基于NFV與SDN高度融合的網絡虛擬化體系解析

王 磊

（云南廣播電視臺，云南 昆明 650500）

1 網絡虛擬化的驅動力

近年來，“以軟件為中心”的網絡虛擬化得到了快速的發展，服務器虛擬化的巨大成功和軟件定義網絡（Software Defining Network，SDN）組網模式，是最重要的兩個驅動因素。通過把服務器虛擬化的原理應用到網絡，原來需要運行在專用硬件上的網絡功能轉移到了x86服務器上，網絡功能虛擬化（Network Function virtualization，NFV）得以實現。SDN技術應用在虛擬網絡中，大幅降低了網絡的復雜程度，更加促進了網絡虛擬化的進程。服務器虛擬化產生大量虛擬機，隨之也帶來一系列的問題。首先是虛擬局域網（Virtual Local Area Network，VLAN）數量嚴重不足，虛擬網絡之間難以進行有效的安全隔離；其次是接入交換機沒有足夠的MAC地址容量來適應大量的虛擬機；最后，由于網絡結構復雜，造成虛擬機遷移困難。虛擬可擴展局域網（Virtual Extensible LAN，VXLAN）等疊加網絡協議很好地解決了這些問題。它創建的大二層虛擬網絡，為虛擬機的遷移鋪平了道路；VXLAN提供了比VLAN多得多的虛擬網絡識別碼，為虛擬網絡之間的安全隔離提供了充分的保障；數據包在進出VXLAN網絡時需要分別進行封裝和解封裝，兩端交換機只需要給虛擬隧道終結點（VXLAN Tunnel Endpoint，VTEP）設備提供MAC地址存儲容量，大大降低了對交換機MAC地址容量的需求[1]。技術的進步為網絡虛擬化的發展創造了重要的基礎條件。

市場需求也是網絡虛擬化快速發展的重要促進因素。傳統網絡組建模式建設周期太長，往往需要數月的時間，完全跟不上市場的變化節奏，網絡還沒建好，需求可能已經發生變化。傳統網絡建設和運維成本高、資源利用率低且缺乏敏捷性，難以適應當今市場的要求，迫切需要基于軟件的網絡虛擬化來解決這些問題。

傳統網絡安全防護策略往往重邊界輕內部，導致這種結果的根本原因就在于物理網絡的部署方式。在網絡邊界，通常部署有防火墻等物理設備，可以起到比較好的防護效果。網絡內部的復雜程度遠遠大于網絡邊界，不可能采用與網絡邊界同樣的防護方法。網絡威脅一旦突破邊界防護，由于網絡內部缺少行之有效的防護措施，很容易給整個網絡造成嚴重破壞。網絡虛擬化可以根據實際的安全需求，動態地創建、部署各種安全虛擬網絡功能（Virtual Network Function，VNF），并且利用SDN技術實現集中安全管控，為整個網絡構建起一張立體的安全防護網。近年來，網絡安全事故頻發，絕大多數案例都是從網絡內部發起攻擊造成的。要改變這樣的現狀，必須加快發展網絡虛擬化。

除此以外，網絡虛擬化減少了物理設備的數量，節約大量電力消耗，踐行了“綠色低碳、節能環保”的發展理念。所有這些因素共同促進網絡虛擬化得到了飛速的發展。

2 網絡虛擬化的核心要素和體系結構

2.1 核心要素

網絡虛擬化的兩大核心要素分別是網絡功能虛擬化（Network Function virtualization，NFV）和軟件定義網絡（Software Defining Network，SDN）。它們從兩個不同的維度構建起虛擬網絡的基礎架構。盡管NFV和SDN是兩種完全不相關的技術，但是它們彼此互補，共同實現了以應用為中心的建網思想，是網絡“云”化的必然選擇。

NFV運用服務器虛擬化技術實現特定的網絡功能，包括虛擬網絡功能（Virtual Network Function，VNF）、通用硬件、網絡交換路由協議以及管理工具在內的整個系統[2]。NFV在x86等通用服務器上運用虛擬化技術，通過軟件實現眾多的網絡功能，減少了大量專用網絡設備的使用量。NFV的最終目的就是實現網絡設備的軟件化，把原來運行在專用網元設備上的網絡功能盡可能地轉移到價格低廉的通用服務器上。這樣一來，不僅降低了網絡的建設成本，而且可以利用開放的應用程序接口（Application Programming Interface，API）對網絡功能編程控制，便于創建更加靈活、功能多樣的網絡。在NFV體系結構中，VNF扮演著非常重要的角色。它就是一臺運行有網絡協議的虛擬機、容器（如VMware的Edge服務網關），或者是一個功能插件（如VMware的分布式防火墻功能模塊），可以實現傳統網絡硬件的相關功能。VNF運行在通用硬件上，不受專有硬件和部署位置的制約，實現了網絡軟件和硬件的解耦。可以將VNF放到最合適的位置，創建出高效、低延遲的優質網絡。NFV建立在以軟件為中心的理論基礎上，結合虛擬資源具有的彈性、可伸縮性等特點，傳統網絡遇到的許多障礙都可以得到解決。傳統網絡設備通常集多種功能于一身，難以對特定功能單獨升級。而VNF采取模塊化設計，一個VNF設備通常只執行一種網絡功能，很容易進行單獨在線升級，且不會對應用產生影響。NFV最大限度地減輕了物理網絡的流量壓力，大量數據在物理主機內部就完成了交換路由，根本不會流經物理網絡。NFV建立在服務器虛擬化基礎之上，這就決定了適合NFV化的主要是基于中央處理器（Central Processing Unit，CPU）、內存處理任務的網絡功能，執行高速包轉發功能的網絡設備并不適合NFV化。

“開放”和“集中”是SDN技術實現的兩大重要特征[3]。SDN做到了網絡設備轉發平面和控制平面的分離，是一種不同于傳統網絡的體系框架。網絡設備（物理或者虛擬）專注于數據的轉發，而控制功能集中到SDN控制器，實行集中控制、分布式轉發的策略。由于SDN控制器掌握全網的控制信息，因此也就知曉了完整的網絡拓撲結構，為應用軟件的部署提供了清晰的網絡視圖。SDN方式可以及時獲取連接入網的設備信息，對各類安全威脅第一時間采取應對措施，大幅提高網絡安全性。控制信息的集中處理大幅降低了對網絡設備的性能要求，絕大多數網絡設備只需要執行SDN控制器的決策轉發數據即可，不需要進行復雜的計算。以開放最短路徑優先（Open Shortest Path First，OSPF）動態路由協議為例，對SDN架構提升網絡效率進行說明。傳統物理網絡情況下，每一臺路由器之間都需要相互交換鏈路狀態信息、單獨計算路由，浪費了大量的網絡帶寬和計算資源。如果采用SDN方式，每個路由器只需要給SDN控制器發送鏈路狀態信息，由其集中計算路由，再將計算結果返回全網設備，大幅降低了資源需求。網絡虛擬化實現網絡資源共享，一張物理網絡上可能運行有成百上千個獨立的虛擬網絡，如果不采用SDN，網絡管理將是一項不可能完成的工作。SDN區別于普通網管系統的最大特性就在于它可以持續監控網絡的運行情況，實時調整網絡的資源配置以滿足用戶的實際需求，大幅提高網絡的使用效率。

NFV和SDN高度融合在一起創建的網絡不僅具有開放性、可擴展性、彈性、敏捷性以及可編程性等特點，而且還起到簡化控制邏輯、大幅縮短交付周期、降低運行成本等效果，所有這些都符合網絡發展的趨勢。

2.2 體系結構

網絡虛擬化的理念來源于服務器虛擬化。因為融入了網絡的特性，所以其體系結構比服務器虛擬化要復雜。從歐洲電信標準協會（European Telecommunications Standards Institute，ETSI）NFV架構就可以看到，網絡虛擬化不但要實現虛擬網絡，還要提供虛擬計算和虛擬存儲。包括網絡、計算和存儲的全部底層硬件設備經過虛擬化層的處理，形成了虛擬資源池。在此基礎之上就可以創建虛擬交換機、虛擬路由器、虛擬防火墻等VNF。各虛擬機（Virtual Machine，VM）連接到虛擬交換機，再通過虛擬鏈路連接到路由和防火墻等設備，這樣就構建起了一張特定的虛擬網絡。所有VNF和虛擬網絡不僅可以根據需要進行創建和刪除，還可以動態縮放，充分實現了系統資源的高效利用。采用NFV方式建網，完全不同于傳統物理網絡建設，不需要花費大量的時間和資金來購置、部署網絡設備，只需要根據實際的需要創建VNF，再將各個VNF按照網絡拓撲結構鏈接起來，就完成了邏輯網絡的部署，整個過程都是通過軟件進行。NFV從結構上可以分為硬件設施層、虛擬資源層以及網絡功能層，部署方式主要有單廠商、軟硬件解耦以及三層解耦共3種方式[4]。其中，三層解耦方式最符合NFV的初始目標，可以滿足網絡“云化”的需求，但是實現難度也最大。

網絡虛擬化一方面通過NFV優化資源配置、提高利用率，另一方面采取SDN集中控制模式來簡化網絡結構，實現NFV與SDN的高度融合，其體系結構如圖1所示。SDN控制器在整個體系中起到了至關重要的作用，它通過南向接口（如OpenFlow）連接轉發設備，通過北向接口（如REST）連接應用，同時還要和NFV編排與控制組件交互，使得網絡具備了可編程和自動化的特性。它將應用程序和網絡耦合在一起，應用的需求可以直接傳遞給網絡，真正實現了“軟件定義網絡”的理念。高效的NFV監視系統是另外一個重要因素，及時準確地獲取物理主機、虛擬機及VNF的狀態信息，對于虛擬網絡的管理和編排非常重要。一種稱為“信息獲取需求與獲取技術解耦”（Information Requirements Decoupling from Acquisition，IRDA）的信息獲取方法具有較高的參考價值[5]。

圖1 SDN/NFV融合架構

3 VMware NSX中的NFV/SDN體現

NSX是一款NFV與SDN融合得非常好的虛擬化平臺，實現了管理、控制、數據三個平面的分離，其體系層次如圖2所示。管理工作主要由NSX Manager和vCenter完成，可以配置邏輯交換機、邏輯路由器以及邏輯防火墻等VNF組件，并且實現邏輯組網等網絡編排功能。在數據轉發方面，NSX Controller是虛擬網絡的SDN控制器，如果物理網絡也支持OpenFlow等南向協議，它同樣可以成為物理網絡的SDN控制器。另外，DLR Control VM是一臺專門處理分布式三層路由的虛擬機，也是SDN控制器組件。在網絡安全領域，NSX Manager還要負責將管理組件vCenter上創建的分布式防火墻規則同步推送到ESXi主機，對全部分布式防火墻（Distributed Firewall，DFW）實現SDN集中控制。NSX數據平面包括分布和集中兩種轉發模式，分別用于處理東西向和南北向流量。分布式轉發以功能模塊的形式嵌入到虛擬化層，在主機內部就可以實現二層交換和三層路由。特別是Edge服務網關就是建立在服務器虛擬化之上的VNF，實現了網絡地址轉換（Network Address Translation，NAT）、域名系統（Domain Name System，DNS）、虛擬專用網絡（Virtual Private Network，VPN）、路由等多種網絡功能[1]。

圖2 NSX-V體系層次

4 廣播電視網絡虛擬化應用

有線電視用戶接入網大多采用混合光纖同軸電纜（Hybrid Fiber Coax，HFC）和光纖到戶（Fibre To The Home，FTTH）兩種技術，分別使用有線電視融入接入技術平臺（Converged Cable Access Platform，CCAP）和寬帶遠程接入服務器（Broadband Remote Access Server，BRAS）網關作為接入設備。可以將這兩種設備的光電傳輸以外的功能實現虛擬化，在中心局端集中部署計費、認證、授權、路由以及安全策略發布等集中控制功能，在前端部署數據交換功能，充分發揮NFV/SDN的優勢[6]。

交互式網絡電視（IPTV）和互聯網視頻點播近年來呈現爆發式增長。廣播電視行業作為重要的視頻提供商，對內容分發網絡（Content Delivery Network，CDN）有非常高的要求。傳統CDN建立在物理網絡之上，建設維護成本高、資源浪費嚴重、視頻格式單一，難以適應業務需求的快速發展。利用網絡虛擬化可以將物理CDN虛擬化為多個虛擬CDN，并且實現SDN集中控制[7]。通過網絡虛擬化，虛擬CDN實現了內容“集中錄制存儲，精細化推送”，不僅大幅降低了邊緣節點的存儲容量需求，而且支持多種視頻格式，以適應手機、PC、電視等多種終端的要求。

光傳輸網絡是廣電系統最主要的傳輸載體，主要包括光交換機、光纖鏈路、可重構光分插復用器（Reconfigurable Optical Add-Drop Multiplexer，ROADM）以及光再生器等。其中，ROADM是最重要的設備，和交換機需要維護MAC地址表一樣，它也需要維護相應的表項，以確定如何對復合光進行交換和分插波長。波長選擇對于光傳輸網絡非常重要，源和目的地的距離、光纖損耗、差錯率以及可用波長等都是重要的參考因素，要盡量做到全路徑的光操作，避免出現光和電的相互轉換。如果在光傳輸網絡中采用SDN方式組網，控制器就可以從光設備中獲取可用波長和每個節點的信號質量等信息，不僅能由此計算出源端到目的端的最佳光傳輸路徑，還可以對ROADM等設備進行編程控制[2]。SDN技術應用到光傳輸網絡，一方面提高了網絡的效率，節約了管理成本；另一方面實現了集中化和智能化的配置，大大提升了網絡的故障檢測恢復能力，對確保安全播出有重要意義。

廣播電視行業近年來在媒體融合方面取得了長足的進步，進一步實現了內容融合和網絡融合。在網絡建設方面，自主平臺打造和“借船出海”兩翼齊飛；在服務功能方面，實現了引導+服務的拓展；在內容表現形式方面，媒體形態實現了全態化[8]。從中央電視臺到很多地方媒體都建設了自主的融媒體平臺，一些安全性要求不太高的功能甚至轉移到了“公有云”上，借助互聯網這艘大船拓展傳統媒體的網絡空間。傳統媒體原先的職責定位就是輿論宣傳和引導，在媒體融合的環境下，其被賦予了社會服務的功能。很多政務服務的應用運行在“融媒體云”上，有的媒體單位甚至涉足了“智慧城市”等領域。在媒體內容的形態和傳播渠道方面，除了電視外，傳統媒體通過微信、微博、抖音等平臺全方位進入互聯網，擴大影響力。媒體融合的程度越深，網絡結構就越復雜。為了確保融媒體平臺上各個系統的安全隔離和資源分配，NFV和SDN都是不可或缺的技術。

5 結 語

盡管NFV和SDN技術還處于完善、發展階段，但是網絡虛擬化在它們的相互協作下還是得到了快速的發展。在實際應用中，網絡設計者除了要注重虛擬技術外，更應該重視物理網絡的合理規劃，優化布局計算、存儲和網絡資源，為網絡虛擬化的實施創造有利的條件。只有這樣，網絡虛擬化的兩大核心要素才能發揮最大的效能，創建出優質的虛擬網絡。