【正文】 位修改源TCP/IP端口、目的TCP/IP端口Openflow交換機(jī)在接收到數(shù)據(jù)包后，：接收?qǐng)?bào)文 STP處理（可選）包頭解析匹配表0？實(shí)施動(dòng)作匹配表N？通過(guò)安全通道發(fā)送到控制器 是 否 是 否 Openflow交換機(jī)中的數(shù)據(jù)包處理流程，交換機(jī)收到數(shù)據(jù)包后，首先將需要匹配的字段提取出來(lái)進(jìn)行匹配，一個(gè)流表中有多個(gè)流表項(xiàng)，每個(gè)流表項(xiàng)都有一個(gè)優(yōu)先級(jí)字段，數(shù)據(jù)包按照優(yōu)先級(jí)進(jìn)行匹配；若一個(gè)交換機(jī)中包含多個(gè)流表，那么在當(dāng)前流表中未能匹配的情況下進(jìn)行流水線式的查找后續(xù)的流表，匹配成功后，就將流表項(xiàng)中的計(jì)數(shù)器更新，如果沒(méi)有找到匹配項(xiàng)那么就將該數(shù)據(jù)包發(fā)送給控制器處理。流表修改：控制器可根據(jù)網(wǎng)絡(luò)實(shí)時(shí)變化對(duì)流表項(xiàng)進(jìn)行修改，控制器發(fā)出的流表修改信息共有五種類(lèi)型，如表22所示。表22 流表項(xiàng)修改消息類(lèi)型名稱說(shuō)明ADD增加一個(gè)新的流表表項(xiàng)MODIFY修改所有匹配的流表項(xiàng)MODIFY_STRICT修改嚴(yán)格匹配的流表項(xiàng)DELETE刪除所有匹配的流表項(xiàng)DELETE_STRICT刪除嚴(yán)格匹配的流表項(xiàng)移除流表項(xiàng)：流表項(xiàng)的移除有兩種情況，一種是定時(shí)器時(shí)間期限達(dá)到，交換機(jī)自動(dòng)刪除流表項(xiàng)，另一種是控制器下發(fā)命令刪除流表項(xiàng)。每個(gè)流表項(xiàng)有兩種定時(shí)器，一個(gè)計(jì)算沒(méi)有匹配的時(shí)間，一個(gè)計(jì)算插入流表中的時(shí)間，其中任一個(gè)定時(shí)器達(dá)到期限交換機(jī)都會(huì)將流表項(xiàng)移除。（2）安全通道連接控制器與交換機(jī)的部分，支持Openflow協(xié)議，控制器通過(guò)安全通道管理交換機(jī)、發(fā)送指令。（3）Openflow協(xié)議規(guī)定控制器與交換機(jī)所交換的信息的形式，openflow協(xié)議棧中包含了三種消息類(lèi)型，每類(lèi)消息又擁有多個(gè)子消息。當(dāng)控制器與交換機(jī)之間出現(xiàn)連接建立、連接中斷、流表項(xiàng)修改等動(dòng)作時(shí)需要用到Openflow協(xié)議。 控制器控制層是SDN網(wǎng)絡(luò)的大腦，一方面，它負(fù)責(zé)管理網(wǎng)絡(luò)資源，維護(hù)全局統(tǒng)一資源視圖，另一方面，按照向上層應(yīng)用提供網(wǎng)絡(luò)編程接口，并執(zhí)行上層對(duì)網(wǎng)絡(luò)資源的優(yōu)化指令。位于控制層的SDN控制器通過(guò)南向接口進(jìn)行網(wǎng)絡(luò)控制，統(tǒng)一管理交換設(shè)備，并通過(guò)可編程的北向接口與上層應(yīng)用進(jìn)行交互，并執(zhí)行上層應(yīng)用對(duì)底層網(wǎng)絡(luò)資源的優(yōu)化指令。（1）南向網(wǎng)絡(luò)控制技術(shù)南向網(wǎng)絡(luò)控制是指控制器底層網(wǎng)絡(luò)的控制，控制器的南向網(wǎng)絡(luò)控制主要包括：鏈路發(fā)現(xiàn)和拓?fù)涔芾怼⒉呗灾贫ê捅眄?xiàng)下發(fā)。鏈路發(fā)現(xiàn)：與傳統(tǒng)網(wǎng)絡(luò)的鏈路發(fā)現(xiàn)過(guò)程不同，SDN網(wǎng)絡(luò)中的鏈路發(fā)現(xiàn)不再由各個(gè)網(wǎng)元完成，而是由控制器負(fù)責(zé)的。SDN控制器在鏈路發(fā)現(xiàn)過(guò)程中使用了一種LLDP（Link Layer Discovery Protocol）鏈路層發(fā)現(xiàn)協(xié)議，在LLDP協(xié)議的數(shù)據(jù)單元中存儲(chǔ)著設(shè)備主要能力、管理地址、設(shè)備標(biāo)示、接口標(biāo)示等信息。在鏈路的發(fā)現(xiàn)過(guò)程中，控制器將LLDP報(bào)文發(fā)給與其直連的交換機(jī)中并要求交換機(jī)將該報(bào)文從其他的端口廣播出去，由于在LLDP報(bào)文中包含有特定的與普通MAC數(shù)據(jù)幀區(qū)分的表項(xiàng)，導(dǎo)致openflow交換機(jī)無(wú)法基于流表匹配進(jìn)行處理，因此，交換機(jī)會(huì)將LLDP報(bào)文再交給控制器處理，控制器通過(guò)這種途徑獲取鏈路的信息。，說(shuō)明詳細(xì)的SDN控制器的鏈路發(fā)現(xiàn)過(guò)程。控制器交換機(jī)交換機(jī) 帶LLDP的 帶LLDP的 Packet_out packet_out packet_in LLDP SDN控制器的鏈路發(fā)現(xiàn)過(guò)程，控制器在進(jìn)行鏈路發(fā)現(xiàn)時(shí)，先將一個(gè)帶LLDP的packet_out消息發(fā)送給所有與其直連的交換機(jī)，命令交換機(jī)將LLDP數(shù)據(jù)包從其余的所有端口發(fā)出。交換機(jī)收到packet_out消息后，按照要求將LLDP數(shù)據(jù)包發(fā)送給其他與之相連的設(shè)備，如果與之相連的設(shè)備是Openflow交換機(jī)，那么該交換機(jī)收到報(bào)文后會(huì)進(jìn)行流表項(xiàng)匹配工作，但是由于LLDP包中包含著特殊的表項(xiàng)使得交換機(jī)無(wú)法進(jìn)行處理，那么根據(jù)openflow交換機(jī)對(duì)數(shù)據(jù)包的處理規(guī)則，交換機(jī)會(huì)將此報(bào)文發(fā)給控制器處理，所以它返回一個(gè)packet_in的消息將數(shù)據(jù)包發(fā)送給控制器，控制器收到后便將數(shù)據(jù)包中包含的兩臺(tái)交換機(jī)的鏈接記錄保存下來(lái)。網(wǎng)絡(luò)中的其他交換機(jī)都將采用類(lèi)似的過(guò)程向控制器發(fā)送packet_in消息，控制器也因此創(chuàng)建出網(wǎng)絡(luò)拓?fù)湟晥D。拓?fù)涔芾恚嚎刂破鞫〞r(shí)的向交換機(jī)發(fā)送LLDP數(shù)據(jù)包以此來(lái)或者交換機(jī)的信息和工作狀態(tài)，并實(shí)時(shí)對(duì)網(wǎng)絡(luò)拓?fù)溥M(jìn)行更新。策略制定：SDN交換機(jī)根據(jù)流表項(xiàng)進(jìn)行數(shù)據(jù)的轉(zhuǎn)發(fā)，而流表的制定由控制器實(shí)現(xiàn)，SDN控制器會(huì)根據(jù)網(wǎng)絡(luò)的鏈路狀態(tài)、拓?fù)浣Y(jié)構(gòu)以及不同的層面的需求下發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)策略。在二層網(wǎng)絡(luò)中，數(shù)據(jù)包的轉(zhuǎn)發(fā)通常是以MAC地址為依據(jù)進(jìn)行的，因?yàn)镸AC地址學(xué)習(xí)在鏈路發(fā)現(xiàn)過(guò)程中已經(jīng)實(shí)現(xiàn)，所以根據(jù)二層網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)容易實(shí)現(xiàn)，只需要控制器將MAC地址與端口號(hào)的對(duì)應(yīng)信息寫(xiě)入流表項(xiàng)中即可；對(duì)三層網(wǎng)絡(luò)，控制器會(huì)通過(guò)路由算法計(jì)算出目的地址與源地址之間的路由信息，將IP地址、MAC地址相對(duì)應(yīng)的端口寫(xiě)入流表中；對(duì)四層網(wǎng)絡(luò)，控制器完成對(duì)四層數(shù)據(jù)的解析，在三層的基礎(chǔ)上增添端口號(hào)作為轉(zhuǎn)發(fā)的依據(jù)。表項(xiàng)下發(fā)：流表項(xiàng)的下發(fā)分為主動(dòng)和被動(dòng)兩種模式。主動(dòng)流表下發(fā)，在第一個(gè)數(shù)據(jù)包到達(dá)交換機(jī)之前，流表就已經(jīng)設(shè)置完成，當(dāng)數(shù)據(jù)包到達(dá)時(shí)直接根據(jù)表項(xiàng)進(jìn)行處理，這種方式消除了流表項(xiàng)設(shè)置的延遲。被動(dòng)流表下發(fā)，在第一個(gè)數(shù)據(jù)包到來(lái)之前，流表項(xiàng)還沒(méi)有設(shè)置，當(dāng)有數(shù)據(jù)包到來(lái)時(shí)，交換機(jī)將數(shù)據(jù)包發(fā)送給控制器，控制器確定相應(yīng)的處理方式后將數(shù)據(jù)包返回交換機(jī)并告知交換機(jī)處理方式，交換機(jī)將相關(guān)的信息緩存，信息的緩存時(shí)間由控制器規(guī)定，這樣做雖然增加了設(shè)置表項(xiàng)帶來(lái)的延遲，但是由于流表信息有一定的緩存期限所以更加有效的利用了交換機(jī)的儲(chǔ)存空間。（2）北向業(yè)務(wù)支撐技術(shù)控制器通過(guò)北向接口向上層應(yīng)用提供程序編程接口和網(wǎng)絡(luò)資源抽象，通過(guò)北向接口，開(kāi)發(fā)者能以軟件編程的方式調(diào)用局域網(wǎng)、廣域網(wǎng)等網(wǎng)絡(luò)資源能力，同時(shí)，網(wǎng)絡(luò)資源管理系統(tǒng)可以通過(guò)北向接口獲知網(wǎng)絡(luò)狀態(tài)。然而，利用基本抽象編寫(xiě)網(wǎng)絡(luò)程序是復(fù)雜且容易出錯(cuò)的，因此，在SDN北向接口標(biāo)準(zhǔn)化方面，現(xiàn)在還沒(méi)有達(dá)成共識(shí)。一個(gè)好的北向接口需要具有足夠的開(kāi)放性，并具有足夠的能力讓管理者快速進(jìn)行網(wǎng)絡(luò)調(diào)整和定制。一套好的接口設(shè)計(jì)應(yīng)具有可尋址性強(qiáng)、接口無(wú)狀態(tài)、注重關(guān)聯(lián)性、接口統(tǒng)一的特征。第3章 SDN網(wǎng)絡(luò)實(shí)驗(yàn)及分析 實(shí)驗(yàn)概述 在本章節(jié)，我們將通過(guò)模擬器、虛擬機(jī)和軟件搭建SDN網(wǎng)絡(luò)環(huán)境以此建立對(duì)SDN的直觀認(rèn)識(shí)和深入理解。目前，支持SDN技術(shù)的交換機(jī)不常見(jiàn)，單純用物理設(shè)備搭建真實(shí)的網(wǎng)絡(luò)環(huán)境比較困難，因此我們將通過(guò)模擬的方式進(jìn)行搭建。具體實(shí)現(xiàn)方面：通過(guò)使用Mininet工具模仿SDN網(wǎng)絡(luò)中的交換機(jī)、Host節(jié)點(diǎn)，使用Floodlight模擬控制器，并通過(guò)wireshark進(jìn)行抓包，分析openflow網(wǎng)絡(luò)協(xié)議及控制器與交換機(jī)的連接建立、拓?fù)浒l(fā)現(xiàn)過(guò)程，而且通過(guò)一個(gè)環(huán)狀網(wǎng)絡(luò)的例子說(shuō)明控制器在SDN網(wǎng)絡(luò)中的重要作用以及SDN的優(yōu)勢(shì)。 利用Mininet搭建模擬環(huán)境下載mininet鏡像并在Virtual Box中打開(kāi)，登錄到命令行界面，用戶名密碼都是openflow，啟動(dòng)mininet，命令為mn，則創(chuàng)建一個(gè)擁有一個(gè)控制器、一個(gè)交換機(jī)、兩臺(tái)主機(jī)的網(wǎng)絡(luò)。輸入指令進(jìn)行操作：l 輸入mn啟動(dòng)mininet， 啟動(dòng)mininetC0 S1 H2 H3 mininet示例網(wǎng)絡(luò)l 輸入net查看鏈路信息， net命令l 輸入dump查看各個(gè)節(jié)點(diǎn)的信息， dump命令l 對(duì)單個(gè)節(jié)點(diǎn)進(jìn)行操作， 單個(gè)節(jié)點(diǎn)的操作 對(duì)單個(gè)節(jié)點(diǎn)的操作只需在節(jié)點(diǎn)后加入操作指令即可，如s1 ifconfig查看s1上的網(wǎng)絡(luò)信息，若想測(cè)試h2與h3的連通情況，輸入h2 ping h3即可。l 自定義拓?fù)洌?自定義拓?fù)涑薽ininet自帶的拓?fù)渫?，我們還可以使用指令進(jìn)行自定義拓?fù)洌耸褂弥噶钭远x拓?fù)渫?，我們還可以設(shè)置拓?fù)湮募?，并通過(guò)mn –custom ~/mininet/custom/ –topo mytopo進(jìn)行自定義網(wǎng)絡(luò)結(jié)構(gòu)。l 指定遠(yuǎn)程控制器在mininet中，已經(jīng)自己生成了floodlight控制器，但為了清晰的表現(xiàn)出SDN控制器與轉(zhuǎn)發(fā)設(shè)備分離的思想，我們選擇在另一個(gè)虛機(jī)上建立floodlight控制器，控制器與交換機(jī)連接時(shí)，使用的指令為mn –controller=remote –ip=controller_ip port=controller_listen_port Openflow數(shù)據(jù)流分析上個(gè)實(shí)驗(yàn)中，我們通過(guò)指令對(duì)mininet進(jìn)行了一些簡(jiǎn)單的操作，在這個(gè)實(shí)驗(yàn)中，我們將通過(guò)wireshark抓包軟件對(duì)openflow網(wǎng)絡(luò)中的設(shè)備通信過(guò)程和流表的建立以及交換機(jī)的配置進(jìn)行分析。實(shí)驗(yàn)準(zhǔn)備工作如下：在PC機(jī)上安裝virtualbox軟件，創(chuàng)建一臺(tái)虛機(jī)，再創(chuàng)建一臺(tái)虛機(jī)運(yùn)行mininet，在運(yùn)行mininet的虛擬機(jī)上運(yùn)行wireshark軟件監(jiān)測(cè)端口選擇eth1，運(yùn)行mininet并將controller指向floodlight。在試驗(yàn)中，mininet的ip地址為192。 拓?fù)涮綔y(cè)包分析虛擬網(wǎng)絡(luò)生成后，控制器與交換機(jī)進(jìn)行初始化，大致分為兩階段，先是控制器與交換機(jī)交換信息，然后是控制器對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行拓?fù)涮綔y(cè)。我們也將分兩階段進(jìn)行分析。先是初始化階段的信息交換過(guò)程，在這一過(guò)程中，與控制器連接的交換機(jī)通過(guò)6633端口（6633端口默認(rèn)分配給controller）向交換機(jī)發(fā)送hello包，控制器也將回復(fù)hello包。 信息交換過(guò)程接著，控制器會(huì)向交換機(jī)發(fā)送Features_request消息建立對(duì)話，交換機(jī)返回一個(gè)reply消息， 對(duì)話建立從圖中可以看到，交換機(jī)有三個(gè)端口，其中一個(gè)與控制器相連，其余兩個(gè)與主機(jī)相連。在雙方確認(rèn)自己的版本號(hào)確認(rèn)連接后，控制器開(kāi)始對(duì)交換機(jī)的配置過(guò)程。首先，控制器向交換機(jī)發(fā)送set_config和get_config_request消息來(lái)配置和詢問(wèn)交換機(jī)配置，交換機(jī)發(fā)送reply消息進(jìn)行回復(fù)。 Reply消息從上圖我們可以看到控制器對(duì)交換機(jī)的設(shè)置——發(fā)往交換機(jī)的流的字節(jié)數(shù)不能超過(guò)65535。 控制器對(duì)交換機(jī)的回復(fù)及設(shè)置從交換機(jī)的reply消息中我們可以看出，控制器的配置已經(jīng)寫(xiě)入了交換機(jī)中。配置完成后，控制器向交換機(jī)發(fā)送stats_request消息查詢交換機(jī)的狀態(tài)，交換機(jī)通過(guò)reply消息將自己的狀態(tài)發(fā)給控制器。 交換機(jī)狀態(tài)查詢與回復(fù)初始化結(jié)束后，控制器將會(huì)進(jìn)行網(wǎng)絡(luò)拓?fù)涮綔y(cè)，探測(cè)過(guò)程如前文所述，首先，控制器用LLDP數(shù)據(jù)包向交換機(jī)發(fā)送packet_out消息，并要求交換機(jī)從與其他openflow交換機(jī)相連的端口中發(fā)出LLDP包，交換機(jī)收到數(shù)據(jù)包后，按照命令轉(zhuǎn)發(fā)LLDP包，由于只有一臺(tái)交換機(jī)與控制器相連，所以沒(méi)有packet_in包發(fā)往控制器，控制器也由此得知與之相連的只有一臺(tái)交換機(jī)。 LLDP包的發(fā)送 ping流程包分析，執(zhí)行h2 ping h3。在ping包發(fā)送前，由于h2主機(jī)不知道h3的MAC地址，因此先發(fā)送arp消息包。交換機(jī)收到arp消息包后，由于流表為空不知道如何處理，所以交換機(jī)將向控制器發(fā)送packet_in消息包。 發(fā)送packet_in消息包控制器收到packet_in包后向交換機(jī)發(fā)送packet_out包，要求交換機(jī)將arp請(qǐng)求從接收端以外的端口泛洪。 洪泛請(qǐng)求目的主機(jī)接收到arp消息后，填寫(xiě)自己的MAC地址，通過(guò)單播向源主機(jī)返回arp包，交換機(jī)收到arp回復(fù)后，由于流表依然為空不知道如何處理，便向控制器發(fā)送packet_in消息?？刂破魇盏絧acket_in包后，向交換機(jī)發(fā)送packet_out包，命令交換機(jī)將arp回復(fù)從其他端口轉(zhuǎn)發(fā)出去，同時(shí)，在這個(gè)消息包中，還包含了一個(gè)flow_mod的命令，通過(guò)這個(gè)命令增添一個(gè)新的流表項(xiàng)，完成兩個(gè)主機(jī)之間的轉(zhuǎn)發(fā)。此時(shí)，交換機(jī)的流表項(xiàng)中就已經(jīng)產(chǎn)生了一個(gè)新的流表項(xiàng)。源主機(jī)收到目的主機(jī)的回復(fù)后正式向目的主機(jī)發(fā)出ping請(qǐng)求，但由于在交換機(jī)中。2的流，因此，交換機(jī)收到ping請(qǐng)求仍無(wú)法匹配，只能繼續(xù)通過(guò)packet_in消息送至控制器，控制器再發(fā)送packet_out消息給交換機(jī)，這時(shí)，packet_out消息中也包含了兩個(gè)內(nèi)容，一個(gè)是flow_mod用于添加新表項(xiàng)，另一個(gè)是packet_out，用于ping消息的轉(zhuǎn)發(fā)。至此，兩個(gè)主機(jī)之間的轉(zhuǎn)發(fā)流表就建立了起來(lái)。 SDN環(huán)狀網(wǎng)絡(luò)實(shí)驗(yàn)通過(guò)Python構(gòu)建環(huán)狀拓?fù)浣Y(jié)構(gòu)：from import Topo, Nodeclass MyTopo( Topo ): “simple topology example.” Def__init__( self, enable_all = True )： “Create custom topo.” Super( MyTopo, self).__init__() Host1 = ( ‘h1’ )Host2 = ( ‘h2’ )Host3 = ( ‘h3’ )Host4 = ( ‘h4’ )Host5 = ( ‘h5’)Switch1 = ( ‘s1’ )Switch2 = ( ‘s2’ )Switch3 = ( ‘s3’ )Switch4 = ( ‘s4’ )Switch5 = ( ‘5’ )( Switch1,Switch2 )( Switch2,Switch3 )( Switch3,Switch4 )( Switch4,Switch5 )( Switch5,Switch1 )( Switch1,Host1 )( Switch2,Host2 )( Switch3,Host3 )( Switch4,Host4 )( Switch5,Host5 )topos = { ‘mytopo