Upload File

お手軽 openflow traceroute

15
お手軽 OpenFlow Traceroute @atzm 2015/12/12 Tremaday #8

Upload: atzm

Post on 13-Jan-2017

931 views

Category:

Engineering


0 download

Report

TRANSCRIPT

Page 1: お手軽 OpenFlow Traceroute

お手軽 OpenFlow Traceroute

@atzm

2015/12/12 Tremaday #8

Page 2: お手軽 OpenFlow Traceroute

self

• ISP 勤務

– システム/ソフトウェア開発

– ここ最近は OpenFlow とか Overlay とか

– 対外 (趣味?) でもたまにネタがあれば

• Web ブラウザ上で L2 Learning Switch とか

• Linux カーネルの PF_PACKET 周りとか vxlan ドライバとか

• libpcap の Q-in-Q (IEEE 802.1ad) 対応とか

• etc…

著者近影

Page 3: お手軽 OpenFlow Traceroute

OpenFlow traceroute • 欲しかったもの

– ある L2 フレームの本番 flow entries に従った転送経路を調べたい • ethertype へのマッチ等はよく使うので IP には限定したくない

– OFC での静的解析ではなく,実際にフレームを流す動的解析がしたい

• 条件 – なるべく本番 flow entries に手を入れたくない

• 本番トラフィックが流れてる最中でも使えるのが理想だが…

– なるべく条件を緩くしたい (可搬性)

• 例えば「VLAN ID を 100 個ほどシステム予約します」とか… • 例えば「システム都合で 10,000 個ほど flow entries 突っ込みます」とか…

– なるべく vendor extensions は使いたくない (可搬性)

– 手軽に実装したい (人間の負荷)

– 手軽に使いたい (人間/機械の負荷)

Page 4: お手軽 OpenFlow Traceroute

related works

• アカデミアの偉大な先人達 – Stanford: “ndb” (SDN Debugger)

• flow entries を細工して,経路途中の OFS からデータを PACKET_IN • OFC で PACKET_IN データを集めて backtrace を生成

– IBM: “SDN Traceroute” • 経路途中の OFS から PACKET_IN するのは一緒だが, flow entry に細工せず済むように色々と頑張っている • 前段で OFS の隣接関係を調査し,更にグラフ彩色問題を解いて, 隣接 OFS が同色にならないようにする • 隣接 OFS の色の数ほどシステム側で flow entries を追加投入 • 色の数ほど VLAN PCP 値を (全体で) 予約

– 必ずしも PCP である必要はなく,本番で使わないフィールドなら何でも良い

– etc, etc, etc…

Page 5: お手軽 OpenFlow Traceroute

survey

• 欲しいものに一番近いのは IBM “SDN Traceroute”

– 前段で OFS の隣接関係 (トポロジ) 検出? • トポロジ情報がないと traceroute の実施ができない

– グラフ彩色?

• トポロジをグラフに見立てて OFS を色分け

• グラフ彩色問題と言えば NP 困難/完全の代名詞では… • トポロジが変化するとグラフ彩色やり直しになる

もうひと工夫すれば,グラフ彩色等せずとも実現できるのでは…?

Page 6: お手軽 OpenFlow Traceroute

strategy

• 基本構造は既存研究と同じで良い

OFS OFS OFS OFS

OFC

始点を指定してtraceroute 実行命令

Probe マーカに反応して PACKET_IN 以降繰り返し…

通過した OFS を報告

Probe マーカを付けたフレームを OFPP_TABLE 指定して

PACKET_OUT

※ もし転送と PACKET_IN を全部 OFS に任せる形にすると, OFS-OFC 間の遅延状況等次第で報告順が前後してしまう

Page 7: お手軽 OpenFlow Traceroute

study

• この場合 traceroute に必要な flow entry とは…

– 基本形は下記だが,何も考えずに投入すると…

priority=0xffff,<marker-field>=<reserved> actions=output:controller

OFS

OFC

Probe マーカを付けたフレームを OFPP_TABLE 指定して

PACKET_OUT

Probe マーカに反応して PACKET_IN

たいへん危険ですのでおやめください

Page 8: お手軽 OpenFlow Traceroute

review

• 外から来た probe と,controller から来た probe を判別するための「何か」が必要

– “SDN Traceroute” では,これを “色” で解決していた

• 隣接する OFS はそれぞれ別の色になっている • 自分以外の色でマークされた Probe だけ OFC へ渡す

• 必要な flow entry 数は,隣接 OFS の色の数 • 色の数ほど Probe マークのための値を (全体で) 予約

• この “色” を着けるために,トポロジ検出したりグラフ彩色問題を解いたりする必要があった

Page 9: お手軽 OpenFlow Traceroute

design

• “判別” に,外に出たら消えてしまうフィールドを用いれば良い!

– metadata • 一番使いやすく,side effect もない • 仕様上は set-field action が許可されるのは OF 1.5 から

– とはいえ OVS などは 1.3 とかでも可能

– tunnel_id

• 仮想ネットワーク ID を OpenFlow 的に操作しない環境では metadata と同じと考えることができる

• 上記環境以外では side effect があるため使いづらい

“判別” 出来さえすれば,無理にフレーム自体を書き変える必要はないのでは…?

Page 10: お手軽 OpenFlow Traceroute

flow entry

• 例えば VLAN PCP=7 を probe マークに使う場合

table=0,priority=0xffff,metadata=0,dl_vlan_pcp=7 actions=controller

– OFC は,PACKET_OUT メッセージの actions に

set_field:1->metadata, output:OFPP_TABLE

などと指定するだけで良い

– traceroute に必要な flow entry は 1 つだけ! – probe マークに必要な予約値も 1 つだけ! – トポロジ検出やグラフ彩色等の前処理も必要なし! – お手軽!!

Page 11: お手軽 OpenFlow Traceroute

implementation

• 本当に動くのだろうか?

• Ryu アプリとして実装

OFS

OFC

APP

Frontend [HTTP POST] 調査したいヘッダを持つフレーム,

Traceroute 開始地点

受け取ったフレームに Probe マーク挿入

metadata 付けて PACKET_OUT

……

PACKET_IN

[HTTP WebSocket] フレーム内容を解析して

ユーザに報告

……

Page 12: お手軽 OpenFlow Traceroute

CLI

https://github.com/atzm/oftroute

https://github.com/atzm/oftroute
Page 13: お手軽 OpenFlow Traceroute

topology

• やっぱりトポロジも知りたい?

• OFS 隣接関係検出機能は持っていない

• でも他アプリとの共存は可能なので

• 例えば Ryu ビルトインのトポロジ検出と連携

Page 14: お手軽 OpenFlow Traceroute

GUI

https://github.com/atzm/oftgui

https://github.com/atzm/oftgui
Page 15: お手軽 OpenFlow Traceroute

ありがとうございました


OpenFlow Switch Specification...OpenFlow 1.2 December 2011 The Open Networking Foundation hereby issues OpenFlow 1.2, following this page. OpenFlow 1.2 encompasses the switch specification,

Comando Traceroute

traceroute mac - Cisco · 2-450 Catalyst 3750 Switch Command Reference 78-15165-02 Chapter 2 Cisco IOS Commands traceroute mac ip traceroute mac ip Use the traceroute mac ip privileged

traceroute for VXLAN Layer-transcending · PDF fileLayer-transcending traceroute for VXLAN draft-nordmark-nvo3-transcending-traceroute-00 Erik Nordmark nordmark@

RAS Traceroute N47 Sun

OpenFlow tutorial

OpenFlow and Software Defined Networks. Outline o The history of OpenFlow o What is OpenFlow? o Slicing OpenFlow networks o Software Defined Networks

SDN & Openflow

Imr id-cert-traceroute-12042013

Traceroute Anomalies - TUM

OpenFlow - CUDITable of Contents Section 1 Introduction to SDN and OpenFlow Section 2 OpenFlow Protocol Deep Dive Section 3 OpenFlow Working Examples

Visualizing Multipath Networks with Dublin Traceroute · Visualizing Multipath Networks with Dublin Traceroute. Language ... Traceroute is easy, right?

OpenFlow)BoF) - Internet2 • OpenFlow)introduc=on) • OpenFlow)use)cases) • Currentand)future)deployments) • SoBware)and)hardware) • Demos • Discussion

OpenFlow Extensions

How Traceroute Explains the Internetjkristof/tdc563/chinog05-traceroute.pdf · CHI-NOG 05 John Kristoff 9 Hack: Uncovering a Target $ sudo traceroute -T -n -q1 traceroute to (129.105.215.254),

Ntop: Beyond Ping and Traceroute

Active Measurements: Traceroute - TU Berlin · PDF file2 Why Traceroute In IP, no explicit way to determine route from source to destination (recall: ping is rtt to destination) traceroute:

RAS Traceroute N45

OpenFlow BoF

Use and Limits of Traceroute - Home | Internet2 · Use and Limits of Traceroute ... commercially and free, and traceroute/ping hybrids (MTR, ... • Understanding network latency

The Internet Measurement Toolbox - Peoplejustine/talk_ups.pdfReverse traceroute is a lot harder than forward traceroute We‟ve known since 1987 how to do forward traceroute. That

Comandos Ping y Traceroute

Openflow overview

(Correctly) Troubleshooting with Traceroute

OpenFlow Technology Investigation Vendors Review on ... · PDF fileOpenFlow Technology Investigation Vendors Review on OpenFlow ... OpenFlow is “just” an enabler of ... OpenFlow

Understanding OpenFlow

Introduction to OpenFlow - WordPress.com€¦ · OpenFlow dapat bekerja pada switch dari berbagai vendor. Arsitektur SDN dan OpenFlow OpenFlow terletak diantara controller dan forwarding

Ping and Traceroute Understanding

DDoS @ traceroute

ENHANCING PING AND TRACEROUTE - lacnic.net

Monitoramento de enlaces de 100Gbps e consistência de ... · troubleshooting nesse tipode cenário? ... – O traceroute convencionalélimitadoem redes SDN/OpenFlow ... OpenFlow“básico

OpenFlow 1.5.1

Disman Traceroute Mib

Traceroute · Traceroute allows you to examine the path a packet takes across the Internet, ... Windows Traceroute (or more specifically, tracert.exe)

Cisco Openflow