南通市建设工程安全监督站网站食品建设网站的目的

基于 Ryu控制器 在 VM1--OVS--VM2 的简单拓扑中实现流量自动下发（流表动态安装）的完整案例。通过该案例，当VM1与VM2首次通信时，Ryu控制器会动态学习路径并下发流表，后续流量将直接由交换机转发，无需控制器介入。

1. 环境准备

(1) 拓扑结构

VM1 (10.0.0.1) <--> Open vSwitch (OVS) <--> VM2 (10.0.0.2)

• OVS：模拟软件交换机，运行OpenFlow协议（如OpenFlow 1.3）。
• Ryu控制器：负责动态下发流表。
• VM1/VM2：可以是虚拟机、容器或Mininet模拟的主机。

(2) 工具依赖

• Mininet：用于快速创建虚拟网络拓扑（可选，但推荐用于实验）。
• Open vSwitch：安装并启动OVS服务。
• Ryu控制器：已安装ryu Python库。

2. 实现步骤

(1) 创建网络拓扑

使用Mininet创建拓扑（若使用真实虚拟机，可跳过此步）：

# 启动Mininet，创建一个OVS交换机连接两个主机
sudo mn --topo single,2 --mac --switch ovsk,protocols=OpenFlow13 --controller remote

• --switch ovsk：指定使用Open vSwitch。
• --controller remote：指定Ryu控制器IP（默认连接到本地127.0.0.1:6653）。

(2) 编写Ryu自动下发流表应用

创建一个Python文件（如auto_flow.py），实现以下逻辑：

from ryu.base import app_manager
from ryu.controller import ofp_event
from ryu.controller.handler import MAIN_DISPATCHER, CONFIG_DISPATCHER
from ryu.controller.handler import set_ev_cls
from ryu.ofproto import ofproto_v1_3class AutoFlow(app_manager.RyuApp):OFP_VERSIONS = [ofproto_v1_3.OFP_VERSION]  # 使用OpenFlow 1.3def __init__(self, *args, **kwargs):super(AutoFlow, self).__init__(*args, **kwargs)self.mac_to_port = {}  # 记录MAC地址到交换机端口的映射@set_ev_cls(ofp_event.EventOFPSwitchFeatures, CONFIG_DISPATCHER)def switch_features_handler(self, ev):# 交换机连接时，下发默认流表（丢弃未知流量）datapath = ev.msg.datapathofproto = datapath.ofprotoparser = datapath.ofproto_parser# 添加默认的table-miss流表项，将未知流量发送到控制器match = parser.OFPMatch()actions = [parser.OFPActionOutput(ofproto.OFPP_CONTROLLER, ofproto.OFPCML_NO_BUFFER)]self.add_flow(datapath, 0, match, actions)@set_ev_cls(ofp_event.EventOFPPacketIn, MAIN_DISPATCHER)def packet_in_handler(self, ev):# 处理Packet-In事件，动态学习MAC地址并下发流表msg = ev.msgdatapath = msg.datapathofproto = datapath.ofprotoparser = datapath.ofproto_parserin_port = msg.match['in_port']# 解析以太网帧头部pkt = packet.Packet(msg.data)eth = pkt.get_protocols(ethernet.ethernet)[0]dst_mac = eth.dstsrc_mac = eth.src# 记录MAC地址与端口的映射关系self.mac_to_port.setdefault(datapath.id, {})self.mac_to_port[datapath.id][src_mac] = in_port# 如果目标MAC已学习，下发流表；否则泛洪if dst_mac in self.mac_to_port[datapath.id]:out_port = self.mac_to_port[datapath.id][dst_mac]else:out_port = ofproto.OFPP_FLOOD  # 泛洪# 构造动作列表actions = [parser.OFPActionOutput(out_port)]# 如果非泛洪，则下发流表以加速后续流量if out_port != ofproto.OFPP_FLOOD:match = parser.OFPMatch(in_port=in_port, eth_dst=dst_mac)self.add_flow(datapath, 1, match, actions)# 发送数据包到目标端口out = parser.OFPPacketOut(datapath=datapath,buffer_id=msg.buffer_id,in_port=in_port,actions=actions)datapath.send_msg(out)def add_flow(self, datapath, priority, match, actions):# 下发流表到交换机ofproto = datapath.ofprotoparser = datapath.ofproto_parser# 构造FlowMod消息inst = [parser.OFPInstructionActions(ofproto.OFPIT_APPLY_ACTIONS, actions)]mod = parser.OFPFlowMod(datapath=datapath,priority=priority,match=match,instructions=inst)datapath.send_msg(mod)

(3) 启动Ryu控制器

运行自定义的Ryu应用：

ryu-manager --verbose auto_flow.py

• --verbose：显示详细日志，便于调试。

(4) 测试流量触发流表下发

在Mininet或真实环境中执行以下操作：

# 在VM1上ping VM2（首次触发Packet-In）
mininet> h1 ping h2

• 第一次Ping：OVS无流表匹配，数据包发送到控制器，Ryu学习MAC地址并下发流表。
• 后续Ping：流量直接由交换机转发（查看OVS流表确认）：

  sudo ovs-ofctl -O OpenFlow13 dump-flows ovs-switch
  

3. 关键机制解析

1. 流表初始化：

   • 交换机连接时，控制器下发默认流表（优先级0），将未知流量重定向到控制器。

2. MAC学习：

   • 当Packet-In事件发生时，控制器记录源MAC地址和入端口，构建MAC表。

3. 动态流表下发：

   • 若目标MAC地址已学习，控制器下发精确匹配的流表（优先级1），后续流量直接转发。
   • 若未学习，则泛洪（Flood）数据包以发现目标主机。

4. 验证与调试

(1) 查看OVS流表

sudo ovs-ofctl -O OpenFlow13 dump-flows ovs-switch

输出示例：

cookie=0x0, duration=10s, table=0, priority=1,dl_dst=00:00:00:00:00:02 actions=output:2
cookie=0x0, duration=5s, table=0, priority=0 actions=CONTROLLER:65535

(2) 抓包验证

在OVS上抓包，观察首次Ping的ICMP请求经过控制器，后续请求直接转发：

sudo tcpdump -i ovs-switch-eth1  # 监控VM1连接的端口

5. 扩展场景

• 多交换机拓扑：在更复杂的拓扑中，Ryu可通过LLDP协议自动发现网络拓扑，实现跨交换机流表下发。
• QoS策略：在add_flow方法中添加Meter表限速动作。
• 安全控制：结合MAC白名单或IP黑名单动态拦截流量。

总结

通过此案例，可以看到Ryu如何利用Packet-In事件动态学习网络状态并下发流表，实现类似传统交换机的自学习功能，同时保留了SDN的可编程优势。此方案适用于小型网络或实验环境，若需高性能生产部署，可结合硬件加速或分布式控制器架构。