ETegro_Technologies 8 дек 2014 в 11:37

OpenFlow: текущее состояние, перспективы, проблемы

7 мин

23K

Блог компании ETegro TechnologiesIT-стандарты*

+13

Комментарии 12

amarao 8 дек 2014 в 20:24

Скажите мне, пожалуйста, ответ на главный вопрос: в openflow есть возможность упреждающей загрузки правил с запретом отправки пакетиков на инспекцию?

То, что я видел — выглядело как влажный ночной кошмар сетевого администратора, когда незнакомые flow отправляются на инспекцию. Влажный — это udp. Ночной — это завёрнутыми в TCP и SSL. Кошмар — это когда таких придёт несколько гигабит.

ilukyanov 8 дек 2014 в 21:13

Это можно сделать даже несколькими разными способами: поставить флаг OFPPC_NO_PACKET_IN на конкретный порт, либо поставить table-miss правило с пустым экшном (drop). Вообще многие кошмары, фобии и предрассудки относительно openflow отпадают сами собой при внимательном ознакомлении с их спецификацией. Другое дело, что не всякий свитч (особенно физический) поддерживает те или иные аспекты этой спецификации.

amarao 8 дек 2014 в 23:42

Как прекратить слать с помощью flow в табличке, я понимаю.

Скажите мне, можно ли на коммутатор _сначала_ загрузить правила через openflow, и только потом подпускать его к трафику?

Потому что я говорил с сетевыми товарищами, их интересует вариант, когда они flowtable для коммутатора по его портам могут грузить асинхронно от проходящего трафика, а не реактивно, по факту его появления. Для понимания, «товарищи» занимаются сетями с загрузкой по 500-2500Г на каждый маршрутизатор через быгыпы.

ilukyanov 9 дек 2014 в 00:00

Да, можно и нужно. За некоторыми исключениями использование реактивных флоу это признак кривого дизайна.

amarao 9 дек 2014 в 00:09

А можно конкретные примеры конфигураций? Я понимаю, что я могу пойти и почитать всё это, но вот по конкретному вопросу — мол, 40Г коммутатор фирмы «асус» цепляется к флоуконтроллеру с такими-то настройками, а коммутатор фирмы «дылинк» — вот с такими. А на контроллере вот такой минимальный конфиг.

Потому что пока что у меня от openflow, силами openvswitch (точнее, его нетлинка между dataplane и control plane, работавшем до некоторого времени в подобии openflow без звёздочек), крайне негативные впечатления.

xdeller 9 дек 2014 в 00:14

Для простейшего примера можно взять тестбед на опенвсвиче, положить туда статические правила форвардинга и нагрузить его трафиком, потом — повторить то же на любом коммутаторе с OF. OVS с dpdk способен вытянуть полсотни гигабит на обычном сервере, windriver на допиленном хвастаются двумя сотнями.

amarao 9 дек 2014 в 00:21

Дело не в том, чтобы «нагрузить трафиком», а в том, что OVS дох (мегафлоу, вроде, дело поправили, но rackspace на openstack summit говорил, что не до конца) даже в режиме без «openflow-контроллера».

Если же к этому добавить падающий openflow-контроллер, то за сеть становится страшно.

xdeller 9 дек 2014 в 00:27

Не хочу плохо говорить про рекспейс, но у них дохлый стек (тот, на котором они сейчас живут), и дикий eviction/addition rate, о ненужности чего было сказано ранее. Что они в той презентации навернули через xapi и зачем — непонятно. Они стучатся лбом о грабли реактивного подхода по кругу, проблемы неудивительны.

xdeller 9 дек 2014 в 00:22

Да, чтобы не повторяться в нюансах — тут все расписано. Сейчас мы выросли еще дальше, так как требуется процессить бОльшие объемы трафика, плюс сделали BGP redistribution.

beho1der 9 дек 2014 в 11:20

Интересно было бы посмотреть на практическую реализацию!

iostreamawm 9 дек 2014 в 13:45

кому интересно:
на coursera есть курс по sdn -> www.coursera.org/course/sdn, там про openflow тоже рассказывается

insekt 10 дек 2014 в 13:39

Хорошее видео том, что такое SDN с разных точек зрения (3 мин.)
www.youtube.com/watch?v=GRVygzcXrM0

Зарегистрируйтесь на Хабре, чтобы оставить комментарий