方案介绍
1.1背景概述
随着网络的大规模发展,网络出口功能越来越丰富,而出口设备的连接方式一般都是串行连接形式,这种情况下整网出口的性能取决于整个串上性能的最短板,并且每增加一个功能(或者说是设备),都会导致内外网的通信断开,严重影响了网络的可用性,单点故障频频发生,单点性能瓶颈越来越突出,增加设备变得越来越困难,所有的用户都在功能和网络可用性之间艰难选择。
为了解决上述问题,锐捷推出了Service Chain技术,通俗的讲,就是一种将流量(识别L2/L3/L4报文头部)按照用户定义的路径顺序地通过每个安全设备的转发技术。在数据中心/园区网/企业网的出口网络中,我们将安全设备抽象成服务节点,将安全设备处理的路径抽象成服务链,并由SDN控制器进行集中控制,实现流量定制安全设备路径引流。
1.2 SC方案介绍
变化前:出口串型部署 变化后:出口星型旁挂部署
【痛点】:
上图是目前出口设备最常见的两种部署方式:“串糖葫芦“(左图) ,“策略引流”(右图);
1)串糖葫芦”的方式一旦中间链路中断/拥塞,那么整网的外网访问体验会下降甚至发生故障;
2)“策略引流”的方式链路稳定性虽然有所提高,但PBR、不等价负载 、二层透传 等等的配置,在故障发生时恐怕只有网管能看明白中间的流量走向,问题定位时间冗长。
【期待】:
有一种技术能 提高出口稳定性、配置简洁、故障定位方便 的解决方案。这就是 【ServiceChain出口安全池化解决方案】诞生的原因
通过RG-ONC高级组件所产生的流表,去控制交换机数据包转发行为,从而实现安全区域设备的流量走向“可编程化”。
方案原理
因SC方案主要是控制去往安全区域设备的流量的走向,因此,从安全设备的部署模式(与交换机的互联方式)来看,可分为以下两种部署方式:
1、透明方式部署:即安全设备与交换机采用二层方式互联;
2、路由方式部署:即安全设备与交换机采用三层方式互联;
方案部署模型
SC最简单的部署模型如下:
1、SDN控制器:主要用于整体流表下发或配置下发;
2、引流交换机:用于转发报文,执行SDN下发的流表转发策略;
3、节点:通常为安全设备,已旁挂方式部署在交换机一侧;
其中,安全设备旁挂在交换机上,SDN控制器与交换机三层可达即可。交换机需要与SDN进行对接,因此,需要具有OpenFlow功能,且版本需要是SC方案版本。
备注:
1、 SC方案中,SDN控制器可以多节点组集群,每个节点需与交换机进行OpenFlow对接;
2、 一个SDN控制器可以对接多个引流交换机,但是每个服务链中的节点均只能属于同一台交换机上;
3、 配置业务编排时,流量的进接口和回流报文的进接口都只能属于同一台交换机。