FlowVisor相关

1. FlowVisor工作原理（转）

　　作为一个网络虚拟化平台，FlowVisor部署在标准OpenFlow控制器和OpenFlow交换机之间，成为二者的透明代理。FlowVisor能够与多个控制器连接使得每个控制器控制一个虚网，保证各虚网相互隔离。FlowVisor的设计有如下几个原则：

　　(a) FlowVisor对控制器和交换机而言是透明的，它们都感知不到FlowVisor的存在；

　　(b)各个虚网之间是隔离的，即使在广播条件下各个虚网的流量也必须实现隔离；

　　(c)虚网划分策略是丰富且可扩展的，由于当前网络虚拟化的技术还不成熟，因此划分虚网的策略需要是灵活的、模块化的且可扩展的。

　　目前虚网划分范围涵盖了物理层、数据链路层、网络层和传输层的协议字段，以数据包的12元组作为划分依据，按照流的思想将网络资源进行合理分配，以达到限定当前切片内数据流量类型的目的。一般对于某个特殊的应用，可以通过指定源/目的IP地址、源/目的MAC地址或者TCP端口信息来把数据包划分到一个切片内。

　　FlowVisor是一个特殊的OpenFlow控制器，所有OpenFlow消息都将透过FlowVisor进行传送。FlowVisor会根据配置策略对OpenFlow消息进行拦截、修改、转发等操作。这样，OpenFlow控制器就只控制其被允许控制的流，并不知道其所管理的网络被FlowVisor进行过分片操作。相似地，从交换机发出的消息经过FlowVisor也只会被发送到相应的控制器。

　　FlowVisor主要由FVClassifier、FVSlicer和FlowSpace数据库三部分组成。FVClassifier用于维护与物理OpenFlow交换设备的连接，处理IO请求并记录每个物理设备的端口、性能等信息，每个FVClassifier对应一个OpenFlow交换设备。FVSlicer用于维护与控制器的连接，管理OpenFlow会话并对控制器下发的信令进行处理。当流从一个物理的OpenFlow交换设备到达FlowSpace后，FlowSpace根据数据库中切片规则，把OF消息交给本切片内的FVSlicer发送给连接的控制器。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 FlowVisor工作原理

　　FlowVisor的核心主要是对上行消息的映射和对下行信令的过滤。如图1所示，控制器和交换机与FlowVisor的所有联系都通过Poll Loop来交互，交换机交给控制器的数据包通过FlowVisor的OFSwitchAcceptor模块接收后，FVClassifier对数据包的来源进行分析，再连接到FlowVisor中的数据库与Flowspace进行匹配，从而决定此数据包应该交由哪个控制器来处理。同理，控制器下发给交换机的数据包会通过相反的过程到达交换机。

2. 安装配置

2.1 安装依赖

　　依赖包安装，需要安装ant和jdk，jdk要求使用jdk1.6版本或其以下版本，否则会发生错误。

# sudo apt-get install ant
# sudo apt-get install openjdk-6-jdk

2.2 安装

git clone git://github.com/OPENNETWORKINGLAB /FlowVisor.git
或者：wget https://github.com/OPENNETWORKINGLAB/flowvisor/archive/1.2-MAINT.zip
　　  unzip flowvisor-1.2-MAINT

cd FlowVisor

make   #编译，成功后“BUILD SUCCESSFUL”提示

make install  #安装， 安装时使用默认路径，输入用户名，用户组，密码；

注意：安装过程需要输入如下一些信息，根据界面提示信息输入。

　　l  安装目录前缀，可以不填，默认是/usr/local

　　l  输入用来运行flowvisor的用户名（当前虚拟机上已经存在的用户）。

　　l  运行Flowvisor的用户的对应用户组名

　　l  Fvadmin的密码，每次运行flowvisor命令的时候，都要输入的密码

　  l  安装路径使用默认的

2.3 配置

（1）.配置文件位于/etc/flowvisor/config.json

　　配置文件中包括简单的Slice、FlowSpaceRule样例，以及FlowVisor的监听端口、日志等级、版本等信息。api_webserver_port是xml请求的监听端口，默认为8080； api_jetty_webserver_port是JSON请求的监听端口；listen_port是交换机的监听端口，默认为6633。参数配置如下所示：

　　如修改flowvisor的控制端口为6634（默认6633），web端口8181（默认8080）

vi /etc/flowvisor/config.json

　　

 

　　　　　　　　　　　

(2). 文件/usr/local/bin/fvctl

　　找到fvctl里面MATCHSTRS（第812行），把其中的两个toInt改成toStr，主要是为了add-flowspace的时候，可以指定具体的mac

vi /usr/local/bin/fvctl

　　

　　　　　　　　　　　　　　　　

3 常用命令

3.1 常用命令

3.2 使用

3.2.1 启动

　　切换到flowvisor用户（对应安装输入的用户名），启动flowvisor

~$ flowvisor /etc/flowvisor/config.json

~$ nohup flowvisor /etc/flowvisor/config.json >/dev/null &

　　上面的命令意思是“不挂断地后台启动flowvisor，并且不在终端输出日志”

3.2.2 datapath操作

查看所有的datapaths

　　fvctl -p 8181  list-datapaths       (-p 8181，8181即为/etc/flowvisor/config.json的web端口，下同)

输入的密码，即为安装的时候输入的fvctladmin的密码（下同），可见共有4台ovs

查看具体datapath详细信息

　　$ fvctl -p 8181 list-datapath-info 00:00:f2:c2:ca:ad:7d:4f

查看具体datapath的状态

　　$ fvctl -p 8181 list-datapath-stats  00:00:f2:c2:ca:ad:7d:4f

3.2.3 slice操作

1）.创建slice

fvctl add-slice [options] <slicename> <controller-url> <admin-email>

2）.查看slice

查看创建的slice（所有的）

fvctl  -p  <port>  list-slices 　

查看slice的具体信息

fvctl  -p  <port>  list-slice-info <slicename>

　　

显示slice的统计信息

fvctl -p 8181 list-slice-stats <slicename>

报告整体slice的健康状态

fvctl -p 8181 list-slice-health <slicename>

3）.修改slice

fvctl -p <8181> update-slice [option]<slice-name>

修改控制器IP

修改控制器端口

4）.删除slice

fvctl remove-slice <slicename>

3.2.4  flowspace操作

Flowspcae字段：                                                            

字段名	含义
priority	优先级，0-65535
in_port	进入端口
dl_vlan	Vlan id， 0xffff 表示匹配非vlan包，否则指定为 0 - 4095表示12位的vlan id
dl_vpcp	Vlan优先级, 最外层VLAN头的PCP域
dl_src	Ethernet 源Mac地址
dl_dst	Ethernet 目的Mac地址
dl_type	Ethernet 协议类型, 采用0 – 65535表示
nw_src	源IP地址
nw_dst	目的IP地址
nw_proto	IP协议类型，十进制数0-255
nw_tos	IP Tos位，采用0-255表示
tp_src	TCP/UDP 源端口
tp_dst	TCP/UDP 目的端口
wildcards	匹配规则
actions	切片行为,指的是slice对这个flowspace拥有的权限，DELEGATE=1, READ=2, WRITE=4.actions的值为这3个的组合，所有取值范围为1-7

1）.创建flowspace

fvctl add-flowspace [options] <flowspace-name> <dpid> <priority> <match> <slice-perm>

priority ：值0:2^31

slice-perm：值0:7，Delegate=1，Read=2，Write=4

创建flowspace

fvctl -p 8181 add-flowspace fs1 all 100 dl_dst=78:45:c4:2d:72:51 s1=5（假如不修改/usr/local/bin/fvctl的inStr值，此命令就会出现错误）

2）.查看 flowspace

fvctl list-flowspace [options]

3）.修改flowspace

fvctl update-flowspace [options] <flowspace-name>

4）.删除 flowspace

fvctl remove-flowspace <flowspace-name> [<flowspace-name>...]

4. 简单实例

所需软件

相关端口配置

网络拓扑配置

实验流程：

第一步，启动FloodLight，FlowVisor。

# flowvisor /etc/ flowvisor/config.json
# java –jar ./ floodlight-0.90/target/floodlight.jar

第二步，启动Mininet构建物理拓扑，包括1个交换机，2个主机，设置远程控制器为FlowVisor（127.0.0.1，6633）。

# sudo mn --controller=remote,127.0.0.1,6633

执行结果如下：

*** Creating network
*** Adding controller
*** Adding hosts:
h1 h2
*** Adding switches:
s1
*** Adding links:
(h1, s1) (h2, s1)
*** Configuring hosts
h1 h2
*** Starting controller
*** Starting 1 switches
s1
*** Starting CLI:
mininet>

第三步，在FlowVisor上创建slice，指定FloodLight控制器(127.0.0.1:6634)；然后添加两条基于端口划分的flowspace。

# fvctl -p 8083 add-slice slice1 tcp:127.0.0.1:6634 test@sdnlab.com
# fvctl -p 8083 add-flowspace flowspace1 all 100 in_port=1 slice1=7
# fvctl -p 8083 add-flowspace flowspace2 all 100 in_port=2 slice1=7　　

第四步，测试
在Mininet下进行主机ping操作。

# mininet> pingall

执行结果如下，主机h1与h2可通信：

*** Ping: testing ping reachability
h1 -> h2
h2 -> h1
*** Results: 0% dropped (2/2 received)

在FlowVisor下停止slice 。

# fvctl -p 8083 update-slice slice1 --disable-slice　

在Mininet下再次验证h1与h2是否可通信。

# mininet> pingall

执行结果如下，主机h1与h2不可通信：

*** Ping: testing ping reachability
h1 -> X
h2 -> X
*** Results: 100% dropped (0/2 received)