第33周：Open vSwitch 与 SDN

2026-06-02

字数统计: 3.4k字 | 阅读时长≈ 17分

第33周：Open vSwitch 与 SDN

目标：理解 OVS 架构和 OpenFlow 协议，能够使用 OVS 构建虚拟网络并通过 SDN 控制器管理流表。

1. OVS 概述

1.1 OVS 是什么

OVS（Open vSwitch）：生产级多层虚拟交换机

  角色：
  - 云数据中心的虚拟交换机
  - 支持 OpenFlow 协议
  - 替代 Linux bridge，提供更强大的功能
  - 与 KVM、Docker、Kubernetes 集成

  主要功能：
  - L2/L3 转发
  - VLAN 隔离
  - VXLAN/Geneve 隧道
  - OpenFlow 控制
  - QoS
  - 镜像
  - sFlow/NetFlow 监控

1.2 OVS 架构

┌──────────────────────────────────────────────────┐
│                    OVS 架构                        │
│                                                    │
│  ┌─────────────┐                                  │
│  │ ovs-vswitchd│ ← 控制平面（用户态）              │
│  │ (daemon)    │   - 与 ovsdb-server 通信         │
│  │             │   - 与 OpenFlow 控制器通信       │
│  │             │   - 管理流表                      │
│  └──────┬──────┘                                  │
│         │ 间接通信                                 │
│         ▼                                          │
│  ┌──────────────┐                                 │
│  │ openvswitch.ko│ ← 数据路径（内核态）            │
│  │ (datapath)    │   - 快速路径（fast path）       │
│  │               │   - 慢路径（upcall to 用户态）  │
│  └──────────────┘                                 │
│                                                    │
│  ┌──────────────┐                                 │
│  │ ovsdb-server │ ← 数据库（OVSDB 协议）          │
│  │ (DB)         │   - 存储配置                    │
│  └──────────────┘                                 │
│                                                    │
│  用户态工具：                                       │
│  - ovs-vsctl      (DB 配置)                       │
│  - ovs-ofctl      (OpenFlow 操作)                 │
│  - ovs-dpctl      (datapath 操作)                 │
│  - ovs-appctl     (应用控制)                       │
└──────────────────────────────────────────────────┘

1.3 数据路径分类

┌──────────────────────────────────────────────────┐
│  数据路径类型                                       │
│                                                    │
│  1. 快速路径（fast path, kernel datapath）         │
│     - 流量匹配已下发的流表 → 直接转发               │
│     - 微秒级                                       │
│     - ovs-vswitchd 已下发的规则                    │
│                                                    │
│  2. 慢速路径（slow path, upcall）                  │
│     - 新流/未知流 → upcall 到 ovs-vswitchd        │
│     - 毫秒级                                       │
│     - 用户态查询控制器或本地决策                    │
│                                                    │
│  3. OpenFlow 控制器路径                             │
│     - ovs-vswitchd 不知如何处理 → 查询控制器       │
│     - 毫秒到秒级（取决于控制器）                    │
│     - 完全可编程                                    │
└──────────────────────────────────────────────────┘

2. 安装 OVS

2.1 Ubuntu/Debian

# 安装
sudo apt install -y openvswitch-switch openvswitch-common

# 验证
ovs-vsctl --version
ovs-vswitchd --version

# 检查状态
sudo systemctl status openvswitch-switch

2.2 源码编译（可选，获取最新版本）

git clone https://github.com/openvswitch/ovs.git
cd ovs
./boot.sh
./configure --with-linux=/lib/modules/$(uname -r)/build
make -j$(nproc)
sudo make install

# 启动
sudo ./utilities/ovs-ctl start

2.3 模块加载

# 加载内核模块
sudo modprobe openvswitch

# 启动服务
sudo /usr/share/openvswitch/scripts/ovs-ctl start

# 验证
lsmod | grep openvswitch
ovs-vsctl show

3. OVS 基础操作

3.1 创建网桥和端口

# === 创建一个简单的 bridge ===

# 1. 创建网桥
sudo ovs-vsctl add-br br0

# 2. 添加端口
sudo ovs-vsctl add-port br0 eth1
sudo ovs-vsctl add-port br0 veth1
sudo ovs-vsctl add-port br0 vxlan0 -- set interface vxlan0 \
    type=vxlan options:remote_ip=10.1.0.2

# 3. 配置 IP（如果需要 L3 功能）
sudo ip addr add 192.168.1.1/24 dev br0
sudo ip link set br0 up

# 4. 查看
ovs-vsctl show
ovs-vsctl list-br
ovs-vsctl list-ports br0
ovs-vsctl list interface

3.2 端口类型

# === OVS 支持的端口类型 ===

# 普通端口（绑定到物理/虚拟网卡）
ovs-vsctl add-port br0 eth1

# Internal 端口（虚拟）
ovs-vsctl add-port br0 veth1 -- set interface veth1 type=internal
ip addr add 10.0.1.1/24 dev veth1
ip link set veth1 up

# VXLAN 隧道
ovs-vsctl add-port br0 vxlan0 \
    -- set interface vxlan0 type=vxlan options:remote_ip=10.1.0.2

# Geneve 隧道
ovs-vsctl add-port br0 geneve0 \
    -- set interface geneve0 type=geneve options:remote_ip=10.1.0.2

# Patch 端口（连接两个 OVS bridge）
ovs-vsctl add-port br0 patch0 \
    -- set interface patch0 type=patch options:peer=patch1
ovs-vsctl add-port br1 patch1 \
    -- set interface patch1 type=patch options:peer=patch0

# GRE 隧道
ovs-vsctl add-port br0 gre0 \
    -- set interface gre0 type=gre options:remote_ip=10.1.0.2

3.3 常用命令

# === 配置查看 ===

ovs-vsctl show                    # 整体配置
ovs-vsctl list-br                 # 列出网桥
ovs-vsctl list-ports br0          # 列出端口
ovs-vsctl list interface          # 接口详情
ovs-vsctl list port              # 端口详情
ovs-vsctl list controller        # 控制器
ovs-vsctl list manager           # manager（OVSDB）

# === 单个对象详情 ===
ovs-vsctl --columns=name,type,options list interface

# === datapath 操作 ===
ovs-dpctl show                    # 列出 datapath
ovs-dpctl dump-flows br0         # 转储流表（datapath 级别）
ovs-appctl dpctl/dump-flows br0  # 较新版本

# === 运行时信息 ===
ovs-appctl --target ovs-vswitchd upcall/show
ovs-appctl --target ovs-vswitchd vlog/set DBG

4. OpenFlow 流表

4.1 OpenFlow 基础

OpenFlow：SDN 控制器与交换机通信的标准协议

  控制器 (Controller) ←── OpenFlow 协议 ──→ 交换机 (Switch)
                                                     (OVS)
  
  核心概念：
  - Flow Table（流表）：匹配-动作规则集合
  - Match Fields：匹配包字段
  - Actions：动作（forward/drop/modify）

  OpenFlow 1.3 字段示例（匹配）：
  - 入端口（in_port）
  - 源/目的 MAC
  - 源/目的 IP
  - 协议
  - 源/目的端口
  - VLAN ID
  - VNI（VXLAN）

  动作：
  - output:port         - 转发到端口
  - drop                - 丢弃
  - modify_field        - 修改字段
  - set_vlan_vid        - 设置 VLAN
  - push_vlan           - 压入 VLAN

4.2 ovs-ofctl 操作

# === 查看流表 ===
sudo ovs-ofctl dump-flows br0

# === 添加流表 ===
# 简单规则
sudo ovs-ofctl add-flow br0 "priority=10,in_port=1,actions=output:2"

# 多字段匹配
sudo ovs-ofctl add-flow br0 \
    "priority=100,ip,nw_src=10.0.1.0/24,nw_dst=10.0.2.0/24,actions=output:2"

# 默认规则
sudo ovs-ofctl add-flow br0 "priority=0,actions=NORMAL"

# 删除流
sudo ovs-ofctl del-flows br0
sudo ovs-ofctl del-flows br0 "in_port=1"

# 详细显示
sudo ovs-ofctl dump-flows br0 -d

4.3 流表匹配字段速查

入端口:     in_port=N
以太网:      dl_src=AA:BB:CC:DD:EE:FF, dl_dst=..., dl_vlan=10
VLAN:        vlan_vid=10, vlan_pcp=0
IP:          nw_src=10.0.1.0/24, nw_dst=10.0.2.0/24
            nw_proto=6 (TCP), 17 (UDP), 1 (ICMP)
传输层:      tcp_src=80, tcp_dst=...
            udp_src=53, udp_dst=4789
ICMP:        icmp_type=8 (echo request)
Tunnel:      tun_id=100 (VNI)
Metadata:    metadata=0x12345678

动作:
  output:port        # 转发到端口 N
  output:CONTROLLER  # 转发到控制器
  drop               # 丢弃
  NORMAL             # 走 L2/L3 普通转发
  FLOOD              # 泛洪
  LOCAL              # 发给本地（控制器）
  mod_dl_src         # 修改源 MAC
  mod_dl_dst         # 修改目的 MAC
  mod_nw_src         # 修改源 IP
  set_vlan_vid       # 设置 VLAN ID
  push_vlan          # 压入 VLAN 标签
  pop_vlan           # 弹出 VLAN 标签
  resubmit           # 跳到其他表
  meter               # 应用 meter

4.4 完整示例

# 创建网桥
sudo ovs-vsctl add-br ovs-br0
sudo ovs-vsctl add-port ovs-br0 eth0
sudo ovs-vsctl add-port ovs-br0 veth1

# === 流表 1：丢弃特定 MAC ===
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=100,dl_src=AA:BB:CC:DD:EE:FF,actions=drop"

# === 流表 2：HTTP 流量镜像到指定端口 ===
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=100,tcp,tcp_dst=80,actions=output:1,output:99"

# === 流表 3：VLAN 10 隔离 ===
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=100,dl_vlan=10,actions=strip_vlan,output:2"
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=100,dl_vlan=20,actions=strip_vlan,output:3"

# === 流表 4：默认转发 ===
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=0,actions=NORMAL"

# 查看
sudo ovs-ofctl dump-flows ovs-br0

5. 控制器模式

5.1 主动模式 vs 被动模式

主动模式（out-of-band）：
  - 控制器通过 OpenFlow 通道下发了所有流
  - 交换机按流表精确匹配转发
  - 包不发给控制器

被动模式（in-band / reactive）：
  - 交换机收到包 → 查流表 → 找不到 → 发给控制器
  - 控制器决定 → 下发新流
  - 后续相同包走快速路径

混合模式（hybrid）：
  - 一些规则预下发（常用）
  - 罕见的包走控制器

5.2 配置控制器

# === 设置 OpenFlow 控制器 ===
sudo ovs-vsctl set-controller br0 tcp:192.168.1.100:6653
# 默认端口 6633（OF 1.0）或 6653（OF 1.3+）

# 多个控制器
sudo ovs-vsctl set-controller br0 \
    tcp:192.168.1.100:6653 \
    tcp:192.168.1.101:6653

# === 控制器模式 ===
sudo ovs-vsctl set controller br0 connection-mode=out-of-band
sudo ovs-vsctl set controller br0 inactivity-probe=10

# === 查看 ===
sudo ovs-vsctl list controller
sudo ovs-ofctl show br0

5.3 简单 Python 控制器（POF / Ryu）

# simple_controller.py — 简单的 OpenFlow 控制器
from ryu.base import app_manager
from ryu.controller import ofp_event
from ryu.controller.handler import CONFIG_DISPATCHER, MAIN_DISPATCHER
from ryu.controller.handler import set_ev_cls
from ryu.ofproto import ofproto_v1_3
from ryu.lib.packet import packet, ethernet, ipv4, arp

class SimpleController(app_manager.RyuApp):
    OFP_VERSIONS = [ofproto_v1_3.OFP_VERSION]

    def __init__(self, *args, **kwargs):
        super(SimpleController, self).__init__(*args, **kwargs)
        self.mac_to_port = {}

    @set_ev_cls(ofp_event.EventOFPSwitchFeatures, CONFIG_DISPATCHER)
    def switch_features_handler(self, ev):
        """交换机连接事件"""
        datapath = ev.msg.datapath
        ofproto = datapath.ofproto
        parser = datapath.ofproto_parser

        # 安装默认流表（所有包转发到控制器）
        match = parser.OFPMatch()
        actions = [parser.OFPActionOutput(ofproto.OFPP_CONTROLLER,
                                          ofproto.OFPCML_NO_BUFFER)]
        inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS, actions)]
        mod = parser.OFPFlowMod(datapath=datapath, priority=0,
                                 match=match, instructions=inst)
        datapath.send_msg(mod)

    @set_ev_cls(ofp_event.EventOFPPacketIn, MAIN_DISPATCHER)
    def packet_in_handler(self, ev):
        """包入事件"""
        msg = ev.msg
        datapath = msg.datapath
        ofproto = datapath.ofproto
        parser = datapath.ofproto_parser
        in_port = msg.match['in_port']

        pkt = packet.Packet(msg.data)
        eth = pkt.get_protocols(ethernet.ethernet)[0]

        # 学习 MAC → port
        dst = eth.dst
        src = eth.src
        dpid = datapath.id
        self.mac_to_port.setdefault(dpid, {})
        self.mac_to_port[dpid][src] = in_port

        # 查目标 MAC 的端口
        if dst in self.mac_to_port[dpid]:
            out_port = self.mac_to_port[dpid][dst]
        else:
            out_port = ofproto.OFPP_FLOOD  # 未知目的，泛洪

        # 下发流表
        actions = [parser.OFPActionOutput(out_port)]

        match = parser.OFPMatch(in_port=in_port, eth_dst=dst, eth_src=src)
        inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS, actions)]
        mod = parser.OFPFlowMod(datapath=datapath, priority=1,
                                 match=match, instructions=inst)
        datapath.send_msg(mod)

        # 转发当前包
        data = msg.data if msg.buffer_id == ofproto.OFP_NO_BUFFER else None
        out = parser.OFPPacketOut(datapath=datapath, buffer_id=msg.buffer_id,
                                   in_port=in_port, actions=actions, data=data)
        datapath.send_msg(out)

# 安装 Ryu
pip install ryu

# 运行
ryu-manager simple_controller.py

# OVS 连接控制器
sudo ovs-vsctl set-controller ovs-br0 tcp:127.0.0.1:6653

6. VLAN 隔离实验

6.1 Trunk 端口

# === 简单 VLAN 隔离 ===

# 创建 OVS bridge
sudo ovs-vsctl add-br br-vlan

# 添加 trunk 端口（接收所有 VLAN）
sudo ovs-vsctl add-port br-vlan eth0

# 添加 access 端口（仅属于 VLAN 10）
sudo ovs-vsctl add-port br-vlan eth1 tag=10
sudo ovs-vsctl add-port br-vlan veth1 tag=10

# 添加 access 端口（仅属于 VLAN 20）
sudo ovs-vsctl add-port br-vlan eth2 tag=20
sudo ovs-vsctl add-port br-vlan veth2 tag=20

# 查看
ovs-vsctl show
# 应能看到 tag=10, tag=20

6.2 更细粒度流表控制

# === 严格隔离：禁止 VLAN 10 访问 VLAN 20 ===

# VLAN 10 → 端口 1,2
ovs-ofctl add-flow br-vlan "priority=100,dl_vlan=10,actions=strip_vlan,output:1,output:2"
ovs-ofctl add-flow br-vlan "priority=100,dl_vlan=20,actions=strip_vlan,output:3,output:4"

# 跨 VLAN 隔离
ovs-ofctl add-flow br-vlan "priority=50,actions=drop"

# 默认丢弃
ovs-ofctl add-flow br-vlan "priority=0,actions=drop"

# 注：这种方式精细控制，但复杂
# 推荐用 VLAN tag + 流表结合

7. 完整多租户网络

7.1 拓扑设计

场景：3 个租户（tenant-a, tenant-b, tenant-c），
每个租户有独立的 L2 网络，通过 VXLAN 互通

  Host A                              Host B
  ┌────────────────┐                  ┌────────────────┐
  │ br-tenant-a    │                  │ br-tenant-b    │
  │ vxlan-a ─────────────────────────── vxlan-a (VNI 100)│
  │ veth-a1-a (10.0)                  │ veth-b1-a (10.0) │
  │ veth-a2-a (10.0)                  │ veth-b2-a (10.0) │
  ├────────────────┤                  ├────────────────┤
  │ br-tenant-b    │                  │ br-tenant-c    │
  │ vxlan-b ─────────────────────────── vxlan-b (VNI 200)│
  │ veth-a1-b (20.0)                  │ veth-b1-c (30.0)│
  ├────────────────┤
  │ br-tenant-c    │
  │ vxlan-c (VNI 300)
  │ veth-a1-c (30.0)│
  └────────────────┘

7.2 配置脚本

#!/bin/bash
# ovs_multitenant.sh — 多租户网络

set -e

# 物理网络
UNDERLAY_NET="10.1.0"
PEER_IP="10.1.0.2"  # 远程 VTEP

# === Host A ===

# 租户 A
sudo ovs-vsctl add-br br-tenant-a
sudo ovs-vsctl add-port br-tenant-a vxlan-a \
    -- set interface vxlan-a type=vxlan \
       options:remote_ip=$PEER_IP options:key=100 options:dstport=4789
sudo ovs-vsctl add-port br-tenant-a veth-a1-a \
    -- set port veth-a1-a tag=10
sudo ovs-vsctl add-port br-tenant-a veth-a2-a \
    -- set port veth-a2-a tag=10

# 租户 B
sudo ovs-vsctl add-br br-tenant-b
sudo ovs-vsctl add-port br-tenant-b vxlan-b \
    -- set interface vxlan-b type=vxlan \
       options:remote_ip=$PEER_IP options:key=200 options:dstport=4789
sudo ovs-vsctl add-port br-tenant-b veth-a1-b \
    -- set port veth-a1-b tag=20

# 租户 C
sudo ovs-vsctl add-br br-tenant-c
sudo ovs-vsctl add-port br-tenant-c vxlan-c \
    -- set interface vxlan-c type=vxlan \
       options:remote_ip=$PEER_IP options:key=300 options:dstport=4789
sudo ovs-vsctl add-port br-tenant-c veth-a1-c \
    -- set port veth-a1-c tag=30

# 验证
ovs-vsctl show

8. OVS 性能调优

8.1 内核 datapath 调优

# === 调整 netdev 最大长度 ===
# /etc/sysctl.d/99-ovs.conf
net.core.netdev_max_backlog = 5000
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

# === 禁用巨型帧的分片（如果 MTU 已配置好）===
net.ipv4.ip_no_pmtu_disc = 1

# === 启用 RPS（多核）===
echo "f" > /sys/class/net/eth0/queues/rx-0/rps_cpus

8.2 巨型帧

1
2
3

# 设置所有 OVS 端口 MTU
ip link set eth0 mtu 9000
ip link set br-tenant-a mtu 8950

8.3 监控

# 实时流量统计
ovs-ofctl dump-ports br0

# 丢包
ovs-appctl --target ovs-vswitchd coverage/show
ovs-appctl --target ovs-vswitchd coverage/read-counter \
    netdev_no_buffers

# 端口状态
ovs-ofctl show br0

9. OVS 调试技巧

9.1 启用日志

# 设置 vlog 级别
sudo ovs-appctl vlog/set ANY:dbg

# 写入文件
sudo ovs-appctl vlog/file:/var/log/ovs.log
sudo ovs-appctl vlog/reopen

# 特定模块
sudo ovs-appctl vlog/set ofp:dbg
sudo ovs-appctl vlog/set dpif:dbg

9.2 抓包

# 在 OVS 上抓包（sFlow / 镜像）
sudo ovs-vsctl -- --id=@m create mirror name=m0 \
    select_all=true output_port=eth0 \
    -- set bridge br0 mirrors=@m

# 抓 datapath 包
sudo ovs-appctl dpif/trace-drop br0 in_port=1

# 单包追踪（offline）
sudo ovs-appctl ofproto/trace br0 \
    in_port=1,tcp,tcp_dst=80,ip,nw_src=10.0.1.2,nw_dst=10.0.2.3

# 输出：
# Flow: tcp,in_port=1,vlan_tci=0x0000,dl_src=...,dl_dst=...,
#       nw_src=10.0.1.2,nw_dst=10.0.2.3,nw_proto=6,nw_tos=0,
#       tcp_dst=80
#
# Rule: priority=100,tcp,tcp_dst=80,actions=output:2
# OpenFlow actions: output:2

9.3 性能分析

# 实时流量统计
watch -n 1 "ovs-vsctl -- get Interface br0 statistics"

# CPU 占用
top -p $(pidof ovs-vswitchd)

# perf
sudo perf top -p $(pidof ovs-vswitchd)

10. 主流 SDN 控制器

控制器	语言	特点	适合场景
OpenDaylight	Java	大型，复杂	企业级
ONOS	Java	电信级	运营商
Ryu	Python	简单，API 友好	教学、快速开发
Floodlight	Java	中等	中小规模
Faucet	Python	简单	数据中心
Tungsten Fabric	Java	完整 SDN 平台	云服务
Tungsten Fabric	Java	完整 SDN 平台	云服务

# 安装 Ryu（推荐入门）
pip install ryu

# 示例：HUB 控制器
ryu-manager --verbose ryu.app.example_hub

# 示例：Spanning Tree
ryu-manager ryu.app.simple_switch_13

11. 实践：用 OVS 搭建虚拟网络

#!/bin/bash
# ovs_lab.sh — OVS 虚拟网络实验

set -e

# 1. 创建两个 netns（模拟两个 VM/容器）
ip netns add vm1
ip netns add vm2
ip netns add vm3

# 2. 创建 OVS bridge
sudo ovs-vsctl add-br lab-br

# 3. 添加三个端口（每个属于一个 netns）
for i in 1 2 3; do
    ip link add veth$i-host type veth peer name veth$i-ns
    ip link set veth$i-ns netns vm$i
    sudo ovs-vsctl add-port lab-br veth$i-host
    ip link set veth$i-host up

    # 配置 netns 内 IP
    ip netns exec vm$i bash -c "
        ip addr add 10.0.0.$i/24 dev veth$i-ns
        ip link set veth$i-ns up
        ip link set lo up
    "
done

# 4. 启动一个 HTTP 服务
ip netns exec vm1 python3 -m http.server 80 > /dev/null 2>&1 &
SRV_PID=$!
sleep 1

# 5. 测试连通性
echo "=== Test 1: VM 间互通 ==="
ip netns exec vm2 ping -c 2 10.0.0.1

echo "=== Test 2: VM3 访问 VM1 HTTP ==="
ip netns exec vm3 curl -s http://10.0.0.1/ | head -3

# 6. OVS 流表操作
echo "=== Test 3: 查看 OVS 流表 ==="
sudo ovs-ofctl dump-flows lab-br

# 7. 模拟丢包
echo "=== Test 4: 丢弃所有到 VM1 的包 ==="
sudo ovs-ofctl add-flow lab-br "priority=100,ip,nw_dst=10.0.0.1,actions=drop"
ip netns exec vm2 ping -c 2 10.0.0.1
# 应该全部失败

# 8. 删除丢包规则
sudo ovs-ofctl del-flows lab-br

# 清理
kill $SRV_PID 2>/dev/null
for i in 1 2 3; do
    ip netns del vm$i
done
sudo ovs-vsctl del-br lab-br

12. 主流 OVS 增强项目

DPDK-OVS：
  - 使用 DPDK 加速 OVS
  - 用户态 datapath
  - 高性能
  - 适合 NFV/电信

OVS-DPDK 安装：
  - 在 OVS 编译时启用 --with-dpdk
  - 分配 hugepage
  - 绑定 NIC 到 DPDK 驱动

参考：
  - ovs-vswitchd --dpdk -c 0x1 -n 4 --socket-mem 1024

本文作者： CoderSong
本文链接： https://jack-song-gif.github.io/2026/06/02/第33周：Open vSwitch 与 SDN/
版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！