【正文】 物理設(shè)備的影響。第2章 SDN基礎(chǔ)理論 基本定義SDN（Software Defined Networking,軟件定義網(wǎng)絡(luò)）是一種基于軟件的網(wǎng)絡(luò)架構(gòu)，具有以下幾種特點(diǎn)：集中控制：傳統(tǒng)的網(wǎng)絡(luò)中通常將數(shù)據(jù)轉(zhuǎn)發(fā)與控制層面固化在同一個(gè)設(shè)備上，當(dāng)進(jìn)行網(wǎng)絡(luò)管理時(shí)可以將其看成一個(gè)個(gè)獨(dú)立的盒子，而這些控制盒子將整個(gè)控制面分離成一個(gè)個(gè)小的個(gè)體，而軟件定義網(wǎng)絡(luò)將控制集中起來(lái)，轉(zhuǎn)發(fā)設(shè)備只具有轉(zhuǎn)發(fā)功能，控制功能則由具有控制功能的控制器完成，因此在邏輯上可以將控制器組成的集合看作為一個(gè)整體的控制平面，當(dāng)需要對(duì)物理設(shè)備進(jìn)行配置和維修時(shí)，無(wú)須現(xiàn)場(chǎng)操作，只需要在控制軟件上對(duì)物理設(shè)備進(jìn)行配置。2013年4月8日，包括思科、Juniper等傳統(tǒng)網(wǎng)絡(luò)設(shè)備巨擘在內(nèi)的設(shè)備廠商提出了OpenDaylight開源項(xiàng)目，其構(gòu)架與ONF SDN架構(gòu)相似，包括了數(shù)據(jù)平面網(wǎng)元、南向接口、北向接口以及網(wǎng)絡(luò)應(yīng)用、編排和服務(wù)層。ONF提出了三層SDN架構(gòu)：頂層為有多種應(yīng)用和服務(wù)的應(yīng)用層；中間是負(fù)責(zé)控制層，主要負(fù)責(zé)處理網(wǎng)絡(luò)配置、系統(tǒng)管理和數(shù)據(jù)轉(zhuǎn)發(fā)策略；底層是負(fù)責(zé)數(shù)據(jù)轉(zhuǎn)發(fā)、處理和狀態(tài)收集的基礎(chǔ)設(shè)施層。 國(guó)內(nèi)外研究現(xiàn)狀SDN作為一種最新提出的網(wǎng)絡(luò)技術(shù)，在短短的幾年內(nèi)已經(jīng)在業(yè)界內(nèi)聲名顯赫，然而由于當(dāng)前技術(shù)、成本問(wèn)題，SDN尚在理論階段，其標(biāo)準(zhǔn)化進(jìn)程也處于發(fā)展階段尚未成熟，距現(xiàn)實(shí)生活中大規(guī)模部署仍有較長(zhǎng)時(shí)間。軟件定義網(wǎng)絡(luò)是一種新型網(wǎng)絡(luò)架構(gòu)及技術(shù)，其最大特點(diǎn)在于將傳統(tǒng)網(wǎng)絡(luò)設(shè)備的控制層面與數(shù)據(jù)層面分開、支持集中化的網(wǎng)絡(luò)控制狀態(tài)、實(shí)現(xiàn)底層網(wǎng)絡(luò)設(shè)施對(duì)上層應(yīng)用的透明。雖然50多年的發(fā)展進(jìn)程使計(jì)算機(jī)網(wǎng)絡(luò)實(shí)現(xiàn)了一定程度上的智能化，但是隨著大數(shù)據(jù)時(shí)代的到來(lái)，傳統(tǒng)網(wǎng)絡(luò)在處理云計(jì)算、大數(shù)據(jù)業(yè)務(wù)上卻不盡如人意，也難以滿足靈活的資源需求。個(gè)人計(jì)算機(jī)的推廣使得網(wǎng)絡(luò)需求不斷增大，數(shù)據(jù)通信也隨之變得復(fù)雜，據(jù)調(diào)查數(shù)據(jù)顯示，截止到2013，全球上網(wǎng)人數(shù)已超過(guò)27億。SDN技術(shù)與應(yīng)用項(xiàng)目設(shè)計(jì)方案第1章 緒 論 研究背景和意義20世紀(jì)60至70年代，世界上第一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)ARPAnet誕生，從此計(jì)算機(jī)網(wǎng)絡(luò)逐漸深入到人類社會(huì)，并以人們意想不到的速度變化發(fā)展。在如此龐大的群體中，單單依靠網(wǎng)絡(luò)管理人員對(duì)網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備、業(yè)務(wù)等進(jìn)行管理配置是遠(yuǎn)遠(yuǎn)不夠的，網(wǎng)絡(luò)智能化應(yīng)運(yùn)而生。當(dāng)前網(wǎng)絡(luò)中存在著大量不同協(xié)議，它們被用于不同間隔距離、不同鏈接速度、不同拓?fù)浼軜?gòu)的網(wǎng)絡(luò)主機(jī)之間建立網(wǎng)絡(luò)連接，然而這些協(xié)議的研發(fā)與應(yīng)用通常是彼此隔離的，這就導(dǎo)致了當(dāng)前網(wǎng)絡(luò)的復(fù)雜化，例如，當(dāng)網(wǎng)絡(luò)管理者需要在網(wǎng)絡(luò)中增加或刪除一條設(shè)備時(shí)，必須對(duì)與之相關(guān)的多臺(tái)交換機(jī)、路由器、Web認(rèn)證門戶等進(jìn)行操作以更新相應(yīng)的訪問(wèn)控制列表、VLAN設(shè)置等，除此之外，還要考慮網(wǎng)絡(luò)拓?fù)錂C(jī)構(gòu)、廠商交換機(jī)模型、軟件版本等信息。SDN網(wǎng)絡(luò)為管理開發(fā)人員提供的可編程接口使得網(wǎng)絡(luò)的自動(dòng)化管理和控制能力得到極大的提升，有效的解決了當(dāng)前網(wǎng)絡(luò)系統(tǒng)所面臨的一系列的問(wèn)題。在關(guān)于對(duì)SDN網(wǎng)絡(luò)定義的過(guò)程中，國(guó)內(nèi)外多家標(biāo)準(zhǔn)化組織參與進(jìn)來(lái)，其中ONF（Open Networking Foundition，開發(fā)網(wǎng)絡(luò)基金會(huì)）無(wú)疑是引領(lǐng)者。在控制層與應(yīng)用層之間的接口和控制層與基礎(chǔ)設(shè)施層之間的接口也是重要的兩個(gè)部分，前者被稱為北向接口，后者為南向接口。雖然國(guó)內(nèi)對(duì)SDN的研究稍微有些落后，但是由于SDN正在試行階段，還沒(méi)有統(tǒng)一的定義與標(biāo)準(zhǔn)，因此也已經(jīng)有多家組織啟動(dòng)了與SDN有關(guān)的工作，積極參與了SDN的研究與標(biāo)準(zhǔn)化制定工作，中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)于2013年成立了“未來(lái)數(shù)據(jù)網(wǎng)絡(luò)”任務(wù)組，立項(xiàng)并開始研究基于智能網(wǎng)絡(luò)的SDN標(biāo)準(zhǔn)。開放接口：在SDN網(wǎng)絡(luò)架構(gòu)中，控制層與應(yīng)用層之間標(biāo)準(zhǔn)化的北向接口為網(wǎng)絡(luò)管理人員和開發(fā)人員提供了良好的程序接口，使得防火墻、網(wǎng)絡(luò)監(jiān)控等功能可以通過(guò)軟件的方式實(shí)現(xiàn)。總之，SDN網(wǎng)絡(luò)控制平面與轉(zhuǎn)發(fā)層面的分離的做法使集中管理網(wǎng)絡(luò)設(shè)備成可了可能。在SDN構(gòu)架中，控制器控制多臺(tái)交換機(jī)，擁有網(wǎng)絡(luò)全局視圖，并根據(jù)該視圖制定轉(zhuǎn)發(fā)策略，然后將該策略下發(fā)至有關(guān)設(shè)備。SDN交換機(jī)在SDN網(wǎng)絡(luò)架構(gòu)中負(fù)責(zé)各種數(shù)據(jù)的轉(zhuǎn)發(fā)工作，一般具備以下功能：（1）轉(zhuǎn)發(fā)決策：數(shù)據(jù)包從輸入端口到達(dá)交換機(jī)，交換機(jī)將數(shù)據(jù)報(bào)中所攜帶的信息與流表進(jìn)行匹配，如果匹配成功，那么在數(shù)據(jù)報(bào)的前端掛上下一跳的MAC地址，同時(shí)IP數(shù)據(jù)報(bào)文中的TTL減一，并重新計(jì)算校驗(yàn)值。同時(shí)，還有一些先進(jìn)的設(shè)備可將數(shù)據(jù)報(bào)分為數(shù)據(jù)流或優(yōu)先級(jí)集合進(jìn)行時(shí)間安排以滿足相應(yīng)的服務(wù)質(zhì)量。：安全通道流 表控制器 Openflow協(xié)議 Openflow交換機(jī) openflow交換機(jī)設(shè)計(jì)思想和整體構(gòu)架Openflow交換機(jī)與控制器通過(guò)利用Openflow協(xié)議進(jìn)行通信，兩者之間的消息通過(guò)SSL機(jī)制進(jìn)行加密。（1）流表在傳統(tǒng)網(wǎng)絡(luò)中，交換機(jī)和路由器通過(guò)設(shè)備中保存的轉(zhuǎn)發(fā)表和路由表進(jìn)行轉(zhuǎn)發(fā)，而Openflow交換機(jī)中，流表包含了網(wǎng)絡(luò)中的各層的配置信息，并通過(guò)流表項(xiàng)中的各項(xiàng)信息對(duì)數(shù)據(jù)報(bào)進(jìn)行處理。因?yàn)镺penflow交換機(jī)中沒(méi)有控制能力，因此需要告訴交換機(jī)如何對(duì)匹配的數(shù)據(jù)包進(jìn)行操作，操作動(dòng)作有多種，也對(duì)應(yīng)著不同的值。Openflow流表動(dòng)作列表如表21所示表21 Openflow流表動(dòng)作列表類型名稱說(shuō)明必備動(dòng)作轉(zhuǎn)發(fā)（Forward）交換機(jī)必須支持將數(shù)據(jù)包轉(zhuǎn)發(fā)給設(shè)備無(wú)力端口及如下的一個(gè)或多個(gè)端口ALL：轉(zhuǎn)發(fā)給所有出端口，但不包括入端口CONTROLLER:封裝數(shù)據(jù)包并轉(zhuǎn)發(fā)給控制器LOCAL：轉(zhuǎn)發(fā)給本地的網(wǎng)絡(luò)棧TABLE：對(duì)packet_out消息執(zhí)行流表動(dòng)作IN_PORT:從入端口發(fā)出丟棄（Drop）對(duì)沒(méi)有明確指出處理動(dòng)作的流表項(xiàng)，交換機(jī)將會(huì)對(duì)其所匹配的所有數(shù)據(jù)包進(jìn)行默認(rèn)丟棄。每個(gè)流表項(xiàng)有兩種定時(shí)器，一個(gè)計(jì)算沒(méi)有匹配的時(shí)間，一個(gè)計(jì)算插入流表中的時(shí)間，其中任一個(gè)定時(shí)器達(dá)到期限交換機(jī)都會(huì)將流表項(xiàng)移除。 控制器控制層是SDN網(wǎng)絡(luò)的大腦，一方面，它負(fù)責(zé)管理網(wǎng)絡(luò)資源，維護(hù)全局統(tǒng)一資源視圖，另一方面，按照向上層應(yīng)用提供網(wǎng)絡(luò)編程接口，并執(zhí)行上層對(duì)網(wǎng)絡(luò)資源的優(yōu)化指令。SDN控制器在鏈路發(fā)現(xiàn)過(guò)程中使用了一種LLDP（Link Layer Discovery Protocol）鏈路層發(fā)現(xiàn)協(xié)議，在LLDP協(xié)議的數(shù)據(jù)單元中存儲(chǔ)著設(shè)備主要能力、管理地址、設(shè)備標(biāo)示、接口標(biāo)示等信息。交換機(jī)收到packet_out消息后，按照要求將LLDP數(shù)據(jù)包發(fā)送給其他與之相連的設(shè)備，如果與之相連的設(shè)備是Openflow交換機(jī)，那么該交換機(jī)收到報(bào)文后會(huì)進(jìn)行流表項(xiàng)匹配工作，但是由于LLDP包中包含著特殊的表項(xiàng)使得交換機(jī)無(wú)法進(jìn)行處理，那么根據(jù)openflow交換機(jī)對(duì)數(shù)據(jù)包的處理規(guī)則，交換機(jī)會(huì)將此報(bào)文發(fā)給控制器處理，所以它返回一個(gè)packet_in的消息將數(shù)據(jù)包發(fā)送給控制器，控制器收到后便將數(shù)據(jù)包中包含的兩臺(tái)交換機(jī)的鏈接記錄保存下來(lái)。在二層網(wǎng)絡(luò)中，數(shù)據(jù)包的轉(zhuǎn)發(fā)通常是以MAC地址為依據(jù)進(jìn)行的，因?yàn)镸AC地址學(xué)習(xí)在鏈路發(fā)現(xiàn)過(guò)程中已經(jīng)實(shí)現(xiàn)，所以根據(jù)二層網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)包轉(zhuǎn)發(fā)容易實(shí)現(xiàn)，只需要控制器將MAC地址與端口號(hào)的對(duì)應(yīng)信息寫入流表項(xiàng)中即可；對(duì)三層網(wǎng)絡(luò)，控制器會(huì)通過(guò)路由算法計(jì)算出目的地址與源地址之間的路由信息，將IP地址、MAC地址相對(duì)應(yīng)的端口寫入流表中；對(duì)四層網(wǎng)絡(luò)，控制器完成對(duì)四層數(shù)據(jù)的解析，在三層的基礎(chǔ)上增添端口號(hào)作為轉(zhuǎn)發(fā)的依據(jù)。（2）北向業(yè)務(wù)支撐技術(shù)控制器通過(guò)北向接口向上層應(yīng)用提供程序編程接口和網(wǎng)絡(luò)資源抽象，通過(guò)北向接口，開發(fā)者能以軟件編程的方式調(diào)用局域網(wǎng)、廣域網(wǎng)等網(wǎng)絡(luò)資源能力，同時(shí)，網(wǎng)絡(luò)資源管理系統(tǒng)可以通過(guò)北向接口獲知網(wǎng)絡(luò)狀態(tài)。第3章 SDN網(wǎng)絡(luò)實(shí)驗(yàn)及分析 實(shí)驗(yàn)概述 在本章節(jié)，我們將通過(guò)模擬器、虛擬機(jī)和軟件搭建SDN網(wǎng)絡(luò)環(huán)境以此建立對(duì)SDN的直觀認(rèn)識(shí)和深入理解。輸入指令進(jìn)行操作：l 輸入mn啟動(dòng)mininet， 啟動(dòng)mininetC0 S1 H2 H3 mininet示例網(wǎng)絡(luò)l 輸入net查看鏈路信息， net命令l 輸入dump查看各個(gè)節(jié)點(diǎn)的信息， dump命令l 對(duì)單個(gè)節(jié)點(diǎn)進(jìn)行操作， 單個(gè)節(jié)點(diǎn)的操作 對(duì)單個(gè)節(jié)點(diǎn)的操作只需在節(jié)點(diǎn)后加入操作指令即可，如s1 ifconfig查看s1上的網(wǎng)絡(luò)信息，若想測(cè)試h2與h3的連通情況，輸入h2 ping h3即可。在試驗(yàn)中，mininet的ip地址為192。 信息交換過(guò)程接著，控制器會(huì)向交換機(jī)發(fā)送Features_request消息建立對(duì)話，交換機(jī)返回一個(gè)reply消息， 對(duì)話建立從圖中可以看到，交換機(jī)有三個(gè)端口，其中一個(gè)與控制器相連，其余兩個(gè)與主機(jī)相連。 控制器對(duì)交換機(jī)的回復(fù)及設(shè)置從交換機(jī)的reply消息中我們可以看出，控制器的配置已經(jīng)寫入了交換機(jī)中。在ping包發(fā)送前，由于h2主機(jī)不知道h3的MAC地址，因此先發(fā)送arp消息包。控制器收到packet_in包后，向交換機(jī)發(fā)送packet_out包，命令交換機(jī)將arp回復(fù)從其他端口轉(zhuǎn)發(fā)出去，同時(shí)，在這個(gè)消息包中，還包含了一個(gè)flow_mod的命令，通過(guò)這個(gè)命令增添一個(gè)新的流表項(xiàng)，完成兩個(gè)主機(jī)之間的轉(zhuǎn)發(fā)。至此，兩個(gè)主機(jī)之間的轉(zhuǎn)發(fā)流表就建立了起來(lái)。 交換機(jī)轉(zhuǎn)發(fā)流表NodeDLtypeNW DstActionsByteCountPacketCountDurationSecondsIdleTimeoutS1IPV4SET_DL_DSTOUTPUT=OF|31834193900S1IPV4OUTPUT=OF|149053900S1IPV4OUTPUT=OF|1980103260S1IPV4OUTPUT=OF|219622460S1IPV4OUTPUT=OF|219621250S2IPV4OUTPUT=OF|11470154120S2IPV4SET_DL_DSTOUTPUT=OF|349054120S2IPV4OUTPUT=OF|2980103480S2IPV4OUTPUT=OF|2002680S2IPV4OUTPUT=OF|1001470S3IPV4OUTPUT=OF|158863910S3IPV4OUTPUT=OF|139243910S3IPV4SET_DL_DSTOUTPUT=OF|3980103790S3IPV4OUTPUT=OF|268673840S3IPV4OUTPUT=OF|139243680S4IPV4OUTPUT=OF|219624750S4IPV4OUTPUT=OF|1004750S4IPV4OUTPUT=OF|1004110S4IPV4SET_DL_DSTOUTPUT=OF|319623310S4IPV4OUTPUT=OF|2002100S5IPV4OUTPUT=OF|239244960S5IPV4OUTPUT=OF|2004960S5IPV4OUTPUT=OF|1004320S5IPV4OUTPUT=OF|119623520S5IPV4SET_DL_DSTOUTPUT=OF|319622310：在傳統(tǒng)的網(wǎng)絡(luò)中，地址發(fā)現(xiàn)信息是由廣播的形式發(fā)送出去的，如果網(wǎng)絡(luò)中出現(xiàn)了環(huán)狀，則會(huì)導(dǎo)致廣播風(fēng)暴，因此需要在轉(zhuǎn)發(fā)策略中消除環(huán)狀，一般使用STP協(xié)議，而在SDN網(wǎng)絡(luò)中，由于在連接建立階段，控制器可以獲得整個(gè)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，轉(zhuǎn)發(fā)策略的制定可以基于整個(gè)網(wǎng)絡(luò)來(lái)進(jìn)行，在實(shí)驗(yàn)中，控制器選擇最短路徑優(yōu)先的策略制定了轉(zhuǎn)發(fā)路線，因此不需要配置交換機(jī)就可以避免環(huán)狀網(wǎng)絡(luò)造成的危害。STP的做法雖然有效的防止了環(huán)狀網(wǎng)絡(luò)帶來(lái)的危害，但是由于關(guān)閉了一些端口導(dǎo)致一些鏈路空置，降低了鏈路的利用率，而且，一旦網(wǎng)絡(luò)出現(xiàn)問(wèn)題，需要各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)先后感知網(wǎng)絡(luò)狀態(tài)，然后重置STP生成樹，收斂速度慢，也降低了網(wǎng)絡(luò)效率。 第4章 SDN應(yīng)用與展望 SDN應(yīng)用場(chǎng)景 SDN在數(shù)據(jù)中心網(wǎng)絡(luò)的應(yīng)用數(shù)據(jù)中心網(wǎng)絡(luò)SDN化的需求主要表現(xiàn)在海量的虛擬租戶、多路徑轉(zhuǎn)發(fā)、VM(虛擬機(jī))的智能部署和遷移、網(wǎng)絡(luò)集中自動(dòng)化管理、數(shù)據(jù)中心能力開放等幾個(gè)方面。數(shù)據(jù)中心網(wǎng)絡(luò)是SDN目前最為明確的應(yīng)用場(chǎng)景之一，也是最有前景的應(yīng)用場(chǎng)景之一。同時(shí)，SDN控制的邏輯集中，可以實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的集中管理與控制，企業(yè)的安全策略集中部署和管理，更可以在控制器或上層應(yīng)用靈活定制網(wǎng)絡(luò)功能，更好滿足企業(yè)網(wǎng)絡(luò)的需求?？偟膩?lái)說(shuō)，電信運(yùn)營(yíng)商網(wǎng)絡(luò)具有覆蓋范圍大、網(wǎng)絡(luò)復(fù)雜、網(wǎng)絡(luò)安全可靠性要求高、涉及的網(wǎng)絡(luò)制式多、多廠商共存等特點(diǎn)。例如NTT和德國(guó)電信都開始試驗(yàn)部署SDN，其中NTT搭建了很快日本和美國(guó)的試驗(yàn)環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)虛擬化，并建立跨數(shù)據(jù)中心的WAN網(wǎng)絡(luò)。目前SDN技術(shù)在電信運(yùn)營(yíng)商網(wǎng)絡(luò)大規(guī)模應(yīng)用還難以實(shí)現(xiàn)，但可在局部網(wǎng)絡(luò)或特定應(yīng)用 場(chǎng)景逐步使用，如移動(dòng)回傳網(wǎng)絡(luò)場(chǎng)景、分組與光網(wǎng)絡(luò)的協(xié)同場(chǎng)景等?；ヂ?lián)網(wǎng)公司業(yè)務(wù)基于SDN架構(gòu)部署，將是SDN的重要應(yīng)用場(chǎng)景。 SDN在多數(shù)據(jù)中心之間的應(yīng)用設(shè)計(jì) 案例：某大型公司的廣域網(wǎng)由兩張