NFV

NFV简介

　　NFV，即网络功能虚拟化，通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。从而降低网络昂贵的设备成本。可以通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。

　　NFV与SDN的区别

　　NFV的初衷是通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。典型应用是一些CPU密集型功能，并且对网络吞吐量要求不高的情形。主要评估的功能虚拟化有：WAN加速器，信令会话控制器，消息路由器，IDS，DPI，防火墙，CG-NAT， SGSN/GGSN， PE， BNG， RAN等。

　　SDN的核心理念是，将网络功能和业务处理抽象化，并且通过外置控制器来控制这些抽象化的对象。SDN将网络业务的控制和转发进行分离，分为控制平面和转发平面，并且控制平面和转发平面之间提供一个标准接口。需要指出的是，控制平面和转发平面的分离，类似于现代路由器的架构设计方法，但是SDN的设计理念和路由器的控制转发分离完全不同。

　　从上面可以看出，NFV可以采用SDN进行实现（如采用控制转发分离的方法来搭建服务器网络），但是NFV也可以采用普通数据中心技术来实现。

NFV百科

　　NFV，即网络功能虚拟化，Network Function Virtualization。通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。从而降低网络昂贵的设备成本。可以通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等。

　　NFV与SDN的区别

　　NFV的初衷是通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。典型应用是一些CPU密集型功能，并且对网络吞吐量要求不高的情形。主要评估的功能虚拟化有：WAN加速器，信令会话控制器，消息路由器，IDS，DPI，防火墙，CG-NAT， SGSN/GGSN， PE， BNG， RAN等。

　　SDN的核心理念是，将网络功能和业务处理抽象化，并且通过外置控制器来控制这些抽象化的对象。SDN将网络业务的控制和转发进行分离，分为控制平面和转发平面，并且控制平面和转发平面之间提供一个标准接口。需要指出的是，控制平面和转发平面的分离，类似于现代路由器的架构设计方法，但是SDN的设计理念和路由器的控制转发分离完全不同。

　　从上面可以看出，NFV可以采用SDN进行实现（如采用控制转发分离的方法来搭建服务器网络），但是NFV也可以采用普通数据中心技术来实现。

　　NFV与云计算的区别

　　一个很大的区别在于，云计算通常被用来托管此前在内部运行的IP语音应用。IaaS只是托管虚拟机，这意味着，这些语音应用放到云中，并没有发生功能性改变。而NFV托管应用组件的方式允许组件根据性能或可用性需求进行扩展。

　　云计算VoIP/UC和NFV语音之间的第二个重要区别在于，NFV允许在任何合适的硬件上部署语音应用组件，这意味着，在理论上，你可以在内部服务器、网络接入设备或边缘路由器、以及云计算中运行“云语音”应用。然后你可以构建云语音应用，然而，这些应用可以部分被推送到所有位置的本地设备，如果云语音服务出现故障，这还可能保证你继续使用呼叫功能。

　　云计算和NFV的第三个区别在于，在云语音中，语音应用位于网络中，这意味着，它只是另一个网络用户，对网络行为的控制或与网络管理的整合不会超过用户设备的水平。在NFV中，你可以构建一个包含托管功能和网络连接的语音服务，并将这两者作为整体来管理。这可能会鼓励供应商捆绑语音服务与云计算和VPN等技术，并推动语音服务提供商增加托管SBC、防火墙等功能。

　　最后的区别是，NFV关乎管理，这是云计算中通常被忽视的部分。NFV的目标在于，通过改善管理来显著降低运营成本。如果满足了这个目标，这意味着IP语音服务，甚至是UC/UCC，会变得不那么昂贵，在给服务提供商带来更高利润的同时，帮助用户降低成本。

　　NFV的管理框架

　　从理论上讲，NFV可以存在于专用物理服务器上，也可以运行在云计算中的虚拟服务器中。但在实践中，由于没有涵盖所有这些选项的统一管理框架，因此很难提供如此广泛的部署选择。

　　为了解决这个问题，我们可以将虚拟功能放在云中，并使用OpenStack作为云软件平台。OpenStack有着广泛的行业支持，并且它有一个网络即服务框架，Neutron（以前被称为Quantum），其插件能够支持大部分主流SDN技术，甚至还能支持一些专有网络管理系统（NMS）。然而，Neutron正在逐渐发展为满足云计算的需求，而不是满足网络运营商更广泛的需求，因此，早期NFV部署将需要为运营商网络扩展Neutron，以涵盖云计算中不存在的传统的端到端连接等功能。在这种情况下，开发人员需要增强Neutron，或者绕过它不支持的模型。

　　NFV在域网中的五大应用场景

　　在ETSI的标准中，对于NFV的应用定义了多个不同的场景，结合城域网主要包括如下。下面我们就来分析NFV在域网下的5种应用模式

　　vRR

　　在骨干网全连接架构中，有一对或者多对路由器承担着向全网设备反馈路由信息的功能，这就是路由反射器（RR），一般由专用硬件芯片架构的高端核心路由器来做全网RR. 由于RR的最主要功能是计算路由，而非转发流量，因此在大型骨干网中，RR可以率先迁移到x86架构上，能够更快适应使用者需求的变化和差异。例如，改变BGP路由下一跳的机制，引入源地址等综合信息进行选路，能够通过智能的方式实现骨干网流量负载均衡的初级阶段。在这个阶段，骨干网高端核心路由器不需要做任何改变，按照传统标准的方式去接受RR反射的路由信息。所以现阶段，具备极高的可实施性。

　　图2 NFV在城域网作为增强型RR

　　运营商引入x86架构的RR的目标绝不仅止于此。在完成骨干网流量负载均衡的初级阶段部署后，运营商希望能够从现有骨干路由器上提取到更丰富的流量信息，通过部署Controller来搜集全网流量信息，Controller通过综合计算和策略匹配，精确调度骨干网络流量，实现理想的流量工程。相较于初级阶段的RR x86化及协议增强，理想目标阶段需要现网的设备升级或者更换才能够支持相关标准控制协议，而控制协议的标准化和完善本身也需要一些时间去积累。

　　vFW

　　防火墙需要实现对传统网络环境中的安全域进行隔离，也需要实现对虚拟化环境中的安全域（如生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ 域及其子区等）的隔离。对于传统网络环境中的安全域可采用传统防火墙、传统的部署方式即可，而对于虚拟化环境中的安全域可采用虚拟化防火墙实现。

　　传统防火墙的形态是专用硬件，其支持在硬件防火墙内部进行虚拟化，即将一台物理防火墙虚拟化成几十个、几百个，甚至上千台相互独立的逻辑防火墙。每个虚拟防火墙系统都可被看成是一台完全独立的防火墙设备，拥有独立的系统资源，且能够实现物理防火墙的大部分功能。然而，这并不是NFV的概念。

　　利用NFV技术，将物理防火墙的各种板卡都转成虚拟机，这些虚拟机被安装在普通x86服务器上，通过内部网络通信构成一个可扩展的极大容量的防火墙集群。从管理角度上看，整个集群就是一个超大容量的防火墙，需要具备如下功能。

　　丰富的网络和安全功能，能够满足企业分支及公有云多租户环境中的网络安全需求。

　　控制平面和数据平面分离，专门为虚拟环境优化的多核数据转发，更充分利用计算资源。

　　模块化的体系架构，开放的网络平台，允许网络按需运行和控制，更容易实现NFV/SDN落地。

　　和物理网络设备采用统一的软件平台，提供相同的功能特性和一致的管理界面。

　　vDPI

　　传统部署DPI的方式是把DPI嵌入各种网络设备当中，如会话边界控制器（SBC）、流量检测功能（TDF）、网关GPRS支持节点（GGSN）等，如图3。

　　图3 传统DPI部署方式

　　这种方式的主要缺点是在不同的硬件平台上多次实现DPI技术带来的高成本。另外，应用程序之间的互通比较困难，因为每个供应商都可能会有私有的执行DPI和展示结果的方式。举例来说，一个供应商可能把一个信息流归类为Twitter，但是别的供应商可能把它当做社交媒体。

　　有了SDN和NFV，DPI可以从嵌入的网络设备中迁移，成为托管在标准服务器上的共享功能（如图3右侧部分）。这种方式降低了DPI所需的总投资，因为这样一来DPI只需要在更少的机器上实现（减少固定资产投入）而且减少能源消耗（减少操作成本）。此外，不同功能和DPI应用程序之间的互通不再那么复杂，因为对应用程序ID和元数据执行一致的格式相对而言更容易一些。有了SDN/NFV，DPI可能不会再驻留在现有的位置。

　　vPOP

　　运营商在思考将x86这种具有更高计算能力和更标准、灵活的硬件架构引入到传统城域网的业务边缘层的可能性。通过部署x86架构下的虚拟CPE（vCPE）、虚拟BRAS（vBRAS）和虚拟NAT（VCGN）等资源池，使得业务边缘的用户接入控制能力得以灵活扩展。

　　运营商首先在vCPE方向上进行实践，将原来散落在用户家庭中的接入网关的高级功能上收到汇聚节点，在家庭侧只需要部署最简单的二层接入设备，大大降低客户端的投资和维护成本。

　　vCPE方案通过将传统的接入网关分为VG和PG两个功能网元，将采用专有硬件的PG功能弱化，降低了设备采购成本及后续升级换代需求；实现大部分网络功能的VG采用基于通用服务器的NFV技术实现，使新功能新业务的实现不再依赖硬件设备的更新，可有效控制成本，同时极大降低TTR。基于NFV的VG可集中部署于运营商的数据中心机房，实现设备的集中管理维护，有效降低维护成本。

　　vCPE方案通过将用户出口网关上收到运营商数据中心机房，可更好地了解用户业务需求，整合用户消费需求及网络提供能力，推出各种增值业务创造新的利润增长点。同时，运营商可很好掌握用户网络操作行为，提供实时行为分析，保障用户网络安全，同时满足各种合规需求。

　　vCPE的应用不仅可以有效降低网络建设成本，通过运营商数据中心集中部署降低维护成本，同时用户的接入功能通过云化网络服务平面实现，与SDN技术结合通过Service chain还可向客户提供IT办公云、网络安全和其他增值服务，即将企业ICT应用功能迁移到运营商的公有云中，并通过SDN智能专线实现用户按需对应的访问，达到云网协同一体化的目标。

　　图4 vCPE部署方式

　　同时，BRAS和CGN也在尝试向x86方向发展。在国内运营商城域网中，BRAS是最为关键的网络设备和角色类型。以BRAS及其以下的接入网为模块，不断复制模块扩容的方式建设城域网是最为典型模式。这种模式的网络配置相对固定，可以很好地实现简单业务的网络扩容，但是也存在非常明显的问题：城域网内各个BRAS之间各自为政，无法实现资源共享。比如在用户聚集的地方只能多部署几台BRAS，多从接入网拉连一些光纤链路到BRAS机房，如此BRAS和链路的利用率都不高。在x86架构下，BRAS和CGN作为VNF部署在标准服务器上，标准服务器可以通过平滑扩展的方式增强计算和转发能力，并且能够更好地适应L4-L7业务能力。在城域网业务边缘层形成一个新的vPOP，将各种VNF相对集中部署形成资源池，资源池内可以面向用户、业务灵活调整资源，从而提升全网使用效率。同时在城域网范围内集中部署vPOP的Controller，实现资源状态的查看、配置、维护、调整等功能。

　　图5 NFV应用在城域网vPOP

　　vPOP对于运营商而言，是一种可以承载新的商业模式的城域网新边缘节点。电信运营商不仅可以根据自身业务发展利用vPOP面向用户提供差异化的增值业务，也可以与SP、虚拟运营商等第三方合作，为其提供差异化的用户体验，进一步体现出电信运营商在互联网时代产业链中的整合价值。

　　图6 NFV应用在城域网带来的新商业模式

　　由于运营商需要复杂的技术验证机制和决策流程，所以整体上进展相对缓慢。运营商的大网上设备种类繁多，大网的流量也不可预知。而企业网/校园网的网络相对封闭，流量模型比较简单，有较强的可预测性。所以在运营商大网这种开放的网络中部署SDN/NFV的难度相对高一些。但运营商也逐步在网络中引入SDN/NFV，同时进行大量试点工作。

　　在企业网中，大量使用的VPN网关也可以通过NFV功能来实现。最典型的是公有云VPC业务，通过在x86架构的虚拟机上部署防火墙、VPN网关等，将企业网络扩展到公有云中，为企业进行统一的网络管理，包括网络配置、安全策略、管理策略等。通过部署QoS、WAN优化等提供一致的业务体验。这不仅可以让企业员工通过VPN安全、快捷地访问公有云，而且企业公有云和私有云二层安全互联，实现资源统一管理、动态调配、应用灵活部署和自由迁移。

　　图7 NFV应用在数据中心多租户

　　在IDC的一项面向全球CIO的调查中显示，NFV服务中他们最感兴趣的是SSL VPN（63.5%），紧随其后的是虚拟化/云VPN（55.2%）、基于云计算的安全web网关（45.3%）和基于云计算的IPSEC VPN网关（43.2%）。

　　从CIO的角度来看，NFV的服务特性可以很好地适应亚太地区分散的网络格局。此外，NFV使企业能够通过统一的在线入口实现对不同位置分支网络进行网络服务的实时激活和配置，消除了“一个位置、一个设备、一个服务”的模式。

　　目前阶段，运营商主要关注SD-WAN，运营商能够促进客户多个三层VPNs（用于隔离）的销售，并能为企业提供隔离和端到端的网络加密。安全和隔离的集成正在成为许多行业如金融服务和医疗健康的要求 ，促进政企客户的销售。根据数据显示，在1437名被调查对象中有54%的企业因其成本低廉而考虑部署SD-WAN。

　　图8 AT&T和爱立信的SD-WAN方案

　　在校园网中，Openflow的概念最早就是用于校园网络的试验创新，现阶段校园网更多关注Openflow交换机和云平台产品和方案。校园网解决方案需要充分考虑对现网设备的兼容和利旧，提供平滑演进的解决方案。在设备层面，提供一机双平面，使得设备既可以处理传统网络业务，也可以处理SDN业务，既与传统网络联合组网，也可以与SDN网络联合组网，保证其平滑演进。同时，在协议层面，建议采用Agent的方式兼容不同的Openflow协议版本，兼容不同的SBI协议接口，使设备可以通过简单的软件适配满足不同的协议要求和演进要求，充分保护网络投资。

　　vCDN

　　CDN服务通常部署在靠近网络边缘的内容缓

　　存上，以改善用户业务体验质量。目前，CDN提供商、运营商利用高速缓存技术，使用专用的硬件为用户提供这种服务。由于硬件资源的设计为高峰时满负荷，这些缓存资源在生命周期内大多数时间未能得到充分利用。并且在当前的部署方案中，不同服务商部署的CDN节点都是独立的，整体容量的使用效率不高，尤其是对于潮汐现象，利用率非常低。

　　随着终端用户尤其是智能终端的普及，以视频为首的内容提供成为了网络服务提供商的业务主增长的重点。而视频流量的大幅增长，对用户体验也提出了更高的要求，CDN随之水涨船高。在CDN上使用NFV技术，可针对CDN控制器，也可针对Cache进行。通过在邻近终端用户侧数据中心的x86通用服务器上执行相关VNF，实现Cache的功能，从而实现资源的高效利用，保证用户体验。

　　利用和部署NFV实现虚拟化缓存，底层硬件资源可以被合并，并在多个供应商的CDN缓存和其他的VNFs中实现动态共享，从而有效提高缓存资源的使用率。

　　图9 NFV应用在城域网vCDN