1.流分类节点                                        五．SDN服务链组网模式
                 是原始数据报文的接入节点，原始报文通过流分类节点                           1.VSR做VXLAN网关的服务链
             接入VXLAN网络，按照定义的流分类规则匹配数据报文，并                           VSR（虚拟路由器）做VXLAN  IP  GW，提供Overlay
             进行流分类以确定报文是否需要进入服务链。若需要进入服务                        网关功能，vSwitch软件做L2  VTEP（二层VXLAN隧道端
             链，则为报文进行VXLAN封装和服务链Overlay封装，并转发                   点），将虚拟机接入到VXLAN网络中，vSwitch软件可运行
             到服务链首节点进行处理。流分类节点类型有：                              在E S X i、K V M、C A S等虚拟化平台上。安全服务节点包括
                 （1）支持服务链的vSwitch                               VSR、vFW（虚拟防火墙）、vLB（虚拟负载均衡）、vIPS
                 vSwitch（虚拟交换机）收到VM（虚拟机）报文后，直接                  （虚拟入侵防御）等设备，通过VCFC的集中控制和编排，实
             做流分类，在vSwitch上进行服务链Overlay封装。                      现东西向和南北向服务链功能。
                 （2）物理交换机接入普通vSwitch                                2.物理交换机做VXLAN网关的服务链
                 虚拟机通过普通vSwitch接入，vSwitch仅作二层交换使                    物理交换机做VXLAN  IP  GW，提供Overlay网关功能，
             用，报文上送物理交换机后由物理交换机进行流分类及服务链                        vSwitch软件、VXLAN二层网关做L2 VTEP，将虚拟机或物理
             Overlay封装。                                         服务器接入到VXLAN网络中，vSwitch软件可运行在ESXi、
                 （3）物理交换机接入物理设备                                 K V M、C A S等虚拟化平台上。安全服务节点包括V S R、
                 物理交换机直接接入物理设备，对物理设备发送的报文做                      vFW、vLB、vIPS、物理防火墙/负载均衡/安全设备等。
             流分类，进行服务链Overlay封装。                                    3.第三方安全设备服务链代理
                 （4）物理交换机接入普通VXLAN报文                                鉴于传统的安全设备不支持V X L A N和服务链，通过
                 普通VXLAN报文上送到物理交换机，由物理交换机进行                     VXLAN二层网关做服务链服务代理节点，承担SDN服务链的
             流分类，进行服务链Overlay封装。                                报文特征识别和解析，可将传统的或第三方安全设备引入SDN
                 2.服务节点                                         服务链，从而共享SDN服务链技术，实现网络中东西向流量的
                 通过VCFC对服务链的定义和引流串联，可完成物理位置                     安全防护。传统安全设备与VXLAN二层网关进行二层连接并
             分散的服务节点作为安全资源的定义和分配使用。服务节点可                        通过VXLAN二层网关接入SDN  VXLAN网络，VCFC只需识
             以是FW（防火墙）、LB（负载均衡）、IPS（入侵防御）等资                     别业务所在VXLAN二层网关的接口，并负责导流到该接口。
             源。服务节点类型有：
                 （1）NFV服务节点                                     六．SDN服务链部署模式
                 支持VXLAN和服务链，可直接进行VXLAN封装/解封装                       云平台数据中心通常存在南北向和东西向两类流量，南北
             处理及业务处理。                                           流量是指外部网络与数据中心网络间流量，东西流量属于租户
                 （2）硬件安全设备                                      内部流量，又分为数据中心内部不同子网间流量和数据中心同
                 支持VXLAN和服务链，可直接进行VXLAN封装/解封装                   一子网内终端间流量，通过部署SDN服务链可实现这两类流量
             处理及业务处理。                                           的安全防护。
                 （3）传统物理服务节点
                 第三方传统防火墙、负载均衡等无法支持服务链的安全服
             务节点，通过服务链代理节点外挂。
                 （4）服务链首节点
                 服务链中对数据报文进行处理的首个服务节点，首节点对
             报文进行服务处理后，将报文继续做服务链封装并转发给服务
             链的下一个服务节点。
                 （5）服务链尾节点
                 服务链中对数据报文进行处理的最后一个服务节点，尾
             节点对报文进行服务处理后，解除其服务链封装，并将报文
             做普通VXLAN封装后转发给目的VTEP。如果尾节点不能根
             据用户报文进行寻址，则需要将用户报文送到网关（指定的
             VTEP），由网关查询目的VTEP后进行转发。
                 3.代理节点
                                                                图2 云平台数据中心南北向和东西向流量示意图
                 对于不支持服务链封装的服务节点，需通过代理节点解除
             服务链封装，再转交给该服务节点处理。                                     1.南北流量SDN服务链
                 4.VCFC                                             部署南北流量的SDN服务链可采取两种模式。
                 即S D N控制器，负责管理服务链域内的设备并创建服务                        模式1部署简便，在控制器上仅管理一类设备，在设备
             链，通过控制、抽象和编排虚拟网络，定义服务链特征，并将                        上增加或删除配置即可实现差异化的安全服务。采用一体化                           WWW.IMASCHINA.COM
             VTEP和服务节点的配置定义和转发策略下发到相关节点。                        的NGFW（下一代防火墙）设备作为VXLAN  IP  Gateway




                                                                                                                45