【SDN解决方案】业务链之PBR&NSH

举报
chenyiliang1 发表于 2021/03/30 20:27:04 2021/03/30
【摘要】 业务链(SFC,Service Function Chain)是一系列有序的业务节点,数据流顺次经过这些业务节点进行流量检查和处理。业务节点包括FW节点、IPsec节点、NAT节点和WAF节点,具体功能如下:FW节点:提供访问策略控制业务,该节点部署在网络边界,用来控制是否允许网络互访。IPSec节点:通过虚拟专用网连接IPSec VPN业务,对在Internet传输的数据进行加密,确保数据...

业务链(SFC,Service Function Chain)是一系列有序的业务节点,数据流顺次经过这些业务节点进行流量检查和处理。业务节点包括FW节点、IPsec节点、NAT节点和WAF节点,具体功能如下:

      • FW节点:提供访问策略控制业务,该节点部署在网络边界,用来控制是否允许网络互访。

      • IPSec节点:通过虚拟专用网连接IPSec VPN业务,对在Internet传输的数据进行加密,确保数据传输安全。

      • NAT节点:提供地址转换业务,把服务器的私有IP地址段映射到一个公网IP地址,多台服务器共用同一个公网IP地址接入Internet。

      • WAF节点:对Web应用提供保护的安全防护服务。针对SQL注入、XSS攻击等威胁进行检测或阻断。从而降低Web应用因安全问题导致的业务中断、数据被窃取或篡改的风险。


目前华为控制器实现业务链功能有PBR(Policy-based Routing,策略路由)方式和NSH(Network Service Header,网络服务报头)方式两种。

PBR类型的业务链

PBR是一种依据用户制定的策略进行路由选择的机制。策略路由的操作对象是数据包,在路由表已经产生的情况下,不按照路由表进行转发,而是根据配置的具体策略来改变数据包转发路径。策略路由通过在流行为中配置重定向实现,只对接口入方向的报文生效。配置策略路由后,设备按照策略路由指定的下一跳进行转发。

控制器通过NETCONF接口向SFF(Service Function Forwarder,业务链转发节点)和SC(Service Classifier,分类器)网元逐跳下发PBR引流策略路由,牵引流量完成业务链的处理,如图1所示。支持IPv4/IPv6类型的PBR业务链。

image.png

NSH类型的业务链

通过在VXLAN报文中插入NSH报文来实现业务链功能,这使得业务链路径上的各个节点能够相互传递信息,有了这些信息整个服务链可以对数据做动态灵活的策略处理。报文在转发过程中,不感知承载网络的拓扑变更。转发节点只需要知道SF设备的位置即可实现报文转发,因此当网络拓扑变化时,可以快速实现业务的迭代变更。

通过NSH报文中携带的元数据,报文在服务节点上解析时,不需要进行封装解封装操作即可知道报文携带的信息,这样提高了报文解析效率,从而提高转发性能。

控制器通过NETCONF接口向SFF(Service Function Forwarder,业务链转发节点)和SC(Service Classifier,分类器)网元下发NSH类型的业务链配置。

image.png


iMaster NCE-Fabric提供极简易用的Web界面,使管理员可基于业务视角,用业务语言定义逻辑网络,通过图形拖拽发放业务。iMaster NCE-Fabric将业务语言转换为网络配置,自动化批量下到网络。同时,iMaster NCE-Fabric支持基于PBR或NSH的业务链,实现L4~L7层业务自动化和灵活编排,从而实现云数据中心网络自动化和按需定义和调整,助力业务上线周期从周缩短到分钟级。






微信扫描下方二维码或直接访问数通开发者社区网站

华为数通开发者社区二维码

https://devzone.huawei.com/cn/network/portal.html

【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区)、文章链接、文章作者等基本信息, 否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。