NFV和SDN在云数据中心的协同部署

刘瑛

（中国移动通信集团广东有限公司，广州 510000）

NFV和SDN在云数据中心的协同部署

刘瑛

（中国移动通信集团广东有限公司，广州 510000）

为了解决云数据中心网络面临的诸多挑战，本文提出了一种NFV和SDN在云数据中心的协同解决方案，分析了部署方案中的关键网元，给出了NFV基于传统网络环境和基于Overlay网络环境的两种部署架构，并分析NFV和SDN协同部署时需要重点关注的问题。

网络功能虚拟化；软件定义；网络叠加；网络协同部署

1 云数据中心面临的挑战

云数据中心以自助服务模式、灵活产品形态、虚拟化和可扩展的能力，在业界各领域的应用越来越广泛。越来越多的政府机关和企业将应用服务搬迁至云上。随着云计算技术的普及推广，云数据中心的用户数量也呈指数级增长。如何给诸多用户提供隔离的网络环境、提供多样化、可定义的网络服务，并且确保云端服务的安全稳定和可靠，是云数据中心在网络技术上面临的最大挑战。

1.1 隔离的虚拟网络环境挑战

云数据中心的物理组网拓扑需要同时承载全部云用户的虚拟网络数据流，且不同用户的虚拟网络数据流之间需要安全隔离，这样才能确保云用户间威胁不互相传染，信息不互相泄露。在前期的云数据中心解决方案中，通常是网络设备采用VLAN或者VRF的技术方案来实现用户虚拟网络的隔离。VLAN方案有4096个最大支持数的限制且无法支持用户多子网的情况，VRF方案虽然可以支持用户多子网，但是受限于硬件设备性能，设备可支持VRF数量有限，也难以满足日益增多的用户数量。同时，云数据中心内承载的业务越来越多，用户类型也越来越杂，不同用户的IP地址规划也越来越紧张。特别是一些用户希望将前期已有的业务平台保持IP地址不变来实现平滑迁移至云数据中心，这样就极易造成用户间的IP地址冲突，目前暂时没有很好的方案解决。

1.2 灵活可定义的网络业务链挑战

不同用户类型不同业务平台，对网络服务的需求都不一样。访问量大的业务平台需要负载均衡服务来实现请求分发，减轻Web服务器访问压力；企业内部系统看重部门间的数据隔离，需要多子网的组网架构；对安全要求较高的系统则需要在数据链路上设立多重安全访问限制和主机漏扫、抗DDoS服务等。传统的网络资源呈现僵化的固态形状，无法随着网络规模调整、用户业务变更等进行灵活、动态调整。同时，传统网络的服务链和网络拓扑有紧密的耦合，数据流引流较为复杂，无法满足租户自定义不同网络服务链的需求。

在此背景下，网络界出现的具有变革性意义的NFV（Network Functions Virtualisation，网络功能虚拟化）和SDN（Software Defined Network，软件定义网络）迅速吸引了业界人士的眼球。通过SDN和NFV的协同部署来实现云数据中心的网络架构改造，成为业界共同思考和实践的方向。

2 NFV和SDN的协同解决方案

SDN是一种创新性的网络架构，它定义了开放的可编程接口、集中化控制和控制转发分离这三个架构特征，实现网络上前所未有的可编程性。在云数据中心，SDN通常与Overlay技术相结合应用。Overlay是一种网络架构上叠加的虚拟化技术模式，通过类似于隧道形式来实现不同用户应用在网络上的承载和隔离。VxLAN是广受业界认可的Overlay技术。网络设备在转发平面采用VxLAN虚拟化技术模式，使云资源池化可以摆脱物理网络的重重限制；网络设备在控制层面采用SDN模式，使云网络业务实现更加灵活便捷。

NFV是一种创新性的网络设备形态，它通过广泛使用的硬件承载各种各样的网络软件功能，实现传统网络设备的同等功能。基于通用硬件设备，芯片处理能力相对较弱，NFV通常用于实现负载均衡、防火墙这种对转发性能要求不高的产品功能。众所周知，网络由网元功能及其之间的网络连接共同组成，而SDN和NFV就是类似于网络连接与网元功能的关系[1]。SDN提供网络连接，NFV提供网元功能，二者相互独立又相互补充[1]。一方面，NFV为SDN的运行提供新的网元形态，增加了网络功能部署的灵活性。另一方面，NFV的软件控制平面被转移到了集中控制器，SDN进一步推动NFV功能部署的方便性。

2.1 SDN和NFV融合部署网元分析

在云数据中心，以SDN、NFV为核心，以Overlay技术为支撑的网络架构体系，具备网络自定义、网络自动化、网络弹性化、运维简单化等技术优势。SDN和 NFV的融合部署网络架构体系，通过SDN控制器实现NFV设备和Overlay网络设备（运行Overlay协议的网络设备）的统一控制和逻辑抽象，并根据业务需要灵活地对NFV设备、Overlay网络设备进行细粒度、自定义的编排，使得业务流量按照控制器的编排顺序经过抽象网络功能节点，为云用户提供可靠、可调、差异化的网络服务。

2．1．1 SDN控制器集群

SDN控制器集群作为融合网络架构的核心“大脑”，负责对云数据中心的物理网络及虚拟网络的管控，同时遵循开放、合作的方式，北向可与各类云数据中心业务平台进行对接，完成网络业务的快速部署及调整，南向支持通过NetConf、OVS-DB等标准协议对网络设备进行配置管理。

2．1．2 Overlay网络设备

以市场上主流的Overlay技术VxLAN技术为例，Overlay网络设备是指云数据中心网络架构体系中运行VxLAN协议的网络设备。VxLAN网络设备主要有两种类型，分别是VTEP（Vxlan Tunnel End Point）和VxLAN硬件网关（VxLAN Gateway）。在云数据中心，VTEP通常是虚拟交换机，它以软件包的形式安装到计算节点上，直接与云数据中心虚拟机相连，负责把用户原始VLAN数据分组封装到VxLAN隧道和匹配对应的隧道解封装。VxLAN硬件网关除了具备VTEP的功能外，同时也是数据中心内部服务向往发布业务的出口，提供Overlay与经典网络互通的通道。受限于高性能的转发需求，VxLAN 硬件网关通常是高性能物理交换机。

云用户内部虚拟机之间的数据通信，是通过计算节点上的虚拟交换机来完成数据承载。虚拟机与外部网络之间的流量转发，则是通过计算节点上的虚拟交换机和VxLAN硬件网关来完成数据承载。

2．1．3 Underlay网络设备

对于Openstack云数据中心的网络应用而言，具体网络实现只与VxLAN设网络备相关，而与底层物理网络无关。因此，在云数据中心中这类与业务变更无关的设备称为Underlay网络。这类经典网络设备，在融合网络中承担数据转发角色。

2．1．4 NFV网络设备

NFV作为新网络架构不可或缺的产品组件，不仅承担独立NFV产品的业务功能，更为重要的是能够与SDN控制器集群配合，构建形态丰富、按需可取的服务链资源池，包括虚拟防火墙（VFW）、虚拟负载均衡（VLB）、虚拟路由器（VSR）等，做到业务部署的弹性伸缩、快速索取、自动化，完全由用户自定义。

云数据中心的NFV可以部署在物理服务器上，也可以部署在虚拟机上。通过硬件上加载各种各样功能的网络软件系统，即可以实现不同网络设备功能。基于虚拟机NFV池化的部署方式，减少对资源的需求，实现更为灵活便捷。

2.2 SDN和NFV融合部署架构分析

NFV部署极为灵活，可以在数据中心组网中进行灵活的配置。基于NFV不同的部署方式，SDN和NFV协同新网络架构有两种部署形态。

图1 SDN和NFV融合部署架构-NFV传统网络环境

第一种部署形态，如图1所示，NFV旁挂在VxLAN硬件网关上，位于云数据中心业务出口侧，运行在传统网络环境中。在这架构中，VxLAN硬件网关和Vswitch设备构建了一个Overlay网络环境，用户虚拟机都承载在Overlay网络中。如用户的东西流量，通过位于不同物理服务器上的Vswitch构建一个独立流量隧道，用户的南北流量，即访问公网的流量，通过虚拟机所在的物理服务器的Vswitch和VxLAN硬件网关构建一个独立的流量隧道。因为NFV部署在Overlay网络外，因此用户虚拟机与NFV网络设备间的流量，类似于用户南北流量模式，需要通过VLXNA硬件网关进行VLAN-VxLAN数据的封装和解封装。即，虚拟机至NFV的流量均需要绕行至核心交换设备VxLAN硬件网关层面，才能进行数据转发。

第二种部署形态，如图2所示，NFV分布式部署在云数据中心的虚拟机上，运行在VxLAN网络环境中。在这架构中，VxLAN硬件网关、Vswitch设备和NFV网络设备共同构建一个Overlay网络环境，用户虚拟机和NFV数据流量都承载在Overlay网络中。如用户的东西流量和用户的南北流量，同第一种部署形态下的运行机制一致。用户虚拟机与NFV网络设备间的流量，类似于用户东西流量模式，通过位于不同物理服务器上的Vswitch构建一个独立流量隧道。NFV流量可以直接在接入交换机层面进行数据交互，流量无需绕行至核心交换设备。

3 协同部署的关键问题分析

3.1 多租户的隔离问题

SDN和NFV的协同解决方案应用在云数据中心，首先要解决多用户网络隔离问题。为确保隔离性，云数据中心不同用户需对应一个隔离的NFV网元。

图2 SDN和NFV融合部署架构-NFV Overlay环境

若NFV部署在Overlay网络中，用户独享的NFV网元，其相关业务IP与用户自定义网段一致。在Overlay网络中，同一用户的数据流量会封装在一个或者多个VxLAN的隧道中。通过物理服务器上的虚拟交换机进行VxLAN隧道封装，Underlay网络设备无法获取隧道里面IP及数据信息，用户数据的隔离是最彻底的，这种情况下还支持不同用户间使用相同的IP。可以达到Overlay网络隔离效果。虚拟机与NFV网元间的数据交互机制，与同子网虚拟机之间数据交互机制一致，直接通过虚拟交换机进行数据封装，隔离效果佳。

若NFV部署在传统网络中，NFV不能通过上述VxLAN隔离方式，而是要通过传统网络隔离技术，如VLAN或者VRF方式来实现用户之间数据流量的隔离。因为NFV部署在通用设备上，也可以通过Linux的Namespace名字空间来实现用户空间的隔离，但是隔离效果也不太理想。如前面分析，VLAN和VRF方案都有最大支持数的限制，扩展性相对较差，同时也不允许用户间IP地址冲突。在这种部署模式下，SDN控制器需要特别注意维系记录好同一用户在传统网络环境和Overlay网络环境的映射关系，如VLAN和VxLAN的映射。

3.2 SDN与NFV的管理通信

SDN和NFV的协同解决方案应用在云数据中心，是利用SDN控制器来实现对Overlay网络设备和NFV网络设备的共同纳管，通过基于传统网络的带外管理网来实现信息交互。Overlay网络设备有VxLAN硬件网关和虚拟交换机这两种类型的网络设备。VxLAN硬件网关是专用网络设备，通过独立的带外管理接口接入管理网。虚拟交换机是部署在物理服务器上的，可以通过服务器的管理网口接入到管理网中。

SDN和NFV的管理通信，与NFV的部署架构紧急相关，不同架构实现方案不一样。若NFV部署在传统网络中，NFV运行在VLAN环境中，可以直接接入管理网与SDN控制器进行数据通信。若NFV部署在Overlay网络中，NFV以虚拟机形态运行在Overlay网络中，其业务和管理口均通过其所在的服务器上Vswitch进行的VxLAN数据封装，无法与SDN控制器进行直接通信。因此，在SDN和NFV的管理链路中，需要引入一个VxLAN硬件网关，进行VxLAN数据的封装和解封装。

3.3 NFV的高可用和动态扩展

NFV作为网络设备的一种特殊存在形态，也需要遵循网络设备冗余模式，单台故障不影响业务。NFV要有自身的保活机制，当保活异常时，备设备能自动升级为主设备。同时NFV还需要MAD检测机制，能够有效防止脑裂。在部署时需要重点关注的是，对NFV网元业务接口（与用户虚拟机数据交互）和管理接口（与SDN控制器数据交互）的整体全面监控，任意一个接口通信或者工作异常，均需触发冗余切换机制。

NFV采用虚拟机池化部署方式，需要考虑动态扩展机制来实现业务的规模扩展。若NFV部署在传统网络中，受限于传统网络隔离技术的限制，最多只能支持4094个NFV网络虚拟化设备。若NFV部署在Overlay网络中，弹性扩展NFV的扩展相对比较灵活，在部署时需要重点考虑承载NFV虚拟机的动态扩展。

4 结束语

SDN和NFV作为一种革命性的新技术必将对未来网络的演进带来举足轻重的影响[2]。SDN和NFV的融合部署还处于实践起步的阶段，关于NFV基于传统网络部署还是基于Overlay部署这两种方式谁优谁劣尚无明确定论。SDN和NFV协同部署架构和后续运维模式改变，仍需要不断的探索和实践[3]。

[1] 顾戎， 王瑞雪， 李晨， 等． 云数据中心SDN/NFV组网方案、测试及问题分析[J]． 电信科学，2016(1)．

[2] 赵辉，丁鸣， 等． SDN与NFV技术在云数据中心的规模应用[J]．电信科学，2016(1)．

[3] 段晓东． 云数据中心SDN/NFV应用分析[J]． 电信技术， 2015(7)．

广东移动打造大数据创业创新孵化园

日前，国内“互联网+”和数据产业巅峰盛会——大数据应用及产业发展大会在广州召开，珠三角国家大数据综合试验区作为全国首批确定的跨区域类综合试验区正式获批。其中，广东移动大数据创业创新孵化园成为全省首批3个大数据创业创新孵化园之一。

为推动“大众创业、万众创新”，广东移动2015年成立了广东移动孵化器，向公司内部员工和社会创业人士开放。入孵的创业团队中，已有3家获得了A轮投资，3家获得了天使投资。在原有孵化器的基础上，广东移动整合中国移动南方基地资源，建设了广东移动大数据创业创新孵化园，作为公司大数据能力开放的窗口。

作为国内最大的省级通信运营商，坐拥“大数据金矿”的广东移动积极开展大数据应用创新探索，并于今年上半年正式推出“蜂巢”大数据品牌和“城市热力图”、“和信用”大数据征信等一系列产品。此外，广东移动还联合广东省大数据局举办了大数据创新大赛，吸引了100多个团队参与。

据悉，目前与广东移动开展孵化合作的企业超过120家，覆盖金融、交通、旅游、安全、电力、教育、医疗、零售等8个行业，累计在大数据领域的基础建设和应用服务方面带来的年经济效益达到10亿级，企业估值超百亿。 （摘自：南方网)

Collaborative deployment of NFV and SDN in cloud data centers

LIU Ying
(China Mobile Communication group Guangdong Co., Ltd., Guangzhou 510000, China)

In order to solve the challenges in the cloud data center network, this paper proposes the solutions that nfv and SDN apply in cloud data center collaboratively, analyzes key elements in the deployment scheme, provides two deployment methods that one is based on traditional network environment and one is based on overlay network environment, and analysis key problems that those need to be focused in NFV and SDN collaborative deployment.

NFV; SDN; overlay; cooperative-deployment News

TP393

A

1008-5599（2016）11-0088-05

2016-08-27