- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
数据报文在网络中传递时,需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。当网络流量按照业务逻辑所要求的既定顺序,经过这些安全业务节点(主要指安全设备如防火墙、负载均衡、第三方安全设备等),这条访问路径就称为服务链(Service Chain),服务链可以理解为一种业务形式。
随着Overlay网络的发展,虚拟网络和物理网络得以分离,安全业务基于Overlay虚拟网络来引流变得更加灵活;而借由SDN和NFV(Network Functions Virtualization,网络功能虚拟化)技术的优势,服务链得以长足发展。NFV技术提供安全业务点,SDN技术通过Overlay网络将数据报文引流至各个安全业务点。通过多跳服务链这样的形式,给数据中心网络提供必要的安全业务处理能力。
H3C VCF控制器的强控组网下,控制器可以通过向接入节点下发服务链流表实现对虚拟网络流量的业务报文重定向。弱控组网(EVPN接入组网)下,接入节点不再根据流表进行导流,无法像强控一样通过流表实现服务链功能,但是在业务网络中需要对东西向流量进行访问控制,因此需要引进新的导流方式——策略路由(PBR)导流。
H3C VCF控制器根据服务节点位置以及业务安全需要,自动下发PBR配置完成对网络流量的业务报文重定向,从而实现EVPN组网下的服务链功能。按特定策略进行流分类后的报文,按照一定顺序经过一组服务节点,完成对应业务功能处理。
GBP(Group-Based Policy,基于组的安全策略)是Cisco主导的一个OpenStack的API框架,它提供了一个意向性的驱动模型,目的是以独立于底层基础架构的方式描述应用需求,它引入了组的概念和策略模型来提供组间的连通性控制、安全性和网络服务,可以定义包含4-7层网络服务的服务链。
图1 GBP框架模型
其中各组成部件的含义如下:
Group:具有相同属性的端点形成组,是GBP的基本原语;
Policy Rule:策略规则。由Classifier和Action组成;
Classifier:过滤网络流量的方式,即:对流进行分类;
Action:当某规则被匹配时要执行的操作。Action可包含allow、delay、copy和service-chain等动作,如果选择service-chain,可按顺序插入(编排)服务节点。其最基本的action是“重定向到服务链”;
Policy RuleSet:策略规则组成的规则集。
用于创建服务链的GBP用户工作流可以分为三个步骤:
1. 定义服务链(单个网络服务的组成)
2. 创建将匹配分类器的流量重定向到服务链的策略
3. 将此策略与正在通信的端点组相关联
而H3C SDN服务链框架采用服务插入方式实现,具有良好的适配性,对于GBP模型来说,更是有良好的对应关系:
GBP | H3C SDN服务链 |
Target构成Group | 流量特征组 |
Classifier | 服务链定义 |
Action | 进入服务链(安全服务节点) |
由此可见,H3C SDN服务链完全可以与GBP进行适配,H3C SDN服务链方式可以看做是GBP的一种最简实现。
基于SDN Overlay的服务链,需要有对应的字段来标识数据报文中服务链的特征,每条Chain都有自己的标识,数据包需要携带这些特征,例如:数据包应该走哪一条服务链,服务链有几跳等等。
目前H3C EVPN服务链使用的标记如下:
Path-id xxx:表示流量方向,1为正向,8388609为反向。
Path-index xxx:表示服务节点的跳数,保证不会形成环路。
对于数据报文中这些特征的标识方式有两种:
扩展VXLAN报文头方式:通过扩展VXLAN报文头,包含服务链特征信息。再通过PBR进行服务链引流。其报文格式如图2所示,VXLAN头的第2-4字节原本为保留字段,将其填充做为Service Path ID,记录服务链编号,用于唯一确定一条服务链。这种方式基于标准VXLAN协议实现,对硬件网络设备无依赖,仅需要更新支持VXLAN设备的软件即可,是H3C目前服务链的主要实现方式。
图2 VXLAN头格式
NSH方式:针对服务链构建NSH报文头和NSH转发表。通过NSH转发表进行服务链引流。其报文格式如图3所示,NSH对VXLAN报文进行了扩展,可以携带更多的业务信息,完成更复杂的业务处理;且扩展性更强,可以支持携带多个业务上下文信息;并且其带有Protocol Type字段,因此可以承载二层报文和三层报文,较为灵活。但NSH对标准VXLAN封装做了进一步的扩展,要求硬件网络设备的芯片升级支持,后续会考虑推出NSH方式的服务链。
图3 NSH封装格式
SDN服务链基于网络的核心控制部件SDN控制器来进行部署。SDN控制器根据租户需求来定义、创建服务链,并部署服务链上每个节点的业务逻辑。SDN控制器将需要进入服务链处理的用户报文特征下发到VTEP设备,由VTEP设备根据相应报文特征将数据引入服务链。
SDN服务链一般具有如下角色:
流分类节点:原始数据报文的接入节点。按照定义的流分类规则匹配数据报文,以确定报文是否需要进入服务链:如果需要进入服务链,则将报文做VXLAN+服务链ID的封装,并将其转发到服务链中进行处理。在服务链标准组网中,代理转发节点就是Server-Leaf,在EVPN组网中主要指硬件接入交换机。
服务节点:作为安全资源被分配使用的安全设备。它的物理位置可以是任意的、分散的,通过SDN控制器对服务链的定义和引流串联,完成预定义工作。服务节点可以是防火墙(Firewalls)、负载均衡器(LoadBalance)、入侵检测( Intrusion PreventionSystem)等资源或资源池。在服务链标准组网中,建议服务节点接入Service-Leaf(代理转发节点)。
代理转发节点:对于不支持服务链封装的服务节点,需要通过代理节点剥离服务链封装,将业务策略信息转换成VLAN等,转交给服务节点处理。在EVPN服务链标准组网中,报文统一都是在代理转发节点上完成VXLAN和服务链标签的封装/解封装,代理转发节点也被称为Service-Leaf。
控制平面:负责管理服务链域内的设备以及创建服务链,并将服务节点的配置定义下发到相关节点上。在SDN网络中,一般通过SDN控制器(VCFC或SeerEngine)来实现。
EVPN服务链的整体方案模型如图4,云平台联动SDN控制器完成服务网络和服务链引流的部署。
图4 服务链的整体方案模型
目前主要有三类设备可以作为服务节点:
硬件安全设备做服务节点:即硬件服务链方案,配合H3C的防火墙设备和负载均衡设备,完成引流以及服务策略的自动下发。
NFV设备做服务节点:即软件服务链方案,控制器上需要加载VNF-Manager APP,同时需要配合CloudOS云平台和CAS虚拟化平台来创建VFW/VLB的虚拟网元,担当服务节点提供安全业务处理能力。
第三方硬件安全设备做服务节点:即第三方服务链方案,可以为用户提供多样化的选择。对于不受H3C纳管的第三方安全设备,包括第三方品牌的FW、LB、以及IP部署的IPS/WAF等,可以接入Service-Leaf,通过服务链配置界面将流量引致第三方安全设备,实现针对第三方安全设备的服务链引流,但不做安全配置的下发。
SDN数据中心网络中,网络流量一般分为东西向流量和南北向流量两种,东西向安全用于数据中心内部,租户同vRouter内不同子网间以及同租户不同vRouter间互访的安全防护。南北向安全用于数据中心内与外网之间的安全防护。
服务链最常见的组网是用于东西向的流量防护,如图5所示,两台Server-Leaf下挂业务服务器或虚机,作为业务节点的接入设备;Service-Leaf下挂安全资源池,作为服务节点的代理转发设备。服务链能够支持以虚拟端口、虚拟子网、虚拟网络、虚拟路由器作为流量特征对用户报文进行流分类。EVPN服务链主要是在业务网关的VSI接口下发PBR引流,因此东西向的流量必须先到网关才能匹配PBR,主要适用于同VPC不同子网之间的流量防护;以及同租户不同VPC之间的流量防护。另外,同租户不同VPC默认是通过VPN进行隔离的,在配置了东西向服务链后,可以通过PBR的引流配置打通两个VPC的流量。具体实现是在Server-Leaf上通过ACL匹配流量,把VPC1的流量先送到服务节点所在VRF中,在Service-Leaf上通过ACL匹配,再把流量送到VPC2所在的VRF中。
图5 东西向服务链流量模型
当Border上未旁挂或串接安全设备,同时需要对南北向流量进行安全防护时,可以使用挂接在Service-Leaf下的安全资源池配置南北向服务链对南北向流量提供安全防护,即南北向服务链+直通外网模型,具体流量模型如图6所示。配置南北向服务链配置特征组时,源选择业务网段,目的选择外部网络。南北向服务链场景下,除了Server-Leaf作为流分类节点针对特定的流下发PBR策略,打上对应的服务链的标签,并指定下一跳为选择的安全节点外;Border也要作为流分类节点针对特定的流下发PBR策略,打上对应的服务链的标签,并重定向到指定的安全节点。Service-Leaf识别服务链标签,将报文转发给服务节点处理。
图6 南北向服务链流量模型
最后一种组网用于对安全防护要求比较高的场景,Border上已经部署安全纳管,同时还需要将南北向流量通过PBR引至安全资源池(一般是配合第三方安全资源池实现),即南北向服务链+安全纳管模型,具体流量走向如图7所示。
图7 南北向服务链+安全纳管流量模型
EVPN服务链方案中,SDN控制器作为网络资源池的控制点,它控制了虚拟化网络,并且通过对虚拟网络进行抽象和编排,实现服务链特征定义。流分类节点和服务节点上的转发策略都由SDN控制器下发。
原始报文通过Server-Leaf接入SDN网络,并由Server-Leaf进行流分类,以判断报文是否需要进入服务链。如果需要进入服务链,通过在主机上线的Server-Leaf上针对特定的流下发PBR策略,打上对应的服务链的标签,并重定向到指定的第一个服务节点(安全设备)。
Service-Leaf识别服务链标签,将报文转发给服务节点处理。
服务节点完成对报文的处理后,将处理后的报文转发给Service-Leaf。
如果此服务节点指定的服务链还有下一个服务节点,则对此服务节点返回进入Leaf的流量再次做PBR重定向到下一个服务节点。以此类推直至尾服务节点,尾节点进来的流量可以直接查路由转发不再需要走服务链PBR。
下面就以东西向多跳服务链为例介绍其转发流程,如图8所示。
图8 服务链流量转发流程
报文转发流程如下:
1. VM1 VLAN报文到网关,Server-Leaf 1入端口做分流;
2. 分流之后匹配PBR,做服务链标记,封装VXLAN,送到Service-Leaf2;
3. Service-Leaf2入口匹配服务链标记,并在此匹配普通PBR(不带服务链标记),送到FW1;
4. FW1上匹配默认路由,保证流量回到Service-Leaf 2(如果第三方设备,该默认路由需要手工配置);
5. 在Service-Leaf 2入端口匹配PBR,更新Path-index,封装VXLAN,送到Service-Leaf3;
6. Service-Leaf 3入口匹配服务链标记,并匹配普通PBR(不带Path-ID),送到FW2;
7. FW2上匹配默认路由,保证流量回到Service-Leaf 3(如果第三方设备,该默认路由需要手工配置);
8. Service-Leaf 3上直接查找VM2的路由,只封装VXLAN,送到Server-Leaf 4;
9. Server-Leaf 4解封VXLAN,VLAN报文送到VM2;
10. 回程流量与上述过程基本一致。
服务链方案支持部署多种安全资源池,也可以支持多跳安全,给数据中心的业务安全部署带来了极大的便利,但每一个服务链节点都是一个潜在的故障点;另外出于运维需求,当服务链流量不通时,为了方便排查出问题服务节点,可以指定服务节点进入旁路模式。当服务节点被设置为Bypass(旁路)状态时,服务链引流配置(ACL、PBR配置)将忽略此节点,但对于纳管节点其上的业务配置将会照常下发,如FW的策略和LB上的虚服务等。
图9 服务链旁路模式
以图9为例,源特征组的流量分别经过vFW和vLB两个服务节点后到达目的特征组,若防火墙节点进入旁路模式,则控制器会将Server-Leaf上PBR的下一跳由vFW上的租户承载地址修改为vLB上的租户承载网地址,保证流量不经过vFW节点直接送至vLB节点。
若负载均衡节点进入旁路模式,首先Server-Leaf上匹配PBR的流量类型发生变化,ACL规则由匹配目的地址为负载均衡虚IP修改为匹配源地址为源特征组的网段IP,此外流量经过vFW回到Service-Leaf后,不再将流量通过PBR送往vLB节点。
EVPN服务链方案基于Overlay网络实现,能够做到控制平面与转发平面分离,物理网络与逻辑网络分离,对数据中心的安全设备进行资源池化,实现安全能力的无缝扩张和多业务共享。同时,基于SDN控制器的配置,SDN网络可以动态地添加或者删除服务链上的服务节点,解耦了网络设备之间的关联,打破了物理拓扑的限制。基于租户粒度进行服务链部署,使得租户业务可以灵活编排和修改,而不会影响物理拓扑以及其他租户。同时,EVPN服务链简化了安全产品的能力,安全产品不需要支持VXLAN能力,可以兼容NFV/硬件、第三方形态的安全设备,为用户提供了多样化选择。
反馈。
支持
售前咨询
售后咨询
人工在线咨询
