实现基于XDP/eBPF的快速路由转发功能
周末用eBPF实现了学习型网桥的XDP快速转发路径之后,再来用eBPF实现一个快速路由转发。同样很有意思。
关于eBPF和XDP的前置基础知识,我在前面实现网桥转发路径前已经概览过了,所以本文不再赘述。
当我们面对各种网络技术的时候,路由和交换技术是最基本的。路由和交换有什么区别,为什么不能像实现交换机那样实现IP路由,很有必要说一说。
简单点来说,路由和交换的实现技术有以下的区别:
- 交换:精确匹配交换表项的二层转发过程。
- 路由:模糊通配路由表项的三层转发过程。
二层网络链路的scope是局域的,三层IP网络的scope则是全世界IP网络,如果我们需要用一张表来装二层或者三层的转发表项,那么很显然,二层网络的转发表项的数量在这张表的可承受范围之内,而三层网络由于总表项数巨大则必然需要某种通配技术,这就是IP路由的最长前缀匹配技术。
落实到实现上,二层转发表项精确匹配的特征很容易使其被固化于硬件中用于快速交换,而三层路由表项的通配查找则必然需要牵扯到高性能查找算法,这些很难用硬件固化,所以一般的高性能路由器均采用了数据面和控制面相分离的方案来实现。
以下的说法本质上都差不多:
- 一次路由,多次交换。
- Cisco CEF。
- 路由器快速转发由线卡实现,而线卡未命中表项的报文则被CPU软执行路由查找,最终将表项注入线卡。
- …
在XDP技术出现之前,我就用Netfilter的nf_conntrack实现过类似的想法,尝试过各种所谓的 “协议栈短路” 方案或者说trick,但都显得远远不够酷。现在有了XDP,又有了eBPF,是时候玩一把了。
我们先来看生成eBPF字节码并注入XDP的C代码:
// xdp_rtcache_kern.c
#include 是不是很闭环的一个代码呢?这是不是意味着我们只需要将其 编译加载到对应的网卡(调用API和iproute2的ip-link命令均可以完成) 就可以了呢?并不是这样。
事实上,我们需要考虑更细节的情况。
如果路由改变了呢?如果ARP表项改变了呢?…
所以说,我们必须侦听这种事件。简单起见,我们只要监测到这种事件发生了,就清空转发表。以下是对应的用户控制C代码:
// xdp_rtcache_user.c
#include 接下来让我们编译它们。
我依然建议使用内核源码树的samples/bpf编译目录,将上述两个文件放在该目录下,修改Makefile文件,加入以下的内容:
always += xdp_rtcache_kern.o
hostprogs-y += xdp_rtcache
xdp_rtcache-objs := xdp_rtcache_user.o
最后make之。
好了,是时候演示一下了。
首先,我们在不启用该eBPF的情况下,确认路由的畅通,在路由器出入网卡抓包显示数据包有来有回。保持ping的同时,加载eBPF字节码:
root@zhaoya-VirtualBox:# ./xdp_rtcache enp0s9 enp0s10
另起一个终端,观察调试输出:
root@zhaoya-VirtualBox:# cat /sys/kernel/debug/tracing/trace_pipe
<idle>-0 [000] ..s. 26971.653936: 0: Slow path to [4]
ksoftirqd/3-30 [003] ..s. 26971.654749: 0: Slow path to [5]
<idle>-0 [000] .Ns. 26972.655742: 0: Fast path to [4]
<idle>-0 [003] .Ns. 26972.657759: 0: Fast path to [5]
...
OK,可以看到前面两个Slow报文是从双向ICMP报文学习而来的,此后就都走Fast路径了。此时tcpdump抓包,nothing will be shown。
浙江温州皮鞋湿,下雨进水不会胖。