Open vSwitch簡介

Open vSwitch是一款由Nicira Networks主導(dǎo)開發(fā)的虛擬交換機(jī)，可以在虛擬化平臺上運(yùn)行。并且，Open vSwitch采用與平臺無關(guān)的C語言開發(fā)，充分考慮了不同平臺之間的移植性。

Open vSwitch運(yùn)行在虛擬化平臺上，可以為動態(tài)變化的端點(diǎn)提供二層交換功能，很好的控制虛擬網(wǎng)絡(luò)中的訪問策略、網(wǎng)絡(luò)隔離、流量監(jiān)控等。另外，Open vSwitch還提供了對OpenFlow協(xié)議的支持，用戶可以使用任何支持OpenFlow的控制器來遠(yuǎn)程管控Open vSwitch。

Open vSwitch的主要模塊包括：

• ovs-vswitchd:守護(hù)程序，實(shí)現(xiàn)交換功能。和Linux內(nèi)核兼容模塊openvswitch_mod.ko一起，實(shí)現(xiàn)基于流的交換。
• ovsdb-server:輕量級的數(shù)據(jù)庫服務(wù)，主要保存整個(gè)Open vSwitch的配置信息。ovs-vswitchd會根據(jù)數(shù)據(jù)庫中的配置信息工作。
• ovs-dpctl:一個(gè)工具，用來配置交換機(jī)內(nèi)核模塊，可以控制轉(zhuǎn)發(fā)規(guī)則。
• ovs-vsctl:主要是獲取或者更改ovs-vswitchd的配置信息，此工具操作的時(shí)候會更新ovsdb-server中的數(shù)據(jù)庫。
• ovs-ofctl:用來控制Open vSwitch作為OpenFlow交換機(jī)工作時(shí)候的流表內(nèi)容。

Open vSwitch遵循Apache 2.0許可，用戶無論是自用還是商用都可以，而同類產(chǎn)品大多都是收費(fèi)的。Open vSwitch作為一款開源產(chǎn)品，雖然不收取費(fèi)用但是依舊保證了高品質(zhì)的產(chǎn)品質(zhì)量。通俗的說就是，Open vSwitch的性價(jià)比相當(dāng)高。

Open vSwitch中的重要概念：

Bridge:代表一個(gè)以太網(wǎng)交換機(jī)，一個(gè)主機(jī)中可以創(chuàng)建多個(gè)Bridge。

Port：與物理交換機(jī)的port概念相似，每個(gè)port都隸屬于一個(gè)Bridge。

Interface：interface連接port，通常port和interface是一對一的關(guān)系，如果將port設(shè)置為bond模式，那么port和interface就是一對多的關(guān)系。

Flow table:每個(gè)datapath與一個(gè)flow table關(guān)聯(lián)，當(dāng)datapath接收到數(shù)據(jù)后，Open vSwitch就在flow table中查找匹配的flow，并且根據(jù)匹配結(jié)果采取相應(yīng)的操作，例如準(zhǔn)發(fā)數(shù)據(jù)包到某個(gè)指定的端口。

基本配置命令

首先，我們通過簡單的命令了解Bridge、Port和Interface的概念，并且直觀的了解三者之間的關(guān)系。Bridge、Port和Interface三者就像俄羅斯套娃一般，添加一個(gè)bridge會配套同名的port和interface，添加一個(gè)port則會配套同名的interface。同樣，刪除一個(gè)bridge則會將隸屬于該bridge的所有port和interface一并刪除。與俄羅斯套娃的不同之處就是，一個(gè)bridge下可以有多個(gè)port，而一個(gè)port下也可能會有多個(gè)inerface（bond模式）。

1、添加網(wǎng)橋br0

ovs-vsctl add-br br0

2、添加port，將網(wǎng)口eth0掛接到br0上。添加port時(shí)如果不指定interface類型則會默認(rèn)尋找系統(tǒng)中的網(wǎng)口。所以如果添加的port名稱系統(tǒng)中不存在，那么就會彈出錯誤提示。

ovs-vsctl add-port br0     eth0

3、在bond模式下添加port，此時(shí)的interface需要單獨(dú)指定，所以port名稱可以不是系統(tǒng)中的網(wǎng)卡。

ovs-vsctl add-bond br0 port0 eth2 eht3

4、刪除port，可以刪除手動添加的port，不能單獨(dú)刪除bridge配套生成的port。

ovs-vsctl del-port br0 eth0
ovs-vsctl del-port br0 br0
ovs-vsctl del-port br0 port0

5、刪除bridge，刪除bridge不僅僅會一并刪除配套生成的port，該bridge下所有的port和interface都會一起刪除。

ovs-vsctl bel-br br0

簡單流表操作

OpenFlow是管理交換機(jī)流表的協(xié)議，ovs-ofctl是 Open vSwitch提供的命令行工具，當(dāng)沒有配置控制器是，可以使用ovs-ofctl通過OpenFlow協(xié)議直接連接 Open vSwitch，并且通過創(chuàng)建、修改、刪除流表項(xiàng)等操作來管控Open vSwitch。

1、查看bridge信息

ovs-ofctl show br0

2、查看流表項(xiàng)

ovs-ofctl dump-flows br0

3、下發(fā)流表，以in_port作為匹配字段，將in_port為2的所有數(shù)據(jù)包從3端口轉(zhuǎn)發(fā)出去。

ovs-ofctl add-flow br0 'in_port=2,actions=output:3'

4、下發(fā)流表，以nw_dst、nw_dst作為匹配字段，丟棄所有源IP地址為10.0.0.2，目的IP地址為10.0.0.3的數(shù)據(jù)包，需要注意的是需要指定以太網(wǎng)類型，其中0x800代表IPv4協(xié)議。

ovs-ofctl add-flow br0 'dl_type=0x0800,nw_src=10.0.0.2,nw_dst=10.0.0.3,actions=drop'

5、下發(fā)流表，以dl_src、dl_dst作為匹配字段，將源mac地址為fa:16:3e:86:44:6c，目的mac地址為fa:13:23:3e:12:14的數(shù)據(jù)包從2端口轉(zhuǎn)發(fā)出去，并且指定該流表項(xiàng)的優(yōu)先級為25。

ovs-ofctl add-flow br0 'priority=25,dl_src=fa:16:3e:86:44:6c,dl_dst=fa:13:23:3e:12:14,actions=output:2'

6、通過指定匹配字段刪除對應(yīng)的流表項(xiàng)，例如，刪除所有in_port=2的流表項(xiàng)。

ovs-ofctl del-flows br0 'in_port=2'

流表中常用字段包括：

• in_port：接收數(shù)據(jù)包的端口號
• dl_vlan：數(shù)據(jù)包的VLAN id，范圍是 0-4095，0xffff 代表不包含 VLAN Tag 的數(shù)據(jù)包
• dl_src:源MAC地址
• dl_dst：目的MAC地址
• dl_type：以太網(wǎng)協(xié)議類型，其中0x0800 代表IPv4協(xié)議，0x086dd代表 IPv6協(xié)議，0x0806代表ARP協(xié)議
• nw_src：源IP地址
• nw_dst：目的IP地址
• table：指定要使用的流表的編號，范圍是 0-254。在不指定的情況下，默認(rèn)值為 0。OpenFlow1.0協(xié)議只支持單流表，OpenFlow1.3協(xié)議支持多級流表。

流表項(xiàng)不僅僅需要有匹配字段，要需要有相應(yīng)的動作，用于處理匹配到的數(shù)據(jù)包。常見的action有：

• output:port: 將數(shù)據(jù)包從指定端口轉(zhuǎn)發(fā)出去
• mod_vlan_vid: 修改數(shù)據(jù)包中的VLAN tag
• strip_vlan: 移除數(shù)據(jù)包中的VLAN tag
• mod_dl_src/ mod_dl_dest: 修改源或者目標(biāo)的MAC地址信息
• mod_nw_src/mod_nw_dst: 修改源或者目標(biāo)IPv4地址信息
• resubmit:port: 替換流表的in_port字段，并重新進(jìn)行匹配