CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案-業(yè)務(wù)鏈設(shè)計指南

1、 DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name CloudFabric云數(shù)據(jù)中心網(wǎng)解決方案 DOCPROPERTY DocumentName 設(shè)計指南（業(yè)務(wù)鏈）目 錄 TOC h z t 標(biāo)題 1,1,標(biāo)題 2,2,標(biāo)題 3,3, 標(biāo)題 4,4, 標(biāo)題 5,5, 標(biāo)題 7,1, 標(biāo)題 8,2, 標(biāo)題 9,3, Heading1 No Number,1,Appendix heading 1,1,Appendix heading 2,2,Appendix heading 3,3,Appendix heading 4,4,Append

2、ix heading 5,5, Heading 1,1,Heading 2,2,Heading 3,3, Heading 4,4, Heading 5,5, Heading 7,1,Heading 8,2,Heading 9,3 HYPERLINK l _Toc55060086 1 CloudFabric業(yè)務(wù)鏈介紹 PAGEREF _Toc55060086 h 1 HYPERLINK l _Toc55060087 2 CloudFabric業(yè)務(wù)鏈應(yīng)用場合 PAGEREF _Toc55060087 h 2 HYPERLINK l _Toc55060088 3 業(yè)務(wù)鏈模型 PAGEREF _Toc

3、55060088 h 4 HYPERLINK l _Toc55060089 3.1 業(yè)務(wù)鏈基本模型 PAGEREF _Toc55060089 h 4 HYPERLINK l _Toc55060090 3.2 業(yè)務(wù)鏈邏輯模型 PAGEREF _Toc55060090 h 5 HYPERLINK l _Toc55060091 3.3 業(yè)務(wù)鏈編排模型 PAGEREF _Toc55060091 h 5 HYPERLINK l _Toc55060092 3.3.1 PBR業(yè)務(wù)鏈編排模型 PAGEREF _Toc55060092 h 5 HYPERLINK l _Toc55060093 3.3.2 NSH

4、業(yè)務(wù)鏈編排模型 PAGEREF _Toc55060093 h 6 HYPERLINK l _Toc55060094 3.4 NSH協(xié)議介紹 PAGEREF _Toc55060094 h 7 HYPERLINK l _Toc55060095 3.5 PBR和NSH業(yè)務(wù)鏈對比 PAGEREF _Toc55060095 h 9 HYPERLINK l _Toc55060096 4 業(yè)務(wù)鏈方案架構(gòu) PAGEREF _Toc55060096 h 11 HYPERLINK l _Toc55060097 4.1 網(wǎng)絡(luò)虛擬化場景業(yè)務(wù)鏈方案架構(gòu) PAGEREF _Toc55060097 h 11 HYPERLI

5、NK l _Toc55060098 4.2 云網(wǎng)一體化場景業(yè)務(wù)鏈方案架構(gòu) PAGEREF _Toc55060098 h 12 HYPERLINK l _Toc55060099 5 業(yè)務(wù)鏈設(shè)計原則 PAGEREF _Toc55060099 h 13 HYPERLINK l _Toc55060100 5.1 業(yè)務(wù)鏈引流模型 PAGEREF _Toc55060100 h 13 HYPERLINK l _Toc55060101 5.1.1 Go-to引流模型 PAGEREF _Toc55060101 h 14 HYPERLINK l _Toc55060102 5.1.2 Go-through引流模型

6、PAGEREF _Toc55060102 h 14 HYPERLINK l _Toc55060103 5.1.3 One-Arm引流模型 PAGEREF _Toc55060103 h 15 HYPERLINK l _Toc55060104 5.2 VAS設(shè)備與Leaf設(shè)備連接設(shè)計 PAGEREF _Toc55060104 h 16 HYPERLINK l _Toc55060105 5.2.1 物理單臂設(shè)計模型 PAGEREF _Toc55060105 h 17 HYPERLINK l _Toc55060106 5.2.2 物理雙臂設(shè)計模型 PAGEREF _Toc55060106 h 18 H

7、YPERLINK l _Toc55060107 5.3 業(yè)務(wù)鏈高可用設(shè)計原則 PAGEREF _Toc55060107 h 18 HYPERLINK l _Toc55060108 5.3.1 VAS設(shè)備組高可用 PAGEREF _Toc55060108 h 18 HYPERLINK l _Toc55060109 5.3.2 設(shè)備和鏈路可靠性故障切換場景 PAGEREF _Toc55060109 h 20 HYPERLINK l _Toc55060110 6 CloudFabric基線組網(wǎng) PAGEREF _Toc55060110 h 24 HYPERLINK l _Toc55060111 6.

8、1 Service Leaf和Border Leaf合設(shè) PAGEREF _Toc55060111 h 24 HYPERLINK l _Toc55060112 6.2 Service Leaf和Border Leaf分設(shè) PAGEREF _Toc55060112 h 26 HYPERLINK l _Toc55060113 7 業(yè)務(wù)鏈設(shè)計 PAGEREF _Toc55060113 h 28 HYPERLINK l _Toc55060114 7.1 參考拓?fù)?PAGEREF _Toc55060114 h 28 HYPERLINK l _Toc55060115 7.2 NSH業(yè)務(wù)鏈 PAGEREF

9、_Toc55060115 h 29 HYPERLINK l _Toc55060116 7.2.1 IPv4/IPv6 L2 VAS設(shè)計 PAGEREF _Toc55060116 h 29 HYPERLINK l _Toc55060117 7.2.2 IPv4/IPv6 L3 VAS設(shè)計（NSH-aware） PAGEREF _Toc55060117 h 29 HYPERLINK l _Toc55060118 7.2.3 IPv4/IPv6 L3 VAS設(shè)計（NSH-unaware） PAGEREF _Toc55060118 h 30 HYPERLINK l _Toc55060119 7.2.4

10、 南北向業(yè)務(wù)鏈設(shè)計 PAGEREF _Toc55060119 h 30 HYPERLINK l _Toc55060120 7.3 PBR業(yè)務(wù)鏈 PAGEREF _Toc55060120 h 32 HYPERLINK l _Toc55060121 7.3.1 IPv4/IPv6 L2 VAS設(shè)計 PAGEREF _Toc55060121 h 32 HYPERLINK l _Toc55060122 7.3.2 IPv4/IPv6 L3 VAS設(shè)計 PAGEREF _Toc55060122 h 33 HYPERLINK l _Toc55060123 7.3.3 南北向業(yè)務(wù)鏈設(shè)計 PAGEREF _T

11、oc55060123 h 34 HYPERLINK l _Toc55060124 8 業(yè)務(wù)鏈高可用 PAGEREF _Toc55060124 h 35 HYPERLINK l _Toc55060125 8.1 健康性檢測 PAGEREF _Toc55060125 h 35 HYPERLINK l _Toc55060126 8.2 業(yè)務(wù)鏈逃生 PAGEREF _Toc55060126 h 35 HYPERLINK l _Toc55060127 8.2.1 參考拓?fù)?PAGEREF _Toc55060127 h 36 HYPERLINK l _Toc55060128 8.2.2 NSH業(yè)務(wù)鏈逃生(

12、NSH-aware) PAGEREF _Toc55060128 h 36 HYPERLINK l _Toc55060129 8.2.3 PBR業(yè)務(wù)鏈逃生 PAGEREF _Toc55060129 h 37 HYPERLINK l _Toc55060130 A 參考圖片 PAGEREF _Toc55060130 h 38CloudFabric業(yè)務(wù)鏈介紹CloudFabric數(shù)據(jù)中心網(wǎng)絡(luò)（以下簡稱“CloudFabric”）解決方案旨在為客戶構(gòu)筑簡單、智慧、開放的云數(shù)據(jù)網(wǎng)絡(luò)中心，廣泛應(yīng)用于運營商私有云、公有云、電信云等場景，幫助客戶加速數(shù)字化轉(zhuǎn)型。CloudFabric解決方案中，“業(yè)務(wù)鏈”技術(shù)可

13、以在業(yè)務(wù)轉(zhuǎn)發(fā)路徑中插入“增值服務(wù)設(shè)備”（以下簡稱“VAS設(shè)備”，如防火墻、負(fù)載均衡、深度檢測、入侵防御等設(shè)備），對業(yè)務(wù)流量進行增值服務(wù)。通過CloudFabric業(yè)務(wù)鏈，可以將業(yè)務(wù)流量重定向到防火墻和負(fù)載均衡等VAS設(shè)備，而無需VAS設(shè)備作為網(wǎng)關(guān)。通過CloudFabric業(yè)務(wù)鏈，可以有選擇的將流量轉(zhuǎn)發(fā)到VAS設(shè)備。通過CloudFabric業(yè)務(wù)鏈，VAS設(shè)備可以無需修改已有拓?fù)涞姆绞讲迦隒loudFabric。通過CloudFabric業(yè)務(wù)鏈，可以快速的橫向擴展VAS設(shè)備。CloudFabric解決方案業(yè)務(wù)鏈?zhǔn)且环N有序的業(yè)務(wù)功能集，可以保證被選擇的流量有序的獲取增值服務(wù)。CloudFabri

14、c解決方案可以將網(wǎng)絡(luò)與增值業(yè)務(wù)統(tǒng)一部署，也可以分開部署，這取決于增值業(yè)務(wù)設(shè)備管理平臺和“iMaster NCE-Fabric”（CloudFabric解決方案的核心組件，實現(xiàn)對云數(shù)據(jù)中心網(wǎng)絡(luò)的統(tǒng)一管控和動態(tài)調(diào)度、自動化部署和彈性擴縮容，以下簡稱“控制器”）的對接程度。CloudFabric業(yè)務(wù)鏈應(yīng)用場合業(yè)務(wù)鏈具備設(shè)備品牌多，功能復(fù)雜，引流形式多樣等特性，由于CloudFabric解決方案本身不提供VAS設(shè)備，所以需要根據(jù)控制器是否可以管理VAS設(shè)備，決定業(yè)務(wù)鏈模式。業(yè)界通常支持如下三種管理業(yè)務(wù)鏈模式：Service Policy模式：控制器負(fù)責(zé)Fabric和VAS設(shè)備之間互聯(lián)L2L3層網(wǎng)絡(luò)的編

15、排，并負(fù)責(zé)VAS設(shè)備所有L2L3層網(wǎng)絡(luò)編排和L4L7業(yè)務(wù)策略下發(fā)。Service Policy模式依賴控制器對接VAS設(shè)備（或其管理平臺）的能力，VAS設(shè)備整體被包含在CloudFabric解決方案中，VAS設(shè)備L2L7層業(yè)務(wù)編排屬于CloudFabric基礎(chǔ)框架的一部分。Service Manager模式：控制器負(fù)責(zé)Fabric和VAS設(shè)備之間互聯(lián)L2L3層網(wǎng)絡(luò)的編排，由第三方VAS設(shè)備管理平臺負(fù)責(zé)VAS設(shè)備L4L7層業(yè)務(wù)策略下發(fā)。Service Manager模式依賴控制器對接VAS設(shè)備（或其管理平臺）的能力，VAS設(shè)備部分業(yè)務(wù)被包含在CloudFabirc解決方案，VAS設(shè)備L2L3層業(yè)

16、務(wù)編排屬于CloudFabric基礎(chǔ)框架的一部分。Network Policy模式：控制器只負(fù)責(zé)Fabric側(cè)L2L3層網(wǎng)絡(luò)的編排，VAS設(shè)備L2L7層網(wǎng)絡(luò)和業(yè)務(wù)編排不在控制器管理范圍內(nèi)。Network Policy模式不依賴控制器對接VAS設(shè)備（或其管理平臺）的能力，VAS設(shè)備整體被隔離CloudFabirc解決方案之外，VAS設(shè)備的L2L7業(yè)務(wù)編排依靠其第三方管理平臺或設(shè)備本身。華為CloudFabric解決方案中，目前三種業(yè)務(wù)鏈模式支持情況如下：Service Policy模式支持HW FWService Manager模式僅支持CheckPoint FW，F(xiàn)ortinet FW，Pal

17、oalto FW，F(xiàn)5 LB等VAS設(shè)備Network Policy模式支持其他第三方VAS設(shè)備在選用業(yè)務(wù)鏈模式時，需要考慮以下幾點：業(yè)務(wù)鏈配置是否會反復(fù)變更，變更業(yè)務(wù)鏈引流策略還是變更VAS設(shè)備業(yè)務(wù)配置？控制器是否可以管理VAS設(shè)備網(wǎng)絡(luò)和業(yè)務(wù)配置？業(yè)務(wù)鏈相關(guān)配置是否有專門業(yè)務(wù)管理員維護，還是由網(wǎng)絡(luò)管理員統(tǒng)一編排？帶著這些問題，結(jié)合下圖，可以找到適合的業(yè)務(wù)鏈模型。業(yè)務(wù)鏈模式的選擇指引業(yè)務(wù)鏈模型 HYPERLINK l _ZH-CN_TOPIC_0211121285 o 3.1 業(yè)務(wù)鏈基本模型 HYPERLINK l _ZH-CN_TOPIC_0211121286 o 3.2 業(yè)務(wù)鏈邏輯模型 H

18、YPERLINK l _ZH-CN_TOPIC_0211121287 o 3.3 業(yè)務(wù)鏈編排模型 HYPERLINK l _ZH-CN_TOPIC_0211122988 o 3.4 NSH協(xié)議介紹 HYPERLINK l _ZH-CN_TOPIC_0211124720 o 3.5 PBR和NSH業(yè)務(wù)鏈對比業(yè)務(wù)鏈基本模型業(yè)務(wù)鏈的基本概念模型如下圖所示。業(yè)務(wù)鏈基本概念EPG：可以基于externalNetwork、logic switch、logic Router定義，最小粒度為IP網(wǎng)段（subnet）。Policy rule set：策略規(guī)則集合，定義組間多個訪問控制策略規(guī)則。Policy ru

19、le：一條規(guī)則，代表一類業(yè)務(wù)流量和對應(yīng)的業(yè)務(wù)鏈行為。Classifer：流分類器，支持基于五元組+TCP-flag/ICMP-type對流量進行分類。Action：規(guī)則中定義的的流動作，支持permit/deny/redirect。SFP：對應(yīng)業(yè)務(wù)鏈的路徑，定義路徑包含VAS設(shè)備的數(shù)量、類型和經(jīng)過VAS設(shè)備的順序，目前CloudFabric解決方案當(dāng)前一條PBR方式SFP中最多可定義3個VAS設(shè)備。業(yè)務(wù)鏈邏輯模型業(yè)務(wù)鏈的基礎(chǔ)邏輯模型如下圖所示。業(yè)務(wù)鏈邏輯模型業(yè)務(wù)鏈邏輯模型中涉及到的幾個角色介紹如下。SC （Service Classifier，業(yè)務(wù)分類節(jié)點）：實現(xiàn)業(yè)務(wù)流識別（選擇流量重定向到業(yè)

20、務(wù)鏈）。SF （Service Function，業(yè)務(wù)功能節(jié)點） ：提供增值服務(wù)功能的節(jié)點，即VAS設(shè)備。SFF （Service Function Forwarder，業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點）：連接SF節(jié)點的交換機，可以識別要經(jīng)過業(yè)務(wù)鏈的業(yè)務(wù)流量，轉(zhuǎn)發(fā)至SF節(jié)點。還可以識別SF節(jié)點處理后的業(yè)務(wù)流量，繼續(xù)重定向到后續(xù)業(yè)務(wù)鏈流程。業(yè)務(wù)鏈編排模型PBR業(yè)務(wù)鏈編排模型PBR類型的業(yè)務(wù)鏈的編排模型和業(yè)務(wù)過程如下圖所示。PBR業(yè)務(wù)鏈編排模型控制器向SC節(jié)點下發(fā)過濾和重定向策略，選擇性的將業(yè)務(wù)流量重定向到SF1，PBR方式不改變CONSUMER訪問PROVIDER的業(yè)務(wù)報文?？刂破飨騍FF1節(jié)點下發(fā)隧道側(cè)和用戶側(cè)過

21、濾和重定向策略，SFF1節(jié)點選擇性將業(yè)務(wù)流量牽引至SF1、SF2?？刂破飨騍FF2節(jié)點下發(fā)隧道側(cè)過濾和重定向策略，SFF2節(jié)點選擇性將業(yè)務(wù)流量牽引至SF3，最后將業(yè)務(wù)報文轉(zhuǎn)發(fā)給PROVIDER。NSH業(yè)務(wù)鏈編排模型NSH類型的業(yè)務(wù)鏈的編排模型和業(yè)務(wù)過程如下圖所示。NSH業(yè)務(wù)鏈編排模型控制器向SC節(jié)點下發(fā)過濾和重定向策略，選擇性將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)路徑，NSH方式會改變CONSUMER訪問PROVIDER的原始報文?？刂破飨騍C節(jié)點和SFF節(jié)點下發(fā)NSH轉(zhuǎn)發(fā)表，牽引業(yè)務(wù)流量按照SFP路徑轉(zhuǎn)發(fā)。若SF是NSH-unaware類型，控制器還需要在SFF節(jié)點下發(fā)NSH代理配置（剝離NSH頭部轉(zhuǎn)發(fā)

22、），同時還需要下發(fā)過濾和重定向策略將經(jīng)過SF處理的流量重新牽引至NSH轉(zhuǎn)發(fā)路徑。若SF是NSH-aware類型，控制器不需要在SFF節(jié)點下發(fā)NSH代理配置，SF節(jié)點處理業(yè)務(wù)流量時，會自行處理業(yè)務(wù)報文中NSH頭部字段且不會剝離NSH頭部。NSH協(xié)議介紹ITEF定義了一種新的數(shù)據(jù)面業(yè)務(wù)封裝格式NSH（Network Service Header），封裝頭包括業(yè)務(wù)路徑和MetaData信息等，使得業(yè)務(wù)鏈路徑上的各個節(jié)點能夠相互傳遞路徑信息，從而構(gòu)建一個新業(yè)務(wù)平面，實現(xiàn)業(yè)務(wù)鏈可以對數(shù)據(jù)做動態(tài)靈活的策略處理。NSH協(xié)議標(biāo)準(zhǔn)可以參考RFC8300。承載NSH報文的網(wǎng)絡(luò)報文格式，如下所示。承載網(wǎng)為VxLAN

23、的NSH報文封裝格式如下圖所示：承載網(wǎng)為VLAN的NSH報文封裝格式如下圖所示：其中NSH header頭部格式如下所示。當(dāng)MD Type值為0 x1時，報文格式如下：當(dāng)MD Type值為0 x2時，報文格式如下：具體字段含義，請參考REF _table14861184813717 r h表3-1NSH報文格式中各個字段的說明字段描述VerNSH版本號當(dāng)前支持版本號為0ONSH報文類型0：表示數(shù)據(jù)報文1：表示OAM維護報文U保留字段發(fā)送時NSH報文保留字段置0，接收NSH報文時忽略此字段TTL用于防環(huán)，默認(rèn)值為63初始TTL值應(yīng)該可以被控制面配置，一個TTL值可以被用在多個SFP每個SFF在轉(zhuǎn)

24、發(fā)NSH報文時，需要將TTL值減1后再查找NSH轉(zhuǎn)發(fā)表當(dāng)TTL值減1后為0時，丟棄該NSH報文LengthNSH報文的總長度，該項的值代表4字節(jié)的整倍數(shù)如果MD type值為1，則Length必須是6，表示NSH報文長度位6*4字節(jié)如果MD type是2，則Length必須大于或等于2MD type（MetaData type）元數(shù)據(jù)域的格式類型0：保留值，暫不使用1：表示元數(shù)據(jù)域為固定長度16字節(jié)2：表示元數(shù)據(jù)域為可變長度。F：僅測試或?qū)嶒炿A段可以使用當(dāng)前設(shè)備支持的MD類型為1Next ProtocolNSH封裝前的報文類型0 x1：IPv4報文0 x2：IPv6報文0 x3：Etherne

25、t報文0 x4：NSH報文0 x5：MPLS報文0 x60 xFD：未定義0 xFE0 xFF：Experimental當(dāng)前設(shè)備僅支持IPv4報文SPI業(yè)務(wù)鏈路徑編號用于唯一標(biāo)識一條業(yè)務(wù)鏈路徑SI業(yè)務(wù)功能索引用于標(biāo)識SF節(jié)點在SFP中的位置Context Header元數(shù)據(jù)域當(dāng)MD Type值為0 x0時，Context Header長度必須為0（基本不用）當(dāng)MD Type值為0 x1時，Context Header固定長度為16字節(jié)當(dāng)MD Type值為0 x2時，Context Header為變長字段，長度必須為4的整數(shù)倍PBR和NSH業(yè)務(wù)鏈對比PBR和NSH兩種業(yè)務(wù)鏈業(yè)務(wù)的對比參見下表。P

26、BR和NSH的對比對比點PBR業(yè)務(wù)鏈NSH業(yè)務(wù)鏈（NSH-aware）基本特點PBR業(yè)務(wù)鏈不需要改變原始報文（優(yōu)）NSH業(yè)務(wù)鏈需要改變原始報文地址變換VAS（NAT和LB）NAT難度在于控制器編排和來回路徑NSH轉(zhuǎn)發(fā)平面可以減少NAT編排難度（優(yōu)）MetaData信息不支持支持（優(yōu)）Fabric設(shè)備要求無兼容性需求（優(yōu)）有兼容性需求VAS設(shè)備要求無需求（優(yōu)）需支持NSH需求業(yè)務(wù)鏈防環(huán)無防環(huán)能力（cisco能防環(huán)）無環(huán)（優(yōu)）帶寬資源占用不增加協(xié)議頭部（優(yōu)）增加協(xié)議頭部VAS節(jié)點規(guī)格受限ACL資源，IPv4最多3跳業(yè)務(wù)鏈?zhǔn)芟轆CL資源，IPv6最多1跳業(yè)務(wù)鏈最大支持255（優(yōu)）單特性轉(zhuǎn)發(fā)轉(zhuǎn)發(fā)性能下

27、降不明顯（優(yōu)）轉(zhuǎn)發(fā)性能下降明顯Bypass能力無Bypass能力（當(dāng)SF為L3類型時，單跳業(yè)務(wù)鏈自帶逃生）當(dāng)SF為L3類型時，支持逃生（優(yōu)）流量可視無需適配（優(yōu)）流量可視軟件支持NSH協(xié)議ACL資源消耗需要每跳用戶側(cè)或網(wǎng)絡(luò)側(cè)匹配只在SC節(jié)點匹配ACL，其他節(jié)點不消耗（優(yōu)）NSH業(yè)務(wù)鏈只有當(dāng)VAS設(shè)備支持NSH協(xié)議，對比PBR業(yè)務(wù)鏈才會具備明顯的優(yōu)勢。目前華為NSH協(xié)議生態(tài)，包含廠商：迪普FW（雙棧）和山石FW （雙棧） ，其他3rd VAS設(shè)備作為NSH-unware引流。若對業(yè)務(wù)鏈需求高性能轉(zhuǎn)發(fā)，則推薦PBR業(yè)務(wù)鏈；若要求業(yè)務(wù)鏈組網(wǎng)豐富，則推薦NSH業(yè)務(wù)鏈。業(yè)務(wù)鏈方案架構(gòu) HYPERLINK

28、 l _ZH-CN_TOPIC_0211129258 o 4.1 網(wǎng)絡(luò)虛擬化場景業(yè)務(wù)鏈方案架構(gòu) HYPERLINK l _ZH-CN_TOPIC_0211129259 o 4.2 云網(wǎng)一體化場景業(yè)務(wù)鏈方案架構(gòu)網(wǎng)絡(luò)虛擬化場景業(yè)務(wù)鏈方案架構(gòu)如REF _fig1212333811528 r h圖4-1所示，在網(wǎng)絡(luò)虛擬化場景下，業(yè)務(wù)鏈的架構(gòu)中各個組件的功能如下。網(wǎng)絡(luò)虛擬化中的SFC方案架構(gòu)iMaster NCE-Fabric：實現(xiàn)租戶業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnet等服務(wù)管理華為CE交換機L2/L3 Fabric網(wǎng)絡(luò)編排業(yè)務(wù)鏈路徑和引流策略負(fù)責(zé)華為VAS設(shè)備和L2/L3 Fabri

29、c雙向網(wǎng)絡(luò)開通和業(yè)務(wù)配置負(fù)責(zé)到第三方VAS的L2/L3 Fabric側(cè)的網(wǎng)絡(luò)開通SecoManager：管理華為VAS設(shè)備，控制器下發(fā)華為VAS設(shè)備業(yè)務(wù)配置至Seco ManagerHuawei VAS：華為VAS設(shè)備，提供FW、LB、IPS、EIP、SNAT、IPSec VPN等業(yè)務(wù)的實體3rd VAS：第三方VAS設(shè)備，提供FW、LB、IPS、EIP、SNAT、IPSec VPN等業(yè)務(wù)的實體3rd SF業(yè)務(wù)Portal：管理第三方VAS設(shè)備，開通相關(guān)業(yè)務(wù)和VAS設(shè)備側(cè)網(wǎng)絡(luò)云網(wǎng)一體化場景業(yè)務(wù)鏈方案架構(gòu)如REF _fig1114018475540 r h圖4-2所示，在云網(wǎng)一體化場景下，業(yè)務(wù)鏈

30、的架構(gòu)中各個組件的功能如下。云網(wǎng)一體化中的SFC方案架構(gòu)OpenStack：實現(xiàn)租戶業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnet等服務(wù)iMaster NCE-Fabric：實現(xiàn)租戶業(yè)務(wù)和編排，發(fā)放VPC/vRouter/Subnet等服務(wù)管理華為CE交換機L2/L3 Fabric網(wǎng)絡(luò)還原OpenStack網(wǎng)絡(luò)，二次編排業(yè)務(wù)鏈路徑和引流策略負(fù)責(zé)華為VAS設(shè)備和L2/L3 Fabric雙向網(wǎng)絡(luò)開通和業(yè)務(wù)配置負(fù)責(zé)到第三方VAS的L2/L3 Fabric側(cè)的網(wǎng)絡(luò)開通Seco Manager：管理華為VAS設(shè)備，VAS設(shè)備相關(guān)業(yè)務(wù)在Seco Manager編排配置Huawei VAS：華為VAS

31、設(shè)備，提供FW、EIP、SNAT、IPSec VPN等業(yè)務(wù)的實體3rd VAS：第三方VAS設(shè)備，提供FW、LB、IPS等業(yè)務(wù)的實體3rd SF業(yè)務(wù)Portal：管理第三方VAS設(shè)備，開通相關(guān)業(yè)務(wù)和VAS設(shè)備側(cè)L2/L3網(wǎng)絡(luò)業(yè)務(wù)鏈設(shè)計原則 HYPERLINK l _ZH-CN_TOPIC_0206741996 o 5.1 業(yè)務(wù)鏈引流模型 HYPERLINK l _ZH-CN_TOPIC_0206744181 o 5.2 VAS設(shè)備與Leaf設(shè)備連接設(shè)計 HYPERLINK l _ZH-CN_TOPIC_0213525378 o 5.3 業(yè)務(wù)鏈高可用設(shè)計原則業(yè)務(wù)鏈引流模型業(yè)務(wù)鏈的核心能力在于引流

32、，如何正確、均勻的將業(yè)務(wù)流量牽引至VAS設(shè)備是業(yè)務(wù)鏈的核心功能。在CloudFabric解決方案中，不同類型的VAS設(shè)備，引流方式有所不同。VAS設(shè)備類型總體來講，可以分為三種，分別為：L1類型設(shè)備、L2類型設(shè)備和L3類型設(shè)備。L1、L2和L3類型設(shè)備具體定義如下：L1類型設(shè)備無VLAN轉(zhuǎn)換能力所有的設(shè)備接口均屬于同一個VLAN業(yè)務(wù)流量經(jīng)過設(shè)備不會二層或三層轉(zhuǎn)發(fā)通常采用接口對的形式，從一個接口進，從另一個接口出L2類型設(shè)備具備VLAN轉(zhuǎn)換能力設(shè)備接口VLAN可配置，不同接口可以配置不同VLAN業(yè)務(wù)流量經(jīng)過設(shè)備會二層轉(zhuǎn)發(fā)設(shè)備接口具備MAC學(xué)習(xí)能力L3類型設(shè)備具備VLAN轉(zhuǎn)換能力設(shè)備接口VLAN可

33、配置，不同接口可以配置不同VLAN業(yè)務(wù)流量經(jīng)過設(shè)備會三層轉(zhuǎn)發(fā)設(shè)備接口具備MAC學(xué)習(xí)能力不同類型VAS設(shè)備對應(yīng)不同的引流方式。L1/L2類型VAS設(shè)備本身無IP地址，需要通過Go-through方式引流；而L3類型VAS設(shè)備本身可以配置IP地址，通過Go-to方式引流。Go-to引流模型參考下圖，Go-to引流模型分為兩種情況：業(yè)務(wù)鏈VAS設(shè)備直接作為consumer的網(wǎng)關(guān)（CloudFabric當(dāng)前方案暫不支持）。網(wǎng)絡(luò)設(shè)備BD接口地址作為consumer的網(wǎng)關(guān)，通過業(yè)務(wù)鏈重定向的方式將業(yè)務(wù)流量重定向到VAS設(shè)備。Go-to引流模型如下圖所示。Go-to引流模型示意圖consumer訪問prov

34、ider的流量會在Leaf設(shè)備重定向到VAS設(shè)備IP，由VAS設(shè)備通過靜態(tài)路由將業(yè)務(wù)流量處理后再轉(zhuǎn)發(fā)給Leaf設(shè)備，由Leaf設(shè)備繼續(xù)重定向或轉(zhuǎn)發(fā)給provider。在此引流模型中，一個VRF關(guān)聯(lián)兩個Bridge-Domain，兩者關(guān)系圖如下所示。兩個BD之間的關(guān)系示意圖Go-through引流模型參考下圖，Go-through引流模型指VAS設(shè)備橋接在consumer和provider之間，VAS設(shè)備本身不具備IP地址，流量不會在VAS設(shè)備L2/L3轉(zhuǎn)發(fā)。在CloudFabric解決方案中，需要業(yè)務(wù)流量重定向到L1/L2類型VAS設(shè)備時，通常采用Go-through引流模式部署業(yè)務(wù)鏈。Go-

35、through引流模式基本模型，如下圖所示。Go-through引流模型Consumer訪問provider的流量會在Leaf設(shè)備重定向到VAS設(shè)備，VRFA接口轉(zhuǎn)發(fā)業(yè)務(wù)報文的目的MAC為VRFB接口地址MAC。L1類型VAS設(shè)備會將業(yè)務(wù)報文直接與入接口同接口對的另一接口轉(zhuǎn)發(fā)；L2類型VAS設(shè)備會將業(yè)務(wù)報文二層轉(zhuǎn)發(fā)。在此引流模型，兩個VRF分別關(guān)聯(lián)一個Bridge-Domian，兩者關(guān)系圖如下所示。兩個VRF之間的關(guān)系示意圖One-Arm引流模型參考下圖，One-Arm模型指VAS設(shè)備和Leaf之間通過邏輯單臂互聯(lián)，指業(yè)務(wù)流量通過一個邏輯接口轉(zhuǎn)發(fā)。需要VAS設(shè)備支持此種引流模型。當(dāng)前Cloud

36、Fabric解決方案中，同VPC內(nèi)業(yè)務(wù)鏈通常采用這種業(yè)務(wù)鏈模型。One-Arm引流模型如下圖所示。One-Arm引流模型Consumer訪問provider的業(yè)務(wù)流量會在Leaf設(shè)備重定向到VAS設(shè)備，VAS設(shè)備轉(zhuǎn)發(fā)此業(yè)務(wù)流量給Leaf設(shè)備時，通過入接口轉(zhuǎn)發(fā)流量（需要VAS設(shè)備支持）。在此引流模型中，一個VRF關(guān)聯(lián)1個Bridge-Domain，兩者關(guān)系圖如下所示。VRF、BD間關(guān)系示意圖VAS設(shè)備與Leaf設(shè)備連接設(shè)計數(shù)據(jù)中心網(wǎng)絡(luò)中VAS設(shè)備和Leaf設(shè)備連接方式多種多樣，為了方便CloudFabric統(tǒng)一管理和編排，規(guī)劃了VAS設(shè)備與Leaf設(shè)備連接方法。VAS設(shè)備與Leaf互聯(lián)鏈路需要區(qū)

37、分鏈路角色，不同鏈路角色承載的流量不同。鏈路角色分為“內(nèi)部鏈路”和“外部鏈路”?！皟?nèi)部鏈路”表示該鏈路只承載租戶router與租戶vsys的流量，“外部鏈路”表示該鏈路只承載外部網(wǎng)絡(luò)與ExtranetVsys的流量，“內(nèi)外部鏈路”表示該物理鏈路既承載租戶router與租戶vsys的流量也承載外部網(wǎng)絡(luò)與ExtranetVsys的流量，租戶vsys和ExtranetVsys之間內(nèi)部會進行路由轉(zhuǎn)發(fā)，從而實現(xiàn)租戶router和外部網(wǎng)絡(luò)的流量互通。若設(shè)定VAS與Leaf互聯(lián)物理鏈路角色為“內(nèi)部鏈路”，則單臺VAS設(shè)備與M-LAG Leaf組通過一對子接口互通（承載在互聯(lián)鏈路上），此時為邏輯單臂。若設(shè)定V

38、AS與Leaf互聯(lián)物理鏈路角色為“內(nèi)外部鏈路”，則單臺VAS設(shè)備與M-LAG Leaf組通過兩對子接口互通（承載在互聯(lián)鏈路上），此時為邏輯雙臂。若設(shè)定VAS與Leaf互聯(lián)物理鏈路角色分別為“內(nèi)部鏈路”和“外部鏈路”，則單臺VAS設(shè)備與M-LAG Leaf組通過兩對子接口互通（承載在互聯(lián)鏈路上），此時為邏輯雙臂。其中，物理單臂、物理雙臂的說明如下：當(dāng)邏輯單臂或邏輯雙臂由一條物理鏈路承載（一條單鏈路或聚合鏈路），為物理單臂。當(dāng)邏輯雙臂由兩條物理鏈路承載（兩條單鏈路或聚合鏈路），為物理雙臂。同VPC內(nèi)東西向業(yè)務(wù)鏈，當(dāng)前版本推薦物理單臂配合邏輯單臂。南北向業(yè)務(wù)鏈，當(dāng)前版本支持物理單臂配合邏輯雙臂和物理

39、雙臂配合邏輯雙臂方式實現(xiàn)。物理單臂設(shè)計模型物理單臂可以包含邏輯單臂和邏輯雙臂兩種模型，如下：邏輯單臂組網(wǎng)：VAS組成員設(shè)備與Leaf設(shè)備組（M-LAG）通過聚合鏈路互聯(lián)，consumer和provider之間業(yè)務(wù)鏈通過內(nèi)部鏈路轉(zhuǎn)發(fā)報文。主設(shè)備和備設(shè)備都存在一條邏輯鏈路，當(dāng)主設(shè)備邏輯鏈路故障，備設(shè)備邏輯鏈路生效（可靠性高）。邏輯單臂組網(wǎng)示意圖邏輯雙臂組網(wǎng)：VAS組成員設(shè)備與Leaf設(shè)備組（M-LAG）通過聚合鏈路互聯(lián)，主設(shè)備和備設(shè)備通過聚合鏈路與Leaf設(shè)備組互聯(lián)，consumer和provider之間業(yè)務(wù)鏈通過兩條邏輯鏈路轉(zhuǎn)發(fā)報文。主設(shè)備和備設(shè)備都存在兩條邏輯鏈路，當(dāng)主設(shè)備物理鏈路故障，備設(shè)備

40、物理鏈路生效（可靠性高）。邏輯雙臂組網(wǎng)示意圖物理雙臂設(shè)計模型物理雙臂僅包含邏輯雙臂一種模型：VAS設(shè)備組與Leaf設(shè)備組（M-LAG）通過兩條聚合鏈路互聯(lián)，邏輯鏈路被承載在不同的聚合鏈路（可靠性高）。下圖備VAS備設(shè)備與主設(shè)備接線方式一致，防止圖片畫線過多，故省略。物理雙臂組網(wǎng)示意圖業(yè)務(wù)鏈高可用設(shè)計原則CloudFabric業(yè)務(wù)鏈高可用可以從兩個維度闡明：VAS設(shè)備高可靠和業(yè)務(wù)鏈路徑高可靠（SC節(jié)點、SFF節(jié)點），如下表所示。項目VAS設(shè)備可靠性SC節(jié)點可靠性SFF節(jié)點可靠性冗余方式主備/主備鏡像/負(fù)載分擔(dān)MLAG雙活MLAG雙活故障檢測方式VAS設(shè)備之間心跳線MLAG雙主心跳檢測MLAG雙主

41、心跳檢測故障切換方法VAS設(shè)備主動切換BGP收斂BGP收斂VAS設(shè)備組高可用VAS設(shè)備高可用，可以通過主備、主備鏡像、負(fù)載分擔(dān)等方式實現(xiàn)。主備：VAS設(shè)備組成員統(tǒng)一通過VIP地址對外提供服務(wù)，成員間通過參數(shù)比較選出主成員，主成員負(fù)責(zé)所有業(yè)務(wù)處理，將配置同步給備成員，備成員隨時準(zhǔn)備接替主成員（當(dāng)前版本不支持）主備鏡像：VAS設(shè)備組成員統(tǒng)一通過VIP地址對外提供服務(wù)，成員間通過參數(shù)比較選出主成員，主成員負(fù)責(zé)所有業(yè)務(wù)處理，將配置和會話同步給備成員，備成員隨時準(zhǔn)備接替主成員負(fù)載分擔(dān)：VAS設(shè)備組成員統(tǒng)一通過VIP地址對外提供服務(wù)，成員均對外提供服務(wù)，配置會下發(fā)給所有成員（當(dāng)前版本不支持）通常通過VAS

42、集群提供以上高可用功能，集群會配置一個VIP（不同廠商稱呼不同，還有類似Virtual IP等稱呼，華為iMaster NCE-Fabric中稱作shareIP）統(tǒng)一對外提供服務(wù)。主備鏡像高可用連接方案主備集群VAS設(shè)備組成員通過M-LAG聚合鏈路與Leaf設(shè)備組互聯(lián)，VAS設(shè)備組成員間通過直連鏈路檢測成員心跳和配置同步，Leaf設(shè)備組之間通過peer-link鏈路和心跳鏈路實現(xiàn)設(shè)備同步表項和雙活。Leaf設(shè)備組統(tǒng)一對外提供相同的VTEP IP地址，VAS設(shè)備組成員統(tǒng)一對外提供相同的VIP地址，Leaf設(shè)備組下發(fā)多條目的為VIP的靜態(tài)路由，靜態(tài)路由對應(yīng)的nexthop分別指向VAS設(shè)備組成員，

43、VAS設(shè)備組成員主備通過靜態(tài)路由優(yōu)先級體現(xiàn)。VAS設(shè)備組（主備/主備鏡像）高可用連接方案如下圖所示。主備/主備鏡像高可用連接示意圖負(fù)載分擔(dān)高可用連接方案負(fù)載分擔(dān)集群VAS設(shè)備組成員通過M-LAG聚合鏈路與Leaf設(shè)備組互聯(lián)，VAS設(shè)備組成員間通過直連鏈路檢測成員心跳和配置同步，Leaf設(shè)備組之間通過peer-link鏈路和心跳鏈路實現(xiàn)設(shè)備雙活和同步表項。Leaf設(shè)備組統(tǒng)一對外提供相同的VTEP IP地址，VAS設(shè)備組成員統(tǒng)一對外提供相同的VIP地址，控制器為Leaf設(shè)備組下發(fā)多條目的為VIP的靜態(tài)路由，靜態(tài)路由對應(yīng)的nexthop分別指向VAS設(shè)備組成員，靜態(tài)路由無需配置優(yōu)先級，通過ECMP實

44、現(xiàn)負(fù)載分擔(dān)。負(fù)載分擔(dān)對往返路徑一致性有要求，所以正向流量和反向流量在hash時應(yīng)忽略方向性。VAS設(shè)備（負(fù)載分擔(dān)）高可用連接方案如下圖所示。負(fù)載分擔(dān)高可用連接示意圖設(shè)備和鏈路可靠性故障切換場景上述高可用方案可以覆蓋鏈路故障場景和設(shè)備故障場景。主備鏡像VAS組正常業(yè)務(wù)，任意一臺Leaf設(shè)備組成員都可以將業(yè)務(wù)流量本地轉(zhuǎn)發(fā)到VAS設(shè)備組主成員。正常時的流量轉(zhuǎn)發(fā)當(dāng)Leaf設(shè)備與VAS組主成員鏈路故障時，業(yè)務(wù)流量可以從MLAG成員設(shè)備通過peerlink鏈路轉(zhuǎn)發(fā)到另一個MLAG成員設(shè)備，再轉(zhuǎn)發(fā)到VAS組主成員。Leaf與VAS組主成員鏈路故障時的流量轉(zhuǎn)發(fā)當(dāng)VAS組主成員故障時，Leaf設(shè)備組從VAS組備

45、成員學(xué)習(xí)到VAS組VIP的MAC，后續(xù)流量轉(zhuǎn)發(fā)給VAS組備成員。VAS組主成員故障時的流量轉(zhuǎn)發(fā)負(fù)載均衡模式VAS組（當(dāng)前版本不支持）正常業(yè)務(wù)，任意一臺Leaf設(shè)備組成員都可以將業(yè)務(wù)流量本地轉(zhuǎn)發(fā)到VAS設(shè)備組所有成員。正常時的流量轉(zhuǎn)發(fā)當(dāng)Leaf設(shè)備與某個VAS成員鏈路故障時，業(yè)務(wù)流量可以從M-LAG成員設(shè)備通過peerl-ink鏈路轉(zhuǎn)發(fā)到另一個MLAG成員設(shè)備，再轉(zhuǎn)發(fā)到VAS設(shè)備。Leaf與VAS組某個成員部分鏈路故障時的流量轉(zhuǎn)發(fā)當(dāng)某個VAS設(shè)備故障時，Leaf設(shè)備組會收斂下一跳為故障VAS設(shè)備的VIP靜態(tài)路由，其他成員的靜態(tài)路由無影響。VAS組某個成員故障時的流量轉(zhuǎn)發(fā)CloudFabric基線

46、組網(wǎng)在目前CloudFabric基線組網(wǎng)中，業(yè)務(wù)鏈能力局限在VPC內(nèi)，應(yīng)用場景共3種：外網(wǎng)和VPC通過業(yè)務(wù)鏈互訪：業(yè)務(wù)鏈支持路徑包含VAS設(shè)備或不包含VAS設(shè)備，不過VAS設(shè)備時由交換機實現(xiàn)業(yè)務(wù)隔離。VPC內(nèi)不同子網(wǎng)通過業(yè)務(wù)鏈互訪：業(yè)務(wù)鏈支持路徑包含VAS設(shè)備或不包含VAS設(shè)備，不過VAS設(shè)備時由交換機實現(xiàn)業(yè)務(wù)隔離。VPC內(nèi)同子網(wǎng)通過業(yè)務(wù)鏈互訪：業(yè)務(wù)鏈將流量牽引至VAS設(shè)備進行安全控制，Network Overlay網(wǎng)絡(luò)虛擬化組網(wǎng)需要虛擬交換機（VMware&Microsoft）通過PVLAN，將流量牽引至交換機，通過交換機業(yè)務(wù)鏈按需隔離 HYPERLINK l _ZH-CN_TOPIC_02

47、06742515 o 6.1 Service Leaf和Border Leaf合設(shè) HYPERLINK l _ZH-CN_TOPIC_0206742516 o 6.2 Service Leaf和Border Leaf分設(shè)Service Leaf和Border Leaf合設(shè)Service Leaf和Border Leaf合設(shè)的組網(wǎng)基線如下圖所示。Service Leaf和Border Leaf合設(shè)的組網(wǎng)示意圖本章業(yè)務(wù)鏈的3種應(yīng)用場景，控制器將重定向策略在源端Server Leaf下發(fā)，將業(yè)務(wù)流量牽引至VAS設(shè)備處理，南北向業(yè)務(wù)鏈最后一跳VAS設(shè)備通過靜態(tài)路由的方式轉(zhuǎn)發(fā)業(yè)務(wù)流量，對應(yīng)轉(zhuǎn)發(fā)邏輯如下圖

48、所示。南北向業(yè)務(wù)鏈轉(zhuǎn)發(fā)路徑示意圖Service Leaf和Border Leaf分設(shè)Service Leaf和Border Leaf分設(shè)的組網(wǎng)基線如下圖所示。Service Leaf和Border Leaf分設(shè)的組網(wǎng)示意圖業(yè)務(wù)鏈的3種應(yīng)用場景，重定向策略在源端Server Leaf下發(fā)，將業(yè)務(wù)流量牽引至VAS設(shè)備處理（同子網(wǎng)與不同子網(wǎng)引流類似，不予贅述），南北向業(yè)務(wù)鏈最后一跳VAS設(shè)備通過路由引流的方式轉(zhuǎn)發(fā)業(yè)務(wù)流量，對應(yīng)轉(zhuǎn)發(fā)邏輯如下圖所示。南北向業(yè)務(wù)鏈轉(zhuǎn)發(fā)路徑示意圖業(yè)務(wù)鏈設(shè)計 HYPERLINK l _ZH-CN_TOPIC_0214647087 o 7.1 參考拓?fù)?HYPERLINK l

49、_ZH-CN_TOPIC_0214647088 o 7.2 NSH業(yè)務(wù)鏈 HYPERLINK l _ZH-CN_TOPIC_0214647113 o 7.3 PBR業(yè)務(wù)鏈參考拓?fù)淙缦聢D所示，是業(yè)務(wù)鏈設(shè)計舉例參考拓?fù)鋱D。業(yè)務(wù)鏈設(shè)計舉例參考拓?fù)鋱DNetwork Overlay 網(wǎng)絡(luò)虛擬化組網(wǎng)VM1、VM2、VM3均是同VPC虛機SF1、SF2、SF3是東西向業(yè)務(wù)鏈SF節(jié)點SF4是南北向業(yè)務(wù)鏈SF節(jié)點假定租戶VRF名稱為Tenant_VRFNSH業(yè)務(wù)鏈IPv4/IPv6 L2 VAS設(shè)計暫不支持IPv4/IPv6 L3 VAS設(shè)計（NSH-aware）東西向NSH業(yè)務(wù)鏈L3類型SF配置模型如下圖所示

50、。東西向NSH業(yè)務(wù)鏈L3類型SF配置模型VM1-VM3業(yè)務(wù)鏈方案（VM3-VM1引流類似，不予贅述）：ServerLeaf1配置MQC重定向策略到vbdif1，vbdif是VM1上線對應(yīng)的邏輯口，將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)平面，通過NSH轉(zhuǎn)發(fā)平面，將業(yè)務(wù)流量轉(zhuǎn)發(fā)至ServiceLeaf1；ServiceLeaf1全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報文頭部信息轉(zhuǎn)發(fā)至SF1、SF2節(jié)點，SF1和SF2節(jié)點支持NSH協(xié)議，每經(jīng)過一個SF節(jié)點，SI值減1；ServiceLeaf2全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報文頭部信息轉(zhuǎn)發(fā)至SF3節(jié)點，最后由ServiceLeaf2剝離NSH頭部，通

51、過自然轉(zhuǎn)發(fā)至VM3。IPv4/IPv6 L3 VAS設(shè)計（NSH-unaware）東西向NSH業(yè)務(wù)鏈L3類型SF配置模型如下圖所示。東西向NSH業(yè)務(wù)鏈L3類型SF配置模型VM1-VM3業(yè)務(wù)鏈方案（VM3-VM1引流類似，不予贅述）：ServerLeaf1配置MQC重定向策略到vbdif1，vbdif是VM1上線對應(yīng)的邏輯口，通過策略將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)平面，通過NSH轉(zhuǎn)發(fā)平面，將業(yè)務(wù)流量轉(zhuǎn)發(fā)至ServiceLeaf1；ServiceLeaf1全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報文頭部信息轉(zhuǎn)發(fā)至SF1節(jié)點，由于SF1節(jié)點為NSH-unaware類型所以轉(zhuǎn)發(fā)前需要將NSH報文頭部剝離后

52、轉(zhuǎn)發(fā)到SF1節(jié)點；SF1節(jié)點對流量處理完畢后，入ServiceLeaf1時需要重新MQC引流，將業(yè)務(wù)流量重新牽引至NSH轉(zhuǎn)發(fā)平面，ServiceLeaf1繼續(xù)按照NSH轉(zhuǎn)發(fā)表轉(zhuǎn)發(fā)業(yè)務(wù)流量；ServiceLeaf2全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報文頭部信息轉(zhuǎn)發(fā)至SF2節(jié)點，由于SF2節(jié)點為NSH-unaware類型所以轉(zhuǎn)發(fā)前需要將NSH報文頭部剝離后轉(zhuǎn)發(fā)到SF2節(jié)點；SF2節(jié)點增值業(yè)務(wù)處理完畢后，入ServiceLeaf2時需要重新MQC引流，將業(yè)務(wù)流量重新牽引至NSH轉(zhuǎn)發(fā)平面，ServiceLeaf2會剝離NSH報文頭部信息自然轉(zhuǎn)發(fā)業(yè)務(wù)流量至VM3。南北向業(yè)務(wù)鏈設(shè)計NSH業(yè)務(wù)鏈，南北

53、向最后一跳必須按照NSH-unaware類型SF節(jié)點處理，南北向NSH業(yè)務(wù)鏈SF配置模型如下圖所示。南北向NSH業(yè)務(wù)鏈SF配置模型（由內(nèi)網(wǎng)到外網(wǎng)）VM1-External Network引流要點：ServerLeaf配置重定向策略到vbdif1(vbdif1是VM1上線對應(yīng)的邏輯口)，將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)平面，通過NSH轉(zhuǎn)發(fā)平面，將業(yè)務(wù)流量重定向至ServiceLeaf1；ServiceLeaf1全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH報文頭部信息轉(zhuǎn)發(fā)至SF1節(jié)點，SF1節(jié)點支持NSH協(xié)議，經(jīng)過SF1節(jié)點，SI值減1；ServiceLeaf&BorderLeaf全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)

54、流量按照NSH報文頭部信息轉(zhuǎn)發(fā)至SF2節(jié)點，無論SF2節(jié)點類型，ServiceLeaf&BorderLeaf均按NSH-unaware轉(zhuǎn)發(fā)業(yè)務(wù)流量。南北向NSH業(yè)務(wù)鏈SF配置模型（由外到內(nèi)）External Network-VM1引流要點：External Network流量在ServiceLeaf&BorderLeaf的External_VRF自然轉(zhuǎn)發(fā)給SF2，SF2在通過自然轉(zhuǎn)發(fā)給ServiceLeaf&BorderLeaf；在ServiceLeaf&BorderLeaf的Tenant_VRF的vbdif2(vbdif2是SF2與ServiceLeaf&BorderLeaf互聯(lián)的邏輯接口)

55、接口配置重定向策略，將業(yè)務(wù)流量牽引至NSH轉(zhuǎn)發(fā)平面，通過NSH轉(zhuǎn)發(fā)平面，將業(yè)務(wù)流量重定向至ServiceLeaf1；ServiceLeaf1全局下發(fā)NSH轉(zhuǎn)發(fā)表，業(yè)務(wù)流量按照NSH header轉(zhuǎn)發(fā)至SF1節(jié)點（SF1節(jié)點支持NSH協(xié)議，經(jīng)過SF1節(jié)點，SI值減1）；SF1節(jié)點轉(zhuǎn)發(fā)給ServiceLeaf1后重新根據(jù)NSH報文頭部信息，匹配service-index 254轉(zhuǎn)發(fā)條目，剝離NSH頭部自然轉(zhuǎn)發(fā)到ServerLeaf1；ServerLeaf1自然轉(zhuǎn)發(fā)到VM1。PBR業(yè)務(wù)鏈IPv4/IPv6 L2 VAS設(shè)計IPv4 PBR業(yè)務(wù)鏈支持L2 VAS，IPv6 PBR業(yè)務(wù)鏈暫不支持。東西向

56、PBR業(yè)務(wù)鏈(支持源目EPG為網(wǎng)段)L2類型SF配置模型如下圖所示。東西向PBR業(yè)務(wù)鏈(支持同網(wǎng)段)L2類型SF配置模型VM1-VM3業(yè)務(wù)鏈方案（VM3-VM1引流類似，不予贅述）：IP1、IP2、IP3、IP4屬于同網(wǎng)段，ServiceLeaf1和ServiceLeaf2配置VRF1和VRF2，用于對L2類型SF引流；ServerLeaf1配置PBR重定向策略到vbdif1，將業(yè)務(wù)流量牽引至租戶VRF的IP2地址；ServiceLeaf1在租戶VRF中配置IP2的靜態(tài)路由（ip route-static tenant_vrf IP2 32 nexthop vrf1 IP2），通過EVPN t

57、ype5路由發(fā)布到全網(wǎng)。VRF2配置默認(rèn)路由將業(yè)務(wù)流量牽引回租戶VRF；ServiceLeaf1配置PBR重定向策略到全局和vbdif2，全局PBR重定向策略用于匹配隧道側(cè)流量（需結(jié)合VxLAN VNI）并重定向到tenant_vrf IP2，并迭代出去往tenant_vrf IP2的具體目的MAC和出接口。vbdif2業(yè)務(wù)鏈策略將業(yè)務(wù)流量重定向到IP4，通過VRF2配置的靜態(tài)路由迭代，將業(yè)務(wù)流量牽引至租戶VRF業(yè)務(wù)平面，重定向到遠(yuǎn)端IP4；ServiceLeaf2在租戶VRF中配置IP4的靜態(tài)路由（ip route-static tenant_vrf IP4 32 nexthop vrf1

58、IP4），通過EVPN type5路由發(fā)布到全網(wǎng)。VRF2下發(fā)默認(rèn)路由將業(yè)務(wù)流量牽引回租戶VRF；ServiceLeaf2配置PBR重定向策略到全局，全局業(yè)務(wù)鏈策略用于匹配隧道側(cè)流量（需結(jié)合VxLAN VNI）并重定向到tenant_vrf IP4，tenant_vrf IP4可以通過靜態(tài)路由迭代出目的MAC和出接口。vbdif2接口屬于VRF2，通過VRF2配置的靜態(tài)路由迭代（ip route-static vrf2 0.0.0.0 0 tenant_vrf）將業(yè)務(wù)流量牽引至租戶VRF業(yè)務(wù)平面，自然轉(zhuǎn)發(fā)到VM3。IPv4/IPv6 L3 VAS設(shè)計IPv6 PBR業(yè)務(wù)鏈僅支持permit和d

59、eny動作，不支持redirect動作，IPv4 PBR業(yè)務(wù)鏈最多3跳。東西向PBR業(yè)務(wù)鏈L3類型SF邏輯模型如下圖所示。東西向PBR業(yè)務(wù)鏈L3類型SF邏輯模型VM1-VM3業(yè)務(wù)鏈方案（VM3-VM1引流類似，不予贅述）：ServerLeaf1配置PBR重定向策略到vbdif1，vbdif是VM1上線對應(yīng)的邏輯口，將業(yè)務(wù)流量牽引至SF1節(jié)點；ServiceLeaf1配置PBR重定向策略到全局、vbdif1、vbdif2，全局業(yè)務(wù)鏈策略用于匹配隧道側(cè)流量（需結(jié)合VxLAN VNI）并重定向到SF1節(jié)點，vbdif1和vbdif2業(yè)務(wù)鏈策略分別將SF1和SF2處理后的業(yè)務(wù)流量牽引至下一跳SF節(jié)點；ServiceLeaf2配置PBR重定向策略到全局，全局業(yè)務(wù)鏈策略用于匹配隧道側(cè)流量（需結(jié)合VxLAN VNI）并重定向到SF3節(jié)點，SF3節(jié)點處理后，業(yè)務(wù)流量由ServiceLeaf2轉(zhuǎn)發(fā)到VM3；PBR業(yè)務(wù)鏈重定向到本地下一跳時，traffic behavior動作為redirect ne