OpenFlow下的「路由技術」

前言

熟悉這款設備的同學，應該也快到不惑之年了吧！這應該是Cisco最古老的路由器了。上個世紀80年代至今，路由交換技術不斷發展，但是在這波瀾壯闊的變化之中，總有一些東西在嘈雜的機房內閃閃發光，像極了工程師的頭頂，充滿了智慧！

Cisco「古董」路由器

本文主要描述了一種將三層路由變成二層交換轉發（以及二層轉發變成三層路由）的實現方式，以應對OVS（OpenFlow）跨網段路由複雜的問題；當然技術本身是客觀的，具體應用還要看場景。

隨著SDN技術不斷「發展」，玩路由器交換機的變成了「傳統網工」，搞控制器、轉發器的才算是正常工作，當然任何新技術的掌握都離開對「歷史」了解或者反芻；也許幾年以後當有人聽到一條一條的配置ACL、配置路由表是一件很不可思議的事情，因為那時所有的配置都是控制器做好模型生成配置自動下發的，點點滑鼠或者寫個py腳本就可以了

傳統的路由交換機

OK，言歸正傳，我們先來了解一下傳統路由、交換的區別：

交換:一般指的是同網段內分組包的轉發，轉發依據：MAC地址

PC視角：當兩台主機在同一個網段，PC1需要訪問PC2時，PC1首先會發送arp請求報文，請求PC2的的MAC地址；收到響應後，PC1會把PC2的MAC地址封裝在分組包的目的MAC的位置，然後將分組報文扔給交換機；PC2也會做類似的動作。

交換機視角：交換機會接收網段上的所有數據幀；利用接收數據幀中的源MAC地址來建立MAC地址表（源地址自學習），使用地址老化機制進行地址表維護。MAC地址表中查找數據幀中的目的MAC地址，如果找到就將該數據幀發送到相應的埠，如果找不到，就向除入埠以外的所有的埠發送；向所有埠轉發廣播幀和多播幀。

路由：一般指不同網段的數據包的轉發，轉發依據：IP路由

PC視角：當兩台主機在不同的網段，PC1需要訪問PC2時，PC1首先會在自己的路由表內查詢PC2的IP地址對應的下一跳（一般默認是網關）地址，然後再去發送ARP報文，請求該下一跳對應的MAC地址；收到響應後，PC1會把該MAC地址封裝在數據包的目的MAC的位置（注意此時的目的IP仍是PC2的IP地址，而不是下一跳IP），然後將數據報文扔給路由器；PC2也會做類似的動作。

路由器視角：當路由器收到一個IP數據包，路由器就會找出數據包的三層包頭中的目的IP地址，然後拿著目的IP地址到自己的路由表中進行查詢，找到「最匹配」的路由條目後，將數據包根據路由條目所指示的出介面或者下一跳IP轉發出去，這就是IP路由（當然路由器還會做一些額外的工作：將數據包的三層包頭的TTL減一，修改數據包的二層源MAC地址為自己出介面的MAC，修改數據包的二層目的MAC地址為下一跳的MAC）；而每一台路由器都會在本地維護一個路由表（Routing Table），路由表中裝在著路由器獲知的路由條目，路由條目由路由前綴（路由所關聯的目的地址）、路由信息的來源、出介面或者下一跳IP等元素構成；路由器通過靜態配置或者動態的方式獲取路由條目並維護自己的路由表。

OpenFlow的出現

當OpenFlow出現以後，路由器、交換機統一變成了轉發器，轉發依據：流表

OK，我們先看一下流表長啥樣：

當然有人稱流表為ACL，這也可以理解，都有著強大的匹配域以及Action，流表的Pipeline可以算是其特色（性能暫時先不care）；到此為止，MAC表、路由表在轉發器上面已經統統看不到了，你能看到只有上面的流表。

就OVS來說，如果把Bridge配置成Secure模式，默認是沒有什麼流表的；如果現在我們把OVS配置成一台普通的傳統二層交換機，只需要增加幾條關於ARP、ICMP的流表，就可以Ping通了（可以參考以上示例），這還是比較簡單的。

當然可能有些人說還有更簡單的：只需把Bridge配置Standalone模式或者增加一條默認action=NORMAL的流表就可以了。但是如果這樣的話，所有的流量又回到傳統的二層三層轉發去了，作為新時代的OVS，這符合我的個性啊，如果這樣的話，這活還是交給Linux Bridge來干吧。

但是問題來了，如果把OVS配置成一台有路由器功能的轉發器，這就比較困難了；因為通過上文分析路由轉發過程相對來說還是比較複雜的，需要做的工作如下：

需要一個類似網關的設備（Device），來響應ARP請求：當然可以在新增OVS時自動生成的設備上配置網關地址，也可以增加單獨的設備專門作為網關。

需要修改數據包的二層源目MAC地址以及三層包頭的TTL：因為路由是逐跳轉發的，每一跳都需要做這些工作，即使是現在通過流錶轉發，中間的轉發器直接轉發報文，到達倒數第一跳的時候還是需要把數據包的目的MAC地址修改為接受端的MAC地址。

一切皆交換的世界

在OpenFlow的世界所有的網路設備都是轉發器或者稱為交換機，執行簡單的轉發轉發動作； OK，那我們能不能將跨網段訪問的路由轉發變換成普通的二層轉發呢？答案是YES！

下面我們通過一個示例來實現這個想法：

首先我們要解決的第一個問題就是網關的問題：如何取消對網關的ARP請求？這個在Linux平台下並不是一件難事，只需一條命令：

（同時注意arp_ignore需要是0或1）

Link路由是可以直接arp目標地址的，而不是arp下一跳地址。意思就是說，目標地址是屬於跟本地直連的二層鏈路上，不跨三層。既然是不跨三層的鏈路，arp就可以暢行無阻，而標準中又沒有規定arp協議包的請求源和請求目標必須是同一個網段的地址(甚至都沒有掩碼約束)，所以說，一個以下的arp請求是有效的：

驗證得到了響應：

細心的童鞋可以發現上面的命令實際上解決了我們的兩個問題，網關的問題解決了，另外由於源主機直接請求目的主機的MAC地址，所以封裝的時候也直接封裝了目的主機的MAC，省去了我們在倒數第一跳修改數據包的目的MAC為目的主機的工作。

最後剩下一個問題就是防環的TTL的問題，這個處理起來也比較簡單一些，我們可以在流表中加入actions=dec_ttl(1), output:100，在每一跳中自動減小TTL。

然後在接收端的PC上面做類似的操作，中間的OVS添加相關ARP以及業務流的流表，就實現了跨網段的「交換」。

Little Tips

通過以上描述，已經實現了跨網段的路由向交換的轉換，另外也可以實現所謂二層交換向路由的轉換，比如10.0.0.100/24 訪問10.0.0.200/24，按照我們的想當然是應該走二層轉發的，也就是直接請求目的主機的MAC地址，然後封裝、發送；

但是由於種種原因，目的主機10.0.0.200/24可能跟源主機是跨三層網路的，那現在怎麼辦呢？OK，可以在源主機上面增加一條明細路由把10.0.0.200/24指向默認網關，在目的主機上面增加一條明細路由把10.0.0.100/24指向默認網關，然後再ping一下，有木有看到自己的嘴角上揚呢！

交換機本就應該做二層轉發的事情，其他的分散式出去吧！

掃描關注，了解更多

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！