1、SDN 核心技術剖析和實戰指SDN 技術概SDN 核心技術剖析和實戰指SDN 技術概SDN交換機及南向接口技OpenFlow協OpenFlow概OpenFlow架OpenFlow規范特流安全通OF 協OpenFlow規范版本演OF交換機結構改多流組計數器變指OpenFlow通OF 協議擴OpenFlow端IPv6 支多控制其他改OpenFlow存在的問OF-config協OF-config協議架OF-config協議特配置需數據模綁定到 OVS交換機實現分OVS交換機實現原OVS交換機基本功本章小SDN控制器及北向接口技SDN應用編排和資源管理技SDN 網絡系統實SDNSDN應用編排和資源管理

2、技SDN 網絡系統實SDN 產業分流表的變1SDN 技術2SDN交換機及南向接口技2.1.1. 2.1.2. 2.2OpenFlowopenflow 起源、發展歷程（這部分如果在第一章已涉及到，則簡略） openflow基本架構（openflow1.0SDN的架構圖） openflow1.0 介紹 2.2.1. OpenFlow 斯坦福大學的NickMcKeown20084月ACMCommunicationsReview上發表的一篇論文OpenFlowenablinginnovationincampusnetworksOpenFlow OpenFlow 由美國科學基金會（NSF）GlobalE

3、nvironment for Network Investigations （GENI）計OpenFlow 進行了資金支持并已開始實施“GENI Enterprise”計劃。OpenFlow從提出到現在，已經在硬件和軟件支持方面取得了長足的發展。2009 12 1.2版、1.3 版、.2 10由美國科學基金會（NSF）GlobalEnvironment for Network Investigations （GENI）計OpenFlow 進行了資金支持并已開始實施“GENI Enterprise”計劃。OpenFlow從提出到現在，已經在硬件和軟件支持方面取得了長足的發展。2009 12 1.

4、2版、1.3 版、.2 1012VLANpriorityIPToS bits 2 entriesSSL TLS 隧道。2.2.2. OpenFlow 1.1版、1.2版、1.3版、.2版，而且專家們還在繼續對 1.0 的內容，并在后面專門一節里說明其后版本對規范的改進。OpenFlow1.0OpenFlow（OF交換機OpenFlowSwitchSpecificationDec.31,OpenFlowSwitchSpecificationFeb.28,OpenFlowSwitchSpecificationDec.OpenFlowSwitchSpecificationJune25,OpenFlo

5、wSwitchSpecificationSept.6,OpenFlowSwitchSpecificationApril25,OpenFlowConfigurationandManagement Protocol 1.0 (OF-Config 1.0)Dec.23,OpenFlowConfigurationandManagement Protocol 1.1 (OF-Config 1.1)Jan.25,OpenFlowConfigurationandManagement Protocol 1.1.1 (OF-Config 1.1.1)March23,March2012Interoperabili

6、tyEventTechnical Paper, v1.0April19,March2012InteroperabilityEventWhite Paper, v1.0April18,October2012InteroperabilityEventTechnical Paper, v0.4Feb.7,2-1OpenFlow 2-1所示，OF 2-1OpenFlow 2-1所示，OF 3 2.2.3. OpenFlow 正如第一章提到的，OpenFlow ONF 定義的 SDN 架構中的南向接口標準之一，所謂 SDN 的一個重要特征就是控制與轉發的分離，控制功能都集中到控制器上完成，OF 交換機只

7、做 OF 交換機間流表的查詢與傳送就是 APIAPI TCP 連接。 OpenFlowOF交換機之間建立了一條安全通道，OF 1.0 規定了流表的格式和內容， OF 協議?？刂破矫媾c轉發平面分離后，OF 交換機只要做簡單的數據轉發工作，但數據轉發的依據不 （flowtable fields（coutes（actions 2-1 （1）Header 1.012VLANpriority1.012VLANpriorityIPToSbits2entries2-2 IPIP地址、IP協議號、IPToS 位、TCP/UDP源端口、TCP/UDP 目的（any2-2 2-3 2-4 2-4 2-4 級順序依

8、次進行， 但對包的發送不保證順序。另外交換機可以對不支持的行動返回錯誤（unspportedflowerror） （ForwardALL CONTROLLER： 封裝并轉發給控制器 LOCAL： 轉發給本地網絡棧TABLEIN_PORTTABLEIN_PORT1.03 種，轉發、入隊和修改域。OF NORMAL： 按照傳統交換機的 2 OpenFlow-enabled 交換機支持。層、VLAN 或 3 層進行轉發處理，僅（Enqueue可選行動-修改域（Modify-field。修改包頭內容。具體的行為見表格 2-5。2-（42-（4）2OpenFlow （OpenFlo-only（OpenF

9、lo- hybridOpenFlowOF 交換機與傳統交換機混合組網時可能遇到的協議 選行動-NORMAL2 層、VLAN 3 層進行轉發處理。OpenFlowOpenFlow而設計的。它不支持現有的商用交換機上的正常處理流程，所有經過該交換機的數據都按照 OpenFlow OpenFlowOpenFlowOpenFlowOpenFlow交換機是用來在端口間轉發數OpenFlow OpenFlow 協議來 OpenFlow OF OpenFlow OFOF 2 種模式：主動模式和被動模式。 OpenFlow 將整個網絡的控制平面工作都集中到控制器上完成，這在提高架構靈活性的同時OF 交換機自身

10、無法解析路由，當收到一個全新的數據包時，流表中沒有對應的流表項，因此其轉發引擎會將數據包交給 CPU 處理，CPU 將數據包封裝完成后通過安全隧道（TLS 隧道）轉發給控制器，控制器解封裝后檢查數據包頭的內容，計這個過程就會反復出現，就會降低數據的傳輸效率，進而影響到業務的性能。控制器的 2OF 控制器將所有轉發信息一次性寫入流表中，OF 交換機在數據包到達之前就已經有了全部的 OF 交換機從控制器申請的模式。二者各OF 交換機的流表的容量提出了較高的要求，特別是在瀏覽比較復雜的環OF 交換OpenFlow 規范提供 2-2OF802.1D2-3描述了流表項2-2OF 2-2OF 2-3 2-

11、22-3。 IPICMP IPICMP ICMP Type Code。對于分段數0 后繼續查詢。OFOpenFlow 協議?？刂芆FOF 交換機的事件并向交換機OFOpenFlow TCPNick McKeown 等人寫的“OpenFlowEnabling Innovation in TSL。SSL(SecureSocketLayer)Netscape web的安全傳輸協3.0。IETF()SSL RFC2246 SecuritySSL3.0TLS1.0SSL3.1 6633TCP 端口。雙方通過交換證書進行認證。因此，每個交換OF OpenFlow 協議用來描述控制器和交換機之間交互所用的信

12、息的標準，以及控制器和交換機OpenFlow 協議信息結構的集合。OpenFlowOF輸通道上交互發送協議消息實現的。OF TLS 隧道。本OF 協議中的消息及其消息的交換過程。1OF ，每一類消息又有多個子消息類型。其中controller-to-switch消息由控制器發起，用來管理或OF交換機的狀態；asynchronous OF 交換機發起，用來將網絡事件或交換機狀態變化更新到控制器；symmetric 消息可由交換機或控制器發起。各類消息描述如下： Features、Configuration、Modify-state、Read-state、Send-packet、Barrier 等

13、。這些消息主要由控（2）asynchronous 送到控制器”，則發送Packet-in 消息給控制器。如果交換機緩存足夠多，數據包被臨時放在緩Flow-removed （3）symmetric Vendor 等消息。 2OFOF隧道建立起來后，雙方必須首先發送OFPT_HELLO 消息給對方，該消息攜帶本方支持的 OF交換機可以選擇支持802.1D 生成樹協議。如果支持，所有相關包在查找流表之前應該先在本地進行傳統生成樹處理。支持生成樹協議的交換機在OFPT_FEATURES_REPLY 消息的 compabilities 域需要設置OFPC_STP 位，并且需要在所有的物理端口均支持生成樹

14、協議，但生成樹協議會設置端口狀態，來限制發到OFP_FLOOD 的數據包僅被轉發到生成樹指定的端口。需要注意指定出口的轉發或OFP_ALL 的數據包會忽略生成樹指定的端口狀態，按照規生成樹協議會設置端口狀態，來限制發到OFP_FLOOD 的數據包僅被轉發到生成樹指定的端口。需要注意指定出口的轉發或OFP_ALL 的數據包會忽略生成樹指定的端口狀態，按照規 velyely標記P_CCK_ELP （包頭范圍velofp_eror_msg，并且指明E_FM_LE類型和PMCERL代碼。對于有效（無沖突）的ADD消息，或不帶OFPFF_CHECK_OVERLAP 標志的ADD消息，新表項如果ADD消息

15、添加的表項使用了交換機不合法的端口，則交換機返回ofp_error_msg 消息，同時帶有OFPET_BAD_ACTION 類型和OFPBAC_BAD_OUT_PORT代碼。（ELET或LEE_SRIC2.2.4. OpenFlow OpenFlow2.2.4. OpenFlow OpenFlow2009126個版1.0 版、1.1 版、1.2 版、1.3 版、1.3.1 1.3.2 版。 版本不兼容。除多流表之外，1.1版本主要的變化還有增加組表，增加了匹配域的數目，并且增加了MPLS VLAN 標記。 1.3PBB1.3.1 認證只有1.0 1.3 2 個版本。本節主要介1.0 之后到1.

16、3 版本OpenFlow 協議中OF OpenFlow1.1版本之后，OF2.42-4 最新OpenFlow OpenFlow 1.12-1 一是流表的變化，由單一的流表變為由流水線串聯而成的多流表；二是增加了組表。這 OpenFlow1.1 3OpenFlow1.1 3 部分組成，但是名稱發生了變化：原先的頭域（HeaderFields）變為匹配域（MatchFields，計數器域沒變，原先的行動（actions）（Instructions2-6 所示。2-61.1 級、超時定時器和cookie2-7 所示。2-7 1.3 OpenFlow1.0在實際應用中還面臨著一些技術的難點。其中之一就

17、是路由器/交換機中TCAM TCAM 的表包括 FIB、MAC、MPLS Lable ACL 表，每個表的匹配字段長度不一，分開設計，并且設計了最 Flow TCAM 體系下流表記錄的動態插入算法將更為復雜。OpenFlow1.1 設計了多級流表來減少流表的開銷，將流表進行特征提取，分解成多個步驟，10000條，分解成先VLAN+MACIP10002000 條。但流水線式架構使得匹配時延增加，而且流量的生成、維 Switch0開始依次匹配； 數據包等。OpenFlowInstructions Actions 進行了完整詳細的說明0 0 （actions 2-5 2-6 2-8 在規范1.12-

18、8 在規范1.14 種：所有（a）elct）et）： 元數（MetadataMPLS 標簽MPLS 業務類3 另一個變化就是IP proto、 TCP/UDP 2-9。2-9 1.1中匹配域的組成151.2361.1版本中復用的域全部分開，并且增加IPv62-10 13 OF 交換機必須支持的，2- 1.3.2 39 PBBtunnel-IDIPv6 2-12 1.2 版本相同，見表格 2-10 1.22-10 1.2中匹配域組成-36 2-11OF 2-11OF 2-121.3之后匹配域組成-392-1.1 2-1.32-1.3 1.151.36可選指令：Meter可選指令：Metermet

19、erid（1.3版本以后支持）: 可選指令：Apply-Actionsaction(s): 立即進行指定的行動，而不改變行動集。這個指 可選指令：Clear-Actions: 在行動集中立即清除所有的行動。必選指令：Write-Actionsaction(s): 將指定的行動添加到正在運行的行動集中。可選指令：Write-Metadata metadata / mask : 在元數據區域記錄元數據。必選指令：Goto-Tablenext-table-id: IDApply-Actions （這里沒有貼順序列表）1.1必選行動：Output.1.1中可選行動-Output中增加了LOCAL端規范

20、1.1版本改名為Set-Queue必選行動：Drop.1.0可選行動：Push-Tag/Pop-Tag。用于VLAN、MPLATag的入棧和出棧。規范1.1版本增加?？蛇x行動：Set-Field. 設置報文包頭的類型和修改包頭的值。 規范1.0中稱為Modify-field，規范1.1版本改名為Set-FieldChange-TTL.TTL 1.2中的匹配流程也有擴充，主要是增加了MPLS 2-8 所示。2-7 2-7 1.1 2-8 2-8 1.1 中表N 1.3table-miss項。如果數據包在流表中沒有匹配到流表項，稱為一個流表失02-9 所示。2-9 1.3 OpenFlow2-9

21、1.3 OpenFlow1.0TLS1.1版本 TCP 6633 端口。0.OF OpenFlow1.1OF協議消息數量沒有變化，只是1.0版本中controller-to-Send-packet改名為Packet-out，Vendor 改名為ExperimenterOpenFlow 1.3 2 controller-to-switch Role-Request Role-Request：用于控制器向其OpenFlow通道設置或查詢role1.OpenFlow OpenFlow1.2OpenFlow端口。OpenFlowOpenFlow 進程和網絡之間傳遞數據包的網絡接口。OF 交換機之間通過

22、 OpenFlow 端口在邏輯上相互連接。 在此還有一個標準端口的定義，OpenFlow 的標準端口為物理端口，邏輯端口，本地保留端在此還有一個標準端口的定義，OpenFlow 的標準端口為物理端口，邏輯端口，本地保留端 OpenFlow 的邏輯端口為交換機定義的端口，但并不直接對應一個交換機的硬件接口。邏輯openflowopenflow對于邏輯端口的處理像硬件接口的處理的元數據字段即隧道 ID，而當一個邏輯端口上接收到的報文被發送到控制器時，其邏輯端Required:ALL:Required:TABLE:openflow流水線的開始。這個端口僅在輸出行為的時候有效，此Required:AN

23、Y:OpenFlow中的一個特定值，用在沒有指定端口的OpenFlow指令（端口通Optional:LOCAL:Optional:FLOOD:通過數據包的VLANID 2.IPv6 IPv4IPv6OpenFlow 協IPv6 擴展頭的支持。IPv6TOS， 1.3 IPv6 2-13。2-15 1.2 IPv6 2-161.3中增加的IPv6 3. 1.2 中引入了多控制器，由多個控制器協同工作提高全網的可靠性。多個控制器之間的主備倒換是由控制器之間協商完成的，OF1 到多個控制器建立OF 交換機在初始化時，就與所有配置好的控制器進行連接，為保證多控制器協同工作，增 MASTER狀態下類似，

24、唯一不同的就是系統中只能有一臺 MASTER，如果有一臺控制器的角色轉變為 4.單流計量-OpenFlow4.單流計量-OpenFlow實現各種簡單的QoS業務，QoS DiffServ。2-17 2-18 DiffServ 策略。PBB 1.3.1 2.2.5. OpenFlow 2.2.5. OpenFlow 12 元組，如果用軟件實現匹配的話，轉發性能必然受到影響。后來有了基于 NetFPGA OF 交換，使轉發性能有了很大的提升。TCAM限制。TCAM容量解決，一方面TCAM會加大設備的成本，另一方面流表加大會降低查找流表的速度。流表大Proactive+Reactive 的雙重流表建

25、F F （OF1.3 支持）OpenFlow1.0OF1.1OF1.2、 OF1.3、OF1.3.1OF1.3.2 版本，后續還將繼續有新版本出現。但這些版本是不能OF 1.0，定義的是單流表，而后續版本都是多流表。？控制器的 OpenFlowSDN OF 交換機發送流表以控制數據 了一個工作組，即由 Microsoft OpenFlow OpenFlow OpenFlowOF-Config 1.0 2012 1 12 日經董事會批 1.3 1.3.1 版本的配置。OF-CONFIG NETCONF XML 定義的數據格式。2.3.1. OF-configONF與網絡設備的設計、制造，OF-c

26、onfig 正是這樣一個設備級別的同樣管理標準。OF-configOpenFlowOpenFlow Configuration 2.3.1. OF-configONF與網絡設備的設計、制造，OF-config 正是這樣一個設備級別的同樣管理標準。OF-configOpenFlowOpenFlow Configuration Point。2-10 所示。2-10OF-config與OpenFlow 2.3.2. OF-configOF-configOFOpenFlow Datapath（ OpenFlowOpenFlowConfigurationandManagement Protocol 1.

27、0 (OF-Config 1.0)Jan.6,OpenFlowOpenFlowConfigurationandManagement Protocol 1.1 (OF-Config 1.1)June.25,OpenFlowOpenFlowConfigurationandManagement Protocol 1.1.1 (OF-Config 1.1.1)March23,OpenFlowOF交換機一詞。OF-config 提供了一個開發接口，通過這個接口可以遠程 OF交換機一詞。OF-config 提供了一個開發接口，通過這個接口可以遠程 OPenFlowOF 交換機上配IP 地址，對其上各端口做

28、enalbe/disable OF-config 協議完成。 OFOpenFlow實例，OF-config可以OpenFlow 2-112-11OF-config與OpenFlow OF-config1.0 OpenFlow1.2IP地址OpenFlow1.2 IP TLS（3）OpenFlowOpenFlowOpenFlowOF交換機上的一個實例，可由控制器直 ID 64bits48 位是交換機的MAC 16 位由各設備生產廠家定義。 OpenFlow1.2版本所需的功能配置需求外，OF-config1.0還需要支持運維需求和管理協議OF配置點（OpenFlowConfigurationPo

29、int）進行配置操作。OF OF 交換機。OF交換機建立連接數據模型由XMLUML2-12OF-configUML2-12UML OpenFlow OF交換OFOF-CONFIG 1.02類資源：OpenFlow OFOpenFlow控制器。XMLOFOpenFlow控制器。XMLID ID 都是一個字符串URN（Universal Resource Names）作為標識，（1）OF OFOpenFlow2-133OpenFlowOFOFOFOpenFlowOF2-13OF （2）OpenFlow OF OF OF 邏輯交換機。傳輸映射的BEEP 2-14 是配置點的數據模型圖。OF-CONF

30、IGNETCONF 協議。NETCONF 4 種不同的傳輸協議：SSH, BEEP, TLSOF OF SSH2-14OpenFlow （3）OF2-14OpenFlow （3）OFOF OF OpenFlow datapthOpenFlowOFOpenFlowOF交換機上的資源集合能力，2-15 2 個元素相關：OpenFlowOFOpenFlowOF2-15OF （4）OpenFlowOpenFlowOpenFlow IPTCPIPTCP2-16OF （5）OpenFlowOpenFlowOFOF隊列的一個超類（superclass基類。超類沒有實例。該超類2-17 所示。2-17OF （

31、62-17OF （6）OpenFlow （objectOFOF2-182-18OpenFlow （7）OpenFlow 2-19 （2-19 （8）OpenFlowOpenFlowOpenFlowOF隊列也是邏輯定義的。2-10。2-20OpenFlow 2-20OpenFlow OF-CONFIG1.0OF必須支持 NETCONF 協議作為傳輸協議。 隱含要支持 SSH。 此外還要支持 Web 在消息層頂端（RPC）2-21 NETCONF 協議中的各個層次。2-21NETCONF2-21NETCONF OF-CONFIG 將來新的需求。可滿足的需求如下：TLS作為傳輸協議（SOAPBEEP 協議同時使用），以提供完整性、NETCONFTLSTCP 作為底層傳輸協議以提高可靠的傳輸。NETCONF OF OF 交換機間的通信的一般方法BEEP作為傳輸協議時，NETCONF標準支持反向配置建立RFC5277定義的