解析NFV在域網(wǎng)中的五大應用場(chǎng)景

　　NFV概述

　　NFV（網(wǎng)絡(luò )功能虛擬化）是通過(guò)使用x86等通用性硬件以及虛擬化技術(shù)，來(lái)承載很多功能的軟件處理。從而降低網(wǎng)絡(luò )昂貴的設備成本?？梢酝ㄟ^(guò)軟硬件解耦及功能抽象，使網(wǎng)絡(luò )設備功能不再依賴(lài)于專(zhuān)用硬件，資源可以充分靈活共享，實(shí)現新業(yè)務(wù)的快速開(kāi)發(fā)和部署，并基于實(shí)際業(yè)務(wù)需求進(jìn)行自動(dòng)部署、彈性伸縮、故障隔離和自愈等；這些網(wǎng)絡(luò )功能可以是On-demand的模式，不需要額外安裝任何新設備，如運營(yíng)商可以在x86平臺上運行虛擬機來(lái)執行開(kāi)源的基于軟件的防火墻功能，而不用增加任何新的硬件設施，同樣的，諸如CDN、NAT、DPI、VPN、IPTV、路由器、P-GW、IMS等功能，都可以通過(guò)基于NFV的軟件來(lái)實(shí)現。

　　在ETSI的標準中，對于NFV的應用定義了多個(gè)不同的場(chǎng)景，結合城域網(wǎng)主要包括如下。下面我們就來(lái)分析NFV在域網(wǎng)下的5種應用模式

　　vRR

　　在骨干網(wǎng)全連接架構中，有一對或者多對路由器承擔著(zhù)向全網(wǎng)設備反饋路由信息的功能，這就是路由反射器（RR），一般由專(zhuān)用硬件芯片架構的高端核心路由器來(lái)做全網(wǎng)RR. 由于RR的最主要功能是計算路由，而非轉發(fā)流量，因此在大型骨干網(wǎng)中，RR可以率先遷移到x86架構上，能夠更快適應使用者需求的變化和差異。例如，改變BGP路由下一跳的機制，引入源地址等綜合信息進(jìn)行選路，能夠通過(guò)智能的方式實(shí)現骨干網(wǎng)流量負載均衡的初級階段。在這個(gè)階段，骨干網(wǎng)高端核心路由器不需要做任何改變，按照傳統標準的方式去接受RR反射的路由信息。所以現階段，具備極高的可實(shí)施性。

　　圖2 NFV在城域網(wǎng)作為增強型RR

　　運營(yíng)商引入x86架構的RR的目標絕不僅止于此。在完成骨干網(wǎng)流量負載均衡的初級階段部署后，運營(yíng)商希望能夠從現有骨干路由器上提取到更豐富的流量信息，通過(guò)部署Controller來(lái)搜集全網(wǎng)流量信息，Controller通過(guò)綜合計算和策略匹配，精確調度骨干網(wǎng)絡(luò )流量，實(shí)現理想的流量工程。相較于初級階段的RR x86化及協(xié)議增強，理想目標階段需要現網(wǎng)的設備升級或者更換才能夠支持相關(guān)標準控制協(xié)議，而控制協(xié)議的標準化和完善本身也需要一些時(shí)間去積累。

　　vFW

　　防火墻需要實(shí)現對傳統網(wǎng)絡(luò )環(huán)境中的安全域進(jìn)行隔離，也需要實(shí)現對虛擬化環(huán)境中的安全域（如生產(chǎn)域及其子區、支撐服務(wù)域及其子區、管理域及其子區、DMZ 域及其子區等）的隔離。對于傳統網(wǎng)絡(luò )環(huán)境中的安全域可采用傳統防火墻、傳統的部署方式即可，而對于虛擬化環(huán)境中的安全域可采用虛擬化防火墻實(shí)現。

　　傳統防火墻的形態(tài)是專(zhuān)用硬件，其支持在硬件防火墻內部進(jìn)行虛擬化，即將一臺物理防火墻虛擬化成幾十個(gè)、幾百個(gè)，甚至上千臺相互獨立的邏輯防火墻。每個(gè)虛擬防火墻系統都可被看成是一臺完全獨立的防火墻設備，擁有獨立的系統資源，且能夠實(shí)現物理防火墻的大部分功能。然而，這并不是NFV的概念。

　　利用NFV技術(shù)，將物理防火墻的各種板卡都轉成虛擬機，這些虛擬機被安裝在普通x86服務(wù)器上，通過(guò)內部網(wǎng)絡(luò )通信構成一個(gè)可擴展的極大容量的防火墻集群。從管理角度上看，整個(gè)集群就是一個(gè)超大容量的防火墻，需要具備如下功能。

　　豐富的網(wǎng)絡(luò )和安全功能，能夠滿(mǎn)足企業(yè)分支及公有云多租戶(hù)環(huán)境中的網(wǎng)絡(luò )安全需求。

　　控制平面和數據平面分離，專(zhuān)門(mén)為虛擬環(huán)境優(yōu)化的多核數據轉發(fā)，更充分利用計算資源。

　　模塊化的體系架構，開(kāi)放的網(wǎng)絡(luò )平臺，允許網(wǎng)絡(luò )按需運行和控制，更容易實(shí)現NFV/SDN落地。

　　和物理網(wǎng)絡(luò )設備采用統一的軟件平臺，提供相同的功能特性和一致的管理界面。

　　vDPI

　　傳統部署DPI的方式是把DPI嵌入各種網(wǎng)絡(luò )設備當中，如會(huì )話(huà)邊界控制器（SBC）、流量檢測功能（TDF）、網(wǎng)關(guān)GPRS支持節點(diǎn)（GGSN）等，如圖3。

　　圖3 傳統DPI部署方式

　　這種方式的主要缺點(diǎn)是在不同的硬件平臺上多次實(shí)現DPI技術(shù)帶來(lái)的高成本。另外，應用程序之間的互通比較困難，因為每個(gè)供應商都可能會(huì )有私有的執行DPI和展示結果的方式。舉例來(lái)說(shuō)，一個(gè)供應商可能把一個(gè)信息流歸類(lèi)為T(mén)witter，但是別的供應商可能把它當做社交媒體。

　　有了SDN和NFV，DPI可以從嵌入的網(wǎng)絡(luò )設備中遷移，成為托管在標準服務(wù)器上的共享功能（如圖3右側部分）。這種方式降低了DPI所需的總投資，因為這樣一來(lái)DPI只需要在更少的機器上實(shí)現（減少固定資產(chǎn)投入）而且減少能源消耗（減少操作成本）。此外，不同功能和DPI應用程序之間的互通不再那么復雜，因為對應用程序ID和元數據執行一致的格式相對而言更容易一些。有了SDN/NFV，DPI可能不會(huì )再駐留在現有的位置。

　　vPOP

　　運營(yíng)商在思考將x86這種具有更高計算能力和更標準、靈活的硬件架構引入到傳統城域網(wǎng)的業(yè)務(wù)邊緣層的可能性。通過(guò)部署x86架構下的虛擬CPE（vCPE）、虛擬BRAS（vBRAS）和虛擬NAT（VCGN）等資源池，使得業(yè)務(wù)邊緣的用戶(hù)接入控制能力得以靈活擴展。

　　運營(yíng)商首先在vCPE方向上進(jìn)行實(shí)踐，將原來(lái)散落在用戶(hù)家庭中的接入網(wǎng)關(guān)的高級功能上收到匯聚節點(diǎn)，在家庭側只需要部署最簡(jiǎn)單的二層接入設備，大大降低客戶(hù)端的投資和維護成本。

　　vCPE方案通過(guò)將傳統的接入網(wǎng)關(guān)分為VG和PG兩個(gè)功能網(wǎng)元，將采用專(zhuān)有硬件的PG功能弱化，降低了設備采購成本及后續升級換代需求；實(shí)現大部分網(wǎng)絡(luò )功能的VG采用基于通用服務(wù)器的NFV技術(shù)實(shí)現，使新功能新業(yè)務(wù)的實(shí)現不再依賴(lài)硬件設備的更新，可有效控制成本，同時(shí)極大降低TTR?；贜FV的VG可集中部署于運營(yíng)商的數據中心機房，實(shí)現設備的集中管理維護，有效降低維護成本。

　　vCPE方案通過(guò)將用戶(hù)出口網(wǎng)關(guān)上收到運營(yíng)商數據中心機房，可更好地了解用戶(hù)業(yè)務(wù)需求，整合用戶(hù)消費需求及網(wǎng)絡(luò )提供能力，推出各種增值業(yè)務(wù)創(chuàng )造新的利潤增長(cháng)點(diǎn)。同時(shí)，運營(yíng)商可很好掌握用戶(hù)網(wǎng)絡(luò )操作行為，提供實(shí)時(shí)行為分析，保障用戶(hù)網(wǎng)絡(luò )安全，同時(shí)滿(mǎn)足各種合規需求。

　　vCPE的應用不僅可以有效降低網(wǎng)絡(luò )建設成本，通過(guò)運營(yíng)商數據中心集中部署降低維護成本，同時(shí)用戶(hù)的接入功能通過(guò)云化網(wǎng)絡(luò )服務(wù)平面實(shí)現，與SDN技術(shù)結合通過(guò)Service chain還可向客戶(hù)提供IT辦公云、網(wǎng)絡(luò )安全和其他增值服務(wù)，即將企業(yè)ICT應用功能遷移到運營(yíng)商的公有云中，并通過(guò)SDN智能專(zhuān)線(xiàn)實(shí)現用戶(hù)按需對應的訪(fǎng)問(wèn)，達到云網(wǎng)協(xié)同一體化的目標。

　　圖4 vCPE部署方式

　　同時(shí)，BRAS和CGN也在嘗試向x86方向發(fā)展。在國內運營(yíng)商城域網(wǎng)中，BRAS是最為關(guān)鍵的網(wǎng)絡(luò )設備和角色類(lèi)型。以BRAS及其以下的接入網(wǎng)為模塊，不斷復制模塊擴容的方式建設城域網(wǎng)是最為典型模式。這種模式的網(wǎng)絡(luò )配置相對固定，可以很好地實(shí)現簡(jiǎn)單業(yè)務(wù)的網(wǎng)絡(luò )擴容，但是也存在非常明顯的問(wèn)題：城域網(wǎng)內各個(gè)BRAS之間各自為政，無(wú)法實(shí)現資源共享。比如在用戶(hù)聚集的地方只能多部署幾臺BRAS，多從接入網(wǎng)拉連一些光纖鏈路到BRAS機房，如此BRAS和鏈路的利用率都不高。在x86架構下，BRAS和CGN作為VNF部署在標準服務(wù)器上，標準服務(wù)器可以通過(guò)平滑擴展的方式增強計算和轉發(fā)能力，并且能夠更好地適應L4-L7業(yè)務(wù)能力。在城域網(wǎng)業(yè)務(wù)邊緣層形成一個(gè)新的vPOP，將各種VNF相對集中部署形成資源池，資源池內可以面向用戶(hù)、業(yè)務(wù)靈活調整資源，從而提升全網(wǎng)使用效率。同時(shí)在城域網(wǎng)范圍內集中部署vPOP的Controller，實(shí)現資源狀態(tài)的查看、配置、維護、調整等功能。

　　圖5 NFV應用在城域網(wǎng)vPOP

　　vPOP對于運營(yíng)商而言，是一種可以承載新的商業(yè)模式的城域網(wǎng)新邊緣節點(diǎn)。電信運營(yíng)商不僅可以根據自身業(yè)務(wù)發(fā)展利用vPOP面向用戶(hù)提供差異化的增值業(yè)務(wù)，也可以與SP、虛擬運營(yíng)商等第三方合作，為其提供差異化的用戶(hù)體驗，進(jìn)一步體現出電信運營(yíng)商在互聯(lián)網(wǎng)時(shí)代產(chǎn)業(yè)鏈中的整合價(jià)值。

　　圖6 NFV應用在城域網(wǎng)帶來(lái)的新商業(yè)模式

　　由于運營(yíng)商需要復雜的技術(shù)驗證機制和決策流程，所以整體上進(jìn)展相對緩慢。運營(yíng)商的大網(wǎng)上設備種類(lèi)繁多，大網(wǎng)的流量也不可預知。而企業(yè)網(wǎng)/校園網(wǎng)的網(wǎng)絡(luò )相對封閉，流量模型比較簡(jiǎn)單，有較強的可預測性。所以在運營(yíng)商大網(wǎng)這種開(kāi)放的網(wǎng)絡(luò )中部署SDN/NFV的難度相對高一些。但運營(yíng)商也逐步在網(wǎng)絡(luò )中引入SDN/NFV，同時(shí)進(jìn)行大量試點(diǎn)工作。

　　在企業(yè)網(wǎng)中，大量使用的VPN網(wǎng)關(guān)也可以通過(guò)NFV功能來(lái)實(shí)現。最典型的是公有云VPC業(yè)務(wù)，通過(guò)在x86架構的虛擬機上部署防火墻、VPN網(wǎng)關(guān)等，將企業(yè)網(wǎng)絡(luò )擴展到公有云中，為企業(yè)進(jìn)行統一的網(wǎng)絡(luò )管理，包括網(wǎng)絡(luò )配置、安全策略、管理策略等。通過(guò)部署QoS、WAN優(yōu)化等提供一致的業(yè)務(wù)體驗。這不僅可以讓企業(yè)員工通過(guò)VPN安全、快捷地訪(fǎng)問(wèn)公有云，而且企業(yè)公有云和私有云二層安全互聯(lián)，實(shí)現資源統一管理、動(dòng)態(tài)調配、應用靈活部署和自由遷移。

　　圖7 NFV應用在數據中心多租戶(hù)

　　在IDC的一項面向全球CIO的調查中顯示，NFV服務(wù)中他們最感興趣的是SSL VPN（63.5%），緊隨其后的是虛擬化/云VPN（55.2%）、基于云計算的安全web網(wǎng)關(guān)（45.3%）和基于云計算的IPSEC VPN網(wǎng)關(guān)（43.2%）。

　　從CIO的角度來(lái)看，NFV的服務(wù)特性可以很好地適應亞太地區分散的網(wǎng)絡(luò )格局。此外，NFV使企業(yè)能夠通過(guò)統一的在線(xiàn)入口實(shí)現對不同位置分支網(wǎng)絡(luò )進(jìn)行網(wǎng)絡(luò )服務(wù)的實(shí)時(shí)激活和配置，消除了“一個(gè)位置、一個(gè)設備、一個(gè)服務(wù)”的模式。

　　目前階段，運營(yíng)商主要關(guān)注SD-WAN，運營(yíng)商能夠促進(jìn)客戶(hù)多個(gè)三層VPNs（用于隔離）的銷(xiāo)售，并能為企業(yè)提供隔離和端到端的網(wǎng)絡(luò )加密。安全和隔離的集成正在成為許多行業(yè)如金融服務(wù)和醫療健康的要求 ，促進(jìn)政企客戶(hù)的銷(xiāo)售。根據數據顯示，在1437名被調查對象中有54%的企業(yè)因其成本低廉而考慮部署SD-WAN。

　　圖8 ATT和愛(ài)立信的SD-WAN方案

　　在校園網(wǎng)中，Openflow的概念最早就是用于校園網(wǎng)絡(luò )的試驗創(chuàng )新，現階段校園網(wǎng)更多關(guān)注Openflow交換機和云平臺產(chǎn)品和方案。校園網(wǎng)解決方案需要充分考慮對現網(wǎng)設備的兼容和利舊，提供平滑演進(jìn)的解決方案。在設備層面，提供一機雙平面，使得設備既可以處理傳統網(wǎng)絡(luò )業(yè)務(wù)，也可以處理SDN業(yè)務(wù)，既與傳統網(wǎng)絡(luò )聯(lián)合組網(wǎng)，也可以與SDN網(wǎng)絡(luò )聯(lián)合組網(wǎng)，保證其平滑演進(jìn)。同時(shí)，在協(xié)議層面，建議采用Agent的方式兼容不同的Openflow協(xié)議版本，兼容不同的SBI協(xié)議接口，使設備可以通過(guò)簡(jiǎn)單的軟件適配滿(mǎn)足不同的協(xié)議要求和演進(jìn)要求，充分保護網(wǎng)絡(luò )投資。

　　vCDN

　　CDN服務(wù)通常部署在靠近網(wǎng)絡(luò )邊緣的內容緩

　　存上，以改善用戶(hù)業(yè)務(wù)體驗質(zhì)量。目前，CDN提供商、運營(yíng)商利用高速緩存技術(shù)，使用專(zhuān)用的硬件為用戶(hù)提供這種服務(wù)。由于硬件資源的設計為高峰時(shí)滿(mǎn)負荷，這些緩存資源在生命周期內大多數時(shí)間未能得到充分利用。并且在當前的部署方案中，不同服務(wù)商部署的CDN節點(diǎn)都是獨立的，整體容量的使用效率不高，尤其是對于潮汐現象，利用率非常低。

　　隨著(zhù)終端用戶(hù)尤其是智能終端的普及，以視頻為首的內容提供成為了網(wǎng)絡(luò )服務(wù)提供商的業(yè)務(wù)主增長(cháng)的重點(diǎn)。而視頻流量的大幅增長(cháng)，對用戶(hù)體驗也提出了更高的要求，CDN隨之水漲船高。在CDN上使用NFV技術(shù)，可針對CDN控制器，也可針對Cache進(jìn)行。通過(guò)在鄰近終端用戶(hù)側數據中心的x86通用服務(wù)器上執行相關(guān)VNF，實(shí)現Cache的功能，從而實(shí)現資源的高效利用，保證用戶(hù)體驗。

　　利用和部署NFV實(shí)現虛擬化緩存，底層硬件資源可以被合并，并在多個(gè)供應商的CDN緩存和其他的VNFs中實(shí)現動(dòng)態(tài)共享，從而有效提高緩存資源的使用率。

　　圖9 NFV應用在城域網(wǎng)vCDN