1.一種利用服務鏈進行南北向流量對稱性引流的實現方法，其特征在于：實現架構包括虛擬路由器，SNAT 命名空間，中轉虛擬機，透明防火墻和OVS網橋五個組件；

所述虛擬路由器存在于openstack的計算節點當中，表現為openstack環境中的一個網絡命名空間qrouter，其實是lunix內核的單獨一個namespace，其核心組成部分是端口和路由表；通過配置該namespace內的IP tables和IP rule，能夠實現策略路由功能；

所述SNAT 命名空間存在于openstack的網絡節點當中，本質上是一個虛擬路由器，底層為Lunix創建出來的一個namespace，負責將網絡返回包送出；

所述中轉虛擬機是與防火墻處于同一子網的一臺虛擬機，操作系統不限，包含四個端口，其中兩個用于接收策略路由的引導流量，另外兩個作為服務鏈的邏輯起點和邏輯終點；

所述透明防火墻是一臺具有防火墻程序的虛擬機，具有至少3個端口，其中一個是管理端口，而另外兩個作為服務鏈的入端口和出端口；該虛擬機能夠自動過濾進入的流量，由于是透明模式，報文從入端口進入后能夠自動從出端口出來并且不修改任何內容；

所述OVS網橋存在于中轉虛擬機中，連接有數個端口，其核心內容是流表，OVS網橋根據報文的特征匹配流表，再根據流表的動作指示決定下一步的走向；

先使用策略路由將流量引流至指定中轉虛擬機，將中轉虛擬機作為服務鏈的邏輯起點和邏輯終點；

具體包括以下步驟：

S1. 在openstack中為安全設備和中轉機創建多個獨立的網段；

S2. 添加中轉虛擬機用于接收策略路由的引導流量與服務鏈節點的流量；

S3. 將透明防火墻部署到指定子網中，將防火墻的出端口與入端口放在不同的網絡的子網中以避免廣播風暴；

S4. 配置策略路由；

S5. 配置中轉虛擬機的轉發以及IP轉換功能

在中轉虛擬機上根據引流規則的變化實時下發IP地址轉換規則，使反向流量通過防火墻時源地址為本地IP地址，從而使其通過防火墻驗證；

所述步驟S5中，在中轉虛擬機中構建OVS網橋架構，首先建立兩個網橋br-sfc1與br-sfc2，將中轉虛擬機SFC-forward的端口A、B添加至網橋br-sfc1上，將中轉虛擬機SFC-forward的端口C、D添加至網橋br-sfc2上；

由于將網口添加到網橋上會導致網口的不可用，所以在網橋br-sfc1和br-sfc2上各添加兩個veth peer用以承載原網口的MAC地址和IP地址；端口A、B、C、D對應的對接端口依次為veth0、veth1、veth2與veth3；

設置四個對接端口veth0、veth1、veth2與veth3的流量轉發規則，采用openvswitch的流表規則設置方法，設置從veth0進的流量從veth1出，從veth1進的流量從veth0出，從veth3進的流量從veth2出，從veth2進的流量從veth3出；

中轉虛擬機內部開啟ip_forward轉發、關閉firewalld.service設置；

通過端口號socket的服務動態設置OVS流表規則，包括floating ip與內網ip的轉換規則；

在中轉虛擬機上根據引流規則的變化實時下發IP地址轉換規則，使反向流量通過防火墻時源地址為本地IP地址：

已知反向流量先由策略路由發往中轉虛擬機SFC-forward的端口C，經網橋br-sfc2網橋導向端口D，則在網橋br-sfc2上設置流表規則，將本地IP轉換成浮動IP；

然后反向流量途徑防火墻發往中轉虛擬機SFC-forward的端口B，經網橋br-sfc1網橋導向端口A，則在網橋br-sfc1上設置流表規則，將浮動IP轉換成本地IP；

S6. 在計算節點上為防火墻添加服務鏈流表

更改服務鏈最后一跳的流量規則，從正常轉發變為發往邏輯終點，避免透明防火墻的邏輯缺陷。