20、云数据中心网络安全架构与技术解析

云数据中心网络安全架构与技术解析

1. 数据包处理流程

在网络中，数据包的处理遵循特定的流程。当 SF1 接收到数据包时，会对其进行分析，将服务索引（SI）减 1，然后用网络服务报头（NSH）和新的数据包报头对数据包进行封装，最后将其转发给 SFF1。同样，转发回 SFF1 的数据包会以相同的过程转发给 SF2，SF2 再将 SI 减 1 后转发回 SFF1。
当 SFF1 收到数据包时，会根据 NSH 中的服务路径索引（SPI）和新的 SI 查询 NSH 转发表，确定下一跳为 SFF2，接着用 NSH 和 VXLAN 报头封装数据包并转发。SFF2 收到 IP over NSH over VXLAN 数据包时，会移除 VXLAN 报头，然后根据 NSH 报头中的 SPI 和 SI 依次将数据包转发给 SF3 和 SF4，最后再转发回 SFF2。此时 NSH 报头中的 SI 与上一跳相同，数据包在服务功能链（SFC）域的转发结束，设备会移除 NSH 数据包并用 IP 报头封装后转发到目的地。
如果虚拟增值服务（VAS）设备不支持 NSH，SFF 需要执行 NSH 代理。在这种情况下，SFF 向 VAS 设备转发流量时会移除 NSH 报头，从 VAS 设备接收流量时，会将其与 NSH 服务链（SC）策略匹配，并再次沿 NSH 路径发送。不过，这种应用场景下，NSH 报头中的元数据信息会丢失。

下面是数据包处理流程的 mermaid 流程图：

graph LR
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px