Service Chain辣么好用,你竟然还不知道?

2017-11-16 10:13 出处:其他 作者:佚名 责任编辑:sunziyi

  【PConline 资讯】百忙过后,小编决定来趟海外游,在机场等待安检的百无聊赖中,前线小伙伴求救,要求脑补当下火的不要不要的ServiceChain(简称SC)方案。怎么聊才能通俗易懂深入浅出呢,在机场琢磨半天,那就从机场聊起吧。

  第一集《机场SDN交换机》

  机场是旅客去往各目的地的交通枢纽中心,有自己的指挥系统和安检规则。而SDN交换机与传统交换机相比,除了具备传统的交换转发功能外,还支持OpenFlow协议,维护着一张流表,确保数据按规则转发。

  第二集《指挥系统SDN控制器》

  指挥系统与机场的运输工作息息相关,时刻关系到机场的安全秩序。

  而SDN控制器则是SDN交换机的“指挥中心”,OpenFlow协议则是SDN交换机与SDN控制器之间通讯的“桥梁”。在SDN控制器上用户需要定义好服务节点、服务链和业务编排。

  服务节点:可以理解为安全设备,与安全设备是一一对应关系,描述了安全设备与SDN交换机的连接接口、安全模式、类型等信息。

  服务链:是流量的转发路径,它的起点和终点是SDN交换机,中途按照一定的顺序经过各个服务节点。

  业务编排:指明了流量的入口和出口(术语为反向入口)、流量的特征(符合啥样的IP五元组)、以及转发行为(可以绑定服务链转发,也可以按照传统二三层转发,还可以直接丢弃)。

  服务节点、服务链、业务编排就形成了转发规则,然后通过OpenFlow协议将这些规则以流表的形式下发给SDN交换机。

  第三集《旅客网络流量》

  网络流量就像是旅客,蜂拥而来,涌进SDN交换机。也不是每个旅客来了机场能就成功登机,不是?买了黄牛票的,带了榴莲和香蕉水的那肯定是过不了安检,是没法登机的。但前提是,你得先到机场才可能坐上飞机啊,你在来机场的路上遇到个碰瓷的,非把你往ATM机上带去,那肯定跟机场安检就没半毛钱关系了。

  另外,也不是所有旅客都需要进行安检的,比如机组人员。因此就涉及上述提到的流量特征问题,只有命中业务编排规则的流量(从指定的入口进来,符合指定的IP五元组)才会按照绑定的服务链转发。

  第四集《安检点安全设备》

  机场里面有设置行李托运的安检点,有随身携带行李的安检点,有身份证件核对的安检点,有宠物托运安检点等等;那么是不是所有人都需要经过所有安检点进行检查呢?当然不需要了。

  随着网络大规模发展,数据的安全性越来越被重视,安全功能功能和类型越来越丰富,如防火墙,IPS,IDS,WAF,流控,上网行为管理,上网行为审计等等,而这些设备都是以“糖葫芦串”的形式串联在出口处,不仅存在单点故障风险,一损俱损,还会形成性能上的“木桶短板”问题,而且一旦出现故障,不易被感知且维护成本大。SC方案则制定合理的转发规则,灵活调度这些安全设备。下面引入几个跟安全设备相关的概念:

  安全设备故障检测:如果安全设备链路DOWN了,探测不到了,则SDN交换机会把这些状态信息通过OpenFlow协议通告给SDN控制器,控制器就能感知到该服务节点故障,并更新流量转发规则。

  安全设备故障BypassBypass功能启动是指当安全设备故障之后,流量自动绕过该安全设备转发的行为。如果Bypass功能不启动,那么流量就要在故障的安全设备上中断了。这好比机场里面,如果认为旅客的安全比旅客回家更重要,就会把Bypass功能关闭,当安检机器出故障后,那大家就在机场继续候着,等机器修复后再进行安检。

  均衡链:机场里面有多条并行的安检路线,旅客可以同时在不同的安检路线上过检。服务链也可以设置多条,流量可以从多条服务链中转发。

  主备链:主备链是指当前仅有一条服务链进行流量转发(称为主服务链),当主服务链故障了,流量才会切到备服务链上转发。

  下面是大家对SC方案误解最多的地方,小编一一列出来:

  No1.不明真相的吃瓜群众经常问:“网络流量从服务器出来,经过接入、汇聚、核心交换机,再通过安全设备,最后经过出口设备访问互联网,这不是整个流路径吗?SDN考虑到各种各样的流量路径情况了吗?整个方案测试都验证完整了吗?”

  小编继续拿机场的例子回复哈,机场安检并不会关心你是坐大巴过来的,还是打的过来的,或者你路上闯了几个红绿灯……他只会关心你应该去什么类别的安检点。同样的道理,SC方案的范围在于服务链,服务链表明了流量的方向,网络流量按照服务链所要求的既定顺序经过服务节点,再完成各种安全检查。

  No2.还有一些群众质疑,“安全设备类型那么多,SC方案对接是否有问题?是否能兼容那么多的第三方安全厂商?”

  机场的安检规则和安检机用哪个品牌并没有关系,回到SC方案,SC的主要价值在于可以自定义流量转发规则,让符合某特征的流量按照规则牵引到不同的安全设备上。至于流量到达安全设备后如何处理,由安全设备上的策略来决定。所以安全设备本身的功能、性能、类别跟SC方案关联并不大。

  No3.“目前咱们不是全线交换产品都支持SDN了吗?整网都部署咱们的设备,那么SDN控制器能支撑得了那么多网元节点?流表会不会很庞大?”

  与第1个问题类似,首先需要明确清楚服务链的范围,其次,整网中会有多少台安全设备呢?不会一台接入交换机就配一台安全设备吧?如果是的话,那可能是客户钱多得没处花了,或者被某个安全厂商的销售给忽悠了~再说了,整网几千台设备都连上来,控制器会怕怕吗?可能会吧,但是跟SC方案木有关系。打个比方就是机场的指挥系统可以接管各高速路收费站的交通系统,但是跟机场安检没有关系,只是CPU可能会卡得不要不要的=。=

  No4. “控制器挂了怎么办?集群又是什么玩意?”

  控制器挂了,那么SDN交换机就与SDN控制器失去了联络,SDN交换机的转发规则还是按照当前的OpenFlow下发的流表执行,不会造成断网,但如果安全设备故障,那么故障信息就无法通报给SDN控制器,流表就不会被更新,转发就会出现异常。

  而控制器集群的出现解决了单台控制器节点故障的问题,主控制器节点故障了,备选控制器节点会接管工作,不会造成与交换机失联的情况。

网络设备论坛帖子排行

最高点击 最高回复 最新
最新资讯离线随时看 聊天吐槽赢奖品