第30周:阶段项目——XDP 高性能包过滤防火墙

第30周:阶段项目——XDP 高性能包过滤防火墙

目标:综合运用前 5 周知识,实现一个基于 XDP 的高性能包过滤防火墙,对比 iptables 体现 XDP 优势。

1. 项目架构

1.1 整体架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
              网络包


        ┌───────────────┐
        │  网卡驱动     │
        │  (DMA)        │
        └───────┬───────┘
                │ 驱动级 hook

        ┌───────────────┐
        │  XDP 程序     │
        │  firewall.bpf │
        │               │
        │  ┌──────────┐ │
        │  │ 5 元组   │ │  ← 查 BPF map (lpm_trie + lru_hash)
        │  │ 匹配     │ │
        │  └────┬─────┘ │
        │       │       │
        │  ┌────▼─────┐ │
        │  │ 动作     │ │  ← DROP / PASS / LOG
        │  └────┬─────┘ │
        │       │       │
        │  ┌────▼─────┐ │
        │  │ 事件     │ │  ← ring buffer 输出
        │  └──────────┘ │
        └───────┬───────┘
                │ XDP_PASS

        ┌───────────────┐
        │  Linux 内核  │
        │  网络协议栈   │
        └───────────────┘


        ┌───────────────┐
        │  应用进程     │
        └───────────────┘

用户态工具(fwctl):
  - 添加/删除/查看规则
  - 统计查询
  - 日志查看
  - 与 iptables 对比

1.2 关键设计

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
防火墙规则:

  ┌─────────────┐
  │  黑名单     │  ← 全丢弃
  ├─────────────┤
  │  白名单     │  ← 全通过
  ├─────────────┤
  │  端口过滤   │  ← 禁止特定端口
  ├─────────────┤
  │  IP 段过滤  │  ← 禁止 IP 段
  └─────────────┘

  优先级:
    1. 黑名单(最高)
    2. 端口过滤
    3. IP 段过滤
    4. 白名单(最低)
    5. 默认 PASS

性能优化:
  - 5 元组 lookup:O(1) hash
  - IP 段匹配:O(log n) LPM trie
  - Per-CPU 计数器:避免锁
  - 早期返回:减少指令数

2. BPF 程序

2.1 firewall.bpf.c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
// firewall.bpf.c
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/ipv6.h>
#include <linux/tcp.h>
#include <linux/udp.h>
#include <linux/icmp.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_endian.h>

// === 配置常量 ===
#define ETH_ALEN 6
#define MAX_PORT_RULES    256
#define MAX_BLACKLIST     65536
#define MAX_WHITELIST     4096

// === 动作定义 ===
enum firewall_action {
    FW_PASS = 0,
    FW_DROP,
    FW_LOG,
};

// === 端口规则(5 元组)===
struct port_rule {
    u32 src_ip;        // 0 = 任意
    u32 dst_ip;        // 0 = 任意
    u16 src_port;      // 0 = 任意
    u16 dst_port;      // 0 = 任意
    u8  protocol;      // 0 = 任意
    u8  action;        // 0=PASS, 1=DROP
    u8  pad[2];
} __attribute__((packed));

// === 全局黑名单(hash,O(1) 查找)===
struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, MAX_BLACKLIST);
    __type(key, u32);   // 黑名单 IP
    __type(value, u8);  // 1 = 启用
} blacklist SEC(".maps");

// === 全局白名单 ===
struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, MAX_WHITELIST);
    __type(key, u32);
    __type(value, u8);
} whitelist SEC(".maps");

// === 端口规则(5 元组精确匹配)===
struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, 1024);
    __type(key, struct port_rule_key);
    __type(value, struct port_rule);
} port_rules SEC(".maps");

// 端口规则 key:源 IP + 目的 IP + 源端口 + 目的端口 + 协议
struct port_rule_key {
    u32 src_ip;
    u32 dst_ip;
    u16 src_port;
    u16 dst_port;
    u8  protocol;
} __attribute__((packed));

// === IP 段过滤(LPM trie)===
struct {
    __uint(type, BPF_MAP_TYPE_LPM_TRIE);
    __uint(max_entries, 1024);
    __type(key, struct lpm_key);
    __type(value, u8);  // 1 = DROP
} ip_range_deny SEC(".maps");

struct lpm_key {
    u32 prefixlen;   // 必须在第一位
    u32 addr;
} __attribute__((packed));

// === 统计(per-CPU,避免锁)===
struct {
    __uint(type, BPF_MAP_TYPE_PERCPU_ARRAY);
    __uint(max_entries, 8);
    __type(key, u32);
    __type(value, u64);
} stats SEC(".maps");

enum {
    STAT_TOTAL = 0,
    STAT_PASS = 1,
    STAT_DROP = 2,
    STAT_BLACKLIST = 3,
    STAT_WHITELIST = 4,
    STAT_PORT = 5,
    STAT_IP_RANGE = 6,
    STAT_INVALID = 7,
};

// === 事件输出(ring buffer)===
struct {
    __uint(type, BPF_MAP_TYPE_RINGBUF);
    __uint(max_entries, 256 * 1024);
} events SEC(".maps");

struct firewall_event {
    u64 timestamp;
    u32 src_ip;
    u32 dst_ip;
    u16 src_port;
    u16 dst_port;
    u8  protocol;
    u8  action;
    u8  reason;        // 拦截原因
    u8  pad;
};

// 拦截原因
enum {
    REASON_NONE = 0,
    REASON_BLACKLIST,
    REASON_PORT,
    REASON_IP_RANGE,
};

// === 时间戳辅助 ===
static __always_inline u64 now_ns(void) {
    return bpf_ktime_get_ns();
}

// === 发送事件 ===
static __always_inline void emit_event(
    struct xdp_md *ctx,
    u32 src_ip, u32 dst_ip,
    u16 src_port, u16 dst_port,
    u8 protocol, u8 action, u8 reason) {

    struct firewall_event *e;
    e = bpf_ringbuf_reserve(&events, sizeof(*e), 0);
    if (!e) return;

    e->timestamp = bpf_ktime_get_ns();
    e->src_ip = src_ip;
    e->dst_ip = dst_ip;
    e->src_port = src_port;
    e->dst_port = dst_port;
    e->protocol = protocol;
    e->action = action;
    e->reason = reason;

    bpf_ringbuf_submit(e, 0);
}

// === 更新统计 ===
static __always_inline void update_stat(u32 key) {
    u64 *count = bpf_map_lookup_elem(&stats, &key);
    if (count) (*count)++;
}

// === 检查 IP 段 ===
static __always_inline int check_ip_range(u32 ip, int is_src) {
    struct lpm_key key = {
        .prefixlen = 32,
        .addr = ip,
    };

    // LPM trie 自动处理前缀匹配
    u8 *action = bpf_map_lookup_elem(&ip_range_deny, &key);
    if (action && *action == 1) {
        return 1;  // 命中黑名单段
    }
    return 0;
}

// === 主程序 ===
SEC("xdp")
int xdp_firewall(struct xdp_md *ctx) {
    void *data = (void *)(long)ctx->data;
    void *data_end = (void *)(long)ctx->data_end;

    update_stat(STAT_TOTAL);

    // === 1. 以太网头 ===
    struct ethhdr *eth = data;
    if ((void *)(eth + 1) > data_end) {
        update_stat(STAT_INVALID);
        return XDP_PASS;
    }

    __u16 eth_proto = eth->h_proto;
    u32 src_ip = 0, dst_ip = 0;
    u8  protocol = 0;
    u16 src_port = 0, dst_port = 0;
    int is_ipv6 = 0;

    // === 2. 解析网络层 ===
    if (eth_proto == bpf_htons(ETH_P_IP)) {
        struct iphdr *ip = (void *)(eth + 1);
        if ((void *)(ip + 1) > data_end) {
            update_stat(STAT_INVALID);
            return XDP_PASS;
        }

        src_ip = ip->saddr;
        dst_ip = ip->daddr;
        protocol = ip->protocol;

        // === 3. 解析传输层 ===
        if (protocol == IPPROTO_TCP) {
            struct tcphdr *tcp = (void *)ip + (ip->ihl * 4);
            if ((void *)(tcp + 1) > data_end) {
                update_stat(STAT_INVALID);
                return XDP_PASS;
            }
            src_port = tcp->source;
            dst_port = tcp->dest;
        } else if (protocol == IPPROTO_UDP) {
            struct udphdr *udp = (void *)ip + (ip->ihl * 4);
            if ((void *)(udp + 1) > data_end) {
                update_stat(STAT_INVALID);
                return XDP_PASS;
            }
            src_port = udp->source;
            dst_port = udp->dest;
        }
    } else if (eth_proto == bpf_htons(ETH_P_IPV6)) {
        is_ipv6 = 1;
        struct ipv6hdr *ip6 = (void *)(eth + 1);
        if ((void *)(ip6 + 1) > data_end) {
            update_stat(STAT_INVALID);
            return XDP_PASS;
        }
        // 提取 IPv6 末尾 32 位作为简化 hash
        src_ip = ip6->saddr.in6_u.u6_addr32[3];
        dst_ip = ip6->daddr.in6_u.u6_addr32[3];
        protocol = ip6->nexthdr;
        // (类似解析 transport 层)
    } else {
        // 非 IP 协议,直接放行
        update_stat(STAT_PASS);
        return XDP_PASS;
    }

    // === 4. 规则检查 ===

    // 4.1 白名单(最高优先级)
    u8 *whitelisted = bpf_map_lookup_elem(&whitelist, &src_ip);
    if (whitelisted) {
        update_stat(STAT_WHITELIST);
        update_stat(STAT_PASS);
        return XDP_PASS;
    }

    // 4.2 黑名单
    u8 *blacklisted = bpf_map_lookup_elem(&blacklist, &src_ip);
    if (blacklisted) {
        update_stat(STAT_BLACKLIST);
        update_stat(STAT_DROP);
        emit_event(ctx, src_ip, dst_ip, src_port, dst_port,
                   protocol, FW_DROP, REASON_BLACKLIST);
        return XDP_DROP;
    }

    // 4.3 IP 段黑名单
    if (check_ip_range(src_ip, 1)) {
        update_stat(STAT_IP_RANGE);
        update_stat(STAT_DROP);
        emit_event(ctx, src_ip, dst_ip, src_port, dst_port,
                   protocol, FW_DROP, REASON_IP_RANGE);
        return XDP_DROP;
    }

    // 4.4 端口规则
    struct port_rule_key pk = {
        .src_ip = src_ip,
        .dst_ip = dst_ip,
        .src_port = src_port,
        .dst_port = dst_port,
        .protocol = protocol,
    };

    struct port_rule *rule = bpf_map_lookup_elem(&port_rules, &pk);
    if (rule) {
        if (rule->action == FW_DROP) {
            update_stat(STAT_PORT);
            update_stat(STAT_DROP);
            emit_event(ctx, src_ip, dst_ip, src_port, dst_port,
                       protocol, FW_DROP, REASON_PORT);
            return XDP_DROP;
        }
    }

    // 4.5 默认通过
    update_stat(STAT_PASS);
    return XDP_PASS;
}

char LICENSE[] SEC("license") = "GPL";

3. 用户态管理工具

3.1 fwctl 主程序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
// fwctl.c — 用户态管理工具
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <unistd.h>
#include <getopt.h>
#include <signal.h>
#include <bpf/bpf.h>
#include <bpf/libbpf.h>
#include <arpa/inet.h>
#include "firewall.skel.h"

static volatile bool exiting = false;
static void sig_handler(int sig) { (void)sig; exiting = true; }

static int libbpf_print_fn(enum libbpf_print_level level,
                            const char *format, va_list args) {
    if (level == LIBBPF_DEBUG) return 0;
    return vfprintf(stderr, format, args);
}

void print_usage(const char *prog) {
    fprintf(stderr, "Usage:\n");
    fprintf(stderr, "  %s attach <ifname>          # Attach XDP to interface\n", prog);
    fprintf(stderr, "  %s detach <ifname>          # Detach XDP\n", prog);
    fprintf(stderr, "  %s blacklist add <ip>       # Add to blacklist\n", prog);
    fprintf(stderr, "  %s blacklist del <ip>       # Remove from blacklist\n", prog);
    fprintf(stderr, "  %s whitelist add <ip>       # Add to whitelist\n", prog);
    fprintf(stderr, "  %s whitelist del <ip>       # Remove from whitelist\n", prog);
    fprintf(stderr, "  %s port <proto> <port> <action>  # Add port rule\n", prog);
    fprintf(stderr, "  %s range add <ip/cidr>      # Add IP range to deny\n", prog);
    fprintf(stderr, "  %s range del <ip/cidr>      # Remove IP range\n", prog);
    fprintf(stderr, "  %s stats                    # Show statistics\n", prog);
    fprintf(stderr, "  %s list                     # List all rules\n", prog);
    fprintf(stderr, "  %s log                      # Show recent events\n", prog);
}

// === 工具函数 ===
int parse_ip(const char *s, uint32_t *ip) {
    struct in_addr addr;
    if (inet_pton(AF_INET, s, &addr) != 1) return -1;
    *ip = addr.s_addr;
    return 0;
}

int parse_cidr(const char *s, uint32_t *ip, uint32_t *prefixlen) {
    char buf[64];
    strncpy(buf, s, sizeof(buf) - 1);
    char *slash = strchr(buf, '/');
    if (slash) {
        *slash = '\0';
        *prefixlen = atoi(slash + 1);
    } else {
        *prefixlen = 32;
    }
    return parse_ip(buf, ip);
}

// === 主程序 ===
int main(int argc, char **argv) {
    if (argc < 2) {
        print_usage(argv[0]);
        return 1;
    }

    libbpf_set_print(libbpf_print_fn);
    signal(SIGINT, sig_handler);
    signal(SIGTERM, sig_handler);

    // 打开 BPF skeleton
    struct firewall_bpf *skel = firewall_bpf__open();
    if (!skel) { fprintf(stderr, "Failed to open BPF skeleton\n"); return 1; }

    if (firewall_bpf__load(skel)) {
        fprintf(stderr, "Failed to load BPF\n");
        firewall_bpf__destroy(skel);
        return 1;
    }

    const char *cmd = argv[1];

    // === attach ===
    if (strcmp(cmd, "attach") == 0) {
        if (argc < 3) { print_usage(argv[0]); return 1; }
        int ifindex = if_nametoindex(argv[2]);

        // 尝试 native 模式,失败回退到 generic
        if (bpf_xdp_attach(ifindex, bpf_program__fd(skel->progs.xdp_firewall),
                           XDP_FLAGS_DRV_MODE, NULL) < 0) {
            fprintf(stderr, "Native XDP failed, trying generic\n");
            if (bpf_xdp_attach(ifindex, bpf_program__fd(skel->progs.xdp_firewall),
                               XDP_FLAGS_SKB_MODE, NULL) < 0) {
                fprintf(stderr, "Failed to attach XDP\n");
                return 1;
            }
        }
        printf("XDP attached to %s\n", argv[2]);
    }

    // === detach ===
    else if (strcmp(cmd, "detach") == 0) {
        if (argc < 3) { print_usage(argv[0]); return 1; }
        int ifindex = if_nametoindex(argv[2]);
        bpf_xdp_detach(ifindex, XDP_FLAGS_DRV_MODE, NULL);
        bpf_xdp_detach(ifindex, XDP_FLAGS_SKB_MODE, NULL);
        printf("XDP detached from %s\n", argv[2]);
    }

    // === blacklist add/del ===
    else if (strcmp(cmd, "blacklist") == 0) {
        if (argc < 4) { print_usage(argv[0]); return 1; }
        const char *op = argv[2];
        uint32_t ip;
        if (parse_ip(argv[3], &ip) < 0) {
            fprintf(stderr, "Invalid IP\n");
            return 1;
        }

        struct bpf_map *map = skel->maps.blacklist;
        if (strcmp(op, "add") == 0) {
            uint8_t v = 1;
            bpf_map__update_elem(map, &ip, sizeof(ip), &v, sizeof(v), BPF_ANY);
            printf("Added %s to blacklist\n", argv[3]);
        } else if (strcmp(op, "del") == 0) {
            bpf_map__delete_elem(map, &ip, sizeof(ip), 0);
            printf("Removed %s from blacklist\n", argv[3]);
        }
    }

    // === whitelist add/del ===
    else if (strcmp(cmd, "whitelist") == 0) {
        if (argc < 4) { print_usage(argv[0]); return 1; }
        const char *op = argv[2];
        uint32_t ip;
        if (parse_ip(argv[3], &ip) < 0) {
            fprintf(stderr, "Invalid IP\n");
            return 1;
        }

        struct bpf_map *map = skel->maps.whitelist;
        if (strcmp(op, "add") == 0) {
            uint8_t v = 1;
            bpf_map__update_elem(map, &ip, sizeof(ip), &v, sizeof(v), BPF_ANY);
            printf("Added %s to whitelist\n", argv[3]);
        } else if (strcmp(op, "del") == 0) {
            bpf_map__delete_elem(map, &ip, sizeof(ip), 0);
            printf("Removed %s from whitelist\n", argv[3]);
        }
    }

    // === port ===
    else if (strcmp(cmd, "port") == 0) {
        if (argc < 5) { print_usage(argv[0]); return 1; }
        const char *proto_s = argv[2];
        int port = atoi(argv[3]);
        const char *action_s = argv[4];

        uint8_t protocol = strcmp(proto_s, "tcp") == 0 ? IPPROTO_TCP : IPPROTO_UDP;
        uint8_t action = strcmp(action_s, "drop") == 0 ? 1 : 0;

        struct port_rule_key key = {0};
        key.dst_port = bpf_htons(port);
        key.protocol = protocol;

        struct port_rule rule = {0};
        rule.dst_port = bpf_htons(port);
        rule.protocol = protocol;
        rule.action = action;

        struct bpf_map *map = skel->maps.port_rules;
        bpf_map__update_elem(map, &key, sizeof(key), &rule, sizeof(rule), BPF_ANY);
        printf("Added port rule: %s %d -> %s\n", proto_s, port, action_s);
    }

    // === range ===
    else if (strcmp(cmd, "range") == 0) {
        if (argc < 4) { print_usage(argv[0]); return 1; }
        const char *op = argv[2];
        uint32_t ip, prefixlen;
        if (parse_cidr(argv[3], &ip, &prefixlen) < 0) {
            fprintf(stderr, "Invalid CIDR\n");
            return 1;
        }

        struct lpm_key key = {
            .prefixlen = prefixlen,
            .addr = ip,
        };

        struct bpf_map *map = skel->maps.ip_range_deny;
        if (strcmp(op, "add") == 0) {
            uint8_t v = 1;
            bpf_map__update_elem(map, &key, sizeof(key), &v, sizeof(v), BPF_ANY);
            printf("Added IP range %s to deny\n", argv[3]);
        } else if (strcmp(op, "del") == 0) {
            bpf_map__delete_elem(map, &key, sizeof(key), 0);
            printf("Removed IP range %s\n", argv[3]);
        }
    }

    // === stats ===
    else if (strcmp(cmd, "stats") == 0) {
        int ncpu = libbpf_num_possible_cpus();
        uint64_t values[ncpu];
        const char *names[] = {
            "Total", "Pass", "Drop", "Blacklist",
            "Whitelist", "Port", "IP-Range", "Invalid"
        };

        printf("=== Firewall Statistics ===\n");
        for (int i = 0; i < 8; i++) {
            if (bpf_map__lookup_elem(skel->maps.stats, &i, sizeof(i),
                                      values, sizeof(values), 0) == 0) {
                uint64_t total = 0;
                for (int c = 0; c < ncpu; c++) total += values[c];
                printf("  %-12s: %lu\n", names[i], total);
            }
        }
    }

    // === list ===
    else if (strcmp(cmd, "list") == 0) {
        // 遍历所有 map 并打印内容
        struct bpf_map *maps[] = {
            skel->maps.blacklist,
            skel->maps.whitelist,
            skel->maps.port_rules,
            skel->maps.ip_range_deny,
        };
        const char *map_names[] = {"Blacklist", "Whitelist", "Port Rules", "IP Range"};

        for (int i = 0; i < 4; i++) {
            printf("\n=== %s ===\n", map_names[i]);
            // ... 遍历 map 并打印 ...
        }
    }

    // === log ===
    else if (strcmp(cmd, "log") == 0) {
        printf("Streaming firewall events (Ctrl-C to stop)...\n");

        struct ring_buffer *rb = ring_buffer__new(
            bpf_map__fd(skel->maps.events),
            handle_event, NULL, NULL);

        while (!exiting) {
            ring_buffer__poll(rb, 1000);
        }
    }

    else {
        print_usage(argv[0]);
    }

    firewall_bpf__destroy(skel);
    return 0;
}

// 事件回调
static int handle_event(void *ctx, void *data, size_t data_sz) {
    const struct firewall_event *e = data;
    char src[INET_ADDRSTRLEN], dst[INET_ADDRSTRLEN];
    struct in_addr s = { .s_addr = e->src_ip };
    struct in_addr d = { .s_addr = e->dst_ip };

    inet_ntop(AF_INET, &s, src, sizeof(src));
    inet_ntop(AF_INET, &d, dst, sizeof(dst));

    const char *reason = e->reason == 1 ? "blacklist" :
                         e->reason == 2 ? "port" :
                         e->reason == 3 ? "ip-range" : "unknown";

    printf("[%llu] %s:%d -> %s:%d proto=%d ACTION=%s reason=%s\n",
           e->timestamp,
           src, ntohs(e->src_port),
           dst, ntohs(e->dst_port),
           e->protocol,
           e->action == 1 ? "DROP" : "PASS",
           reason);
    return 0;
}

4. 项目结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
xdp_firewall/
├── Makefile
├── README.md
├── src/
│   ├── firewall.bpf.c       # BPF 程序
│   ├── firewall.h           # 共享头文件
│   ├── fwctl.c              # 用户态管理工具
│   └── vmlinux.h            # 内核类型定义
├── scripts/
│   ├── load.sh              # 加载脚本
│   ├── test_perf.sh         # 性能测试
│   └── compare_iptables.sh  # 对比测试
├── tools/
│   ├── config_parser.c
│   └── stats_print.c
└── docs/
    ├── design.md
    ├── perf_report.md
    └── iptables_compare.md

5. 性能测试

5.1 测试工具

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
# === pktgen 打流(XDP 防火墙)===

# 在防火墙外网接口上加载
sudo ./fwctl attach eth1

# 启动 pktgen 打流
sudo ./build/app/dpdk-pktgen -l 0-3 --socket-mem 1024 \
    -- -p 0x1 -T 1 -t \
    -s 192.168.1.100 \
    -D aa:bb:cc:dd:ee:ff

# === iptables 对比 ===

# 配置 iptables 等效规则
sudo iptables -A FORWARD -s 192.168.1.100 -j DROP
sudo iptables -A FORWARD -p tcp --dport 8080 -j DROP

# 同样的 pktgen 打流
sudo ./build/app/dpdk-pktgen -l 0-3 --socket-mem 1024 \
    -- -p 0x1 -T 1 -t -s 192.168.1.100

# === tcpperf(更精确)===
sudo iperf3 -s &  # 服务端
sudo iperf3 -c 192.168.1.100 -t 60 -P 4

5.2 测试场景

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
#!/bin/bash
# test_perf.sh — 性能对比测试

echo "=== XDP Firewall Performance Test ==="

# === 测试 1:无防火墙(基线)===
echo "[Test 1] Baseline (no firewall)"
ip link set dev eth1 xdp off
pktgen_result=$(sudo ./pktgen -l 0-3 --socket-mem 1024 -- -p 0x1 -t -T 10 2>&1)
echo "Baseline: $(echo "$pktgen_result" | grep Mpps)"

# === 测试 2:XDP 防火墙(空规则)===
echo "[Test 2] XDP firewall (no rules)"
./fwctl attach eth1
./fwctl stats
pktgen_result=$(sudo ./pktgen -l 0-3 --socket-mem 1024 -- -p 0x1 -t -T 10 2>&1)
echo "XDP: $(echo "$pktgen_result" | grep Mpps)"

# === 测试 3:XDP 防火墙(10000 条黑名单)===
echo "[Test 3] XDP firewall (10K blacklists)"
for i in $(seq 1 10000); do
    ./fwctl blacklist add $((RANDOM%255+1)).$((RANDOM%255+1)).$((RANDOM%255+1)).$((RANDOM%255+1)) 2>/dev/null
done
./fwctl stats
pktgen_result=$(sudo ./pktgen -l 0-3 --socket-mem 1024 -- -p 0x1 -t -T 10 2>&1)
echo "XDP + 10K rules: $(echo "$pktgen_result" | grep Mpps)"

# === 测试 4:iptables 对比 ===
echo "[Test 4] iptables (10K rules)"
ip link set dev eth1 xdp off
for i in $(seq 1 10000); do
    iptables -A FORWARD -s $((RANDOM%255+1)).$((RANDOM%255+1)).$((RANDOM%255+1)).$((RANDOM%255+1)) -j DROP 2>/dev/null
done
pktgen_result=$(sudo ./pktgen -l 0-3 --socket-mem 1024 -- -p 0x1 -t -T 10 2>&1)
echo "iptables + 10K rules: $(echo "$pktgen_result" | grep Mpps)"

# 清理
iptables -F

5.3 性能基准参考

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
性能对比(10GbE NIC,64B 包):

  ┌────────────────────┬──────────┬──────────┐
  │ 配置                │ PPS      │ 延迟     │
  ├────────────────────┼──────────┼──────────┤
  │ 无防火墙(基线)    │ 14.88 M  │ < 100 ns │
  │ XDP 空规则          │ 14.85 M  │ < 200 ns │
  │ XDP 100 条黑名单    │ 14.80 M  │ < 200 ns │
  │ XDP 10K 条黑名单    │ 14.50 M  │ < 300 ns │
  │ XDP 100K 条黑名单   │ 13.50 M  │ < 500 ns │
  │ iptables 100 条     │ 12.00 M  │ < 1 μs   │
  │ iptables 1K 条      │ 8.00 M   │ < 2 μs   │
  │ iptables 10K 条     │ 2.50 M   │ < 10 μs  │
  └────────────────────┴──────────┴──────────┘

结论:
  - XDP 性能几乎不受规则数影响(hash 查找 O(1))
  - iptables 性能随规则数线性下降
  - 10000 条规则时 XDP 比 iptables 快 5-6 倍

6. 性能测试报告模板

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
========================================
   XDP 高性能包过滤防火墙
   性能测试报告
========================================

测试环境:
  CPU:     Intel Xeon Gold 6248R @ 3.0GHz, 24 核
  网卡:    Intel XL710 10GbE SFP+
  内核:    Linux 5.15
  BPF:     libbpf + clang 14
  XDP 模式: Driver (Native)

软件配置:
  XDP 程序: firewall.bpf
  规则类型: 黑名单 + 端口过滤 + IP 段
  事件输出: Ring Buffer
  用户态工具: fwctl

测试结果:

1. 吞吐量(64B 包,10K 条黑名单):
  ┌──────────┬────────────┬──────────┐
  │ 方案     │  PPS       │  吞吐    │
  ├──────────┼────────────┼──────────┤
  │ 无 FW    │ 14.88 Mpps │ 9.5 Gbps │
  │ XDP FW   │ 14.50 Mpps │ 9.2 Gbps │
  │ iptables │ 2.50 Mpps  │ 1.6 Gbps │
  │ 性能比   │ 5.8x       │ 5.8x     │
  └──────────┴────────────┴──────────┘

2. 延迟(线速 64B 包):
  ┌──────────┬──────────┬──────────┬──────────┐
  │ 操作     │ min      │ avg      │ p99      │
  ├──────────┼──────────┼──────────┼──────────┤
  │ XDP PASS │ 100ns    │ 150ns    │ 250ns    │
  │ XDP DROP │ 50ns     │ 80ns     │ 120ns    │
  │ iptables │ 200ns    │ 1μs      │ 5μs      │
  └──────────┴──────────┴──────────┴──────────┘

3. CPU 占用(10K 规则,10Gbps 小包):
  ┌──────────┬──────────┐
  │ 方案     │ CPU      │
  ├──────────┼──────────┤
  │ XDP FW   │ 1.5 核   │
  │ iptables │ 4.8 核   │
  └──────────┴──────────┘

4. 内存使用(10K 规则):
  ┌──────────┬──────────┐
  │ 组件     │ 内存     │
  ├──────────┼──────────┤
  │ XDP 程序 │ 32 KB    │
  │ 规则 Map │ 2 MB     │
  │ iptables │ 2 MB     │
  └──────────┴──────────┘

5. 规则添加延迟:
  ┌──────────┬──────────┐
  │ 方案     │ 添加延迟 │
  ├──────────┼──────────┤
  │ XDP      │ < 1ms    │
  │ iptables │ < 1ms    │
  └──────────┴──────────┘

总结:
  - XDP 防火墙性能显著优于 iptables(5-8x)
  - XDP 性能与规则数解耦
  - 适合高吞吐场景(DDoS 防护、流量清洗)
  - 需要驱动支持(否则 generic 模式性能较差)

建议:
  - 优先使用 native XDP(driver 模式)
  - 对小流量用 generic 模式兼容性更好
  - 配合 tc qdisc 限制流量入口
  - Ring Buffer 事件流是高效的日志方案

7. 与 iptables 对比

7.1 架构差异

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
iptables:
  ┌─────────┐  ┌─────────┐  ┌─────────┐
  │ Rule 1  │  │ Rule 2  │  │ Rule 3  │  ← 线性链
  └────┬────┘  └────┬────┘  └────┬────┘
       │           │           │
       ▼           ▼           ▼
  每个包都要遍历所有规则

XDP(BPF hash):
  ┌─────────────┐
  │  Hash Map   │  ← 一次 hash 查找
  │  (O(1))     │
  └─────────────┘


  直接返回动作

7.2 对比表

特性 iptables XDP
执行点 Netfilter hook 驱动级
匹配方式 线性链 Hash (O(1))
规则数性能 O(n) O(1)
10K 规则吞吐 1-3 Mpps 12-14 Mpps
延迟 μs 级 ns 级
编程性 静态(iptables -A) 动态(热升级)
调试 iptables -L bpftrace, bpftool
跨平台 任意内核 Linux 4.8+
容器友好 困难 Cilium 集成

8. 优化方向

8.1 高级特性

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
1. SIMD 加速
   - 用 AVX2 加速校验和
   - 批量 IP 比较

2. 多程序 tail call
   - 主程序 + 子程序(连接跟踪、限速)
   - 模块化防火墙

3. 智能规则
   - 自动学习(提取 SYN 风暴源)
   - 临时黑名单(基于频率)

4. 集成 Envoy
   - XDP 转发流量到 Envoy
   - L7 过滤在 Envoy

5. 性能监控
   - 通过 BPF map 实时导出指标
   - 与 Prometheus 集成

8.2 调试工具

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 反汇编 XDP 程序
sudo bpftool prog dump xlated id 42

# 查看 JIT 机器码
sudo bpftool prog dump jited id 42

# 性能分析
sudo bpftool prog profile id 42 duration 5

# 实时跟踪
sudo bpftrace -e '
kprobe:dev_xdp_exception {
    printf("XDP exception: ifindex=%d\n", arg0);
}
'

# 检查丢包
sudo bpftool prog show id 42
# 看 runtime 和 run_cnt

9. 项目交付清单

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
交付物:
  ├── 源码
  │   ├── firewall.bpf.c     # XDP BPF 程序(300+ 行)
  │   ├── fwctl.c            # 用户态管理工具(400+ 行)
  │   └── Makefile
  ├── 文档
  │   ├── README.md
  │   ├── design.md          # 架构设计
  │   ├── install.md         # 部署指南
  │   └── iptables_compare.md  # 对比报告
  ├── 性能报告
  │   └── perf_report.md
  ├── 脚本
  │   ├── load.sh
  │   ├── test_perf.sh
  │   └── stress_test.sh
  └── 测试
      ├── unit_tests/
      └── integration_tests/

10. 总结

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
通过这个项目,你已经掌握:

✅ eBPF/XDP 的基本原理与编程模型
✅ BPF map 设计与用户态交互
✅ XDP 包过滤(DROP / PASS)
✅ Ring Buffer 事件传递
✅ 与 iptables 的性能对比
✅ 完整的工具链(clang → bpftool → libbpf)
✅ 生产级防火墙设计(白/黑名单、IP 段、端口规则)
✅ 性能基准测试方法

接下来可以:
- Cilium 部署到生产 Kubernetes 集群
- 开发更复杂的 eBPF 应用(tracing、sched)
- 研究 io_uring + XDP 的下一代数据面
- 探索 AF_XDP 零拷贝用户态网络

展开全文 >>

第31周:Linux 网络虚拟化基础

第31周:Linux 网络虚拟化基础

目标:掌握 Linux 网络虚拟化核心概念(netns、veth、bridge、macvlan),能够构建容器网络原型。

1. Linux 网络虚拟化全景

1.1 容器网络架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
┌──────────────────────────────────────────────────────────┐
│                       主机                                │
│  ┌────────────────┐        ┌────────────────┐            │
│  │   netns A      │        │   netns B      │            │
│  │  ┌──────────┐  │        │  ┌──────────┐  │            │
│  │  │  veth1A  │  │        │  │  veth1B  │  │            │
│  │  │  (veth   │  │        │  │  (veth   │  │            │
│  │  │   pair)  │  │        │  │   pair)  │  │            │
│  │  └────┬─────┘  │        │  └────┬─────┘  │            │
│  └───────┼────────┘        └───────┼────────┘            │
│          │                          │                    │
│  ┌───────┴──────────────────────────┴────────┐          │
│  │              bridge (主机)                 │          │
│  │           docker0 / cbr0                    │          │
│  └──────────────┬─────────────────────────────┘          │
│                 │                                       │
│            物理网卡 eth0                                  │
│            (NAT / 直通到外网)                            │
└──────────────────────────────────────────────────────────┘

1.2 核心技术

技术 作用 Docker 用法
netns 网络协议栈隔离 每个容器一个 netns
veth pair 连接 netns 与主机 容器 eth0 ↔ 主机 vethxxx
bridge L2 转发 docker0 网桥
iptables NAT、过滤 端口映射、SNAT
vlan L2 隔离 -
macvlan/ipvlan 多个 MAC/IP 共享物理网卡 macvlan 网络
路由 L3 转发 自定义网络

2. 网络命名空间(netns)

2.1 基本操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
# === 创建/删除 ===

# 创建 netns
ip netns add ns1
ip netns add ns2

# 列出
ip netns list

# 删除
ip netns del ns1

# 在 netns 中执行命令
ip netns exec ns1 ip addr show
ip netns exec ns1 bash           # 进入 ns1 的 shell

# === 配置 netns 网络 ===

# 创建 veth pair(一端在主机,一端在 ns1)
ip link add veth-host type veth peer name veth-ns
ip link set veth-ns netns ns1

# 配置 IP
ip addr add 10.0.1.1/24 dev veth-host
ip link set veth-host up

# 进入 ns1 配置
ip netns exec ns1 bash
ip addr add 10.0.1.2/24 dev veth-ns
ip link set veth-ns up
ip link set lo up

# 测试连通性
ip netns exec ns1 ping 10.0.1.1

2.2 完整示例:模拟两个容器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
#!/bin/bash
# setup_netns.sh — 创建两个互相通信的 netns

set -e

# 1. 创建 netns
ip netns add ns1
ip netns add ns2

# 2. 创建 veth pair
ip link add veth1-host type veth peer name veth1-ns
ip link add veth2-host type veth peer name veth2-ns

# 3. 分配到 netns
ip link set veth1-ns netns ns1
ip link set veth2-ns netns ns2

# 4. 配置 IP
ip addr add 10.0.1.1/24 dev veth1-host
ip addr add 10.0.2.1/24 dev veth2-host
ip link set veth1-host up
ip link set veth2-host up

ip netns exec ns1 ip addr add 10.0.1.2/24 dev veth1-ns
ip netns exec ns2 ip addr add 10.0.2.2/24 dev veth2-ns

ip netns exec ns1 ip link set veth1-ns up
ip netns exec ns1 ip link set lo up
ip netns exec ns2 ip link set veth2-ns up
ip netns exec ns2 ip link set lo up

# 5. 主机转发
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 10.0.0.0/16 -j MASQUERADE

# 6. 互通测试
ip netns exec ns1 ip route add default via 10.0.1.1
ip netns exec ns2 ip route add default via 10.0.2.1

echo "Test connectivity:"
ip netns exec ns1 ping -c 2 10.0.2.2

# 清理
ip netns del ns1
ip netns del ns2

2.3 netns 内部都隔离了什么

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# 查看 ns1 隔离了什么
ip netns exec ns1 ls /sys/class/net/
# 只有 lo 和 veth1-ns(看不到主机的 eth0)

ip netns exec ns1 cat /proc/net/route
# ns1 自己的路由表(看不到主机的)

ip netns exec ns1 ip rule list
ip netns exec ns1 iptables -L
# ns1 独立的 iptables 规则

# netns 共享的资源:
# - CPU
# - 内存
# - 文件系统(默认)
# - PID 1(init 进程)

3. veth pair

3.1 工作原理

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
veth pair = 一对虚拟网卡,一端发的包,另一端收到

  主机                          netns
┌─────────┐                  ┌─────────┐
│ veth-A  │ ──── 镜像 ────▶│ veth-B  │
│ (主机)  │                 │ (ns)    │
└─────────┘                 └─────────┘

特性:
  - 一根"虚拟网线"
  - 任何一端发的包,对端立即收到
  - 物理等价:像一根交叉的网线
  - 长度可配置(veth peer)

常见用途:
  - 连接容器与主机
  - 连接多个 netns
  - 跨 namespace 通信

3.2 配置命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# 创建 veth pair
ip link add <name1> type veth peer name <name2>

# 设置 MTU
ip link set <name> mtu 1400

# 移动一端到 netns
ip link set <name> netns <nsname>

# 查看
ip link show
ip -d link show <name>  # 详细

# 删除(任一端)
ip link del <name>

3.3 抓包观察

1
2
3
4
5
6
7
8
# 在 veth-A 上抓包(双向)
tcpdump -i veth-A -nn

# 在 veth-B 上也能看到镜像
tcpdump -i veth-B -nn

# 跨 netns 抓包
ip netns exec ns1 tcpdump -i veth1-ns

4. Linux Bridge(网桥)

4.1 工作原理

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
网桥:L2 交换机,转发 MAC 帧

  ┌──────┐  ┌──────┐  ┌──────┐
  │ eth0 │  │ veth0│  │ veth1│
  └──┬───┘  └──┬───┘  └──┬───┘
     │         │         │
     └─────────┼─────────┘

          ┌────▼────┐
          │ bridge  │  ← L2 转发
          │ (br0)   │
          └─────────┘

功能:
  - 学习 MAC 地址
  - 转发 / 泛洪 / 过滤
  - STP(生成树)
  - VLAN 过滤

4.2 配置 bridge

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
# === 创建 bridge ===

# 1. 创建网桥
ip link add br0 type bridge
ip link set br0 up
ip addr add 192.168.100.1/24 dev br0

# 2. 添加接口
ip link set veth-host-1 master br0
ip link set veth-host-2 master br0

# 3. 查看
ip link show master br0
bridge link show

# 4. 查看 MAC 表
bridge fdb show

# === 配置端口 ===

# 设置 path cost 和优先级
ip link set veth-host-1 master br0 cost 4

# 启用 STP
ip link set br0 type bridge stp_state 1

# 阻止某端口转发
ip link set veth-host-1 type bridge_slave flood off

# === 删除 bridge ===
ip link del br0

4.3 完整示例:网桥连接两个 netns

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
#!/bin/bash
# setup_bridge.sh — 用网桥连接两个 netns

set -e

ip netns add ns1
ip netns add ns2

# 创建 veth pair
ip link add veth1-host type veth peer name veth1-ns
ip link add veth2-host type veth peer name veth2-ns

# 创建 bridge
ip link add br0 type bridge
ip link set br0 up

# 添加到 bridge
ip link set veth1-host master br0
ip link set veth2-host master br0

# 移到 netns
ip link set veth1-ns netns ns1
ip link set veth2-ns netns ns2

# 启动 veth-host 端
ip link set veth1-host up
ip link set veth2-host up

# 配置 ns1
ip netns exec ns1 bash -c "
  ip addr add 10.0.1.2/24 dev veth1-ns
  ip link set veth1-ns up
  ip link set lo up
"

# 配置 ns2
ip netns exec ns2 bash -c "
  ip addr add 10.0.2.2/24 dev veth2-ns
  ip link set veth2-ns up
  ip link set lo up
"

# 测试
echo "Test 1: ns1 -> ns2"
ip netns exec ns1 ping -c 2 10.0.2.2

echo "Test 2: 查看网桥 MAC 表"
bridge fdb show br br0

# 清理
ip netns del ns1
ip netns del ns2
ip link del br0

5. macvlan / ipvlan

5.1 macvlan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
macvlan:在一个物理网卡上虚拟出多个 MAC 地址

  物理网卡 eth0
  ┌─────────┐
  │  eth0   │
  └────┬────┘
       │  macvlan 子接口
       ├── eth0.10  (MAC: AA:AA:AA:AA:AA:AA)
       ├── eth0.20  (MAC: BB:BB:BB:BB:BB:BB)
       └── eth0.30  (MAC: CC:CC:CC:CC:CC:CC)

  每个子接口:
  - 有自己的 MAC 地址
  - 可以直接配置 IP
  - 不需要桥接
  - 性能好(内核直接处理)

  模式:
  - bridge: 子接口间互相通信(默认)
  - vepa:  通过外部交换机通信
  - private: 互相隔离
  - passthru: 一对一
1
2
3
4
5
6
7
8
9
10
11
# === macvlan 配置 ===

# 创建 macvlan 接口
ip link add link eth0 name eth0.10 type macvlan mode bridge
ip addr add 192.168.10.2/24 dev eth0.10
ip link set eth0.10 up

# 创建 netns 中的 macvlan
ip link add link eth0 name eth0.20 type macvlan mode bridge netns ns1
ip netns exec ns1 ip addr add 192.168.10.3/24 dev eth0.20
ip netns exec ns1 ip link set eth0.20 up

5.2 ipvlan

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
ipvlan:共享 MAC(与 macvlan 不同)

  物理网卡 eth0
  ┌─────────┐
  │  eth0   │  共享 MAC: XX:XX:XX:XX:XX:XX
  └────┬────┘
       │  ipvlan 子接口
       ├── eth0.10  (IP: 10.0.10.2/24)
       ├── eth0.20  (IP: 10.0.20.2/24)
       └── eth0.30  (IP: 10.0.30.2/24)

  特点:
  - 子接口共享 MAC
  - 更轻量(无需 MAC 分配)
  - 在某些交换机上可能有问题(MAC 限制)
  - 性能好

  模式:
  - l2: 与 macvlan bridge 类似
  - l3: 路由模式(每个子接口独立路由)
  - l3s: 类似 l3 + 邻居处理
1
2
3
4
# ipvlan 配置
ip link add link eth0 name eth0.10 type ipvlan mode l2
ip addr add 10.0.10.2/24 dev eth0.10
ip link set eth0.10 up

6. 主机端口映射(Docker 风格)

6.1 iptables 端口映射

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
# 容器内运行服务
ip netns exec ns1 python3 -m http.server 80 &

# 主机外网卡上 8080 映射到容器 80
iptables -t nat -A PREROUTING \
    -d 192.168.1.100 -p tcp --dport 8080 \
    -j DNAT --to-destination 10.0.1.2:80

iptables -t nat -A POSTROUTING \
    -s 10.0.1.2 -d 10.0.1.2 -p tcp --dport 80 \
    -j MASQUERADE

# 验证
# 在主机或外部访问 192.168.1.100:8080 应能访问到容器
curl http://192.168.1.100:8080

6.2 完整示例:模拟容器端口映射

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
#!/bin/bash
# port_mapping.sh — 模拟 Docker 端口映射

set -e

# 假设主机外网 IP 为 192.168.1.100
HOST_IP="192.168.1.100"

# 1. 创建 netns("容器")
ip netns add web

# 2. 创建 veth pair
ip link add veth-host type veth peer name veth-net
ip link set veth-net netns web

# 3. 配置 IP
ip addr add 172.17.0.1/16 dev veth-host
ip link set veth-host up

ip netns exec web bash -c "
  ip addr add 172.17.0.2/16 dev veth-net
  ip link set veth-net up
  ip link set lo up
  ip route add default via 172.17.0.1
"

# 4. 启动 HTTP 服务(容器内)
ip netns exec web python3 -m http.server 80 > /dev/null 2>&1 &
SERVER_PID=$!
sleep 1

# 5. 配置端口映射
iptables -t nat -A PREROUTING \
    -d $HOST_IP -p tcp --dport 8080 \
    -j DNAT --to-destination 172.17.0.2:80

iptables -t nat -A POSTROUTING \
    -s 172.17.0.2/16 -j MASQUERADE

# 6. 启用转发
echo 1 > /proc/sys/net/ipv4/ip_forward

# 7. 测试
echo "=== Test 1: 容器内访问自身 ==="
ip netns exec web curl -s http://172.17.0.2/ | head -2

echo ""
echo "=== Test 2: 从主机访问外部 IP 8080 ==="
curl -s --connect-timeout 5 http://$HOST_IP:8080/ | head -2

# 清理
kill $SERVER_PID 2>/dev/null
ip netns del web
iptables -t nat -F

7. 抓包分析

7.1 观察 veth pair

1
2
3
4
5
6
7
8
# 在一端发包,在另一端抓
ip netns exec ns1 ping 10.0.1.1 &
tcpdump -i veth-A -nn -e
# 输出:
# 12:34:56.789 aa:bb:cc:dd:ee:ff > 00:00:00:00:00:00, ethertype IPv4
#   10.0.1.2 > 10.0.1.1: ICMP echo request
# 12:34:56.790 00:00:00:00:00:00 > aa:bb:cc:dd:ee:ff, ethertype IPv4
#   10.0.1.1 > 10.0.1.2: ICMP echo reply

7.2 观察 bridge

1
2
3
4
5
6
7
8
9
10
# bridge 上的 MAC 学习
# 1. 启动
ip netns exec ns1 ping 10.0.2.2 &

# 2. 观察 MAC 表
watch -n 1 "bridge fdb show br br0"
# 输出:
# 33:33:00:00:00:01 dev veth1-host self permanent
# aa:bb:cc:dd:ee:ff dev veth1-host  ← 学到的 MAC
# cc:dd:ee:ff:00:11 dev veth2-host  ← 学到的 MAC

7.3 观察 NAT

1
2
3
4
5
6
7
8
# 观察 NAT 转换
iptables -t nat -L -nv

# 在 nat 表的 POSTROUTING 链上
iptables -t nat -I POSTROUTING 1 -j LOG

# 然后观察
sudo dmesg -w

8. TUN/TAP 设备

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
TUN/TAP = 用户态网络设备

  TUN:模拟 L3 设备(IP 包)
  TAP:模拟 L2 设备(以太网帧)

  ┌─────────────┐
  │  内核       │ ←→ 字符设备 /dev/net/tun ←→ ┌──────────┐
  │  TUN/TAP    │                              │ 用户态   │
  │  device     │                              │ 程序     │
  └─────────────┘                              └──────────┘

常见用途:
  - VPN(OpenVPN、WireGuard)
  - 隧道协议
  - 容器网络(Cilium/Flannel 的 host-gw)
  - 调试抓包
1
2
3
4
5
6
7
8
# 创建 TUN
ip tuntap add dev tun0 mode tun
ip addr add 10.10.0.1/24 dev tun0
ip link set tun0 up

# 创建 TAP
ip tuntap add dev tap0 mode tap
ip link set tap0 up

9. 实践:完整容器网络

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
#!/bin/bash
# container_net.sh — 完整容器网络拓扑

set -e

# === 网络规划 ===
# 主机: 192.168.1.100
# bridge: 172.17.0.1/16
# 容器 1: 172.17.0.2
# 容器 2: 172.17.0.3

# === 1. 创建 bridge ===
ip link add docker0 type bridge
ip addr add 172.17.0.1/16 dev docker0
ip link set docker0 up

# === 2. 创建两个 "容器" ===
for i in 1 2; do
    ip netns add c$i

    ip link add veth$i-host type veth peer name veth$i-net
    ip link set veth$i-net netns c$i

    ip link set veth$i-host master docker0
    ip link set veth$i-host up

    ip netns exec c$i bash -c "
        ip addr add 172.17.0.$((i+1))/16 dev veth$i-net
        ip link set veth$i-net up
        ip link set lo up
        ip route add default via 172.17.0.1
    "
done

# === 3. 启用 IP 转发 ===
echo 1 > /proc/sys/net/ipv4/ip_forward

# === 4. 配置 NAT(容器访问外网)===
iptables -t nat -A POSTROUTING -s 172.17.0.0/16 -j MASQUERADE

# === 5. 配置端口映射(可选)===
# 例如 c1 的 80 端口映射到主机的 8080
# iptables -t nat -A PREROUTING -d 192.168.1.100 -p tcp --dport 8080 \
#     -j DNAT --to-destination 172.17.0.2:80

# === 6. 测试 ===
echo "=== Test 1: 容器间互通 ==="
ip netns exec c1 ping -c 2 172.17.0.3

echo ""
echo "=== Test 2: 容器访问外网 ==="
ip netns exec c1 ip route show

# 启动容器内的服务
ip netns exec c1 python3 -m http.server 80 > /dev/null 2>&1 &
SRV1_PID=$!
ip netns exec c2 python3 -m http.server 80 > /dev/null 2>&1 &
SRV2_PID=$!
sleep 1

# 容器间通过 IP 访问
echo "=== Test 3: 容器 HTTP 互通 ==="
ip netns exec c2 curl -s http://172.17.0.2 | head -1
ip netns exec c1 curl -s http://172.17.0.3 | head -1

# 清理
kill $SRV1_PID $SRV2_PID 2>/dev/null
ip netns del c1
ip netns del c2
ip link del docker0
iptables -t nat -F

10. 常见问题

10.1 netns 之间无法通信

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 1. 检查 veth pair 状态
ip link show
ip netns exec ns1 ip link show

# 2. 检查 IP 配置
ip netns exec ns1 ip addr show

# 3. 检查路由
ip netns exec ns1 ip route show

# 4. 检查 iptables
iptables -L -n -v
iptables -t nat -L -n -v

# 5. 检查 IP 转发
cat /proc/sys/net/ipv4/ip_forward

# 6. 抓包调试
tcpdump -i any -n -e host 10.0.1.2

10.2 性能问题

1
2
3
4
5
6
7
8
9
10
11
12
# 1. 启用 GRO/GSO
ethtool -K eth0 gro on gso on tso on

# 2. 调整 ring buffer
ethtool -G eth0 rx 4096 tx 4096

# 3. veth MTU
ip link set veth-host mtu 1500

# 4. 禁用 RPS/RFS(如果是 veth)
# 写到 /etc/sysctl.d/99-xxx.conf
# net.core.rps_sock_flow_entries = 0

10.3 macvlan 模式选择

1
2
3
4
- bridge:  子接口互通(默认),适合 Pod 网络
- vepa:   通过外部交换机(高级)
- private: 完全隔离(强安全)
- passthru: 一对一映射(VM 直通)

展开全文 >>

第32周:隧道协议深入

第32周:隧道协议深入

目标:理解 VXLAN、GENEVE、GRE 等隧道协议的工作原理,能够在多主机环境中配置跨主机二层网络。

1. 隧道协议概览

1.1 为什么需要隧道?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
云网络问题:

主机 A 上的容器 1(10.0.0.1)
主机 B 上的容器 2(10.0.0.2)
主机之间通过 IP 网络连接(10.0.0.0/16 不可达)

需要:
  - 跨主机的二层互通
  - 多租户隔离(10K+ 隔离域)
  - 物理网络无需变更

解决方案:隧道协议
  - 在 L3 网络上建立 L2 overlay
  - 封装原始 L2 帧到 L3 包
  - 通过 IP 网络传输

1.2 主要隧道协议对比

1
2
3
4
5
6
7
8
9
┌────────┬──────────┬──────────┬──────────┬─────────────┐
│ 协议   │ 头部开销 │ 元数据  │ 隔离域数  │ 复杂度      │
├────────┼──────────┼──────────┼──────────┼─────────────┤
│ VXLAN  │ 50B      │ 24 bit  │ 16M     │ 中          │
│ Geneve │ 可变     │ 可扩展   │ 16M+    │ 中          │
│ GRE    │ 4-8B     │ 无      │ 65K     │ 简单        │
│ NVGRE  │ 4B+      │ 24 bit  │ 16M     │ 较复杂      │
│ IPIP   │ 20B      │ 无      │ 1       │ 最简单      │
└────────┴──────────┴──────────┴──────────┴─────────────┘

2. VXLAN 详解

2.1 VXLAN 原理

1
2
3
4
5
6
7
8
9
10
11
12
13
VXLAN(Virtual Extensible LAN)= L2 over L3 over UDP

  原始包:    [L2 Header | IP | TCP/UDP | Payload]
  VTEP 封装后:[Outer IP | UDP(4789) | VXLAN | Original L2 | ...]
                ↑               ↑           ↑
                VTEP IP         VXLAN ID    原始包
                (24 bit)        1600万 隔离域

核心概念:
  - VTEP(VXLAN Tunnel Endpoint):封装/解封装设备
  - VNI(VXLAN Network Identifier):24-bit 标识
  - Underlay:底层 IP 网络
  - Overlay:逻辑 L2 网络(VTEP 之间)

2.2 VXLAN 报文格式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
┌─────────────────────────────────────────────────────────┐
│ Outer Ethernet  (14B)                                   │
├─────────────────────────────────────────────────────────┤
│ Outer IPv4       (20B)                                   │
│  - src: VTEP IP                                         │
│  - dst: 目标 VTEP IP(组播或单播)                       │
│  - protocol: UDP                                         │
├─────────────────────────────────────────────────────────┤
│ UDP Header      (8B)                                     │
│  - src port: 随机                                        │
│  - dst port: 4789(IANA 分配)                            │
│  - checksum: 0(可选)                                    │
├─────────────────────────────────────────────────────────┤
│ VXLAN Header    (8B)                                     │
│  - VNI: 24 bit                                           │
│  - flags: I (Instance bit)                                │
│  - Reserved: 1 1 1 1 1 0 0 0                            │
├─────────────────────────────────────────────────────────┤
│ Inner Ethernet  (14B)                                   │
│  - 原始 L2 头                                             │
├─────────────────────────────────────────────────────────┤
│ Inner IP                                                  │
├─────────────────────────────────────────────────────────┤
│ Payload                                                   │
└─────────────────────────────────────────────────────────┘

总开销:14+20+8+8+14+20 = 84 bytes

2.3 VTEP 工作流程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
封装(Ingress VTEP):

  原始包: 10.0.1.2 -> 10.0.1.3 (in VNI 100)
  VTEP A 收到

  ├── 1. 查 VTEP 表
  │   10.0.1.3 的 VTEP IP 是什么?

  ├── 2. 添加 VXLAN 头(VNI 100)

  ├── 3. 添加 UDP 头(dst 4789)

  ├── 4. 添加 Outer IP 头
  │   src = VTEP_A IP (10.1.0.1)
  │   dst = VTEP_B IP (10.1.0.2)

  └── 5. 发送到 Underlay 网络

解封装(Egress VTEP):

  VTEP B 收到 outer IP = 10.1.0.2 的包

  ├── 1. UDP dst = 4789 → VXLAN

  ├── 2. 检查 VNI
  │   VNI 100 是否有此 VTEP?

  ├── 3. 删除 VXLAN/UDP/Outer IP 头

  └── 4. 内部包按本机 bridge/vxlan100 处理

2.4 VXLAN 控制平面

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
VXLAN 控制平面学习方式:

1. 组播方式(传统)
   - VTEP 加入组播组 239.1.1.100
   - 未知目的 MAC 通过组播泛洪
   - 需要物理交换机支持组播

2. EVPN(推荐,BGP 替代)
   - 通过 BGP 协议学习 MAC-IP 映射
   - 类似 ARP 缓存
   - 无需组播

3. SDN 控制器方式
   - 由控制器集中学习
   - 控制器统一下发流表

3. 配置 VXLAN 隧道

3.1 主机环境

1
2
3
4
5
6
7
8
9
10
11
12
13
实验环境:

  Host A (10.1.0.1)                    Host B (10.1.0.2)
  ┌──────────────┐                     ┌──────────────┐
  │ eth0: 10.1.0.1│ ──── 网络 ────    │ eth0: 10.1.0.2│
  │              │   (Underlay)       │              │
  │ vxlan100     │                     │ vxlan100     │
  │ 172.16.0.1/24│                     │ 172.16.0.2/24│
  │              │                     │              │
  │ br0          │                     │ br0          │
  │ └── veth1    │                     │ └── veth2    │
  │   172.16.0.10│                     │   172.16.0.20│
  └──────────────┘                     └──────────────┘

3.2 Host A 配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
#!/bin/bash
# Host A

set -e

# 1. 创建 VXLAN 设备
ip link add vxlan100 type vxlan \
    id 100                          # VNI
    dstport 4789                    # VXLAN 端口
    local 10.1.0.1                  # VTEP IP(本机)
    remote 10.1.0.2                 # 对端 VTEP(可选,未知时用组播)
    dev eth0                        # 物理设备
    # group 239.1.1.100             # 组播组(未知目的用)
    # learning on

# 2. 配置 IP
ip addr add 172.16.0.1/24 dev vxlan100
ip link set vxlan100 up

# 3. 创建网桥(可选)
ip link add br0 type bridge
ip link set vxlan100 master br0
ip link set br0 up

# 4. 添加容器端
ip netns add c1
ip link add veth1-host type veth peer name veth1-ns
ip link set veth1-ns netns c1
ip link set veth1-host master br0
ip link set veth1-host up
ip netns exec c1 bash -c "
    ip addr add 172.16.0.10/24 dev veth1-ns
    ip link set veth1-ns up
    ip link set lo up
"

3.3 Host B 配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#!/bin/bash
# Host B

set -e

# 1. 创建 VXLAN
ip link add vxlan100 type vxxlan \
    id 100 \
    dstport 4789 \
    local 10.1.0.2 \
    remote 10.1.0.1 \
    dev eth0

# 2. 配置 IP
ip addr add 172.16.0.2/24 dev vxlan100
ip link set vxlan100 up

# 3. 创建网桥
ip link add br0 type bridge
ip link set vxlan100 master br0
ip link set br0 up

# 4. 容器
ip netns add c2
ip link add veth2-host type veth peer name veth2-ns
ip link set veth2-ns netns c2
ip link set veth2-host master br0
ip link set veth2-host up
ip netns exec c2 bash -c "
    ip addr add 172.16.0.20/24 dev veth2-ns
    ip link set veth2-ns up
    ip link set lo up
"

3.4 测试

1
2
3
4
5
6
7
8
9
10
# 在 Host A 的 c1 中 ping Host B 的 c2
ip netns exec c1 ping 172.16.0.20

# 抓包观察 VXLAN 封装
# 在 Host A 的 eth0 上抓
tcpdump -i eth0 -nn -e udp port 4789
# 输出:
# 10.1.0.1.49152 > 10.1.0.2.4789: VXLAN, flags [I] (0x08), vni 100
#   aa:bb:cc:dd:ee:ff > cc:dd:ee:ff:00:11, ethertype IPv4
#     172.16.0.10 > 172.16.0.20: ICMP echo request

6.5 动态 VTEP(未知目的)

1
2
3
4
5
6
7
8
9
10
11
# 启用学习模式(默认)
ip link add vxlan100 type vxlan id 100 learning on

# 查看 fdb(forwarding database)
bridge fdb show dev vxlan100

# 静态添加远程 VTEP
bridge fdb add 00:00:00:00:00:00 dev vxlan100 dst 10.1.0.2 self permanent

# 远程 VTEP 看到的 MAC
bridge fdb add <remote_mac> dev vxlan100 dst 10.1.0.2

6.6 使用 EVPN BGP 学习

1
2
3
4
5
6
7
8
9
10
11
12
# 安装 FRR
apt install frr

# 配置 BGP EVPN
# /etc/frr/frr.conf
router bgp 65000
  neighbor 10.1.0.2 remote-as 65000
  address-family l2vpn evpn
    neighbor 10.1.0.2 activate
    advertise-all-vni

# 详细配置略,见 FRR 文档

4. Geneve 详解

4.1 Geneve vs VXLAN

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
Geneve(Generic Network Virtualization Encapsulation)= 灵活的元数据扩展

  ┌──────────────────────────────────────────┐
  │ Outer IP (20B)                          │
  ├──────────────────────────────────────────┤
  │ UDP Header (8B)                          │
  │  - dst port: 6081                       │
  ├──────────────────────────────────────────┤
  │ Geneve Header (可变长度)                 │
  │  - ver (2b), opt_len (6b), oam (1b), critical (1b) │
  │  - protocol type (16b)                  │
  │  - VNI (24b)                            │
  │  - 可选 TLV 扩展(变长)                │
  ├──────────────────────────────────────────┤
  │ Inner Ethernet                          │
  ├──────────────────────────────────────────┤
  │ ...                                      │
  └──────────────────────────────────────────┘

优势:
  - 比 VXLAN 多了 32-bit 字段
  - 支持 TLV 扩展(metadata)
  - 更灵活

4.2 Geneve TLV

1
2
3
4
5
6
7
8
9
10
11
12
13
14
TLV(Type-Length-Value):
  - 类型标识元数据含义
  - 如租户 ID、QoS 标记、安全上下文等

示例 TLV:
  Class      | Type  | Length | Value
  ---------- | ----- | ------ | -----
  0x0000     | 0x00  | 0x04   | <data>
  0x0001     | 0x01  | 0x04   | <8-bit>
  0x0100     | 0x80  | 0x04   | 32-bit OAM

Class = 0x0000:通用
Class = 0x0001:Cisco
Class = 0x0100:Linux 自定义

4.3 Geneve 配置

1
2
3
4
5
6
7
8
9
10
11
12
# 创建 Geneve
ip link add geneve0 type geneve \
    id 1000                       # VNI
    remote 10.1.0.2               # 远端 VTEP
    dstport 6081                  # Geneve 默认端口
    dev eth0

# 添加 TLV
ip link set geneve0 type geneve id 1000 ttl 64 tos 0

# 查看
ip -d link show geneve0

5. GRE 协议

5.1 GRE 格式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
GRE(Generic Routing Encapsulation)= 简单 IP 隧道

  ┌────────────────────────────────────────┐
  │ Outer IP (20B)                         │
  ├────────────────────────────────────────┤
  │ GRE Header (4-8B)                      │
  │  - flags (16b)                         │
  │  - protocol type (16b)                 │
  │  - checksum, key, sequence (可选)       │
  ├────────────────────────────────────────┤
  │ Inner IP / Ethernet / 其他             │
  └────────────────────────────────────────┘

特点:
  - 简单、轻量
  - 支持 IPv4/IPv6/MPLS
  - 不支持 VNI 隔离
  - 适合简单的 IP-in-IP 隧道

5.2 GRE 配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 创建 GRE 隧道
ip tunnel add gre1 mode gre \
    local 10.1.0.1 \
    remote 10.1.0.2 \
    ttl 64

# 启用
ip link set gre1 up
ip addr add 192.168.100.1/30 dev gre1

# IP-in-IP(最简单)
ip tunnel add ipip1 mode ipip \
    local 10.1.0.1 \
    remote 10.1.0.2

5.3 GRE vs VXLAN vs Geneve

特性 GRE VXLAN Geneve
默认端口 协议 47 4789 6081
VNI 隔离 24 bit 24 bit
元数据 极少 TLV
硬件卸载 一般 良好
Cloud 使用 多(Cilium)

6. NVGRE

1
2
3
4
5
6
NVGRE(Network Virtualization using GRE):

  使用 GRE 扩展(24 bit Tenant Network Identifier)
  24 bit = 16M 隔离域
  与 VXLAN 容量相同
  较少使用(被 VXLAN 取代)

7. 隧道与 MTU

7.1 MTU 规划

1
2
3
4
5
6
7
8
9
10
11
12
13
包大小计算:

  原始包:    1500B(标准 MTU)
  + VXLAN 头: +50B(外 IP + UDP + VXLAN + 内部 Ethernet)
  = 1550B

  → 物理网络 MTU 必须 ≥ 1550
  → 典型配置:物理网络 MTU 设为 9000(巨型帧/jumbo frames)
  → VXLAN 接口 MTU 设为 1450(1500 - 50)

警告:
  - 如果物理网络 MTU = 1500,VXLAN 包会被分片
  - 分片严重影响性能

7.2 配置巨型帧

1
2
3
4
5
6
7
8
9
10
11
12
# 物理网卡(两端都要配置)
ip link set eth0 mtu 9000

# 验证
ip link show eth0
# mtu 9000

# VXLAN 设备
ip link set vxlan100 mtu 1450

# 容器内网卡
ip link set veth1-ns mtu 1450

8. 抓包分析 VXLAN

8.1 Wireshark 解码

1
2
3
4
5
6
7
8
9
10
11
# 抓 VXLAN
tcpdump -i eth0 -nn -e udp port 4789 -w vxlan.pcap

# Wireshark 打开
# 1. 解码为 VXLAN:右键 → Decode As → VXLAN
# 2. 或 UDP port 4789 自动识别

# 关键观察字段:
# - VNI 标识
# - Inner MAC(VTEP 间交换)
# - Inner IP

8.2 观察转发过程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# 1. 查看 fdb(forwarding database)
bridge fdb show dev vxlan100
# 00:00:00:00:00:00 dev vxlan100 dst 10.1.0.2 self permanent
# aa:bb:cc:dd:ee:ff dev vxlan100 dst 10.1.0.2

# 2. 发送 ping 触发 MAC 学习
ip netns exec c1 ping 172.16.0.20

# 3. 再次查看
bridge fdb show dev vxlan100
# 已学到远端 MAC

# 4. 查看 vxlan 设备统计
ip -s link show vxlan100

8.3 常见问题排查

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# === VXLAN 不通 ===

# 1. 检查 VTEP 端口
netstat -tuln | grep 4789
# 应能看到 4789 端口

# 2. 检查 UDP 4789 是否被拦截
sudo iptables -L -n | grep 4789

# 3. 检查 VTEP 可达
ping 10.1.0.2

# 4. 抓包
tcpdump -i eth0 -nn udp port 4789

# 5. 检查 fdb
bridge fdb show

# 6. 防火墙开启?
sudo iptables -I INPUT -p udp --dport 4789 -j ACCEPT

9. 实践:完整跨主机 VXLAN 实验

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
#!/bin/bash
# vxlan_lab.sh — 跨主机 VXLAN 实验(单机模拟两台"主机")

set -e

# === 准备工作 ===
# 我们用两个 netns 模拟两台"主机"
# host-a: 物理网卡在 10.1.0.1
# host-b: 物理网卡在 10.1.0.2
# 在物理网络 10.1.0.0/24 互通(loopback 或实际网络)

NS_A="host-a"
NS_B="host-b"

# === 1. 创建 "主机" netns ===
ip netns add $NS_A
ip netns add $NS_B

# 2. 给 "主机" 配置 veth 模拟物理网卡
ip link add ha-eth type veth peer name ha-eth-peer
ip link set ha-eth netns $NS_A

ip link add hb-eth type veth peer name hb-eth-peer
ip link set hb-eth netns $NS_B

# 3. 在 "物理网络" 桥接(不隔离)
ip link add br-phys type bridge
ip link set ha-eth-peer master br-phys
ip link set hb-eth-peer master br-phys
ip link set br-phys up
ip link set ha-eth-peer up
ip link set hb-eth-peer up

# 4. 配置 "主机" 物理网卡 IP
ip netns exec $NS_A ip addr add 10.1.0.1/24 dev ha-eth
ip netns exec $NS_A ip link set ha-eth up
ip netns exec $NS_A ip link set lo up

ip netns exec $NS_B ip addr add 10.1.0.2/24 dev hb-eth
ip netns exec $NS_B ip link set hb-eth up
ip netns exec $NS_B ip link set lo up

# 5. 验证物理层互通
echo "=== Test: 物理网络互通 ==="
ip netns exec $NS_A ping -c 2 10.1.0.2

# 6. 在 host-a 创建 VXLAN
echo ""
echo "=== 创建 VXLAN ==="
ip netns exec $NS_A bash -c "
    ip link add vxlan100 type vxlan \
        id 100 \
        dstport 4789 \
        local 10.1.0.1 \
        remote 10.1.0.2 \
        dev ha-eth
    ip addr add 172.16.0.1/24 dev vxlan100
    ip link set vxlan100 up
"

# 7. 在 host-b 创建 VXLAN
ip netns exec $NS_B bash -c "
    ip link add vxlan100 type vxlan \
        id 100 \
        dstport 4789 \
        local 10.1.0.2 \
        remote 10.1.0.1 \
        dev hb-eth
    ip addr add 172.16.0.2/24 dev vxlan100
    ip link set vxlan100 up
"

# 8. 验证 overlay 互通
echo ""
echo "=== Test: VXLAN overlay 互通 ==="
ip netns exec $NS_A ping -c 2 172.16.0.2

# 9. 抓包观察
echo ""
echo "=== 抓包观察(5 秒)==="
timeout 5 ip netns exec $NS_B tcpdump -i hb-eth -nn udp port 4789 -c 1 &
sleep 1
ip netns exec $NS_A ping -c 1 172.16.0.2
wait

# 清理
ip netns del $NS_A
ip netns del $NS_B
ip link del br-phys

10. 主流开源实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
VXLAN 实现:
  - Linux 内核原生 vxlan.ko(标准)
  - Open vSwitch (OVS)
  - Cilium / Calico / Flannel
  - Tungsten Fabric

Geneve 实现:
  - Linux 内核原生 geneve.ko
  - OVS 2.4+
  - VPP(fd.io)
  - Cilium 优先支持

控制平面:
  - EVPN/BGP(最成熟)
  - OVN(Open Virtual Network)
  - Flannel(简单)
  - Calico IPIP/BGP

展开全文 >>

第33周:Open vSwitch 与 SDN

第33周:Open vSwitch 与 SDN

目标:理解 OVS 架构和 OpenFlow 协议,能够使用 OVS 构建虚拟网络并通过 SDN 控制器管理流表。

1. OVS 概述

1.1 OVS 是什么

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
OVS(Open vSwitch):生产级多层虚拟交换机

  角色:
  - 云数据中心的虚拟交换机
  - 支持 OpenFlow 协议
  - 替代 Linux bridge,提供更强大的功能
  - 与 KVM、Docker、Kubernetes 集成

  主要功能:
  - L2/L3 转发
  - VLAN 隔离
  - VXLAN/Geneve 隧道
  - OpenFlow 控制
  - QoS
  - 镜像
  - sFlow/NetFlow 监控

1.2 OVS 架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
┌──────────────────────────────────────────────────┐
│                    OVS 架构                        │
│                                                    │
│  ┌─────────────┐                                  │
│  │ ovs-vswitchd│ ← 控制平面(用户态)              │
│  │ (daemon)    │   - 与 ovsdb-server 通信         │
│  │             │   - 与 OpenFlow 控制器通信       │
│  │             │   - 管理流表                      │
│  └──────┬──────┘                                  │
│         │ 间接通信                                 │
│         ▼                                          │
│  ┌──────────────┐                                 │
│  │ openvswitch.ko│ ← 数据路径(内核态)            │
│  │ (datapath)    │   - 快速路径(fast path)       │
│  │               │   - 慢路径(upcall to 用户态)  │
│  └──────────────┘                                 │
│                                                    │
│  ┌──────────────┐                                 │
│  │ ovsdb-server │ ← 数据库(OVSDB 协议)          │
│  │ (DB)         │   - 存储配置                    │
│  └──────────────┘                                 │
│                                                    │
│  用户态工具:                                       │
│  - ovs-vsctl      (DB 配置)                       │
│  - ovs-ofctl      (OpenFlow 操作)                 │
│  - ovs-dpctl      (datapath 操作)                 │
│  - ovs-appctl     (应用控制)                       │
└──────────────────────────────────────────────────┘

1.3 数据路径分类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
┌──────────────────────────────────────────────────┐
│  数据路径类型                                       │
│                                                    │
│  1. 快速路径(fast path, kernel datapath)         │
│     - 流量匹配已下发的流表 → 直接转发               │
│     - 微秒级                                       │
│     - ovs-vswitchd 已下发的规则                    │
│                                                    │
│  2. 慢速路径(slow path, upcall)                  │
│     - 新流/未知流 → upcall 到 ovs-vswitchd        │
│     - 毫秒级                                       │
│     - 用户态查询控制器或本地决策                    │
│                                                    │
│  3. OpenFlow 控制器路径                             │
│     - ovs-vswitchd 不知如何处理 → 查询控制器       │
│     - 毫秒到秒级(取决于控制器)                    │
│     - 完全可编程                                    │
└──────────────────────────────────────────────────┘

2. 安装 OVS

2.1 Ubuntu/Debian

1
2
3
4
5
6
7
8
9
# 安装
sudo apt install -y openvswitch-switch openvswitch-common

# 验证
ovs-vsctl --version
ovs-vswitchd --version

# 检查状态
sudo systemctl status openvswitch-switch

2.2 源码编译(可选,获取最新版本)

1
2
3
4
5
6
7
8
9
git clone https://github.com/openvswitch/ovs.git
cd ovs
./boot.sh
./configure --with-linux=/lib/modules/$(uname -r)/build
make -j$(nproc)
sudo make install

# 启动
sudo ./utilities/ovs-ctl start

2.3 模块加载

1
2
3
4
5
6
7
8
9
# 加载内核模块
sudo modprobe openvswitch

# 启动服务
sudo /usr/share/openvswitch/scripts/ovs-ctl start

# 验证
lsmod | grep openvswitch
ovs-vsctl show

3. OVS 基础操作

3.1 创建网桥和端口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# === 创建一个简单的 bridge ===

# 1. 创建网桥
sudo ovs-vsctl add-br br0

# 2. 添加端口
sudo ovs-vsctl add-port br0 eth1
sudo ovs-vsctl add-port br0 veth1
sudo ovs-vsctl add-port br0 vxlan0 -- set interface vxlan0 \
    type=vxlan options:remote_ip=10.1.0.2

# 3. 配置 IP(如果需要 L3 功能)
sudo ip addr add 192.168.1.1/24 dev br0
sudo ip link set br0 up

# 4. 查看
ovs-vsctl show
ovs-vsctl list-br
ovs-vsctl list-ports br0
ovs-vsctl list interface

3.2 端口类型

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
# === OVS 支持的端口类型 ===

# 普通端口(绑定到物理/虚拟网卡)
ovs-vsctl add-port br0 eth1

# Internal 端口(虚拟)
ovs-vsctl add-port br0 veth1 -- set interface veth1 type=internal
ip addr add 10.0.1.1/24 dev veth1
ip link set veth1 up

# VXLAN 隧道
ovs-vsctl add-port br0 vxlan0 \
    -- set interface vxlan0 type=vxlan options:remote_ip=10.1.0.2

# Geneve 隧道
ovs-vsctl add-port br0 geneve0 \
    -- set interface geneve0 type=geneve options:remote_ip=10.1.0.2

# Patch 端口(连接两个 OVS bridge)
ovs-vsctl add-port br0 patch0 \
    -- set interface patch0 type=patch options:peer=patch1
ovs-vsctl add-port br1 patch1 \
    -- set interface patch1 type=patch options:peer=patch0

# GRE 隧道
ovs-vsctl add-port br0 gre0 \
    -- set interface gre0 type=gre options:remote_ip=10.1.0.2

3.3 常用命令

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# === 配置查看 ===

ovs-vsctl show                    # 整体配置
ovs-vsctl list-br                 # 列出网桥
ovs-vsctl list-ports br0          # 列出端口
ovs-vsctl list interface          # 接口详情
ovs-vsctl list port              # 端口详情
ovs-vsctl list controller        # 控制器
ovs-vsctl list manager           # manager(OVSDB)

# === 单个对象详情 ===
ovs-vsctl --columns=name,type,options list interface

# === datapath 操作 ===
ovs-dpctl show                    # 列出 datapath
ovs-dpctl dump-flows br0         # 转储流表(datapath 级别)
ovs-appctl dpctl/dump-flows br0  # 较新版本

# === 运行时信息 ===
ovs-appctl --target ovs-vswitchd upcall/show
ovs-appctl --target ovs-vswitchd vlog/set DBG

4. OpenFlow 流表

4.1 OpenFlow 基础

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
OpenFlow:SDN 控制器与交换机通信的标准协议

  控制器 (Controller) ←── OpenFlow 协议 ──→ 交换机 (Switch)
                                                     (OVS)
  
  核心概念:
  - Flow Table(流表):匹配-动作规则集合
  - Match Fields:匹配包字段
  - Actions:动作(forward/drop/modify)

  OpenFlow 1.3 字段示例(匹配):
  - 入端口(in_port)
  - 源/目的 MAC
  - 源/目的 IP
  - 协议
  - 源/目的端口
  - VLAN ID
  - VNI(VXLAN)

  动作:
  - output:port         - 转发到端口
  - drop                - 丢弃
  - modify_field        - 修改字段
  - set_vlan_vid        - 设置 VLAN
  - push_vlan           - 压入 VLAN

4.2 ovs-ofctl 操作

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# === 查看流表 ===
sudo ovs-ofctl dump-flows br0

# === 添加流表 ===
# 简单规则
sudo ovs-ofctl add-flow br0 "priority=10,in_port=1,actions=output:2"

# 多字段匹配
sudo ovs-ofctl add-flow br0 \
    "priority=100,ip,nw_src=10.0.1.0/24,nw_dst=10.0.2.0/24,actions=output:2"

# 默认规则
sudo ovs-ofctl add-flow br0 "priority=0,actions=NORMAL"

# 删除流
sudo ovs-ofctl del-flows br0
sudo ovs-ofctl del-flows br0 "in_port=1"

# 详细显示
sudo ovs-ofctl dump-flows br0 -d

4.3 流表匹配字段速查

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
入端口:     in_port=N
以太网:      dl_src=AA:BB:CC:DD:EE:FF, dl_dst=..., dl_vlan=10
VLAN:        vlan_vid=10, vlan_pcp=0
IP:          nw_src=10.0.1.0/24, nw_dst=10.0.2.0/24
            nw_proto=6 (TCP), 17 (UDP), 1 (ICMP)
传输层:      tcp_src=80, tcp_dst=...
            udp_src=53, udp_dst=4789
ICMP:        icmp_type=8 (echo request)
Tunnel:      tun_id=100 (VNI)
Metadata:    metadata=0x12345678

动作:
  output:port        # 转发到端口 N
  output:CONTROLLER  # 转发到控制器
  drop               # 丢弃
  NORMAL             # 走 L2/L3 普通转发
  FLOOD              # 泛洪
  LOCAL              # 发给本地(控制器)
  mod_dl_src         # 修改源 MAC
  mod_dl_dst         # 修改目的 MAC
  mod_nw_src         # 修改源 IP
  set_vlan_vid       # 设置 VLAN ID
  push_vlan          # 压入 VLAN 标签
  pop_vlan           # 弹出 VLAN 标签
  resubmit           # 跳到其他表
  meter               # 应用 meter

4.4 完整示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
# 创建网桥
sudo ovs-vsctl add-br ovs-br0
sudo ovs-vsctl add-port ovs-br0 eth0
sudo ovs-vsctl add-port ovs-br0 veth1

# === 流表 1:丢弃特定 MAC ===
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=100,dl_src=AA:BB:CC:DD:EE:FF,actions=drop"

# === 流表 2:HTTP 流量镜像到指定端口 ===
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=100,tcp,tcp_dst=80,actions=output:1,output:99"

# === 流表 3:VLAN 10 隔离 ===
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=100,dl_vlan=10,actions=strip_vlan,output:2"
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=100,dl_vlan=20,actions=strip_vlan,output:3"

# === 流表 4:默认转发 ===
sudo ovs-ofctl add-flow ovs-br0 \
    "priority=0,actions=NORMAL"

# 查看
sudo ovs-ofctl dump-flows ovs-br0

5. 控制器模式

5.1 主动模式 vs 被动模式

1
2
3
4
5
6
7
8
9
10
11
12
13
主动模式(out-of-band):
  - 控制器通过 OpenFlow 通道下发了所有流
  - 交换机按流表精确匹配转发
  - 包不发给控制器

被动模式(in-band / reactive):
  - 交换机收到包 → 查流表 → 找不到 → 发给控制器
  - 控制器决定 → 下发新流
  - 后续相同包走快速路径

混合模式(hybrid):
  - 一些规则预下发(常用)
  - 罕见的包走控制器

5.2 配置控制器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# === 设置 OpenFlow 控制器 ===
sudo ovs-vsctl set-controller br0 tcp:192.168.1.100:6653
# 默认端口 6633(OF 1.0)或 6653(OF 1.3+)

# 多个控制器
sudo ovs-vsctl set-controller br0 \
    tcp:192.168.1.100:6653 \
    tcp:192.168.1.101:6653

# === 控制器模式 ===
sudo ovs-vsctl set controller br0 connection-mode=out-of-band
sudo ovs-vsctl set controller br0 inactivity-probe=10

# === 查看 ===
sudo ovs-vsctl list controller
sudo ovs-ofctl show br0

5.3 简单 Python 控制器(POF / Ryu)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
# simple_controller.py — 简单的 OpenFlow 控制器
from ryu.base import app_manager
from ryu.controller import ofp_event
from ryu.controller.handler import CONFIG_DISPATCHER, MAIN_DISPATCHER
from ryu.controller.handler import set_ev_cls
from ryu.ofproto import ofproto_v1_3
from ryu.lib.packet import packet, ethernet, ipv4, arp

class SimpleController(app_manager.RyuApp):
    OFP_VERSIONS = [ofproto_v1_3.OFP_VERSION]

    def __init__(self, *args, **kwargs):
        super(SimpleController, self).__init__(*args, **kwargs)
        self.mac_to_port = {}

    @set_ev_cls(ofp_event.EventOFPSwitchFeatures, CONFIG_DISPATCHER)
    def switch_features_handler(self, ev):
        """交换机连接事件"""
        datapath = ev.msg.datapath
        ofproto = datapath.ofproto
        parser = datapath.ofproto_parser

        # 安装默认流表(所有包转发到控制器)
        match = parser.OFPMatch()
        actions = [parser.OFPActionOutput(ofproto.OFPP_CONTROLLER,
                                          ofproto.OFPCML_NO_BUFFER)]
        inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS, actions)]
        mod = parser.OFPFlowMod(datapath=datapath, priority=0,
                                 match=match, instructions=inst)
        datapath.send_msg(mod)

    @set_ev_cls(ofp_event.EventOFPPacketIn, MAIN_DISPATCHER)
    def packet_in_handler(self, ev):
        """包入事件"""
        msg = ev.msg
        datapath = msg.datapath
        ofproto = datapath.ofproto
        parser = datapath.ofproto_parser
        in_port = msg.match['in_port']

        pkt = packet.Packet(msg.data)
        eth = pkt.get_protocols(ethernet.ethernet)[0]

        # 学习 MAC → port
        dst = eth.dst
        src = eth.src
        dpid = datapath.id
        self.mac_to_port.setdefault(dpid, {})
        self.mac_to_port[dpid][src] = in_port

        # 查目标 MAC 的端口
        if dst in self.mac_to_port[dpid]:
            out_port = self.mac_to_port[dpid][dst]
        else:
            out_port = ofproto.OFPP_FLOOD  # 未知目的,泛洪

        # 下发流表
        actions = [parser.OFPActionOutput(out_port)]

        match = parser.OFPMatch(in_port=in_port, eth_dst=dst, eth_src=src)
        inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS, actions)]
        mod = parser.OFPFlowMod(datapath=datapath, priority=1,
                                 match=match, instructions=inst)
        datapath.send_msg(mod)

        # 转发当前包
        data = msg.data if msg.buffer_id == ofproto.OFP_NO_BUFFER else None
        out = parser.OFPPacketOut(datapath=datapath, buffer_id=msg.buffer_id,
                                   in_port=in_port, actions=actions, data=data)
        datapath.send_msg(out)
1
2
3
4
5
6
7
8
# 安装 Ryu
pip install ryu

# 运行
ryu-manager simple_controller.py

# OVS 连接控制器
sudo ovs-vsctl set-controller ovs-br0 tcp:127.0.0.1:6653

6. VLAN 隔离实验

6.1 Trunk 端口

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# === 简单 VLAN 隔离 ===

# 创建 OVS bridge
sudo ovs-vsctl add-br br-vlan

# 添加 trunk 端口(接收所有 VLAN)
sudo ovs-vsctl add-port br-vlan eth0

# 添加 access 端口(仅属于 VLAN 10)
sudo ovs-vsctl add-port br-vlan eth1 tag=10
sudo ovs-vsctl add-port br-vlan veth1 tag=10

# 添加 access 端口(仅属于 VLAN 20)
sudo ovs-vsctl add-port br-vlan eth2 tag=20
sudo ovs-vsctl add-port br-vlan veth2 tag=20

# 查看
ovs-vsctl show
# 应能看到 tag=10, tag=20

6.2 更细粒度流表控制

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# === 严格隔离:禁止 VLAN 10 访问 VLAN 20 ===

# VLAN 10 → 端口 1,2
ovs-ofctl add-flow br-vlan "priority=100,dl_vlan=10,actions=strip_vlan,output:1,output:2"
ovs-ofctl add-flow br-vlan "priority=100,dl_vlan=20,actions=strip_vlan,output:3,output:4"

# 跨 VLAN 隔离
ovs-ofctl add-flow br-vlan "priority=50,actions=drop"

# 默认丢弃
ovs-ofctl add-flow br-vlan "priority=0,actions=drop"

# 注:这种方式精细控制,但复杂
# 推荐用 VLAN tag + 流表结合

7. 完整多租户网络

7.1 拓扑设计

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
场景:3 个租户(tenant-a, tenant-b, tenant-c),
每个租户有独立的 L2 网络,通过 VXLAN 互通

  Host A                              Host B
  ┌────────────────┐                  ┌────────────────┐
  │ br-tenant-a    │                  │ br-tenant-b    │
  │ vxlan-a ─────────────────────────── vxlan-a (VNI 100)│
  │ veth-a1-a (10.0)                  │ veth-b1-a (10.0) │
  │ veth-a2-a (10.0)                  │ veth-b2-a (10.0) │
  ├────────────────┤                  ├────────────────┤
  │ br-tenant-b    │                  │ br-tenant-c    │
  │ vxlan-b ─────────────────────────── vxlan-b (VNI 200)│
  │ veth-a1-b (20.0)                  │ veth-b1-c (30.0)│
  ├────────────────┤
  │ br-tenant-c    │
  │ vxlan-c (VNI 300)
  │ veth-a1-c (30.0)│
  └────────────────┘

7.2 配置脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
#!/bin/bash
# ovs_multitenant.sh — 多租户网络

set -e

# 物理网络
UNDERLAY_NET="10.1.0"
PEER_IP="10.1.0.2"  # 远程 VTEP

# === Host A ===

# 租户 A
sudo ovs-vsctl add-br br-tenant-a
sudo ovs-vsctl add-port br-tenant-a vxlan-a \
    -- set interface vxlan-a type=vxlan \
       options:remote_ip=$PEER_IP options:key=100 options:dstport=4789
sudo ovs-vsctl add-port br-tenant-a veth-a1-a \
    -- set port veth-a1-a tag=10
sudo ovs-vsctl add-port br-tenant-a veth-a2-a \
    -- set port veth-a2-a tag=10

# 租户 B
sudo ovs-vsctl add-br br-tenant-b
sudo ovs-vsctl add-port br-tenant-b vxlan-b \
    -- set interface vxlan-b type=vxlan \
       options:remote_ip=$PEER_IP options:key=200 options:dstport=4789
sudo ovs-vsctl add-port br-tenant-b veth-a1-b \
    -- set port veth-a1-b tag=20

# 租户 C
sudo ovs-vsctl add-br br-tenant-c
sudo ovs-vsctl add-port br-tenant-c vxlan-c \
    -- set interface vxlan-c type=vxlan \
       options:remote_ip=$PEER_IP options:key=300 options:dstport=4789
sudo ovs-vsctl add-port br-tenant-c veth-a1-c \
    -- set port veth-a1-c tag=30

# 验证
ovs-vsctl show

8. OVS 性能调优

8.1 内核 datapath 调优

1
2
3
4
5
6
7
8
9
10
11
# === 调整 netdev 最大长度 ===
# /etc/sysctl.d/99-ovs.conf
net.core.netdev_max_backlog = 5000
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216

# === 禁用巨型帧的分片(如果 MTU 已配置好)===
net.ipv4.ip_no_pmtu_disc = 1

# === 启用 RPS(多核)===
echo "f" > /sys/class/net/eth0/queues/rx-0/rps_cpus

8.2 巨型帧

1
2
3
# 设置所有 OVS 端口 MTU
ip link set eth0 mtu 9000
ip link set br-tenant-a mtu 8950

8.3 监控

1
2
3
4
5
6
7
8
9
10
# 实时流量统计
ovs-ofctl dump-ports br0

# 丢包
ovs-appctl --target ovs-vswitchd coverage/show
ovs-appctl --target ovs-vswitchd coverage/read-counter \
    netdev_no_buffers

# 端口状态
ovs-ofctl show br0

9. OVS 调试技巧

9.1 启用日志

1
2
3
4
5
6
7
8
9
10
# 设置 vlog 级别
sudo ovs-appctl vlog/set ANY:dbg

# 写入文件
sudo ovs-appctl vlog/file:/var/log/ovs.log
sudo ovs-appctl vlog/reopen

# 特定模块
sudo ovs-appctl vlog/set ofp:dbg
sudo ovs-appctl vlog/set dpif:dbg

9.2 抓包

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# 在 OVS 上抓包(sFlow / 镜像)
sudo ovs-vsctl -- --id=@m create mirror name=m0 \
    select_all=true output_port=eth0 \
    -- set bridge br0 mirrors=@m

# 抓 datapath 包
sudo ovs-appctl dpif/trace-drop br0 in_port=1

# 单包追踪(offline)
sudo ovs-appctl ofproto/trace br0 \
    in_port=1,tcp,tcp_dst=80,ip,nw_src=10.0.1.2,nw_dst=10.0.2.3

# 输出:
# Flow: tcp,in_port=1,vlan_tci=0x0000,dl_src=...,dl_dst=...,
#       nw_src=10.0.1.2,nw_dst=10.0.2.3,nw_proto=6,nw_tos=0,
#       tcp_dst=80
#
# Rule: priority=100,tcp,tcp_dst=80,actions=output:2
# OpenFlow actions: output:2

9.3 性能分析

1
2
3
4
5
6
7
8
# 实时流量统计
watch -n 1 "ovs-vsctl -- get Interface br0 statistics"

# CPU 占用
top -p $(pidof ovs-vswitchd)

# perf
sudo perf top -p $(pidof ovs-vswitchd)

10. 主流 SDN 控制器

控制器 语言 特点 适合场景
OpenDaylight Java 大型,复杂 企业级
ONOS Java 电信级 运营商
Ryu Python 简单,API 友好 教学、快速开发
Floodlight Java 中等 中小规模
Faucet Python 简单 数据中心
Tungsten Fabric Java 完整 SDN 平台 云服务
Tungsten Fabric Java 完整 SDN 平台 云服务 
1
2
3
4
5
6
7
8
# 安装 Ryu(推荐入门)
pip install ryu

# 示例:HUB 控制器
ryu-manager --verbose ryu.app.example_hub

# 示例:Spanning Tree
ryu-manager ryu.app.simple_switch_13

11. 实践:用 OVS 搭建虚拟网络

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
#!/bin/bash
# ovs_lab.sh — OVS 虚拟网络实验

set -e

# 1. 创建两个 netns(模拟两个 VM/容器)
ip netns add vm1
ip netns add vm2
ip netns add vm3

# 2. 创建 OVS bridge
sudo ovs-vsctl add-br lab-br

# 3. 添加三个端口(每个属于一个 netns)
for i in 1 2 3; do
    ip link add veth$i-host type veth peer name veth$i-ns
    ip link set veth$i-ns netns vm$i
    sudo ovs-vsctl add-port lab-br veth$i-host
    ip link set veth$i-host up

    # 配置 netns 内 IP
    ip netns exec vm$i bash -c "
        ip addr add 10.0.0.$i/24 dev veth$i-ns
        ip link set veth$i-ns up
        ip link set lo up
    "
done

# 4. 启动一个 HTTP 服务
ip netns exec vm1 python3 -m http.server 80 > /dev/null 2>&1 &
SRV_PID=$!
sleep 1

# 5. 测试连通性
echo "=== Test 1: VM 间互通 ==="
ip netns exec vm2 ping -c 2 10.0.0.1

echo "=== Test 2: VM3 访问 VM1 HTTP ==="
ip netns exec vm3 curl -s http://10.0.0.1/ | head -3

# 6. OVS 流表操作
echo "=== Test 3: 查看 OVS 流表 ==="
sudo ovs-ofctl dump-flows lab-br

# 7. 模拟丢包
echo "=== Test 4: 丢弃所有到 VM1 的包 ==="
sudo ovs-ofctl add-flow lab-br "priority=100,ip,nw_dst=10.0.0.1,actions=drop"
ip netns exec vm2 ping -c 2 10.0.0.1
# 应该全部失败

# 8. 删除丢包规则
sudo ovs-ofctl del-flows lab-br

# 清理
kill $SRV_PID 2>/dev/null
for i in 1 2 3; do
    ip netns del vm$i
done
sudo ovs-vsctl del-br lab-br

12. 主流 OVS 增强项目

1
2
3
4
5
6
7
8
9
10
11
12
13
DPDK-OVS:
  - 使用 DPDK 加速 OVS
  - 用户态 datapath
  - 高性能
  - 适合 NFV/电信

OVS-DPDK 安装:
  - 在 OVS 编译时启用 --with-dpdk
  - 分配 hugepage
  - 绑定 NIC 到 DPDK 驱动

参考:
  - ovs-vswitchd --dpdk -c 0x1 -n 4 --socket-mem 1024

展开全文 >>

第34周:P4 可编程数据平面入门

第34周:P4 可编程数据平面入门

目标:理解 P4 编程语言模型,能够编写 P4 程序实现自定义包处理,并使用 BMv2 模拟器运行验证。

1. P4 概述

1.1 P4 是什么

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
P4(Programming Protocol-independent Packet Processors):
  - 协议无关的包处理器编程语言
  - 描述数据包如何被解析、处理、转发
  - 与 P4Runtime 配合可下发到交换机

  关键特性:
  - 协议无关(不绑定特定协议)
  - 目标无关(同一程序可运行在 ASIC/FPGA/软件)
  - 现场可重配置(programmable at runtime)

  应用:
  - 自定义协议处理
  - in-network 计算
  - 智能网卡(SmartNIC)编程
  - 快速原型开发

1.2 P4 vs OpenFlow

1
2
3
4
5
6
7
8
9
10
11
OpenFlow:
  - 固定的协议集(以太网、IPv4、IPv6、MPLS 等)
  - 固定的匹配字段
  - 控制器配置流表
  - 限制:不能扩展新协议

P4:
  - 程序员定义协议头
  - 程序员定义匹配-动作
  - 编译器生成目标配置
  - 灵活:可处理任何协议

1.3 P4 架构(v1model)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
┌──────────────────────────────────────────┐
│  P4 数据面(target-independent)          │
│  ┌────────────────────────────────┐     │
│  │  Parser                        │     │
│  │  解析包头                      │     │
│  └────────┬───────────────────────┘     │
│           ▼                                │
│  ┌────────────────────────────────┐     │
│  │  Match-Action Pipeline         │     │
│  │  Ingress │  Egress             │     │
│  │  - 匹配字段                    │     │
│  │  - 动作(修改、转发、丢弃)    │     │
│  └────────┬───────────────────────┘     │
│           ▼                                │
│  ┌────────────────────────────────┐     │
│  │  Deparser                      │     │
│  │  重组包头                      │     │
│  └────────────────────────────────┘     │
└──────────────────────────────────────────┘


┌──────────────────────────────────────────┐
│  目标(target-dependent)                  │
│  - BMv2(软件模拟)                        │
│  - Tofino(ASIC)                          │
│  - Netronome(SmartNIC)                   │
│  - 软件交换机                              │
└──────────────────────────────────────────┘

2. P4 语言基础

2.1 程序结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
// basic.p4 — P4 程序的基本结构

// 1. 头定义
header ethernet_t {
    bit<48> dstAddr;
    bit<48> srcAddr;
    bit<16> etherType;
}

header ipv4_t {
    bit<4>    version;
    bit<4>    ihl;
    bit<8>    diffserv;
    bit<16>   totalLen;
    bit<16>   identification;
    bit<3>    flags;
    bit<13>   fragOffset;
    bit<8>    ttl;
    bit<8>    protocol;
    bit<16>   hdrChecksum;
    bit<32>   srcAddr;
    bit<32>   dstAddr;
}

// 2. 元数据结构
struct metadata {
    bit<9>  ingress_port;
    bit<9>  egress_spec;
    bit<32> nhop_ipv4;
    bit<48> dst_mac;
    bit<48> src_mac;
}

// 3. 包解析(栈)
struct headers {
    ethernet_t   ethernet;
    ipv4_t       ipv4;
}

// 4. 解析器
parser MyParser(packet_in pkt, out headers hdr, inout metadata meta,
                 inout standard_metadata_t standard_metadata) {
    state start {
        pkt.extract(hdr.ethernet);
        transition select(hdr.ethernet.etherType) {
            0x0800: parse_ipv4;
            default: accept;
        }
    }
    state parse_ipv4 {
        pkt.extract(hdr.ipv4);
        transition accept;
    }
}

// 5. 逆解析器
control MyDeparser(packet_out pkt, in headers hdr) {
    apply {
        pkt.emit(hdr.ethernet);
        pkt.emit(hdr.ipv4);
    }
}

// 6. 入口处理
control MyIngress(inout headers hdr, inout metadata meta,
                  inout standard_metadata_t standard_metadata) {
    apply {
        // 匹配-动作
    }
}

// 7. 出口处理
control MyEgress(inout headers hdr, inout metadata meta,
                 inout standard_metadata_t standard_metadata) {
    apply {
    }
}

// 8. 校验和验证
control MyVerifyChecksum(inout headers hdr, inout metadata meta) {
    apply {
        verify_checksum(hdr.ipv4.isValid(),
                         hdr.ipv4.hdrChecksum,
                         { ... },
                         hdr.ipv4.hdrChecksum);
    }
}

// 9. 校验和更新
control MyComputeChecksum(inout headers hdr, inout metadata meta) {
    apply {
        update_checksum(hdr.ipv4.isValid(),
                         hdr.ipv4.hdrChecksum,
                         { ... },
                         hdr.ipv4.hdrChecksum);
    }
}

// 10. 组合
V1Switch(MyParser, MyVerifyChecksum, MyIngress, MyEgress,
         MyComputeChecksum, MyDeparser) main;

2.2 数据类型

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
// === 基础类型 ===
bit<N>      // N 位无符号整数
varbit<N>   // N 位可变长
int<N>      // N 位有符号整数
bool        // 布尔

// === 复合类型 ===
header      // 包头
struct      // 字段集合
header_union // 联合(互斥的头)
list        // 列表
tuple       // 元组

// === 字符串和错误 ===
string
error       // NoError, PacketTooShort, NoMatch, ...

// === 特殊类型 ===
Header<header_t>        // 头
Headers<H1, H2, ...>    // 头栈
Metadata<M1, M2, ...>   // 元数据
P4List<T, N>            // 列表

2.3 解析器详解

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
parser MyParser(packet_in pkt, out headers hdr, inout metadata meta,
                 inout standard_metadata_t standard_metadata) {
    state start {
        // extract:解析一个头
        pkt.extract(hdr.ethernet);
        // transition:转移到下一个状态
        transition select(hdr.ethernet.etherType) {
            // 0x0800 = IPv4
            0x0800 &&& 0xFFFF: parse_ipv4;
            0x86DD            : parse_ipv6;
            0x0806            : parse_arp;
            default           : accept;
        }
    }

    state parse_ipv4 {
        pkt.extract(hdr.ipv4);
        // verify:验证条件
        verify(hdr.ipv4.version == 4, error.PacketTooShort);
        // 嵌套选择
        transition select(hdr.ipv4.protocol) {
            6  : parse_tcp;   // TCP
            17 : parse_udp;   // UDP
            default: accept;
        }
    }

    state parse_tcp {
        pkt.extract(hdr.tcp);
        transition accept;
    }

    state parse_udp {
        pkt.extract(hdr.udp);
        transition accept;
    }
}

2.4 Match-Action 详解

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
control MyIngress(inout headers hdr, inout metadata meta,
                  inout standard_metadata_t standard_metadata) {
    // 动作定义
    action ipv4_forward(macAddr_t dstAddr, egressSpec_t port) {
        hdr.ethernet.srcAddr = hdr.ethernet.dstAddr;
        hdr.ethernet.dstAddr = dstAddr;
        hdr.ipv4.ttl = hdr.ipv4.ttl - 1;
        standard_metadata.egress_spec = port;
    }

    action drop() {
        mark_to_drop();
    }

    action ipv4_lpm() {
        // 后续填充
    }

    // 匹配-动作表
    table ipv4_lpm_l3 {
        key = {
            hdr.ipv4.dstAddr: lpm;  // LPM 匹配
        }
        actions = {
            ipv4_forward;   // 匹配的 action
            drop;
        }
        size = 1024;          // 表大小
        default_action = drop();  // 默认动作
    }

    apply {
        // 表应用
        if (hdr.ipv4.isValid()) {
            ipv4_lpm_l3.apply();
        } else {
            // 广播
            standard_metadata.egress_spec = ...;
        }
    }
}

3. 搭建 BMv2 环境

3.1 安装

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
# 方式 1:使用 Docker(推荐)
docker pull p4lang/behavioral-model

# 方式 2:源码编译(Ubuntu)
sudo apt-get update
sudo apt-get install -y \
    automake \
    cmake \
    libgmp-dev \
    libpcap-dev \
    libboost-dev \
    libboost-thread-dev \
    libboost-program-options-dev \
    libboost-system-dev \
    libssl-dev \
    libtool \
    pkg-config \
    python3-scapy

# 克隆并编译
git clone https://github.com/p4lang/behavioral-model.git
cd behavioral-model
./autogen.sh
./configure
make -j$(nproc)
sudo make install
sudo ldconfig

# 安装 P4 编译器
git clone https://github.com/p4lang/p4c.git
cd p4c
mkdir build && cd build
cmake ..
make -j$(nproc)
sudo make install

3.2 安装 P4Runtime

1
2
# P4Runtime shell
pip install p4runtime-shell

3.3 验证安装

1
2
3
4
5
simple_switch --help
# Usage: simple_switch [options] <json file>

p4c --help
# P4-16 compiler

4. basic.p4 示例

4.1 完整代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
// basic.p4 — 简单的 P4 程序:转发 IPv4 包
#include <core.p4>
#include <v1model.p4>

// === 头定义 ===
const bit<16> TYPE_IPV4 = 0x800;
const bit<8> TYPE_TCP   = 6;
const bit<8> TYPE_UDP   = 17;

#define MAX_PORTS 256

typedef bit<9>  egressSpec_t;
typedef bit<48> macAddr_t;
typedef bit<32> ip4Addr_t;

header ethernet_t {
    macAddr_t dstAddr;
    macAddr_t srcAddr;
    bit<16>   etherType;
}

header ipv4_t {
    bit<4>    version;
    bit<4>    ihl;
    bit<8>    diffserv;
    bit<16>   totalLen;
    bit<16>   identification;
    bit<3>    flags;
    bit<13>   fragOffset;
    bit<8>    ttl;
    bit<8>    protocol;
    bit<16>   hdrChecksum;
    ip4Addr_t srcAddr;
    ip4Addr_t dstAddr;
}

header tcp_t {
    bit<16> srcPort;
    bit<16> dstPort;
    bit<32> seqNo;
    bit<32> ackNo;
    bit<4>  dataOffset;
    bit<3>  res;
    bit<3>  ecn;
    bit<6>  ctrl;
    bit<16> window;
    bit<16> checksum;
    bit<16> urgentPtr;
}

struct metadata {
    /* empty */
}

struct headers {
    ethernet_t   ethernet;
    ipv4_t       ipv4;
    tcp_t        tcp;
}

// === 解析器 ===
parser MyParser(packet_in pkt, out headers hdr, inout metadata meta,
                 inout standard_metadata_t standard_metadata) {
    state start {
        transition parse_ethernet;
    }

    state parse_ethernet {
        pkt.extract(hdr.ethernet);
        transition select(hdr.ethernet.etherType) {
            TYPE_IPV4: parse_ipv4;
            default: accept;
        }
    }

    state parse_ipv4 {
        pkt.extract(hdr.ipv4);
        verify(hdr.ipv4.version == 4, error.PacketTooShort);
        transition select(hdr.ipv4.protocol) {
            TYPE_TCP: parse_tcp;
            default: accept;
        }
    }

    state parse_tcp {
        pkt.extract(hdr.tcp);
        transition accept;
    }
}

// === 逆解析器 ===
control MyDeparser(packet_out pkt, in headers hdr) {
    apply {
        pkt.emit(hdr.ethernet);
        pkt.emit(hdr.ipv4);
        // 注意:TCP 头根据需要发送
    }
}

// === 校验和验证 ===
control MyVerifyChecksum(inout headers hdr, inout metadata meta) {
    apply {
        verify_checksum(hdr.ipv4.isValid(),
                         { hdr.ipv4.version,
                           hdr.ipv4.ihl,
                           hdr.ipv4.diffserv,
                           hdr.ipv4.totalLen,
                           hdr.ipv4.identification,
                           hdr.ipv4.flags,
                           hdr.ipv4.fragOffset,
                           hdr.ipv4.ttl,
                           hdr.ipv4.protocol,
                           hdr.ipv4.srcAddr,
                           hdr.ipv4.dstAddr },
                         hdr.ipv4.hdrChecksum,
                         HashAlgorithm.csum16);
    }
}

// === 校验和计算 ===
control MyComputeChecksum(inout headers hdr, inout metadata meta) {
    apply {
        update_checksum(hdr.ipv4.isValid(),
                         { hdr.ipv4.version,
                           hdr.ipv4.ihl,
                           hdr.ipv4.diffserv,
                           hdr.ipv4.totalLen,
                           hdr.ipv4.identification,
                           hdr.ipv4.flags,
                           hdr.ipv4.fragOffset,
                           hdr.ipv4.ttl,
                           hdr.ipv4.protocol,
                           hdr.ipv4.srcAddr,
                           hdr.ipv4.dstAddr },
                         hdr.ipv4.hdrChecksum,
                         HashAlgorithm.csum16);
    }
}

// === 入口处理 ===
control MyIngress(inout headers hdr, inout metadata meta,
                  inout standard_metadata_t standard_metadata) {
    action drop() {
        mark_to_drop();
    }

    action ipv4_forward(macAddr_t dstAddr, egressSpec_t port) {
        // 交换 MAC
        hdr.ethernet.srcAddr = hdr.ethernet.dstAddr;
        hdr.ethernet.dstAddr = dstAddr;
        // TTL 减 1
        hdr.ipv4.ttl = hdr.ipv4.ttl - 1;
        // 设置出口
        standard_metadata.egress_spec = port;
    }

    table ipv4_lpm {
        key = {
            hdr.ipv4.dstAddr: lpm;
        }
        actions = {
            ipv4_forward;
            drop;
        }
        size = 1024;
        default_action = drop();
    }

    apply {
        if (hdr.ipv4.isValid()) {
            ipv4_lpm.apply();
        }
    }
}

// === 出口处理 ===
control MyEgress(inout headers hdr, inout metadata meta,
                 inout standard_metadata_t standard_metadata) {
    apply {
        // 出口阶段可省略
    }
}

// === 组合 ===
V1Switch(MyParser, MyVerifyChecksum, MyIngress, MyEgress,
         MyComputeChecksum, MyDeparser) main;

4.2 编译

1
2
3
4
5
# 编译为 JSON(BMv2 目标)
p4c --target bmv2 --arch v1model --output basic.json basic.p4

# 编译为 P4Info(用于 P4Runtime)
p4c --target bmv2 --arch v1model --p4runtime-files basic_p4info.txt --output basic.json basic.p4

4.3 运行 BMv2

1
2
3
4
5
6
7
8
9
10
# 启动 simple_switch
sudo simple_switch -i 0@veth0 -i 1@veth1 -i 2@veth2 basic.json

# 参数:
# -i 0@veth0  — 端口 0 映射到 veth0
# -i 1@veth1  — 端口 1 映射到 veth1
# basic.json  — 编译输出

# 启动后查看日志
simple_switch --log-level info ...

4.4 下发流表

1
2
3
4
5
6
7
# 通过 simple_switch_CLI
simple_switch_CLI --thrift-port 9090

# 在 CLI 中:
# table_add ipv4_lpm ipv4_forward 10.0.0.1/32 => 00:11:22:33:44:55 1
# table_add ipv4_lpm ipv4_forward 10.0.0.2/32 => 00:11:22:33:44:66 2
# table_add ipv4_lpm ipv4_forward 0.0.0.0/0  => 00:00:00:00:00:00 1

4.5 测试

1
2
3
4
5
# 准备发送包
python3 send.py  # 见下面

# 抓包
tcpdump -i veth1 -nn

5. 实践:P4 IPv4 路由器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
// router.p4 — 完整的 IPv4 路由器

#include <core.p4>
#include <v1model.p4>

// === 常量与类型 ===
const bit<16> TYPE_IPV4 = 0x800;
const bit<16> TYPE_ARP  = 0x806;

#define MAX_PORTS 256
#define MAX_ROUTES 65536

typedef bit<9>  egressSpec_t;
typedef bit<48> macAddr_t;
typedef bit<32> ip4Addr_t;

header ethernet_t {
    macAddr_t dstAddr;
    macAddr_t srcAddr;
    bit<16>   etherType;
}

header ipv4_t {
    bit<4>    version;
    bit<4>    ihl;
    bit<8>    diffserv;
    bit<16>   totalLen;
    bit<16>   identification;
    bit<3>    flags;
    bit<13>   fragOffset;
    bit<8>    ttl;
    bit<8>    protocol;
    bit<16>   hdrChecksum;
    ip4Addr_t srcAddr;
    ip4Addr_t dstAddr;
}

header arp_t {
    bit<16> htype;
    bit<16> ptype;
    bit<8>  hlen;
    bit<8>  plen;
    bit<16> oper;
    macAddr_t sha;
    ip4Addr_t spa;
    macAddr_t tha;
    ip4Addr_t tpa;
}

struct metadata {
    ip4Addr_t nhop_ipv4;
    macAddr_t nhop_mac;
    egressSpec_t egress_port;
}

struct headers {
    ethernet_t ethernet;
    ipv4_t     ipv4;
    arp_t      arp;
}

parser MyParser(packet_in pkt, out headers hdr, inout metadata meta,
                 inout standard_metadata_t standard_metadata) {
    state start {
        pkt.extract(hdr.ethernet);
        transition select(hdr.ethernet.etherType) {
            TYPE_IPV4: parse_ipv4;
            TYPE_ARP : parse_arp;
            default: accept;
        }
    }

    state parse_ipv4 {
        pkt.extract(hdr.ipv4);
        verify(hdr.ipv4.version == 4, error.PacketTooShort);
        transition accept;
    }

    state parse_arp {
        pkt.extract(hdr.arp);
        transition accept;
    }
}

control MyDeparser(packet_out pkt, in headers hdr) {
    apply {
        pkt.emit(hdr.ethernet);
        pkt.emit(hdr.ipv4);
    }
}

control MyVerifyChecksum(inout headers hdr, inout metadata meta) {
    apply {
        verify_checksum(hdr.ipv4.isValid(),
            { hdr.ipv4.version, hdr.ipv4.ihl, hdr.ipv4.diffserv,
              hdr.ipv4.totalLen, hdr.ipv4.identification,
              hdr.ipv4.flags, hdr.ipv4.fragOffset, hdr.ipv4.ttl,
              hdr.ipv4.protocol, hdr.ipv4.srcAddr, hdr.ipv4.dstAddr },
            hdr.ipv4.hdrChecksum, HashAlgorithm.csum16);
    }
}

control MyComputeChecksum(inout headers hdr, inout metadata meta) {
    apply {
        update_checksum(hdr.ipv4.isValid(),
            { hdr.ipv4.version, hdr.ipv4.ihl, hdr.ipv4.diffserv,
              hdr.ipv4.totalLen, hdr.ipv4.identification,
              hdr.ipv4.flags, hdr.ipv4.fragOffset, hdr.ipv4.ttl,
              hdr.ipv4.protocol, hdr.ipv4.srcAddr, hdr.ipv4.dstAddr },
            hdr.ipv4.hdrChecksum, HashAlgorithm.csum16);
    }
}

control MyIngress(inout headers hdr, inout metadata meta,
                  inout standard_metadata_t standard_metadata) {
    // 动作
    action drop() {
        mark_to_drop();
    }

    action ipv4_forward(egressSpec_t egress_port, macAddr_t dstAddr) {
        meta.egress_port = egress_port;
        hdr.ethernet.srcAddr = hdr.ethernet.dstAddr;
        hdr.ethernet.dstAddr = dstAddr;
        hdr.ipv4.ttl = hdr.ipv4.ttl - 1;
        standard_metadata.egress_spec = egress_port;
    }

    // 路由表
    table ipv4_lpm {
        key = {
            hdr.ipv4.dstAddr: lpm;
        }
        actions = {
            ipv4_forward;
            drop;
        }
        size = 1024;
        default_action = drop();
    }

    apply {
        if (hdr.ipv4.isValid() && hdr.ipv4.ttl > 0) {
            ipv4_lpm.apply();
        } else {
            mark_to_drop();
        }
    }
}

control MyEgress(inout headers hdr, inout metadata meta,
                 inout standard_metadata_t standard_metadata) {
    apply {
        // 出口处理(如镜像、QoS)
    }
}

V1Switch(MyParser, MyVerifyChecksum, MyIngress, MyEgress,
         MyComputeChecksum, MyDeparser) main;
1
2
3
4
5
6
7
8
9
10
11
# 编译
p4c --target bmv2 --arch v1model --output router.json router.p4

# 运行
simple_switch -i 0@veth0 -i 1@veth1 router.json

# 简单流表 CLI
simple_switch_CLI --thrift-port 9090 <<EOF
table_add ipv4_lpm ipv4_forward 10.0.0.0/24 => 1 00:00:00:00:00:01
table_add ipv4_lpm ipv4_forward 0.0.0.0/0 => 1 00:00:00:00:00:01
EOF

6. P4Runtime

6.1 P4Runtime 概念

1
2
3
4
5
6
7
8
9
10
11
P4Runtime = P4 程序的运行时 API

  客户端:控制器(Python/Go/C++)
  服务器:交换机(BMv2、Tofino)
  协议:gRPC

  提供能力:
  - 读取转发元素
  - 写入流表条目
  - 编程 Counter、Meter、Register
  - 读取包计数

6.2 Python 控制示例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# p4runtime_client.py — 简单的 P4Runtime 客户端
from p4runtime_lib import helper
import google.rpc.status_pb2 as status

# 连接到 simple_switch
p4info_helper = helper.P4InfoHelper("router_p4info.txt")
s = helper.SwitchConnection("127.0.0.1:50051")

# 写入流表
te = p4info_helper.buildTableEntry(
    table_name="MyIngress.ipv4_lpm",
    match_fields={
        "hdr.ipv4.dstAddr": ("10.0.0.0", 24)
    },
    action_name="MyIngress.ipv4_forward",
    action_params={
        "port": 1,
        "dstAddr": "00:00:00:00:00:01"
    }
)
s.WriteTableEntry(te)

7. 主流 P4 目标

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
BMv2(Behavioral Model):
  - 软件模拟器
  - 教学、原型开发
  - 性能较低但兼容性好

Tofino(Intel/Barefoot):
  - ASIC 芯片
  - 6.5 Tbps 吞吐
  - 业界标准

Netronome SmartNIC:
  - 基于 ARM 的智能网卡
  - 支持 P4 编程

CPL(Compile to Pipeline Language):
  - 将 P4 编译为 P4C
  - 兼容性较好

P4CPU(软件目标):
  - P4 在通用 CPU 上运行
  - 适合研究

8. 调试工具

8.1 simple_switch_CLI

1
2
3
4
5
6
7
8
9
10
11
12
13
14
simple_switch_CLI --thrift-port 9090

# 帮助
help
# 列出所有表
table_info
# 显示表内容
table_dump ipv4_lpm
# 计数
counter_read <counter_name> <index>
# 寄存器
register_read <reg_name> <index>
# Mirror
mirroring_add <mirror_id> <port>

8.2 抓包分析

1
2
3
4
5
# 启动 BMv2 时开启日志
simple_switch --nanolog <file> router.json

# Wireshark 解析 P4 模拟的包
# 选 Tools → Lua Scripts → 加载 p4 解析脚本

8.3 nanomsg 日志

1
2
3
4
5
# 启动时输出 nanomsg
simple_switch --nanolog ipc:///tmp/bm-log --log-level info router.json

# 订阅日志
nanomsgcat ipc:///tmp/bm-log

9. 实践:编写和测试 P4 程序

9.1 实验环境

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
#!/bin/bash
# p4_lab.sh — P4 完整实验

set -e

# 1. 创建 veth pair 作为 P4 交换机的"端口"
ip link add veth-p4-0 type veth peer name veth-p4-host-0
ip link add veth-p4-1 type veth peer name veth-p4-host-1
ip link set veth-p4-host-0 up
ip link set veth-p4-host-1 up
ip link set veth-p4-0 up
ip link set veth-p4-1 up

# 2. 给 veth 配置 IP(模拟两个主机)
ip addr add 10.0.0.1/24 dev veth-p4-host-0
ip addr add 10.0.0.2/24 dev veth-p4-host-1

# 3. 启动 simple_switch
# (后台运行)
simple_switch -i 0@veth-p4-0 -i 1@veth-p4-1 --thrift-port 9090 \
    --log-file /tmp/simple_switch.log \
    router.json &
SW_PID=$!
sleep 1

# 4. 通过 CLI 下发流表
simple_switch_CLI --thrift-port 9090 <<EOF
table_set_default ipv4_lpm drop
table_add ipv4_lpm ipv4_forward 10.0.0.0/24 => 1 00:00:00:00:00:02
EOF

# 5. 测试
echo "=== Test 1: ping 模拟主机 ==="
ping -c 2 10.0.0.2

# 6. 抓包观察
echo "=== Test 2: 抓包观察 ==="
timeout 3 tcpdump -i veth-p4-0 -nn icmp

# 清理
kill $SW_PID
ip link del veth-p4-0
ip link del veth-p4-1

9.2 完整 P4 工具链

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
# === 工具链命令 ===
# 1. 编译
p4c --target bmv2 --arch v1model --output basic.json basic.p4

# 2. 模拟运行
simple_switch basic.json

# 3. 配置流表
simple_switch_CLI --thrift-port 9090 < commands.txt

# 4. 调试
simple_switch --debugger --nanolog ipc:///tmp/bm-log basic.json

# 5. 测试
python3 -c "
from scapy.all import *
p = Ether()/IP(dst='10.0.0.2')/ICMP()
sendp(p, iface='veth-p4-0')
"

# 6. 编译 Tofino 目标
p4c --target tofino --arch v1model --output basic.tofino basic.p4

10. 进阶主题

10.1 P4-14 vs P4-16

1
2
3
4
5
6
7
8
9
P4-14(已废弃):
  - 旧版 P4
  - 简单的头/表/动作模型

P4-16(当前):
  - 引入 parser、control 块结构
  - arch 抽象
  - 类型系统更丰富
  - 推荐学习

10.2 PSA(Portable Switch Architecture)

1
2
3
4
5
6
7
8
9
10
11
PSA = P4 标准架构(取代 v1model)

  - 简化 P4 程序
  - 标准化的 match-action stages
  - 跨厂商可移植

  关键结构:
  - Ingress pipeline
  - Egress pipeline
  - Traffic manager
  - Packet replication

10.3 性能调优

1
2
3
4
5
6
7
8
9
10
11
12
13
// 表大小
table ipv4_lpm {
    size = 1000000;  // 预分配(影响芯片资源)
}

// 精确匹配 vs 三态 vs LPM
key = {
    hdr.ipv4.dstAddr: exact;  // 精确
    hdr.ipv4.dstAddr: ternary;  // 通配
    hdr.ipv4.dstAddr: lpm;  // 前缀
}

// 优化:常用字段优先匹配

10.4 P4 与 P4Runtime 集成

1
2
3
4
5
6
7
8
9
10
11
# 安装 P4Runtime shell
pip install p4runtime-shell

# 启动 P4Runtime 服务
p4runtime-sh --grpc-addr 127.0.0.1:50051 \
    --device-id 0 \
    --election-id 0 \
    --config basic.p4info.txt,basic.json

# 客户端
p4runtime-sh --grpc-addr 127.0.0.1:50051

11. 主流 P4 工具/产品

工具/产品 用途 备注
BMv2 软件模拟 学习首选
P4C 编译器 p4lang/p4c
PI P4Runtime 实现 P4Runtime server
Stratum SDN 操作系统 ONF 项目
ONOS SDN 控制器 支持 P4
Tofino Barefoot ASIC 6.5Tbps
SDE Switch Development Env Intel 配套
Netronome 智能网卡 P4 编程
Xilinx P4 FPGA 目标 适合原型

12. 学习路径

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
入门路径:

Week 1-2: P4 语言基础
  - 学习 header、parser、match-action
  - 编写 basic.p4

Week 3-4: BMv2 实践
  - 安装 BMv2
  - 编译运行 P4 程序
  - 下发流表测试

Week 5-6: 进阶 P4
  - checksum 计算
  - tunnel 处理
  - 多表联动

Week 7-8: P4Runtime
  - Python/Go 客户端
  - 实时控制
  - 集成控制器

进阶:
  - PSA 架构
  - Tofino 实际硬件
  - 性能调优

展开全文 >>

第35周:智能网卡与硬件卸载

第35周:智能网卡与硬件卸载

目标:理解 SR-IOV、SmartNIC、RDMA/RoCE 等硬件加速技术,能够为 VM 配置网卡直通和高性能网络。

1. SR-IOV 概述

1.1 什么是 SR-IOV

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
SR-IOV(Single Root I/O Virtualization):
  - 单个 PCIe 设备虚拟化为多个虚拟功能
  - 让多个 VM 共享一个物理 NIC
  - 每个 VM 直通访问硬件(接近原生性能)

核心概念:
  - PF(Physical Function):完整 PCIe 设备
  - VF(Virtual Function):轻量虚拟设备
  - 一个 PF 可以虚拟出多个 VF(通常 8-128)
  - VF 拥有自己的 PCI BAR 空间
  - VM 通过 IOMMU 访问 VF

性能优势:
  - 接近原生带宽
  - 微秒级延迟
  - CPU 占用低(绕过 hypervisor 数据路径)

1.2 架构图

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
┌─────────────────────────────────────────────┐
│                物理服务器                      │
│                                                │
│  ┌─────────────┐                              │
│  │   NIC       │                              │
│  │  ┌──┐  ┌──┐│                              │
│  │  │PF│  │VF││ ← 单个 NIC 虚拟出多个 VF        │
│  │  │  │  │1 ││                              │
│  │  │  │  ├──┤│                              │
│  │  │  │  │2 ││                              │
│  │  │  │  ├──┤│                              │
│  │  │  │  │N ││                              │
│  │  └──┴  └──┘│                              │
│  └─────┬──────┘                              │
│        │ PCIe                                │
│  ┌─────┴────────────────────┐                │
│  │ IOMMU (VT-d)              │                │
│  └──┬─────┬─────┬─────┬─────┘                │
│     │     │     │     │                       │
│   ┌─┴─┐ ┌─┴─┐ ┌─┴─┐ ┌─┴─┐                   │
│   │VF1│ │VF2│ │VF3│ │VF4│ VM 直通            │
│   └─┬─┘ └─┬─┘ └─┬─┘ └─┬─┘                   │
│   ┌─┴─┐ ┌─┴─┐ ┌─┴─┐ ┌─┴─┐                   │
│   │VM1│ │VM2│ │VM3│ │VM4│                   │
│   └───┘ └───┘ └───┘ └───┘                   │
└─────────────────────────────────────────────┘

1.3 SR-IOV vs 其他虚拟化方式

1
2
3
4
5
6
7
8
┌─────────────┬─────────┬────────┬─────────────┐
│ 方式        │ 性能    │ 灵活性 │ 隔离性      │
├─────────────┼─────────┼────────┼─────────────┤
│ 软件模拟    │ 1-2 Gbps│ 高     │ 强         │
│ 半虚拟化    │ 5-10    │ 中     │ 中         │
│ SR-IOV 直通 │ 10-25   │ 低     │ 强(IOMMU)│
│ 物理直通   │ 线速    │ 低     │ 最强       │
└─────────────┴─────────┴────────┴─────────────┘

2. SR-IOV 配置

2.1 BIOS 和内核要求

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# === BIOS 设置 ===
# - SR-IOV: Enabled
# - IOMMU: Enabled (VT-d for Intel / AMD-Vi for AMD)
# - ACS: Enabled(Access Control Services)
# - ARI: Enabled(Alternative Routing-ID Interpretation)

# === 内核参数 ===
# /etc/default/grub
GRUB_CMDLINE_LINUX="intel_iommu=on iommu=pt"
# iommu=pt: 透传模式(性能更好)

# 更新 grub
sudo update-grub
sudo reboot

2.2 加载 VFIO 驱动

1
2
3
4
5
6
7
# 加载必要模块
sudo modprobe vfio
sudo modprobe vfio-pci

# 验证 IOMMU 启用
dmesg | grep -i "IOMMU\|DMAR"
# 应有 "DMAR: IOMMU enabled" 之类的消息

2.3 启用 VF

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
# 查看 NIC 当前的 VF 数量
cat /sys/bus/pci/devices/0000:01:00.0/sriov_totalvfs
# 可能是 0 或 7

# 设置 VF 数量(例如 4)
echo 4 | sudo tee /sys/bus/pci/devices/0000:01:00.0/sriov_numvfs

# 查看生成的 VF
lspci | grep -i ethernet
# 0000:01:00.0  ← PF
# 0000:01:00.1  ← VF 0
# 0000:01:00.2  ← VF 1
# 0000:01:00.3  ← VF 2
# 0000:01:00.4  ← VF 3

# 查看每个 VF 的 MAC 地址
for i in 0 1 2 3; do
    echo "VF $i MAC: $(cat /sys/bus/pci/devices/0000:01:00.$i/net/*/address 2>/dev/null || echo N/A)"
done

# 修改 VF MAC
ip link set eth0 vf 0 mac aa:bb:cc:dd:ee:01
ip link set eth0 vf 1 mac aa:bb:cc:dd:ee:02

# 修改 VF VLAN
ip link set eth0 vf 0 vlan 10

2.4 绑定到 VFIO 驱动

1
2
3
4
5
6
7
8
9
# === 方式 1:自动(推荐) ===
sudo modprobe vfio-pci
echo "vfio-pci" | sudo tee /sys/bus/pci/devices/0000:01:00.1/driver_override
echo 0000:01:00.1 | sudo tee /sys/bus/pci/drivers/vfio-pci/bind
# 需要先 echo 0 到 sriov_numvfs 解除原绑定

# === 方式 2:使用 dpdk-devbind ===
sudo dpdk-devbind.py --bind=vfio-pci 0000:01:00.1
sudo dpdk-devbind.py --status

2.5 分配 VF 给 VM(KVM)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# === QEMU 命令行(KVM) ===
qemu-system-x86_64 \
    -enable-kvm \
    -m 4096 \
    -drive file=vm.qcow2 \
    -device vfio-pci,host=0000:01:00.1  # 直通 VF
    ...

# === virsh 方式 ===
# 在 VM XML 中:
cat > vm.xml <<EOF
<interface type='hostdev'>
    <source>
        <address type='pci' domain='0x0000' bus='0x01' slot='0x00' function='0x1'/>
    </source>
</interface>
EOF
virsh attach-device vm vm.xml

2.6 完整脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
#!/bin/bash
# sriov_setup.sh — 启用 SR-IOV 并直通给 VM

set -e

# 1. 检查 BIOS 和内核
echo "检查 IOMMU..."
if ! dmesg | grep -q "DMAR.*IOMMU enabled"; then
    echo "错误:IOMMU 未启用"
    echo "请在 BIOS 中启用 VT-d/AMD-Vi,并在内核参数中添加 intel_iommu=on"
    exit 1
fi

# 2. 加载 VFIO 驱动
echo "加载 VFIO 驱动..."
modprobe vfio
modprobe vfio-pci

# 3. 找到网络设备
PF=$(lspci | grep "Ethernet controller" | head -1 | awk '{print $1}')
echo "找到 PF: $PF"

# 4. 启用 VF
echo "启用 VF..."
echo 4 | tee /sys/bus/pci/devices/0000:$PF/sriov_numvfs

# 5. 列出生成的 VF
echo "生成的 VF:"
lspci | grep "Ethernet controller"

# 6. 配置 VF MAC
PF_IF=$(ls /sys/bus/pci/devices/0000:$PF/net/ | head -1)
for i in 0 1 2 3; do
    ip link set $PF_IF vf $i mac aa:bb:cc:dd:ee:0$((i+1))
done

# 7. 查看结果
ip link show dev $PF_IF

3. Virtio-net(半虚拟化)

3.1 Virtio 架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Virtio:I/O 虚拟化的标准框架

  主机                     客户机
┌─────────┐              ┌─────────┐
│ 后端驱动 │ ← virtio → │ 前端驱动 │
│ (host)  │    总线      │ (guest)  │
└────┬────┘              └────┬────┘
     │                        │
     ▼                        ▼
  virtio-net.ko           virtio-net.ko
     │                        │
     └──── 共享 ring ───────┘
     
  - 半虚拟化,guest 知道是虚拟化
  - 性能接近直通
  - 灵活、跨平台

3.2 三种模式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
virtio-net 的三种模式:

1. virtio (legacy):
   - 旧版
   - 单 vring
   - 性能一般

2. virtio-1.0 (modern):
   - PCI 标准
   - 多个 vring
   - 性能好

3. vhost-net/vhost-user:
   - 主机态后端(vhost-net)
   - 完全在主机内核态处理
   - 性能接近原生
   - 延迟 < 5 μs

3.3 配置 Virtio

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
# === KVM VM 配置 ===
# 1. QEMU 命令行
qemu-system-x86_64 \
    -drive file=vm.qcow2 \
    -netdev tap,id=net0,ifname=tap0,vhost=on \
    -device virtio-net-pci,netdev=net0 \
    ...

# 2. libvirt 方式
<interface type='network'>
    <source network='default'/>
    <model type='virtio'/>
    <driver name='vhost'/>  # 启用 vhost-net
    <mtu size='9000'/>      # 巨型帧
</interface>

# === 启用多队列 ===
<driver name='vhost' queues='N'/>
# guest 端:ethtool -L eth0 combined N

4.4 Virtio-net 性能优化

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
# === 主机端 ===

# 启用 vhost-net(必需)
modprobe vhost_net

# 配置多队列
cat /proc/sys/net/core/netdev_max_backlog

# === 客户机端 ===

# 多队列(提升并行性)
ethtool -L eth0 combined 8

# 启用 GRO
ethtool -K eth0 gro on

# 启用 TSO
ethtool -K eth0 tso on

# 巨型帧(如果主机支持)
ifconfig eth0 mtu 9000

5. SmartNIC(智能网卡)

5.1 智能网卡概念

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
SmartNIC = 带 CPU 的网卡

  传统 NIC:
  ┌─────────┐
  │ PHY/MAC │  简单的网络功能
  └─────────┘
  
  SmartNIC:
  ┌─────────────────────────────┐
  │ ARM/MIPS 处理器(多核)      │  ← 卸载主机 CPU 工作
  │ ┌──────────┐  ┌──────────┐  │
  │ │ 控制面   │  │ 数据面   │  │
  │ │  ARM     │  │ NPU/ASIC │  │
  │ └──────────┘  └──────────┘  │
  │  PCIe 40G/100G              │
  └─────────────────────────────┘

优势:
  - 卸载主机的网络功能(OVS、LB、防火墙)
  - 降低主机 CPU 占用
  - 提供更稳定的性能
  - 支持 P4 编程

主流产品:
  - Mellanox ConnectX(NVIDIA)
  - Intel XXV710 / E810
  - Netronome Agilio
  - Marvell LiquidIO
  - Broadcom Stingray

5.2 卸载特性

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
传统 NIC 智能:基础 L2/L3 转发
SmartNIC 智能:

1. 协议卸载:
   - TCP/UDP/IP 校验和
   - TSO(TCP Segmentation Offload)
   - LRO(Large Receive Offload)
   - GRO(Generic Receive Offload)
   - RSS(Receive Side Scaling)
   - Flow Director(精确匹配)

2. 网络功能卸载:
   - OVS 卸载
   - 防火墙
   - NAT
   - 负载均衡
   - IPSec 加密

3. 虚拟化:
   - SR-IOV
   - VXLAN/Geneve 封装
   - NVMe over Fabrics

4. 安全:
   - 加密加速
   - 密钥管理
   - 可信启动

5. 监控:
   - 流量统计
   - 遥测(Telemetry)

5.3 Flow Director

1
2
3
4
5
6
7
8
9
Flow Director:网卡硬件包过滤

  - 精确匹配(src/dst IP、端口、协议)
  - 直接在网卡层处理
  - 卸载 CPU 过滤负担
  - 加速 DDoS 防护

  使用:
  ethtool -N eth0 flow-type tcp4 src-ip 10.0.0.1 dst-port 80 action 1

6. RDMA 概览

6.1 RDMA 概念

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
RDMA(Remote Direct Memory Access):
  - 远程直接内存访问
  - 绕过 CPU 和内核
  - 零拷贝
  - 极低延迟(< 1 μs)
  - 高吞吐

应用:
  - 高频交易(HFT)
  - HPC(高性能计算)
  - 分布式存储(如 Ceph、SPDK)
  - 机器学习 GPU 集群
  - 数据库(Oracle RAC、Redis Cluster)

实现:
  - InfiniBand(专用网络)
  - RoCE(RDMA over Converged Ethernet)
  - iWARP(RDMA over TCP/IP)

6.2 RDMA 三种类型

1
2
3
4
5
6
7
8
┌────────────┬────────────┬────────────────┐
│ 类型        │ 网络        │ 性能           │
├────────────┼────────────┼────────────────┤
│ InfiniBand │ 专用       │ 最高           │
│ RoCE v1    │ 以太网(MAC)│ 高(受限)      │
│ RoCE v2    │ UDP(IP)   │ 高(最常见)    │
│ iWARP      │ TCP/IP     │ 中(兼容性最好)│
└────────────┴────────────┴────────────────┘

6.3 RoCE 配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
# === RoCE v2 基础配置 ===

# 1. 检查硬件支持
ibstat                          # 显示 InfiniBand 设备
ibv_devinfo                     # 显示详细信息

# 2. 配置 IP 地址(RoCE v2 使用 UDP)
ip addr add 192.168.1.100/24 dev mlx5_0
ip link set mlx5_0 up

# 3. 配置子网管理器(用于 InfiniBand)
# 或配置 RoCE 交换机(PFC/ECN)

# 4. 验证 RoCE 工作
ib_send_bw 192.168.1.101         # 发送带宽测试
ib_send_bw --report_gbits        # 以 Gbps 显示

6.4 RDMA 编程基础

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
// rdma_client.c — 简单的 RDMA 客户端
#include <infiniband/verbs.h>
#include <stdio.h>
#include <string.h>

struct rdma_context {
    struct ibv_context *ctx;
    struct ibv_pd *pd;
    struct ibv_cq *cq;
    struct ibv_qp *qp;
    struct ibv_mr *mr;
    char *buf;
    int size;
};

int rdma_init(struct rdma_context *rc, const char *dev_name) {
    int dev_idx = -1;
    struct ibv_device **dev_list = ibv_get_device_list(NULL);
    for (int i = 0; dev_list[i]; i++) {
        if (strcmp(ibv_get_device_name(dev_list[i]), dev_name) == 0) {
            dev_idx = i;
            break;
        }
    }
    if (dev_idx < 0) return -1;

    rc->ctx = ibv_open_device(dev_list[dev_idx]);
    rc->pd = ibv_alloc_pd(rc->ctx);

    // 创建完成队列(CQ)
    rc->cq = ibv_create_cq(rc->ctx, 10, NULL, NULL, 0);

    // 创建内存区域(MR)
    rc->size = 4096;
    rc->buf = malloc(rc->size);
    rc->mr = ibv_reg_mr(rc->pd, rc->buf, rc->size,
                         IBV_ACCESS_LOCAL_WRITE |
                         IBV_ACCESS_REMOTE_READ |
                         IBV_ACCESS_REMOTE_WRITE);

    // 创建 Queue Pair(QP)
    struct ibv_qp_init_attr qp_attr = {
        .send_cq = rc->cq,
        .recv_cq = rc->cq,
        .qp_type = IBV_QPT_RC,        // Reliable Connection
        .cap = {
            .max_send_wr = 10,
            .max_recv_wr = 10,
            .max_send_sge = 1,
            .max_recv_sge = 1,
        },
    };
    rc->qp = ibv_create_qp(rc->pd, &qp_attr);

    return 0;
}

// 发送数据
int rdma_send(struct rdma_context *rc, const void *data, int len) {
    memcpy(rc->buf, data, len);

    struct ibv_sge sge = {
        .addr   = (uint64_t)rc->buf,
        .length = len,
        .lkey   = rc->mr->lkey,
    };

    struct ibv_send_wr wr = {
        .sg_list = &sge,
        .num_sge = 1,
        .opcode  = IBV_WR_SEND,
        .send_flags = IBV_SEND_SIGNALED,
    };

    struct ibv_send_wr *bad_wr;
    return ibv_post_send(rc->qp, &wr, &bad_wr);
}

// 轮询完成
int rdma_poll_cq(struct rdma_context *rc) {
    struct ibv_wc wc;
    int n = ibv_poll_cq(rc->cq, 1, &wc);
    if (n > 0) {
        if (wc.status == IBV_WC_SUCCESS) {
            return wc.opcode;
        }
    }
    return -1;
}

7. 卸载特性详细配置

7.1 卸载特性开关

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# === 查看所有 offload 状态 ===
ethtool -k eth0

# 输出示例:
# rx-checksumming: on
# tx-checksumming: on
# scatter-gather: on
# tcp-segmentation-offload: on
# udp-fragmentation-offload: off
# generic-segmentation-offload: on
# generic-receive-offload: on
# large-receive-offload: off
# rx-vlan-offload: on
# tx-vlan-offload: on

# === 启用/禁用 ===
sudo ethtool -K eth0 tso on gso on gro on
sudo ethtool -K eth0 rxvlan on txvlan on

7.2 Flow Director 配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
# === 添加精确流规则 ===

# TCP/IPv4 规则:将特定流定向到队列 1
sudo ethtool -N eth0 flow-type tcp4 \
    src-ip 10.0.0.1 \
    dst-ip 10.0.0.2 \
    src-port 12345 \
    dst-port 80 \
    action 1

# 列出所有流规则
sudo ethtool --show-ntuple eth0 rx

# 删除
sudo ethtool -N eth0 delete <rule_id>

# 清空
sudo ethtool -N eth0 delete

7.3 SR-IOV + Flow Director

1
2
3
4
# 在 PF 上添加 Flow Director 规则
# 规则会对所有 VF 生效

# 实际使用中,Open vSwitch 可以通过 DPDK 配置 Flow Director

8. 性能对比

8.1 不同虚拟化方式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
┌──────────────┬──────────┬──────────┬──────────┐
│ 方式          │ 延迟     │ 吞吐     │ CPU 占用  │
├──────────────┼──────────┼──────────┼──────────┤
│ 软件模拟      │ 100-500μs│ 1-2 Gbps │ 高      │
│ Virtio-1.0    │ 30-50μs  │ 5-10     │ 中      │
│ vhost-net     │ 5-20μs   │ 8-20     │ 低      │
│ SR-IOV 直通   │ < 5μs    │ 20-25    │ 极低    │
│ 物理直通      │ < 2μs    │ 线速     │ 极低    │
└──────────────┴──────────┴──────────┴──────────┘

注意:性能也取决于:
  - NIC 型号
  - CPU 频率
  - 内存带宽
  - 虚拟化开销

8.2 RDMA vs TCP

1
2
3
4
5
6
7
8
9
10
11
12
延迟对比:
  TCP loopback:      10-30 μs
  RDMA loopback:     1-2 μs
  
吞吐对比:
  TCP 1 stream:      9-10 Gbps
  RDMA 1 stream:     95-100 Gbps
  
  RDMA 优势:
    - CPU 占用 < 5%
    - 延迟低 10-100 倍
    - 带宽高

9. 实践:SR-IOV 配置和性能测试

9.1 启用 SR-IOV

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
#!/bin/bash
# sriov_perf.sh — 启用 SR-IOV 并测试性能

set -e

# 1. 启用 VF
NIC="0000:01:00.0"
echo 4 | sudo tee /sys/bus/pci/devices/$NIC/sriov_numvfs

# 2. 查看生成的 VF
lspci | grep "Ethernet" | grep -i "Virtual Function"
# 0000:01:00.1
# 0000:01:00.2
# 0000:01:00.3
# 0000:01:00.4

# 3. 设置 MAC
ip link set eth0 vf 0 mac aa:bb:cc:dd:ee:01
ip link set eth0 vf 1 mac aa:bb:cc:dd:ee:02
ip link set eth0 vf 2 mac aa:bb:cc:dd:ee:03
ip link set eth0 vf 3 mac aa:bb:cc:dd:ee:04

# 4. 绑定 VF 到 VFIO
for vf in 0000:01:00.{1,2,3,4}; do
    echo "vfio-pci" | sudo tee /sys/bus/pci/devices/$vf/driver_override
    echo $vf | sudo tee /sys/bus/pci/drivers/vfio-pci/bind
done

# 5. 验证
sudo dpdk-devbind.py --status

9.2 性能测试

1
2
3
4
5
6
7
8
9
10
11
12
# === iperf3 测试 ===

# 主机侧启动服务端
iperf3 -s

# 客户机侧(如果使用 VM 启动 iperf3 客户端)
iperf3 -c <host_ip> -t 30 -P 4

# === testpmd 性能(如果用 DPDK 绑定) ===

sudo ./build/app/dpdk-testpmd -l 0-3 --socket-mem 1024 \
    -- --forward-mode=io --portmask=0x1

9.3 对比不同虚拟化方式

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
#!/bin/bash
# compare_virt.sh — 对比不同虚拟化方式

echo "=== Test 1: 软件模拟 (e1000) ==="
# 启动 VM 用 e1000 网卡
qemu-system-x86_64 -device e1000 ... &
iperf3 -s &
iperf3 -c <ip> -t 10
# 记录带宽

echo "=== Test 2: Virtio-1.0 ==="
# 启动 VM 用 virtio-net
qemu-system-x86_64 -device virtio-net-pci ... &
iperf3 -c <ip> -t 10

echo "=== Test 3: SR-IOV 直通 ==="
# 启动 VM 用 SR-IOV VF
qemu-system-x86_64 -device vfio-pci,host=01:00.1 ... &
iperf3 -c <ip> -t 10

echo "=== Test 4: 物理直通(VT-d)==="
qemu-system-x86_64 -device vfio-pci,host=01:00.0 ... &
iperf3 -c <ip> -t 10

10. 主流工具与平台

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
智能网卡平台:
  - Mellanox/NVIDIA BlueField(ARM + RDMA + DPDK)
  - Intel Columbiaville(E810)
  - Netronome Agilio CX
  - Marvell OCTEON
  - Xilinx Alveo(FPGA)

RDMA 软件栈:
  - OFED(OpenFabrics Enterprise Distribution)
  - libibverbs(用户态 API)
  - librxe/softroce(软件 RDMA)
  - DPDK + RDMA
  - SPDK + RDMA

测试工具:
  - ib_send_bw / ib_write_bw
  - perftest
  - mlx5cmd(配置)
  - ibstat / ibv_devinfo
  - rdma-tool

11. 故障排查

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
# === SR-IOV 启用失败 ===

# 检查 BIOS 设置
dmesg | grep -i "IOMMU\|SR-IOV"

# 验证内核参数
cat /proc/cmdline | grep -o "intel_iommu=on\|amd_iommu=on"

# 验证 PF 支持
lspci -vvs <PF_pci_addr> | grep -i "SR-IOV"

# 检查 max_vfs
cat /sys/bus/pci/devices/<PF>/sriov_totalvfs

# === VF 无法启动 ===

# 检查是否在 IOV slot 中
lspci -k -s <VF_pci_addr>

# 验证驱动绑定
cat /sys/bus/pci/devices/<VF>/driver_override

# === RDMA 性能差 ===

# 检查 PFC/ECN 配置(RoCE)
cma_roce_mode -d mlx5_0 -p 1    # 启用 RoCE v2

# 检查 PFC 优先级
mlnx_qos -i eth0

# 验证无损网络
ib_send_bw 192.168.1.101 --report_gbits

展开全文 >>

第36周:阶段项目——云网络简易 SDN 控制器

第36周:阶段项目——云网络简易 SDN 控制器

目标:综合运用前 5 周知识,基于 OVS 和 OpenFlow 实现一个简易 SDN 控制器,自动化构建和管理多租户虚拟网络。

1. 项目架构

1.1 整体架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
                       ┌──────────────────┐
                       │   SDN 控制器     │
                       │   (Python)       │
                       │                  │
                       │  - 拓扑管理      │
                       │  - 租户管理      │
                       │  - 流表生成      │
                       │  - ARP 代答      │
                       │  - L2/L3 转发    │
                       └────────┬─────────┘
                                │ OpenFlow

     ┌──────────────────────────┼──────────────────────────┐
     │                          │                          │
┌────▼─────┐              ┌─────▼─────┐               ┌─────▼─────┐
│   OVS    │              │   OVS     │               │   OVS     │
│   Host A │              │  Host B   │               │  Host C   │
│          │              │           │               │           │
│  ┌────┐  │              │ ┌────┐    │               │ ┌────┐    │
│  │vx-1│  │              │ │vx-2│    │               │ │vx-3│    │
│  └─┬──┘  │              │ └─┬──┘    │               │ └─┬──┘    │
│  ┌─┴──┐  │              │ ┌─┴──┐    │               │ ┌─┴──┐    │
│  │VM-1│  │              │ │VM-2│    │               │ │VM-3│    │
│  └────┘  │              │ └────┘    │               │ └────┘    │
└──────────┘              └───────────┘               └───────────┘

租户 1: 10.0.1.0/24 (vxlan id 100)
租户 2: 10.0.2.0/24 (vxlan id 200)

1.2 关键功能

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
控制器功能:

1. 拓扑管理
   - 记录所有 OVS 节点
   - 维护网络拓扑
   - 自动发现链路

2. 租户网络管理
   - 创建/删除租户网络
   - 分配 VXLAN VNI
   - 分配子网

3. 流表自动生成
   - L2 转发(基于 MAC)
   - ARP 代答(避免广播)
   - L3 转发(基于目的 IP)
   - 隔离(不同租户不互通)

4. API 接口
   - RESTful API(控制平面)
   - Web UI(可选)
   - CLI(开发调试)

2. 项目结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
sdn_controller/
├── README.md
├── controller/
│   ├── sdn_controller.py    # 主控制器
│   ├── topology.py          # 拓扑管理
│   ├── tenant.py            # 租户管理
│   ├── flow_table.py        # 流表生成
│   ├── arp_handler.py       # ARP 代答
│   ├── api.py                # REST API
│   └── config.py            # 配置
├── topology/
│   ├── setup_topo.sh         # 拓扑搭建脚本
│   ├── create_tenant.sh     # 创建租户
│   └── teardown.sh          # 清理
├── docs/
│   ├── design.md
│   └── demo.md
└── requirements.txt

3. 拓扑搭建

3.1 setup_topo.sh

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
#!/bin/bash
# setup_topo.sh — 设置多主机 OVS + VXLAN 拓扑

set -e

# === 网络规划 ===
# Host A: 192.168.1.101, 网卡 eth0
# Host B: 192.168.1.102, 网卡 eth0
# Host C: 192.168.1.103, 网卡 eth0
# Underlay: 192.168.1.0/24

# 租户 1: 10.0.1.0/24, VNI=100
# 租户 2: 10.0.2.0/24, VNI=200

# === 在每台主机上运行 ===

# Host A 的 OVS 配置
HOST_IP="192.168.1.101"
PEERS=("192.168.1.102" "192.168.1.103")

# 1. 创建租户 1 bridge
sudo ovs-vsctl add-br br-tenant-1

# 添加本地 veth 给 VM
sudo ip link add veth-1 type veth peer name veth-1-ns
sudo ip netns add tenant-1
sudo ip link set veth-1-ns netns tenant-1
sudo ovs-vsctl add-port br-tenant-1 veth-1
sudo ip link set veth-1 up

# 配置 netns 内
sudo ip netns exec tenant-1 bash -c "
    ip addr add 10.0.1.10/24 dev veth-1-ns
    ip link set veth-1-ns up
    ip link set lo up
"

# 2. 添加 VXLAN 到所有对端
for peer in "${PEERS[@]}"; do
    sudo ovs-vsctl add-port br-tenant-1 "vxlan-1-$(echo $peer | tr . -)" \
        -- set interface "vxlan-1-$(echo $peer | tr . -)" \
        type=vxlan \
        options:remote_ip=$peer \
        options:key=100 \
        options:dstport=4789
done

# 3. 同样创建租户 2
sudo ovs-vsctl add-br br-tenant-2
sudo ip link add veth-2 type veth peer name veth-2-ns
sudo ip netns add tenant-2
sudo ip link set veth-2-ns netns tenant-2
sudo ovs-vsctl add-port br-tenant-2 veth-2
sudo ip link set veth-2 up

sudo ip netns exec tenant-2 bash -c "
    ip addr add 10.0.2.10/24 dev veth-2-ns
    ip link set veth-2-ns up
    ip link set lo up
"

for peer in "${PEERS[@]}"; do
    sudo ovs-vsctl add-port br-tenant-2 "vxlan-2-$(echo $peer | tr . -)" \
        -- set interface "vxlan-2-$(echo $peer | tr . -)" \
        type=vxlan \
        options:remote_ip=$peer \
        options:key=200 \
        options:dstport=4789
done

echo "Host A 配置完成"
ovs-vsctl show

3.2 在每台主机上运行

1
2
3
4
5
6
7
8
# 在 Host A 上:
HOST_IP="192.168.1.101" PEERS=("192.168.1.102" "192.168.1.103") ./setup_topo.sh

# 在 Host B 上:
HOST_IP="192.168.1.102" PEERS=("192.168.1.101" "192.168.1.103") ./setup_topo.sh

# 在 Host C 上:
HOST_IP="192.168.1.103" PEERS=("192.168.1.101" "192.168.1.102") ./setup_topo.sh

4. SDN 控制器

4.1 sdn_controller.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
#!/usr/bin/env python3
# sdn_controller.py — 基于 Ryu 的简易 SDN 控制器

import logging
import json
import threading
import time
from collections import defaultdict
from ryu.base import app_manager
from ryu.controller import ofp_event
from ryu.controller.handler import CONFIG_DISPATCHER, MAIN_DISPATCHER
from ryu.controller.handler import set_ev_cls
from ryu.ofproto import ofproto_v1_3
from ryu.lib.packet import packet, ethernet, arp, ipv4, icmp
from ryu.lib import hub

logger = logging.getLogger(__name__)


class SDNTenantNetwork:
    """租户网络"""
    def __init__(self, vni, subnet, gateway):
        self.vni = vni
        self.subnet = subnet
        self.gateway = gateway
        # MAC 学习表: (dpid, port) -> mac
        self.mac_table = defaultdict(dict)
        # ARP 表
        self.arp_table = {}  # IP -> MAC
        # 流表条目
        self.flow_entries = []


class SDNController(app_manager.RyuApp):
    OFP_VERSIONS = [ofproto_v1_3.OFP_VERSION]

    def __init__(self, *args, **kwargs):
        super(SDNController, self).__init__(*args, **kwargs)

        # 租户网络
        self.tenant_networks = {}

        # 交换机连接:dpid -> datapath
        self.datapaths = {}

        # 主机拓扑
        self.hosts = {}  # (ip, mac) -> (dpid, port)

        # 链路
        self.links = {}  # (src_dpid, dst_dpid) -> src_port

        # 定期清理线程
        self.cleanup_thread = hub.spawn(self._cleanup_loop)

        # 注册默认租户
        self._register_default_tenants()

    def _register_default_tenants(self):
        """注册默认租户网络"""
        self.add_tenant_network(100, "10.0.1.0/24", "10.0.1.1")
        self.add_tenant_network(200, "10.0.2.0/24", "10.0.2.1")

    def add_tenant_network(self, vni, subnet, gateway):
        """添加租户网络"""
        tenant = SDNTenantNetwork(vni, subnet, gateway)
        self.tenant_networks[vni] = tenant
        logger.info(f"添加租户网络: VNI={vni}, subnet={subnet}")

    # === 交换机事件处理 ===

    @set_ev_cls(ofp_event.EventOFPSwitchFeatures, CONFIG_DISPATCHER)
    def switch_features_handler(self, ev):
        """交换机连接"""
        datapath = ev.msg.datapath
        ofproto = datapath.ofproto
        parser = datapath.ofproto_parser
        dpid = datapath.id

        logger.info(f"交换机连接: dpid={dpid:016x}")
        self.datapaths[dpid] = datapath

        # 1. Table-miss 流:所有包转给控制器
        match = parser.OFPMatch()
        actions = [parser.OFPActionOutput(ofproto.OFPP_CONTROLLER,
                                          ofproto.OFPCML_NO_BUFFER)]
        inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS,
                                              actions)]
        mod = parser.OFPFlowMod(datapath=datapath, priority=0,
                                 match=match, instructions=inst)
        datapath.send_msg(mod)

        # 2. ARP 流:ARP 包转给控制器
        match = parser.OFPMatch(eth_type=0x0806)
        self.add_flow(datapath, 100, match, actions)

        # 3. 未知 IPv4 流:转给控制器
        match = parser.OFPMatch(eth_type=0x0800)
        self.add_flow(datapath, 50, match, actions)

    @set_ev_cls(ofp_event.EventOFPPacketIn, MAIN_DISPATCHER)
    def packet_in_handler(self, ev):
        """包入事件处理"""
        msg = ev.msg
        datapath = msg.datapath
        ofproto = datapath.ofproto
        parser = datapath.ofproto_parser
        in_port = msg.match['in_port']

        pkt = packet.Packet(msg.data)
        eth = pkt.get_protocols(ethernet.ethernet)[0]

        # 根据包类型分发处理
        if eth.ethertype == 0x0806:  # ARP
            self._handle_arp(datapath, in_port, pkt)
        elif eth.ethertype == 0x0800:  # IPv4
            self._handle_ipv4(datapath, in_port, pkt, msg)
        else:
            # 未知类型泛洪
            self._flood(datapath, in_port, msg)

    def _handle_arp(self, datapath, in_port, pkt):
        """处理 ARP(实现 ARP 代答)"""
        arp_pkt = pkt.get_protocols(arp.arp)[0]
        parser = datapath.ofproto_parser
        ofproto = datapath.ofproto

        # ARP 请求:构造响应
        if arp_pkt.opcode == arp.ARP_REQUEST:
            src_ip = arp_pkt.src_ip
            dst_ip = arp_pkt.dst_ip
            src_mac = arp_pkt.src_mac

            logger.info(f"ARP 请求: {src_ip} -> {dst_ip}")

            # 学习源 IP/MAC
            self.hosts[(src_ip, src_mac)] = (datapath.id, in_port)

            # 如果是网关的 ARP(外部请求)
            for vni, tenant in self.tenant_networks.items():
                if dst_ip == tenant.gateway:
                    # 用网关的 MAC 响应
                    gateway_mac = self._get_gateway_mac(tenant)
                    if gateway_mac:
                        self._send_arp_reply(datapath, in_port,
                                              src_mac, src_ip,
                                              gateway_mac, dst_ip)

            # 主机询问其他主机的 ARP:泛洪
            self._flood(datapath, in_port, None)

    def _send_arp_reply(self, datapath, in_port, dst_mac, dst_ip,
                        src_mac, src_ip):
        """发送 ARP 应答"""
        pkt = packet.Packet()
        pkt.add_protocol(ethernet.ethernet(
            dst=dst_mac, src=src_mac, ethertype=0x0806))
        pkt.add_protocol(arp.arp(
            opcode=arp.ARP_REPLY,
            src_mac=src_mac, src_ip=src_ip,
            dst_mac=dst_mac, dst_ip=dst_ip))
        pkt.serialize()

        actions = [datapath.ofproto_parser.OFPActionOutput(in_port)]
        ofproto = datapath.ofproto

        out = datapath.ofproto_parser.OFPPacketOut(
            datapath=datapath, buffer_id=ofproto.OFP_NO_BUFFER,
            in_port=ofproto.OFPP_CONTROLLER, actions=actions, data=pkt.data)
        datapath.send_msg(out)

    def _handle_ipv4(self, datapath, in_port, pkt, msg):
        """处理 IPv4 数据包"""
        ipv4_pkt = pkt.get_protocols(ipv4.ipv4)[0]
        src_ip = ipv4_pkt.src
        dst_ip = ipv4_pkt.dst
        eth = pkt.get_protocols(ethernet.ethernet)[0]
        src_mac = eth.src

        # 学习主机位置
        self.hosts[(src_ip, src_mac)] = (datapath.id, in_port)

        # 查找目标主机的位置
        target = self._find_host_by_ip(dst_ip)
        if not target:
            # 未知目标,泛洪
            self._flood(datapath, in_port, msg)
            return

        target_dpid, target_port = target
        target_mac = self._find_mac_by_ip(dst_ip)

        # 下发流表(缓存转发)
        parser = datapath.ofproto_parser

        match = parser.OFPMatch(
            in_port=in_port,
            eth_type=0x0800,
            ipv4_src=src_ip,
            ipv4_dst=dst_ip
        )
        actions = [
            parser.OFPActionSetEthDst(target_mac),
            parser.OFPActionOutput(target_port)
        ]
        inst = [parser.OFPInstructionActions(parser.OFPIT_APPLY_ACTIONS, actions)]
        mod = parser.OFPFlowMod(
            datapath=datapath, priority=200,
            match=match, instructions=inst, idle_timeout=60)
        datapath.send_msg(mod)

        # 立即发送当前包
        data = msg.data
        actions = [parser.OFPActionOutput(target_port)]
        out = parser.OFPPacketOut(
            datapath=datapath, buffer_id=msg.buffer_id,
            in_port=in_port, actions=actions, data=data)
        datapath.send_msg(out)

    def _flood(self, datapath, in_port, msg):
        """泛洪"""
        ofproto = datapath.ofproto
        parser = datapath.ofproto_parser

        actions = [parser.OFPActionOutput(ofproto.OFPP_FLOOD)]
        data = msg.data if msg and msg.buffer_id == ofproto.OFP_NO_BUFFER else None

        out = parser.OFPPacketOut(
            datapath=datapath, buffer_id=msg.buffer_id if msg else ofproto.OFP_NO_BUFFER,
            in_port=in_port, actions=actions, data=data)
        datapath.send_msg(out)

    def add_flow(self, datapath, priority, match, actions, idle_timeout=0):
        """下发流表"""
        ofproto = datapath.ofproto
        parser = datapath.ofproto_parser

        inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS, actions)]
        mod = parser.OFPFlowMod(
            datapath=datapath, priority=priority,
            match=match, instructions=inst, idle_timeout=idle_timeout)
        datapath.send_msg(mod)

    def _find_host_by_ip(self, ip):
        """根据 IP 查找主机位置"""
        for (host_ip, mac), loc in self.hosts.items():
            if host_ip == ip:
                return loc
        return None

    def _find_mac_by_ip(self, ip):
        """根据 IP 查找 MAC"""
        for (host_ip, mac) in self.hosts.keys():
            if host_ip == ip:
                return mac
        return None

    def _get_gateway_mac(self, tenant):
        """获取租户网关的 MAC"""
        # 简化为固定 MAC
        return "00:00:00:00:00:01"

    def _cleanup_loop(self):
        """定期清理过期的流表"""
        while True:
            hub.sleep(60)
            # 流表超时由 OpenFlow 自身处理(idle_timeout)
            self.hosts.clear()  # 简化清理


# === REST API ===
from ryu.app.wsgi import ControllerBase, WSGIApplication
from webob import Response


class SDNControllerREST(ControllerBase):
    def __init__(self, req, link, data, **config):
        super(SDNControllerREST, self).__init__(req, link, data, **config)
        self.sdn = data['sdn']

    @staticmethod
    def add_router(app, sdn_instance):
        # 实际路由注册(省略)
        pass


# === CLI 接口 ===
class SDNControllerCLI:
    def __init__(self, controller):
        self.controller = controller

    def list_tenants(self):
        """列出所有租户"""
        return [{
            'vni': vni,
            'subnet': t.subnet,
            'gateway': t.gateway,
            'hosts': len(self.controller.hosts)
        } for vni, t in self.controller.tenant_networks.items()]

    def add_tenant(self, vni, subnet, gateway):
        self.controller.add_tenant_network(vni, subnet, gateway)
        return {'status': 'ok'}

    def list_hosts(self):
        return [{
            'ip': h[0], 'mac': h[1], 'dpid': dpid, 'port': port
        } for h, (dpid, port) in self.controller.hosts.items()]


if __name__ == '__main__':
    print("通过 ryu-manager 启动此控制器")
    print("ryu-manager sdn_controller.py --verbose")

4.2 requirements.txt

1
2
3
ryu==4.34
eventlet==0.33.0
webob==1.8.7

5. 启动与运行

5.1 启动控制器

1
2
3
4
5
6
7
8
9
# 安装依赖
pip install -r requirements.txt

# 启动控制器
ryu-manager sdn_controller.py --verbose

# 指定 OpenFlow 版本
ryu-manager --ofp-listen-host 0.0.0.0 --ofp-tcp-listen-port 6653 \
    sdn_controller.py --verbose

5.2 配置 OVS 连接控制器

1
2
3
4
5
6
7
8
9
10
# 在每台 OVS 主机上
sudo ovs-vsctl set-controller br-tenant-1 tcp:<controller_ip>:6653
sudo ovs-vsctl set-controller br-tenant-2 tcp:<controller_ip>:6653

# 验证连接
sudo ovs-vsctl show
# 应能看到 controller 配置

# 查看控制器状态
sudo ovs-vsctl list controller

5.3 测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
# === 测试 1:同租户互通 ===

# 在 Host A 的租户 1 VM 中
ip netns exec tenant-1 ping 10.0.1.20

# 在 Host B 的租户 1 VM 中
ip netns exec tenant-1 ping 10.0.1.10

# === 测试 2:不同租户隔离 ===

# 租户 1 VM ping 租户 2 VM(应该失败)
ip netns exec tenant-1 ping 10.0.2.20

# === 测试 3:ARP 代答 ===

# 观察控制器日志
ryu-manager sdn_controller.py --verbose | grep -E "ARP|host"

6. API 扩展

6.1 REST API

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
# api.py — 简易 REST API
from flask import Flask, jsonify, request

app = Flask(__name__)

@app.route('/api/tenants', methods=['GET'])
def list_tenants():
    """列出所有租户"""
    return jsonify(controller.list_tenants())

@app.route('/api/tenants', methods=['POST'])
def add_tenant():
    """添加租户"""
    data = request.json
    vni = data['vni']
    subnet = data['subnet']
    gateway = data['gateway']
    return jsonify(controller.add_tenant(vni, subnet, gateway))

@app.route('/api/hosts', methods=['GET'])
def list_hosts():
    """列出所有学习到的主机"""
    return jsonify(controller.list_hosts())

@app.route('/api/topology', methods=['GET'])
def get_topology():
    """获取网络拓扑"""
    return jsonify({
        'switches': list(controller.datapaths.keys()),
        'hosts': list(controller.hosts.keys()),
        'links': list(controller.links.keys())
    })

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

6.2 CLI 工具

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
# cli.py — 简单的 CLI 工具
import cmd
import json
import requests

class SDNCLI(cmd.Cmd):
    intro = 'SDN 控制器 CLI. 输入 help 或 ? 查看命令.\n'
    prompt = '(sdn) '

    def __init__(self, api_url='http://localhost:8080/api'):
        super().__init__()
        self.api_url = api_url

    def do_tenants(self, line):
        """列出所有租户:tenants"""
        r = requests.get(f'{self.api_url}/tenants')
        print(json.dumps(r.json(), indent=2))

    def do_add_tenant(self, line):
        """添加租户:add_tenant <vni> <subnet> <gateway>"""
        args = line.split()
        if len(args) != 3:
            print("用法: add_tenant <vni> <subnet> <gateway>")
            return
        data = {
            'vni': int(args[0]),
            'subnet': args[1],
            'gateway': args[2]
        }
        r = requests.post(f'{self.api_url}/tenants', json=data)
        print(r.json())

    def do_hosts(self, line):
        """列出学习到的主机:hosts"""
        r = requests.get(f'{self.api_url}/hosts')
        print(json.dumps(r.json(), indent=2))

    def do_topology(self, line):
        """查看网络拓扑:topology"""
        r = requests.get(f'{self.api_url}/topology')
        print(json.dumps(r.json(), indent=2))


if __name__ == '__main__':
    SDNCLI().cmdloop()

7. 高级特性

7.1 拓扑自动发现(LLDP)

1
2
3
4
5
6
7
8
9
# topology.py — LLDP 发现
@set_ev_cls(ofp_event.EventOFPPacketIn, MAIN_DISPATCHER)
def lldp_packet_in(self, ev):
    """处理 LLDP 包"""
    pkt = packet.Packet(ev.msg.data)
    if pkt.get_protocols(lldp.lldp):
        # 处理 LLDP 帧
        # 记录链路信息
        pass

7.2 OpenFlow QoS

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
# QoS:限速
@set_ev_cls(...)
def install_qos(self, ev):
    """限速到 1Mbps"""
    ofproto = ev.msg.datapath.ofproto
    parser = ev.msg.datapath.ofproto_parser

    # 创建 meter
    meter_mod = parser.OFPMeterMod(
        datapath=ev.msg.datapath,
        command=ofproto.OFPMC_ADD,
        meters=[
            parser.OFPMeterBandRate(
                rate=1000,  # 1 Mbps
                burst_size=100
            )
        ],
        meter_id=1
    )
    ev.msg.datapath.send_msg(meter_mod)

7.3 监控与遥测

1
2
3
4
5
6
7
8
9
# 端口统计
@set_ev_cls(ofp_event.EventOFPPortStatsReply, MAIN_DISPATCHER)
def port_stats_reply_handler(self, ev):
    """端口统计"""
    for stat in ev.msg.body:
        logger.info(f"port={stat.port_no} "
                    f"rx_packets={stat.rx_packets} "
                    f"tx_packets={stat.tx_packets} "
                    f"rx_bytes={stat.rx_bytes}")

8. 主流 SDN 控制器

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Ryu(推荐入门):
  - Python 编写
  - 简单易学
  - REST API 友好
  - OpenFlow 1.0-1.5 支持

ONOS:
  - 运营商级 SDN 控制器
  - Java
  - 高可用

OpenDaylight:
  - 企业级
  - Java/Scala
  - 功能丰富

Faucet:
  - Python(基于 Ryu)
  - 简单、模块化
  - 数据中心 L2/L3

Tungsten Fabric:
  - 完整 SDN 平台
  - 支持 BGP/EVPN/VXLAN
  - 适合云网络

9. 测试用例

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#!/bin/bash
# test_sdn.sh — SDN 控制器测试

set -e

echo "=== Test 1: 控制器连接 ==="
sudo ovs-vsctl set-controller br-tenant-1 tcp:127.0.0.1:6653
sleep 2
ovs-vsctl list controller

echo "=== Test 2: 同租户互通 ==="
ip netns exec tenant-1 ping -c 2 10.0.1.20

echo "=== Test 3: 不同租户隔离 ==="
# 应该失败
ip netns exec tenant-1 ping -c 2 10.0.2.20

echo "=== Test 4: ARP 代答 ==="
# 抓包观察 ARP
tcpdump -i veth-1 -nn arp &
ARPDUMP_PID=$!
sleep 1
ip netns exec tenant-1 arping -c 1 10.0.1.1
sleep 1
kill $ARPDUMP_PID

echo "=== Test 5: 流表查看 ==="
sudo ovs-ofctl dump-flows br-tenant-1

10. 性能优化

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
# === 优化 1:批量流表下发 ===

# 一次下发多个流表
def add_flows_batch(self, datapath, flows):
    for flow in flows:
        self.add_flow(datapath, **flow)

# === 优化 2:使用 GotoTable 减少控制器负担 ===

# 主表:基础匹配
# 二级表:详细处理

# === 优化 3:Meter 限速 ===

# 限制每个 VM 的带宽
meter_id = 1
mod = parser.OFPMeterMod(
    datapath=dp,
    command=ofproto.OFPMC_ADD,
    meters=[
        parser.OFPMeterBandRate(rate=1000, burst_size=100)
    ],
    meter_id=meter_id
)
dp.send_msg(mod)

# 应用到流
mod = parser.OFPFlowMod(
    ...,
    instructions=[
        parser.OFPInstructionActions(
            parser.OFPIT_APPLY_ACTIONS,
            [parser.OFPActionOutput(ofproto.OFPP_NORMAL)]
        ),
        parser.OFPInstructionMeter(meter_id)
    ]
)

11. 项目交付物

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
完整的项目结构:

sdn_controller/
├── README.md
├── controller/
│   ├── sdn_controller.py      # 主控制器
│   ├── topology.py            # 拓扑管理
│   ├── flow_manager.py        # 流表管理
│   ├── arp_handler.py         # ARP 代答
│   └── api.py                 # REST API
├── topology/
│   ├── setup_topo.sh          # 拓扑搭建
│   ├── cleanup.sh             # 清理
│   └── teardown.sh
├── tests/
│   ├── test_connectivity.sh   # 互通测试
│   ├── test_isolation.sh      # 隔离测试
│   └── test_perf.sh           # 性能测试
├── docs/
│   ├── design.md              # 设计文档
│   ├── demo.md                # 演示文档
│   └── perf_report.md         # 性能报告
├── config/
│   ├── sdn.yaml                # 配置文件
│   └── tenants.yaml            # 租户定义
├── cli/
│   └── sdn_cli.py              # CLI 工具
└── requirements.txt

演示流程:
  1. 启动控制器
  2. 搭建拓扑(3 主机 + 2 租户)
  3. OVS 连接控制器
  4. 启动 VM/容器
  5. 演示同租户互通
  6. 演示不同租户隔离
  7. 查看控制器学习的主机表
  8. 演示动态添加租户

12. 学习路径总结

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
通过整个阶段(第 31-36 周),你已掌握:

✅ Linux 网络虚拟化(netns、veth、bridge、macvlan)
✅ 隧道协议(VXLAN、GENEVE、GRE)
✅ Open vSwitch(OVS)和 OpenFlow
✅ P4 可编程数据平面
✅ SmartNIC、SR-IOV、Virtio
✅ RDMA/RoCE 基础

接下来可以:
  - 学习 Kubernetes CNI 实现(Cilium、Calico)
  - 深入研究 5G 网络与电信云
  - 探索 SD-WAN 技术
  - 研究 eBPF/XDP 在云网络的应用
  - 实际部署 Tungsten Fabric / OVN

展开全文 >>

第37周:L4/L7 负载均衡架构

第37周:L4/L7 负载均衡架构

目标:理解工业级负载均衡器(Maglev、Katran、Envoy)的设计思想,掌握一致性哈希算法与高并发调度。

1. 工业级 LB 概览

1.1 主要产品

1
2
3
4
5
6
7
8
9
10
11
12
┌──────────────────┬────────────┬──────────────┬──────────────┐
│ LB                │ 层级       │ 数据面       │ 性能         │
├──────────────────┼────────────┼──────────────┼──────────────┤
│ Google Maglev    │ L4         │ 内核+DPDK     │ 数十 Tbps    │
│ Facebook Katran  │ L4         │ XDP           │ 100M+ pps   │
│ Linux IPVS       │ L4         │ 内核 netfilter│ 1-3 Mpps    │
│ HAProxy          │ L4/L7      │ 用户态 epoll  │ 200K-500K pps│
│ Nginx            │ L7 (HTTP)  │ 事件驱动      │ 100K-300K pps│
│ Envoy            │ L4/L7      │ 线程池       │ 100K-200K pps│
│ Cilium LB        │ L4         │ eBPF/XDP     │ 10M+ pps    │
│ DPDK 自己的 LB    │ L4         │ DPDK PMD      │ 14M+ pps    │
└──────────────────┴────────────┴──────────────┴──────────────┘

1.2 设计目标

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
现代 LB 的核心要求:

1. 高吞吐
   - 单节点 10M+ pps(小包)
   - 多节点线性扩展

2. 低延迟
   - L4 LB:< 100μs(首包)
   - L7 LB:< 1ms

3. 一致性
   - 相同 flow 始终到同一后端(会话保持)
   - 增删后端时最小化迁移

4. 高可用
   - 健康检查 + 故障自动摘除
   - 主备自动切换

5. 可扩展
   - 支持百万-千万级 QPS
   - 水平扩展

2. Maglev 详解

2.1 Maglev 概述

1
2
3
4
5
6
7
8
9
10
11
12
Google Maglev(2016 发布论文):

  - Google 自研 L4 负载均衡
  - 替代了 LVS(Linux Virtual Server)
  - 部署在 Google 边缘,承载数百万 QPS
  - 基于一致性哈希的 ECMP 路由

核心特性:
  - 一致性哈希(minimal disruption)
  - 后端健康检查
  - 多租户支持
  - Maglev VFP(Virtual Forwarding Plane)

2.2 Maglev 一致性哈希

传统一致性哈希问题

1
2
3
4
5
6
7
8
9
10
11
12
传统一致性哈希(环形):

  Hash 环:
  0 ────── 1000 ────── 2000 ────── 3000
            ↓            ↓
         Node A       Node B
         B1, B2       B3, B4
         
  问题:
  - 后端权重调节困难
  - 后端分布不均匀(特别是后端少时)
  - 删除一个节点,下一个节点压力大增

Maglev 哈希表

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
Maglev 改进:

  - 预生成大表(通常 65537 或更大)
  - 每个后端在表中有若干 entries
  - Lookup 一次:O(1)

  步骤:
  1. 初始化表
  2. 后端 i 计算 prefer[i] = random("后端" + "i")
  3. 后端 i 计算 skip[i] = random_skip(i)
  4. populate:
       c[i] = 0
       for n in 0..M-1:
           while true:
               c[i] = (c[i] + skip[i]) % M
                 fill[n] = i
                 break

  5. Lookup(key):
       i = hash(key) % M
       return backend[fill[i]]

2.3 Maglev 表的生成

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
// maglev_consistent_hash.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>

// 64-bit hash
uint64_t hash64(const char *key, size_t len) {
    uint64_t h = 0xcbf29ce484222325ULL;  // FNV-1a 起始值
    for (size_t i = 0; i < len; i++) {
        h ^= (uint8_t)key[i];
        h *= 0x100000001b3ULL;
    }
    return h;
}

// 后端参数
typedef struct {
    const char *name;
    uint64_t    prefer;
    uint64_t    skip;
    int         count;  // 期望的 entries 数
} backend_t;

#define M 65537  // 大表大小(质数)

// Maglev 哈希表
typedef struct {
    int       *fill;        // 长度 M
    int        size;
    backend_t *backends;
    int        backend_count;
} maglev_t;

maglev_t *maglev_create(backend_t *backends, int n) {
    maglev_t *m = calloc(1, sizeof(*m));
    m->size = M;
    m->fill = malloc(sizeof(int) * M);
    m->backends = backends;
    m->backend_count = n;

    // 1. 计算总权重
    uint64_t total = 0;
    for (int i = 0; i < n; i++) {
        total += backends[i].count;
    }

    // 2. 按比例分配 entries
    for (int i = 0; i < n; i++) {
        // 计算每个后端的 entry 数
        backends[i].prefer = hash64("seed", 4) ^ (i * 0x9E3779B97F4A7C15ULL);
        backends[i].skip = hash64("skip", 4) ^ (i * 0x9E3779B97F4A7C15ULL);
    }

    // 3. Populate
    int *c = calloc(n, sizeof(int));
    int n_iter = 0;
    int sum_done = 0;
    int i = -1;
    while (sum_done < M) {
        i = (i + 1) % n;
        for (int k = 0; k < n; k++) {
            int idx = (c[i] + backends[i].skip) % M;
            c[i] = idx;
            if (m->fill[idx] == 0 || m->fill[idx] == -1) {
                m->fill[idx] = i;
                sum_done++;
                if (sum_done == M) break;
            }
        }
    }

    free(c);
    return m;
}

// 查询:O(1)
int maglev_lookup(maglev_t *m, const char *key, size_t len) {
    uint64_t h = hash64(key, len);
    int idx = h % m->size;
    return m->fill[idx];
}

2.4 Maglev 表的特性

1
2
3
4
5
6
7
8
9
10
11
12
13
14
1. 均匀性
   - 后端 i 在表中的 entries 数 = count[i]
   - 总 entries = M

2. 一致性
   - 增删后端时,只有少量 entries 变化
   - 通常 < 1/M (例如 M=65537 时只影响 < 0.002%)

3. 最小中断
   - 增减后端不重新分配整张表
   - 增量更新 entries

4. 负载均衡
   - 加权:调整每个后端的 count

2.5 实践:实现一致性哈希调度

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
// maglev_demo.c
#include <stdio.h>

int main() {
    // 3 个后端,期望权重 3:2:1
    backend_t backends[] = {
        {"web-1", 0, 0, 49152},  // 75%
        {"web-2", 0, 0, 32768},  // 50%
        {"web-3", 0, 0, 16385},  // 25%
    };
    int n = 3;

    maglev_t *m = maglev_create(backends, n);

    // 模拟 100 万次查询
    int counts[3] = {0};
    for (int i = 0; i < 1000000; i++) {
        char key[32];
        snprintf(key, sizeof(key), "client-%d", i);
        int idx = maglev_lookup(m, key, strlen(key));
        counts[idx]++;
    }

    printf("Distribution:\n");
    for (int i = 0; i < n; i++) {
        printf("  %s: %d (%.2f%%)\n",
               backends[i].name, counts[i],
               (double)counts[i] / 10000.0);
    }

    // 模拟节点新增
    backend_t new_backends[] = {
        {"web-1", 0, 0, 49152},
        {"web-2", 0, 0, 32768},
        {"web-3", 0, 0, 16385},
        {"web-4", 0, 0, 32768},  // 新增
    };
    maglev_t *m2 = maglev_create(new_backends, 4);

    // 比较迁移率
    int migrations = 0;
    for (int i = 0; i < 1000000; i++) {
        char key[32];
        snprintf(key, sizeof(key), "client-%d", i);
        int old_idx = maglev_lookup(m, key, strlen(key));
        int new_idx = maglev_lookup(m2, key, strlen(key));
        if (old_idx != new_idx) migrations++;
    }
    printf("\nMigration rate: %.2f%% (%d / 1M)\n",
           (double)migrations / 10000.0, migrations);

    return 0;
}

3. Katran 详解(Facebook)

3.1 Katran 概述

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
Katran(Facebook):
  - 基于 XDP 的 L4 负载均衡
  - 完全运行在 Linux 内核
  - 单核可达 10M+ pps
  - 健康检查 + 一致性哈希

架构:
  ┌────────────────────────────────┐
  │  XDP Layer                     │
  │  (katran_lb.bpf.c)             │
  │  ┌──────────────────────────┐  │
  │  │  CH ring (Maglev-like)    │  │
  │  └──────────────────────────┘  │
  │  ┌──────────────────────────┐  │
  │  │  Real servers map         │  │
  │  └──────────────────────────┘  │
  │  ┌──────────────────────────┐  │
  │  │  Health check (userspace) │  │
  │  └──────────────────────────┘  │
  └────────────────────────────────┘
       ↑              ↓
       │  BPF map     │  packet events
       │              │
  ┌────┴──────────────┴────┐
  │  Katran userspace       │
  │  - Health checking     │
  │  - Map management      │
  │  - Statistics export   │
  │  - XDP attachment      │
  └─────────────────────────┘

3.2 Katran 源码分析

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
// katran_lb.bpf.c — 关键代码片段(简化)

#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <bpf/bpf_helpers.h>

// 真实服务器表
struct {
    __uint(type, BPF_MAP_TYPE_HASH);
    __uint(max_entries, MAX_REALS);
    __type(key, __u32);          // real server index
    __type(value, struct real_definition);
} reals_map SEC(".maps");

// 一致性哈希 ring(Maglev 风格)
struct {
    __uint(type, BPF_MAP_TYPE_ARRAY);
    __uint(max_entries, RING_SIZE);
    __type(key, __u32);          // 位置
    __type(value, __u32);        // real server index
} ch_ring SEC(".maps");

// 主 XDP 程序
SEC("xdp")
int xdp_lb(struct xdp_md *ctx) {
    void *data = (void *)(long)ctx->data;
    void *data_end = (void *)(long)ctx->data_end;

    struct ethhdr *eth = data;
    if ((void *)(eth + 1) > data_end)
        return XDP_PASS;

    if (eth->h_proto != bpf_htons(ETH_P_IP))
        return XDP_PASS;

    struct iphdr *ip = (void *)(eth + 1);
    if ((void *)(ip + 1) > data_end)
        return XDP_PASS;

    // 1. 计算 hash(5 元组)
    __u32 hash = 0;
    if (ip->protocol == IPPROTO_TCP) {
        struct tcphdr *tcp = (void *)ip + (ip->ihl * 4);
        if ((void *)(tcp + 1) > data_end) return XDP_PASS;
        hash = jhash_2words(ip->saddr, tcp->source, CH_SEED1) ^
               jhash_2words(ip->daddr, tcp->dest, CH_SEED2);
    } else if (ip->protocol == IPPROTO_UDP) {
        struct udphdr *udp = (void *)ip + (ip->ihl * 4);
        if ((void *)(udp + 1) > data_end) return XDP_PASS;
        hash = jhash_2words(ip->saddr, udp->source, CH_SEED1) ^
               jhash_2words(ip->daddr, udp->dest, CH_SEED2);
    } else {
        return XDP_PASS;
    }

    // 2. 一致性哈希查找后端
    __u32 ring_idx = hash % RING_SIZE;
    __u32 *real_idx = bpf_map_lookup_elem(&ch_ring, &ring_idx);
    if (!real_idx)
        return XDP_PASS;

    // 3. 查 real server
    struct real_definition *real;
    real = bpf_map_lookup_elem(&reals_map, real_idx);
    if (!real || real->flags == F_DELETED)
        return XDP_PASS;

    // 4. DNAT
    ip->daddr = real->dst_addr;

    // 5. 重新计算校验和
    ip->check = 0;
    ip->check = bpf_csum_diff();

    // 6. 修改 MAC
    if (eth->h_dest) {  // 已知后端 MAC
        // 转发
    }

    // 7. 统计
    update_stats(*real_idx, ip->tot_len);

    // 8. 转发
    return bpf_redirect(real->ifindex, 0);
}

3.3 Katran 的优化

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Katran 的关键优化:

1. Maglev 一致性哈希
   - O(1) lookup
   - 最小化迁移

2. LPM 优化
   - VIP 用 LPM trie 而不是 hash
   - 快速匹配目的 IP

3. 健康检查
   - 用户态线程定期探测
   - BPF map 反映状态

4. Per-CPU 统计
   - 避免锁

5. SIMD 优化
   - 校验和计算

4. Envoy 线程模型

4.1 Envoy 概述

1
2
3
4
5
6
7
8
9
10
11
12
13
Envoy(Lyft 开源,现为 CNCF 毕业项目):

  - L4/L7 反向代理
  - 服务网格数据面(与 Istio 集成)
  - 高级路由、负载均衡、可观察性
  - 多语言过滤器(HTTP filter chain)

核心特性:
  - 线程模型
  - 监听器
  - 集群(cluster)
  - 路由
  - 过滤器链

4.2 Envoy 线程模型

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
Envoy 线程模型:

  ┌─────────────────────────────────────┐
  │           Main Thread               │
  │  - 启动 / 关闭 / 重新加载             │
  │  - 配置处理                          │
  │  - 监听器创建                        │
  └──────────────┬──────────────────────┘

                 │ Cluster Manager

  ┌──────────────┴──────────────────────┐
  │      Worker Thread(s)              │  ← 通常 = CPU 核心数
  │  - 监听 socket(shared)           │
  │  - 接受连接                         │
  │  - 数据包处理                       │
  │  - 过滤器链执行                     │
  └─────────────────────────────────────┘

每个 Worker:
  ┌─────────────┐
  │  Listener    │ → 多个
  │  (per thread)│
  │  Listener 0  │
  │  Listener 1  │
  └─────────────┘
  ┌─────────────┐
  │  Connection  │ → 大量并发连接
  │              │
  └─────────────┘
  ┌─────────────┐
  │  Filter      │ → 过滤器链
  │  Chain       │
  └─────────────┘

连接分配:
  - 通过 SO_REUSEPORT
  - 多个线程监听同一端口
  - 内核 hash 分配到不同线程

4.3 Envoy 过滤器链

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
# envoy.yaml — 过滤器链配置
listeners:
- name: listener_0
  address:
    socket_address:
      address: 0.0.0.0
      port_value: 8080
  filter_chains:
  - filters:
    # 1. 监听器过滤器
    - name: envoy.filters.network.listener
      typed_config:
        "@type": type.googleapis.com/envoy.extensions.filters.network.listener.v3.Listener
        listener_filters_timeout: 0s
    # 2. HTTP 连接管理
    - name: envoy.filters.network.http_connection_manager
      typed_config:
        "@type": type.googleapis.com/envoy.extensions.filters.network.http_connection_manager.v3.HttpConnectionManager
        stat_prefix: ingress_http
        route_config:
          name: local_route
          virtual_hosts:
          - name: backend
            domains: ["*"]
            routes:
            - match: { prefix: "/" }
              route: { cluster: web_service }
        http_filters:
        # HTTP 过滤器链
        - name: envoy.filters.http.router
        - name: envoy.filters.http.lua  # Lua 脚本
        - name: envoy.filters.http.rate_limit
        - name: envoy.filters.http.fault
    # 3. 原始 TCP 代理
    - name: envoy.filters.network.tcp_proxy
      typed_config:
        "@type": type.googleapis.com/envoy.extensions.filters.network.tcp_proxy.v3.TcpProxy
        stat_prefix: tcp
        cluster: tcp_service

4.4 Envoy 的过滤器类型

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Envoy 过滤器分类:

1. Listener 过滤器
   - 在连接被接受时运行
   - 例如:TLS inspector、proxy_protocol

2. Network 过滤器
   - 在 L4 处理
   - 例如:http_connection_manager、tcp_proxy、redis_proxy

3. HTTP 过滤器
   - 在 HTTP 协议层
   - 例如:router、rate_limit、fault、gzip、cors、jwt、lua、wasm

每个过滤器可:
  - 读写请求头
  - 修改 body
  - 决定是否继续
  - 短路返回

5. L7 负载均衡(Envoy 高级路由)

5.1 高级路由

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
# 复杂的 L7 路由
virtual_hosts:
- name: api
  domains: ["api.example.com"]
  routes:
  - match:
      prefix: "/v1/users"
      headers:
      - name: ":authority"
        string_match:
          exact: "api.example.com"
      query_parameters:
      - name: "version"
        string_match:
          exact: "2"
    route:
      cluster: user_service_v2

  - match:
      prefix: "/v1/"
      runtime_fraction:
        default_value:
          numerator: 50
          denominator: HUNDRED
        runtime_key: routing.v1.percent
    route:
      cluster: user_service_v1

  - match:
      prefix: "/v2/"
    route:
      weighted_clusters:
        clusters:
        - name: user_service_v2
          weight: 90
        - name: user_service_v2_canary
          weight: 10

5.2 重试与熔断

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
cluster:
  connect_timeout: 1s
  lb_policy: ROUND_ROBIN
  load_assignment:
    cluster_name: backend
    endpoints:
    - lb_endpoints:
      - endpoint:
          address: 10.0.0.1:8080

  # 重试策略
  retry_policy:
    num_retries: 3
    retry_back_off:
      base_interval: 0.1s
      max_interval: 1s
    retry_on: "5xx,gateway-error,connect-failure,refused-stream,reset"

  # 熔断器
  circuit_breakers:
  - thresholds:
    - priority: DEFAULT
      max_connections: 1000
      max_pending_requests: 100
      max_requests: 100
      max_retries: 5
      track_remaining: true

6. 性能对比

1
2
3
4
5
6
7
8
9
10
各类 LB 性能(典型 10GbE,64B 包):

  方案                │ 单核 pps   │ 延迟       │ CPU 占用
  ─────────────────────┼──────────  │──────────  │─────────
  Maglev(DPDK)        │ 12-14M     │ < 200ns    │ 1 核
  Katran(XDP)         │ 10-14M     │ < 500ns    │ 0.8 核
  IPVS(内核)          │ 3-5M       │ < 5μs      │ 2 核
  HAProxy(用户态)      │ 1-2M       │ < 100μs    │ 1 核
  Nginx(HTTP)         │ 0.5-1M     │ < 1ms      │ 1 核
  Envoy(HTTP)         │ 0.3-0.7M   │ < 1ms      │ 1 核

7. 一致性哈希补充

7.1 哈希函数选择

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
常见哈希函数:

1. CRC32
   - 硬件加速(CRC32C)
   - 速度快
   - 分布一般

2. FNV-1a(Maglev 使用)
   - 简单
   - 适合短字符串

3. xxHash
   - 极快
   - 分布好
   - 现代首选

4. SpookyHash
   - Jenkins 改进版
   - 高质量

5. CityHash / MurmurHash
   - Google / Austin Appleby
   - 工业级

7.2 实战代码(完整)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
// consistent_hash.c
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <stdint.h>

// xxHash 简化版
static uint64_t xxhash64(const void *key, size_t len, uint64_t seed) {
    const uint64_t PRIME1 = 0x9E3779B185EBCA87ULL;
    const uint64_t PRIME2 = 0xC2B2AE3D27D4EB4FULL;
    const uint64_t PRIME3 = 0x165667B19E3779F9ULL;
    const uint64_t PRIME4 = 0x85EBCA77C2B2AE63ULL;
    const uint64_t PRIME5 = 0x27D4EB2F165667C5ULL;

    uint64_t h64 = seed + PRIME5;
    h64 += (uint64_t)len;

    const uint8_t *p = (const uint8_t *)key;
    while (len >= 8) {
        uint64_t k1 = *(uint64_t *)p;
        k1 *= PRIME2;
        k1 = (k1 << 31) | (k1 >> 33);
        k1 *= PRIME1;
        h64 ^= k1;
        h64 = (h64 << 27) | (h64 >> 37);
        h64 = h64 * PRIME1 + PRIME4;
        p += 8; len -= 8;
    }

    while (len > 0) {
        h64 ^= (*p++) * PRIME5;
        h64 = (h64 << 11) | (h64 >> 53);
        h64 *= PRIME1;
        len--;
    }

    h64 ^= h64 >> 33;
    h64 *= PRIME2;
    h64 ^= h64 >> 29;
    h64 *= PRIME3;
    h64 ^= h64 >> 32;

    return h64;
}

#define BACKEND_COUNT 4
#define RING_SIZE 65537

uint32_t g_ring[RING_SIZE];

void populate_ring(const char *backends[], int weights[], int n) {
    int total = 0;
    for (int i = 0; i < n; i++) total += weights[i];

    // 计算每个后端在 ring 中的 entries 数
    int *counts = calloc(n, sizeof(int));
    for (int i = 0; i < RING_SIZE; i++) {
        // 按比例分配
        int idx = 0;
        int cumsum = 0;
        int target = (i * total) / RING_SIZE;
        for (int j = 0; j < n; j++) {
            cumsum += weights[j];
            if (target < cumsum) { idx = j; break; }
        }
        counts[idx]++;
    }

    // 随机填充
    srand(42);
    uint64_t *skips = malloc(n * sizeof(uint64_t));
    for (int i = 0; i < n; i++) {
        skips[i] = xxhash64(backends[i], strlen(backends[i]), 0) | 1;
    }

    int *c = calloc(n, sizeof(int));
    int n_filled = 0;
    int i = -1;
    while (n_filled < RING_SIZE) {
        i = (i + 1) % n;
        for (int k = 0; k < 1000; k++) {  // 防止死循环
            c[i] = (c[i] + skips[i]) % RING_SIZE;
            if (g_ring[c[i]] == 0xFFFFFFFF) {
                g_ring[c[i]] = i;
                n_filled++;
                break;
            }
        }
    }

    free(counts);
    free(skips);
    free(c);
}

int lookup(const char *key) {
    uint64_t h = xxhash64(key, strlen(key), 0);
    return g_ring[h % RING_SIZE];
}

int main() {
    const char *backends[] = {"web-1", "web-2", "web-3", "web-4"};
    int weights[] = {3, 2, 2, 1};

    memset(g_ring, 0xFF, sizeof(g_ring));
    populate_ring(backends, weights, 4);

    int counts[4] = {0};
    int N = 1000000;
    for (int i = 0; i < N; i++) {
        char key[32];
        snprintf(key, sizeof(key), "client-%d", i);
        counts[lookup(key)]++;
    }

    printf("Distribution (N=%d):\n", N);
    for (int i = 0; i < 4; i++) {
        printf("  %s: %d (%.2f%%, expected %.2f%%)\n",
               backends[i], counts[i],
               counts[i] * 100.0 / N,
               weights[i] * 100.0 / 8);
    }
    return 0;
}

8. 调度算法对比

算法 哈希分布 加权 增删迁移 复杂度
Round Robin 不均 简单 100% O(1)
Weighted RR 一般 支持 100% O(1)
Random 不均 困难 O(1)
一致性哈希(环形) 不均 复杂 ~50% O(log n)
Maglev 哈希 均匀 简单 < 1% O(1)
Rendezvous 均匀 简单 ~33% O(log n)

9. 工程实践要点

9.1 部署考虑

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
部署 LB 的常见架构:

1. 边缘 LB(Edge LB)
   - 部署在 DC 边缘
   - 处理南北向流量
   - 应对外部攻击

2. 集群内 LB(East-West)
   - K8s 内部 Service
   - 服务间调用
   - 取代 kube-proxy

3. 全局 LB(GSLB)
   - 跨 DC / 跨区域
   - DNS 级别
   - Anycast IP

9.2 健康检查

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
// health_check.c — 简单 TCP 健康检查
#include <sys/socket.h>
#include <netinet/in.h>
#include <unistd.h>
#include <fcntl.h>
#include <poll.h>
#include <pthread.h>

typedef struct {
    char host[64];
    int port;
    int is_healthy;
    pthread_mutex_t lock;
} backend_health_t;

int tcp_probe(const char *host, int port, int timeout_ms) {
    int fd = socket(AF_INET, SOCK_STREAM, 0);
    if (fd < 0) return 0;

    // 设置非阻塞
    int flags = fcntl(fd, F_GETFL, 0);
    fcntl(fd, F_SETFL, flags | O_NONBLOCK);

    // 解析地址
    struct sockaddr_in addr = {
        .sin_family = AF_INET,
        .sin_port = htons(port),
    };
    inet_pton(AF_INET, host, &addr.sin_addr);

    // 发起连接
    int ret = connect(fd, (struct sockaddr *)&addr, sizeof(addr));
    if (ret < 0 && errno != EINPROGRESS) {
        close(fd);
        return 0;
    }

    // 等待连接完成
    struct pollfd pfd = {fd, POLLOUT, 0};
    ret = poll(&pfd, 1, timeout_ms);
    if (ret <= 0) {
        close(fd);
        return 0;
    }

    int err;
    socklen_t len = sizeof(err);
    getsockopt(fd, SOL_SOCKET, SO_ERROR, &err, &len);
    close(fd);

    return err == 0;
}

// 多线程健康检查
void *health_check_thread(void *arg) {
    backend_health_t *backends = (backend_health_t *)arg;
    int n = ...;  // 后端数量

    while (1) {
        for (int i = 0; i < n; i++) {
            int healthy = tcp_probe(backends[i].host, backends[i].port, 1000);
            pthread_mutex_lock(&backends[i].lock);
            backends[i].is_healthy = healthy;
            pthread_mutex_unlock(&backends[i].lock);
        }
        sleep(5);
    }
    return NULL;
}

展开全文 >>

第38周:高性能网关与 NAT 设计

第38周:高性能网关与 NAT 设计

目标:理解工业级 NAT 网关(conntrack 表设计、SNAT/DNAT、Full-NAT 行为差异),能够改进之前 DPDK L4 LB 的连接跟踪实现。

1. NAT 类型详解

1.1 NAT 行为分类(RFC 3489 / 5780)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
四种 NAT 行为:

┌─────────┬──────────────┬──────────────┬──────────────┐
│ 类型     │ 内网到外网     │ 外网到内网     │ 特点         │
├─────────┼──────────────┼──────────────┼──────────────┤
│ Full    │ 改 src IP+    │ 改 dst IP+   │ 最强,       │
│ Cone    │ port         │ port(一致)  │ 一致映射     │
├─────────┼──────────────┼──────────────┼──────────────┤
│ Restricted│改 src IP+  │ 改 dst IP+   │ 外网可主动   │
│ Cone    │ port         │ port         │ 但需用过的 IP│
├─────────┼──────────────┼──────────────┼──────────────┤
│ Port    │ 改 src IP+   │ 改 dst IP+   │ 每连接不同   │
│ Restricted│ port       │ port(每连接)│ 外网映射     │
│ Cone    │              │              │              │
├─────────┼──────────────┼──────────────┼──────────────┤
│ Symmetric│改 src IP+   │ 改 dst IP+   │ 最严格       │
│         │ port(每目的)│ port(每目的)│ 最难穿透     │
└─────────┴──────────────┴──────────────┴──────────────┘

1.2 Linux NAT 实际行为

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
Linux NAT 实现:

1. 静态 SNAT/MASQUERADE:
   - 创建映射 (proto, src_ip, src_port) → (ext_ip, ext_port)
   - 对于同一内网 IP 的所有连接,使用同一外部端口(限制性锥形)
   - 实际行为:Restricted Cone

2. MASQUERADE(IP 伪装):
   - 类似 SNAT,但动态获取外部 IP
   - 行为与 SNAT 相同

3. FULL CONE NAT 模拟:
   - Linux 不原生支持 Full Cone
   - 需要 full-cone-nat(iptables 模块)或应用层实现

4. Symmetric NAT:
   - Linux 行为取决于对端地址
   - 需要 ALG 或 STUN 协助

1.3 高级 NAT 工具

1
2
3
4
5
6
7
# full-cone-nat 项目(Netfilter)
git clone https://github.com/nicman239/full-cone-nat.git
cd full-cone-nat
make
sudo insmod full_cone_nat.ko
# 启用 Full NAT
sudo iptables -t nat -A PREROUTING -j FULLCONENAT

2. conntrack 表设计

2.1 conntrack 表结构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
conntrack(connection tracking)表:
  - 跟踪每个连接的状态
  - NAT 映射的源数据
  - 超时回收

典型条目:
  ┌─────────────────────────────────────────┐
  │  Tuple:                                    │
  │  src_ip=10.0.1.10, src_port=12345        │
  │  dst_ip=10.0.0.5, dst_port=80            │
  │  protocol=TCP                              │
  ├─────────────────────────────────────────┤
  │  Reply tuple:                              │
  │  src_ip=10.0.0.5, src_port=80            │
  │  dst_ip=10.0.0.1, dst_port=40000         │  ← 替换
  │  protocol=TCP                              │
  ├─────────────────────────────────────────┤
  │  State: ESTABLISHED                       │
  │  Created: 2.5s ago                        │
  │  Bytes: 12345, Packets: 89               │
  └─────────────────────────────────────────┘

2.2 conntrack 超时参数

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# Linux conntrack 超时(/proc/sys/net/netfilter/)
nf_conntrack_tcp_timeout_established    # 默认 432000s(5天)
nf_conntrack_tcp_timeout_time_wait        # 默认 120s
nf_conntrack_tcp_timeout_close_wait       # 默认 60s
nf_conntrack_tcp_timeout_fin_wait         # 默认 120s
nf_conntrack_tcp_timeout_syn_sent        # 默认 120s
nf_conntrack_tcp_timeout_syn_recv        # 默认 60s
nf_conntrack_udp_timeout                  # 默认 30s
nf_conntrack_udp_timeout_stream           # 默认 180s
nf_conntrack_icmp_timeout                 # 默认 30s

# 表大小
nf_conntrack_max                          # 默认 65536
nf_conntrack_buckets                       # hash 桶数

2.3 DPDK L4 LB 中的 conntrack 设计

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
// conntrack.h — 高性能 conntrack 表
#ifndef CONNTRACK_H
#define CONNTRACK_H

#include <stdint.h>
#include <rte_hash.h>
#include <rte_mempool.h>

// 五元组
struct ct_key {
    uint32_t src_ip;
    uint32_t dst_ip;
    uint16_t src_port;
    uint16_t dst_port;
    uint8_t  protocol;
} __attribute__((packed));

// TCP 状态
enum ct_tcp_state {
    CT_TCP_NEW,
    CT_TCP_SYN_SENT,
    CT_TCP_SYN_RCVD,
    CT_TCP_ESTABLISHED,
    CT_TCP_FIN_WAIT,
    CT_TCP_CLOSE_WAIT,
    CT_TCP_LAST_ACK,
    CT_TCP_TIME_WAIT,
    CT_TCP_CLOSED
};

// 会话条目(完整 conntrack 条目)
struct ct_entry {
    struct ct_key   orig;           // 原始方向 5 元组
    struct ct_key   reply;          // 反向 5 元组
    uint32_t         ext_ip;        // 外部 IP(NAT 后)
    uint16_t         ext_port;      // 外部端口
    enum ct_tcp_state state;
    uint64_t         create_ts;
    uint64_t         last_ts;
    uint64_t         packets;
    uint64_t         bytes;
    uint32_t         flags;         // 标志位
};

// 标志位
#define CT_FLAG_STATIC    0x01     // 静态映射(不超时)
#define CT_FLAG_ASSURED   0x02     // 已确认(流量达到阈值)

// 哈希表(使用 DPDK rte_hash 避免锁)
struct conntrack {
    struct rte_hash      *hash;        // 精确匹配的 5 元组 hash
    struct rte_mempool   *entry_pool;  // 条目池
    uint32_t              max_entries;
    uint32_t              timeout_sec;
};

// 双键索引:双向都插入
struct conntrack *conntrack_create(uint32_t max_entries, uint32_t timeout_sec);

// 插入(双向)
int conntrack_add(struct conntrack *ct, struct ct_entry *entry);

// 查找
struct ct_entry *conntrack_lookup(struct conntrack *ct, struct ct_key *key);

// 删除
int conntrack_delete(struct conntrack *ct, struct ct_key *key);

// 老化清理
void conntrack_gc(struct conntrack *ct);

#endif

2.4 conntrack 老化实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
// conntrack.c
#include "conntrack.h"
#include <rte_cycles.h>

struct conntrack *conntrack_create(uint32_t max_entries, uint32_t timeout_sec) {
    struct conntrack *ct = rte_zmalloc(NULL, sizeof(*ct), 0);

    // 创建 hash 表(双向 5 元组映射)
    struct rte_hash_parameters hp = {
        .name = "CONNTRACK",
        .entries = max_entries * 2,  // 双向 × 2
        .key_len = sizeof(struct ct_key),
        .hash_func = rte_jhash,
        .hash_func_init_val = 0,
        .socket_id = SOCKET_ID_ANY,
    };
    ct->hash = rte_hash_create(&hp);

    // 条目池
    char name[64];
    snprintf(name, sizeof(name), "CT_ENTRY");
    ct->entry_pool = rte_mempool_create(name, max_entries,
                                          sizeof(struct ct_entry),
                                          256, 0, NULL, NULL, NULL,
                                          SOCKET_ID_ANY, 0);

    ct->max_entries = max_entries;
    ct->timeout_sec = timeout_sec;
    return ct;
}

int conntrack_add(struct conntrack *ct, struct ct_entry *entry) {
    // 分配条目
    struct ct_entry *new_entry = rte_mempool_get(ct->entry_pool, NULL);
    if (!new_entry) return -1;  // 表满

    *new_entry = *entry;
    new_entry->create_ts = rte_rdtsc();
    new_entry->last_ts = new_entry->create_ts;

    // 双向插入
    int ret;
    ret = rte_hash_add_key_data(ct->hash, &new_entry->orig, new_entry);
    if (ret != 0) {
        rte_mempool_put(ct->entry_pool, new_entry);
        return -1;
    }
    ret = rte_hash_add_key_data(ct->hash, &new_entry->reply, new_entry);
    if (ret != 0) {
        rte_hash_del_key(ct->hash, &new_entry->orig);
        rte_mempool_put(ct->entry_pool, new_entry);
        return -1;
    }

    return 0;
}

struct ct_entry *conntrack_lookup(struct conntrack *ct, struct ct_key *key) {
    struct ct_entry **entry;
    int ret = rte_hash_lookup_data(ct->hash, key, (void **)&entry);
    if (ret >= 0) return *entry;
    return NULL;
}

int conntrack_delete(struct conntrack *ct, struct ct_key *key) {
    struct ct_entry *entry;
    int ret = rte_hash_lookup_data(ct->hash, key, (void **)&entry);
    if (ret < 0) return -1;

    // 删除两条记录
    rte_hash_del_key(ct->hash, &entry->orig);
    rte_hash_del_key(ct->hash, &entry->reply);
    rte_mempool_put(ct->entry_pool, entry);
    return 0;
}

void conntrack_gc(struct conntrack *ct) {
    static uint64_t last_gc = 0;
    uint64_t now = rte_rdtsc();
    uint64_t hz = rte_get_timer_hz();

    // 每 10 秒清理一次
    if (now - last_gc < hz * 10) return;
    last_gc = now;

    uint64_t timeout_ticks = (uint64_t)ct->timeout_sec * hz;
    int collected = 0;

    // 遍历所有条目
    const void *next_key;
    void *next_data;
    uint32_t iter = 0;

    while (rte_hash_iterate(ct->hash, &next_key, &next_data, &iter) >= 0) {
        struct ct_entry *entry = (struct ct_entry *)next_data;

        // 检查静态标志
        if (entry->flags & CT_FLAG_STATIC) continue;

        // 检查超时
        if (now - entry->last_ts > timeout_ticks) {
            // 标记为过期(避免在迭代中删除导致问题)
            entry->flags |= 0x80;  // CT_FLAG_EXPIRED
            collected++;
        }
    }

    // 第二轮:删除标记过期的
    iter = 0;
    while (rte_hash_iterate(ct->hash, &next_key, &next_data, &iter) >= 0) {
        struct ct_entry *entry = (struct ct_entry *)next_data;
        if (entry->flags & 0x80) {
            rte_hash_del_key(ct->hash, &entry->orig);
            rte_hash_del_key(ct->hash, &entry->reply);
            rte_mempool_put(ct->entry_pool, entry);
        }
    }

    printf("[CT] GC: collected %d entries\n", collected);
}

2.5 LRU 优化

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
// 使用 LRU 哈希表避免显式 GC
struct conntrack *conntrack_create_lru(uint32_t max_entries, uint32_t timeout_sec) {
    struct conntrack *ct = rte_zmalloc(NULL, sizeof(*ct), 0);

    // 用 LRU hash(自动淘汰最久未访问的)
    struct rte_hash_parameters hp = {
        .name = "CONNTRACK_LRU",
        .entries = max_entries * 2,
        .key_len = sizeof(struct ct_key),
        .hash_func = rte_jhash,
        .socket_id = SOCKET_ID_ANY,
    };
    // 注:DPDK 没有原生 LRU hash,需要用 LRU 实现
    // 这里简化用普通 hash + 显式 GC

    return ct;
}

2.6 哈希冲突与锁竞争

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
conntrack 表性能瓶颈:

1. 哈希冲突
   - 使用 CRC32 或 xxHash(避免冲突)
   - 桶数 = 期望条目数 × 2

2. 锁竞争
   - DPDK rte_hash 无锁(rcu)
   - Linux nf_conntrack 需 spinlock(BIG LOCK)

3. 缓存缺失
   - 条目大小太大 → cache miss
   - 优化:分离热字段(state, last_ts)和冷字段(orig)

4. 老化延迟
   - 周期性 GC 慢
   - 优化:使用 epoch-based reclamation

2.7 Per-CPU 分片优化

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
// conntrack 性能优化:per-CPU 切片

#define NUM_SHARDS 8  // 至少 = lcore 数

struct conntrack_shard {
    pthread_spinlock_t lock;
    struct rte_hash    *hash;
    struct rte_mempool *pool;
};

struct conntrack {
    struct conntrack_shard shards[NUM_SHARDS];
};

// 根据 src_ip 选 shard
static inline int get_shard(uint32_t src_ip) {
    return (src_ip >> 24) ^ (src_ip >> 16) ^
           (src_ip >> 8) ^ src_ip;
}

// 大部分操作无需跨 shard

3. NAT 实现细节

3.1 Full-NAT 完整流程

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
// nat.c — 完整 NAT 实现

struct nat_ctx {
    struct conntrack *ct;
    uint32_t          ext_ip;       // 外部 IP(LB 的 IP)
    uint16_t          ext_port_start;  // 端口分配起点
    uint16_t          ext_port_end;    // 端口分配终点
    uint16_t          next_port;       // 下一个可用端口(round-robin)
    pthread_spinlock_t port_lock;
};

// 分配外部端口
static uint16_t alloc_ext_port(struct nat_ctx *nat) {
    pthread_spin_lock(&nat->port_lock);

    uint16_t p = nat->next_port;
    do {
        p++;
        if (p >= nat->ext_port_end) p = nat->ext_port_start;
    } while (port_in_use(p));

    nat->next_port = p;
    pthread_spin_unlock(&nat->port_lock);
    return p;
}

// Client → Backend(SNAT + DNAT)
int nat_snat_dnat(struct nat_ctx *nat,
                   struct rte_mbuf *m,
                   struct ct_entry **out_sess) {
    struct rte_ether_hdr *eth = rte_pktmbuf_mtod(m, struct rte_ether_hdr *);
    struct rte_ipv4_hdr *ip = (void *)(eth + 1);
    struct rte_tcp_hdr *tcp = (void *)ip + (ip->ihl * 4);

    // 1. 检查 conntrack
    struct ct_key key = {
        .src_ip   = ip->saddr,
        .dst_ip   = ip->daddr,
        .src_port = tcp->source,
        .dst_port = tcp->dest,
        .protocol = ip->protocol,
    };
    struct ct_entry *sess = conntrack_lookup(nat->ct, &key);

    if (!sess) {
        // 新连接
        if (tcp->tcp_flags & RTE_TCP_SYN_FLAG) {
            sess = rte_mempool_get(nat->ct->entry_pool, NULL);
            sess->orig   = key;
            sess->ext_ip = nat->ext_ip;
            sess->ext_port = alloc_ext_port(nat);

            // reply tuple(计算)
            sess->reply.src_ip   = ip->daddr;
            sess->reply.dst_ip   = nat->ext_ip;  // 替换为 LB 的 IP
            sess->reply.src_port = tcp->dest;
            sess->reply.dst_port = htons(sess->ext_port);
            sess->reply.protocol = ip->protocol;

            sess->state = CT_TCP_SYN_RCVD;
            sess->create_ts = rte_rdtsc();

            conntrack_add(nat->ct, sess);
        } else {
            return -1;  // 未知包,丢弃
        }
    }

    sess->last_ts = rte_rdtsc();
    sess->packets++;
    sess->bytes += rte_pktmbuf_pkt_len(m);

    // 2. 更新 TCP 状态
    update_tcp_state(sess, tcp->tcp_flags);

    // 3. NAT 转换
    // SNAT: src IP 改为 LB 的 IP
    ip->saddr   = nat->ext_ip;
    tcp->source = htons(sess->ext_port);

    // 4. 重新计算校验和
    tcp->cksum = 0;
    tcp->cksum = rte_ipv4_udptcp_cksum(ip, tcp);
    ip->hdr_checksum = 0;
    ip->hdr_checksum = rte_ipv4_cksum(ip);

    *out_sess = sess;
    return 0;
}

3.2 NAT 模式选择策略

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
NAT 模式选择:

1. SNAT 模式
   - 简单:只改 src
   - 节省 conntrack 资源
   - 后端看到 LB 的 IP
   - 应用层需感知 SNAT

2. DNAT 模式
   - 反向代理
   - 后端看到 client IP
   - 应用层看到真实客户端

3. Full-NAT
   - 改 src + dst
   - 双层 conntrack
   - 灵活性最高
   - 性能略低
   - 用于阿里云 SLB 等

4. IP 直接转发(DSR)
   - 不改 src IP
   - 后端看到 client
   - 性能最好
   - 但限制:必须网关回包

4. 锁竞争优化

4.1 锁类型选择

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
DPDK 同步原语:

1. rte_spinlock_t
   - 自旋锁(忙等)
   - 适用:短临界区
   - 注意:不能在单核环境使用

2. rte_rwlock_t
   - 读写锁
   - 适用:读多写少

3. rte_atomic
   - 原子操作
   - 适用:单变量

4. RCU
   - 读-复制-更新
   - 适用:极少写

5. Lock-free hash(rte_hash)
   - DPDK 自带
   - 性能最好

4.2 锁竞争实测

1
2
3
4
5
6
7
8
9
# 使用 perf 观察锁竞争
perf stat -e cs,migrations,context-switches -p $(pidof lb_process) -- sleep 5

# 锁热点分析
perf lock contention -a -p $(pidof lb_process) -- sleep 5

# 调用栈热点
perf record -g -p $(pidof lb_process) -- sleep 5
perf report --sort=comm,symbol

4.3 无锁 conntrack 优化

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
// 用 epoch-based reclamation 减少锁
// DPDK 使用 rte_hash 已经无锁
// 只需优化条目池的分配/释放

// 实现一个简单的 epoch 回收器
#define EPOCH_SIZE 1024

struct epoch_ctx {
    struct rte_ring *reclaim[EPOCH_SIZE];
    uint16_t current;
};

// 在 N 个 epoch 后才真正释放
void epoch_reclaim(struct epoch_ctx *ctx, void *obj) {
    uint16_t next = (ctx->current + 1) % EPOCH_SIZE;
    rte_ring_enqueue(ctx->reclaim[next], obj);

    // 真正释放旧的 epoch
    void *old;
    while (rte_ring_dequeue(ctx->reclaim[ctx->current], &old) == 0) {
        rte_mempool_put(pool, old);
    }

    ctx->current = next;
}

5. conntrack 与 LB 集成

5.1 完整 LB 流程(含 conntrack)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
// lb_with_ct.c
void lb_main_loop() {
    while (1) {
        // 收包
        nb_rx = rte_eth_rx_burst(port, 0, pkts, BURST);
        if (nb_rx == 0) continue;

        for (int i = 0; i < nb_rx; i++) {
            struct rte_mbuf *m = pkts[i];
            struct ct_entry *sess = NULL;

            if (is_client_packet(m)) {
                if (nat_snat_dnat(&nat_ctx, m, &sess) == 0) {
                    // 转发到 backend
                    forward_to_backend(m, sess);
                } else {
                    rte_pktmbuf_free(m);
                }
            } else {
                if (nat_unsnat(m, &sess) == 0) {
                    // 转发回 client
                    forward_to_client(m, sess);
                } else {
                    rte_pktmbuf_free(m);
                }
            }
        }

        // 定期清理 conntrack
        conntrack_gc(&nat_ctx.ct);
    }
}

5.2 性能测试

1
2
3
4
5
6
7
性能指标(10GbE):
  - 收包:14M pps
  - NAT 转换:每包 ~ 200ns
  - conntrack lookup:~ 50ns
  - 校验和计算:~ 100ns
  - 总体:~ 500ns/packet
  - 单核吞吐:~ 2M pps(无 conntrack 可达 14M)

6. 主流 NAT 网关

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
Linux iptables/nftables:
  - 内核态
  - 性能受限(1-3 Mpps)
  - 简单配置

Linux conntrack + NAT:
  - 内核态 conntrack 表
  - 性能受限
  - 功能完善

DPDK L4 LB:
  - 用户态
  - 14M+ pps
  - 需要自己实现 conntrack

Cilium(eBPF):
  - 10M+ pps
  - eBPF 加速 conntrack
  - 业界领先

VPP(Vector Packet Processing):
  - 10M+ pps
  - 图节点式处理
  - FD.io 项目

7. 实践:改进 DPDK L4 LB

1
2
3
4
5
6
7
8
// 在之前 phase3/week24 的 L4 LB 基础上,添加 conntrack 超时回收

// 修改 lb_main_loop:
//   1. 添加 conntrack_gc 调用
//   2. 使用 LRU 替代固定大小
//   3. 添加超时参数配置

// 关键代码片段(已包含在 conntrack.c 中)

展开全文 >>

第39周:DDoS 防护系统

第39周:DDoS 防护系统

目标:理解 DDoS 防护的核心技术(SYN Cookie、流量牵引),能够基于 XDP 实现高性能的 SYN Proxy 和流量清洗。

1. DDoS 攻击类型

1.1 攻击分类

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
┌──────────────┬────────────┬─────────────┬──────────────┐
│ 攻击类型      │ 攻击层     │ 特征         │ 防护策略      │
├──────────────┼────────────┼─────────────┼──────────────┤
│ SYN Flood    │ L4         │ 半开连接     │ SYN Cookie    │
│ UDP Flood    │ L3/L4      │ 大流量 UDP   │ 限速 / 丢弃   │
│ ICMP Flood   │ L3         │ ping 风暴    │ 限速 / 丢弃   │
│ HTTP Flood   │ L7         │ 大量 GET     │ JS / 验证码   │
│ Slowloris    │ L7         │ 慢请求       │ 超时          │
│ DNS Amp      │ L7         │ DNS 反射     │ 源 IP 验证    │
│ NTP Amp      │ L3         │ NTP 反射     │ 源 IP 验证    │
│ SSDP Amp     │ L7         │ UPnP 反射    │ 源 IP 验证    │
│ Memcached    │ L7         │ 反射放大     │ 关闭 UDP 服务 │
│ HTTP/2      │ L7         │ Rapid Reset │ 协议验证      │
│ QUIC Initial │ L4         │ 大包         │ 挑战响应      │
└──────────────┴────────────┴─────────────┴──────────────┘

1.2 攻击规模

1
2
3
4
5
6
7
8
9
10
11
12
DDoS 攻击规模演进:

  2010:  100 Gbps
  2015:  500 Gbps
  2020:  1.5 Tbps(Mirai 变种)
  2023+: 5+ Tbps(UDP amplification)
  
  反射放大倍数:
  - DNS:  28-54x
  - NTP:  556x(最严重)
  - SSDP:  30x
  - Memcached: 51,000x(已被修复但仍可能)

2.1 SYN Flood 原理

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
正常 TCP 三次握手:

  Client                  Server
    |                       |
    |--- SYN (seq=x) ------>|  ← 分配连接资源(SYN queue)
    |                       |
    |<-- SYN+ACK (seq=y,    |
    |     ack=x+1) ---------|
    |                       |
    |--- ACK (ack=y+1) ----->|  ← 移动到 accept queue
    |                       |
    |     Connection        |
    |     Established       |

SYN Flood 攻击:

  Attacker                Server
    |                       |
    |--- SYN 1 ------------>|  ← 分配资源
    |--- SYN 2 ------------>|  ← 分配资源
    |--- SYN 3 ------------>|  ← 分配资源
    |  ... 百万次 SYN ...   |
    |                       |  ← 资源耗尽,无法响应合法连接
    |   (不发送 ACK)        |
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
SYN Cookie 思想:
  - 不为半开连接分配资源
  - 在 SYN+ACK 的 seq 字段中编码信息
  - 收到合法 ACK 时验证 seq 中的"cookie"

seq 编码(32 bit):
  ┌───────────┬──────────┬──────────┐
  │ 低 5 bit  │  中 3 bit │  高 24 bit│
  │  t mod 32 │  mss 编码  │  hash     │
  └───────────┴──────────┴──────────┘
  
  - 低 5 bit: 服务器启动时间 t mod 32
  - 中 3 bit: MSS 编码(最多 8 种)
  - 高 24 bit: hash(saddr, daddr, sport, dport, t)
    = HMAC 截断前 24 bit

  验证:
  - ACK 中的 seq - 1 = cookie
  - 重新计算 hash,比对
  - 同时检查 t mod 32 防止重放
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
// Linux 内核 SYN Cookie 实现(简化)
#include <crypto/siphash.h>

static siphash_key_t syncookie_secret;  // 启动时随机生成

#define COOKIEBITS 24
#define COOKIEMASK (((u32)1 << COOKIEBITS) - 1)
#define COOKIE_MAXAGE 4  // TCP 时间戳模式 64

static u32 cookie_hash(u32 saddr, u32 daddr, u16 sport, u16 dport,
                     u32 count, u32 t)
{
    // siphash
    return siphash_4u32(saddr, daddr, ((u32)sport << 16) | dport, count, &syncookie_secret) &
           COOKIEMASK;
}

static u32 syn_cookie_value(u32 saddr, u32 daddr, u16 sport, u16 dport,
                            u32 t, u32 mssind)
{
    return (t & COOKIEBITS) | (mssind << COOKIEBITS) |
           (cookie_hash(saddr, daddr, sport, dport, 0, t) << (COOKIEBITS + 3));
}

// 生成 SYN+ACK 的 seq
static u32 syn_cookie(u32 saddr, u32 daddr, u16 sport, u16 dport,
                     u32 sseq, u32 t, u32 mssind)
{
    return syn_cookie_value(saddr, daddr, sport, dport, t, mssind);
}

// 验证 ACK 中的 seq
static int syn_cookie_check(u32 cookie, u32 saddr, u32 daddr,
                           u16 sport, u16 dport, u32 sseq,
                           u32 t, u32 mssind)
{
    u32 value = syn_cookie_value(saddr, daddr, sport, dport, t, mssind);

    if (cookie == value)
        return 0;  // 合法

    // 尝试时间戳模式(更宽松)
    if (sysctl_tcp_timestamps) {
        u32 diff = t - ((cookie >> 26) & 0x1F);
        if (diff < COOKIE_MAXAGE) {
            value = syn_cookie_value(saddr, daddr, sport, dport, t - diff, mssind);
            if (cookie == value)
                return 0;
        }
    }
    return -1;  // 非法
}
1
2
3
4
5
6
7
8
9
10
# 查看当前状态
cat /proc/sys/net/ipv4/tcp_syncookies
# 0=禁用 1=启用 2=被动启用(仅在压力大时)

# 启用
echo 1 | sudo tee /proc/sys/net/ipv4/tcp_syncookies

# 永久生效
echo "net.ipv4.tcp_syncookies = 1" | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

3. XDP SYN Proxy

3.1 架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
XDP SYN Proxy 架构:

  Attacker            XDP Proxy              Real Server
    |                    |                       |
    |--- SYN ----------->|                       |
    |                    |   1. 验证攻击          |
    |                    |   2. SYN Cookie 生成  |
    |<-- SYN+ACK (cookie)|   ← 不传递给后端      |
    |                    |                       |
    |--- ACK (cookie) --->|                      |
    |                    |  3. 验证 cookie        |
    |                    |  4. 重新发起到后端     |
    |                    |----- SYN ------------>|
    |                    |                       |
    |                    |     (后续正常代理)     |

  优势:
    - 后端看不到攻击流量
    - 资源消耗极低
    - 内核级处理(极快)

3.2 完整实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
// xdp_synproxy.bpf.c
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <bpf/bpf_helpers.h>
#include <bpf/bpf_endian.h>
#include <bpf/bpf_helpers.h>

// 配置:代理配置
struct {
    __uint(type, BPF_MAP_TYPE_ARRAY);
    __uint(max_entries, 1);
    __type(key, u32);
    __type(value, struct {
        u32 real_saddr;       // 真实服务器 IP
        u16 real_dport;       // 真实服务器端口
        u16 vport;            // VIP 端口
    });
} proxy_config SEC(".maps");

// 计数器
struct {
    __uint(type, BPF_MAP_TYPE_PERCPU_ARRAY);
    __uint(max_entries, 8);
    __type(key, u32);
    __type(value, u64);
} stats SEC(".maps");

// 速率限制(每个源 IP)
struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, 65536);
    __type(key, u32);
    __type(value, u64);  // 上一秒时间戳
} rate_limit SEC(".maps");

// 简易 hash(生产用应使用 siphash)
static inline u32 simple_hash(u32 saddr, u16 sport) {
    u32 h = saddr * 2654435761U;
    h ^= sport;
    h *= 2654435761U;
    h ^= h >> 16;
    return h;
}

// 速率限制(每秒最多 100 个 SYN)
static int is_rate_limited(u32 saddr) {
    u64 *last = bpf_map_lookup_elem(&rate_limit, &saddr);
    u64 now = bpf_ktime_get_ns();

    if (last && (now - *last) < 10000000ULL) {
        // 10ms 内已发过 SYN(> 100 pps)
        return 1;  // 限速
    }

    if (!last) {
        bpf_map_update_elem(&rate_limit, &saddr, &now, BPF_ANY);
    } else {
        *last = now;
    }
    return 0;
}

// SYN Cookie 计算(简化)
static inline u32 syn_cookie(u32 saddr, u16 sport, u16 dport) {
    u32 h = simple_hash(saddr, sport);
    h ^= dport;
    h ^= bpf_get_smp_processor_id() << 16;  // 加扰
    return h & 0xFFFFFF;  // 24 bit cookie
}

// 验证 cookie
static inline int check_cookie(u32 saddr, u16 sport, u16 dport, u32 cookie) {
    return (syn_cookie(saddr, sport, dport) == cookie);
}

SEC("xdp")
int xdp_synproxy(struct xdp_md *ctx) {
    void *data = (void *)(long)ctx->data;
    void *data_end = (void *)(long)ctx->data_end;

    struct ethhdr *eth = data;
    if ((void *)(eth + 1) > data_end)
        return XDP_PASS;

    if (eth->h_proto != bpf_htons(ETH_P_IP))
        return XDP_PASS;

    struct iphdr *ip = (void *)(eth + 1);
    if ((void *)(ip + 1) > data_end)
        return XDP_PASS;

    if (ip->protocol != IPPROTO_TCP)
        return XDP_PASS;

    struct tcphdr *tcp = (void *)ip + (ip->ihl * 4);
    if ((void *)(tcp + 1) > data_end)
        return XDP_PASS;

    u8 tcp_flags = tcp->tcp_flags & 0x3F;
    int is_syn = (tcp_flags & RTE_TCP_SYN_FLAG) && !(tcp_flags & RTE_TCP_ACK_FLAG);
    int is_ack = (tcp_flags & RTE_TCP_ACK_FLAG) && !(tcp_flags & RTE_TCP_SYN_FLAG);

    // 读取配置
    u32 key = 0;
    struct {
        u32 real_saddr;
        u16 real_dport;
        u16 vport;
    } *cfg = bpf_map_lookup_elem(&proxy_config, &key);
    if (!cfg) return XDP_PASS;

    // 只代理指定 VIP 端口的 TCP
    if (tcp->dest != cfg->vport && bpf_ntohs(tcp->dest) != cfg->vport) {
        return XDP_PASS;  // 非代理端口
    }

    if (is_syn) {
        // === SYN 包:速率限制并生成 cookie ===

        // 速率限制检查
        if (is_rate_limited(ip->saddr)) {
            u32 k = 1;  // STAT_RATE_LIMITED
            u64 *c = bpf_map_lookup_elem(&stats, &k);
            if (c) (*c)++;
            return XDP_DROP;  // 攻击,丢弃
        }

        // 修改为 SYN+ACK 回送
        // 1. 交换 MAC
        u8 tmp_mac[6];
        memcpy(tmp_mac, eth->h_source, 6);
        memcpy(eth->h_source, eth->h_dest, 6);
        memcpy(eth->h_dest, tmp_mac, 6);

        // 2. 计算 cookie 作为 ACK seq
        u32 cookie = syn_cookie(ip->saddr, tcp->source, tcp->dest);
        tcp->ack_seq = bpf_htonl(bpf_ntohl(tcp->seq) + 1);
        tcp->seq = bpf_htonl(cookie);

        // 3. 设置 SYN+ACK 标志
        tcp->tcp_flags = 0x12;  // SYN=1, ACK=1

        // 4. 交换 IP
        u32 tmp_ip = ip->saddr;
        ip->saddr = ip->daddr;
        ip->daddr = tmp_ip;

        // 5. 端口交换
        u16 tmp_port = tcp->source;
        tcp->source = tcp->dest;
        tcp->dest = tmp_port;

        // 6. 校验和
        tcp->check = 0;
        ip->check = 0;
        tcp->check = bpf_csum_diff();  // 需要补全
        ip->check = bpf_csum_diff();

        u32 k = 2;  // STAT_SYN_PROXIED
        u64 *c = bpf_map_lookup_elem(&stats, &k);
        if (c) (*c)++;

        return XDP_TX;  // 发回
    }

    if (is_ack) {
        // === ACK 包:验证 cookie 后转发到后端 ===

        // 从 seq - 1 提取 cookie
        u32 cookie = bpf_ntohl(tcp->seq) - 1;

        if (!check_cookie(ip->saddr, tcp->source, tcp->dest, cookie)) {
            return XDP_DROP;  // 非法
        }

        // 修改目的为真实服务器
        ip->daddr = cfg->real_saddr;
        tcp->dest = cfg->real_dport;

        // 重新计算校验和
        tcp->check = 0;
        ip->check = 0;
        // 重新计算(略)

        u32 k = 3;  // STAT_ACK_FORWARDED
        u64 *c = bpf_map_lookup_elem(&stats, &k);
        if (c) (*c)++;

        return XDP_PASS;  // 传递给协议栈,最终到后端
    }

    return XDP_PASS;
}

char LICENSE[] SEC("license") = "GPL";
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
// 完整的 SYN Cookie(参考 Linux 内核)
#include <linux/bpf.h>
#include <bpf/bpf_helpers.h>

// 实际生产应使用 siphash
// 这里用简化 hash

#define COOKIEBITS 24
#define COOKIEMASK ((1u << COOKIEBITS) - 1)

static u32 cookie_secret = 0x12345678;  // 启动时随机

static inline u32 my_hash(u32 a, u32 b) {
    u32 h = a * 0x9E3779B1U;
    h ^= b * 0x85EBCA77U;
    h = (h << 13) | (h >> 19);
    h *= 0xC2B2AE3DU;
    h ^= h >> 16;
    return h;
}

static inline u32 make_cookie(u32 saddr, u32 daddr,
                              u16 sport, u16 dport,
                              u32 sseq, u32 count) {
    u32 h = my_hash(saddr ^ cookie_secret, daddr);
    h ^= ((u32)sport << 16) | dport;
    h ^= sseq;
    h ^= count;
    return h & COOKIEMASK;
}

static inline int check_cookie(u32 cookie, u32 saddr, u32 daddr,
                                u16 sport, u16 dport, u32 sseq, u32 count) {
    return cookie == make_cookie(saddr, daddr, sport, dport, sseq, count);
}

4. 流量牵引与清洗架构

4.1 整体架构

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
DDoS 防护部署架构:

  正常流量                攻击流量
      |                      |
      ▼                      ▼
  ┌────────┐            ┌────────┐
  │ 入口 LB │            │ 入口 LB │
  │(BGP Anycast)         │        │
  └───┬────┘            └───┬────┘
      │                      │
      │                      ▼
      │                 ┌──────────┐
      │                 │ 牵引路由 │
      │                 │  BGP    │
      │                 └───┬──────┘
      │                     │
      │                     ▼
      │              ┌────────────┐
      │              │ 清洗中心   │
      │              │ (Scrubbing)│
      │              │  - SYN 验证│
      │              │  - 协议合规│
      │              │  - 限速    │
      │              │  - 信誉库  │
      │              └────┬───────┘
      │                   │
      │ 清洗后的合法流量    │
      │◄──────────────────┘


   真实业务

4.2 BGP 牵引

1
2
3
4
5
6
7
8
9
10
11
12
13
14
# === 正常路由 ===
# router1: 10.0.0.0/24 via 192.168.1.1
# 正常用户从 router1 进来

# === 攻击时牵引 ===
# 1. 在清洗中心路由器上发布更具体的路由
router-2# bird: route 10.0.0.0/25 via <清洗中心>  # 比 /24 更具体
router-2# bird: route 10.0.0.128/25 via <清洗中心>

# 2. 路由选择:最长前缀匹配 → 攻击流量流向清洗中心

# === 清洗后回注 ===
# 清洗后从清洗中心路由器:
route 10.0.0.0/24 via <业务网关>  # 通过 GRE/VXLAN 隧道

4.3 GRE 回注

1
2
3
4
5
6
7
8
9
10
11
# 清洗中心 → 业务网段
ip tunnel add gre-back mode gre \
    local <清洗中心> \
    remote <业务网关> \
    ttl 64

ip addr add 10.99.0.1/30 dev gre-back
ip link set gre-back up

# 路由
ip route add 10.0.0.0/24 dev gre-back

4.4 XDP 清洗实现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
// xdp_scrubber.bpf.c
#include <linux/bpf.h>
#include <linux/if_ether.h>
#include <linux/ip.h>
#include <linux/tcp.h>
#include <bpf/bpf_helpers.h>

// 黑名单(黑洞)
struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, 65536);
    __type(key, u32);   // 源 IP
    __type(value, u64);  // 过期时间
} blacklist SEC(".maps");

// 信誉库(IP 信誉)
struct {
    __uint(type, BPF_MAP_TYPE_LRU_HASH);
    __uint(max_entries, 1000000);
    __type(key, u32);
    __type(value, u8);  // 信誉分数 0-100
} reputation SEC(".maps");

// 检查包是否符合 TCP 协议规范
static int is_valid_tcp(struct tcphdr *tcp) {
    // TCP 头长度必须 ≥ 20
    if (tcp->doff < 5) return 0;

    // SYN 包不能有 payload
    if (tcp->syn && !tcp->ack) {
        if (tcp->doff > 5) return 0;  // 有选项可允许
    }

    // 标志位组合检查
    if (tcp->syn && tcp->fin) return 0;  // SYN+FIN 非法
    if (tcp->syn && tcp->rst) return 0;  // SYN+RST 非法
    if (tcp->fin && tcp->rst) return 0;  // FIN+RST 非法

    return 1;
}

SEC("xdp")
int xdp_scrubber(struct xdp_md *ctx) {
    void *data = (void *)(long)ctx->data;
    void *data_end = (void *)(long)ctx->data_end;

    struct ethhdr *eth = data;
    if ((void *)(eth + 1) > data_end)
        return XDP_PASS;

    if (eth->h_proto != bpf_htons(ETH_P_IP))
        return XDP_PASS;

    struct iphdr *ip = (void *)(eth + 1);
    if ((void *)(ip + 1) > data_end)
        return XDP_PASS;

    // 1. 黑名单检查
    if (bpf_map_lookup_elem(&blacklist, &ip->saddr)) {
        return XDP_DROP;
    }

    // 2. IP 头合法性
    if (ip->version != 4) return XDP_DROP;
    if (ip->ttl == 0) return XDP_DROP;
    if (ip->frag_off & bpf_htons(0x1FFF)) return XDP_DROP;  // 有碎片
    if (ip->frag_off & bpf_htons(0x4000)) {
        // DF=1(不分片)
    }

    // 3. TCP 包详细验证
    if (ip->protocol == IPPROTO_TCP) {
        struct tcphdr *tcp = (void *)ip + (ip->ihl * 4);
        if ((void *)(tcp + 1) > data_end)
            return XDP_DROP;

        if (!is_valid_tcp(tcp)) {
            return XDP_DROP;
        }
    }

    return XDP_PASS;
}

char LICENSE[] SEC("license") = "GPL";

5. 防护效果测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
# === 测试准备 ===

# 1. 安装 hping3
sudo apt install hping3

# 2. 加载 XDP 防护
sudo ip link set dev eth0 xdp obj xdp_synproxy.bpf.o sec xdp

# 3. 启动目标 HTTP 服务
python3 -m http.server 80 &

# 4. 启动 netcat 监听
nc -lnvp 80

# === 测试 1:SYN Flood 模拟 ===

# 1. 未防护前:发 1000 个 SYN,看是否能响应
for i in $(seq 1 1000); do
    hping3 -S -p 80 -c 1 10.0.0.1 2>/dev/null &
done
# 攻击期间,正常用户应能继续访问

# 2. 防护开启后
# (在另一台机器上)正常访问
curl http://10.0.0.1/  # 应该正常

# === 测试 2:SYN Cookie 验证 ===

# 1. 启动连接
hping3 -S -p 80 10.0.0.1
# 收到 SYN+ACK 后,记录 seq

# 2. 验证 cookie(用正确的 seq 发送 ACK)
# 实际测试比较复杂,需要解析 hping3 输出

6. 主流 DDoS 防护产品

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
云防护:
  - AWS Shield(基础/高级)
  - Cloudflare Magic Transit
  - Azure DDoS Protection
  - GCP Cloud Armor

硬件/软件方案:
  - Arbor Networks(业界领先)
  - Radware DefensePro
  - F5 ASM
  - A10 Thunder
  - Nexusguard

开源/自研:
  - FastNetMon(流量分析)
  - CrowdSec(行为分析)
  - XDP/eBPF 自研(云原生)

7. 性能基准

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
XDP SYN Proxy 性能(10GbE,64B 包):

  无防护(基线):
    - 14.88 Mpps
    - SYN 队列耗尽 → 合法连接失败

  XDP SYN Cookie:
    - 14.5 Mpps(基本无损耗)
    - 攻击时仍能处理合法 SYN

  混合 SYN Proxy + 速率限制:
    - 14.0 Mpps
    - 攻击期间性能下降 < 5%
    - 后端完全无感

  对比 iptables:
    - iptables: 1-3 Mpps(syncookies 模式)
    - XDP: 14 Mpps(5-10x 性能提升)

展开全文 >>

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

主要涉及技术:
Java后端开发、Linux开发、
公众号开发、开源爱好者、Linux

联系QQ:562054870