- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
01-服務鏈配置
本章節下載: 01-服務鏈配置 (281.23 KB)
目 錄
服務鏈(Service Chain)是一種引導網絡業務報文按次序通過服務節點(Service Node)的技術,它結合SDN(Software Defined Network,軟件定義網絡)來實現業務編排,引導網絡業務報文按照要求的順序通過服務節點進行處理和轉發。
設備間服務鏈作用於VXLAN報文,通過OpenFlow引流規則來控製Overlay網絡中的VXLAN報文是否進入服務鏈處理,並確保報文在服務鏈內各個節點間傳遞。引流規則由VCF控製器基於不同的Context向租戶下發。
有關VXLAN的詳細介紹,請參見“VXLAN配置指導”中的“VXLAN”。有關VCF控製器下發引流規則的配置,請參見VCF控製器配套的手冊。
對於支持Context功能的設備,應用於不同用戶Context的服務鏈,屬於設備間服務鏈。
如圖1-1所示,設備間服務鏈由接入點和服務節點組成。
接入點是VXLAN網絡的邊緣設備VTEP(VXLAN Tunnel End Point,VXLAN隧道端點)。由它根據VCFC下發的引流規則對報文進行處理。
服務節點是網絡中處理某種業務的設備,可以是物理設備,也可以是NFV(Network Function Virtualisation,網絡功能虛擬化)設備。一條服務鏈上可以存在多個服務節點。各服務節點根據服務列表指定的服務類型對報文進行處理。
服務列表用於指定服務的類型及處理順序,目前支持的服務類型包括防火牆和LB。
服務節點包含兩種特殊的節點類型:
· 首節點:服務鏈中首個對報文進行處理的服務節點。
· 尾節點:服務鏈中最後一個對報文進行處理的服務節點。
服務鏈報文采用VXLAN封裝,並在VXLAN報文頭中標識服務鏈信息,如圖1-2所示。
圖1-2 攜帶服務鏈信息的VXLAN報文格式示意圖
在VXLAN報文頭中,以下兩個字段用於標識報文所使用的服務鏈:
· 標記位:“S”位為1時,表示VXLAN頭中的Service Chain字段有效;為0,表示Service Chain字段無效。
· Service Chain:長度為24比特,由方向標記位D和Service Path ID兩部分組成。“D”位為0時,表示正向報文;為1時,表示反向報文。Service Path ID長度為23比特,用來標識一個服務鏈。
服務鏈的工作原理大致如下:
(1) 報文入方向的接入點根據VCFC下發的引流規則將報文進行VXLAN封裝,然後發送給服務鏈的首節點。
(2) 服務鏈的首節點收到VXLAN報文後,根據報文頭中的Service Path ID字段在本地查找匹配的服務鏈。
¡ 如果本地沒有匹配的服務鏈,則該報文進行正常的VXLAN轉發。
¡ 如果本地存在匹配的服務鏈,則該報文進入服務節點處理。
(3) 服務節點完成處理後:
¡ 如果該服務鏈配置了下一跳地址,則報文轉發給下一個服務節點處理。
¡ 如果該服務鏈沒有配置下一跳地址,則該節點作為服務鏈的尾節點,刪除VXLAN報文中的Service Path ID字段,並將報文轉發給報文出方向的接入點。
(4) 報文出方向的接入點對VXLAN報文進行解封裝,並進行IP轉發。
服務鏈可以通過VCFC和命令行兩種方式進行配置,建議采用VCFC通過NETCONF下發配置的方式。本手冊僅介紹命令行的配置方式,通過VCFC配置的詳細介紹請參見VCFC配套的手冊。
當設備作為接入點時,隻能通過VCFC進行配置,具體請參見VCFC配套的手冊。
· 如果設備作為服務鏈的首節點,則僅需要為其指定正向報文的下一個服務節點即可。
· 如果設備作為服務鏈的尾節點,則僅需要為其指定反向報文的下一個服務節點即可。
(1) 進入係統視圖。
system-view
(2) 創建服務鏈,並進入服務鏈視圖。
service-chain path path-id
(3) 配置正向報文下一個服務節點的IP地址。
next-service-node ip-address
缺省情況下,未配置正向報文下一個服務節點的IP地址。
(4) 配置反向報文下一個服務節點的IP地址。
previous-service-node ip-address
缺省情況下,未配置反向報文下一個服務節點的IP地址。
(5) 創建服務節點,並進入服務節點視圖。
service function function-id
(6) 配置服務列表。
service list { fw | lb }*
在完成上述配置後,在任意視圖下執行display命令可以顯示服務鏈的配置情況,通過查看顯示信息驗證配置的效果。
表1-1 服務鏈顯示和維護
|
操作 |
命令 |
|
顯示服務鏈信息 |
display service-chain path { path-id | all } |
|
顯示服務鏈的統計信息 |
display service-chain statistics |
如圖1-3所示,Device A和Device C為服務鏈的接入點,Device B和Device D為服務鏈的服務節點,通過配置服務鏈功能,實現內網VM 1至內網VM 2的報文先在Device B上進行防火牆業務處理,然後在Device D上進行LB業務處理。
請配置各設備的IP地址以及設備間的路由,確保網絡互通,具體配置步驟略。
(1) Device A和Device C的配置
在VCFC通過OpenFlow為Device A和Device C下發引流規則,使VM 1至VM 2的VXLAN報文增加編號為1的服務鏈編號。
(2) Device B的配置
a. 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 1/0/1
[DeviceB-GigabitEthernet1/0/1] ip address 12.1.1.2 24
[DeviceB-GigabitEthernet1/0/1] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceB] security-zone name trust
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/1
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceB-security-zone-Trust] import interface gigabitethernet 1/0/3
[DeviceB-security-zone-Trust] quit
c. 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 配置靜態路由,到達VM 1所在網絡的下一跳IP地址為12.1.1.1,具體配置步驟如下。
[DeviceB] ip route-static 1.1.1.0 24 12.1.1.1
d. 配置安全策略
# 配置名稱為trust-trust的安全策略,保證VM 1可以訪問VM 2,具體配置步驟如下。
[DeviceB] security-policy ip
[DeviceB-security-policy-ip] rule name trust-trust
[DeviceB-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceB-security-policy-ip-1-trust-untrust] destination-zone trust
[DeviceB-security-policy-ip-1-trust-untrust] source-ip-subnet 1.1.1.0 24
[DeviceB-security-policy-ip-1-trust-untrust] destination-ip-subnet 2.2.2.0 24
[DeviceB-security-policy-ip-1-trust-untrust] action pass
[DeviceB-security-policy-ip-1-trust-untrust] quit
[DeviceB-security-policy-ip] quit
e. 配置服務鏈功能
# 創建服務鏈,編號為1,並進入服務鏈視圖。
[DeviceB] service-chain path 1
# 指定報文下一跳地址為Device D的LoopBack接口地址20.1.1.1,且LoopBack接口為VXLAN隧道的源接口。
[DeviceB-spath1] next-service-node 20.1.1.1
# 創建並配置服務節點1,並指定服務列表中包含業務類型為防火牆。
[DeviceB-spath1] service function 1
[DeviceB-spath1-func1] service list fw
(3) Device D的配置
a. 配置接口IP地址
# 根據組網圖中規劃的信息,配置各接口的IP地址,具體配置步驟如下。
<DeviceD> system-view
[DeviceD] interface gigabitethernet 1/0/2
[DeviceD-GigabitEthernet1/0/2] ip address 14.1.1.2 24
[DeviceD-GigabitEthernet1/0/2] quit
請參考以上步驟配置其他接口的IP地址,具體配置步驟略。
b. 將接口加入安全域
# 請根據組網圖中規劃的信息,將接口加入對應的安全域,具體配置步驟如下。
[DeviceD] security-zone name trust
[DeviceD-security-zone-Trust] import interface gigabitethernet 1/0/2
[DeviceD-security-zone-Trust] import interface gigabitethernet 1/0/3
[DeviceD-security-zone-Trust] quit
c. 配置靜態路由
本舉例僅以靜態路由方式配置路由信息。實際組網中,請根據具體情況選擇相應的路由配置方式。
# 配置靜態路由,到達VM 2所在網絡的下一跳IP地址為14.1.1.1,具體配置步驟如下。
[DeviceD] ip route-static 2.2.2.0 24 14.1.1.1
d. 配置安全策略
# 配置名稱為trust-trust的安全策略,保證VM 1可以訪問VM 2,具體配置步驟如下。
[DeviceD] security-policy ip
[DeviceD-security-policy-ip] rule name trust-trust
[DeviceD-security-policy-ip-1-trust-untrust] source-zone trust
[DeviceD-security-policy-ip-1-trust-untrust] destination-zone trust
[DeviceD-security-policy-ip-1-trust-untrust] source-ip-subnet 1.1.1.0 24
[DeviceD-security-policy-ip-1-trust-untrust] destination-ip-subnet 2.2.2.0 24
[DeviceD-security-policy-ip-1-trust-untrust] action pass
[DeviceD-security-policy-ip-1-trust-untrust] quit
[DeviceD-security-policy-ip] quit
e. 配置服務鏈功能
# 創建服務鏈,編號為1,並進入服務鏈視圖。
[DeviceD] service-chain path 1
# 指定反向報文的下一跳地址為Device B的LoopBack接口地址20.1.1.2,且LoopBack接口為VXLAN隧道的源接口。
[DeviceD-spath1] previous-service-node 20.1.1.2
# 創建並配置服務節點1,並指定服務列表中包含業務類型為LB。
[DeviceD-spath1] service function 1
[DeviceD-spath1-func1] service list lb
VM 1發往VM 2的報文進入編號為1的服務鏈進行處理,依次進行防火牆和LB業務的處理。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
