Cloud Days Tokyo 2014 Spring 「80分でばっちり理解するOpenFlow」 NEC宮永直樹

80分でばっちり理解するOpenFlow

2014年3月7日 NEC 宮永直樹

（提供：ONF）

Cloud Days Tokyo 2014 Spring P-20C SDN/OpenFlow

自己紹介

▌ 宮永直樹

データセンター系ソリューションの拡販、コンサルに従事

ProgrammableFlowというOpenFlow対応製品の拡販

オーム社より「マスタリングTCP/IP OpenFlow編」を出版

あきみち、宮永直樹、岩田淳

Page 2 © NEC Corporation 2013

アジェンダ

▌ OpenFlowの標準化動向

▌ OpenFlowの基本動作

▌ OpenFlowの基礎的なメッセージ

▌ OpenFlow1.0でラーニングブリッジに挑戦！

▌ OpenFlowの２つのユースケース

•ECMP

•セキュリティアプライアンスへのリダイレクト

▌ ネットワークの仮想化

▌ OpenFlow 1.0以降に追加された仕様

▌ OpenFlow対応製品の適用状況

▌ OpenFlowとSDN


ＯｐｅｎＦｌｏｗの歴史と研究開発＆標準化動向

▌ 2007年:スタンフォード大学 “Clean Slate Program”が始まる

▌ 2009年 : スタンフォード大学 “Clean Slate Laboratory” 設立

OpenFlowコンソーシアムにて

OpenFlowプロトコルの研究開発＆標準化

▌ 2011年３月: Open Networking Foundation 設立

OpenFlow/SDNの標準化、プロモーション

▌ 2012年5月: Open Networking Research Center (ONRC) 設立

OpenFlow/SDN関連次世代技術の研究開発

▌ 2013年４月: OpenDaylight 発足

OpenFlow/SDNのオープンソース開発


・Board：

Google, Facebook, DT, Verizon, Microsoft,

NTT Communications, Yahoo, GoldmanSachs,

Stanford, UC Berkeley, D.Pitt(Executive Director)

・TSG：

Broadcomm, NTT Communications, Microsoft,

BigSwitch, Google, HP, Cisco, GoldmanSachs,

Stanford

・Council：WG議長とE.D.で構成

・WG構成（WG議長）：

Extensibility WG (HP)

Configuration & Management WG (Microsoft)

Testing & Interoperability WG (IXIA)

Hybrid WG (CISCO)

Market Education WG (Ciena)

Architecture & Framework WG (Big Switch)

Forwarding Abstractions WG (Brocade)

▌ONFの構成 2011年3月に設立、１２４社が加盟(2014年1月時点)

OpenFlowの標準スペックを策定（現在のスペックは1.4)

議論は基本的に非公開、グループ会社で１票の投票権

OpenFlowの標準化動向（ONF）


https://www.opennetworking.org/about/board-and-officers

https://www.opennetworking.org/about/tag

https://www.opennetworking.org/about/board-and-officers/255-dan-pitt

https://www.opennetworking.org/working-groups/overview

https://www.opennetworking.org/working-groups/overview

https://www.opennetworking.org/working-groups/market-ed

OpenDaylight Project

▌ 主要ネットワーク関連ベンダ18社により発足されたLinux Foundationの SDNのオープンソースプロジェクト（2013年4月8日）

▌ 参加企業が自社の持つSDN関連コードをプロジェクトに寄贈し、 SDNフレームワークの構築を進める

▌ 最初のコードは、2014年２月リリース開始

Page 6

出典：http://www.opendaylight.org/project/technical-overview

© NEC Corporation 2013

Network Function Virtualization （NFV）

▌2012年10月ドイツで開催されたSDN and OpenFlow World Congressにおいて世界の大手１３のキャリアがNetwork Function Virtualization （NFV）関するホワイトペーパーを発表（AT&T, BT, CenturyLink, China Mobile, Colt, Deutsche Telekom, KDDI, NTT, Orange, Telecom Italia, Telefonica, Telstra, Verizon）

▌目的は、現状「専用装置」で構成されている固定／モバイルＮＷを「汎用サーバー上の仮想アプライアンス」で構成することにより、コモディティ化すること他、ベンダロックインの回避、コストの削減、標準化によるサービス追加・変更の容易化など

▌ＥＴＳＩの下部組織として NFV を検討する Industry Specification Group （ISG）を立ち上げ

※メンバーはONFに近いメンバー

出典：http://portal.etsi.org/NFV/NFV_White_Paper.pdf


キャリアインフラネットワークのＮＦＶ

▌ 汎用サーバ上にVMとして実装。ハードウェア（サーバ／ストレージ／ＮＷ）共通化

▌ 仮想アプライアンスの活用

▌ サービスチェーニング FW→LB→IPS→VM


OpenFlowの基本動作


OpenFlowは

スイッチネットワークを作るための

標準化されたプロトコル

フローテーブル

▌ １．０のフローテーブル

ヘッダフィールド、カウンタ、アクションの３つ構成されるフロー

エントリを持つ

パケットの１２個のフィールドを指定可能ヘッダフィールドでマッチするか条件を書き、転送やフィールドの書き換えのアクションを行う複数の端末を同じIPアドレスにして、MACアドレスを書き換えながら転送するなんて荒業も

Data Src MAC

VLAN Priority

Src IP

TCP/UDP Src Port

TCP/UDP Dst Port

Dst MAC

Dst IP

Ingress Port

Ether Type

VLAN id

IP ToS

IP Proto


フローテーブルを扱う２つの方式


▌ リアクティブ方式スイッチのフローエントリをもとにスイッチング未知のパケットはコントローラに問い合わせる一般に、商用のHop-by-Hop方式の製品はこのタイプ

フローテーブルを扱う２つの方式


▌ プロアクティブ方式事前に端末情報からフローを設定しておく方式タップソリューションやオーバーレイ方式のようなところで利用

コントロールプレーン


▌ コントローラとスイッチ間を結ぶネットワークデータプレーンと別に構築一般にレガシーで構成（コントローラも含めて二重化）データプレーンの制御の自由度をあげる（障害時の切り替わりなど）インバンドで構成する標準化も OF-CONFIGではプラグアンドプレイの話題

データプレーン


▌ ユーザの利用する通信用ネットワーク Hop-by-Hop方式オーバーレイ方式

ハイブリッド方式 LANをHop-by-Hop方式 WANをオーバーレイ方式

OpenFlowの基礎的なメッセージ


リピーターハブをモデルに

OpenFlowのコントローラとスイッチの

関係を見てみよう

基礎的なメッセージ


▌ 初期 TCP6633 SecureChannel TLS コネクション確立 Helloメッセージバージョンのネゴ

▌ ハンドシェイク Feature要求・応答サポートされている機能の確認

▌ Echo Echo要求/応答スイッチ・コントローラ両方から KeepAlive的に利用



▌ Flow-Mod スイッチのフローテーブルにフローエントリを書き込む



▌ Packet-In （未知の）パケットをコントローラに送る



▌ Packet-Out コントローラからパケットをスイッチに送り、送信させるスイッチのポートを指定、ブロードキャストなども可。 Packet-Inしたパケットはこの処理が必要



▌ Barrierメッセージスイッチがどこまで処理が終わっているかを確認するメッセージとっても重要

OpenFlow1.0でラーニングブリッジに挑戦！


OpenFlowを使ってネットワークを作る

＝コントローラを開発する

OpenFlow１．０でラーニングブリッジに挑戦！

▌ パケットを受信 Packet-In



▌ パケットを送信 Packet-Out 宛先PCがわからないので、フラッディングする



▌ 送信元のPC Aを学習 PC AのフローエントリをFlow_modでフローテーブルに登録



▌ 返信パケットを受信 PC Aは学習済みなので、転送コントローラには転送していない →PC Bを学習していない！


普通の“ラーニングブリッジ”は OpenFlow 1.0で、できない！


▌ １．０の限界宛先MACを学習する通常のラーニングブリッジは、１つのフローテーブルでは実現できない

▌ ワークアラウンド送信元MAC・宛先MACの組み合わせを、１つのフローとする。ノード数が多いと組み合わせでフロー数が大きくなる（現在市場にでているOpenFlow製品はこのタイプがベース）

ARPを常にPacket-Inするよう、フローエントリを登録しておく。コントローラで、ARPによるノード情報のアップデート処理を作る IPはいいけど。。。


OpenFlowの２つのユースケース

ECMP（イーコルコストマルチパス）

セキュリティアプライアンスへのリダイレクト


ユースケース ECMP

▌ ECMP（イコールコストマルチパス）一般にL3のルーティングでコストが同じケースをいうコントローラで“L2ルーティング“を計算コストが同じ場合に複数経路を使用送信元アドレスやポート番号でフローごとに分ける


ユースケースセキュリティアプライアンスへのリダイレクト

▌ DDoS対策製品へのリダイレクト Interop Tokyoで実施されたデモ DDoS時に関連するトラフィックをDDoS対策製品に「曲げる」


ネットワーク仮想化


▌ 事業者・企業においてサーバ仮想化が普及

→ ネットワークの対応が必要に

VMマイグレーションのために、同じセグメントを複数のサーバに

接続しなくてはならない。

同じセグメントを接続するために、スイッチも設定する必要がある。

VLANが増えてくると、一つ一つのスイッチに設定するのが大変。

なぜ今ネットワークの仮想化が話題になるのか？（おさらい）

サーバ１サーバ２ルータ

VLAN ID:100

VLAN ID:101

物理ネットワーク

スイッチ１

論理ネットワーク

スイッチ２

マイグレーション

VLAN ID:

100,101

VLAN ID:

100,101

サーバ追加時やセグメント追加時に

都度VLANを設定するのが面倒

複数の物理サーバ間で、VMを

マイグレーションさせるために

VLANを延長


▌ VLANの設定を集中管理して、簡単に

複数のスイッチを１台の大きなスイッチのようにする

どこにつないでもOK！→どこにマイグレーションしてもOK

OpenFlowは、ただの「コンフィグの集中管理」ではなく

L2の経路制御を集中管理→VLANの設計・設定から開放

ネットワーク仮想化の２つの方式 ①スイッチの集中管理

サーバ１サーバ２

HyperVisor

仮想スイッチ

VLAN

100 VLAN

101

HyperVisor

仮想スイッチ

VLAN

100 VLAN

101

OpenFlow

コントローラ OpenFlow

スイッチ１

、

OpenFlow

スイッチ２

集中管理で各ポートへの

VLANの設定不要。

TAGをみて適切に処理


▌ L2のトンネルによりVLANを延長

物理スイッチを変更せず、仮想スイッチやロードバランサ

によりサーバ間のセグメントを延長

速度が必要な場合にはH/Wでオフロードする必要がある

大きなL2ネットワークの運用はちょっと大変

ネットワーク仮想化の２つの方式 ②エッジオーバーレイ

サーバ１サーバ２

スイッチ１

スイッチ２

トンネルは一つのIP

通信となるので、物理的なスイッチは変更不要

HyperVisor

仮想スイッチ

VLAN

100 VLAN

101

HyperVisor

仮想スイッチ

VLAN

100 VLAN

101

仮想スイッチ間で

トンネリング


▌ ネットワーク仮想化

複数の論理的なグループを物理ネットワーク上に作成

１つの仮想ネットワークをスライス、VTN（バーチャルテナント

ネットワーク）などと呼ぶ

ネットワーク仮想化のイメージ


▌ FlowVisorという実装

仮想ネットワークごとにコントローラを複数使うためのもの

物理的なポート、VLAN、MACアドレスなどを指定して、

仮想ネットワークを構成することが可能

OpenFlowによるネットワーク仮想化の実装


OpenFlow 1.0以降に追加された仕様


OpenFlowのバージョン

▌ 2009年12月 OpenFlow 1.0




2012年9月 OpenFlow 1.3.1

2013年4月 OpenFlow 1.3.2


パイプライン処理

▌ ひとつのパケットに対して複数のフローエントリがマッチされるようになった

▌ OpenFlow 1.0でもフローテーブルを複数持つことは可能だった

ただし、OpenFlow 1.0では、マッチするフローエントリはひとつだけ

▌ OpenFlow 1.1では、Gotoインストラクションによって、これを実現

OpenFlow 1.1

パイプライン処理でラーニングブリッジ OpenFlow 1.1

その他のOpenFlow１．１の変更点

▌ グループテーブルの導入

Fast Failover（チャネル）

Select（ロードバランシング）

▌ IP TTL変更

▌ MPLSとVLANのタグをpush/pop

▌ マッチフィールドの追加

MPLS対応

SCTP対応

▌ その他パイプライン処理で世界が変わった。

TTLいじれるようになったのは、1.1から

OpenFlow 1.1

OXM（OpenFlow eXtensive Match）

▌ OpenFlow 1.2における最大の変化

▌ OpenFlow 1.1までのような固定長マッチフィールドを廃止

OpenFlow 1.2からTLV構造へ

OpenFlow 1.2

宛先イーサネットアドレス（マスクあり）OXM TLVの例

OpenFlow 1.2

宛先イーサネットアドレスとIPv4アドレスのOXM TLV例

OpenFlow 1.2

基本的なIPv6対応

▌ OXMによって実現可能に

逆にいうと、OXMの導入目的のひとつであった

OpenFlow 1.1までのマッチテーブル仕様では、IPv6に対応しづらかった

▌ IPv6拡張ヘッダは対象外

OpenFlow 1.2

その他のOpenFlow1.2の変更点

▌ 複数コントローラの対応

▌ Flow-Modの仕様変更

存在しなければ自動的に追加、という仕様が廃止

▌ 用語の変化

仮想ポート、ロジカルポート、予約ポート

▌ その他

OpenFlow 1.2

OXM TLVの導入で

いろんなプロトコルやフィールドに対応できるようになった。

Meterテーブルの追加 OpenFlow 1.3

QOSで利用される

そのほかのOpenFlow1.3の変更点

▌ PBB（Provider Backbone Bridging）対応

▌ UDPによるOpenFlowチャネル

主にPacket-Inなど

▌ テーブルミスのデフォルト挙動変更

OpenFlow 1.3

ベンダがついてこれなくなったので、いったん凍結。

2013年夏に相互接続に成功し、標準化再開。

OpenFlow 1.4の主な変更点

▌ オプティカルデバイス用の機能

▌ TCP/UDPポート番号の変更

▌ 複数のOpenFlowメッセージをひとつの機能としてbundleできるように

▌ 複数コントローラでの運用時の機能追加

▌ フローテーブルの空き容量に関する機能

▌ 各種エラーメッセージの充実

▌ その他色々

OpenFlow 1.4

Layer1（物理レイヤ）への適用で

領域拡大

OpenFlow対応製品の状況


スイッチは1.0もしくは1.3でリリース済み。

コントローラがちょうど出揃った？！


▌ 各社ともSDN/OpenFlowの市場に向けて続々と参入。クラウド・ネットワークの課題を解決するひとつのソリューションとして注目されている。

Cisco

Arista

HP Brocade

Extreme IBM

コントローラスイッチ

VMware（Nicira）

BigSwitch

NTT-DATA

Juniper

NEC NEC

NTT（自社内利用）

PICA8

点線：対応を表明しているが、商用製品として販売開始していない製品

IBM

▌ その他、ロードバランサベンダや仮想サーバベンダーが、NVGRE、VxLAN等をベースとしたエッジオーバーレイ型のソリューションを実装するような流れもあり。

Stratosphere

各社OpenFlow参入状況

HP

Juniper（非OpenFlow）

DELL

OpenFlowの相互接続状況（NECの例）

▐ Interop Tokyo 2013 では、NECのOpenFlowコントローラである UNIVERGE PF6800が、他社のOpenFlowスイッチとの相互接続に参加。


▌ NECのOpenFlowスイッチである UNIVERGE PF5240は、他社OpenFlowコントローラとの相互接続にも参加

Multi-Vendor OpenFlow Network

PF6800

Northband API

NTTDATA

Software-Defined Networking

IXIA

A10

Radware

PICA8 (NCLC) Juniper IBM DELL

Centec （トーメン）

Arista

Brocade

IaaS基盤およびDCネットワーク、企業ＬＡＮ向けに対し適用可能

現時点のOpenFlow製品の適用領域

Copyright (c) NEC Corporation 2012. Page 52

DC間やWANは製品でなく、「自作」の実績あり（Googleなど）

OpenFlowファブリックのイメージ

（素の）OpenFlowコントローラ

OpenFlowファブリック •ネットワークアプリケーションを最初からバンドルした製品 •ユーザがOpenFlowのプログラムをする必要はない（隠蔽化）

ネットワークアプリケーション

・リンク検出・トポロジ管理機能

・経路制御機能

・可視化機能

OpenFlowスイッチ

OpenFlow

ファブリック

API

OpenFlowプロトコル

など

SDN

ソリューション

クラウド・オーケストレータなど


OpenFlowならL2/L3機能もBOX型スイッチで構成可能

増設

コアのシャーシ型を搭載するため

ネットワーク専用ラックを準備

▌ L3機能もBOX型スイッチでできるのでスケールアウトが可能シャーシ型が不要なので、初期費が安い

L3機能のため、大型のシャーシ型スイッチが必要

OpenFlowを使った製品のアーキテクチャ

Page 54

Page 55

OpenFlowファブリックとしての強み（NECの例）

▌ ECMP（イコールコストパルチパス）経路制御はL2のショーテストパス（最短経路）

イコールコストの場合最大８経路をフローベースでバランシング

ファイバの３重化、４重化が可能（Fat Tree）

フローごとの経路指定も可能（利用例：iSCSIのパスを分けるなど）

▌ スケールコントローラ１式でスイッチ２００台、VTN１０００個

UNCを使用するとコントローラ１０式、スイッチ２０００台、約９６０００ポート

▌ 切り替え時間 OpenFlow1.3のグループテーブルにより障害時の大量FLOW_MODを抑制

EtherOAMにより障害検出時間を短縮

検証結果：約500mmsec程度で切り替わり

仮想ネットワークの実装イメージ（NECの例）

VTN2

VTN1

PFC

制御

仮想ネットワーク

物理ネットワーク

▌システムごとのネットワークを「テナント」として仮想化サーバ仮想化のGuestOSのようなもの ▌サーバ仮想化のように機器の点数・機器費用を削減


http://www.express.nec.co.jp/products/100/120lf_sp.html



仮想ネットワークのイメージ（NECの例）

通信経路表示

仮想ネットワーク物理ネットワーク


▌ 仮想化基盤の運用のための可視化機能

物理ネットワークに加えて、仮想ネットワークの可視化が可能

物理ネットワーク上、仮想ネットワーク上でフローが見える！

GUI上からの設定も簡単！

経路制御にみるうれしさ

Shortest Pathの経路制御アルゴリズムを標準搭載

DB化のメリット

経路制御の「オートマ」化によりSTPのような冗長設計が不要

→ポートの“VLANの設定”が不要に

VTN1

VTN2

障害時にコントローラに通知

論理NWは変わらない

障害時には再計算

（Shortest Path）

PFC

障害

VLANの設定が不要に

vBr1

vBr2 （VLAN100）

（VLAN101）


論理層の監視にみるうれしさ

▌ VTN FaultというSNMP Trap

VTNの論理IF間で物理的な経路がなくなった場合に発生

▌ DB化のメリット

どのお客様のシステムに影響がでているかを瞬時に把握

NetConfやSNMPでやろうとすると、ユーザ側でDBを作成し、トポロジもリアルタイムでアップデートするなど、ものすごく大変

VTN1

PFC

障害

障害

VTN Fault

クラウドのスケールアウト型では二重障害の想定が必要！

論理ネットワーク上届かない

領域ができたことを検知


QOSの統合管理にみるうれしさ

▌ VTN単位のQOS VTNに所属する全論理IFに設定することが可能（ポリッシング）

あるお客様が帯域を占有し、他のお客様に迷惑かけることを抑制

DB化のメリット論理のVTN単位で指定するので物理ポート１つ１つに設定不要（IFごとに帯域の足し算などの管理は必要）

vBridge

vExternal

vRouter

VTN

Internet

論理ポートに

ポリッシング設定

不要

SW１つ１つの

設定不要 Copyright (c) NEC Corporation 2012. Page 60

OpenFlowとSDN


OpenFlowはプロトコル、

SDNはそのソリューション。

もとはONFのメンバーから。

SDN（Software-Defined Networking）とOpenFlowの言葉の定義

▌ＳＤＮとは、ソフトウェアでネットワーク構成を定義・コントロールする仕組みと考え方 ONFのボードメンバーから。コントロールプレートデータプレーンの分離。

従来のＮＷ設計をエンジニアが静的にＮＷ装置に定義するのに対比したもの

特定のファンクションを規定するモノではない＝概念

▌ＯｐｅｎＦｌｏｗとは、スイッチをコントロールするプロトコルの標準ＮＷ領域におけるソフトウェア化・オープン化

Page 62

アプリケーション

サーバ管理ソフト

ＮＷ管理ソフト




ルータスイッチ




ＯｐｅｎＦｌｏｗコントローラ

ＯｐｅｎＦｌｏｗスイッチＨＷ

ＳＷ

装置/ サーバ＋ソフト

その他アーキテクチャレガシー

アーキテクチャＯｐｅｎＦｌｏｗアーキテクチャ

その他アーキテクチャ

装置

＊ベンダにより（Ａ/Ｂ/Ｃ）の解釈様々

SDN

Ｂ

SDN

Ｃ

SDN

Ａ

© NEC Corporation 2013


SDNによるソリューションの例

Interop Tokyo 2013 SDN ShowCaseデモ IaaSにおけるネットワーク運用自動化のデモンストレーション

ご協力：A10ネットワークス株式会社様（ロードバランサ）、フォーティネットジャパン株式会社様（ファイアウォール）

クラウドマネージャ

ネットワークプール

サーバプール

クラウドマネージャ

ネットワークプールサーバプール

サービス利用者

IaaS 管理者

仮想サーバコントローラ

仮想サーバ

コントローラ

～ハイレベルな運用環境を実現したい企業・事業者様むけ～

～カスタマイズしたい SI力のある事業者様むけ～

Coud Manager vDC Automation

セルフサービスポータル画面イメージ ※WebSAM Cloud Managerによる画面

サービス選択メニュー

仮想マシン申込みフォーム

IaaS利用者むけ

▐ IaaS利用者はWebベースのClound Managerに必要なリソースを入力 ▐ このとき、仮想ネットワークもいくつ欲しいかを入力しておき、各VMが

どの仮想ネットワークに接続するかを指定

クラウド利用者による操作イメージ（ＮＥＣの例）


VLink設定

ＦＷ設定

LB設定

仮想マシン作成

SV作成

ファイアウォール

プログラマブルフロー

ロードバランサ

PFC

ｖRT・ｖBR作成

ＦＷ・VLAN接続

LB・VLAN接続

仮想ＮＷ作成

VTN作成

仮想ＦＷ作成

仮想LB作成

テナント契約時

プログラマブルフロー

ファイアウォール

ロードバランサ

サーバ

VLAN設定

VTN 仮想ＦＷ

仮想ＬＢ

仮想ＳＶ

ＷｅｂＳＡＭｖＤＣＡｕｔｏｍａｔｉｏｎ

ｖＲＴｖＢＲ

ＬＢ設定

ＦＷ設定

ＳＤＮによる自動化のイメージ（ＮＥＣの例）


▌事前にシナリオを設定しておくことで、Firewallやロードバランサも含めて、仮想ネットワークの生成や設定を自動化

まとめ

▌ OpenFlowの標準化

１．０から１．３、１．４で大きく進歩

非常にプリミティブ（原始的）なプロトコル

なにに使えるの？→なにかをやろうとしたときに使えるもの

詳しくは「マスタリングTCP/IP OpenFlow編」をどうぞ

▌ 製品の実装

マルチベンダでスイッチ、コントローラがでてきてます。

1.0、1.3の相互接続やってます。

OpenFlowファブリック、そこそこ完成してきています。

▌ SDN

課題は大規模な「クラウド」のネットワーク管理

OpenStackのNW運用動化などのソリューション

Page 67 Copyright (c) NEC Corporation 2012-2013. All rights reserved. © NEC Corporation 2013

Technology

Cloud Days Tokyo 2014 Spring 「80分でばっちり理解するOpenFlow」 NEC宮永直樹