基于SDN服務(wù)鏈的云平臺(tái)數(shù)據(jù)中心安全技術(shù)探究

徐儉

【摘要】主要從傳統(tǒng)網(wǎng)絡(luò)安全服務(wù)部署技術(shù)的缺陷、SDN服務(wù)鏈的技術(shù)特點(diǎn)、數(shù)據(jù)報(bào)文中服務(wù)鏈特征的標(biāo)識(shí)和封裝、SDN服務(wù)鏈中角色及其對(duì)數(shù)據(jù)報(bào)文的處理、SDN服務(wù)鏈組網(wǎng)和部署模式、SDN服務(wù)鏈編排、配置與處理等方面，對(duì)基于SDN服務(wù)鏈的云平臺(tái)數(shù)據(jù)中心安全技術(shù)進(jìn)行一些探討和研究。

【關(guān)鍵詞】SDN 服務(wù)鏈 云平臺(tái)數(shù)據(jù)中心 組網(wǎng)模式部署模式 服務(wù)鏈編排

云平臺(tái)數(shù)據(jù)中心為了向租戶(hù)提供安全、快速、穩(wěn)定的網(wǎng)絡(luò)服務(wù)，必須確保數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)中傳遞時(shí)，網(wǎng)絡(luò)業(yè)務(wù)流量會(huì)按照租戶(hù)的業(yè)務(wù)類(lèi)型、安全保護(hù)需求和業(yè)務(wù)邏輯要求的既定次序穿過(guò)防火墻、入侵防御、負(fù)載均衡等各種安全服務(wù)節(jié)點(diǎn)，SDN（軟件定義網(wǎng)絡(luò)）服務(wù)鏈（Service Chain）技術(shù)可以有效地避免傳統(tǒng)網(wǎng)絡(luò)安全服務(wù)部署技術(shù)在云環(huán)境下的缺陷和不足。

一.傳統(tǒng)網(wǎng)絡(luò)安全服務(wù)部署技術(shù)的缺陷

傳統(tǒng)網(wǎng)絡(luò)中部署安全服務(wù)通常是基于物理拓?fù)洌ㄟ^(guò)手工配置多種策略，將安全設(shè)備串接到網(wǎng)絡(luò)業(yè)務(wù)流量路徑中，由于網(wǎng)絡(luò)設(shè)備間的耦合性和拓?fù)湟蕾?lài)，使得新業(yè)務(wù)上線(xiàn)、業(yè)務(wù)擴(kuò)容或變更都需要手工調(diào)整整個(gè)轉(zhuǎn)發(fā)路徑中各個(gè)設(shè)備的策略，無(wú)法滿(mǎn)足業(yè)務(wù)快速迭代變更等需求；數(shù)據(jù)報(bào)文在業(yè)務(wù)路徑中轉(zhuǎn)發(fā)時(shí)，需要經(jīng)過(guò)多次解包封包過(guò)程，效率低下；安全設(shè)備資源擴(kuò)展性差、無(wú)法池化，只能通過(guò)更換更高端設(shè)備來(lái)彌補(bǔ)性能不足；安全設(shè)備的能力資源無(wú)法在多業(yè)務(wù)間共享。

二.SDN服務(wù)鏈的技術(shù)特點(diǎn)

服務(wù)鏈技術(shù)是指數(shù)據(jù)報(bào)文在網(wǎng)絡(luò)中傳遞時(shí)，為了給用戶(hù)提供安全、快速、穩(wěn)定的網(wǎng)絡(luò)服務(wù)，網(wǎng)絡(luò)業(yè)務(wù)流量需要按照業(yè)務(wù)邏輯要求的既定次序穿過(guò)各種安全服務(wù)節(jié)點(diǎn)，從而根據(jù)租戶(hù)的業(yè)務(wù)需求來(lái)定義安全訪問(wèn)路徑。

云平臺(tái)數(shù)據(jù)中心可以采用SDN Overlay虛擬網(wǎng)絡(luò)和NFV（網(wǎng)絡(luò)功能虛擬化）技術(shù)，實(shí)現(xiàn)控制平面與轉(zhuǎn)發(fā)平面分離、虛擬網(wǎng)絡(luò)和物理網(wǎng)絡(luò)分離，虛擬網(wǎng)絡(luò)承載于物理網(wǎng)絡(luò)之上，通過(guò)對(duì)物理網(wǎng)絡(luò)的虛擬化和邏輯抽象，基于SDN Overlay虛擬網(wǎng)絡(luò)的集中控制部件VCFC（虛擬應(yīng)用融合架構(gòu)控制器，即SDN控制器），定義并控制網(wǎng)絡(luò)安全服務(wù)鏈，將安全服務(wù)融入網(wǎng)絡(luò)架構(gòu)，調(diào)配引導(dǎo)轉(zhuǎn)發(fā)流量自動(dòng)穿過(guò)安全服務(wù)節(jié)點(diǎn)完成安全服務(wù)處理，實(shí)現(xiàn)拓?fù)錈o(wú)關(guān)、便捷高效、靈活擴(kuò)展的云平臺(tái)數(shù)據(jù)中心網(wǎng)絡(luò)安全解決方案。多種類(lèi)型的服務(wù)節(jié)點(diǎn)統(tǒng)一資源池化，可實(shí)現(xiàn)安全服務(wù)資源無(wú)縫擴(kuò)展和多業(yè)務(wù)共享。服務(wù)鏈的各服務(wù)節(jié)點(diǎn)可能位于相同或不同的安全資源池，VCFC可動(dòng)態(tài)地添加或刪除服務(wù)鏈上的服務(wù)節(jié)點(diǎn)，解耦網(wǎng)絡(luò)設(shè)備間的關(guān)聯(lián)，突破物理拓?fù)湎拗?，為每個(gè)租戶(hù)提供個(gè)性化的安全防護(hù)選擇，通過(guò)編排面向租戶(hù)應(yīng)用的服務(wù)鏈，自動(dòng)下發(fā)引流策略，實(shí)現(xiàn)租戶(hù)業(yè)務(wù)的靈活編排和修改，且不影響物理拓?fù)浜推渌鈶?hù)。數(shù)據(jù)報(bào)文只需在初次接入的流分類(lèi)節(jié)點(diǎn)分類(lèi)一次，業(yè)務(wù)轉(zhuǎn)發(fā)和安全檢測(cè)過(guò)程便捷高效。

上文提到的Overlay網(wǎng)絡(luò)是疊加在物理網(wǎng)絡(luò)上的虛擬網(wǎng)絡(luò)，是對(duì)物理網(wǎng)絡(luò)進(jìn)行邏輯隧道疊加，再邏輯劃分成虛擬網(wǎng)絡(luò)分片，目前VXLAN（可擴(kuò)展虛擬局域網(wǎng)絡(luò)）技術(shù)是Overlay技術(shù)事實(shí)上的標(biāo)準(zhǔn)。

三.數(shù)據(jù)報(bào)文中服務(wù)鏈特征的標(biāo)識(shí)和封裝

基于SDN Overlay虛擬網(wǎng)絡(luò)的服務(wù)鏈，需要用相應(yīng)字段來(lái)標(biāo)識(shí)數(shù)據(jù)報(bào)文中服務(wù)鏈的特征，每條服務(wù)鏈都應(yīng)該具有自己的標(biāo)識(shí)，數(shù)據(jù)報(bào)文需要攜帶數(shù)據(jù)報(bào)文應(yīng)該走哪一條服務(wù)鏈、服務(wù)鏈有幾跳等特征，有兩種方式標(biāo)識(shí)和封裝數(shù)據(jù)報(bào)文中的這些特征：

1.擴(kuò)展VXLAN報(bào)文頭中保留字段

S D N服務(wù)鏈缺省使用這種方式，前提是網(wǎng)絡(luò)設(shè)備支持VXLAN。SDN服務(wù)鏈對(duì)VXLAN報(bào)文進(jìn)行擴(kuò)展時(shí)是從VXLAN報(bào)文頭保留字段中，取出3字節(jié)作為Service Path ID，記錄服務(wù)鏈編號(hào)，用于唯一地確定一個(gè)服務(wù)鏈；取出1字節(jié)作為Order counter，用于記錄一個(gè)服務(wù)鏈?zhǔn)堑趲状芜M(jìn)入一個(gè)主機(jī)下的服務(wù)節(jié)點(diǎn)。

2.NSH擴(kuò)展封裝

NSH（網(wǎng)絡(luò)服務(wù)頭）是服務(wù)鏈專(zhuān)用的封裝格式，NSH可以承載于VXLAN、GRE（通用路由協(xié)議封裝）等多種Overlay封裝中。NSH對(duì)VXLAN報(bào)文進(jìn)行擴(kuò)展，能攜帶多個(gè)業(yè)務(wù)的上下文信息，完成更復(fù)雜的業(yè)務(wù)處理；支持?jǐn)y帶Protocol Type字段，能靈活承載二層用戶(hù)報(bào)文和三層用戶(hù)報(bào)文。

四.SDN服務(wù)鏈中角色及其對(duì)數(shù)據(jù)報(bào)文的處理

基于網(wǎng)絡(luò)的核心控制部件V C F C部署S D N服務(wù)鏈時(shí)，VCFC會(huì)根據(jù)租戶(hù)需求，定義、創(chuàng)建服務(wù)鏈，并部署服務(wù)鏈上每個(gè)節(jié)點(diǎn)的業(yè)務(wù)邏輯。VCFC將需要進(jìn)入服務(wù)鏈處理的數(shù)據(jù)報(bào)文特征下發(fā)到接入VTEP（VXLAN隧道端點(diǎn)），VTEP會(huì)根據(jù)相應(yīng)的報(bào)文特征將數(shù)據(jù)報(bào)文引入服務(wù)鏈。

1.流分類(lèi)節(jié)點(diǎn)

是原始數(shù)據(jù)報(bào)文的接入節(jié)點(diǎn)，原始報(bào)文通過(guò)流分類(lèi)節(jié)點(diǎn)接入VXLAN網(wǎng)絡(luò)，按照定義的流分類(lèi)規(guī)則匹配數(shù)據(jù)報(bào)文，并進(jìn)行流分類(lèi)以確定報(bào)文是否需要進(jìn)入服務(wù)鏈。若需要進(jìn)入服務(wù)鏈，則為報(bào)文進(jìn)行VXLAN封裝和服務(wù)鏈Overlay封裝，并轉(zhuǎn)發(fā)到服務(wù)鏈?zhǔn)坠?jié)點(diǎn)進(jìn)行處理。流分類(lèi)節(jié)點(diǎn)類(lèi)型有：

（1）支持服務(wù)鏈的vSwitch

vSwitch（虛擬交換機(jī)）收到VM（虛擬機(jī)）報(bào)文后，直接做流分類(lèi)，在vSwitch上進(jìn)行服務(wù)鏈Overlay封裝。

（2）物理交換機(jī)接入普通vSwitch

虛擬機(jī)通過(guò)普通vSwitch接入，vSwitch僅作二層交換使用，報(bào)文上送物理交換機(jī)后由物理交換機(jī)進(jìn)行流分類(lèi)及服務(wù)鏈Overlay封裝。

（3）物理交換機(jī)接入物理設(shè)備

物理交換機(jī)直接接入物理設(shè)備，對(duì)物理設(shè)備發(fā)送的報(bào)文做流分類(lèi)，進(jìn)行服務(wù)鏈Overlay封裝。

（4）物理交換機(jī)接入普通VXLAN報(bào)文

普通VXLAN報(bào)文上送到物理交換機(jī)，由物理交換機(jī)進(jìn)行流分類(lèi)，進(jìn)行服務(wù)鏈Overlay封裝。

2.服務(wù)節(jié)點(diǎn)

通過(guò)VCFC對(duì)服務(wù)鏈的定義和引流串聯(lián)，可完成物理位置分散的服務(wù)節(jié)點(diǎn)作為安全資源的定義和分配使用。服務(wù)節(jié)點(diǎn)可以是FW（防火墻）、LB（負(fù)載均衡）、IPS（入侵防御）等資源。服務(wù)節(jié)點(diǎn)類(lèi)型有：

（1）NFV服務(wù)節(jié)點(diǎn)

支持VXLAN和服務(wù)鏈，可直接進(jìn)行VXLAN封裝/解封裝處理及業(yè)務(wù)處理。

（2）硬件安全設(shè)備

支持VXLAN和服務(wù)鏈，可直接進(jìn)行VXLAN封裝/解封裝處理及業(yè)務(wù)處理。

（3）傳統(tǒng)物理服務(wù)節(jié)點(diǎn)

第三方傳統(tǒng)防火墻、負(fù)載均衡等無(wú)法支持服務(wù)鏈的安全服務(wù)節(jié)點(diǎn)，通過(guò)服務(wù)鏈代理節(jié)點(diǎn)外掛。

（4）服務(wù)鏈?zhǔn)坠?jié)點(diǎn)

服務(wù)鏈中對(duì)數(shù)據(jù)報(bào)文進(jìn)行處理的首個(gè)服務(wù)節(jié)點(diǎn)，首節(jié)點(diǎn)對(duì)報(bào)文進(jìn)行服務(wù)處理后，將報(bào)文繼續(xù)做服務(wù)鏈封裝并轉(zhuǎn)發(fā)給服務(wù)鏈的下一個(gè)服務(wù)節(jié)點(diǎn)。

（5）服務(wù)鏈尾節(jié)點(diǎn)

服務(wù)鏈中對(duì)數(shù)據(jù)報(bào)文進(jìn)行處理的最后一個(gè)服務(wù)節(jié)點(diǎn)，尾節(jié)點(diǎn)對(duì)報(bào)文進(jìn)行服務(wù)處理后，解除其服務(wù)鏈封裝，并將報(bào)文做普通VXLAN封裝后轉(zhuǎn)發(fā)給目的VTEP。如果尾節(jié)點(diǎn)不能根據(jù)用戶(hù)報(bào)文進(jìn)行尋址，則需要將用戶(hù)報(bào)文送到網(wǎng)關(guān)（指定的VTEP），由網(wǎng)關(guān)查詢(xún)目的VTEP后進(jìn)行轉(zhuǎn)發(fā)。

3.代理節(jié)點(diǎn)

對(duì)于不支持服務(wù)鏈封裝的服務(wù)節(jié)點(diǎn)，需通過(guò)代理節(jié)點(diǎn)解除服務(wù)鏈封裝，再轉(zhuǎn)交給該服務(wù)節(jié)點(diǎn)處理。

4.VCFC

即SDN控制器，負(fù)責(zé)管理服務(wù)鏈域內(nèi)的設(shè)備并創(chuàng)建服務(wù)鏈，通過(guò)控制、抽象和編排虛擬網(wǎng)絡(luò)，定義服務(wù)鏈特征，并將VTEP和服務(wù)節(jié)點(diǎn)的配置定義和轉(zhuǎn)發(fā)策略下發(fā)到相關(guān)節(jié)點(diǎn)。

五.SDN服務(wù)鏈組網(wǎng)模式

1.VSR做VXLAN網(wǎng)關(guān)的服務(wù)鏈

VSR（虛擬路由器）做VXLAN IP GW，提供Overlay網(wǎng)關(guān)功能，vSwitch軟件做L2 VTEP（二層VXLAN隧道端點(diǎn)），將虛擬機(jī)接入到VXLAN網(wǎng)絡(luò)中，vSwitch軟件可運(yùn)行在ESXi、KVM、CAS等虛擬化平臺(tái)上。安全服務(wù)節(jié)點(diǎn)包括VSR、vFW（虛擬防火墻）、vLB（虛擬負(fù)載均衡）、vIPS（虛擬入侵防御）等設(shè)備，通過(guò)VCFC的集中控制和編排，實(shí)現(xiàn)東西向和南北向服務(wù)鏈功能。

2.物理交換機(jī)做VXLAN網(wǎng)關(guān)的服務(wù)鏈

物理交換機(jī)做VXLAN IP GW，提供Overlay網(wǎng)關(guān)功能，vSwitch軟件、VXLAN二層網(wǎng)關(guān)做L2 VTEP，將虛擬機(jī)或物理服務(wù)器接入到VXLAN網(wǎng)絡(luò)中，vSwitch軟件可運(yùn)行在ESXi、K V M、C A S等虛擬化平臺(tái)上。安全服務(wù)節(jié)點(diǎn)包括V S R、vFW、vLB、vIPS、物理防火墻/負(fù)載均衡/安全設(shè)備等。

3.第三方安全設(shè)備服務(wù)鏈代理

鑒于傳統(tǒng)的安全設(shè)備不支持V X L A N和服務(wù)鏈，通過(guò)VXLAN二層網(wǎng)關(guān)做服務(wù)鏈服務(wù)代理節(jié)點(diǎn)，承擔(dān)SDN服務(wù)鏈的報(bào)文特征識(shí)別和解析，可將傳統(tǒng)的或第三方安全設(shè)備引入SDN服務(wù)鏈，從而共享SDN服務(wù)鏈技術(shù)，實(shí)現(xiàn)網(wǎng)絡(luò)中東西向流量的安全防護(hù)。傳統(tǒng)安全設(shè)備與VXLAN二層網(wǎng)關(guān)進(jìn)行二層連接并通過(guò)VXLAN二層網(wǎng)關(guān)接入SDN VXLAN網(wǎng)絡(luò)，VCFC只需識(shí)別業(yè)務(wù)所在VXLAN二層網(wǎng)關(guān)的接口，并負(fù)責(zé)導(dǎo)流到該接口。

六.SDN服務(wù)鏈部署模式

云平臺(tái)數(shù)據(jù)中心通常存在南北向和東西向兩類(lèi)流量，南北流量是指外部網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)絡(luò)間流量，東西流量屬于租戶(hù)內(nèi)部流量，又分為數(shù)據(jù)中心內(nèi)部不同子網(wǎng)間流量和數(shù)據(jù)中心同一子網(wǎng)內(nèi)終端間流量，通過(guò)部署SDN服務(wù)鏈可實(shí)現(xiàn)這兩類(lèi)流量的安全防護(hù)。

1.南北流量SDN服務(wù)鏈

部署南北流量的SDN服務(wù)鏈可采取兩種模式。

模式1部署簡(jiǎn)便，在控制器上僅管理一類(lèi)設(shè)備，在設(shè)備上增加或刪除配置即可實(shí)現(xiàn)差異化的安全服務(wù)。采用一體化的NGFW（下一代防火墻）設(shè)備作為VXLAN IP Gateway（VXLAN網(wǎng)關(guān)）終結(jié)租戶(hù)的VXLAN流量，并轉(zhuǎn)換為VLAN流量轉(zhuǎn)發(fā)到外網(wǎng)，實(shí)現(xiàn)安全設(shè)備與物理拓?fù)浣怦詈投鄻I(yè)務(wù)安全防護(hù)。NGFW同時(shí)支持NAT、安全域、IPS、LB等多種功能，可創(chuàng)建不同的虛擬防火墻對(duì)應(yīng)不同的租戶(hù)，通過(guò)VCFC下發(fā)的引流策略，多臺(tái)VXLAN網(wǎng)關(guān)可實(shí)現(xiàn)負(fù)載均衡。

模式2業(yè)務(wù)處理節(jié)點(diǎn)清晰，不同節(jié)點(diǎn)僅實(shí)現(xiàn)單一功能，可做到更高的性能。通過(guò)采用不同的安全設(shè)備實(shí)現(xiàn)不同的安全服務(wù)資源池，并靈活地部署防護(hù)租戶(hù)業(yè)務(wù)的安全服務(wù)鏈。采用單獨(dú)的設(shè)備實(shí)現(xiàn)FW、LB和IPS功能，VCFC可以控制業(yè)務(wù)流量只經(jīng)過(guò)FW和LB或只經(jīng)過(guò)FW和IPS，在最外層采用防火墻設(shè)備作為VXLAN網(wǎng)關(guān)實(shí)現(xiàn)VXLAN和VLAN間互通。

2.東西流量SDN服務(wù)鏈

東西向租戶(hù)內(nèi)部流量通過(guò)純Overlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)，所有安全服務(wù)節(jié)點(diǎn)都是處理VXLAN報(bào)文，依據(jù)VCFC編排下發(fā)的引流策略按需按序穿過(guò)安全服務(wù)鏈的各個(gè)安全服務(wù)節(jié)點(diǎn)。

七.SDN服務(wù)鏈編排、配置與處理

1.OpenStack編排服務(wù)鏈

VCFC將OpenStack Neutron中編排的FWaaS和LBaaS安全服務(wù)等抽象的描述和定義自動(dòng)轉(zhuǎn)換映射到網(wǎng)絡(luò)設(shè)備中，從而定義和編排網(wǎng)絡(luò)中包含F(xiàn)W和LB等功能的OpenSatack安全服務(wù)鏈，南北流量缺省經(jīng)過(guò)防火墻和負(fù)載均衡，跨網(wǎng)段的東西流量可共享南北向防火墻和負(fù)載均衡。

2.SDN控制器編排服務(wù)鏈

SDN控制器（即VCFC）負(fù)責(zé)控制整個(gè)SDN Overlay網(wǎng)絡(luò)，擁有網(wǎng)關(guān)、軟硬件VTEP及NFV資源池等設(shè)備信息，VCFC定義和編排服務(wù)鏈的過(guò)程是：先申請(qǐng)安全服務(wù)節(jié)點(diǎn)，定義各節(jié)點(diǎn)上防火墻的策略與規(guī)則、負(fù)載均衡的成員等安全服務(wù)配置；再定義流量特征組，即定義需經(jīng)過(guò)安全服務(wù)節(jié)點(diǎn)的流量的源和目的IP地址等信息；最后創(chuàng)建服務(wù)鏈，指定該服務(wù)鏈所屬的租戶(hù)、源和目的特征組等參數(shù)，選擇需引用的安全服務(wù)節(jié)點(diǎn)。將定義的流量特征以流表和配置的方式下發(fā)到流分類(lèi)節(jié)點(diǎn)和安全服務(wù)節(jié)點(diǎn)，引導(dǎo)租戶(hù)流量的自動(dòng)、按定義轉(zhuǎn)發(fā)。

3.服務(wù)鏈配置流程

VCFC在配置服務(wù)鏈時(shí)，會(huì)給服務(wù)鏈接入點(diǎn)下發(fā)引流策略及Service Path ID和第一個(gè)安全服務(wù)節(jié)點(diǎn)IP信息，服務(wù)鏈節(jié)點(diǎn)會(huì)匹配引流策略，對(duì)數(shù)據(jù)報(bào)文進(jìn)行服務(wù)鏈VXLAN封裝，并通過(guò)Overlay網(wǎng)絡(luò)轉(zhuǎn)發(fā)到第一個(gè)安全服務(wù)節(jié)點(diǎn)。VCFC會(huì)給服務(wù)鏈中每一個(gè)節(jié)點(diǎn)下發(fā)上一個(gè)服務(wù)節(jié)點(diǎn)IP（Pre-Node IP）和下一個(gè)服務(wù)節(jié)點(diǎn)IP（Next-Node IP），第一個(gè)節(jié)點(diǎn)只有NextNode IP，最后一個(gè)節(jié)點(diǎn)只有Pre-Node IP，同時(shí)會(huì)下發(fā)前后Node IP對(duì)應(yīng)的FIB（轉(zhuǎn)發(fā)信息表）表項(xiàng)。當(dāng)服務(wù)節(jié)點(diǎn)收到一個(gè)VXLAN報(bào)文時(shí)，會(huì)根據(jù)該報(bào)文中攜帶的Service Path ID查找相應(yīng)的服務(wù)鏈表項(xiàng)，若匹配上則進(jìn)行解封裝，并對(duì)解封裝后的報(bào)文進(jìn)行安全服務(wù)處理，然后查找服務(wù)鏈對(duì)應(yīng)的Next-Node IP，并進(jìn)行服務(wù)鏈封裝，轉(zhuǎn)發(fā)到下一個(gè)安全服務(wù)節(jié)點(diǎn)。若本節(jié)點(diǎn)是最后一個(gè)服務(wù)節(jié)點(diǎn)，則在完成安全服務(wù)處理后，會(huì)根據(jù)內(nèi)層載荷的目的VTEP IP進(jìn)行普通VXLAN報(bào)文封裝和轉(zhuǎn)發(fā)。

4.服務(wù)鏈匹配處理流程

租戶(hù)VM的首個(gè)數(shù)據(jù)包（數(shù)據(jù)報(bào)文）上送VCFC處理時(shí)，VCFC會(huì)解析Packet-In報(bào)文，根據(jù)報(bào)文目的地址確定是虛擬網(wǎng)絡(luò)內(nèi)的東西流量還是通往傳統(tǒng)網(wǎng)絡(luò)的南北流量。如果是南北流量，則將報(bào)文轉(zhuǎn)發(fā)到網(wǎng)關(guān)設(shè)備進(jìn)行報(bào)文后續(xù)處理；如果是東西流量，則從收到的Packet-In報(bào)文中提取源端口，進(jìn)而確定源subnet、network、router信息，并根據(jù)Packet-In報(bào)文的目的IP地址獲取目的VM連接的目的端口，進(jìn)而確定目的subnet、network、router信息，再根據(jù)報(bào)文特征匹配服務(wù)鏈，首先用源端口和目的端口屬性匹配服務(wù)鏈配置，如果找到匹配的服務(wù)鏈，則VCFC會(huì)確定服務(wù)鏈所在VTEP的VTEP IP，并向VTEP和后續(xù)處理節(jié)點(diǎn)下發(fā)導(dǎo)流的流表項(xiàng)。當(dāng)匹配到多條服務(wù)鏈時(shí)，則按最精確匹配原則確定實(shí)際使用的服務(wù)鏈，服務(wù)鏈特征組匹配精度從低到高為：Routers、Networks、Subnets、Ports；如果未找到匹配的服務(wù)鏈，則下發(fā)東西向卸載的流表項(xiàng)，進(jìn)行非服務(wù)鏈轉(zhuǎn)發(fā)。

八.結(jié)語(yǔ)

云平臺(tái)數(shù)據(jù)中心部署安全服務(wù)可以采用SDN服務(wù)鏈技術(shù)，基于SDN Overlay虛擬網(wǎng)絡(luò)構(gòu)建集中統(tǒng)一的安全服務(wù)資源池，實(shí)現(xiàn)安全服務(wù)部署與物理拓?fù)浣怦?，支持安全服?wù)資源共享及彈性擴(kuò)展、生產(chǎn)業(yè)務(wù)快速上線(xiàn)及變更。通過(guò)SDN控制器將需要進(jìn)行安全防護(hù)的業(yè)務(wù)流量引流到安全服務(wù)資源池進(jìn)行防護(hù)，并根據(jù)業(yè)務(wù)需求編排安全服務(wù)的防護(hù)次序。B&P;