- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-服务链配置
本章节下载: 01-服务链配置 (250.56 KB)
服务链(Service Chain)是一种引导网络业务报文按次序通过服务节点(Service Node)的转发技术。服务链基于Overlay技术,结合SDN集中控制理论,可以通过VCFC(VCF Controller)进行全局配置。
服务链具有如下特点:
· 实现租户逻辑组网与物理组网的解耦以及控制平面和网络转发平面的分离。
· 实现业务资源池化,可以根据租户网络需求进行分配、部署,与业务资源物理位置解耦,突破物理拓扑的限制,为每个租户提供个性化的业务。
· 实现NFV(Network Function Virtualisation,网络功能虚拟化)资源池的动态创建和自动化部署。
· 实现租户的业务灵活的编排、修改,而不影响物理拓扑和其他租户。
如图1-1所示,介绍了服务链的主要组成部分。
服务链主要包括如下几个部分:
(1) 接入点
根据引流规则决定报文是否进入服务链,对于进入服务链的报文进行服务链封装。
(2) 服务节点
服务节点是网络中处理某种业务的设备,可以是物理设备,也可以是NFV设备。一条服务链可以配置一个服务节点,该服务节点根据服务列表中配置的服务类型对报文进行处理。。
进入服务链的正向报文按照服务节点的编号从小到大依次执行,反向报文按照服务节点的编号从大到小依次执行。
(3) 尾节点
删除服务链封装,根据用户报文的目的IP地址直接转发。尾节点为服务链的最后一个服务节点。
(4) 服务列表
服务列表指定了服务节点对报文进行处理的服务类型。服务列表可以配置一种或多种服务。目前,可以配置的服务类型包括ACG服务、DPI服务、FW服务、IPS服务、IPsec服务、LB服务和NAT服务。服务列表最多可以配置7种服务类型。
服务链报文使用了VXLAN报文头中的保留字段,如下图所示:
图1-2 服务链报文封装示意图
服务链报文对VXLAN头中的保留字段做了如下修改:
· 标记位:“S”位为1时,表示VXLAN头中的Service Chain字段有效;为0,表示Service Chain字段无效。
· Service Chain:长度为24比特,由方向标记位D和Service Path ID两部分组成。“D”位为0时,表示正向报文;为1时,表示反向报文。Service Path ID长度为23比特,用来标识一个服务链。
VCF控制器可以基于不同的租户应用,通过OpenFlow灵活下发策略,确定Overlay网络中的VXLAN报文是否进入服务链处理,并确保报文在服务链内各个节点间传递。
服务链对于报文的具体处理方式为:
· 设备对VXLAN报文进行解封装,如果VXLAN报文中携带的Service ID字段匹配上服务链编号,则进入服务链处理,各服务节点严格按照服务列表的配置顺序执行各项服务。
¡ 服务节点完成服务列表中的各项服务的处理后,如果配置了下一跳地址,则报文被重新封装为VXLAN报文,并加上新的服务链编号转发给下一个服务节点处理。
¡ 如果没有配置下一跳地址,则该服务节点作为服务链的尾节点,将报文进行三层转发。
· 如果VXLAN报文中携带的Service ID字段没有匹配上服务链编号,则按照VXLAN报文进行转发。
图1-3 服务链工作原理图
服务链可以通过VCF控制器和命令行两种方式进行配置,建议采用VCF控制器通过NETCONF下发配置的方式。本手册仅介绍命令行的配置方式,通过VCF控制器的配置方式,请参见相关产品配套的手册。
配置服务链时,建议首先根据组网情况确定服务链的接入点、服务节点及尾节点。接入点的配置只能通过VCF控制器下发策略,本手册不做详细介绍,具体请参见VCF控制器配套的手册。关于服务节点和尾节点的配置思路如下:
(1) 创建服务链,并指定正向报文的下一个服务节点及反向报文的下一个服务节点。需要注意的是:
· 如果设备作为服务链的首个服务节点,则仅需要为其指定正向报文的下一个服务节点即可,不需要指定反向报文的下一个服务节点。
· 如果设备作为服务链的尾节点,则仅需要为反向报文指定下一个服务节点即可,不需要为正向报文指定下一个服务节点。
(2) 创建服务节点并配置服务节点处理的业务类型。
对于存在反向报文(例如Ping报文等)的功能,即目的端设备接收到报文后需要向发送端发送应答报文,需要使用previous-service-node命令为反向报文指定下一个服务节点的IP地址。
表1-1 配置服务链
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
创建并进入服务链视图 |
service-chain path path-id |
缺省情况下,未配置服务链 |
|
指定正向报文下一个服务节点的IP地址 |
next-service-node ip-address |
缺省情况下,未指定正向报文下一个服务节点的IP地址 如果不配置该命令,则作为服务链尾节点 |
|
指定反向报文下一个服务节点的IP地址 |
previous-service-node ip-address |
缺省情况下,未指定反向报文下一个服务节点的IP地址 |
|
创建并进入服务节点视图 |
service function function-id |
缺省情况下,未配置服务节点 |
|
配置服务列表 |
service list |
缺省情况下,服务节点上未配置服务列表 |
在任意视图下执行display命令可以显示服务链的配置信息。
表1-2 服务链显示和维护
|
显示服务链信息 |
display service-chain path { path-id | all } |
VSR设备当前仅支持FW服务,IPS和LB服务暂不支持。
如下图所示,管理员通过配置服务链功能,实现VM 1与VM 2间的报文,先进行防火墙和IPS的处理,然后进行LB业务处理。
图1-4 服务链配置举例组网图
请配置设备的IP地址及路由,确保网络互通,具体配置步骤略。
(1) Device A和Device C的配置
在VCF控制器通过OpenFlow为Device A和Device C下发引流规则,使VM 1与VM 2间的VXLAN报文增加编号为1的服务链编号。
(2) Device B的配置
# 创建并进入服务链视图。
<DeviceB> system-view
[DeviceB] service-chain path 1
# 指定报文下一跳地址。
[DeviceB-spath1] next-service-node 13.1.1.1
# 指定反向报文的下一跳地址。
[DeviceB-spath1] previous-service-node 12.1.1.1
# 创建并配置服务节点1。
[DeviceB-spath1] service function 1
# 配置服务节点的服务列表。
[DeviceB-spath1-func1] service list fw ips
(3) Device D的配置
# 创建并进入服务链视图。
<DeviceD> system-view
[DeviceD] service-chain path 1
# 指定反向报文的下一跳地址。
[DeviceD-spath1] previous-service-node 13.1.1.2
# 创建并配置服务节点1。
[DeviceD-spath1] service function 1
# 配置服务节点的服务列表。
[DeviceD-spath1-func1] service list lb
VM 1发往VM 2的报文进入编号为1的服务链进行处理,依次进行FW、IPS和LB业务的处理。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
