安全流量编排
安全流量编排数据报文在网络中传递时,需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。当网络流量按照业务逻辑所要求的既定的顺序,经过这些业务点(主要指安全设备如防火墙、LB等),这就是服务链(Service Chain)。本方案通过把不同的SRv6 Segment组合起来,Linux SRv6能够完美地整合Overlay、Underlay和服务链,其性
- 安全流量编排
数据报文在网络中传递时,需要经过各种各样的业务节点,才能保证网络能够按照设计要求,提供给用户安全、快速、稳定的网络服务。当网络流量按照业务逻辑所要求的既定的顺序,经过这些业务点(主要指安全设备如防火墙、LB等),这就是服务链(Service Chain)。
本方案通过把不同的SRv6 Segment组合起来,Linux SRv6能够完美地整合Overlay、Underlay和服务链,其性能通过应用VPP可以得到极大的提升。
- SRv6实现安全能力编排的优势
SRv6基于源路由并且只在网络边缘维持状态,这使得SRv6非常适合于超大规模SDN部署,在极大简化网络的同时,SR也为网络提供了高度的可编程能力以及端到端的流量工程能力。
如果网络中有节点只支持常规的IPv6而不支持SRv6,当此节点收到SRv6数据包时, 按照IPv6 RFC的规定,由于数据包目的地址不是节点自身网段地址, 此节点不处理扩展报头,而只是单纯地根据数据包目的地址进行IPv6转发。这意味着,SRv6可以与现有的IPv6网络无缝互操作,换句话说,SRv6可以在IPv6网络上实现增量部署,无须替换现网所有设备。
2.业务实现的逻辑架构
客户机访问目标应用,需要经过各种安全模块之后,才能到达目标应用,SRv6很好的支持了这种场景,例如上图有四台支持SRv6的路由器,其中R3连接配置了End.AD4操作的SR Proxy,SR Proxy下挂Non SR-aware版本的安全模块;R4,R5连接了SR-aware版本的安全模块,主机a和主机b只通过IPv4连接到路由器R1以及R2,默认情况下它们无法通讯。路由器之间只有IPv6地址和路由。主机a发送给主机b的数据包,经由R1、R3,然后发往Service1;接着经由R4,R2发往Service2;最后发给主机b。
3.安全模块实现灵活性
采用SRv6实现安全能力编排,对安全模块实现的方式非常灵活,目前支持三种实现方式:
- 安全模块仅支持IPV4网络,本方案可以通过SR Proxy实现IPV4网络代理。
- 安全模块仅支持IPV6网络,本方案可以通过SR Proxy实现IPV6网络代理。
- 安全模块支持Srv6网络,本方案可以直接讲流量导入到Srv6的安全模块。
SRv6可以与现有不支持SRv6的IPv6网络无缝互操作,基于SRv6的服务链也可以同时支持SR-aware和Non SR-aware的服务,因此基于Linux SRv6的安全能力编排具有很高的实用性,基本上可以部署在任何支持IPv6的网络上。
更多推荐
所有评论(0)