王 磊

（云南廣播電視臺，云南 昆明 650500）

1 網(wǎng)絡虛擬化的驅(qū)動力

近年來，“以軟件為中心”的網(wǎng)絡虛擬化得到了快速的發(fā)展，服務器虛擬化的巨大成功和軟件定義網(wǎng)絡（Software Defining Network，SDN）組網(wǎng)模式，是最重要的兩個驅(qū)動因素。通過把服務器虛擬化的原理應用到網(wǎng)絡，原來需要運行在專用硬件上的網(wǎng)絡功能轉(zhuǎn)移到了x86服務器上，網(wǎng)絡功能虛擬化（Network Function virtualization，NFV）得以實現(xiàn)。SDN技術(shù)應用在虛擬網(wǎng)絡中，大幅降低了網(wǎng)絡的復雜程度，更加促進了網(wǎng)絡虛擬化的進程。服務器虛擬化產(chǎn)生大量虛擬機，隨之也帶來一系列的問題。首先是虛擬局域網(wǎng)（Virtual Local Area Network，VLAN）數(shù)量嚴重不足，虛擬網(wǎng)絡之間難以進行有效的安全隔離；其次是接入交換機沒有足夠的MAC地址容量來適應大量的虛擬機；最后，由于網(wǎng)絡結(jié)構(gòu)復雜，造成虛擬機遷移困難。虛擬可擴展局域網(wǎng)（Virtual Extensible LAN，VXLAN）等疊加網(wǎng)絡協(xié)議很好地解決了這些問題。它創(chuàng)建的大二層虛擬網(wǎng)絡，為虛擬機的遷移鋪平了道路；VXLAN提供了比VLAN多得多的虛擬網(wǎng)絡識別碼，為虛擬網(wǎng)絡之間的安全隔離提供了充分的保障；數(shù)據(jù)包在進出VXLAN網(wǎng)絡時需要分別進行封裝和解封裝，兩端交換機只需要給虛擬隧道終結(jié)點（VXLAN Tunnel Endpoint，VTEP）設備提供MAC地址存儲容量，大大降低了對交換機MAC地址容量的需求[1]。技術(shù)的進步為網(wǎng)絡虛擬化的發(fā)展創(chuàng)造了重要的基礎條件。

市場需求也是網(wǎng)絡虛擬化快速發(fā)展的重要促進因素。傳統(tǒng)網(wǎng)絡組建模式建設周期太長，往往需要數(shù)月的時間，完全跟不上市場的變化節(jié)奏，網(wǎng)絡還沒建好，需求可能已經(jīng)發(fā)生變化。傳統(tǒng)網(wǎng)絡建設和運維成本高、資源利用率低且缺乏敏捷性，難以適應當今市場的要求，迫切需要基于軟件的網(wǎng)絡虛擬化來解決這些問題。

傳統(tǒng)網(wǎng)絡安全防護策略往往重邊界輕內(nèi)部，導致這種結(jié)果的根本原因就在于物理網(wǎng)絡的部署方式。在網(wǎng)絡邊界，通常部署有防火墻等物理設備，可以起到比較好的防護效果。網(wǎng)絡內(nèi)部的復雜程度遠遠大于網(wǎng)絡邊界，不可能采用與網(wǎng)絡邊界同樣的防護方法。網(wǎng)絡威脅一旦突破邊界防護，由于網(wǎng)絡內(nèi)部缺少行之有效的防護措施，很容易給整個網(wǎng)絡造成嚴重破壞。網(wǎng)絡虛擬化可以根據(jù)實際的安全需求，動態(tài)地創(chuàng)建、部署各種安全虛擬網(wǎng)絡功能（Virtual Network Function，VNF），并且利用SDN技術(shù)實現(xiàn)集中安全管控，為整個網(wǎng)絡構(gòu)建起一張立體的安全防護網(wǎng)。近年來，網(wǎng)絡安全事故頻發(fā)，絕大多數(shù)案例都是從網(wǎng)絡內(nèi)部發(fā)起攻擊造成的。要改變這樣的現(xiàn)狀，必須加快發(fā)展網(wǎng)絡虛擬化。

除此以外，網(wǎng)絡虛擬化減少了物理設備的數(shù)量，節(jié)約大量電力消耗，踐行了“綠色低碳、節(jié)能環(huán)?！钡陌l(fā)展理念。所有這些因素共同促進網(wǎng)絡虛擬化得到了飛速的發(fā)展。

2 網(wǎng)絡虛擬化的核心要素和體系結(jié)構(gòu)

2.1 核心要素

網(wǎng)絡虛擬化的兩大核心要素分別是網(wǎng)絡功能虛擬化（Network Function virtualization，NFV）和軟件定義網(wǎng)絡（Software Defining Network，SDN）。它們從兩個不同的維度構(gòu)建起虛擬網(wǎng)絡的基礎架構(gòu)。盡管NFV和SDN是兩種完全不相關(guān)的技術(shù)，但是它們彼此互補，共同實現(xiàn)了以應用為中心的建網(wǎng)思想，是網(wǎng)絡“云”化的必然選擇。

NFV運用服務器虛擬化技術(shù)實現(xiàn)特定的網(wǎng)絡功能，包括虛擬網(wǎng)絡功能（Virtual Network Function，VNF）、通用硬件、網(wǎng)絡交換路由協(xié)議以及管理工具在內(nèi)的整個系統(tǒng)[2]。NFV在x86等通用服務器上運用虛擬化技術(shù)，通過軟件實現(xiàn)眾多的網(wǎng)絡功能，減少了大量專用網(wǎng)絡設備的使用量。NFV的最終目的就是實現(xiàn)網(wǎng)絡設備的軟件化，把原來運行在專用網(wǎng)元設備上的網(wǎng)絡功能盡可能地轉(zhuǎn)移到價格低廉的通用服務器上。這樣一來，不僅降低了網(wǎng)絡的建設成本，而且可以利用開放的應用程序接口（Application Programming Interface，API）對網(wǎng)絡功能編程控制，便于創(chuàng)建更加靈活、功能多樣的網(wǎng)絡。在NFV體系結(jié)構(gòu)中，VNF扮演著非常重要的角色。它就是一臺運行有網(wǎng)絡協(xié)議的虛擬機、容器（如VMware的Edge服務網(wǎng)關(guān)），或者是一個功能插件（如VMware的分布式防火墻功能模塊），可以實現(xiàn)傳統(tǒng)網(wǎng)絡硬件的相關(guān)功能。VNF運行在通用硬件上，不受專有硬件和部署位置的制約，實現(xiàn)了網(wǎng)絡軟件和硬件的解耦。可以將VNF放到最合適的位置，創(chuàng)建出高效、低延遲的優(yōu)質(zhì)網(wǎng)絡。NFV建立在以軟件為中心的理論基礎上，結(jié)合虛擬資源具有的彈性、可伸縮性等特點，傳統(tǒng)網(wǎng)絡遇到的許多障礙都可以得到解決。傳統(tǒng)網(wǎng)絡設備通常集多種功能于一身，難以對特定功能單獨升級。而VNF采取模塊化設計，一個VNF設備通常只執(zhí)行一種網(wǎng)絡功能，很容易進行單獨在線升級，且不會對應用產(chǎn)生影響。NFV最大限度地減輕了物理網(wǎng)絡的流量壓力，大量數(shù)據(jù)在物理主機內(nèi)部就完成了交換路由，根本不會流經(jīng)物理網(wǎng)絡。NFV建立在服務器虛擬化基礎之上，這就決定了適合NFV化的主要是基于中央處理器（Central Processing Unit，CPU）、內(nèi)存處理任務的網(wǎng)絡功能，執(zhí)行高速包轉(zhuǎn)發(fā)功能的網(wǎng)絡設備并不適合NFV化。

“開放”和“集中”是SDN技術(shù)實現(xiàn)的兩大重要特征[3]。SDN做到了網(wǎng)絡設備轉(zhuǎn)發(fā)平面和控制平面的分離，是一種不同于傳統(tǒng)網(wǎng)絡的體系框架。網(wǎng)絡設備（物理或者虛擬）專注于數(shù)據(jù)的轉(zhuǎn)發(fā)，而控制功能集中到SDN控制器，實行集中控制、分布式轉(zhuǎn)發(fā)的策略。由于SDN控制器掌握全網(wǎng)的控制信息，因此也就知曉了完整的網(wǎng)絡拓撲結(jié)構(gòu)，為應用軟件的部署提供了清晰的網(wǎng)絡視圖。SDN方式可以及時獲取連接入網(wǎng)的設備信息，對各類安全威脅第一時間采取應對措施，大幅提高網(wǎng)絡安全性?？刂菩畔⒌募刑幚泶蠓档土藢W(wǎng)絡設備的性能要求，絕大多數(shù)網(wǎng)絡設備只需要執(zhí)行SDN控制器的決策轉(zhuǎn)發(fā)數(shù)據(jù)即可，不需要進行復雜的計算。以開放最短路徑優(yōu)先（Open Shortest Path First，OSPF）動態(tài)路由協(xié)議為例，對SDN架構(gòu)提升網(wǎng)絡效率進行說明。傳統(tǒng)物理網(wǎng)絡情況下，每一臺路由器之間都需要相互交換鏈路狀態(tài)信息、單獨計算路由，浪費了大量的網(wǎng)絡帶寬和計算資源。如果采用SDN方式，每個路由器只需要給SDN控制器發(fā)送鏈路狀態(tài)信息，由其集中計算路由，再將計算結(jié)果返回全網(wǎng)設備，大幅降低了資源需求。網(wǎng)絡虛擬化實現(xiàn)網(wǎng)絡資源共享，一張物理網(wǎng)絡上可能運行有成百上千個獨立的虛擬網(wǎng)絡，如果不采用SDN，網(wǎng)絡管理將是一項不可能完成的工作。SDN區(qū)別于普通網(wǎng)管系統(tǒng)的最大特性就在于它可以持續(xù)監(jiān)控網(wǎng)絡的運行情況，實時調(diào)整網(wǎng)絡的資源配置以滿足用戶的實際需求，大幅提高網(wǎng)絡的使用效率。

NFV和SDN高度融合在一起創(chuàng)建的網(wǎng)絡不僅具有開放性、可擴展性、彈性、敏捷性以及可編程性等特點，而且還起到簡化控制邏輯、大幅縮短交付周期、降低運行成本等效果，所有這些都符合網(wǎng)絡發(fā)展的趨勢。

2.2 體系結(jié)構(gòu)

網(wǎng)絡虛擬化的理念來源于服務器虛擬化。因為融入了網(wǎng)絡的特性，所以其體系結(jié)構(gòu)比服務器虛擬化要復雜。從歐洲電信標準協(xié)會（European Telecommunications Standards Institute，ETSI）NFV架構(gòu)就可以看到，網(wǎng)絡虛擬化不但要實現(xiàn)虛擬網(wǎng)絡，還要提供虛擬計算和虛擬存儲。包括網(wǎng)絡、計算和存儲的全部底層硬件設備經(jīng)過虛擬化層的處理，形成了虛擬資源池。在此基礎之上就可以創(chuàng)建虛擬交換機、虛擬路由器、虛擬防火墻等VNF。各虛擬機（Virtual Machine，VM）連接到虛擬交換機，再通過虛擬鏈路連接到路由和防火墻等設備，這樣就構(gòu)建起了一張?zhí)囟ǖ奶摂M網(wǎng)絡。所有VNF和虛擬網(wǎng)絡不僅可以根據(jù)需要進行創(chuàng)建和刪除，還可以動態(tài)縮放，充分實現(xiàn)了系統(tǒng)資源的高效利用。采用NFV方式建網(wǎng)，完全不同于傳統(tǒng)物理網(wǎng)絡建設，不需要花費大量的時間和資金來購置、部署網(wǎng)絡設備，只需要根據(jù)實際的需要創(chuàng)建VNF，再將各個VNF按照網(wǎng)絡拓撲結(jié)構(gòu)鏈接起來，就完成了邏輯網(wǎng)絡的部署，整個過程都是通過軟件進行。NFV從結(jié)構(gòu)上可以分為硬件設施層、虛擬資源層以及網(wǎng)絡功能層，部署方式主要有單廠商、軟硬件解耦以及三層解耦共3種方式[4]。其中，三層解耦方式最符合NFV的初始目標，可以滿足網(wǎng)絡“云化”的需求，但是實現(xiàn)難度也最大。

網(wǎng)絡虛擬化一方面通過NFV優(yōu)化資源配置、提高利用率，另一方面采取SDN集中控制模式來簡化網(wǎng)絡結(jié)構(gòu)，實現(xiàn)NFV與SDN的高度融合，其體系結(jié)構(gòu)如圖1所示。SDN控制器在整個體系中起到了至關(guān)重要的作用，它通過南向接口（如OpenFlow）連接轉(zhuǎn)發(fā)設備，通過北向接口（如REST）連接應用，同時還要和NFV編排與控制組件交互，使得網(wǎng)絡具備了可編程和自動化的特性。它將應用程序和網(wǎng)絡耦合在一起，應用的需求可以直接傳遞給網(wǎng)絡，真正實現(xiàn)了“軟件定義網(wǎng)絡”的理念。高效的NFV監(jiān)視系統(tǒng)是另外一個重要因素，及時準確地獲取物理主機、虛擬機及VNF的狀態(tài)信息，對于虛擬網(wǎng)絡的管理和編排非常重要。一種稱為“信息獲取需求與獲取技術(shù)解耦”（Information Requirements Decoupling from Acquisition，IRDA）的信息獲取方法具有較高的參考價值[5]。

圖1 SDN/NFV融合架構(gòu)

3 VMware NSX中的NFV/SDN體現(xiàn)

NSX是一款NFV與SDN融合得非常好的虛擬化平臺，實現(xiàn)了管理、控制、數(shù)據(jù)三個平面的分離，其體系層次如圖2所示。管理工作主要由NSX Manager和vCenter完成，可以配置邏輯交換機、邏輯路由器以及邏輯防火墻等VNF組件，并且實現(xiàn)邏輯組網(wǎng)等網(wǎng)絡編排功能。在數(shù)據(jù)轉(zhuǎn)發(fā)方面，NSX Controller是虛擬網(wǎng)絡的SDN控制器，如果物理網(wǎng)絡也支持OpenFlow等南向協(xié)議，它同樣可以成為物理網(wǎng)絡的SDN控制器。另外，DLR Control VM是一臺專門處理分布式三層路由的虛擬機，也是SDN控制器組件。在網(wǎng)絡安全領(lǐng)域，NSX Manager還要負責將管理組件vCenter上創(chuàng)建的分布式防火墻規(guī)則同步推送到ESXi主機，對全部分布式防火墻（Distributed Firewall，DFW）實現(xiàn)SDN集中控制。NSX數(shù)據(jù)平面包括分布和集中兩種轉(zhuǎn)發(fā)模式，分別用于處理東西向和南北向流量。分布式轉(zhuǎn)發(fā)以功能模塊的形式嵌入到虛擬化層，在主機內(nèi)部就可以實現(xiàn)二層交換和三層路由。特別是Edge服務網(wǎng)關(guān)就是建立在服務器虛擬化之上的VNF，實現(xiàn)了網(wǎng)絡地址轉(zhuǎn)換（Network Address Translation，NAT）、域名系統(tǒng)（Domain Name System，DNS）、虛擬專用網(wǎng)絡（Virtual Private Network，VPN）、路由等多種網(wǎng)絡功能[1]。

圖2 NSX-V體系層次

4 廣播電視網(wǎng)絡虛擬化應用

有線電視用戶接入網(wǎng)大多采用混合光纖同軸電纜（Hybrid Fiber Coax，HFC）和光纖到戶（Fibre To The Home，F(xiàn)TTH）兩種技術(shù)，分別使用有線電視融入接入技術(shù)平臺（Converged Cable Access Platform，CCAP）和寬帶遠程接入服務器（Broadband Remote Access Server，BRAS）網(wǎng)關(guān)作為接入設備?？梢詫⑦@兩種設備的光電傳輸以外的功能實現(xiàn)虛擬化，在中心局端集中部署計費、認證、授權(quán)、路由以及安全策略發(fā)布等集中控制功能，在前端部署數(shù)據(jù)交換功能，充分發(fā)揮NFV/SDN的優(yōu)勢[6]。

交互式網(wǎng)絡電視（IPTV）和互聯(lián)網(wǎng)視頻點播近年來呈現(xiàn)爆發(fā)式增長。廣播電視行業(yè)作為重要的視頻提供商，對內(nèi)容分發(fā)網(wǎng)絡（Content Delivery Network，CDN）有非常高的要求。傳統(tǒng)CDN建立在物理網(wǎng)絡之上，建設維護成本高、資源浪費嚴重、視頻格式單一，難以適應業(yè)務需求的快速發(fā)展。利用網(wǎng)絡虛擬化可以將物理CDN虛擬化為多個虛擬CDN，并且實現(xiàn)SDN集中控制[7]。通過網(wǎng)絡虛擬化，虛擬CDN實現(xiàn)了內(nèi)容“集中錄制存儲，精細化推送”，不僅大幅降低了邊緣節(jié)點的存儲容量需求，而且支持多種視頻格式，以適應手機、PC、電視等多種終端的要求。

光傳輸網(wǎng)絡是廣電系統(tǒng)最主要的傳輸載體，主要包括光交換機、光纖鏈路、可重構(gòu)光分插復用器（Reconfigurable Optical Add-Drop Multiplexer，ROADM）以及光再生器等。其中，ROADM是最重要的設備，和交換機需要維護MAC地址表一樣，它也需要維護相應的表項，以確定如何對復合光進行交換和分插波長。波長選擇對于光傳輸網(wǎng)絡非常重要，源和目的地的距離、光纖損耗、差錯率以及可用波長等都是重要的參考因素，要盡量做到全路徑的光操作，避免出現(xiàn)光和電的相互轉(zhuǎn)換。如果在光傳輸網(wǎng)絡中采用SDN方式組網(wǎng)，控制器就可以從光設備中獲取可用波長和每個節(jié)點的信號質(zhì)量等信息，不僅能由此計算出源端到目的端的最佳光傳輸路徑，還可以對ROADM等設備進行編程控制[2]。SDN技術(shù)應用到光傳輸網(wǎng)絡，一方面提高了網(wǎng)絡的效率，節(jié)約了管理成本；另一方面實現(xiàn)了集中化和智能化的配置，大大提升了網(wǎng)絡的故障檢測恢復能力，對確保安全播出有重要意義。

廣播電視行業(yè)近年來在媒體融合方面取得了長足的進步，進一步實現(xiàn)了內(nèi)容融合和網(wǎng)絡融合。在網(wǎng)絡建設方面，自主平臺打造和“借船出?！眱梢睚R飛；在服務功能方面，實現(xiàn)了引導+服務的拓展；在內(nèi)容表現(xiàn)形式方面，媒體形態(tài)實現(xiàn)了全態(tài)化[8]。從中央電視臺到很多地方媒體都建設了自主的融媒體平臺，一些安全性要求不太高的功能甚至轉(zhuǎn)移到了“公有云”上，借助互聯(lián)網(wǎng)這艘大船拓展傳統(tǒng)媒體的網(wǎng)絡空間。傳統(tǒng)媒體原先的職責定位就是輿論宣傳和引導，在媒體融合的環(huán)境下，其被賦予了社會服務的功能。很多政務服務的應用運行在“融媒體云”上，有的媒體單位甚至涉足了“智慧城市”等領(lǐng)域。在媒體內(nèi)容的形態(tài)和傳播渠道方面，除了電視外，傳統(tǒng)媒體通過微信、微博、抖音等平臺全方位進入互聯(lián)網(wǎng)，擴大影響力。媒體融合的程度越深，網(wǎng)絡結(jié)構(gòu)就越復雜。為了確保融媒體平臺上各個系統(tǒng)的安全隔離和資源分配，NFV和SDN都是不可或缺的技術(shù)。

5 結(jié) 語

盡管NFV和SDN技術(shù)還處于完善、發(fā)展階段，但是網(wǎng)絡虛擬化在它們的相互協(xié)作下還是得到了快速的發(fā)展。在實際應用中，網(wǎng)絡設計者除了要注重虛擬技術(shù)外，更應該重視物理網(wǎng)絡的合理規(guī)劃，優(yōu)化布局計算、存儲和網(wǎng)絡資源，為網(wǎng)絡虛擬化的實施創(chuàng)造有利的條件。只有這樣，網(wǎng)絡虛擬化的兩大核心要素才能發(fā)揮最大的效能，創(chuàng)建出優(yōu)質(zhì)的虛擬網(wǎng)絡。