《实战录》导语
云端卫士《实战录》栏目定期会向粉丝朋友们分享一些在开发运维中的经验和技巧,希望对于关注我们的朋友有所裨益。本期分享人为云端卫士安全SDN工程师宋飞虎,将带来基于openflow协议的抓包分析。
一、什么是openflow协议
OpenFlow起源于斯坦福大学的Clean Slate项目组 ,使用类似于API进程配置网络交换机的协议。OpenFlow的思路很简单,网络设备维护一个FlowTable,并且只通过FlowTable对报文进行处理,FlowTable本身的生成、维护、下发完全由外置的Controller来实现。
OpenFlow交换机将原来完全由交换机/路由器控制的报文转发过程转化为由OpenFlow交换机(OpenFlow Switch)和控制服务器(Controller)来共同完成,从而实现了数据转发和路由控制的分离。控制器可以通过事先规定好的接口操作来控制OpenFlow交换机中的流表,从而达到控制数据转发的目的。
OpenFlow交换机与控制器交互图
OpenFlow交换机包含安全通道,多级流表和组表。通过安全通道,OpenFlow交换机可以和控制器建立OpenFlow连接;流表用来匹配OpenFlow交换机收到的报文;组表用来定义流表需要执行的动作。
本文从搭建实验环境并整合OpenFlow、Mininet、ONOS等开源软件,通过使用wireshark抓包为新手讲解OpenFlow1.3协议的报文交互过程。
二、搭建环境
2.1.ONOS环境
2.1.1.环境依赖
硬件环境:
Centos 7 3.10.0-123.e17.x86_64
10G MEM
8 CPUS
软件依赖:
Java 8 JDK (Oracle Java recommended; OpenJDK is not as thoroughly tested)
Apache Maven 3.3.9
Apache Karaf 3.0.5
Git
bash (for packaging & testing)
2.1.2.安装启动流程
源码下载: git clone https://gerrit.onosproject.org/onos
配置全局参数:vi ~/.bashrc
添加此行: export ONOS_ROOT=~/Applications/onos
设置启动参数:source $ONOS_ROOT/tools/dev/bash_profile
编译安装: mvn clean install
第一次启动ok clean 或 onos-karaf clean
后续启动ok
2.2.mininet环境
2.2.1.环境依赖
硬件环境:VMWare、Ubuntu、3G Mem 4CPUS 50G硬盘
软件依赖:无
2.2.2.安装
源码下载:git clone git://github.com/mininet/mininet
建立编译目录:mkdir mini-build
编译安装所有功能(-a):./mininet/util/install.sh -s mini-build –a
测试安装是否成功:sudo mn --test pingall
在ONOS上建立拓扑:sudo mn –topo single,2 –-mac –switch ovsk,
protocols=OpenFlow13 –controller remote,ip=192.168.6.253,port=6633
打通链路:pingall
2.3.实验步骤
2.3.1.启动ONOS
编译安装完ONOS之后,在ONOS根目录下执行ok clean,然后进入如下界面,就表示ONOS已经启动。
2.3.2.启动mininet
2.3.3.实验拓扑环境
当ONOS和mininet都启动之后,打开链接http://IP:8181/onos/ui(IP为ONOS的IP地址),账号密码是karaf/karaf。可以看到如下建立的拓扑。
2.3.4.在ONOS上抓包
在ONOS虚拟机上面使用以下命令进行抓包
tcpdump -i ens3 -w centec.pcap
把抓到的报文取出,放到windows系统的目录下,使用Wireshark打开文件,输入openflow_v4 (openflow1.3版本)进行筛选。
三、报文分析
OpenFlow协议支持三种消息类型:controller-to-switch,asynchronous(异步)和symmetric(对称)。OpenFlow通过这三种消息,来保持controller和OpenFlow交换机之间的通信。每种类型包含的消息如下图所示:
常用的消息主要是Hello消息、Feature消息,Echo消息,以及Packet_in、Packet_out和Flow_mod等。其中Hello、Feature、Echo消息分别包含REQUEST与REPLY消息,每一个消息REQUEST与REPLY的Transaction ID相同。
3.1.hello消息
控制器与交换机建立连接时由其中某一方发起OFPT_HELLO消息给对方,该消息携带支持的最高协议版本号,接受方将采用双方都支持的最低协议版本进行通信。一旦发现共同支持的协议版本,则连接建立,否则发送OFPT_ERROR消息,描述失败原因,并中断连接。
hello消息
3.2.Echo消息
交换机和控制器均可以向对方发出OFPT_ECHO_REQUEST,OFPT_ECHO_REQUEST只有OpenFlow报文头部。接收者需要回复OFPT_ECHO_REPLY。该消息用来测量延迟、是否连接保持等。
OFPT_ECHO_REQUEST消息
OFPT_ECHO_REPLY消息
3.3.Feature消息
Features消息是由控制器发送给OpenFlow交换机,OpenFlow交换机需要应答自身支持的功能。OFPT_FEATURES_REQUEST消息类型是5,只有OpenFlow报文头,没有报文实体。
OFPT_FEATURES_REQUEST消息
OFPT_FEATURES_REPLY消息类型是6,消息体如下图所示。其中n_buffers表示一次最多缓存的数据包数量;n_tables表示交换机支持的流表数量;capabilities表示交换机所支持的功能。
OFPT_FEATURES_REPLY消息
3.4.Packet-in消息
交换机发送Packet_in消息给控制器有以下两种情况:
报文没有匹配到流表项;
流表项的action要求发给控制器。
一般将数据包缓存在交换机中,把有效的数据包信息(默认的128字节)和缓存id发送给控制器,不过,如果交换机不支持缓存或者内存用光了,那么就把整个数据包放在数据部分发给控制器,并且缓存id设置为-1。
Packet_in的TABLE_MISS消息
Packet_in的ACTION消息
3.5.Packet-out消息
当控制器希望交换机发送某个数据包,就使用Packet_out消息。例子:arp在广播的时候,在交换机中不能直接将arp广播,而是,将其封装在Packet_out里面,交换机泛洪的是Packet_out。
Packet_out消息
3.6.Flow_mod消息
Flow_mod这个消息是OpenFlow中最重要的消息,用来添加、删除、修改OpenFlow交换机的流表信息。当交换机收到一个无法处理的数据包,封装到Packet_in消息转发给控制器后,控制器可以发送一个Flow_mod消息下发一个流表到交换机,并且指定该数据包按照此流表项的action处理。
Flow_mod消息包含四个部分:OpenFlow报文头、Flow_mod固定字段、Match字段和Instruction字段。分别用来标识该消息的类型、流表项的内容等。
Flow_mod消息
四、总结
OpenFlow通过网络创新开启了一条新道路。如果OpenFlow得到广泛的应用和推广,则未来的网络将如曾经的计算机一样取得日新月异的发展。本文通过搭建环境并抓包,展示了常用的OpenFlow报文消息。
