OpenFlow交换机：多控制器与安全连接

"这篇文档主要讨论了OpenFlow交换机在版本1.3中的核心特性，特别是多控制器机制、连接中断处理、加密以及流表管理。OpenFlow交换机通过与控制器的OpenFlow协议通信来实现对数据包的智能处理。" 在OpenFlow 1.3规范中，交换机设计的核心是其流表结构和与控制器的交互。OpenFlow交换机由一个或多个流表组成，每个流表包含一系列按优先级排序的流表项，用于匹配和处理数据包。这些流表项含有匹配字段，用于识别特定的数据包特征，以及一组指令，指导数据包的转发、修改或计数操作。匹配过程从最高优先级的流表项开始，如果没有匹配，则会根据配置执行默认操作，如转发到控制器、丢弃或继续到下一个流表。 在连接性方面，交换机设计考虑了容错性。当连接到主控制器的TCP连接出现异常时，交换机会尝试连接备份控制器。如果多次尝试失败，交换机会进入紧急模式，清除所有非紧急模式的表项，并使用紧急模式表项处理流量。此外，启动时交换机默认处于紧急模式，以确保在没有控制器的情况下也能正常工作。 安全方面，OpenFlow交换机使用TLS加密来保护与控制器之间的通信。控制器和交换机之间通过交换证书进行身份验证，每台交换机需要配置至少两个证书，一个用于控制器认证，另一个用于自身向控制器的认证。 多控制器的使用增强了系统的可靠性。交换机可以同时连接到一个或多个控制器，这样即使单个控制器出现问题，其他控制器仍能接管控制，避免服务中断。控制器间的协调通常依赖于规范之外的机制，以确保一致性。 此外，OpenFlow交换机支持组表，这是一种更复杂的转发策略，允许数据包被发送到一组端口，用于实现负载均衡、多路径转发等高级功能。保留端口提供了预定义的行为，如发送到控制器、泛洪或非OpenFlow方式的转发，而逻辑端口则可以代表链路汇聚组、隧道接口或其他逻辑网络构造。 OpenFlow 1.3的交换机设计强调了灵活性、容错性和安全性，通过精细的流表管理和多控制器架构，实现了SDN（Software-Defined Networking）环境下的智能网络控制。