基于SDN 服務鏈的云技術數據中心安全防護

裘國星

（浙江華通云數據科技有限公司，浙江 杭州310012）

云平臺數據中心是現代信息數據處理的主要平臺，借助于云平臺各信息技術公司能夠為用戶提供安全、穩定的信息服務，云平臺區別于傳統的網絡信息服務，因此需要在云平臺數據中心中應用與之相匹配的安全防護策略。SDN 服務鏈技術就是應用于云技術數據中心的安全防護技術，其能夠有效的避免傳統玩網絡安全服務部署技術所存在的不足，為云技術數據中心構建起全新的安全防護策略。

1 傳統網絡安全服務部署所存在的不足

傳統網絡安全服務部署采用的是物理拓撲的方式，采用手工設置安全策略，而安全設備將直接布設在網絡業務流量路徑中。在需要對安全服務策略進行更換時則需要進行大量的手動配置，繁瑣而耗時，因此無法滿足現代社會對于信息產業快速發展的需求。同時，傳統的網絡安全服務部署由于直接與網絡業務流量業務相關聯，其在安全服務的過程中需要進行多次的解包與封包操作，繁瑣且耗時，安全設備的資源擴展性較差、共享性不足，在擴展時則需要使用高端設備來彌補性能的不足。

2 SDN 服務鏈的技術優勢

服務鏈技術是為了方便用戶，在為用戶提供良好的通訊服務的同時按照業務邏輯要求依次穿過各種安全服務節點，并根據業務服務的需求來設定安全訪問路徑。SDN 服務鏈技術是一種可以應用于云平臺的安全服務技術，此技術最大的特點在與將控制平面、虛擬網絡和轉發平面、物理網絡之間相分離。物理網絡是虛擬網絡的基礎，以物理網絡的虛擬化和邏輯化抽象與SDN Overlay 虛擬網絡的控制部件相結合，完成對于網絡安全服務鏈的控制，實現安全服務與網絡架構的有機結合，安全服務的轉發流量可以通過自動穿過安全服務節點完成相關的安全服務處理業務。采用SDN 服務鏈能夠方便的完成安全拓撲。此外，SDN 服務鏈所具有的服務節點統一資源池化能夠實現安全服務的安全、快速的共享。云平臺所涉及到的用戶眾多，基于SDN 服務鏈的安全策略能夠有效的打破傳統物理拓撲所帶來的不足，實現個性化的安全防護策略，通過基于用戶的業務需求自動轉發文件實現用戶所需安全服務的快速編制和修改，而無需對物理拓撲造成影響。相較于傳統的安全服務，SDN 服務鏈技術的應用將傳統的數據報文簡化為一次，僅僅在初次接入的流分類節點中進行一次分發，即可完成整個流程。SDN 服務鏈所采用的虛擬網絡是疊加在物理服務網絡上的，采用的是邏輯隧道疊加方式，現今應用于安全服務的技術標準為VXLAN.

3 報文在SDN 服務鏈中的識別與封裝

數據報文在SDN 服務鏈中需要添加相應的文字段來進行標識，以便SDN 服務鏈能夠完成識別和封裝。各SDN 服務鏈具有不同的標識，數據報文所攜帶的標識將引導數據報文通過某一條SDN 服務鏈進行傳輸。數據報文的封裝和標識特征有以下2 種：（1）VXLAN 封裝。此種方式應用的前提在于網絡設備支持相關功能。SDN 服務鏈對VXLAN 報文的擴展以VXLAN 報文頭保留字段中的某一3 字節作為服務路徑ID，用于確定服務鏈。此外，在上述3 字節中還包括有1 字節的信息用于記錄服務鏈與主機服務節點之間的連接通信次數。（2）NSH 擴展封裝。NSH是一種應用于服務鏈的封裝格式，NSH 具有良好的通用性能夠應用于多種Overlay 封裝中，NSH 通過對VXLAN 報文進行擴展能夠攜帶不同業務所需要的上下文信息，用以在簡單的步驟內完成復雜的業務，使用NSH 能夠完成二層用戶報文甚至是三層用戶報文。

4 SDN 服務鏈對于數據報文的處理

以VCFC 為核心布設SDN 服務鏈時，VCFC 將根據云平臺上用戶的需求完成相關服務鏈的布設，同時將梳理布設服務鏈上各節點的業務邏輯，VCFC 為報文特征下發端，VTEP 則為接收端，其在接收到VCFC 所下發的服務鏈報文特征后將所需要處理的服務鏈數據報文引入到服務鏈中用以完成邏輯處理。

5 SDN 服務鏈的組網模式

SDN 服務鏈的組網可以采用以下三種模式：（1）以VSR 為網關的VXLAN 服務鏈。VSR 作為VXLAN 網關，向Overlay 提供網關功能，VSwitch 軟件用以作為虛擬機和VXLAN 網絡的連接終端，VSwitch 軟件能夠在多種虛擬化平臺中得到良好的應用。利用多種設備作為安全服務節點，以VCFC 作為安全節點的控制中樞完成對于各安全節點的集中控制和調配，實現整個服務鏈的功能。（2）以物理交換機作為網關的VXLAN 服務鏈。物理交換機作為VXLAN 網關，向Overlay 提供網關功能。物理交換機可以用作接入虛擬機和物理服務器的接口將其連接到VXLAN 網絡中，并借助于多種虛擬化平臺完成云服務中心數據的安全服務。在構建的服務鏈中可以采用VSR、VFW、VLB 以及物理防火墻、安全設備等作為以物理交換機作為網關的VXLAN服務鏈的安全服務節點。（3）安全設備代理服務鏈。將傳統的安全設備直接應用于服務鏈是無法兼容的，因此可以采用將VXLAN 二層網關用作服務鏈的代理服務節點，用于向SDN 服務鏈的報文特征提供解析服務, 通過這一方式可以在服務鏈中引入大三方的安全設備，從而使得SDN 服務鏈技術能夠與傳統的安全設備相關聯，實現網絡中東西向流量的安全防護。

6 SDN 服務鏈的部署

云平臺數據中心需要處理大量的數據，其中數據主要分為：外部網絡與數據中心網絡間的數據流量（即南北向流量）；用戶間的數據交換（東西向流量）。為實現對于上述兩類流量的安全防護則需要做好SDN 服務鏈的部署.在南北向流量的SDN 服務鏈部署上可以采用以下兩種模式：（1）使用集成化的NGFW 設備作為VXLAN 的網關用于管理用戶的VXLAN流量，NGFW 設備還可以用作安全設備與物理拓撲業務的安全防護，NGFW 具有多種防護功能，能夠根據需要通過在設備上增減配置完成用戶所需要的差異化安全服務，為用戶構建起差異化的防火墻。以VCFC 作為管理核心能夠實現多臺VXLAN 網關的最大化負載。（2）此模式重點在于在云平臺數據中心中加入了不同的安全設備用于構建起多樣化的安全服務池，根據用戶的需求鏈接起不同的安全服務鏈。在FW/LB 和IPS 功能的實現上需要使用單獨的安全設備，VCFC 所控制的流量必須要經過上述功能中的任意兩個，在最外層的安全防護上則采用的是專用的安全防火墻用于云平臺數據中心VXLAN 和VLAN 之間的安全防護。

云平臺數據中心東西流量的SDN 服務鏈的部署則依靠的是Overlay 網絡的轉發，所有的安全服務節點都能夠完成VXLAN 報文的處理，VCFC 則控制著各流量按照不同的防護邏輯依次穿過各安全服務節點。

SDN 服務鏈的編排則依靠的是SDN 控制器，SDN 控制器主要用于對SDN Overlay 網絡的控制，在SDN 服務鏈編排控制上采用的是：安全服務節點申請- 防護節點定義- 負載均衡成員安全服務配置- 流量特征組在定義。上述定義后的特征流量將以流表和配置的方式向分類節點和安全服務節點下發，進而引導用戶的流量進行自動轉發。

7 結論

云平臺數據中心中可以采用SDN 服務鏈作為安全服務技術，基于SDN Overlay 虛擬網絡所構建的安全服務資源池將能夠為用戶提供多樣化的安全服務。基于SDN 服務鏈的安全服務將物理拓撲解耦與安全部署相結合，實現云平臺上所需安全服務資源的共享，同時SDN 服務鏈在云平臺上的應用還增強了安全服務的彈性，方便云平臺的安全服務根據需要進行變更。