Service Chain辣么好用,你竟然还不知道?

2017-11-16 10:13 出处:其他 作者:佚名 责任编辑:sunziyi

  【PConline 资讯】百忙过后,小编决定来趟海外游,在机场等待安检的百无聊赖中,前线小伙伴求救,要求脑补当下火的不要不要的ServiceChain(简称SC)方案。怎么聊才能通俗易懂深入浅出呢,在机场琢磨半天,那就从机场聊起吧。

  第一集《机场SDN交换机》

  机场是旅客去往各目的地的交通枢纽中心,有自己的指挥系统和安检规则。而SDN交换机与传统交换机相比,除了具备传统的交换转发功能外,还支持OpenFlow协议,维护着一张流表,确保数据按规则转发。

  第二集《指挥系统SDN控制器》

  指挥系统与机场的运输工作息息相关,时刻关系到机场的安全秩序。

  而SDN控制器则是SDN交换机的“指挥中心”,OpenFlow协议则是SDN交换机与SDN控制器之间通讯的“桥梁”。在SDN控制器上用户需要定义好服务节点、服务链和业务编排。

  服务节点:可以理解为安全设备,与安全设备是一一对应关系,描述了安全设备与SDN交换机的连接接口、安全模式、类型等信息。

  服务链:是流量的转发路径,它的起点和终点是SDN交换机,中途按照一定的顺序经过各个服务节点。

  业务编排:指明了流量的入口和出口(术语为反向入口)、流量的特征(符合啥样的IP五元组)、以及转发行为(可以绑定服务链转发,也可以按照传统二三层转发,还可以直接丢弃)。

  服务节点、服务链、业务编排就形成了转发规则,然后通过OpenFlow协议将这些规则以流表的形式下发给SDN交换机。

  第三集《旅客网络流量》

  网络流量就像是旅客,蜂拥而来,涌进SDN交换机。也不是每个旅客来了机场能就成功登机,不是?买了黄牛票的,带了榴莲和香蕉水的那肯定是过不了安检,是没法登机的。但前提是,你得先到机场才可能坐上飞机啊,你在来机场的路上遇到个碰瓷的,非把你往ATM机上带去,那肯定跟机场安检就没半毛钱关系了。

  另外,也不是所有旅客都需要进行安检的,比如机组人员。因此就涉及上述提到的流量特征问题,只有命中业务编排规则的流量(从指定的入口进来,符合指定的IP五元组)才会按照绑定的服务链转发。

  第四集《安检点安全设备》

  机场里面有设置行李托运的安检点,有随身携带行李的安检点,有身份证件核对的安检点,有宠物托运安检点等等;那么是不是所有人都需要经过所有安检点进行检查呢?当然不需要了。

  随着网络大规模发展,数据的安全性越来越被重视,安全功能功能和类型越来越丰富,如防火墙,IPS,IDS,WAF,流控,上网行为管理,上网行为审计等等,而这些设备都是以“糖葫芦串”的形式串联在出口处,不仅存在单点故障风险,一损俱损,还会形成性能上的“木桶短板”问题,而且一旦出现故障,不易被感知且维护成本大。SC方案则制定合理的转发规则,灵活调度这些安全设备。下面引入几个跟安全设备相关的概念:

  安全设备故障检测:如果安全设备链路DOWN了,探测不到了,则SDN交换机会把这些状