NFV通过虚拟化技术,将软硬件解耦,从而能快速地对业务进行部署。NFV通过软件虚拟化技术,在通用硬件上(如x86服务器等)执行网络功能,这些网络功能可以是On-demand的模式,不需要额外安装任何新设备,如运营商可以在x86平台上运行虚拟机来执行开源的基于软件的防火墙功能,而不用增加任何新的硬件设施,同样的,诸如CDN、NAT、DPI、VPN、IPTV、路由器、P-GW、IMS等功能,都可以通过基于NFV的软件来实现。
在ETSI的标准中,对于NFV的应用定义了多个不同的场景,结合城域网主要包括如下。
vRR
在骨干网全连接架构中,有一对或者多对路由器承担着向全网设备反馈路由信息的功能,这就是路由反射器(RR),一般由专用硬件芯片架构的高端核心路由器来做全网RR. 由于RR的最主要功能是计算路由,而非转发流量,因此在大型骨干网中,RR可以率先迁移到x86架构上,能够更快适应使用者需求的变化和差异。例如,改变BGP路由下一跳的机制,引入源地址等综合信息进行选路,能够通过智能的方式实现骨干网流量负载均衡的初级阶段。在这个阶段,骨干网高端核心路由器不需要做任何改变,按照传统标准的方式去接受RR反射的路由信息。所以现阶段,具备极高的可实施性。
运营商引入x86架构的RR的目标绝不仅止于此。在完成骨干网流量负载均衡的初级阶段部署后,运营商希望能够从现有骨干路由器上提取到更丰富的流量信息,通过部署Controller来搜集全网流量信息,Controller通过综合计算和策略匹配,精确调度骨干网络流量,实现理想的流量工程。相较于初级阶段的RR x86化及协议增强,理想目标阶段需要现网的设备升级或者更换才能够支持相关标准控制协议,而控制协议的标准化和完善本身也需要一些时间去积累。
vFW
防火墙需要实现对传统网络环境中的安全域进行隔离,也需要实现对虚拟化环境中的安全域(如生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ 域及其子区等)的隔离。对于传统网络环境中的安全域可采用传统防火墙、传统的部署方式即可,而对于虚拟化环境中的安全域可采用虚拟化防火墙实现。
传统防火墙的形态是专用硬件,其支持在硬件防火墙内部进行虚拟化,即将一台物理防火墙虚拟化成几十个、几百个,甚至上千台相互独立的逻辑防火墙。每个虚拟防火墙系统都可被看成是一台完全独立的防火墙设备,拥有独立的系统资源,且能够实现物理防火墙的大部分功能。然而,这并不是NFV的概念。
利用NFV技术,将物理防火墙的各种板卡都转成虚拟机,这些虚拟机被安装在普通x86服务器上,通过内部网络通信构成一个可扩展的极大容量的防火墙集群。从管理角度上看,整个集群就是一个超大容量的防火墙,需要具备如下功能。
丰富的网络和安全功能,能够满足企业分支及公有云多租户环境中的网络安全需求。
控制平面和数据平面分离,专门为虚拟环境优化的多核数据转发,更充分利用计算资源。
模块化的体系架构,开放的网络平台,允许网络按需运行和控制,更容易实现NFV/SDN落地。
和物理网络设备采用统一的软件平台,提供相同的功能特性和一致的管理界面。
vDPI
传统部署DPI的方式是把DPI嵌入各种网络设备当中,如会话边界控制器(SBC)、流量检测功能(TDF)、网关GPRS支持节点(GGSN)等,如图3。
这种方式的主要缺点是在不同的硬件平台上多次实现DPI技术带来的高成本。另外,应用程序之间的互通比较困难,因为每个供应商都可能会有私有的执行DPI和展示结果的方式。举例来说,一个供应商可能把一个信息流归类为Twitter,但是别的供应商可能把它当做社交媒体。
有了SDN和NFV,DPI可以从嵌入的网络设备中迁移,成为托管在标准服务器上的共享功能(如图3右侧部分)。这种方式降低了DPI所需的总投资,因为这样一来DPI只需要在更少的机器上实现(减少固定资产投入)而且减少能源消耗(减少操作成本)。此外,不同功能和DPI应用程序之间的互通不再那么复杂,因为对应用程序ID和元数据执行一致的格式相对而言更容易一些。有了SDN/NFV,DPI可能不会再驻留在现有的位置。
vPOP
运营商在思考将x86这种具有更高计算能力和更标准、灵活的硬件架构引入到传统城域网的业务边缘层的可能性。通过部署x86架构下的虚拟CPE(vCPE)、虚拟BRAS(vBRAS)和虚拟NAT(VCGN)等资源池,使得业务边缘的用户接入控制能力得以灵活扩展。
运营商首先在vCPE方向上进行实践,将原来散落在用户家庭中的接入网关的高级功能上收到汇聚节点,在家庭侧只需要部署最简单的二层接入设备,大大降低客户端的投资和维护成本。
vCPE方案通过将传统的接入网关分为VG和PG两个功能网元,将采用专有硬件的PG功能弱化,降低了设备采购成本及后续升级换代需求;实现大部分网络功能的VG采用基于通用服务器的NFV技术实现,使新功能新业务的实现不再依赖硬件设备的更新,可有效控制成本,同时极大降低TTR。基于NFV的VG可集中部署于运营商的数据中心机房,实现设备的集中管理维护,有效降低维护成本。
vCPE方案通过将用户出口网关上收到运营商数据中心机房,可更好地了解用户业务需求,整合用户消费需求及网络提供能力,推出各种增值业务创造新的利润增长点。同时,运营商可很好掌握用户网络操作行为,提供实时行为分析,保障用户网络安全,同时满足各种合规需求。
vCPE的应用不仅可以有效降低网络建设成本,通过运营商数据中心集中部署降低维护成本,同时用户的接入功能通过云化网络服务平面实现,与SDN技术结合通过Service chain还可向客户提供IT办公云、网络安全和其他增值服务,即将企业ICT应用功能迁移到运营商的公有云中,并通过SDN智能专线实现用户按需对应的访问,达到云网协同一体化的目标。
同时,BRAS和CGN也在尝试向x86方向发展。在国内运营商城域网中,BRAS是最为关键的网络设备和角色类型。以BRAS及其以下的接入网为模块,不断复制模块扩容的方式建设城域网是最为典型模式。这种模式的网络配置相对固定,可以很好地实现简单业务的网络扩容,但是也存在非常明显的问题:城域网内各个BRAS之间各自为政,无法实现资源共享。比如在用户聚集的地方只能多部署几台BRAS,多从接入网拉连一些光纤链路到BRAS机房,如此BRAS和链路的利用率都不高。在x86架构下,BRAS和CGN作为VNF部署在标准服务器上,标准服务器可以通过平滑扩展的方式增强计算和转发能力,并且能够更好地适应L4-L7业务能力。在城域网业务边缘层形成一个新的vPOP,将各种VNF相对集中部署形成资源池,资源池内可以面向用户、业务灵活调整资源,从而提升全网使用效率。同时在城域网范围内集中部署vPOP的Controller,实现资源状态的查看、配置、维护、调整等功能。
vPOP对于运营商而言,是一种可以承载新的商业模式的城域网新边缘节点。电信运营商不仅可以根据自身业务发展利用vPOP面向用户提供差异化的增值业务,也可以与SP、虚拟运营商等第三方合作,为其提供差异化的用户体验,进一步体现出电信运营商在互联网时代产业链中的整合价值。
由于运营商需要复杂的技术验证机制和决策流程,所以整体上进展相对缓慢。运营商的大网上设备种类繁多,大网的流量也不可预知。而企业网/校园网的网络相对封闭,流量模型比较简单,有较强的可预测性。所以在运营商大网这种开放的网络中部署SDN/NFV的难度相对高一些。但运营商也逐步在网络中引入SDN/NFV,同时进行大量试点工作。
在企业网中,大量使用的VPN网关也可以通过NFV功能来实现。最典型的是公有云VPC业务,通过在x86架构的虚拟机上部署防火墙、VPN网关等,将企业网络扩展到公有云中,为企业进行统一的网络管理,包括网络配置、安全策略、管理策略等。通过部署QoS、WAN优化等提供一致的业务体验。这不仅可以让企业员工通过VPN安全、快捷地访问公有云,而且企业公有云和私有云二层安全互联,实现资源统一管理、动态调配、应用灵活部署和自由迁移。
在IDC的一项面向全球CIO的调查中显示,NFV服务中他们最感兴趣的是SSL VPN(63.5%),紧随其后的是虚拟化/云VPN(55.2%)、基于云计算的安全web网关(45.3%)和基于云计算的IPSEC VPN网关(43.2%)。
从CIO的角度来看,NFV的服务特性可以很好地适应亚太地区分散的网络格局。此外,NFV使企业能够通过统一的在线入口实现对不同位置分支网络进行网络服务的实时激活和配置,消除了“一个位置、一个设备、一个服务”的模式。
目前阶段,运营商主要关注SD-WAN,运营商能够促进客户多个三层VPNs(用于隔离)的销售,并能为企业提供隔离和端到端的网络加密。安全和隔离的集成正在成为许多行业如金融服务和医疗健康的要求 ,促进政企客户的销售。根据数据显示,在1437名被调查对象中有54%的企业因其成本低廉而考虑部署SD-WAN。
在校园网中,Openflow的概念最早就是用于校园网络的试验创新,现阶段校园网更多关注Openflow交换机和云平台产品和方案。校园网解决方案需要充分考虑对现网设备的兼容和利旧,提供平滑演进的解决方案。在设备层面,提供一机双平面,使得设备既可以处理传统网络业务,也可以处理SDN业务,既与传统网络联合组网,也可以与SDN网络联合组网,保证其平滑演进。同时,在协议层面,建议采用Agent的方式兼容不同的Openflow协议版本,兼容不同的SBI协议接口,使设备可以通过简单的软件适配满足不同的协议要求和演进要求,充分保护网络投资。
vCDN
CDN服务通常部署在靠近网络边缘的内容缓存上,以改善用户业务体验质量。目前,CDN提供商、运营商利用高速缓存技术,使用专用的硬件为用户提供这种服务。由于硬件资源的设计为高峰时满负荷,这些缓存资源在生命周期内大多数时间未能得到充分利用。并且在当前的部署方案中,不同服务商部署的CDN节点都是独立的,整体容量的使用效率不高,尤其是对于潮汐现象,利用率非常低。
随着终端用户尤其是智能终端的普及,以视频为首的内容提供成为了网络服务提供商的业务主增长的重点。而视频流量的大幅增长,对用户体验也提出了更高的要求,CDN随之水涨船高。在CDN上使用NFV技术,可针对CDN控制器,也可针对Cache进行。通过在邻近终端用户侧数据中心的x86通用服务器上执行相关VNF,实现Cache的功能,从而实现资源的高效利用,保证用户体验。
利用和部署NFV实现虚拟化缓存,底层硬件资源可以被合并,并在多个供应商的CDN缓存和其他的VNFs中实现动态共享,从而有效提高缓存资源的使用率。
本文转自d1net(转载)