Page 44 - BP_201809
P. 44
技术综合
Reviews
基于SDN服务链的
云平台数据中心安全技术探究 扫一扫随身阅读
徐俭 络安全解决方案。多种类型的服务节点统一资源池化,可实现
扬州广电传媒集团(总台) 安全服务资源无缝扩展和多业务共享。服务链的各服务节点可
能位于相同或不同的安全资源池,VCFC可动态地添加或删除
【摘要】主要从传统网络安全服务部署技术的缺陷、 服务链上的服务节点,解耦网络设备间的关联,突破物理拓扑
SDN服务链的技术特点、数据报文中服务链特征的标识和封 限制,为每个租户提供个性化的安全防护选择,通过编排面向
装、SDN服务链中角色及其对数据报文的处理、SDN服务链 租户应用的服务链,自动下发引流策略,实现租户业务的灵活
组网和部署模式、SDN服务链编排、配置与处理等方面,对 编排和修改,且不影响物理拓扑和其它租户。数据报文只需在
基于SDN服务链的云平台数据中心安全技术进行一些探讨和 初次接入的流分类节点分类一次,业务转发和安全检测过程便
研究。 捷高效。
【关键词】SDN 服务链 云平台数据中心 组网模式 上文提到的O v e r l a y网络是叠加在物理网络上的虚拟网
部署模式 服务链编排 络,是对物理网络进行逻辑隧道叠加,再逻辑划分成虚拟网络
分片,目前VXLAN(可扩展虚拟局域网络)技术是Overlay技
云平台数据中心为了向租户提供安全、快速、稳定的网络 术事实上的标准。
服务,必须确保数据报文在网络中传递时,网络业务流量会按
照租户的业务类型、安全保护需求和业务逻辑要求的既定次序
图1 SDN服务链示意图
穿过防火墙、入侵防御、负载均衡等各种安全服务节点,SDN
(软件定义网络)服务链(Service Chain)技术可以有效地避
免传统网络安全服务部署技术在云环境下的缺陷和不足。 三.数据报文中服务链特征的标识和封装
基于SDN Overlay虚拟网络的服务链,需要用相应字段来
一.传统网络安全服务部署技术的缺陷 标识数据报文中服务链的特征,每条服务链都应该具有自己的标
传统网络中部署安全服务通常是基于物理拓扑,通过手 识,数据报文需要携带数据报文应该走哪一条服务链、服务链有
工配置多种策略,将安全设备串接到网络业务流量路径中,由 几跳等特征,有两种方式标识和封装数据报文中的这些特征:
于网络设备间的耦合性和拓扑依赖,使得新业务上线、业务 1.扩展VXLAN报文头中保留字段
扩容或变更都需要手工调整整个转发路径中各个设备的策略, S D N服务链缺省使用这种方式,前提是网络设备支持
无法满足业务快速迭代变更等需求;数据报文在业务路径中转 VXLAN。SDN服务链对VXLAN报文进行扩展时是从VXLAN
发时,需要经过多次解包封包过程,效率低下;安全设备资源 报文头保留字段中,取出3字节作为Service Path ID,记录服
扩展性差、无法池化,只能通过更换更高端设备来弥补性能不 务链编号,用于唯一地确定一个服务链;取出1字节作为Order
足;安全设备的能力资源无法在多业务间共享。 counter,用于记录一个服务链是第几次进入一个主机下的服务
节点。
二.SDN服务链的技术特点 2.NSH扩展封装
服务链技术是指数据报文在网络中传递时,为了给用户提 NSH(网络服务头)是服务链专用的封装格式,NSH可
供安全、快速、稳定的网络服务,网络业务流量需要按照业务 以承载于VXLAN、GRE(通用路由协议封装)等多种Overlay
逻辑要求的既定次序穿过各种安全服务节点,从而根据租户的 封装中。NSH对VXLAN报文进行扩展,能携带多个业务的上
业务需求来定义安全访问路径。 下文信息,完成更复杂的业务处理;支持携带Protocol Type字
云平台数据中心可以采用SDN Overlay虚拟网络和NFV 段,能灵活承载二层用户报文和三层用户报文。
(网络功能虚拟化)技术,实现控制平面与转发平面分离、虚
拟网络和物理网络分离,虚拟网络承载于物理网络之上,通过 四.SDN服务链中角色及其对数据报文的处理
对物理网络的虚拟化和逻辑抽象,基于SDN Overlay虚拟网络 基于网络的核心控制部件V C F C部署S D N服务链时,
的集中控制部件VCFC(虚拟应用融合架构控制器,即SDN控 VCFC会根据租户需求,定义、创建服务链,并部署服务链上
制器),定义并控制网络安全服务链,将安全服务融入网络架 每个节点的业务逻辑。VCFC将需要进入服务链处理的数据报
构,调配引导转发流量自动穿过安全服务节点完成安全服务处 文特征下发到接入VTEP(VXLAN隧道端点),VTEP会根据
理,实现拓扑无关、便捷高效、灵活扩展的云平台数据中心网 相应的报文特征将数据报文引入服务链。
WWW.IMASCHINA.COM
44
