解析NFV在域网中的五大应用场景

　　NFV概述

　　NFV（网络功能虚拟化）是通过使用x86等通用性硬件以及虚拟化技术，来承载很多功能的软件处理。从而降低网络昂贵的设备成本。可以通过软硬件解耦及功能抽象，使网络设备功能不再依赖于专用硬件，资源可以充分灵活共享，实现新业务的快速开发和部署，并基于实际业务需求进行自动部署、弹性伸缩、故障隔离和自愈等；这些网络功能可以是On-demand的模式，不需要额外安装任何新设备，如运营商可以在x86平台上运行虚拟机来执行开源的基于软件的防火墙功能，而不用增加任何新的硬件设施，同样的，诸如CDN、NAT、DPI、VPN、IPTV、路由器、P-GW、IMS等功能，都可以通过基于NFV的软件来实现。

　　在ETSI的标准中，对于NFV的应用定义了多个不同的场景，结合城域网主要包括如下。下面我们就来分析NFV在域网下的5种应用模式

　　vRR

　　在骨干网全连接架构中，有一对或者多对路由器承担着向全网设备反馈路由信息的功能，这就是路由反射器（RR），一般由专用硬件芯片架构的高端核心路由器来做全网RR. 由于RR的最主要功能是计算路由，而非转发流量，因此在大型骨干网中，RR可以率先迁移到x86架构上，能够更快适应使用者需求的变化和差异。例如，改变BGP路由下一跳的机制，引入源地址等综合信息进行选路，能够通过智能的方式实现骨干网流量负载均衡的初级阶段。在这个阶段，骨干网高端核心路由器不需要做任何改变，按照传统标准的方式去接受RR反射的路由信息。所以现阶段，具备极高的可实施性。

　　图2 NFV在城域网作为增强型RR

　　运营商引入x86架构的RR的目标绝不仅止于此。在完成骨干网流量负载均衡的初级阶段部署后，运营商希望能够从现有骨干路由器上提取到更丰富的流量信息，通过部署Controller来搜集全网流量信息，Controller通过综合计算和策略匹配，精确调度骨干网络流量，实现理想的流量工程。相较于初级阶段的RR x86化及协议增强，理想目标阶段需要现网的设备升级或者更换才能够支持相关标准控制协议，而控制协议的标准化和完善本身也需要一些时间去积累。

　　vFW

　　防火墙需要实现对传统网络环境中的安全域进行隔离，也需要实现对虚拟化环境中的安全域（如生产域及其子区、支撑服务域及其子区、管理域及其子区、DMZ 域及其子区等）的隔离。对于传统网络环境中的安全域可采用传统防火墙、传统的部署方式即可，而对于虚拟化环境中的安全域可采用虚拟化防火墙实现。

　　传统防火墙的形态是专用硬件，其支持在硬件防火墙内部进行虚拟化，即将一台物理防火墙虚拟化成几十个、几百个，甚至上千台相互独立的逻辑防火墙。每个虚拟防火墙系统都可被看成是一台完全独立的防火墙设备，拥有独立的系统资源，且能够实现物理防火墙的大部分功能。然而，这并不是NFV的概念。

　　利用NFV技术，将物理防火墙的各种板卡都转成虚拟机，这些虚拟机被安装在普通x86服务器上，通过内部网络通信构成一个可扩展的极大容量的防火墙集群。从管理角度上看，整个集群就是一个超大容量的防火墙，需要具备如下功能。

　　丰富的网络和安全功能，能够满足企业分支及公有云多租户环境中的网络安全需求。

　　控制平面和数据平面分离，专门为虚拟环境优化的多核数据转发，更充分利用计算资源。

　　模块化的体系架构，开放的网络平台，允许网络按需运行和控制，更容易实现NFV/SDN落地。

　　和物理网络设备采用统一的软件平台，提供相同的功能特性和一致的管理界面。

　　vDPI

　　传统部署DPI的方式是把DPI嵌入各种网络设备当中，如会话边界控制器（SBC）、流量检测功能（TDF）、网关GPRS支持节点（GGSN）等，如图3。

　　图3 传统DPI部署方式

　　这种方式的主要缺点是在不同的硬件平台上多次实现DPI技术带来的高成本。另外，应用程序之间的互通比较困难，因为每个供应商都可能会有私有的执行DPI和展示结果的方式。举例来说，一个供应商可能把一个信息流归类为Twitter，但是别的供应商可能把它当做社交媒体。

　　有了SDN和NFV，DPI可以从嵌入的网络设备中迁移，成为托管在标准服务器上的共享功能（如图3右侧部分）。这种方式降低了DPI所需的总投资，因为这样一来DPI只需要在更少的机器上实现（减少固定资产投入）而且减少能源消耗（减少操作成本）。此外，不同功能和DPI应用程序之间的互通不再那么复杂，因为对应用程序ID和元数据执行一致的格式相对而言更容易一些。有了SDN/NFV，DPI可能不会再驻留在现有的位置。

　　vPOP

运营商在思考将x86这种具有更高计算能力和更标准、灵活的硬件架构引入到传统城域