1、2023/08/DTPT收稿日期:2023-06-271 研究背景5G的低时延、大带宽、大连接和移动性推动了物联网和企业上云的快速发展,越来越多的数据就近处理以及海量设备同时连接的需求,加速了边缘算力的发展,推动了算力与网络统一管理与灵活调度。数据报文在传统网络传输时,需要经过各种业务节点,这样才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务,经过的这些业务节点就是服务功能链(Service Function Chain,SFC)。目前 SFC数据面多基于多协议标签交换(Multi-protocol Label Switching,MPLS)技术实现,采用了多种标签发布协议1
2、,这增加了网络配置与维护的工作量,不利于大规模商用。SRv6(Segment Routing IPv6)是基于IPv6转发平面的分段路由(Segment Routing,SR)技术2-4。SRv6天然面向软件定义网络(Software DefinedNetworks,SDN)技术设计,具备源路由的路径可编程能力,通过与网络控制器配合,可实现网络的灵活编程,为云网融合、算力网络的发展提供了较好的技术选择。以太网虚拟专用网(Ethernet Virtual Private Network,EVPN)是新一代全业务承载的VPN技术5,它统面向安全场景的服务链技术研究和实践Research and P
3、ractice on Service Function Chain for Security Scenarios关键词:算力网络;SRv6;SFC;SDN;L3EVPNdoi:10.12045/j.issn.1007-3043.2023.08.010文章编号:1007-3043(2023)08-0042-06中图分类号:TN915.08文献标识码:A开放科学(资源服务)标识码(OSID):摘要:为了解决网络服务与网络物理拓扑紧耦合的问题,研究了一种面向安全场景的服务链技术并进行了功能验证。SRv6服务链技术具有网络可编程能力,能够协助算力资源和网络资源进行协同,可实现不同网络服务的灵活调用。依
4、靠算网大脑和SDN网络控制器,基于SRv6服务链技术,实现了服务链路径编排与数据流转发功能以及分钟级的业务开通,解决了网络服务与网络物理拓扑紧耦合的问题,提升了网络服务调度的灵活性,提高了网络服务资源利用率。Abstract:In order to solve the problem of tight coupling between network services and network physical topology,it studies servicefunction chain for security scenarios and conducts functional veri
5、fication.SRv6 service function chain technology has networkprogrammable ability,enhances the coordination of computing resources and network resources,and can realize the flexiblecalling of various network services.Relying on the computing network brain and SDN network controller,based on the servic
6、efunction chain technology of SRv6,the service function chain path orchestration and data flow forwarding function and theminute-level service provisioning are realized,which solves the problem of tight coupling between network services and net-work physical topology,improves network service schedul
7、ing flexibility and the utilization of network service resources.Keywords:Computing force network;SRv6;SFC;SDN;L3EVPN杨振东1,陈善杰2(1.中国联通广东分公司,广东 广州510627;2.中讯邮电咨询设计院有限公司广东分公司,广东 广州 510627)Yang Zhendong1,Chen Shanjie2(1.China Unicom Guangdong Branch,Guangzhou 510627,China;2.China Information Technology
8、Designing&Consulting Institute Co.,Ltd.Guangdong Branch,Guangzhou 510627,China)杨振东,陈善杰面向安全场景的服务链技术研究和实践安全服务编排Security Service Orchestration引用格式:杨振东,陈善杰.面向安全场景的服务链技术研究和实践 J.邮电设计技术,2023(8):42-47.42邮电设计技术/2023/08一了各种L2 VPN、L3 VPN业务的控制平面,利用边界网关协议(Border Gateway Protocol,BGP)来传递二层或三层可达信息,实现了转发平面和控制平面的分离。
9、本文研究了一种面向安全场景的服务链技术并进行了功能验证。部署了基于SRv6技术的安全服务应用,采用L3EVPN技术组网,实现了SFC的应用。通过本文提出的安全服务应用场景,可以增加网络安全服务的灵活性,提升资源利用率,助力算力网络创新应用的发展。2 存在的问题传统的网络服务功能节点多为专有设备,其物理位置与网络拓扑紧密耦合。网络流量在传输过程中,需要专有的网络设备对网络流量进行业务逻辑处理,导致网络服务的多样性不足,资源利用率低,灵活性差。当前服务链实现方案包括网络服务报头(Network Service Header,NSH)和策略路由(Policy-basedRouting,PBR),虽然
10、解决了网络服务与网络物理拓扑紧耦合的问题,但是服务节点往往需要较多维护信息,运维成本高,也不利于网络服务的快速部署。3 基于SRv6的服务链方案研究在底层技术层面,随着 SDN、网络功能虚拟化(Network Functions Virtualization,NFV)、SRv6 等关键技术的完善,在边缘云部署网络服务,结合支持网络可编程的SRv6技术与支持集中控制的SDN技术,实现了服务链路径编排与流量转发,且无需大规模升级网络设备即可实现服务链功能,降低了运维成本和部署的复杂度,具备大规模商用条件。本文选用的是基于 SRv6 的 SFC 方案,可以避免MPLS配置繁琐和维护复杂,同时支持SD
11、N集中控制。SRv6网络主要有SRv6 BE和SRv6 Policy 2种流量转发技术6,本文选用的是SRv6 Policy技术。3.1 SFC架构服务链可以理解为按照用户需求,让业务流量经过1个或多个网络服务节点以提供特定功能的服务。服务链可以实现多种网络服务功能,例如:Web应用防火墙(WAF)、防火墙(FW)、深度包检测(DPI)、负载均衡(LB)、业务加速(比如视频加速)等。图1为SFC网络结构7,由服务分类器(Service Classifier,SC)、服务功能转发器(Service Function Forward,SFF)、增值服务功能(Value Added Service,
12、VAS,VAS等同于ServiceFunction)和 SRv6代理(SRv6 Proxy)组成。SC 对网络流量进行分类,分类的颗粒度由分类器能力和SFC策略决定,一般而言,SC存在于 SFC头节点。SFF使用SFC 封装的信息,将网络中收到的数据包转发给与SFF相关联的 1个或者多个 VAS,来自 VAS的流量最终返回到同一个SFF。根据VAS处理SRv6数据包的能力可分为 SRv6 Aware VAS 和 SRv6 Unaware VAS 2种模式8。Aware VAS具备对SRv6数据包解封装的能力,这意味着它们能够对原始数据包进行操作。相反地,Unaware VAS 不具备对 SRv
13、6 数据包解封装的能力,SRv6 Proxy将代表VAS处理来自SFF的报文,删除SRv6封装信息,再将报文发送给VAS,同时也接受来自VAS发回的报文,重新添加SRv6封装信息。基于SRv6的SFC系统架构分为数据平面和控制平面,数据平面负责SFC数据处理与数据传输,控制平面负责SFC编排控制功能。3.2 控制平面如图2所示,控制平面包含算网大脑、SDN网络控制器和云管平台。算网大脑主要负责网络资源与云池算力资源的编排和调度。算网大脑通过各类接口协议收集底层IP网络拓扑、链路时延、云池算力资源以及云池可提供的服务信息。算网大脑根据上层业务需求和实际的云池算力资源、网络资源情况,分别调度SDN
14、网络控制器和云管平台,实现SFC业务的开通。云管平台负责对VAS资源的管理。云管平台对VAS的部署可分为静态部署和实时部署。静态部署指云池中的VAS资源是提前配置好的;动态部署指网络的配置与VAS的部署是同步进行的,该方案提高了资源利用率。实践中,项目组采用了静态部署方案。SDN 控制器负责网络打通,包括 SRv6 Policy 算图1SFC网络结构SRv6 AwareVASServiceClassifierSFFSFFENDSRv6 Unaware VASSRv6 Proxy杨振东,陈善杰面向安全场景的服务链技术研究和实践安全服务编排Security Service Orchestratio
15、n432023/08/DTPT路、创建 SRv6 Policy、创建 L3EVPN 和引流。SRv6Policy由源端、宿端、Color组成,Color是业务需求模板ID,包含业务的属性,例如时延、带宽等。SRv6 Policy算路和创建需要SDN控制器通过BGP-LS等收集网络拓扑、TE信息以及SRv6信息,并根据业务需求集中计算路径,然后通过BGP等协议将SRv6 Policy配置指令下发到 SC 节点。创建 L3EVPN 的目的是利用 SRv6Policy隧道承载三层业务数据。将SRv6 Policy部署在SC节点后,还需要完成引流工作,即将指定的业务流量引导到 SRv6 Policy
16、中,项目组选用 Color 引流的方式。Color是业务和SRv6 Policy隧道的锚点,能够关联1 个或者多个业务需求模板,通过匹配业务和 SRv6Policy的Color实现引流9。3.3 数据平面在数据平面,网络由支持SRv6技术的路由器和传统IPv6路由器组成。支持SRv6的路由器能够添加、删除或处理SRv6报文封装;传统IPv6路由器(R1和R2)支持 IPv6 数据包的转发,但不支持分段路由扩展头(Segment Routing Extension Header,SRH)的处理。在SFF节点上实现VAS服务功能的转发,云池中运行的每个VAS实例都有唯一的IPv6地址。通常,与同一
17、个SFF节点关联的VAS将被分配与该SFF节点相同IPv6前缀的 IPv6 地址,每个 VAS 的 IPv6 地址对应一个SRv6 SID,都被有序地封装在SFC的SRH扩展包头中。图 3所示为 SRv6 SFC数据包处理流程。当数据包达到SC节点时,检测该数据包是否匹配SFC规则。如果不匹配,则默认进行IPv6路由转发;如果匹配,分类后的流量被重定向到 SRv6 Policy 中,SC 节点根据SRv6 Policy 进行 SRv6报文封装,SRv6路径信息封装在SRH扩展包头中,数据包根据SRH进行转发。当中间的路由节点不支持SRv6数据处理,只支持IPv6路由功能组时,仅需要根据IPv6
18、目的地址进行查表转发;当中间路由节点支持SRv6数据处理时,SL值减1,并将对应的列表路径值复制到IPv6包头的目的地址中。当报文路由到SFF节点时,根据SRv6封装信息,记录当前SL值,解封装报文,去除SRH报文头,将原始报文转发到关联的VAS节点上。VAS处理完报文后,将报文信息返回到刚经过的SFF,SFF查找配置信息,根据配置的SID list重新封装SRv6报文,SRH中的SL值减1,此时SRv6报文中的目的路由节点为当前SID的下一个SID所对应的节点。当SL为0时,解封装SRv6报文,并将原始报文转发到目的地。此后,报文变成普通的IPv6报文,遵循IPv6转发策略。4 面向安全场景
19、的应用实践本文提出了一种基于SRv6技术面向安全场景的服务链技术方案,通过在边缘云节点部署WAF、FW等多种服务能力,实现1个或多个VAS服务的装机、拆机以及VAS服务切换,为用户提供“算力+网络”的服务。完成业界首个基于SRv6技术的安全服务链试点和端图2基于SRv6的SFC系统架构图3SRv6 SFC数据包处理流程SDN控制器GatewaySFFSC入口节点SFF出口节点R2R1Gateway控制平面算网大脑云管平台数据平面VAS1VAS2VAS3SFF数据包到达SC节点否查询IPv6路由表转发匹配SRv6SFC引流规则?SRv6报文封装配置初始化路由节点具备SRv6处理能力?默认IPv6
20、路由,检查SRv6报文目的地址并转发解封装SRv6报文,并将原始报文转发到目的地IPv6报文转发解封装报文,将原始报文转发到关联VASVAS报文处理返回SFF,重新封装SRv6报文替换目的地址,查找IPv6路由表转发SL=SL-1SL=0?是否是是是SFF节点?结束到达目的节点开始否否是杨振东,陈善杰面向安全场景的服务链技术研究和实践安全服务编排Security Service Orchestration44邮电设计技术/2023/08到端功能验证。4.1 实验室网络环境图 4 所示为实验室环境拓扑,其中 CPE1 远东、CPE2远东、CPE3远东为SC入口节点,vWAF是部署在云资源池的安全
21、应用,测试仪具有流量的发送、接收功能。实验室系统架构与图2一致,根据业务需求,算网大脑通过SDN控制器,实现网络资源的调度;通过云管平台,实现算力资源的调度。在服务链专线开通后,利用测试仪发送、接收的流量完成端到端的功能验证。表1服务链开通后部分关键字段图4实验室环境拓扑4.2 服务链数据管理VAS服务部署好后,云管平台通过API接口告知算网大脑各云池具备的VAS服务能力以及VAS服务数量。服务链的开通,需要算网大脑协调SDN控制器和云管平台,实现网络与算力资源的灵活调度。算网大脑存放服务链的业务数据,开通后的服务链的部分关键字段如表1所示。4.3 服务链业务测试图5所示为实验室环境下算力网络
22、WAF服务开通后算网大脑的前端页面,直观地展示了服务链路径、逐跳时延以及测试仪的流量收发状态。在VAS服务中预先配置WAF防护过滤规则,流量发送仪表上配置不注入SQL攻击的业务流量1和注入SQL攻击的业务流量2,2类业务流量经过VAS服务节点后,流量接收仪表中只收到了业务流量 1,验证了端到端的WAF服务功能生效,实现对指定特征流量的拦截。除此之外,项目组还在实验室环境中验证了端到端的FW服务功能。前端页面中的“创建路径”指创建一条端到端的L3EVPN业务;“引流”指通过SDN控制器下发策略给路由设备,改变当前流量路径,将流量引入到旁挂的安全防护设备(VAS服务);“VAS服务切换”指在实验室
23、环境中,WAF服务与FW服务间的互相切换。在实验室环境中完成了基于SRv6的服务链装机、拆机、VAS服务切换。其中装机需执行2个步骤完成,需先“创建路径”,再创建“引流”;拆机与装机的步骤相反,分别是取消引流和取消路径;VAS服务的切换需要先删除原来的VAS服务再新增VAS服务。为了实现基于SRv6的服务链装机、拆机、VAS服务切换业务,分别对“创建路径”“创建引流”“取消路径”“取消引流”“VAS服务切换”原子能力进行测试验证。a)创建路径。图6所示为创建路径的业务流程。业务人员首先在前端页面上选择源端CPE、宿端CPE以及必经节点(即与 VAS 相连的路由器,具备 SRv6Proxy的功能
24、)以及所需的 VAS服务后,点击“创建路径”后,下发开通服务链业务的指令,将源端、宿端和必经节点的IP地址下发给算网大脑,算网大脑下发创建Color指令给SDN控制器,在确认Color创建成功后,下字段名称VAS_nameVAS_TIMEVAS_numcolor_namecolor_idSRv6_Policy_idSRv6_Policy_pathsSFC_L3EVPN_index字段说明VAS服务名称VAS服务时间VAS服务数量color名称color的IDSRv6_Policy的IDSRv6 Policy路径(带VAS服务地址)每一条业务的L3EVPN唯一标识测试仪端口2网关1-远东网关2-
25、远东测试仪端口1CPE1远东CPE2远东ANT1-实验网-远东980CMER1-实验网-远东X8AMER3-实验网-七所X8A远东CPE3测试仪端口3ANT2-实验网-远东980CMER2-实验网-远东X8AMER4-实验网-七所X8AvFW1vWAF2vFW2vWAF1杨振东,陈善杰面向安全场景的服务链技术研究和实践安全服务编排Security Service Orchestration452023/08/DTPT发SRv6 Policy预计算路径查询指令,查询满足条件的路径。实验室环境中,所需要的VAS服务应用已提前部署在云池中,算网大脑根据VAS服务类型从云管平台中获取对应的 VAS 服
26、务地址。并在创建 SRv6Policy时,将VAS服务的IPv6地址添加到Segment List中的对应位置。确认SRv6 Policy创建成功后,算网大脑下发创建L3EVPN指令,完成业务的端到端打通。b)创建引流和取消引流。算网大脑通过SDN控制器向网络设备下发引流指令,将流量引入到旁挂的安全防护设备(VAS服务),最终完成服务链业务的开通。在通过 Color 引流的过程中,把业务的 Color 与SRv6 Policy的Color进行匹配,把业务的原始下一跳地址与SRv6 Policy的Endpoint地址进行匹配,这样一条业务通过 SRv6 Policy 的 Key 值匹配到一个SR
27、v6 Policy。创建引流和取消引流的流程如图7所示。c)取消路径。取消引流将删除业务 Color 与SRv6 Policy的匹配关系,图8所示为取消路径的流程,B域发起取消路径业务,先通过算网大脑依次向SDN控制器下发删除L3EVPN业务、删除SRv6 Policy以及删除Color的指令,完成链路的删除;再通过算网大脑下发释放所有VAS服务的指令给云管平台,最终完成服务链业务的删除。d)VAS服务切换。VAS服务的切换需要先删除原来的VAS服务再新增VAS服务,具体流程如图9所图5算力网络服务链前端页面图6创建路径流程VAS服务切换删除路径取消引流引流创建路径刷新vWAF源端CPECPE
28、1远必经节点 MER1-宿端CPE 远东CPEVAS服务vWAF算力网络服务链接功能算网一体首页网关1-远东发送流量信息业务流量1 不携带SQL注入攻击流量业务流量2 携带SQL注入攻击流量流量发送仪流量接收仪接收流量信息业务流量1业务流量2未收到收到MER1-实验网-远东X8AMER3-实验网-七所X8A远东CPE3ATN1-实验网-远东980CCPE1远东时延:0.12 s时延:0.24 s时延:0.15 s时延:0.21 s工单:开通服务链查询Color返回Color ID返回路径定期查询SRv6 Policy状态返回SRv6 Policy状态VAS服务IPv6地址查询创建Color设备
29、云管平台SDN控制器B域SRv6 Policy预计算路(不带VAS路径)返回地址创建SRv6 Policy(添加VAS服务地址)创建SRv6 Policy创建L3EVPN定期查询L3EVPN状态创建L3EVPN返回成功返回算网大脑开通服务链业务判断SRv6 Policy状态为up杨振东,陈善杰面向安全场景的服务链技术研究和实践安全服务编排Security Service Orchestration46邮电设计技术/2023/08示,分5步完成,分别是取消引流、重新预计算路径、获取切换VAS服务的IPv6地址、修改SRv6 Policy路径、创建引流,最终完成VAS服务切换业务。项目组在实验室环
30、境下已成功实现基于SRv6技术的服务链部署,并通过测试仪表打流,现场验证了FW、WAF 2种安全增值服务的有效性。接下来,项目组将在现网环境下实现基于SRv6技术服务链的部署。5 结束语本文研究了一种面向安全场景的服务链技术并在贴近现网的实验室环境中成功进行了功能验证,充分调度网络资源与云资源,提高了资源利用率;解决了网络服务与网络物理拓扑紧耦合的问题;提供多种安全服务,实现业务灵活编排、修改,为现网环境下的功能部署提供参考。本项目在业界首个实现“SFC服务链控制面接口标准+管控系统”全流程能力打通和端到端FW、WAF服务功能验证以及分钟级的业务开通,为基于SRv6的SFC服务商用打下了坚实的
31、基础。参考文献:1 姜旭航,赵子祥.基于SDN网络下的MPLS服务链部署研究 J.计算机与数字工程,2016,44(12):2462-2466,2523.2 刘强,石磊.Segment Routing 技术及其应用分析 J.电信技术,2017(12):56-58.3 刘睿,吴军平.SR技术探究及实现 J.网络新媒体技术,2020,9(3):21-27.4 王君健.SRv6技术探讨 J.邮电设计技术,2020(1):59-63.5 华为技术有限公司.IP网络系列丛书-EVPN R/OL.2023-05-09.https:/ 陈佳明,方遒铿,罗家尧,等.面向云网融合的IP承载网时延选路及保障解决方
32、案 J.邮电设计技术,2022(4):43-46.7 HALPERN J,PIGNATARO C.Service function chaining(SFC)architectureEB/OL.2023-05-09.http:/www.rfc-editor.org/rfc/rfc7665.txt.8KUSHWAHA A,SHARMA S,GUMASTE A.A Survey on SegmentRouting with Emphasis on Use Cases in Large Provider Networks J/OL.2023-05-09.https:/doi.org/10.48550
33、/arXiv.2012.14687.9 李振斌,胡志波,李呈.SRv6网络编程:开启IP网络新时代 M.北京:人民邮电出版社,2020(8):121-124图8取消路径流程图9VAS服务切换图7创建引流和取消引流流程丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆丆作者简介:杨振东,毕业于华南理工大学,高级工程师,硕士,主要从事运营支撑系统、移动网、数据网的相关技术研发工作;陈善杰,助理工程师,硕士,主要从事运营支撑系统、移动通信相关的新技术研发工作。工单:引流业务返回成功设备云管平台SDN控制器B域算网大脑创建/取消引流下发配置返回成功创建/取消引流引流业务通知引流业务
34、执行成功设备云管平台SDN控制器B域算网大脑下发配置通知服务链业务拆除成功删除L3EVPN删除SRv6 Policy删除L3EVPN删除SRv6 Policy删除Color释放所有VAS服务资源下发配置工单:取消路径业务取消路径业务设备云管平台SDN控制器B域算网大脑下发配置工单:VAS服务切换业务取消引流创建引流创建引流VAS服务切换业务取消引流返回SRv6 Policy预计算路查询(不带VAS路径)返回路径切换VAS服务IPv6地址查询返回地址修改SRv6 Policy(包含VAS服务地址)修改SRv6 Policy(包含VAS服务地址)返回VAS服务切换成功杨振东,陈善杰面向安全场景的服务链技术研究和实践安全服务编排Security Service Orchestration47
浙ICP备2021020529号-1 | 浙B2-20240490 
