5 H3C 新网络解决方案培训服务链0702简化版

H3C新网络解决方案培训服务链,H3CVPC服务链技术,H3CVPC服务链概念,数据报文在网络中传递时，需要经过各种安全服务节点，提供给用户安全、自定义的网络服务。常见的服务节点（ServiceNode）：防火墙（FW）、负载均衡(LB)、入侵检测（IPS）、VPN等。服务链定义：SDN控制器对网络进行逻辑抽象，并实现对业务的灵活自定义编排；业务流量按照控制器的编排顺序经过一组抽象业务功能节点，完成对应业务功能的处理。,什么是服务链,NFV资源池,H3CVPC服务链封装格式,使用VXLAN头中保留字段封装特点扩充8字节的VXLAN头，从保留字段中抽出字节做ServicePathID。ServicePathID即服务链编号，用于唯一确定一个服务链。简单易行，方便芯片支持。缺点是无法携带更多服务信息完成复杂服务。H3C服务链目前使用此封装。,012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|S|O|R|R|I|R|R|R|ServicePathID|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|VXLANNetworkIdentifier(VNI)|Serviceindex|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+,后续服务链的封装格式-NSH方式,服务链头关键信息SPI（ServicePathID）：服务路径标识。CF根据流分类结果在报文服务链头中设置SPI。SFF/SF根据SPI确定对应服务链。SI（ServiceIndex）：服务节点标识。用于定位服务功能节点，并可防止环路。CF将SI设置为服务链中第一个SF的标识；SFF将报文交给SI对应的SF处理，之后将SI修改为服务链中下一个SF的标识。Metadata（Context）：元数据。CF根据流分类结果设置，携带复杂业务的上下文信息。NSH封装特点NSH(NetworkServiceHeader)专门为服务链而设计，可以承载于VXLAN、GRE等多种Overlay封装中。NSH有ProtocolType字段，因此可以承载二层用户报文、三层用户报文，较为灵活。扩展性强，可以支持携带多个服务上下文信息。缺点是较为复杂，硬件芯片支持困难(Broadcom已经支持)。,012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|R|R|R|R|I|P|R|R|Reserved|ProtocolType=0 x894F|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|VXLANNetworkIdentifier(VNI)|Reserved|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|O|C|R|R|R|R|R|R|Reserved|ProtocolType=0 x6558|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|ServicepathID|Serviceindex|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|ContextHeader|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|ContextHeader|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+,VXLAN的GPE封装0 x894F表明VXLAN承载的是NSH头,NSH基础头0 x6558表明NSH头后面是用户二层报文,NSH扩展部分可以携带多个服务相关Context,Overlay服务链组网简述,控制器：管理服务链域内的设备，创建服务链，将服务链的配置信息下发到各个相关节点上。流分类节点CF（Classification）：按流分类规则匹配数据报文，将其转发到服务链中处理。通常部署在服务链接入点上。服务节点SF（ServiceFunction）：作为资源被分配使用，物理位置无关，通过转发节点串联，完成预定义的工作。服务节点有两种：一种是本身支持VXLAN和服务链封装，另外一种是传统安全设备，不支持服务链封装。代理节点Proxy（ProxyNode）：对于不支持服务链封装的服务节点，需要通过代理节点剥离服务链封装，将服务策略信息转换成VLAN等，转交给服务节点处理。,报文格式Native以太报文，IP(src)-IP(dst)VXLAN+服务链报文，外层:IP(VTEP1)-IP(SF1)VXLAN+服务链报文，外层:IP(SF1)-IP(SF2)VXLAN报文，外层:IP(SF2)-IP(VTEP3)VXLAN报文，外层:IP(VTEP3)-IP(VTEP4),UnderlayNetwork,OverlayService,SF1,SF2,SF3,CF,Proxy,逻辑抽象,服务链流分类节点CF,vSwitch接入VM报文后，vSwitch直接做流分类，增加Overlay服务链封装。VXLANGW物理交换机交换机接入普通vSwitch：VM通过普通vSwitch接入，vSwitch仅作二层交换使用，报文上送交换机后，由交换机进行流分类并增加服务链Overlay封装。交换机接入物理设备：交换机对物理设备发送的用户报文做流分类后，增加服务链Overlay封装。,vSwitch,vSwitch,具有服务链能力的vSwitch,普通vSwitch,VXLANGW,具有服务链能力的VXLANGW物理交换机,vSwitch,服务链服务节点类型SF和proxy,服务节点不支持服务链识别功能：（通过服务链Proxy节点外挂）传统物理服务节点：例如传统防火墙、LB等无法支持服务链的节点。NFV节点：VSR，vFW、vLB、vIPS，通常前端有vSwitch。服务链节点本身支持服务链识别：（不需要proxy节点）H3C虚拟防火墙：支持服务链，支持创建虚拟服务处理引擎的节点。NFV服务节点：虚拟服务节点，通常不需要vSwitch。,H3CVPC服务链方案,H3CVPC服务链思路,构建Overlay服务链,与转发流程解耦,服务节点与转发节点分离一次流分类,与物理设备解耦,服务资源池化形态多样、位置无关按需使用、线性扩展服务高可靠特性,与网络拓扑解耦,OverlaySDN逻辑网络与物理网络解耦控制平面和转发平面分离,按业务需求对服务进行编排,业务可扩展性强,业务快速上线业务迁移服务策略自动跟随,H3CVPC服务链资源池,将各种软硬件的安全设备组合抽象成统一的服务链资源池，满足数据中心内各种安全业务的应用模型,基于Overlay网络构建服务链，OverlayAccess负责业务节点的接入；ServicePool做为业务节点，负责服务业务的具体实现；OverlayGateway负责服务链到外网的终结功能,由华三的VCF控制器集群和其上的服务链APP集中控制整个服务链的构建与部署,H3CVPC基于租户的服务链设计,Overlay逻辑网络2（For租户Y）,每个租户可以独立灵活自定义自己的服务链业务,Underlay物理网络Fabric,源,目的,FW池,IPS池,源,目的,Overlay逻辑网络1（For租户X）,源,目的,Controller,Openstack,H3CVPC服务链流程,GBP服务链和TC服务链,GBP：Group-BasedPolicy，基于组的安全策略。是Cisco主导的一个OpenStack的API框架。目的是以独立于底层基础架构的方式描述应用需求，支持服务插入和服务链。做为OpenStackNeutron组件的一种服务，在OpenStack的Kilo版本发布（单独安装）。HW、IBM、Nuage等都有参与。TS：TrafficSteering，流量引导型服务链。精细控制流量的路径甚至在服务节点的出入端口。目前在OpenStack处于Abandoned状态。中兴、山石推荐该模型（分析认为TS类似vSwitch代理服务链，而山石无Controller，所以支持此模型）。,GBP模型,Group：具有相同属性的网络端点。Classifier：分类器。支持更精细化的分类：四层协议、协议端口号/范围、方向等。Action：执行动作，包含allow、deny、copy、service-chain等。PolicyRule：每条Rule引用ClassifierAction，描述组间的安全连接；一条Rule可以被不同的组所引用。可见，服务链是GBP中一条Rule的Action。,举例如右图所示。Client-1、Client-2和Web可以分别看作是三个不同的Group。定义两个不同的Rule：HTTP（分类器为：tcp协议端口号为A，action为进行FW服务）和HTTPS（分类器为：tcp协议端口号为B，action为进行copy镜像服务）。Client-1访问web的流量，如果符合HTTPrule，则流量经过FW后才能访问web服务器；Client-2访问web的流量，先镜像一份再送到web服务器。,H3CServiceChainGBP,H3CVCFC的ServiceChain框架采用服务插入（ServiceInsertion）方式实现，具有良好的适配性。对于GPB模型来说，更是有良好的对应关系：,由此可见，H3CVCFC的ServiceChain扩展后完全可以与GBP进行适配。H3C当前的服务链方式可以看作是GBP的一种最简实现。,基于IP的服务链,基于IP协议的服务链,后续方向：,H3CVPC服务链特点,统一界面方便操作运维,兼容标准VXLAN格式,基于SDN架构弹性可扩展,和网络架构解耦业务随时随地接入,支持服务链的灵活定义,支持多种类型的服务节点,服务节点统一资源池,当前Ready的服务链方案（2015.06.30）,TOR,TOR,TOR,VNFM,TOR,underlayNetwork,Router,VCFCCluster,计算存储平台,方案一：VCFC+S1020V+VSRVFW(南北服务链)VFW(东西服务链)(纯软方案),VSR,VxlanIPGW,VxLANL2GW,ServiceNode,S1020v,VFW,VFW,南北向,东西向,可以按照服务链实例的粒度分配不同的VFW,VFW可以形成IRF主备模式东西向服务链：VFW南北向服务链：VFW+VSR,方案一：VCFC+S1020V+VSRVFW(南北服务链)VFW(东西服务链),方案说明：VSR做VXLANL3GW，兼作服务链首节点；S1020v做VxLANL2GW，做为服务链接入节点;VFW做为服务节点，支持VXLAN封装解封装，拥有Underlay的地址空间服务链引流规则：能够支持VMvport，vRouter，Network，Subnet，IP地址进行服务链分流配置，不能基于协议端口号分流服务链业务功能：防火墙，包过滤。不能修改报文的IP地址，支持跨网段防火墙东西向：只支持一个VFW业务，不支持多跳。转发说明：从S1020V直接送到vFW去了，vFW再送到S1020V，反之依然。如果跨网段转发，在VFW上修改VNI南北向：从北到南，先经过VSR网关，再服务链到VFW。转发说明：VSR可提供LB/NAT/VPN服务，其中VPN和NAT二选一，再做LB；然后从VSR再经过服务链到VFW。标准Openstack不支持服务链部署，服务链相关配置需要在VCFC控制器上部署。但Openstack提供默认的服务链配置，只要配置防火墙实例，就默认对南北和东西流量，下发any到any的服务链防火墙方案中不能有S68，否则东西向流量也可能会经过VSR，会存在流量瓶颈,方案一配置参考,TOR,TOR,TOR,Centos7KVM,VFW,vSwitch,NFVM,VxLANNetwork,M9000/VSR,VCFCCluster,OpenStack,NovaComputerAPI,NeutronNetworkAPI,CinderStorageAPI,NovaPlug-in,VCFControllerPlug-in,CinderPlug-in,计算存储平台,方案二：H3Cloud+VCFC+S1020V+S68+S125+M9000/L5000/VSR(PBR南北向)+VFW(东西服务链)（联调中）,VxlanIPGW,VxLANL2GW,ServiceNode,H3CLOUDOS,S6800,服务器,服务器,TOR,服务器,VFW,S125X,S125X,南北向,东西向,东西向服务链：VFW南北向PBR:M9000/VSR/L5000,方案二：H3Cloud+VCFC+S1020V+S68+S125+M9000/L5000/VSR(PBR南北向)+VFW(东西服务链)（联调中）,方案说明：VSR做VXLANL3GW，兼作服务链首节点；S1020v和S6800做为VxLANL2GW，支持服务链流分类，可将流量引入服务链；VFW做为服务节点，支持VXLAN封装解封装，拥有Underlay的地址空间服务链引流规则：能够支持VMvport，vRouter，Network，Subnet，IP地址进行服务链分流配置，不能基于协议端口号分流服务链业务功能：防火墙，包过滤。不能修改报文的IP地址，支持跨网段防火墙东西向：VFW做东西向的服务节点，只支持一个VFW业务，不支持多跳。转发说明：S1020V到68的服务链,先从S1020V直接送到vFW去了，vFW再送到68，反之依然;跟普通转发的区别在于服务链流量跨网段转发不再经过S125网关南北向：不支持服务链，M9K/VSR作为网关服务节点，旁挂在125上，可以提供网关增值服务，如VPN/NAT、LB、FW服务。125x和VSR之间通过普通非Vxlan转发，物理位置固定标准Openstack不支持服务链部署，服务链相关配置需要在VCFC控制器上部署，但提供默认的服务链配置,方案二配置参考,方案对比分析,方案三：网关型安全服务方案,S125X,S125X,S6800,VXLANNetwork,S6800,S6800,VLB,vSwitch,vSwitch,S6800,VSR/VFW,VSR,VLB和VFW纯粹做为虚机的网关设备下挂到S68下面，虚机的网关要设置为LB和FW设备，而非交换机。,54/32,54/32,/32,/32,/32,54/32,VCFCCluster,VNI10,VNI10,VNI10,VNI20,VNI20,VNI30,NFVM,方案三：网关型安全服务方案,方案说明：整个网络不启用服务链功能LB和FW纯粹做为下挂到S68下面LB和FW做为网关设备，不支持透明模式。LB和FW所在网段虚机的要设置为LB和FW设备本身，而不设置为S125或者S68目前安全业务由VNFMANAGER下发，Overlay网络由VCFC控制，后续可以合一第三方安全设备的配置通过第三方的配置组件进行配置,第三方配置组件可以以APP的形式安装到VCFC这是一种最灵活的安全服务实现方案,后续Ready的服务链方案（9月份版本）,TOR,TOR,NFVM,Router,VCFCCluster,OpenStack,NovaComputerAPI,NeutronNetworkAPI,CinderStorageAPI,NovaPlug-in,VCFControllerPlug-in,CinderPlug-in,计算存储平台,方案四：S68做为服务链代理（6月底可测试；8月正式版本）,S125X,S125X,S6800,pFW,vFW,TOR,vFW,125/VSR,VxlanIPGW,ServiceProxy,S6800,VxLANL2GW,S1020v,S6800,TOR,underlayNetwork,方案四：S68做为服务链,方案说明：可以支持不同网段的服务链代理功能，即源VM和目的VM不在同一个VNI里面服务链引流规则：能够支持VMvport，vRouter，Network，Subnet，IP地址进行服务链分流配置，不能基于协议端口号分流服务链代理功能：单臂同VLAN透明模式，支持第三方服务链功能，包括防火墙，包过滤，IPS等不修改IP地址的安全功能，第三方安全功能要在自己设备上独立配置所有的服务节点不支持VPC的IP地址重叠，如果要重叠，必须使用不同的服务节点源VM和目的VM可以在不同的VNI里面，服务节点的入VLAN和出VLAN必须相同，此VLAN的VNI必须与源VM相同代理支持多跳模式，当前只支持一个68下挂代理，但源VM和目的VM的68接入设备可以是另外的68设备,TOR,TOR,TOR,NFVM,TOR,underlayNetwork,Router,VCFCCluste