基于NFV與SDN高度融合的網(wǎng)絡(luò)虛擬化體系解析

王 磊

（云南廣播電視臺，云南 昆明 650500）

1 網(wǎng)絡(luò)虛擬化的驅(qū)動力

近年來，“以軟件為中心”的網(wǎng)絡(luò)虛擬化得到了快速的發(fā)展，服務(wù)器虛擬化的巨大成功和軟件定義網(wǎng)絡(luò)（Software Defining Network，SDN）組網(wǎng)模式，是最重要的兩個驅(qū)動因素。通過把服務(wù)器虛擬化的原理應(yīng)用到網(wǎng)絡(luò)，原來需要運行在專用硬件上的網(wǎng)絡(luò)功能轉(zhuǎn)移到了x86服務(wù)器上，網(wǎng)絡(luò)功能虛擬化（Network Function virtualization，NFV）得以實現(xiàn)。SDN技術(shù)應(yīng)用在虛擬網(wǎng)絡(luò)中，大幅降低了網(wǎng)絡(luò)的復(fù)雜程度，更加促進(jìn)了網(wǎng)絡(luò)虛擬化的進(jìn)程。服務(wù)器虛擬化產(chǎn)生大量虛擬機(jī)，隨之也帶來一系列的問題。首先是虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）數(shù)量嚴(yán)重不足，虛擬網(wǎng)絡(luò)之間難以進(jìn)行有效的安全隔離；其次是接入交換機(jī)沒有足夠的MAC地址容量來適應(yīng)大量的虛擬機(jī)；最后，由于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，造成虛擬機(jī)遷移困難。虛擬可擴(kuò)展局域網(wǎng)（Virtual Extensible LAN，VXLAN）等疊加網(wǎng)絡(luò)協(xié)議很好地解決了這些問題。它創(chuàng)建的大二層虛擬網(wǎng)絡(luò)，為虛擬機(jī)的遷移鋪平了道路；VXLAN提供了比VLAN多得多的虛擬網(wǎng)絡(luò)識別碼，為虛擬網(wǎng)絡(luò)之間的安全隔離提供了充分的保障；數(shù)據(jù)包在進(jìn)出VXLAN網(wǎng)絡(luò)時需要分別進(jìn)行封裝和解封裝，兩端交換機(jī)只需要給虛擬隧道終結(jié)點（VXLAN Tunnel Endpoint，VTEP）設(shè)備提供MAC地址存儲容量，大大降低了對交換機(jī)MAC地址容量的需求[1]。技術(shù)的進(jìn)步為網(wǎng)絡(luò)虛擬化的發(fā)展創(chuàng)造了重要的基礎(chǔ)條件。

市場需求也是網(wǎng)絡(luò)虛擬化快速發(fā)展的重要促進(jìn)因素。傳統(tǒng)網(wǎng)絡(luò)組建模式建設(shè)周期太長，往往需要數(shù)月的時間，完全跟不上市場的變化節(jié)奏，網(wǎng)絡(luò)還沒建好，需求可能已經(jīng)發(fā)生變化。傳統(tǒng)網(wǎng)絡(luò)建設(shè)和運維成本高、資源利用率低且缺乏敏捷性，難以適應(yīng)當(dāng)今市場的要求，迫切需要基于軟件的網(wǎng)絡(luò)虛擬化來解決這些問題。

傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)策略往往重邊界輕內(nèi)部，導(dǎo)致這種結(jié)果的根本原因就在于物理網(wǎng)絡(luò)的部署方式。在網(wǎng)絡(luò)邊界，通常部署有防火墻等物理設(shè)備，可以起到比較好的防護(hù)效果。網(wǎng)絡(luò)內(nèi)部的復(fù)雜程度遠(yuǎn)遠(yuǎn)大于網(wǎng)絡(luò)邊界，不可能采用與網(wǎng)絡(luò)邊界同樣的防護(hù)方法。網(wǎng)絡(luò)威脅一旦突破邊界防護(hù)，由于網(wǎng)絡(luò)內(nèi)部缺少行之有效的防護(hù)措施，很容易給整個網(wǎng)絡(luò)造成嚴(yán)重破壞。網(wǎng)絡(luò)虛擬化可以根據(jù)實際的安全需求，動態(tài)地創(chuàng)建、部署各種安全虛擬網(wǎng)絡(luò)功能（Virtual Network Function，VNF），并且利用SDN技術(shù)實現(xiàn)集中安全管控，為整個網(wǎng)絡(luò)構(gòu)建起一張立體的安全防護(hù)網(wǎng)。近年來，網(wǎng)絡(luò)安全事故頻發(fā)，絕大多數(shù)案例都是從網(wǎng)絡(luò)內(nèi)部發(fā)起攻擊造成的。要改變這樣的現(xiàn)狀，必須加快發(fā)展網(wǎng)絡(luò)虛擬化。

除此以外，網(wǎng)絡(luò)虛擬化減少了物理設(shè)備的數(shù)量，節(jié)約大量電力消耗，踐行了“綠色低碳、節(jié)能環(huán)?！钡陌l(fā)展理念。所有這些因素共同促進(jìn)網(wǎng)絡(luò)虛擬化得到了飛速的發(fā)展。

2 網(wǎng)絡(luò)虛擬化的核心要素和體系結(jié)構(gòu)

2.1 核心要素

網(wǎng)絡(luò)虛擬化的兩大核心要素分別是網(wǎng)絡(luò)功能虛擬化（Network Function virtualization，NFV）和軟件定義網(wǎng)絡(luò)（Software Defining Network，SDN）。它們從兩個不同的維度構(gòu)建起虛擬網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)。盡管NFV和SDN是兩種完全不相關(guān)的技術(shù)，但是它們彼此互補(bǔ)，共同實現(xiàn)了以應(yīng)用為中心的建網(wǎng)思想，是網(wǎng)絡(luò)“云”化的必然選擇。

NFV運用服務(wù)器虛擬化技術(shù)實現(xiàn)特定的網(wǎng)絡(luò)功能，包括虛擬網(wǎng)絡(luò)功能（Virtual Network Function，VNF）、通用硬件、網(wǎng)絡(luò)交換路由協(xié)議以及管理工具在內(nèi)的整個系統(tǒng)[2]。NFV在x86等通用服務(wù)器上運用虛擬化技術(shù)，通過軟件實現(xiàn)眾多的網(wǎng)絡(luò)功能，減少了大量專用網(wǎng)絡(luò)設(shè)備的使用量。NFV的最終目的就是實現(xiàn)網(wǎng)絡(luò)設(shè)備的軟件化，把原來運行在專用網(wǎng)元設(shè)備上的網(wǎng)絡(luò)功能盡可能地轉(zhuǎn)移到價格低廉的通用服務(wù)器上。這樣一來，不僅降低了網(wǎng)絡(luò)的建設(shè)成本，而且可以利用開放的應(yīng)用程序接口（Application Programming Interface，API）對網(wǎng)絡(luò)功能編程控制，便于創(chuàng)建更加靈活、功能多樣的網(wǎng)絡(luò)。在NFV體系結(jié)構(gòu)中，VNF扮演著非常重要的角色。它就是一臺運行有網(wǎng)絡(luò)協(xié)議的虛擬機(jī)、容器（如VMware的Edge服務(wù)網(wǎng)關(guān)），或者是一個功能插件（如VMware的分布式防火墻功能模塊），可以實現(xiàn)傳統(tǒng)網(wǎng)絡(luò)硬件的相關(guān)功能。VNF運行在通用硬件上，不受專有硬件和部署位置的制約，實現(xiàn)了網(wǎng)絡(luò)軟件和硬件的解耦?？梢詫NF放到最合適的位置，創(chuàng)建出高效、低延遲的優(yōu)質(zhì)網(wǎng)絡(luò)。NFV建立在以軟件為中心的理論基礎(chǔ)上，結(jié)合虛擬資源具有的彈性、可伸縮性等特點，傳統(tǒng)網(wǎng)絡(luò)遇到的許多障礙都可以得到解決。傳統(tǒng)網(wǎng)絡(luò)設(shè)備通常集多種功能于一身，難以對特定功能單獨升級。而VNF采取模塊化設(shè)計，一個VNF設(shè)備通常只執(zhí)行一種網(wǎng)絡(luò)功能，很容易進(jìn)行單獨在線升級，且不會對應(yīng)用產(chǎn)生影響。NFV最大限度地減輕了物理網(wǎng)絡(luò)的流量壓力，大量數(shù)據(jù)在物理主機(jī)內(nèi)部就完成了交換路由，根本不會流經(jīng)物理網(wǎng)絡(luò)。NFV建立在服務(wù)器虛擬化基礎(chǔ)之上，這就決定了適合NFV化的主要是基于中央處理器（Central Processing Unit，CPU）、內(nèi)存處理任務(wù)的網(wǎng)絡(luò)功能，執(zhí)行高速包轉(zhuǎn)發(fā)功能的網(wǎng)絡(luò)設(shè)備并不適合NFV化。

“開放”和“集中”是SDN技術(shù)實現(xiàn)的兩大重要特征[3]。SDN做到了網(wǎng)絡(luò)設(shè)備轉(zhuǎn)發(fā)平面和控制平面的分離，是一種不同于傳統(tǒng)網(wǎng)絡(luò)的體系框架。網(wǎng)絡(luò)設(shè)備（物理或者虛擬）專注于數(shù)據(jù)的轉(zhuǎn)發(fā)，而控制功能集中到SDN控制器，實行集中控制、分布式轉(zhuǎn)發(fā)的策略。由于SDN控制器掌握全網(wǎng)的控制信息，因此也就知曉了完整的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，為應(yīng)用軟件的部署提供了清晰的網(wǎng)絡(luò)視圖。SDN方式可以及時獲取連接入網(wǎng)的設(shè)備信息，對各類安全威脅第一時間采取應(yīng)對措施，大幅提高網(wǎng)絡(luò)安全性。控制信息的集中處理大幅降低了對網(wǎng)絡(luò)設(shè)備的性能要求，絕大多數(shù)網(wǎng)絡(luò)設(shè)備只需要執(zhí)行SDN控制器的決策轉(zhuǎn)發(fā)數(shù)據(jù)即可，不需要進(jìn)行復(fù)雜的計算。以開放最短路徑優(yōu)先（Open Shortest Path First，OSPF）動態(tài)路由協(xié)議為例，對SDN架構(gòu)提升網(wǎng)絡(luò)效率進(jìn)行說明。傳統(tǒng)物理網(wǎng)絡(luò)情況下，每一臺路由器之間都需要相互交換鏈路狀態(tài)信息、單獨計算路由，浪費了大量的網(wǎng)絡(luò)帶寬和計算資源。如果采用SDN方式，每個路由器只需要給SDN控制器發(fā)送鏈路狀態(tài)信息，由其集中計算路由，再將計算結(jié)果返回全網(wǎng)設(shè)備，大幅降低了資源需求。網(wǎng)絡(luò)虛擬化實現(xiàn)網(wǎng)絡(luò)資源共享，一張物理網(wǎng)絡(luò)上可能運行有成百上千個獨立的虛擬網(wǎng)絡(luò)，如果不采用SDN，網(wǎng)絡(luò)管理將是一項不可能完成的工作。SDN區(qū)別于普通網(wǎng)管系統(tǒng)的最大特性就在于它可以持續(xù)監(jiān)控網(wǎng)絡(luò)的運行情況，實時調(diào)整網(wǎng)絡(luò)的資源配置以滿足用戶的實際需求，大幅提高網(wǎng)絡(luò)的使用效率。

NFV和SDN高度融合在一起創(chuàng)建的網(wǎng)絡(luò)不僅具有開放性、可擴(kuò)展性、彈性、敏捷性以及可編程性等特點，而且還起到簡化控制邏輯、大幅縮短交付周期、降低運行成本等效果，所有這些都符合網(wǎng)絡(luò)發(fā)展的趨勢。

2.2 體系結(jié)構(gòu)

網(wǎng)絡(luò)虛擬化的理念來源于服務(wù)器虛擬化。因為融入了網(wǎng)絡(luò)的特性，所以其體系結(jié)構(gòu)比服務(wù)器虛擬化要復(fù)雜。從歐洲電信標(biāo)準(zhǔn)協(xié)會（European Telecommunications Standards Institute，ETSI）NFV架構(gòu)就可以看到，網(wǎng)絡(luò)虛擬化不但要實現(xiàn)虛擬網(wǎng)絡(luò)，還要提供虛擬計算和虛擬存儲。包括網(wǎng)絡(luò)、計算和存儲的全部底層硬件設(shè)備經(jīng)過虛擬化層的處理，形成了虛擬資源池。在此基礎(chǔ)之上就可以創(chuàng)建虛擬交換機(jī)、虛擬路由器、虛擬防火墻等VNF。各虛擬機(jī)（Virtual Machine，VM）連接到虛擬交換機(jī)，再通過虛擬鏈路連接到路由和防火墻等設(shè)備，這樣就構(gòu)建起了一張?zhí)囟ǖ奶摂M網(wǎng)絡(luò)。所有VNF和虛擬網(wǎng)絡(luò)不僅可以根據(jù)需要進(jìn)行創(chuàng)建和刪除，還可以動態(tài)縮放，充分實現(xiàn)了系統(tǒng)資源的高效利用。采用NFV方式建網(wǎng)，完全不同于傳統(tǒng)物理網(wǎng)絡(luò)建設(shè)，不需要花費大量的時間和資金來購置、部署網(wǎng)絡(luò)設(shè)備，只需要根據(jù)實際的需要創(chuàng)建VNF，再將各個VNF按照網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)鏈接起來，就完成了邏輯網(wǎng)絡(luò)的部署，整個過程都是通過軟件進(jìn)行。NFV從結(jié)構(gòu)上可以分為硬件設(shè)施層、虛擬資源層以及網(wǎng)絡(luò)功能層，部署方式主要有單廠商、軟硬件解耦以及三層解耦共3種方式[4]。其中，三層解耦方式最符合NFV的初始目標(biāo)，可以滿足網(wǎng)絡(luò)“云化”的需求，但是實現(xiàn)難度也最大。

網(wǎng)絡(luò)虛擬化一方面通過NFV優(yōu)化資源配置、提高利用率，另一方面采取SDN集中控制模式來簡化網(wǎng)絡(luò)結(jié)構(gòu)，實現(xiàn)NFV與SDN的高度融合，其體系結(jié)構(gòu)如圖1所示。SDN控制器在整個體系中起到了至關(guān)重要的作用，它通過南向接口（如OpenFlow）連接轉(zhuǎn)發(fā)設(shè)備，通過北向接口（如REST）連接應(yīng)用，同時還要和NFV編排與控制組件交互，使得網(wǎng)絡(luò)具備了可編程和自動化的特性。它將應(yīng)用程序和網(wǎng)絡(luò)耦合在一起，應(yīng)用的需求可以直接傳遞給網(wǎng)絡(luò)，真正實現(xiàn)了“軟件定義網(wǎng)絡(luò)”的理念。高效的NFV監(jiān)視系統(tǒng)是另外一個重要因素，及時準(zhǔn)確地獲取物理主機(jī)、虛擬機(jī)及VNF的狀態(tài)信息，對于虛擬網(wǎng)絡(luò)的管理和編排非常重要。一種稱為“信息獲取需求與獲取技術(shù)解耦”（Information Requirements Decoupling from Acquisition，IRDA）的信息獲取方法具有較高的參考價值[5]。

圖1 SDN/NFV融合架構(gòu)

3 VMware NSX中的NFV/SDN體現(xiàn)

NSX是一款NFV與SDN融合得非常好的虛擬化平臺，實現(xiàn)了管理、控制、數(shù)據(jù)三個平面的分離，其體系層次如圖2所示。管理工作主要由NSX Manager和vCenter完成，可以配置邏輯交換機(jī)、邏輯路由器以及邏輯防火墻等VNF組件，并且實現(xiàn)邏輯組網(wǎng)等網(wǎng)絡(luò)編排功能。在數(shù)據(jù)轉(zhuǎn)發(fā)方面，NSX Controller是虛擬網(wǎng)絡(luò)的SDN控制器，如果物理網(wǎng)絡(luò)也支持OpenFlow等南向協(xié)議，它同樣可以成為物理網(wǎng)絡(luò)的SDN控制器。另外，DLR Control VM是一臺專門處理分布式三層路由的虛擬機(jī)，也是SDN控制器組件。在網(wǎng)絡(luò)安全領(lǐng)域，NSX Manager還要負(fù)責(zé)將管理組件vCenter上創(chuàng)建的分布式防火墻規(guī)則同步推送到ESXi主機(jī)，對全部分布式防火墻（Distributed Firewall，DFW）實現(xiàn)SDN集中控制。NSX數(shù)據(jù)平面包括分布和集中兩種轉(zhuǎn)發(fā)模式，分別用于處理東西向和南北向流量。分布式轉(zhuǎn)發(fā)以功能模塊的形式嵌入到虛擬化層，在主機(jī)內(nèi)部就可以實現(xiàn)二層交換和三層路由。特別是Edge服務(wù)網(wǎng)關(guān)就是建立在服務(wù)器虛擬化之上的VNF，實現(xiàn)了網(wǎng)絡(luò)地址轉(zhuǎn)換（Network Address Translation，NAT）、域名系統(tǒng)（Domain Name System，DNS）、虛擬專用網(wǎng)絡(luò)（Virtual Private Network，VPN）、路由等多種網(wǎng)絡(luò)功能[1]。

圖2 NSX-V體系層次

4 廣播電視網(wǎng)絡(luò)虛擬化應(yīng)用

有線電視用戶接入網(wǎng)大多采用混合光纖同軸電纜（Hybrid Fiber Coax，HFC）和光纖到戶（Fibre To The Home，F(xiàn)TTH）兩種技術(shù)，分別使用有線電視融入接入技術(shù)平臺（Converged Cable Access Platform，CCAP）和寬帶遠(yuǎn)程接入服務(wù)器（Broadband Remote Access Server，BRAS）網(wǎng)關(guān)作為接入設(shè)備?？梢詫⑦@兩種設(shè)備的光電傳輸以外的功能實現(xiàn)虛擬化，在中心局端集中部署計費、認(rèn)證、授權(quán)、路由以及安全策略發(fā)布等集中控制功能，在前端部署數(shù)據(jù)交換功能，充分發(fā)揮NFV/SDN的優(yōu)勢[6]。

交互式網(wǎng)絡(luò)電視（IPTV）和互聯(lián)網(wǎng)視頻點播近年來呈現(xiàn)爆發(fā)式增長。廣播電視行業(yè)作為重要的視頻提供商，對內(nèi)容分發(fā)網(wǎng)絡(luò)（Content Delivery Network，CDN）有非常高的要求。傳統(tǒng)CDN建立在物理網(wǎng)絡(luò)之上，建設(shè)維護(hù)成本高、資源浪費嚴(yán)重、視頻格式單一，難以適應(yīng)業(yè)務(wù)需求的快速發(fā)展。利用網(wǎng)絡(luò)虛擬化可以將物理CDN虛擬化為多個虛擬CDN，并且實現(xiàn)SDN集中控制[7]。通過網(wǎng)絡(luò)虛擬化，虛擬CDN實現(xiàn)了內(nèi)容“集中錄制存儲，精細(xì)化推送”，不僅大幅降低了邊緣節(jié)點的存儲容量需求，而且支持多種視頻格式，以適應(yīng)手機(jī)、PC、電視等多種終端的要求。

光傳輸網(wǎng)絡(luò)是廣電系統(tǒng)最主要的傳輸載體，主要包括光交換機(jī)、光纖鏈路、可重構(gòu)光分插復(fù)用器（Reconfigurable Optical Add-Drop Multiplexer，ROADM）以及光再生器等。其中，ROADM是最重要的設(shè)備，和交換機(jī)需要維護(hù)MAC地址表一樣，它也需要維護(hù)相應(yīng)的表項，以確定如何對復(fù)合光進(jìn)行交換和分插波長。波長選擇對于光傳輸網(wǎng)絡(luò)非常重要，源和目的地的距離、光纖損耗、差錯率以及可用波長等都是重要的參考因素，要盡量做到全路徑的光操作，避免出現(xiàn)光和電的相互轉(zhuǎn)換。如果在光傳輸網(wǎng)絡(luò)中采用SDN方式組網(wǎng)，控制器就可以從光設(shè)備中獲取可用波長和每個節(jié)點的信號質(zhì)量等信息，不僅能由此計算出源端到目的端的最佳光傳輸路徑，還可以對ROADM等設(shè)備進(jìn)行編程控制[2]。SDN技術(shù)應(yīng)用到光傳輸網(wǎng)絡(luò)，一方面提高了網(wǎng)絡(luò)的效率，節(jié)約了管理成本；另一方面實現(xiàn)了集中化和智能化的配置，大大提升了網(wǎng)絡(luò)的故障檢測恢復(fù)能力，對確保安全播出有重要意義。

廣播電視行業(yè)近年來在媒體融合方面取得了長足的進(jìn)步，進(jìn)一步實現(xiàn)了內(nèi)容融合和網(wǎng)絡(luò)融合。在網(wǎng)絡(luò)建設(shè)方面，自主平臺打造和“借船出?！眱梢睚R飛；在服務(wù)功能方面，實現(xiàn)了引導(dǎo)+服務(wù)的拓展；在內(nèi)容表現(xiàn)形式方面，媒體形態(tài)實現(xiàn)了全態(tài)化[8]。從中央電視臺到很多地方媒體都建設(shè)了自主的融媒體平臺，一些安全性要求不太高的功能甚至轉(zhuǎn)移到了“公有云”上，借助互聯(lián)網(wǎng)這艘大船拓展傳統(tǒng)媒體的網(wǎng)絡(luò)空間。傳統(tǒng)媒體原先的職責(zé)定位就是輿論宣傳和引導(dǎo)，在媒體融合的環(huán)境下，其被賦予了社會服務(wù)的功能。很多政務(wù)服務(wù)的應(yīng)用運行在“融媒體云”上，有的媒體單位甚至涉足了“智慧城市”等領(lǐng)域。在媒體內(nèi)容的形態(tài)和傳播渠道方面，除了電視外，傳統(tǒng)媒體通過微信、微博、抖音等平臺全方位進(jìn)入互聯(lián)網(wǎng)，擴(kuò)大影響力。媒體融合的程度越深，網(wǎng)絡(luò)結(jié)構(gòu)就越復(fù)雜。為了確保融媒體平臺上各個系統(tǒng)的安全隔離和資源分配，NFV和SDN都是不可或缺的技術(shù)。

5 結(jié) 語

盡管NFV和SDN技術(shù)還處于完善、發(fā)展階段，但是網(wǎng)絡(luò)虛擬化在它們的相互協(xié)作下還是得到了快速的發(fā)展。在實際應(yīng)用中，網(wǎng)絡(luò)設(shè)計者除了要注重虛擬技術(shù)外，更應(yīng)該重視物理網(wǎng)絡(luò)的合理規(guī)劃，優(yōu)化布局計算、存儲和網(wǎng)絡(luò)資源，為網(wǎng)絡(luò)虛擬化的實施創(chuàng)造有利的條件。只有這樣，網(wǎng)絡(luò)虛擬化的兩大核心要素才能發(fā)揮最大的效能，創(chuàng)建出優(yōu)質(zhì)的虛擬網(wǎng)絡(luò)。