【摘要】 主要從傳統網絡安全服務部署技術的缺陷、SDN服務鏈的技術特點、數據報文中服務鏈特征的標識和封裝、SDN服務鏈中角色及其對數據報文的處理、SDN服務鏈組網和部署模式、SDN服務鏈編排、配置與處理等方面,對基于SDN服務鏈的云平臺數據中心安全技術進行一些探討和研究。
【關鍵詞】SDN 服務鏈 云平臺數據中心 組網模式 部署模式 服務鏈編排
云平臺數據中心為了向租戶提供安全、快速、穩定的網絡服務,必須確保數據報文在網絡中傳遞時,網絡業務流量會按照租戶的業務類型、安全保護需求和業務邏輯要求的既定次序穿過防火墻、入侵防御、負載均衡等各種安全服務節點,SDN(軟件定義網絡)服務鏈(Service Chain)技術可以有效地避免傳統網絡安全服務部署技術在云環境下的缺陷和不足。
一.傳統網絡安全服務部署技術的缺陷
傳統網絡中部署安全服務通常是基于物理拓撲,通過手工配置多種策略,將安全設備串接到網絡業務流量路徑中,由于網絡設備間的耦合性和拓撲依賴,使得新業務上線、業務擴容或變更都需要手工調整整個轉發路徑中各個設備的策略,無法滿足業務快速迭代變更等需求;數據報文在業務路徑中轉發時,需要經過多次解包封包過程,效率低下;安全設備資源擴展性差、無法池化,只能通過更換更高端設備來彌補性能不足;安全設備的能力資源無法在多業務間共享。
二.SDN服務鏈的技術特點
服務鏈技術是指數據報文在網絡中傳遞時,為了給用戶提供安全、快速、穩定的網絡服務,網絡業務流量需要按照業務邏輯要求的既定次序穿過各種安全服務節點,從而根據租戶的業務需求來定義安全訪問路徑。
云平臺數據中心可以采用SDN Overlay虛擬網絡和NFV(網絡功能虛擬化)技術,實現控制平面與轉發平面分離、虛擬網絡和物理網絡分離,虛擬網絡承載于物理網絡之上,通過對物理網絡的虛擬化和邏輯抽象,基于SDN Overlay虛擬網絡的集中控制部件VCFC(虛擬應用融合架構控制器,即SDN控制器),定義并控制網絡安全服務鏈,將安全服務融入網絡架構,調配引導轉發流量自動穿過安全服務節點完成安全服務處理,實現拓撲無關、便捷高效、靈活擴展的云平臺數據中心網絡安全解決方案。多種類型的服務節點統一資源池化,可實現安全服務資源無縫擴展和多業務共享。服務鏈的各服務節點可能位于相同或不同的安全資源池,VCFC可動態地添加或刪除服務鏈上的服務節點,解耦網絡設備間的關聯,突破物理拓撲限制,為每個租戶提供個性化的安全防護選擇,通過編排面向租戶應用的服務鏈,自動下發引流策略,實現租戶業務的靈活編排和修改,且不影響物理拓撲和其它租戶。數據報文只需在初次接入的流分類節點分類一次,業務轉發和安全檢測過程便捷高效。
上文提到的Overlay網絡是疊加在物理網絡上的虛擬網絡,是對物理網絡進行邏輯隧道疊加,再邏輯劃分成虛擬網絡分片,目前VXLAN(可擴展虛擬局域網絡)技術是Overlay技術事實上的標準。
圖1 SDN服務鏈示意圖
三.數據報文中服務鏈特征的標識和封裝
基于SDN Overlay虛擬網絡的服務鏈,需要用相應字段來標識數據報文中服務鏈的特征,每條服務鏈都應該具有自己的標識,數據報文需要攜帶數據報文應該走哪一條服務鏈、服務鏈有幾跳等特征,有兩種方式標識和封裝數據報文中的這些特征:
1.擴展VXLAN報文頭中保留字段
SDN服務鏈缺省使用這種方式,前提是網絡設備支持VXLAN。SDN服務鏈對VXLAN報文進行擴展時是從VXLAN報文頭保留字段中,取出3字節作為Service Path ID,記錄服務鏈編號,用于唯一地確定一個服務鏈;取出1字節作為Order counter,用于記錄一個服務鏈是第幾次進入一個主機下的服務節點。
2.NSH擴展封裝
NSH(網絡服務頭)是服務鏈專用的封裝格式,NSH可以承載于VXLAN、GRE(通用路由協議封裝)等多種Overlay封裝中。NSH對VXLAN報文進行擴展,能攜帶多個業務的上下文信息,完成更復雜的業務處理;支持攜帶Protocol Type字段,能靈活承載二層用戶報文和三層用戶報文。
四.SDN服務鏈中角色及其對數據報文的處理
基于網絡的核心控制部件VCFC部署SDN服務鏈時,VCFC會根據租戶需求,定義、創建服務鏈,并部署服務鏈上每個節點的業務邏輯。VCFC將需要進入服務鏈處理的數據報文特征下發到接入VTEP(VXLAN隧道端點),VTEP會根據相應的報文特征將數據報文引入服務鏈。
1.流分類節點
是原始數據報文的接入節點,原始報文通過流分類節點接入VXLAN網絡,按照定義的流分類規則匹配數據報文,并進行流分類以確定報文是否需要進入服務鏈。若需要進入服務鏈,則為報文進行VXLAN封裝和服務鏈Overlay封裝,并轉發到服務鏈首節點進行處理。流分類節點類型有:
(1)支持服務鏈的vSwitch
vSwitch(虛擬交換機)收到VM(虛擬機)報文后,直接做流分類,在vSwitch上進行服務鏈Overlay封裝。
(2)物理交換機接入普通vSwitch
虛擬機通過普通vSwitch接入,vSwitch僅作二層交換使用,報文上送物理交換機后由物理交換機進行流分類及服務鏈Overlay封裝。
(3)物理交換機接入物理設備
物理交換機直接接入物理設備,對物理設備發送的報文做流分類,進行服務鏈Overlay封裝。
(4)物理交換機接入普通VXLAN報文
普通VXLAN報文上送到物理交換機,由物理交換機進行流分類,進行服務鏈Overlay封裝。
2.服務節點
通過VCFC對服務鏈的定義和引流串聯,可完成物理位置分散的服務節點作為安全資源的定義和分配使用。服務節點可以是FW(防火墻)、LB(負載均衡)、IPS(入侵防御)等資源。服務節點類型有:
(1)NFV服務節點
支持VXLAN和服務鏈,可直接進行VXLAN封裝/解封裝處理及業務處理。
(2)硬件安全設備
支持VXLAN和服務鏈,可直接進行VXLAN封裝/解封裝處理及業務處理。
(3)傳統物理服務節點
第三方傳統防火墻、負載均衡等無法支持服務鏈的安全服務節點,通過服務鏈代理節點外掛。
(4)服務鏈首節點
服務鏈中對數據報文進行處理的首個服務節點,首節點對報文進行服務處理后,將報文繼續做服務鏈封裝并轉發給服務鏈的下一個服務節點。
(5)服務鏈尾節點
服務鏈中對數據報文進行處理的最后一個服務節點,尾節點對報文進行服務處理后,解除其服務鏈封裝,并將報文做普通VXLAN封裝后轉發給目的VTEP。如果尾節點不能根據用戶報文進行尋址,則需要將用戶報文送到網關(指定的VTEP),由網關查詢目的VTEP后進行轉發。
3.代理節點
對于不支持服務鏈封裝的服務節點,需通過代理節點解除服務鏈封裝,再轉交給該服務節點處理。
4.VCFC
即SDN控制器,負責管理服務鏈域內的設備并創建服務鏈,通過控制、抽象和編排虛擬網絡,定義服務鏈特征,并將VTEP和服務節點的配置定義和轉發策略下發到相關節點。
五.SDN服務鏈組網模式
1.VSR做VXLAN網關的服務鏈
VSR(虛擬路由器)做VXLAN IP GW,提供Overlay網關功能,vSwitch軟件做L2 VTEP(二層VXLAN隧道端點),將虛擬機接入到VXLAN網絡中,vSwitch軟件可運行在ESXi、KVM、CAS等虛擬化平臺上。安全服務節點包括VSR、vFW(虛擬防火墻)、vLB(虛擬負載均衡)、vIPS(虛擬入侵防御)等設備,通過VCFC的集中控制和編排,實現東西向和南北向服務鏈功能。
2.物理交換機做VXLAN網關的服務鏈
物理交換機做VXLAN IP GW,提供Overlay網關功能,vSwitch軟件、VXLAN二層網關做L2 VTEP,將虛擬機或物理服務器接入到VXLAN網絡中,vSwitch軟件可運行在ESXi、KVM、CAS等虛擬化平臺上。安全服務節點包括VSR、vFW、vLB、vIPS、物理防火墻/負載均衡/安全設備等。
3.第三方安全設備服務鏈代理
鑒于傳統的安全設備不支持VXLAN和服務鏈,通過VXLAN二層網關做服務鏈服務代理節點,承擔SDN服務鏈的報文特征識別和解析,可將傳統的或第三方安全設備引入SDN服務鏈,從而共享SDN服務鏈技術,實現網絡中東西向流量的安全防護。傳統安全設備與VXLAN二層網關進行二層連接并通過VXLAN二層網關接入SDN VXLAN網絡,VCFC只需識別業務所在VXLAN二層網關的接口,并負責導流到該接口。
六.SDN服務鏈部署模式
云平臺數據中心通常存在南北向和東西向兩類流量,南北流量是指外部網絡與數據中心網絡間流量,東西流量屬于租戶內部流量,又分為數據中心內部不同子網間流量和數據中心同一子網內終端間流量,通過部署SDN服務鏈可實現這兩類流量的安全防護。
圖2 云平臺數據中心南北向和東西向流量示意圖
1.南北流量SDN服務鏈
部署南北流量的SDN服務鏈可采取兩種模式。
模式1部署簡便,在控制器上僅管理一類設備,在設備上增加或刪除配置即可實現差異化的安全服務。采用一體化的NGFW(下一代防火墻)設備作為VXLAN IP Gateway(VXLAN網關)終結租戶的VXLAN流量,并轉換為VLAN流量轉發到外網,實現安全設備與物理拓撲解耦和多業務安全防護。NGFW同時支持NAT、安全域、IPS、LB等多種功能,可創建不同的虛擬防火墻對應不同的租戶,通過VCFC下發的引流策略,多臺VXLAN網關可實現負載均衡。
圖3 南北流量SDN服務鏈部署模式1示意圖
模式2業務處理節點清晰,不同節點僅實現單一功能,可做到更高的性能。通過采用不同的安全設備實現不同的安全服務資源池,并靈活地部署防護租戶業務的安全服務鏈。采用單獨的設備實現FW、LB和IPS功能,VCFC可以控制業務流量只經過FW和LB或只經過FW和IPS,在最外層采用防火墻設備作為VXLAN網關實現VXLAN和VLAN間互通。
圖4 南北流量SDN服務鏈部署模式2示意圖
2.東西流量SDN服務鏈
東西向租戶內部流量通過純Overlay網絡轉發,所有安全服務節點都是處理VXLAN報文,依據VCFC編排下發的引流策略按需按序穿過安全服務鏈的各個安全服務節點。
圖5 東西流量SDN服務鏈部署模式示意圖
七.SDN服務鏈編排、配置與處理
1.OpenStack編排服務鏈
VCFC將OpenStack Neutron中編排的FWaaS和LBaaS安全服務等抽象的描述和定義自動轉換映射到網絡設備中,從而定義和編排網絡中包含FW和LB等功能的OpenSatack安全服務鏈,南北流量缺省經過防火墻和負載均衡,跨網段的東西流量可共享南北向防火墻和負載均衡。
2.SDN控制器編排服務鏈
SDN控制器(即VCFC)負責控制整個SDN Overlay網絡,擁有網關、軟硬件VTEP及NFV資源池等設備信息,VCFC定義和編排服務鏈的過程是:先申請安全服務節點,定義各節點上防火墻的策略與規則、負載均衡的成員等安全服務配置;再定義流量特征組,即定義需經過安全服務節點的流量的源和目的IP地址等信息;最后創建服務鏈,指定該服務鏈所屬的租戶、源和目的特征組等參數,選擇需引用的安全服務節點。將定義的流量特征以流表和配置的方式下發到流分類節點和安全服務節點,引導租戶流量的自動、按定義轉發。
圖6 SDN控制器編排的服務鏈示意圖
3.服務鏈配置流程
VCFC在配置服務鏈時,會給服務鏈接入點下發引流策略及Service Path ID和第一個安全服務節點IP信息,服務鏈節點會匹配引流策略,對數據報文進行服務鏈VXLAN封裝,并通過Overlay網絡轉發到第一個安全服務節點。VCFC會給服務鏈中每一個節點下發上一個服務節點IP(Pre-Node IP)和下一個服務節點IP(Next-Node IP),第一個節點只有Next-Node IP,最后一個節點只有Pre-Node IP,同時會下發前后Node IP對應的FIB(轉發信息表)表項。當服務節點收到一個VXLAN報文時,會根據該報文中攜帶的Service Path ID查找相應的服務鏈表項,若匹配上則進行解封裝,并對解封裝后的報文進行安全服務處理,然后查找服務鏈對應的Next-Node IP,并進行服務鏈封裝,轉發到下一個安全服務節點。若本節點是最后一個服務節點,則在完成安全服務處理后,會根據內層載荷的目的VTEP IP進行普通VXLAN報文封裝和轉發。
4.服務鏈匹配處理流程
租戶VM的首個數據包(數據報文)上送VCFC處理時,VCFC會解析Packet-In報文,根據報文目的地址確定是虛擬網絡內的東西流量還是通往傳統網絡的南北流量。如果是南北流量,則將報文轉發到網關設備進行報文后續處理;如果是東西流量,則從收到的Packet-In報文中提取源端口,進而確定源subnet、network、router信息,并根據Packet-In報文的目的IP地址獲取目的VM連接的目的端口,進而確定目的subnet、network、router信息,再根據報文特征匹配服務鏈,首先用源端口和目的端口屬性匹配服務鏈配置,如果找到匹配的服務鏈,則VCFC會確定服務鏈所在VTEP的VTEP IP,并向VTEP和后續處理節點下發導流的流表項。當匹配到多條服務鏈時,則按最精確匹配原則確定實際使用的服務鏈,服務鏈特征組匹配精度從低到高為:Routers、Networks、Subnets、Ports;如果未找到匹配的服務鏈,則下發東西向卸載的流表項,進行非服務鏈轉發。
八.結語
云平臺數據中心部署安全服務可以采用SDN服務鏈技術,基于SDN Overlay虛擬網絡構建集中統一的安全服務資源池,實現安全服務部署與物理拓撲解耦,支持安全服務資源共享及彈性擴展、生產業務快速上線及變更。通過SDN控制器將需要進行安全防護的業務流量引流到安全服務資源池進行防護,并根據業務需求編排安全服務的防護次序。