面向中小企業的隨選網絡架構及關鍵技術

張園

?

面向中小企業的隨選網絡架構及關鍵技術

張園

（中國電信股份有限公司北京研究院，北京 102209）

隨選網絡主要基于SDN、NFV和云技術，實現網絡的軟化、自動化、智能化以及為用戶提供按需配置網絡的能力，重點論述了隨選網絡的架構和關鍵技術，通過引入協同編排器來編排SDN、NFV網絡和云資源，通過引入SD-WAN的overlay技術快速建立網絡通路，并提出了面向中小企業的隨選網絡的四大應用場景。隨選網絡可以為客戶提供“可視”“隨選”“自服務”的全新網絡體驗。

隨選網絡；SDN；NFV；云計算；編排器

1 引言

AT&T在2014年宣布了隨選網絡（network on demand）計劃，并在2017年底形成四大類產品，具體介紹如下。

? ? 隨選交換以太網（switched ethernet on demand）：用戶可在線增加、配置以太網專線，調整接入帶寬。

? ?隨選互聯網接入（managed internet on demand）：用戶可在線增加、配置互聯網接入專線，調整帶寬，并修改路由、防火墻策略等。

? ? 網絡功能隨選（flexware device and application）：用虛擬化的CPE接入用戶，在網絡邊緣，在x86服務器上，加載防火墻、流量管理等功能，用戶可以通過門戶網站自行選擇需要的網絡功能，并通過虛擬化技術快速加載。

? ? 隨選VPN（virtual private network on demand）：用戶可在線增加、配置VPN連接和拓撲，并調整帶寬和QoS。

據悉AT&T在2017年底已經可以在171個地區提供隨選交換以太網和隨選互聯網接入的服務，在150個國家提供網絡功能隨選的服務。

中國電信在2016年7月11日發布了CTNet 2025網絡重構計劃，并提出了到2025年實現80%網絡功能虛擬化、規模化地提供隨選網絡服務和部署新一代運營系統的三大目標，中國電信在2017年8月1日網絡重構一周年的成果發布上，發布了《面向中小企業的隨選網絡白皮書》，隨選網絡服務就是基于SDN、NFV和云技術，為企業用戶提供快速接入Internet、快速上云以及多站點互聯等需求，同時還能夠提供防火墻、流量管理等虛擬化的網絡功能，客戶可以通過自服務門戶，進行網絡帶寬、云資源和網絡功能自助選擇。

2 隨選網絡的功能架構

隨選網絡主要采用SD-WAN技術，以軟件定義的方式快速建立端到端WAN路徑，滿足客戶需求。為了滿足企業客戶快速上云的需求，隨選網絡系統將網絡節點延伸至云數據中心，可以實現云網一站開通、云間互聯等云網協同服務。隨選網絡同時利用NFV和云技術，對WAN的場景進行網絡功能的虛擬化，管理并開放虛擬化的網絡功能，實現用戶根據業務需求定制和選擇網絡。隨選網絡通過門戶網站向企業客戶開放連接自定義的網絡能力，提供業務隨選、一站式訂購、敏捷開通的云網融合服務，即網+云+SaaS應用。

面向小中小企業的隨選網絡的主要特點如下。

（1） 通過電商化的自服務門戶，為客戶提供自助服務

客戶可以通過自服務門戶，選擇企業所需的多站點互聯或者上云的需求，通過自服務門戶選擇CPE設備和節點數量，下單付款，運營商將CPE快遞給客戶，客戶通過掃碼完成CPE的激活，并通過門戶實現網絡的簡單配置，實現企業互聯專線、上云專線以及云資源的快速開通。

（2） 靈活配置，按需調整帶寬和路由

中國電信具有163和CN2精品網絡等多張傳送網，客戶可以根據業務需求通過自服務門戶靈活地選擇和配置網絡帶寬和路由質量。一些高等級數據可以通過CN2精品網絡進行承載，保障業務質量，普通的數據業務可以采用互聯網承載，平衡企業的成本。如需承載視頻會議等高帶寬的業務需求，可以臨時調整接入帶寬。

（3） 根據需求快速加載防火墻等增值業務

隨選網絡在VPN快速開通和靈活配置的基礎上，還集成了云和NFV技術，在智能園區等場景下，可以提供防火墻、DPI等增值業務的快速加載和靈活配置。企業管理員可以通過自服務門戶自定義防火墻的訪問控制列表，滿足企業的增值業務需求。

（4） 云網的一站式訂購和云接入服務

面向中小企業的互聯網專線和云的服務需求，隨選網絡系統可以提供云和網的一站式訂購，通過協同編排器和SDN控制器保證專線通道與云業務同步開通。可以提供具有安全保障的云接入服務，不同云服務提供商之間的互聯以及計算、存儲等云計算資源。

隨選網絡系統由客戶自服務門戶、協同編排器、SDN控制器和CPE、vCPE組成。具體功能架構如圖1所示。

圖1 隨選網絡的功能架構

客戶自服務門戶作為客戶的入口，供企業客戶、客戶經理和網絡運維人員使用。客戶可以通過門戶訂購、查詢、更改、刪除業務，激活隨選網絡設備；還可以通過門戶網站自主定義上下行網絡帶寬、QoS、二層或者三層隧道，所需的計算和存儲等云資源以及防火墻、DPI等虛擬化的網絡功能。在用戶完成業務訂購后，門戶和協同編排器通過RESTful接口互通，將業務請求下發到網絡。客戶經理通過門戶查看相關客戶的業務訂購狀態；網絡運維人員通過門戶查看隨選網絡和用戶業務的狀態、性能和告警情況等。

在隨選網絡系統中，協同編排器是隨選網絡的核心組件。編排在維基百科中的定義是：編排在計算領域主要指通過相應的工具、腳骨和過程部署（開通）一個業務，此過程實際的軟件與硬件統一部署，需要支持自動化的工作流程。協同編排器向上對接portal，接受portal下發的業務請求，向下對接控制器、NFVO以及云管理平臺，把接受的業務請求轉化成原子能力需求，下發給控制器NFVO以及云管理平臺。協同編排器在業務開通的過程中實現網絡功能的自動化配置，因而大幅度縮短了開通時間。協同編排器主要提供業務編排和網絡協同兩大核心功能。

（1） 業務編排功能

編排器根據客戶的需求，通過對原子能力進行智能編排，生成新的業務，原子能力包括網絡類的原子能力和資源類的原子能力等。網絡類的原子能力包括通過SDN控制器對網元的配置以及通過NFV的管理功能對VNF功能的拉起；資源類的原子能力包括對鏈路資源的查詢和預占等。

（2） 網絡協同功能

編排器向下對接SDN控制器、VNFM和云管理平臺，在網絡中，協同編排器需要對接多個廠商的控制器設備，屏蔽廠商控制器的差異。編排器的接口向上對接portal時，一般采用RESTful 接口。向下對接SDN控制器時，一般采用RESTful或Netconf接口；對接VNFM和云管理平臺時采用RESTful接口。

控制器作為隨選網絡的組件，向上對接編排器，接收編排器下發的業務需求；向下對接設備，把接收的業務需求通過相關協議下發給設備。控制器的主要功能包括網絡控制、路徑計算、智能調度等。控制器的接口：向上與編排器間一般采用RESTful接口；向下與設備間一般采用Netconf、BGP、OpenFlow、SNMP、CLI等接口。

CPE/vCPE設備作為隨選網絡的轉發單元，受SDN控制器的控制，實現配置的執行和流量的轉發。vCPE可以在通用的硬件上運行虛擬化的網絡功能，替換特定的硬件設備，如基于通用的x86服務器或者白盒交換機。vCPE基于NFV技術可以實現快速的功能加載，包括防火墻、NAT（網絡地址轉換）、應用檢測、IPS（入侵防御系統）、內容過濾等SaaS應用，并能結合用戶使用業務鏈（SFC）技術為用戶提供新型的SaaS增值服務。結合運營商的網絡重構，運營商開始在網絡邊緣數據中心和云數據中心部署vCPE。

3 隨選網絡關鍵技術

3.1 協同編排器關鍵技術

協同編排器是隨選網絡的核心模塊，協同編排器北向提供面向業務的網絡能力封裝和業務功能編排，南向整合多廠商控制器接口，實現跨廠商、跨業務（SDN、NFV、云）的能力和資源的統一化調用。在隨選網絡系統中協同編排器承擔著業務設計、開發/實現、上線、開通、變更、關閉、下線整個生命周期的管理職責，協同編排器的設計采用微服務架構，具有良好的擴展性，并支持WorkFlow引擎的設計理念。

? ? 協同編排器通過引入面向工作流的編排引擎，將基礎設施能力進行組合，形成業務能力，實現業務與資源的映射；通過模板化的業務建模，規范化研發實現，提高系統的可維護和可擴展能力。基于工作流引擎，當出現新的業務場景時，系統可對現有能力進行重新組合，快速生成新業務以滿足新業務需求。運營人員通過可視化的拖拽、連線的操作，完成業務需要的配置。

? ?協同編排器重新設計了原子能力服務庫和獨立業務功能的服務庫，包括資源管理、VPN配置、設備和接口配置、路由配置、云主機和云內專線配置等功能，每個服務通過調用多系統原子能力實現。核心原子能力具備面向業務的抽象模型，采用YAML/YANG模型驅動的開發模式。各個原子能力彼此隔離，高度自治，支持靈活的分布式部署和擴/縮容。

??協同編排器的適配層將原子能力的抽象模型適配成廠商需要的接口，向上屏蔽各廠商控制器和各業務系統的差異；適配層采用動態分發的插件式設計，不同廠商/版本的業務系統通過插件引入系統，彼此隔離。基于該設計，系統能夠快速適配多廠商的系統能力。

? ?業務編排管理了業務的全生命周期，涉及開發態和運行態，業務編排的兩態通過DevOps平臺實現無縫銜接，通過在DevOps平臺中定制業務編排相關工具（如模型語法分析與測試、運行環境與開發環境數據的同步等），實現業務從開發到部署的全流程自動化、持續化。

3.2 基于EVPN技術的SDN控制器

隨選網絡系統控制器和設備開發采用EVPN（ethernet VPN，以太網VPN）技術，控制面為MP-BGP，數據面為VxLAN（virtual extensible LAN）。

VxLAN是一種overlay網絡技術，由RFC7348定義。VxLAN可以在L3 IP網絡上構建L2網絡。這里的L2網絡是overlay網絡，L3網絡是underlay網絡，并且L3網絡對overlay網絡來說是透明的。

EVPN最開始由RFC7432定義，RFC中的全稱是BGP MPLS-Based Ethernet VPN，從名字上看是一個基于BGP和MPLS的L2 VPN。EVPN提供了一個L2層網絡的控制層，并且可以通過控制層學習L2和L3的可達信息，通過MAC/IP路由和ARP代理，減少網絡廣播，支持多連接場景定義和多租戶等。

EVPN作為VxLAN的控制層，不僅控制面采用成熟的、標準化的MP-BGP，更適用于運營商的網絡規模和業務穩定性要求，同時通過MP-BGP控制MAC/ARP的學習，而非L2廣播自學習方式，有效避免廣播風暴，保障業務安全性。另一方面，通過MP-BGP實現VxLAN隧道的自動創建，采用overlay技術簡化業務配置，降低網絡部署難度。

因此，中國電信的隨選網絡系統設計采用EVPN技術來設計SDN控制器。同時，SDN控制器采用了OpenDaylight開源框架，根據需求對Netconf和BGP模塊進行了優化。

4 隨選網絡的應用場景

中國電信通過自主和聯合研發的模式可以端到端地提供隨選網絡系統，并在江蘇、浙江、江西、廣東、重慶等分公司以及物聯網公司等進行試點落地，可以通過該系統提供云網協同、智能園區、智能物聯網、企業多站點互聯等多種場景和解決方案。

4.1 云網協同場景

隨著越來越多的企業上云，云資源成為企業IT必要的組成部分。客戶對云內資源進行管理、調整或傳送數據時，需要敏捷安全的入云通道以及混合云節點之間的云間數據通道。

隨選網絡云網協同解決方案，通過SDN編排器與云管平臺進行協同，自動配置VxLAN隧道技術，為客戶提供分鐘級開通的入云專線通道和混合云間通道，客戶可選擇利用中國電信163網絡或CN2精品網進行專線通道承載以及高等級數據加密，充分利用運營商網絡的差異化承載能力帶來差異化的云網協同體驗。

隨選網絡云網協同場景如圖2所示。

圖2 隨選網絡云網協同場景

基于該解決方案，在客戶側部署CPE設備，在公有云、私有云節點均部署vCPE設備，云管平臺需要將云節點內客戶與VLAN對應信息導入SDN編排器，建立云內VLAN到VxLAN VNI的映射關系。若要使用CN2網絡進行承載，CPE/vCPE WAN口業務地址需預先配置CN2 IP地址，并須按要求將數據分組打上RD標識和RT標識，按照MPLS VPN的MP-BGP地址族進行路由。在建立云專線的同時，用戶可以通過門戶訂購自己所需的云的計算和存儲資源，門戶將用戶的云資源需求下發給SDN協同編排器，協同編排器通過云管平臺的開放接口，將用戶的訂購需求傳遞給云管平臺，云管平臺通過OpenStack拉起用戶所需的云主機等云資源，并配置云內的VPC（virtual private cloud，虛擬私有云）。

4.2 智能園區場景

隨選網絡智能園區解決方案，面向創業園區或寫字樓的中小微企業，提供零資產、零配置、輕便靈活的云網協同業務。在園區管理方統一調度下，客戶可以在入駐當天獲得日常運營所需的網絡資源和云資源，無需安裝任何終端設備，無需購買服務器設備。隨選園區解決方案能夠全面滿足園區類客戶租期靈活、租戶流動性大、頻繁變更辦公室或辦公位的要求，同時幫助園區實現管理和服務轉型升級。

隨選網絡園區場景方案如圖3所示，主要實現以下功能：

? ? 自助開通租戶的互聯網訪問通道，帶寬可配置；

? ? 自助開通租戶云主機，并可配置云的公網地址、訪問策略；

? ? 自助開通租戶工位到云主機的云專線。

圖3 隨選網絡智能園區場景

如圖3所示，租戶到園區云節點之間使用二層VxLAN隧道，租戶與使用的云資源、云增值業務采用大二層互聯方式。另外，租戶通過云內vCPE進行互聯網訪問，園區管理者通過vCPE進行帶寬限速，并且云節點的云管平臺與SDN編排器需要進行對接，將云內客戶與VLAN/VxLAN對應信息導入SDN編排器。

租戶租用園區外公有云情況下，如外部公有云已部署隨選vCPE，則由SDN編排控制系統在園區提供的云節點內vCPE到外部公有云vCPE之間建立VxLAN隧道；如外部公有云未部署隨選vCPE，則租戶直接通過vCPE互聯網通道訪問公有云。

4.3 智能物聯場景

隨選網絡智能物聯網解決方案，以SDN自動化配置專線通道方式替代傳統撥號專線，服務各類物聯網平臺客戶。該解決方案可使客戶購買終端成本降低90%，同時客戶平臺側無需購買靜態IP專線產品，各類接入方式下均能實現幾分鐘內開通專線通道。隨選網絡智能物聯網解決方案還為客戶提供了自助進行故障溯源的手段和系統自動恢復能力，幫助客戶簡化日常運維工作。

隨選網絡智能物聯解決方案如圖4所示。

圖4 隨選網絡智能物聯網場景

如圖4所示，IoT業務平臺側部署CPE/vCPE設備，物聯網PGW側部署vCPE設備，并且PGW以VLAN方式連接到vCPE，SDN編排器將物聯網客戶的VLAN與CPE間的VxLAN信息關聯，就可以建立從物聯網終端到IoT平臺間的端到端隧道連接。隧道建立時可選IPSec技術進行加密，最終使得物聯網客戶的終端可通過該隧道連接到IoT業務平臺。

4.4 多點VPN場景

隨選網絡多點VPN場景方案，利用SDN技術實現多點VPN按需控制和靈活配置，服務具有多個分支機構的中小企業客戶。該方案支持企業設立新門店、新站點以及緊急通信場景，能夠快速完成多點L2/L3的VPN組網，并可利用CN2精品網實現重點業務的快速通道搭建。另外，對于有國際通信需求的企業，隨選網絡系統可同步開通國際加速通道，提供低時延高保障的國際訪問體驗。

隨選網絡多點VPN場景如圖5所示。

圖5 隨選網絡多點VPN場景

企業客戶站點分布在全國，可利用overlay L3 VPN實現中國電信與其他運營商站點混合組網，并通過目的地址分流，將跨運營商流量導入CN2旁掛VxLAN中繼，為客戶提供低時延VPN。隨選網絡系統還可通過目的地址分流，將國際訪問流量導入CN2旁掛VxLAN中繼，提升企業客戶的國際訪問體驗。

5 結束語

隨著SDN、NFV和云計算技術在運營商網絡的廣泛應用，基于SDN、NFV的靈活部署、統一管控、動態調整的優勢將逐步顯現。基于NFV技術實現的按需部署的網絡功能以及基于SDN的靈活路由調整和帶寬調整技術都將帶給企業客戶提供按需服務的自動化配置能力。同時，運營商通過協同編排技術構建新一代運營系統，成為運營商網絡智能化、運營智慧化的“大腦”。基于SDN、NFV和云技術構建的新一代網絡系統架構，可以為客戶提供“可視”“隨選”“自服務”的全新網絡體驗。

[1] 韋樂平. SDN的戰略性思考[J]. 電信科學, 2015, 31(1): 7-12.

WEI L P. Strategic thinking on SDN [J]. Telecommunications Science, 2015, 31(1): 7-12.

[2] 王歆平, 王茜, 劉恩慧, 等. 基于SDN的按需智能路由系統研究與驗證[J]. 電信科學, 2014, 30(4): 8-14.

WANG X P, WANG Q, LIU E H, et al. Research and verification on SDN-based on-demand smart routing system[J]. Telecommunications Science, 2014, 30(4): 8-14.

[3] 趙輝, 丁鳴, 程青松, 等. SDN與NFV技術在云數據中心的規模應用[J]. 電信科學, 2016, 32(1): 144-151.

ZHAO H, DING M, CHENG Q S, et al. Application of SDN and NFV technology in the cloud data center [J]. Telecommunications Science, 2016, 32(1): 144-151.

[4] 趙慧玲, 史凡. SDN/NFV的發展與挑戰[J]. 電信科學, 2014, 30(8): 13-18.

ZHAO H L, SHI F. Development and challenge of SDN/NFV [J]. Telecommunications Science, 2014, 30(8): 13-18.

[5] 劉漢江, 歐亮, 陳文華, 等. 基于SDN的跨數據中心承載技術[J]. 電信科學, 2016, 32(3): 28-34.

LIU H J, OU L, CHEN W H, et al. Bearing technology across the data center based on SDN[J]. Telecommunications Science, 2016, 32(3): 28-34.

Architecture and key technologies of network on demand for small and medium enterprises

ZHANG Yuan

Beijing Research Institute of China Telecom Co., Ltd., Beijing 102209, China

The network on demand is mainly based on SDN, NFV and cloud technologies, which realizes the softening, automation and intelligence of the network and provides users with the ability to configure the network on demand. The architecture and key technologies of the network on demand were emphasized, and the collaborative orchestration was introduced. The SDN, NFV network and cloud resources were arranged, and the network path was quickly established by introducing the SD-WAN overlay technology, and four application scenarios of the network on demand for small and medium enterprises were proposed. Network on demand can provide customers with a new web experience of “visual” “on-demand” and “self-service”.

network on demand, software defined networking, network function virtualization, cloud computing, orchestrator

TN929

A

10.11959/j.issn.1000?0801.2018211

2018?05?28；

2018?07?03

張園（1978?），女，中國電信股份有限公司北京研究院網絡研發部學科專家，ITU-T SG13基于SDN/NFV網絡架構研究組組長，CCSA TC3網絡總體組組長，主要從事軟交換、IMS、EPC等核心網關鍵技術、智能網絡及SDN關鍵技術的研發工作。