面向安全场景的服务链技术研究和实践

安全服务编排SecurityServiceOrchestration面向安全场景的服务链技术研究和实践面向安全场景的服务链技术研究和实践ResearchandPracticeonServiceFunctionChainforSecurityScenarios杨振东1，陈善杰2（1.中国联通广东分公司，广东广州510627；2.中讯邮电咨询设计院有限公司广东分公司，广东广州510627）YangZhendong1，ChenShanjie2（1.ChinaUnicomGuangdongBranch，Guangzhou510627，China；2.ChinaInformationTechnologyDe⁃signing&ConsultingInstituteCo.，Ltd.GuangdongBranch，Guangzhou510627，China）为了解决网络服务与网络物理拓扑紧耦合的问题，研究了一种面向安全场景的服务链技术并进行了功能验证。SRv6服务链技术具有网络可编程能力，能够协助算力资源和网络资源进行协同，可实现不同网络服务的灵活调用。依靠算网大脑和SDN网络控制器，基于SRv6服务链技术，实现了服务链路径编排与数据流转发功能以及分钟级的业务开通，解决了网络服务与网络物理拓扑紧耦合的问题，提升了网络服务调度的灵活性，提高了网络服务资源利用率。Abstract：关键词：Keywords：1研究背景5G的低时延、大带宽、大连接和移动性推动了物联网和企业上云的快速发展，越来越多的数据就近处理以及海量设备同时连接的需求，加速了边缘算力的发展，推动了算力与网络统一管理与灵活调度。数据报文在传统网络传输时，需要经过各种业务节点，这样才能保证网络能够按照设计要求，提供给用户安全、快速、稳定的网络服务，经过的这些业务节点就是收稿日期：2023-06-27目前SFC数据面多基于多协议标签交换（Multi-标签发布协议［1这增加了网络配置与维护的工作量，术Networks，SDN）技术设计，具备源路由的路径可编程能力，通过与网络控制器配合，可实现网络的灵活编程，为云网融合、算力网络的发展提供了较好的技术选择。以太网虚拟专用网（EthernetVirtualPrivateNet⁃］422023/08/DTPT面向安全场景的服务链技术研究和实践安全服务编排SecurityServiceOrchestration一了各种L2VPN、L3VPN业务的控制平面，利用或三层可达信息，实现了转发平面和控制平面的分离。本文研究了一种面向安全场景的服务链技术并进行了功能验证。部署了基于SRv6技术的安全服务过本文提出的安全服务应用场景，可以增加网络安全服务的灵活性，提升资源利用率，助力算力网络创新应用的发展。2存在的问题传统的网络服务功能节点多为专有设备，其物理位置与网络拓扑紧密耦合。网络流量在传输过程中，需要专有的网络设备对网络流量进行业务逻辑处理，导致网络服务的多样性不足，资源利用率低，灵活性差。Routing，PBR虽然解决了网络服务与网络物理拓扑紧耦合的问题，但是服务节点往往需要较多维护信3基于SRv6的服务链方案研究技术的完善，在边缘云部署网络服务，结合支持网络可编程的SRv6技术与支持集中控制的SDN技术，实现了服务链路径编排与流量转发，且无需大规模升级网络设备即可实现服务链功能，降低了运维成本和部署的复杂度，具备大规模商用条件。本文选用的是基于SRv6的SFC方案，可以避免MPLS配置繁琐和维护复杂，同时支持SDN集中控制。SRv6网络主要有SRv6BE和SRv6Policy2种流量转发技术［6本文选用的是SRv6Policy技术。3.1SFC架构服务链可以理解为按照用户需求，让业务流量经过1个或多个网络服务节点以提供特定功能的服务。服务链可以实现多种网络服务功能，例如：Web应用］ServiceClassifierServiceClassifier流量进行分类，分类的颗粒度由分类器能力和SFC策略决定，一般而言，SC存在于SFC头节点。SFF使用SFC封装的信息，将网络中收到的数据包转发给与SFF相关联的1个或者多个VAS，来自VAS的流量最终返回到同一个SFF。根据VAS处理SRv6数据包的能力可分为SRv6AwareVAS和SRv6UnawareVAS2种模式［8］。AwareVAS具备对SRv6数据包解封装的能力，这意味着它们能够对原始数据包进行操作。相反地，UnawareVAS不具备对SRv6数据包解封装的能SRv6封装信息，再将报文发送给VAS，同时也接受来基于SRv6的SFC系统架构分为数据平面和控制面负责SFC编排控制功能。3.2控制平面制器和云管平台。算网大脑主要负责网络资源与云池算力资源的编排和调度。算网大脑通过各类接口协议收集底层IP网络拓扑、链路时延、云池算力资源以及云池可提供的服务信息。算网大脑根据上层业务需求和实际的云池算力资源、网络资源情况，分别调度SDN网络控制器和云管平台，实现SFC业务的开通。云管平台负责对VAS资源的管理。云管平台对VAS的部署可分为静态部署和实时部署。静态部署指云池中的VAS资源是提前配置好的；动态部署指网络的配置与VAS的部署是同步进行的，该方案提高了资源利用率。实践中，项目组采用了静态部署方案。SDN控制器负责网络打通，包括SRv6Policy算邮电设计技术/2023/0843安全服务编排SecurityServiceOrchestration面向安全场景的服务链技术研究和实践控制平面数据平面节点算网大脑SDN控制器云管平台23R1R2图2基于SRv6的SFC系统架构算路和创建需要SDN控制器通过BGP-LS等收集网络拓扑、TE信息以及SRv6信息，并根据业务需求集中计算路径，然后通过BGP等协议将SRv6Policy配置指令下发到SC节点。创建L3EVPN的目的是利用SRv6Policy隧道承载三层业务数据。将SRv6Policy部署在SC节点后，还需要完成引流工作，即将指定的业务流量引导到SRv6Policy中，项目组选用Color引流的方式。Color是业务和SRv6Policy隧道的锚点，能够1个或者多个业务需求模板，通过匹配业务和SRv63.3数据平面在数据平面，网络由支持SRv6技术的路由器和传统IPv6路由器组成。支持SRv6的路由器能够添加、删除或处理SRv6报文封装；传统IPv6路由器（R1和R2）支持IPv6数据包的转发，但不支持分段路由扩展头SFF节点上实现VAS服务功能的转发，云池中运行的每个VAS实例都有唯一的IPv6地址。通常，与同一个SFF节点关联的VAS将被分配与该SFF节点相同IPv6前缀的IPv6地址，每个VAS的IPv6地址对应一个SRv6SID，都被有序地封装在SFC的SRH扩展包头中。图3所示为SRv6SFC数据包处理流程。当数据包达到SC节点时，检测该数据包是否匹配SFC规则。类后的流量被重定向到SRv6Policy中，SC节点根据SRv6Policy进行SRv6报文封装，SRv6路径信息封装442023/08/DTPT匹配否查询IPv6路由表转发查SRv6报文目的地址并转发否是SFF节点？否SL=SL-匹配否查询IPv6路由表转发查SRv6报文目的地址并转发否是SFF节点？否SL=SL-1IPv6报文转发是 到达目的节点重新封装SRv6报文解封装报文，将原始报文转发到关联VAS结束开始数据包到达SC节点引流规则？是SRv6报文封装配置初始化 否路由节点路由节点具备SRv6处理能力？解封装解封装SRv6报文，并将原始报文转发到目的地 是替换目的地路由表转发文处理图3SRv6SFC数据包处理流程在SRH扩展包头中，数据包根据SRH进行转发。当中间的路由节点不支持SRv6数据处理，只支持IPv6路由功能组时，仅需要根据IPv6目的地址进行查表转发；当中间路由节点支持SRv6数据处理时，SL值减1，并将对应的列表路径值复制到IPv6包头的目的地址中。当报文路由到SFF节点时，根据SRv6封装信息，记录转发到关联的VAS节点上。VAS处理完报文后，将报文信息返回到刚经过的SFF，SFF查找配置信息，根据配置的SIDlist重新封装SRv6报文，SRH1，此时SRv6报文中的目的路由节点为当前SID的下文，并将原始报文转发到目的地。此后，报文变成普4面向安全场景的应用实践本文提出了一种基于SRv6技术面向安全场景的完成业界首个基于SRv6技术的安全服务链试点和端面向安全场景的服务链技术研究和实践安全服务编排SecurityServiceOrchestration到端功能验证。4.1实验室网络环境图4所示为实验室环境拓扑，其中CPE1远东、云资源池的安全应用，测试仪具有流量的发送、接收功能。实验室系统架构与图2一致，根据业务需求，算网大脑通过SDN控制器，实现网络资源的调度；通过云管平台，实现算力资源的调度。在服务链专线开通后，利用测试仪发送、接收的流量完成端到端的功能验证。vFW1网关1-远东vWAF1vFW2vWAF2网关2-远东测试仪端口1CPE1远东ANT1-实验网-远东980CMER1-实验网-远东X8AMER3-实验网-七所X8A远东CPE3测试仪端口2CPE2远东ANT2-实验网-远东980CMER2-实验网-远东X8AMER4-实验网-七所X8A测试仪端口3图4实验室环境拓扑4.2服务链数据管理VAS服务部署好后，云管平台通过API接口告知算网大脑各云池具备的VAS服务能力以及VAS服务数量。服务链的开通，需要算网大脑协调SDN控制器和云管平台，实现网络与算力资源的灵活调度。算网大脑存放服务链的业务数据，开通后的服务链的部分关键字段如表1所示。表1服务链开通后部分关键字段字段名称字段说明VAS_nameVAS服务名称VAS服务时间VAS_numVAS服务数量color_namecolor名称color_idcolor的IDSRv6_Policy_idSRv6_Policy的IDSRv6_Policy_pathsSFC_L3EVPN_index每一条业务的L3EVPN唯一标识4.3服务链业务测试图5所示为实验室环境下算力网络WAF服务开通后算网大脑的前端页面，直观地展示了服务链路径、逐跳时延以及测试仪的流量收发状态。在VAS服务中预先配置WAF防护过滤规则，流量发送仪表上配置不注入SQL攻击的业务流量1和注入SQL攻击的业务流量2，2类业务流量经过VAS服务节点后，流量接收仪表中只收到了业务流量1，验证了端到端的WAF服务功能生效，实现对指定特征流量的拦截。除此之外，项目组还在实验室环境中验证了端到端的FW服务功能。前端页面中的“创建路径”指创建一条端到端的路由设备，改变当前流量路径，将流量引入到旁挂的安环境中，WAF服务与FW服务间的互相切换。在实验室环境中完成了基于SRv6的服务链装机、拆机、VAS服务切换。其中装机需执行2个步骤完成，反，分别是取消引流和取消路径；VAS服务的切换需要先删除原来的VAS服务再新增VAS服务。为了实现“VAS服务切换”原子能力进行测试验证。a）创建路径。图6所示为创建路径的业务流程。业务人员首先在前端页面上选择源端CPE、宿端CPE以及必经节点（即与VAS相连的路由器，具备SRv6Proxy的功能）以及所需的VAS服务后，点击“经节点的IP地址下发给算网大脑，算网大脑下发创建邮电设计技术/2023/0845安全服务编排SecurityServiceOrchestration面向安全场景的服务链技术研究和实践首页算网一体源端CPECPE1远必经节点MER1-算力网络服务链接功能宿端CPE远东CPEVAS服务vWAF刷新创建路径引流取消引流删除路径取消引流删除路径VAS服务切换流量发送仪发送流量信息业务流量1不携带SQL注入攻击流量业务流量2携带SQL注入攻击流量 网关1-远东流量接收仪接收流量信息业务流量1收到业务流量2未收到CPE1远东ATN1-实验网-远东980CMER1-实验网-远东X8AMER3-实验网-七所X8A远东CPE3图5算力网络服务链前端页面B域算网大脑云管平台设备查询Color返回ColorIDSRv6Policy预计算路（不带VAS路径）创建B域算网大脑云管平台设备查询Color返回ColorIDSRv6Policy预计算路（不带VAS路径）创建SRv6Policy(添加VAS服务地址)创建SRv6Policy判断SRv6Policy状态为up 创建L3EVPN定期查询L3EVPN状态开通服务链业务SDN控制器创建Color返回路径VAS服务IPv6地址查询返回地址定期查询SRv6Policy状态返回SRv6Policy状态创建创建L3EVPN返回成功图6创建路径流程发SRv6Policy预计算路径查询指令，查询满足条件的路径。实验室环境中，所需要的VAS服务应用已提前部署在云池中，算网大脑根据VAS服务类型从云管平Policy时，将VAS服务的IPv6地址添加到SegmentList中的对应位置。确认SRv6Policy创建成功后，算网大脑下发创建L3EVPN指令，完成业务的端到端打通。b）创建引流和取消引流。算网大脑通过SDN控制器向网络设备下发引流指令，将流量引入到旁挂的安全防护设备（VAS服务最终完成服务链业务的开通。在通过Color引流的过程中，把业务的Color与SRv6Policy的Color进行匹配，把业务的原始下一跳地址与SRv6Policy的Endpoint地址进行匹配，这样一条业务通过SRv6Policy的Key值<Color，Endpoint>匹配到一个SRv6Policy。创建引流和取消引流的流程如图7所示。SRv6Policy的匹配关系，图8所示为取消路径的流程，B域发起取消路径业务，先通过算网大脑依次向SDN控制器下发删除L3EVPN业务、删除SRv6Policy以及删除Color的指令，完成链路的删除；再通过算网大脑下发释放所有VAS服务的指令给云管平台，最终完成服务链业务的删除。d）VAS服务切换。VAS服务的切换需要先删除原来的VAS服务再新增VAS服务，具体流程如图9所462023/08/DTPT丆丆丆丆丆丆丆丆作者简介：丆丆丆丆面向安全场景的服务链技术研究和实践安全服务编排SecurityServiceOrchestrationB域算网大脑云管平台设备创建/取消引流返回成功配置B域算网大脑云管平台设备创建/取消引流返回成功配置通知引流业务执行成功引流业务工单：引流业务SDN控制器创建/取消引流下发返回成功下发图7创建引流和取消引流流程B域算网大脑云管平台设备 删除L3EVPN删除SRv6B域算网大脑云管平台设备 删除L3EVPN删除SRv6Policy下发 删除Color删除SRv6Policy配置释放所有VAS服务资源SDN控制器取消路径业务工单：取消路径业务删除L3EVPN下发下发配置业务拆除成功图8取消路径流程B域算网大脑云管平台设备取消引流 取消引流返回配置SRv6PolicyB域算网大脑云管平台设备取消引流 取消引流返回配置SRv6Policy预计算路查询(不带VAS路径)返回路径切换VAS服务IPv6地址查询返回地址修改SRv6Policy（包含VAS服务地址）修改SRv6Policy（包含VAS服务地址）VAS服务切换成功