在每一个虚拟子网内部,不同的业务网段之间、不同的VXLAN之间、或者同一VXLAN中的不同业务主机存在访问控制的需求采用H3C 服务链的方式进行安全访问控制。
服务链定义:数据报文在网络中传递时,需要经过各种安全服务节点,按特定策略进行流分类后的报文,再按照一定顺序经过一组抽象业务功能节点,完成对应业务功能处理。这种方式打破了常规的网络转发逻辑,因此称为服务链。
服务链常见的服务节点(Service Node):防火墙(FW)、负载均衡(LB)、入侵检测(IPS)、VPN等。
SDN控制器支持部署与控制整个服务链的构建与部署,将NFV形态或硬件形态的的服务资源抽象为统一的服务资源池,实现服务链的自定义和统一编排。
服务链在实现overlay网络安全方面有独到的优势,服务链方案/VxLAN终结方案能够满足Openstack FWaaS,LBaaS定义外,还能提供更灵活的FW/LB编排方案。