当资料包在网中被传送时,通常召唤通行证杂多的业务包装材料,为了使发誓网缓和设计请求,为用户粮食有价证券、果心、不乱的网侍者。这些业务包装材料Service Node包孕著名的用作防火墙FireWalls)、入侵检测(Intrusion Prevention System)、装填均衡(Load Balancing)等。通常,网流量召唤理智,如愿以偿所需的避孕套业务。

先前,国际公约避孕套侍者摆设,通常由于身体的拓扑,人工作用施展多个谋略,将避孕套配件序列化为业务流量按某路线发送。这种摆设、运转和维修方式在好多成绩:

·              网配件中间的耦合很大,拓扑信任性朴素的。新业务上部位、当扩张或业务变奏时,我们的召唤人工作用调准所有的转发按某路线发送的谋略,无法缓和业务果心迭代、使变换一定;

·              当资料包以业务按某路线发送转发时,通常在好多分类学继后,屡次解包、分类处置,功效低低地;

·              越来越深受欢迎Overlay挂名代表化网,网配件召唤超过新配件Overlay音讯头检测心爱的资料包,缺少与试验有关的方式,功用输掉也更朴素的;

·              避孕套配件不克不及分开,可形成性差,一旦功用不可,通常仅仅反倒高端配件;

·              避孕套配件的功用不克不及在多个侍者中间共享。

在新的网架构下,方法使用权新技术胜过地混合避孕套业务,其实体的是为了粮食有利于、避孕套的网架构,这是每边面对的人家谜语。

侍者链

跟随Overlay网的开展,挂名代表网和身体的网可以舍弃,挂名代表网托管在身体的网上,整个概括;而SDN技术和NFVNetwork Functions Virtualization,网挂名代表化技术的不断开展,它还使数码相机网把持整个敏捷,更具形成性。

SDN Overlay数码相机中,还召唤网侍者包装材料召唤的避孕套业务处置虚构率SDN其把持转发舍弃的点,通行证挂名代表化和粗灰底层网的逻辑概括,通行证网的集中把持地区SDN把持器把持,您可以引航员转发流量自动的通行证侍者,与拓扑有关。、敏捷、轻率作出的、高效、避孕套转发流量以护卫队侍者包装材料上的侍者处置,由此组织SDN界说的Overlay挂名代表网中间的侍者链Service Function Chaining)。

SDN Overlay网中,侍者链可以懂为由于请求的业务产生。

侍者链技术

由于SDN Overlay的侍者链,召唤相似的担任外场员来辨出SER的特点,每条Chain他们都有本身的成绩,包召唤具有这些特点,诸如:资料包麝香去哪个侍者链,侍者链中有标号个跃点。

眼前,用于辨出资料包中间的这些功用,有两种方式。。

Heade挡单方式

充分使用权持续存在成熟的供给者VXLAN传达枯萎,发动它8 BytesVXLAN头。

H3C SDN侍者链对VXLAN音讯的形成1所示。

侍者链对VXLAN要旨的形成

形成方式为,从VXLAN保存担任外场员:

·              取出3 Bytes作为Service Path ID,记载侍者链编号,用于不平常的鉴定侍者chai;

·              取出1Byte作为Order counter,当人家侍者链在职掌人下屡次进入多个侍者点时,可以婚配Order counter决定要输入的次数侍者包装材料。

这种方式对五金器具网配件无信任,仅需网配件支撑物VXLAN那就够了,简略易行,缓和压倒的多数侍者链界说的一定。先前缺席论据的促销,在必然的技术后面的。

方式

NSHNetwork Service Header,网侍者头是特意为侍者ch设计的包体式。,而且在OpenDaylightSFC突出中采取。其封装体式为2所示。

封装体式

你可以从下面记录。,NSHVXLAN音讯再次发动,你可以接来更多的商业传达,末版阶段更复杂的加工流畅;可形成性强。,它可以支撑物多种业务语境传达;它承载着Protocol Type担任外场员,合乎逻辑的推论是它可以承载两个水平的用户音讯、三层用户音讯,相干上地敏捷。

NSH可以带在家VXLANGRE好多其他的天性Overlay封装中。

先前,理智论据VXLAN封装进一步安心成,合乎逻辑的推论是,召唤五金器具网配件枯萎来支撑物这种试验。,新枯萎的引进和形成否定轻易。,召唤助长所有的认为的辨出和真实一定,大规模虚构是可能性的,由此压下枯萎甚至所有的网架构的本钱。短期当观察员,支撑物NSH枯萎不克不及大规模投入使用权。。

在容易地貌下,H3C SDN侍者链解约形成USAGVXLANHeade挡单方式。

侍者链

H3C SDN侍者链,由于网的果心把持单元SDN把持器——H3C VCF把持器摆设。VCF契合占用者请求的把持器,界说、创立侍者链,摆设侍者链上每个包装材料的业务逻辑。VCF把持器将用户传达功用发送到参观软件W中。/五金器具VTEPVTEP该配件理智C向侍者链引入资料包。。

H3C SDN侍者链具有以下功能:

·              流分类学包装材料:原始资料包的参观包装材料。理智界说的流分类学不变的婚配资料包,包侍者链Overlay封装,并将其转发到侍者链。

·              侍者包装材料:侍者包装材料被分派为资源,它的身体的安置可以是任性的、疏散的,通行证SDN侍者链的界说与继承权排水,末版阶段预订任务。侍者包装材料可以是用作防火墙FireWalls)、装填均衡(LoadBalance)、入侵检测(Intrusion Prevention System)等资源/资源池。

·              代劳包装材料:就不支撑物侍者链封装的侍者包装材料,侍者链打包召唤由代劳包装材料剥离,话说回来被传送到侍者包装材料处置。

·              把持立体:职掌侍者链疆土的配件管理和侍者创立,并将侍者包装材料的施展界说下发到相干包装材料上。在H3C SDN网中,通行证VCF把持器如愿以偿。

3处置音讯的角色和方式列举如下:

·              VCF把持器:H3C SDN把持器。作为网资源池的不平常的把持点,把持挂名代表化网,而且通行证概括和投资挂名代表网,界说侍者链特点。VTEP侍者包装材料和侍者包装材料上的转发谋略由。

·              侍者链流分类学包装材料VTEP1):原始音讯发射VTEP1接入VXLAN网,并坦率地对流畅停止分类学,以决定音讯条件召唤输入。结果你召唤进入侍者区,就音讯VXLAN和侍者链ID封装,转发到侍者链的第人家包装材料停止处置。

·              侍者链头包装材料SF1):第人家侍者包装材料,用于处置侍者CAI中间的资料包。。第人家包装材料在侍者处置后处置资料包,资料包持续被封装在侍者链和F中。。

·              侍者链尾包装材料SF2):处置侍者链中资料包的末版人家侍者包装材料。在残渣包装材料处置资料后,移除其侍者链封装,使传达主力队员VXLAN封装后转发到界限VTEP。结果尾包装材料不有着理智用户要旨处理虚构率,您召唤将用户音讯发送到网关VTEP3),网关重行查询实体的VTEP停止转发。

邮递员转发解说列举如下:

·              ①⑥Native以太网音讯,IP(SRC)—>IP(DST)

·              VXLAN+新2最新备用网址要旨,外界: IP(vtep1)—>IP(sf1)

·              VXLAN+新2最新备用网址要旨,外界: ip(sf1)—>ip(sf2)

·              VXLAN要旨,外界: IP(SF2)—->IP(VTEP3)

·              VXLAN要旨,外界: IP(VTEP3)—->IP(VTEP4)

详细的婚配转发进行列举如下所述:

·              VM第人家资料子宫发送到把持器停止处置。,在VCF把持器辨析Packet-In要旨,理智要旨界限址决定是挂名代表网内的东西向流量没有活力的通向国际公约网的南北向流量。结果流量为南北向,则音讯将转发到网关,音讯的后续处置由网关配件处置。

·              结果是东西交通,从收执Packet-In从messag获得源持枪,理智源持枪决定源subnetnetworkrouter传达;同时论据Packet-In传达的实体的IP地址获取实体的VM衔接的目的持枪,理智实体的港决定界限subnetnetworkrouter传达。

·              东西向流,由于音讯特点的侍者链婚配,率先,使用权源持枪和目的持枪的属性婚配t,结果你找到婚配的侍者柴,顺流地导流流体计量器;结果缺席婚配的侍者链,则下发东西向突然跌倒或落下的流表项(即非侍者链转发)。

·              结果有婚配的侍者,柴,则VCF把持器决定侍者链的安置。VTEPVTEP IP,并向VTEP流畅表心脏下的后续处置包装材料,流畅表体式列举如下:

¡  Match婚配port &vlan&五个一组普通音讯进入侍者链O婚配tunnel &vni&五个一组VXLAN要旨进入侍者链

¡  Actionvni& service chain id & order counter & tunnel,指导侍者chai的第人家包装材料的侍者包装材料,order counter =1

·              与多个侍者链婚配时,理智most preci决定现实的侍者链施展。侍者链功用组支撑物的功用从LO停止次序:Routers, 网, Subnets, Ports

H3C SDN侍者链支撑物以身体不舒服分类学包装材料:

·              支撑物侍者链vSwitchvSwitch收到挂名代表机音讯后,直流电分类学;在vSwitch上停止侍者链Overlay封装。诸如H3C S1020V

·              五金器具电话进行易货贸易机参观按次vSwitch:通行证序数的挂名代表机vSwitch接入,vSwitch仅用于两级进行易货贸易,要旨上送五金器具电话进行易货贸易机后由五金器具电话进行易货贸易机停止流分类学随着侍者链Overlay封装。诸如H3C S6800电话进行易货贸易机。

·              五金器具电话进行易货贸易机参观身体的配件:五金器具电话进行易货贸易机坦率地衔接到身体的配件,身体的配件发送资料包的分类学,停止侍者链Overlay封装。诸如H3C S6800电话进行易货贸易机。

·              五金器具电话进行易货贸易机参观按次VXLAN要旨:普通VXLAN音讯被发送到五金器具电话进行易货贸易机,由五金器具电话进行易货贸易机停止流分类学,停止侍者链Overlay封装。诸如H3C S6800电话进行易货贸易机。

H3C SDN侍者链支撑物列举如下几种侍者包装材料:

·              H3C NFV侍者包装材料:支撑物VXLAN侍者链功用。可以坦率地停止VXLAN封装/解封和加工流畅。

·              H3C五金器具避孕套配件:支撑物VXLAN侍者链功用。可以坦率地停止VXLAN封装/解封和加工流畅。

·              国际公约身体的侍者包装材料:国际公约的第三方确定的用作防火墙、装填均衡等无法支撑物侍者链避孕套功用包装材料,通行证侍者链代劳包装材料(诸如H3C S6800使出轨)可插件。

侍者链摆设浇铸

做网关侍者柴的请求

网化浇铸下,H3C VSR充任VXLAN IP GW,粮食Overlay网关功用;H3C S1020V充任L2 VTEP,参观挂名代表机VXLAN网中,流行H3C S1020V支撑物运转ESXiKVMH3C CAS好多其他的天性挂名代表化平台上。

同时,在网浇铸下Service避孕套包装材料包孕VSRvFWvLB等配件,通行证H3C VCF把持器的集中把持和安插如愿以偿了功用。侍者链支撑物挂名代表持枪、挂名代表路由器、挂名代表链路层网、挂名代表子网和IP地址用作流量特点,将流量转变到SER。侍者链通行证侍者包装材料时先通行证vFW再通行证vLB

在这种情况下,理智避孕套侍者功用施展安置,它可以分为敏捷的侍者链铸模和敏捷的侍者OpenStack两种侍者链铸模。

4所示,侍者链可以是坦率地的VCF在Controlle上摆设敏捷的侍者链摆设。

在这种情况下,南北侍者链VSR集成vFWvLB可孤独摆设;东西向侍者链vFWvLB也可孤独摆设。

侍者链铸模

5所示,在OpenStackH3Cloud OS在云平台上施展避孕套侍者,VCF用Controlle如愿以偿避孕套侍者功用,云平台施展避孕套侍者功用。

在这种情况下南北侍者链VSR集成vFW功用,vLB可孤独摆设;东西切开侍者区柴vFW业务集成在VSR上,vLB可孤独摆设。

侍者链铸模

网关侍者柴的请求

网化浇铸下,S12500-XS9800配件充任VXLAN IP GW,粮食Overlay网关功用;H3C S1020VS6800充任L2 VTEP,参观挂名代表机或身体的侍者器tVXLAN网中,流行H3C S1020V支撑物运转ESXiKVMH3C CAS好多其他的天性挂名代表化平台上。

在网浇铸下Service避孕套包装材料包孕VSRvFWvLBM9000/F5000L5000等配件。同挂名代表路由器VSR做网关侍者柴的请求相似,它还分为敏捷的侍者链铸模和OpenStack铸模。

6所示,在VCF把持器施展为新生的东方粮食避孕套侍者。。流行,侍者包装材料支撑物五金器具表ONFV形成。

在铸模中,南北侍者链不召唤特别达成协议,可以通行证S12500-X串联连接M9000如愿以偿NAT、用作防火墙和其他的侍者,S12500-X旁挂L5000粮食装填均衡侍者;由VCF把持器通行证PBR、如愿以偿排水的静态路由技术。

铸模

OpenStackH3Cloud OS在云平台上施展避孕套侍者,VCF用Controlle如愿以偿避孕套侍者功用,云平台施展避孕套侍者功用。

7所示,南北侍者链一的流畅S12500-XS9800上做VXLAN最后的,在OpenStackH3Cloud OS相干避孕套资源施展后,由VCF把持器趋势M9000L5000随着其他的自动的避孕套装置PBR、静态路由和其他的施展,如愿以偿避孕套交通导向。跨网Segmen的东西交通,北部和在南方也可以共享M9000L5000其他的避孕套配件,由VCF自动的把持器输入PBR、静态路由和其他的施展,将交通排至M9000L5000

铸模

国际公约的避孕套配件不支撑物VXLAN侍者链功用。H3C通行证侍者链代劳配件,可以引入国际公约的甚至第三方避孕套配件H3C SDN侍者链,其实体的是为了分享SDN上进的侍者技术,为客户粮食整个多样化的选择。

8所示,网化浇铸下,国际公约避孕套配件通行证S6800AC嘴(可能性是S6800的装入、凑合后的逻辑交流222接入SDN VXLAN网;S6800作为侍者链的侍者代劳包装材料,停止SDN侍者质量传达特点的辨出与辨析。S6800与避孕套配件二层衔接,其同人家交流可以接入多台挂名代表化避孕套配件,并以VLAN停止区别。

第三方避孕套配件侍者链代劳的使用权,可以支撑物第三方避孕套配件通行证S6800的单臂浇铸和双臂浇铸两种接入浇铸,如愿以偿了网中东西向流量的避孕套自动的防护,也为客户的避孕套配件选模标本粮食了整个多样的选择。在这种浇铸下,VCF把持器不再鉴定确定的的避孕套业务类别,只需决定业务位S6800的交流,并职掌引航员流到交流。

侍者链规划

自动的编排

通行证OpenStack Neutron中间的FWaaSLBaaS两大避孕套侍者功用的界说,作为H3C VCF把持器自动的测绘,可以在网中如愿以偿FW/LB避孕套侍者的侍者链规划。

在这种编排浇铸下,使用权FWaaSLBaaS那就够了以界说网的避孕套侍者链。OpenStack论据铸模所编排的功用是:

·              南北向流量未参加或完成通行证用作防火墙、装填均衡。

·              跨网段的东西向流量,可以共享南北向的用作防火墙、装填均衡。

VCF把持器将OpenStack编排的这些概括周转和界说自动的替换施展测绘到网配件中,以积累到OpenSatack的侍者链铸模。如9所示。

自动的编排铸模

把持器自动的编排

10所示,VCF把持器适应物所有的SDN Overlay网,保持不变包孕网关、软五金器具VTEP随着NFV资源池等配件的整个传达:

把持器自动的编排铸模

通行证VCF把持器的Service Chain App,你可以从事更敏捷。、周到的化的侍者链规划:

(1)      避孕套侍者功用包装材料请求,在每个包装材料上界说避孕套侍者施展,诸如用作防火墙的谋略、不变的,装填均衡构件、VIP等。

(2)      界说交通特点,这是为了界说召唤通行证的流量的寻求生产商和实体的。IP地址,它可以是持续存在的挂名代表链路层网、挂名代表子网或挂名代表Por。

(3)      创立侍者链,指定的侍者链的占用者、源和目的根本组及其他的限制因素,选择要援用的避孕套侍者功用包装材料。

前述的脚步的简略脚步,VCF把持器那就够了将界说的流量特点以流表和施展的方式分袂下发到流分类学包装材料及避孕套侍者包装材料,自动的引航员占用者流量、按界说转发。后果,诸如11所示。

把持器自动的规划后果图

侍者点

由于SDN Overlay网侍者链,具有以下点:

·              由于Overlay网技术,可以如愿以偿把持立体和网转发立体的舍弃,身体的网与逻辑网的舍弃。

·              由于SDN的施展,它可以静态地添加或砍掉侍者链上的侍者包装材料,网配件间相干性的解耦,溃身体的安心的起限制作用的规则。

·              由于占用者的摆设浇铸,它可认为每个占用者粮食赋予个性的避孕套选择能力。

·              敏捷达成协议和修正占用者业务,不感染身体的拓扑和其他的占用者。

·              资料包在初始参观流分类学中只召唤排序一次,所有的业务转发和避孕套与试验有关的进行整个手边的、更高效。

·              可以支撑物多天性型的侍者包装材料。

·              侍者包装材料的一致资源池,如愿以偿避孕套虚构率和多业务的无漏洞的形成。


附加物

GBPGroup-Based Policy,由于组的避孕套谋略Cisco占支配权位置的。OpenStackAPI构架,它粮食了一种有意驾驭浇铸。,目的是周转使用权一定,而不是,它引入了组和谋略铸模的观念,以粮食衔接性、避孕套和网侍者,可以包孕界说47成层网侍者的侍者链。GBP作为OpenStack Neutron集会侍者,先前在OpenStackKilo版本释放令(独立镶嵌。

图12 GBP的铸模

每个集会的蕴涵列举如下:

·              Policy Target:网满点。是保险单组的根本单位。

·              Group:具有异体同形属性的满点组织组。是GBP根本原语。

·              Policy Rule:谋略不变的。由ClassifierAction结合。

·              Classifier:过网流量方式,即:对流的分类学。

·              Action:不变的婚配时要手段的作用。Action可表现allowdenycopyservice-chain平等的举动,结果选择service-chain,在ORDE中拔出(加工流畅)侍者包装材料。最根本的action重使熟悉或适应到侍者链。

·              Policy RuleSet:由谋略不变的结合的不变的集。

GBP有些谋略可以坦率地测绘到intNeutronAPI,其实体的是为了我们的可以使用权持续存在的些许Neutron可插件,测绘相干列举如下:

表1 GBP战术和Neutron API的测绘相干

GBP Resource

Neutron

Policy Target

Port

Target Group

Subnet

L2 Policy

Network

L3 Policy

Router

可见,GBP尚不可购得的。Neutron自带的FWaaSLBaaS侍者完成联动与作积分运算,结果使用权GBP,你一定使用权它本身的。API设置避孕套侍者包装材料的交流,这也召唤改良的趋势经过。

H3C SDN使用权侍者拔出的侍者链构架Service Insertion)方式如愿以偿,可贴性强。。就GPB铸模来说,它也有晴天的传达:

表2 GBPH3C SDN侍者柴对应相干

GBP

H3C SDN侍者链

Target设立Group

交通特点群像

Classifier

侍者链界说

Action

进入侍者链(避孕套侍者包装材料

由此可见,H3C SDN侍者链可以与GBP停止适配,H3C SDN侍者链可以敬重是GBP最简略的如愿以偿。

Leave a Comment

电子邮件地址不会被公开。 必填项已用*标注