Neutron/ServiceChainUseCases
< Neutron
目录
服务链用例
安全微隔离
- 环境:数据中心/企业/私有/公有云
- 问题陈述:大量成功的攻击并非直接攻击包含敏感信息的系统,而是从组织中的薄弱点开始,然后攻击者横向移动到敏感系统。为了检测和防止这种类型的攻击,需要在整个组织中应用零信任策略。这需要在大多数应用程序之间插入安全措施,以限制访问并检测异常行为。
- 解决方案要求:能够无缝地将安全虚拟网络功能插入到流量中。由于工作负载正在动态变化,该解决方案必须能够以任意顺序插入和删除,并随着应用程序的部署和删除而进行插入和删除。
- 性能要求:<=10G
- 使用的 VNF:L7-防火墙、L7-IPS、L7-IDS
- 流量分类要求:出于安全考虑,通常需要检查所有流量,因此分类只是要保护的主机端口。
- 主要流量方向:双向
- 参考文献:1,3
vCPE [小型私有云]
- 环境:企业/客户边缘
- 用户问题陈述:服务提供商正在用运行在标准 x86 硬件上的 VNF 替换专用硬件(路由器、无线网关、防火墙)。虚拟 CPE 是一个小型 VNF 云,服务提供商可以对其进行重新配置以提供更新或新的服务,而无需进行现场访问,现场访问成本非常高。
- 解决方案要求:能够服务链一组 VNF,自动更新、自动化扩展和部署新的 VNF
- 性能要求:< 1G
- 使用的 VNF:L7-防火墙、L7-IPS、L7-IDS、路由器、WAN 优化器、IPSec 网关
- 流量分类要求:这是一个网关用例,因此所有流量都应通过安全 VNF,但是如果 vCPE 中有特定于功能的 VNF,则可能需要额外的流量分类。
- 主要流量方向:双向
- 参考文献:10,11
vPE [大型私有云]
- 环境:私有云/服务提供商边缘
- 用户问题陈述:服务提供商正在用运行在标准 x86 硬件上的 VNF 替换专用硬件(路由器、无线网关、防火墙)。虚拟 PE 是一个大型 VNF 云,服务提供商可以对其进行重新配置以从其数据中心提供更新或新的服务。客户场所的足迹显著减少。服务提供商面临的挑战是提供规模、灵活性和高 SLA。
- 解决方案要求:能够服务链一组 VNF,自动更新和自动化扩展。大规模托管多租户服务。
- 性能要求:<1G 每链路,总带宽可达 100G。
- 使用的 VNF:L7-防火墙、L7-IPS、L7-IDS、WAN 优化器、CGNAT、IPSec 网关、LI
- 流量分类要求:根据提供的服务,可以有一组分类最少的链,从而进入特定于功能的 VNF 链。
- 流量方向:入站/出站双向。
- 参考文献:12
VNF 作为服务 [公有或私有云服务]
- 环境:云私有和公有
- 问题陈述:云提供商希望提供特定的 VNF 作为服务。为了优化 VNF 的使用,它们被集群在由云提供商配置和管理的机架上。它们按需分配给客户,并且流量根据客户需求引导通过 VNF。
- 解决方案要求:非常灵活的流量引导,用于多个租户,能够扩展 VNF 或负载平衡 VNF。
- 性能要求:<=10 G
- 使用的 VNF:L7-防火墙、L7-IPS、L7-IDS、负载均衡器、视频优化器
- 流量分类要求:根据提供的 VNF,可以有多种分类。安全服务将采用非常粗粒度的分类,而视频服务将至少通过基于端口的分类来定义。
- 主要流量方向:双向
- 参考文献:4
安全 VNF 网关
- 环境:数据中心/企业/私有和公有云
- 问题陈述:当创建新的“云”网络时,需要部署安全措施来保护网络。安全措施可能是 VPN 终止和防火墙。随着“云”的扩展,需要部署负载均衡器。随着在云中托管的应用程序的构建,需要对其进行保护和扩展。在经典的三层架构中,作为标准做法,在层之间部署安全设备作为网关。部署一层时,必须部署一个安全 VNF 与该层一起检查进入和离开该层的流量,随着负载的增加,安全服务需要通过负载均衡器进行扩展。层分割可以是 L2 或 L3。
- 解决方案要求:能够随系统负载扩展
- 性能要求:每链路 < 1G,总带宽 >10G
- 使用的 VNF:L7 防火墙、L7 IPS、L7 IDS、负载均衡器、VNF
- 流量分类要求:通常是粗粒度的,检查所有流量。
- 主要流量方向:双向
- 参考文献:6
流量增强服务链
- 环境:演进分组核心/云 [公有或私有]
- 问题陈述:在经典的三层架构中,在层之间部署安全设备作为标准做法。当这些工作负载被移动到运行虚拟化基础设施的私有和公有云时,需要启用虚拟解决方案。部署一层时,必须部署一个安全 VNF 与该层一起检查进入和离开该层的流量。层分割可以是 L2 或 L3
- 解决方案要求:能够随系统负载扩展
- 性能要求:每链路 <=10G,具体部署的总带宽可达 100G
- 使用的 VNF:L7-IPS、L7-防火墙、视频优化器、CGNAT
- 流量分类要求:可能非常多样和灵活。
- 主要流量方向:单向
- 参考文献:2
潜在的 VNF
监控 VNF
- 监控
- L7 IDS
- 计费和计费功能
内联 VNF
- L7 防火墙
- L7 IPS
- 负载均衡器
- CGNAT(运营商级 NAT)
- 视频优化器
- 深度包检测
- LI(合法拦截)
- IPSEC 网关
- WAN 优化器
- 会话边界控制器
- 路由器
- HTTP 插入
SFC 封装 / SFC 图
用例状态:尚未支持。
SFC 封装是服务功能链的架构原则,如迄今为止发布的 RFC 中所述 [5, 13]。该概念将转发平面与服务平面分离,并且除了能够携带元数据外,还能够通过选择整个链中的多个 SFP(服务功能路径)来实现真正动态的服务链,这些 SFP 可以基于分类标准进行选择(而不是基于分类标准预先选择,有点像预定义 RSP [渲染服务路径])。目前唯一批准但尚未发布的 SFC 封装协议是 NSH [14]。
networking-sfc 团队已表示其支持 NSH 的意图,从而采用 SFC 封装。但是,要充分利用这个概念,项目还需要进行一些更改。以下链接包含与理解和实现此用例(或用例启用器)相关的信息:[15, 16]。
如果 networking-sfc 团队欢迎此提案,将基于 networking-sfc 开发一个概念验证,以展示此功能,基于最新的 OVS NSH 补丁:[17]。
一些更具体的用例示例,可以使用 SFC 封装和 SFC 图实现
- 加密隧道终止,当我们尚不清楚加密流量的分类是什么,但需要在知道分类时分支。
- 视频优化链,带有 DPI 分类器检测到的 L7 分类,我们需要根据是否检测到视频流量(但不是由初始分类器检测到)进行分支 - IETF SFC 移动用例在 [18] 中介绍。
可以通过观看 OpenStack 巴塞罗那峰会上的相关演示来获取有关此用例(或用例)的更多信息:通过服务功能链和 SFC 图增强您的 NFV 服务。
负责人:Igor Duarte Cardoso。
参考文献
1. NSX 微隔离用例
3. Arista 微隔离
4. Arista 安全即服务
5. 服务功能链问题陈述
6. 网络安全服务功能链用例
7. 数据中心服务功能链用例
11. 虚拟 CPE 的七层可见性
13. 服务功能链 (SFC) 架构
14. 网络服务头
15. 在 networking-sfc 中支持 SFC 封装
17. OVS NSH 补丁
18. 移动网络中的服务功能链
