焦点:安全服务链部署模式浅析-新华三集团

        

        

        

        

                                                                         /韩晓平

        习俗保险服务业的布置,通常本自然规律的拓扑眼镜框。,保险准备到业务大大地的串行化,这种布置做模特儿在以下成绩:在线业务或业务更动必要调节器谋略,无法目录敏捷更动的需要量。;扩张行动方向才能差,一旦机能不可,通常除非高端准备可以交替发生。;在多个服务业中间不克不及共享准备的才能。;习俗的本大大地的布置方法不克不及廉正于Overlay用网覆盖。

        IT眼镜框下,保险布置的做模特儿必要有重大意义的地时装领域。,本Overlay用网覆盖重建中间的保险才能池。经过集合间的选举调查委员将必要举行保险防护的业务流量排水系统到保险才能结心举行防护,理性业务改编乐曲保险业务的警卫次序,这通常高压地带服务业链。。取得了自然规律的拓扑的解耦。,于是,它可以地租地支援保险才能的柔韧的扩张。。

1、 保险服务业链的怀孕

        当数据包在用网覆盖中换乘时,理性业务类型、保险警卫评分索赔多种保险服务业混合物,这些保险服务业混合物包含人所共知的用作防火墙。、入侵检测、装载平衡等。。通常,用网覆盖流量必要本着业务逻辑所索赔的使处于某种状况按次,经过这些保险服务业混合物,这执意同样的人的服务业链。Service Chain),可见,服务业链指责一任一某一新怀孕。。

        跟随SDN用网覆盖挂名的化的不时促进,服务业链正成为越来越要紧。。如图1所示,在Overlay用网覆盖下,服务业链中间的服务业混合物可以定居完全相同的事物或变化多的的投资。。以租用为导向、表面廉正的服务业链规划使联系,不假思索的排水谋略,使生效有重大意义的的保险防护,于是手脚能到的范围或优于习俗保险防护的成功实现的事。

           

        1保险服务业链资源池与服务业链布置示意图

2服务业链的封装体式

        NSH(用网覆盖) Service 割穗机)它是专为服务业链设计的扩张升至桅顶体式。,可承载于VXLANGRE大量的宁静宽宏大量的Overlay封装中,体式如次:

        

        2服务业链NSH封装体式

        NSH鉴于有protocol实地的,于是,它可以提挈两个评分的用户音讯。、三层用户音讯,较比柔韧的。扩张性强,它可以支援多个业务语境数据。。但鉴于它相比复杂。,于是五金器具圣饼的支援全部境遇财政困难。。

        相反,运用更简略的封装。VXLAN在用头顶中保存实地的的方法,体式如次:

        

        3运用VXLAN升至桅顶保存实地的封装体式

        膨胀物8 八位字节的VXLAN头,保存实地的拖24八位字节做Service Path ID,经过Service Path ID独占的地确定一任一某一业务链,可是它不克不及提挈更多的商业数据,纵然鉴于封装是简略的。,于是五金器具圣饼的支援绝轻易。。运用这种体式默许了华三交流的服务业链。

3、服务业链榜样中间的现实事件首要参与者

        服务业链榜样,与服务业链解释顾虑、排水排水、服务业链小群封装、服务业连结、制作手续和大量的宁静连结。,对应于每个效能混合物的业务立法机构如次。

        m  把持立体(Control Plane

        在服务业链域中凑合着活下去准备,成立服务业链,服务业链的词的搭配数据,它被发送到尽量的中间定位混合物。,眼前首要经过Controller取得,用户界面首要由IMC CSM立法机构取得。

        m  流混合物混合物Classification

        用于婚配流混合物管理的数据包,它将理性询问转发到服务业链。。初始流混合物混合物,布置在服务业链域的镶边。,同样的人的服务业连结插入点。。服务业链中间,你也可以信赖流混合物。。如图4所示,华三交流服务业链榜样的接入点包含:: 支援业务链的Vswitch:由Vswitch接入VM音讯混合物后立即举行流量混合物。,放针业务链Overlay封装。

        m  配电盘出口流通VswitchVM经过普通Vswitch接入,Vswitch只用于两级交替发生。,上送VXLAN GW准备后,由VXLAN GW流量混合物准备,放针业务链Overlay封装。

        m  切换到自然规律的准备:配电盘立即连接到自然规律的服务业器。,对自然规律的服务业器发送的用户小群举行混合物后,放针业务链Overlay封装。

        m  配电盘出口流通VXLANVswitch作为VXLANVTEP,将普通VXLAN消息上送到VXLAN GW,由VXLAN GW流量混合物准备,换上衣服业务链Overlay封装。

        

        4服务业连结插入点类型

        l  服务业混合物(Service Function

        服务业混合物被分派为资源。,它的自然规律的投资可以是任性的。,疏散的,经过一系列服务业链,结尾预约任务。如图5所示,华三交流服务业链榜样中间的服务业混合物包含。

        m  支援服务业链应变量处置的混合物:包含华三交流,子孙五金器具保险de,能辨别服务业链封装音讯,并对业务链内地的封装消息举行保险处置,制作后修正VXLAN封装并转发到下一任一某一保险服务业处置混合物。。

        m  不支援服务业链应变量处置的混合物:包含华三交流、习俗保险准备或第三Pa。这些服务业混合物不支援辨认服务业链封装。,服务业链头必需被剥离并转发到服务业混合物。,一旦服务业混合物被处置,它就被转发到代劳混合物。,代劳混合物转发到下一任一某一服务业混合物或对准。VM

        

        5服务业混合物类型

        l  代劳混合物(Proxy Node):几乎不支援服务业链封装的服务业混合物,服务业链封装必要由代劳混合物剥离。,将业务谋略数据替换为VLAN等,传送到服务业混合物处置。

4、服务业链处置手续

        如上文所述,服务业链榜样,选举调查委员送排水谋略和服务业链数据Service Path ID与宁愿保险服务业混合物。IP),服务业链混合物的婚配排水谋略,接近末期的对数据流举行服务业链。VXLAN封装,接近末期的经过Overlay该用网覆盖被转发到宁愿保险业务服务业混合物。。支援和不支援服务业链消息辨别的两种混合物的处置机制稍有变化多的持续辨别阐明一下:

        l  服务业链中支援音讯处置的服务业混合物

        几乎服务业链中支援音讯处置的服务业混合物来说,在服务业链词的搭配行动方向中,选举调查委员会给服务业链中间的每一任一某一混合物下发对应业务链ID顶点服务业混合物IPPre-Node IP下一任一某一服务业混合物IPNext-Node IP),只遵从的宁愿任一某一混合物Pre-Node IP,几乎顶点一任一某一混合物,仅Next-Node IP,同时,它将放开领先和接近末期的。Node IP对应的Fib表项。当服务业混合物接纳到VXLAN音讯工夫,将本VXLAN传输数据Service Path ID查找有重大意义的的业务链表项,万一婚配,则封装该receiver 收音机。,为解包的包保险业务处置。,保险业务处置结尾后,找到有重大意义的的服务业链。Next-Node IP,服务业链封装。,转发到下一任一某一服务业混合物。万一保险混合物是顶点一任一某一服务业混合物,保险处置结尾后,理性内附加费的对准IP做普通VXLAN转发,也执意说,理性对准。VTEP IP举行VXLAN封装。支援VXLAN音讯辨别服务业混合物做模特儿对根本无特殊索赔,廉正较好。。

        l  不服务业链中支援音讯处置的服务业混合物

        服务业链布置榜样,它与习俗的保险准备或第三方准备可以并存的。。以下图6为例阐明:选举调查委员将链路发送到服务业点。IP为代劳混合物IP,同时,选举调查委员将发送服务业链给代劳No。。

        当代劳混合物收到服务业链音讯工夫,率先,婚配南北服务业链数据。,接近末期的把音讯转发给FW服务业混合物,FW服务业混合物处置结尾,经过Inline转发到代劳混合物,代劳混合物持续婚配南北服务业链数据。,接近末期的把音讯转发给IPS服务业混合物,IPS服务业混合物处置结尾,经过Inline转发到代劳混合物,代劳混合物在不婚配服务业链的数据的境遇下快滑舞步。VXLAN常态转发,向对准地传送音讯VTEP1。在这种做模特儿下保险服务业混合物可以单臂做模特儿布置,也可以布置在双臂做模特儿下。。

        

        6不支援VXLAN音讯辨别的服务业混合物处置手续

        这种布置做模特儿,保险准备索赔低,纵然它必要高地的的代劳混合物。,必要支援大才能ACL表项,实践布置在必然的限制。。

5、保险服务业链的类型布置做模特儿

        数据结心通常有两种业务类型。:东西流与南北流。同样的人南北交通是从服务业器到Internet用网覆盖纵向流变交通,东西流量是服务业器中间的程度流量。。保险服务业链必要警卫这两种业务。。

        l  南北交通警卫做模特儿

        南北交通有两种警卫做模特儿。。做模特儿1采取集成方法。NGFW准备取得VXLAN IP GW多业务保险警卫的效能,布置做模特儿廉正服务业链榜样。,取得了保险准备与自然规律的拓扑的解耦。保险效能的表现与习俗的平衡是缺少分别的。。其优点是支援使整合的业务保险效能。,但无法理性需要量调节器保险效能的按次。。做模特儿二经过运用变化多的的保险取得变化多的的保险效能,取得了一任一某一效能级保险资源池。,它是一任一某一真正的保险服务业链榜样。,可以目录柔韧的的业务警卫需要量。。

        m做模特儿一

        

        7南北交通警卫做模特儿1示意图

        在这种布置做模特儿下,NGFW准备作为VXLAN IP Gateway结束租用VXLAN流量,并替换为VLAN兑换发到Internet,推翻取得VLANVXLAN的替换。NGFW同时支援NAT、保险域、IPSSLB大量的宁静宽宏大量的效能。经过成立变化多的的挂名的用作防火墙成立变化多的的挂名的租用。VXLAN网关可以布置多个使坐落在。,经过选举调查委员下的排水谋略取得多个STATIVXLAN网关装载分担者。这种做模特儿招待布置。,选举调查委员上只凑合着活下去一任一某一准备类型。。万一要取得区别服务业,经过添加或停止准备的词的搭配。这种布置做模特儿的错误是多业务的集成。,多个服务业中间的买卖按次是由逻辑确定的。,无法调节器。

        m做模特儿二

        

        8南北交通警卫做模特儿2示意图

        在这种布置做模特儿下,将LB效能与IPS效能使分开是经过孤独的准备取得的。,用作防火墙准备在最外界运用。VXLAN网关取得VXLANVLAN中间的交流。鉴于运用使分开IPSLB准备,选举调查委员可理性租用需要量改编乐曲业务。FWLB或许无论如何路过。FWIPS。这种布置的优点是业务处置混合物耀眼的。,而且变化多的的混合物仅具有绝对简略的效能。,你可以手脚能到的范围高地的的机能。。

        l  东西交通警卫做模特儿

        

        9东西交通警卫做模特儿2示意图

        拿 … 来说,东西交通通常是租用的内地的交通。WEBAPP服务业器,或许是APP服务业器到DB服务业器。经过罚款的租用内地的流Overlay用网覆盖转发,尽量的保险业务混合物处置VXLAN的消息。经过选举调查委员,排水谋略被改编乐曲经过。。

附属物

        IT眼镜框下,本Overlay用网覆盖,构造一致的保险才能池,从自然规律的拓扑解耦保险才能布置,它支援保险才能和资源共享的柔韧的扩张。,打起精神IT敏捷在线业务更动。同时,本保险服务业链的技术,IT凑合着活下去员可以本O实时静态调节器保险谋略,放针新的保险才能,全网自动保险防护的使生效。

Add a Comment

电子邮件地址不会被公开。 必填项已用*标注