[发明专利]基于Openstack架构实现服务链功能的方法

说明书

本发明公开了一种基于Openstack架构实现服务链功能的方法，属于网络功能虚拟化技术领域，本发明要解决的技术问题为如何避免传统网络下服务链与网络拓扑紧密耦合以及部署构建复杂，并能够将网络流量按照业务逻辑所要求的既定顺序进行流量数据的传输，采用的技术方案为：该方法具体如下：构建一台采用透明模式的防火墙作为业务数据的WAF，并准备一台任意型号的虚机作为目的虚机验证服务链的功能；构建一台作为中转流量的SFC Agent；通过设置策略路由规则将南北向的外部流量导向SFC Agent；通过SFC Agent的虚机内部创建4个网卡，用于实现内部流量的规则设置与转发功能；通过Openstack的SFC创建portchain规则。

技术领域

本发明属于网络功能虚拟化技术领域，涉及基于openstack的neutron扩展架构，具体地说是一种基于Openstack架构实现服务链功能的方法。

背景技术

在网络中，用户的一次请求可能需要经过或使用不同的网络功能，一般情况下，该请求需要经过的网络功能的顺序也是特定的，这条由流量所经过的不同的网络功能所形成的路径被称为服务功能链(Service Function Chain，SFC)，换句话说服务功能链就是由不同的网络服务功能通过特定的顺序组合形成的一条串行链，该链的组合顺序一般由某一具体的用户请求来决定。

Openstack作为当前开源Iaas云计算的一款主流产品，实现了SDN整合的集成环境，获得了业界的广泛关注和普遍欢迎，特别是近年来Openstack开源社区及Openstack相关产品的商业化落地等方面都取得了突飞猛进的发展，但在具体实现技术方面还有待提升的空间，如现有的Openstack的SFC实现方式就有待改进。

随着Overlay网络的发展，虚拟网络和物理网络得以分离，虚拟网络承载于物理网络之上，更加抽象；而SDN技术以及NFV(Network Functions Virtualization，网络功能虚拟化)的不断发展，也让数据中心的网络控制变得更加灵活，更具有扩展性。在现有SDN网络技术中，数据报文在虚拟网络中传递时，可能会经过许多的业务处理节点，而数据报文则需要按照业务逻辑所要求的既定顺序进行校验、防护、过滤等业务处理，从而为用户提供安全、稳定、有效的网络服务。经过这些业务点(主要指安全设备如防火墙、负载均衡、第三方安全设备等)的形式称之为服务链(Service Function Chain)，服务功能链可以理解为一种业务形式。

随着SDN的技术发展，服务功能链的需求在SDN领域中也逐渐成为了一个重要的需求实现，尤其在安全领域方面，将业务数据进行安全校验和防护，提供给用户一个安全、快速、稳定的网络服务；通常一个服务功能链通常都会有入口节点和出口节点，服务链的组织顺序和服务节点的物理拓扑无关数据报文进入服务链以后，就会按照服务链既定的顺序穿过各个服务节点，完成报文的转发。

故如何避免传统网络下服务链与网络拓扑紧密耦合以及部署构建复杂，并能够将网络流量按照业务逻辑所要求的既定顺序进行流量数据的传输是目前亟待解决的问题。

发明内容

本发明的技术任务是提供一种基于Openstack架构实现服务链功能的方法，来解决如何避免传统网络下服务链与网络拓扑紧密耦合以及部署构建复杂，并能够将网络流量按照业务逻辑所要求的既定顺序进行流量数据的传输的问题。

本发明的技术任务是按以下方式实现的，一种基于Openstack架构实现服务链功能的方法，该方法是通过中转的SFC Agent及策略路由的方式将所要求的业务数据流经指定的路径，经过防火墙设备进行数据的安全校验、检测以及过滤业务数据的处理，实现基于Openstack的SFC流量转发功能；具体如下：

构建一台采用透明模式的防火墙作为业务数据的WAF(流经设备)，并准备一台任意型号的虚机作为目的虚机验证服务链的功能；

构建一台作为中转流量的SFC Agent(转发虚机)；