SDN实战精讲(完整版)第6篇:NFV与SDN融合架构
摘要
本文将带你深入了解网络功能虚拟化(NFV)及其与SDN的协同融合。你将学到NFV的基本概念和价值、ETSI NFV架构框架、虚拟网络功能(VNF)、NFV基础设施(NFVI)、管理与编排(MANO),以及NFV与SDN在数据中心优化、路由服务、实时网络服务等场景的协同应用。通过本文,你将掌握NFV-SDN融合架构的设计原则和实施方法。
学习目标
阅读完本文后,你将能够:
- 能力1:清晰阐述NFV的定义、价值与ETSI NFV架构框架
- 能力2:详细描述VNF、NFVI、MANO等NFV核心组件及其功能
- 能力3:理解NFV与SDN的协同优势,能够识别适合协同的应用场景
- 能力4:掌握VRF和LISP技术在NFV-SDN融合中的应用
- 能力5:了解NFV-SDN在负载均衡、防火墙、IDS等实时网络服务中的优化应用
引言:从专用硬件到虚拟化功能
传统网络依赖专用硬件设备来实现网络功能(如路由器、交换机、防火墙、负载均衡器等)。这种模式存在几个明显问题:硬件成本高、部署周期长、扩展性有限、资源利用率低、管理复杂。
51学通信认为:“NFV和SDN是网络现代化的两大支柱技术,它们从不同角度推动网络转型。NFV解决’什么’的问题——将网络功能从专用硬件中解放出来;SDN解决’如何’的问题——提供集中控制和可编程能力。两者融合可以产生1+1>2的协同效应。”
NFV和SDN的融合代表了网络架构的深刻变革。通过将网络功能虚拟化并结合SDN的集中控制,网络变得更加灵活、可扩展、易于管理,同时降低了成本和复杂性。
一、NFV的基本概念
1.1 什么是NFV
网络功能虚拟化(NFV,Network Functions Virtualization)是一种将网络功能从专用硬件设备中解耦,转而在通用硬件上以软件形式运行的技术架构。
NFV的核心思想:
- 功能解耦:将网络功能与专用硬件分离
- 软件实现:网络功能以软件形式(VNF)运行在通用服务器上
- 资源池化:计算、存储、网络资源以资源池形式提供
- 动态部署:根据需求动态实例化和部署网络功能
1.2 NFV的市场价值
| 价值维度 | 说明 |
|---|---|
| 降低成本:减少对专用硬件的依赖,使用通用x86服务器 | |
| 加速部署:软件化功能可快速实例化和部署 | |
| 提高灵活性:动态扩展或缩减网络功能 | |
| 提高资源利用率:共享硬件资源,避免过度配置 | |
| 促进创新:加速新网络功能的开发和测试 |
1.3 NFV与SDN的关系
NFV和SDN是互补但独立的技术。
独立价值:
- NFV可以独立于SDN部署,提供网络功能的虚拟化
- SDN可以独立于NFV部署,提供网络的集中控制
协同价值:
- SDN控制器可以动态配置VNF之间的连接
- SDN可以实时优化VNF的流量分发
- NFV提供灵活的资源池,SDN提供智能的控制逻辑
flowchart TB subgraph NFV[NFV层] VNF1[VNF-防火墙] VNF2[VNF-负载均衡] VNF3[VNF-DPI] VNF4[VNF-路由器] end subgraph NFVI[NFVI层] Compute[计算资源池<br>CPU/内存] Storage[存储资源池<br>磁盘/闪存] Network[网络资源池<br>带宽/VLAN] end subgraph MANO[MANO层] Orchestrator[编排器] VIM[虚拟化基础设施管理器] VNFM[VNF管理器] end subgraph SDN[SDN层] Controller[SDN控制器<br>集中控制/智能路由] NBI[北向接口<br>应用集成] SBI[南向接口<br>设备控制] end VNF1 -.基于.-> NFVI VNF2 -.基于.-> NFVI VNF3 -.基于.-> NFVI VNF4 -.基于.-> NFVI MANO --> VNF1 MANO --> VNF2 MANO --> VNF3 MANO --> VNF4 Controller -->|配置连接| VNF1 Controller -->|配置连接| VNF2 Controller -->|配置连接| VNF3 Controller -->|配置连接| VNF4 Orchestrator <--> Controller style NFV fill:#e8f5e9 style NFVI fill:#fff3e0 style MANO fill:#e1f5ff style SDN fill:#f3e5f5
图表讲解:这个架构图展示了NFV与SDN的融合关系。NFV层包含各种虚拟网络功能(防火墙、负载均衡、DPI、路由器),它们运行在NFVI层提供的资源池上。MANO层负责VNF的生命周期管理和编排。SDN层通过控制器与VNF交互,配置它们之间的网络连接,实现智能的流量路由和控制。控制器与编排器之间的协同使NFV-SDN融合架构能够实现自动化的服务部署和动态优化。
这种融合架构提供了业务灵活性、运营效率和资源利用率的多重优势。NFV使网络功能可以快速部署和扩展,SDN使网络连接可以动态优化,两者结合实现了真正的软件定义网络。
二、ETSI NFV架构框架
2.1 ETSI NFV架构
欧洲电信标准化协会(ETSI)制定的NFV架构框架成为行业标准。
NFV架构的三层:
- 网络功能虚拟化基础设施(NFVI):提供硬件资源(计算、存储、网络)
- 虚拟网络功能(VNF):软件形式的网络功能
- 管理与编排(MANO):NFV的自动化管理和编排
2.2 NFVI详解
NFVI是NFV的硬件和软件资源层,包含:
计算资源:
- x86服务器或其他通用硬件
- 支持硬件加速(如SR-IOV、GPU)的辅助功能
- 虚拟化层(如KVM、VMware、Hyper-V)
存储资源:
- 本地存储(硬盘、SSD)
- 网络存储(SAN、NAS)
- 分布式存储系统(如Ceph)
网络资源:
- 物理网络接口(NIC)
- 虚拟交换机(vSwitch)
- 网络虚拟化(VLAN、VXLAN)
NFVI的PoP(Point of Presence)架构:
flowchart TB subgraph NFVI_PoP[NFVI PoP] subgraph ComputeNodes[计算节点] CN1[节点1<br>CPU/Memory] CN2[节点2<br>CPU/Memory] CN3[节点N<br>CPU/Memory] end subgraph Storage[存储资源] Local[本地存储] Shared[共享存储] end subgraph Network[网络资源] Physical[物理网络] Virtual[虚拟网络] end end VNF[VNF实例] -.运行于.-> ComputeNodes VNF -.使用.-> Storage VNF -.连接.-> Network style NFVI_PoP fill:#e8f5e9 style ComputeNodes fill:#fff3e0 style Storage fill:#e1f5ff style Network fill:#f3e5f5
图表讲解:这个架构图展示了NFVI PoP(部署点)的资源组成。计算节点包含多个服务器,每个服务器提供CPU和内存资源。存储资源包括本地存储和共享存储,满足不同VNF的存储需求。网络资源包括物理网络和虚拟网络,提供VNF之间的连接能力。
VNF实例运行在计算节点上,使用存储资源保存数据,通过网络资源与其他VNF或外部系统通信。NFVI PoP可以部署在数据中心、边缘节点或其他位置,根据业务需求灵活扩展。多个NFVI PoP可以互联,形成广域的NFV资源池。
2.3 VNF详解
VNF是网络功能的软件实现,运行在虚拟化环境或容器中。
VNF示例:
- 虚拟路由器:提供路由和转发功能
- 虚拟防火墙:提供安全策略执行
- 虚拟负载均衡器:提供流量分发
- 虚拟DPI:提供深度包检测
- 虚拟WAN优化:提供WAN流量优化
VNF与传统网络设备的对比:
| 维度 | 传统网络设备 | VNF |
|---|---|---|
| 硬件 | 专用硬件 | 通用服务器 |
| 部署 | 物理安装 | 软件部署 |
| 扩展 | 添加新设备 | 扩容资源池 |
| 生命周期 | 3-7年 | 按需使用 |
| 成本 | 高前期投入 | 按使用付费 |
2.4 MANO详解
MANO(Management and Orchestration)是NFV的管理和编排层,包含三个主要组件:
NFV编排器(NFVO):
- 跨VIM的资源编排
- 服务生命周期管理
- 全局策略管理
VNF管理器(VNFM):
- VNF生命周期管理
- VNF实例化、配置、终止
- VNF性能监控
虚拟化基础设施管理器(VIM):
- 管理计算、存储、网络资源
- 与虚拟化平台(如OpenStack)交互
- 资源分配和回收
MANO组件交互:
sequenceDiagram participant OSS as 运营支撑系统 participant NFVO as NFV编排器 participant VNFM as VNF管理器 participant VIM as 虚拟化基础设施管理器 participant VNF as VNF实例 OSS->>NFVO: 1. 服务创建请求 NFVO->>VNFM: 2. VNF生命周期请求 VNFM->>VIM: 3. 资源分配请求 VIM->>VNF: 4. 创建VNF实例 VNF-->>VNFM: 5. VNF就绪 VNFM-->>NFVO: 6. VNF部署完成 NFVO-->>OSS: 7. 服务激活确认 Note over OSS,VNF: MANO实现自动化服务部署
图表讲解:这个序列图展示了MANO组件协同完成服务部署的过程。运营支撑系统(OSS)发送服务创建请求给NFV编排器,NFVO协调跨VIM的资源编排。NFVO将VNF生命周期请求发送给VNFM,VNFM负责具体的VNF管理。VNFM向VIM请求资源分配,VIM与虚拟化平台交互创建VNF实例。VNF实例就绪后,VNFM通知NFVO部署完成,NFVO向OSS确认服务激活。
这个自动化流程显著加速了服务部署时间,从传统的几周或几天缩短到几分钟或几小时。同时,MANO确保了资源的有效利用和服务的一致性。
三、NFV与SDN的协同
3.1 协同优势
NFV和SDN的协同可以产生”1+1>2”的效果:
动态服务链:
NFV使网络功能可以快速部署和移动,SDN可以动态配置流量路径。两者结合可以实现灵活的服务链(Service Chaining),流量按需经过一系列VNF处理。
资源优化:
NFV提供资源池,SDN提供智能流量调度。结合使用可以根据实时负载动态调整VNF部署和流量分配,优化资源利用率。
快速故障恢复:
NFV使VNF可以快速重启或迁移,SDN可以快速重路由流量。故障发生时,系统可以自动将VNF迁移到健康节点,并通过SDN重定向流量。
自动化运维:
NFV和SDN都支持自动化,两者结合可以实现端到端的自动化服务部署和管理。
3.2 数据中心优化场景
在数据中心环境中,NFV和SDN的协同可以带来显著优化:
负载均衡:
传统负载均衡器是专用硬件,扩展需要添加新设备。NFV环境中,负载均衡功能以VNF形式实现,可以根据负载动态扩缩容。SDN控制器可以智能地将流量分发到负载均衡VNF实例,并根据实例健康状况调整分发策略。
服务链部署:
现代数据中心需要将流量引导到一系列网络功能(如防火墙、DPI、负载均衡)。NFV使这些功能以VNF形式部署,SDN可以动态配置流量路径,形成服务链。服务链可以根据业务需求动态调整,无需重新布线或配置物理设备。
flowchart LR subgraph ServiceChain[服务链示例] In[流量输入] --> FW[防火墙VNF] FW --> DPI[DPI VNF] DPI --> LB[负载均衡VNF] LB --> App[应用服务器] end subgraph SDNControl[SDN控制] Ctrl[SDN控制器] end Ctrl -.配置路径.-> FW Ctrl -.配置路径.-> DPI Ctrl -.配置路径.-> LB style ServiceChain fill:#e8f5e9 style SDNControl fill:#e1f5ff
图表讲解:这个图展示了数据中心服务链的示例。流量首先经过防火墙VNF进行安全检查,然后经过DPI VNF进行深度包检测,最后通过负载均衡VNF分发到应用服务器。SDN控制器负责配置整个流量路径,确保流量按正确顺序经过各个VNF。
当需要修改服务链时(如添加新的VNF或调整顺序),只需通过SDN控制器重新配置路径,无需物理网络变更。这种灵活性使数据中心可以快速适应业务需求变化。
3.3 路由服务优化
NFV和SDN可以协同优化路由服务:
分布式路由:
传统网络中,路由功能集中在专用路由器上。NFV环境中,路由功能以VNF形式部署在分布式位置。SDN控制器可以智能地将流量路由到最优的路由VNF实例,根据网络状态和负载动态调整。
VRF(虚拟路由转发)集成:
VRF允许在同一物理设备上维护多个独立的路由表。在NFV-SDN融合环境中,VRF可以用于隔离不同租户或服务的流量。每个VRF有独立的路由VNF,SDN控制器根据流量特征将其分发到正确的VRF。
LISP(位置/身份分离协议)支持:
LISP将设备的身份(EID)与位置(RLOC)分离,简化了设备移动和多宿主场景。NFV-SDN环境可以利用LISP实现VNF的透明迁移:当VNF移动时,更新RLOC映射,流量自动路由到新位置,无需改变终端设备的配置。
四、NFV-SDN融合应用场景
4.1 实时网络服务
NFV-SDN融合特别适合需要动态调整的实时网络服务:
动态负载均衡:
根据实时负载动态调整负载均衡VNF的实例数量和流量分发策略。当检测到某台服务器过载时,自动增加负载均衡VNF实例,并通过SDN重新分配流量。
弹性DDoS防护:
当检测到DDoS攻击时,自动实例化更多的DDoS防护VNF,并通过SDN将攻击流量牵引到这些实例进行处理。攻击结束后,自动释放资源。
按需视频优化:
当检测到视频流量增加时,自动部署视频优化VNF,并通过SDN将视频流量引导到这些实例进行优化处理。
4.2 虚拟CPE(vCPE)**
vCPE是NFV-SDN融合的重要应用场景。
传统CPE的问题:
- 客户现场需要部署多种专用设备(路由器、防火墙、WAN优化器)
- 硬件成本高,部署复杂
- 功能升级需要更换设备
vCPE解决方案:
flowchart TB subgraph Customer[客户站点] CPE[vCPE设备<br/>轻量级转发] end subgraph POP[运营商PoP] VNF1[路由VNF] VNF2[防火墙VNF] VNF3[WAN优化VNF] end subgraph DC[运营商数据中心] Controller[SDN/NFV控制器] end CPE <-->|隧道| POP Controller <-->|管理| CPE Controller <-->|编排| VNF1 Controller <-->|编排| VNF2 Controller <-->|编排| VNF3 style Customer fill:#e8f5e9 style POP fill:#fff3e0 style DC fill:#e1f5ff
图表讲解:这个架构图展示了vCPE的解决方案。客户站点只部署轻量级的vCPE设备,负责基本的转发功能和隧道连接。运营商PoP部署各种VNF(路由、防火墙、WAN优化),为多个客户共享。运营商数据中心的SDN/NFV控制器统一管理vCPE和VNF。
当客户需要新的网络功能时,运营商只需在PoP实例化相应的VNF,并通过控制器配置vCPE到VNF的隧道连接,无需派遣工程师到客户现场。这种模式大大降低了服务交付成本和周期。
4.3 5G网络切片
5G网络使用NFV和SDN技术实现网络切片,为不同应用提供定制的网络服务。
网络切片类型:
- eMBB切片:增强移动宽带,支持高速数据传输
- mMTC切片:大规模机器类通信,支持IoT设备
- URLLC切片:超可靠低延迟通信,支持关键应用
NFV-SDN在5G中的作用:
NFV使网络功能可以灵活部署和扩展,满足不同切片的需求。SDN提供切片的流量隔离和QoS保障。两者结合实现了真正的网络即服务(NaaS)。
五、NFV-SDN实施考虑
5.1 实施挑战
性能挑战:
虚拟化层引入的性能开销,特别是数据平面性能。解决方案包括:
- 使用硬件加速(SR-IOV、DPDK)
- 优化VNF placement
- 使用高性能虚拟交换机
管理复杂性:
NFV-SDN环境的管理比传统网络更复杂。需要:
- 完善的编排系统
- 自动化运维工具
- 统一的监控平台
安全性:
虚拟化环境引入了新的安全风险:
- VNF之间的隔离
- 管理平面的安全
- 虚拟化层的安全
5.2 实施建议
51学通信站长爱卫生的建议:“NFV-SDN实施应该从低风险、高价值的场景开始。例如,从非关键业务(如开发测试环境)开始,积累经验后再扩展到生产环境。同时,要投资于自动化工具,手动管理NFV-SDN环境几乎是不可能的。”
渐进式迁移路径:
- 评估阶段:识别适合NFV-SDN的应用场景
- 试点阶段:在小范围部署验证概念
- 扩展阶段:逐步扩展到更多场景
- 优化阶段:持续优化性能和运营
常见问题解答
Q1:NFV和SDN哪个技术更成熟?应该先采用哪个?
答:从市场采用度看,SDN相对更成熟,特别是在数据中心和WAN场景。NFV的采用也在加速,特别是在电信运营商和云服务提供商中。这两个技术不是互斥的,也不必须同时采用,但它们结合使用效果最好。
如果资源有限,建议从SDN开始,因为SDN可以立即带来价值,特别是在网络可视性和流量工程方面。SDN也为NFV部署奠定了基础。当SDN部署成熟后,可以逐步引入NFV,将合适的网络功能虚拟化。这种渐进式方法降低了风险,使组织可以积累经验。
另一个考虑是特定场景的需求。如果场景主要是优化现有网络的流量和策略,SDN可能足够。如果场景涉及快速部署新的网络功能或频繁调整服务链,NFV的价值更大。大多数实际部署最终会同时使用两者,但起步的顺序和重点可以根据具体需求决定。
Q2:VNF的性能能达到专用硬件吗?在哪些场景下VNF性能不足?
答:VNF的性能在过去几年有了显著提升,但在某些场景下仍难以匹配专用硬件。通用CPU的处理能力不断提升,配合DPDK、SR-IOV等优化技术,VNF在控制平面和大多数数据平面场景下已经足够。然而,对于极高性能要求的场景(如核心路由、高速防火墙),专用ASIC/FPGA仍然有优势。
VNF性能不足的典型场景包括:极高吞吐量的数据平面处理(如100Gbps以上的线速转发)、极低延迟要求的场景(如高频交易)、需要专用硬件加速的功能(如加密解密)。在这些场景下,可能需要混合部署:关键路径使用专用硬件,其他功能使用VNF。
值得注意的是,性能不是唯一考虑因素。VNF在灵活性、可管理性和成本方面的优势往往超过性能劣势。而且随着技术发展,VNF性能的差距正在缩小。组织应该根据具体业务需求评估性能要求,大多数场景下VNF已经”足够好”。
Q3:MANO的复杂度如何?是否有简化的部署方案?
答:MANO确实增加了系统复杂度,但这是实现NFV自动化所必需的。完整的ETSI MANO框架包含NFVO、VNFM、VIM三个组件,各自承担不同职责。对于小规模部署或特定场景,确实有简化的方案。
简化方案包括:使用集成平台(如OpenStack+Tacker)将多个MANO组件集成;使用云服务商的托管服务减少自建组件;针对特定场景使用定制化的编排方案。例如,如果只部署少数几种VNF,可以跳过通用的NFVO,使用针对这些VNF的专用编排器。
在选择简化方案时,要平衡短期部署便利和长期扩展性。过度简化的方案可能限制未来的扩展。建议至少保留核心的编排能力,即使初期实现简单,也要为未来扩展预留接口。随着NFV部署规模扩大,完善的MANO框架的价值会越来越明显。
Q4:NFV-SDN融合对网络运维团队有什么要求?需要哪些新技能?
答:NFV-SDN融合改变了网络运维的性质,需要运维团队具备新的技能组合。传统网络运维主要关注设备配置和故障排查,NFV-SDN环境还需要虚拟化、云计算、编程和自动化技能。
具体来说,运维团队需要:
- 虚拟化平台知识(如KVM、VMware、容器)
- Linux系统管理技能
- 脚本和编程能力(Python、Ansible)
- API调用和自动化工具使用
- 监控和分析工具的使用
- DevOps理念和实践
这些技能要求对传统网络团队是挑战,需要培训和转型。组织可以通过招聘混合型人才、提供培训课程、与IT团队协作等方式弥补技能差距。另一种选择是使用托管服务或厂商提供的运维服务,减少内部团队的技能压力。
51学通信站长爱卫生的观察:“NFV-SDN转型不仅是技术转型,更是人才转型。成功的组织投资于员工培训,鼓励网络工程师学习虚拟化和自动化技能。同时,重新定义运维角色和职责,建立更紧密的网络与IT协作机制。“
Q5:NFV-SDN的投资回报率如何计算?哪些场景下ROI最高?
答:NFV-SDN的ROI计算涉及多个因素,直接的包括硬件成本降低、运营成本节省、服务交付加速。间接的包括业务敏捷性提升、创新能力增强。ROI最高的场景通常具有以下特征:功能频繁变更、快速扩展需求、多租户环境、地理分布。
电信运营商是NFV-SDN的早期采用者,ROI主要体现在:降低CAPEX(减少专用硬件投资)、降低OPEX(自动化运维)、加速新服务上市(软件化功能快速部署)。云服务提供商使用NFV-SDN提供灵活的网络服务,根据客户需求动态调整。
对于企业用户,ROI高的场景包括:快速成长的业务(需要频繁扩展网络资源)、多分支机构(需要远程部署和管理)、开发测试环境(需要快速创建和销毁网络)、混合云环境(需要一致的策略)。
计算ROI时,要考虑全生命周期成本,包括软件许可、培训、运维工具等。NFV-SDN的前期投入可能较高,但长期价值显著。建议从ROI高的场景开始试点,验证价值后再扩展到更多场景。
总结
本文深入介绍了NFV与SDN的融合架构。我们从NFV的基本概念出发,理解了其价值主张;学习了ETSI NFV架构框架和核心组件(VNF、NFVI、MANO);掌握了NFV与SDN的协同优势和应用场景;了解了VRF和LISP在融合架构中的作用;探讨了NFV-SDN在实际网络中的部署考虑。
核心要点回顾:
- NFV核心:网络功能虚拟化,从专用硬件到通用服务器
- ETSI架构:NFVI(资源层)、VNF(功能层)、MANO(管理层)
- 协同优势:动态服务链、资源优化、快速故障恢复、自动化运维
- 应用场景:数据中心优化、路由服务、vCPE、5G网络切片
- 技术支撑:VRF实现多租户隔离,LISP支持移动性
- 实施挑战:性能、管理复杂性、安全性
- 最佳实践:渐进式迁移、从低风险高价值场景开始
下篇预告:下一篇我们将深入探讨SDN叠加网络与VXLAN技术,学习叠加网络的基本原理、VXLAN协议工作机制、Spine-Leaf数据中心架构,以及VXLAN的管理方式和实际应用。