2 OpenFlow協(xié)議詳解

2.1 OpenFlow協(xié)議簡介

????????OpenFlow協(xié)議是基于網(wǎng)絡(luò)中“流”的概念設(shè)計(jì)的南向接口協(xié)議。在OpenFlow引入了“流”的概念之后，控制器可以根據(jù)某次通信中“流”的第一個(gè)數(shù)據(jù)分組的特征，使用OpenFlow協(xié)議提供的接口對數(shù)據(jù)平面設(shè)備部署策略——流表，而這次通信的后續(xù)流量則按照相應(yīng)流表在硬件層次上進(jìn)行匹配、轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)了靈活的網(wǎng)絡(luò)轉(zhuǎn)發(fā)策略。

????????OpenFlow能夠啟動遠(yuǎn)程的控制器，經(jīng)由網(wǎng)絡(luò)交換器，決定網(wǎng)絡(luò)數(shù)據(jù)包要由何種路徑通過網(wǎng)絡(luò)交換機(jī)。這個(gè)協(xié)議的發(fā)明者，將它當(dāng)成軟件定義網(wǎng)絡(luò)（Software-defined networking）的啟動器。?

????????OpenFlow允許從遠(yuǎn)程控制網(wǎng)絡(luò)交換器的數(shù)據(jù)包轉(zhuǎn)送表，透過新增、修改與移除數(shù)據(jù)包控制規(guī)則與行動，來改變數(shù)據(jù)包轉(zhuǎn)送的路徑。比起用訪問控制表(ACLs) 和路由協(xié)議，允許更復(fù)雜的流量管理。同時(shí)，OpenFlow允許不同供應(yīng)商用一個(gè)簡單、開源的協(xié)議去遠(yuǎn)程管理交換機(jī)（通常提供專有的接口和描述語言）。

????????OpenFlow協(xié)議用來描述控制器和交換機(jī)之間交互所用信息的標(biāo)準(zhǔn)，以及控制器和交換機(jī)的接口標(biāo)準(zhǔn)。協(xié)議的核心部分是用于OpenFlow協(xié)議信息結(jié)構(gòu)的集合。

????????OpenFlow協(xié)議支持三種信息類型：Controller-to-Switch，Asynchronous和Symmetric，每一個(gè)類型都有多個(gè)子類型。Controller-to-Switch信息由控制器發(fā)起并且直接用于檢測交換機(jī)的狀態(tài)。Asynchronous信息由交換機(jī)發(fā)起并通常用于更新控制器的網(wǎng)絡(luò)事件和改變交換機(jī)的狀態(tài)。Symmetric信息可以在沒有請求的情況下由控制器或交換機(jī)發(fā)起。

2.2 OpenFlow表項(xiàng)詳解

????????OpenFlow的表項(xiàng)在V1.0階段，只有普通的單播表項(xiàng)，也即我們通常所說的OpenFlow流表。隨著OpenFlow協(xié)議的發(fā)展，更多的OpenFlow表項(xiàng)被添加進(jìn)來，如組表（Group Table），計(jì)量表（Meter Table）等，以實(shí)現(xiàn)更多的轉(zhuǎn)發(fā)特性以及QoS功能。

2.2.1 OpenFlow流表

????????狹義的OpenFlow流表是指OpenFlow單播表項(xiàng)，廣義的OpenFlow流表則包含了所有類型的OpenFlow表項(xiàng)。OpenFlow通過用戶定義的流表來匹配和處理報(bào)文。所有流表項(xiàng)都被組織在不同的Flow Table中，在同一個(gè)Flow Table中按流表項(xiàng)的優(yōu)先級進(jìn)行先后匹配。一個(gè)OpenFlow的設(shè)備可以包含一個(gè)或者多個(gè)Flow Table。

1、流表項(xiàng)組成

????????一條OpenFlow的表項(xiàng)（Flow Entry）由匹配域（Match Fields）、優(yōu)先級（Priority）、處理指令（Instructions）和統(tǒng)計(jì)數(shù)據(jù)（如Counters）等字段組成，流表項(xiàng)的結(jié)構(gòu)隨著OpenFlow版本的演進(jìn)不斷豐富，不同協(xié)議版本的流表項(xiàng)結(jié)構(gòu)如下。

各版本流表項(xiàng)組成圖

流表項(xiàng)組成詳解圖

(1)Match Fields

????????分組頭域(Match Fields)包含流表項(xiàng)匹配規(guī)則，可以匹配入接口、物理入接口，流表間數(shù)據(jù)，二層報(bào)文頭，三層報(bào)文頭，四層端口號等報(bào)文字段等。流表項(xiàng)的分組頭域包括了12個(gè)字段，協(xié)議稱其為12元組，它提供了1~4組層的網(wǎng)絡(luò)控制信息。具體信息介紹見下表。

OpenFlow v1.0中的12元組

(2)Priority

????????流表項(xiàng)優(yōu)先級，定義流表項(xiàng)之間的匹配順序，優(yōu)先級高的先匹配。

(3)Counters

????????計(jì)數(shù)器是用來統(tǒng)計(jì)相關(guān)流的一些信息。OpenFlow針對每張表、每個(gè)流表項(xiàng)、每個(gè)端口、每個(gè)隊(duì)列都維護(hù)它們相應(yīng)的技術(shù)其，如下表所示：

(4)Instructions & Actions

????????流表項(xiàng)動作指令（Instructions & Actions）集，定義匹配到該流表項(xiàng)的報(bào)文需要進(jìn)行的處理。當(dāng)報(bào)文匹配流表項(xiàng)時(shí)，每個(gè)流表項(xiàng)包含的指令集就會執(zhí)行。這些指令會影響到報(bào)文、動作集以及管道流程。 交換機(jī)不需要支持所有的指令類型，并且控制器可以詢問OpenFlow交換機(jī)所支持的指令類型。 具體的指令類型參見下表：

流表項(xiàng)動作指令表

????????每個(gè)流表表項(xiàng)的指令集中每種指令類型最多只能有一個(gè)，指令的執(zhí)行的優(yōu)先順序?yàn)椋?/p>

Meter –> Apply-Actions -> Clear Actions -> Write-Actions -> Write-Metadata -> Goto-Table

當(dāng)OpenFlow交換機(jī)無法執(zhí)行某個(gè)流表項(xiàng)中的動作時(shí)，該交換機(jī)可以拒絕這個(gè)流表項(xiàng)，并向Controller返回unsupported flow error 信息。

????????常見Action動作的類型如下：

Action動作表

(5)Timeouts

????????流表項(xiàng)的超時(shí)時(shí)間，包括了Idle Time和Hard Time。

• Idle Time：在Idle Time時(shí)間超時(shí)后如果沒有報(bào)文匹配到該流表項(xiàng)，則此流表項(xiàng)被刪除。
• Hard Time：在Hard Time時(shí)間超時(shí)后，無論是否有報(bào)文匹配到該流表項(xiàng)，此流表項(xiàng)都會被刪除。

(6)Cookie

????????Controller下發(fā)的流表項(xiàng)的標(biāo)識

2、流表處理流程

????????OpenFlow規(guī)范中定義了流水線式的處理流程，報(bào)文匹配處理流程如下圖所示：

流表處理流程圖

????????當(dāng)報(bào)文進(jìn)入Switch后，必須從最小的Flow Table開始依次匹配。Flow Table可以按次序從小到大越級跳轉(zhuǎn)，但不能從某一Flow Table向前跳轉(zhuǎn)至編號更小的Flow Table。當(dāng)報(bào)文成功匹配一條Flow Entry后，將首先更新該Flow Entry對應(yīng)的統(tǒng)計(jì)數(shù)據(jù)（如成功匹配數(shù)據(jù)包總數(shù)目和總字節(jié)數(shù)等），然后根據(jù)Flow Table中的指令進(jìn)行相應(yīng)操作，比如跳轉(zhuǎn)至后續(xù)某一Flow Table繼續(xù)處理，修改或者立即執(zhí)行該數(shù)據(jù)包對應(yīng)的Action Set等。當(dāng)數(shù)據(jù)包已經(jīng)處于最后一個(gè)Flow Table時(shí)，其對應(yīng)的Action Set中的所有Action將被執(zhí)行，包括轉(zhuǎn)發(fā)至某一端口，修改數(shù)據(jù)包某一字段，丟棄數(shù)據(jù)包等。具體實(shí)現(xiàn)時(shí)，OpenFlow交換機(jī)還需要對匹配表項(xiàng)次數(shù)進(jìn)行計(jì)數(shù)、更新匹配集和元數(shù)據(jù)等操作。

流表匹配流程圖

3、Table Miss表項(xiàng)

????????每個(gè)流表（Flow Table）都包含一個(gè)Table Miss流表項(xiàng)，該表項(xiàng)用于定義在流表中沒有匹配的報(bào)文的處理方式，該表項(xiàng)的匹配域?yàn)橥ㄅ洌雌ヅ淙魏螆?bào)文，優(yōu)先級為0，Instructions與正常表項(xiàng)相同。通常，如果Table-Miss表項(xiàng)不存在，默認(rèn)行為是丟棄報(bào)文。

4、Flow Remove

????????Flow Entry可以由Controller通過OpenFlow消息進(jìn)行刪除，也可以在Idle Time超時(shí)或者Hard Time超時(shí)后自動刪除。Idle Time超時(shí)有兩種情況：某個(gè)流表表項(xiàng)長時(shí)間不匹配報(bào)文則idle_timeout字段設(shè)置為非0；某個(gè)流表表項(xiàng)一定時(shí)間過后，無論是否匹配報(bào)文 hard_timeout字段設(shè)置為非0。如果Controller在建立表項(xiàng)時(shí)，攜帶了Flow Remove標(biāo)記，則表項(xiàng)在刪除時(shí)，設(shè)備需要通知Controller Flow Remove消息。

2.2.2 OpenFlow組表

????????OpenFlow組表的表項(xiàng)被流表項(xiàng)（Flow Entry）所引用，提供組播報(bào)文轉(zhuǎn)發(fā)功能。一系列的Group表項(xiàng)組成了Group Table，每個(gè)表項(xiàng)結(jié)構(gòu)如圖：

OpenFlow組表結(jié)構(gòu)圖

????????根據(jù)Group ID可檢索到相應(yīng)Group表項(xiàng)，每個(gè)Group表項(xiàng)包含多個(gè)動作Bucket，每個(gè)Bucket包含多個(gè)動作，Bucket內(nèi)的動作執(zhí)行順序依照Action Set的順序。

2.2.3 OpenFlow Meter表

????????Meter計(jì)量表項(xiàng)被流表項(xiàng)（Flow Entry）所引用，為所有引用Meter表項(xiàng)的流表項(xiàng)提供報(bào)文限速的功能。一系列的Meter表項(xiàng)組成了Meter Table， 每個(gè)Meter表項(xiàng)的組織結(jié)構(gòu)如下：

OpenFlow計(jì)量表圖

????????一個(gè)Meter表項(xiàng)可以包含一個(gè)或者多個(gè)Meter Bands，每個(gè)Meter Band定義了速率以及動作，報(bào)文的速率超過了某些MeterBand，根據(jù)這些MeterBand中速率最大的那個(gè)定義的動作進(jìn)行處理。

2.3 OpenFlow安全通道

????????OpenFlow設(shè)備與Controller通過建立OpenFlow信道，進(jìn)行OpenFlow消息交互，實(shí)現(xiàn)表項(xiàng)下發(fā)，查詢以及狀態(tài)上報(bào)等功能。通過OpenFlow信道的報(bào)文都是根據(jù)OpenFlow協(xié)議定義的，通常采用TLS（Transport Layer Security）加密，但也支持簡單的TCP直接傳輸。如果安全通道采用TLS連接加密，當(dāng)交換機(jī)啟動時(shí)，會嘗試連接到控制器的6633 TCP端口（Openflow端口通常默認(rèn)建議設(shè)置為6633）。雙方通過交換證書進(jìn)行認(rèn)證。因此，在加密時(shí)，每個(gè)交換機(jī)至少需配置兩個(gè)證書。

參考鏈接

Openflow協(xié)議詳解-新華三集團(tuán)-H3C

SDN學(xué)習(xí)之OpenFlow協(xié)議分析

SDN學(xué)習(xí)之OpenFlow協(xié)議分析 - 守功 - 博客園

OpenFlow 協(xié)議詳解（干貨）_WenjieDai的博客-CSDN博客_openflow協(xié)議

OpenFlow_百度百科

OpenFlow 協(xié)議 - MrDevil - 博客園

?《重識云原生系列》專題索引：?

1. 第一章——不謀全局不足以謀一域
2. 第二章計(jì)算第1節(jié)——計(jì)算虛擬化技術(shù)總述
3. 第三章云存儲第1節(jié)——分布式云存儲總述
4. 第四章云網(wǎng)絡(luò)第一節(jié)——云網(wǎng)絡(luò)技術(shù)發(fā)展簡述
5. 第四章云網(wǎng)絡(luò)4.2節(jié)——相關(guān)基礎(chǔ)知識準(zhǔn)備
6. 第四章云網(wǎng)絡(luò)4.3節(jié)——重要網(wǎng)絡(luò)協(xié)議
7. 第四章云網(wǎng)絡(luò)4.3.1節(jié)——路由技術(shù)簡述
8. 第四章云網(wǎng)絡(luò)4.3.2節(jié)——VLAN技術(shù)
9. 第四章云網(wǎng)絡(luò)4.3.3節(jié)——RIP協(xié)議
10. 第四章云網(wǎng)絡(luò)4.3.4節(jié)——OSPF協(xié)議
11. 第四章云網(wǎng)絡(luò)4.3.5節(jié)——EIGRP協(xié)議
12. 第四章云網(wǎng)絡(luò)4.3.6節(jié)——IS-IS協(xié)議
13. 第四章云網(wǎng)絡(luò)4.3.7節(jié)——BGP協(xié)議
14. 第四章云網(wǎng)絡(luò)4.3.7.2節(jié)——BGP協(xié)議概述
15. 第四章云網(wǎng)絡(luò)4.3.7.3節(jié)——BGP協(xié)議實(shí)現(xiàn)原理
16. 第四章云網(wǎng)絡(luò)4.3.7.4節(jié)——高級特性
17. 第四章云網(wǎng)絡(luò)4.3.7.5節(jié)——實(shí)操
18. 第四章云網(wǎng)絡(luò)4.3.7.6節(jié)——MP-BGP協(xié)議
19. 第四章云網(wǎng)絡(luò)4.3.8節(jié)——策略路由
20. 第四章云網(wǎng)絡(luò)4.3.9節(jié)——Graceful Restart(平滑重啟)技術(shù)
21. 第四章云網(wǎng)絡(luò)4.3.10節(jié)——VXLAN技術(shù)
22. 第四章云網(wǎng)絡(luò)4.3.10.2節(jié)——VXLAN Overlay網(wǎng)絡(luò)方案設(shè)計(jì)
23. 第四章云網(wǎng)絡(luò)4.3.10.3節(jié)——VXLAN隧道機(jī)制
24. 第四章云網(wǎng)絡(luò)4.3.10.4節(jié)——VXLAN報(bào)文轉(zhuǎn)發(fā)過程
25. 第四章云網(wǎng)絡(luò)4.3.10.5節(jié)——VXlan組網(wǎng)架構(gòu)
26. 第四章云網(wǎng)絡(luò)4.3.10.6節(jié)——VXLAN應(yīng)用部署方案
27. 第四章云網(wǎng)絡(luò)4.4節(jié)——Spine-Leaf網(wǎng)絡(luò)架構(gòu)
28. 第四章云網(wǎng)絡(luò)4.5節(jié)——大二層網(wǎng)絡(luò)
29. 第四章云網(wǎng)絡(luò)4.6節(jié)——Underlay 和 Overlay概念
30. 第四章云網(wǎng)絡(luò)4.7.1節(jié)——網(wǎng)絡(luò)虛擬化與卸載加速技術(shù)的演進(jìn)簡述
31. 第四章云網(wǎng)絡(luò)4.7.2節(jié)——virtio網(wǎng)絡(luò)半虛擬化簡介
32. 第四章云網(wǎng)絡(luò)4.7.3節(jié)——Vhost-net方案
33. 第四章云網(wǎng)絡(luò)4.7.4節(jié)vhost-user方案——virtio的DPDK卸載方案
34. 第四章云網(wǎng)絡(luò)4.7.5節(jié)vDPA方案——virtio的半硬件虛擬化實(shí)現(xiàn)
35. 第四章云網(wǎng)絡(luò)4.7.6節(jié)——virtio-blk存儲虛擬化方案
36. 第四章云網(wǎng)絡(luò)4.7.8節(jié)——SR-IOV方案
37. 第四章云網(wǎng)絡(luò)4.7.9節(jié)——NFV
38. 第四章云網(wǎng)絡(luò)4.8.1節(jié)——SDN總述
39. 第四章云網(wǎng)絡(luò)4.8.2.1節(jié)——OpenFlow概述
40. 第四章云網(wǎng)絡(luò)4.8.2.2節(jié)——OpenFlow協(xié)議詳解
41. 第四章云網(wǎng)絡(luò)4.8.2.3節(jié)——OpenFlow運(yùn)行機(jī)制
42. 第四章云網(wǎng)絡(luò)4.8.3.1節(jié)——Open vSwitch簡介
43. 第四章云網(wǎng)絡(luò)4.8.3.2節(jié)——Open vSwitch工作原理詳解
44. 第四章云網(wǎng)絡(luò)4.8.4節(jié)——OpenStack與SDN的集成
45. 第四章云網(wǎng)絡(luò)4.8.5節(jié)——OpenDayLight
46. 第四章云網(wǎng)絡(luò)4.8.6節(jié)——Dragonflow