項目8使用SDN控制器管理銳捷SDN設備學習目標項目背景項目需求分析項目相關知識項目實踐項目習題目錄學習目標（1）了解主流通信廠商OpenFlow硬件設備。（2）掌握OpenFlow交換機部署流程及配置。（3）掌握OpenDaylight控制器控制OpenFlow交換機的部署流程及配置。項目背景項目背景基于前期項目的實踐，網絡部工程師對SDN控制器及OVS設備有了一定的了解，能使用SDN控制器結合OVS下發流表實現局域網通信。但是實際項目中OVS設備多為各網絡通信廠商的硬件交換設備，因此還需要測試OpendaylightSDN控制器能否在真實網絡環境中與各廠商的硬件設備進行對接，并進行相應流表的下發。公司網絡部管理員將以銳捷交換設備為例作為Openflow接入設備與OpendaylightSDN進行對接并進行相關流表策略下發測試。網絡結構拓撲如圖8-1所示。項目背景圖8-1網絡結構拓撲項目背景角色規劃如表8-1所示。網絡規劃如表8-2所示。角色主機名系統版本軟件配置控制器controllerUbuntu18.04OpenDayLight-LithiumJava1.8交換機S1RGOSS5300E_RGOS12.5(4)B0701表8-1角色規劃表表8-2網絡規劃表主機名稱端口IP地址用途備注SDNens34/24SDN控制網

S1VLAN1054/24業務數據網除Gi0/1外，其余端口均為業務數據網Gi0/1/24SDN控制網PC1VLAN10/24業務數據網

PC2VLAN20/24業務數據網項目背景流量規劃如表8-3所示。源地址目的地址動作協議類型優先級anyany丟棄IP0anyany轉發ARP100/32/32轉發S1交換機24端口至23端口流量IP100/32/32轉發S1交換機23端口至24端口流量IP100表8-3流量規劃表項目需求分析項目需求分析項目初始情況參照項目2，S1交換機作為傳統交換機已經做了初始配置，并且實現了PC1與PC2不同網段間主機通信。在此基礎上管理員將S1交換機對接至OpendaylightSDN，之后局域網連通將由SDN控制器統一管理。綜上所述，本次項目設計如下幾點任務。（1）S1交換機初始配置對接至SDN控制器。（2）SDN控制器納管S1交換機。（3）使用YangUI下發流表實現通信控制。項目相關知識8.3.1OpenFlow交換機概述1.OpenFlow交換機組成OpenFlow交換機是整個OpenFlow網絡的核心部件，主要管理數據層的轉發。OpenFlow交換機接收到數據包后，首先在本地的流表上查找轉發目標端口，如果沒有匹配，則把數據包轉發給Controller，由控制層決定轉發端口。流表由很多個流表項組成，每個流表項就是一個轉發規則。進入交換機的數據包通過查詢流表來獲得轉發的目的端口。流表項由頭域、計數器和操作三部分組成；其中頭域是個十元組，是流表項的標識；計數器用來計數流表項的統計數據；操作標明了與該流表項匹配的數據包應該執行的操作。安全通道是連接OpenFlow交換機到控制器的接口。控制器通過這個接口控制和管理交換機，同時控制器接收來自交換機的事件并向交換機發送數據包。交換機和控制器通過安全通道進行通信，而且所有的信息必須按照OpenFlow協議規定的格式來執行。8.3.1OpenFlow交換機概述OpenFlow協議用來描述控制器和交換機之間交互所用信息的標準，以及控制器和交換機的接口標準。協議的核心部分是用于OpenFlow協議信息結構的集合。OpenFlow協議支持三種信息類型：Controller-to-Switch，Asynchronous和Symmetric，每一個類型都有多個子類型。Controller-to-Switch信息由控制器發起并且直接用于檢測交換機的狀態。Asynchronous信息由交換機發起并通常用于更新控制器的網絡事件和改變交換機的狀態。Symmetric信息可以在沒有請求的情況下由控制器或交換機發起。2.OpenFlow交換機分類

OpenFlow交換機分為只支持根據OpenFlow協議進行數據包的轉發的專用OpenFlow交換機和啟用OpenFlow的通用商用以太網交換機，目前OpenFlow協議和接口已作為新功能添加到這些交換機和路由器中。8.3.1OpenFlow交換機概述專用OpenFlowSwitch是一個啞巴數據路徑元素（dumbdatapathelement），它按照遠程控制進程的定義在端口之間轉發數據包。圖8-2顯示了OpenFlow交換機的一個示例。圖

8-2OpenFlow交換機8.3.1OpenFlow交換機概述啟用OpenFlow的交換機（OpenFlow-enabledswitches），主要是一些商用交換機、路由器。其主要通過添加流表、安全通道（SecureChannel）和OpenFlow協議來增強OpenFlow功能。通常，流表將重用現有硬件，如三元內容尋址存儲器（TernaryContentAddressableMemory，TCAM）；安全通道和OpenFlow協議將移植到交換機的操作系統上運行。圖8-3顯示了啟用OpenFlow的商用交換機和接入點的網絡。在此示例中，所有FlowTable由同一控制器管理；OpenFlowProtocol允許由兩個或更多控制器控制交換機，以提高性能或健壯性。圖

8-3啟用OpenFlow的商用交換機8.3.2OpenFlow商用交換機目前主流網絡通信廠商，如思科，華為，華三，銳捷均在各自主打產品植入OpenFlow功能，進而發布OpenFlow交換設備。這里以銳捷設備為例進行說明介紹。銳捷網絡提供了多款OpenFlow交換機，其中一些主要產品及其特點如下:RG-S5750-H系列:基于SDN架構設計的高性能數據中心交換機。具有豐富的接口組合，支持高性能數據轉發和流量處理，適用于大規模數據中心部署。RG-S6200系列:高密度OpenFlow交換機，適用于數據中心和企業網絡。具有高性能數據處理能力和豐富的接口類型（例如千兆以太網、萬兆以太網、40GbE、100GbE等）。RG-S6920系列:高性能核心交換機，具備多種高可用性和冗余功能，適用于企業級大規模網絡。支持全局負載均衡和流量優化。RG-S5750-E系列:用于企業級分布式交換機，提供豐富的二層和三層功能。支持OpenFlow協議，可與其它廠商的SDN系統集成，實現靈活的網絡控制和可編程性。8.3.2OpenFlow商用交換機銳捷OpenFlow交換機具有以下特點：靈活的可編程性：銳捷OpenFlow交換機采用基于SDN的架構，支持OpenFlow協議。這使得網絡管理員能夠直接控制交換機的流量轉發和行為，從而提供更高的可編程性。它允許網絡管理員自定義流表項，以實現對數據流的細粒度控制，滿足特定的網絡需求。高性能數據處理能力：銳捷OpenFlow交換機采用硬件和軟件協同工作的方式，提供高性能的數據處理和轉發能力。它們具備快速的數據包處理和傳輸速率，適合在高密度網絡環境下應對大量數據流。多種接口類型：銳捷OpenFlow交換機提供豐富的接口類型，以滿足不同場景的需求。它們支持千兆以太網、萬兆以太網、40GbE、100GbE等多種接口類型，可以適應各種網絡規模和連接需求。8.3.2OpenFlow商用交換機高可用性和冗余功能：銳捷OpenFlow交換機內置了多種高可用性和冗余功能，用于確保網絡的可靠性和穩定性。這些功能包括熱插拔模塊化設計、冗余電源供應、多個擴展槽位、鏈路聚合等，可以有效降低網絡故障和單點故障的風險。安全性控制：銳捷OpenFlow交換機提供了多層次、全面的安全機制，以保護網絡不受惡意攻擊和入侵。它們支持802.1X身份驗證、訪問控制列表（ACL）、IP源地址驗證、端口安全等安全特性。技術支持和生態系統：銳捷網絡在OpenFlow交換機領域擁有豐富的經驗和專業知識，提供全面的技術支持和培訓。此外，銳捷也與各種SDN控制器和應用提供商合作，構建一個開放的生態系統，以促進OpenFlow技術的應用和發展。綜上所述，銳捷OpenFlow交換機具有可編程性、高性能、多種接口類型、高可用性和安全性控制等特性。它們為構建靈活、高效和可靠的軟件定義網絡提供了一種可靠的解決方案。項目實施任務1Openflow交換機初始配置任務描述為了分離轉發平面與控制平面，管理員決定在公司業務測試環境中規劃為控制器的角色上部署OpenDayLight，并使用OpenDayLight-YangUI和Postman查看和分析拓撲，觀察OpenDayLight自動下發的流表。具體可以通過以下步驟完成。（1）交換機傳統網絡連通配置。（2）交換機Openflow相關配置。任務1Openflow交換機初始配置任務實施（1）交換機傳統網絡連通配置。S1(config)#vlan10S1(config-vlan)#exit#創建業務vlan10S1(config)#interfacevlan10S1(config-if-VLAN10)#ipaddress54#配置業務vlan10接口地址S1(config)#interfaceGigabitEthernet0/24S1(config-if-GigabitEthernet0/24)#switchportaccessvlan10S1(config-if-GigabitEthernet0/24)#exitS1(config)#interfaceGigabitEthernet0/23S1(config-if-GigabitEthernet0/23)#switchportaccessvlan10S1(config-if-GigabitEthernet0/23)#exit#將23及24接口劃分到vlan10的成員口中。任務1Openflow交換機初始配置（2）配置openflow協議與SDN控制器對接。任務驗證（1）查看Openflowx協議對接狀態。S1(config)#interfaceGigabitEthernet0/1S1(config-if-GigabitEthernet0/1)#noswitchportS1(config-if-GigabitEthernet0/1)#ipaddressS1(config)#ofcontroller-ip(onc-ip)port6653interface(GigabitEthernet0/1)#指定sdn控制器的ip地址及本端的出接口S1#showofversion:openflow1.3,controller[0]:tcp:port6653interfaceGigabitEthernet0/1,mainisconnected,auxisdisable,roleismaster.Currentcontrollermode:multiple.Currentpacketprocessmode:Lookupallflow.任務2Opendaylight納管Openflow交換機任務描述完成Openflow交換機初始配置后，在管理網絡連通的情況，Opendaylight便可以管理和控制Openflow交換機，具體監管信息可通過以下步驟完成。（1）查看Openflow交換機網絡拓撲。（2）查看Openflow交換機接口信息。（3）查看Openflow交換機初始流表信息。任務2Opendaylight納管Openflow交換機任務實施（1）啟動OpenDayLight控制臺。啟動OpenDayLight控制臺的操作結果如圖8-5所示。（2）安裝控制器的必要組件。圖

8-5

啟動OpenDayLight控制臺的操作結果opendaylight-user@root>feature:installodl-restconfopendaylight-user@root>feature:installodl-l2switch-switchopendaylight-user@root>feature:installodl-openflowplugin-allopendaylight-user@root>feature:installodl-dlux-allopendaylight-user@root>feature:installodl-mdsal-allopendaylight-user@root>feature:installodl-adsal-northbound任務2Opendaylight納管Openflow交換機（3）返回controller主機打開firefox火狐瀏覽器，訪問網址:8080/index.html使用用戶admin、密碼admin進行登錄。登錄認證的操作結果如圖8-6所示。圖

8-6

輸入用戶admin密碼admin的結果任務2Opendaylight納管Openflow交換機（4）登錄完畢后在Topology頁面查看當前拓撲。Topology頁面查看當前拓撲的操作結果如圖8-7所示。圖

8-7

在Topology頁面查看當前拓撲任務2Opendaylight納管Openflow交換機（5）登錄完畢后在Nodes頁面查看當前拓撲。Nodes頁面查看當前節點交換機的操作結果如圖8-8、8-9、8-10所示。圖

8-8

在Nodes頁面查看節點概覽信息圖

8-9

在在Nodes頁面查看節點端口信息任務2Opendaylight納管Openflow交換機圖

8-10

在Nodes頁面查看節點流表統計信息任務2Opendaylight納管Openflow交換機任務驗證（1）查看Openflow交換機初始流表信息。（1）返回到openflow交換機中，使用命令查看SDN控制器自動下發的流表信息。操作結果如圖8-11所示，默認阻斷所有端口流量（優先級0）的同時放通LLDP（優先級100）流量。S1#showofflowtable圖

8-11

openflow交換機默認流表信息任務3使用YangUI下發流表實現通信控制任務描述在公司業務測試環境中使用OpenDayLight+OpenFLow交換機的組網架構，基于openflow1.0通過OpenDayLight的YangUI手動下發流表L3層控制。具體可以通過以下步驟完成。（1）啟動ODL控制器。（2）openflow交換機初始配置。（3）通過YangUI下發流表配置。任務3使用YangUI下發流表實現通信控制任務實施（1）任務前置條件需要開啟OpenDaylight及openflow交換機初始配置，前導章節已經進行介紹，此處不再贅述。（2）返回controller，登錄OpenDayLight的WEBUI頁面，登錄正常則默認進入Topology拓撲界面。（3）記錄在Topology中顯示的交換機圖形下的文字，代表著需要下發流表的交換機ID也稱為node-id，在這里node-id是openflow:171711297056700。（4）在火狐瀏覽器左側列表項中選擇YangUI，將跳轉到YangUI界面，等任務3使用YangUI下發流表實現通信控制待頁面右側的Module組件列表加載完畢。跳轉到YangUI界面的操作結果如圖8-12所示。在圖中可以看出頁面正在加載OpenDayLight當前可用的組件Module，加載完畢會提示“Loadingcompletedsuccessfully”，并在Module組件列表中顯示可用組件。圖8-12YangUI界面任務3使用YangUI下發流表實現通信控制（5）成功加載OpenDayLight當前可用的組件的操作結果如圖8-13所示。圖8-13

成功加載OpenDayLight當前可用的組件任務3使用YangUI下發流表實現通信控制（6）在Module中找到opendaylight-inventoryrev.2013-08-19這個組件列表，單擊opendaylight-inventoryrev.2013-08-19左側“+”符號，展開此組件下數據存儲區域列表，分為operational數據存儲區域和config數據存儲區域。展開opendaylight-inventoryrev.2013-08-19組件列表的操作結果如圖8-14所示。圖8-14展開opendaylight-inventoryrev.2013-08-19組件列表任務3使用YangUI下發流表實現通信控制（7）依次單擊config目錄下nodes---node{id}---table{id}左側的“＋”符號，展開table{id}子節點，隨后選擇flow{id}，進入流表項參數清單，前面符號為“-”號的即為已經展開的條目，如圖8-15所示。圖8-15

進入流表項參數清單任務3使用YangUI下發流表實現通信控制（8）單擊flow{id}后，準備開始進行填寫流表參數清單，單擊后界面顯示如圖8-16所示（建議全屏顯示）。可以看出Actions動作區域顯示了flow{id}在YangUI中的相對路徑，而且相對路徑還需要補全；另外在Actions區域下方的參數填寫區域出現了flowlist（流表項清單）。圖8-16

單擊flow{id}后的界面任務3使用YangUI下發流表實現通信控制（9）L3層通信需要保證L2層的正常通信，由于任務中對L2層通信沒有精準匹配的要求，因此不對ARP數據包的轉發進行限制，轉發動作為NORMAL。①在Actions區域中補全node-id（也就是前面從Topology頁面記錄下來的node-id），table-id（本任務是下發基于openflow1.0的流表，這里僅可填寫為0）。補全node-id和table-id的操作結果如圖8-17所示。圖8-17

補全node-id和table-id任務3使用YangUI下發流表實現通信控制②單擊下方flowlist右側的“+”號，展開流表項清單，填寫流表項id值為2。填寫流表項id值的操作結果如圖8-18所示。③依次單擊match---ethernet-match---ethernet-type左側的三角符號展開下層目錄，在ethernet-type中的type輸入框中輸入0x0806表示匹配以太網類型是ARP類型。圖8-18

填寫流表項id值任務3使用YangUI下發流表實現通信控制填寫ethernet-type中的type輸入框操作結果如圖8-19所示。圖8-19在ethernet-type中的type輸入框中輸入0x0806任務3使用YangUI下發流表實現通信控制④填寫匹配域內容后，找到instructions的左側的三角符號展開下層目錄，然后單擊instructionlist右側的“＋”號，添加一個指令清單，然后填寫order的值為0，表示這是第一個指令列表，隨后選擇instruction為apply-actions-case,表示指令是應用動作事件，選擇完畢后單擊下方剛出現的apply-actions左側的三角符號展開下層目錄，然后單擊actionlist右側的“＋”號，添加一個動作清單，然后填寫order的值為0，表示這是第一個動作。然后選擇下方的action為output-action-case，表示要執行輸出端口的動作，隨后單擊output-action左側的三角符號展開下層目錄，填寫output-node-connector的值為NORMAL，表示輸出的端口為NORMAL也就是正常轉發。任務3使用YangUI下發流表實現通信控制設置output-action的操作結果如圖8-20所示。任務3使用YangUI下發流表實現通信控制⑤填寫其他流表設置項，如流表優先級、空閑超時時間、硬超時時間、流表ID，這里分別是100,0,0,0。填寫其他流表設置項的操作結果如圖8-21所示。圖8-21

填寫其他流表設置項任務3使用YangUI下發流表實現通信控制⑥確認無誤后更改Actions區域中的GET為PUT，然后單擊Send發送，將下發流表到交換機中，顯示Requestsentsuccessfully則為成功。下發流表到交換機的操作結果如圖8-22所示。圖8-22

下發流表到交換機任務3使用YangUI下發流表實現通信控制（10）下發新流表項，指導PC1發往PC2的IP通信數據包的流向，此流表項匹配IPv4以太網類型且源IP地址為，而且目的地址是,的數據包，處理動作為將數據包輸出到openflow交換機的24接口也就是PC2連接的網橋接口出去。①在flow-id為2的流表項設置清單中更改flowlist下的id的值為3，更改完成后Actions區域中的flow-id的值也會自動更新為3。操作結果如圖8-23所示。圖8-23

更改flow

list下的id的值為3任務3使用YangUI下發流表實現通信控制②在match匹配域設置清單中，更改ethernet-match下的ethernet-type中的type的值為0x0800，表示匹配的以太網類型為IPv4，隨后在layer-3-match中選擇為ipv4-match表示是在L3層進行匹配，選擇完畢之后會出現ipv4-source和ipv4-destination的輸入框，需要分別填入/32和/32，表示匹配的源IPv4地址是，匹配的目的IPv4地址是，由于需要精準的匹配IP地址而非一個網段的IP，因此在地址后面輸入的子網掩碼是32。填寫完畢之后匹配域的設置已經完成。填寫匹配域的操作結果如圖8-24所示。任務3使用YangUI下發流表實現通信控制圖8-24

填寫匹配域任務3使用YangUI下發流表實現通信控制③修改指令設置，由于新的流表項的指令仍然是應用動作事件而且動作類型也是output-action-case，所以指令設置中只需要更改output-node-connector的值為3，表示這個數據包最終的處理動作是輸出到編號為3的網橋端口出去。更改output-node-connector的值的操作結果如圖8-25所示。圖8-25

更改output-node-connector的值為3任務3使用YangUI下發流表實現通信控制④其他參數設置，在新流表項中，priority流表項優先級、idle-timeout空閑過期時間、hard-timeout硬超時時間、table_id流表ID號均保持不變。它們的值分別為100、0、360、0。修改其他參數設置的操作結果如圖8-26所示。圖8-26

修改其他參數設置任務3使用YangUI下發流表實現通信控制⑤上面的設置完畢后確認Actions中請求方法為PUT，單擊Send按鈕即可下發流表項，下方提示為Requestsentsuccessfully即為下發成功。下發流表項的操作結果如圖8-27所示。圖8-27

下發流表項任務3使用YangUI下發流表實現通信控制（11）下發新流表項，指導PC2回復給PC1的數據包的走向。此流表項需要匹配,以太網類型是IPv4且源IPv4地址是且目的IPv4地址是的數據包，處理動作為輸出到編號為23的openflow交換機端口出去。①在flow-id為101的流表項設置清單中更改flowlist下的id的值為4，更改完成后Actions區域中的flow-id的值也會自動更新為4。更改flowlist下的id的值的操作結果如圖8-28所示。圖8-28

更改flowlist下的id的值為

4任務3使用YangUI下發流表實現通信控制②保留ethernet-type中的type的設置，表示此流表項依舊是要匹配IPv4的以太網類型，隨后更改layer-3-matchipv4-match中的ipv4-source的值為/32，ipv4-destination的值為/32表示匹配的源IPv4地址為這個IP，匹配的目的IPv4地址為這個IP。更改match項的操作結果如圖8-29所示。圖8-29

更改match項任務3使用YangUI下發流表實現通信控制③修改指令參數設置；只需更改output-node-connector的值為2，表示這個數據包最終的處理動作是輸出到編號為2的網橋端口出去。更改output-node-connector數值的操作結果如圖8-30所示。圖