[发明专利]基于Openstack架构实现服务链功能的方法

权利要求书

1.一种基于Openstack架构实现服务链功能的方法，其特征在于，该方法是通过中转的SFC Agent及策略路由的方式将所要求的业务数据流经指定的路径，经过防火墙设备进行数据的安全校验、检测以及过滤业务数据的处理，实现基于Openstack的SFC流量转发功能；具体如下：

构建一台采用透明模式的防火墙作为业务数据的WAF，并准备一台任意型号的虚机作为目的虚机验证服务链的功能；

构建一台作为中转流量的SFC Agent；其中，SFC Agent为WAF创建2个网卡，为SFC创建一组port pair，并为这组port pair创建port pair group；当有n个WAF时，则为n个WAF创建n组port pair和n组port pair group；其中，n≥1；

通过设置策略路由规则将南北向的外部流量导向SFC Agent；具体为：

将所要求的网络子网作为目的地址，设置next_hop，通过Openstack的dvr模式下设置策略路由规则导向SFC Agent虚机；

通过SFC Agent的虚机内部创建4个网卡，用于实现内部流量的规则设置与转发功能；具体如下：

为SFC Agent创建4个网卡，分别为eth1、eth2、eth3及eth4；其中2个网卡作为portchain的logicalsourceport和logicaldestinationport；另外2个网卡作为ip_forward流量转发与外部交互的网卡；

在SFC Agent中，建立4组vethpeer，分别为veth1/br-veth1、veth2 /br-veth2、veth3/br-veth3及veth4/br-veth4；再建立2个网桥分别为br-sfc1和br-sfc2，将br-veth1、br-veth2、eth1及eth2设置到网桥br-sfc1中，将br-veth3、br-veth4、eth3及eth4设置到网桥br-sfc2中；

在SFC Agent中，将eth1、eth2、eth3及eth4的ip与mac地址分别设置到veth1、veth2、veth3及veth4上；在建立一个namespace名为ns_sfc，将veth3及veth4设置到ns_sfc中；

在SFC Agent中，设置veth1、veth2、veth3及veth4的流量转发规则，并采用openvswitch的流表规则设置方法设置从veth1进的流量从veth2出，从veth2进的流量从veth1出，从veth3进的流量从veth4出，从veth4进的流量从veth3出；

通过Openstack的SFC创建port chain规则；具体如下：

通过sfcplugin创建port chain规则，建立一组flow classifier默认将源地址和目的地址网段0.0.0.0/0，作为参数传入；

将eth2 logicalsourceport和eth3 logicaldestinationport 作为参数传入；

创建port chain，将port pair group与flow classifier作为参数传入，并设置传入参数chain_parameters.symmetric为true。

2.根据权利要求1所述的基于Openstack架构实现服务链功能的方法，其特征在于，所述WAF采用无IP方式运行，开启forward转发，将进入WAF的数据在不改变mac地址的情况转出，并进行相应的数据过滤及安全校验的业务处理功能。

3.根据权利要求1所述的基于Openstack架构实现服务链功能的方法，其特征在于，所述SFC Agent的镜像采用centos7，预装环境openvswitch-2.13.0、python-3.8.5。