【摘要】 主要从传统网络安全服务部署技术的缺陷、SDN服务链的技术特点、数据报文中服务链特征的标识和封装、SDN服务链中角色及其对数据报文的处理、SDN服务链组网和部署模式、SDN服务链编排、配置与处理等方面,对基于SDN服务链的云平台数据中心安全技术进行一些探讨和研究。
【关键词】SDN 服务链 云平台数据中心 组网模式 部署模式 服务链编排
云平台数据中心为了向租户提供安全、快速、稳定的网络服务,必须确保数据报文在网络中传递时,网络业务流量会按照租户的业务类型、安全保护需求和业务逻辑要求的既定次序穿过防火墙、入侵防御、负载均衡等各种安全服务节点,SDN(软件定义网络)服务链(Service Chain)技术可以有效地避免传统网络安全服务部署技术在云环境下的缺陷和不足。
一.传统网络安全服务部署技术的缺陷
传统网络中部署安全服务通常是基于物理拓扑,通过手工配置多种策略,将安全设备串接到网络业务流量路径中,由于网络设备间的耦合性和拓扑依赖,使得新业务上线、业务扩容或变更都需要手工调整整个转发路径中各个设备的策略,无法满足业务快速迭代变更等需求;数据报文在业务路径中转发时,需要经过多次解包封包过程,效率低下;安全设备资源扩展性差、无法池化,只能通过更换更高端设备来弥补性能不足;安全设备的能力资源无法在多业务间共享。
二.SDN服务链的技术特点
服务链技术是指数据报文在网络中传递时,为了给用户提供安全、快速、稳定的网络服务,网络业务流量需要按照业务逻辑要求的既定次序穿过各种安全服务节点,从而根据租户的业务需求来定义安全访问路径。
云平台数据中心可以采用SDN Overlay虚拟网络和NFV(网络功能虚拟化)技术,实现控制平面与转发平面分离、虚拟网络和物理网络分离,虚拟网络承载于物理网络之上,通过对物理网络的虚拟化和逻辑抽象,基于SDN Overlay虚拟网络的集中控制部件VCFC(虚拟应用融合架构控制器,即SDN控制器),定义并控制网络安全服务链,将安全服务融入网络架构,调配引导转发流量自动穿过安全服务节点完成安全服务处理,实现拓扑无关、便捷高效、灵活扩展的云平台数据中心网络安全解决方案。多种类型的服务节点统一资源池化,可实现安全服务资源无缝扩展和多业务共享。服务链的各服务节点可能位于相同或不同的安全资源池,VCFC可动态地添加或删除服务链上的服务节点,解耦网络设备间的关联,突破物理拓扑限制,为每个租户提供个性化的安全防护选择,通过编排面向租户应用的服务链,自动下发引流策略,实现租户业务的灵活编排和修改,且不影响物理拓扑和其它租户。数据报文只需在初次接入的流分类节点分类一次,业务转发和安全检测过程便捷高效。
上文提到的Overlay网络是叠加在物理网络上的虚拟网络,是对物理网络进行逻辑隧道叠加,再逻辑划分成虚拟网络分片,目前VXLAN(可扩展虚拟局域网络)技术是Overlay技术事实上的标准。
图1 SDN服务链示意图
三.数据报文中服务链特征的标识和封装
基于SDN Overlay虚拟网络的服务链,需要用相应字段来标识数据报文中服务链的特征,每条服务链都应该具有自己的标识,数据报文需要携带数据报文应该走哪一条服务链、服务链有几跳等特征,有两种方式标识和封装数据报文中的这些特征:
1.扩展VXLAN报文头中保留字段
SDN服务链缺省使用这种方式,前提是网络设备支持VXLAN。SDN服务链对VXLAN报文进行扩展时是从VXLAN报文头保留字段中,取出3字节作为Service Path ID,记录服务链编号,用于唯一地确定一个服务链;取出1字节作为Order counter,用于记录一个服务链是第几次进入一个主机下的服务节点。
2.NSH扩展封装
NSH(网络服务头)是服务链专用的封装格式,NSH可以承载于VXLAN、GRE(通用路由协议封装)等多种Overlay封装中。NSH对VXLAN报文进行扩展,能携带多个业务的上下文信息,完成更复杂的业务处理;支持携带Protocol Type字段,能灵活承载二层用户报文和三层用户报文。
四.SDN服务链中角色及其对数据报文的处理
基于网络的核心控制部件VCFC部署SDN服务链时,VCFC会根据租户需求,定义、创建服务链,并部署服务链上每个节点的业务逻辑。VCFC将需要进入服务链处理的数据报文特征下发到接入VTEP(VXLAN隧道端点),VTEP会根据相应的报文特征将数据报文引入服务链。
1.流分类节点
是原始数据报文的接入节点,原始报文通过流分类节点接入VXLAN网络,按照定义的流分类规则匹配数据报文,并进行流分类以确定报文是否需要进入服务链。若需要进入服务链,则为报文进行VXLAN封装和服务链Overlay封装,并转发到服务链首节点进行处理。流分类节点类型有:
(1)支持服务链的vSwitch
vSwitch(虚拟交换机)收到VM(虚拟机)报文后,直接做流分类,在vSwitch上进行服务链Overlay封装。
(2)物理交换机接入普通vSwitch
虚拟机通过普通vSwitch接入,vSwitch仅作二层交换使用,报文上送物理交换机后由物理交换机进行流分类及服务链Overlay封装。
(3)物理交换机接入物理设备
物理交换机直接接入物理设备,对物理设备发送的报文做流分类,进行服务链Overlay封装。
(4)物理交换机接入普通VXLAN报文
普通VXLAN报文上送到物理交换机,由物理交换机进行流分类,进行服务链Overlay封装。
2.服务节点
通过VCFC对服务链的定义和引流串联,可完成物理位置分散的服务节点作为安全资源的定义和分配使用。服务节点可以是FW(防火墙)、LB(负载均衡)、IPS(入侵防御)等资源。服务节点类型有:
(1)NFV服务节点
支持VXLAN和服务链,可直接进行VXLAN封装/解封装处理及业务处理。
(2)硬件安全设备
支持VXLAN和服务链,可直接进行VXLAN封装/解封装处理及业务处理。
(3)传统物理服务节点
第三方传统防火墙、负载均衡等无法支持服务链的安全服务节点,通过服务链代理节点外挂。
(4)服务链首节点
服务链中对数据报文进行处理的首个服务节点,首节点对报文进行服务处理后,将报文继续做服务链封装并转发给服务链的下一个服务节点。
(5)服务链尾节点
服务链中对数据报文进行处理的最后一个服务节点,尾节点对报文进行服务处理后,解除其服务链封装,并将报文做普通VXLAN封装后转发给目的VTEP。如果尾节点不能根据用户报文进行寻址,则需要将用户报文送到网关(指定的VTEP),由网关查询目的VTEP后进行转发。
3.代理节点
对于不支持服务链封装的服务节点,需通过代理节点解除服务链封装,再转交给该服务节点处理。
4.VCFC
即SDN控制器,负责管理服务链域内的设备并创建服务链,通过控制、抽象和编排虚拟网络,定义服务链特征,并将VTEP和服务节点的配置定义和转发策略下发到相关节点。
五.SDN服务链组网模式
1.VSR做VXLAN网关的服务链
VSR(虚拟路由器)做VXLAN IP GW,提供Overlay网关功能,vSwitch软件做L2 VTEP(二层VXLAN隧道端点),将虚拟机接入到VXLAN网络中,vSwitch软件可运行在ESXi、KVM、CAS等虚拟化平台上。安全服务节点包括VSR、vFW(虚拟防火墙)、vLB(虚拟负载均衡)、vIPS(虚拟入侵防御)等设备,通过VCFC的集中控制和编排,实现东西向和南北向服务链功能。
2.物理交换机做VXLAN网关的服务链
物理交换机做VXLAN IP GW,提供Overlay网关功能,vSwitch软件、VXLAN二层网关做L2 VTEP,将虚拟机或物理服务器接入到VXLAN网络中,vSwitch软件可运行在ESXi、KVM、CAS等虚拟化平台上。安全服务节点包括VSR、vFW、vLB、vIPS、物理防火墙/负载均衡/安全设备等。
3.第三方安全设备服务链代理
鉴于传统的安全设备不支持VXLAN和服务链,通过VXLAN二层网关做服务链服务代理节点,承担SDN服务链的报文特征识别和解析,可将传统的或第三方安全设备引入SDN服务链,从而共享SDN服务链技术,实现网络中东西向流量的安全防护。传统安全设备与VXLAN二层网关进行二层连接并通过VXLAN二层网关接入SDN VXLAN网络,VCFC只需识别业务所在VXLAN二层网关的接口,并负责导流到该接口。
六.SDN服务链部署模式
云平台数据中心通常存在南北向和东西向两类流量,南北流量是指外部网络与数据中心网络间流量,东西流量属于租户内部流量,又分为数据中心内部不同子网间流量和数据中心同一子网内终端间流量,通过部署SDN服务链可实现这两类流量的安全防护。
图2 云平台数据中心南北向和东西向流量示意图
1.南北流量SDN服务链
部署南北流量的SDN服务链可采取两种模式。
模式1部署简便,在控制器上仅管理一类设备,在设备上增加或删除配置即可实现差异化的安全服务。采用一体化的NGFW(下一代防火墙)设备作为VXLAN IP Gateway(VXLAN网关)终结租户的VXLAN流量,并转换为VLAN流量转发到外网,实现安全设备与物理拓扑解耦和多业务安全防护。NGFW同时支持NAT、安全域、IPS、LB等多种功能,可创建不同的虚拟防火墙对应不同的租户,通过VCFC下发的引流策略,多台VXLAN网关可实现负载均衡。
图3 南北流量SDN服务链部署模式1示意图
模式2业务处理节点清晰,不同节点仅实现单一功能,可做到更高的性能。通过采用不同的安全设备实现不同的安全服务资源池,并灵活地部署防护租户业务的安全服务链。采用单独的设备实现FW、LB和IPS功能,VCFC可以控制业务流量只经过FW和LB或只经过FW和IPS,在最外层采用防火墙设备作为VXLAN网关实现VXLAN和VLAN间互通。
图4 南北流量SDN服务链部署模式2示意图
2.东西流量SDN服务链
东西向租户内部流量通过纯Overlay网络转发,所有安全服务节点都是处理VXLAN报文,依据VCFC编排下发的引流策略按需按序穿过安全服务链的各个安全服务节点。
图5 东西流量SDN服务链部署模式示意图
七.SDN服务链编排、配置与处理
1.OpenStack编排服务链
VCFC将OpenStack Neutron中编排的FWaaS和LBaaS安全服务等抽象的描述和定义自动转换映射到网络设备中,从而定义和编排网络中包含FW和LB等功能的OpenSatack安全服务链,南北流量缺省经过防火墙和负载均衡,跨网段的东西流量可共享南北向防火墙和负载均衡。
2.SDN控制器编排服务链
SDN控制器(即VCFC)负责控制整个SDN Overlay网络,拥有网关、软硬件VTEP及NFV资源池等设备信息,VCFC定义和编排服务链的过程是:先申请安全服务节点,定义各节点上防火墙的策略与规则、负载均衡的成员等安全服务配置;再定义流量特征组,即定义需经过安全服务节点的流量的源和目的IP地址等信息;最后创建服务链,指定该服务链所属的租户、源和目的特征组等参数,选择需引用的安全服务节点。将定义的流量特征以流表和配置的方式下发到流分类节点和安全服务节点,引导租户流量的自动、按定义转发。
图6 SDN控制器编排的服务链示意图
3.服务链配置流程
VCFC在配置服务链时,会给服务链接入点下发引流策略及Service Path ID和第一个安全服务节点IP信息,服务链节点会匹配引流策略,对数据报文进行服务链VXLAN封装,并通过Overlay网络转发到第一个安全服务节点。VCFC会给服务链中每一个节点下发上一个服务节点IP(Pre-Node IP)和下一个服务节点IP(Next-Node IP),第一个节点只有Next-Node IP,最后一个节点只有Pre-Node IP,同时会下发前后Node IP对应的FIB(转发信息表)表项。当服务节点收到一个VXLAN报文时,会根据该报文中携带的Service Path ID查找相应的服务链表项,若匹配上则进行解封装,并对解封装后的报文进行安全服务处理,然后查找服务链对应的Next-Node IP,并进行服务链封装,转发到下一个安全服务节点。若本节点是最后一个服务节点,则在完成安全服务处理后,会根据内层载荷的目的VTEP IP进行普通VXLAN报文封装和转发。
4.服务链匹配处理流程
租户VM的首个数据包(数据报文)上送VCFC处理时,VCFC会解析Packet-In报文,根据报文目的地址确定是虚拟网络内的东西流量还是通往传统网络的南北流量。如果是南北流量,则将报文转发到网关设备进行报文后续处理;如果是东西流量,则从收到的Packet-In报文中提取源端口,进而确定源subnet、network、router信息,并根据Packet-In报文的目的IP地址获取目的VM连接的目的端口,进而确定目的subnet、network、router信息,再根据报文特征匹配服务链,首先用源端口和目的端口属性匹配服务链配置,如果找到匹配的服务链,则VCFC会确定服务链所在VTEP的VTEP IP,并向VTEP和后续处理节点下发导流的流表项。当匹配到多条服务链时,则按最精确匹配原则确定实际使用的服务链,服务链特征组匹配精度从低到高为:Routers、Networks、Subnets、Ports;如果未找到匹配的服务链,则下发东西向卸载的流表项,进行非服务链转发。
八.结语
云平台数据中心部署安全服务可以采用SDN服务链技术,基于SDN Overlay虚拟网络构建集中统一的安全服务资源池,实现安全服务部署与物理拓扑解耦,支持安全服务资源共享及弹性扩展、生产业务快速上线及变更。通过SDN控制器将需要进行安全防护的业务流量引流到安全服务资源池进行防护,并根据业务需求编排安全服务的防护次序。