SDN基础培训课件(PPT-104页).ppt

1、中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info- ；www.zksoft.orgwww.zksoft.orgS D N 基基 础础学习学习SDN需要的基础知识需要的基础知识v 传统的网络基础知识（网络工程师) osi七层模型 路由（OSPF等等）、交换（ARP VLAN、MAC） tcp/ip 4-7层应用（load banalance firewall ips waf )v Linux操作系统相关知识（系统工程师） 软件安装、配置、系统维护命令、虚拟器v 语言（程序员） Java C （控制器源代码、开发应用） 中科信软高级技术培训中心中科信软高级技术培训

2、中心www.info-www.info-SdnSdn全景图全景图为什么需要为什么需要sdn以及以及sdn解决的解决的问题问题南向接口、南向接口、Openflow协协议议Controller介介绍绍 * Openstack介绍、介绍、 Quantu组件组件Mininet模拟器模拟器Opendaylight控控制器制器传统交换工传统交换工作原理、与作原理、与SDN比较比较SDN产业格产业格局局SDN应用案应用案例例SDN总体架总体架构构中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info- ；www.zksoft.orgwww.zksoft.org课程总体框架课程总体

3、框架与与SDN相关相关的的NFV技术技术SDN应用案应用案例例Controller与与交换机之间交换机之间交互数据交互数据SDN是什么，不是什么是什么，不是什么SDN是是Software Defined Network 的缩写的缩写Network而非而非networking表明是一种框架，一种网络设计理念，而非一种构建技术表明是一种框架，一种网络设计理念，而非一种构建技术Ospf (open shortest path first) mpls (Multi protocol Label Switching) stp (spanning tree protocol )中科信软高级技术培训中心中科

4、信软高级技术培训中心www.info-www.info- ；www.zksoft.orgwww.zksoft.orgSdn起源起源中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info- ；www.zksoft.orgwww.zksoft.orgSdn公认的起源地是美国斯坦福大学公认的起源地是美国斯坦福大学Martin CasadoNick McKeown中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info- ；www.zksoft.orgwww.zksoft.orgEthane项目项目一个关于网络安全与管理的科一个关于网络安全与管理的

5、科研项目。这个项目试图通过一研项目。这个项目试图通过一个个集中的网络控制器，让网络管集中的网络控制器，让网络管理员可以方便的定义基于网络理员可以方便的定义基于网络流流的安全控制策略，并且应用到的安全控制策略，并且应用到网络设备中。网络设备中。受此项目启发，如果将传统网受此项目启发，如果将传统网络设备的数据转发（络设备的数据转发（data plane)和路由和路由控制（控制（control plane)两个功两个功能模块分离提供，通过集中式能模块分离提供，通过集中式的控制器以标准的控制器以标准化的接口对各种网络设备进行化的接口对各种网络设备进行管理和配置，那么将为网络资管理和配置，那么将为网络资

6、源的设计、源的设计、管理和使用提供更多可能性。管理和使用提供更多可能性。好的架构都是演进来的好的架构都是演进来的-Ethane项目项目中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info- ；www.zksoft.orgwww.zksoft.orgNOX控制器，用来集中控制控制器，用来集中控制控制器与设备之间的控制器与设备之间的Openflow协议协议.希望每台交换机提供一个标准化的希望每台交换机提供一个标准化的统一接口。统一接口。基于基于openflow 为网络带来的可编程的特性，提出了为网络带来的可编程的特性，提出了SDN的概念。的概念。另外一种说法，另外一种

7、说法，Kate Green于于2009年在年在TechnologyReview网站上评网站上评选年度十大前沿技术时提出。选年度十大前沿技术时提出。技术变革源于需求技术变革源于需求数据中心的资源：计算、存储、网络数据中心的资源：计算、存储、网络新技术：服务器虚拟化、存储虚拟化、自动化管理工具新技术：服务器虚拟化、存储虚拟化、自动化管理工具传统网络很难满足不断变化的数据中心的需求。传统网络很难满足不断变化的数据中心的需求。传统网络瓶颈传统网络瓶颈v 电信的可用级别是5个9，高度依赖于单个设备的高可用性v 随着云计算、云数据中心技术的发展，需要网络配置更快速、更灵活。v 传统网络设备是封闭的黑盒子，

8、对应用开放接口很少（snmp,telnet),无法满足新业务加载需要。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-SDN如何解决这些问题如何解决这些问题v 控制平面、转发平面分离，集中化部署。v 提供可编程接口，应用加载更灵活。v 高可用性依赖于分布式的大规模网络。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-SDN相关组织相关组织v ONF 网络设备的使用者发起（Google Facebook 微软等公司协同发起），成立于2011年。 官网： https:/www.opennetworking.org MEMBER

9、SHIP(国内）国内） 3大运营商 互联网阵营BAT 硬件厂商 huawei zte H3C centec DCN(神码） China academy telecommunacation Research,MIIT(工业和信息化部电信研究院） Beijing Internet Institute（天地互联，发起美国和国内的对接测试 ） STARTUP MEMBER（国内）（国内） GreenNet xNet Technologies inc.中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-中科信软高级技术培训中心中科信软高级技术培训中心www.info-ww

10、w.info-从几个方面看网络使用者驱动从几个方面看网络使用者驱动v 组织的发起者Google Facebook 和微软等公司都不是网络设备的制造商v ONF Overviewv ONF董事会成员有十几个，无一来自设备厂商，全部都是网络服务提供商、电信运营商甚至风险投资商员工。他们的观点是董事会里只有用户和网络运营商，负责做出所有重要决定，他们控制着前进的方向，定义标准的接口，任何一家厂商都无法控制用户。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-ONF工作工作v ONF Openflow 1.1 1.2 1.3 1.4的标准，OF-Config协议1.

11、0 1.1v 推动全球范围的SDN研讨，厂商之间交换机、控制器互通测试。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-ONF组织架构组织架构v Board of Directors（董事会）v Technical Advisory Group（技术顾问组）v ChipMakers Advisory Board(芯片商顾问委员会） 成员全部来自全球知名的芯片厂，目前国内只有huawei zte centecv Working Groups 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-ONF Plugfestv Test

12、ing and operability工作组负责 包括标准一致性的测试和互联互通的测试。每年负责组织Plugfest测试活动。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-ONF Plugfestv 2012年，参与厂商很少v 2014年5月，中国和美国对接测试，很多国内的厂商参与。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-ODL（opendaylight)v 2013年4月，18家IT厂商发起。 Cisco Juniper NEC 戴尔 IBM 微软 VMware 官网：http:/www.opendayligh

13、t.org中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-ODL背景背景v ODL不算是SDN标准组织，是一个推进SDN发展，实现一个开源的SDN controller的组织，不制定SDN相关标准v Cisco juniper等厂商希望继续自己的领导地位。ONF成立并推动SDN的动机之一就是防止厂商锁定，ODL是想继续维持现有产业格局。v ONF最初制定者（大学教授、学生）对网络的考虑欠缺，导致产品很难商业化，需要厂商来参与完善，使SDN趋于成熟中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-ONF 和和ODL的利益冲突的

14、利益冲突产业界出于自身利益考虑，围绕网络开放方式（南向、北向）和程度尚存在较大分歧,ONF强调“南向”接口开放，OpenDaylight强调“北向”接口开放中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-v推动推动“南向接口南向接口”的标准化的标准化vONF希望彻底摆脱厂商锁定希望彻底摆脱厂商锁定，所以希望所有接口标注化，所以希望所有接口标注化v南向接口可以百花齐放，认南向接口可以百花齐放，认为为sdn最核心的就是控制和最核心的就是控制和转发分析，南向不需要标准转发分析，南向不需要标准化。化。v一方面希望推动一方面希望推动sdn发展发展，另一方面又希望保留厂

15、商，另一方面又希望保留厂商的定制的权利，特别是不规的定制的权利，特别是不规定转发面的硬件的标准化。定转发面的硬件的标准化。其他的一些组织其他的一些组织v NFV （Network Function Virtualization)v ONRC （Open Networking Research Center开放网络研究中心）v IETF ( Internet Engineering Task Force互联网工程任务组) 主要任务是负责互联网相关技术规范的研发和制定，当前绝大多数国际互联网技术标准出自IETF.提出SDN 为Software Driven Network 官网：http:/www

16、.ietf.org/中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Sdn架构架构v 应用层、v 控制层（控制平面）v 转发层（转发平面）中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-北向接口北向接口南向接口南向接口三个层次三个层次 、两个接口、两个接口v 应用层、控制层、转发层v 南向接口、北向接口中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-应用层、控制层、转发层应用层、控制层、转发层v 应用层 Load balance firewall nat qos ips 自动拓扑生成v

17、控制层 各种控制器v 转发层 硬件交换机、软件的交换机（ovs) SDN交换机和传统交换机融合中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-南向、北向接口南向、北向接口v 南向接口（主要指Openflow） 南向接口是传统网络的术语，被借用过来。南向接口指的是控制平面跟数据转发平面之间的接口。v 北向接口 （例如Rest api) 传统网络里，北向接口是指交换机控制平面和网管软件之间的接口，比如snmp. 在SDN里，指控制平面controller跟应用程序之间的接口，目前该接口尚无标准。 比南向接口复杂，应用层业务千变万化。中科信软高级技术培训中心中科信

18、软高级技术培训中心www.info-www.info-业界比较认可的业界比较认可的SDN特征属性特征属性v 控制面与转发面分离v 开放的可编程接口v 集中化的网络控制v 网络业务的自动化应用程序控制中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-传统网络传统网络cisco的三层模型的三层模型中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-传统网络的三层与传统网络的三层与sdn区别区别v 逐设备单独控制，纯分布式控制v 控制面和转发面在同一个设备中，紧密耦合v 管理员无法直接操作转发行为（管理员配置网络协议，网络协议通过自身

19、的运行去影响转发行为，无法改变协议本身的行为）中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-控制面与转发面分离控制面与转发面分离v 传统的交换机。v 双控制卡，端口卡。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Controller SDN的至高点的至高点Controller，厂商抢占的至高点，中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-v 从功能层面controller分为以下几个模块：v 底层通信模块：openflow中目前controller与switch之间使用的是so

20、cket连接，所以控制器底层的通信是socket。v openflow协议。socket收到的数据的处理规则需按照openflow协议去处理。v 上层应用：根据openflow协议处理后的数据，开发上层应用，比如pox中就l2_learning,l3_learning等应用。更多的应用需要用户自己去开发。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-对对sdn的误解的误解v SDN一定要使用Openflow协议来配置转发面 OpenFlow只是发展最早、目前影响力最大的南向接口，但并不是唯一的。Opendaylight已经提出了新的接口，包括现存的以及新定

21、义的，PCEP、netconf、XMPP中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-对对sdn的误解的误解v SDN设备都是靠静态配置的v sDN Controller都是集中式的中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Openflow协议详解协议详解v Openflow是先于SDN提出的。SDN框架里，不规定任何具体的技术实现，。而Openflow是一个具体的协议，这个协议实现了SDN这个框架里的南向接口。v SDN是独一无二的，但是Openflow有竞争者。v 前面提到，控制面和转发面通过标准的接口进行通信

22、，这个接口称为南向接口。v Openflow用来控制设备，网络设备反馈信息给控制器。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Openflow标准分析标准分析v Openflow从1.0开始，历经1.1、1.2、1.3 ，现在已经到了1.4. 控制面和转发面的功能都逐渐丰富，但是仍在不断的演进之中。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Openflow标准分析标准分析v Openflow一部分运行在Controller上，一部分运行在Switch上。v 具体定义了Controller如何来控制交换机，交换机

23、如何来反馈的一系列过程。v 两者之间的消息格式、消息类型，一系列标准术语。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Openflow交换机的主要部件交换机的主要部件v可以认为在逻辑上由两部分组成：端口（Port）和流表（Flow table）v OpenFlow的交换机包括一个或多个流表和一组表，执行分组查找和转发，和到一个外部控制器OpenFlow的信道，用于交换机与控制器进行通信，控制器通过OpenFlow协议来管理交换机。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-v openflow的switch可以从

24、以下方式获得v 实体of交换机，目前市场上有一些厂商已经制造出of交换机，但是普遍反映价格较贵！性能最好。v 在实体机上安装OVS，OVS可以使计算机变成一个openflow交换机。性能相对稳定。v 使用mininet模拟环境。可以搭建许多交换机，任意拓扑，性能依赖虚拟机的性能。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Openflow 端口端口v OpenFlow交换机必须支持三种类型的OpenFlow的端口： 物理端口，逻辑端口和保留端口v 物理端口物理端口 OpenFlow的物理端口为交换机定义的端口，对应于一个交换机的硬件接口。例如，以太网交换

25、机上的物理端口与以太网接口一一对应。 在某些部署中，OpenFlow交换机可以实现交换机的硬件虚拟化。在这些情况下，一个OpenFlow物理端口可以代表一个与交换机硬件接口对应的虚拟切片。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-逻辑端口逻辑端口v OpenFlow的逻辑端口为交换机定义的端口，并不直接对应一个交换机的硬件接口。逻辑端口是更高层次的抽象概念，可能是交换机中不使用OpenFlow的端口（如链路汇聚组，隧道，环回接口）。 v 逻辑端口可能包括报文封装，可以映射到不同的物理端口。这些逻辑端口的处理动作相对于openflow处理来说必须是透明

26、的，而且这些端口必须通过openflow处理起作用，像硬件接口一样。 v 物理端口和逻辑端口之间的唯一区别是：一个逻辑端口的数据包可能有一个叫做隧道ID的额外的元数据字段与它相关联；而当一个逻辑端口上接收到的分组被发送到控制器时，其逻辑端口和底层的物理端口都要报告给控制器。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-保留端口保留端口v OpenFlow的保留端口。它们指定通用的转发动作，如发送到控制器，泛洪，或使用非OpenFlow的方法转发，如“正常”交换机处理。 v 某些交换机只支持那些标记为“Required”的保留端口，至于“Optional”

27、的端口可以根据需要可选。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Required保留端口保留端口vRequired: ALL: 表示交换机转发特定数据包到所有端口，它仅可用于为输出端口。在这种情况下，数据包被复制后发送到所有的标准端口，包括数据包的入端口，这些端口被配置OFPPC_NO_FWD。 v Required: CONTROLLER: 表示的OpenFlow控制器的控制通道，它可以用作一个入端口或作为一个出端口。当用作一个出端口，封装数据包中为数据包消息，并使用的OpenFlow协议发送（见A.4.1）。当用作一个入口端口，确认来自控制器的

28、数据包。 v Required: TABLE: 表示openflow流水线的开始。这个端口仅在输出行为的时候有效，此时交换机提交报文给第一流表使数据包可以通过定期通过OpenFlow流水线处理。 v Required: IN PORT:代表数据包进入端口。用于输出端口时，只允许入端口发送的数据包通过。 v Required: ANY: 特别值，用在未指定端口的OpenFlow指令（端口通配符）。不能使用的入口端口，也不作为一个输出端口。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-可选保留端口可选保留端口vOptional: LOCAL: 表示交换机的本

29、地网络堆栈和管理堆栈。可以用作一个入口端口或作为一个输出端口。本地端口使远程实体通过OpenFlow网络和交换机以及其网络服务互通，而不是通过一个单独的控制网络进行互通。使用一组合适的默认流表项，本地端口可以用来实现一个带内控制器的连接。 v Optional: NORMAL: 代表传统的非OpenFlow流水线（见5.1）。仅可用于为一个输出端口，使用普通的流水线处理数据包。如果交换机不能转发数据包从OpenFlow流水线到普通流水线，它必须表明它不支持这一行动。 v Optional: FLOOD: 表示使用普通流水线处理进行泛洪（见5.1）。可用于作为一个输出端口，一般可以讲数据包发往所

30、有标准端口，但不能发往入端口或OFPPS_BLOCKED状态的端口。交换机也可以通过数据包的VLAN ID选择哪些端口泛洪。 v只有OpenFlow-only交换机不支持NORMAL端口和FLOOD端口，而OpenFlow-hybrid交换机均支持上述端口（见5.1）。转发数据包到FLOOD端口依赖交换机上的实现和配置，而使用一组类型进行转发可以使控制器能够更灵活地实现泛洪中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-交换机处理包流程交换机处理包流程vController告诉交换机，当报文进来哪些port的时候，就查哪些流表，匹配一条表项（Flow ent

31、ry）之后，执行这条流表项规定的指令，转发、丢弃、执行查找下一个流表中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-v 控制器使用OpenFlow的协议，它可以添加、更新和删除流流表中的表项，既主动或者被动响应数据包。 在交换机中的每个流表中包含的一组流 表项;每个流表项包含匹配字段，计数器和一组指令，用来匹配数据包v 匹配开始于第一个流程表，并可能会继续额外的流表 。 流表项匹配数据包按照优先级的顺序，从每个表的第一个匹配表项开始。如果找到匹配的项，那么具体流表项按照指令去执行。 如果在流表中未找到 匹配项 ，结果取决于漏表的流表项配置：（例如， 数据包可

32、被转发到OpenFlow的信道控制器、丢弃、或者可以继续到下一个的流表）中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-v OpenFlow兼容的交换机有两种类型： OpenFlow-only和OpenFlow-hybrid。 OpenFlow-only交换机只支持OpenFlow操作，在这些交换机中的所有数据包都由OpenFlow流水线处理，否则不能被处理。 OpenFlow-hybrid交换机支持OpenFlow的操作和普通的以太网交换操作，即传统的L2以太网交换，VLAN隔离，L3路由（IPv4的路由，IPv6路由），ACL和QoS处理。这些交换机提供

33、一个交换机外的分类机制，使流量路由到OpenFlow流水线或普通流水线。例如，某个交换机可以使用VLAN标签或数据包的输入端口，来决定是否使用一个流水线或其他流水线，或者它可指导所有数据包都到OpenFlow流水线进行处理。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-v每个OpenFlow交换机的流水线包含多个流表，每个流表包含多个流表项。 OpenFlow的流水线处理定义了数据包如何与那些流表进行交互。 OpenFlow交换机需要具有至少一个流表，并可以有更多的可选择的流表。只有一个单一的流表的OpenFlow交换机是有效的，而且在这种情况下流水线处理

34、进程可以大大简化。中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Flow、Flow Table（流表）、（流表）、Flow Entry（流表项）（流表项）Flow Entry（流表项）， 流表项是流表里的最小单位。流表项组成如下vMatch Fields（匹配字段）：对数据包匹配。包括入口端口和数据包报头，以及由前一个表指定的可选的元数据。 vPriority（优先级）：流表项的匹配次序 vCounters（计数器）：更新匹配数据包的计数 vInstructions（指令）：修改行动集或流水线处理 vTimeouts超时：最大时间计数或流有效时间 vcoo

35、kie：由控制器选择的不透明数据值。控制器用来过滤流统计数据、流改变和流删除。但处理数据包时不能使用。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Flow、Flow Table（流表）、（流表）、Flow Entry（流表项）（流表项）v 流表项通过匹配字段和优先级决定，在一个流表中匹配字段和优先级共同确定唯一的流表项。所有字段通配（所有字段省略）和优先级等于0的流表项被称为table-miss流表项（见5.4）。 v of1.3之后table变成多级流表，有256级。而of1.0中table只在table0中。中科信软高级技术培训中心中科信软高级技术

36、培训中心www.info-www.info-流表的匹配过程流表的匹配过程OpenFlow交换机在接收一个数据包时，执行在图中所示的功能。交换机开始执行一个查找表中的第1流表，并基于流水线处理v数据匹配字段从数据包中提取。v数据包匹配字段中的值用于查找匹配的流表项。如果流表项字段具有值的ANY（字段省略），它就可以匹配包头中的所有可能的值。如果交换机支持任意的的位掩码对特定的匹配字段，这些掩码可以更精确地进行匹配。 v数据包与表进行匹配，优先级最高的表项必须被选择，此时与选择流表项相关的计数器也会被更新，选定流表项的指令集也被执行。如果有多个匹配的流表项具有相同的最高的优先级的，所选择的流表项被

37、确定为未定义表项。只有控制器记录器在传统的流信息中没有设置OFPFF_CHECK_OVERLAP位并且增加了重复的表项的时候，这种情况才能出现。 v如果在流水线处理前，交换机配置包含OFPC_FRAG_REASM标志，IP碎片必须被重新组装。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Table-miss v每一个流表必须支持能处理table-miss的流表项。table-miss表项指定在流表中如何处理与其他流表项未匹配的数据包（见5.1）。比如数据包发送到控制器，丢弃数据包或直接将包扔到后续的表。 vtable-miss的流表项也有它的匹配字段和优

38、先级（见5.2），它通配所有匹配字段（所有领域省略），并具有最低的优先级（0）。table-miss流表项的匹配可能不属于正常范围内流表支持的匹配，例如精确匹配表可能不支持在其他流表项中使用通配符，但必须支持table-miss的通配符流表项。table-miss流表项可能没有与正常流表项（见A.3.5.5）相同的能力。交换机最好支持和OpenFlow的以前版本的处理能力相同的table-miss流表项：将数据包发送到控制器，丢弃数据包或直接包到后续的表。 vtable-miss表项的行为在许多方面像任何其他流表项：默认情况下，在流表中不存在table-miss表项。控制器可以在任何时候添加或

39、删除它（见6.4），而且它可能会超时失效（见5.5）。table-miss流表项可以匹配流表中其他表项中不能匹配的数据。当数据包与table-miss表项匹配时，table-miss表项指令就会执行（见5.9）。如果该table-miss表项直接将数据包通过CONTROLLER端口发送到控制器（见4.5），那么报文中的信息必须与一个table-miss表项匹配（见A.4.1）。 v如果该table-miss表项不存在，默认情况下，流表项无法的数据包将被丢弃（丢弃）。一个交换机的配置，例如使用OpenFlow的配置协议，可以覆盖此默认值，指定其他行为。 中科信软高级技术培训中心中科信软高级技术培

40、训中心www.info-www.info-流表项的删除 流表项可以通过两种方式在流表中删除，控制器的请求或交换机流超时机制。 v交换流超时机制运行基于相关的控制器和流表项的状态和配置。每个流的表项具有一个和它相关的idle_timeout和hard_timeout值。如果两个值中有一个不为零，交换机必须注意的流表项的老化时间，因为交换机可能删除该项。如果给定非零hard_timeout的值，那么一段时间后，可以导致流表项被删除，无论有多少数据包与之匹配。如果给定非零idle_timeout的值，那么如果在一段时间没有报文与之匹配，可以导致流表项被删除。交换机必须实现流表项超时和删除功能。 v控

41、制器可积极的从流表中通过发送流表修改信息（OFPFC_DELETE，或OFPFC_DELETE_STRICT ）删除流表项。流表项被删除时，无论是控制器控制或流表项超时机制，交换机必须检查流表项的OFPFF_SEND_FLOW_REM标志。如果该标志被设置，该交换机必须将流删除消息发送到控制器。每个流清除消息中包含的流表项的完整的描述、清除的原因（超时或删除），在清除时的流表项的持续时间，在清除时的流的统计数据。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-指令 每个流表项中包含一组的指令，当一个数据包匹配表项时指令会被执行。这些指令可以更每个流表项中包

42、含一组的指令，当一个数据包匹配表项时指令会被执行。这些指令可以更改数据包，行动组和改数据包，行动组和/或流水线处理。或流水线处理。 v Optional Instruction: Meter meter id : 直接将包计量后丢弃。 v Optional Instruction: Apply-Actions action(s): 立即进行指定的行动，而不改变行动集。这个指令经常用来修改数据包，在两个表之间或者执行同类型的多个行动的时候。 v Optional Instruction: Clear-Actions: 在行动集中立即清除所有的行动。 v Required Instruction:

43、 Write-Actions action(s): 将指定的行动添加到正在运行的行动集中。 v Optional Instruction: Write-Metadata metadata / mask : 在元数据区域记录元数据。 v Required Instruction: Goto-Table next-table-id: 指定流水线处理进程中的下一张表的ID。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-行动集 v行动集与每个报文相关，默认情况下是空的。一个流表项可以使用Write-Action指令或者Clear-Action指令修改行动集。行动

44、集在表间被累加。当一个表项的指令集没有包含Goto-Table指令时，流水线处理就停止了，然后报文的行动集就被执行。 v行动集包含所有的行动，无论他们以什么顺序加入到行动集中，行动的顺序均按照下列顺序执行。如果行动集包含组行动，那么组行动存储段中的行动也按照下列顺序执行。当然，交换机也可以支持通过Apply-Actions指令修改行动执行顺序。 v1. copy TTL inwards: apply copy TTL inward actions to the packet v2. pop: apply all tag pop actions to the packet v3. push-MP

45、LS: apply MPLS tag push action to the packet v4. push-PBB: apply PBB tag push action to the packet v5. push-VLAN: apply VLAN tag push action to the packet v6. copy TTL outwards: apply copy TTL outwards action to the packet v7. decrement TTL: apply decrement TTL action to the packet v8. set: apply al

46、l set-field actions to the packet v9. qos: apply all QoS actions, such as set queue to the packet v10. group: 如果指定了组行动，那么按照这个序列中的顺序执行组行动存储段里的行动。 v11. output: 如果没有指定组行动，报文就会按照output行动中指定的端口转发。 vOutput行动最后执行。如果组行动和输出行动均存在，那么组行动优先级高。如果两者均不存在，那么报文被丢弃。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-行动 vRequir

47、ed Action: Output. 报文输出到指定端口 vOptional Action: Set-Queue.设置报文的队列ID，为了Qos的需要。 vRequired Action: Drop. 丢弃。 vRequired Action: Group. 用组表处理报文. vOptional Action: Push-Tag/Pop-Tag. vOptional Action: Set-Field. 设置报文包头的类型和修改包头的值。 vOptional Action: Change-TTL.修改TTL值。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info

48、-Openflow channelv Openflow通道是交换机连接控制器的接口。通过这个接口，控制器可以对交换机进行管理和配置，接收到交换机的事件，并且想交换机发送数据包。 v 消息被封装为openflow协议中规定的格式在控制器和交换机之间传输，这个控制器交换机协议运行在安全传输层协议(TLS)或无保护TCP连接之上。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-Controller和交换机之间消息类和交换机之间消息类型型v支持三种消息类型： controller-to-switch asynchronous（异步） symmetric（对称） 每

49、一类消息又有多个子消息类型。controller-to-switch 消息由控制器发起，用来管理或获取switch 状态；asynchronous 消息由switch 发起，用来将网络事件或交换机状态变化更新到控制器；symmetric 消息可由交换机或控制器发起。 中科信软高级技术培训中心中科信软高级技术培训中心www.info-www.info-controller-to-switch消息类型消息类型 v controller-to-switch vFeatures在建立传输层安全会话（Transport Layer Security Session）的时候，控制器发送feature请求消

50、息给交换机，交换机需要应答自身支持的功能。 vConfiguration控制器设置或查询交换机上的配置信息。交换机仅需要应答查询消息。 vModify-state控制器管理交换机流表项和端口状态等。 vRead-state控制器向交换机请求一些诸如流、网包等统计信息。 vPacket-out控制器通过交换机指定端口发出网包。 vBarrier控制器确保消息依赖满足，或接收完成操作的通知 vRole-Request 当交换机连接了多个Controller，Controller用这个消息向交换机通告自己的角色。vAsynchronous-Conguration当交换机连接到多个Controller