扶奉超，謝元寶

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

vCPE中CPE與云平臺連接建立方法

扶奉超，謝元寶

（中國電信股份有限公司廣州研究院，廣東 廣州 510630）

SDN（軟件定義網絡）和NFV（網絡功能虛擬化）技術已成為當前的研究熱點。vCPE（虛擬用戶駐地設備）的主要思路是將原來的CPE一分為二，保留原有用戶側CPE的二層功能，而將三層功能以及業(yè)務處理功能上移至云平臺中。采用此方法，不僅可以簡化原有CPE實體網關設備，降低用戶操作維護的難度，同時也可降低上門服務概率，并為用戶提供增值服務。研究了vCPE中用戶側CPE如何與網絡側云平臺建立連接的問題。通過采用VxLAN和NvGRE技術，在實現用戶側CPE與云平臺建立二層通信的同時，對現有海量CPE的改動較小。

寬帶接入網；CPE；SDN；NFV；VxLAN；NvGRE

1 引言

SDN和NFV技術已成為業(yè)內討論和研究的熱點。SDN針對的是網絡問題，其核心思想是將網絡的控制平面和轉發(fā)平面相分離，并開放網絡的北向接口，實現網絡可編程[1]；NFV技術是將網絡設備虛擬化，用通用x86服務器實現傳統(tǒng)的專用電信設備功能，實現軟硬件解耦，從而降低設備成本[2]。SDN技術和NFV技術的快速發(fā)展為接入網終端設備CPE（customer premise equipment）的虛擬化提供了基礎。

CPE也稱為家庭網關，是家庭網絡與外部網絡的接口單元，處于接入網的邊緣。CPE的功能是為家庭用戶提供三重業(yè)務，即數據、語音和視頻業(yè)務。運營商通過NAT（網絡地址轉換）為家庭網絡提供IP地址，而在其后的家庭內網對運營商并不可見。當家庭網絡出現問題時，運營商有時需要提供上門到戶的技術服務，可能造成維修成本高的問題。然而在很多情況下，網絡的問題可能是內網的問題，與運營商提供的網絡無關。因此開放家庭網絡給運營商，方便運營商進行遠程問題診斷與解決，可有效降低CPE的上門運維成本。此外，開放內網也可以讓運營商為用戶提供更多增值業(yè)務，如家長式上網管理等。

vCPE可以解決上述問題。vCPE的核心思想是保留CPE原有的無線接入和交換等二層功能，而用云平臺的基礎設施實現三層功能和業(yè)務處理功能，也就是說把三層的功能上收至網絡側。原有的CPE被分為家庭網絡側部分和云平臺部分。本文把家庭網絡側保留橋接功能的實體叫做CPE-B，把CPE中位于云平臺側的具有三層網關功能的部分稱為CPE-G。云平臺的CPE-G采用NFV技術，用通用的x86服務器搭建虛擬化平臺，為每個用戶按需分配資源。然而實現CPE-B和CPE-G的連接是個難題。一方面，為了實現NAT等三層功能，CPE-B與CPE-G最好處于同一個VLAN。一般情況下，CPE-B連接的家庭網絡是個二層局域網，CPE-G是位于城域網或骨干網的云端的二層網絡。CPE-B連接至CPE-G的接入網絡可能要跨越運營商的三層網絡。在這樣的情況下，CPE-B如何與CPE-G建立二層通信是個難題。另一方面，引入vCPE后，為了CPE-B與CPE-G建立通信，可能需要對原有海量CPE進行改造，工程量巨大，實現難度極高。因此如何在利舊現有的海量CPE設備的基礎上，實現CPE-B與CPE-G的通信也是個難題。

業(yè)內在CPE-B與CPE-G如何連接建立二層連接的問題上鮮有研究。就目前所能夠獲得的研究成果中，僅BBF（Broadband Forum）的TR-315標準[3]從另外的角度討論了CPE-B與CPE-G連接建立的問題。與本文側重點不一樣，TR-315標準研究的是采用 overlay技術連接 CPE-B與CPE-G時，AAA服務 器和 BNG （broadband network gateway）等需要滿足的要求。而本文側重于如何具體用overlay技術建立CPE-B與CPE-G的連接，同時尋求合適的隧道端點以利舊已有CPE。

本文主要針對CPE-B和CPE-G的連接問題展開研究。通過引入VxLAN和NvGRE（network virtualization using generic routing encapsulation）隧道技術，并探索合適的隧道端點，實現在利舊已有CPE的基礎下，建立CPE-B和CPE-G的二層連接。此外本文總結了vCPE的標準化進展和研究進度。

2 vCPE接入網模型

CPE在接入網中的位置如圖1所示，其中ITMS+（增強型終端綜合管理系統(tǒng)）是CPE業(yè)務的部署和控制平臺，也是CPE設備的遠程管理平臺。通過TR-069協(xié)議，ITMS+既可以實現對CPE上的數據、語音、視頻等功能進行部署、管理和控制；也可以實現對CPE的遠程狀態(tài)管理、配置、故障管理和軟件升級等[4]。EMS（網元管理系統(tǒng)）負責CPE的無源光纖網絡（PON）接口物理層和鏈路層的配置和管理。

圖1 CPE在接入網中的位置

采用虛擬化后，vCPE的網絡拓撲如圖2所示。通過把防火墻、NAT、DPI（deep packet inspection，深度分組檢測）、DHCP、DNS等三層功能轉移到網絡側的CPE-G，簡化原有CPE網關實體的功能，并使得CPE-B支持即插即用的功能。CPE-B僅保留原有二層的Ethernet端口、VLAN端口、Wi-Fi端口和DHCP客戶端等功能，特殊情況下，也可能保留少部分三層功能。

圖2 vCPE示意

3 CPE-B與CPE-G連接方法

在本文中，基于overlay的隧道技術是指利用IP網絡為underlay網絡，并以二層網絡為overlay網絡建立隧道連接。vCPE如何跨越IP網絡建立二層連接的問題可以通過overlay的方法解決，如圖3所示。采用此種方法可以利用IP網絡的靈活性。VxLAN技術和NvGRE技術是目前虛擬網絡中應用最多的隧道技術，有著良好的應用前景。目前在寬帶接入網技術方面，PON不僅具有高容量的優(yōu)勢，而且具有高可靠性。近年來PON技術得到了迅猛發(fā)展，是未來最為看好的寬帶接入網技術[5]。鑒于以上原因，本文的接入網均以PON為例。接下來詳述用于CPE-B與CPE-G連接的VxLAN技術和NvGRE技術。

圖3 CPE-B與CPE-G連接示意

3.1 VxLAN技術在vCPE中的應用

VxLAN不僅可以解決VLAN號12 bit的限制問題，還可以利用IP網絡固有的靈活特性[6]。應用VxLAN建立隧道的方法比較簡單，對基礎網絡改動較小，因此本文采用VxLAN技術建立CPE-B至CPE-G的二層通信。

3.1.1 VxLAN技術的實現過程

VxLAN是一種L2 over UDP的隧道技術。與一般的隧道技術一樣，都需要兩端有隧道的端點。在VxLAN中，隧道的端點稱為VTEP (VxLAN tunneling end point，VxLAN隧道終端)，其中CPE-B側的VTEP記為B-VTEP，CPE-G側的VTEP記為G-VTEP。VxLAN中的VTEP存有兩個可達信息MAP表，以確定上行封裝過程中的目的地址，分別是VTEP L2 table和VLAN to VNID map。VLAN to VNID map將underlay網絡中的VLAN號映射至overlay網絡的VNID。而VTEP L2 Table是將MAC地址、VNID和所在的VTEP一一對應。因此，在上行鏈路VTEP封裝時，通過VLAN to VNID map表，從VLAN ID查詢到對方VNID，然后根據對方MAC地址和VNID得到對方所在的VTEP的IP地址；而源端，以自身所在的VTEP的IP地址為源地址，而不是用戶自己的IP地址。通過這樣的方式，可以完成隧道的封裝。VTEP解封裝時，其過程與之相反。

隧道實現過程如下。

首先，在CPE-B和CPE-G中部署VTEP后，B-VTEP把用戶的Ethernet數據幀（frame）封裝到UDP報文中，并送到IP網絡，把這個過程稱為上行鏈路的封裝。然后，在IP網絡中，經過封裝的數據報文通過路由從B-VTEP傳遞到另一個VTEP，最后送到G-VTEP。最后在G-VTEP中進行解封裝的操作，并將符合以太網格式的用戶數據送到用戶。把這個過程叫做下行鏈路的解封裝操作。在這個過程中，利用VNID（VxLAN network identifier）區(qū)分不同的用戶和業(yè)務?？梢酝ㄟ^VNID實現用戶/業(yè)務的精細管理粒度。VNID有24 bit的編碼空間，約為16 MB，大大超過VLAN的12 bit的編碼空間[6]。

3.1.2 VxLAN技術隧道端點的實現方案

可以看到，在采用VxLAN隧道技術后，需要在原有underlay網絡增加VTEP，而中間的其他網絡可以保持不變。此外，也可以增加SDN控制器，利用SDN控制器管理VTEP間的路由和流量控制，由于篇幅有限，本文不討論此種方案。由于接入網絡需要滿足帶寬需求和業(yè)務需求各異的用戶，因此接入網的形態(tài)呈現多樣化，很難用統(tǒng)一的網絡滿足所有用戶的需求。于是VTEP的部署位置也有多種選擇，以下是部署VTEP的幾種方案[7]。

B-VTEP部署的方案有以下3種。

（1）方案1

將B-VTEP部署在CPE側，保留CPE部分三層功能，更新現有CPE功能，增加VxLAN隧道功能。

（2）方案2

將B-VTEP部署在OLT側。CPE-B僅保留二層功能，在OLT增加VxLAN隧道功能。

（3）方案3

將 B-VTEP部署在 BRAS（broadband remote access server，寬帶遠程接入服務器）側。CPE僅保留二層功能，在BRAS增加VxLAN隧道功能。

G-VTEP部署的方案有以下兩種。

（1）方案1

將G-VTEP部署在BRAS側。

（2）方案2

將 G-VTEP部署在 CPE-G側的 CPE-MUX（CPE multiplexer）內。CPE-MUX是指CPE-G的入口點，負責將CPE-B映射至CPE-G[4]。

考慮到簡化CPE和利舊現有接入網絡中處于路由模式和橋接模式的CPE，本文認為將B-VTEP放置于OLT側或BRAS側是更好的方案，相應地，可以根據實際情況將G-VTEP部署于BRAS側或CPE-G側的CPE-Mux。也就是說B-VTEP更適合采用方案2和方案3。原因如下。

首先，如果B-VTEP采用方案1，則需要現有處于路由模式下的CPE增加VxLAN隧道功能，且需要保留其部分三層功能。其次需要對現有的海量CPE進行升級改造或者替換，因此存在成本高和可行性差的問題。最后橋接模式下的CPE不具備三層功能，無法建立VxLAN隧道，因此無法實現利舊。

總的來說，雖然B-VTEP采用方案 1可以保持現有接入網設備不變，但存在以上的缺點，而采用方案2和方案3盡管需要改造接入網以增加VxLAN功能，但可行性更高，實現難度更小。因此本文認為B-VTEP更適合采用方案2和方案3。

雖然目前現有的CPE、OLT和BRAS等還不支持VxLAN協(xié)議，近期看來用VxLAN技術實現CPE-B至CPE-G的連接的方案成熟度還不夠，但隨著VxLAN應用越來越廣泛并已有跨IDC（internet data center）實現二層互聯互通的成功經驗，長遠看來，用VxLAN技術建立CPE-B與CPE-G的二層連接是未來趨勢。

3.2 NvGRE技術在vCPE中的應用

NvGRE是一種L2 over L3的虛擬網絡的隧道封裝協(xié)議，并且也提供了24 bit的網絡標識號，不受限于VLAN的4 096（12 bit）的限制[8]。基于GRE（通用封裝協(xié)議）的NvGRE具有良好的兼容性，但也有弊端。為了提供描述帶寬利用率粒度的流，傳輸網絡需要使用GRE頭，但是這導致NvGRE不能兼容傳統(tǒng)負載均衡，這是NvGRE與VxLAN相比最大的區(qū)別也是最大的不足。與此同時，在實現CPE-B與CPE-G間隧道端點間的路由和流量控制時，VxLAN可以采用基于多播和泛洪的分布式方式，也可以采用集中控制器的方法，而NvGRE必須采用類似于SDN的集中控制器的方法。盡管采用集中控制器的方法具備更好的拓展性，但這需要專用的軟件和硬件支持，這也是NvGRE面臨的挑戰(zhàn)之一。同樣，vCPE中采用NvGRE建立隧道時，對于隧道端點的選擇也有多種方式，類似于上述VxLAN中隧道端點的選擇，本文不贅述。NvGRE和VxLAN均可實現CPE-B和CPE-G的二層連接，具體采用哪一種技術取決于各個廠商的利益考慮。以目前的情況來看，VxLAN應用更為廣泛，應用前景更好。

4 vCPE研究進展

目前業(yè)內正在積極開展vCPE研究。在標準化組織方面，最為積極的是BBF組織，于2016年6月份發(fā)布了vCPE技術標準[4]，主要規(guī)范了vCPE技術要求和管理要求等方面。需要注意的是，業(yè)內大多處于解決方案探索和設計階段，進展較為緩慢，需要得到解決和統(tǒng)一規(guī)范的問題還很多，因此vCPE離現網部署還有一定的距離。除了上文所述的CPE-B與CPE-G的連接問題，還有以下問題需要進一步探討。

（1）安全性問題

由于CPE不再由家庭側或企業(yè)側一個單獨的專用設備實現，而是將其大部分功能部署于云端。而云端的資源是按需共享的，不屬于某個用戶專用，因此遭受DoS、ALG的風險也將提高。在部署vCPE時，必須解決這些問題。

（2）實時業(yè)務QoS保證的問題

CPE網絡虛擬化后，由于將原家庭LAN側的網絡協(xié)議、配置管理和控制機制上收到網絡側，一些對實時性要求較高的業(yè)務（如語音、視頻等）的控制信令需要從本地發(fā)送到網絡側的vCPE進行處理，與在本地CPE處理的方式相比，此類實時性要求較高的業(yè)務體驗有可能受到上下行帶寬擁塞的影響，因此網絡虛擬化后需要為此類業(yè)務提供專門的QoS保障機制。

（3）隱私問題

引入vCPE會使得家庭網絡暴露給網絡側，網絡側甚至可以根據需要對用戶流量進行鏡像和分析。家庭設備不再像傳統(tǒng)方式隱藏于駐地側NAT功能下，因此會帶來一些隱私性的問題。

（4）管理維護問題

原有CPE是通過ITMS+進行相應的遠程控制、配置管理、故障管理、性能管理等。引入網絡虛擬化后，會對原有的管理方式造成影響，因此需要對TR-069協(xié)議進行相應的調整。

（5）認證問題

原有的CPE設備必須通過OLT（optical line terminal，光線路終端）和BRAS的PPPoE認證才能上網，引入網絡虛擬化后，可能需要定義新的業(yè)務開通流程，與傳統(tǒng)認證方式的兼容也是個難題。

（6）交互協(xié)議問題

雖然CPE-B僅保留較簡單的二層協(xié)議功能，但考慮到網絡側有遠程配置、故障管理等實際需要以及部分業(yè)務的交互需要，所以需要提供CPE-G到CPE-B之間的交互協(xié)議，具體采用哪種方式與vCPE部署位置有一定的關系，還需要進一步研究[9]。

5 結束語

將CPE的三層功能上收至網絡側可簡化CPE。這種瘦終端加云網絡的架構可以降低終端投入成本，同時支持即插即用，簡化用戶的操作。同時對運營商來說，不僅可以管理家庭內網，減少上門服務率，降低運維成本，還能為用戶提供多樣化的增值服務。本文主要闡述了 CPE-B至CPE-G的連接方法，通過選擇合適的隧道端點，在利舊現有橋接模式和路由模式的CPE的同時，以對現有接入網絡最小的改動的代價來實現CPE-B至CPE-G的連接。本文還總結了vCPE研究進展及所遇到的問題。由于vCPE研究領域較新穎，業(yè)內還未開發(fā)出相應支持overlay技術的CPE和OLT等設備，驗證CPE-B至CPE-G的連接方法的性能較為困難。因此本文僅從理論上進行了分析，未來的研究中將進行更多的實驗驗證。

[1]鄭毅,華一強,何曉峰.SDN的特征、發(fā)展現狀及趨勢[J].電信科學,2013,29(7):84-88. ZHENG Y,HUA Y Q,HE X F.Characteristics,development and future of SDN[J].Telecommunications Science,2013,29(7): 84-88.

[2]ETSI.Network functions virtualization(NFV):management and orchestration:ETSI.GS NFV-MAN 001 V1.1.1[S].2014.

[3]BBF.Network enhanced residential gateway issue 1:BBF.TR-317[S].2016.

[4]中國電信集團公司.中國電信智能家庭網關技術規(guī)范: QCT2603-2015[S].2015. China Telecom Corporation.Technical specification for smart home gateway of China Telecom:QCT2603-2015[S].2015.

[5]沈成彬,王成巍,蔣銘,等.下一代PON技術的進展與應用[J].電信科學,2010,26(8):1-7. SHEN C B,WANG C W,JIANG M,et al.Progress&application of next generation PON technology [J].Telecommunications Science,2010,26(8):1-7.

[6]WEERASINGHE J,ABEL F.On the cost of tunnel endpoint processing in overlay virtualnetworks [C]//IEEE/ACM 7th InternationalConference on Utility and Cloud Computing (UCC),December 8-11,2014,London,UK.New Jersey:IEEE Press,2014:756-761.

[7]MORAVCIK M,SEGEC P,PALUCH P,et al.Clouds in educational process[C]//2015 13th International Conference on Emerging eLearning Technologies and Applications(ICETA), November 26-27,2015,Kezmarok,Slovakia.New Jersey:IEEE Press,2015:1-7.

[8]王瑾,張沛.公眾客戶網關虛擬化對網絡運維的影響 [J].郵電設計技術,2015(2):24-27. WANG J,ZHANG P.The influence of virtualized customer premise equipment to the network[J].Designing Techniques of Posts and Telecommunications,2015(2):24-27.

扶奉超（1991-），女，中國電信股份有限公司廣州研究院數據通信工程師，主要從事寬帶接入網技術及其虛擬化的研究工作。

謝元寶（1989-），男，中國電信股份有限公司廣州研究院移動通信工程師，主要從事LTE網絡關鍵技術的研究工作。

Method of connection establishment between CPE and the cloud platform

FU Fengchao,XIE Yuanbao
Guangzhou Research Institute of China Telecom Co.,Ltd.,Guangzhou 510630,China

SDN and NFV technology have aroused more and more attention.The main idea of vCPE is to split the CPE into two parts and to make the L3 functions up to the network.Through this method,CPE can be simplified and the difficulty for subscribers to operate and maintain CPE can be reduced.For operators,vCPE can reduce the probability of on-site service,and can provide value-added services for subscribers.The problem of connection between the CPE and the cloud platform was studied.By using VxLAN and NvGRE,the L2 connection between CPE and cloud platform could be established,and at the same time,the change to existing huge CPEs was small.

broadband access network,customer premise equipment,software defined networking,network function virtualization,VxLAN,NvGRE

TP393

A

10.11959/j.issn.1000-0801.2016285

2016-10-08；

2016-11-11