定义和编排网络中包含FW和LB等功能的OpenSatack安全服务
                                                                链，南北流量缺省经过防火墙和负载均衡，跨网段的东西流量
                                                                可共享南北向防火墙和负载均衡。
             图3 南北流量SDN服务链部署模式1示意图                                  2.SDN控制器编排服务链
                                                                    SDN控制器（即VCFC）负责控制整个SDN  Overlay
             （VXLAN网关）终结租户的VXLAN流量，并转换为VLAN流
                                                                网络，拥有网关、软硬件V T E P及N F V资源池等设备信息，
             量转发到外网，实现安全设备与物理拓扑解耦和多业务安全防
                                                                VCFC定义和编排服务链的过程是：先申请安全服务节点，定
             护。NGFW同时支持NAT、安全域、IPS、LB等多种功能，可
                                                                义各节点上防火墙的策略与规则、负载均衡的成员等安全服务
             创建不同的虚拟防火墙对应不同的租户，通过VCFC下发的引
                                                                配置；再定义流量特征组，即定义需经过安全服务节点的流量
             流策略，多台VXLAN网关可实现负载均衡。
                                                                的源和目的IP地址等信息；最后创建服务链，指定该服务链所
                                                                属的租户、源和目的特征组等参数，选择需引用的安全服务节
                                                                点。将定义的流量特征以流表和配置的方式下发到流分类节点
                                                                和安全服务节点，引导租户流量的自动、按定义转发。
             图4 南北流量SDN服务链部署模式2示意图                                  3.服务链配置流程
                                                                    VCFC在配置服务链时，会给服务链接入点下发引流策略
                 模式2业务处理节点清晰，不同节点仅实现单一功能，可
                                                                及Service Path ID和第一个安全服务节点IP信息，服务链节点
             做到更高的性能。通过采用不同的安全设备实现不同的安全服
                                                                会匹配引流策略，对数据报文进行服务链VXLAN封装，并通
             务资源池，并灵活地部署防护租户业务的安全服务链。采用单
                                                                过Overlay网络转发到第一个安全服务节点。VCFC会给服务
             独的设备实现FW、LB和IPS功能，VCFC可以控制业务流量只
                                                                链中每一个节点下发上一个服务节点IP（Pre-Node  IP）和下
             经过FW和LB或只经过FW和IPS，在最外层采用防火墙设备作
                                                                一个服务节点IP（Next-Node  IP），第一个节点只有Next-
             为VXLAN网关实现VXLAN和VLAN间互通。
                                                                Node  IP，最后一个节点只有Pre-Node  IP，同时会下发前后
                                                                Node  IP对应的FIB（转发信息表）表项。当服务节点收到一
                                                                个VXLAN报文时，会根据该报文中携带的Service  Path  ID查
                                                                找相应的服务链表项，若匹配上则进行解封装，并对解封装后
             图5 东西流量SDN服务链部署模式示意图                               的报文进行安全服务处理，然后查找服务链对应的Next-Node
                                                                IP，并进行服务链封装，转发到下一个安全服务节点。若本节
                 2.东西流量SDN服务链                                   点是最后一个服务节点，则在完成安全服务处理后，会根据内
                 东西向租户内部流量通过纯Overlay网络转发，所有安全                   层载荷的目的VTEP IP进行普通VXLAN报文封装和转发。
             服务节点都是处理VXLAN报文，依据VCFC编排下发的引流策                         4.服务链匹配处理流程
             略按需按序穿过安全服务链的各个安全服务节点。                                 租户VM的首个数据包（数据报文）上送VCFC处理时，
                                                                VCFC会解析Packet-In报文，根据报文目的地址确定是虚拟网
             七．SDN服务链编排、配置与处理                                   络内的东西流量还是通往传统网络的南北流量。如果是南北流
                 1.OpenStack编排服务链                               量，则将报文转发到网关设备进行报文后续处理；如果是东西
                 VCFC将OpenStack  Neutron中编排的FWaaS和LBaaS安        流量，则从收到的Packet-In报文中提取源端口，进而确定源
             全服务等抽象的描述和定义自动转换映射到网络设备中，从而                        subnet、network、router信息，并根据Packet-In报文的目的
                                                                IP地址获取目的VM连接的目的端口，进而确定目的subnet、
                                                                network、router信息，再根据报文特征匹配服务链，首先用源
                                                                端口和目的端口属性匹配服务链配置，如果找到匹配的服务链，
                                                                则VCFC会确定服务链所在VTEP的VTEP IP，并向VTEP和后续
                                                                处理节点下发导流的流表项。当匹配到多条服务链时，则按最精
                                                                确匹配原则确定实际使用的服务链，服务链特征组匹配精度从低
                                                                到高为：Routers、Networks、Subnets、Ports；如果未找到匹
                                                                配的服务链，则下发东西向卸载的流表项，进行非服务链转发。

                                                                八．结语
                                                                    云平台数据中心部署安全服务可以采用SDN服务链技术，
                                                                基于SDN  Overlay虚拟网络构建集中统一的安全服务资源池，
                                                                实现安全服务部署与物理拓扑解耦，支持安全服务资源共享及
                                                                弹性扩展、生产业务快速上线及变更。通过SDN控制器将需要
                                                                进行安全防护的业务流量引流到安全服务资源池进行防护，并
             图6 SDN控制器编排的服务链示意图                                 根据业务需求编排安全服务的防护次序。B&P
       WWW.IMASCHINA.COM

          46