流量監(jiān)控等。另外铣除,Open vSwitch還提供了對OpenFlow協議的支持谚咬,用戶可以使用任何支持OpenFlow的控制器來遠程管控Open vSwitch。
Open vSwitch的主要模塊包括:
- ovs-vswitchd:守護程序尚粘,實現交換功能择卦。和Linux內核兼容模塊openvswitch_mod.ko一起,實現基于流的交換郎嫁。
- ovsdb-server:輕量級的數據庫服務秉继,主要保存整個Open vSwitch的配置信息。ovs-vswitchd會根據數據庫中的配置信息工作泽铛。
- ovs-dpctl:一個工具尚辑,用來配置交換機內核模塊,可以控制轉發(fā)規(guī)則盔腔。
- ovs-vsctl:主要是獲取或者更改ovs-vswitchd的配置信息腌巾,此工具操作的時候會更新ovsdb-server中的數據庫。
- ovs-ofctl:用來控制Open vSwitch作為OpenFlow交換機工作時候的流表內容铲觉。
Open vSwitch遵循Apache 2.0許可澈蝙,用戶無論是自用還是商用都可以,而同類產品大多都是收費的撵幽。Open vSwitch作為一款開源產品灯荧,雖然不收取費用但是依舊保證了高品質的產品質量。通俗的說就是盐杂,Open vSwitch的性價比相當高逗载。
Open vSwitch中的重要概念:
Bridge:代表一個以太網交換機,一個主機中可以創(chuàng)建多個Bridge链烈。
Port:與物理交換機的port概念相似厉斟,每個port都隸屬于一個Bridge。
Interface:interface連接port强衡,通常port和interface是一對一的關系擦秽,如果將port設置為bond模式,那么port和interface就是一對多的關系漩勤。
Flow table:每個datapath與一個flow table關聯感挥,當datapath接收到數據后,Open vSwitch就在flow table中查找匹配的flow越败,并且根據匹配結果采取相應的操作触幼,例如準發(fā)數據包到某個指定的端口。
基本配置命令
首先究飞,我們通過簡單的命令了解Bridge置谦、Port和Interface的概念堂鲤,并且直觀的了解三者之間的關系。Bridge媒峡、Port和Interface三者就像俄羅斯套娃一般瘟栖,添加一個bridge會配套同名的port和interface,添加一個port則會配套同名的interface丝蹭。同樣慢宗,刪除一個bridge則會將隸屬于該bridge的所有port和interface一并刪除。與俄羅斯套娃的不同之處就是奔穿,一個bridge下可以有多個port镜沽,而一個port下也可能會有多個inerface(bond模式)。
1贱田、添加網橋br0
ovs-vsctl add-br br0
2缅茉、添加port,將網口eth0掛接到br0上男摧。添加port時如果不指定interface類型則會默認尋找系統中的網口蔬墩。所以如果添加的port名稱系統中不存在,那么就會彈出錯誤提示耗拓。
ovs-vsctl add-port br0 eth0
3拇颅、在bond模式下添加port,此時的interface需要單獨指定乔询,所以port名稱可以不是系統中的網卡樟插。
ovs-vsctl add-bond br0 port0 eth2 eht3
4、刪除port竿刁,可以刪除手動添加的port黄锤,不能單獨刪除bridge配套生成的port。
ovs-vsctl del-port br0 eth0
ovs-vsctl del-port br0 br0
ovs-vsctl del-port br0 port0
5食拜、刪除bridge鸵熟,刪除bridge不僅僅會一并刪除配套生成的port,該bridge下所有的port和interface都會一起刪除负甸。
ovs-vsctl bel-br br0
簡單流表操作
OpenFlow是管理交換機流表的協議流强,ovs-ofctl是 Open vSwitch提供的命令行工具,當沒有配置控制器是惑惶,可以使用ovs-ofctl通過OpenFlow協議直接連接 Open vSwitch煮盼,并且通過創(chuàng)建、修改带污、刪除流表項等操作來管控Open vSwitch。
1香到、查看bridge信息
ovs-ofctl show br0
2鱼冀、查看流表項
ovs-ofctl dump-flows br0
3报破、下發(fā)流表,以in_port作為匹配字段千绪,將in_port為2的所有數據包從3端口轉發(fā)出去充易。
ovs-ofctl add-flow br0 'in_port=2,actions=output:3'
4、下發(fā)流表荸型,以nw_dst盹靴、nw_dst作為匹配字段,丟棄所有源IP地址為10.0.0.2瑞妇,目的IP地址為10.0.0.3的數據包稿静,需要注意的是需要指定以太網類型,其中0x800代表IPv4協議辕狰。
ovs-ofctl add-flow br0 'dl_type=0x0800,nw_src=10.0.0.2,nw_dst=10.0.0.3,actions=drop'
5改备、下發(fā)流表,以dl_src蔓倍、dl_dst作為匹配字段悬钳,將源mac地址為fa:16:3e:86:44:6c,目的mac地址為fa:13:23:3e:12:14的數據包從2端口轉發(fā)出去偶翅,并且指定該流表項的優(yōu)先級為25默勾。
ovs-ofctl add-flow br0 'priority=25,dl_src=fa:16:3e:86:44:6c,dl_dst=fa:13:23:3e:12:14,actions=output:2'
6、通過指定匹配字段刪除對應的流表項聚谁,例如母剥,刪除所有in_port=2的流表項。
ovs-ofctl del-flows br0 'in_port=2'
流表中常用字段包括:
- in_port:接收數據包的端口號
- dl_vlan:數據包的VLAN id垦巴,范圍是 0-4095媳搪,0xffff 代表不包含 VLAN Tag 的數據包
- dl_src:源MAC地址
- dl_dst:目的MAC地址
- dl_type:以太網協議類型,其中0x0800 代表IPv4協議骤宣,0x086dd代表 IPv6協議秦爆,0x0806代表ARP協議
- nw_src:源IP地址
- nw_dst:目的IP地址
- table:指定要使用的流表的編號,范圍是 0-254憔披。在不指定的情況下等限,默認值為 0。OpenFlow1.0協議只支持單流表芬膝,OpenFlow1.3協議支持多級流表望门。
流表項不僅僅需要有匹配字段,要需要有相應的動作锰霜,用于處理匹配到的數據包筹误。常見的action有:
- output:port: 將數據包從指定端口轉發(fā)出去
- mod_vlan_vid: 修改數據包中的VLAN tag
- strip_vlan: 移除數據包中的VLAN tag
- mod_dl_src/ mod_dl_dest: 修改源或者目標的MAC地址信息
- mod_nw_src/mod_nw_dst: 修改源或者目標IPv4地址信息
- resubmit:port: 替換流表的in_port字段,并重新進行匹配
