SDN的两个场景（2 cases）

案例一：使用传统交换机的case

该网络要连接他们客户的多个站点，从一个站点到另一个站点要经过别的运营商网络。经过运营商网络之前，需要在报文二层头加一个所经过的运营商分配给他们一个svlan（源交换机完成，依据报文的目的Mac地址打上不同的svlan）。添加svlan不能是基于端口的，因为同一端口出来的可能到达不同的站点，所以要根据mac地址（因为是一个大的二层网络）来分配svlan。

一般交换机是根据源mac，源ip，源端口来分配vlan的，根据这些来加svlan是有理论依据的，但是根据目的mac来加vlan许多交换机不支持。（本案例中原本使用的是E330交换机）

那么、、、问题来了，如果说可以让我们的交换机足够灵活，用户可以基于任何字段来加vlan就好了。

那么、、、如果该案例中使用的是V330 openflow交换机又会如何呢？答案是——小菜一碟啦啦啦！

V330的设计并没有考虑这个功能，也没考虑IEEE定的什么vlan classification的功能，可以说没有考虑任何特定的网络功能。虽然没考虑功能，但是因为根据Openflow的定义，交换机可以根据目的Mac或者源Mac或任何字段来进行匹配，一旦成功就可以做进行加vlan的action。

So，这说明了传统交换机灵活性不够，而SDN交换机可以通过用户软件变成来灵活满足不同客户的需要。

案例二：使用OpenFlow交换机的案例

背景：数据中心服务提供商。多个数据中心通过内部线路互联在一起。有一个总的internet入口。现在使用Openflow加还击来防止DDoS攻击。在整个数据中心的入口路由器和每个子数据中心的入口路由器上挂了一个OpenFlow交换机作为旁路设备。下面隆重介绍具体方法（(☆_☆)/~~）：

• 当入侵分析检测服务器(数据中心入口路由器通过NetFlow将部分报文发送到检测服务器进行检测）检测到某些流是DDoS攻击流之后，就通过controller去配置路由器的BGP协议。让它把所有发给受害者设备的报文都发给OpenFlow交换机。
• 同事，配置OpenFlow交换机，在OpenFlow交换机中上将所有发过来的报文，根据源IP+目的IP甚至还有四层的端口号来匹配，将攻击报文丢弃。非攻击报文的目的IP更改并发回原路由器（改IP是为了防止报文被再次送回，防止回路）
• 当路由器要把这个报文转发到目标网络的边界路由器时，便捷路由器根据这个特意修改过的目的IP把报文送到OpenFlow交换机，OpenFlow交换机将报文的目的IP重新还原后再送回到其直连的边界路由器。边界路由器再把它送到最终的目的地址。

传统的防止DDoS攻击的方法：

在数据中心入口设备上，通过Netflow将数据流的一些统计数据和特征数据送到一个远程服务器进行分析，检测到某些报文属于DDoS攻击报文，然后将报文的特征告知数据中心入口设备。设备通过BGP协议将所有发往受害者的设备的报文都映射到一条黑洞路由。导致这些报文都被丢弃。通过这种方式来缓解攻击造成的影响。缺点：被攻击的这段时间，所有发往被攻击设备的报文都会被丢掉，不管是非法还是合法。这是一种纯粹基于目的IP的方案。采用了SDN以后我们不把所有报文丢弃，而是送到一个数据清洗设备。丢掉非法报文，把合法报文送回去。这种方案是基于目的IP+源IP的方案。

为何不采用配置普通交换机ACL（Access Control List）的方式配置，而要使用OpenFlow交换机

ACL不仅效率低，而且是人工配置的。大型网络中存在许多商家，他们的命令都是不同的。

另外，使用ACL时，把数据清洗掉再送回BGP router的时候，因为目的IP没有改，BGP router还会把他送回到清洗设备，构成环路：bgp router——cleaner——bgp router——cleaner。。。关键是：OpenFlow交换机能改目的IP.而传统交换机不能。

现在有的成熟的方案例如：arbor network‘s peakflow价格非常昂贵。

本方案中使用SDN交换机最大的亮点：有通用的编程接口，入侵检测应用程序检测到攻击之后只需通知controller通过通用接口去配置OpenFlow交换机，下发静态流就可以了。并且，不需要对现有设备做任何改动。