当前,传统网络的演进发展正面临越来越多的挑战,既要面对OTT竞争,承受降低资本性支出/运营成本的压力,提升网络差异化服务的能力,又要满足消费者体验需求的互联网化,与其他行业跨界融合及构建全连接网络的诉求,网络架构重构已成为网络可持续发展的必然要求。
世界各大运营商和中国三大运营商相继发布网络转型战略(电信CTNET2025、移动NovoNet2020愿景、联通CUBE-NET2.0),期望通过使用软件定义网络/网络功能虚拟化、云计算、网络虚拟化等新技术来构建一张“资源可全局调度,能力可全面开放,容量可弹性伸缩,架构可灵活调整”的新一代网络,更好地适应从“消费型互联网”向“产业互联网”的网络转型,支撑国家“互联网+”发展战略。
而在这场技术变革中,SDN/NFV是被业界普遍看好的促进现网升级演进,未来网络技术创新的重要技术,其所倡导的控制转发分离、网络能力接口的开放、软硬件解耦以及网络功能的虚拟化,将会促进产业重心由硬向软快速调整,推动网络架构向软件化、集约化、智能化和开放化的目标网络架构演进。
NFV & SDN?
一、NFV 即网络功能虚拟化
Network Function Virtualization
可以通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,通过使用x86等通用性硬件以及虚拟化技术,来承载很多功能的软件处理,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等
关键字
软硬件解耦
虚拟化
云化
NFV的优势
低成本
灵活性
二、SDN 即软件定义网络
Software Defined Network
SDN是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,实现了控制与转发的分离,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
SDN网络的三大特征
解藕
集中
开放
SDN网络发展的三个关键
标准
开源
广泛参与的生态系统
SDN网络的挑战
接口/协议标准化问题
互操作性问题
安全性问题
SDN&NFV
Page1:起源:
SDN起源于园区网,成熟于数据中心;
NFV始于运营商,最初主要是大型运营商在运作。
Page2:适用范围区别:
SDN跟NFV最明显的区别是,SDN处理的是OSI模型中的2-3层,NFV处理的是4-7;
SDN主要是优化网络基础设施架构,比如以太网交换机,路由器和无线网络等;
NFV主要是优化网络的功能,比如负载均衡,防火墙,WAN网优化控制器等。
Page3:标准的制定者:
SDN是ONF,NFV是ETSI。
Page4:SDN为数据中心网络架构带来的变化:
Page5:NFV对运营商网络架构带来的变化:
Page6:NFV为终端用户网络架构带来的变化:
SDN/NFV在商用部署中面临的6大关键技术问题
技术可以创新,但网络发展必须是演进的,新技术的应用必须要充分考虑现网的平滑演进,这是网络发展的一般规律。当前,运营商存量网络规模大且设备极度复杂,部署SDN/NFV技术将是一项浩大的系统工程,多数运营商对如何实现现网到SDN/NFV的平滑演进,如何解决多厂商的兼容性、互联互通和集成部署等问题尚存疑虑,很难真正推动商用化规模部署。
正如SDN/NFV产业联盟理事长韦乐平先生的判断:“SDN/NFV整体处在现场试验、试商用和早期商用阶段,即整体刚从过度期望进入幻灭到成熟期,估计1~4年陆续进入发展期,4~8年陆续进入稳定发展期”。因此,在一些关键技术问题上如果产业界没有达成共识并形成标准,SDN/NFV很难实现商用化规模部署。
(1)开放接口标准化和互操作问题
SDN/NFV打破了原有封闭的网络架构,实现控制转发分离,软硬件解耦,以及向上层业务开放网络能力。为此,在SDN架构下,引入了新的接口,这些接口的标准化对实现开放网络架构至关重要,也是实现多厂商方案高效集成,摆脱厂商锁定的先决条件。
南向接口是控制器与转发设备之间下发流表的通信接口,目前呈现多样化发展态势(业界定义了超过15种的通信协议),这增加了厂商解决方案和运维部署的复杂度,也给不同厂商解决方案的互通带来更大的挑战。南向接口最终能否统一成少数几种协议(如Openflow或NetConf/Yang),应是业界需要亟待解决的一个问题。
北向接口是直接为业务应用服务的,其设计与业务应用的需求密切相关,具有多样化的特征。目前市场上已经出现了20余种不同的控制器,尽管每种控制器都宣称遵循Restful的接口标准,但是对外提供的接口都不完全相同,充分说明北向接口标准尚未统一。
东西向接口主要解决控制平面的扩展性问题,实现“组大网”。同时还要考虑与非SDN 网络控制平面的互通。目前,关于SDN东西向接口的研究刚刚起步,业界还存在较大争议。
上述问题带来一个直接的影响,就是跨厂商的控制器与转发设备,以及与上层业务之间不能实现完全解耦,需要逐一适配,增加了互操作的成本。
(2)性能问题
性能是运营商网络的关键指标之一。数据面的转发性能(如吞吐量、时延)直接影响到用户业务体验;控制面性能决定网络规模大小,以及业务承载容量。在SDN/NFV架构下,实现了控制与转发分离,通用硬件对专有硬件的替代,性能问题成为关注的焦点。5G微信公众平台(ID:angmobile)了解到,作者进一步指出:在数据平面,芯片是主要瓶颈,三态内容寻址存储器(TCAM)表项的容量直接影响到Openflow流表的数量,同时Openflow协议定义的灵活的报文格式及操作指令,也使得ASIC芯片全面支持Openflow协议越来越困难。而对于通用x86实现的转发面,其吞吐量更是无法达到线速转发的要求(根据测试数据,128字节,10 G物理接口吞吐量<1 G;1518字节,吞吐量<9 G)。这就需要考虑在数据处理的灵活性和吞吐量之间寻找平衡。在控制平面,SDN集中控制架构,对于控制器的性能提出了更高要求,Pakcet-in消息的处理能力、管理交换机的最大数量、流建立速率、集群能力等都是一些关键指标。从前期测试数据来看,目前中国主流厂商在这些指标上还存在明显的差异,很难满足大规模组网的需求。
另外,在引入NFV后,一方面硬件通用化、网元功能的软件化导致网络输入/输出(I/O)能力难以匹配电信网络的需求,计算能力难以满足特殊功能(如加解密、编解码、深度报文解析等)需求;另一方面,引入NFV后给中间件带来一定性能损耗。如何降低软件的开销并通过引入软硬件加速技术满足电信网络高速转发、密集计算的性能需求成为NFV需要解决的挑战之一。目前业界也提出了一些性能加速解决方案,如单根I/O虚拟化(SR-IOV)、一数据平面开发工具集(DPDK)、超线程技术和硬件加速机制等。
(3)可靠性和扩展性问题
现有网络从抗毁性的需求出发设计了分布式的控制机制,网络中的每个网元都独立地学**路由,生成转发表项,并在此基础上引入故障快速检测、快速重路由、保护倒换等机制,实现链路/节点的故障保护,提升网络可靠性。而且采用分布式的分层架构,从本质上来说分散了每个网元设备的路由运算压力,能够有效支撑网络的大规模扩展(截至2016年6月底,骨干网的IPv4路由条目>620000条)。而SDN架构采用集中的控制机制,由控制器集中完成路由计算并下发流表到转发设备,因此它成为整个网络的中枢大脑,一旦故障就会全网瘫痪,因此控制器的可靠性对于网络而言至关重要。如何避免控制器单点故障,当链路或节点故障时,网络故障如何快速上报,并快速完成流表的更新,这些问题对于控制器的实现都具有挑战。而且对于大规模的网络部署,需要考虑控制器的分层部署,以及多个控制器之间的相互协作。
在设备层面,传统的电信网络设备采用软硬一体的封闭架构,使用专有硬件,能够满足线速转发的要求,而且无论是硬件还是软件的故障都能够快速检测并启动保护机制,达到99.999%的高可靠性要求。而引入NFV 之后,采用通用硬件设备目前很难达到5个9的可靠性要求(一般通用商用化设备可靠性只能达到99.9%),而且原有软硬一体化设备分成了3层,并引入管理和编排(MANO)深度介入网元的自动伸缩等流程,因此,硬件资源层、虚拟资源层、VNF和MANO每层如何增强,3层如何协同,VNF与MANO如何配合等都会影响到整个系统的可靠性,这需要建立一套完整的可靠性体系并对三层如何协同提出明确的要求。但是,硬件资源的池化,将有助于在设备层面根据业务的需求灵活实现扩缩容,这是传统电信网络设备无法实现的。
(4)与现有运维系统的协同问题
在SDN/NFV 架构下,引入新的网元管理实体,对现有网络体系架构下的系统和设备运维都会产生影响,特别是传统网络与SDN/NFV 网络共存阶段,如何处理与传统网络中运营支撑系统(OSS)/基本服务集运营支持系统(BSS)等管理、运维系统的关系,原有OSS/BSS及网管系统如何与MANO协作配合,物理网络功能(PNF)和虚拟网络功能(VNF)如何协同管理,控制器与原有非SDN设备如何对接等,上述问题的解决将会是一个长期复杂的过程,需要在SDN/NFV实际应用部署中不断探索和完善。
SDN/NFV 产业联盟理事长韦乐平给出了一个观点,他认为网管系统的演进方向应当是“纵向分割,横向协同”,新系统基于开源码和开放应用程序编程接口,负责虚拟资源的动态管理,而原有网管系统负责物理网元的管理,通过顶层的业务生命周期管理编排提供横跨虚拟资源和物理资源的端到端业务;而新老系统通过信息模型的转换实现横向互通,很理想,但不现实。
(5)安全问题
相比传统电信设备,软硬件分离的特点以及网络的开放性给网络带来了新的潜在安全问题:一是引入新的高危区域——虚拟化管理层;二是弹性、虚拟网络使安全边界模糊,安全策略难于随网络调整而实时、动态迁移;三是用户失去对资源的完全控制以及多租户共享计算资源,带来的数据泄漏与攻击风险。
在NFV 环境中,可能存在安全风险的关键组件包括VNF组件实例、绑定到VNF 组件实例的本地网络资源、远程设备上对本地VNF 组件实例的参考、VNF组件实例占用的本地、远程以及交换存储等。在发生安全事故的情况下,如何保证这些关键组件所涉及的硬件、内存不被非法访问,如何保证VNF上应用的现有授权不被改变,本地和远程资源彻底清除崩溃的VNF 资源及授权不被滥用,是NFV 安全面临的关键技术挑战。
此外,控制器开源和开放的特性,使其自身也具有潜在的安全风险,需要建立一套隔离、防护备份机制来确保其安全稳定地运行,这既包含控制器自身的安全问题,也包含控制器和应用层之间以及控制器和转发设备之间的安全问题。
(6)集成部署问题
运营商引入SDN/NFV 技术,其中的一个初衷是期望通过推动硬件和软件的分离,软件功能的分层解耦,进一步细化和拉长产业链环节,从而摆脱厂商锁定。引入NFV 后,原先由单一厂商提供整套软硬件一体的系统,将分解成来自不同厂商的不同组件,复杂度会**提升。从架构上看将会是一个巨大的ICT系统集成工程,包括NFVI的集成、VNF 的集成和业务网络的集成,涉及的系统、厂商、地域和接口都非常多。现阶段,NFV 相关接口的标准化进度不一,部分接口将直接采用开源软件,部分API 难以完全标准化。此外,开源软件和厂商定制化软件解决方案所采用的私有协议和接口,都将成为NFV 系统集成和工程联调面临的巨大挑战。
世界各大运营商和中国三大运营商相继发布网络转型战略(电信CTNET2025、移动NovoNet2020愿景、联通CUBE-NET2.0),期望通过使用软件定义网络/网络功能虚拟化、云计算、网络虚拟化等新技术来构建一张“资源可全局调度,能力可全面开放,容量可弹性伸缩,架构可灵活调整”的新一代网络,更好地适应从“消费型互联网”向“产业互联网”的网络转型,支撑国家“互联网+”发展战略。
而在这场技术变革中,SDN/NFV是被业界普遍看好的促进现网升级演进,未来网络技术创新的重要技术,其所倡导的控制转发分离、网络能力接口的开放、软硬件解耦以及网络功能的虚拟化,将会促进产业重心由硬向软快速调整,推动网络架构向软件化、集约化、智能化和开放化的目标网络架构演进。
NFV & SDN?
一、NFV 即网络功能虚拟化
Network Function Virtualization
可以通过软硬件解耦及功能抽象,使网络设备功能不再依赖于专用硬件,通过使用x86等通用性硬件以及虚拟化技术,来承载很多功能的软件处理,资源可以充分灵活共享,实现新业务的快速开发和部署,并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等
关键字
软硬件解耦
虚拟化
云化
NFV的优势
低成本
灵活性
二、SDN 即软件定义网络
Software Defined Network
SDN是Emulex网络一种新型网络创新架构,是网络虚拟化的一种实现方式,实现了控制与转发的分离,其核心技术OpenFlow通过将网络设备控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能。
SDN网络的三大特征
解藕
集中
开放
SDN网络发展的三个关键
标准
开源
广泛参与的生态系统
SDN网络的挑战
接口/协议标准化问题
互操作性问题
安全性问题
SDN&NFV
Page1:起源:
SDN起源于园区网,成熟于数据中心;
NFV始于运营商,最初主要是大型运营商在运作。
Page2:适用范围区别:
SDN跟NFV最明显的区别是,SDN处理的是OSI模型中的2-3层,NFV处理的是4-7;
SDN主要是优化网络基础设施架构,比如以太网交换机,路由器和无线网络等;
NFV主要是优化网络的功能,比如负载均衡,防火墙,WAN网优化控制器等。
Page3:标准的制定者:
SDN是ONF,NFV是ETSI。
Page4:SDN为数据中心网络架构带来的变化:
Page5:NFV对运营商网络架构带来的变化:
Page6:NFV为终端用户网络架构带来的变化:
SDN/NFV在商用部署中面临的6大关键技术问题
技术可以创新,但网络发展必须是演进的,新技术的应用必须要充分考虑现网的平滑演进,这是网络发展的一般规律。当前,运营商存量网络规模大且设备极度复杂,部署SDN/NFV技术将是一项浩大的系统工程,多数运营商对如何实现现网到SDN/NFV的平滑演进,如何解决多厂商的兼容性、互联互通和集成部署等问题尚存疑虑,很难真正推动商用化规模部署。
正如SDN/NFV产业联盟理事长韦乐平先生的判断:“SDN/NFV整体处在现场试验、试商用和早期商用阶段,即整体刚从过度期望进入幻灭到成熟期,估计1~4年陆续进入发展期,4~8年陆续进入稳定发展期”。因此,在一些关键技术问题上如果产业界没有达成共识并形成标准,SDN/NFV很难实现商用化规模部署。
(1)开放接口标准化和互操作问题
SDN/NFV打破了原有封闭的网络架构,实现控制转发分离,软硬件解耦,以及向上层业务开放网络能力。为此,在SDN架构下,引入了新的接口,这些接口的标准化对实现开放网络架构至关重要,也是实现多厂商方案高效集成,摆脱厂商锁定的先决条件。
南向接口是控制器与转发设备之间下发流表的通信接口,目前呈现多样化发展态势(业界定义了超过15种的通信协议),这增加了厂商解决方案和运维部署的复杂度,也给不同厂商解决方案的互通带来更大的挑战。南向接口最终能否统一成少数几种协议(如Openflow或NetConf/Yang),应是业界需要亟待解决的一个问题。
北向接口是直接为业务应用服务的,其设计与业务应用的需求密切相关,具有多样化的特征。目前市场上已经出现了20余种不同的控制器,尽管每种控制器都宣称遵循Restful的接口标准,但是对外提供的接口都不完全相同,充分说明北向接口标准尚未统一。
东西向接口主要解决控制平面的扩展性问题,实现“组大网”。同时还要考虑与非SDN 网络控制平面的互通。目前,关于SDN东西向接口的研究刚刚起步,业界还存在较大争议。
上述问题带来一个直接的影响,就是跨厂商的控制器与转发设备,以及与上层业务之间不能实现完全解耦,需要逐一适配,增加了互操作的成本。
(2)性能问题
性能是运营商网络的关键指标之一。数据面的转发性能(如吞吐量、时延)直接影响到用户业务体验;控制面性能决定网络规模大小,以及业务承载容量。在SDN/NFV架构下,实现了控制与转发分离,通用硬件对专有硬件的替代,性能问题成为关注的焦点。5G微信公众平台(ID:angmobile)了解到,作者进一步指出:在数据平面,芯片是主要瓶颈,三态内容寻址存储器(TCAM)表项的容量直接影响到Openflow流表的数量,同时Openflow协议定义的灵活的报文格式及操作指令,也使得ASIC芯片全面支持Openflow协议越来越困难。而对于通用x86实现的转发面,其吞吐量更是无法达到线速转发的要求(根据测试数据,128字节,10 G物理接口吞吐量<1 G;1518字节,吞吐量<9 G)。这就需要考虑在数据处理的灵活性和吞吐量之间寻找平衡。在控制平面,SDN集中控制架构,对于控制器的性能提出了更高要求,Pakcet-in消息的处理能力、管理交换机的最大数量、流建立速率、集群能力等都是一些关键指标。从前期测试数据来看,目前中国主流厂商在这些指标上还存在明显的差异,很难满足大规模组网的需求。
另外,在引入NFV后,一方面硬件通用化、网元功能的软件化导致网络输入/输出(I/O)能力难以匹配电信网络的需求,计算能力难以满足特殊功能(如加解密、编解码、深度报文解析等)需求;另一方面,引入NFV后给中间件带来一定性能损耗。如何降低软件的开销并通过引入软硬件加速技术满足电信网络高速转发、密集计算的性能需求成为NFV需要解决的挑战之一。目前业界也提出了一些性能加速解决方案,如单根I/O虚拟化(SR-IOV)、一数据平面开发工具集(DPDK)、超线程技术和硬件加速机制等。
(3)可靠性和扩展性问题
现有网络从抗毁性的需求出发设计了分布式的控制机制,网络中的每个网元都独立地学**路由,生成转发表项,并在此基础上引入故障快速检测、快速重路由、保护倒换等机制,实现链路/节点的故障保护,提升网络可靠性。而且采用分布式的分层架构,从本质上来说分散了每个网元设备的路由运算压力,能够有效支撑网络的大规模扩展(截至2016年6月底,骨干网的IPv4路由条目>620000条)。而SDN架构采用集中的控制机制,由控制器集中完成路由计算并下发流表到转发设备,因此它成为整个网络的中枢大脑,一旦故障就会全网瘫痪,因此控制器的可靠性对于网络而言至关重要。如何避免控制器单点故障,当链路或节点故障时,网络故障如何快速上报,并快速完成流表的更新,这些问题对于控制器的实现都具有挑战。而且对于大规模的网络部署,需要考虑控制器的分层部署,以及多个控制器之间的相互协作。
在设备层面,传统的电信网络设备采用软硬一体的封闭架构,使用专有硬件,能够满足线速转发的要求,而且无论是硬件还是软件的故障都能够快速检测并启动保护机制,达到99.999%的高可靠性要求。而引入NFV 之后,采用通用硬件设备目前很难达到5个9的可靠性要求(一般通用商用化设备可靠性只能达到99.9%),而且原有软硬一体化设备分成了3层,并引入管理和编排(MANO)深度介入网元的自动伸缩等流程,因此,硬件资源层、虚拟资源层、VNF和MANO每层如何增强,3层如何协同,VNF与MANO如何配合等都会影响到整个系统的可靠性,这需要建立一套完整的可靠性体系并对三层如何协同提出明确的要求。但是,硬件资源的池化,将有助于在设备层面根据业务的需求灵活实现扩缩容,这是传统电信网络设备无法实现的。
(4)与现有运维系统的协同问题
在SDN/NFV 架构下,引入新的网元管理实体,对现有网络体系架构下的系统和设备运维都会产生影响,特别是传统网络与SDN/NFV 网络共存阶段,如何处理与传统网络中运营支撑系统(OSS)/基本服务集运营支持系统(BSS)等管理、运维系统的关系,原有OSS/BSS及网管系统如何与MANO协作配合,物理网络功能(PNF)和虚拟网络功能(VNF)如何协同管理,控制器与原有非SDN设备如何对接等,上述问题的解决将会是一个长期复杂的过程,需要在SDN/NFV实际应用部署中不断探索和完善。
SDN/NFV 产业联盟理事长韦乐平给出了一个观点,他认为网管系统的演进方向应当是“纵向分割,横向协同”,新系统基于开源码和开放应用程序编程接口,负责虚拟资源的动态管理,而原有网管系统负责物理网元的管理,通过顶层的业务生命周期管理编排提供横跨虚拟资源和物理资源的端到端业务;而新老系统通过信息模型的转换实现横向互通,很理想,但不现实。
(5)安全问题
相比传统电信设备,软硬件分离的特点以及网络的开放性给网络带来了新的潜在安全问题:一是引入新的高危区域——虚拟化管理层;二是弹性、虚拟网络使安全边界模糊,安全策略难于随网络调整而实时、动态迁移;三是用户失去对资源的完全控制以及多租户共享计算资源,带来的数据泄漏与攻击风险。
在NFV 环境中,可能存在安全风险的关键组件包括VNF组件实例、绑定到VNF 组件实例的本地网络资源、远程设备上对本地VNF 组件实例的参考、VNF组件实例占用的本地、远程以及交换存储等。在发生安全事故的情况下,如何保证这些关键组件所涉及的硬件、内存不被非法访问,如何保证VNF上应用的现有授权不被改变,本地和远程资源彻底清除崩溃的VNF 资源及授权不被滥用,是NFV 安全面临的关键技术挑战。
此外,控制器开源和开放的特性,使其自身也具有潜在的安全风险,需要建立一套隔离、防护备份机制来确保其安全稳定地运行,这既包含控制器自身的安全问题,也包含控制器和应用层之间以及控制器和转发设备之间的安全问题。
(6)集成部署问题
运营商引入SDN/NFV 技术,其中的一个初衷是期望通过推动硬件和软件的分离,软件功能的分层解耦,进一步细化和拉长产业链环节,从而摆脱厂商锁定。引入NFV 后,原先由单一厂商提供整套软硬件一体的系统,将分解成来自不同厂商的不同组件,复杂度会**提升。从架构上看将会是一个巨大的ICT系统集成工程,包括NFVI的集成、VNF 的集成和业务网络的集成,涉及的系统、厂商、地域和接口都非常多。现阶段,NFV 相关接口的标准化进度不一,部分接口将直接采用开源软件,部分API 难以完全标准化。此外,开源软件和厂商定制化软件解决方案所采用的私有协议和接口,都将成为NFV 系统集成和工程联调面临的巨大挑战。
