基于SDN技術的大理學院校園網絡設計研究

羅艷碧，趙文昌，孫秀桂

（大理學院工程學院，云南大理 671003）

互聯網的概念自上世紀60年代提出，發展至今規模日益擴大。尤其近十年來，互聯網用戶數量經歷了爆炸性的增長。隨著互聯網的膨脹和應用類型的不斷豐富，互聯網的缺陷不斷顯現出來。作為互聯網核心設備的路由器最初的設計只是進行數據分組的控制和轉發。但隨著互聯網的發展，其承載的業務不斷增加，如分組過濾、QoS、流量控制、區分服務、多播等，造成現今其控制功能高度復雜，不堪重負。路由器的廠商出于自身考慮，對外開放的路由器控制功能較少，對新型網絡及網絡技術的研究造成了一定的局限，使網絡應用的靈活性和功能的擴展性受到很大的限制。針對現有互聯網的弊端，世界各國都在積極研究下一代互聯網技術。軟定義網絡（software-defined networking，SDN）是一種將網絡控制平臺和數據轉發平臺分離的一種新型互聯網技術。SDN 的核心技術OpenFlow 是由斯坦福大學的Nick McKeown 教授提出的一個開放式協議標準，是美國的GENI〔1〕計劃資助的子項目。目前，基于OpenFlow的SDN網絡已經成為下一代互聯網的研究熱點，全世界各國的各大研究機構和企業都加入到SDN 網絡的研究之中。為了跟上網絡發展的腳步，本文應用SDN的主要技術對大理學院的校園網進行設計研究。

1 SDN網絡原理

SDN 網絡的工作原理是將數據轉發的控制功能從傳統的網絡轉發設備中分離出來，使用可編程的控制器（Controller）實現網絡數據的轉發控制。網絡設計人員可以根據不同網絡的功能和特性，自行編程設計網絡的控制策略以及不同的APP，實現網絡的靈活控制，增加了網絡功能的可擴展性。SDN 網絡打破原有TCP/IP 的4 層體系結構，將網絡體系結構劃分為3 層：基礎設施層、控制層和應用層，見圖1。圖中的控制和數據平面接口用于轉發控制層中的控制軟件和基礎設施層中的網絡數據轉發設備間的數據，也稱為南向接口。而控制層軟件與應用層的各個應用之間的數據由開放的API接口進行信息交互，此接口也稱為北向接口〔2〕。

圖1 SDN網絡體系結構

SDN的核心技術是OpenFlow〔3〕。基于OpenFlow的SDN 網絡主要由OpenFlow 交換機和控制器組成。OpenFLow 的基本組網如圖2 所示。OpenFlow交換機由流表（flow table）、安全通道（secure channel）和OpenFlow 協議組成，完成基礎設施層的功能。它取代了傳統網絡中的交換機和路由器，負責數據的轉發。OpenFlow 交換機根據流表的表項交換數據。流表由多個表項組成，主要的表項有匹配字段、計數器和操作。流表定義了多個轉發規則。進入交換機的數據分組首先查找流表，找到與分組相對應的表項，執行相應的操作。如果找不到相應的表項，則將分組轉發給控制器，由控制器決定下一步的數據操作。OpenFlow 交換機中的匹配字段包括了傳統網絡的各層中的大部分標識，如MAC 地址、IP 地址、TCP 端口號等，且支持 VLAN、MPLS 和IPv6 等技術。安全通道用于連接OpenFlow 交換機和控制器。控制器通過安全通道，使用OpenFlow協議控制和更新OpenFlow 交換機的流表。控制器通過南向接口與網絡中的OpenFlow交換機交換信息，并且形成完整的網絡視圖，實時維護更新網絡視圖，集中控制整個網絡。同時，控制層將整個網絡的網絡視圖通過北向接口提供給應用層，應用層根據不同的網絡應用調用不同的API，實現不同的功能。網絡的管理者可以通過這種軟件控制模式，動態、靈活的管理整個網絡，打破現有網絡相對封閉的管理模式，實現網絡管理的開放性和可編程性。

圖2 OpenFlow基本組網

2 基于SDN 原理的大理學院校園網設計和應用

2.1 大理學院SDN 校園網拓撲設計基于Open-Flow技術的大理學院SDN網絡的整體架構如圖3所示。校園網以多域、多控制器的結構進行設計。整個網絡分為4 個域，區域1 為辦公域，區域2 為教學實驗域，區域3 為學生宿舍域，區域4 為教師公寓域。4 個域覆蓋校園網的所有用戶，提供基礎性網絡服務。每個域有一臺控制器，控制該域中的所有OpenFlow 交換機。4 個控制器組成控制平臺，組成一個分布式的控制平臺〔4〕，便于網絡建設和管理人員管理整個校園網。

圖3 大理學院SDN校園網架構

圖4 大理學院SDN校園網拓撲圖

根據圖3 所示的網絡架構，大理學院SDN 校園網的網絡拓撲圖如圖4 所示。整個校園網實現有線和無線全覆蓋，無線接入可采用普通AP 或可編程AP。校園網骨干網由光鏈路構成，采用星型和環形混合拓撲，當網絡鏈路出現故障時可以有多條迂回線路連接數據傳輸，提高網絡安全性。核心OpenFlow 交換機采用主、備熱備份方式，主用機和備用機擁有相同的數據配置和線路連接，且主用機上的數據每隔一定的周期自動向備用機上備份。當主用交換機出現故障時，備用交換機立即啟動，保證網絡的連續工作。同時，為使校園網和Internet 更好的連接，本網采用雙出口的方式連接外網，網絡出口正常時兩個出口可以分擔網絡流量，當一個出口出現故障，由另外一個出口負責全網的對外數據交換。核心OpenFlow 交換機上連接的網管控制平臺可讓網絡管理員實時監控整個網絡的運行情況，該平臺還可控制網絡中的其他控制器〔5〕。網絡拓撲中，鏈路設計將用戶數據鏈路和管理數據鏈路從物理上分開，提高了數據的傳輸效率，減少了由于大量的網絡管理信息阻塞信道所帶來的數據傳輸延時。

2.2 數據轉發設計本網絡的數據轉發由Open-Flow 交換機完成，而轉發策略由控制器實現。OpenFlow 交換機實現的是SDN 網絡架構南向接口的功能。支持南向接口的主流網絡協議有Open-Flow1.0、OpenFLow1.3 版和 OneOK 等。OpenFLow分為硬件交換機和軟件交換機。本網絡中所示的OpenFlow 交換機選用華為的S12700 系列硬件交換機。該交換機支持OpenFlow1.0 和1.3 版本協議。在學校機房、實驗室還可采用虛擬交換機Open vSwitch〔6〕。Open vSwitch是在開源的Apache2.0許可下的產品級質量的多層虛擬交換標準，支持Open-Flow 1.0/1.3 協議。它基于C 語言編程，有很好的可移植性，安裝在Linux 服務器上，通過編程擴展，使網絡自動化配置、管理、維護。Open vSwitch可以在一臺服務器上虛擬出幾十臺甚至上百臺的虛擬服務器，每臺虛擬交換機的端口數量可以靈活選擇。這樣就可以較低廉的價格構建SDN 實驗網絡，在SDN 實驗網上可以進行大數據、云計算、物聯網等新型互聯網服務的實驗。

2.3 控制管理設計拓撲設計中的網管控制平臺的主要作用是統一配置和管理整個網絡的資源。為網絡管理者提供一個直接的管理平臺。它可以根據需要，動態的創建、維護和管理網絡的全局視圖〔6〕。網絡管理平臺的架構設計，見圖5。

圖5 網管控制平臺架構圖

拓撲圖中的控制器主要控制各個域中的Open-Flow交換機，核心OpenFlow 交換機受到4個控制器的共同管理，以協調各域間的數據傳輸和內外網絡間的數據交換。本文選用Floodlight 作為網絡的控制器。Floodlight 控制器是由Big switch 基于Beacon開發的跨平臺控制軟件，它可以運行在Window、Mac 和 Linux 操作系統下。Floodlight 是由 ONF（Open Networking Foundation）管理的開放標準。由Big Switch 的工程師進行社區維護，遵循Apache 開源規范。由于它擁有豐富的API 和較高的穩定性，Floodlight得到了較廣泛的推廣。

2.4 校園網應用設計校園網主要提供的網絡應用有學校管理應用、教學服務應用、學生學習應用和信息交流應用。不同網絡應用的數據隔離采用OpenFlow虛擬網絡切分技術，將校園網分為多個虛網〔7〕。基于OpenFlow技術的虛擬網絡組網圖如圖6所示。OpenFlow 虛擬網絡使用 FlowVisor〔8〕控制器透明的代理OpenFlow 交換機和Floodlight 控制器的數據傳輸和網絡管理，構建校園網的虛擬化平臺〔9〕。基于SDN技術的大理學院校園網的虛擬化控制平臺架構如圖7所示。本平臺通過對物理網絡設施的切片管理技術，將物理網絡化分為不同的虛擬網絡，任何一個OpenFlow交換機都可以屬于一個或多個虛擬網。FlowVisor 為虛擬網絡指定一個或多個控制器〔10-13〕。

3 基于SDN 的大理學院下一代校園網性能分析

圖6 OpenFlow虛擬網絡組網圖

圖7 虛擬化控制平臺架構圖

相對于傳統校園網，基于SDN的下一代校園網的優勢在于網絡控制平面和數據平面分離，使用控制器通過軟件編程的形式，根據網絡的具體需求制定轉發策略，增加了網絡管理的靈活性，實現了數據分類和精細化管理〔14〕；網絡轉發設備功能設計更簡單，數據轉發效率更高〔15〕；可編程的控制方式使得網絡功能的擴展性更強，能更好的適應云計算、大數據等新型網絡應用。本網絡在設計時從物理鏈路上將控制數據和用戶數據分開，可以避免大量的管理數據的傳輸所引起的網絡用戶數據轉發的排隊時延。同時，應用SDN虛擬網絡技術搭建的虛擬化控制平臺，通過FlowVisor從邏輯上隔離不同虛擬網絡的流量，實現不同應用數據的有效隔離，流表資源隔離和帶寬隔離。而傳統網絡只能通過在交換機上劃分Vlan實現數據的二層隔離，通過路由器的訪問控制技術實現數據的邏輯控制，功能簡單，難以滿足未來網絡的需求。

4 小結

本文在SDN 技術原理基礎之上構建了大理學院校園網，設計了網絡拓撲結構和網絡管理平臺。并且根據校園網的應用使用FlowVisor 劃分了虛擬網絡，隔離不同校園網應用的數據，更好的支持了校園網的網絡應用。對于傳統的校園網，SDN校園網網絡管理更加靈活，數據轉發效率更高，對新型網絡應用的支持更好。本網絡設計時只針對Open-Flow 相關設備，在下一步的研究中將著重于Open-Flow設備和現有網絡設備混合組網，減小網絡升級的代價。

〔1〕ELLIOTT C.GENI:Opening up new classes of experiments in global networking〔J〕. IEEE Internet Computing，2010，14（1）:39-42.

〔2〕左青云，陳鳴，趙廣松，等.基于OpenFlow 的SDN技術研究〔J〕.軟件學報，2013，24（5）：1078-1097.

〔3〕MCKEOWN N，ANDERSON T，BALAKRISHNAN H，et al.OpenFLow: Enabling innovation in campus network〔J〕.ACM SIGCOMM Computer Communication Review，2008，38（2）:69-74.

〔4〕SIMEONIDOU D，NEJABATI R，AZODOLMOLKY S.Enabling the future optical Internet with OpenFlow: a paradigm shift in providing intelligent optical network services〔C〕//Proc of the 13th IEEE International Conference on Transparent Optical Networks.2011:1-4.

〔5〕CAI Z，COX A L，EUGENE T S.Maestro:a system for scalable OpenFlow control，Technical Report TR10-08〔D〕.Houston:Rice University，2010.

〔6〕俞淑妍，丁健，劉江，等.校園級SDN 創新實驗平臺的研究與實踐〔J〕.信息通信技術，2014（1）:30-35.

〔7〕SHERWOOD R，GIBB G，YAP K，et al.FlowVisor：a network virtualization layer〔R〕.2009.

〔8〕FARIAS F N ，SALVATTI J，CERQUEIRA E C，et al. A proposal management of the legacy network environment using OpenFlow control plane〔C〕// Proc of NetWork Operations and Management Symposium.2012:1143-1150.

〔9〕MIN S，KIM S，LEE J，et al. Implementation of an Open-Flow network virtualization for multi-controller environment〔C〕//Proc of the 14th International Conference on Advanced Communication Technology.2012:589-592.

〔10〕楊明華，陳聰，鄭建群，等. 安全可靠的SDN 技術研究〔J〕.信息安全與技術，2014（8）：51-54.

〔11〕劉江，趙欽，黃韜，等.北京郵電大學：構建SDN 校園網絡創新環境〔J〕.中國教育網絡，2013（8）：28-30.

〔12〕畢軍.域間SDN互聯網技術WE-Bridge及其實驗床的研究進展〔J〕.電信科學，2014（8）：28-32.

〔13〕朱明明，夏寅賁，徐小飛.基于SDN 的數據中心網絡研究〔J〕.郵電設計技術，2014（3）：23-29.

〔14〕王麗君，劉永強.基于OpenFlow的未來互聯網實驗技術研究〔J〕.電信網技術，2011（6）:1-4.

〔15〕蔣培成，陳鳴，李兵. OpenFlow 軟交換機的性能測量〔J〕.重慶郵電大學學報，2013，25（1）:24-29.