從什么是SDN開始，形象生動的闡述SDN的發(fā)展歷程。然后介紹SDN的現(xiàn)狀，以表格的形式呈現(xiàn)，思路清晰明了。接著介紹SDN的特性以及基于OpenFlow的SDN技術(shù)，最后以SDN的應(yīng)用場景分析及安全問題收尾。整個文章由淺入深，娓娓道來，值得回味。

1. SDN概述

SDN（Software Defined Networking）即軟件定義網(wǎng)絡(luò)，它引發(fā)了網(wǎng)絡(luò)技術(shù)的一場革命，必將對網(wǎng)絡(luò)世界的未來產(chǎn)生深遠的影響。那么SDN到底是什么，為什么會出現(xiàn)這項技術(shù)，SDN網(wǎng)絡(luò)架構(gòu)的擴展性、安全性存在哪些問題，值得深入分析和思考。

1.1 SDN是什么
SDN 是一種新型網(wǎng)絡(luò)架構(gòu)，其核心思想是通過管控軟件化、集中化，使網(wǎng)絡(luò)變得更加開放、靈活、高效。具體表現(xiàn)為將網(wǎng)絡(luò)的控制平面與轉(zhuǎn)發(fā)平面（即數(shù)據(jù)平面）相分離：在控制平面為用戶提供標(biāo)準(zhǔn)的編程接口，便于集中部署網(wǎng)絡(luò)管控應(yīng)用；轉(zhuǎn)發(fā)平面仍保留在硬件中，通過標(biāo)準(zhǔn)協(xié)議接口（如OpenFlow）接收并執(zhí)行轉(zhuǎn)發(fā)策略。

如果將網(wǎng)絡(luò)中所有的網(wǎng)絡(luò)設(shè)備視為被管理的資源，那么參考操作系統(tǒng)的原理，可以抽象出一個網(wǎng)絡(luò)操作系統(tǒng)的概念，這個網(wǎng)絡(luò)操作系統(tǒng)（即控制層）一方面抽象了底層網(wǎng)絡(luò)設(shè)備（即數(shù)據(jù)層）的具體細(xì)節(jié)，同時還為上層應(yīng)用（應(yīng)用層）提供了統(tǒng)一的管理視圖和編程接口，如圖1所示。這樣，基于網(wǎng)絡(luò)操作系統(tǒng)這個平臺，用戶可以開發(fā)各種應(yīng)用程序，通過軟件來定義邏輯上的網(wǎng)絡(luò)拓?fù)?，以滿足對網(wǎng)絡(luò)資源的不同需求，而無需關(guān)心底層網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)。

圖1 SDN三層架構(gòu)

1.2 SDN的由來
SDN的前身最早可追朔到“可編程網(wǎng)絡(luò)”的概念，此后陸續(xù)有學(xué)者提出相應(yīng)的可編程網(wǎng)絡(luò)思想和方法。2004年，4D Project項目提出了一種Clean-Slate的網(wǎng)絡(luò)設(shè)計方案，該方案重點突出了網(wǎng)元之間的交互協(xié)議與路由決策邏輯的分離。

2006 年，斯坦福的Martin Casado 領(lǐng)導(dǎo)了一個關(guān)于網(wǎng)絡(luò)安全與管理的項目Ethane，該項目試圖通過一個集中式的控制器，讓網(wǎng)絡(luò)管理員方便地定義基于網(wǎng)絡(luò)流的安全控制策略，并將這些安全策略應(yīng)用到各種網(wǎng)絡(luò)設(shè)備中，從而實現(xiàn)對整個網(wǎng)絡(luò)通訊的安全控制。受此項目啟發(fā)，Martin 及Nick McKeown 提出將傳統(tǒng)網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)轉(zhuǎn)發(fā)（Data Plane）和路由控制（Control Plane）兩個功能模塊相分離，通過集中式的控制器（Controller）以標(biāo)準(zhǔn)化的接口對各種網(wǎng)絡(luò)設(shè)備進行管理和配置，這將為網(wǎng)絡(luò)資源的設(shè)計、管理和使用提供更多的可能性，從而更容易推動網(wǎng)絡(luò)的革新與發(fā)展，于是OpenFlow 的概念應(yīng)運而生。

2008年第一篇詳細(xì)介紹OpenFlow概念的論文“OpenFlow: EnablingInnovation in Campus Networks”發(fā)表于ACM SIGCOMM ，標(biāo)志著SDN時代的開啟，圖2給出了SDN/OpenFlow的發(fā)展歷程。

?

圖2 SDN/OpenFlow的發(fā)展歷程

關(guān)于SDN的概念及實現(xiàn)方式，目前業(yè)界存在較大爭議，比較主流的還是以O(shè)penFlow為基礎(chǔ)的SDN實現(xiàn)方式，我們通常說的SDN一般是指基于OpenFlow的SDN。

1.3 SDN的現(xiàn)狀
2011年，McKeown 等研究者組織成立了開放式網(wǎng)絡(luò)基金會(Open Networking Foundation，簡稱ONF)，專門負(fù)責(zé)相關(guān)標(biāo)準(zhǔn)的制定和推廣，包括OpenFlow 標(biāo)準(zhǔn)、OpenFlow 配置協(xié)議和SDN 白皮書，這大大推進了OpenFlow 和SDN 的標(biāo)準(zhǔn)化工作，也使其成為了全球開放網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)虛擬化領(lǐng)域的研究熱點。

在學(xué)術(shù)界，美國GENI、Internet2、歐洲OFELIA和日本的JGN2plus先后展開對SDN 的研究和部署。國內(nèi)由清華大學(xué)牽頭，中科院計算所、北郵、東南大學(xué)、北京大學(xué)等單位參與開展了類SDN思想的”未來網(wǎng)絡(luò)體系結(jié)構(gòu)和創(chuàng)新環(huán)境”863項目研究。

在產(chǎn)業(yè)界，以Nicira (已于2012年7月被VMware 收購)和Big Switch為代表的SDN 創(chuàng)業(yè)公司不斷涌現(xiàn)。為了在新技術(shù)上搶占先機與自身市場推廣考慮，Juniper、NEC、HP、IBM 、Cisco等廠商先后發(fā)布了支持OpenFlow 的SDN 硬件產(chǎn)品；NEC、BigSwitch、IBM、Cisco或自主或聯(lián)合開發(fā)SDN控制器；VMware、Juniper、Cisco等廠商發(fā)布了基于SDN的虛擬網(wǎng)絡(luò)解決方案；上述產(chǎn)品目前有些已在SDN 研究領(lǐng)域進行了相關(guān)部署。國內(nèi)的華為、中興、盛科等設(shè)備廠商，移動、聯(lián)通、電信等運營商，也在SDN產(chǎn)品和解決方案研發(fā)上進展迅速。

在標(biāo)準(zhǔn)化方面，除了ONF的標(biāo)準(zhǔn)化工作，IETF（互聯(lián)網(wǎng)工程任務(wù)組）、IRTF（互聯(lián)網(wǎng)研究任務(wù)組）、ITU-T（國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門）、ETSI（歐洲電信標(biāo)準(zhǔn)化協(xié)會）等也已成立相應(yīng)的工作組，圍繞各自領(lǐng)域的SDN應(yīng)用和架構(gòu)展開標(biāo)準(zhǔn)研究和制定工作。

從2011年開始，在新興技術(shù)的市場上，SDN逐漸成為業(yè)界最熱門的焦點之一。在InfoWorld于2011年11月公布的影響未來10年的10項新技術(shù)中， SDN排名第二。經(jīng)過4年的積累和沉淀，可以看出SDN已經(jīng)走出了最初的概念炒作階段，隨著不斷完善發(fā)展，SDN在運營商網(wǎng)絡(luò)、數(shù)據(jù)中心首先商用化的趨勢日益明顯。根據(jù)IDC預(yù)測，2018年，SDN在企業(yè)和云服務(wù)提供商的市場規(guī)模將從2014年的9.6億美元增長到80億美元，年復(fù)合增長率將達89.4%。

2. SDN的關(guān)鍵特性

SDN的核心思想主要體現(xiàn)在三個方面：1）控制平面與轉(zhuǎn)發(fā)平面分離；2）控制平面集中；3）通過在控制平面編程實現(xiàn)對數(shù)據(jù)平面的行為管理。因此，SDN主要呈現(xiàn)出以下幾個特性：

集中的精細(xì)管控

與傳統(tǒng)網(wǎng)絡(luò)相比，SDN控制器可以實現(xiàn)更加集中的網(wǎng)絡(luò)管控，定義的管控策略和行為更為細(xì)粒度。

開放的統(tǒng)一接口

SDN打破了傳統(tǒng)網(wǎng)絡(luò)設(shè)備的封閉性，使得支持統(tǒng)一標(biāo)準(zhǔn)的設(shè)備均可完成網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能，上層應(yīng)用也可更加開放、多樣。

靈活的動態(tài)擴展

由于行為和策略可以在應(yīng)用層進行自定義，因此用戶可以根據(jù)使用需求進行動態(tài)調(diào)整和靈活的擴展。

3. 基于OpenFlow協(xié)議的SDN關(guān)鍵技術(shù)

SDN網(wǎng)絡(luò)的基本元素包括SDN交換機（OpenFlow交換機）和SDN控制器（OpenFlow控制器），它們分別構(gòu)成了SDN網(wǎng)絡(luò)的數(shù)據(jù)平面和控制平面。

3.1 OpenFlow交換機
OpenFlow交換機主要實現(xiàn)數(shù)據(jù)層的轉(zhuǎn)發(fā)，由流表、安全通道和OpenFlow協(xié)議三部分組成，如圖3所示。安全通道是連接OpenFlow交換機到控制器的接口。控制器通過這個接口控制和管理交換機，同時接收來自交換機的事件以及向交換機發(fā)送數(shù)據(jù)包。OpenFlow交換機接收到數(shù)據(jù)包后，首先在本地的流表上查找轉(zhuǎn)發(fā)目標(biāo)端口，如果沒有匹配，則把數(shù)據(jù)包轉(zhuǎn)發(fā)給OpenFlow控制器，由控制器決定轉(zhuǎn)發(fā)端口或丟棄。交換機和控制器間的所有通信信息必須按照OpenFlow協(xié)議規(guī)定的格式來執(zhí)行。

OpenFlow交換機可以分為兩類：專用的OpenFlow交換機和支持OpenFlow的交換機。專用的OpenFlow交換機是專門為支持OpenFlow而設(shè)計的，不支持現(xiàn)有的商用交換機上的正常處理流程，所有經(jīng)過該交換機的數(shù)據(jù)都按照OpenFlow的模式進行轉(zhuǎn)發(fā)；另外專用的OpenFlow交換機不再具有控制邏輯，因此它只是用來在端口間轉(zhuǎn)發(fā)數(shù)據(jù)包的一個簡單的路徑部件。

支持OpenFlow的交換機是在普通商業(yè)交換機的基礎(chǔ)上添加流表、安全通道和OpenFlow協(xié)議而獲得了OpenFlow特性的交換機，既具有常用的商業(yè)交換機的轉(zhuǎn)發(fā)模塊，又具有OpenFlow的轉(zhuǎn)發(fā)邏輯，因此支持OpenFlow的交換機可以采用兩種不同的方式處理接收到的數(shù)據(jù)包。目前主流的OpenFlow交換機都是同時OpenFlow Enabled型的，即同時支持傳統(tǒng)的路由轉(zhuǎn)發(fā)和OpenFlow協(xié)議。目前業(yè)內(nèi)比較有名的OpenFlow交換機國外廠商有NEC、BigSwitch、Pica、Juniper、Dell、Arista等公司，國內(nèi)比較有名的包括盛科網(wǎng)絡(luò)和華為公司。

圖3 專用OpenFlow交換機的構(gòu)成

3.2 OpenFlow控制器
OpenFlow控制器主要具有管理整個網(wǎng)絡(luò)的OpenFlow交換機、流表的下發(fā)、向用戶提供應(yīng)用編程接口等功能。OpenFlow控制器是整個OpenFlow網(wǎng)絡(luò)的大腦，用戶開發(fā)的各種網(wǎng)絡(luò)應(yīng)用程序均運行在控制器上，通過安全通道能夠動態(tài)添加、刪除和更新各交換機上的流表以達到對網(wǎng)絡(luò)行為和功能的動態(tài)控制，這打破了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)固定僵化的局限，為網(wǎng)絡(luò)業(yè)務(wù)的創(chuàng)新和網(wǎng)絡(luò)對新型業(yè)務(wù)的適應(yīng)能力提供了基礎(chǔ)。

控制器是SDN的核心，目前各大廠商一般都有自己的商業(yè)控制器，如NEC的PFC控制器、BigSwitch的Floodlight商業(yè)版本、HP的私有控制器等，除此之外還有以下幾個比較著名的開源SDN控制器，如在AT&T、NTT等SP支持下由非營利性組織ON.lab推出的ONOS，思科、IBM等巨頭聯(lián)合開發(fā)SDN項目OpenDaylight，Nicira的NOX和POX、BigSwitch的Floodlight、NEC的Trema、Stanford的Beacon、Nicira的SNAC、思科、IBM、微軟等公司聯(lián)合開發(fā)的開源控制器OpenDaylight等，表2對幾個主流控制器做了對比分析。

3.3 OpenFlow協(xié)議及自身問題
OpenFlow協(xié)議是描述控制器和交換機之間交互所用信息的標(biāo)準(zhǔn)，協(xié)議的核心部分是用于OpenFlow協(xié)議信息結(jié)構(gòu)的集合。

表3列出了OpenFlow協(xié)議版本的變化，可以看出OpenFlow協(xié)議除了擁有靈活、開放的特點外，其自身也面臨著一些問題。主要包括兩個問題，一個是OpenFlow交換機的流表問題，流表大小的問題可以通過兩個思路解決，一是使用multi-table（OF 1.1 支持），通過pipeline 的流表查找來解決指數(shù)及增長的流表項數(shù)；二是使用Proactive+Reactive的雙重流表建立方法，通過分布查找+動態(tài)加載減少流表項數(shù)（DIFANE）。雖然這兩種方案在一定程度上減輕了流表大小，但還未最終解決該問題。此外，OpenFlow 能否支持大規(guī)模網(wǎng)絡(luò)，還需要進一步研究。

另一個問題是控制器的擴展性問題，OpenFlow集中式的控制平面很容易成為整個網(wǎng)絡(luò)的瓶頸，OpenFlow 1.2版的協(xié)議中提出了對多控制器的支持，但控制器之間缺乏相關(guān)同步。2013年發(fā)布的OpenFlow1.4版本仍然是基于1.3版本的特征改進版本，數(shù)據(jù)轉(zhuǎn)發(fā)層面沒有太大變化，主要是增加了一種流表同步機制，多個流表可以共享相同的匹配字段，而且可以定義不同的動作，為控制器一致性擴展問題提出了一些思路。目前主流的思路是用分布式的控制器集群來分擔(dān)單控制的瓶頸壓力，提供網(wǎng)絡(luò)的性能和可靠性（如ONIX等）。

4. SDN的應(yīng)用場景和發(fā)展方向

4.1 應(yīng)用場景
SDN技術(shù)目前在校園網(wǎng)和數(shù)據(jù)中心互聯(lián)等應(yīng)用中已經(jīng)取得了一些進展.

校園網(wǎng)
在校園中部署 OpenFlow 網(wǎng)絡(luò)，是OpenFlow 設(shè)計之初應(yīng)用較多的場所，它為學(xué)校的科研人員構(gòu)建了一個可以部署網(wǎng)絡(luò)新協(xié)議和新算法的創(chuàng)新平臺，并實現(xiàn)了基本的網(wǎng)絡(luò)管理和安全控制功能。目前已經(jīng)有包括斯坦福大學(xué)、清華大學(xué)在內(nèi)的多所高校部署了OpenFlow 網(wǎng)絡(luò)，并搭建了一些應(yīng)用環(huán)境。

圖4 清華大學(xué)基于OpenFlow的LiveSec網(wǎng)絡(luò)安全系統(tǒng)

數(shù)據(jù)中心互聯(lián)
大型企業(yè)的數(shù)據(jù)中心往往不止一個，為了容災(zāi)備份或其它一些需求，這些分布在異地的數(shù)據(jù)中心通常會租用運營商的VPN專線進行互聯(lián)。由于數(shù)據(jù)中心之間的業(yè)務(wù)流量具有不確定性，為了保證數(shù)據(jù)中心間傳輸?shù)男阅?，企業(yè)通常按照峰值帶寬來租用WAN鏈路，然而由于大部分時間這些WAN鏈路都處于低利用率狀態(tài)，因此造成資源的極大浪費。Google創(chuàng)造性地利用OpenFlow技術(shù)有效的解決了這個問題。

Google的廣域網(wǎng)由兩張骨干網(wǎng)平面組成，即外網(wǎng)和內(nèi)網(wǎng)。外網(wǎng)用于承載用戶流量，稱為I-scale網(wǎng)絡(luò)，而內(nèi)網(wǎng)則用于承載數(shù)據(jù)中心之間的流量，稱為G-scale網(wǎng)絡(luò)，這兩張網(wǎng)絡(luò)的需求差別性很大，流量特性也存在著很大的差別。如今Google已經(jīng)在G-scale網(wǎng)絡(luò)中大規(guī)模的部署了SDN解決方案， Google基于OpenFlow的全球數(shù)據(jù)中心互聯(lián)如圖5所示。

根據(jù)G-scale網(wǎng)絡(luò)的需求和流量特性，Google利用Openflow協(xié)議，自己開發(fā)了網(wǎng)絡(luò)交換機，并基于OpenFlow開發(fā)了開放的路由協(xié)議棧。每個數(shù)據(jù)中心站點部署了多臺交換機設(shè)備，保證可擴展性(高達T比特的帶寬)和高容錯率，站點之間通過多個OpenFlow控制器實現(xiàn)網(wǎng)絡(luò)調(diào)度。在這個廣域網(wǎng)矩陣中，Google建立了一個集中的流量工程模型，可以實時計算和選擇最佳路徑。到2012年初，Google數(shù)據(jù)中心全部骨干連接已經(jīng)都采用這種架構(gòu)，WAN鏈路利用率提升到95%。

圖5 Google基于OpenFlow的全球數(shù)據(jù)中心互聯(lián)

4.2 發(fā)展方向
由于SDN的靈活性、開放性和可編程性，其未來的發(fā)展前景將更加廣闊，目前可以看到的潛在應(yīng)用領(lǐng)域還包括云數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)互聯(lián)、基于SDN的無線通信運營商網(wǎng)絡(luò)、未來互聯(lián)網(wǎng)架構(gòu)等。

云數(shù)據(jù)中心網(wǎng)絡(luò)
隨著云計算模式和數(shù)據(jù)中心的發(fā)展，數(shù)據(jù)中心的數(shù)據(jù)流量驟增，交換機層次的管理結(jié)構(gòu)復(fù)雜，服務(wù)器和虛擬機需要快速配置和數(shù)據(jù)遷移。如果不能在龐大的服務(wù)器機群中進行高效的尋址和數(shù)據(jù)傳輸，很容易造成網(wǎng)絡(luò)擁塞和性能瓶頸。

SDN 控制轉(zhuǎn)發(fā)分離的技術(shù)特點滿足了數(shù)據(jù)中心密集型服務(wù)器需要集中管控的需求，增加了數(shù)據(jù)中心實際配置和操作的靈活性。將OpenFlow交換機部署到數(shù)據(jù)中心網(wǎng)絡(luò)，可以實現(xiàn)高效尋址、優(yōu)化傳輸路徑、負(fù)載均衡等功能，從而進一步提高數(shù)據(jù)交換的效率，增加數(shù)據(jù)中心的可控性。Google 在其數(shù)據(jù)中心全面采用基于OpenFlow 的SDN 技術(shù)，大幅度提高其數(shù)據(jù)中心之間鏈路利用率，起到了很好的示范作用。同時，針對數(shù)據(jù)中心動態(tài)路由、負(fù)載均衡和能量管理等方面的研究也有相關(guān)實例部署，將成為基于OpenFlow 的SDN 技術(shù)近年的研究熱點。

運營商網(wǎng)絡(luò)
運營商架構(gòu)的傳統(tǒng)電信網(wǎng)絡(luò)，有著過度復(fù)雜和封閉的特性，沉淀了大量不必要的功能和性能。這些網(wǎng)絡(luò)由大量單一功能的網(wǎng)絡(luò)節(jié)點和昂貴的硬件設(shè)備構(gòu)成，造成網(wǎng)絡(luò)成本高居不下，業(yè)務(wù)收入增長無力的被動局面。

而SDN的提出很好的解決了上述問題，與此同時，SDN將對運營商的網(wǎng)絡(luò)建設(shè)、組網(wǎng)架構(gòu)和運維模式帶來一定挑戰(zhàn)，特別是對于已經(jīng)構(gòu)建了大量基于硬件控制網(wǎng)絡(luò)的電信運營商而言，SDN既是一個新挑戰(zhàn)，也是一個新機遇，但從封閉的黑盒網(wǎng)絡(luò)走向開放的可編程軟網(wǎng)絡(luò)是整個網(wǎng)絡(luò)發(fā)展的必然趨勢。

目前，美國運營商AT&T和Verizon等均將SDN應(yīng)用于云計算數(shù)據(jù)中心組網(wǎng)。德國電信、法國電信、意大利電信等運營商也開始開發(fā)和部署SDN技術(shù)。我國的電信運營商也紛紛投入大量的資源建設(shè)大型數(shù)據(jù)中心，與設(shè)備廠商開展合作，對SDN和相關(guān)技術(shù)進行實驗研究，后續(xù)還將根據(jù)技術(shù)和設(shè)備成熟情況開展測試和部署工作。據(jù)了解，中國移動在南方基地建造了眾多數(shù)據(jù)中心，計劃今年底就實際引入SDN進行現(xiàn)網(wǎng)部署。中國電信也以國家項目為基礎(chǔ)，在數(shù)據(jù)中心、城域網(wǎng)控制面進行設(shè)備和組網(wǎng)方案驗證。

未來互聯(lián)網(wǎng)
當(dāng)前，傳統(tǒng)互聯(lián)網(wǎng)的網(wǎng)絡(luò)設(shè)備使用著封閉、專有的內(nèi)部接口，運行著大量的分布式協(xié)議。在這種復(fù)雜的網(wǎng)絡(luò)環(huán)境中，封閉的網(wǎng)絡(luò)設(shè)備使網(wǎng)絡(luò)面臨著諸多問題與挑戰(zhàn)，如安全性、健壯性、可管理性及移動性等，而且由于網(wǎng)絡(luò)管理需要大量的人工配置、設(shè)備兼容等問題，網(wǎng)絡(luò)維護成本一直居高不下。

由于傳統(tǒng)IP網(wǎng)絡(luò)基礎(chǔ)設(shè)施的大量部署，未來互聯(lián)網(wǎng)不可能一夜之間廢棄傳統(tǒng)基于IPv4的互聯(lián)網(wǎng)，而SDN的虛擬化功能則正好滿足這一點。利用SDN的虛擬化技術(shù)，實現(xiàn)了傳統(tǒng)業(yè)務(wù)流量與實驗流量的隔離；同時，SDN提供的編程能力為研究人員提供了極大的便利，研究人員能夠基于開放接口，研究和開發(fā)新型的互聯(lián)網(wǎng)架構(gòu)和相關(guān)關(guān)鍵技術(shù)。

目前，美國的GENI計劃已經(jīng)基于OpenFlow技術(shù)構(gòu)建了一套針對未來互聯(lián)網(wǎng)創(chuàng)新和研究的實驗網(wǎng)絡(luò)。國內(nèi)中科院計算機網(wǎng)絡(luò)信息中心目前也已經(jīng)開展了相關(guān)的工作，擬在中科院系統(tǒng)內(nèi)部搭建一套基于OpenFlow的實驗網(wǎng)，為中科院系統(tǒng)的科學(xué)研究工作提供支撐。

5. SDN及安全思考

在網(wǎng)絡(luò)領(lǐng)域，SDN思想和OpenFlow技術(shù)解決了下述一些問題：

靈活的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)虛擬化
L2和L3的 VPN 不再需要完全取決于 MAC 和 IP 地址，而是可以基于任何包頭字段進行VPN的劃分，具有極大的靈活性。

動態(tài)靈活的網(wǎng)絡(luò)負(fù)載均衡
OpenFlow 維護統(tǒng)計數(shù)據(jù)作為其實施的組成部分，這允許動態(tài)、快速地平衡網(wǎng)絡(luò)流量，OpenFlow 交換機可以動態(tài)地監(jiān)視流量并根據(jù)需要平衡和引導(dǎo)負(fù)載。

二三層環(huán)路問題
由于避免了分布式的動態(tài)路由協(xié)議和MAC學(xué)習(xí)，可以根本上解決二三層環(huán)路問題，而且能夠利用冗余鏈路提供路徑備份和帶寬擴展。

路徑最優(yōu)化
由于控制平面具有全網(wǎng)的全局視圖，因此能夠提供最優(yōu)化的路徑?jīng)Q策。

帶寬動態(tài)分配
允許針對特殊、短期的網(wǎng)絡(luò)活動安排帶寬，然后自動重新分配或回收。

安全問題是網(wǎng)絡(luò)技術(shù)研究的一個永恒課題，SDN網(wǎng)絡(luò)的安全也不例外。我們將SDN與安全之間的關(guān)系概括為三個層次，如圖6所示：

SDN自身的安全性問題，即Security of SDN
Security of SDN是指SDN交換機的安全性、SDN控制器的安全性以及SDN控制器上運行的各種網(wǎng)絡(luò)應(yīng)用模塊的安全性等。

用SDN技術(shù)來實現(xiàn)安全服務(wù)，即Security to SDN
Security to SDN是指用SDN技術(shù)來實現(xiàn)安全服務(wù)功能的推送。利用SDN靈活的流量控制與路由選擇機制，實現(xiàn)安全業(yè)務(wù)的動態(tài)和靈活推送，通過在控制器平臺上實現(xiàn)安全應(yīng)用，來為用戶提供相應(yīng)的安全服務(wù)。

用SDN技術(shù)來解決現(xiàn)網(wǎng)中的安全問題，即Security by SDN
Security by SDN是指利用SDN的一些技術(shù)特點來解決或簡化現(xiàn)網(wǎng)中傳統(tǒng)安全解決方案的實現(xiàn)。一個典型的例子是在網(wǎng)絡(luò)入口利用SDN進行簡單的流分類，由于SDN是基于硬件的流轉(zhuǎn)發(fā)，因此可以達到線速流分類，相比之下，性能優(yōu)于傳統(tǒng)的DPI設(shè)備。另外，還可以在網(wǎng)絡(luò)中的一些骨干節(jié)點上部署SDN，實現(xiàn)業(yè)務(wù)流量的重定向，能夠提供安全服務(wù)設(shè)備的靈活部署。

圖6 SDN與安全三層關(guān)系圖示

由于SDN網(wǎng)絡(luò)尚未大面積部署，SDN安全的方向現(xiàn)階段主要集中在用SDN技術(shù)來解決現(xiàn)網(wǎng)中的安全問題和用SDN技術(shù)來實現(xiàn)安全服務(wù)，對于SDN網(wǎng)絡(luò)自身的安全問題研究也會隨著SDN網(wǎng)絡(luò)的普及和應(yīng)用而深入展開。