Sx700系列交换机OpenFlow详版彩页.docx

文档版本02发布日期2015-07-30Sx700系列交换机OpenFlow详版彩页网络面临的挑战传统网络的架构越来越不能满足市场的需求了。对大部分企业和组织来说，IT是成本，并不能直接带来业务，特别是这几年，经济不够景气，企业更是减少对IT的投资；与此同时，企业又想方设法提高己有IT设备和人员的利用率，用来提高公司IT支撑能力，进而增进企业的竞争力。电信运营商也面临着同样的挑战，一方面，无休止的网络扩容以应对移动终端和接入带宽的爆炸性增长，另一方面，企业的利润又被设备投资和维护无情的吞噬，体现在净利润逐年下滑。具体来说，现有网络架构存在下列问题：网络越来越复杂现在的网络技术很大程度上是由一个个分裂的协议组成，这些协议就是机器之间沟通的“语言”。利用这些语言，通信设备间无论距离多远，无论什么速率的链路，都可以组成任意的网络拓扑。为了满足业务和技术的需求，业界各大标准组织，如IEEE.IETF.3GPP等等，制定出各种各样的组网协议用以提高网络带宽、保证通信更可靠、更安全。大部分情况下，这些协议都是为了解决特定问题的，协议之间相互独立。日积月累，导致了现在的网络越来越复杂,在2014年3月的ONS(OPenNetworkSUmmit)大会上，与会者展示了一个统计，在一个具有16个机架的中小型数据中心，需要人工输入8万行命令，用于配置数据中心纷繁复杂的协议。以在网络增加或移除一个设备为例，IT人员需要对交换机、路由器、防火墙、Web认证服务器做调整，需要更新ACL、VLAN和QOS等。与此同时，IT人员所利用工具大多是针对一个个独立的网络设备，而且要充分考虑各厂家交换机的型号、软件版本和当前拓扑。也正是由于这些复杂性，现在的网络大多是静态的，因为IT人员不想因变动网络而导致业务中断。“树欲静而风不止”，服务器虚拟化之“风”正急剧地撼动着网络这颗静态的“树”。一个物理的服务器可以虚拟化成数个或数十个虚拟机(VirtUaIMachine),每个虚拟机都可以独立的接入到网络中。在没有虚拟化之前，应用程序一般驻留在一个单独的物理服务器中，应用的流量模型相对固定；虚拟化之后，应用程序分布在各个虚拟机中，而且虚拟机可能要动态迁移，用以满足负载均衡或节省能源。从网络角度来看，某虚拟机时而从一个端口接入，时而从另一个端口接入，虚拟机迁移对网络提出了很多挑战，从地址分配方案到VLAN、网段划分等等。现在大部分企业都部署了一张基于IP技术的融合网，语音、视频、数据都利用这同一张网，客观上要求部署QoSo尽管各个厂商都宣称支持标准的Diff-SerVe模型QoS,但实现上千差万别。IT人员要手工单独配置不同厂家的设备，调整带宽以及各种QOS参数。这种静态的、依赖手工配置的Q。S部署方式，制约了网络可以动态地适应变化的流量、应用和用户需求。策略不一致IT人员可能需要配置成百上千的设备，来执行一个网络调整的策略。比如说，现在越来越多的企业采用云桌面，每次安装一个虚拟桌面时，IT人员可能要花数小时，甚至数天的时间来重新配置ACLo网络的复杂性让IT人员很难部署一致的接入控制、应用安全、QoS等策略，这让企业面临着运营不合规、安全无保证的风险。厂家依赖性物联网、云计算、BYOD快速发展，这要求设备制造商能迅速作出响应。但现有设备的生命周期却不能很好的满足这种需求。如果一个业务需求需要通过修改ASIC来实现，一般要用两到三年；如果这个业务需要软件更新来实现，一个新的版本也要半年左右的时间。缺乏标准、开放的编程接口，也限制了网络适应各种应用环境的能力。综上所述，市场需求和网络能力之间的矛盾已经到了非解决不可的程度，一种新型的更灵活的网络架构应运而生一一SDN软件定义网络架构。SDN应运而生SDN这个原始概念可以追溯到上世纪90年代，其中，AT&T一个项目GeoPIeX利用网络提供的编程接口，实现了中间件网络。2008年，加州大学伯克利分校和斯坦福大学正式推出了SDN架构。SDN核心思想是网络的控制平面和转发平面（或称数据平面）分离，且提供网络编程接口。传统的网络中，每个交换机都有一套完整的控制系统，收集网络状态并自主的决定转发行为：SDN架构要求所有交换机将控制能力分离出来，并集中到通用的服务器上，另一方面，交换机的转发能力被重新抽象，并可以用标准的接口去利用转发能力。由于网络的所有控制能力被集中到服务器，也就是说，服务器中有一个完整的控制能力视图；对应用来说，网络就是“一个”虚拟实体，不用关心“成百上千”物理交换机的差异性。如下图所示，SDN架构是由转发层、控制层和应用层组成。转发层是由系列交换机和路由器组成，由于控制功能被剥离，所以这些SDN能力的交换机/路由器就可以做到更加专业，也即，只关注高QoS、可靠、安全的数据转发，而不用理解成百上千的协议。不同SDN的实现方式对转发层作了不同的抽象，比如，IETF12RS(InterfacetoRoutingSyStem)工作组将转发层抽象为RIB(RoutingInformationBase)FIB(ForwardingInformationBase),SDN控制器通过标准的I2RS接l和协议操作RIB/FIB,继而定义出不同的转发行为；又比如，以OPenFIoW为基础的SDN实现中，转发层被抽象成一系列的流表以及对应的动作，SDN控制器通过OPenFIoW协议给转发层下发不同的流表和动作，来动态地编排报文的转发行为。控制层是SDN的核心，一般是由基于通用服务器的控制器群组成，这些SDN控制器集中了网络的智能(也就是控制能力)，维护了一个完整的网络视图，包括网络的组成、拓扑、设备的能力等等。控制层对应用层提供一整套网络服务的开放API,包括路由、组播、安全性、接入控制、带宽管理、流量工程、QoS、转发设备处理器和存储的优化、节能控制、以及各种形式的策略管理。应用可以利用这些开放接口，迅速地定制出网络转发行为、开发出各种网络应用。比如说，SDN架构可以很容易在有线无线共存的园区，定义和实施一致的策略。应用层是网络价值的集中体现，这些应用可以是统一通信系统如华为eSpace,可以是高清视频会议系统，也可以是网络性能监控、访问策略控制等等。利用控制层提供的标准开放的编程接口，IT人员可进行编程，轻松地改变网络的行为，实时地部署网络应用，而不象现在，必须等待设备厂商将特性内置到封闭的转发设备软件中去才行。SDN架构让网络不用过于“应用感知”，也让应用不过于“网络感知”。通过抽象和标准化接口的方式，简化了转发面的设计，提升了控制面的灵活性，大大加速了应用层的业务创新。OpenFlow是SDN的一种实现OpenFlow演进路线2009.12作为斯坦福大学"CleanSIate”项目成果的一部分，OpenFIoWLO发布了，该协议只支持1级流表，流的匹配项共有11个，能实现L2转发、IPv4转发基本功能。2011.2OpenFlowlJo转发面是由多级流表组成，增力口了对MPLS、VLAN、组播和ECMP的支持。2011.3ONF(OPenNetWorkFOUndation)成立，该组织推动业界采用以OPenFIoW为核心的SDN架构。2011.12OpenFlowl.2o增加了IPV6的支持，通过多控制器的方案来提升控制器和交换机会话的可靠性。2012.4OpenFlowl.3.0o定义了用于QoS控制的MeIer表，增加了正EE802.Iah,也即PBB(ProviderBackboneBridgeS)的支持。2013.04OpenFlow1.3.2。完整的支持39个流表匹配项。2013.10OpenFlow1.4。支持41个流表匹配项，除此之外，还增加了一些小功能，如当交换机流表项满时，按照预先设置的方式，在控制器无需干预的情况，删除老的流表项；将OpenFlow的动作作为一组来执行，如果其中一个动作执行失败，全部回滚。OpenFlow交换机组成和处理流程OponFlowProtooolOpenFIowSwitch如图所示，OPenFIOW交换机是有若干个流表和一个组表组成，这些表用来执行报文查找和转发；SeCUreChanneI是用来和外在的控制器交互的，交换机通过OPenFIoW协议和控制器通信。利用OpenFk)W协议，交换机要么通过“交换机请求一控制器反应”的方式，要么通过“控制器主动控制而无需交换机请求”的方式，对流表的表项进行增加、更新和删除。每个流表由一个个表项组成；每个表项由报文匹配域，计数器及处理指令组成。报文匹配过程是从编号最小的流表开始，根据控制器的编排，可以用一个流表或相互串接的多个流表来完成一个报文转发任务。在同一个流表中，流表项的安排也是有次序的,优先级最高的表项放在最前面。当报文匹配到某个表项时，这个表项中的指令就会被执行；如果报文匹配不到任何表项，根据是否配置了"table-miss"表项，交换机要么采用将此报文通过OPenFloW协议上送到控制器，或者将此报文丢弃，或者交给下一级流表进行处理。流表中的指令有两个不同的类型：其一，动作指令包含处理报文的一个个具体动作，其二，流水线指令改变报文处理流程。这些动作指令描述了对报文转发、报文修改、以及组表的操作；流水线型指令则是用来将报文送到下一级流表，以及在流表之间传递一些用于报文处理的元数据，当指令中不再包含下一个流表时，处理流水线就结束了，此时，数据报文被修改或转发。在流表项中，一个报文可以要求转发到一个端口。这个端口通常是一个交换机的物理端口，但这个端口也可能是一个逻辑端口或保留端口。逻辑端口通常指汇聚端口(Trunk)、隧道或环回接口。保留端其实代表了一种转发行为，比如说，将报文送给控制器，将报文泛洪到所有物理端口，或者，用一种传统交换机方法而不是OPenFk)W方法来处理报文。在报文转发过程中，该报文可能被指向一个组表。组表一般用于组播/广播泛洪，或者其他一些复杂的转发行为，比如说，ECMP(EqualCostMulti-Path),FRR(FastRe-Route)以及链路聚合。组表的另一个作用是将共同的输出进行聚合，比如说，很多报文被转发到一个公共的下一跳，相关的流表项都指向一个公共的组表表项，该表项来完成下一跳的处理动作，这种抽象的最大好处是可以有效地改变下一跳，而没必要改变每个流表项。实现原理及特点如下图所示是一个传统交换机转发流程:入口处理芯片(IngreSSChip)、交换网(SWitChFabric).出口处理芯片(EgreSSehip)。在入口处理包括：/报文解析模块：根据数据报文头进行协议分析，并通过查找L2L3ACL等表项，来确定报文从那个端口转发出去；/内存管理单元：用以对报文进行缓存，并根据优先级进行调度；/报文修改模块：根据需要来对报文进行修改。交换网的作用是将报文在入口处理芯片和出口处理芯片之间进行传输。出口芯片的处理模块和入口芯片的类似。在OPenFk)W架构中，交换机的转发行为是由控制器通过对交换机下发系列的流表来决定。OpenFIow流表结构与上述交换机预先定义表是完全不同的。下例是连接到一个OpenFiow网络的两台PC进行相互Ping操作，控制器是Opendaylight开源社区开发的Hydrogen.mo 1.11ta012Mi9za.TableEntryPriWATCHntruetk>MU-avxr110»|mtcn日俗1?怕dsfo以Pooutr.tnfef>b乂35D三SwrhO衿1H乂J=!020II.nhlyr-nx(DOtfclinchctf<Jst=O0Cd¢8:4:75c;1.：H.(C1H111DU-SX1