ip切片授权平台-网络与安全服务分层编排，构建SRv6标准安全资源池

网络与安全服务分层编排，构建SRv6标准安全资源池

2023-06-28

144

3

黄宏义

华为SFC协议标准专家

Gartner洞察报告显示，传统安全解决方案存在交付慢、缺乏可扩展性、无法统一监控管理等问题。 为了解决这些问题，提供网络和安全能力池化是未来向基于“云-网-边-端”的统一安全体系演进的趋势之一，可以实现业务的灵活部署、弹性扩展和安全保障。收缩，提高可靠性。 因此，服务提供商应积极建设网络和安全服务能力，满足不同用户差异化的网络和安全需求。 企业用户可以订阅服务提供商提供的安全服务，包括访问控制、入侵防护、恶意代码防护、Web应用安全防护、安全审计等，满足企业安全上网、云端访问等安全需求。 同时卡通人物，企业用户还可以订购服务提供商提供的网络服务，满足用户组网、上网、上云等多样化场景的需求。 延迟、稳定、安全的专线连接。

网络和安全服务提供商根据用户订阅自动完成安全资源编排和业务引流。 具体地，对于某一特定业务流，需要基于用户订阅、资源分配等网络服务和安全服务，将业务流引流至一个或多个对应的资源池。 为了支持网络服务和安全服务，需要利用SFC技术提供的引流能力。

• SFC 标准架构

SFC（Service Function Chaining，业务功能链）[1]通常是指由一组SF（Service Function，业务功能）节点组成的序列。 SFC技术可以实现业务流转发时，由指定的SF进行处理。 这些SF可以是FW（防火墙）、IPS（入侵防御系统）、WAF（Web应用防火墙）等。

SFC的架构如图1-1所示，其主要作用如表1-1所示。

图1-1 SFC架构

表1-1 SFC架构中包含的关键角色

• 证监会实施方式多元化

从实现的角度来看，历史上实现SFC的技术有很多，其中比较常见的就是基于策略路由PBR实现SFC。 策略路由通过在设备上逐点配置静态策略路由来实现报文的定向转发。 然而，这种静态配置 SFC 的方法与物理拓扑紧密耦合。 新业务需要依赖物理拓扑。 配置复杂，相对固定，扩展性有限，灵活性差。 另外，业务层策略依赖于底层承载协议，端到端的可视化不足以支持OAM。 SF之间是相互独立的ip切片授权平台，不能传输Metadata（元数据）。

为了弥补PBR的不足，业界提出了NSH（Network Service Header，网络服务报文头）方案[2]，并在IETF中实现了标准化。 NSH是专门为SFC定制的协议头。 它通过携带SFC的转发路径ID（SPI）和SF在SFC中的序列（SI）来指导报文在SFC中的转发。 此外，NSH还设计了一种在SFC域中承载不同类型Metadata的机制，包括固定长度和可变长度两种类型，以弥补PBR无法在SF之间传输元数据的缺陷，并在SF之间共享分类结果等信息。

这种业务层和网络层分离的方法虽然可以解决策略路由的一些问题，但也存在一些缺点。 例如，每个SFC的转发状态都需要在SFF上维护，控制平面的复杂度比较高。 此外，由于网络封装选项过多，实际操作中工作量过大，NSH承载的透明性实际上也成为了部署的障碍。 因此，当NSH商用时，设备厂商之间需要就NSH承载协议进行协商。 相互通讯费用。 因此，很多运营商和OTT厂商仍然倾向于以PBR模式部署SFC。

• SRv6构建新的SFC解决方案

SRv6（Segment Routing IPv6，基于IPv6转发平面的分段路由）是一种新型的IP技术。 其丰富的网络编程能力可以更好地满足5G、云等新型网络业务的需求。 SRv6支持在入口节点对数据包的转发路径进行显式编程，无需在网络中间节点（SFF）维护逐流转发状态，从而降低了控制平面的部署难度。 因此，SRv6自然而然地支持SFC，成为部署SFC的新选择。

当然，为了支持SRv6 SFC，网络首先需要支持SRv6。 目前ip切片授权平台，国内主流设备商、运营商、政务、金融、交通等行业均已明确SRv6的演进方向，SRv6已在骨干网、城域网、5G承载网实现商用部署。 这也推动了安全资源池向SRv6引流技术方向发展。

然而，推进基于SRv6 SFC的安全服务编排仍面临诸多挑战，包括：

1.现有提供安全服务和网络服务原子能力（SF）的设备或节点可能不支持SRv6能力。 因此，为了实现SRv6独立编排所有原子能力，还需要为这些不支持SRv6的原子能力提供SRv6代理模式。

2、虽然SRv6提供了端到端的可编程源路由能力，但是如果需要编程的SF数量较多，且每个原子能力（SF）都有独立的SID，则需要在SRv6包头SRH中进行编程。 所有SF都有128位的SID，这使得SRH的长度急剧爆炸，消耗大量的广域带宽。 例如，对于编排4个SF的业务，SRH至少需要64字节来存储所有SF组成的SID List。

3、云安全资源池中，通常采用多VM或容器部署的方式，实现原子能力的负载均衡，提供原子级的网络能力和安全能力。 如果针对每个原子能力都采用SRv6引流，则每个原子能力的协议栈都需要对报文进行SRv6分析，会导致通信服务效率差、额外消耗处理性能、占用业务处理资源。

•华为在网络和业务分层编排方面的实践

针对实际部署中的挑战，华为推出了基于SRv6网络和业务分层编排的安全资源池解决方案。 该方案通过优化安全服务架构、降低带宽消耗、提高通信效率、兼顾第三方能力编排等方式应对挑战。 具体方案如图1-2所示。 资源池中的服务布置为一个整体节点，通过SRv6布置不同的安全资源池，形成主服务链； 通过策略（如PBR引流）安排资源池中的原子能力，通过容器Mesh总线等进行容器之间的高速通信吉祥物设计，形成子服务链。 该部署方式实现了资源池粒度的SRv6引流。 它只要求网络服务具有SRv6等协议能力，而对安全服务没有协议能力要求。

图1-2 基于SRv6网络和业务分层编排的安全资源池解决方案

此外，华为安全资源池解决方案还引入了应用感知网络（APN）[3]技术，支持细粒度的网络和业务编排。 为每个资源池规划一个SID，网络编排通过APP ID判断传入的业务链，通过SRv6转发引入到不同的资源池进行网络分发。 业务编排根据APN ID识别资源池中的租户User ID，映射安全子服务链，然后发送到不同的安全服务容器，从而实现一体化的安全业务处理。

图1-3 SRv6+APN安全业务引流方案

虽然SRv6+APN的安全业务引流方案在技术上非常先进，但为了兼顾现有网络设备的安全引流，可以采用如图1-4所示的方案，即将CPE作为SC封装VxLAN、GRE等隧道进行流量分流安全资源池，安全资源池终结对应的隧道，并基于VPN或VLAN进行业务识别，扩展安全业务链进行安全处理，最终引导由ASBR流回骨干网。 这种引流方式虽然不需要对现有网络设备进行升级或改造，但调整配置后即可复用，方便现网复用旧网。 而基于SRv6+APN，大网络和安全业务的集成编排更加灵活，可以享受SRv6提供的切片、OAM等特性。 预计将成为未来演进的主要趋势。

图1-4 CPE作为SC封装VxLAN、GRE等隧道引入安全资源池

华为的安全资源池解决方案还支持第三方服务的编排。 对于支持SRv6的第三方安全服务：将SRv6业务链ID通过SRv6转发给对应的安全服务，完成业务处理； 对于不支持SRv6的第三方安全服务：需要在服务前前置第三方安全服务网关 作为SRv6代理，根据SRv6服务链，通过SRv6将服务转发到第三方安全服务网关ID，第三方安全服务网关完成代理后将业务流传递给第三方安全服务进行处理。

• 总结与展望

总之，华为SRv6网络编排+PBR业务编排安全资源池解决方案结合了SFC灵活编排和NFV资源调度的优势，实现了标准分层SFC架构的“分而治之”[4][5]的思想，各种资源池和原子能力可以友好地部署。 特别是，基于SRv6的引流不仅可以实现无状态SFC部署，还可以享受SRv6带来的各种特性。 即使随着技术的演进和设备的更替，这种分层的方案仍然是一种可行的、取长补短的资源池实现方法。