流表组成

每条流表规则由一些列字段组成，可以分为**基础字段、匹配字段和动作字段**三部分。 在打印流表时，在流表中还存在一些显示字段，如duration,idle_age等，此处把这些字段也暂时归之于基础字段之中.

流表组成部分字段说明

基础字段：

• cookie=value 流表标识字段，cookie字段有两种书写方式：cookie=value和cookie=value/mask。mask中对应位为1时cookie中值相应的位须严格匹配，为0时cookie中值对应的位通配，当mask为-1时，必须严格匹配cookie值。
• duration=value 流表生效时间，标识流表从下发到现在所持续的时间
• table=tableid 流表所属表项，标识流表所属的表，默认为0
• priority=priority 标识流表的优先级，范围为0-65535，值越大，优先级越高
• n_packets 标识流表匹配包数
• n_bytes 标识流表匹配字节数
• idle_timeout=sec 流表空闲超时时间，流表会在空闲时间达到给定的时间时被删除。设置为0（默认值）时，流表不会因空闲时间被删除。
• hard_timeout=sec 流表可存在的时间。设置此值后，流表会在到达给定时间后被删除。
• idle_age=sec 流表空闲时间
• hard_age=sec 流表存在时间。此字段与duration字段的区别在当流表被修改后，会重新设置hard_timer但是不会重置duration
• ip_frag=frag_type 当dl_type指定为IP或者IPv6，frag_type指定匹配的IP分片包或者非分片包的匹配 frag_type支持的值为： no: 仅匹配非分片报文 yes：匹配所有分片报文 first：仅匹配offset为0的分片报文 later： 仅匹配offset非0的分片报文 not_later：匹配非分片报文和offset为0的分片报文

匹配字段

• in_port=port 标识匹配接收数据包的端口号
• dl_type=ethertype 匹配数据包的二层协议类型，IP数据包为0x0800，IPv6数据包为0x86dd，ARP数据包为0x0806
• dl_src=xx:xx:xx:xx:xx:xx
• dl_dst=xx:xx:xx:xx:xx:xx 匹配指定的链路层源或者目的MAC地址
• dl_src=xx:xx:xx:xx:xx:xx/xx:xx:xx:xx:xx:xx
• dl_dst=xx:xx:xx:xx:xx:xx/xx:xx:xx:xx:xx:xx 匹配指定的链路层MAC地址，MAC地址格式为ADDR/MASK，当MASK值为01:00:00:00:00:00时，仅匹配多播位。当dl_dst=01:00:00:00:00:00/01:00:00:00:00:00时，匹配所有的组播报文和广播报文。dl_dst=00:00:00:00:00:00/01:00:00:00:00:00匹配所有的单播报文。
• nw_src=ip[/mask]
• nw_dst=ip[/mask] 当dl_type=0x0800或指定ip时，匹配数据包的源、目的IP地址 当dl_type=0x0806或指定arp时，匹配ARP数据包的ar_spa或者ar_tpa字段
• dl_vlan=vlan 匹配802.1Q类型（即vlan）数据包
• nw_proto=proto 匹配数据包协议类型。当dl_type=0x0800时，匹配IP协议族的协议，例如tcp，udp，icmp等
• nw_tos=tos 匹配IP Tos/DSCP或者IPv6的tos字段，值为0-255
• nw_ecn=ecn 匹配IP或者IPv6的ecn字段，值为0~3
• nw_ttl=ttl 匹配TTL值
• tp_src=port
• tp_dst=port 若指定了udp或者tcp协议，则匹配udp/tcp的端口号
• icmp_type=type
• icmp_code=code 若指定了icmp或者icmpv6协议，则匹配对应的icmp 类型或者code字段
• arp_sha=xx:xx:xx:xx:xx:xx
• arp_tha=xx:xx:xx:xx:xx:xx 当设置dl_type为ARP或者RARP，则arp_sha和arp_tha匹配数据包的源、目的MAC地址

动作字段

• output:port 将数据包从port接口发送
• enqueue:port:queue 将数据包入队到指定端口的指定队列里
• normal 将数据包按照设备上的正常L2/L3层处理方式进行处理
• flood 将数据包发送到交换机上除接收接口和禁止flood的接口外的所有接口
• all 将数据包发送到除接收接口外的所有接口
• controller(key=value…) 将数据包作为PACKET IN消息发送到OpenFlow控制器。 支持的键值对： max_len=nbytes：限制发送到控制器的数据包长度字节数，默认情况是发送整个数据包；reason=reason：在PACKET IN消息中指明发送消息的原因，支持的reason为action(default)，no_match和invalid_ttl; id=controller-id：指明控制器ID
• in_port 将数据包从接收的接口发送出去
• drop 丢弃数据包
• mod_vlan_vid:vlan_vid 修改数据包的vlan id
• mod_vlan_pcp:vlan_pcp 修改数据包的vlan priority
• strip_vlan 如果数据包中存在vlan tag，则剥离vlan tag
• push_vlan:ethertype 为数据包添加新的vlan tag
• mod_dl_src:mac 设置数据包的源MAC地址
• mod_dl_dst:mac 设置数据包的目的MAC地址
• mod_nw_src:ip 设置数据包的源IP地址
• mod_nw_dsp:ip 设置数据包的目的IP地址
• mod_tp_src:port 设置TCP或者UDP的源端口
• mod_tp_dst:port 设置TCP或UDP的目的端口

下发流表

查询对应的网口序号

对应网口名称已知

如果明确的知道对应网口的名称，如vnet1，可以通过如下方式查询其对应的OpenFlow接口序号：

[root@localhost ~]$ ovs-vsctl get interface vnet1 ofport

对应网口名称未知

如果不知道对应网口的名称，但是知道其对应的MAC地址，则可以通过如下命令查找对应的网口序号：

[root@localhost ~]$ ovs-ofctl show ovsBusiness 
OFPT_FEATURES_REPLY (xid=0x2): dpid:000090e2ba0115e4
n_tables:254, n_buffers:256
capabilities: FLOW_STATS TABLE_STATS PORT_STATS QUEUE_STATS ARP_MATCH_IP
actions: output enqueue set_vlan_vid set_vlan_pcp strip_vlan mod_dl_src mod_dl_dst mod_nw_src mod_nw_dst mod_nw_tos mod_tp_src mod_tp_dst
 1(vnet1): addr:fe:ea:4a:e6:01:db
     config:     0
     state:      0
     current:    10MB-FD COPPER
     speed: 10 Mbps now, 0 Mbps max
 2(vnet2): addr:fe:ea:4a:e6:01:dc
     config:     0
     state:      0
     current:    10MB-FD COPPER
     speed: 10 Mbps now, 0 Mbps max
 3(vnet3): addr:fe:ea:4a:e6:01:5b
     config:     0
     state:      0
     current:    10MB-FD COPPER
     speed: 10 Mbps now, 0 Mbps max
 4(vnet4): addr:fe:ea:4a:e6:01:5c
     config:     0
     state:      0
     current:    10MB-FD COPPER
     speed: 10 Mbps now, 0 Mbps max
 LOCAL(ovsBusiness): addr:90:e2:ba:01:15:e4
     config:     0
     state:      0
     speed: 0 Mbps now, 0 Mbps max
OFPT_GET_CONFIG_REPLY (xid=0x4): frags=normal miss_send_len=0

可以看到接口对应的MAC地址及接口对应的OpenFlow接口序号。

下发流表示例

如上面ovs-ofctl show ovsBusiness命令所显示的接口信息，vnet1和vnet2对应OVS的入口和出口，分别连接着客户端和服务端，vnet3和vnet4对应虚拟机的入口和出口，下面就以以上四个网口来下发流表：

根据接收端口

从一个接口接收从其他接口发送

从vnet1接收的数据包经过虚拟机后从vnet2发送出去

# 客户端访问服务端
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,in_port=1 actions=output:3"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,in_port=4 actions=output:2"
# 服务端应答客户端请求
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,in_port=2 actions=output:4"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,in_port=3 actions=output:1"

将数据包从接收端口发送

将从vnet1接收到的数据包从vnet1发送出去

ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,in_port=1 actions=in_port"

根据接收端口及IP信息

客户端IP地址为：1.1.1.12， 服务端IP地址为1.1.1.13

# 客户端访问服务端
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=1,nw_src=1.1.1.12,nw_dst=1.1.1.13 actions=output:3"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=4,nw_src=1.1.1.12,nw_dst=1.1.1.13 actions=output:2"
# 服务端相应客户端请求
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=2,nw_src=1.1.1.13,nw_dst=1.1.1.12 actions=output:4"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=3,nw_src=1.1.1.13,nw_dst=1.1.1.12 actions=output:1"
# 放通arp数据包
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=1 actions=output:3"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=4 actions=output:2"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=2 actions=output:4"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=3 actions=output:1"

根据接收端口、VLAN及IP信息

在将数据包发给虚拟机之前去vlan tag，然后数据包发送出OVS时添加vlan tag

客户端IP地址为：1.1.1.12， 服务端IP地址为1.1.1.13，vlan为10

# 客户端访问服务端
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=1,dl_vlan=10,nw_src=1.1.1.12,nw_dst=1.1.1.13 actions=strip_vlan,output:3"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=4,nw_src=1.1.1.12,nw_dst=1.1.1.13 actions=mod_vlan_vid:10,output:2"
# 服务端相应客户端请求
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=2,dl_vlan=10,nw_src=1.1.1.13,nw_dst=1.1.1.12 actions=strip_vlan,output:4"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=3,nw_src=1.1.1.13,nw_dst=1.1.1.12 actions=mod_vlan_vid:10,output:1"
# 放通arp数据包
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=1 actions=output:3"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=4 actions=output:2"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=2 actions=output:4"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=3 actions=output:1"

根据接收端口及MAC地址信息

客户端IP地址为：1.1.1.12， 服务端IP地址为1.1.1.13 客户端MAC地址为：01:01:01:01:01:02，服务端MAC地址为：01:01:01:01:01:01

# 客户端访问服务端
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=1,dl_dst=01:01:01:01:01:01 actions=strip_vlan,output:3"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=4,dl_dst=01:01:01:01:01:01 actions=mod_vlan_vid:10,output:2"

# 服务端相应客户端请求
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=2,dl_dst=01:01:01:01:01:02 actions=output:4"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,ip,in_port=3,dl_dst=01:01:01:01:01:02 actions=output:1"
# 放通arp数据包
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=1 actions=output:3"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=4 actions=output:2"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=2 actions=output:4"
ovs-ofctl add-flow ovsBusiness "cookie=0,priority=40001,arp,in_port=3 actions=output:1"

设置NORMAL转发

ovs-ofctl add-flows "priority=0 actions=NORMAL"

其他形式的流表

# 丢弃所有port 1上接收的数据包
ovs-ofctl add-flow ovsBusiness "in_port=2 actions=drop"

# 丢弃所有port 1上接收的广播报文(此处网上给出的是dl_src，我怎么感觉是dl_dst?)
ovs-ofctl add-flow ovsBusiness "priority=40001,dl_dst=01:00:00:00:00:00/01:00:00:00:00:00 actions=drop"
# 丢弃所有STP协议的广播数据包
ovs-ofctl add-flow ovsBusiness "priority=40001,dl_dst=01:80:c2:00:00:00/ff:ff:ff:ff:ff:f0 actions=drop"

# 修改从port 1上接收的数据包的源IP地址为"192.168.13.1"，并从port 2口发送
ovs-ofctl add-flow ovsBusiness "priority=40001,in_port=1 actions=mod_nw_src:192.168.13.1,output:2"

# 将所有port 1接收的ICMP报文发送到port 2上去
ovs-ofctl add-flow ovsBusiness "priority=40001,dl_type=0x0800,in_port=1,nw_proto=1 actions=output:2"

# 将所有port 1接收的TCP目的端口为80的报文发送到port 2口
ovs-ofctl add-flow ovsBusiness "priority=4001,dl_type=0x0800,in_port=1,nw_proto=6,tp_dst=80 actions=output:2"

删除流表

删除全部流表

删除全部流表的命令如下：

ovs-ofctl del-flows ovsBusiness

按匹配条件删除流表

# 删除"in_port=1"的流表
ovs-ofctl del-flows ovsBusiness "in_port=1"

# 删除匹配条件为"priority=40001"的流表
ovs-ofctl del-flows ovsBusiness "priority=40001"

# 删除匹配条件为"priority=4001,ip,in_port=1,nw_src=1.1.1.12"的流表
ovs-ofctl del-flows ovsBusiness "priority=4001,ip,in_port=1,nw_src=1.1.1.12"

# 删除匹配条件为"priority=4001,ip,in_port=1,nw_src=1.1.1.12 action=output:2"的流表
ovs-ofctl del-flows ovsBusiness "priority=4001,ip,in_port=1,nw_src=1.1.1.12 action=output:2"

查看流表

查看配置的所有流表信息

查看流表命令为：

ovs-ofctl dump-flows ovsBusiness

上述命令可以查看现在OVS桥上配置的流表

查看现在生效的流表信息

查看现在生效的流表命令：

# 查看默认的datapath类型的OVS桥的生效流表
ovs-appctl dpctl/dump-flows system@ovs-system

# 查看datapath类型为netdev的OVS桥的生效流表
ovs-appctl dpctl/dump-flows netdev@ovs-netdev

上述两条命令显示结果中的in_port(port_num)和actions:port_num,port_num值可能与使用ovs-ofctl命令查看到的不一致，这是因为使用ovs-appctl命令显示的端口号是所有datapath类型的桥下接口的编号，而ovs-ofctl命令下的端口号是此OVS桥下的端口号。 查看完整的datapath类型的接口编号命令为：

# 查看当前OVS中的datapath类型
ovs-appctl dpctl/dump-dps

# 查看默认datapath类型的接口编号
ovs-appctl dpctl/show system@ovs-system

# 查看datapath=netdev类型的接口编号
ovs-appctl dpctl/show netdev@ovs-netdev

查看当前网桥的所有流表

每个网桥默认情况下会配置有默认流表，查看所有的流表信息的命令为：

ovs-appctl bridge/dump-flows ovsBusiness

注意

在配置流表时，如果需要对数据包进行修改，则对数据包的修改动作应该在output动作之前完成，否则会不生效（因为数据包已经发送出去）.

原文：https://www.cnblogs.com/wangjq19920210/p/11776824.html