华为 Agile Controller 业务编排技术白皮书

华为 Agile Controller 敏捷控制安全接入管理系统

Agile Controller V100R001C00 业务编

排技术白皮书

Agile Controller V100R001C00 Service Orchestration Technical White Paper

(仅供内部使用） For internal use only

2014-04-09 拟制: 张燕勇 00132725 日期：

Prepared by Date

审核: 日期：

Reviewed by Date

审核: 日期：

Reviewed by Date

批准: 日期：

Granted by Date

华为技术有限公司 Huawei Technologies Co., Ltd.

版权所有 侵权必究

All rights reserved

华为 Agile Controller 敏捷控制安全接入管理系统

修订记录Revision record

华为 Agile Controller 敏捷控制安全接入管理系统

目录

1 技术背景 ....................................................................................................................................... 7 1.1 网络变化带来的新挑战 .......................................................................................................... 7 1.2 传统组网存在的问题 .............................................................................................................. 7

1.2.1 业务设备传统串联组网 ............................................................................................. 8 1.2.2 业务设备策略路由旁挂组网 ..................................................................................... 9 1.3 华为Agile Controller 业务编排解决方案 .............................................................................. 9

1.3.1 业务编排原理 ............................................................................................................. 9 1.3.2 客户价值 ................................................................................................................... 10

2 概念及原理 ................................................................................................................................. 10 2.1 业务编排概念 ........................................................................................................................ 10 2.2 业务编排原理 ........................................................................................................................ 11

2.2.1 组网结构及系统功能 ............................................................................................... 11 2.2.2 总体架构 ................................................................................................................... 12 2.2.3 总体流程 ................................................................................................................... 13

3 业务编排的业务与功能 ............................................................................................................. 14 3.1 基础配置功能 ........................................................................................................................ 15 3.2 资源配置功能 ........................................................................................................................ 16 3.3 资源编排功能 ........................................................................................................................ 17 3.4 GRE隧道告警处理 ........................................................................................................... 17 3.5 机机对接功能 ........................................................................................................................ 18 4 应用实施 ..................................................................................................................................... 20 4.1 场景一—用户访问数据中心 ................................................................................................ 20

4.1.1 方式一—核心层交换机作为编排设备 ................................................................... 20 4.1.2 方式二—汇聚层交换机作为编排设备 ................................................................... 22 4.1.3 两种部署方式对比 ................................................................................................... 23 4.2 场景二—用户访问Internet .................................................................................................... 24 4.3 场景三—Internet访问数据中心 ............................................................................................ 25 5 参考文档 ..................................................................................................................................... 26

华为 Agile Controller 敏捷控制安全接入管理系统

表目录Table of contents for the table

1.1 1.2 1.3 2.1 2.2 3.1 3.2 3.3 3.4 3.5 4.1 4.2 4.3

网络变化带来的新挑战 ................................................................................................... 7 传统组网存在的问题 ....................................................................................................... 7 华为Agile Controller 业务编排解决方案 ....................................................................... 9 业务编排概念 ................................................................................................................. 10 业务编排原理 ................................................................................................................. 11 基础配置功能 ................................................................................................................. 15 资源配置功能 ................................................................................................................. 16 资源编排功能 ................................................................................................................. 17 GRE隧道告警处理 ........................................................................................................... 17 机机对接功能 ................................................................................................................. 18 场景一—用户访问数据中心 ......................................................................................... 20 场景二—用户访问Internet ............................................................................................ 24 场景三—Internet访问数据中心 .................................................................................... 25

华为 Agile Controller 敏捷控制安全接入管理系统

图目录 Table of contents for the figure

1.1 1.2 1.3 2.1 2.2 3.1 3.2 3.3 3.4 3.5 4.1 4.2 4.3

网络变化带来的新挑战 ................................................................................................... 7 传统组网存在的问题 ....................................................................................................... 7 华为Agile Controller 业务编排解决方案 ....................................................................... 9 业务编排概念 ................................................................................................................. 10 业务编排原理 ................................................................................................................. 11 基础配置功能 ................................................................................................................. 15 资源配置功能 ................................................................................................................. 16 资源编排功能 ................................................................................................................. 17 GRE隧道告警处理 ........................................................................................................... 17 机机对接功能 ................................................................................................................. 18 场景一—用户访问数据中心 ......................................................................................... 20 场景二—用户访问Internet ............................................................................................ 24 场景三—Internet访问数据中心 .................................................................................... 25

华为 Agile Controller 敏捷控制安全接入管理系统

业务编排技术白皮书

Service Chaining Technical White Paper

Key words 关键词：业务链 Service Chain、业务流 Service Flow、业务链资源 Service

Chaining Resource

Abstract 摘 要：基于GRE隧道及GRE隧道策略路由的业务链编排。通过交换机上定义的业务

流，识别要处理的流量，将其按一定的顺序通过GRE隧道引至多个业务设备进行处理。

缩略语清单List of abbreviations：

华为 Agile Controller 敏捷控制安全接入管理系统

业务编排技术白皮书

1 技术背景

1.1 网络变化带来的新挑战

图

1 网络变化带来的新挑战

随着业务和各种信息化应用的快速增加，网络环境变得更加复杂、边界趋于模糊，多样的业务应用场景引入了新的安全威胁，并给网络管理带来了更多挑战。

网络环境复杂化。现代各行业网络中，

网元种类繁多、性能差异大，

在实际部署的时候，

对接形式各异、简单的串行部署容易造成性能瓶颈。

网络边界模糊化。随着移动办公的普及，员工可以随时随地选择接入，使得企业网络边界逐渐弱化，传统在区域边界部署安全设备的思路显得不合时宜，安全能力必须随网络同步扩展。

业务场景多样化。多样的业务应用类型带来了不同的业务处理需求、业务策略差异，潜在的引出多种业务部署场景。

业务威胁多样化。多样的业务应用类型引入了不同的安全问题和威胁类型，不同的业务流需要适配不同的处理流程。

网络管理复杂化。上述种种变化和需求，使得业务和网络配置耦合性增大、策略变更频繁、业务需动态适配和拆卸，都给网络管理带来了新的挑战。

1.2 传统组网存在的问题

在传统组网中，业务设备通常会采用串联或旁挂组网的。串联或旁挂组网方式中，均存在着不同的问题。

华为 Agile Controller 敏捷控制安全接入管理系统

1.2.1 业务设备传统串联组网

图 2 串联组网

传统组网中业务设备采用串联组网，具有部署简单直观的优点，但也存在如下问题：

性能瓶颈。业务设备性能一般较弱，多个设备串联组网时，性能最弱的设备将成为瓶颈； 难以区分流量。相不相关的流量均流经业务设备，无关流量不仅占用了业务设备的性能资源，也会在定位问题时造成流量干扰；

需初始规划。三层业务设备串联组网时需要规划网络，预留好IP地址，进行路由设计； 后期增删困难。旧网后期再新增或删除业务设备时，都需要重新规划IP地址和路由，割接时需要断网切换，对现网影响较大。

华为 Agile Controller 敏捷控制安全接入管理系统

1.2.2 业务设备策略路由旁挂组网

图 3 旁挂组网

传统组网中旁挂业务设备采用策略路由进行引流，这种方式能够规避上述串联组网的问题，但存在如下新问题：

配置复杂。如上图所示，旁挂两台业务设备时，需要对接链路、在全局及每个接口上配置相关策略，至少要配置5、6条不同的策略。

理解困难。如上图所示，需要分析流量的走向，进出接口，下一跳地址或出接口。 可靠性考虑不足。通过两个接口对接业务设备时，接口之间没有关联关系，当某一个接口链路故障时，缺乏可靠性联动机制。例如连接交换机的入方向链路故障时，流量依然从交换机的出方向链路送到业务设备，并最终丢弃，造成业务中断。

1.3 华为Agile Controller 业务编排解决方案

针对上述挑战和问题，华为提出了Agile Controller业务编排解决方案，来应对上述种种变化和挑战。

1.3.1 业务编排原理

1、各种业务设备与交换机处于三层组网上，通过GRE隧道对接到某个交换机上，形成邻接关系。 2、交换机识别业务流量并按照用户指定的业务处理次序，将流量依次引导至各个业务网元上处理。

业务编排解决方案基于GRE隧道及基于GRE隧道的策略路由等通用技术。通过Agile Controller系统提供可视化的操作功能，实现对企业园区网络的敏捷管理。

华为 Agile Controller 敏捷控制安全接入管理系统

1.3.2 客户价值

业务编排解决方案为客户带来如下价值点：

方便理解

将业务逻辑抽象化，实际组网对用户相对透明，只需要关注业务流的定义和业务链逻辑，贴近业务层面，用户便于理解和使用。

灵活组网

业务设备通过三层GRE隧道和交换机对接，使业务设备的组网方式、部署位置更加灵活自由。

方便扩展

任意时刻增删业务设备时，只需增删GRE逻辑链路即可，不改变现网转发路由，不改变现网物理拓扑。

简化管理

对接业务设备、增删业务策略均由Agile Controller自动完成，极大减少了用户的策略配置工作量；

增删业务设备对现网的改动最小化，进而降低了现网基础网络管理的复杂度；

2 概念及原理

2.1 业务编排概念

Service Flow（业务流）：包含特定业务特征的报文（例如，匹配一定字段的报文）或者匹配某些业务策略的报文（如某访问IP、端口等）；

链结点：指业务链上的增值业务设备（如防火墙、防病毒等安全设备），仅指独立业务设备；

Service Chain（业务链）：指若干个特定序列链状组合的链结点来提供一种组合服务，若干个业务流的报文需要流经某条业务链。

华为 Agile Controller 敏捷控制安全接入管理系统

2.2 业务编排原理 2.2.1 组网结构及系统功能

图 4 组网结构

Agile Controller与交换机、业务设备处于三层组网环境中。 业务设备与交换机能建立三层的GRE隧道，交换机根据ACL或UCL将指定的流量通过GRE隧道引至业务设备进行处理。

在上述组网下，业务编排方案支持如下的特性：

业务逻辑抽象化。统一通过Agile Controller进行业务链功能配置； 支持三层业务设备。通过三层GRE隧道和业务设备互联；

支持对三层

IPv4单播报文进行编排。编排交换机对三层路由转发的IPv4单播报文进行识别和引流；

可基于五元组ACL或动态用户组UCL来定义业务流； 支持GRE链路故障可靠性配置，包括直接路由转发或丢弃。

华为 Agile Controller 敏捷控制安全接入管理系统

2.2.2 总体架构

图 5 总体架构

业务编排方案包含三大组成部分：

业务编排子系统：由Agile Controller承担。主要负责业务链的业务逻辑配置； 业务分流子系统：由交换机来承担。主要负责业务流量的识别和分流重定向； 业务处理子系统：由各个业务设备来承担。负责将引导过来的业务流量进行相关的业务处理。

其中用到的主要技术如下：

配置机机接口：

XMPP。华为编排设备、业务设备与Controller对接使用的接口协议。 Telnet/SNMP。第三方业务设备和Controller对接使用的接口协议。

设备引流技术：基于GRE隧道的策略路由。

华为 Agile Controller 敏捷控制安全接入管理系统

2.2.3 总体流程

图 6 总体流程图

主要交互流程如下：

1. 用户在Agile Controller上进行业务编排。配置的内容包括：业务流定义、链设备、编排

点交换机、业务链。

2. Agile Controller

将业务逻辑翻译为设备语言，通过XMPP协议下发配置给交换机、业务设

备；

3. 当业务流量首次进入交换机时，查询全局策略路由，若匹配业务流规则，则按照引流规

则处理，重定向至首个业务设备；

4. 业务设备负责业务处理，然后按照入接口策略路由将业务流量回注到交换机； 5. 当业务流量再次进入交换机时，查询并命中优先级更高的接口策略路由，按照匹配的业

务流的引流规则处理，重定向至后续业务设备；

华为 Agile Controller 敏捷控制安全接入管理系统

6. 当业务流量从最后一个业务设备回注到交换机时，查询并命中接口策略路由，直接执行

Permit动作，对流量进行正常路由转发处理；

7. 交换机通过GRE Keepalive机制进行GRE隧道状态检测。当交换机和业务设备对接的GRE

链路故障时，上报给Agile Controller；Agile Controller将交换机的另一GRE隧道关闭，避免流量的转发异常。

3 业务编排的业务与功能

图 7 业务编排的业务与功能图

业务编排的功能有几大组成部分：

基础配置功能：由Agile Controller基础组件提供的设备管理、安全组管理功能。

设备管理：负责交换机、业务设备的上下线管理。 安全组管理：负责用户认证策略、安全组动态映射管理。

隧道IP池配置：在对接设备上自动创建隧道口时，指定隧道口使用的IP地址范围。

资源配置功能：负责业务链的资源关系的管理。

华为 Agile Controller 敏捷控制安全接入管理系统

业务链资源：指定编排设备可以使用的业务设备资源、管理它们之间的GRE隧道关系。

资源编排功能：实现将业务流按一定的次序引至业务设备。

业务流配置：配置经过业务链的流量特征。

业务链编排：将编排设备和若干业务设备按一定顺序排列配置为一条业务链。

告警处理：接收交换机上报的隧道故障信息，联动开启或关闭关联的隧道口。 机机对接功能：负责将用户层面的业务配置翻译为设备语言，使用XMPP或

Telnet/SNMP等接口下发给设备。

3.1 基础配置功能

图 8 基础配置流程图

如上图所示，基础配置功能的业务流程如下：

1. 用户在Agile Controller上添加设备的信息。如：设备名称、协议等。

2. 交换机和业务设备向Controller注册，设备管理模块根据配置的信息验证设备合法性。

合法性验证通过以后，设备管理中可以看到已注册的设备列表和信息；

3. Controller从交换机和业务设备获取当前设备上已经配置好的Loopback接口信息，用

于后续资源配置功能。

华为 Agile Controller 敏捷控制安全接入管理系统

3.2 资源配置功能

图 9 资源配置流程图

如上图所示，资源配置功能的业务流程如下：

1. 用户配置设备GRE隧道使用的IP地址范围；

2. 用户添加编排设备可以使用的业务设备，建立业务链资源关系； 3. 用户将业务链资源关系部署到设备上；

4. Agile Controller从设备上读取空闲隧道接口编号，生成GRE隧道配置信息 5.

Agile Controller将GRE隧道的配置信息下发到设备上

6. 交换机和业务设备接收到配置以后，根据配置创建GRE隧道；

7. 业务设备在创建GRE隧道后，再创建GRE隧道间的策略路由，使用两条隧道形成回

路

华为 Agile Controller 敏捷控制安全接入管理系统

3.3 资源编排功能

图 10 资源编排流程图

如上图所示，资源编排功能的业务流程如下：

1. 用户根据ACL或UCL配置业务流；

2. 用户通过业务流，将编排设备及业务设备按顺序排列，创建业务链； 3. 用户将业务链部署到设备上；

4. Agile Controller

将业务链的配置信息下发到交换机上

5. 交换机分别在全局配置和GRE隧道口中配置引流策略，保证业务流按指定的顺序到

达业务设备。

3.4 GRE隧道告警处理

交换机与业务设备之间包含两条GRE隧道，当从业务设备到交换机入方向的链路出现故障时，流

华为 Agile Controller 敏捷控制安全接入管理系统

量从交换机进入到业务设备以后，被防火墙异常丢弃，导致流量无法回流，从而引起业务不通。

Agile Controller通过告警处理功能，解决上述的问题。

图 11 GRE隧道告警处理流程图

如图所示，当流量出交换机方向的GRE隧道故障时，交换机处理流程如下：

1. 交换机上GRE隧道默认开启Keepalive保活机制，当交换机探测到GRE隧道发生故障

时，通过XMPP接口向Agile Controller上报故障； 2. Agile Controller接收到隧道故障告警以后，自动将交换机另一条GRE

隧道关闭，避免

流量转发异常； 3. 当交换机探测到GRE隧道恢复正常以后，同样会上报Agile Controller 4. Agile Controller收到隧道恢复的告警后，自动恢复另一条被关闭的隧道。

3.5 机机对接功能

Agile Controller 业务编排提供可以可适配的机机对接功能。

华为 Agile Controller 敏捷控制安全接入管理系统

图 12 机机对接架构图

Agile Controller将对设备的操作抽象为多个操作接口，通过适配框架动态关联适配包，实现对业务设备的扩展支持。

除了华为已经支持的NGFW系列业务设备，第三方的开发人员可以按照开发的规范，增加第三方业务设备的适配。

对于业务设备的适配，存在如下的要求：

对第三方业务设备的能力要求：

支持SNMP读取设备sysObjectID，以便Agile Controller识别设备类型； 支持命令行方式配置GRE隧道；

支持两条GRE隧道间的策略路由，实现流量互引。 可扩展的第三方业务设备适配机制； 提供完善的Telnet/SNMP基础协议栈支持；

提供抽象的业务适配框架和接口，包括查询设备Tunnel空闲编号、查询Loopback口、创建/删除隧道等。

Controller提供的适配功能：

本文来源：https://www.bwwdw.com/article/guki.html