項目9

使用RG-ONC管理銳捷的SDN設(shè)備學(xué)習(xí)目標(biāo)項目背景項目需求分析項目相關(guān)知識項目實踐項目習(xí)題目錄學(xué)習(xí)目標(biāo)（1）了解RG-ONC商用SDN控制器應(yīng)用場景。（2）了解RG-ONC商用SDN控制器功能模塊。（3）掌握RG-ONC控制器的部署流程。（4）掌握RG-ONC控制器的功能及流表策略操作方法。項目背景項目背景某單位自從網(wǎng)絡(luò)建設(shè)后，后續(xù)隨著接入用戶數(shù)的增多，網(wǎng)絡(luò)規(guī)模逐漸增大，與此同時各業(yè)務(wù)間的互訪安全需求也成為了管理員網(wǎng)絡(luò)維護(hù)的重要工作，面對日益增多的流量及安排互訪限制等需求，同時也為了減輕網(wǎng)絡(luò)運維壓力及網(wǎng)絡(luò)靈活拓展，信息中心采購一臺RG-ONCSDN控制器主要用于園區(qū)網(wǎng)內(nèi)業(yè)務(wù)互訪安全限制。采購后SDN控制器架設(shè)在園區(qū)網(wǎng)核心交換機(jī)上，針對園區(qū)網(wǎng)業(yè)務(wù)流程進(jìn)行流量策略下發(fā)，滿足定向安全互訪需求。傳統(tǒng)網(wǎng)絡(luò)已經(jīng)部署，網(wǎng)絡(luò)設(shè)備間管理協(xié)議依舊由各網(wǎng)絡(luò)設(shè)備自行管理運行，數(shù)據(jù)層轉(zhuǎn)發(fā)將由SDN控制器接管。運行網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)淙鐖D9-1所示。項目背景圖9-1網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)漤椖勘尘敖巧?guī)劃如表9-1所示。角色硬件型號主機(jī)名系統(tǒng)版本控制器RG-ONCSDNRG-ONC_2.10交換機(jī)S5310ES3S5310E_RGOS12.5(4)B0701交換機(jī)S5300ES2S5300E_RGOS12.5(4)B0701交換機(jī)S5300ES1S5300E_RGOS12.5(4)B0701表9-1角色規(guī)劃表項目背景網(wǎng)絡(luò)規(guī)劃如表9-2所示。主機(jī)名稱端口IP地址用途備注SDNGe0/24SDN控制網(wǎng)

S3VLAN1054/24業(yè)務(wù)數(shù)據(jù)網(wǎng)除Gi0/1-3外，其余端口均為業(yè)務(wù)數(shù)據(jù)網(wǎng)VLAN2054/24業(yè)務(wù)數(shù)據(jù)網(wǎng)VLAN200交換口SDN控制網(wǎng)S2Gi0/1/24SDN控制網(wǎng)其余端口均為業(yè)務(wù)數(shù)據(jù)網(wǎng)S1Gi0/1/24SDN控制網(wǎng)PC1VLAN100/24業(yè)務(wù)數(shù)據(jù)網(wǎng)

PC2VLAN100/24業(yè)務(wù)數(shù)據(jù)網(wǎng)表9-2

網(wǎng)絡(luò)規(guī)劃表項目背景流量規(guī)劃如表9-3所示。源地址目的地址動作協(xié)議類型優(yōu)先級anyany丟棄IP500anyany轉(zhuǎn)發(fā)ARP600/241/32轉(zhuǎn)發(fā)S1交換機(jī)2端口至23端口流量IP6001/32/24轉(zhuǎn)發(fā)S1交換機(jī)23端口至2端口流量IP600表9-3流量規(guī)劃表項目需求分析項目需求分析傳統(tǒng)網(wǎng)絡(luò)已經(jīng)部署運行中，RG-ONC控制器在網(wǎng)絡(luò)中承擔(dān)的主要任務(wù)為定向互訪業(yè)務(wù)流量策略的配置，下發(fā)與維護(hù)。綜上所述，本次項目設(shè)計如下幾點任務(wù)。（1）登陸授權(quán)RG-ONC設(shè)備，使其具備管控Openflow交換機(jī)的能力。（2）網(wǎng)絡(luò)設(shè)備openflow、ssh、netconf相關(guān)協(xié)議初始配置。（3）RG-ONC納管網(wǎng)絡(luò)設(shè)備的相關(guān)配置。（4）RG-ONC下發(fā)L3層流表實現(xiàn)通信控制。項目相關(guān)知識9.3.1RG-ONC概述1.開放：銳捷網(wǎng)絡(luò)SDN控制器RG-ONC采用開放的，業(yè)界通用的協(xié)議標(biāo)準(zhǔn)來管理和控制整張網(wǎng)絡(luò)。RG-ONC支持ONF組織定義的業(yè)界通用的協(xié)議。利用OpenFlow協(xié)議進(jìn)行流表下發(fā)，進(jìn)而對網(wǎng)內(nèi)所有支持SDN的網(wǎng)絡(luò)轉(zhuǎn)發(fā)設(shè)備進(jìn)行控制。目前支持到OpenFlow版本V1/V2/V3，并且向下兼容。RG-ONC北向采用開放的RESTfulAPI接口。RESTfulAPI調(diào)用起來簡單，易用，遵循標(biāo)準(zhǔn)HTTP協(xié)議。調(diào)用者與被調(diào)用者之間完全松耦合關(guān)系，無需傳統(tǒng)復(fù)雜的調(diào)用過程（包括無需SDK庫函數(shù)加載、識別，不受編程平臺與編程語言約束）。因此，RG-ONC采用RESTfulAPI能夠讓SDN控制器提供的北向API接口更加輕松，易用的和各類云平臺、網(wǎng)絡(luò)運營／運維平臺、大數(shù)據(jù)分析平臺、以及其他第三方應(yīng)用進(jìn)行對接調(diào)用。9.3.1RG-ONC概述2.可編程：銳捷開放網(wǎng)絡(luò)SDN控制器RG-ONC具備很強(qiáng)的可編程性，并提供了一系列完善的調(diào)用接口，用戶可以通過詳細(xì)的調(diào)用案例模擬和學(xué)習(xí)，完成與上層平臺對接并感知軟件定義網(wǎng)絡(luò)的魅力。通過調(diào)用銳捷SDN控制器提供的北向API接口，可以對網(wǎng)絡(luò)資源進(jìn)行個性化定義，并且可以編寫多個應(yīng)用來對利用控制器對整個網(wǎng)絡(luò)進(jìn)行定義。這樣使得網(wǎng)絡(luò)、SDN控制器、客戶管理、運維等系統(tǒng)形成完整的鏈條，并且能夠通過不同場景所需的APP來優(yōu)化、控制、管理整網(wǎng)。9.3.1RG-ONC概述3.靈活交付能力：銳捷開放網(wǎng)絡(luò)SDN控制器提供軟硬件一體和純軟件兩種交付方式。軟硬件一體交付系統(tǒng)，硬件采用通用X86服務(wù)器，進(jìn)行穩(wěn)定性、可靠性等整體二次定制化開發(fā)，并出廠預(yù)灌裝控制器軟件，設(shè)備上電即可開機(jī)使用，只需要按照操作說明進(jìn)行授權(quán)即可激活不同的APP方案。同時，硬件載體RG-ONC-AIO-E機(jī)箱可支持最多同時裝載四個RG-ONC-AIO-CTL控制節(jié)點插卡，每個控制卡均配置8核CPU，32GB以上的內(nèi)存。滿足高性能的同時，還能提供良好的部署方式選擇，客戶進(jìn)行初次部署時，若是網(wǎng)絡(luò)規(guī)模規(guī)模較小，可以選擇使用一張控制器節(jié)點卡進(jìn)行單機(jī)部署，后續(xù)隨著網(wǎng)絡(luò)規(guī)模擴(kuò)大，可繼續(xù)添加新的控制節(jié)點卡，利用多張控制節(jié)點卡分別控制不同的網(wǎng)絡(luò)區(qū)域，或者部署SDN控制器集群，從而提升整網(wǎng)穩(wěn)定性，使得客戶可以輕松地對網(wǎng)絡(luò)進(jìn)行功能、結(jié)構(gòu)的調(diào)整，從而幅度的提高SDN網(wǎng)絡(luò)的靈活性和課擴(kuò)展性。9.3.1RG-ONC概述4.支持NFV功能：銳捷SDN控制器內(nèi)支持NFV功能，并且能夠利用網(wǎng)絡(luò)功能虛擬化技術(shù)將多個不同的網(wǎng)絡(luò)設(shè)備提供的功能進(jìn)行抽離，例如將虛擬防火墻，虛擬應(yīng)用網(wǎng)關(guān)等關(guān)鍵應(yīng)用一起放入SDN控制器內(nèi)部進(jìn)行運行。這樣不僅管理簡便，而且成本也能夠降低。不僅如此，未來如果虛擬防火墻等功能性設(shè)備用處不大，完全可以直接登陸SDN控制器進(jìn)行功能卸載，并且同時也可以采用類似手機(jī)安裝APP方式將新增功能加入SDN控制器。一臺控制器具備了NFV功能后，不僅可以靈活控制網(wǎng)絡(luò)資源，而且可以將很多網(wǎng)絡(luò)功能加入到統(tǒng)一的控制器內(nèi)部，這樣全網(wǎng)即可實現(xiàn)統(tǒng)一化管控。5.高可用性：銳捷SDN控制器支持主備、集群等部署方式，提供≥64臺的集群能力。采用集群部署能夠解決單點SDN控制器帶來的不穩(wěn)定風(fēng)險。當(dāng)控制器組成集群后，只要網(wǎng)絡(luò)中還有控制器存在，就不會出現(xiàn)網(wǎng)絡(luò)不可控、不可管的狀態(tài)。當(dāng)然，如果所有控制器均失去作用，原流表依然會在所有支持Openflow交換機(jī)中進(jìn)行正常通訊。換而言之，控制平面的失效不會影響數(shù)據(jù)平面的正常通訊。9.3.2RG-ONC應(yīng)用場景1.SDN云園區(qū)網(wǎng)場景銳捷網(wǎng)絡(luò)RG-ONP平臺構(gòu)建的園區(qū)SDN網(wǎng)絡(luò)可以從接入終端管理、網(wǎng)絡(luò)運維、出口資源管理、業(yè)務(wù)網(wǎng)絡(luò)規(guī)劃等方面展開。完全替代傳統(tǒng)園區(qū)網(wǎng)絡(luò)的部署模型。RG-ONC開放網(wǎng)絡(luò)控制器通過OpenFlow、NETCONF等南向接口協(xié)議實現(xiàn)對所有網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，從而實現(xiàn)快速部署、資源整合、統(tǒng)一規(guī)劃、按需調(diào)用，應(yīng)用場景如圖9-2所示。圖9-2

SDN云園區(qū)網(wǎng)場景9.3.2RG-ONC應(yīng)用場景場景價值：1)有效管理接入終端，讓終端接入更安全。2)全網(wǎng)自動化部署，讓網(wǎng)絡(luò)部署上線更快。3)IP即用戶，全網(wǎng)遷移，策略自動跟隨。4)整網(wǎng)流量可視化，提供快速故障定位手段，快速恢復(fù)生產(chǎn)網(wǎng)絡(luò)。5)根據(jù)業(yè)務(wù)定制專屬的虛擬網(wǎng)絡(luò)，讓網(wǎng)絡(luò)真正為業(yè)務(wù)服務(wù)，資源靈活調(diào)整，高效利用。9.3.2RG-ONC應(yīng)用場景2.SDN云數(shù)據(jù)中心網(wǎng)絡(luò)場景銳捷網(wǎng)絡(luò)RG-ONP平臺構(gòu)建云數(shù)據(jù)中心網(wǎng)絡(luò)方案可利用SDN控制器實現(xiàn)基于VXLAN技術(shù)的Overlay網(wǎng)絡(luò)自動化創(chuàng)建，Underlay和Overlay網(wǎng)絡(luò)統(tǒng)一運維管理，實現(xiàn)資源池化，按需調(diào)用，彈性擴(kuò)展，應(yīng)用場景如圖9-3所示。圖9-3

SDN云數(shù)據(jù)中心網(wǎng)絡(luò)場景9.3.2RG-ONC應(yīng)用場景場景價值：1)軟硬件交換網(wǎng)絡(luò)資源一體化管控，簡化運維管理，提高網(wǎng)絡(luò)配置與業(yè)務(wù)部署效率。2)為租戶提供邏輯上獨立的網(wǎng)絡(luò)資源專項體驗。3)租戶之間共享物理網(wǎng)絡(luò)資源，提高網(wǎng)絡(luò)資源利用率，同時滿足租戶在虛擬網(wǎng)絡(luò)上的任意網(wǎng)絡(luò)規(guī)劃和策略部署。4)出口安全資源池化，租戶按需隔離、防護(hù)，有效提升安全設(shè)備資源利用率。5)虛擬租戶網(wǎng)絡(luò)開放接口，便于與OpenStack、CloudStack等云管理平臺對接，以實現(xiàn)計算、存儲、網(wǎng)絡(luò)等IT資源自動化管理。9.3.2RG-ONC應(yīng)用場景3.SDN廣域網(wǎng)鏈路負(fù)載均衡網(wǎng)絡(luò)場景銳捷網(wǎng)絡(luò)RG-ONC開放網(wǎng)絡(luò)控制器軟件可基于整網(wǎng)鏈路狀態(tài)及預(yù)設(shè)閥值來智能選擇全網(wǎng)適合的單條或多條路徑轉(zhuǎn)發(fā)數(shù)據(jù)，實現(xiàn)比傳統(tǒng)負(fù)載均衡更優(yōu)的廣域網(wǎng)傳輸效果，應(yīng)用場景如圖9-4所示。圖9-4

SDN廣域網(wǎng)鏈路負(fù)載均衡網(wǎng)絡(luò)場景9.3.2RG-ONC應(yīng)用場景場景價值：1)提升整體帶寬利用率，幫助用戶降低廣域網(wǎng)鏈路擴(kuò)容成本。2)可靈活根據(jù)鏈路負(fù)載、時延、丟包率等參數(shù)調(diào)整選路規(guī)則。項目實施任務(wù)1RG-ONC登陸及授權(quán)任務(wù)描述銳捷網(wǎng)絡(luò)SDN控制器RG-ONC在對網(wǎng)絡(luò)設(shè)備進(jìn)行統(tǒng)一管理前，需要先對網(wǎng)絡(luò)內(nèi)的硬件設(shè)備進(jìn)行產(chǎn)品授權(quán)，才能夠正常進(jìn)行網(wǎng)絡(luò)設(shè)備管理。為了保證RG-ONC可以正常納管所有網(wǎng)絡(luò)設(shè)備，需要針對ONC設(shè)備進(jìn)行登錄授權(quán)。具體可以通過以下步驟完成。（1）開機(jī)登陸RG-ONC。（2）硬件設(shè)備信息收集。（3）申請授權(quán)碼。（4）導(dǎo)入授權(quán)碼。（5）查看授權(quán)狀態(tài)。任務(wù)1RG-ONC登陸及授權(quán)任務(wù)實施（1）SDN控制器在上電開機(jī)后可通過WEB界面進(jìn)行登陸。登陸地址為:8089/onc/用戶名：admin密碼：rgsdn。操作結(jié)果如圖9-4所示。圖9-4

RG-ONCWEB登陸界面任務(wù)1RG-ONC登陸及授權(quán)（2）依次點擊右上角【用戶】-【系統(tǒng)管理】-【授權(quán)管理】-【授權(quán)】。操作結(jié)果如圖9-5所示。圖9-5

RG-ONC授權(quán)管理任務(wù)1RG-ONC登陸及授權(quán)（3）將隨機(jī)覆蓋的授權(quán)碼輸入到【產(chǎn)品授權(quán)碼】中，點擊生成文件，將收集硬件設(shè)備特征碼。操作結(jié)果如圖9-6所示。圖9-6

RG-ONC收集硬件信息任務(wù)1RG-ONC登陸及授權(quán)（4）在瀏覽器上輸入“/fw/license/”登陸銳捷官網(wǎng)服務(wù)支持-產(chǎn)品授權(quán)申請界面，點擊【軟件產(chǎn)品授權(quán)申請】，進(jìn)入RG-PA銳捷產(chǎn)品授權(quán)系統(tǒng)之后基于向?qū)е敢顚懽孕畔?，并將?步生成的硬件特征碼作為附件上傳。申請后正式授權(quán)文件可以從網(wǎng)站直接下載或是登陸注冊郵箱下載使用。操作結(jié)果如圖9-7、9-8、9-9所示。圖9-7

軟件產(chǎn)品授權(quán)申請任務(wù)1RG-ONC登陸及授權(quán)圖9-8

RG-ONC授權(quán)文件申請圖9-9

RG-ONC授權(quán)文件填寫任務(wù)1RG-ONC登陸及授權(quán)（5）將正式授權(quán)文件下載并上傳到本地ONC控制器，操作結(jié)果如圖9-10所示。任務(wù)1RG-ONC登陸及授權(quán)任務(wù)驗證（1）在導(dǎo)入授權(quán)文件后查看授權(quán)狀態(tài)。操作結(jié)果如圖9-11所示。圖9-11

RG-ONC授權(quán)狀態(tài)任務(wù)2網(wǎng)絡(luò)設(shè)備連接RG-ONC控制器任務(wù)描述RG-ONC控制器在對接入、匯聚、核心層設(shè)備進(jìn)行納管時，交換設(shè)備需要配置SNMP協(xié)議、OpenFlow協(xié)議、Netconf協(xié)議與控制器進(jìn)行對接，從而實現(xiàn)設(shè)備與和控制器之間的消息交互。因此S1和S2交換機(jī)需要先與ONC進(jìn)行對接，其中，netconf需要借助ssh通道進(jìn)行對接。因此，本任務(wù)需要在網(wǎng)絡(luò)設(shè)備上配置OF、SSH、SNMP三種協(xié)議。具體可以通過以下步驟完成。（1）配置snmp協(xié)議與ONC控制器對接。（2）配置netconf協(xié)議與ONC控制器對接。（3）配置ssh協(xié)議與ONC控制器對接。（4）配置openflow協(xié)議與ONC控制器對接。任務(wù)2網(wǎng)絡(luò)設(shè)備連接RG-ONC控制器任務(wù)實施（1）配置snmp與SDN控制器對接，其中key與onc-ip根據(jù)實際項目環(huán)境自行定義。（2）配置ssh與netconf協(xié)議與ONC控制器對接。netconf協(xié)議是一個網(wǎng)管協(xié)議，主要設(shè)計目的是彌補SNMP無法配置設(shè)備的不足，希望可以取代SNMP協(xié)議。NETCONF協(xié)議分成四層：安全傳輸層，消息層，操作層和內(nèi)容層。Netconf規(guī)定需要支持安全加密通道，如SSH、TLS等，當(dāng)前一般用SSH（SDN-controller連接設(shè)備端的TCPdport830）。S1(config)#snmp-servercommunity(key)rw#配置snmp團(tuán)體字S1(config)#snmp-serverhost(onc-ip)informsversion2c(key)#必配traps，informsS1(config)#mac-address-tablenotification#全局使能mac地址消息通告任務(wù)2網(wǎng)絡(luò)設(shè)備連接RG-ONC控制器S1(config)#enableservicessh-server#全局使能sshserverS1(config)#usernamekeypasswordkey#配置ssh用的賬號密碼S1(config)#cryptokeygeneratedsa#加密方式選擇DSA或者RSA均可%YoualreadyhaveDSAkeys.%Doyoureallywanttoreplacethem?[yes/no]:yChoosethesizeofthersakeymodulusintherangeof512to2048andthesizeofthedsakeymodulusintherangeof360to2048foryourSignatureKeys.Choosingakeymodulusgreaterthan512maytakeafewminutes.Howmanybitsinthemodulus[512]:%Generating512bitDSAkeys...[ok]vty指定采用本地的用戶名+密碼登入S1(config)#linevty06S1(config-line)#loginlocal任務(wù)2網(wǎng)絡(luò)設(shè)備連接RG-ONC控制器（3）配置openflow協(xié)議與ONC控制器對接任務(wù)驗證（1）查看netconf協(xié)議啟動狀態(tài)。netconf當(dāng)前僅能通過rg-sshd進(jìn)程的tcp（established）狀態(tài)來確認(rèn)是否成功。S1(config)#interfaceGigabitEthernet0/1S1(config-if-GigabitEthernet0/1)#noswitchportS1(config-if-GigabitEthernet0/1)#ipaddressS1(config)#ofcontroller-ip(onc-ip)port6653interface(GigabitEthernet0/1)#指定onc的ip地址及本端的出接口S1#showtcpconnectNumberLocalAddressForeignAddressStateProcessname8:22:46356ESTABLISHEDrg-sshd任務(wù)2網(wǎng)絡(luò)設(shè)備連接RG-ONC控制器（2）查看Openflowx協(xié)議對接狀態(tài)。S1#showofversion:openflow1.3,controller[0]:tcp:port6653interfaceGigabitEthernet0/1,mainisconnected,auxisdisable,roleismaster.Currentcontrollermode:multiple.Currentpacketprocessmode:Lookupallflow.任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備任務(wù)描述完成網(wǎng)絡(luò)設(shè)備S1/S2網(wǎng)管協(xié)議配置后，為了使其可在RG-ONC中進(jìn)行統(tǒng)一管理，需要匹配網(wǎng)絡(luò)設(shè)備的snmp,ssh，netconf及openflow相關(guān)參數(shù)做同步配置。具體可以通過以下步驟完成。（1）創(chuàng)建網(wǎng)絡(luò)分區(qū)。（2）設(shè)置設(shè)備SNMP憑證。（3）設(shè)置設(shè)備SSH憑證。（4）設(shè)置設(shè)備NETCONF憑證。（5）設(shè)置設(shè)備Telnet憑證(可選)。（6）新增網(wǎng)絡(luò)設(shè)備模版，逐一添加OF交換機(jī)。任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備任務(wù)實施（1）創(chuàng)建網(wǎng)絡(luò)分區(qū)，依次點擊【設(shè)計】-->【網(wǎng)絡(luò)分區(qū)】-【新建區(qū)域】，這里我們新建一個test區(qū)域。操作結(jié)果如圖9-12所示。圖9-12

創(chuàng)建網(wǎng)絡(luò)分區(qū)任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備（2）設(shè)置設(shè)備SNMP憑證，依次單擊【設(shè)計】→【網(wǎng)絡(luò)設(shè)置】→【設(shè)備憑證】→【SNMPV2】→【新增】，填寫模板名稱和團(tuán)體名，。操作結(jié)果如圖9-13所示。圖9-13

設(shè)備SNMP憑證配置任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備（3）設(shè)置設(shè)備SSH憑證。操作結(jié)果如圖9-14所示。圖9-14

設(shè)備SSH憑證配置任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備（4）設(shè)置設(shè)備NETCONF憑證。操作結(jié)果如圖9-15所示。圖9-15

設(shè)備NETCONF憑證配置任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備（5）設(shè)置設(shè)備Telnet憑證(可選)。操作結(jié)果如圖9-16所示。圖9-16

設(shè)備TELNET憑證配置任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備（6）新增網(wǎng)絡(luò)設(shè)備模版，逐一添加OF交換機(jī)。操作結(jié)果如圖9-17所示。圖9-17

添加OpenFlow交換機(jī)任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備任務(wù)驗證RG-ONC查看納管設(shè)備SNMP/NETCONF/OpenFlow三種協(xié)議連接狀態(tài)，如圖9-19、圖9-20所示。圖9-19查看RG-ONC納管設(shè)備各協(xié)議連接狀態(tài)的操作結(jié)果任務(wù)3RG-ONC控制器納管網(wǎng)絡(luò)設(shè)備圖9-20

RG-ONC納管設(shè)備連接詳情任務(wù)4使用RG-ONC下發(fā)流表通信控制任務(wù)描述RG-ONC控制器可以正常納管園區(qū)網(wǎng)OF交換機(jī)后，便可以基于業(yè)務(wù)互訪需求進(jìn)行相應(yīng)流表規(guī)則的下發(fā)?；诋?dāng)前網(wǎng)絡(luò)及業(yè)務(wù)互訪需求及規(guī)劃信息，具體可以通過以下步驟完成。（1）配置ONC在S1/S2交換機(jī)下發(fā)流表規(guī)則，阻斷所有業(yè)務(wù)流量。（2）配置ONC下發(fā)流表規(guī)則，放通ARP協(xié)議流量。（3）配置ONC下發(fā)流表規(guī)則，放通指定IP協(xié)議流量。任務(wù)4使用RG-ONC下發(fā)流表通信控制任務(wù)實施（1）配置ONC在S1/S2交換機(jī)下發(fā)流表規(guī)則，阻斷所有業(yè)務(wù)流量，這里阻斷所有業(yè)務(wù)流量有兩個主要目的，其一為將業(yè)務(wù)互訪功能轉(zhuǎn)交SDN控制器統(tǒng)一管理；其二當(dāng)前園區(qū)網(wǎng)拓?fù)鋬?nèi)存在二層環(huán)路，通過阻斷所有流量的操作達(dá)到阻斷局域網(wǎng)環(huán)路的目的。配置ONC下發(fā)流表，匹配所有數(shù)據(jù)包均執(zhí)行丟棄（drop）動作，丟棄數(shù)據(jù)包，流表優(yōu)先級為500（默認(rèn)優(yōu)先級）。依次單擊【部署】→【設(shè)備管理】→【sw1設(shè)備】→【設(shè)備詳情】，進(jìn)入配置界面后切換到“流表信息”復(fù)選框，單擊“新增”，添加流表規(guī)則，操作結(jié)果如圖9-21所示（以S1配置為例）。圖9-21

下發(fā)流表阻斷S1/S2所有流量任務(wù)4使用RG-ONC下發(fā)流表通信控制（2）配置ONC下發(fā)流表規(guī)則，匹配所有ARP數(shù)據(jù)包均執(zhí)行動作為NORMAL動作，即ARP數(shù)據(jù)包正常轉(zhuǎn)發(fā)。保證L2層通信正常，優(yōu)先級為600（必須大于500），操作結(jié)果如圖9-22所示。圖9-22

下發(fā)流表放通ARP流量任務(wù)4使用RG-ONC下發(fā)流表通信控制（3）配置ONC下發(fā)流表規(guī)則，放通指定IP協(xié)議流量。根據(jù)PC1需求規(guī)劃及IP通信的雙向性，首先下發(fā)PC1網(wǎng)段至目的地址的流表，其中IP協(xié)議的源與目的地址分別為/24、1/32，處理動作為將數(shù)據(jù)包由S1交換機(jī)2端口轉(zhuǎn)發(fā)至23端口：流表項優(yōu)先級為700，操作結(jié)果如圖9-23所示。其次下發(fā)1/32至PC1網(wǎng)段流表，其中IP協(xié)議的源與目的地址分別為1/32、/24，處理動作為將數(shù)據(jù)包由S1交換機(jī)23端口轉(zhuǎn)發(fā)至2端口：流表項優(yōu)先級為700，操作結(jié)果如圖9-24所示。圖9-23

下發(fā)流表放通IP流量（源IP：PC1）圖9-24

下發(fā)流表放通IP流量（目標(biāo)IP：PC1）任務(wù)4使用RG-ONC下發(fā)流表通信控制任務(wù)驗證 （1）S1交換機(jī)使用命令查看阻斷所有流量的策略是否已經(jīng)正常被S1交換機(jī)收到了。。可以觀察到packet_count（包統(tǒng)計）值為682，byte_count（比特統(tǒng)計）值為126921，證明流表項已經(jīng)成功匹配到數(shù)據(jù)，并按照規(guī)劃動作對數(shù)據(jù)進(jìn)行丟棄。（2）S1交換機(jī)使用命令查看放通ARP流量的策略是否已經(jīng)正常被S1交換機(jī)收到了?？梢杂^察到packet_count（包統(tǒng)計）值為14，byte_count（比特統(tǒng)計）值為924，證明流表項已經(jīng)成功匹配到數(shù)據(jù)，并按照規(guī)劃動作對數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)。S1#showofflowtable|includepriority="500"{table="0",duration_sec="443",priority="500",flags="0x0",idle_timeout="0",hard_timeout="0",cookie="0x16ff553499c000",packet_count="682",byte_count="126921".match=oxm{allmatch}instructions=[apply{acts=[]}]}S1#showofflowtable|includeeth_type="0x806"{table="0",duration_sec="116",priority="600",flags="0x0",idle_timeout="0",hard_timeout="0",cookie="0x16ff53a0014000",packet_count="14",byte_count="924".match=oxm{eth_type="0x806"}instructions=[apply{acts=[output{port="controller",max_len="0"},output{port="normal"}]}]}任務(wù)4使用RG-ONC下發(fā)流表通信控制（3）S1交換機(jī)使用命令查看放通指定IP流量策略是否已經(jīng)正常被S1交換機(jī)收到了。S1#showofflowtable|include1#放通/24到1IP流量{table="0",duration_sec="1170",priority="700",flags="0x0",idle_timeout="0",hard_timeout="0",cookie="0x16ff48bb84c000",p