Transcription of Le Protocole OpenFlow dans l’Architecture SDN …
1 Copyright EFORT 2016 1 Le Protocole OpenFlow dans l Architecture SDN (Software Defined Network) EFORT 1. Introduction Dans le fonctionnement actuel des r seaux IP, chaque quipement de r seau (routeur IP, commutateur Ethernet, Firewall, load balancer, syst me de d tection d intrusion, NAT, etc.) ex cute ses fonctions du plan de contr le et du plan de donn es. SDN (Software Defined Network) propose de cr er un point central qui g re le plan de contr le, tandis que les commutateurs/routeurs physiques n ont plus prendre en charge que le plan de donn es. Pour ce faire, l Open Networking Foundation (ONF) a publi OpenFlow . Il s agit d un Protocole standard utilis par le contr leur pour transmettre au commutateur des instructions qui permettent de programmer leur plan de donn es et d obtenir des informations de ces commutateurs afin que le contr leur puisse disposer d une vue globale logique (abstraction) du r seau physique. Cette vue est utilis e pour toutes les d cisions que doit prendre le plan de contr le (routage, filtrage de trafic, partage de charge, traduction d dresse, etc).
2 Le contr leur SDN fournit une API aux applications SDN qui inclut cette vue globale. Ces applications impl mentent, via le contr leur, des services tels que le routage de flux, la mise en uvre de politiques de QoS pour les flux, la s curit de bout en bout des flux, le filtrage de flux, etc. Cette approche permet une mise en uvre flexible et rapide de nouvelles applications r seau qui mules les appliances r seau. Le but de ce tutoriel est d introduire la gen se d OpenFlow , d crire un commutateur OpenFlow ainsi que sa table de flux, pr senter les messages OpenFlow et d crire des call flows associ s. 2. La gen se d OpenFlow L histoire d OpenFlow est int ressante et permet de mieux comprendre son r le fondamental dans la conception de l architecture SDN (Software Defined Network) et la virtualisation des fonctions r seau. OpenFlow a t initi comme un projet l universit de Stanford lorsqu un groupe de chercheurs exploraient la mani re de tester de nouveaux protocoles dans le monde IP (cr er un r seau exp rimental confondu avec le r seau de production) mais sans arr ter le trafic du r seau de production lors des tests.
3 C est dans cet environnement que les chercheurs Stanford ont trouv un moyen de s parer le trafic de recherche du trafic du r seau de production qui utilisent le m me r seau IP. Ils ont d couvert que bien que les constructeurs de mat riel r seau concevaient leurs produits diff remment, tous utilisaient des tables de flux (flow table) afin d implanter les services r seau tels que les NATs, la QoS, les firewalls, les syst mes de deep packet inspection, etc. Par ailleurs, bien que l implantation des tables de flux diff rait entre ces constructeurs, les chercheurs ont d couvert qu ils pouvaient exploiter un ensemble de fonctions communes. Le r sultat de l quipe de recherche Stanford a t OpenFlow , qui fournit un Protocole ouvert (open protocol) qui permet aux administrateurs de r seau de programmer les tables de flux (flow tables) dans leurs diff rents routeurs IP et commutateurs Ethernet dans un but (dans le cas de Stanford) de s parer le trafic de recherche du trafic de production, chacun avec son ensemble de fonctionnalit s et caract ristiques de flux.
4 La figure 1 pr sente l architecture SDN et la place d OpenFlow . La couche infrastructure contient les l ments de r seau responsable de l acheminement du trafic et qui supportent le Protocole OpenFlow qu ils partagent avec le contr leur. La couche de contr le est logicielle, bas e sur le contr leur SDN qui offre une visibilit globale du r seau et des quipements d infrastructure. La couche applicative apporte l automatisation des applications au travers du r seau l aide d interfaces programmables ouvertes. Copyright EFORT 2016 2 Figure 1 : Architecture SDN 3. Structure d un commutateur OpenFlow Les commutateurs Ethernet et les routeurs les plus modernes contiennent des tables de flux qui sont utilis es pour effectuer des fonctions de transfert selon les couches 2,3 et 4, indiqu es dans les en-t tes de paquets. Bien que chaque fournisseur ait des tables de flux diff rentes, il existe un ensemble commun de fonctions pour une large gamme de commutateurs et de routeurs.
5 Cet ensemble commun de fonctions est mis profit par OpenFlow , Protocole entre un contr leur central OpenFlow et un commutateur OpenFlow et qui, comme indiqu , peut tre utilis pour programmer la logique de transfert ou d acheminement du commutateur. La figure ci-dessus d crit les fonctions r alis es par les quipements de r seau du plan de donn es (data plane) aussi appel s commutateurs au sens g n rique. Les principales fonctions des commutateurs sont les suivantes : Fonction de support du contr le (Control support function) : Interagit avec la couche contr le SDN afin de supporter la programmabilit via les interfaces ressource-contr le. Le commutateur communique avec le contr leur et le contr leur g re le commutateur avec le Protocole OpenFlow . OpenFlow peut tre utilis aussi bien pour du contr le que pour de la gestion. Fonction d acheminement des donn es (Data forwarding function) : Accepte les flux de donn es entrants provenant d autres quipements de r seau et des syst mes de terminaison et les relaie sur un chemin de commutation qui a t calcul et tabli partir des r gles d finies par les applications SDN, pass es au contr leur et redescendues au Ces r gles d acheminement des donn es (data forarding rules) sont pr sentes dans les tables d acheminement (forwarding tables).
6 Ces r gles indiquent pour des cat gories de paquet donn es quel doit tre le prochain saut sur la route. Le commutateur peut par ailleurs modifier l en-t te du paquet avant son acheminement, ou rejeter le paquet. Comme montr la figure 2, les paquets arrivant sont plac s dans une file d attente en entr e, attendant leur traitement par le commutateur; les paquets achemin s sont plac s dans une file d attente en sortie, avant d tre transmis. Le commutateur la figure 2 dispose de trois ports d entr e/sortie : Un port fournissant la communication de contr le avec un contr leur SDN, et deux autres ports pour les entr es et sorties de paquets de donn es. Il s agit d un exemple simple. Le commutateur peut disposer de plusieurs ports pour communiquer avec plusieurs contr leurs SDN, et de plus de 2 ports pour les paquets de donn es entrant et sortant du commutateur. Copyright EFORT 2016 3 Les flux de donn es consistent en des flux de paquets IP.
7 Il peut tre n cessaire pour la table d acheminement (forwarding table) de d finir des entr es sur la base de champs d en-t te de Protocole de couche sup rieure, tel que TCP, UDP, SCTP ou Protocole d application. Le commutateur analyse l en-t te IP et si n cessaire d autre en-t tes dans chaque paquet et prend une d cision pour son acheminement. L autre flux de donn es important est via l interface sud (southbound) consistant en le Protocole OpenFlow ou tout Protocole quivalent m me si OpenFlow est le Protocole de r f Flux de paquetsde donn es :TCP/IP, UDP/IP ouautres/IPFlux de paquetsde donn es :TCP/IP, UDP/IP ouautres/IPForwardingtablesForwarding logic(dispatching logic)Southbound API logicInput queueOutput queueOutput queueInput queueControl Flows( , OpenFlow /TLS/TCP/IP) Figure 2 : Commutateur OpenFlow La figure 3 d crit les fonctions du commutateur OpenFlow et sa relation au contr leur. Comme attendu dans un commutateur de paquet, la fonction de base est de recevoir les paquets qui arrivent sur un port (Chemin X sur port 2 sur la figure 3) et les relayer via un autre port (Port N sur la figure 3) en r alisant toute modification n cessaire sur les paquets sur le chemin.
8 La fonction de correspondance de paquet (packet-matching function) est tr s importante dans le commutateur OpenFlow . La table adjacente est une table de flux La fl che gris e sur le chemin commence dans la logique de d cision, montre une correspondance avec une entr e particuli re dans la table de flux, et dirige le paquet pour lequel une correspondance a t trouv e une case action sur la droite. Cette case action a trois options de base pour le traitement du paquet arriv : A. Relayer le paquet sur un port de sortie, avec auparavant la possibilit de modifier certains champs d en-t te du paquet. B. Supprimer le paquet C. Passer le paquet au contr leur. Le paquest est encapsul dans un message OpenFlow PACKET_IN. Ces trois chemins fondamentaux pour le paquet sont illustr s ci-dessus. Dans le cas du chemin C, le paquet est pass au contr leur via un canal s curis montr la figure. Si le contr leur a soit un message de contr le ( mettre hors service un port du commutateur) ou un paquet de donn es fournir au commutateur, le contr leur utilise ce m me canal s curis dans le sens inverse.
9 Lorsque le contr leur a un paquet de donn es relayer via le commutateur, il utilise le message OpenFlow PACKET-OUT. Sur la figure 3, un paquet de donn es provenant du contr leur peut suivre deux chemins, d not s Y via la logique OpenFlow . Dans le cas du chemin Y de droite; le contr leur sp cifie directement le port de sortie et le paquet est pass ce port N. Dans le cas du chemin Y de gauche, le contr leur indique qu il souhaite d l guer la d cision de transfert du paquet la logique de correspondance de paquet. Le contr leur stipule alors le port de sortie TABLE pour le Copyright EFORT 2016 4 traitement du paquet par la fonction de correspondance de paquet et l identification par ce traitement du port de sortie. Un commutateur OpenFlow peut tre uniquement OpenFlow ou hybride. Dans ce dernier cas, le commutateur peut aussi commuter les paquet selon son mode traditionnel comme commutateur Ethernet ou routeur IP. Le cas hybride peut tre vu comme un commutateur OpenFlow qui r side c t d un commutateur traditionnel et ind pendant.
10 Ce type de commutateur hybrique requiert un m canisme de classification qui soit dirige les paquets au contr leur OpenFlow , soit les traite de mani re traditionnelle. Figure 3 : Fonctions du commutateur OpenFlow La sp cification OpenFlow d finit le concept de port OpenFlow . Il s agit d un port physique dans OpenFlow Pendant de nombreuses ann es, les commutateurs ont support de nombreuses files d attente par port physique. Ces files d attente sont servies par des algorithmes d ordonnancement qui contribuent fournir diff rents niveaux de QoS pour diff rents types de paquet. OpenFlow prend en compte ce concept et permet au flux d tre envoy sur une file d attente d j d finie sur un port de sortie. La sortie du paquet sur un port N peut inclure le num ro de file d attente du port N dans laquelle placer le paquet. Copyright EFORT 2016 5 Figure 4 : Port Physique et fie d attente OpenFlow Table de flux Chaque table de flux du commutateur contient un ensemble d entr es de flux qui pr sentent les r gles d acheminement des paquets.
