CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案-業(yè)務(wù)鏈設(shè)計(jì)指南

1、 DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計(jì)指南（業(yè)務(wù)鏈）目 錄 TOC h z t 標(biāo)題 1,1,標(biāo)題 2,2,標(biāo)題 3,3, 標(biāo)題 4,4, 標(biāo)題 5,5, 標(biāo)題 7,1, 標(biāo)題 8,2, 標(biāo)題 9,3, Heading1 No Number,1,Appendix heading 1,1,Appendix heading 2,2,Appendix heading 3,3,Appendix heading 4,4,Append

2、ix heading 5,5, Heading 1,1,Heading 2,2,Heading 3,3, Heading 4,4, Heading 5,5, Heading 7,1,Heading 8,2,Heading 9,3 HYPERLINK l _Toc55060086 1 CloudFabric業(yè)務(wù)鏈介紹 PAGEREF _Toc55060086 h 1 HYPERLINK l _Toc55060087 2 CloudFabric業(yè)務(wù)鏈應(yīng)用場(chǎng)合 PAGEREF _Toc55060087 h 2 HYPERLINK l _Toc55060088 3 業(yè)務(wù)鏈模型 PAGEREF _Toc

3、55060088 h 4 HYPERLINK l _Toc55060089 3.1 業(yè)務(wù)鏈基本模型 PAGEREF _Toc55060089 h 4 HYPERLINK l _Toc55060090 3.2 業(yè)務(wù)鏈邏輯模型 PAGEREF _Toc55060090 h 5 HYPERLINK l _Toc55060091 3.3 業(yè)務(wù)鏈編排模型 PAGEREF _Toc55060091 h 5 HYPERLINK l _Toc55060092 3.3.1 PBR業(yè)務(wù)鏈編排模型 PAGEREF _Toc55060092 h 5 HYPERLINK l _Toc55060093 3.3.2 NSH

4、業(yè)務(wù)鏈編排模型 PAGEREF _Toc55060093 h 6 HYPERLINK l _Toc55060094 3.4 NSH協(xié)議介紹 PAGEREF _Toc55060094 h 7 HYPERLINK l _Toc55060095 3.5 PBR和NSH業(yè)務(wù)鏈對(duì)比 PAGEREF _Toc55060095 h 9 HYPERLINK l _Toc55060096 4 業(yè)務(wù)鏈方案架構(gòu) PAGEREF _Toc55060096 h 11 HYPERLINK l _Toc55060097 4.1 網(wǎng)絡(luò)虛擬化場(chǎng)景業(yè)務(wù)鏈方案架構(gòu) PAGEREF _Toc55060097 h 11 HYPERLI

5、NK l _Toc55060098 4.2 云網(wǎng)一體化場(chǎng)景業(yè)務(wù)鏈方案架構(gòu) PAGEREF _Toc55060098 h 12 HYPERLINK l _Toc55060099 5 業(yè)務(wù)鏈設(shè)計(jì)原則 PAGEREF _Toc55060099 h 13 HYPERLINK l _Toc55060100 5.1 業(yè)務(wù)鏈引流模型 PAGEREF _Toc55060100 h 13 HYPERLINK l _Toc55060101 5.1.1 Go-to引流模型 PAGEREF _Toc55060101 h 14 HYPERLINK l _Toc55060102 5.1.2 Go-through引流模型

6、PAGEREF _Toc55060102 h 14 HYPERLINK l _Toc55060103 5.1.3 One-Arm引流模型 PAGEREF _Toc55060103 h 15 HYPERLINK l _Toc55060104 5.2 VAS設(shè)備與Leaf設(shè)備連接設(shè)計(jì) PAGEREF _Toc55060104 h 16 HYPERLINK l _Toc55060105 5.2.1 物理單臂設(shè)計(jì)模型 PAGEREF _Toc55060105 h 17 HYPERLINK l _Toc55060106 5.2.2 物理雙臂設(shè)計(jì)模型 PAGEREF _Toc55060106 h 18 H

7、YPERLINK l _Toc55060107 5.3 業(yè)務(wù)鏈高可用設(shè)計(jì)原則 PAGEREF _Toc55060107 h 18 HYPERLINK l _Toc55060108 5.3.1 VAS設(shè)備組高可用 PAGEREF _Toc55060108 h 18 HYPERLINK l _Toc55060109 5.3.2 設(shè)備和鏈路可靠性故障切換場(chǎng)景 PAGEREF _Toc55060109 h 20 HYPERLINK l _Toc55060110 6 CloudFabric基線組網(wǎng) PAGEREF _Toc55060110 h 24 HYPERLINK l _Toc55060111 6.

8、1 Service Leaf和Border Leaf合設(shè) PAGEREF _Toc55060111 h 24 HYPERLINK l _Toc55060112 6.2 Service Leaf和Border Leaf分設(shè) PAGEREF _Toc55060112 h 26 HYPERLINK l _Toc55060113 7 業(yè)務(wù)鏈設(shè)計(jì) PAGEREF _Toc55060113 h 28 HYPERLINK l _Toc55060114 7.1 參考拓?fù)?PAGEREF _Toc55060114 h 28 HYPERLINK l _Toc55060115 7.2 NSH業(yè)務(wù)鏈 PAGEREF

9、_Toc55060115 h 29 HYPERLINK l _Toc55060116 7.2.1 IPv4/IPv6 L2 VAS設(shè)計(jì) PAGEREF _Toc55060116 h 29 HYPERLINK l _Toc55060117 7.2.2 IPv4/IPv6 L3 VAS設(shè)計(jì)（NSH-aware） PAGEREF _Toc55060117 h 29 HYPERLINK l _Toc55060118 7.2.3 IPv4/IPv6 L3 VAS設(shè)計(jì)（NSH-unaware） PAGEREF _Toc55060118 h 30 HYPERLINK l _Toc55060119 7.2.4

10、 南北向業(yè)務(wù)鏈設(shè)計(jì) PAGEREF _Toc55060119 h 30 HYPERLINK l _Toc55060120 7.3 PBR業(yè)務(wù)鏈 PAGEREF _Toc55060120 h 32 HYPERLINK l _Toc55060121 7.3.1 IPv4/IPv6 L2 VAS設(shè)計(jì) PAGEREF _Toc55060121 h 32 HYPERLINK l _Toc55060122 7.3.2 IPv4/IPv6 L3 VAS設(shè)計(jì) PAGEREF _Toc55060122 h 33 HYPERLINK l _Toc55060123 7.3.3 南北向業(yè)務(wù)鏈設(shè)計(jì) PAGEREF _T

11、oc55060123 h 34 HYPERLINK l _Toc55060124 8 業(yè)務(wù)鏈高可用 PAGEREF _Toc55060124 h 35 HYPERLINK l _Toc55060125 8.1 健康性檢測(cè) PAGEREF _Toc55060125 h 35 HYPERLINK l _Toc55060126 8.2 業(yè)務(wù)鏈逃生 PAGEREF _Toc55060126 h 35 HYPERLINK l _Toc55060127 8.2.1 參考拓?fù)?PAGEREF _Toc55060127 h 36 HYPERLINK l _Toc55060128 8.2.2 NSH業(yè)務(wù)鏈逃生(

12、NSH-aware) PAGEREF _Toc55060128 h 36 HYPERLINK l _Toc55060129 8.2.3 PBR業(yè)務(wù)鏈逃生 PAGEREF _Toc55060129 h 37 HYPERLINK l _Toc55060130 A 參考圖片 PAGEREF _Toc55060130 h 38CloudFabric業(yè)務(wù)鏈介紹CloudFabric數(shù)據(jù)中心網(wǎng)絡(luò)（以下簡(jiǎn)稱(chēng)“CloudFabric”）解決方案旨在為客戶(hù)構(gòu)筑簡(jiǎn)單、智慧、開(kāi)放的云數(shù)據(jù)網(wǎng)絡(luò)中心，廣泛應(yīng)用于運(yùn)營(yíng)商私有云、公有云、電信云等場(chǎng)景，幫助客戶(hù)加速數(shù)字化轉(zhuǎn)型。CloudFabric解決方案中，“業(yè)務(wù)鏈”技術(shù)可

13、以在業(yè)務(wù)轉(zhuǎn)發(fā)路徑中插入“增值服務(wù)設(shè)備”（以下簡(jiǎn)稱(chēng)“VAS設(shè)備”，如防火墻、負(fù)載均衡、深度檢測(cè)、入侵防御等設(shè)備），對(duì)業(yè)務(wù)流量進(jìn)行增值服務(wù)。通過(guò)CloudFabric業(yè)務(wù)鏈，可以將業(yè)務(wù)流量重定向到防火墻和負(fù)載均衡等VAS設(shè)備，而無(wú)需VAS設(shè)備作為網(wǎng)關(guān)。通過(guò)CloudFabric業(yè)務(wù)鏈，可以有選擇的將流量轉(zhuǎn)發(fā)到VAS設(shè)備。通過(guò)CloudFabric業(yè)務(wù)鏈，VAS設(shè)備可以無(wú)需修改已有拓?fù)涞姆绞讲迦隒loudFabric。通過(guò)CloudFabric業(yè)務(wù)鏈，可以快速的橫向擴(kuò)展VAS設(shè)備。CloudFabric解決方案業(yè)務(wù)鏈?zhǔn)且环N有序的業(yè)務(wù)功能集，可以保證被選擇的流量有序的獲取增值服務(wù)。CloudFabri

14、c解決方案可以將網(wǎng)絡(luò)與增值業(yè)務(wù)統(tǒng)一部署，也可以分開(kāi)部署，這取決于增值業(yè)務(wù)設(shè)備管理平臺(tái)和“iMaster NCE-Fabric”（CloudFabric解決方案的核心組件，實(shí)現(xiàn)對(duì)云數(shù)據(jù)中心網(wǎng)絡(luò)的統(tǒng)一管控和動(dòng)態(tài)調(diào)度、自動(dòng)化部署和彈性擴(kuò)縮容，以下簡(jiǎn)稱(chēng)“控制器”）的對(duì)接程度。CloudFabric業(yè)務(wù)鏈應(yīng)用場(chǎng)合業(yè)務(wù)鏈具備設(shè)備品牌多，功能復(fù)雜，引流形式多樣等特性，由于CloudFabric解決方案本身不提供VAS設(shè)備，所以需要根據(jù)控制器是否可以管理VAS設(shè)備，決定業(yè)務(wù)鏈模式。業(yè)界通常支持如下三種管理業(yè)務(wù)鏈模式：Service Policy模式：控制器負(fù)責(zé)Fabric和VAS設(shè)備之間互聯(lián)L2L3層網(wǎng)絡(luò)的編

15、排，并負(fù)責(zé)VAS設(shè)備所有L2L3層網(wǎng)絡(luò)編排和L4L7業(yè)務(wù)策略下發(fā)。Service Policy模式依賴(lài)控制器對(duì)接VAS設(shè)備（或其管理平臺(tái)）的能力，VAS設(shè)備整體被包含在CloudFabric解決方案中，VAS設(shè)備L2L7層業(yè)務(wù)編排屬于CloudFabric基礎(chǔ)框架的一部分。Service Manager模式：控制器負(fù)責(zé)Fabric和VAS設(shè)備之間互聯(lián)L2L3層網(wǎng)絡(luò)的編排，由第三方VAS設(shè)備管理平臺(tái)負(fù)責(zé)VAS設(shè)備L4L7層業(yè)務(wù)策略下發(fā)。Service Manager模式依賴(lài)控制器對(duì)接VAS設(shè)備（或其管理平臺(tái)）的能力，VAS設(shè)備部分業(yè)務(wù)被包含在CloudFabirc解決方案，VAS設(shè)備L2L3層業(yè)

16、務(wù)編排屬于CloudFabric基礎(chǔ)框架的一部分。Network Policy模式：控制器只負(fù)責(zé)Fabric側(cè)L2L3層網(wǎng)絡(luò)的編排，VAS設(shè)備L2L7層網(wǎng)絡(luò)和業(yè)務(wù)編排不在控制器管理范圍內(nèi)。Network Policy模式不依賴(lài)控制器對(duì)接VAS設(shè)備（或其管理平臺(tái)）的能力，VAS設(shè)備整體被隔離CloudFabirc解決方案之外，VAS設(shè)備的L2L7業(yè)務(wù)編排依靠其第三方管理平臺(tái)或設(shè)備本身。華為CloudFabric解決方案中，目前三種業(yè)務(wù)鏈模式支持情況如下：Service Policy模式支持HW FWService Manager模式僅支持CheckPoint FW，F(xiàn)ortinet FW，Pal

17、oalto FW，F(xiàn)5 LB等VAS設(shè)備N(xiāo)etwork Policy模式支持其他第三方VAS設(shè)備在選用業(yè)務(wù)鏈模式時(shí)，需要考慮以下幾點(diǎn)：業(yè)務(wù)鏈配置是否會(huì)反復(fù)變更，變更業(yè)務(wù)鏈引流策略還是變更VAS設(shè)備業(yè)務(wù)配置？控制器是否可以管理VAS設(shè)備網(wǎng)絡(luò)和業(yè)務(wù)配置？業(yè)務(wù)鏈相關(guān)配置是否有專(zhuān)門(mén)業(yè)務(wù)管理員維護(hù)，還是由網(wǎng)絡(luò)管理員統(tǒng)一編排？帶著這些問(wèn)題，結(jié)合下圖，可以找到適合的業(yè)務(wù)鏈模型。業(yè)務(wù)鏈模式的選擇指引業(yè)務(wù)鏈模型 HYPERLINK l _ZH-CN_TOPIC_0211121285 o 3.1 業(yè)務(wù)鏈基本模型 HYPERLINK l _ZH-CN_TOPIC_0211121286 o 3.2 業(yè)務(wù)鏈邏輯模型 H

18、YPERLINK l _ZH-CN_TOPIC_0211121287 o 3.3 業(yè)務(wù)鏈編排模型 HYPERLINK l _ZH-CN_TOPIC_0211122988 o 3.4 NSH協(xié)議介紹 HYPERLINK l _ZH-CN_TOPIC_0211124720 o 3.5 PBR和NSH業(yè)務(wù)鏈對(duì)比業(yè)務(wù)鏈基本模型業(yè)務(wù)鏈的基本概念模型如下圖所示。業(yè)務(wù)鏈基本概念EPG：可以基于externalNetwork、logic switch、logic Router定義，最小粒度為IP網(wǎng)段（subnet）。Policy rule set：策略規(guī)則集合，定義組間多個(gè)訪問(wèn)控制策略規(guī)則。Policy ru

19、le：一條規(guī)則，代表一類(lèi)業(yè)務(wù)流量和對(duì)應(yīng)的業(yè)務(wù)鏈行為。Classifer：流分類(lèi)器，支持基于五元組+TCP-flag/ICMP-type對(duì)流量進(jìn)行分類(lèi)。Action：規(guī)則中定義的的流動(dòng)作，支持permit/deny/redirect。SFP：對(duì)應(yīng)業(yè)務(wù)鏈的路徑，定義路徑包含VAS設(shè)備的數(shù)量、類(lèi)型和經(jīng)過(guò)VAS設(shè)備的順序，目前CloudFabric解決方案當(dāng)前一條PBR方式SFP中最多可定義3個(gè)VAS設(shè)備。業(yè)務(wù)鏈邏輯模型業(yè)務(wù)鏈的基礎(chǔ)邏輯模型如下圖所示。業(yè)務(wù)鏈邏輯模型業(yè)務(wù)鏈邏輯模型中涉及到的幾個(gè)角色介紹如下。SC （Service Classifier，業(yè)務(wù)分類(lèi)節(jié)點(diǎn)）：實(shí)現(xiàn)業(yè)務(wù)流識(shí)別（選擇流量重定向到業(yè)

20、務(wù)鏈）。SF （Service Function，業(yè)務(wù)功能節(jié)點(diǎn)） ：提供增值服務(wù)功能的節(jié)點(diǎn)，即VAS設(shè)備。SFF （Service Function Forwarder，業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點(diǎn)）：連接SF節(jié)點(diǎn)的交換機(jī)，可以識(shí)別要經(jīng)過(guò)業(yè)務(wù)鏈的業(yè)務(wù)流量，轉(zhuǎn)發(fā)至SF節(jié)點(diǎn)。還可以識(shí)別SF節(jié)點(diǎn)處理后的業(yè)務(wù)流量，繼續(xù)重定向到后續(xù)業(yè)務(wù)鏈流程。業(yè)務(wù)鏈編排模型PBR業(yè)務(wù)鏈編排模型PBR類(lèi)型的業(yè)務(wù)鏈的編排模型和業(yè)務(wù)過(guò)程如下圖所示。PBR業(yè)務(wù)鏈編排模型控制器向SC節(jié)點(diǎn)下發(fā)過(guò)濾和重定向策略，選擇性的將業(yè)務(wù)流量重定向到SF1，PBR方式不改變CONSUMER訪問(wèn)PROVIDER的業(yè)務(wù)報(bào)文?？刂破飨騍FF1節(jié)點(diǎn)下發(fā)隧道側(cè)和用戶(hù)側(cè)過(guò)

21、濾和重定向策略，SFF1節(jié)點(diǎn)選擇性將業(yè)務(wù)流量牽引至SF1、SF2?？刂破飨騍FF2節(jié)點(diǎn)下發(fā)隧道側(cè)過(guò)濾和重定向策略，SFF2節(jié)點(diǎn)選擇性將業(yè)務(wù)流量牽引至SF3，最后將業(yè)務(wù)報(bào)文轉(zhuǎn)發(fā)給PROVIDER。NSH業(yè)務(wù)鏈編排模型NSH類(lèi)型的業(yè)務(wù)鏈的編排模型和業(yè)務(wù)過(guò)程如下圖所示。NSH業(yè)務(wù)鏈編排模型控制器向SC節(jié)點(diǎn)下發(fā)過(guò)濾和重定向策略，選擇性將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)路徑，NSH方式會(huì)改變CONSUMER訪問(wèn)PROVIDER的原始報(bào)文?？刂破飨騍C節(jié)點(diǎn)和SFF節(jié)點(diǎn)下發(fā)NSH轉(zhuǎn)發(fā)表，牽引業(yè)務(wù)流量按照SFP路徑轉(zhuǎn)發(fā)。若SF是NSH-unaware類(lèi)型，控制器還需要在SFF節(jié)點(diǎn)下發(fā)NSH代理配置（剝離NSH頭部轉(zhuǎn)發(fā)

22、），同時(shí)還需要下發(fā)過(guò)濾和重定向策略將經(jīng)過(guò)SF處理的流量重新?tīng)恳罭SH轉(zhuǎn)發(fā)路徑。若SF是NSH-aware類(lèi)型，控制器不需要在SFF節(jié)點(diǎn)下發(fā)NSH代理配置，SF節(jié)點(diǎn)處理業(yè)務(wù)流量時(shí)，會(huì)自行處理業(yè)務(wù)報(bào)文中NSH頭部字段且不會(huì)剝離NSH頭部。NSH協(xié)議介紹ITEF定義了一種新的數(shù)據(jù)面業(yè)務(wù)封裝格式NSH（Network Service Header），封裝頭包括業(yè)務(wù)路徑和MetaData信息等，使得業(yè)務(wù)鏈路徑上的各個(gè)節(jié)點(diǎn)能夠相互傳遞路徑信息，從而構(gòu)建一個(gè)新業(yè)務(wù)平面，實(shí)現(xiàn)業(yè)務(wù)鏈可以對(duì)數(shù)據(jù)做動(dòng)態(tài)靈活的策略處理。NSH協(xié)議標(biāo)準(zhǔn)可以參考RFC8300。承載NSH報(bào)文的網(wǎng)絡(luò)報(bào)文格式，如下所示。承載網(wǎng)為VxLAN

23、的NSH報(bào)文封裝格式如下圖所示：承載網(wǎng)為VLAN的NSH報(bào)文封裝格式如下圖所示：其中NSH header頭部格式如下所示。當(dāng)MD Type值為0 x1時(shí)，報(bào)文格式如下：當(dāng)MD Type值為0 x2時(shí)，報(bào)文格式如下：具體字段含義，請(qǐng)參考REF _table14861184813717 r h表3-1NSH報(bào)文格式中各個(gè)字段的說(shuō)明字段描述VerNSH版本號(hào)當(dāng)前支持版本號(hào)為0ONSH報(bào)文類(lèi)型0：表示數(shù)據(jù)報(bào)文1：表示OAM維護(hù)報(bào)文U保留字段發(fā)送時(shí)NSH報(bào)文保留字段置0，接收NSH報(bào)文時(shí)忽略此字段TTL用于防環(huán)，默認(rèn)值為63初始TTL值應(yīng)該可以被控制面配置，一個(gè)TTL值可以被用在多個(gè)SFP每個(gè)SFF在轉(zhuǎn)

24、發(fā)NSH報(bào)文時(shí)，需要將TTL值減1后再查找NSH轉(zhuǎn)發(fā)表當(dāng)TTL值減1后為0時(shí)，丟棄該NSH報(bào)文LengthNSH報(bào)文的總長(zhǎng)度，該項(xiàng)的值代表4字節(jié)的整倍數(shù)如果MD type值為1，則Length必須是6，表示NSH報(bào)文長(zhǎng)度位6*4字節(jié)如果MD type是2，則Length必須大于或等于2MD type（MetaData type）元數(shù)據(jù)域的格式類(lèi)型0：保留值，暫不使用1：表示元數(shù)據(jù)域?yàn)楣潭ㄩL(zhǎng)度16字節(jié)2：表示元數(shù)據(jù)域?yàn)榭勺冮L(zhǎng)度。F：僅測(cè)試或?qū)嶒?yàn)階段可以使用當(dāng)前設(shè)備支持的MD類(lèi)型為1Next ProtocolNSH封裝前的報(bào)文類(lèi)型0 x1：IPv4報(bào)文0 x2：IPv6報(bào)文0 x3：Etherne

25、t報(bào)文0 x4：NSH報(bào)文0 x5：MPLS報(bào)文0 x60 xFD：未定義0 xFE0 xFF：Experimental當(dāng)前設(shè)備僅支持IPv4報(bào)文SPI業(yè)務(wù)鏈路徑編號(hào)用于唯一標(biāo)識(shí)一條業(yè)務(wù)鏈路徑SI業(yè)務(wù)功能索引用于標(biāo)識(shí)SF節(jié)點(diǎn)在SFP中的位置Context Header元數(shù)據(jù)域當(dāng)MD Type值為0 x0時(shí)，Context Header長(zhǎng)度必須為0（基本不用）當(dāng)MD Type值為0 x1時(shí)，Context Header固定長(zhǎng)度為16字節(jié)當(dāng)MD Type值為0 x2時(shí)，Context Header為變長(zhǎng)字段，長(zhǎng)度必須為4的整數(shù)倍PBR和NSH業(yè)務(wù)鏈對(duì)比PBR和NSH兩種業(yè)務(wù)鏈業(yè)務(wù)的對(duì)比參見(jiàn)下表。P

26、BR和NSH的對(duì)比對(duì)比點(diǎn)PBR業(yè)務(wù)鏈NSH業(yè)務(wù)鏈（NSH-aware）基本特點(diǎn)PBR業(yè)務(wù)鏈不需要改變?cè)紙?bào)文（優(yōu)）NSH業(yè)務(wù)鏈需要改變?cè)紙?bào)文地址變換VAS（NAT和LB）NAT難度在于控制器編排和來(lái)回路徑NSH轉(zhuǎn)發(fā)平面可以減少NAT編排難度（優(yōu)）MetaData信息不支持支持（優(yōu)）Fabric設(shè)備要求無(wú)兼容性需求（優(yōu)）有兼容性需求VAS設(shè)備要求無(wú)需求（優(yōu)）需支持NSH需求業(yè)務(wù)鏈防環(huán)無(wú)防環(huán)能力（cisco能防環(huán)）無(wú)環(huán)（優(yōu)）帶寬資源占用不增加協(xié)議頭部（優(yōu)）增加協(xié)議頭部VAS節(jié)點(diǎn)規(guī)格受限ACL資源，IPv4最多3跳業(yè)務(wù)鏈?zhǔn)芟轆CL資源，IPv6最多1跳業(yè)務(wù)鏈最大支持255（優(yōu)）單特性轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)性能下

27、降不明顯（優(yōu)）轉(zhuǎn)發(fā)性能下降明顯Bypass能力無(wú)Bypass能力（當(dāng)SF為L(zhǎng)3類(lèi)型時(shí)，單跳業(yè)務(wù)鏈自帶逃生）當(dāng)SF為L(zhǎng)3類(lèi)型時(shí)，支持逃生（優(yōu)）流量可視無(wú)需適配（優(yōu)）流量可視軟件支持NSH協(xié)議ACL資源消耗需要每跳用戶(hù)側(cè)或網(wǎng)絡(luò)側(cè)匹配只在SC節(jié)點(diǎn)匹配ACL，其他節(jié)點(diǎn)不消耗（優(yōu)）NSH業(yè)務(wù)鏈只有當(dāng)VAS設(shè)備支持NSH協(xié)議，對(duì)比PBR業(yè)務(wù)鏈才會(huì)具備明顯的優(yōu)勢(shì)。目前華為NSH協(xié)議生態(tài)，包含廠商：迪普FW（雙棧）和山石FW （雙棧） ，其他3rd VAS設(shè)備作為NSH-unware引流。若對(duì)業(yè)務(wù)鏈需求高性能轉(zhuǎn)發(fā)，則推薦PBR業(yè)務(wù)鏈；若要求業(yè)務(wù)鏈組網(wǎng)豐富，則推薦NSH業(yè)務(wù)鏈。業(yè)務(wù)鏈方案架構(gòu) HYPERLINK

28、 l _ZH-CN_TOPIC_0211129258 o 4.1 網(wǎng)絡(luò)虛擬化場(chǎng)景業(yè)務(wù)鏈方案架構(gòu) HYPERLINK l _ZH-CN_TOPIC_0211129259 o 4.2 云網(wǎng)一體化場(chǎng)景業(yè)務(wù)鏈方案架構(gòu)網(wǎng)絡(luò)虛擬化場(chǎng)景業(yè)務(wù)鏈方案架構(gòu)如REF _fig1212333811528 r h圖4-1所示，在網(wǎng)絡(luò)虛擬化場(chǎng)景下，業(yè)務(wù)鏈的架構(gòu)中各個(gè)組件的功能如下。網(wǎng)絡(luò)虛擬化中的SFC方案架構(gòu)iMaster NCE-Fabric：實(shí)現(xiàn)租戶(hù)業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnet等服務(wù)管理華為CE交換機(jī)L2/L3 Fabric網(wǎng)絡(luò)編排業(yè)務(wù)鏈路徑和引流策略負(fù)責(zé)華為VAS設(shè)備和L2/L3 Fabri

29、c雙向網(wǎng)絡(luò)開(kāi)通和業(yè)務(wù)配置負(fù)責(zé)到第三方VAS的L2/L3 Fabric側(cè)的網(wǎng)絡(luò)開(kāi)通SecoManager：管理華為VAS設(shè)備，控制器下發(fā)華為VAS設(shè)備業(yè)務(wù)配置至Seco ManagerHuawei VAS：華為VAS設(shè)備，提供FW、LB、IPS、EIP、SNAT、IPSec VPN等業(yè)務(wù)的實(shí)體3rd VAS：第三方VAS設(shè)備，提供FW、LB、IPS、EIP、SNAT、IPSec VPN等業(yè)務(wù)的實(shí)體3rd SF業(yè)務(wù)Portal：管理第三方VAS設(shè)備，開(kāi)通相關(guān)業(yè)務(wù)和VAS設(shè)備側(cè)網(wǎng)絡(luò)云網(wǎng)一體化場(chǎng)景業(yè)務(wù)鏈方案架構(gòu)如REF _fig1114018475540 r h圖4-2所示，在云網(wǎng)一體化場(chǎng)景下，業(yè)務(wù)鏈

30、的架構(gòu)中各個(gè)組件的功能如下。云網(wǎng)一體化中的SFC方案架構(gòu)OpenStack：實(shí)現(xiàn)租戶(hù)業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnet等服務(wù)iMaster NCE-Fabric：實(shí)現(xiàn)租戶(hù)業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnet等服務(wù)管理華為CE交換機(jī)L2/L3 Fabric網(wǎng)絡(luò)還原OpenStack網(wǎng)絡(luò)，二次編排業(yè)務(wù)鏈路徑和引流策略負(fù)責(zé)華為VAS設(shè)備和L2/L3 Fabric雙向網(wǎng)絡(luò)開(kāi)通和業(yè)務(wù)配置負(fù)責(zé)到第三方VAS的L2/L3 Fabric側(cè)的網(wǎng)絡(luò)開(kāi)通Seco Manager：管理華為VAS設(shè)備，VAS設(shè)備相關(guān)業(yè)務(wù)在Seco Manager編排配置Huawei VAS：華為VAS

31、設(shè)備，提供FW、EIP、SNAT、IPSec VPN等業(yè)務(wù)的實(shí)體3rd VAS：第三方VAS設(shè)備，提供FW、LB、IPS等業(yè)務(wù)的實(shí)體3rd SF業(yè)務(wù)Portal：管理第三方VAS設(shè)備，開(kāi)通相關(guān)業(yè)務(wù)和VAS設(shè)備側(cè)L2/L3網(wǎng)絡(luò)業(yè)務(wù)鏈設(shè)計(jì)原則 HYPERLINK l _ZH-CN_TOPIC_0206741996 o 5.1 業(yè)務(wù)鏈引流模型 HYPERLINK l _ZH-CN_TOPIC_0206744181 o 5.2 VAS設(shè)備與Leaf設(shè)備連接設(shè)計(jì) HYPERLINK l _ZH-CN_TOPIC_0213525378 o 5.3 業(yè)務(wù)鏈高可用設(shè)計(jì)原則業(yè)務(wù)鏈引流模型業(yè)務(wù)鏈的核心能力在于引流

32、，如何正確、均勻的將業(yè)務(wù)流量牽引至VAS設(shè)備是業(yè)務(wù)鏈的核心功能。在CloudFabric解決方案中，不同類(lèi)型的VAS設(shè)備，引流方式有所不同。VAS設(shè)備類(lèi)型總體來(lái)講，可以分為三種，分別為：L1類(lèi)型設(shè)備、L2類(lèi)型設(shè)備和L3類(lèi)型設(shè)備。L1、L2和L3類(lèi)型設(shè)備具體定義如下：L1類(lèi)型設(shè)備無(wú)VLAN轉(zhuǎn)換能力所有的設(shè)備接口均屬于同一個(gè)VLAN業(yè)務(wù)流量經(jīng)過(guò)設(shè)備不會(huì)二層或三層轉(zhuǎn)發(fā)通常采用接口對(duì)的形式，從一個(gè)接口進(jìn)，從另一個(gè)接口出L2類(lèi)型設(shè)備具備VLAN轉(zhuǎn)換能力設(shè)備接口VLAN可配置，不同接口可以配置不同VLAN業(yè)務(wù)流量經(jīng)過(guò)設(shè)備會(huì)二層轉(zhuǎn)發(fā)設(shè)備接口具備MAC學(xué)習(xí)能力L3類(lèi)型設(shè)備具備VLAN轉(zhuǎn)換能力設(shè)備接口VLAN可

33、配置，不同接口可以配置不同VLAN業(yè)務(wù)流量經(jīng)過(guò)設(shè)備會(huì)三層轉(zhuǎn)發(fā)設(shè)備接口具備MAC學(xué)習(xí)能力不同類(lèi)型VAS設(shè)備對(duì)應(yīng)不同的引流方式。L1/L2類(lèi)型VAS設(shè)備本身無(wú)IP地址，需要通過(guò)Go-through方式引流；而L3類(lèi)型VAS設(shè)備本身可以配置IP地址，通過(guò)Go-to方式引流。Go-to引流模型參考下圖，Go-to引流模型分為兩種情況：業(yè)務(wù)鏈VAS設(shè)備直接作為consumer的網(wǎng)關(guān)（CloudFabric當(dāng)前方案暫不支持）。網(wǎng)絡(luò)設(shè)備BD接口地址作為consumer的網(wǎng)關(guān)，通過(guò)業(yè)務(wù)鏈重定向的方式將業(yè)務(wù)流量重定向到VAS設(shè)備。Go-to引流模型如下圖所示。Go-to引流模型示意圖consumer訪問(wèn)prov

34、ider的流量會(huì)在Leaf設(shè)備重定向到VAS設(shè)備IP，由VAS設(shè)備通過(guò)靜態(tài)路由將業(yè)務(wù)流量處理后再轉(zhuǎn)發(fā)給Leaf設(shè)備，由Leaf設(shè)備繼續(xù)重定向或轉(zhuǎn)發(fā)給provider。在此引流模型中，一個(gè)VRF關(guān)聯(lián)兩個(gè)Bridge-Domain，兩者關(guān)系圖如下所示。兩個(gè)BD之間的關(guān)系示意圖Go-through引流模型參考下圖，Go-through引流模型指VAS設(shè)備橋接在consumer和provider之間，VAS設(shè)備本身不具備IP地址，流量不會(huì)在VAS設(shè)備L2/L3轉(zhuǎn)發(fā)。在CloudFabric解決方案中，需要業(yè)務(wù)流量重定向到L1/L2類(lèi)型VAS設(shè)備時(shí)，通常采用Go-through引流模式部署業(yè)務(wù)鏈。Go-

35、through引流模式基本模型，如下圖所示。Go-through引流模型Consumer訪問(wèn)provider的流量會(huì)在Leaf設(shè)備重定向到VAS設(shè)備，VRFA接口轉(zhuǎn)發(fā)業(yè)務(wù)報(bào)文的目的MAC為VRFB接口地址MAC。L1類(lèi)型VAS設(shè)備會(huì)將業(yè)務(wù)報(bào)文直接與入接口同接口對(duì)的另一接口轉(zhuǎn)發(fā)；L2類(lèi)型VAS設(shè)備會(huì)將業(yè)務(wù)報(bào)文二層轉(zhuǎn)發(fā)。在此引流模型，兩個(gè)VRF分別關(guān)聯(lián)一個(gè)Bridge-Domian，兩者關(guān)系圖如下所示。兩個(gè)VRF之間的關(guān)系示意圖One-Arm引流模型參考下圖，One-Arm模型指VAS設(shè)備和Leaf之間通過(guò)邏輯單臂互聯(lián)，指業(yè)務(wù)流量通過(guò)一個(gè)邏輯接口轉(zhuǎn)發(fā)。需要VAS設(shè)備支持此種引流模型。當(dāng)前Cloud

36、Fabric解決方案中，同VPC內(nèi)業(yè)務(wù)鏈通常采用這種業(yè)務(wù)鏈模型。One-Arm引流模型如下圖所示。One-Arm引流模型Consumer訪問(wèn)provider的業(yè)務(wù)流量會(huì)在Leaf設(shè)備重定向到VAS設(shè)備，VAS設(shè)備轉(zhuǎn)發(fā)此業(yè)務(wù)流量給Leaf設(shè)備時(shí)，通過(guò)入接口轉(zhuǎn)發(fā)流量（需要VAS設(shè)備支持）。在此引流模型中，一個(gè)VRF關(guān)聯(lián)1個(gè)Bridge-Domain，兩者關(guān)系圖如下所示。VRF、BD間關(guān)系示意圖VAS設(shè)備與Leaf設(shè)備連接設(shè)計(jì)數(shù)據(jù)中心網(wǎng)絡(luò)中VAS設(shè)備和Leaf設(shè)備連接方式多種多樣，為了方便CloudFabric統(tǒng)一管理和編排，規(guī)劃了VAS設(shè)備與Leaf設(shè)備連接方法。VAS設(shè)備與Leaf互聯(lián)鏈路需要區(qū)

37、分鏈路角色，不同鏈路角色承載的流量不同。鏈路角色分為“內(nèi)部鏈路”和“外部鏈路”?！皟?nèi)部鏈路”表示該鏈路只承載租戶(hù)router與租戶(hù)vsys的流量，“外部鏈路”表示該鏈路只承載外部網(wǎng)絡(luò)與ExtranetVsys的流量，“內(nèi)外部鏈路”表示該物理鏈路既承載租戶(hù)router與租戶(hù)vsys的流量也承載外部網(wǎng)絡(luò)與ExtranetVsys的流量，租戶(hù)vsys和ExtranetVsys之間內(nèi)部會(huì)進(jìn)行路由轉(zhuǎn)發(fā)，從而實(shí)現(xiàn)租戶(hù)router和外部網(wǎng)絡(luò)的流量互通。若設(shè)定VAS與Leaf互聯(lián)物理鏈路角色為“內(nèi)部鏈路”，則單臺(tái)VAS設(shè)備與M-LAG Leaf組通過(guò)一對(duì)子接口互通（承載在互聯(lián)鏈路上），此時(shí)為邏輯單臂。若設(shè)定V

38、AS與Leaf互聯(lián)物理鏈路角色為“內(nèi)外部鏈路”，則單臺(tái)VAS設(shè)備與M-LAG Leaf組通過(guò)兩對(duì)子接口互通（承載在互聯(lián)鏈路上），此時(shí)為邏輯雙臂。若設(shè)定VAS與Leaf互聯(lián)物理鏈路角色分別為“內(nèi)部鏈路”和“外部鏈路”，則單臺(tái)VAS設(shè)備與M-LAG Leaf組通過(guò)兩對(duì)子接口互通（承載在互聯(lián)鏈路上），此時(shí)為邏輯雙臂。其中，物理單臂、物理雙臂的說(shuō)明如下：當(dāng)邏輯單臂或邏輯雙臂由一條物理鏈路承載（一條單鏈路或聚合鏈路），為物理單臂。當(dāng)邏輯雙臂由兩條物理鏈路承載（兩條單鏈路或聚合鏈路），為物理雙臂。同VPC內(nèi)東西向業(yè)務(wù)鏈，當(dāng)前版本推薦物理單臂配合邏輯單臂。南北向業(yè)務(wù)鏈，當(dāng)前版本支持物理單臂配合邏輯雙臂和物理

39、雙臂配合邏輯雙臂方式實(shí)現(xiàn)。物理單臂設(shè)計(jì)模型物理單臂可以包含邏輯單臂和邏輯雙臂兩種模型，如下：邏輯單臂組網(wǎng)：VAS組成員設(shè)備與Leaf設(shè)備組（M-LAG）通過(guò)聚合鏈路互聯(lián)，consumer和provider之間業(yè)務(wù)鏈通過(guò)內(nèi)部鏈路轉(zhuǎn)發(fā)報(bào)文。主設(shè)備和備設(shè)備都存在一條邏輯鏈路，當(dāng)主設(shè)備邏輯鏈路故障，備設(shè)備邏輯鏈路生效（可靠性高）。邏輯單臂組網(wǎng)示意圖邏輯雙臂組網(wǎng)：VAS組成員設(shè)備與Leaf設(shè)備組（M-LAG）通過(guò)聚合鏈路互聯(lián)，主設(shè)備和備設(shè)備通過(guò)聚合鏈路與Leaf設(shè)備組互聯(lián)，consumer和provider之間業(yè)務(wù)鏈通過(guò)兩條邏輯鏈路轉(zhuǎn)發(fā)報(bào)文。主設(shè)備和備設(shè)備都存在兩條邏輯鏈路，當(dāng)主設(shè)備物理鏈路故障，備設(shè)備

40、物理鏈路生效（可靠性高）。邏輯雙臂組網(wǎng)示意圖物理雙臂設(shè)計(jì)模型物理雙臂僅包含邏輯雙臂一種模型：VAS設(shè)備組與Leaf設(shè)備組（M-LAG）通過(guò)兩條聚合鏈路互聯(lián)，邏輯鏈路被承載在不同的聚合鏈路（可靠性高）。下圖備VAS備設(shè)備與主設(shè)備接線方式一致，防止圖片畫(huà)線過(guò)多，故省略。物理雙臂組網(wǎng)示意圖業(yè)務(wù)鏈高可用設(shè)計(jì)原則CloudFabric業(yè)務(wù)鏈高可用可以從兩個(gè)維度闡明：VAS設(shè)備高可靠和業(yè)務(wù)鏈路徑高可靠（SC節(jié)點(diǎn)、SFF節(jié)點(diǎn)），如下表所示。項(xiàng)目VAS設(shè)備可靠性SC節(jié)點(diǎn)可靠性SFF節(jié)點(diǎn)可靠性冗余方式主備/主備鏡像/負(fù)載分擔(dān)MLAG雙活MLAG雙活故障檢測(cè)方式VAS設(shè)備之間心跳線MLAG雙主心跳檢測(cè)MLAG雙主

41、心跳檢測(cè)故障切換方法VAS設(shè)備主動(dòng)切換BGP收斂BGP收斂VAS設(shè)備組高可用VAS設(shè)備高可用，可以通過(guò)主備、主備鏡像、負(fù)載分擔(dān)等方式實(shí)現(xiàn)。主備：VAS設(shè)備組成員統(tǒng)一通過(guò)VIP地址對(duì)外提供服務(wù)，成員間通過(guò)參數(shù)比較選出主成員，主成員負(fù)責(zé)所有業(yè)務(wù)處理，將配置同步給備成員，備成員隨時(shí)準(zhǔn)備接替主成員（當(dāng)前版本不支持）主備鏡像：VAS設(shè)備組成員統(tǒng)一通過(guò)VIP地址對(duì)外提供服務(wù)，成員間通過(guò)參數(shù)比較選出主成員，主成員負(fù)責(zé)所有業(yè)務(wù)處理，將配置和會(huì)話同步給備成員，備成員隨時(shí)準(zhǔn)備接替主成員負(fù)載分擔(dān)：VAS設(shè)備組成員統(tǒng)一通過(guò)VIP地址對(duì)外提供服務(wù)，成員均對(duì)外提供服務(wù)，配置會(huì)下發(fā)給所有成員（當(dāng)前版本不支持）通常通過(guò)VAS

42、集群提供以上高可用功能，集群會(huì)配置一個(gè)VIP（不同廠商稱(chēng)呼不同，還有類(lèi)似Virtual IP等稱(chēng)呼，華為iMaster NCE-Fabric中稱(chēng)作shareIP）統(tǒng)一對(duì)外提供服務(wù)。主備鏡像高可用連接方案主備集群VAS設(shè)備組成員通過(guò)M-LAG聚合鏈路與Leaf設(shè)備組互聯(lián)，VAS設(shè)備組成員間通過(guò)直連鏈路檢測(cè)成員心跳和配置同步，Leaf設(shè)備組之間通過(guò)peer-link鏈路和心跳鏈路實(shí)現(xiàn)設(shè)備同步表項(xiàng)和雙活。Leaf設(shè)備組統(tǒng)一對(duì)外提供相同的VTEP IP地址，VAS設(shè)備組成員統(tǒng)一對(duì)外提供相同的VIP地址，Leaf設(shè)備組下發(fā)多條目的為VIP的靜態(tài)路由，靜態(tài)路由對(duì)應(yīng)的nexthop分別指向VAS設(shè)備組成員，

43、VAS設(shè)備組成員主備通過(guò)靜態(tài)路由優(yōu)先級(jí)體現(xiàn)。VAS設(shè)備組（主備/主備鏡像）高可用連接方案如下圖所示。主備/主備鏡像高可用連接示意圖負(fù)載分擔(dān)高可用連接方案負(fù)載分擔(dān)集群VAS設(shè)備組成員通過(guò)M-LAG聚合鏈路與Leaf設(shè)備組互聯(lián)，VAS設(shè)備組成員間通過(guò)直連鏈路檢測(cè)成員心跳和配置同步，Leaf設(shè)備組之間通過(guò)peer-link鏈路和心跳鏈路實(shí)現(xiàn)設(shè)備雙活和同步表項(xiàng)。Leaf設(shè)備組統(tǒng)一對(duì)外提供相同的VTEP IP地址，VAS設(shè)備組成員統(tǒng)一對(duì)外提供相同的VIP地址，控制器為L(zhǎng)eaf設(shè)備組下發(fā)多條目的為VIP的靜態(tài)路由，靜態(tài)路由對(duì)應(yīng)的nexthop分別指向VAS設(shè)備組成員，靜態(tài)路由無(wú)需配置優(yōu)先級(jí)，通過(guò)ECMP實(shí)

44、現(xiàn)負(fù)載分擔(dān)。負(fù)載分擔(dān)對(duì)往返路徑一致性有要求，所以正向流量和反向流量在hash時(shí)應(yīng)忽略方向性。VAS設(shè)備（負(fù)載分擔(dān)）高可用連接方案如下圖所示。負(fù)載分擔(dān)高可用連接示意圖設(shè)備和鏈路可靠性故障切換場(chǎng)景上述高可用方案可以覆蓋鏈路故障場(chǎng)景和設(shè)備故障場(chǎng)景。主備鏡像VAS組正常業(yè)務(wù)，任意一臺(tái)Leaf設(shè)備組成員都可以將業(yè)務(wù)流量本地轉(zhuǎn)發(fā)到VAS設(shè)備組主成員。正常時(shí)的流量轉(zhuǎn)發(fā)當(dāng)Leaf設(shè)備與VAS組主成員鏈路故障時(shí)，業(yè)務(wù)流量可以從MLAG成員設(shè)備通過(guò)peerlink鏈路轉(zhuǎn)發(fā)到另一個(gè)MLAG成員設(shè)備，再轉(zhuǎn)發(fā)到VAS組主成員。Leaf與VAS組主成員鏈路故障時(shí)的流量轉(zhuǎn)發(fā)當(dāng)VAS組主成員故障時(shí)，Leaf設(shè)備組從VAS組備

45、成員學(xué)習(xí)到VAS組VIP的MAC，后續(xù)流量轉(zhuǎn)發(fā)給VAS組備成員。VAS組主成員故障時(shí)的流量轉(zhuǎn)發(fā)負(fù)載均衡模式VAS組（當(dāng)前版本不支持）正常業(yè)務(wù)，任意一臺(tái)Leaf設(shè)備組成員都可以將業(yè)務(wù)流量本地轉(zhuǎn)發(fā)到VAS設(shè)備組所有成員。正常時(shí)的流量轉(zhuǎn)發(fā)當(dāng)Leaf設(shè)備與某個(gè)VAS成員鏈路故障時(shí)，業(yè)務(wù)流量可以從M-LAG成員設(shè)備通過(guò)peerl-ink鏈路轉(zhuǎn)發(fā)到另一個(gè)MLAG成員設(shè)備，再轉(zhuǎn)發(fā)到VAS設(shè)備。Leaf與VAS組某個(gè)成員部分鏈路故障時(shí)的流量轉(zhuǎn)發(fā)當(dāng)某個(gè)VAS設(shè)備故障時(shí)，Leaf設(shè)備組會(huì)收斂下一跳為故障VAS設(shè)備的VIP靜態(tài)路由，其他成員的靜態(tài)路由無(wú)影響。VAS組某個(gè)成員故障時(shí)的流量轉(zhuǎn)發(fā)CloudFabric基線

46、組網(wǎng)在目前CloudFabric基線組網(wǎng)中，業(yè)務(wù)鏈能力局限在VPC內(nèi)，應(yīng)用場(chǎng)景共3種：外網(wǎng)和VPC通過(guò)業(yè)務(wù)鏈互訪：業(yè)務(wù)鏈支持路徑包含VAS設(shè)備或不包含VAS設(shè)備，不過(guò)VAS設(shè)備時(shí)由交換機(jī)實(shí)現(xiàn)業(yè)務(wù)隔離。VPC內(nèi)不同子網(wǎng)通過(guò)業(yè)務(wù)鏈互訪：業(yè)務(wù)鏈支持路徑包含VAS設(shè)備或不包含VAS設(shè)備，不過(guò)VAS設(shè)備時(shí)由交換機(jī)實(shí)現(xiàn)業(yè)務(wù)隔離。VPC內(nèi)同子網(wǎng)通過(guò)業(yè)務(wù)鏈互訪：業(yè)務(wù)鏈將流量牽引至VAS設(shè)備進(jìn)行安全控制，Network Overlay網(wǎng)絡(luò)虛擬化組網(wǎng)需要虛擬交換機(jī)（VMware&Microsoft）通過(guò)PVLAN，將流量牽引至交換機(jī)，通過(guò)交換機(jī)業(yè)務(wù)鏈按需隔離 HYPERLINK l _ZH-CN_TOPIC_02

47、06742515 o 6.1 Service Leaf和Border Leaf合設(shè) HYPERLINK l _ZH-CN_TOPIC_0206742516 o 6.2 Service Leaf和Border Leaf分設(shè)Service Leaf和Border Leaf合設(shè)Service Leaf和Border Leaf合設(shè)的組網(wǎng)基線如下圖所示。Service Leaf和Border Leaf合設(shè)的組網(wǎng)示意圖本章業(yè)務(wù)鏈的3種應(yīng)用場(chǎng)景，控制器將重定向策略在源端Server Leaf下發(fā)，將業(yè)務(wù)流量牽引至VAS設(shè)備處理，南北向業(yè)務(wù)鏈最后一跳VAS設(shè)備通過(guò)靜態(tài)路由的方式轉(zhuǎn)發(fā)業(yè)務(wù)流量，對(duì)應(yīng)轉(zhuǎn)發(fā)邏輯如下圖

48、所示。南北向業(yè)務(wù)鏈轉(zhuǎn)發(fā)路徑示意圖Service Leaf和Border Leaf分設(shè)Service Leaf和Border Leaf分設(shè)的組網(wǎng)基線如下圖所示。Service Leaf和Border Leaf分設(shè)的組網(wǎng)示意圖業(yè)務(wù)鏈的3種應(yīng)用場(chǎng)景，重定向策略在源端Server Leaf下發(fā)，將業(yè)務(wù)流量牽引至VAS設(shè)備處理（同子網(wǎng)與不同子網(wǎng)引流類(lèi)似，不予贅述），南北向業(yè)務(wù)鏈最后一跳VAS設(shè)備通過(guò)路由引流的方式轉(zhuǎn)發(fā)業(yè)務(wù)流量，對(duì)應(yīng)轉(zhuǎn)發(fā)邏輯如下圖所示。南北向業(yè)務(wù)鏈轉(zhuǎn)發(fā)路徑示意圖業(yè)務(wù)鏈設(shè)計(jì) HYPERLINK l _ZH-CN_TOPIC_0214647087 o 7.1 參考拓?fù)?HYPERLINK l

49、_ZH-CN_TOPIC_0214647088 o 7.2 NSH業(yè)務(wù)鏈 HYPERLINK l _ZH-CN_TOPIC_0214647113 o 7.3 PBR業(yè)務(wù)鏈參考拓?fù)淙缦聢D所示，是業(yè)務(wù)鏈設(shè)計(jì)舉例參考拓?fù)鋱D。業(yè)務(wù)鏈設(shè)計(jì)舉例參考拓?fù)鋱DNetwork Overlay 網(wǎng)絡(luò)虛擬化組網(wǎng)VM1、VM2、VM3均是同VPC虛機(jī)SF1、SF2、SF3是東西向業(yè)務(wù)鏈SF節(jié)點(diǎn)SF4是南北向業(yè)務(wù)鏈SF節(jié)點(diǎn)假定租戶(hù)VRF名稱(chēng)為T(mén)enant_VRFNSH業(yè)務(wù)鏈IPv4/IPv6 L2 VAS設(shè)計(jì)暫不支持IPv4/IPv6 L3 VAS設(shè)計(jì)（NSH-aware）東西向NSH業(yè)務(wù)鏈L3類(lèi)型SF配置模型如下圖所示

50、。東西向NSH業(yè)務(wù)鏈L3類(lèi)型SF配置模型VM1-VM3業(yè)務(wù)鏈方案（VM3-VM1引流類(lèi)似，不予贅述）：ServerLeaf1配置MQC重定向策略到vbdif1，vbdif是VM1上線對(duì)應(yīng)的邏輯口，將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)平面，通過(guò)NSH轉(zhuǎn)發(fā)平面，將業(yè)務(wù)流量轉(zhuǎn)發(fā)至ServiceLeaf1；ServiceLeaf1全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報(bào)文頭部信息轉(zhuǎn)發(fā)至SF1、SF2節(jié)點(diǎn)，SF1和SF2節(jié)點(diǎn)支持NSH協(xié)議，每經(jīng)過(guò)一個(gè)SF節(jié)點(diǎn)，SI值減1；ServiceLeaf2全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報(bào)文頭部信息轉(zhuǎn)發(fā)至SF3節(jié)點(diǎn)，最后由ServiceLeaf2剝離NSH頭部，通

51、過(guò)自然轉(zhuǎn)發(fā)至VM3。IPv4/IPv6 L3 VAS設(shè)計(jì)（NSH-unaware）東西向NSH業(yè)務(wù)鏈L3類(lèi)型SF配置模型如下圖所示。東西向NSH業(yè)務(wù)鏈L3類(lèi)型SF配置模型VM1-VM3業(yè)務(wù)鏈方案（VM3-VM1引流類(lèi)似，不予贅述）：ServerLeaf1配置MQC重定向策略到vbdif1，vbdif是VM1上線對(duì)應(yīng)的邏輯口，通過(guò)策略將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)平面，通過(guò)NSH轉(zhuǎn)發(fā)平面，將業(yè)務(wù)流量轉(zhuǎn)發(fā)至ServiceLeaf1；ServiceLeaf1全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報(bào)文頭部信息轉(zhuǎn)發(fā)至SF1節(jié)點(diǎn)，由于SF1節(jié)點(diǎn)為NSH-unaware類(lèi)型所以轉(zhuǎn)發(fā)前需要將NSH報(bào)文頭部剝離后

52、轉(zhuǎn)發(fā)到SF1節(jié)點(diǎn)；SF1節(jié)點(diǎn)對(duì)流量處理完畢后，入ServiceLeaf1時(shí)需要重新MQC引流，將業(yè)務(wù)流量重新?tīng)恳罭SH轉(zhuǎn)發(fā)平面，ServiceLeaf1繼續(xù)按照NSH轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)業(yè)務(wù)流量；ServiceLeaf2全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報(bào)文頭部信息轉(zhuǎn)發(fā)至SF2節(jié)點(diǎn)，由于SF2節(jié)點(diǎn)為NSH-unaware類(lèi)型所以轉(zhuǎn)發(fā)前需要將NSH報(bào)文頭部剝離后轉(zhuǎn)發(fā)到SF2節(jié)點(diǎn)；SF2節(jié)點(diǎn)增值業(yè)務(wù)處理完畢后，入ServiceLeaf2時(shí)需要重新MQC引流，將業(yè)務(wù)流量重新?tīng)恳罭SH轉(zhuǎn)發(fā)平面，ServiceLeaf2會(huì)剝離NSH報(bào)文頭部信息自然轉(zhuǎn)發(fā)業(yè)務(wù)流量至VM3。南北向業(yè)務(wù)鏈設(shè)計(jì)NSH業(yè)務(wù)鏈，南北

53、向最后一跳必須按照NSH-unaware類(lèi)型SF節(jié)點(diǎn)處理，南北向NSH業(yè)務(wù)鏈SF配置模型如下圖所示。南北向NSH業(yè)務(wù)鏈SF配置模型（由內(nèi)網(wǎng)到外網(wǎng)）VM1-External Network引流要點(diǎn)：ServerLeaf配置重定向策略到vbdif1(vbdif1是VM1上線對(duì)應(yīng)的邏輯口)，將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)平面，通過(guò)NSH轉(zhuǎn)發(fā)平面，將業(yè)務(wù)流量重定向至ServiceLeaf1；ServiceLeaf1全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報(bào)文頭部信息轉(zhuǎn)發(fā)至SF1節(jié)點(diǎn)，SF1節(jié)點(diǎn)支持NSH協(xié)議，經(jīng)過(guò)SF1節(jié)點(diǎn)，SI值減1；ServiceLeaf&BorderLeaf全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)

54、流量按照NSH報(bào)文頭部信息轉(zhuǎn)發(fā)至SF2節(jié)點(diǎn)，無(wú)論SF2節(jié)點(diǎn)類(lèi)型，ServiceLeaf&BorderLeaf均按NSH-unaware轉(zhuǎn)發(fā)業(yè)務(wù)流量。南北向NSH業(yè)務(wù)鏈SF配置模型（由外到內(nèi)）External Network-VM1引流要點(diǎn)：External Network流量在ServiceLeaf&BorderLeaf的External_VRF自然轉(zhuǎn)發(fā)給SF2，SF2在通過(guò)自然轉(zhuǎn)發(fā)給ServiceLeaf&BorderLeaf；在ServiceLeaf&BorderLeaf的Tenant_VRF的vbdif2(vbdif2是SF2與ServiceLeaf&BorderLeaf互聯(lián)的邏輯接口)

55、接口配置重定向策略，將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)平面，通過(guò)NSH轉(zhuǎn)發(fā)平面，將業(yè)務(wù)流量重定向至ServiceLeaf1；ServiceLeaf1全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH header轉(zhuǎn)發(fā)至SF1節(jié)點(diǎn)（SF1節(jié)點(diǎn)支持NSH協(xié)議，經(jīng)過(guò)SF1節(jié)點(diǎn)，SI值減1）；SF1節(jié)點(diǎn)轉(zhuǎn)發(fā)給ServiceLeaf1后重新根據(jù)NSH報(bào)文頭部信息，匹配service-index 254轉(zhuǎn)發(fā)條目，剝離NSH頭部自然轉(zhuǎn)發(fā)到ServerLeaf1；ServerLeaf1自然轉(zhuǎn)發(fā)到VM1。PBR業(yè)務(wù)鏈IPv4/IPv6 L2 VAS設(shè)計(jì)IPv4 PBR業(yè)務(wù)鏈支持L2 VAS，IPv6 PBR業(yè)務(wù)鏈暫不支持。東西向

56、PBR業(yè)務(wù)鏈(支持源目EPG為網(wǎng)段)L2類(lèi)型SF配置模型如下圖所示。東西向PBR業(yè)務(wù)鏈(支持同網(wǎng)段)L2類(lèi)型SF配置模型VM1-VM3業(yè)務(wù)鏈方案（VM3-VM1引流類(lèi)似，不予贅述）：IP1、IP2、IP3、IP4屬于同網(wǎng)段，ServiceLeaf1和ServiceLeaf2配置VRF1和VRF2，用于對(duì)L2類(lèi)型SF引流；ServerLeaf1配置PBR重定向策略到vbdif1，將業(yè)務(wù)流量牽引至租戶(hù)VRF的IP2地址；ServiceLeaf1在租戶(hù)VRF中配置IP2的靜態(tài)路由（ip route-static tenant_vrf IP2 32 nexthop vrf1 IP2），通過(guò)EVPN t

57、ype5路由發(fā)布到全網(wǎng)。VRF2配置默認(rèn)路由將業(yè)務(wù)流量牽引回租戶(hù)VRF；ServiceLeaf1配置PBR重定向策略到全局和vbdif2，全局PBR重定向策略用于匹配隧道側(cè)流量（需結(jié)合VxLAN VNI）并重定向到tenant_vrf IP2，并迭代出去往tenant_vrf IP2的具體目的MAC和出接口。vbdif2業(yè)務(wù)鏈策略將業(yè)務(wù)流量重定向到IP4，通過(guò)VRF2配置的靜態(tài)路由迭代，將業(yè)務(wù)流量牽引至租戶(hù)VRF業(yè)務(wù)平面，重定向到遠(yuǎn)端IP4；ServiceLeaf2在租戶(hù)VRF中配置IP4的靜態(tài)路由（ip route-static tenant_vrf IP4 32 nexthop vrf1

58、IP4），通過(guò)EVPN type5路由發(fā)布到全網(wǎng)。VRF2下發(fā)默認(rèn)路由將業(yè)務(wù)流量牽引回租戶(hù)VRF；ServiceLeaf2配置PBR重定向策略到全局，全局業(yè)務(wù)鏈策略用于匹配隧道側(cè)流量（需結(jié)合VxLAN VNI）并重定向到tenant_vrf IP4，tenant_vrf IP4可以通過(guò)靜態(tài)路由迭代出目的MAC和出接口。vbdif2接口屬于VRF2，通過(guò)VRF2配置的靜態(tài)路由迭代（ip route-static vrf2 0.0.0.0 0 tenant_vrf）將業(yè)務(wù)流量牽引至租戶(hù)VRF業(yè)務(wù)平面，自然轉(zhuǎn)發(fā)到VM3。IPv4/IPv6 L3 VAS設(shè)計(jì)IPv6 PBR業(yè)務(wù)鏈僅支持permit和d

59、eny動(dòng)作，不支持redirect動(dòng)作，IPv4 PBR業(yè)務(wù)鏈最多3跳。東西向PBR業(yè)務(wù)鏈L3類(lèi)型SF邏輯模型如下圖所示。東西向PBR業(yè)務(wù)鏈L3類(lèi)型SF邏輯模型VM1-VM3業(yè)務(wù)鏈方案（VM3-VM1引流類(lèi)似，不予贅述）：ServerLeaf1配置PBR重定向策略到vbdif1，vbdif是VM1上線對(duì)應(yīng)的邏輯口，將業(yè)務(wù)流量牽引至SF1節(jié)點(diǎn)；ServiceLeaf1配置PBR重定向策略到全局、vbdif1、vbdif2，全局業(yè)務(wù)鏈策略用于匹配隧道側(cè)流量（需結(jié)合VxLAN VNI）并重定向到SF1節(jié)點(diǎn)，vbdif1和vbdif2業(yè)務(wù)鏈策略分別將SF1和SF2處理后的業(yè)務(wù)流量牽引至下一跳SF節(jié)點(diǎn)；ServiceLeaf2配置PBR重定向策略到全局，全局業(yè)務(wù)鏈策略用于匹配隧道側(cè)流量（需結(jié)合VxLAN VNI）并重定向到SF3節(jié)點(diǎn)，SF3節(jié)點(diǎn)處理后，業(yè)務(wù)流量由ServiceLeaf2轉(zhuǎn)發(fā)到VM3；PBR業(yè)務(wù)鏈重定向到本地下一跳時(shí)，traffic behavior動(dòng)作為redirect ne