• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

18-服务链配置指导

目录

01-服务链配置

本章节下载 01-服务链配置  (270.37 KB)

01-服务链配置


1 服务链

1.1  服务链简介

服务链(Service Chain)是一种引导网络业务报文按次序通过服务节点(Service Node)的转发技术,它结合SDN(Software Defined Network,软件定义网络)来实现业务编排,引导网络业务报文按照要求的顺序通过服务节点进行处理和转发。

1.2  设备间服务链简介

设备间服务链作用于VXLAN报文,由VCF控制器基于不同的租户应用,通过OpenFlow下发引流规则来控制Overlay网络中的VXLAN报文是否进入服务链处理,并确保报文在服务链内各个节点间传递。

有关VXLAN的详细介绍,请参见“VXLAN配置指导”中的“VXLAN”。有关VCF控制器下发引流规则的配置,请参见VCF控制器配套的手册。

说明

对于支持Context功能的设备,应用于不同用户Context的服务链,属于设备间服务链。

1.2.1  网络模型

图1-1示,VCFC(VCF Controller,VCF控制器)基于不同的租户应用,通过OpenFlow下发引流规则来控制Overlay网络中的VXLAN报文是否进入服务链处理,并确保报文在服务链内各个节点间传递。

图1-1 服务链应用示意图

 

1. 接入点

接入点是VXLAN网络的边缘设备VTEP(VXLAN Tunnel End Point,VXLAN隧道端点)。由它根据VCFC下发的引流规则对报文进行处理。

2. 服务节点

设备间服务链中的服务节点是网络中处理某种业务的设备,可以是物理设备,也可以是NFV(Network Function Virtualisation,网络功能虚拟化)设备。一条服务链上可以存在多个服务节点。各服务节点根据服务列表指定的服务类型对报文进行处理。

服务列表用于指定服务的类型及处理顺序,目前支持的服务类型包括防火墙和LB。

服务节点包含两种特殊的节点类型:

·     首节点:服务链中首个对报文进行处理的服务节点。

·     尾节点:服务链中最后一个对报文进行处理的服务节点。

1.2.2  报文格式

服务链报文采用VXLAN封装,并在VXLAN报文头中标识服务链信息,如图1-2所示。

图1-2 携带服务链信息的VXLAN报文格式示意图

 

在VXLAN报文头中,以下两个字段用于标识报文所使用的服务链:

·     标记位:“S”位为1时,表示VXLAN头中的Service Chain字段有效;为0,表示Service Chain字段无效。

·     Service Chain:长度为24比特,由方向标记位D和Service Path ID两部分组成。“D”位为0时,表示正向报文;为1时,表示反向报文。Service Path ID长度为23比特,用来标识一个服务链。

1.2.3  工作原理

服务链的工作原理大致如下:

(1)     报文入方向的接入点根据VCFC下发的引流规则将报文进行VXLAN封装,然后发送给服务链的首节点。

(2)     服务链的首节点收到VXLAN报文后,根据报文头中的Service Path ID字段在本地查找匹配的服务链。

¡     如果本地没有匹配的服务链,则该报文进行正常的VXLAN转发。

¡     如果本地存在匹配的服务链,则该报文进入服务节点处理。

(3)     服务节点完成处理后:

¡     如果该服务链配置了下一跳地址,则报文转发给下一个服务节点处理。

¡     如果该服务链没有配置下一跳地址,则该节点作为服务链的尾节点,删除VXLAN报文中的Service Path ID字段,并将报文转发给报文出方向的接入点。

(4)     报文出方向的接入点对VXLAN报文进行解封装,并进行IP转发。

 

1.3  配置设备间服务链

服务链可以通过VCFC和命令行两种方式进行配置,建议采用VCFC通过NETCONF下发配置的方式。本手册仅介绍命令行的配置方式,通过VCFC配置的详细介绍请参见VCFC配套的手册。

1.3.1  配置接入节点

当设备作为接入点时,只能通过VCFC进行配置,具体请参见VCFC配套的手册。

1.3.2  配置服务节点

1. 配置限制和指导

·     如果设备作为服务链的首节点,则仅需要为其指定正向报文的下一个服务节点即可。

·     如果设备作为服务链的尾节点,则仅需要为其指定反向报文的下一个服务节点即可。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建服务链,并进入服务链视图。

service-chain path path-id

(3)     配置正向报文下一个服务节点的IP地址。

next-service-node ip-address

缺省情况下,未配置正向报文下一个服务节点的IP地址。

(4)     配置反向报文下一个服务节点的IP地址。

previous-service-node ip-address

缺省情况下,未配置反向报文下一个服务节点的IP地址。

(5)     创建服务节点,并进入服务节点视图。

service function function-id

(6)     配置服务列表。

service list {  fw | lb }*

1.4  服务链显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示服务链的配置情况,通过查看显示信息验证配置的效果。

表1-1 服务链显示和维护

操作

命令

显示服务链信息

display service-chain path { path-id | all }

显示服务链的统计信息

display service-chain statistics

 

1.5  服务链典型配置举例

1.5.1  设备间服务链基本组网配置举例

1. 组网需求

图1-3所示,Device A和Device C为服务链的接入点,Device B和Device D为服务链的服务节点,通过配置服务链功能,实现内网VM 1至内网VM 2的报文先在Device B上进行防火墙业务处理,然后在Device D上进行LB业务处理。

2. 组网图

图1-3 服务链基本组网配置举例组网图

3. 配置步骤

说明

请配置各设备的IP地址以及设备间的路由,确保网络互通,具体配置步骤略。

 

(1)     Device A和Device C的配置

在VCFC通过OpenFlow为Device A和Device C下发引流规则,使VM 1至VM 2的VXLAN报文增加编号为1的服务链编号。

(2)     Device B的配置

a.     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 1/0/1

[DeviceB-GigabitEthernet1/0/1] ip address 12.1.1.2 24

[DeviceB-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

b.     将接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceB] security-zone name trust

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2

[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/3

[DeviceB-security-zone-Trust] quit

c.     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 配置静态路由,到达VM 1所在网络的下一跳IP地址为12.1.1.1,具体配置步骤如下。

[DeviceB] ip route-static 1.1.1.0 24 12.1.1.1

d.     配置安全策略

# 配置名称为trust-trust的安全策略,保证VM 1可以访问VM 2,具体配置步骤如下。

[DeviceB] security-policy ip

[DeviceB-security-policy-ip] rule name trust-trust

[DeviceB-security-policy-ip-1-trust-untrust] source-zone trust

[DeviceB-security-policy-ip-1-trust-untrust] destination-zone trust

[DeviceB-security-policy-ip-1-trust-untrust] source-ip-subnet 1.1.1.0 24

[DeviceB-security-policy-ip-1-trust-untrust] destination-ip-subnet 2.2.2.0 24

[DeviceB-security-policy-ip-1-trust-untrust] action pass

[DeviceB-security-policy-ip-1-trust-untrust] quit

[DeviceB-security-policy-ip] quit

e.     配置服务链功能

# 创建服务链,编号为1,并进入服务链视图。

[DeviceB] service-chain path 1

# 指定报文下一跳地址为Device D的LoopBack接口地址20.1.1.1,且LoopBack接口为VXLAN隧道的源接口。

[DeviceB-spath1] next-service-node 20.1.1.1

# 创建并配置服务节点1,并指定服务列表中包含业务类型为防火墙。

[DeviceB-spath1] service function 1

[DeviceB-spath1-func1] service list fw

(3)     Device D的配置

a.     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

<DeviceD> system-view

[DeviceD] interface gigabitethernet 1/0/2

[DeviceD-GigabitEthernet1/0/2] ip address 14.1.1.2 24

[DeviceD-GigabitEthernet1/0/2] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

b.     将接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceD] security-zone name trust

[DeviceD-security-zone-Trust] import interface gigabitethernet 1/0/2

[DeviceD-security-zone-Trust] import interface gigabitethernet 1/0/3

[DeviceD-security-zone-Trust] quit

c.     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 配置静态路由,到达VM 2所在网络的下一跳IP地址为14.1.1.1,具体配置步骤如下。

[DeviceD] ip route-static 2.2.2.0 24 14.1.1.1

d.     配置安全策略

# 配置名称为trust-trust的安全策略,保证VM 1可以访问VM 2,具体配置步骤如下。

[DeviceD] security-policy ip

[DeviceD-security-policy-ip] rule name trust-trust

[DeviceD-security-policy-ip-1-trust-untrust] source-zone trust

[DeviceD-security-policy-ip-1-trust-untrust] destination-zone trust

[DeviceD-security-policy-ip-1-trust-untrust] source-ip-subnet 1.1.1.0 24

[DeviceD-security-policy-ip-1-trust-untrust] destination-ip-subnet 2.2.2.0 24

[DeviceD-security-policy-ip-1-trust-untrust] action pass

[DeviceD-security-policy-ip-1-trust-untrust] quit

[DeviceD-security-policy-ip] quit

e.     配置服务链功能

# 创建服务链,编号为1,并进入服务链视图。

[DeviceD] service-chain path 1

# 指定反向报文的下一跳地址为Device B的LoopBack接口地址20.1.1.2,且LoopBack接口为VXLAN隧道的源接口。

[DeviceD-spath1] previous-service-node 20.1.1.2

# 创建并配置服务节点1,并指定服务列表中包含业务类型为LB。

[DeviceD-spath1] service function 1

[DeviceD-spath1-func1] service list lb

4. 验证配置

VM 1发往VM 2的报文进入编号为1的服务链进行处理,依次进行防火墙和LB业务的处理。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们