家庭場景網關功能虛擬化技術探討

王世光　中國移動通信研究院中級工程師

張德朝　中國移動通信研究院高級工程師

王磊　中國移動通信研究院高級工程師

李晗　中國移動通信研究院教授級高級工程師

家庭場景網關功能虛擬化技術探討

王世光中國移動通信研究院中級工程師

張德朝中國移動通信研究院高級工程師

王磊中國移動通信研究院高級工程師

李晗中國移動通信研究院教授級高級工程師

對家庭場景網關功能虛擬化需求以及實體網關與虛擬網關的功能劃分、L2層隧道方案等關鍵技術進行了深入探討，并給出了虛擬化網絡架構及未來發展方向的思考。

網關功能虛擬化；VCPE；S-CPE；實體網關；虛擬網關

1　引言

目前，網關功能虛擬化在國際和國內標準方面均有一定的進展。在國際標準方面，2016年7月寬帶論壇BBF（Broadband Forum）已經將WT-317白皮書轉為TR-317技術標準，明確了網關虛擬化架構由實體和虛擬網關組成，其中的實體網關為橋接設備，虛擬網關支持IP尋址、IPv6、NAT、ALG和DLNA增值業務等要求，實體網關與虛擬網關之間采用L2層隧道。在國內標準方面，中國通信標準化協會（CCSA）于2015年1月完成網關虛擬化第1部分——總體技術要求的報批稿，網關虛擬化架構與BBF的定義類似，但實體網關明確為兩種模式，一種是將三層轉發和三層以上功能上移到虛擬網關，在實體網關上僅保留二層功能和部分簡單三層功能；另一種是將管理、控制功能上移到虛擬網關，在實體網關上僅保留數據轉發和相關的二、三層功能。雖然網關功能虛擬化已初步進行標準化制定，但目前其現狀是仍處于技術研究階段，現有標準化要求還難以滿足運營商各應用場景需求，網關功能虛擬化技術方案仍存在著較大不確定性，甚至有一種觀點認為網關功能虛擬化架構與智能網關的發展思路相互矛盾。網關功能虛擬化產業應用尚未啟動，僅有少數廠家針對部分應用場景做過技術演示。本文立足于網關功能虛擬化需求，對網關功能虛擬化的L2隧道、實體網關與虛擬網關功能劃分、實體網關形態、虛擬網關定位等方面進行了深入分析，探討了網關功能虛擬化技術實現方案。雖然企業網關功能要求相對更復雜，但網關功能虛擬化架構在家庭場景應用將更有規模和價值，本文重點探討家庭場景下的網關虛擬化需求和關鍵技術。

2　網關功能虛擬化需求

2.1以強大的網絡側資源能力實現傳統CPE難以部署的新業務

面向家庭場景的傳統CPE設備受限于成本因素，滿足寬帶上網、VoIP和IPTV等業務發展需求時，其硬件資源能力配置相對有限，目前典型的CPE硬件配置如CPU400MHz、內存和Flash64M或128MBytes。隨著業務類型不斷豐富，特別是面向如深度包檢測（DPI）、增強防火墻等對設備資源消耗較多的功能引入，簡單地依靠增強CPE硬件能力增加新功能和適應新業務的方式難以為繼。網關功能虛擬化以集中化且強大的通用硬件代替原來僅依靠CPE個體有限硬件的方式，將對設備資源占用較多的功能通過NFV在網絡側實現，這種部署方式使得對復雜DPI等新功能和業務的引入更容易且更經濟。

2.2以虛擬化網絡功能代替用戶側硬件設備

運營商在發展家庭寬帶時，會提供CPE（家庭網關）設備作為寬帶接入設備，也會提供機頂盒用于發展視頻業務、物聯網終端用于做智能家居業務、PLC終端和WLANAP用于擴展家庭內部通信等，每增加一個新業務都可能需要增加或替換一個新盒子。在網關功能虛擬化架構中，傳統CPE側的功能和業務實現可通過網絡側虛擬設備以所謂的“業務鏈”（ServiceChain）實現。如圖1所示，現有模式以增加下掛設備擴展新業務，網關功能虛擬化架構則以增加軟件模塊功能擴展新業務，如此可實現業務快速部署、硬件盒子成本降低，同時虛擬設備以開放式架構可引入更多業務提供商，從而帶來一種全新的商務模式。

圖1　虛擬化網絡架構與傳統CPE在硬件盒子功能方面的差異

2.3為現網存量FTTH型ONU擴展新的網絡功能

伴隨國內FTTH規模發展，運營商已部署了大量的SFU和HGU設備，近年也開始規模部署智能網關，考慮到成本和業務需求，存在短期設備內難以替換與新功能需求增加之間的矛盾。網關虛擬化架構應考慮兼容現網中大量的存量FTTH型ONU設備，為存量SFU設備通過網絡側設備提供網關功能、智能化功能和虛擬化的優勢網絡功能，為存量的HGU設備通過網絡側設備提供智能化功能和虛擬化的優勢網絡功能，為存量的智能網關設備提供虛擬化的優勢網絡功能。網關虛擬化技術在不需要更換現有SFU、HGU和智能網關設備的情況下為用戶提供更多新功能和業務提供了可能性。

3　網關虛擬化關鍵技術

網關虛擬化架構能夠發揮網絡側資源能力優勢，以NFV實現業務快速部署，同時可增強存量設備的網絡功能，值得產業各方深入研究和推動應用。實現網關虛擬化架構，需明確其實體設備與虛擬設備功能劃分、L2隧道等關鍵技術方案。

3.1實體網關與虛擬網關功能劃分探討

第二，追慕士僧交往的風流雅調。 這主要有三類，或追慕王士禎、朱彝尊、查慎行等名士與智樸的交際； 或慨嘆畫卷歷經百年，諸老風流，墨跡猶在； 或追慕并憧憬時人及后人續題，對此畫卷仰慕至極。

實體網關P-CPE與虛擬網關S-CPE的功能劃分結果將決定網關虛擬化架構和業務流程流向。面向各類家庭應用場景，P-CPE與S-CPE的功能劃分建議如表1所示。對于存量SFU應用場景，S-CPE應支持三層轉發、NAT、DHCP、基于IP地址的QoS等網關功能，配合現有SFU設備在不更換用戶設備的情況下實現網關功能增強，同時S-CPE應在網絡側基于云架構實現SFU的智能化功能增強。對于存量HGU應用場景，S-CPE應支持智能化功能并配合現有HGU滿足用戶業務擴展需求。該場景下有兩種應用模式，一是將部分網關功能上移至S-CPE實現，此時HGU可采用橋接工作模式；二是S-CPE不支持傳統網關功能，該部分功能由HGU支持，建議優選該方式。對于智能網關應用場景，S-CPE應支持智能網關僅靠用戶側設備難以實現的網絡功能和業務，關于網關功能部分的兩種應用模式與HGU類似。不考慮兼容運營商現網已有設備，面向理想的網關功能虛擬化架構，應設置P-CPE與S-CPE更加合理的功能劃分，此應用場景可能需要一種在SFU設備基礎上增強功能同時又融合智能網關智能化理念的一種新的P-CPE設備形態。

3.2L2隧道方案

表1　各類家庭場景下P-CPE與S-CPE的功能劃分建議表

P-CPE與S-CPE之間建立L2隧道，可以直接將去往S-CPE的業務穿通三層網絡送到S-CPE。L2隧道技術涉及到的兩個主要問題：一是L2隧道在哪些設備之間建立；二是是否所有業務流都要送往S-CPE。從用戶側到網絡側的上行方向考慮，S-CPE為L2隧道的終點，以隧道起點不同的角度進行區分，隧道建立有3種可行的方案：P-CPE與S-CPE之間建立隧道，OLT與S-CPE之間建立隧道，BRAS與S-CPE之間建立隧道（見圖2）。

對于P-CPE支持隧道的方案，由于現有SFU、HGU和智能網關設備多數不支持，需定義一種新形態的P-CPE設備；對于OLT支持隧道的方案，通常作為L2層設備的OLT支持部分三層和隧道功能還需要進行驗證，現網OLT設備需要進行升級或改造；BRAS支持隧道的方案，對現有接入網沒有改變，現網BRAS設備已支持隧道功能（如VxLAN）。建議BRAS與S-CPE之間建立隧道，現有SFU、HGU和智能網關設備不需要額外要求即可滿足網關虛擬化架構，由BRAS設備進行VLAN和隧道標識（如VxLAN）之間的轉換，PON接入網設備仍可維持現有的VLAN規劃方式。

圖2　L2隧道各種方案示意圖

S-CPE作為邊緣數據中心的一部分，部署位置一般比BRAS更高。網關虛擬化架構一方面可發揮S-CPE的業務處理優勢，另一方面也應避免沒有處理價值的業務進入S-CPE并消耗其資源，也就是說并非所有業務都要送往S-CPE。對應于L2隧道方案，在BRAS設備建立L2隧道之前，由BRAS設備先完成業務分流，將可帶來增值價值的互聯網業務、自有業務或第三方業務等通過流分類進入L2隧道并由S-CPE進行處理，VoIP、IPTV或互聯網視頻業務等難以增值的業務通過流分類不進入L2隧道。對于是否需要進入S-CPE的業務在BRAS設備進行流分類之前，建議由P-CPE以VLAN進行業務標識，可采用物理端口、MAC 或IP地址等方式進行區分。

3.3網關虛擬化網絡架構

網關虛擬化架構由用戶側的實體網關P-CPE和網絡側的虛擬網關S-CPE組成，P-CPE與S-CPE共同配合完成網關的整體功能（見圖3）。在BBFTR-317標準中定義了網絡增強家庭網關（NERG），由用戶側橋接型CPE、網絡側的虛擬化網關以及位于兩者之間的邏輯用戶鏈路（LSL）組成。LSL需穿通L3層網絡的要求，并建議CPE須支持VxLAN等隧道技術，但實際上現有CPE設備要么不支持VxLAN隧道，要么支持但對設備資源消耗較大，為此需要定制新型CPE芯片，即P-CPE是一種不同于SFU和HGU等已有設備的新設備形態。與此理念不同的是，我們認為P-CPE可以是一種全新的設備形態，也可以是SFU、HGU和智能網關等存量設備形態，短時間內更重要的是解決運營商大量存量設備的網絡功能增強問題。

網關功能虛擬化架構中的虛擬設備S-CPE建立在通用硬件之上，S-CPE中存在一個邏輯模塊與P-CPE形成一對一或一對多的關系。S-CPE應實現傳統CPE的部分功能虛擬化，例如NAT、DHCP等功能；同時，應增強傳統CPE的部分功能，例如防火墻、家長控制等功能。S-CPE不應只實現單純的網絡功能虛擬化，更重要的是和P-CPE協同實現與業務緊密結合的功能。S-CPE應實現的業務有待進一步深入研究，目前看家長控制和家庭安防業務是明確的業務需求。S-CPE的功能宜進行合理設置并以不同的NFV單元實現，從而實現家庭場景下S-CPE對用戶的各類業務經過不同NFV單元的靈活處理，以及S-CPE與SFU、HGU、智能網關、新設備形態等各類不同P-CPE配合實現相似的網絡功能和業務處理?？傮w上說，S-CPE應更側重于業務提供能力實現，這也是我們把網關虛擬化架構中網絡側虛擬設備稱為S-CPE的主要原因。

圖3　網關虛擬化網絡架構

在網關虛擬化架構中，BBF TR-317定義P-CPE設備為橋接設備。實際上，由于要考慮兼容已有HGU、智能網關等網關類設備的存量應用，P-CPE設備類型已經不全是純橋接設備，此時的問題是網關虛擬化架構中的P-CPE是否只能工作在橋接模式下。P-CPE在橋接模式下的優點是可將P-CPE LAN側呈現給網絡側S-CPE，S-CPE可識別到用戶家庭中每個終端的MAC地址，從而可以在網絡側為用戶區分終端提供更有針對性的業務。首先，可以明確的是并不是為用戶提供的所有業務都需要區分家庭終端，例如用戶行為分析、防火墻等；其次，對于家長控制等需要區分用戶家庭終端的業務，S-CPE依靠MAC地址識別用戶家庭終端的方法并不會總有效，當用戶家庭終端通過用戶自己部署的無線路由器等L3層設備接入到P-CPE時，S-CPE將無法看到家庭終端MAC地址；最后，即使P-CPE工作在路由模式下，S-CPE還可通過應用層識別用戶家庭終端，這種方式不會因用戶家庭內組網而造成應用受限。因此，在網關虛擬化架構中，P-CPE可以為橋接類設備也可以為路由類設備。

4　結束語

網關功能虛擬化并不僅僅局限于對傳統網關功能的虛擬化，借助于網絡側S-CPE強大的資源能力在提供傳統網關難以實現的功能的同時，還應具備豐富的業務提供能力；網關功能虛擬化并不僅僅局限于設計新技術架構和引入新設備，還應考慮兼容現網已部署的SFU、HGU和智能網關等存量設備；網關功能虛擬化并不僅僅局限于如何實現相對固定的網關功能，還應引入智能網關的理念實現網關功能虛擬化和智能化融合發展。

網關功能虛擬化能夠延長用戶側設備使用壽命，通過網絡側S-CPE功能增強以提供新功能和新業務，實現快速引入業務并縮短業務提供時間，通過向用戶和第三方開放網絡能力催生新的商務模式，網關功能虛擬化具有明顯優勢的實用價值。目前，網關功能虛擬化標準化已取得初步進展，產業及應用也處于萌芽階段，運營商、設備商和標準化組織仍然需要密切合作和深入研究，明確并解決網關虛擬化架構中其他更多且具體的問題，共同推進網關虛擬化技術驗證和商用推廣。

［1］BBF TR-317.Network Enhanced Residential Gateway，2016，7.

［2］CCSA.基于公用電信網的寬帶客戶網關虛擬化第1部分：總體要求［S］.2015，1.

Discussion about the function virtulization technologies of residential gateways

WANG Shiguang，ZHANG Dechao，WANG Lei and LI Han

The requirements for the function virtulization of residential gataways and the key technologies such as L2 layer tunneling scenarios and function division between physical and virtual gateways are discussed，and also the architecture of gataway function virtulization as well as its evolution are proposed.

gataway function virtulization；virtul customer premise equipment；service customer premise equipment；physical gateway；virtual gateway

2016-08-28）