- SDN/NFV:重构网络架构 建设未来网络
- 鞠卫国 张云帆 乔爱锋 梁雪梅 卢林林 储轶钢
- 7152字
- 2020-06-24 21:36:30
1.4 网络重构的关键技术
SDN、NFV、云计算技术应时而生,为电信网络的变革提供了技术驱动力。随着SDN/NFV的引入,电信网络设备的封闭性有望被打破,网络架构将从垂直封闭架构转向水平开放架构,主要体现在网络控制与转发分离、网元软硬件的解耦和虚拟化、网络的云化和IT化等多个方面,并最终实现网络重构。
目前,全球的电信运营商基本上都已经开展了SDN/NFV网络的试验和部署,关注点主要在网络编排、电信云、网元虚拟化,如虚拟IP多媒体子系统(vIMS)、虚拟演进分组核心网(vEPC)、虚拟宽带网络网关(vBNG)、虚拟客户终端设备(vCPE)等。中国电信网络架构的目标是在2025年实现80%网络功能虚拟化,美国AT&T预计到2020年实现全网75%的设备SDN/NFV化。
电信运营商引入SDN/NFV,一方面是希望推动网络转型从封闭走向开放,另一方面是希望解决当前面临的困境和挑战。不过,只是引入SDN/NFV技术对传统网络改造还不能达到目标,还必须进一步对传统的运维运营体系进行升级改造,以实现资源弹性化和运维智能化。
1.4.1 SDN
SDN是将网络的控制平面与数据转发平面进行分离,采用集中控制替代原有分布式控制,并通过开放和可编程接口实现“软件定义”的网络架构。SDN是IT化的网络,是“软件主导一切”的趋势从IT产业向网络领域延伸的重要体现,具有开放的生态链,其核心是网络的“软化”,基于软件实现网络的敏捷、开放和智能。
业界将SDN归纳为一种新的方法论或者架构:
(1)SDN实现了控制与转发解耦,这是网络实现能力开放的架构基础;
(2)SDN注重于集中化的控制,集中的控制器对网络资源和状态有更加广泛的视野,可以更加有效地调度资源来满足客户的需求;
(3)SDN利用可编程接口,允许外部系统控制网络的配置、业务部署、运维以及转发行为。
SDN的关键特征包括:转控分离、集中控制、优化全局效率;开放接口、加快业务上线;网络抽象、屏蔽底层差异。
SDN架构分为应用层、控制层和基础设施层3个层面,如图1-2所示。
(1)应用层包括各种不同的业务和应用,以及对应用的编排;
(2)控制层主要负责处理数据平面资源,维护网络拓扑、状态信息等;
(3)基础设施层负责基于流表的数据处理、转发和状态收集。
图1-2 软件定义网络体系架构示意图
随着SDN技术逐渐应用到现网之中,管理功能依然是需要的,主要实现对上述3个层面的配置以及安全管理,包括:在数据平面实现对网元层设备的初始配置;在控制平面实现对SDN应用程序控制范围的策略配置以及系统的性能监控;在应用平面实现SLA(Service-Level Agreement,服务等级协议)的相关配置。
SDN的核心特点是将实体设备作为基础资源,抽象出NOS(Network Operating System,网络操作系统)隐藏底层物理细节并向上层提供统一的管理和编程接口,以NOS为平台开发的应用程序可以实现通过软件定义网络拓扑、资源分配、处理机制等。
SDN的技术重点在南/北向接口标准化,目前在结合业务场景实现跨厂家的互通,相应接口和系统的性能和可靠性等方面仍存在问题。根据技术和产业链的成熟程度不同,运营商逐步考虑在IP骨干网、IDC(Internet Data Center,互联网数据中心)网络等数据网中应用SDN,并逐步扩大到其他IP网和传输、接入等其他专业网络,因此亟须在SDN接口的标准上形成统一。SDN的发展壮大可能带来网络产业格局的重大调整,传统通信设备企业将会面临巨大挑战,IT和软件企业则将迎来新的市场机遇。
对于网络重构而言,SDN的核心价值在于将传统分散的网络智能统一起来。传统网络基于分散的单一化的控制和转发,网管主要面向配置管理,业务能力有限。而SDN则将主要用于网络配置的网管能力转换为智能调度和网络能力封装,不仅改善了自身资源的管控,还能真正实现对上层业务甚至千变万化的应用的按需适配。
随着SDN标准的逐步完善,以及软件自主开发能力的增强,后续运营商还要考虑实现跨厂家、跨专业的控制层打通,做到SDN端到端网络能力调度和业务编排。从长远来看,还会在SDN中应用大数据分析和人工智能技术,最终实现网络的智能化。
1.4.2 NFV
NFV概念最早由ETSI(European Telecommunications Standards Institute,欧洲电信标准化协会)组织于2012年10月提出,是指通过IT虚拟化技术,利用标准化的通用IT设备来实现各种网络设备功能。NFV的本质是实现硬件资源与软件功能的解耦,其最终目标是通过标准的X86服务器、存储和交换设备来取代通信网中私有专用的网元。一方面,基于X86标准的IT设备成本低廉,能够为运营商节省巨大的投资成本;另一方面,开放的API(Application Programming Interface,应用编程接口)能帮助运营商获得更多、更灵活的网络能力。NFV的关键特征包括上层业务云化,底层硬件标准化;分层运营,加快业务上线与创新。
NFV逻辑架构主要分为以下4个部分,如图1-3所示。
(1)NFVI(NFV Infrastructure,NFV基础设施):用来部署和执行VNF的一组资源,通过对底层计算、存储、网络等物理资源的虚拟化,实现对VNF所需各元素的物理承载。
(2)VNF(Virtual Network Function,虚拟网络功能):虚拟网络功能单元,可以理解为电信业务网络中的现有物理网元,以软件模块形式部署在NFVI提供的虚拟资源上,从而实现网络功能的虚拟化。
(3)MANO(NFV Management And Orchestration,NFV的管理和编排):系统用于整体编排和控制管理,将网络服务从业务层到资源层自上而下分解。
(4)OSS/BSS(Operations Support System/Business Support System,运营支撑系统/业务支撑系统):OSS为传统的网络管理系统;BSS为传统的业务支撑系统,包括计费、结算、账务、客服、营业等功能。
图1-3 ETSI NFV逻辑架构示意图
这样设计实现的目的在于利用虚拟化技术,采用标准化的通用IT设备(X86服务器、存储和交换设备等)实现各种网络功能,替代传统通信网中私有、专用和封闭的网元,实现统一的硬件平台+业务逻辑软件的开放架构。NFV架构将物理网元的一些功能拆分开来,便于运营商使用低成本的通用硬件,而不受制于特定供应商;便于运营商从多厂商选择最适合自己的VNF。VNF可以由不同的物理硬件和虚拟化软件组成。标准的开放接口便于多厂商间的VNF进行交互。
对于网络重构而言,NFV的核心价值在于在网络设备的技术实现方式上进行了彻底的变革。现有专用硬件形态的网元架构封闭、成本高、难以扩展,引入NFV方案后,运营商网络中不再需要单纯依赖“压价”降低CAPEX,同时通过归一化的硬件基础设施为统一集约运营提供了基础,将长期降低OPEX。基于NFV可以实现网络的简洁、灵活和低成本。通过软硬件解耦和硬件标准化,网络资源可以根据业务需求变化而弹性伸缩,支持新业务的快速加载和上线。网络基础设施实现了NFV以后,就可以像使用和管理IT云资源池那样使用和管理网络,实现网络的“云化”。
当前,基于X86架构的硬件资源层转发性能与现有专用设备相比差距很大,管理编排模块(MANO)还缺少经过大规模商用验证的产品,而且运营商也缺乏对此进行集成和运营的经验。NFVI是未来网络的基础设施,它是承载网络功能VNF的云资源池,如同IT系统中的IT云资源池,目前各厂商NFV设备的NFVI各不相同。如果运营商不能尽早定义和搭建统一标准的NFVI,而是草率地引入各厂商的NFV方案,将会继续形成众多与厂家绑定的烟囱系统,不能达到资源高效共享和新业务快速加载的目的。
1.4.3 云计算
云计算是在虚拟化技术、分布式技术的基础上发展而来的新型的IT服务提供模式和解决方案,是对传统IT的“软件定义”,将带来相关部署、运维和业务发放模式的变革。云计算的引入将大大降低人工参与和手工操作的需要,提供自动化的能力,并且使得统一的资源可以为更多的租户所使用,从而获得更多的效益;同时,云计算提供开放的应用编程接口,也非常有利于基于软件定义业务,便于能力开放。
对于网络重构而言,云计算相关技术是SDN/NFV的基础条件,如NFV中所需的网络功能虚拟化基础设施(NFVI)解决方案资源池就需要基于云计算的方式来部署,基于云化的资源池是SDN控制器、编排器以及NFV的管理和编排(MANO)等的基础平台。
云计算应关注虚拟化新技术和开源技术。作为云计算的基石,服务器虚拟化计算包括了CPU(Central Processing Unit,中央处理器)、内存、输入/输出(Input/Output)虚拟化等,是处于硬件和GuestOS(Guest Operating System,客机操作系统)之间的新型软件技术,可以为各种GuestOS提供与实际硬件无异的模拟硬件环境,实现在同一个平台上运行多个OS(Operating System,操作系统),可以提高安全性和效率。目前虚拟化技术对于SDN/NFV引入部署,特别是统一的NFVI部署方面,在功能上已经基本可以满足,包括非统一内存访问、绑定、内存巨页等的支持,但是在可靠性方面,尤其是系统、网元、虚拟化/操作系统、基础设施硬件协同方面还有很多空白,将产生大量虚拟化技术新的改良空间。同时,以OpenStack+KVM(Kernel-based Virtual Machine,内核级虚拟化技术)为代表的开源技术在NFVI和MANO中也逐步开始体现价值,特别是在实现三层解耦方面作用很大,但是目前能提供电信级商用能力的系统几乎还不存在,这将成为云计算基础设施部署的一个困难。
1.4.4 SDN与NFV的关系
SDN与NFV的关系如图1-4所示。SDN和NFV都采用了控制与承载分离的思想,并都试图通过软件定义的形式实现基本控制功能。SDN和NFV互不依赖,自成体系。SDN诞生于园区网络,通过控制和转发分离,实现网络控制集中化、流量灵活调度,更侧重于网络连接控制,在传统网络设备和NFV设备上都可以部署。NFV源自运营商需求,通过软硬件分离,实现网络功能虚拟化、业务随需部署,可以在非SDN的环境中部署,更侧重于网元功能实现。两者最基本的区别及关联关系体现在以下几方面。
(1)SDN的核心是软件定义网络,NFV的核心是网元功能的虚拟化。也就是说,SDN的落脚点体现在IP网络策略及路由转发的软件集中控制上,而NFV的落脚点体现在传统网络网元功能实现的变革上。
(2)NFV与SDN没有直接的关系,两者的着眼点不相同,其应用场景在很大程度上是不重合的,只是在部分应用上有交集,也就是说,两者有一定的互补性,但并不相互依赖。如SDN的控制器可以部署在NFV架构上,可以通过SDN控制NFV架构中各虚拟网元之间的IP数据分组转发的集中控制。
(3)NFV可以不依赖于SDN部署,SDN技术不是NFV架构中必须部署的技术。但对于规模不断扩展的云数据中心,可以采用SDN技术控制和均衡各虚拟机资源,以便更好地连接和控制这些虚拟机,最终使数据中心更加可控管理。
(4)针对IP大网,如果逐步采用SDN架构,其相应的SDN控制器也可以设置在NFV架构的云平台上。
图1-4 SDN和NFV关系示意图
总之,SDN和NFV两种技术之间没有直接相互依存的关系,但SDN与NFV有很强的互补性,NFV增加了功能部署的灵活性,SDN可进一步推动NFV功能部署的灵活性和方便性,如利用SDN将控制平面和数据平面分离,使现有的部署进一步简化,减轻运营和维护的负担。同时,NFV能为SDN的运行提供新基础架构的支持,如将控制平面和数据平面的功能直接运行在标准服务器上,简化SDN的部署。NFV和SDN紧密结合,能够产生更大的价值,最大限度地满足用户对服务速度、业务能力和操作简便性的要求。
1.4.5 部署面临问题
技术可以创新,但网络发展必须是演进的,新技术的应用必须要充分考虑现网的平滑演进,这是网络发展的一般规律。当前,运营商存量网络规模大且设备极度复杂,部署SDN/NFV技术将是一项浩大的系统工程,多数运营商对如何实现现网到SDN/NFV的平滑演进,如何解决多厂商的兼容性、互联互通和集成部署等问题尚存疑虑,很难真正推动商用化规模部署。
(1)开放接口标准化和互操作问题
SDN/NFV打破了原有封闭的网络架构,实现控制和转发分离、软硬件解耦以及向上层业务开放网络能力。为此,在SDN架构下,引入了新的接口,这些接口的标准化对实现开放网络架构至关重要,也是实现多厂商方案高效集成、摆脱厂商锁定的先决条件。
南向接口是控制器与转发设备之间下发流表的通信接口,目前呈现多样化发展态势(业界定义了超过15种的通信协议),增加了厂商解决方案和运维部署的复杂度,也给不同厂商解决方案的互通带来了更大的挑战。南向接口最终能否统一成少数几种协议(如OpenFlow或NETCONF),是业界亟待解决的一个问题。
北向接口是直接为业务应用服务的,其设计与业务应用的需求密切相关,具有多样化的特征。目前市场上已经出现了30余种不同的控制器,尽管每种控制器都宣称遵循RESTful的接口标准,但是对外提供的接口都不完全相同,充分说明北向接口标准尚未统一。
东/西向接口主要解决控制平面的扩展性问题,实现“组大网”,同时还要考虑与非SDN网络控制平面的互通。目前,关于SDN东/西向接口的研究才刚刚起步。
上述问题带来了一个直接的影响,就是跨厂商的控制器与转发设备,以及与上层业务之间不能实现完全解耦,需要逐一适配,因而增加了互操作的成本。
(2)性能问题
性能是运营商网络的关键指标之一。数据面的转发性能(如吞吐量、时延)直接影响用户业务体验;控制面性能决定网络规模大小和业务承载容量。
在数据面,芯片是主要瓶颈,TCAM(Ternary Content Addressable Memory,三态内容寻址存储器)的容量直接影响到OpenFlow流表的数量,同时OpenFlow协议定义的灵活的报文格式及操作指令,也使得ASIC芯片全面支持OpenFlow协议越来越困难。而对于通用X86实现的转发面,其吞吐量更是无法达到线速转发的要求(根据测试数据,128Bytes,10G物理接口吞吐量<1G;1518Bytes,吞吐量<9G)。这就需要在数据处理的灵活性和吞吐量之间寻找平衡。在控制面,SDN集中控制架构对控制器的性能提出了更高要求,Packet-in消息的处理能力、管理交换机的最大数量、流建立速率、集群能力等都是关键指标。从前期测试数据来看,目前中国的主流厂商在这些指标上还存在明显的差异,很难满足大规模组网的需求。
另外,在引入NFV后,一方面,硬件通用化、网元功能的软件化导致网络输入/输出能力难以匹配电信网络的需求,计算能力难以满足特殊功能(如加解密、编解码、深度报文解析等)需求;另一方面,引入NFV后给中间件带来了一定的性能损耗。如何降低软件的开销并通过引入软硬件加速技术满足电信网络高速转发、密集计算的性能需求成为NFV需要解决的挑战之一。业界也提出了一些性能加速解决方案,如SR-IOV(Single-Root I/O Virtualization,单根I/O虚拟化)、DPDK(Data Plane Development Kit,数据平面开发工具套件)、超线程技术和硬件加速机制等。
(3)可靠性和扩展性问题
现有网络从抗毁性的需求出发设计了分布式的控制机制,网络中的每个网元都独立地学习路由,生成转发表项,并在此基础上引入故障快速检测、快速重路由、保护倒换等机制,实现链路/节点的故障保护,提升网络可靠性。而且采用分布式的分层架构,从本质上来说分散了每个网元设备的路由运算压力,能够有效支撑网络的大规模扩展。而SDN架构采用集中的控制机制,由控制器集中完成路由计算并下发流表到转发设备,因此它成为整个网络的中枢大脑,一旦故障就会全网瘫痪,因此控制器的可靠性对于网络而言至关重要。如何避免控制器单点故障,当链路或节点发生故障时,网络故障如何快速上报,并快速完成流表的更新,这些问题对于控制器的实现都具有挑战。而且对于大规模的网络部署,需要考虑控制器的分层部署、多个控制器之间的相互协作。
在设备层面,传统的电信网络设备采用软硬一体的封闭架构,使用专用硬件,能够满足线速转发的要求,而且无论是硬件还是软件的故障,都能够快速检测并启动保护机制,达到99.999%的高可靠性要求。而引入NFV之后,采用通用硬件设备目前很难达到5个“9”的可靠性要求(一般通用商用化设备的可靠性只能达到99.9%),而且原有软硬一体化设备分成了三层,并引入管理和编排(MANO)深度介入网元的自动伸缩等流程。因此,硬件资源层、虚拟资源层、VNF和MANO每层如何增强,三层如何协同,VNF与MANO如何配合等,都会影响到整个系统的可靠性,这就需要建立一套完整的可靠性体系并对三层如何协同提出明确的要求。但是,硬件资源的池化,将有助于在设备层面根据业务的需求灵活实现扩容与缩容,这是传统电信网络设备无法实现的。
(4)与现有运维系统的协同问题
在SDN/NFV架构下,引入新的网元管理实体,对现有网络体系架构下的系统和设备运维都会产生影响,特别是传统网络与SDN/NFV网络共存阶段,如何处理与传统网络中OSS/BSS等管理、运维系统的关系,原有OSS/BSS及网管系统如何与MANO协作配合,物理网络功能(Physical Network Function,PNF)和虚拟网络功能(VNF)如何协同管理,控制器与原有非SDN设备如何对接等,上述问题的解决将会是一个长期复杂的过程,需要在SDN/NFV实际应用部署中不断探索和完善。
网管系统的演进方向应当是“纵向分割、横向协同”,新系统基于开源码和开放应用程序编程接口,负责虚拟资源的动态管理,而原有网管系统负责物理网元的管理,通过顶层的业务生命周期管理编排提供横跨虚拟资源和物理资源的端到端业务;而新、老系统通过信息模型的转换实现横向互通,很理想,但不现实。
(5)安全问题
相比传统电信设备,软硬件分离的特点以及网络的开放性给网络带来了新的潜在安全问题:一是引入了新的高危区域——虚拟化管理层;二是弹性、虚拟网络使安全边界模糊,安全策略难以随网络调整而实时、动态迁移;三是用户失去对资源的完全控制以及多租户共享计算资源带来的数据泄漏与攻击风险。
在NFV环境中,可能存在安全风险的关键组件包括VNF组件实例,绑定到VNF组件实例的本地网络资源,远程设备上对本地VNF组件实例的参考,VNF组件实例占用的本地、远程以及交换存储等。在发生安全事故的情况下,如何保证这些关键组件所涉及的硬件、内存不被非法访问,如何保证VNF上应用的现有授权不被改变,如何保证本地和远程资源彻底清除崩溃的VNF资源及授权不被滥用,是NFV安全面临的关键技术挑战。
此外,控制器开源和开放的特性,使其自身也具有潜在的安全风险,需要建立一套隔离、防护备份机制来确保其安全、稳定地运行,这既包含控制器自身的安全问题,也包含控制器和应用层之间以及控制器和转发设备之间的安全问题。
(6)集成部署问题
运营商引入SDN/NFV技术,其中的一个初衷是期望通过推动硬件和软件的分离、软件功能的分层解耦,进一步细化和拉长产业链环节,从而摆脱厂商锁定。引入NFV后,原先由单一厂商提供整套软硬件一体化的系统,将分解成来自不同厂商的不同组件,复杂度会大大提升,从架构上看将会是一个巨大的ICT(Information Communication Technology,信息通信技术)系统集成工程,包括NFVI的集成、VNF的集成和业务网络的集成,涉及的系统、厂商、地域和接口都非常多。现阶段,NFV相关接口的标准化进度不一,部分接口将直接采用开源软件,部分API难以完全标准化。此外,开源软件和厂商定制化软件解决方案所采用的私有协议和接口,都将成为NFV系统集成和工程联调面临的巨大挑战。