【正文】 每個流表項都有一個優(yōu)先級字段，數(shù)據(jù)包按照優(yōu)先級進行匹配；若一個交換機中包含多個流表，那么在當前流表中未能匹配的情況下進行流水線式的查找后續(xù)的流表，匹配成功后，就將流表項中的計數(shù)器更新，如果沒有找到匹配項那么就將該數(shù)據(jù)包發(fā)送給控制器處理。表22 流表項修改消息類型名稱說明ADD增加一個新的流表表項MODIFY修改所有匹配的流表項MODIFY_STRICT修改嚴格匹配的流表項DELETE刪除所有匹配的流表項DELETE_STRICT刪除嚴格匹配的流表項移除流表項：流表項的移除有兩種情況，一種是定時器時間期限達到，交換機自動刪除流表項，另一種是控制器下發(fā)命令刪除流表項。（2）安全通道連接控制器與交換機的部分，支持Openflow協(xié)議，控制器通過安全通道管理交換機、發(fā)送指令。當控制器與交換機之間出現(xiàn)連接建立、連接中斷、流表項修改等動作時需要用到Openflow協(xié)議。位于控制層的SDN控制器通過南向接口進行網(wǎng)絡(luò)控制，統(tǒng)一管理交換設(shè)備，并通過可編程的北向接口與上層應(yīng)用進行交互，并執(zhí)行上層應(yīng)用對底層網(wǎng)絡(luò)資源的優(yōu)化指令。鏈路發(fā)現(xiàn)：與傳統(tǒng)網(wǎng)絡(luò)的鏈路發(fā)現(xiàn)過程不同，SDN網(wǎng)絡(luò)中的鏈路發(fā)現(xiàn)不再由各個網(wǎng)元完成，而是由控制器負責的。在鏈路的發(fā)現(xiàn)過程中，控制器將LLDP報文發(fā)給與其直連的交換機中并要求交換機將該報文從其他的端口廣播出去，由于在LLDP報文中包含有特定的與普通MAC數(shù)據(jù)幀區(qū)分的表項，導(dǎo)致openflow交換機無法基于流表匹配進行處理，因此，交換機會將LLDP報文再交給控制器處理，控制器通過這種途徑獲取鏈路的信息?？刂破鹘粨Q機交換機 帶LLDP的 帶LLDP的 Packet_out packet_out packet_in LLDP SDN控制器的鏈路發(fā)現(xiàn)過程，控制器在進行鏈路發(fā)現(xiàn)時，先將一個帶LLDP的packet_out消息發(fā)送給所有與其直連的交換機，命令交換機將LLDP數(shù)據(jù)包從其余的所有端口發(fā)出。網(wǎng)絡(luò)中的其他交換機都將采用類似的過程向控制器發(fā)送packet_in消息，控制器也因此創(chuàng)建出網(wǎng)絡(luò)拓撲視圖。策略制定：SDN交換機根據(jù)流表項進行數(shù)據(jù)的轉(zhuǎn)發(fā)，而流表的制定由控制器實現(xiàn)，SDN控制器會根據(jù)網(wǎng)絡(luò)的鏈路狀態(tài)、拓撲結(jié)構(gòu)以及不同的層面的需求下發(fā)數(shù)據(jù)包轉(zhuǎn)發(fā)策略。表項下發(fā)：流表項的下發(fā)分為主動和被動兩種模式。被動流表下發(fā)，在第一個數(shù)據(jù)包到來之前，流表項還沒有設(shè)置，當有數(shù)據(jù)包到來時，交換機將數(shù)據(jù)包發(fā)送給控制器，控制器確定相應(yīng)的處理方式后將數(shù)據(jù)包返回交換機并告知交換機處理方式，交換機將相關(guān)的信息緩存，信息的緩存時間由控制器規(guī)定，這樣做雖然增加了設(shè)置表項帶來的延遲，但是由于流表信息有一定的緩存期限所以更加有效的利用了交換機的儲存空間。然而，利用基本抽象編寫網(wǎng)絡(luò)程序是復(fù)雜且容易出錯的，因此，在SDN北向接口標準化方面，現(xiàn)在還沒有達成共識。一套好的接口設(shè)計應(yīng)具有可尋址性強、接口無狀態(tài)、注重關(guān)聯(lián)性、接口統(tǒng)一的特征。目前，支持SDN技術(shù)的交換機不常見，單純用物理設(shè)備搭建真實的網(wǎng)絡(luò)環(huán)境比較困難，因此我們將通過模擬的方式進行搭建。 利用Mininet搭建模擬環(huán)境下載mininet鏡像并在Virtual Box中打開，登錄到命令行界面，用戶名密碼都是openflow，啟動mininet，命令為mn，則創(chuàng)建一個擁有一個控制器、一個交換機、兩臺主機的網(wǎng)絡(luò)。l 自定義拓撲， 自定義拓撲除了mininet自帶的拓撲外，我們還可以使用指令進行自定義拓撲，除了使用指令自定義拓撲外，我們還可以設(shè)置拓撲文件，并通過mn –custom ~/mininet/custom/ –topo mytopo進行自定義網(wǎng)絡(luò)結(jié)構(gòu)。實驗準備工作如下：在PC機上安裝virtualbox軟件，創(chuàng)建一臺虛機，再創(chuàng)建一臺虛機運行mininet，在運行mininet的虛擬機上運行wireshark軟件監(jiān)測端口選擇eth1，運行mininet并將controller指向floodlight。 拓撲探測包分析虛擬網(wǎng)絡(luò)生成后，控制器與交換機進行初始化，大致分為兩階段，先是控制器與交換機交換信息，然后是控制器對整個網(wǎng)絡(luò)進行拓撲探測。先是初始化階段的信息交換過程，在這一過程中，與控制器連接的交換機通過6633端口（6633端口默認分配給controller）向交換機發(fā)送hello包，控制器也將回復(fù)hello包。在雙方確認自己的版本號確認連接后，控制器開始對交換機的配置過程。 Reply消息從上圖我們可以看到控制器對交換機的設(shè)置——發(fā)往交換機的流的字節(jié)數(shù)不能超過65535。配置完成后，控制器向交換機發(fā)送stats_request消息查詢交換機的狀態(tài)，交換機通過reply消息將自己的狀態(tài)發(fā)給控制器。 LLDP包的發(fā)送 ping流程包分析，執(zhí)行h2 ping h3。交換機收到arp消息包后，由于流表為空不知道如何處理，所以交換機將向控制器發(fā)送packet_in消息包。 洪泛請求目的主機接收到arp消息后，填寫自己的MAC地址，通過單播向源主機返回arp包，交換機收到arp回復(fù)后，由于流表依然為空不知道如何處理，便向控制器發(fā)送packet_in消息。此時，交換機的流表項中就已經(jīng)產(chǎn)生了一個新的流表項。2的流，因此，交換機收到ping請求仍無法匹配，只能繼續(xù)通過packet_in消息送至控制器，控制器再發(fā)送packet_out消息給交換機，這時，packet_out消息中也包含了兩個內(nèi)容，一個是flow_mod用于添加新表項，另一個是packet_out，用于ping消息的轉(zhuǎn)發(fā)。 SDN環(huán)狀網(wǎng)絡(luò)實驗通過Python構(gòu)建環(huán)狀拓撲結(jié)構(gòu)：from import Topo, Nodeclass MyTopo( Topo ): “simple topology example.” Def__init__( self, enable_all = True )： “Create custom topo.” Super( MyTopo, self).__init__() Host1 = ( ‘h1’ )Host2 = ( ‘h2’ )Host3 = ( ‘h3’ )Host4 = ( ‘h4’ )Host5 = ( ‘h5’)Switch1 = ( ‘s1’ )Switch2 = ( ‘s2’ )Switch3 = ( ‘s3’ )Switch4 = ( ‘s4’ )Switch5 = ( ‘5’ )( Switch1,Switch2 )( Switch2,Switch3 )( Switch3,Switch4 )( Switch4,Switch5 )( Switch5,Switch1 )( Switch1,Host1 )( Switch2,Host2 )( Switch3,Host3 )( Switch4,Host4 )( Switch5,Host5 )topos = { ‘mytopo’: ( lambda: MyTopo() ) }：H4H3 Port3 Switch4Swith3 Port3 Port2 Port1 Port1 Port2H2 Port2 Port1H5Switch5 Switch2 Port3 Port3 Port1 Port2 Switch1 Port1 Port2Port3H1 環(huán)狀拓撲建立好拓撲以后，讓h1分別與hhhh5進行ping通信。建立好連接后，我們通過研究流表（）分析SDN網(wǎng)絡(luò)中的控制器是如何處理環(huán)狀網(wǎng)絡(luò)的。其次，不同于傳統(tǒng)網(wǎng)絡(luò)二層轉(zhuǎn)發(fā)以MAC地址為依據(jù)的做法，SDN控制器在建立連接和拓撲發(fā)現(xiàn)時可以獲得各個主機的IP地址，然后計算出到達該IP地址的最短路徑再將該路徑寫入交換機的流表中，交換機轉(zhuǎn)發(fā)報文時根據(jù)流表中的IP地址對應(yīng)的端口號進行轉(zhuǎn)發(fā)。傳統(tǒng)網(wǎng)絡(luò)出現(xiàn)環(huán)狀是所用的STP協(xié)議會關(guān)閉掉一些端口，而SDN網(wǎng)絡(luò)中的交換機的端口都是開放的。在SDN網(wǎng)絡(luò)中，由于控制器具有全局視野，制定出轉(zhuǎn)發(fā)策略可以有效的避免環(huán)狀網(wǎng)絡(luò)，其次，因為沒有端口的關(guān)閉，SDN網(wǎng)絡(luò)中的鏈路利用率也得到提升。SDN網(wǎng)絡(luò)中，交換機只需要根據(jù)控制器下發(fā)的流表進行數(shù)據(jù)轉(zhuǎn)發(fā)，提高了轉(zhuǎn)發(fā)設(shè)備的轉(zhuǎn)發(fā)速度。SDN控制邏輯集中的特點可充分滿足網(wǎng)絡(luò)集中自動化管理、多路徑轉(zhuǎn)發(fā)、綠色節(jié)能等方面的要求。數(shù)據(jù)中心的建設(shè)和維護一般統(tǒng)一由數(shù)據(jù)中心運營商或ICP/ISP維護，具有相對的封閉性，可統(tǒng)一規(guī)劃、部署和升級改造，SDN在其中部署的可行性高。 SDN在政企網(wǎng)絡(luò)中的應(yīng)用政府及企業(yè)網(wǎng)絡(luò)的業(yè)務(wù)類型多，網(wǎng)絡(luò)設(shè)備功能復(fù)雜、類型多，對網(wǎng)絡(luò)的安全性要求高，需要集中的管理和控制，需要網(wǎng)絡(luò)的靈活性高，且能滿足定制化需求。SDN將復(fù)雜的業(yè)務(wù)功能剝離，由上層應(yīng)用服務(wù)器實現(xiàn)，不僅可以降低設(shè)備硬件成本，更可使得企業(yè)網(wǎng)絡(luò)更加簡化，層次更加清晰。由于企業(yè)網(wǎng)絡(luò)一般由企業(yè)自己的信息化部門復(fù)雜建設(shè)、管理和維護，具有封閉性，可統(tǒng)一規(guī)劃、部署和升級改造，SDN部署的可行性高。具體的網(wǎng)絡(luò)還可分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，網(wǎng)絡(luò)存在多種方式，如傳輸網(wǎng)、數(shù)據(jù)網(wǎng)、交換網(wǎng)等。SDN的轉(zhuǎn)發(fā)與控制分離特點可有效實現(xiàn)設(shè)備的逐步融合，降低設(shè)備硬件成本。SDN的網(wǎng)絡(luò)能力虛擬化和開放化，也有利于電信運營商網(wǎng)絡(luò)向智能化，開放化發(fā)展，發(fā)展更豐富的網(wǎng)絡(luò)服務(wù)，增加收入。而德國電信在云數(shù)據(jù)中心、無線、固定等接入環(huán)境使用SDN。大范圍、大量網(wǎng)絡(luò)設(shè)備的管理問題，超大規(guī)模SDN控制器的安全性和穩(wěn)定性問題，多廠商的協(xié)同 和互通問題，不同網(wǎng)絡(luò)層次/制式的協(xié)同和對接問題等均需要盡快得到解決。 SDN在互聯(lián)網(wǎng)公司業(yè)務(wù)部署中的應(yīng)用SDN即軟件定義網(wǎng)絡(luò)，然而筆者認為SDN的研究重點不應(yīng)放在軟件如何定義網(wǎng)絡(luò)，而應(yīng)在于如何開放網(wǎng)絡(luò)能力。NaaS是網(wǎng)絡(luò)的最終歸宿。SDN具有網(wǎng)絡(luò)能力開放的特點，通過SDN控制器的北向接口，向上層應(yīng)用提供標準化、規(guī)范化的網(wǎng)絡(luò)能力接口，為上層應(yīng)用提供網(wǎng)絡(luò)能力服務(wù)。國內(nèi)企業(yè)如騰訊、百度等都在加快SDN的實驗室部署，例如騰訊，利用SDN實現(xiàn)差異化的路徑計算、流量控制和服務(wù)，為用戶提供更好體驗。兩張網(wǎng)絡(luò)的需求與流量特性有很大的區(qū)別，由于外網(wǎng)主要用于連接用戶與服務(wù)，因此在時間、地區(qū)、流量需求方面有較強的規(guī)律性和穩(wěn)定性，而內(nèi)網(wǎng)流量需求大，不具有規(guī)律性。當數(shù)據(jù)轉(zhuǎn)移時公司希望對數(shù)據(jù)流進行精確的控制盒管理，并且準確的預(yù)測更新速度。綜上，該公司需要一種靈活、穩(wěn)定、全面對的對內(nèi)網(wǎng)進行管理。Site A ControllerSite ASwitch SwitchSwitchSwitchSite BSite CQuaggaRAP TE Agent OFCPaxosSite BControlllersSite CControllersGatewayCental TEServer Global iBGP eBGP SDN在骨干網(wǎng)中的設(shè)計方案如上圖所示，整個網(wǎng)絡(luò)分為三層：第一層，物理設(shè)備層，在原有設(shè)備的基礎(chǔ)上增添openflow交換機，交換機里面運openflow協(xié)議，但它并非僅僅支持openflow協(xié)議，還支持傳統(tǒng)二三層協(xié)議，這樣做的目的是在原有網(wǎng)絡(luò)的基礎(chǔ)上引入openflow交換機不會導(dǎo)致網(wǎng)絡(luò)的大的變化。第二層，局部網(wǎng)絡(luò)控制層，這一層是一個服務(wù)器集群層，下層的一臺交換機會與多臺控制器相連，而一臺控制器也會與多臺交換機相連，交換機對控制器的選擇不在于控制器的狀態(tài)，而在與控制器的服務(wù)類型，例如，對于控制功能A可以選擇controller1而對控制功能B則可以選擇controller2。所有site的controller都由一個邏輯控制服務(wù)器（可以理解為軟件）來進行控制，每個site的邏輯控制服務(wù)器又由全局控制中心進行管理控制。圖中的RAP是一種SDN應(yīng)用，負責controller與Quagga通信，Quagga是一個網(wǎng)絡(luò)協(xié)議棧，支持多種路由協(xié)議。當一個controller收到交換機傳來的報文和鏈路變化通知時，通過RAP應(yīng)用將報文傳送給Quagga協(xié)議棧，同時controller也將與自己相連的交換機及端口信息告訴Quagga，Quagga統(tǒng)一管理這些端口。圖中TE Agent是運行在控制器上的另一個應(yīng)用，負責與Gateway傳送信息，Gateway匯總后將信息送給TE server進行處理。為什么不直接將controller與TE server相連而要加入Gateway的設(shè)置是因為Gateway將控制器、交換機抽象出來，TE server看不到具體的鏈路與控制器還有協(xié)議信息，只負責鏈路策略的制定。另一方面，數(shù)據(jù)流可分為通往數(shù)據(jù)中心、從數(shù)據(jù)中心發(fā)出以及路過數(shù)據(jù)中心三種，對從數(shù)據(jù)中心發(fā)出的數(shù)據(jù)流，對路徑的選擇會首先匹配TE制定的路線，當無法匹配時，再按照BGP協(xié)議制定的路線發(fā)出，對通過數(shù)據(jù)中心以及路過的數(shù)據(jù)流，優(yōu)先選擇BGP制定的路徑。通過上面的方案我們可以看到SDN網(wǎng)絡(luò)引入帶來的種種好處，一方面提高網(wǎng)絡(luò)的容錯能力和可用性，全局控制中心擁有整個網(wǎng)絡(luò)的拓撲，因此計算出的網(wǎng)絡(luò)路徑有更高的可用性，增加了鏈路的利用率。 SDN展望 傳統(tǒng)的網(wǎng)絡(luò)設(shè)備產(chǎn)業(yè)是一個相對封閉的產(chǎn)業(yè)，整個行業(yè)被一些巨頭所把持，網(wǎng)絡(luò)設(shè)備的更新?lián)Q代也只是在性能上的提高并沒有根本上的變化，而同期的服務(wù)器市場卻經(jīng)歷了服務(wù)器硬件與操作系統(tǒng)的分離、虛擬技術(shù)的普及兩個階段?；蛟S距離SDN時代的到來還有一定困難，但隨著技術(shù)周期演變的加速，SDN已經(jīng)離我們不遠。本文還對SDN網(wǎng)