本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

搜索

网络与安全服务分层编排,面向SRv6标准构建安全资源池

2023-06-28
4267
15

据Gartner洞察报告指出,传统安全解决方案存在交付速度慢、缺乏可扩展性、无法统一监控和管理等问题。为解决这些问题,提供池化的网络与安全能力是未来向基于“云网边端”的统一安全体系演进趋势之一,可实现服务灵活部署、弹性扩缩并提升可靠性。因此,服务提供商应主动构建网络与安全服务化能力,满足不同用户差异化的网络与安全需求。企业用户可以订购服务商所提供的安全服务,包括访问控制、入侵防范、恶意代码防范、 Web应用安全防护、安全审计等,以满足企业安全上网、安全上云等安全需求。同时,企业用户也可以订购服务商所提供的网络服务,以满足用户组网、上网、上云等多样化场景需求,例如,上云专线用于实现企业用户与云数据中心之间高速、低时延、稳定安全的专属连接。

网络和安全服务提供商根据用户订阅自动化完成安全资源编排和业务引流。具体来说,对于特定的业务流,需要根据用户订阅、资源分配等情况,先将业务流引流到相应的一个或多个资源池,并在资源池内完成所编排原子能力间的引流,完成相应的网络服务、安全服务。为了支持网络服务化和安全服务化,需要使用SFC技术提供的引流能力。

• SFC标准架构

SFC(Service Function Chaining,业务功能链)[1]通常指一组SF(Service Function,业务功能)节点组成的序列。SFC技术可以实现业务流在转发时,经过指定的SF进行处理,这些SF可以是FW(防火墙)、IPS(入侵防御系统)、WAF(网络应用防火墙)等。

SFC的架构如图1-1所示,其包含的关键角色如表1-1所示。

图1-1 SFC架构

表1-1 SFC架构包含的关键角色

• SFC实现方式多元化

从实现方式上看,历史上有多种实现SFC的技术,其中一种比较常见的是基于策略路由PBR实现的SFC。PBR通过在设备上逐点配置静态策略路由来实现报文的定向转发。然而,这种静态配置SFC的方法与物理拓扑紧密耦合,新增业务需要依赖物理拓扑,配置复杂,相对固定,可扩张性受限,灵活性差。此外,业务层策略依赖底层的承载协议,端到端的可视化不足,无法支持OAM,SF之间相互独立,无法传递Metadata(元数据)。

为了弥补PBR的不足,业界提出了NSH(Network Service Header,网络服务报文头)方案[2],并在IETF实现标准化。NSH是一种专门为SFC定制的协议报文头,通过携带SFC的转发路径ID(SPI)以及SF在SFC中的顺序(SI)来引导报文在SFC中的转发。此外,NSH还设计了在SFC域内携带不同类型的Metadata的机制,包括固定长度和可变长度两种类型,以弥补PBR无法在SF之间传递元数据的缺陷,可以在SF间共享分类结果等信息。

这种将业务层和网络层分开的方法虽然可以解决PBR的一些问题,但也存在一些缺点。例如,需要在SFF上维护每个SFC的转发状态,控制平面的复杂度相对较高。此外,NSH承载透明的特点反而因为在实际操作中网络封装选项过多、工作量过大,成为部署时的阻力,导致了NSH在商业落地时,设备厂商需要互相协商NSH的承载协议,提高了互通成本。因此,许多运营商和OTT厂商在二者间仍倾向于采用PBR方式部署SFC。

• SRv6构建SFC新方案

SRv6(Segment Routing IPv6,基于IPv6转发平面的段路由)是一种新型的IP技术,其丰富的网络编程能力能够更好满足5G、云等新网络业务的需求。SRv6支持在入节点显式地编程数据报文的转发路径,无需在网络中间节点(SFF)维护逐流的转发状态,从而降低了控制平面的部署难度。因此,SRv6是天然支持SFC一种方式,成为当前部署SFC的新选择。

当然要想支持SRv6 SFC,首要需要网络支持SRv6。从目前看,国内主流设备厂家、运营商、政务、金融、交通等行业都已经明确了SRv6的演进方向,骨干网、城域网、5G承载网都实现了SRv6的商用部署。这也推动了安全资源池往SRv6引流技术方向发展。

然而,推进基于SRv6 SFC的安全服务编排仍会面临不少挑战,这包括:

1. 提供安全服务和网络服务原子能力(SF)的存量设备或节点,可能不能支持SRv6能力。因此,为实现SRv6对所有的原子能力进行独立编排,还需要为这些不支持SRv6的原子能力提供SRv6代理模式。

2. 尽管SRv6提供端到端的可编程的源路由能力,但是如果需要编排的SF数量较多,且每个原子能力(SF)具备独立的SID,则需要在SRv6报文头部SRH中编排入所有的SF的128bit长度的SID,这使得SRH的长度会急剧爆炸,对广域的带宽消耗较大。比如,对于编排4个SF的业务,SRH至少需要64字节长度存储所有SF组成的SID List。

3. 云化安全资源池内通常会通过多VM或容器部署方式,实现原子能力的负载均衡,提供原子级的网络能力和安全能力。如果对每个原子能力都使用SRv6引流,每个原子能力的协议栈都需要对报文进行SRv6解析,这会导致通信业务效率太差,也会额外消耗处理性能,占用业务处理资源。

•华为在网络与业务分层编排的实践

针对现实部署中的挑战,华为推出基于SRv6的网络与业务分层编排的安全资源池方案。该方案通过优化安全服务架构,减少带宽消耗,提高通信效率,并兼顾第三方能力编排,以应对挑战。具体方案如图1-2所示,资源池内的业务作为一个整体节点进行编排,通过SRv6编排不同的安全资源池,形成主业务链;资源池内的原子能力之间通过策略编排(如PBR引流),通过容器mesh总线等方式进行容器间的高速通信,形成子业务链。这种部署方式实现以资源池为粒度的SRv6引流,只要求网络服务有SRv6等协议能力,但对于安全服务则无协议能力要求。

图1-2 基于SRv6的网络与业务分层编排的安全资源池方案

此外,华为安全资源池方案还引入感知应用的网络(APN)[3]技术,支持细粒度的网络和业务编排。每个资源池规划一个SID,网络编排通过APP ID来判断所入业务链,并通过SRv6转发引入到不同资源池进行网络分流。业务编排则在资源池内根据APN ID识别租户User ID映射安全子业务链而后上送不同的安全服务容器,从而实现一体化的安全业务处理。

图1-3 SRv6+APN的安全服务引流方案

尽管SRv6+APN的安全服务引流方案在技术上十分领先,但为了兼顾现网存量设备的安全引流,可以采用如图1-4的方案,即利用CPE作为SC封装VxLAN、GRE等隧道引流入安全资源池,安全资源池终结相应隧道,并根据VPN或VLAN等进行业务识别,展开安全业务链进行安全处理,最后由ASBR引流回骨干网。虽然这种引流方式不需要对现网设备进行升级、改造,调整配置就可以复用,便于现网利旧。但是,基于SRv6+APN方式实现大网和安全业务一体化编排的安全业务更灵活,而且可以享受SRv6提供的切片、OAM等特性,预计会是未来演进的主要趋势。

图1-4 利用CPE作为SC封装VxLAN、GRE等隧道引流入安全资源池方案

华为安全资源池方案还支持了第三方服务的编排。对于支持SRv6的第三方安全服务:根据SRv6 业务链ID通过SRv6转发到对应的安全服务上,完成业务处理;对于不支持SRv6的第三方安全服务:需要在该服务前置一个第三方安全服务网关做SRv6代理,根据SRv6 业务链ID通过SRv6转发给第三方安全服务网关,第三方安全服务网关做完代理后再将业务流交给第三方安全服务处理。

• 总结与展望

简而言之,华为SRv6网络编排+PBR业务编排的安全资源池方案结合了SFC灵活编排和NFV资源调度的优势,贯彻实践了标准上的分层SFC架构[4][5]的“分而治之”思想,可友好部署各种资源池和原子能力。特别地,基于SRv6引流既能实现无状态的SFC部署,又可以享受SRv6带来的各种特性。即使随着技术演进和设备更迭,这种分层方案仍是一种切实可行、取长补短的资源池实现方法。

免责声明:文章内容和观点仅代表作者本人观点,供读者思想碰撞与技术交流参考,不作为华为公司产品与技术的官方依据。如需了解华为公司产品与技术详情,请访问产品与技术介绍页面或咨询华为公司人员。

TOP