基于SDN的OpenFlow管控標準接口協議研究

孟凡博++趙宏昊++吳桐

摘 要：近年來，隨著社會的進步與經濟的發展，網絡技術不斷革新，傳統的TCP/IP網絡更加智能化，同時涌現出許多新興技術與協議。在新業務運行中，傳輸理念面臨著越來越多的挑戰，也出現了許多問題，難以滿足當前新形勢的發展需求。基于此，業界研究者開始對新型構架進行研究，而SDN（軟件定義網絡）憑借其本身的開放網絡構架，具備著多種優勢，例如資源虛擬化、可編程性、集中控制等，得到業界的普遍關注。該文先從理論層面介紹了SDN網絡的發展現狀，介紹了SDN網絡在未來網絡架構中的應用前景；隨后介紹了OpenFlow協議和SDN的體系架構和特點。運用這些概念，該文設計了基于OpenFlow的架構層次，介紹了虛擬網絡架構的4個層次：應用層、虛擬平臺、控制層和物理層，為統一管控標準接口打下了理論基礎。

關鍵詞：SDN OpenFlow 體系架構 標準接口

中圖分類號：TN929；TM73 文獻標識碼：A 文章編號：1674-098X（2016）09（a）-0009-04

當前階段，社會對高速信息網絡需求不斷提升，為應對這一形勢，互聯網不斷開發新協議，通過局部修補實現結構的進一步完善。國際互聯網標準化工作組IETF對這一完善過程起著主導作用，通過對新標準的制定與修改提升互聯網性能，完善其功能。在這種發展背景下，網絡架構日益變得復雜，為管理與維護工作帶來較大難度[1]。這一問題的決定性因素在于互聯網的最初設計，特別是對TCP/IP的設計。而對于TCP/IP的修改又存在較大困難，因此，社會各界均在尋求一種新的解決途徑來化解當前的困境。于是，新型體系架構應運而生。

傳統的網絡構架中由于邏輯控制和數據轉發緊密地耦合于網絡設備中，新的網絡控制管理策略很難到現網上部署，網絡的擴展性和靈活性被束縛，因而從控制和轉發分離成為許多研究者的共識。因此，在嘗試改變互聯網的體系結構的同時，軟件定義的網絡（software defined networking，SDN）被作為一種新型的網絡體系結構提出。OpenFlow技術作為SDN轉發抽象的實現之一，已經受到學術界和工業界的普遍關注和廣泛研究。OpenFlow實現了將設備控制平面與數據平面相分離，讓用戶對設備的控制和修改變得更容易[2]。

1 SDN的發展現狀

為了有效解決TCP/IP構架帶來的問題，國際學術界通過未來網絡研究的實施致力于未來網絡創新實驗平臺的開發與建設，同時先后啟動了GENI、FINE、4WARD、FIA等項目。IETF開發出了ForCES網絡構架，用于標準化控制組件與網絡組件的通信，網絡設備主要由兩部分組成，包括控制件（CE）與轉發件（FE），其中CE組件主要執行控制與信令的功能，使用ForCES協議指導轉發組件處理報文的方式。ForCES自2003年起開始實行標準化，同時出版了許多應用文檔，定義網絡實體和接口的框架模型。但是，這一標準化形式只是致力于創新與建模，并未獲得設備商的普遍運用。后期，又開發了網絡構架Ethane，這一構架主要針對于企業網的應用管理，允許相關網絡管理者對精細粒度策略進行定義，并于網絡中予以執行。將基于流轉發的以太網交換機直接和管理網絡接入的路由控制器相連，這種方式看上去較為激進，但其可向后兼容現有主機與交換機。控制器對主機的網絡注冊、認證及數據流的路由策略有控制作用，而下層交換機主要承擔對數據的轉發工作。

基于上述的這些研究，斯坦福大學的Nick教授等人提出了OpenFlow，可讓研究者在現今的網絡運行試驗協議。它可以作為像GENI項目這樣大規模試驗床的重要部件，斯坦福的兩棟大樓很快就部署了OpenFlow網絡，隨后，OpenFlow受到了學術界的廣泛關注。OpenFlow思想也逐漸演變成了今天的SDN網絡構架，具備控制、轉發分離、集中化控制、資源虛擬化等優勢。不久后，OFELIA、GENI項目和FIRE項目均提出采用OpenFlow技術搭建未來網絡的創新實驗平臺。在Nick教授等人的推動下，2011年開放網絡基金會（ONF）成立，專門負責相關規范和標準的制定以及推廣，包括OpenFlow協議版本、配置協議OF-Config和SDN白皮書，有力地促進了SDN/OpenFlow的標準化進程，使它成為未來網絡體系構架研宄和創新實驗平臺構建領域的熱點技術。ITU-T與IETF等國際標準化組織也紛紛開始關注SDN的應用場景和組網方式。但SDN不僅停留在學術研究層面，應該說工業界的熱情不亞于學術界，谷歌、微軟等互聯網公司均在SDN領域投入了大量的科研力量。企業界也出現Nicira和Big Switch等為代表的SDN公司，開發出了OpenVSwitch和Floodlight等網絡軟件。

2 OpenFlow協議及特點

2.1 OpenFlow規范

OpenFlow交換機規范定義了交換機的基本功能以及通過遠端控制器對OpenFlow交換機進行管理的協議。遠端控制器在安全通道上通過OpenFlow協議對交換機中的安全控制單元直接進行管理（圖1）。

在OpenFlow1.0.0的交換機中，數據報文處理和尋址的過程如下。

步驟1，以太網數據進入交換機后被輸送至數據解析系統。步驟2，提取報頭字段信息，將其置于分組報頭，報頭信息主要用于匹配操作。步驟3，對分組報頭進行查找，成功匹配后送至匹配系統。步驟4，對比數據包報頭與OpenFlow流表中流條目規則。OpenFlow流表中流條目存在優先級由高到低的順序，所以，在查找數據包報頭時，應自流表中的首個表項開始。成功匹配后，在匹配的流表條目上繼續進行；如果匹配不成功，則將數據報文送至控制器進行處理。具體見圖2。

在OpenFlow交換機中流表示進行分組轉發查詢的最關鍵部件，在流表中包含了一系列的入口項（用于匹配收到的分組），激活計數器并自動匹配到與該分組所對應的操作。如果在流表中找到對應的入口項，將對該報文執行預先設定的動作，而控制器的作用則是用于確定某一報文沒有找到對應入口時的動作，同時還負責流表中每一條記錄的增刪。

2.2 OpenFlow協議特點

作為一項灸手可熱的新技術，OpenFlow之所以能夠受到廣泛的關注和支持，是和OpenFlow協議的技術特點息息相關的。OpenFlow協議主要有以下特點。

（1）OpenFlow技術將原有的IP承載架構完全打亂。OpenFlow的流表（Flow Table）是由多個流表項共同構成的，任何一個流表項均為一項轉發規則。數據包進至交換機后，對流表進行查詢以此獲取轉發端口。OpenFlow的流表中任何一個流表條均包含頭部、計數器及行為3部分內容。其中頭部屬于十元組，不僅包含傳統的七元組，另外增加了交換端口、以太網類型以及VlanID，以此對流表進行定義；計數器用于做流二量的數據統計工作；而行為主要指轉發、丟棄，規定了與流表項匹配的數據包所應進行的操作行為。對于OpenFlow技術而言，將控制與轉發進行分離是其關鍵特性，這就決定了其遠端控制與查詢功能的進一步實現。要想對流表進行相應改變，只要通過遠端指令操作即可實現；若想對網絡狀態進行實時掌握，通過遠程操控即可查詢與獲取。這一功能的實現，使網絡靈活性獲得有效提升，真正實現了網絡的智能化。從某種角度來講，OpenFlow技術實現了傳統硬件定義互聯網向軟件定義互聯網的巧妙轉變，更加動態化與靈活化，同時使Software Designed Network的核心思想得以凸顯。總體而言，可控軟件定義互聯網的實現，在提升網絡靈活性的同時，憑借相應的控制算法，使網絡安全性與魯棒性均得以有效提升，大大改善了其運行效率。

（2）從網絡創新角度來看，OpenFlow技術的運用具有非常大的價值。近年來，互聯網技術飛速發展，呈現出日新月異的變化的同時，也呈現出許多問題。為應對以上問題，網絡體系結構日益復雜化，在解決相關問題的同時，也帶來了新的問題，例如OSPF、BGP、NAT、防火墻、流量均衡等技術的應用，使網絡設備日益臃腫。相較于網絡領域發展瓶頸，可以說計算機領域的變化日新月異。而作為計算機網絡體系結構的相關研究者，通過對計算機問題、所遇瓶頸以及成功解決經驗進行分析，認為應將功能單元化作為核心思想，將控制與轉發功能進行合理分離。基于設計模式與軟件工程的分析，交換機與路由器相對簡單，滿足其基本功能需求的同時，為上層控制層提供API庫，并由控制層對其進行有效控制。

如此一來，研究人員就能通過對下層API進行自由調用實現協議的編寫，最終促進網絡創新的實現。OpenFlow對網絡創新思想起到重要的推動作用。以往通過自制數據包的轉發過程，經OpenFlow交換機實現了控制器的數據包轉發操作，控制器下發流表指令后，自己按照指令對數據包進行相應的處理，進而對轉發與控制操作進行有效分離。

OpenFlow的技術特點同時也對交換設備提出了新的要求，OpenFlow提出新的交換機解決方案必須具備以下4個特點。

（1）設備必須具有商用設備的高性能和低價格的特點。

（2）設備必須能支持各種不同的研究范圍。

（3）設備必須能隔絕實驗流量和運行流量。

（4）設備必須滿足設備制造商封閉平臺的要求。

3 SDN的體系結構及特點

軟件定義網絡（SDN）作為一種新型的網絡構架，其本質的特征就是網絡控制和轉發分離，網絡具備可編程特性。OpenFlow標準定義了控制層和轉發設備間的通信協議，是SDN網絡構架的核心[3]。

3.1 SDN體系結構

SDN可以用來提供標準的接口，可以通過軟件的方式控制網絡中的資源連接和網絡業務流，必要時對業務流進行特定的檢查和修正，所定義的原始函數被抽象成標準的網絡服務。OpenFlow是其中的一種接口協議。

基本的SDN網絡部件，如圖3所示NE通過D-CPI接口上報設備的能力，SDN業務應用通過A-CPI接口告知控制器其具體的業務需求，控制器根據業務應用的需求實施對于底層設備的控制，通過優化控制策略在有限的網絡資源下提供具有競爭力的業務。

SDN幾個平面之間的關系：在數據平面，OSS至少應當支持NE的初始建立過程、分配SDN控制功能并配置SDN控制器；在控制平面，OSS需要配置SDN業務的控制策略并監測系統的性能；在應用平面，OSS配置業務合同與業務等級協定（SLA）。對于所有的平面，OSS需要提供安全性的管理和認證方式。

（1）數據平面。

包含了多個網絡部件，每個NE包含一系列的網絡轉發單元和業務處理資源，SDN的資源是根據底層的物理實體和所支持的能力而定的。

（2）控制平面。

SDN控制器組成，每個控制器負責NE分組的專用控制。SDN控制器的最基本功能是執行它所支持的應用程序請求，而每個應用程序之間通常是相互獨立的。SDN控制器需要與對等的控制器、下屬控制器以及非SDN環境之間進行交互以實現復雜的控制功能。

SDN控制器的一個常見但不必要的功能作為網絡的反饋控制元件，可以應對網絡的突發事件，如將網絡從故障中恢復及資源的再優化分配，等等。

（3）應用平面。

應用平面由一個或多個應用程序，每個都有專用的控制邏輯，負責SDN控制器所管轄的多個資源組。應用程序本身也可以調用其它應用程序，其自身也可以作為一個SDN控制器。

（4）管理平面。

每個應用、SDN控制器、NE均具有與管理者相連的功能接口，可以負責從底層資源池中為高層業務分配資源，并建立底層平面和高層平面的通信方式。

OF-config協議的定位主要是提供管理接口所需要的功能。

OF-switch協議的定位主要是執行D-CPI和A-CPI之間的功能。

3.2 SDN的特點

（1）控制和數據平面分離。

控制平面和數據平面采用分離的設計方法，通過D-CPI接口進行控制。SDN控制器可以控制NE的重要功能，并且能夠獲知NE的狀態信息。

（2）邏輯化的集中式控制。

與本地化控制方式相比，集中控制的方法具有掌控更廣范圍的資源的能力，并且可以為網絡做出更好的決策。為了提升網絡的可擴展性，通常在集中式控制方法中不建議獲取詳細的網絡資源，可以通過資源的抽象集合進行表示。邏輯化的集中式控制方式相比傳統的集中型網管具有更高的靈活性。

（3）對外部應用的拓撲和資源抽象方法。

應用可以存在于任何級別和粒度的抽象，同時控制器和業務應用均可將對方作為對等級別、客戶端或者服務器端。

網絡拓撲和資源的抽象通過A-CPI接口進行管理，并可通過程序化的控制方式進行管理。在了解網絡中的資源和狀態信息后，應用可以通過SDN控制器定制需求并根據網絡的實時狀態調整網絡服務。

SDN垂直體系架構支持信息模型的外送，并可以在客戶端執行CRUD操作（Create-Read-Update-Delete）。

分層模型的主要目的在于如下幾方面。

可擴展性：更高層次的控制器可以獲取更高的抽象度和更廣的管轄范圍。

安全性：每一層數據分屬于不同的信任域，在分層參考點處執行標準的域間安全性管理。

4 基于OpenFlow的架構層次設計

基于openFlow的虛擬網絡架構主要分為4個層次，分別為應用層、虛擬平臺、控制層和物理層，如圖4所示。

（1）應用層對網絡架構的具體運行狀況進行訪問與監控，對數據流處理邏輯與規則進行有效控制。通常來講，應用層應用程序主要包括兩種形式，即GUI與CLI。其中GUI為圖形界面，用戶通過此界面對網絡流量與數據轉發等情況全面掌握，同時以自身需求為依據，在網絡中對實體與數據流處理規則進行相關處理。CLI為命令行程序，此程序能夠為用戶提供更多操作功能，僅需執行簡單命令即可完成，工作效率非常高。

（2）VTN虛擬平臺作為OpenFlow虛擬網絡架構的關鍵部分，對虛擬網絡架構中各項主要業務邏輯均有所涉及。從某種角度來講，VTN虛擬平臺是建立在網絡硬件層與用戶應用層之間的重要橋梁。在VTN虛擬平臺中，最上層為服務器，在外部應用程序的運行中，服務器根據其運行需求向其提供內部數據服務接口；邏輯層通過邏輯網絡的建立，對網絡請求的處理邏輯進行定義操作，并對各項網絡任務用到的控制器與相關設備進行指定，保證虛擬網絡流控制、網絡監控及流過濾器等各項功能的實現；物理層對物理實體有配置和維護的功能，通過對通信狀態的查看與修改，實現其管理功能，同時可對控制器、網絡物理設備配置信息及域或邊界配置信息進行更改；驅動器則為VTN虛擬平臺實現物理設備單獨操作的重要接口。

（3）控制層的組成包含了多種網絡設備控制器，例如OpenFlow交換機控制器、Overlay交換機控制器與Legacy交換機控制器等，主要負責對物理設備數據轉發的控制。

（4）物理層作為整個OpenFlow虛擬網絡架構的底層結構，網絡通信中涉及的一切硬件均涵蓋于此，主要為OpenFlow設備與非OpenFlow設備兩種類型，例如OpenFlow交換機、Overlay交換機和Legacy交換機等。

5 結語

經30多年的實踐，基于TCP/IP構架的互聯網取得一定成果，并被世界多領域廣泛應用，逐漸成為產業規模最大的重要基礎設施之一。近年來，信息社會不斷進步，社會對互聯網技術的需求不斷提升，這為網絡發展帶來一定壓力。在此發展背景之下，ITU-T提出未來網絡的需求指標與發展目標，同時國際學術界通過未來網絡研究項目的大量開發，致力于未來網絡創新實驗平臺的建設，并先后啟動了GENL FIND、4WARD、FIA等項目。

該文從理論層面介紹了SDN網絡的發展現狀、OpenFlow協議的特點，并提出了SDN的體系架構。應用這些概念，設計了基于OpenFlow的架構層次。SDN網絡依托其可編程性、集中控制、資源虛擬化等優勢，必將在工業中廣泛應用。

參考文獻

[1] 趙宏昊，孟凡博，王杰，等.遼寧電力通信網容災體系建設[J].東北電力技術，2013，34（7）：10-14.

[2] 畢軍.SDN體系結構與未來網絡體系結構創新環境[J].電信科學，2013，29（8）：6-15.

[3] 趙宏昊，孟凡博，王杰.遼寧電力通信傳輸容災架構體系研究[J].東北電力技術，2014，35（7）：25-27.