基于SDN 服务链的云技术数据中心安全防护

裘国星

（浙江华通云数据科技有限公司，浙江 杭州310012）

云平台数据中心是现代信息数据处理的主要平台，借助于云平台各信息技术公司能够为用户提供安全、稳定的信息服务，云平台区别于传统的网络信息服务，因此需要在云平台数据中心中应用与之相匹配的安全防护策略。SDN 服务链技术就是应用于云技术数据中心的安全防护技术，其能够有效的避免传统玩网络安全服务部署技术所存在的不足，为云技术数据中心构建起全新的安全防护策略。

1 传统网络安全服务部署所存在的不足

传统网络安全服务部署采用的是物理拓扑的方式，采用手工设置安全策略，而安全设备将直接布设在网络业务流量路径中。在需要对安全服务策略进行更换时则需要进行大量的手动配置，繁琐而耗时，因此无法满足现代社会对于信息产业快速发展的需求。同时，传统的网络安全服务部署由于直接与网络业务流量业务相关联，其在安全服务的过程中需要进行多次的解包与封包操作，繁琐且耗时，安全设备的资源扩展性较差、共享性不足，在扩展时则需要使用高端设备来弥补性能的不足。

2 SDN 服务链的技术优势

服务链技术是为了方便用户，在为用户提供良好的通讯服务的同时按照业务逻辑要求依次穿过各种安全服务节点，并根据业务服务的需求来设定安全访问路径。SDN 服务链技术是一种可以应用于云平台的安全服务技术，此技术最大的特点在与将控制平面、虚拟网络和转发平面、物理网络之间相分离。物理网络是虚拟网络的基础，以物理网络的虚拟化和逻辑化抽象与SDN Overlay 虚拟网络的控制部件相结合，完成对于网络安全服务链的控制，实现安全服务与网络架构的有机结合，安全服务的转发流量可以通过自动穿过安全服务节点完成相关的安全服务处理业务。采用SDN 服务链能够方便的完成安全拓扑。此外，SDN 服务链所具有的服务节点统一资源池化能够实现安全服务的安全、快速的共享。云平台所涉及到的用户众多，基于SDN 服务链的安全策略能够有效的打破传统物理拓扑所带来的不足，实现个性化的安全防护策略，通过基于用户的业务需求自动转发文件实现用户所需安全服务的快速编制和修改，而无需对物理拓扑造成影响。相较于传统的安全服务，SDN 服务链技术的应用将传统的数据报文简化为一次，仅仅在初次接入的流分类节点中进行一次分发，即可完成整个流程。SDN 服务链所采用的虚拟网络是叠加在物理服务网络上的，采用的是逻辑隧道叠加方式，现今应用于安全服务的技术标准为VXLAN.

3 报文在SDN 服务链中的识别与封装

数据报文在SDN 服务链中需要添加相应的文字段来进行标识，以便SDN 服务链能够完成识别和封装。各SDN 服务链具有不同的标识，数据报文所携带的标识将引导数据报文通过某一条SDN 服务链进行传输。数据报文的封装和标识特征有以下2 种：（1）VXLAN 封装。此种方式应用的前提在于网络设备支持相关功能。SDN 服务链对VXLAN 报文的扩展以VXLAN 报文头保留字段中的某一3 字节作为服务路径ID，用于确定服务链。此外，在上述3 字节中还包括有1 字节的信息用于记录服务链与主机服务节点之间的连接通信次数。（2）NSH 扩展封装。NSH是一种应用于服务链的封装格式，NSH 具有良好的通用性能够应用于多种Overlay 封装中，NSH 通过对VXLAN 报文进行扩展能够携带不同业务所需要的上下文信息，用以在简单的步骤内完成复杂的业务，使用NSH 能够完成二层用户报文甚至是三层用户报文。

4 SDN 服务链对于数据报文的处理

以VCFC 为核心布设SDN 服务链时，VCFC 将根据云平台上用户的需求完成相关服务链的布设，同时将梳理布设服务链上各节点的业务逻辑，VCFC 为报文特征下发端，VTEP 则为接收端，其在接收到VCFC 所下发的服务链报文特征后将所需要处理的服务链数据报文引入到服务链中用以完成逻辑处理。

5 SDN 服务链的组网模式

SDN 服务链的组网可以采用以下三种模式：（1）以VSR 为网关的VXLAN 服务链。VSR 作为VXLAN 网关，向Overlay 提供网关功能，VSwitch 软件用以作为虚拟机和VXLAN 网络的连接终端，VSwitch 软件能够在多种虚拟化平台中得到良好的应用。利用多种设备作为安全服务节点，以VCFC 作为安全节点的控制中枢完成对于各安全节点的集中控制和调配，实现整个服务链的功能。（2）以物理交换机作为网关的VXLAN 服务链。物理交换机作为VXLAN 网关，向Overlay 提供网关功能。物理交换机可以用作接入虚拟机和物理服务器的接口将其连接到VXLAN 网络中，并借助于多种虚拟化平台完成云服务中心数据的安全服务。在构建的服务链中可以采用VSR、VFW、VLB 以及物理防火墙、安全设备等作为以物理交换机作为网关的VXLAN服务链的安全服务节点。（3）安全设备代理服务链。将传统的安全设备直接应用于服务链是无法兼容的，因此可以采用将VXLAN 二层网关用作服务链的代理服务节点，用于向SDN 服务链的报文特征提供解析服务, 通过这一方式可以在服务链中引入大三方的安全设备，从而使得SDN 服务链技术能够与传统的安全设备相关联，实现网络中东西向流量的安全防护。

6 SDN 服务链的部署

云平台数据中心需要处理大量的数据，其中数据主要分为：外部网络与数据中心网络间的数据流量（即南北向流量）；用户间的数据交换（东西向流量）。为实现对于上述两类流量的安全防护则需要做好SDN 服务链的部署.在南北向流量的SDN 服务链部署上可以采用以下两种模式：（1）使用集成化的NGFW 设备作为VXLAN 的网关用于管理用户的VXLAN流量，NGFW 设备还可以用作安全设备与物理拓扑业务的安全防护，NGFW 具有多种防护功能，能够根据需要通过在设备上增减配置完成用户所需要的差异化安全服务，为用户构建起差异化的防火墙。以VCFC 作为管理核心能够实现多台VXLAN 网关的最大化负载。（2）此模式重点在于在云平台数据中心中加入了不同的安全设备用于构建起多样化的安全服务池，根据用户的需求链接起不同的安全服务链。在FW/LB 和IPS 功能的实现上需要使用单独的安全设备，VCFC 所控制的流量必须要经过上述功能中的任意两个，在最外层的安全防护上则采用的是专用的安全防火墙用于云平台数据中心VXLAN 和VLAN 之间的安全防护。

云平台数据中心东西流量的SDN 服务链的部署则依靠的是Overlay 网络的转发，所有的安全服务节点都能够完成VXLAN 报文的处理，VCFC 则控制着各流量按照不同的防护逻辑依次穿过各安全服务节点。

SDN 服务链的编排则依靠的是SDN 控制器，SDN 控制器主要用于对SDN Overlay 网络的控制，在SDN 服务链编排控制上采用的是：安全服务节点申请- 防护节点定义- 负载均衡成员安全服务配置- 流量特征组在定义。上述定义后的特征流量将以流表和配置的方式向分类节点和安全服务节点下发，进而引导用户的流量进行自动转发。

7 结论

云平台数据中心中可以采用SDN 服务链作为安全服务技术，基于SDN Overlay 虚拟网络所构建的安全服务资源池将能够为用户提供多样化的安全服务。基于SDN 服务链的安全服务将物理拓扑解耦与安全部署相结合，实现云平台上所需安全服务资源的共享，同时SDN 服务链在云平台上的应用还增强了安全服务的弹性，方便云平台的安全服务根据需要进行变更。