转载地址：3. OpenFlow协议_SDN核心技术剖析和实战指南_红黑联盟读书频道http://book.2cto.com/201310/34138.html

OpenFlow协议是用来描述控制器和OpenFlow交换机之间交互所用的信息的接口标准，其核心是OpenFlow协议信息的集合。OpenFlow协议支持三种消息类型：controller-to-switch、asynchronous（异步）和symmetric（对称），而每一类消息又可以拥有多个子消息类型。其中，controller-to-switch消息由控制器发起，用来管理或获取OpenFlow交换机的状态；asynchronous消息由OpenFlow交换机发起，用来将网络事件或交换机状态变化更新到控制器；symmetric消息可由交换机或控制器发起。各类消息的细节描述如表2-2所示。
表2-2  OpenFlow协议消息列表

基于表2-2所示的内容，OpenFlow规定了在其主要的协议交互过程（例如连接建立、连接中断、加密、生成树支持、流表删除、流表项修改等等）中需要使用的协议消息，具体情况包括如下几点。

连接建立：控制器与OpenFlow交换机建立TLS隧道后，隧道中传送的都是控制协议消息，因此隧道中的所有流量转发都无需查询交换机中的流表。当OpenFlow安全隧道建立起来后，双方必须首先发送HELLO消息给对方，该消息携带本方支持的最高协议版本号，接收方将采用双方都支持的最低协议版本进行通信。一旦发现两者拥有共同支持的协议版本，则连接建立，否则发送ERROR消息，描述失败原因，并终止连接。

连接中断：当交换机与控制器之间的连接发生异常时，OpenFlow交换机应尝试连接备份控制器。当多次尝试均失败后，OpenFlow交换机将进入紧急模式，并重置所有的TCP连接。此时，所有包将匹配指定的紧急模式表项，其他所有正常表项将从流表中删除。此外，当交换机刚启动时，默认进入紧急模式。

加密：控制器与OpenFlow交换机之间的安全通道采用TLS连接加密。当交换机启动时，尝试连接到控制器的6633 TCP 端口。双方通过交换证书进行认证。因此，每个交换机至少需配置两个证书，一个用来认证控制器，一个用来向控制器发出认证。

生成树支持：OpenFlow交换机可以选择支持802.1d生成树协议。如果支持，所有相关包在查找流表之前应该先在本地进行传统生成树处理。支持生成树协议的交换机在应答控制器的FEATURES消息的相应应答域中设置STP（Spanning Tree Protocol，生成树协议）支持位，并且需要所有物理端口均支持生成树协议，但无需在虚拟端口支持。生成树协议会设置端口状态，来限制发往FLOOD的数据包仅被转发到生成树指定的端口。需要注意的是，已经指定了出端口的转发或发往ALL的数据包会忽略生成树所指定的端口，而按照规则的设置进行端口转发。

如果交换机不支持802.1d 生成树协议，则必须允许控制器指定洪泛时的端口状态。

流表项修改：流表项修改是控制器下发的最主要的消息，共有五种类型，如表2-3所示。
表2-3  流表项修改消息类型

交换机移除流表项。交换机移除流表项有两种情况：一种是定时器计时结束，另一种是控制器发出删除表项的命令。每个表项均有一个idle_timeout定时器和一个hard_timeout定时器，前者计算没有流量匹配的时间（单位都是秒），后者计算被插入表中的总时间。一旦到达时间期限，则交换机自动删除该表项，同时发出一个流删除的消息。另外，控制器也可以下发DELETE、DELETE_STRICT等消息主动删除流表项。