周鵬，王宏（國防科技大學，長沙　410000）

基于OpenFlow的網(wǎng)絡(luò)管理系統(tǒng)設(shè)計與實現(xiàn)

周鵬，王宏
（國防科技大學，長沙410000）

0　引言

隨著大數(shù)據(jù)、云計算等技術(shù)的迅速發(fā)展和各種新興業(yè)務(wù)的應(yīng)用，網(wǎng)絡(luò)規(guī)模越來越大，異構(gòu)性和復(fù)雜性的與日俱增，相應(yīng)的網(wǎng)絡(luò)管理需求和難度也日益增加，并且網(wǎng)絡(luò)中存在的多種互不相關(guān)的協(xié)議，主要被用來在不同拓撲結(jié)構(gòu)和連接速度的主機間建立連接，由于各個協(xié)議主要是針對具體問題設(shè)計而缺少共性抽象，會進一步導(dǎo)致網(wǎng)絡(luò)脆弱性增加，因此根據(jù)需要設(shè)計高效合理的網(wǎng)絡(luò)管理系統(tǒng)保證網(wǎng)絡(luò)穩(wěn)定和健壯的運行顯得尤為重要。

正是在這一背景下，以O(shè)penFlow為代表的SDN（軟件定義網(wǎng)絡(luò)）提出的解耦數(shù)據(jù)平面和控制平面、通過靈活的軟件編程能力簡化網(wǎng)絡(luò)管理的概念給我們指明了一條新的思路［1］。OpenFlow網(wǎng)絡(luò)的數(shù)據(jù)流由控制器作出轉(zhuǎn)發(fā)決定，也使得網(wǎng)絡(luò)管理技術(shù)在OpenFlow網(wǎng)絡(luò)中更易于實現(xiàn)。

1　系統(tǒng)功能模塊設(shè)計

1.1總體結(jié)構(gòu)

網(wǎng)絡(luò)管理的終極目標是保障網(wǎng)絡(luò)順暢又穩(wěn)定運行。所以及時了解網(wǎng)絡(luò)設(shè)備參數(shù)和網(wǎng)絡(luò)運行狀況顯得至關(guān)重要。但是隨著網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜和規(guī)模的增加，網(wǎng)絡(luò)底層的具體參數(shù)信息和各項指標很難得到準確和直觀的反映。因此，我們希望有一種能夠可視化和量化網(wǎng)絡(luò)的方式對網(wǎng)絡(luò)進行整體管控，結(jié)合具體業(yè)務(wù)進行網(wǎng)絡(luò)綜合規(guī)劃和部署［2］。

針對傳統(tǒng)基于SNMP的管理機制導(dǎo)致分散在網(wǎng)絡(luò)各節(jié)點的設(shè)備配置復(fù)雜且不容易快速部署，以及隨著規(guī)模增大產(chǎn)生的集中控制能力欠缺，很難對網(wǎng)絡(luò)資源作出及時的應(yīng)對，更加的靈活管理手段就顯得勢在必行。本文設(shè)計的OpenFlow網(wǎng)絡(luò)模式下的集中式網(wǎng)絡(luò)管理系統(tǒng)，自上而下分為管理層和控制層。其中，管理層和控制層部署在控制器端，而控制層的下面則是以O(shè)penFlow軟交換機（OpenFlow vSwitch）組成的數(shù)據(jù)平面，整個管理系統(tǒng)框架如圖1所示。

1.2管理層應(yīng)用組件

以組件化的形式開發(fā)系統(tǒng)的好處在于增加模塊的二次重用，而不用設(shè)計一個功能完善的聚核，根據(jù)需求設(shè)計自定義功能模塊，在減小開發(fā)難度的同時實現(xiàn)了應(yīng)用的靈活調(diào)用［3］。本文在管理層主要設(shè)計并實現(xiàn)了網(wǎng)絡(luò)策略自動部署的應(yīng)用組件。

網(wǎng)絡(luò)策略自動部署結(jié)構(gòu)包含了諸如拓撲管理、策略決策、策略分解、策略派發(fā)、控制代理、策略驗證等功能模塊，模塊間盡量遵循了高內(nèi)聚低耦合的思想［4］，在增加模塊重用的同時開發(fā)新的功能，減少模塊間通信對其他模塊造成的依賴［5］。其整體結(jié)構(gòu)如圖2所示。

圖1　系統(tǒng)整體設(shè)計框架

圖2　策略自動部署結(jié)構(gòu)

拓撲管理模塊通過主動與底層交換設(shè)備通信，從返回的反饋報文獲得設(shè)備間的鏈接關(guān)系，進一步形成網(wǎng)絡(luò)拓撲，通過不斷更新和整合后返回給上層數(shù)據(jù)庫供策略決策模塊調(diào)用；策略決策模塊通過訪問數(shù)據(jù)庫實現(xiàn)對數(shù)據(jù)平面網(wǎng)絡(luò)資源的獲取，根據(jù)業(yè)務(wù)需求和當前網(wǎng)絡(luò)運行狀況，對網(wǎng)絡(luò)進行統(tǒng)一規(guī)劃，站在全局的高度制定配置策略，包括轉(zhuǎn)發(fā)策略、設(shè)備問控制策略等；策略分解模塊接收策略決策模塊傳輸?shù)木唧w配置要求，將針對全網(wǎng)的配置管理要求分解為一條條配置命令序列，并通告策略派發(fā)模塊；策略派發(fā)模塊有點類似一個緩沖棧，它將自策略分解模塊下發(fā)的配置命令序列進行整理排隊，并發(fā)往相應(yīng)的控制代理模塊，控制代理模塊將接收到的配置命令序列遠程下發(fā)給數(shù)據(jù)平面相應(yīng)OpenFlow軟交換機；策略驗證模塊通過對網(wǎng)絡(luò)狀態(tài)的監(jiān)視，將各個區(qū)域的策略執(zhí)行結(jié)果進行匯總，驗證當前實際策略是否與預(yù)先規(guī)劃的策略保持一致，最后將驗證結(jié)果返回給數(shù)據(jù)庫供策略決策模塊調(diào)用。

管理系統(tǒng)具有一定的自適應(yīng)性，控制器能夠?qū)?shù)據(jù)平面返回的報文作出相應(yīng)處理。不過這是建立在系統(tǒng)初始化配置的基礎(chǔ)上，當業(yè)務(wù)流到達時，應(yīng)用管理層通過調(diào)用底層網(wǎng)絡(luò)資源結(jié)合具體業(yè)務(wù)需求制定全局策略，并將策略下發(fā)給控制代理并完成相應(yīng)配置，整個策略部署機制的時序圖如圖3所示。

圖3　網(wǎng)絡(luò)策略部署時序圖

1.3控制層控制代理組件

應(yīng)用組件實現(xiàn)對網(wǎng)絡(luò)資源的提取并結(jié)合具體需求分析形成全局綜合方案下發(fā)后，控制代理組件對網(wǎng)絡(luò)進行統(tǒng)一配置，它是業(yè)務(wù)需求得以實現(xiàn)的執(zhí)行實體?？刂拼斫M件主要模塊結(jié)構(gòu)如圖4所示。

圖4　控制代理組件模塊結(jié)構(gòu)

其中，實體線形框架為控制代理組件模塊。管理實體模塊負責接收應(yīng)用層下發(fā)的策略執(zhí)行請求。它主要描述了被管網(wǎng)絡(luò)資源以及網(wǎng)絡(luò)管理信息的實體。

OpenFlow網(wǎng)絡(luò)配置協(xié)議OF-CONFIG主要利用NETCONF作為傳輸協(xié)議；RPC執(zhí)行模塊對應(yīng)者NETCONF操作協(xié)議中的RPC層功能，負責具體管理應(yīng)用RPC操作的請求和響應(yīng)功能；協(xié)議操作模塊主要包括會話操作和抽象的NETCONF操作。NETCONF操作對應(yīng)協(xié)議的操作層功能。該模塊收到應(yīng)用操作請求時，首先訪問RPC執(zhí)行模塊生成請求消息，然后通過封裝在面向連接的TCP協(xié)議的會話操作應(yīng)用層協(xié)議發(fā)送給被管對象，并等待響應(yīng)；會話操作模塊采用能夠滿足NETCONF協(xié)議需求的任何應(yīng)用層協(xié)議來建立管理被管對象和管理實體之間的會話，并且為了在管理實體和被管對象間建立可靠連接。

NETCONF可以利用任何實現(xiàn)協(xié)議功能的應(yīng)用協(xié)議創(chuàng)建管理實體和被管對象的會話。本系統(tǒng)選擇SSL作為應(yīng)用層協(xié)議建立連接關(guān)系。NcSession類是所有實現(xiàn)會話的基類。其中，NcSessionMgr是NetConf類根據(jù)特定的應(yīng)用協(xié)議創(chuàng)建的一個對象。該對象主要用來對管理實體和被管對象之間建立的會話進行管理，并根據(jù)協(xié)議具體操作請求來創(chuàng)建NcSession對象，管理實體對底層被管對象的具體操作過程如圖5所示。

圖5　管理操作時序圖

控制代理模塊通過把各個等待執(zhí)行的配置操壓入隊列，并分配每個配置操作一個對應(yīng)的標識ID，相應(yīng)地，也有一個和已經(jīng)完成每項配置消息相匹配的標識ID組成的已執(zhí)行操作表。被管對象收到配置應(yīng)用請求時：先給配置消息分配一個標識放入可執(zhí)行操作隊列，等待操作；配置操作通過可執(zhí)行操作隊列分配的標識ID調(diào)用RPC類的RPCElement（）方法來生成由＜rpc＞元素封裝的請求消息，協(xié)議rpc請求通過時，進行相應(yīng)配置操作；事務(wù)進入completing狀態(tài)；將對應(yīng)的配置操作標識寫入已執(zhí)行操作表；將可執(zhí)行操作表中已完的配置操作標識刪除，事務(wù)進入completed狀態(tài)，整個配置過程完成。

2　功能測試

基于目前用OpenFlow交換機進行實驗環(huán)境搭建較為困難，本文設(shè)計的基于OpenFlow的網(wǎng)絡(luò)管理系統(tǒng)，主要實驗環(huán)境搭建在主機和主機上安裝的Linux虛擬機系統(tǒng)上，硬件主體是一臺能夠滿足實驗需求的裝有XP系統(tǒng)，內(nèi)存6G的主機，軟件主體部分是安裝在虛擬機Oracle VM Virtualbox上的Ubuntu 2.6.38-8-generic虛擬機系統(tǒng)，系統(tǒng)集成了mininet工具來模擬網(wǎng)絡(luò)的連接和拓撲關(guān)系。實驗安裝了一個在XP系統(tǒng)上運行X window System的Xming軟件，它與Putty一起完成Linux X11在主機上的顯示。Putty作為TCP串行接口主要和Xming結(jié)合一起實現(xiàn)虛擬機到主機端的通信和顯示。

首先通過搭建一個基于OpenFlow的網(wǎng)絡(luò)環(huán)境，來驗證本文設(shè)計的管理系統(tǒng)功能。拓撲環(huán)境如圖6所示主要包括主機端的管理系統(tǒng)和虛擬機系統(tǒng)部署的OpenFlow軟交換機，其中，實線表示虛擬機系統(tǒng)里的OpenFlow軟交換機間數(shù)據(jù)流交互，虛線表示主機端通過Putty/Xming和虛擬機系統(tǒng)的控制流交互。

實驗首先通過“openflow”賬戶和口令進入Oracle VM VirtualBox Ubuntu系統(tǒng)，運行Xming服務(wù)器，通過圖7所示命令獲來取虛擬機的兩個網(wǎng)口地址。

虛擬機的兩個網(wǎng)口分別采用NAT interface連接網(wǎng)絡(luò)以及host-only interface連接主機。虛擬機用來連接網(wǎng)絡(luò)的eth2網(wǎng)口地址為10.0.2.15，用來連接主機并進行控制流交互的eth3網(wǎng)口地址為192.168.56.101，如圖8所示。

圖6　實驗拓撲環(huán)境圖

圖7　虛擬機網(wǎng)口地址獲取命令

圖8　虛擬機網(wǎng)口地址

在系統(tǒng)功能的實現(xiàn)上，處理實現(xiàn)拓撲獲取的pktin消息需要在startUp方法中進行記錄，同時通過get-Name（）為pkt-in報文監(jiān)聽者提供一個標識，返回的pkt-in報文被提取鏈接關(guān)系后采用采用層次化的方式展示網(wǎng)絡(luò)拓撲結(jié)構(gòu)，最后管理系統(tǒng)通過對OpenFlow軟交換機進行配置，控制平面通過OF-Config協(xié)議對數(shù)據(jù)平面進行配置，配置操作通過可執(zhí)行操作隊列分配的標識ID調(diào)用RPC類的RPCE lement（）方法，來生成由＜rpc＞元素封裝的請求消息，進行相應(yīng)配置操作，直到最后整個配置過程完成，返回拓撲連接狀態(tài)如圖9所示：

圖9　配置后拓撲圖顯示

通過上面的測試可以看出，通過整體實驗平臺的搭建，主機端的管理系統(tǒng)和虛擬極端mininet模擬的OVS數(shù)據(jù)平面能夠進行OpenFlow信息的交互，探測報文和下發(fā)的配置策略能夠得到正確執(zhí)行，基本完成了控制和數(shù)據(jù)信息的傳輸，也即基于OpenFlow的網(wǎng)絡(luò)管理系統(tǒng)能夠有效地實現(xiàn)其指定功能。

3　結(jié)語

本文針對SNMP協(xié)議對網(wǎng)絡(luò)設(shè)置的有限支持，以及使用SNMP協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)在實現(xiàn)網(wǎng)絡(luò)配置功能時存在的不足，提出了一種基于OpenFlow的集中式網(wǎng)絡(luò)管理系統(tǒng)，通過管理層和控制層各組件和模塊的設(shè)計，結(jié)合具體業(yè)務(wù)進行網(wǎng)絡(luò)綜合規(guī)劃和部署。實現(xiàn)了以可視化和量化網(wǎng)絡(luò)的方式對網(wǎng)絡(luò)的整體管控。

但是文本設(shè)計的集中式管理架構(gòu)比較適合對小型網(wǎng)絡(luò)環(huán)境的管理，隨著網(wǎng)絡(luò)復(fù)雜度的增加和規(guī)模的擴大，分布式的網(wǎng)絡(luò)架構(gòu)是一種必然。并且相較于控制器提供的Java接口對模塊進行二次開發(fā)和創(chuàng)新，通過北向接口實現(xiàn)靈活、開放的應(yīng)用開發(fā)對于今后云計算和大數(shù)據(jù)等新興業(yè)務(wù)的發(fā)展更是大勢所趨。

［1］左青云.基于OpenFlow的SDN技術(shù)［N］.軟件學報，2013-03-29（3）.

［2］Sharafat AR，Das S，Parulkar G，McKeown N.MPLS-TE and MPLS VPNs with OpenFlow.［J］SIGCOMM，2011（3）：25-34.

［3］Heller B，Sherwood R，McKeown N.The controller placement problem.［J］SIGCOMM，2012（6）：7-12.

［4］Martin Casado，TeemuKoponen.Onix：A distributed control platform for large-scale production network［J］.OSDI，2010，（3）：07～13.

［5］Gibb G，Underhill D，Covington A，Yabe T，McKeown N.OpenPipes：Prototyping high-speed networking systems.［J］.SIGCOMM 2009，（3）：07～13.

OpenFlow；OF-CONFIG；OpenFlow vSwitch；Management System

Design and Implementation of Network Management System Based on OpenFlow

ZHOU Peng，WANG Hong
（National University of Defence Technology，Changsha Hunan 410000）

1007-1423（2015）24-0043-05

10.3969/j.issn.1007-1423.2015.24.011

周鵬（1990-），男，四川達州人，碩士研究生，研究方向為計算機網(wǎng)絡(luò)、網(wǎng)絡(luò)軟件開發(fā)

2015-06-04

2015-07-28

由于SNMP協(xié)議對網(wǎng)絡(luò)設(shè)置的支持有限，使用SNMP協(xié)議的網(wǎng)絡(luò)管理系統(tǒng)在實現(xiàn)網(wǎng)絡(luò)配置功能時存在不足?；贠penFlow的集中式網(wǎng)絡(luò)管理系統(tǒng)，利用數(shù)據(jù)轉(zhuǎn)發(fā)與控制分離的網(wǎng)絡(luò)架構(gòu)，結(jié)合管理應(yīng)用層的業(yè)務(wù)需求，進行自頂向下的管理層的應(yīng)用組件和控制層的服務(wù)組件與控制代理組建設(shè)計，實現(xiàn)控制器對底層網(wǎng)絡(luò)資源的調(diào)用以及通過可視化的方式對網(wǎng)絡(luò)進行整體管控；對原型系統(tǒng)進行功能測試和場景驗證，證實管理系統(tǒng)實現(xiàn)預(yù)定功能的正確性。

OpenFlow；OF-CONFIG；OpenFlow軟交換機；管理系統(tǒng)

王宏（1964-），男，湖南益陽人，博士，研究員，研究方向為計算機網(wǎng)絡(luò)、網(wǎng)絡(luò)安全和網(wǎng)絡(luò)組網(wǎng)

Due to the limited support of SNMP protocol for network settings，network management system using SNMP implementing the function of network configuration meets problems，based on the network architecture of separation of data forwarding and control，the centralized network management system based on OpenFlow combined with the management application layer service requirements，designs service component of application layer and sevice，control agent component of control layer with top-down module design，realizes controller calling to the underlying and cyber source through the visual way of network；finally，the prototype system is tested and confirmed to be correct of the pre management system function.