Controller是SDN技術(shù)中的首要任務(wù)產(chǎn)品。Controller的主要功能，通過(guò)南向接口(VM,vSwitch,NFV)管理下面連接的設(shè)備資源，并根據(jù)租戶的需要，通過(guò)北向接口將不同的資源分配給特定的租戶?？刂破髫?fù)責(zé)對(duì)每個(gè)租戶的資源進(jìn)行拓?fù)涔芾砗吐酚捎?jì)算。Controller接收vSwitch報(bào)告的Packet_In消息，根據(jù)每個(gè)租戶的拓?fù)浣Y(jié)構(gòu)、消息業(yè)務(wù)流程和路由，計(jì)算出最佳轉(zhuǎn)發(fā)路徑，并形成表發(fā)送給相關(guān)設(shè)備，以指導(dǎo)各個(gè)租戶轉(zhuǎn)發(fā)消息。

控制器的性能測(cè)試主要包括以下幾個(gè)方面。

在SDN中，Controller是最繁忙的大腦，它負(fù)責(zé)所有控制平面的處理，而其他設(shè)備(通常是vSwitch)則將無(wú)法處理的信息通過(guò)Packet_In發(fā)送給Controller進(jìn)行處理。選擇Controller就是選擇電腦，那么Packet_In處理速度就等于電腦CPU的主頻速度。

如圖所示，Packet_In在一個(gè)region中為一個(gè)或兩個(gè)集群控制器處理測(cè)試網(wǎng)絡(luò)的速度，可以使用Ixia測(cè)試儀器端口或華三通信的性能測(cè)試套件OVSSimulator和Controller連接。OVSSimulator測(cè)試工具也是基于Java開(kāi)發(fā)的，SDN是開(kāi)源的。

Controller性能測(cè)試工具Cbench具有類似的功能，它運(yùn)行于高性能的服務(wù)器上，并模擬N個(gè)vSwitch和VM(通常為1000-2000)向Controller發(fā)送測(cè)試消息。被測(cè)試的信息主要分為兩類：ARP請(qǐng)求信息和IP數(shù)據(jù)信息。在Controller收到ARP請(qǐng)求消息之后，就會(huì)找到您自己的拓?fù)浣Y(jié)構(gòu)和ARP表?xiàng)l目，做出響應(yīng)，并將Packet_Out消息發(fā)送到vSwitch上。在Controller接收到IP數(shù)據(jù)后，就會(huì)找到路由表，做出響應(yīng)，然后發(fā)布項(xiàng)目到vSwitch上以指導(dǎo)轉(zhuǎn)發(fā)。

因?yàn)镃ontroller和vSwitch之間的Openflow會(huì)話是通過(guò)TCP協(xié)議建立的，所以當(dāng)插入到的packet_in消息的速率超過(guò)Controller的性能時(shí)，Controller消息緩沖區(qū)將慢慢減小，為了防止緩沖區(qū)溢出，就會(huì)出現(xiàn)TCP抑制現(xiàn)象，Controller通過(guò)TCP協(xié)議通知發(fā)送端降低發(fā)送速率，所以實(shí)際的發(fā)包速率將達(dá)不到設(shè)置的速率，所以在有TCP抑制的情況下，Controller無(wú)法通過(guò)設(shè)置的packet_in消息的發(fā)送速率計(jì)算。

對(duì)pacekt_in消息進(jìn)行處理的性能。經(jīng)多次驗(yàn)證，pacekt_in性能測(cè)試方法被固化為：輸入一定速率的packet_in消息，計(jì)算所有這些消息需要多少時(shí)間，然后用消息總數(shù)除以這段時(shí)間得出消息處理速率，也就是packet_in性能。

包括華三通信在內(nèi)，目前主流的Controller都是基于JAVA語(yǔ)言開(kāi)發(fā)的。所以，Controller運(yùn)行的服務(wù)器的性能好壞對(duì)Controller的性能影響很大。更大的影響包括：CPU頻率，Controller實(shí)際使用的線程數(shù)量[c01]

端口帶寬(GE、10GE或聚合接口)在接口上發(fā)送。

真正使用的線程數(shù)量：我司Controller可以定義VCE使用的線程數(shù)量是一個(gè)固定的處理器線程數(shù)量，還是一個(gè)減去一個(gè)的處理器線程總數(shù)。例如，Controller軟件定義，處理Packet_in的線程數(shù)為22個(gè)，那么在一個(gè)24處理器線程的服務(wù)器上，實(shí)際上有22個(gè)線程正在被使用，而在一個(gè)8處理器線程的服務(wù)器上則有8個(gè)線程。

作為整個(gè)SDN網(wǎng)絡(luò)的大腦，Controller必須具有可靠的備份恢復(fù)機(jī)制，從鏈路故障、單點(diǎn)故障到快速檢測(cè)和切換機(jī)制，以確保用戶的業(yè)務(wù)。Flare在我司。

控制器采用集群設(shè)計(jì)，由多個(gè)regeion組成一個(gè)集群，其中每個(gè)region都包含一個(gè)主控制器。圖3顯示了SDN網(wǎng)絡(luò)典型的業(yè)務(wù)測(cè)試組網(wǎng)圖。

H3CSDNOverlay網(wǎng)絡(luò)虛擬化技術(shù)需要使用的組件如下：

SDN控制器：H3CVCFController，提供SDN。

管理部署窗口為Overlay網(wǎng)絡(luò)、北向開(kāi)放云控制系統(tǒng)REST接口實(shí)現(xiàn)和Openstack云等平臺(tái)對(duì)接、南向通過(guò)Openflow/NETCONF/OVSDB實(shí)現(xiàn)對(duì)物理或虛擬網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一配置并發(fā)布轉(zhuǎn)發(fā)策略?；诩杭夹g(shù)的SDN控制器具有高可靠性，并支持集群成員的平滑擴(kuò)展/縮減。它支持創(chuàng)建部署Vxlan網(wǎng)絡(luò)和Vlan網(wǎng)絡(luò)兩類網(wǎng)絡(luò)。

VxlanVTEP:H3Cs1020vvSwitch，支持H3CVCF中的標(biāo)準(zhǔn)Openflow和OVSDB。

作為VM接入Overlay網(wǎng)絡(luò)的虛擬交換機(jī)，控制器統(tǒng)一管理，接受VCF控制器統(tǒng)一配置和策略發(fā)布，實(shí)現(xiàn)VM流量進(jìn)出的實(shí)時(shí)轉(zhuǎn)發(fā)。對(duì)Vxlan類型的網(wǎng)絡(luò)轉(zhuǎn)發(fā)也支持，對(duì)Vlan類型的網(wǎng)絡(luò)轉(zhuǎn)發(fā)。Vlan類型在S1020v的網(wǎng)絡(luò)租戶虛機(jī)。

vSwitch采用了傳統(tǒng)的轉(zhuǎn)發(fā)過(guò)程。

VxLANGW:H3C系列。

S6800交換機(jī)，為物理實(shí)體服務(wù)器提供VTEP設(shè)備接入Overlay網(wǎng)絡(luò)，支持NETCONF&Openflow，接受VCF控制器的統(tǒng)一配置和策略發(fā)布，實(shí)現(xiàn)物理實(shí)體服務(wù)器與流量轉(zhuǎn)發(fā)。

VxlanIPGW:H3C系列。

支持Openflow和NETCONF的S12500-F高端交換機(jī)，接受VCF控制器的統(tǒng)一配置和策略發(fā)布，作為Overlay網(wǎng)絡(luò)網(wǎng)關(guān)(VM)和S6800下掛物理服務(wù)器(S6800)，實(shí)現(xiàn)虛擬網(wǎng)絡(luò)和非虛擬網(wǎng)絡(luò)(Internet)之間的流量轉(zhuǎn)發(fā)。H3C

SDNOverlay方案支持由多個(gè)S12500-F設(shè)備組成的網(wǎng)關(guān)組備份，Overlay網(wǎng)絡(luò)信息在網(wǎng)關(guān)組內(nèi)同步，并為Overlay網(wǎng)絡(luò)提供統(tǒng)一的VTEP。

在IP地址方面，Overlay網(wǎng)絡(luò)不需要感知特定的GW成員設(shè)備，當(dāng)一個(gè)網(wǎng)關(guān)成員發(fā)生故障時(shí)，該網(wǎng)絡(luò)會(huì)自動(dòng)切換到另一個(gè)網(wǎng)關(guān)成員。在不需要網(wǎng)關(guān)協(xié)議交互的情況下，由控制器統(tǒng)一管理網(wǎng)關(guān)成員的狀態(tài)，同時(shí)部署網(wǎng)關(guān)組中所有成員的設(shè)備，保證數(shù)據(jù)的一致性，真正實(shí)現(xiàn)了網(wǎng)關(guān)組設(shè)備的無(wú)狀態(tài)遷移。VTEP網(wǎng)絡(luò)組。

各網(wǎng)關(guān)組成員通過(guò)傳統(tǒng)的路由協(xié)議向Underlay網(wǎng)絡(luò)發(fā)布IP地址，自然可以在Underlay網(wǎng)絡(luò)上共享Overlay網(wǎng)絡(luò)業(yè)務(wù)流量的ECMP負(fù)載。同步H3C

SDNOverlay方案支持在多個(gè)VXLANIPGW網(wǎng)關(guān)組之間分擔(dān)負(fù)載，可以靈活地承載Overlay網(wǎng)絡(luò)的擴(kuò)展。

正如圖中所示，虛線表示的管理網(wǎng)絡(luò)是一個(gè)控制平面，其還原過(guò)程如下：

內(nèi)主控制器故障倒轉(zhuǎn)到備用控制器的時(shí)間。

vSwitch從感知主控機(jī)故障切換到主控機(jī)時(shí)間。

群集中主Leader控制器的故障倒置到備Leader控制器的時(shí)間。

使用Vxlan時(shí)，Overlay解決方案對(duì)數(shù)據(jù)平面的故障恢復(fù)時(shí)間進(jìn)行了如下測(cè)試：

VSwitch和VM在遷移到其他物理服務(wù)器時(shí)使用。

主備倒轉(zhuǎn)業(yè)務(wù)流中斷時(shí)間；

VxLANIPGW單機(jī)GW故障；

恢復(fù)VxLANIPGW故障。

控制器管理的設(shè)備和虛擬機(jī)數(shù)量有限，且規(guī)模較大，需要管理的設(shè)備和虛擬機(jī)較多，需要Controller集群。群集核心機(jī)制是通過(guò)同時(shí)運(yùn)行具有完整控制平面能力的多個(gè)實(shí)體，并保持實(shí)體之間的數(shù)據(jù)同步，來(lái)實(shí)現(xiàn)主用實(shí)體發(fā)生故障時(shí)，備用實(shí)體的快速替換。集群是高可靠性之一，也是控制器測(cè)試的重點(diǎn)和難點(diǎn)。困難在于如何保證集群內(nèi)各節(jié)點(diǎn)數(shù)據(jù)在不同情況下的一致性，同時(shí)保證實(shí)時(shí)消息反映數(shù)據(jù)的變化過(guò)程，是實(shí)時(shí)準(zhǔn)確地備份到各個(gè)節(jié)點(diǎn)。而實(shí)時(shí)數(shù)據(jù)的備份需要占用大量的計(jì)算資源，一些數(shù)據(jù)采用批量消息備份，而實(shí)時(shí)備份和批量備份通常使用不同的信道，多信道數(shù)據(jù)傳輸無(wú)法嚴(yán)格保序，導(dǎo)致批量消息的及時(shí)性問(wèn)題，這也是測(cè)試中的一個(gè)難點(diǎn)。

一般而言，集群具有以下性能指標(biāo)：?jiǎn)慰刂破鞴芾鞳penflow設(shè)備的數(shù)量，控制器集群管理Openflow設(shè)備的數(shù)量，以及Controller新會(huì)話的性能。

學(xué)習(xí)設(shè)備和主機(jī)功能：SDN控制器要建立Openflow會(huì)話，維護(hù)vSwitch端口和VM端口狀態(tài)，IP地址等信息，由管理的所有設(shè)備組成。

SDN

控制器的核心仍然在于設(shè)備的拓?fù)涔芾砗吐酚陕窂降挠?jì)算能力。它們是傳統(tǒng)路由協(xié)議類型?，F(xiàn)在，主要的協(xié)議有Openflow,BGP,arp,DHCP,DLDP,Netconf,PECP,SNMP等。這個(gè)協(xié)議類似于傳統(tǒng)路由器所支持的協(xié)議，是華三通信的優(yōu)勢(shì)之一。

安全性保障有兩方面的保障需求：

首先是服務(wù)器級(jí)別的安全保護(hù)能力，目前Controller程序通?；贘ava開(kāi)發(fā)，運(yùn)行在Linux操作系統(tǒng)的主機(jī)服務(wù)器上，以防止主機(jī)服務(wù)器受到攻擊，這種安全保護(hù)技術(shù)與Linux其他服務(wù)器采用同樣的技術(shù)。

另一個(gè)層次是針對(duì)控制器程序的攻擊，例如，通過(guò)使用大量合法有效的消息，使控制器執(zhí)行無(wú)效的計(jì)算，浪費(fèi)資源，影響控制器的性能，這就是要防止計(jì)算，華三通信移植并創(chuàng)新了大量用于傳統(tǒng)路由器和交換機(jī)的防攻擊技術(shù)。就像傳統(tǒng)的arp攻擊行為一樣，在VM上，Controller和OVS是如何協(xié)作完成識(shí)別和處理arp攻擊行為的。

除以上四個(gè)關(guān)鍵性能指標(biāo)外，還應(yīng)考慮SDNController南北向接口的兼容性、豐富性和易用性。對(duì)SDN來(lái)說(shuō)

選擇Controller,Packet_in性能是一個(gè)重要性能參數(shù)，因?yàn)镃ontroller現(xiàn)在都是基于Java語(yǔ)言開(kāi)發(fā)的，它具有運(yùn)行服務(wù)器的性能和性能。

了解更多SDN相關(guān)知識(shí)關(guān)注：http://www.vecloud.com/article/20210106162304.html