基于SDN和NFV的業務鏈管理系統研究

中國聯通研究院 北京 100032

引言

數據報文在網絡中傳遞時，需要經過各種各樣的業務節點，才能保證網絡能夠按照設計要求，提供給用戶安全、快速、穩定的網絡服務。網絡流量按照業務邏輯所要求的既定的順序經過這些業務節點(包括防火墻、DPI、負載均衡器、應用加速器等)就是業務鏈(Service Chain)。業務鏈可以理解為一種業務形式。

1 業務鏈系統需求分析

1.1 傳統業務鏈系統的問題

以Gi-LAN環境下的業務鏈系統為例(如圖1所示)，由一系列業務節點(視頻優化、WEB優化、NAT、Firewall等)經過物理網線串行連接起來，接入到網絡的特定位置，為用戶的業務流量提供相應服務。這些業務節點稱為網絡中間件設備(Middle Box)，通常是專用的硬件設備，價格昂貴。用戶的業務流量依次經過每一個網絡中間件，即使沒有此中間件的處理需求，由于中間件拓撲固定，也要經過此節點的處理。

業務鏈系統在Gi-LAN、云計算數據中心、接入網絡等有大量的應用場景[1-2]，但是傳統業務鏈系統采用專用的硬件設備，拓撲固化，導致存在一系列亟待解決的問題。1)網絡中間件采用專用的硬件設備，所以即使只有很小的業務需求也必須采購一臺設備，造成初期投入成本較高。2)各個網絡中間件以串行、固定順序的方式接入到網絡中，導致對網絡中間件有順序要求的業務無法靈活滿足，擴展性差。3)配置復雜，任何一個業務對網絡中間件的需求變更都需要手動進行相關配置，甚至要對整個業務鏈上的每個中間件進行配置改動。4)所有的業務流量必須經過每個網絡中間件的處理，造成資源浪費、轉發效率低下。5)可靠性低，業務鏈中任何一個網絡中間件出故障都將導致整個業務鏈不可用。

圖1 Gi-LAN環境下的傳統業務鏈系統

1.2 SDN的需求

SDN(Software Defined Network，軟件定義網絡)的概念由美國斯坦福大學提出。其核心思想將網絡設備的控制平面(control plane)從數據平面(data plane)中分離出來，并讓控制邏輯以軟件方式運行于邏輯上獨立的控制環境。這個架構可以讓網絡管理員，在不改動硬件設備的前提下，以中央控制方式，用程序重新規劃網絡，為控制網絡流量提供了新的方法，也提供了核心網絡及應用創新的良好平臺。SDN技術分離數據和控制平面，通過部署標準化網絡硬件平臺，使得許多網絡設備中的軟件可以按需安裝、修改、卸載，而變身為運營商需要的設備，實現業務擴展。SDN的本質是邏輯集中控制層的可編程化。

SDN不是一種具體的網絡技術，而是一種網絡架構的思想，其核心特征有三個。1)轉發和控制分離。網絡的智能由轉發設備全部匯聚到控制設備，控制設備生成相應的轉發表項下發的轉發設備，轉發設備只需要根據轉發表項進行相應轉發動作。2)集中的軟件控制。整個網絡只有一個邏輯的控制單元(物理上可以是集群方式部署)，其他部分只需要接受控制單元的指令進行相應的轉發。控制單元由軟件實現，后續只需要對軟件進行更新升級即可支持新的網絡業務。3)開放的編程接口。網絡應用程序通過統一的編程接口，對網絡的集中控制軟件進行控制。

SDN技術應用于業務鏈系統的優勢在于。1)靈活性。采用SDN架構，無需把網絡中間件串接在一起，通過軟件可以靈活改變數據流量轉發的路徑、業務鏈的創建及更改，無需考慮物理連接的限制。2)擴展性。當業務需求增加需要對業務鏈進行擴展加入更多網絡中間件時，只需要把新加入的網絡中間件接入到網絡中，通過SDN控制器下發相應的轉發表項即可。3)簡化配置管理。SDN使用集中的軟件控制器管理整個SDN網絡，業務鏈配置更新時無需對每一臺網絡中間件手動配置，簡化配置的同時也減少手工配置出現誤操作的概率，可以大大提高網絡管理的效率。4)提升轉發效率。采用SDN后無需使用固定的網絡拓撲，業務流量只需要經過必要的網絡中間件處理，因此，可減輕網絡中間件的轉發負擔，減少網絡延時。5)可靠性。由于無需采用串行的物理網絡連接，單個網絡中間件出現故障后不會導致整個網絡的通信中斷。

1.3 NFV的需求

NFV(Network Function Virtualization，網絡功能虛擬化)是通過使用X86等通用性硬件平臺以及虛擬化技術來承載很多的網絡功能化軟件，從而降低網絡昂貴的設備成本。NFV技術可以通過軟硬件解耦及功能抽象使網絡設備功能不再依賴于專用硬件，使資源可以充分靈活共享，實現新業務的快速開發和部署，并基于實際業務需求進行自動部署、彈性伸縮、故障隔離和自愈等[3]。

傳統網絡的業務鏈和網絡拓撲緊密耦合、部署復雜，在業務鏈變更、擴容時都需要改動網絡拓撲、重新進行網絡設備的配置。而NFV環境廣泛使用虛擬化技術，具有動態性、高流動性、規模易變化、多租戶等特點，傳統網絡的業務鏈無法滿足這些需求。利用NFV技術把網絡中間件虛擬化后，可以使網絡部署更加靈活，不受物理拓撲的限制，同時，也滿足云計算環境下資源的彈性擴展、伸縮的需求。

與使用物理網絡中間件設備相比，NFV的優勢有如下幾點。1)更高效。使用物理網絡中間件實現業務鏈時，必須按照業務的峰值需求來配置物理網絡中間件，而NFV可以根據業務需求的變化進行彈性伸縮。2)更可靠。使用物理網絡中間件時，必須用專用硬件來備份，而NFV可以利用統一的硬件資源池來提供備份。3)更靈活。物理網絡中間件的升級必須依賴硬件的升級，而NFV只需要升級軟件即可實現。4)降低運維復雜性。物理網絡中間件場景下，每一個物理網絡中間件都有單獨的配置界面，分別管理，而NFV可以進行統一管理。5)增強可復制性。物理網絡中間件場景下，想把一個正常運行的系統復制到另一個系統中需要重新部署，而NFV可以很方便的直接把整個系統復制過去，立即投入使用。

2 基于SDN和NFV的業務鏈系統架構

2.1 系統總體架構

基于SDN和NFV的業務鏈系統總體架構如圖2所示。系統的主要功能組件如下。

1)業務鏈管理系統接口。用于對業務鏈系統進行管理、控制以及portal、API等與用戶的接口，用戶可以直接通過GUI的方式對業務鏈進行創建、修改、刪除等操作，也可以通過系統提供的API接口對業務鏈進行操作。

2)策略控制器。用于接收用戶的指令，來制定業務鏈策略，比如流量的分類策略、業務鏈順序策略等。策略控制器一方面把流分類策略下發到流分類器；另一方面根據用戶設置的業務鏈，把業務鏈相關信息下發到SDN控制器，從而控制業務流量的走向。

3)SDN控制器。在圖2中以集群的形式存在，與策略控制器交互，把用戶制定的業務鏈策略轉換為具體的轉發表項，并下發到連接虛擬網絡中間件的SDN交換機中。通過SDN的集中控制，可以靈活指定業務流量的路徑，實現業務鏈的具體流量轉發。

4)流分類器。根據策略控制器下發的策略，對進入業務鏈網絡的業務流量進行分類，并進行標識。對業務流量進行標識有多種方式，可以在報文中新加入標識字段，也可以利用報文中原有的字段，如VLAN ID、IP地址等。

5)SDN交換機。支持SDN協議的交換機，如openflow、Netconf等。接受SDN控制器的統一管理，根據SDN控制器下發的轉發表項進行流量轉發。SDN交換機可以是軟件交換機，也可以是實體的物理交換機，可以是一臺，也可以是多臺，根據實際網絡環境而定。

6)網絡中間件。圖2中以防火墻、視頻加速器、NAT設備為例，業務鏈中可以根據業務需求加入各種網絡中間件，連接到SDN交換機的相應端口，處理來自SDN交換機轉發的業務流量。網絡中間件可以是NFV化的虛擬設備，也可以是物理設備，本文提到的是NFV化的虛擬設備，可以根據業務需要靈活進行擴展，共享硬件資源池。

圖2 基于SDN和NFV的業務鏈系統總體架構

圖2示例中有3個業務鏈，分別處理3個數據流，代表3種不同的業務。數據流1經過防火墻處理；數據流2經過防火墻、視頻優化器、NAT設備處理；數據流3經過防火墻和NAT設備處理。其中防火墻、視頻優化器和NAT設備都是NFV的虛擬網元，可以根據需要，部署在同一臺物理服務器或者多臺服務器上，這些虛擬網元由底層的硬件資源池統一提供資源，接受統一的調度及管理，可以根據業務需要進行彈性伸縮。

基本的業務流程為：管理員通過業務鏈管理系統接口配置業務鏈策略；策略控制器把業務鏈策略下發給SDN控制器集群，同時，策略控制器把流分類策略下發給流分類器；SDN控制器有所有的網絡拓撲信息，把業務鏈策略轉換為轉發表項下發到相應的SDN交換機；流量進入業務鏈網絡時先經過流分類器，流分類器根據預先下發的分類策略對流量進行分類并標識，把業務流量轉發到SDN交換機；SDN交換機根據SDN控制器下發的轉發表項對業務流量進行轉發，送到相應的網絡中間件處理；網絡中間件對進入的業務流量進行處理后，把業務流量發送回SDN交換機；業務鏈上的所有網絡中間件對流量處理完成，業務流量被轉發出業務鏈網絡。

2.2 關鍵技術

2.2.1 數據轉發層面的分層技術

基于SDN技術的業務鏈系統的最大優勢在于物理網絡拓撲的無關性和業務流量轉發的靈活性，之所以能做到此特性，在于使用分層的網絡轉發技術。在分層的網絡轉發架構下，物理傳輸網絡與傳統網絡架構類似，主要任務是保證網絡的可達性。與傳統網絡架構的區別在于，在物理網絡傳輸層之上，基于SDN構建的虛擬網絡層。基于SDN的業務鏈系統正是使用虛擬網絡層，才能保證拓撲的靈活性以及轉發路徑的靈活選擇。

使用分層的網絡技術，還可以使虛擬網絡層和底層物理傳輸網絡解耦，對虛擬網絡層的改動不會影響到底層的物理網絡，而且不同用戶可以使用不同的虛擬網絡，用戶之間做到網絡隔離，不會相互影響。

網絡分層技術的基本原理是不改變底層物理網絡，在需要網絡分層的起點網絡設備處把數據報文進行兩層封裝，外層封裝用于穿越底層物理網絡，內層封裝用于底層物理網絡之外的轉發，在網絡分層終點處把兩層數據報文解封裝，根據內層報文進行數據轉發。業務鏈系統更常用的網絡隧道封裝是在IP網絡上承載二層數據報文，常用的隧道協議有VxLAN、NVGRE、STT等。

網絡分層技術有兩種主流的實現方案：軟件方案和軟硬件結合方案。其區別是在何處進行兩層報文的封裝和解封裝。軟件方案在虛擬軟件交換機處進行報文的封裝和解封裝，其優勢在于不依賴底層的物理設備，部署靈活、擴展性強。軟硬件結合方案是在支持隧道協議的硬件網絡設備處進行兩層報文的封裝和解封裝，其優勢是轉發性能高，不占用計算服務器的網絡資源。

2.2.2 NFV網絡中間件的性能

NFV使用通用的硬件設備(如X86服務器、交換機)來承載傳統專用硬件網絡設備實現的網絡中間件，把網絡功能用虛擬化的軟件來實現，以達到部署靈活、擴展性強、成本低的優勢。通用硬件設備在網絡性能方面和專用硬件網絡設備比還有差距。目前，業界也出現了大量提升通用硬件設備網絡性能的新技術。

SR-IOV(單根輸入輸出虛擬化)是PCI-SIG提出的規范，是一種基于硬件的虛擬化解決方案，可提高性能和可伸縮性。SR-IOV標準允許在虛擬機之間高效共享PCIe設備，并且它是在硬件中實現的，可以獲得能夠與本機性能媲美的I/O性能。通過SR-IOV技術，單個I/O資源可由許多虛擬機共享。共享的設備將提供專用的資源，并且還使用共享的通用資源。這樣每個虛擬機都可訪問唯一的資源；因此，啟用了SR-IOV并且具有適當的硬件和OS支持的PCIe設備(例如以太網端口)可以顯示為多個單獨的物理設備，每個都具有自己的 PCIe配置空間。SR-IOV的優點在于：1)高性能，虛擬機可以直接訪問硬件IO，不需要通過虛擬化層再轉換；2)降低成本，包括節能、減少網絡接口、簡化布線、節省交換機端口等。

DPDK是X86平臺報文快速處理的庫和驅動的集合，大多數情況下運行在linux的用戶態空間。它主要利用以下幾個方面的支持特點來優化報文處理過程，從而加快報文處理速率。1)使用大頁緩存支持來提高內存訪問效率。 2)利用UIO支持，提供應用空間下驅動程序的支持，也就是說網卡驅動是運行在用戶空間的，減少了報文在用戶空間和應用空間的多次拷貝。 3)利用LINUX親和性支持，把控制面線程及各個數據面線程綁定到不同的CPU核，節省了線程在各個CPU核來回調度。4)提供內存池和無鎖環形緩存管理，加快內存訪問效率。

通過使用SR-IOV、DPDK等網絡性能加速技術，使用NFV技術的軟件中間件可以達到與專用硬件設備相媲美的性能，推進了業務鏈系統向NFV方向的改造。

3 業務鏈系統應用場景

業務鏈系統在運營商的多個網絡場景下有大量應用，目前應用較多的場景主要有以下3點。

1)云計算數據中心場景。業務鏈系統為數據中心租戶提供有序的、多網絡中間件的業務鏈處理。云計算數據中心的特點是多租戶共存，每個租戶對網絡中間件的需求差異較大，因此需要業務鏈系統具有靈活部署、擴展性強的特點[4-5]。

2)Gi-LAN場景。互聯網時代的到來帶來移動通信數據流量的爆發式增長，在Gi-LAN處運營商需要應對數據流量的沖擊以及大量用戶的個性化需求，業務鏈系統不僅需要靈活調度、彈性伸縮，還需要針對用戶的數據流量進行精細化、細粒度的流量管理[6-7]。

3)接入網場景。接入網同樣是多用戶、大數據量的應用場景，使用業務鏈系統給用戶提供不同的應用需求，而且用來對流量進行集中處理以減輕傳統邊界網關的流量壓力[8-10]。

4 總結

本文通過對傳統業務鏈系統的分析入手，指出了目前業務鏈系統存在的問題以及業務鏈系統對于SDN/NFV架構的需求。隨后研究了基于SDN/NFV技術的業務鏈系統的優勢，系統的總體架構以及主要功能組件。基于SDN/NFV技術的業務鏈系統要在現網環境落地應用必須解決幾個關鍵技術問題：網絡分層技術的選擇、虛擬化網絡性能的提升等。最后對基于SDN/NFV技術的業務鏈系統的需求場景進行了介紹。

目前SDN/NFV技術應用于業務鏈系統成為業界廣泛研究的課題，多個標準組織也做了相應的驗證。運營商多個應用場景對業務鏈系統有迫切的需求，必須結合實際的應用需求，對傳統業務鏈系統進行改造，找出適合自己的技術架構。

參考文獻

[1] 劉鵬.云計算[M].北京:電子工業出版杜,2010

[2] 孫鑫.面向云環境數據中心的高效資源調度機制研究[D].北京,2012

[3] Michael stephens ten trends & Technologies for 2009[EB /OL].(2009-12-12)[2016-02-15].http: / /tametheweb.com/2009 /01 /12 / ten-trendstechnologies-for-2009

[4] AmazonElasticComputeCloud[EB/OL].[2016-02-15].http//laws.amazon.com/ec2/

[5] 薛淼,符剛,朱斌,等.基于SDN-NFV的核心網演進關鍵技術研究[J].郵電設計技術,2014:16-22

[6] 李素粉,董暉,房秉毅,等.面向云化EPC資源的移動CDN融合架構研究[J].電信科學,2014:27-32

[7] Koponen T, Amidon K, Balland P, et al.Network Virtualization in Multi-tenant Datacenters. VMWare TR-2013-001E, 2013

[8] Jain S, Kumar A, Mandal S, et al. B4: experience with a globally-deployed software defined wan[C]//Proc. of ACM SIGCOMM, 2013

[9] Service Function Chaining[EB/OL].[2016-02-10].https://datatracker.ietf.org/wg/sfc/documents/

[10] Qazi Z A, Tu C, Chiang L, et al. SIMPLE-fying middlebox policy enforcement using SDN[C]//Proc. of ACM SIGCOMM, 2013