• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C VCFC数据中心服务链技术白皮书

Copyright © 2020 新华三技术有限公司 版权所有,保留一切权利。

非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。

除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。

本文档中的信息可能变动,恕不另行通知。



概述

1.1  传统网络中的业务功能

数据报文在网络中传递时,往往需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。这些业务节点(Service Node)包括熟知的防火墙(FireWalls)、入侵检测(Intrusion Prevention System)、负载均衡(Load Balancing)等。通常,网络流量需要按照业务逻辑所要求的既定顺序穿过这些业务点,才能实现所需要的安全业务。

但是,传统安全业务的部署,通常都是基于物理拓扑,通过手工配置多种策略,将安全设备串行到业务流量路径当中。这种部署和运维的模式存在诸多问题:

·              网络设备之间的耦合性大,拓扑依赖严重。新业务上线、扩容或业务发生变更时,需要手工调整整个转发路径下设备的策略,无法满足业务快速迭代、变更的需求。

·              数据包在业务路径中转发时,往往要经过多次分类,即多次解包、封包的过程,效率低下。

·              在逐渐普及的Overlay虚拟化组网中,网络设备需要越过新增的Overlay报文头对内层报文进行检测,检测方法匮乏,性能损耗也更加严重。

·              安全设备无法池化,扩展性差,一旦出现性能不足,通常只能更换更高端的设备。

·              安全设备的能力无法在多业务间共享。

在新的网络架构下,如何利用新的技术将安全业务更好的融合进来,从而提供便捷、安全的网络架构,是各方面临的难题。

1.2  SDN服务链

随着Overlay网络的发展,虚拟网络和物理网络得以分离,虚拟网络承载于物理网络之上,更加抽象;而SDN技术和NFVNetwork Functions Virtualization,网络功能虚拟化)技术的不断发展,也让数据中心的网络控制变得更加灵活,更具有扩展性。

SDN Overlay数据中心中,同样需要网络服务节点提供必要的安全业务处理能力SDN以其控制和转发分离的特性,基于对基础网络的虚拟化和逻辑抽象,通过网络的集中控制部件——SDN控制器的控制,可以引导流量自动穿过服务节点,实现拓扑无关的、灵活、便捷、高效、安全地调配流量到服务节点,完成安全业务的处理,从而形成SDN定义的Overlay虚拟网络中的服务链(Service Function Chaining)。

SDN Overlay网络中,服务链可以理解为一种基于应用的业务形式。


SDN服务链技术

2.1  报文中服务链特征的封装格式

基于SDN Overlay的服务链,需要有对应的字段来标识数据报文中服务链的特征,每条Chain都有自己的标识,数据包需要携带这些特征,例如:数据包应该走哪一条服务链,服务链有几跳等等。

目前,对于数据报文中这些特征的标识,有如下两种方式:

·              扩展VXLAN头中保留字段的方式

·              NSH方式

2.1.1  扩展VXLAN头中保留字段的方式

充分利用现有成熟的支持VXLAN报文的芯片,扩充其8 BytesVXLAN头。H3C SDN服务链对VXLAN报文的扩展如1所示。

图1 SDN服务链对VXLAN报文的扩展

 

扩展方式为,从VXLAN保留字段中:

·              使用3 Bytes作为Service Path ID,记录服务链编号,用于唯一确定一个服务链。

·              使用1Byte作为Order counter,当一个服务链多次进入一个主机下的不同服务点时,可以通过匹配Order counter确定是第几次进入该服务节点。

这种方式对硬件网络设备无依赖,仅需网络设备支持VXLAN即可,简单易行,且能满足绝大多数服务链定义的需求。但是由于没有标准推广,存在一定的技术壁垒。

2.1.2  NSH方式

NSHNetwork Service Header,网络服务头)是专门为服务链设计的封装格式,并且在OpenDaylightSFC项目中采用。其封装格式如2所示。

图2 NSH封装格式

 

从上图可以看到,NSHVXLAN报文又进行了扩展,可以携带更多的业务信息,完成更加复杂的业务处理;扩展性较强,可以支持携带多个业务上下文信息;并且其带有Protocol Type字段,因此可以承载二层用户报文、三层用户报文,较为灵活。

NSH可以承载于VXLANGRE等多种Overlay封装中。

但是,由于对标准VXLAN封装又进一步扩展,所以需要硬件网络设备的芯片支持这种扩展,而新型芯片推出和扩展并非易事,需要推动芯片相关的整个产业链的认同和真正的实际需求,才有可能大规模的生产,从而降低芯片乃至整个网络架构的成本。短期看,支持NSH的芯片尚无法大规模投产应用。

在当前形势下,H3C SDN服务链缺省使用扩展VXLAN头中保留字段的方式。

2.2  H3C SDN服务链

2.2.1  概念介绍

H3C SDN服务链,基于网络的核心控制部件SDN控制器——H3C SeerEngine-DC进行部署。SeerEngine -DC根据租户需求,定义、创建服务链,并部署服务链上每个节点的业务逻辑。SeerEngine -DC将需要进入服务链处理的用户报文特征下发到接入设备(VTEP设备),VTEP设备根据相应的报文特征将数据报文引入服务链。

H3C SDN服务链中具有如下角色:

·              流分类节点:原始数据报文的接入节点。按照定义的流分类规则匹配数据报文,对报文做服务链的Overlay封装,并将其转发到服务节点中处理。

·              代理节点:对于服务节点,需要通过代理节点剥离服务链封装,再转交给服务节点处理。

·              服务节点:服务节点作为资源被分配使用,它的物理位置可以是任意的、分散的,通过SDN对服务链的定义和引流串联,完成预定义的工作。服务节点可以是防火墙(FireWalls)、负载均衡(LoadBalance)、入侵检测(Intrusion Prevention System)等资源/资源池。

·              控制平面:负责管理服务链域内的设备以及创建服务链,并将服务节点的配置定义下发到相关节点上。在H3C SDN网络中,通过VCFC-DC实现。

2.2.2  转发流程

图3 服务链典型示意图

 

3中报文转发说明如下:

·              1,3,4,6,7,9Native以太报文,IP(src)---->IP(dst)

·              2 VXLAN+业务链报文,外层: IP(VTEP1)----> IP(VTEP2)

·              5 VXLAN+业务链报文,外层: IP(VTEP2)----> IP(VTEP3)

·              8 VXLAN+业务链报文,外层: IP(VTEP3)----> IP(VTEP4)

3中各角色及其对报文的处理方式如下:

·              服务链流分类节点(VTEP1):原始报文通过VTEP1接入VXLAN网络,并直接进行流分类以确定报文是否需要进入服务链。如果需要进入服务链,则为报文进行VXLAN和服务链ID封装,并转发到服务链首节点所在流分类节点进行处理。

·              服务链流分类节点(VTEP2):VXLAN报文进行流分类以确定报文是否需要进入服务链。如果需要进入服务链,则去掉VXLAN和服务链ID封装,并转发到服务链首节点进行处理。

·              服务链首节点(SF1):服务链中对报文进行处理的首个服务节点。首节点对数据报文进行服务处理后,将数据报文从出接口发往服务链流分类节点(VTEP2)。

·              服务链流分类节点(VTEP2):报文通过VTEP2接入VXLAN网络,报文进行流分类以确定报文是否需要发往服务链尾节点。如果需要发往服务链尾节点,则进行VXLAN和尾节点服务链ID封装,并转发到服务链尾节点的代理节点进行处理。

·              服务链流分类节点(VTEP3):VXLAN报文进行流分类以确定报文是否需要发往服务链尾节点。如果需要进入服务链尾节点,则去掉VXLAN和服务链ID封装,并转发到服务链尾节点进行处理。

·              服务链尾节点(SF2):服务链中对报文进行处理的最后一个服务节点。尾节点对数据报文进行服务处理后,将数据报文从出接口发往服务链流分类节点(VTEP3)查询目的VTEP进行转发。

具体的匹配转发流程描述如下:

·              对于源、目的特征组的服务链流分类节点,根据报文特征进行服务链匹配,使用源IP目的IP与服务链源、目的特征组进行匹配,匹配上服务链则设置下一跳为服务链首节点的入接口IP,并打上服务链IDindexID

·              对于服务链节点的服务链流分类节点,根据报文中的服务链IDindexID进行匹配,将报文发往服务链IDindexID对应的服务节点。

2.2.3  服务链流分类节点的类型

H3C SDN服务链支持如下流分类节点:

·              硬件交换机接入物理设备:硬件交换机直接接入物理设备,对物理设备发送的数据报文做流分类,进行服务链Overlay封装。例如H3C S6800交换机。

2.2.4  服务链服务节点的类型

H3C SDN服务链支持如下几种服务节点:

·              H3C NFV服务节点:支持VLAN功能。

·              H3C硬件安全设备:支持VLAN功能。

·              传统物理服务节点:第三方厂家的传统防火墙、负载均衡等无法支持服务链的安全功能节点,需要支持VLAN功能。


H3C SDN服务链部署模式

3.1  NFV做服务节点应用

H3C SDN服务链支持NFV节点作为服务节点。

图4 NFV节点作为服务节点模型

 

3.2  物理网络设备做服务节点应用

H3C SDN服务链支持物理网络设备作为服务节点。

图5 物理网络设备作为服务节点模型

 

3.3  第三方安全设备服务链节点应用

H3C SDN服务链支持第三方案全设备作为服务节点。

图6 第三方安全设备服务链模型


H3C SDN服务链编排

10所示,VCFC-DC接管整个SDN Overlay网络,拥有包括网关、软硬件VTEP以及NFV资源池等设备的全部信息:

图7 SDN控制器自动编排模型

 

通过VCFC-DCService Chain App,可以进行更加灵活、精细化的服务链编排:

(1)      申请安全服务功能节点,定义各节点上的安全服务配置,例如防火墙的策略、规则,负载均衡的成员、VIP等。

(2)      定义流量特征组,即定义需要经过安全服务节点的流量的源和目的IP地址,可以是已有的虚拟链路层网络、虚拟子网或虚拟端口。

(3)      创建服务链,指定该服务链所属的租户、源和目的特征组等参数,并选择需引用的安全服务功能节点。

通过上面的几步简单操作,VCFC-DC即可将定义的流量特征以流表和配置的方式分别下发到流分类节点及安全服务节点,从而引导租户流量的自动、按定义转发。效果如11所示。

图8 SDN控制器自动编排效果图

 


H3C SDN服务链的特点

基于SDN Overlay网络的服务链,具有如下特征:

·              基于Overlay网络技术,能够做到控制平面和网络转发平面的分离,物理网络与逻辑网络分离。

·              基于SDN的配置,可以动态的添加或者删除服务链上的服务节点,解耦了网络设备之间的关联,打破了物理拓扑的限制。

·              基于租户的部署模型,可以为每个租户提供个性化的安全选择。

·              实现租户业务的灵活编排和修改,而不影响物理拓扑和其它租户。

·              数据包只需在初次接入的流分类节点分类一次,整个业务转发和安全检测的过程更便捷、更高效。

·              可以支持多种类型的服务节点。

·              服务节点统一资源池化,可以实现安全能力的无缝扩张和多业务共享。

联系我们