2. 程式人生 > >openflow流表項中有關ip掩碼的匹配的問題(控制器為ryu)

openflow流表項中有關ip掩碼的匹配的問題(控制器為ryu)

阿新 發佈:2019-10-29

一.寫在前面

  唉,被分配到sdn安全方向,頂不住,頂不住,感覺搞不出來什麼有搞頭的東西。可若是讓我水水的應付,我想我也是做不到的,世上無難事只怕有心人。好了,進入正題,本次要討論的時一個比較細節的東西,在流表項中的有關ip掩碼的問題。對了,本文適合於,有一定基礎的openflow使用者,一點點就行。

二、問題描述

  若不是機緣巧合,我甚至完全不會注意到這個問題,為什麼,咱來看一個平時實驗環境中最為常見的流表項長啥樣,如圖1

  

                                                           圖1 常見的流表項

  當我剛開始學習openflow的時候,我看到的就是這樣的流表項,當時我一度以為“喔,這和路由表中的表項是不同的,連掩碼都沒有,sdn是新型網路的架構設計,應該拋棄了原來的網路架構,可能連掩碼都不用使用了”。其實稍微深入想一想就可以發現這個想法根本佔不住腳,從實際運用的角度,現在ip網根深蒂固,sdn若想要商業化,必須是要以融入ip網為前提,那麼就肯定要考慮在傳統網路中具有重大作用的ip掩碼了,其次流表項裡都有ip地址了,怎麼可能不去考慮ip掩碼的問題,若不考慮,跨網段通訊如何解決?

  直到我在學習ryu防火牆的時候,這個問題的再次出現,才讓我恍然大悟,也順理成章的解決了它。現在來看一下在ryu的防火牆應用中看到的流表項,如圖2:

  

 

                                                         圖2 ryuf防火牆中的流表

  有沒有覺得流表中的ip地址有些奇怪,對,確實挺奇怪的,但真正奇怪的點在於,這條流表項的產生使用的curl命令為:curl -X POST -d ’{“nw_src”:"10.0.0.1/8","nw_dst:"10.0.0.2/8"}‘ http://localhost:8080/firewall/rules/0000000000000001。沒錯,你沒有看錯curl命令中的10.0.0.1/8到達流表項後變為10.0.0.0/8了。先別急這考慮為什麼,咱再做個實驗,這次curl 的命令為curl -X POST -d curl -X POST -d ’{“nw_src”:"10.0.0.1/32","nw_dst:"10.0.0.2/32"}‘ http://localhost:8080/firewall/rules/0000000000000001,這個curl也是ryu官方文件中的樣例,實驗後流表項為圖3

  

 

 

                 圖3 ryuf防火牆中的流表

 

  圖3中的流表項和curl中表達的一致,等等圖3中的流表項是不是在哪見過?對,和最開始圖1中的一樣,接下來我們開始根據這三張圖的內容進行分析

 

三、猜想與實驗論證

 

  首先圖3中的實驗,我們使用的掩碼是32位的,我是從未見過有32位的掩碼,所以從這點可以看出這裡的掩碼與我們常見的路由表中的掩碼肯定在概念上是有不同。其次我們再來看這個流表的效果,圖1、3可以匹配的僅為源ip為10.0.0.1,目的ip為10.0.0.2的ip,而圖2可以匹配的為10.0.0.0整個網段的主機,再考慮這是防火牆的應用,肯定是既需要同時考慮整個網段也需要考慮單獨的主機。現在再來看看圖2的流表是怎麼得到的,curl中寫的是10.0.0.1/8 再流表中變為10.0.0.0/8,是不是很像10.0.0.1與255.0.0.0想與得到的結果?

 

      對,就是這樣的,通過檢視ryu的原始碼發現,就是將你所輸入的ip原始碼和掩碼做了與操作。在資料包到達ovs之後也是先與掩碼做與操作,再和ip匹配。因此如果在防火牆應用階段如果你想表達整個網段的的ip地址,就是用低於32的掩碼即可,也就是說照常用,如果你僅僅只想表達兩個主機間的禁止或允許,有兩種表達方式,分別就是圖1和圖3,圖1中是在curl中寫的“10.0.0.1”,沒有寫掩碼的位數,圖3中是在curl中寫的“10.0.0.1/32”,寫的32位掩碼,32位的掩碼與任何ip與的結果都是其本身。

 

  能讀到這的都是勇士。到現在不知你心裡是否有個疑惑,不管你有沒有,反正我是有。疑惑在於圖1與圖3,圖1的curl語句沒有寫掩碼在流表中的效果卻和圖3中寫了32位掩碼效果一樣,這是不是意味著如果不寫掩碼,那麼預設的掩碼就是32位的?

 

不是這樣的,如何證明這個結論,抓包。wireshark 抓取圖1和圖3控制器下發的flow-mod資訊如圖4和圖5:使用的curl命令的ip地址分別位10.0.0.0和10.0.0.0/32

 

 

                  圖4 無掩碼的情況

 

     圖5 32位掩碼的情況

從圖4和圖5可以看出,是有個欄位has mask 控制著是否使用掩碼,在不使用掩碼的時候,也是沒有預設掩碼這一說法,此時就是精確匹配。比如說在不使用掩碼時curl中的ip地址你寫的是10.0.0.0,就意味者只能匹配一臺ip地址為10.0.0.0的主機,而不是匹配整個網段!

四、結論

1.掩碼匹配的情況,總體可分為兩種,使用掩碼或者不使用,不使用掩碼,並不是有預設掩碼的存在。

2.在不使用掩碼的時候,就是完全精確匹配,IP地址要一摸一樣。

3.使用掩碼時,無論是使用curl下發流表還是ovs中的流表匹配都是單純的ip地址與掩碼的與操作,所以會有32掩碼的存在,32位的掩碼就是想表達單個主機,若想表達網段就使用低於32位的掩碼。

&n

相關推薦

openflow有關ip匹配的問題(控制器ryu)

一.寫在前面   唉,被分配到sdn安全方向,頂不住,頂不住,感覺搞不出來什麼有搞頭的東西。可若是讓我水水的應付,我想我也是做不到的,世上無難事只怕有心人。好了,進入正題,本次要討論的時一個比較細節的東西,在流表項中的有關ip掩碼的問題。對了,本文適合於,有一定基礎的openflow使用者,一點點就行。 二、

Neutron 理解 (4): Neutron OVS OpenFlow 和 L2 Population [Netruon OVS OpenFlow tables + L2 Population]

學習 Neutron 系列文章:       OVS bridge 有兩種模式:“normal” 和 “flow”。“normal” 模式的 bridge 同普通的 Linux 橋,而 “flow” 模式的 bridge 是根據其流表(flow tab

openflow分析(草稿)

OVS bridge 有兩種模式:“normal” 和 “flow”。“normal” 模式的 bridge 同普通的 Linux 橋,而 “flow” 模式的 bridge 是根據其流表(flow tables) 來進行轉發的。Neutron 使用兩種 OVS bridge:br-int 和 br-tun。

openvswitch--OpenFlow 設定

流規則組成 每條流規則由一系列欄位組成,分為基本欄位、條件欄位和動作欄位三部分: 基本欄位包括生效時間duration_sec、所屬表項table_id、優先順序priority、處理的資料包數n_packets,空閒超時時間idle_timeout等

MFC判斷IP地址輸入框是否

void CTRDlg::DoDataExchange(CDataExchange* pDX) { CDialogEx::DoDataExchange(pDX); DDX_Control

根據IP/位獲取IP的起始範圍、IP總數、IP屬不屬於某個網段或者列印網段內所有的IP

import java.math.BigDecimal; import java.util.ArrayList; import java.util.List; import java.util.regex.Pattern; public class IpUtil {  

SparkSQL實現查詢Hive集合的多個元素匹配

#encodig=utf-8 # _*_ coding:utf-8 _*_ # Writer : byz # dateTime : 2016-08-3 import sys sys.path.append("/home/mysql1/anqu/python/c

微信公眾平臺臨時二維的scene_id32位非0整型

原文: 微信公眾平臺中臨時二維碼的scene_id為32位非0整型                                 &

子網IP地址的重要意義

      筆者近日在閱讀《TCP/IP協議卷1》時,閱讀到有關子網掩碼的知識,書本上所講難以理解,於是查閱網上資料和自己思考得出一些結論。       首先,什麼是子網掩碼?對於一個B類IP地址而

2.IP地址劃分以及VLAN劃分

具體劃分圖表 1、IP地址劃分,使用子網劃分來對每個部門進行規劃,每一個部門單獨一個24位的子網斷,保證連續性,即使後續有新增加的員工,24位有254個地址,可以保證能正常使用,並且連續性可以方便做彙總、與一些策略的控制。        部門          

有關PHP input type型別的介紹

1、在學習PHP過程中,會經常遇到建立各種各樣的表單,比如說以上傳一個檔案為例子: 注意:在<form>標記中,必須設定屬性enctype=“multipart/form-data”,這樣伺服器可以知道上傳檔案帶有的常規的表單資訊 必須有一個可以設定上傳檔案最

IP地址段與子網計算

    掩碼位數 子網數 十進位制掩碼 IP數 參考可用IP數 0 1 0 0 0 0 4294967296 4

設定centos7的mysql5.7不區分名大小寫有關操作

1、#which mysqld          //檢視mysql的命令路徑 /usr/sbin/mysqld 2、#/usr/sbin/mysqld --verbose --help | grep

解決antdeisgn的formcheckbox無法初始化的問題

Form表單的單一FormItem定義如下: <FormItem label="是否啟用" {...formItemLayout}> {getFieldDecorator('useable',{

計算機網路: IP地址,子網,網段表示法,預設閘道器,DNS伺服器詳解 楔子:   以Windows系統IP地址設定介面參考(如圖1), IP地址, 子網, 預設閘道器 和 DNS伺服器,

楔子:   以Windows系統中IP地址設定介面為參考(如圖1), IP地址, 子網掩碼, 預設閘道器 和 DNS伺服器, 這些都是什麼意思呢?        學習IP地址的相關知識時還會遇到網路地址,廣播地址,子網等概念,這些又是什麼意思呢 ? 一 IP地址 概述 計算機要實現網路通訊,就必須要有

織夢dedecms自定義設定必填的方法

  找到檔案plus/diy.php,大概在40行左右搜尋: $dede_fields = empty($dede_fields) ? '' : trim($dede_fields);   在後面加上以下程式碼: //增加必填欄位判斷 if($re

單驗證-Validform驗證ip是否存在

html: <form id="formobj"> <input id="hostIp" name="hostIp" type="text" errormsg="ip不存在"

將IDEA mavensrc源代下的xml等資源文件編譯進classes文件夾

默認 文件的 ips src directory htm 文件夾 ref 編譯 如題,IDEA的maven項目中,默認源代碼目錄下的xml等資源文件並不會在編譯的時候一塊打包進classes文件夾,而是直接舍棄掉。 如果使用的是Eclipse,Eclipse的src目錄下

關於formbutton按鈕自動提交問題

courier tex w3c line 自動提交 get style href span 坑:點擊確認按鈕,form表單提交2次,發送後臺2次請求    //錯誤代碼: <Button id="btnSubmit" name="btnSubmit" cla

求兩IP是否在同一局域網(運子網用)

反思 logs class 與操作 mas ostream return 運用 pause #include <iostream>#include <stdlib.h> #include <string> #include <ss