本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

首页 信息速查 产品智能选型 IP知识百科

什么是业务链?

业务链是NFV虚拟网络中对流量按需有序进行业务处理的重要手段。通常在数据中心网络中除包含基础网络交换设备外,还会部署一些VAS增值服务设备,如防火墙、负载均衡器、入侵防御设备等,保证了网络安全防护及业务调度。为满足不同业务流量的需求,同时降低数据中心网络的部署和维护成本,用户可以使用业务链按需为流量设置网络路径。

业务链的由来

传统网络中的增值服务设备(如防火墙、负载均衡器、入侵防御设备等)与网络拓扑和硬件紧密耦合,它们均为专用型设备且部署复杂。在网络扩容或变更时,需要重新规划网络拓扑,增加了网络部署和维护的成本。

随着NFVNetwork Functions Virtualization)技术的发展,网络功能与硬件解耦、转发与控制分离,使得数据中心的网络控制更弹性更灵活。在NFV虚拟化网络中,业务链在实现流量按照指定顺序完成网络服务上起到至关重要的作用。当服务需要调整时,只需要更新业务链的顺序而无需更改网络配置,就可以实现网络服务的敏捷开通。

业务链的体系架构

网络设备根据使用的功能的不同在整个业务链的体系中扮演不同的角色。业务链的角色主要包括:

  • 分类器SC(Service Classifier)。位于SFC域的边界入口,报文进入SFC域后会首先进行流量分类,并设置业务标识和封装业务报文头。
  • 服务节点SF(Service Function)。提供增值服务功能的设备,包括防火墙,负载均衡设备等。根据设备是否识别NSH(Network Service Header,网络服务报头)报文封装,SF又可以分为NSH-aware SF和NSH-unaware SF。NSH-aware SF能够识别NSH报文并转发,NSH-unaware SF不能识别NSH报文将其丢弃。
  • 业务链转发节点SFF(Service Function Forwarder)。连接SF服务功能点的设备,可以识别业务流信息,并根椐SF业务流信息进行转发。
  • SFC代理(SFC Proxy)。位于SFF及其关联的NSH-unaware SF之间,为NSH-unaware SF删除或添加NSH封装信息。
业务链的体系架构
业务链的体系架构

业务链的基本工作流程

业务链可以通过NSH封装实现,这种实现方式是在报文中添加NSH报文头,根据报文头信息进行业务链的顺序转发。NSH封装使得业务链路径上的各个节点能够相互传递信息,帮助用户对数据做动态灵活的处理。

承载NSH报文的网络有多种,例如VLAN网络、VXLAN网络。

NSH报文封装格式
NSH报文封装格式

NSH具体的报文格式如下:

下面以VXLAN网络作为承载网,介绍业务链的基本工作流程。报文需要依次经过防火墙SF1和负载均衡SF2,其中SF2不识别NSH报文。

  1. 用户流量到达SC节点后进行分类,分类后的流量被重定向到SFC业务链中,根据将要封装的NSH报文中SPI/SI信息查询NSH转发表,得到下一跳是SFF1的VTEP IP地址,对应的出接口信息为VXLAN隧道。将用户报文的ETH报文头剥除,然后进行NSH封装和ETH封装,再进行VXLAN封装,最后根据VXLAN的DIP查询路由表,得到出接口信息。
  2. SFF1节点接收到上一步的报文,对VXLAN报文头和ETH报文头进行终结,之后根据SPI/SI信息查询NSH转发表,得到下一跳是SF1的接口IP地址。根据此IP地址查询到的ARP信息构造新的ETH头。
  3. SF1收到报文后,剥除外层封装,对报文进行分析,然后将SI值减1,再封装NSH报文头和新的ETH报文头,将报文转发给SFF1节点。
  4. SFF1收到报文后,剥除报文的ETH报文头,根据NSH报文头的SPI/SI信息查询NSH转发表,得到下一跳是SFF2的VTEP IP地址。然后进行NSH封装、ETH封装和VXLAN封装。
  5. SFF2收到报文后,对VXLAN报文头和ETH报文头进行终结,之后根据SPI/SI信息查询NSH转发表,得到下一跳是Proxy的接口IP地址。根据此IP地址查询到的ARP信息构造新的ETH报文头。
  6. Proxy收到报文后,剥除外层封装,对报文进行分析,然后将SI值再减1,删除NSH封装信息,将报文转发给SF2节点。从SF2回来的流量重定向到Proxy,Proxy再添加上NSH封装和ETH封装信息,将报文转发给SFF2。
  7. SFF2收到报文后,判断SI值是否等于最后一跳的SI值。如果等于,就剥除NSH报文头,对报文做普通封装,转发出去,结束报文在SFC域中的转发;如果不等于,就查询NSH转发表继续在SFC域中转发。
业务链的基本工作流程
业务链的基本工作流程

业务链的应用

在数据中心网络中,通常ServerLeaf作为业务链的业务分类器SC。VAS节点作为服务节点SF。BorderLeaf和ServiceLeaf作为业务链转发节点SFF。

  • 东西向流量:不同安全等级之间的服务器互访时,可以根据用户诉求灵活定义东西向流量依次经过网络中的服务节点(SF1、SF2)来进行安全防护,从而实现与拓扑无关、灵活、高效、安全的业务处理需求。
  • 南北向流量:数据中心网络与外部网络之间的安全防护是网络安全的核心内容,通过业务链的定义将外部南北向访问流量灵活编排到服务节点上(SF4),实现内外网的地址转换、安全过滤等功能。
业务链的应用组网图
业务链的应用组网图
词条统计
  • 作者: 刘洁媛
  • 最近更新: 2021-10-09
  • 浏览次数: 9991
  • 平均得分:
分享链接到: