- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-OpenFlow配置
本章节下载: 01-OpenFlow配置 (589.26 KB)
1.12 刷新OpenFlow实例下MAC-IP流表的三层表项
1.18.2 Action List和Action Set整合的限制
1.19 附录 B Extensibility和MAC-IP流表
1.19.1 Extensibility流表对Service Chain的支持能力
1.19.6 MAC-IP Table与Extensibility Table的配合
OpenFlow是SDN(Software Defined Network,软件定义网络)架构中定义的一个控制器与转发层之间的通信接口标准。OpenFlow允许控制器直接访问和操作网络设备的转发平面,这些网络设备可能是物理上的,也可能是虚拟的。
OpenFlow的思想是分离控制平面和数据平面,二者之间使用标准的协议通信;数据平面采用基于流的方式进行转发。
OpenFlow网络由OpenFlow设备(Switch)和控制器(Controller)通过安全通道(OpenFlow channel)组成,如图1-1所示。Switch与Controller通过TLS或者TCP建立安全通道,进行OpenFlow消息交互,实现表项下发、查询以及状态上报等功能。下文如果没有特殊说明,交换机指的就是OpenFlow设备。
图1-1 OpenFlow网络组成
OpenFlow Switch有下面两种:
· OpenFlow-Only Switch:仅支持OpenFlow转发。
· OpenFlow-Hybrid Switch:既支持OpenFlow转发,也支持正常转发。本设备即属于OpenFlow-Hybrid Switch类型。
OpenFlow接口有下面三类:
· 物理接口:比如交换机的二层以太网接口。可以作为入接口和出接口。
· 逻辑接口:比如二层聚合接口、Tunnel接口等。可以作为入接口和出接口,其中Tunnel接口只可以作为出接口。目前仅支持GRE Tunnel和VXLAN Tunnel两种Tunnel接口。
· 保留接口:由转发动作定义的接口,实现OpenFlow转发功能。在流表项中各接口类型的支持情况请参见表1-1。
|
不支持 |
|||
|
不支持 |
|||
OpenFlow支持多实例。每个OpenFlow实例可以单独连接控制器,相当于一台独立的交换机,根据控制器下发的流表项指导流量转发。
OpenFlow实例有三种类型:
· VLAN实例:配置VLAN内的流量根据OpenFlow流表项转发,其它VLAN内的流量进行正常转发。
· 接口实例:配置接口的流量根据OpenFlow流表项转发,其它接口的流量进行正常转发。
本设备目前仅支持全局实例和VLAN实例两种类型。
OpenFlow需要将设备的支持能力、当前的接口信息等设备信息上报给控制器后,控制器才能够下发流表项指导转发。
在配置更改的情况下,需要重新激活实例使配置生效。激活配置后,OpenFlow实例会与所有控制器断开连接,然后重新进行连接。
OpenFlow协议规定需要将接口信息上报给控制器,这些接口包括物理接口、逻辑接口以及保留接口中的Local。
对于通过VLAN划分作用范围的OpenFlow实例:
· 非Loosen模式:当且仅当接口所属VLAN完全包含了OpenFlow实例配置的映射VLAN后,该接口才是此OpenFlow实例的接口,可以被交换机上报到控制器。
· Loosen模式:如果配置了loosen模式,只要接口所在VLAN与实例配置的映射VLAN存在交集,接口就属于OpenFlow实例。
OpenFlow通过流表(Flow Table)来匹配和处理报文,每个流表由一个或多个流表项(Flow Entry)组成,在同一个流表中按流表项的优先级进行先后匹配。一台交换机上可以包含一个或者多个流表。
· MAC-IP流表:通过MAC地址表和FIB表实现。只能匹配目的MAC地址、VLAN以及目的IP地址,动作也仅支持修改目的MAC地址、源MAC地址、VLAN以及指定出接口。具体请参见1.19 附录 B Extensibility和MAC-IP流表。
· Extensibility流表:扩展流表,使用TCAM(Ternary Content Addressable Memory,三态内容寻址存储器)或者软件实现。可以匹配报文的源MAC地址、目的MAC地址、源IP地址、目的IP地址、报文优先级、TCP源端口、TCP目的端口等。
· Match Fields:匹配规则。可以匹配入接口、报文头等字段。
· Priority:优先级。定义流表项之间的匹配顺序,优先级高的先匹配。
· Counters:统计计数。统计有多少个报文和字节匹配到该流表项(上送控制器的报文不支持统计)。
· Instructions:动作指令集。定义匹配到该流表项的报文需要进行的处理。流表项动作指令集是对动作进行操作,流表项的动作有两种执行类型:
¡ 动作集(Action Set):一系列动作的组合,不会立刻修改报文内容,直到报文不再需要进入下一级流表,动作集里每种动作仅能存在一个,并且按照表1-2从上到下的顺序执行。
¡ 动作序列(Action List):需要立即执行的一系列动作,其动作内容与Action Set相同,但是会立即修改报文的内容,其效果是累加的,并且执行顺序是按照下发的顺序执行的。
表1-3 动作类型(1.3.1版本)
|
可选/必选 |
||
|
Output动作转发报文到特定的OpenFlow端口,比如物理端口,逻辑端口以及OpenFlow保留端口 |
||
|
并没有直接的动作来代表Drop,当动作集中不含有Output指令时,报文会被丢弃。通常来说空指令集,空动作集或者执行清空动作集后,报文会被丢弃 |
||
|
将报文转交给指定的Group处理,该动作的确切含义由Group的类型定义 |
||
|
Set-Queue动作为报文指定队列ID。当报文被转发到特定端口时,队列ID通常被用于基本QoS |
||
|
Push-Tag/Pop-Tag(不支持) |
Push-Tag和Pop-Tag动作适用于VLAN头、MPLS头、PBB头(802.1AH) |
|
|
Set-Field动作可以识别报文字段的类型,并且可以修改该字段的值。Set-Field 动作通常只适用于最外层的字段(比如当内外层均有VLAN taqg时,该动作只修改最外层的VLAN Tag) |
||
|
Change-TTL动作可以改变报文中IPv4的TTL,IPv6的Hop Limit。同样,Change-TTL也只适用于最外层的字段。该动作可以设置TTL(TTL必须已经存在)、减少TTL、TTL值拷贝(inwards/outwards) |
· Timeouts:超时时间。包括了idle time和hard time。
¡ idle time:在idle time时间内,如果没有报文匹配到该流表项,则在idle time超时后删除此流表项;如果有报文匹配到该流表项,则刷新idle time(上送控制器的报文即使匹配了流表项,也不会更新该表项的idle time)。
¡ hard time:在hard time时间超时后,无论是否有报文匹配到该流表项,此流表项都会被删除。
· Cookie:控制器下发的流表项的标识。
如图1-3所示,当报文进入交换机后,必须从流表ID最小的流表开始依次匹配;流表可以按次序从小到大越级跳转,但不能从某一流表向前跳转至流表ID更小的流表。一旦在某个流表匹配到后,会更新此报文的动作集(允许被下一级流表覆盖),到了最后一个流表后,所有的动作会被执行,此时报文的内容会被修改,指定出接口进行转发。如果在某个流表处理时,处理指令包含Action List,则报文的一份拷贝立即执行Action List而不需要在最后一个流表处理结束后再执行。
图1-3 OpenFlow转发示意图
每个流表都包含一个Table Miss流表项,该表项用于定义在流表中没有匹配的报文的处理方式,该表项的匹配域为通配,即匹配任何报文,优先级为0,动作指令与正常表项相同。
Group Table由Group表项组成,Group表项被流表项所引用,提供额外的报文转发功能。
图1-4 Group表项结构
· Group Identifier:Group ID,用于识别Group,32bits。
· Group Type:Group类型。
¡ All:执行所有动作桶,用于组播或者广播。
¡ Select:自动选择一个动作桶执行。
¡ Indirect:始终执行固定的动作桶。
¡ Fast failover:始终执行第一个活跃的动作桶。
· Counters:当报文被Group处理时,更新计数器。
· Action Buckets:一个由动作桶组成的有序列表。每个动作桶由许多动作组成。
Meter Table由Meter表项组成,Meter表项被流表项所引用,为所有引用Meter表项的流表项提供报文限速的功能。
图1-5 Meter表项结构
· Meter Identifier:Meter ID,用于识别meter,32bits。
· Meter Bands:一个Meter表项可以包含一个Meter Band,该Meter Band定义了速率以及动作。当报文的速率超过了该Meter Band,则根据该Meter Band中定义的动作进行处理。
· Counters:当报文被Meter处理时,更新计数器。
· Band Type:Band类型,定义报文如何处理。为可选,可使用丢弃(drop),即报文高于该速率会被丢弃。
· Rate:Meter用于选择Band的最低速率,即报文速率高于该速率并最接近该速率,该Band将被应用。
· Counters:当Band处理报文时,更新计数器。
· Type Specific arguments:某些Band含有的特定参数。
交换机与控制器通过TLS或者TCP建立Channel,进行OpenFlow消息交互,实现表项下发、查询以及状态上报等功能。
OpenFlow协议中定义了三种消息类型Controller to Switch消息、异步消息和同步消息,每种报文类型都有很多子类型。
Controller to Switch消息是指由控制器产生并发送到交换机,用来查询交换机的消息,可以不需要交换机响应。这些消息主要由控制器用来对交换机进行状态查询和修改配置等操作。
表1-4 Controller to Switch消息(1.3.1版本)
|
用于管理交换机的状态,如流表项和端口状态。该命令主要用于增加、删除、修改、交换机内的流表表项,组表表项以及交换机端口的属性 |
|
|
用于通过交换机特定端口发送报文,这些报文可以通过Packet-In消息触发,也可以通过控制器直接发送。通常Packet-Out消息包含整个之前接收到的Packet-In消息所携带的报文或者buffer ID(用于指示存储在交换机内的特定报文)。这个消息需要包含一个动作列表,当、交换机收到该动作列表后会对Packet-Out消息所携带的报文执行该动作列表。如果动作列表为空,Packet-Out消息所携带的报文将被交换机丢弃 |
|
|
用于确认之前下发动作是否成功。控制器发送Barrier请求消息,当交换机确认之前下发的流表等操作都已经成功时会回复Barrier应答消息 |
|
|
用于设定或查询OpenFlow channel的角色。通常用于交换机和多个控制器相连的情况 |
|
|
控制器使用该报文设定异步消息过滤器来接收其只希望接收到的异步消息报文,或者向交换机查询该过滤器。通常用于交换机和多个控制器相连的情况 |
异步(Asynchronous)消息是由交换机发送给控制器,用来通知交换机上发生的某些异步事件的消息。例如,当某一条规则因为超时而被删除时,交换机将自动发送一条Flow-Removed消息通知控制器,以便控制器做出相应的操作,如重新设置相关规则等。
|
转移报文的控制权到控制器。对于所有通过匹配流表项或者Table Miss后转发到保留端口Controller端口的报文均要通过Packet-in消息送到控制器。也有部分其他流程,如TTL检查等,也需要通过该消息和控制器交互。Packet-In既可以携带报文,也可以通过在交换机内部设置报文的Buffer来仅携带报文头以及其Buffer ID传输给控制器。控制器在接收到Packet-In消息后会对其接收到的报文或者报文头和Buffer ID进行处理,并发回Packet-out消息通知交换机如何处理该报文 |
|
对称(Symmetric)消息,就是双向对称的消息,主要用来建立连接和检测对方是否在线等。
|
用于验证控制器与交换机之间连接的存活,控制器和交换机都会发送Echo request/reply消息,而且对于接受到的Echo request消息必须能返回Echo reply消息。也可用于测量控制器与交换机之间链路的延迟和带宽 |
|
· OpenFlow Switch Specification Version 1.3.1
· 当因交换机(OpenFlow实例)上送Controller的流量较大而导致某些协议运行不稳定时,建议在缺省流表项MissRule中增加限速动作来控制交换机上送Controller流量的大小。关于如何在缺省流表项MissRule中增加限速动作,请参见《H3C VCF控制器REST API》。
· 为确保设备转发正常,下发给设备的流表项中,建议不要使用转发报文到DR口(分布式聚合接口)的Output动作。
· 当配置全局实例时,需要注意:
¡ MAC-IP流表不支持GRE Tunnel接口和VXLAN tunnel接口作为出接口。
¡ Group Table不支持GRE Tunnel接口和VXLAN tunnel接口作为出接口。
¡ Group Table不支持PEX设备上的接口作为出接口。关于PEX设备的介绍,请参见“虚拟化技术配置指导”中的“IRF3.1”。
¡ 当流量匹配到某一OpenFlow流表项,如果该流表项的Output动作指定的出接口为GRE Tunnel接口时,流量的入端口必须为三层接口且该流量的目的MAC必须与三层入接口的MAC地址相同。
¡ 当流量匹配到某一OpenFlow流表项,如果该流表项的Output动作指定的出接口为VXLAN Tunnel接口时,则流量的入端口必须存在该VXLAN Tunnel出接口所关联VXLAN的相关配置。
¡ 当下发某流表项的Output动作指定出接口为GRE Tunnel接口时,为保证流表项的正常下发,建议在指定的GRE Tunnel出接口处于UP状态时进行该流表项的下发操作。有关下发流表项的介绍,请参见《H3C VCF控制器REST API》。
表1-7 OpenFlow配置任务简介
|
配置OpenFlow实例的基本能力 |
||||
|
配置Extensibility表的流表项的最大个数 |
||||
|
配置禁止MAC地址学习 |
||||
|
配置SSL服务器 |
可选 |
|||
|
可选 |
||||
|
配置禁止上送Controller的端口类型 |
可选 |
|||
|
配置禁止ARP报文上送的控制器 |
可选 |
|||
|
配置允许聚合组成员端口加入OpenFlow实例 |
可选 |
|||
|
配置OpenFlow数据转发平面功能 |
可选 |
|||
|
配置辅助连接 |
可选 |
|||
|
配置OpenFlow定时器 |
||||
|
配置匹配慢速协议报文的高优先级流表项 |
可选 |
|||
|
配置允许ARP报文修改OpenFlow ARP表项 |
可选 |
|||
|
配置OpenFlow报文的DSCP值 |
可选 |
|||
|
关闭流表项变化成功后打印日志的开关 |
可选 |
|||
|
刷新OpenFlow实例下MAC-IP流表的三层表项 |
可选 |
|||
|
开启OpenFlow连接备份功能 |
可选 |
|||
|
配置OpenFlow的关闭接口功能 |
可选 |
|||
|
使能OpenFlow环路保护功能 |
可选 |
|||
|
创建OpenFlow实例,并进入OpenFlow实例视图 |
||
|
(可选)配置OpenFlow实例描述 |
缺省情况下,没有配置OpenFlow实例的描述信息 |
下面配置用于定义OpenFlow实例的基本能力,交换机在与控制器建立连接后会上报这些基本能力,控制器根据这些能力下发表项。
OpenFlow实例支持如下两种作用域划分类型:
· 全局实例:通过配置全局实例把整个交换机划分在一个OpenFlow作用域内,实现该交换机上所有流量均根据OpenFlow流表项转发。此时的交换机在功能上相当于一个OpenFlow-Only Switch。
· VLAN实例:通过配置对应的VLAN来隔离OpenFlow作用域,在配置VLAN内的流量根据OpenFlow流表项转发,其它VLAN内的流量进行正常转发。
· 不允许三层子接口(例如:三层以太网子接口和三层聚合子接口等)的子接口编号与OpenFlow的实例VLAN相同,否则会造成相应子接口转发普通数据异常。
· 当配置VLAN实例时,请确保根据VLAN & mask规则计算出来的VLAN区间不能包含VLAN 4095,否则会造成三层接口转发普通数据异常。
· 不允许实例下配置的对应VLAN和普通业务VLAN之间存在交集,否则会造成OpenFlow流量无法正确处理。
· 不同实例下配置的对应VLAN不允许有交集,否则会造成一个VLAN在多个实例中,流量无法正确处理。
· 如果配置的对应VLAN不存在,在激活实例后,不存在的VLAN会自动创建。
· 如果同一个接口所属VLAN被分配到不同OpenFlow实例,该接口上的配置以最后收到的控制器下发的接口状态修改消息为准。
· 在IRF模式下,如果为OpenFlow实例的对应VLAN创建了VLAN接口,为了确保IRF成员设备间的流量能够正常转发,请不要在该VLAN接口上配置BFD MAD检测功能。BFD MAD检测功能的相关内容请参见“虚拟化技术配置指导”中的“IRF”。
表1-9 配置OpenFlow实例作用域
|
进入OpenFlow实例视图 |
||
|
配置OpenFlow实例作用域 |
classification { global | vlan vlan-id [ mask vlan-mask ] [ loosen ] } |
缺省情况下,没有配置OpenFlow实例作用域 |
· 一个OpenFlow实例最多仅支持配置一个MAC-IP表和一个Extensibility表。
· Extensibility流表ID必须大于MAC-IP流表ID。
OpenFlow实例中可以配置多个流表。
|
进入OpenFlow实例视图 |
||
|
flow-table { extensibility table-id | mac-ip table-id } |
缺省情况下,实例包含了一个Extensibility流表,流表ID为0 如果多次配置本命令,新配置将覆盖旧配置,重新激活实例后新配置生效 |
· Single模式:同一时刻,仅与一个控制器建立连接,配置的多个控制器之间互为备份。当且仅当当前的连接断开后,交换机会连接下一个控制器,直到连接成功。
· Multiple模式:同一时刻,允许与多个控制器建立连接。交换机会连接配置的所有控制器,在与某个控制器连接失败或者断开连接后,在重连时间间隔后重新与之进行连接,直到连接成功。
|
进入OpenFlow实例视图 |
||
|
配置实例内的多个控制器的连接模式 |
在OpenFlow实例中允许定义Extensibility流表支持的表项最大值,当控制器下发的流表表项个数超过最大值的时候,向控制器返回失败。
表1-12 配置Extensibility表的流表项的最大个数
|
进入OpenFlow实例视图 |
||
|
配置Extensibility表的流表项的最大个数 |
缺省情况下,Extensibility流表项的上限值为65535 |
在OpenFlow实例中允许配置带内管理VLAN,这些VLAN中流量是正常转发的,用于OpenFlow设备与控制器建立安全通道。
· 带内管理VLAN中配置的VLAN必须是OpenFlow实例配置的对应VLAN的子集。
· 配置带内管理VLAN后,这些VLAN内的流量不再是OpenFlow转发,而是进行正常转发,并且仅在带内管理VLAN的接口不属于OpenFlow接口。
|
进入OpenFlow实例视图 |
||
配置该功能后,OpenFlow实例配置的VLAN上MAC地址学习的功能被禁止。
带内管理VLAN中配置的VLAN不受该功能限制。
表1-14 配置禁止MAC地址学习
|
进入OpenFlow实例视图 |
||
|
配置禁止MAC地址学习 |
缺省情况下,实例配置的VLAN上允许MAC地址学习 |
Datapath ID用来唯一标识一台交换机(或某个OpenFlow实例),不同交换机(OpenFlow实例)的Datapath ID不能相同,配置时请注意。
|
进入OpenFlow实例视图 |
||
|
datapath-id id |
缺省情况下,OpenFlow实例的Datapath ID由实例ID与设备桥MAC组成,其中前16个比特为实例ID,后48个比特为设备桥MAC |
关于SSL的介绍和基本功能配置,请参见“安全配置指导”中的“SSL”。
OpenFlow实例启动SSL服务器之后,SSL客户端可以连接SSL服务器,并使用这个连接的通道完成OpenFlow协议的通信。
没有启动SSL服务器时,设备作为TCP/SSL客户端主动连接控制器(SSL服务器,需要相应配置);启动SSL服务器之后,设备作为SSL服务器端被动等待控制器(SSL客户端)连接。
表1-16 配置SSL服务器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
配置SSL服务器 |
listening port port-number ssl ssl-policy-name |
缺省情况下,未配置SSL服务器 不能通过重复执行本命令修改OpenFlow实例启动的SSL服务器。如需修改,请先通过undo listening port命令删除OpenFlow实例启动的SSL服务器, 再执行listening port命令重新启动SSL服务器 |
如果配置了本命令,则实例下所有流表的缺省table miss动作为走正常二三层转发。如果没有配置本命令,则实例下所有流表的缺省table miss动作为丢弃。
|
进入OpenFlow实例视图 |
||
|
缺省情况下,缺省的table miss动作为丢弃 |
配置该功能后,交换机不再向控制器上送对应VLAN接口或三层以太网接口的信息。
|
进入OpenFlow实例视图 |
||
|
配置禁止上送Controller的端口类型 |
forbidden port { l3-physical-interface | vlan-interface | vsi-interface } * |
缺省情况下,所有接口都上送Controller。 需要注意的是,vsi-interface参数配置后不生效 |
配置该功能后,交换机不再向指定控制器上送ARP报文,防止设备中的大量ARP报文冲击这些控制器。
表1-19 配置禁止ARP报文上送的控制器
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
配置禁止ARP报文上送的控制器 |
forbidden packet-in arp controller controller-id-list |
缺省情况下,未配置禁止ARP报文上送的控制器 |
配置该功能后,允许聚合组成员端口(包括二层聚合组成员端口和三层聚合组成员端口)像普通物理端口一样在满足一定的条件时成为OpenFlow实例接口,并将端口信息上送Controller。有关OpenFlow实例接口的介绍,请参见“1.1.4 3. 实例所属接口”。
表1-20 配置允许聚合组成员端口加入OpenFlow实例
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
配置允许聚合组成员端口加入OpenFlow实例 |
permit-port-type member-port |
缺省情况下,不允许聚合组成员端口加入OpenFlow实例 |
在转发与控制分离的组网中,设备需要开启OpenFlow数据转发平面功能,才能将用户侧接口(以太网服务实例所在的接口)与VXLAN的对应关系,以及VXLAN-DCI隧道与VXLAN的对应关系上送控制器,控制器根据这些接口对应关系生成流表项再下发到设备,指导报文转发。
表1-21 开启OpenFlow数据转发平面功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
开启OpenFlow数据转发平面功能 |
data-plane enable |
缺省情况下,OpenFlow数据转发平面功能处于关闭状态 |
此功能用于激活实例。如果实例已经与控制器建立了连接,此时修改了实例基本能力配置并重新激活,交换机会断开与所有控制器的连接,清除已经下发的流表,根据当前的配置更新OpenFlow实例的能力集,重新与控制器建立连接。
OpenFlow实例的基本能力配置修改并重新激活实例会导致流量中断,请谨慎使用。
|
进入OpenFlow实例视图 |
||
一个OpenFlow交换机可以与多个Controller建立连接,初始连接时,多个Controller的角色相同,权限相同,Controller可以通过OpenFlow消息设置本Controller的角色,各种角色的权限如表1-23所示。具体如何设置Controller的角色请参见《H3C VCF控制器用户手册》。
|
处于该角色的Controller拥有全部权限,可以下发流表项,查询统计信息,接收设备上报的状态信息,在多个Controller中仅能有一个Controller是Master角色 |
|
|
处于该角色的Controller同样拥有全部权限,相对于Master角色,唯一不同的是可以有多个Controller处于Equal角色 |
|
|
处于该角色的Controller仅拥有部分权限,Controller to switch消息中不能下发流表项,Group表项以及Meter表项,不允许修改接口配置和设备配置,不允许执行Packet Out操作。异步消息中,默认情况下设备不会上送Flow Remove消息和Packet In消息,仅能上送接口状态变化消息,但是异步消息的上送能力可以通过Controller的设置异步消息进行修改 |
交换机可以连接多个控制器,但仅允许与每个控制器建立一个主连接,一般用于控制消息的处理(下发流表项、获取数据、信息上报等),需要使用TCP/SSL保持可靠的连接。
|
进入OpenFlow实例视图 |
||
|
controller controller-id address { ip ipv4-address | ipv6 ipv6-address } [ port port-number ] [ local address { ip local-ipv4-address | ipv6 local-ipv6-address } [ port local-port-number ] ] [ ssl ssl-policy-name ] [ vrf vrf-name ] |
建议控制器的IP地址使用单播地址,否则交换机和控制器之间可能无法建立连接 通过local address参数指定的源IP地址,建议使用单播地址,且该IP地址需是OpenFlow实例中某一接口的IP地址,否则交换机和控制器之间可能无法建立连接。 |
OpenFlow通道可以由一个主连接和多个辅助连接组成。辅助连接用于提高控制器和OpenFlow交换机的通信能力。辅助连接的目的地址和接口号可以和主连接不一致。
· 辅助连接命令行和主连接命令行不做额外的检查处理。如果配置冲突,辅助连接将无法建立。
· 地址或接口号未指定时,和主连接一致。
表1-25 配置辅助连接
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
配置实例辅助连接 |
controller id auxiliary auxiliary-id transport { tcp | udp | ssl ssl-policy-name } [ address { ip ipv4-address | ipv6 ipv6-address } ] [ port port-number ] |
缺省情况下,不存在辅助连接 |
一旦交换机与所有控制器断开连接,则交换机必须进入连接中断模式,模式分为几种:
· Secure模式:连接断开后,交换机根据流表项转发。不主动删除控制器下发的表项,而是等待表项超时后进行删除,一旦连接建立成功,未超时的表项依然存在。匹配的流表项中执行output controller动作转发的流量,会被丢弃。
· Smart模式:连接断开后,交换机根据流表项转发。不主动删除控制器下发的表项,而是等待表项超时后进行删除,一旦连接建立成功,未超时的表项依然存在。匹配的流表项中执行output controller动作转发的流量,会进行正常转发。
· Standalone模式:连接断开后,交换机立即生成优先级为65536,出接口为Normal的流表项,数据匹配该流表项后进行普通转发。不主动删除控制器发的表项,而是等待表项超时后进行删除,一旦连接建立成功,未超时的表项依然存在。
如果交换机与控制器重新连接成功,则继续作为OpenFlow设备根据流表项进行转发。
|
进入OpenFlow实例视图 |
||
|
fail-open mode { secure | smart | standalone } |
缺省情况下,OpenFlow实例建立时,缺省为Secure模式,且为该实例下发Table Miss表项(动作为drop) |
控制器和交换机都会发送Echo request/reply报文,用于验证连接是否正常。
连接检测定时器用来定义发送Echo request报文时间间隔,当超过三次Echo request报文发送并且没有收到Echo reply报文,则交换机与控制器的连接断开。
重连定时器用来定义OpenFlow实例与控制器断开连接后下次开始重新连接的时间。
|
进入OpenFlow实例视图 |
||
|
缺省情况下,发送Echo request报文的时间间隔为5秒 |
||
|
controller connect interval interval |
缺省情况下,OpenFlow实例与控制器重连尝试的时间间隔为60秒 |
此功能仅在支持MAC-IP流表情况下,决定是否支持控制器在查询或者删除流表项时包含动态MAC地址。
|
进入OpenFlow实例视图 |
||
本功能用来配置匹配慢速协议报文的高优先级流表项,动作为丢弃。慢速协议目前支持LACP和OAM协议。
表1-29 配置匹配慢速协议报文的高优先级流表项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
配置匹配慢速协议报文的高优先级流表项 |
protocol-packet filter slow |
缺省情况下,未配置匹配慢速协议报文的高优先级流表项 |
配置本功能后,OpenFlow ARP表项可以被动态ARP表项覆盖,即允许ARP报文修改OpenFlow ARP表项。本功能仅支持MAC-IP流表。
表1-30 配置允许ARP报文修改OpenFlow ARP表项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
配置允许ARP报文修改OpenFlow ARP表项 |
precedence dynamic arp |
缺省情况下,不允许ARP报文修改OpenFlow ARP表项 |
本功能用来配置OpenFlow报文的DSCP值。
表1-31 配置OpenFlow报文的DSCP值
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
配置OpenFlow报文的DSCP值 |
tcp dscp dscp-value |
缺省情况下,未配置OpenFlow报文的DSCP值 本配置只对TCP连接生效 |
配置本功能后,流表项变化成功后不再打印日志,其它情况仍然继续打印日志。
表1-32 关闭流表项变化成功后打印日志的开关
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
关闭流表项变化成功后打印日志的开关 |
flow-log disable |
缺省情况,流表项变化成功后打印日志的开关处于开启状态 |
某些情况下,MAC-IP流表的三层表项会被覆盖,此时需要手工执行本命令刷新MAC-IP流表,重新从控制器获取新的三层表项。
表1-33 刷新OpenFlow实例下MAC-IP表的三层表项
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
刷新OpenFlow实例下MAC-IP流表的三层表项 |
refresh ip-flow |
- |
本功能只在基于TCP的OpenFlow连接上有效。
本功能通过备份OpenFlow连接信息,使设备在发生主备倒换时保持OpenFlow连接。
本功能仅支持设备只有两个主控板(MPU)进行主备倒换的场景。
表1-34 开启OpenFlow连接备份功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
开启OpenFlow连接备份功能 |
tcp-connection backup |
缺省情况下,OpenFlow连接备份功能处于开启状态 |
开启本功能后,可以通过display interface命令查看到接口显示信息中Current state为OFP DOWN。
开启本功能后,除了通过undo openflow shutdown命令打开接口,还可以通过收到控制器下发的PORT_MOD消息来打开接口。
表1-35 配置OpenFlow的关闭接口功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入接口视图 |
interface interface-type interface-number |
- |
|
配置OpenFlow的关闭接口功能 |
openflow shutdown |
缺省情况下,未配置OpenFlow的关闭接口功能 |
用户将OpenFlow实例去激活之后,OpenFlow下发一条流表项,用于丢弃实例所属VLAN范围内的所有流量,从而避免环路。
表1-36 使能OpenFlow环路保护功能
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入OpenFlow实例视图 |
openflow instance instance-id |
- |
|
使能OpenFlow环路保护功能 |
loop-protection enable |
缺省情况下,OpenFlow环路保护功能处于关闭状态 |
在完成上述配置后,在任意视图下执行display命令可以显示配置后OpenFlow的运行情况。
表1-37 OpenFlow显示和维护
|
显示OpenFlow实例的详细信息 |
display openflow instance [ instance-id ] |
|
显示OpenFlow实例的流表信息 |
display openflow instance instance-id flow-table [ table-id ] |
|
显示OpenFlow实例的控制器信息 |
display openflow instance instance-id { controller [ controller-id ] | listened } |
|
显示OpenFlow实例的Group信息 |
display openflow instance instance-id group [ group-id ] |
|
显示OpenFlow实例的Meter信息 |
display openflow instance instance-id meter [ meter-id ] |
|
显示OpenFlow实例的概要信息 |
display openflow summary |
|
显示OpenFlow实例的辅助连接信息和收发的报文统计信息等 |
display openflow instance instance-id auxiliary [ controller-id [ auxiliary auxiliary-id ] ] |
|
reset openflow instance instance-id { controller [ controller-id ] | listened } statistics |
· 创建OpenFlow实例1,把VLAN 4092和4094映射到OpenFlow实例中1,并激活实例。
· 使用VLAN 1作为OpenFlow与控制器通信的VLAN。
· 配置OpenFlow实例1连接的控制器,用来控制Switch上的流量转发。
图1-7 OpenFlow配置组网图
# 创建VLAN 4092和4094。
[Switch] vlan 4092
[Switch-vlan4092] quit
[Switch] vlan 4094
[Switch-vlan4094] quit
# 创建VLAN接口1并配置IP地址。
[Switch] interface vlan-interface 1
[Switch-Vlan-interface1] ip address 192.168.49.1 24
[Switch-Vlan-interface1] quit
(2) 配置GigabitEthernet3/0/1接口为OpenFlow实例1的实例接口
# 配置GigabitEthernet3/0/1接口的链路类型配置为Trunk,并允许VLAN 4092和VLAN 4094的报文通过。
[Switch] interface gigabitethernet 3/0/1
[Switch-GigabitEthernet3/0/1] port link-type trunk
[Switch-GigabitEthernet3/0/1] port trunk permit vlan 4092 4094
[Switch-GigabitEthernet3/0/1] quit
(3) 创建OpenFlow实例1并配置实例对应的VLAN
[Switch-of-inst-1] classification vlan 4092 mask 4093
(4) 配置控制器1的IP地址为192.168.49.49,并激活实例
[Switch-of-inst-1] controller 1 address ip 192.168.49.49
[Switch-of-inst-1] active instance
[Switch-of-inst-1] quit
# 显示实例详细信息。
[Switch] display openflow instance 1
Instance 1 information:
Configuration information:
Description : --
Active status : Active
Inactive configuration:
None
Active configuration:
Classification VLAN, total VLANs(2)
4092, 4094
In-band management VLAN, total VLANs(0)
Empty VLAN
Connect mode: Multiple
MAC address learning: Enabled
TCP DSCP value: 10
Flow table:
Table ID(type): 0(Extensibility), count: 0
Flow-entry max-limit: 65535
Datapath ID: 0x00010000fc002500
Default table-miss: Drop
Forbidden port: None
Qinq Network: Disabled
TCP connection backup: Enabled
Port information:
GigabitEthernet3/0/1
Active channel information:
Controller 1 IP address: 192.168.49.49 port: 6633
(1) VLAN匹配
在使用VLAN划分OpenFlow实例的情况下,对VLAN的匹配存在一定的限制。
表1-38 VLAN匹配项列表
|
匹配在OpenFlow实例VLAN内的所有报文 |
||
|
匹配无VLAN tag的报文,但是入接口的PVID必须是在OpenFlow实例内 |
||
|
-/有值 |
||
|
-/非0x1000的值 |
||
|
匹配有VLAN tag的报文,但是该VLAN tag必须在OpenFlow实例内 |
||
|
-/有值 |
根据VLAN+MASK进行匹配,前提是VLAN+MASK必须在OpenFlow实例内 |
|
对于协议报文,一旦相关的协议配置使能后,协议报文不会进入OpenFlow转发处理,仍然由相关协议进行处理,但是对于LLDP报文比较特殊,对于LLDP报文的使用限制请参见1.18.5 。
(3) MetaData的匹配
MetaData用于流表间的匹配信息传递,在非第一级流表支持下发MetaData的匹配,如果Controller在第一级流表下发了MetaData的匹配项,Switch返回不支持。
· 单级流表的情况下,支持Clear actions。
· 多级流表的情况下,仅第一级流表支持Clear actions与其它instruction的动作配合,后续流表仅支持单独下发Clear Actions。
不支持Action List中包含多个Output的情况,仅支持一个Output时,请参见1.18.2 。
在且仅在非最后一级流表的情况下,Switch支持Write MetaData/MetaMask的操作,否则Switch返回不支持。
在且仅在非最后一级流表的情况下,Switch支持Go To Table的操作,否则Switch返回不支持。
OpenFlow Switch设备整合Action Set和Action List为Action Set,其整合原则如下。
Action List和Action Set中的Action(除Output和Group外)如果不存在冲突,则全部保留为Action Set;如果存在冲突,则以Action Set的动作替换Action List中的动作(其原因是Action List要执行在Action Set之前)。
· 当Action List和Action Set中都存在一个Output的Action时,Action List中的Output发送的报文不会对报文进行任何修改,其执行顺序最优,Action Set中的Ouput会执行Action List和Action Set中的所有修改。
· 当Action List和Action Set中仅存在一个Output的Action时,该Output为报文出接口,执行顺序按照Action Set的顺序。
· 当Action List中存在一个Output的Action,Action Set中存在一个Group的Action(Output的Action存在与否都可以)时,Action List中的Output发送的报文不会对报文进行任何修改,Group在Action Set中。
OpenFlow保留口在Packet out消息中的支持情况,如表1-39所示。
表1-39 Packet out消息中保留接口的支持情况
|
类型 |
入端口 |
出端口 (入端口为保留口) |
出端口 (入端口为物理接口或逻辑接口) |
说明 |
|
ALL |
不支持 |
支持 |
支持 |
报文从所有接口发送 |
|
Controller |
支持 |
不支持 |
不支持 |
报文上送控制器 |
|
Table |
不支持 |
支持 |
支持 |
报文重新进入流表进行匹配 |
|
In Port |
不支持 |
不支持 |
支持 |
报文从入接口转发 |
|
Any |
不支持 |
不支持 |
不支持 |
接口通配描述,不能作为入接口以及出接口 |
|
Local |
不支持 |
不支持 |
支持 |
报文上送本地CPU |
|
Normal |
不支持 |
不支持 |
支持 |
报文正常转发 |
|
Flood |
不支持 |
支持 |
支持 |
报文广播发送 |
在Packet out消息中Output为Normal、Local或In port时,入接口只能是设备上的物理接口或者逻辑接口,不能是OpenFlow保留口。
在Packet Out消息中如果同时存在Buffer ID和报文,OpenFlow Switch只会获取Buffer ID对应的缓存报文进行处理,忽略消息中携带的报文。
· 如果Packet Out消息中的报文没有VLAN tag,则OpenFlow Switch将入接口的PVID作为报文所在的VLAN进行转发处理。
· 如果入接口不是设备上的接口,且Output是设备上的接口,则使用出接口的PVID发送。
· 如果入接口不是设备上的接口,且Output是保留口Flood和All,请参见4. 的处理。
Packet Out中指定的Output为保留口的Flood和All时的处理机制
(1) 出接口为Flood的情况
· Packet Out的报文携带VLAN tag,则报文在该VLAN内广播。
· Packet Out的报文没有携带VLAN tag,但是入接口是OpenFlow Swtich上的接口,则报文在入接口的PVID内广播。
· Packet Out的报文没有携带VLAN tag,并且入接口是Controller,则报文在所有OpenFlow接口发送一份。
(2) 出接口为All的情况
· Packet Out的报文携带VLAN tag,则报文在该VLAN内广播。
· Packet Out的报文没有携带VLAN tag,无论入接口是什么接口,报文都在所有OpenFlow接口发送一份。
对于Packet in消息中的报文:
· 上送时如果其VLAN tag与该报文入接口的PVID相同,那么该报文的VLAN tag会被删除。
· 上送时如果其VLAN tag与该报文入接口的PVID不同,那么该报文的VLAN tag不会被删除。
· 对于上送原因是No Match的报文支持缓存,缓存大小是1K个报文。
· 对于其它上送原因的报文不支持缓存,整个报文都会被上送,并且Cookie是全F。
OpenFlow网络可以通过LLDP发现拓扑,对于匹配LLDP报文存在如下限制:
· 设备上必须全局使能LLDP。
· LLDP报文匹配后上送Controller不受实例限制,只要收到报文的接口在OpenFlow实例内,并且实例内有匹配LLDP报文并上送Controller的表项,则LLDP报文就会在该实例上送Controller。
· Switch在激活后会默认生成Table Miss表项,其动作是Drop,默认表项不能够被Controller通过Modify的动作修改,不能被Controller通过Mulipart消息查询到,仅能由Controller通过Add进行添加Table Miss的动作进行修改。
· Table Miss表项仅能通过严格匹配进行修改和删除,在非严格匹配的情况下,即使匹配项是通配也不能够操作Table Miss表项。
· Table Miss表项被删除后,会生成默认的Table Miss表项,其动作是Drop。
· 在非严格匹配的情况下,不支持通过match域为通配修改所有普通流表项。
OpenFlow Switch支持两种类型的Flow Table,MAC-IP类型和Extensibility类型。允许通过命令行指定Table ID,Flow Table会根据Table ID进行排序。Flow Table需要重新激活后才能生效。
Extensibility表使用TCAM或者软件实现Flow Table;MAC-IP流表是使用MAC地址表项和路由表项实现Flow Table。
必选的能力是Controller下发时必须携带的匹配或者动作项;可选能力是下发时可携带可不携带,如果不携带,则由switch默认添加匹配或者动作项。
表1-40 Extensibility流表设置Service Chain时流表项的支持能力
|
支持项 |
能力 |
|
必选匹配项 |
无 |
|
可选匹配项 |
· 入接口 · VLAN · 协议号 · 源端口 · 目的端口 · 源IP地址 · 目的IP地址 |
|
必选动作项 |
· 指定VXLAN隧道出接口 · 设置Service ID值 |
|
可选动作项 |
无 |
表1-41 Extensibility流表匹配Service Chain时流表项支持能力
|
支持项 |
能力 |
|
必选匹配项 |
匹配Service ID值 |
|
可选匹配项 |
无 |
|
必选动作项 |
· 指定出接口为AC(Attachment Circuit,接入电路) · 设置VLAN ID为以太网服务实例的报文匹配的s-vid |
|
可选动作项 |
无 |
必选的能力是Controller下发时必须携带的匹配或者动作项;可选能力是下发时可携带可不携带,如果不携带,则由switch默认添加匹配或者动作项。
表1-42 MAC-IP流表二层表项支持能力
|
· Go to table(在多级流表存在的情况下,即使Controller不下发,Swtich上默认下发该动作) · Write Meta(在多级流表存在的情况下,即使Controller不下发,Switch上默认下发目的MAC匹配的MetaData) |
表1-43 MAC-IP流表三层表项支持能力
|
· 以太网类型eth_type · 单播目的IP地址 · 单播目的MAC地址(必须是匹配VLAN对应的VLAN接口的MAC地址) |
|
|
无 |
|
|
· 修改源MAC地址(源MAC地址会修改为目的出接口所在VLAN接口的MAC地址) · TTL减1 · Go to table(在多级流表存在的情况下,即使Controller不下发,Swtich上默认下发该动作) · Write Meta(在多级流表存在的情况下,即使Controller不下发,Switch上默认下发目的IP地址匹配的MetaData) |
VXLAN二层表项使用MAC地址表实现,其支持能力如表1-44所示。
表1-44 MAC-IP流表VXLAN二层表项支持能力
|
支持项 |
能力 |
|
必选匹配项 |
· 单播目的MAC地址 |
|
可选匹配项 |
无 |
|
必选动作项 |
· 指定TUNNEL出接口 · 指定TUNNEL ID |
|
可选动作项 |
· Go to table(在多级流表存在的情况下,即使Controller不下发,Swtich上缺省下发该动作) · Write Meta(在多级流表存在的情况下,即使Controller不下发,Switch上缺省下发目的MAC匹配的MetaData) |
VXLAN三层表项使用路由表实现,其支持能力如表1-45所示。
表1-45 MAC-IP流表VXLAN三层表项支持能力
|
支持项 |
能力 |
|
必选匹配项 |
· 以太网类型eth_type · 单播目的IP地址 |
|
可选匹配项 |
无 |
|
必选动作项 |
· 指定TUNNEL出接口 · 指定TUNNEL ID · 修改目的MAC地址 |
|
可选动作项 |
· Go to table(在多级流表存在的情况下,即使Controller不下发,Swtich上缺省下发该动作) · Write Meta(在多级流表存在的情况下,即使Controller不下发,Switch上缺省下发目的IP地址匹配的MetaData) |
MAC-IP流表的Flow Entry有一定的限制,Controller需要遵循这些限制下发表项,否则可能会造成转发错误。
表1-46 MAC-IP流表二层表项限制
|
目的MAC地址不是本机MAC地址 |
|
表1-47 MAC-IP流表三层表项限制
|
· 匹配的VLAN所对应的VLAN接口UP · 目的MAC地址是匹配VLAN的MAC地址 · 目的IP地址不是本机IP地址 |
|
|
· 目的VLAN接口上至少配置一个IP地址(任意IP地址均可) · 目的MAC地址不是本机MAC地址 · 如果修改源MAC地址,源MAC地址必须是目的出接口所在VLAN接口的MAC地址 |
三层表项能够下发的前提是匹配VLAN所对应的VLAN接口存在并且处于UP状态,且VLAN接口会作为OpenFlow接口上报(包括了VLAN接口的链路状态和MAC地址),在VLAN接口删除时同时也会上报给Controller,需要由Controller删除对应的三层流表项,因此需要Controller保证三层表项的正确性,Switch端不对三层表项的匹配项限制进行检查。
VXLAN二层表项的限制如表1-48所示。
表1-48 MAC-IP流表VXLAN二层表项限制
|
表项类型 |
限制 |
|
匹配项限制 |
· 目的MAC地址不是本机MAC地址 |
|
动作项限制 |
· 出接口必须为存在的TUNNEL接口 · 指定的TUNNEL ID(VNI)对应的VXLAN必须存在 |
VXLAN三层表项的限制如表1-49所示。
表1-49 MAC-IP流表VXLAN三层表项限制
|
表项类型 |
限制 |
|
匹配项限制 |
· 目的IP地址不是本机IP地址 |
|
动作项限制 |
· 出接口必须为存在的TUNNEL接口 · 指定的TUNNEL ID(VNI)对应的VXLAN和VSI必须存在 · 目的MAC不是本机的MAC地址 |
MAC-IP流表的Table Miss支持下列Output Action:
· Go To Table:进入下一级流表;
· Drop:丢弃报文;
· Controller:报文上送Controller;
· Normal:报文正常转发。
在支持MAC-IP流表的情况下,Switch支持Controller获取和删除动态MAC地址表项。
Controller可以通过指定VLAN、单个MAC或者单个MAC与VLAN来获取和删除动态MAC地址表项。
MAC-IP Table 和 Extensibility Table通过MetaData/Mask可以实现多级流表。
MAC-IP Table支持Write MetaData/Mask,Extensibility支持Match MetaData/Mask。
MetaData Mask每个Bit表示不同的含义,MetaData中对应的Bit位置位表示匹配,未置位表示通配,具体参见表1-50。
|
1,置位,表示匹配到目的MAC |
||
|
0,未置位,表示未匹配到目的MAC |
||
|
1,置位,表示匹配到源MAC |
||
|
0,未置位,表示未匹配到源MAC |
||
|
1,置位,表示匹配到目的IP |
||
|
0,未置位,表示未匹配到目的IP |
||
Extensibility表和MAC-IP表配合时:
· 当Extensibility表中的Output动作不是Normal时,MAC-IP表不会生效,所有动作根据Extensibility表进行处理;
· 当Extensibility表中的Output动作是Normal时,Output动作根据MAC-IP表进行处理,其余动作根据Extensibility表进行处理。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
