H3C VCF控制器服务链技术白皮书-V1.0
H3C SDN DFW技术白皮书
H3C SDN DFW技术白皮书Copyright © 2016 杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录1 概述 (1)1.1 产生背景 (1)1.2 技术优点 (1)2 技术实现 (1)2.1 概念介绍 (1)2.1.1 状态 (1)2.1.2 分布式防火墙 (2)2.1.3 分布式防火墙策略 (2)2.1.4 规则 (2)2.1.5 分布式防火墙子策略 (2)2.1.6 IP地址集 (2)2.2 运行机制 (2)2.3 应用限制 (6)3 典型组网应用 (7)3.1 云数据中心部署DFW的典型应用 (7)1 概述1.1 产生背景传统的集中式防火墙一般用来做边界防护,但是云数据中心不仅仅要求边界保护,还要求对内网虚机之间的流量进行安全防护,如果这些流量全部绕行到集中式防火墙,随着网络的升级和扩容,这种方式就难以满足大容量、高性能、可扩展的要求和挑战,容易形成性能瓶颈。
因此,把安全功能嵌入数据中心内主机节点的分布式防火墙应运而生。
当前业界SDN控制器提供的嵌入式安全主要通过安全组的ACL功能实现。
ACL功能是通过在虚拟交换机上下发ACL规则来控制虚拟机的流量。
在企业的网络规划日渐复杂的情况下,这种方式已经不能满足企业的需求,主要表现为:∙仅检查当前报文的信息,不关心连接状态,安全性低。
∙部署方式复杂,不容易维护。
DFW(Distributed Firewall,分布式防火墙)是一种分布式状态监测防火墙,可记录并跟踪各种网络连接(如TCP连接等),并对各种类型的报文进行检查和处理。
1.2 技术优点DFW具有以下技术优点:∙为整个数据中心提供了无所不在的安全防护,让安全机制既具有广泛性,又具有精确度;虚机之间的流量无须因为安全防护绕行,可扩展性好。
无线产品网规指导书V1.0
H3C无线网规指导书V1.0杭州华三通信技术有限公司目录1版本说明 (3)1.1使用说明 (3)1.2版本说明 (3)2网规指导 (3)2.1网规前的准备 (3)2.1.1网规实施计划 (3)2.1.2用户方提供的保障条件 (4)2.2网规规范 (4)3网规的内容和作用 (4)3.1网规的原因 (4)3.2网规的原则 (5)3.3网规的内容 (5)3.4网规的作用和运用 (5)3.5网规中涉及的设备和线缆 (5)3.6H3C无线局域网(WLAN)室外工程界面 (7)4网规报告填写指导 (7)4.1封面 (7)4.1.1网规地点名称 (7)4.1.2联系方法 (8)4.2网规区域特征说明 (8)4.3网规区域平面图 (8)4.4覆盖单元的说明 (8)4.5网规图 (8)4.6各覆盖单元的覆盖说明 (9)4.7组网图 (9)4.8AP连接信息表 (9)4.9设备、材料汇总表 (9)4.10网规备忘录 (10)1 版本说明1.1 使用说明●本指导是无线网规的技术依据和技术要求,要求网规工程师参照执行。
●系统网规应按照规范执行,网规结果或结论要明确,不允许存在模棱两可的结论或结果。
●用户方如果提出特别要求,需与用户方共同协商,结果报杭州华三通信技术有限公司备案审核。
●网规过程需要用户方技术人员共同参加,协助并监督网规结果和网规过程。
1.2 版本说明本指导书适用于杭州华三通信技术有限公司所有无线产品的网规,与《H3C无线网规报告模版》一起使用。
2 网规指导2.1 网规前的准备无线工程设计人员在接到网规任务书后,首先应仔细阅读《H3C无线网规报告模版》和《H3C无线网规指导书》,然后起程前往目的地,到达目的地后,必须就网规条件和网规计划与用户方主要技术负责人及相关技术人员共同协商,并以良好的服务态度尽早地向用户方提出可能需要的人员、车辆、设备等用户方保障条件,根据协商意见实施网规计划,记录用户方主要技术人员、行政组织人员等相关人员联系电话,办公室位置等,便于现场及其它特殊情况下协调。
H3C SecCenter 解决方案技术白皮书 V1.1
SecCenter解决方案技术白皮书Hangzhou H3C Technology Co., Ltd.杭州华三通信技术有限公司All rights reserved版权所有侵权必究目录1 商业用户网络对于安全管理的需求 (5)2 安全管理技术方案比较 (6)3 H3C安全管理中心解决方案 (7)3.1 安全管理中心基本思路 (7)3.2 解决方案特点 (8)3.3 典型组网图 (9)4 系统主要技术特性分析 (10)4.1 不同种类的安全设备支持 (10)4.2 企业安全分析 (11)4.3 网络架构 (12)4.4 安全拓扑和可视化威胁 (12)4.5 监控&事件关联 (13)4.6 安全管理报告 (15)4.7 可升级日志管理 (15)4.8 搜索分析 (15)5 总结和展望 (16)6 参考文献 (16)7 附录 (16)Figure List 图目录图1 典型组网图 (10)图2 安全管理添加到网络和应用管理 (11)图3 SecCenter支持单独配置和分布式配置 (12)图4 基于拓扑的实时威胁可视化下拉菜单 (13)图5 监控仪表盘展示了一个实时的全部安全状态的一部分 (14)SecCenter解决方案技术白皮书关键词:SecCenter、安全管理、事件、日志、搜索摘要:本文档对于SecCenter安全管理中心的解决方案进行了介绍。
描述了用户对于安全管理中心的需求,各种方案的比较。
介绍了H3C推出解决方案的技术特点、组网图、主要技术分析等。
缩略语清单:1 商业用户网络对于安全管理的需求一个公司只是注重在物理上对网络安全的投资是远远不够的,即使安全防范再严密的网络,也会有可能有破坏性漏洞的产生。
据估计在世界范围内由攻击造成的经济损失已经由1997 年的33 亿美元上升到2003 年的120亿美元。
这个数字还在快速上升。
另外,为了满足政府规范要求,需要执行安全审计流程。
如果不能满足政府的规范要求,除了有可能被高额的罚款以外,还有可能触犯法律,面临刑事诉讼。
华三ICTC专题胶片(H3C)V1.0
11
H3C新网络技术架构
Cloud Management System
虚拟化网络
DCI互联
云POP
SDS
SDN APP
VCF控制器分布式集群
SDN网络
Spine Spine
Leaf
SDNFabric Leaf Leaf
Firewall LB
WAN Router
Leaf
Leaf
虚拟网络
NFV支持
Distributed Firewall Distributed L3 Distributed L2
Overlay数据平面提供
基于VXLAN提供数据封装,基于承载网络传输
Overlay网络是物理网络向云和虚拟化的深度延伸,使云资源池化能力可以摆脱物理网络的限制,是实现云网 融合的关键, VxLAN是目前应用最广的Overlay技术。
9
Overlay网络的三种模式
Host Overlay
南向接口
分层解耦 能力开放 应用灵活 控制集中 按需交付 弹性扩展 高效运维
5
NFV网络功能虚拟化
虚拟网元
传统网络设备
标准服务器
VNF设备
NFV 资源 编排业 务管理 系统
6
NFV网络功能虚拟化的架构和价值
业务运 营支撑
系统
VNF 网元管
பைடு நூலகம்
Overlay控制平面提供
◆ 服务发现(Service Discovery) Overlay边缘设备如何发现彼此,以便建立Overlay隧 道关系? ◆ 地 址 通 告和 映 射 (Address Advertising and Mapping) Overlay 边缘设备如何交换其学习到的主机可达性信 息 ◆ 隧道管理(Tunnel Management) 如何管理Overlay边缘设备之间的虚拟连接关系
H3C SDN Overlay技术白皮书-V1.0
H3C SDN Overlay技术白皮书Copyright © 2016 杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录1 概述 (1)1.1 产生背景 (1)1.2 技术优点 (1)2 Overlay技术介绍 (3)2.1 Overlay的概念介绍 (3)2.2 Overlay的解决方法 (3)3 Overlay技术实现 (5)3.1 Overlay网络基础架构 (5)3.2 Overlay网络部署需求 (7)3.2.1 VXLAN网络和传统网络互通的需求 (7)3.2.2 VXLAN网络安全需求 (7)3.2.3 Overlay网络虚拟机位置无关性 (8)3.2.4 Overlay与SDN的结合 (8)4 H3C SDN Overlay模型设计 (9)4.1 H3C SDN Overlay模型设计 (9)4.2 SDN控制器模型介绍 (11)4.3 H3C SDN Overlay组件介绍 (12)4.4 SDN Overlay网络与云对接 (13)4.4.1 SDN Overlay与OpenStack对接 (14)4.4.2 SDN Overlay与基于OpenStack的增强云平台对接 (15)4.4.3 SDN Overlay与非OpenStack云平台对接 (16)4.5 服务链在Overlay网络安全中的应用 (16)4.5.1 什么是服务链 (16)4.5.2 Overlay网络服务链节点描述 (17)4.5.3 服务链在Overlay网络安全中的应用 (17)5 SDN Overlay组网方案设计 (19)5.1 SDN Overlay组网模型 (19)5.1.1 网络Overlay (20)5.1.2 主机Overlay (20)5.1.3 混合Overlay (20)5.2 H3C SDN Overlay典型组网 (20)5.2.1 网络Overlay (20)5.2.2 主机Overlay (23)5.2.3 混合Overlay (26)5.2.4 Overlay组网总结 (26)6 SDN Overlay转发流程描述 (28)6.1 SDN Overlay流表建立和发布 (28)6.1.1 流表建立流程对ARP的处理 (28)6.1.2 Overlay网络到非Overlay网络 (28)6.1.3 非Overlay网络到Overlay网络 (29)6.2 Overlay网络转发流程 (29)6.2.1 Overlay网络到非Overlay网络 (30)6.2.2 非Overlay网络到Overlay网络 (31)6.3 Overlay网络虚机迁移 (32)6.4 SDN Overlay升级部署方案 (33)6.4.1 SDN Overlay独立分区部署方案 (33)6.4.2 IP GW旁挂部署方案 (34)6.4.3 核心升级,SDN Overlay独立分区 (35)6.4.4 Overlay网关弹性扩展升级部署 (35)6.4.5 多数据中心同一控制器集群部署 (36)7 SDN Overlay方案优势总结 (37)1 概述1.1 产生背景随着企业业务的快速扩展,IT作为基础设施,其快速部署和高利用率成为主要需求。
H3C云安全服务技术白皮书-V1.0
H3C云安全服务技术白皮书Copyright © 2016 杭州H3C技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录1 概述 (1)2 云安全架构与模型 (1)2.1 云数据中心安全访问控制需求 (1)2.2 云安全总体架构 (2)2.3 基于租户的安全隔离 (3)2.4 安全架构的两种模型 (4)3 嵌入式安全 (5)3.1 安全组ACL功能 (5)3.2 分布式状态防火墙功能 (6)4 云服务链 (6)5 基于SDN和服务链的云安全组网方案 (8)5.1 VSR做网关的服务链方案 (8)5.2 物理交换机做网关的服务链方案 (9)5.3 服务链和第三方安全设备对接 (10)5.4 服务链支持东西向和南北向安全的总结 (12)6 安全资源池化 (12)6.1 网络服务资源虚拟化和池化 (12)6.2 多资源池支持 (14)6.3 安全资源池之大规模租户技术 (15)6.3.1 硬件资源池支持大规模租户 (15)6.3.2 软件资源池支持大规模租户 (16)6.4 云安全微分段服务 (17)6.5 安全资源池之高可靠性技术 (17)7 多层次安全防护体系 (18)7.1 异构设备组成的统一安全资源池 (18)7.2 多层次的安全体系 (19)8 安全功能通过云服务部署 (19)9 H3C云安全优势总结 (21)1 概述云计算技术的发展,带来了新一轮的IT技术变革,但同时也给网络与业务带来巨大的挑战。
网络服务模式已经从传统的面向连接转向面向应用,传统的安全部署模式在管理性、伸缩性、业务快速升级等方面已经无法跟上步伐,需要考虑建设灵活可靠,自动化快速部署和资源弹性可扩展的新安全防护体系。
同时,按照云计算等保规范《信息系统安全等级保护第二分册云计算安全要求》草案7.1.2网络安全章节的描述,对云网络安全也有下述要求:•保证云平台管理流量与云租户业务流量分离;•根据云租户的业务需求自定义安全访问路径;•在虚拟网络边界部署访问控制设备,并设置访问控制规则;•依据安全策略控制虚拟机间的访问。
H3C实时无线资源管理技术白皮书
H3C公司实时无线资源管理技术白皮书关键字:无线局域网,无线接入点,无线控制器,无线资源管理,实时摘要:H3C公司无线资源管理特性提供了一套系统化的,实时智能射频管理方案,使无线网络能够自动适应无线射频环境的变化,同时保持最优的射频资源状态。
它采用了分布式方法学习周围环境,进行集中式评估,可以有效地控制和分配无线资源,降低用户的操作成本。
缩略语表:缩略语英文全称含义WLAN Wireless LAN 无线局域网AC Access Controller (Centralized WLAN Switch) 无线控制器(集中式无线局域网交换机)AP Access Point managed by H3C AC (Fit AP orManaged AP)由无线控制器管理的接入点(瘦AP或被管理的AP)RF Radio Frequency 射频CWRM Collaborative WLAN Resource Management 实时无线资源管理xAP APs not managed by H3C AC 无线控制器尚未管理的接入点目录1 总体介绍 (3)1.1 产生背景 (3)1.2 技术优势 (3)2 系统模型 (4)3 应用场景 (8)3.1 自动选择无线信道 (8)3.2 发射功率优化 (10)3.3 射频空洞与自我修复 (10)1 总体介绍本技术白皮书介绍了H3C集中式无线交换机解决方案是如何管理和控制无线资源。
H3C无线资源管理解决了如何为接入点自动配置最佳工作频率和传输功率的关键问题。
最重要的是,本技术提供了一套系统化的方法,可以监控干扰、管理覆盖范围并定期调整接入点无线资源分配,以保证网络的覆盖和吞吐。
此外,系统还实现了无线接入用户的负载均衡。
1.1 产生背景WLAN技术已经广泛地应用于企业和运营商网络。
如何有效地管理WLAN网络?如何保证WLAN网络是可靠,可用和高性能的?如何降低网络管理的复杂性和降低操作成本?这一系列问题都是WLAN应用需要关注和解决的课题。
H3C Service-chain产品配置手册
H3C Service-chain产品配置手册在 SDN 环境中应用的解决方案配置指导(东西向)目录1 简介 (2)2 配置前提 (2)3 配置举例 (2)3.1 组网需求 (2)3.2 配置步骤 (3)3.2.1 S6800 交换机初始配置 (3)3.2.2 F5020 初始配置 (4)3.2.3 L5000 初始配置 (6)3.2.4 VCF 控制器环境搭建 (8)3.2.5 NFV Manager 配置 (12)3.2.6 VSR 及VFW 资源申请 (16)3.2.7 为租户分VFW 资源 (21)3.2.8 为租户分VLB 资源 (25)3.2.9 配置虚拟网络 (26)3.2.10 vSwitch VM 上线 (45)3.2.11 S6800 交换机下挂VM 上线(网络Overlay) (53)3.3 验证配置 (65)3.4 配置东西向服务链防火墙 (70)3.4.1 配置规则 (70)3.4.2 配置策略 (70)3.4.3 配置防火墙实例 (72)3.5 配置负载均衡 (73)3.6 配置服务链 (76)3.6.1 配置流量特征组 (76)3.6.2 查看已配置的流量特征组 (78)3.6.3 创建服务链 (78)3.6.4 查看防火墙和LB 的状态 (80)4 验证配置 (81)4.1 ping 测试 (81)4.2 配置信息 (82)1 简介本文档主要介绍了东西向服务链的搭建过程,包括通过S6800 系列交换机下挂服务器VM 的网络overlay 方式和S1020V 下挂服务器VM 的主机overlay 方式两种,服务节点包括防火墙(硬件F5020 和NFV VFW)和LB 设备(硬件L5000 和NFV VLB)。
2 配置前提本文档不严格与具体软、硬件版本对应,如果使用过程中与产品实际情况有差异,请以设备实际情况为准。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
H3C VCF控制器服务链技术白皮书Copyright © 2016 杭州华三通信技术有限公司版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
本文档中的信息可能变动,恕不另行通知。
目录1 概述 (1)1.1 传统网络中的业务功能 (1)1.2 SDN服务链 (1)2 SDN服务链技术 (1)2.1 报文中服务链特征的封装格式 (1)2.1.1 扩展VXLAN头中保留字段的方式 (2)2.1.2 NSH方式 (2)2.2 H3C SDN服务链 (3)2.2.1 概念介绍 (3)2.2.2 转发流程 (4)2.2.3 服务链流分类节点的类型 (5)2.2.4 服务链服务节点的类型 (5)3 H3C SDN服务链部署模式 (6)3.1 虚拟路由器VSR做网关的服务链应用 (6)3.1.1 灵活服务链模型 (6)3.1.2 OpenStack服务链模型 (6)3.2 物理网络设备做VXLAN网关的服务链应用 (7)3.2.1 灵活服务链模型 (7)3.2.2 OpenStack模型 (8)3.3 第三方安全设备服务链代理应用 (9)4 H3C SDN服务链编排 (10)4.1 OpenStack自动编排 (10)4.2 SDN控制器自动编排 (11)5 H3C SDN服务链的特点 (12)6 附录 (13)6.1 GBP (13)1 概述1.1 传统网络中的业务功能数据报文在网络中传递时,往往需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。
这些业务节点(Service Node)包括熟知的防火墙(FireWalls)、入侵检测(Intrusion Prevention System)、负载均衡(Load Balancing)等。
通常,网络流量需要按照业务逻辑所要求的既定顺序穿过这些业务点,才能实现所需要的安全业务。
但是,传统安全业务的部署,通常都是基于物理拓扑,通过手工配置多种策略,将安全设备串行到业务流量路径当中。
这种部署和运维的模式存在诸多问题:•网络设备之间的耦合性大,拓扑依赖严重。
新业务上线、扩容或业务发生变更时,需要手工调整整个转发路径下设备的策略,无法满足业务快速迭代、变更的需求;•数据包在业务路径中转发时,往往要经过多次分类,即多次解包、封包的过程,效率低下;•在逐渐普及的Overlay虚拟化组网中,网络设备需要越过新增的Overlay报文头对内层报文进行检测,检测方法匮乏,性能损耗也更加严重;•安全设备无法池化,扩展性差,一旦出现性能不足,通常只能更换更高端的设备;•安全设备的能力无法在多业务间共享。
在新的网络架构下,如何利用新的技术将安全业务更好的融合进来,从而提供便捷、安全的网络架构,是各方面临的难题。
1.2 SDN服务链随着Overlay网络的发展,虚拟网络和物理网络得以分离,虚拟网络承载于物理网络之上,更加抽象;而SDN技术和NFV(Network Functions Virtualization,网络功能虚拟化)技术的不断发展,也让数据中心的网络控制变得更加灵活,更具有扩展性。
在SDN Overlay数据中心中,同样需要网络服务节点提供必要的安全业务处理能力。
SDN以其控制转发分离的特性,通过对基础网络的虚拟化和逻辑抽象,通过网络的集中控制部件——SDN控制器的控制,可以引导转发流量自动穿过服务节点,从而实现拓扑无关的、灵活、便捷、高效、安全地调配转发流量到服务节点上进行安全业务的处理,从而形成SDN定义的Overlay虚拟网络中的服务链(Service Function Chaining)。
在SDN Overlay网络中,服务链可以理解为一种基于应用的业务形式。
2 SDN服务链技术2.1 报文中服务链特征的封装格式基于SDN Overlay的服务链,需要有对应的字段来标识数据报文中服务链的特征,每条Chain都有自己的标识,数据包需要携带这些特征,例如:数据包应该走哪一条服务链,服务链有几跳等等。
目前,对于数据报文中这些特征的标识,有如下两种方式。
2.1.1 扩展VXLAN头中保留字段的方式充分利用现有成熟的支持VXLAN报文的芯片,扩充其8 Bytes的VXLAN头。
H3C SDN服务链对VXLAN报文的扩展如图1所示。
图1SDN服务链对VXLAN报文的扩展扩展方式为,从VXLAN保留字段中:•取出3 Bytes作为Service Path ID,记录服务链编号,用于唯一确定一个服务链;•取出1Byte作为Order counter,当一个服务链多次进入一个主机下的不同服务点时,可以通过匹配Order counter确定是第几次进入该服务节点。
这种方式对硬件网络设备无依赖,仅需网络设备支持VXLAN即可,简单易行,且能满足绝大多数服务链定义的需求。
但是由于没有标准推广,存在一定的技术壁垒。
2.1.2 NSH方式NSH(Network Service Header,网络服务头)是专门为服务链设计的封装格式,并且在OpenDaylight的SFC项目中采用。
其封装格式如图2所示。
图2NSH封装格式从上图可以看到,NSH对VXLAN报文又进行了扩展,可以携带更多的业务信息,完成更加复杂的业务处理;扩展性较强,可以支持携带多个业务上下文信息;并且其带有Protocol Type字段,因此可以承载二层用户报文、三层用户报文,较为灵活。
NSH可以承载于VXLAN、GRE等多种Overlay封装中。
但是,由于对标准VXLAN封装又进一步扩展,所以需要硬件网络设备的芯片支持这种扩展,而新型芯片推出和扩展并非易事,需要推动芯片相关的整个产业链的认同和真正的实际需求,才有可能大规模的生产,从而降低芯片乃至整个网络架构的成本。
短期看,支持NSH的芯片尚无法大规模投产应用。
在当前形势下,H3C SDN服务链缺省使用扩展VXLAN头中保留字段的方式。
2.2 H3C SDN服务链2.2.1 概念介绍H3C SDN服务链,基于网络的核心控制部件SDN控制器——H3C VCF控制器进行部署。
VCF控制器根据租户需求,定义、创建服务链,并部署服务链上每个节点的业务逻辑。
VCF控制器将需要进入服务链处理的用户报文特征下发到接入软件/硬件VTEP,VTEP设备根据相应的报文特征将数据报文引入服务链。
H3C SDN服务链中具有如下角色:•流分类节点:原始数据报文的接入节点。
按照定义的流分类规则匹配数据报文,对报文做服务链的Overlay封装,并将其转发到服务链中处理。
•服务节点:服务节点作为资源被分配使用,它的物理位置可以是任意的、分散的,通过SDN 对服务链的定义和引流串联,完成预定义的工作。
服务节点可以是防火墙(FireWalls)、负载均衡(LoadBalance)、入侵检测(Intrusion Prevention System)等资源/资源池。
•代理节点:对于不支持服务链封装的服务节点,需要通过代理节点剥离服务链封装,再转交给服务节点处理。
•控制平面:负责管理服务链域内的设备以及创建服务链,并将服务节点的配置定义下发到相关节点上。
在H3C SDN网络中,通过VCF控制器实现。
2.2.2 转发流程图3服务链典型示意图图3中各角色及其对报文的处理方式如下:•VCF控制器:H3C SDN控制器。
作为网络资源池的唯一控制点,它控制了虚拟化网络,并且通过对虚拟网络进行抽象和编排,定义服务链特征。
VTEP和服务节点上的转发策略都由控制器下发。
•服务链流分类节点(VTEP1):原始报文通过VTEP1接入VXLAN网络,并直接进行流分类以确定报文是否需要进入服务链。
如果需要进入服务链,则为报文进行VXLAN和服务链ID封装,并转发到服务链首节点进行处理。
•服务链首节点(SF1):服务链中对报文进行处理的首个服务节点。
首节点对数据报文进行服务处理后,将数据报文继续做服务链封装并转发给服务链的下一个服务节点。
•服务链尾节点(SF2):服务链中对报文进行处理的最后一个服务节点。
尾节点对数据报文进行服务处理后,解除其服务链封装,并将报文做普通VXLAN封装后转发给目的VTEP。
如果尾节点不具备根据用户报文寻址能力,则需要将用户报文送到网关(VTEP3),网关再查询目的VTEP进行转发。
报文转发说明如下:•①⑥Native以太报文,IP(src)---->IP(dst)•② VXLAN+业务链报文,外层: IP(VTEP1)---->IP(SF1)•③ VXLAN+业务链报文,外层: IP(SF1)---->IP(SF2)•④ VXLAN报文,外层: IP(SF2)---->IP(VTEP3)•⑤ VXLAN报文,外层: IP(VTEP3)---->IP(VTEP4)具体的匹配转发流程描述如下:•VM首包上送控制器处理时,在VCF控制器上解析Packet-In报文,根据报文目的地址确定是虚拟网络内的东西向流量还是通往传统网络的南北向流量。
如果是南北向流量则将报文转发到网关设备,报文后续的处理由网关设备负责。
•如果是东西向流量,从收到的Packet-In报文中提取源端口,并根据源端口确定源subnet、network、router信息;同时根据Packet-In报文的目的IP地址获取目的VM连接的目的端口,并根据目的端口确定目的subnet、network、router信息。
•对于东西向流量,根据报文特征进行服务链匹配,首先使用源端口和目的端口的属性与服务链配置进行匹配,如果找到匹配的服务链,则下发导流流表;如果未找到匹配的服务链,则下发东西向卸载的流表项(即非服务链转发)。
•如果存在匹配的服务链,则VCF控制器会确定服务链所在VTEP的VTEP IP,并向VTEP和后续处理节点下发流表项,流表项格式如下:{Match:匹配port & vlan & 五元组的普通报文进入服务链或匹配tunnel & vni & 五元组的VXLAN报文进入服务链{Action:vni & service chain id & order counter & tunnel,指向服务链首节点所在的服务节点,order counter =1。
•当匹配到多条服务链时,按照最精确匹配的原则确定实际使用的服务链配置。
服务链特征组所支持的特征按照精确程度从低到高排序依次为:Routers, Networks, Subnets, Ports。
2.2.3 服务链流分类节点的类型H3C SDN服务链支持如下几种流分类节点:•支持服务链的vSwitch:vSwitch收到虚拟机报文后,直接做流分类;在vSwitch上进行服务链Overlay封装。