1、軟件定義網(wǎng)絡(luò)(SDN)基礎(chǔ)教程課后習(xí)題答案第一章SDN基礎(chǔ)知識SDN相比于傳統(tǒng)網(wǎng)絡(luò)的優(yōu)勢在哪里？會帶來哪些問題？參考答案：SDN與傳統(tǒng)網(wǎng)絡(luò)的最大區(qū)別就在于它可以通過編寫軟件的方式來靈活定義網(wǎng)絡(luò)設(shè)備的轉(zhuǎn)發(fā) 功能。在傳統(tǒng)網(wǎng)絡(luò)中，控制平面功能是分布式地運行在各個網(wǎng)絡(luò)節(jié)點中的，如集線器(Hub)、 交換機(Switch),路由器(Router)等。因此新型網(wǎng)絡(luò)功能的部署需要所有相應(yīng)網(wǎng)絡(luò)設(shè)備 的升級，這導(dǎo)致網(wǎng)絡(luò)創(chuàng)新往往難以落地。而SDN將網(wǎng)絡(luò)設(shè)備的控制平面與轉(zhuǎn)發(fā)平面別離， 并將控制平面集中實現(xiàn)，這樣新型網(wǎng)絡(luò)功能的部署只需要在控制節(jié)點進行集中的軟件升級, 就能實現(xiàn)快速、靈活地定制網(wǎng)絡(luò)功能。另外，SDN架構(gòu)

2、還具有很強的開放性，它通過對整個 網(wǎng)絡(luò)進行抽象，為用戶提供完備的編程接口，使用戶可以根據(jù)上層應(yīng)用個性化地定制網(wǎng)絡(luò)資 源來滿足其特有的需求。由于其具有開放可編程的特性，SDN有可能打破某些廠商對設(shè)備、 協(xié)議以及軟件等方面的壟斷，從而使更多的人可以參與網(wǎng)絡(luò)技術(shù)的研發(fā)工作。SDN數(shù)據(jù)控制別離目前面臨的問題包括以下幾種。 可擴展性問題：這是SDN面臨的最大問題之一。數(shù)據(jù)控制別離后，原來分布式的控制平 面集中化了，即隨著網(wǎng)絡(luò)規(guī)模擴大，單個控制節(jié)點的服務(wù)能力極有可能會成為網(wǎng)絡(luò)性能的瓶 頸。因此控制架構(gòu)的可擴展性是數(shù)據(jù)控制別離后的主要研究方向之一。一致性問題：在傳統(tǒng)網(wǎng)絡(luò)中，網(wǎng)絡(luò)狀態(tài)一致性是由分布式協(xié)議保證的

3、。在SDN數(shù)據(jù)控制 別離后，集中控制器需要承擔(dān)這個責(zé)任。如何快速偵測到分布式網(wǎng)絡(luò)節(jié)點的狀態(tài)不一致性, 并快速解決這類問題，也是數(shù)據(jù)控制別離后的主要研究方向之一。 可用性問題：可用性是指網(wǎng)絡(luò)無故障的時間占總時間的比例。傳統(tǒng)網(wǎng)絡(luò)設(shè)備是高可用的， 即發(fā)向控制平面的請求會實時得到響應(yīng)，因此網(wǎng)絡(luò)比較穩(wěn)定,但是在SDN數(shù)據(jù)控制別離后， 控制平面網(wǎng)絡(luò)的延遲可能會導(dǎo)致數(shù)據(jù)平面可用性問題。SDN架構(gòu)包含哪些模塊？參考答案：ONF定義的架構(gòu)共由4個平面組成，各平面之間使用不同的接口協(xié)議進行交互，各平面的 主要功能如下：(1)數(shù)據(jù)平面：數(shù)據(jù)平面由假設(shè)干網(wǎng)元構(gòu)成，每個網(wǎng)元可以包含一個或多個SDN數(shù)據(jù)路徑, 是一個被管

4、理的資源在邏輯上的抽象集合。每個SDN數(shù)據(jù)路徑是一個邏輯上的網(wǎng)絡(luò)設(shè)備， 沒有控制能力，只是單純用來轉(zhuǎn)發(fā)和處理數(shù)據(jù)的。一個SDN數(shù)據(jù)路徑包含控制-數(shù)據(jù)平面接 口代理、轉(zhuǎn)發(fā)引擎表和處理功能模塊3個局部。(2)控制平面：控制平面為SDN控制器，一個SDN控制器包含北向接口代理、SDN控制 邏輯以及控制-數(shù)據(jù)平面接口驅(qū)動3個局部。SDN控制器只要求邏輯上完整，因此它可以由 多個控制器實例協(xié)同組成，也可以是層級式的控制器集群。(3)應(yīng)用平面：應(yīng)用平面由假設(shè)干用戶需要的SDN應(yīng)用構(gòu)成，它可以通過北向接口與SDN 控制器進行交互，即這些應(yīng)用能夠通過可編程方式把需要請求的網(wǎng)絡(luò)行為提交給控制器。一 個SDN應(yīng)用

5、可以包含多個北向接口驅(qū)動(使用多種不同的北向API),同時SDN應(yīng)用也可 以對本身的功能進行抽象、封裝來對外提供北向代理接口，封裝后的接口就形成了更高級的 北向接口。(4)管理平面：管理平面主要負責(zé)一系列靜態(tài)的工作，這些工作比較適合在應(yīng)用、控制、 數(shù)據(jù)平面外實現(xiàn)，例如進行網(wǎng)元設(shè)置，指定SDN控制器，定義SDN控制器以及設(shè)定SDN(3)多級流表的處理過程：每個OpenFlow交換機包含多個流表，每個流表包含多個流表項，采用流水線方式處理。OpenFlow交換機的流表是從0開始按順序編號的。流水線處理總是從第一個流表開始。數(shù)據(jù)包首先與流表0中的流表項進行匹配。如果某流表項匹配成功，那么執(zhí)行該流表項

6、里的指 令。流表項的指令可以明確指定將數(shù)據(jù)包轉(zhuǎn)至另一個流表處理(GOTO指令)。一個流表項 只能將數(shù)據(jù)包轉(zhuǎn)到大于自己流表號的流表，也就是說流水線處理是單向的，只能前進而不準(zhǔn) 后退。流水線的最后一個流表項不包括GOTO指令。如果匹配的流表項中不包含GOTO指令，那么流水線處理將在該流表中停止。數(shù)據(jù)包會 被與之相關(guān)的行動集處理，這里的處理通常是指轉(zhuǎn)發(fā)。第五章SDN協(xié)議接口.簡述OpenFlow協(xié)議中流表的結(jié)構(gòu)和功能，比較流表與傳統(tǒng)網(wǎng)絡(luò)中交換機、 路由器中轉(zhuǎn)發(fā)表的相似點和不同點。參考答案：OpenFlow的流表項主要包括3個局部：用于數(shù)據(jù)分組匹配的分組頭域(HeadField)、用于 保存與條目相關(guān)

7、的統(tǒng)計信息的計數(shù)器(Counter)、匹配表項后需要對數(shù)據(jù)分組執(zhí)行的動作 表。分組頭域：分組頭域是數(shù)據(jù)分組匹配流表項時的參考依據(jù)，作用類似于傳統(tǒng)交換機進行 二層交換時匹配數(shù)據(jù)分組的MAC地址，也類似于路由器進行三層路由時匹配的IP地址。計數(shù)器：流表項中的計數(shù)器被用來統(tǒng)計流的一些信息，例如查找次數(shù)、收發(fā)分組數(shù)、生 存時間等。動作表：流表項可以根據(jù)指定動作字段來指導(dǎo)OF交換機如何處理流，動作表那么指定了 OF交換機處理相應(yīng)流的行為。動作表可以包含0個或多個動作，交換機會按照這些動作的 先后順序依次執(zhí)行。流表的功能與傳統(tǒng)交換機中的二層MAC地址表、路由器中的三層IP路由表類似，但又和 傳統(tǒng)設(shè)備不同，

8、流表可以同時包含更多層次的網(wǎng)絡(luò)特征，而且是由網(wǎng)絡(luò)管理者通過控制器編 程定義的，不再受限于隨設(shè)備出廠的操作系統(tǒng)。通過部署面向各種網(wǎng)絡(luò)服務(wù)的流表，一臺OF 交換機可集交換、路由、防火墻、網(wǎng)關(guān)等功能于一身，極大地提高了網(wǎng)絡(luò)部署的靈活性。.簡述OpenFlow協(xié)議中平安通道的建立過程。參考答案：OpenFlow控制器開啟TCP的6633端口等待交換機的連接，當(dāng)交換機啟動時，會連接到指 定控制器的6633端口。為了保證平安性，雙方需要交換證書完成身份認證。因此，每個交 換機至少需配置兩個證書，一個用來認證控制器，另一個用來向控制器發(fā)出認證。當(dāng)認證通過后，雙方會給對方發(fā)送握手消息，該消息攜帶各自支持的最高

9、的協(xié)議版本號，接 收方將采用二者中較低版本協(xié)議進行通信。一旦發(fā)現(xiàn)兩者擁有共同支持的協(xié)議版本，那么建立 平安通道，否那么發(fā)送錯誤消息，描述失敗原因，并終止連接。.創(chuàng)立一個小型拓撲，抓包分析OpenFlow交換機和控制器的交互過程。參考答案：OpenFlow交換機和控制器的交互過程：控制器與OpenFlow交換機通過TCP “3次握手”建立連接。其中，控制器的端口號為 6633o ACK (Acknowledge character)是確認字符?？刂破髋cOpenFlow交換機之間相互發(fā)送Hello消息，協(xié)商雙方的OpenFlow版本號。如 果雙方協(xié)商不一致，那么會產(chǎn)生Error （錯誤）消息?？刂?/p>

10、器向OpenFlow交換機發(fā)送Features Request （功能請求）消息，請求交換機上傳自 己的詳細參數(shù)。OpenFlow交換機收到請求后，向控制器發(fā)送Features Reply （功能反響）消 息，詳細匯報自身參數(shù)，包括支持的buffer （緩存）數(shù)目、流表數(shù)以及動作等?？刂破魍ㄟ^Set Config消息下發(fā)配置參數(shù)，然后通過Get Config Request消息請求 OpenFlow交換機上傳修改后的配置信息。OpenFlow交換機通過Get Config Reply消息向控 制器發(fā)送當(dāng)前的配置信息。如果要進行狀態(tài)的修改、控制器通過Modify State Messages消息

11、 修改包括 Table/Flow/Port/Meter Mod 參數(shù)?？刂破髋cOpenFlow交換機發(fā)送Packet_out Packet_in消息，通過Packet_out中內(nèi)置的 LLDP包，進行網(wǎng)絡(luò)拓撲的探測。控制器與OpenFlow交換機通過發(fā)送Multipart Request （多局部請求）、Mutipart Reply （多 局部反響）消息，可以獲取OpenFlow交換機的狀態(tài)信息，包括流的信息、端口信息等。控制器與OpenFlow交換機通過發(fā)送Echo Request （回應(yīng)請求）、Echo Reply （回應(yīng)反響） 消息，保證兩者之間存在有效連接，防止失聯(lián)。. NETCONF

12、協(xié)議作為一個網(wǎng)絡(luò)管理協(xié)議，與之前的SNMP以及CLI的管理方 式相比有什么優(yōu)點？ 參考答案：隨著網(wǎng)絡(luò)規(guī)模的增大、復(fù)雜度的增加，網(wǎng)絡(luò)管理的工作量也呈現(xiàn)出指數(shù)型的增長，傳統(tǒng)的命 令行界面CLL簡單網(wǎng)絡(luò)管理協(xié)議SNMP已經(jīng)不能適應(yīng)如今復(fù)雜的網(wǎng)絡(luò)管理工作，特別是 不能滿足配置管理的要求。NETCONF網(wǎng)絡(luò)配置協(xié)議定義了一種簡單的管理網(wǎng)絡(luò)設(shè)備的機制, 通過該機制可以在設(shè)備中檢索配置數(shù)據(jù)信息，使用相應(yīng)的軟件向設(shè)備上傳新的配置數(shù)據(jù)。通 過NETCONF協(xié)議，網(wǎng)絡(luò)設(shè)備可以提供規(guī)范的應(yīng)用程序接口 APL應(yīng)用程序可以使用這個簡 單的API來發(fā)送和接收完整或局部的配置數(shù)據(jù)。NETCONF使用遠程過程調(diào)用RPC方式促

13、 進客戶端和服務(wù)器之間的通信。NETCONF允許客戶端發(fā)現(xiàn)服務(wù)器支持的協(xié)議擴展集。 NETCONF可與基于XML的轉(zhuǎn)換技術(shù)配合使用，如可擴展樣式表轉(zhuǎn)換語言XSLT,構(gòu)建一 個能夠自動進行完整的和局部配置的系統(tǒng)。. NETCONF協(xié)議分成了幾層，每層對應(yīng)實現(xiàn)了什么功能？參考答案：NETCONF協(xié)議分成4層：內(nèi)容層、操作層、消息層、傳輸層：（1）傳輸層：底層傳輸協(xié)議的3個要求包括：面向連接：NETCONF協(xié)議是面向連接的，要求在對等方之間建立穩(wěn)定的連接，這種連 接必須提供可靠的、有序的數(shù)據(jù)傳輸。NETCONF的連接是長期存在的，在進行協(xié)議操作的 時候需要保持不變。身份認證、完整性和機密性：NETC

14、ONF連接必須提供身份認證、數(shù)據(jù)完整性、機密性 和重傳保護機制。例如，可以使用TLS或SSH對連接進行加密，具體取決于底層協(xié)議。強制性運輸協(xié)議：NETCONF協(xié)議必須支持SSH傳輸協(xié)議。（2）消息層：NETCONF協(xié)議采用基于RPC的通信模式。NETCONF協(xié)議使用vrpc和rpc- reply元素來提供與傳輸協(xié)議相獨立的NETCONF請求和響應(yīng)，來完成對網(wǎng)絡(luò)設(shè)備的配置管 理工作。（3）操作層：NETCONF協(xié)議在操作層中提供了一系列低級別操作來管理設(shè)備配置和檢索 設(shè)備狀態(tài)信息，而設(shè)備狀態(tài)信息一般存放在數(shù)據(jù)庫中，這些操作提供了檢索、配置、復(fù)制和 刪除配置數(shù)據(jù)存儲的功能。（4）內(nèi)容層：內(nèi)容層由配

15、置數(shù)據(jù)和通知數(shù)據(jù)組成。NETCONF的內(nèi)容層未指定具體的模型 結(jié)構(gòu)，而是指定了一套數(shù)據(jù)建模語言YANG。使用YANG模型定義的數(shù)據(jù)模型，均可以作 為NETCONF的內(nèi)容層。NETCONF協(xié)議可以通過不斷增加和修改對應(yīng)的YANG文件來實 現(xiàn)對協(xié)議的擴展。NETCONF可以支持用戶自定義的操作。.查閱資料，思考NETCONF主要有哪些應(yīng)用場景？參考答案：通過NETCONF用戶可以增加、修改、刪除網(wǎng)絡(luò)設(shè)備的配置，獲取網(wǎng)絡(luò)設(shè)備的配置和狀態(tài)信 息。NETCONF支持的操作和能力包括：（1）基本操作：NETCONF協(xié)議定義了基本能力，基本能力定義了一系列操作，用于修改 數(shù)據(jù)庫配置、從數(shù)據(jù)庫獲取信息等。（2

16、）標(biāo)準(zhǔn)能力集：NETCONF協(xié)議定義了一系列標(biāo)準(zhǔn)能力集。這些標(biāo)準(zhǔn)能力定義了一些新 的操作，使NETCONF功能更加強大，并使其在容錯性、可擴展性等方面得到加強，最終將 有利于實現(xiàn)基于NETCONF的開放式網(wǎng)絡(luò)管理體系結(jié)構(gòu)，為設(shè)備廠商擴展功能提供有效的 途徑。（3）擴展能力集：設(shè)備制造商也可以定義自己的能力集，以實現(xiàn)NETCONF定義以外的特 色功能。.登錄控制器，翻開Postman,在URL地址欄中輸入如下內(nèi)容,提交方式為GET, 來獲取交換機ID信息。 :/127.0.0.1:8080/restconf/operational/opendaylight-inventory:nodes參考答案

17、：第六章SDN基礎(chǔ)應(yīng)用開發(fā).請簡要談?wù)勈褂肧DN的仿真工具進行實驗的優(yōu)點與缺乏。參考答案：優(yōu)點：（1）節(jié)省資源，便于在有限的資源上進行復(fù)雜拓撲的實驗。（2）操作簡單，通過簡單的腳本就可以完成一個拓撲的創(chuàng)立。（3）速度快，實驗拓撲秒級啟動。缺點：（1）仿真工具UI易用性較差。（2）仿真終端不支持復(fù)雜應(yīng)用的部署。.請嘗試對實驗內(nèi)容進行修改并增添自己的想法，定制一個自己的實驗。第七章SDN綜合應(yīng)用開發(fā).請簡要談?wù)凷DN北向API的作用。參考答案：控制器北向API由控制器提供，可通過調(diào)用所述接口對控制器連接的交換機進行管理，管 理操作包括流表的增、冊k改、查，拓撲獲取，交換機配置更改等。.請回答SDN

18、防火墻的特點。參考答案：SDN作為新的網(wǎng)絡(luò)架構(gòu)理念，其基本特性包括轉(zhuǎn)控別離、控制平面可編程和集中控制。借 助SDN中心化的控制機制，企業(yè)用戶可以從全局網(wǎng)絡(luò)設(shè)備采集流量信息，建立起基于流量 的實時和歷史信息庫，精準(zhǔn)識別、阻斷異常流量，實現(xiàn)基于流的類防火墻功能。此外，借助 SDN開放的北向接口，用戶可以按需定制北向應(yīng)用，通過快速有效地將平安策略下發(fā)到安 全設(shè)備，實現(xiàn)平安措施的快速部署以及平安事件的及時響應(yīng)。SDN架構(gòu)的引入為網(wǎng)絡(luò)平安 領(lǐng)域的創(chuàng)新提供了巨大的想象空間。.請結(jié)合實際生活中的例子，談一談SDN的網(wǎng)絡(luò)平安的需求和挑戰(zhàn)。參考答案：近年來，為了滿足不斷增長的業(yè)務(wù)需求，金融機構(gòu)逐漸開始進行數(shù)據(jù)中

19、心的云化建設(shè)?；?軟件定義網(wǎng)絡(luò)（SDN）的金融云平臺需求包括：（1）互聯(lián)網(wǎng)化的業(yè)務(wù)日益增加，云網(wǎng)自動化協(xié)同的需求愈發(fā)迫切，而SDN數(shù)據(jù)平面接口開 放，自動化可編程，對外開放了網(wǎng)絡(luò)的能力，可以快速對接業(yè)務(wù)的組網(wǎng)需求；基于流（flow） 的轉(zhuǎn)發(fā)控制，使得網(wǎng)絡(luò)行為能夠更加多樣化、精細化。（2）面向外部金融機構(gòu)提供金融云托管服務(wù)，在服務(wù)形態(tài)多樣化的同時，對于網(wǎng)絡(luò)服務(wù)的 質(zhì)量與平安也提出了更高的要求。而SDN具有中心化的控制平面，提供了全網(wǎng)的視角與全 局的網(wǎng)絡(luò)信息。SDN本質(zhì)是網(wǎng)絡(luò)架構(gòu)上的革新，在組網(wǎng)方面可以提升網(wǎng)絡(luò)的利用效率與靈 活性，在平安方面對網(wǎng)絡(luò)進行精細化細粒度的管控成為可能。在數(shù)據(jù)層面理論上

20、SDN增強了平安可控性與隔離粒度，而不會造成額外的平安風(fēng)險。但是 在策略轉(zhuǎn)換與指令下發(fā)的過程中，由于是SDN全自動化地進行，因此在管理與控制層面有 可能會引入新的風(fēng)險。SDN的信息風(fēng)險點主要存在于控制平面及其相關(guān)聯(lián)的南北向鏈路上。 控制器作為網(wǎng)絡(luò)大腦，需要更高強度的保護措施。應(yīng)用的控制范圍等。SDN是如何實現(xiàn)控制平面與數(shù)據(jù)平面別離的？參考答案：SDN以網(wǎng)絡(luò)設(shè)備的FIB表為界分割數(shù)據(jù)平面和控制平面,其中交換設(shè)備只是一個輕量級的、 “啞”的數(shù)據(jù)平面，僅保存FIB和高速交換轉(zhuǎn)發(fā)能力，而上層的控制決策全部由遠端的統(tǒng)一控 制器節(jié)點完成，在這個節(jié)點上，網(wǎng)絡(luò)管理員可以看到網(wǎng)絡(luò)的全局信息，并根據(jù)該信息做出優(yōu)

21、化的決策，數(shù)據(jù)平面和控制平面之間采用SDN南向接口協(xié)議連接，這個協(xié)議將提供數(shù)據(jù)平 面可編程性。SDN是如何實現(xiàn)網(wǎng)絡(luò)可編程的？參考答案：對上層應(yīng)用的開發(fā)者來說，SDN的編程接口主要表達在北向接口上，北向接口提供了一系 列豐富的APL開發(fā)者可以在此基礎(chǔ)上設(shè)計自己的應(yīng)用而不必關(guān)心底層的硬件細節(jié)，就像目 前在x86體系的計算機上編程一樣，不用關(guān)心底層寄存器、驅(qū)動等具體的細節(jié)。北向接口的 設(shè)計是否完善會直接影響整個SDN的可編程能力。第二章SDN仿真環(huán)境.簡單舉例說明Mininet在SDN仿真中的作用。參考答案：Mininet是一個可以在有限資源的普通計算機上快速建立大規(guī)模SDN原型系統(tǒng)的網(wǎng)絡(luò)仿真 工具

22、。該系統(tǒng)由虛擬的終端節(jié)點(End-Host) OpenFlow交換機、控制器(也支持遠程控制 器)組成，這使得它可以模擬真實網(wǎng)絡(luò)，可對各種想法或網(wǎng)絡(luò)協(xié)議等進行開發(fā)驗證。目前 Mininet已經(jīng)作為官方的演示平臺對各個版本的OpenFlow協(xié)議進行演示和測試。.不使用Mininet的可視化應(yīng)用，寫一份拓撲文件，并且在Mininet中使用這份 拓撲文件來生成對應(yīng)的拓撲。參考答案：拓撲文件內(nèi)容如下：#!/usr/bin/python from import Mininetfrom mininet.node import Controller; RemoteController, OVSControl

23、lerfrom mininet.node import CPULimitedHost, Host, Nodefrom mininet.node import OVSKernelSwitch, UserSwitchfrom mininet.node import IVSSwitchfrom mininet.cli import CLIfrom mininet.log import setLogLevel, infofrom mininet.link import TCLink； Intffrom subprocess import call def myNetwork():net = Minin

24、et( topo=Nonezbuild-False, ipBase=10.0.0.0/8)info( * Adding controllern)cO=net.addController(name=,cOcontroller二Controller, protocol=tcp port=6633)info( * Add switchesn)s2 = net.addSwitch(s2, cls=OVSKernelSwitch)si = net.addSwitchCsl, cls=OVSKernelSwitch)info( * Add hostsn)h2 = net.addHost(,h2/ cls=

25、Hostz ip=10.0.0.2z defaultRoute=None)hl = net.addHostChl, cis=Host, ip=10.0.0.1, defaultRoute=None)h3 = net.addHostChS, cis=Host, ip=10.0.0.3 defaultRoute=None)info( * Add linksn)net.addLink(hl/ si)net.addLink(sl/ s2)net.addLink(s2z h2)net.addLink(s2, h3)info( * Starting networkn)net.buildOinfo( * S

26、tarting controllersn)for controller in net.controllers:controller.startOinfo( * Starting switchesn)net.get(s2).start(c0)net.getCslJ.startCIcO)info( * Post configure switches and hostsn)CU(net)net.stopOif _name_ = _main_:setLogLevel( info)myNetworkQ步驟 啟動Mininet可視化界面步驟 添加并連接網(wǎng)絡(luò)組件步驟 設(shè)置控制器、主機和交換機的屬性步驟 單擊

27、“File一“Export Level 2 Script”,將其保存為Python腳本，命名topo.py步驟 執(zhí)行命令sudo python topo.py運行腳本生成對應(yīng)的拓撲.創(chuàng)立拓撲，畫出端口轉(zhuǎn)發(fā)表來說明MAC地址學(xué)習(xí)的過程。參考答案：(1)創(chuàng)立拓撲命令：mn topo linear,2,2 mac switch ovsk controller=noneMAC地址學(xué)習(xí)的過程：步驟 如以下圖，假設(shè)交換機A和B的MAC地址表是空的，主機11向主機33發(fā)送數(shù) 據(jù)幀。交換機A交換機B主機11主機22主機33主機44圖 主機11向主機33發(fā)送數(shù)據(jù)幀步驟 交換機A接收到數(shù)據(jù)幀后，執(zhí)行以下操作。交換

28、機A學(xué)習(xí)主機11的MAC地址和端口號，用“11”代表主機11的MAC地址，此 時交換機A的MAC地址表如圖2-30所示。交換機A查看自己的MAC地址表。如果MAC地址表中有目的主機MAC地址，那么直接進行數(shù)據(jù)轉(zhuǎn)發(fā)；如果沒有，那么繼續(xù)執(zhí) 行以下步驟。交換機A向除源數(shù)據(jù)發(fā)送端口外的其他所有端口發(fā)送廣播(這里交換機A從端口 2和端 口3向外發(fā)送廣播)。步驟 交換機B在接收到數(shù)據(jù)幀后，執(zhí)行以下操作。交換機B學(xué)習(xí)源MAC地址和端口號，此時交換機B的MAC地址表如以下圖所示。MAC地址端口號113圖交換機B的MAC地址表交換機B查看自己的MAC地址表。交換機B向除源數(shù)據(jù)發(fā)送端口外的其他所有端口發(fā)送廣播(這

29、里交換機B從端口 1和端 口 2向外發(fā)送廣播)。步驟 主機22查看接收到的數(shù)據(jù)幀，發(fā)現(xiàn)目標(biāo)MAC地址不是自己，丟棄數(shù)據(jù)幀。步驟 主機33接收數(shù)據(jù)幀，主機44丟棄數(shù)據(jù)幀。步驟 假設(shè)這時主機44要給主機11發(fā)送數(shù)據(jù)幀。步驟 交換機B接收到數(shù)據(jù)幀后，執(zhí)行以下操作。交換機B學(xué)習(xí)主機44的MAC地址和端口號，此時交換機B的MAC地址表如以下圖所zKoMAC地址端口號113442圖交換機B的MAC地址表交換機B查看自己的MAC地址表，根據(jù)MAC地址表中的條目，單播轉(zhuǎn)發(fā)數(shù)據(jù)到端口 3o步驟 交換機A在接收到數(shù)據(jù)幀后，執(zhí)行以下操作。交換機A學(xué)習(xí)源MAC地址和端口號，此時交換機A的MAC地址表如以下圖所示。MA

30、C地址端口號111443圖交換機A的MAC地址表交換機A查看自己的MAC地址表，根據(jù)MAC地址表中的條目，單播轉(zhuǎn)發(fā)數(shù)據(jù)到端口 lo主機11接收到數(shù)據(jù)幀。至此，MAC地址學(xué)習(xí)過程結(jié)束。.談?wù)凪ininet下MAC地址學(xué)習(xí)的作用。參考答案：MAC地址是識別LAN節(jié)點的標(biāo)識，MAC對設(shè)備（通常是網(wǎng)卡）接口是全球唯一的。對于 網(wǎng)卡來說，MAC地址是它的物理地址，是不可變的，而IP地址是它對應(yīng)的邏輯地址，是可 以更改的。在交換機中有一張記錄局域網(wǎng)主機MAC地址與交換機接口對應(yīng)關(guān)系的表，交換 機可根據(jù)這張表將數(shù)據(jù)幀傳輸?shù)街付ǖ闹鳈C上。交換機在接收到數(shù)據(jù)幀以后，首先將數(shù)據(jù)幀 中的源MAC地址和對應(yīng)的接口記錄

31、到MAC表中，接著檢查自己的MAC表中是否有數(shù)據(jù) 幀中的目標(biāo)MAC地址的信息。如果有，那么根據(jù)MAC表中記錄的對應(yīng)接口將數(shù)據(jù)幀發(fā)送出 去（也就是單播）；如果沒有，那么將該數(shù)據(jù)幀從非接收接口發(fā)送出去（也就是廣播）。.說明SDN仿真環(huán)境和傳統(tǒng)網(wǎng)絡(luò)仿真環(huán)境的異同。參考答案：傳統(tǒng)的網(wǎng)絡(luò)仿真平臺（如NS2、OPNET）或多或少存在著某些缺陷，難以準(zhǔn)確地模擬網(wǎng)絡(luò)實 際狀態(tài)，并且不具備交互特性,這使得基于這些平臺開發(fā)的代碼不能直接部署到真實網(wǎng)絡(luò)中。 斯坦福大學(xué)Nick McKeown研究小組基于Linux Container架構(gòu)，開發(fā)了 Mininet這,輕量級 的進程虛擬化網(wǎng)絡(luò)仿真工具。Mininet最重

32、要的一個特點是，它的所有代碼幾乎可以無縫遷 移到真實的硬件環(huán)境，方便為網(wǎng)絡(luò)添加新的功能并進行相關(guān)測試。第三章SDN數(shù)據(jù)平面.數(shù)據(jù)平面有哪幾個方面的功能？請簡要說明。參考答案：數(shù)據(jù)平面通過硬件轉(zhuǎn)發(fā)芯片對數(shù)據(jù)分組進行高速轉(zhuǎn)發(fā)，基本功能主要包括轉(zhuǎn)發(fā)決策、背板轉(zhuǎn) 發(fā)以及輸出鏈路調(diào)度等幾個方面。（1）轉(zhuǎn)發(fā)決策：交換設(shè)備的各種轉(zhuǎn)發(fā)行為均與協(xié)議相關(guān)。無論是交換機還是路由器，其工 作原理都是在端口收到數(shù)據(jù)分組時，將數(shù)據(jù)分組中的目的地址與設(shè)備自身存儲的MAC地址 表或路由表進行匹配，從而確定數(shù)據(jù)分組轉(zhuǎn)發(fā)的目的端口。表項匹配的工作是由交換設(shè)備中 的交換芯片來實現(xiàn)的。（2）背板轉(zhuǎn)發(fā)：交換機通過背板把各個端口連接起來

33、，數(shù)據(jù)分組經(jīng)轉(zhuǎn)發(fā)決策后，由背板從 入端口轉(zhuǎn)發(fā)到目的端口。交換機背板的交換結(jié)構(gòu)可以分為共享總線結(jié)構(gòu)、共享內(nèi)存結(jié)構(gòu)和 CrossBar 結(jié)構(gòu)。（3）輸出鏈路調(diào)度：各個端口針對接收線路和發(fā)送線路各有一個緩沖隊列。當(dāng)數(shù)據(jù)分組發(fā) 往交換機時，發(fā)出的數(shù)據(jù)分組暫存在交換機的接收隊列中，然后等待下一步處理。如果交換 機決定把接收的數(shù)據(jù)分組發(fā)送給某一終端，這時候交換機把要發(fā)送的數(shù)據(jù)分組發(fā)往該接收終 端所在端口的發(fā)送隊列，然后發(fā)送到接收終端，如果終端忙那么一直存儲在發(fā)送隊列中。. SDN交換機和傳統(tǒng)交換機有什么區(qū)別？參考答案：SDN交換設(shè)備的基本功能仍然包括轉(zhuǎn)發(fā)決策、背板轉(zhuǎn)發(fā)、輸出鏈路調(diào)度，但在功能的具體 實現(xiàn)上

34、與傳統(tǒng)網(wǎng)絡(luò)的交換設(shè)備有所不同。（1）轉(zhuǎn)發(fā)決策：支持OpenFlow南向接口協(xié)議的SDN交換設(shè)備首先用流表代替了傳統(tǒng)網(wǎng)絡(luò) 設(shè)備二層和三層轉(zhuǎn)發(fā)表，該流表中的每個表項都代表了一種流解析以及相應(yīng)的處理動作。數(shù) 據(jù)分組進入SDN交換機后，先與流表進行匹配查找，假設(shè)與其中一個表項匹配成功，那么執(zhí)行 相應(yīng)的處理動作；假設(shè)無匹配項那么上交控制器，由其決定處理決策。這些流程的實現(xiàn)依舊需要 依賴網(wǎng)絡(luò)設(shè)備內(nèi)的交換芯片。（2）背板轉(zhuǎn)發(fā)：數(shù)據(jù)中心是目前SDN應(yīng)用最廣泛的場景之一，其對交換機數(shù)據(jù)交換速率的 要求相對較高。不過就目前的網(wǎng)絡(luò)設(shè)備來說，設(shè)備的速率瓶頸主要還是交換芯片，背板提供 滿足要求的交換速率并不難。（3）輸

35、出鏈路調(diào)度：正常情況下，數(shù)據(jù)分組發(fā)往交換機某一端口或準(zhǔn)備從交換機某一端口 發(fā)出時，均需在端口隊列中等待處理。支持QoS的交換機那么可能要對報文支持根據(jù)某些字 段進行分類，以進入有優(yōu)先級的隊列，對各個隊列進行隊列調(diào)度以及修改報文中的QoS字 段等操作。支持OpenFlow南向接口協(xié)議的SDN交換機對QoS的支持主要有基于流表項設(shè) 置報文入隊列、根據(jù)Meter進行限速、基于Counter進行計費、基于Group的Select功能進 行隊列調(diào)度等。背板轉(zhuǎn)發(fā)和輸出鏈路調(diào)度功能沒有給SDN交換機帶來太大挑戰(zhàn)，但轉(zhuǎn)發(fā)決策卻給SDN交 換機在技術(shù)實現(xiàn)上帶來了很大的難題。OpenFlow交換機的流表有別于傳統(tǒng)

36、交換設(shè)備，它的 邏輯粒度性更高，可以包含更多層次的網(wǎng)絡(luò)特征，可以使交換機集交換、路由、防火墻、網(wǎng) 管等功能于一身，這也正是SDN靈活性的由來。而交換芯片需要通過查找這樣一張流表來 對進入交換機的數(shù)據(jù)分組進行轉(zhuǎn)發(fā)決策，這就對交換芯片的性能在設(shè)計和實現(xiàn)上提出了新的 要求。.什么是白盒交換機？它的特點是什么？參考答案：白盒交換機（Whitebox Switch）,也被叫作白牌交換機、裸機交換機。“白盒”一詞原本指沒 有品牌的計算機，這些白盒計算機的原始設(shè)計制造商(Original Design Manufacture, ODM) 如今也開始涉足網(wǎng)絡(luò)設(shè)備市場，主要廠商有Accton Celestica

37、 Quantao他們希望在今后的 網(wǎng)絡(luò)設(shè)備市場上，用戶可以像挑選個人計算機一樣挑選各廠商生產(chǎn)的網(wǎng)絡(luò)設(shè)備。一旦網(wǎng)絡(luò)設(shè) 備軟、硬件接口標(biāo)準(zhǔn)化了，ODM廠商便可以購買芯片廠商生產(chǎn)的交換芯片，按客戶的要求 生產(chǎn)白盒交換機。用戶可自行安裝網(wǎng)絡(luò)操作系統(tǒng)和應(yīng)用程序，并由網(wǎng)絡(luò)管理人員編程來控制 設(shè)備轉(zhuǎn)發(fā)行為，實現(xiàn)自營業(yè)務(wù)的靈活創(chuàng)新和快速部署。白盒交換機沒有軟件是無法使用的，每臺交換機都需要一個獨立于硬件的網(wǎng)絡(luò)操作系統(tǒng)。 Linux操作系統(tǒng)可提供眾多的優(yōu)勢(包括開源/免費工具，如GCC、Python的本地環(huán)境以及 在板上編譯自開發(fā)應(yīng)用的能力)，使得它成為白盒交換機理想的操作系統(tǒng)。另外，假設(shè)想真正 將白盒交換機部

38、署到SDN中，還必須使其與SDN控制器交互，白盒交換機操作系統(tǒng)的一個 關(guān)鍵特性就是能夠連接SDN控制器(如Ryu、Floodlight等)。5. Open vSwitch由哪幾個基本部件組成？各有什么功能？參考答案：Open vSwitch基本部件分為3個局部：其一是ovs-vswtichd守護進程，慢速轉(zhuǎn)發(fā)平面，位于 用戶空間，完成基本轉(zhuǎn)發(fā)邏輯，包括地址學(xué)習(xí)、鏡像配置、IEEE 802.1Q VLAN、鏈路匯聚 控制協(xié)議(Link Aggregation Control Protocol, LACP) 外部物理端口綁定、基于源MAC和 TCP負載均衡或主備方式，支持OpenFlow協(xié)議，可通

39、過sFlow、NetFlow或交換端口分析 器(Switched Port Analyzer, SPAN)端口鏡像方式保證網(wǎng)絡(luò)可視性，配置后數(shù)據(jù)交由ovsdb- server進程存儲和管理；其二是核心數(shù)據(jù)轉(zhuǎn)發(fā)平面，即openvswitch_mod.ko模塊，它位于內(nèi) 核空間，完成數(shù)據(jù)分組查詢、修改、轉(zhuǎn)發(fā)，隧道封裝，維護底層轉(zhuǎn)發(fā)表等功能；其三是控制 平面，分布在不同物理機上的軟件交換機通過OpenFlow控制集群組成分布式虛擬化交換機, 還實現(xiàn)了不同租戶虛擬機隔離功能。每個數(shù)據(jù)轉(zhuǎn)發(fā)保持一個OpenFlow連接，轉(zhuǎn)發(fā)平面中的 數(shù)據(jù)流在第一次通過軟件交換機時，都被轉(zhuǎn)發(fā)到OpenFlow控制器進行處理

40、，OpenFlow根 據(jù)14層信息特征匹配，定義轉(zhuǎn)發(fā)、丟棄、修改或排隊策略，第二次數(shù)據(jù)轉(zhuǎn)發(fā)時就直接由 核心轉(zhuǎn)發(fā)模塊處理，加快了后續(xù)數(shù)據(jù)處理過程。4.嘗試結(jié)合現(xiàn)有網(wǎng)絡(luò)場景，說明Open vSwitch在該場景下的優(yōu)勢和應(yīng)用方法。參考答案：(1)應(yīng)用場景：數(shù)據(jù)中心。(2)優(yōu)勢：能同時支持多種標(biāo)準(zhǔn)的管理接口和協(xié)議(如NetFlow、sFlow、SPAN、RSPAN、 CLI、LACP、802.1ag等)，支持跨物理服務(wù)器分布式管理、擴展編程、大規(guī)模網(wǎng)絡(luò)自動化。 Open vSwitch具備很強的靈活性，可以在管理程序中作為軟件交換機運行，也可以直接部署 到硬件設(shè)備上作為控制層。利用其作為SDN的基礎(chǔ)

41、設(shè)施層轉(zhuǎn)發(fā)設(shè)備，可以大幅降低部署成 本，還可以提高網(wǎng)絡(luò)的靈活性以及擴展性。節(jié)省硬件本錢、部署靈活。(3)應(yīng)用方法：Open vSwitch主要用于轉(zhuǎn)發(fā)數(shù)據(jù)，常見的操作有網(wǎng)橋和端口的添加、刪除、 查看等；流表的添加、查看等；QoS設(shè)置及端口映射等。.如果不刪除cthO直接刪除brO, brO及掛接到brO上的端口會被一并刪除嗎？參考答案：直接刪除brO,此時brO會被刪除，而brO上的端口從brO上刪除，但ethO實際網(wǎng)卡依舊存 在。.根據(jù)流表操作表格，嘗試按照如下要求添加流表項：假設(shè)存在端口 2流入的 源IP地址為的IPv4數(shù)據(jù)包，將該流的目的IP地址修改為(ovs-ofctl add-flo

42、w brO idle_timeout=1000,priority=l,in_port=2,dl_type=0 x0800/,actions=mod_nw_dst:10.0.0.2)參考答案：.假設(shè)某網(wǎng)吧使用OVS進行總機數(shù)據(jù)交換，該OVS現(xiàn)有網(wǎng)橋及端口如圖3-56 所示，假設(shè)端口 ethl和eth4的速率需求為1000 kbit/so現(xiàn)要求用eth8對上述兩 端口進行監(jiān)控，同時為3個端口提供QoS保障。試根據(jù)實驗所學(xué)內(nèi)容，寫出OVS 的關(guān)鍵配置步驟。3f Zd706b-8776-440d-b4e3-da0ef103d1Z0Bridge br-swController Mtcp：30.0.1.3

43、:66330 fail_mode： securePort Interface ethlPort Meth4uInterface eth4Port “eth8”Interface eth8圖3-56現(xiàn)有網(wǎng)橋和端口參考答案： 監(jiān)控配置如下：ovs-vsctl set bridge br-sw mirrors=mid = m create mirror name=mymirror select-dst-port=ethl uuidselect-src-port=eth4 uuidoutput-port=eth8 uuidQoS配置如下：ovs-vsctl set interface ethl ingress_policing_rate=100000ovs-vsctl set interface ethl ingress_policing_burst=50000ovs-vsctl set interface eth4 ingress_policing_rate=100000ovs-vsctl set interface eth4 ingress_policing_burst=50000ovs-vsctl set interface eth8 ingress_policing_rate=100000ovs-vsctl set interfac