所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S9700 V200R011C10 配置指南-业务随行和业务编排

本文档介绍了设备支持的业务随行和业务编排相关配置。主要内容包括业务随行的基本原理和配置过程,业务编排基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
原理描述

原理描述

介绍业务编排的实现原理。

业务编排介绍

图2-1所示,在典型的园区网中,客户通常在重要业务部门、半信任区DMZ(Demilitarized Zone)、园区出口和数据中心等边界处部署防火墙、反病毒专家系统和应用安全网关等网络增值业务设备(图中仅以防火墙为例)。这种为每个有需求的网络区域部署独立的网络增值业务设备的方案有以下几个缺点:
  • 需要部署的网络增值业务设备过多从而造成投资成本大。

  • 独立为每个有需求的网络部署网络增值业务设备会导致网络增值业务设备的利用率不高,从而造成资源的浪费。

  • 在部署和维护过程中,需要在每台网络增值业务设备上配置各自的业务处理策略,这样会导致部署和维护不便。

图2-1  典型园区组网图

针对以上问题,华为公司推出了业务编排解决方案。如图2-2所示,该方案主要由策略控制器、编排设备和安全资源池组成。其中,安全资源池中部署的网络增值业务设备可以是一台设备拥有多个网络增值业务能力,也可以是多个具有独立网络增值业务能力的设备。通过在园区网部署业务编排方案,可以将网络增值业务设备全部集中在一个物理区域。由于不需要再为每个有需求的网络部署独立的网络增值业务设备,不仅降低了成本,而且还提高了网络增值业务设备的利用率。同时在整个园区网中,哪些业务流量需要网络增值业务设备进行处理由策略控制器下发策略来控制,这样也提高了部署和维护的效率。

说明:

目前业务编排解决方案中支持的网络增值业务设备有防火墙、防病毒专家系统和应用安全网关。

图2-2  业务编排方案园区组网图

图2-2所示,业务编排是指将匹配一定规则的业务流量从核心交换机经GRE隧道转发给指定的网络增值业务设备进行处理,然后再由网络增值业务设备经GRE隧道返回给核心交换机,最后转发到目的网络的方案。不同的业务流量可以引入到不同的网络增值业务设备,甚至还可以将指定的业务流量按照策略顺次引入到不同的网络增值业务设备中。

图2-3举例所示,策略控制器下发指令给核心交换机、防火墙和防病毒专家系统,使得用户和服务器互访的业务流量满足以下需求:
  • 用户访问服务器的A流量需要顺次经过防病毒专家系统和防火墙两台设备处理后再由核心交换机转发到服务器。

  • 服务器返回用户的B流量只需要经过防病毒专家系统的处理就可以由核心交换机转发到用户。

图2-3  业务编排部署示意图

业务流的过滤

在业务编排方案中,区分不同的业务流是通过Controller下发ACL和UCL规则来实现的。

  • 通过ACL规则可以让匹配规则的业务流重定向到指定的GRE隧道

  • 通过UCL规则可以让属于同一个用户组的用户具有相同的策略

    Controller把过滤策略和用户组的映射关系下发到交换机和网络增值业务设备。交换机和网络增值业务设备根据流量的源IP地址获取源用户组号,通过目的IP查找到目的用户组号,利用这些源和目的用户组号,将业务流重定向到指定的GRE隧道。

业务编排的基本实现

在园区网中,业务流量按照流量方向不同大致可分为三种:园区用户到园区外部网络、园区外部网络到园区用户和用户之间。不管针对哪种方向的流量,业务编排的实现都是一致的。

图2-4以园区用户访问园区外部网络的流量为例,且此流量需要依次经过应用安全网关、防病毒专家系统和防火墙为例介绍业务编排的基本实现。
图2-4  流量从园区用户到外部网络的路径示意图
  1. 用户到外部网络的流量转发到核心交换机之后,核心交换机按照匹配规则将此流量重定向到指定Tunnel接口,经GRE6转发给应用安全网关。

  2. 应用安全网关处理完此流量后再将其重定向到指定Tunnel接口,经GRE5返回给核心交换机。

  3. 核心交换机将从GRE5接收的业务流量又重定向到GRE4所在的Tunnel接口,然后转发给防病毒系统。就这样,业务流量又经过防病毒专家系统和防火墙的处理后再次返回给核心交换机。

  4. 核心交换机在从GRE1接收业务流量后,由于后续不在需要经其他网络增值业务设备处理,所以核心交换机就通过查找路由表将此业务流量转发到外部网络。

业务编排应对网络故障的策略

当某一个网络增值业务设备或者核心交换机与某网络增值业务设备之间的物理链路出现故障时,Controller会下发配置取消交换机和该网络增值业务设备之间的GRE隧道的配置,同时下发流量丢弃或直接转发的处理策略。

图2-5所示,当核心交换机与防病毒专家系统之间的GRE4发生故障后,交换机会将此故障信息发送给Controller。然后Controller会下发配置给核心交换机和防病毒专家系统取消GRE4和GRE3的配置。从而使核心交换机从GRE5接收的流量按照指定的策略选择丢弃或者直接查找路由表进行转发。

图2-5  故障时对流量进行直接转发的策略示意图
翻译
下载文档
更新时间:2019-03-28

文档编号:EDOC1000178283

浏览量:2014

下载量:227

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页