-写在前面的废话-
自从今年接触到了SDN(软件定义网络),就觉得进入了一个全新的领域。毕设做的Floodlight(一种Openflow控制器)更是一度让我觉得无从下手,概念理解的不透彻,安装中遇到奇奇怪怪的问题,第一次用ubuntu,几乎等于没有的中文资料,完全在官网上看英语自学,着实让我头疼了好久。虽然出国有一些时日了,但是依然是习惯看中文的资料学习,这个习惯看来是有必要改改了,大多数时候官网上给出的例子都十分有代表性,是学习的好地方。由于英语理解能力一般以及部分术语难以理解等原因,在学习floodlight和sdn前期花了不少功夫。最近刚刚看到一篇博文说总结项目也是取得进步的重要一环,于是回头看看自己的代码,真是不忍直视。虽说是第一次写python代码,代码量也不大,但现在看起来真的是乱糟糟一片,想修改都无从下手,正好借此写博客总结的机会,把代码总结修改一下,顺便学习一下github,把代码push上去。第一次写博客,第一次用markdown,第一次用github,最难的大概就是从0到1的过程吧,这应该也算是向着成为一个技术大牛的梦想上迈出了一步吧~如果文中有什么问题或疏漏,都欢迎指出讨论。
先给出逻辑框架图,然后每个模块逐步介绍。
整个系统可以简单的分为2个部分。左下角是虚拟网络和floodlight控制器,在虚线以内的是域名管理服务器模块。
普通的家庭路由器屏蔽网站一般是通过IP地址(说实话我也不知道现在的家用路由有什么高级功能),这样一来管理员如果想屏蔽某一类网址就不得不输入大量的IP地址,即浪费时间也不方便修改。所以这个项目中提出了通过域名和域名的标签(tags)来管理家庭网络。比如google和baidu的标签都是“search engine”,那么我们把相应的主机屏蔽掉“search engine”,就能屏蔽掉大部分的搜索引擎,方便且容易修改。
我们用Mininet创建一个虚拟网络来进行模拟实验。当虚拟网络中的某个主机想访问某个域名时,它会首先发送一条DNS请求来获取该域名的IP地址,当Openflow交换机收到了DNS请求时,便会发送一条Packet_in消息给floodlight控制器,在控制器里这个DNS请求将会被解析,取出请求中的域名地址,然后发送给域名管理服务器。域名管理服务器会通过该域名的标签来判断该主机是否有权限访问相应的域名,然后返回一个Permit/Deny响应给floodlight控制器,如果是Permit,则该DNS请求则正常转发;如果是Deny,floodlight控制器会丢弃掉这条请求,该主机便无法访问此域名。
首先介绍虚拟网络和floodlight控制器部分。
环境:Ubuntu14.04.1;Mininet 2.2;Floodlight v1.2
Mininet 是轻量级的软件定义网络系统平台,同时提供了对 OpenFlow 协议的支持。通俗一点说就是,Mininet可以创建虚拟主机虚拟交换机实现虚拟网络。
安装教程链接在此
Mininet网上的中文教程其实很多了,就不再赘述,聊一聊折腾了好久的问题。其实安装Mininet时非常简单的,git clone之后install.sh -a就行。但是不知道为什么在我的ubuntu上一直安装失败。然后当我输入Mininet创建网络的指令的时候,他会提示
这时如果你按照提示通过apt-get安装Mininet,会默认安装Mininet2.1版本(当时最新的版本是2.2,apt-get默认2.1),而我需要使用2.2的一些新功能(后面会提到),只用将安装的指令改为install.sh -nfv就行,当初固执的想-all,结果浪费了好多时间。
Mininet安装好之后用sudo mn测试,会自动创建一个包含两个主机和一个交换机的虚拟网络。接下来是安装Floodlight控制器,官网链接在此
Floodlight是一种Java的Openflow控制器。SDN的核心理念之一便是控制模块和数据模块分开,Openflow控制器连在Openflow交换机上,交换机收到数据包后会发送Packet_in消息将数据包发送给Openflow控制器,经过处理后发送Packet_out消息返回给交换机,然后交换机进行转发。
Floodlight控制器安装好后下一步便是将控制器连接到Openflow交换机上,即由Mniniet创建的虚拟交换机。首先,我们需要用一段简单的python代码实现想要的拓扑结构。
#!/usr/bin/python
from mininet.topo import Topo
from mininet.net import Mininet
from mininet.node import RemoteController, Controller
from mininet.cli import CLI
from mininet.link import TCLink
from mininet.log import setLogLevel
class MyTopo(Topo):
def __init__(self):
Topo.__init__(self)
Host1 = self.addHost('Child_1', ip='10.0.0.1')
Host2 = self.addHost('Child_2', ip='10.0.0.2')
Host3 = self.addHost('Father', ip='10.0.0.3')
Host4 = self.addHost('Mother', ip='10.0.0.4')
switch1 = self.addSwitch('s1')
self.addLink(switch1, Host1)
self.addLink(switch1, Host2)
self.addLink(switch1, Host3)
self.addLink(switch1, Host4)
topos = {'mytopo': (lambda: MyTopo())}
在我们的拓扑图中,创建了四个主机和一个交换机,并且四个主机都直接连在交换机上。接下来在eclipse中运行floodlight,这时的floodlight还是没有任何功能的,可以看做一个正常的交换机。运行后用下面的命令创建网络拓扑并且连接floodlight到我们创建的虚拟交换机上。
sudo mn --custom MyTopo.py --topo mytopo --mac --nat --controller=remote,ip=127.0.0.1,port=6653
mn即创建拓扑;
--custom 使用自己定义的拓扑;
--mac 使mac地址简化;
--nat 使我们创建的网络可以连接到Internet,如果没有这条指令,我们创建的网络是没有连接的外网的,也就是无法ping通Internet的,--nat只有在2.2及以上版本才有;
--controller 选择虚拟网络的控制,因为我的Mininet和floodlight都在一台虚拟机上,所以IP地址是本机地址,端口6653,可能有些老版的教程还是6633,这里要注意下,已经统一改为6653端口了。
如图所示,我们的虚拟网络搭建好了,在eclipse的控制台中也能看到,已经连接上交换机。
但是依然高兴的太早,这时候使用Ping指令你会发现,依然是Ping不通外网的。
首先,我们用xterm进入任意一个host,然后进入/etc/resolv.conf这个配置文件,如图所示。
按下i修改这个配置文件,如果发现在修改过程中键盘失灵,请先安装vim。
将nameserver的ip地址改为8.8.8.8,这是Google提供的免费DNS服务器的IP地址,然后删掉后面的localdomain。接着按下esc,输入:wq保存退出,然后exit退出xterm,回到Mininet的命令行,重新执行Ping指令,我们会发现,现在已经可以Ping通了。
关于刚才修改文件的内容,第一行是默认的DNS服务器地址;第二行这个local domain我一直没有找到相关的资料,但是根据最后运行的结论我觉得,这个应该是本地缓存域名之类的,因为在后面的实验中,当我用floodlight控制器丢弃主机发送的DNS请求后,比如请求域名为www.baidu.com,主机收不到DNS响应后,会发送一条新的DNS请求,这时的请求域名变成了www.baidu.com.localdomain,如果删除了localdomain那一行,便不会有这条新的DNS请求。所以我猜测,这个localdomain应该是存在交换机上的域名-IP缓存,主机在第一次请求失败后,试图从交换机的缓存中取得请求域名的IP地址。
OK了~Mininet和floodlight的配置结束,下一步便是在floodlight中实现功能了。
