要確保網(wǎng)絡(luò)功能虛擬化（NFV）發(fā)揮其最大效能，網(wǎng)絡(luò)自身需要以虛擬化網(wǎng)絡(luò)功能（VNF）的形式具備動(dòng)態(tài)和可編程的能力。軟件定義網(wǎng)絡(luò)（SDN）因其可編程能力和便于配置，完美契合了快速變化的NFV應(yīng)用對(duì)網(wǎng)絡(luò)的需求。

　　作為主要應(yīng)用場(chǎng)景，SDN已經(jīng)部署于數(shù)據(jù)中心，然而，NFV需要一個(gè)更強(qiáng)大的方案。NFV架構(gòu)需要支持跨越多個(gè)地理位置的網(wǎng)絡(luò)功能。它還應(yīng)該是高度可靠和高性能的方案，能夠與傳統(tǒng)網(wǎng)絡(luò)輕松互聯(lián)。

　　為什么NFV需要SDN?

　　過(guò)去，網(wǎng)絡(luò)是半靜態(tài)化的。需要人工介入，經(jīng)由命令行接口或管理系統(tǒng)才能實(shí)現(xiàn)變更。手動(dòng)更改容易出現(xiàn)錯(cuò)誤，所以只有經(jīng)過(guò)特別培訓(xùn)且針對(duì)該領(lǐng)域的專家才被允許進(jìn)行修改工作，且要被記錄下來(lái)。部署新的網(wǎng)元意味著必須遵守嚴(yán)格的流程和刻板的規(guī)則，以避免與現(xiàn)有網(wǎng)元產(chǎn)生沖突。即使是很小的變更也可能要花費(fèi)數(shù)周或數(shù)月。

　　NFV和SDN顯著改善了提供新業(yè)務(wù)的流程。SDN通過(guò)將網(wǎng)絡(luò)虛擬化的方式在這一流程中發(fā)揮積極作用，這一方式類似于針對(duì)計(jì)算和存儲(chǔ)的服務(wù)器虛擬化。SDN通過(guò)開(kāi)放的北向API，諸如OpenStack Neutron來(lái)提供易于使用的網(wǎng)絡(luò)抽象。這使得更多人–也包括自動(dòng)化系統(tǒng)–得以提供和配置網(wǎng)絡(luò)。它還將響應(yīng)時(shí)間從數(shù)分鐘減少到數(shù)秒。

　　但對(duì)于NFV和SDN的引入不僅是在技術(shù)層面：它要求在觀念和流程上做出改變。運(yùn)營(yíng)商需要接受在其系統(tǒng)中出現(xiàn)一種更加高級(jí)的自動(dòng)化操作，提供在幾分鐘內(nèi)改變?nèi)�網(wǎng)的能力。這包括為新功能及業(yè)務(wù)擴(kuò)展而部署VNF和軟件升級(jí)，還包括對(duì)網(wǎng)絡(luò)資源的再協(xié)調(diào)和一致化。

　　為NFV構(gòu)建網(wǎng)絡(luò)基礎(chǔ)

　　NFV把在云中的實(shí)踐引入到運(yùn)營(yíng)商網(wǎng)絡(luò)。網(wǎng)絡(luò)功能被虛擬化和自動(dòng)化，以運(yùn)行在一個(gè)共享的服務(wù)器架構(gòu)上，該架構(gòu)提供必要的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源。然而，相對(duì)于大多數(shù)IT應(yīng)用，網(wǎng)絡(luò)功能要求的更多，這意味著NVF有著特定的需求，包括：

• 動(dòng)態(tài)和擴(kuò)展能力

　　NFV架構(gòu)應(yīng)該是動(dòng)態(tài)的。其必須支持可對(duì)業(yè)務(wù)用量變化做出響應(yīng)的高度可擴(kuò)展的應(yīng)用。當(dāng)VNF擴(kuò)展或遷移到一個(gè)不同的位置，網(wǎng)絡(luò)需要隨之改變而無(wú)需人工介入。

• 在分布式環(huán)境中的連接

　　NFV中網(wǎng)絡(luò)–SDN或是其他方案–的主要角色是提供VNF組件（VNFCs）間的連接。大多數(shù)的NFV應(yīng)用需要二層或三層的連接。對(duì)于某些應(yīng)用，可能還需要一層或零層的控制（傳輸?shù)腟DN）SDN網(wǎng)絡(luò)提供：

• 靜態(tài)或動(dòng)態(tài)的IP尋址
• 浮動(dòng)IP地址
• 組播/廣播/任播
• Middlebox服務(wù)

　　當(dāng)IT云想方設(shè)法進(jìn)行集中和整合數(shù)據(jù)中心時(shí)，NFV節(jié)點(diǎn)卻需要仔細(xì)進(jìn)行跨地域的分布式部署，以便保證性能和高可用性，并避免不必要的流量回程到集中化的數(shù)據(jù)中心。

• 安全

　　一個(gè)對(duì)內(nèi)部和外部攻擊者的高等級(jí)安全防范機(jī)制是任何運(yùn)營(yíng)商架構(gòu)都必須具備的。

　　例如，應(yīng)該僅為需要互通的網(wǎng)元間提供連接能力，僅允許合法的流量通過(guò)（使用防火墻或安全組）。VNF與任何”嘈雜”的相鄰網(wǎng)元間必須進(jìn)行足夠的隔離，以保證性能和安全。

• 與傳統(tǒng)網(wǎng)絡(luò)互聯(lián)

　　引入NFV是一個(gè)漸進(jìn)的過(guò)程，需逐步進(jìn)行。與傳統(tǒng)網(wǎng)絡(luò)的互聯(lián)非常關(guān)鍵，它可確保在向完全基于NFV的架構(gòu)演進(jìn)的整個(gè)過(guò)程中，業(yè)務(wù)不會(huì)因此中斷。

• 容量和可靠性

　　VNF通常在支持?jǐn)?shù)據(jù)和媒體流量上體現(xiàn)出高性能。因此，在整個(gè)WAN上，以及服務(wù)器網(wǎng)卡、Hypervisor和虛擬交換機(jī)之間，必須保證足夠的帶寬和包吞吐率。對(duì)實(shí)時(shí)性能有要求的網(wǎng)絡(luò)功能還會(huì)對(duì)時(shí)延和抖動(dòng)比較敏感。在故障或?yàn)?zāi)難發(fā)生時(shí)，網(wǎng)絡(luò)需要保證業(yè)務(wù)的可用性。

• 策略以及正在轉(zhuǎn)變的角色和職責(zé)

　　今天，許多業(yè)務(wù)以豎井方式提供。每個(gè)業(yè)務(wù)有其自己的硬件、軟件和運(yùn)維團(tuán)隊(duì)。通過(guò)NFV，運(yùn)營(yíng)商可部署一個(gè)更加層次化的模型，其中，NFV平臺(tái)–具備計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源–成為一個(gè)公用的層，無(wú)需為每個(gè)業(yè)務(wù)復(fù)制一份。這改變了運(yùn)維團(tuán)隊(duì)的角色和職責(zé)。NFV和SDN展現(xiàn)出更多的策略驅(qū)動(dòng)的特性，以實(shí)現(xiàn)一個(gè)連貫的運(yùn)維模型和更好的自動(dòng)化。

　　NFV環(huán)境中如何使用SDN？

　　在NFV網(wǎng)絡(luò)中，SDN可扮演幾個(gè)不同的角色。兩個(gè)最具代表性的例子是虛擬化的背板和業(yè)務(wù)功能鏈（SFC）。

• 虛擬背板

　　為實(shí)現(xiàn)物理網(wǎng)絡(luò)功能，NFV網(wǎng)絡(luò)需要承擔(dān)一項(xiàng)額外的工作，該工作以往是通過(guò)定制化硬件完成的。大型物理網(wǎng)元包含眾多的用于處理的刀片以及通過(guò)背板與交換模塊相連的接口卡。當(dāng)這些網(wǎng)元變成為虛擬（VNF）的之后，刀片和接口卡被映射為虛擬機(jī)（VM）上的組件（VNFC），這些虛擬機(jī)運(yùn)行在相同、或者不同的服務(wù)器上，甚至分布在多個(gè)不同的數(shù)據(jù)中心（圖1）。

圖1 背板連接被網(wǎng)絡(luò)連接取代

　　圖1顯示了EPC 功能傳統(tǒng)上可運(yùn)行在一個(gè)路由平臺(tái)上，或者通過(guò)NFV虛擬化為相互獨(dú)立的VM，運(yùn)行在不同的服務(wù)器上。這些功能包括服務(wù)網(wǎng)關(guān)、分組數(shù)據(jù)網(wǎng)關(guān)、控制和終結(jié)，而內(nèi)部通信路徑現(xiàn)在則需被映射為（虛擬）網(wǎng)絡(luò)。

　　物理網(wǎng)絡(luò)功能的包處理性能是通過(guò)軟硬件的共同調(diào)節(jié)來(lái)保證和優(yōu)化的。對(duì)虛擬化環(huán)境中各功能間流量的管理是一個(gè)新的任務(wù)，后文將有討論。

• 業(yè)務(wù)功能鏈和虛擬CPE

　　SFC被廣泛認(rèn)為是NFV和SDN的一個(gè)重要應(yīng)用。它使得運(yùn)營(yíng)商能夠動(dòng)態(tài)地將增值服務(wù)添加到用戶的數(shù)據(jù)流經(jīng)路徑上，借此創(chuàng)建和銷售增值服務(wù)包。

圖2 業(yè)務(wù)功能鏈

　　所謂業(yè)務(wù)鏈，是指在流量源和接收端之間的數(shù)據(jù)路徑上附著的一系列VNF。例如，圖2中藍(lán)色業(yè)務(wù)鏈包含了一個(gè)防火墻和視頻優(yōu)化器。紅色鏈也包含了防火墻，但還加入了防病毒和父母控制功能。

　　業(yè)務(wù)鏈可被用在固定寬帶和移動(dòng)網(wǎng)絡(luò)中。就固定寬帶而言，SFC 可實(shí)現(xiàn)客戶前端設(shè)備（CPE）的虛擬化。借助SFC，用戶流量可被引導(dǎo)經(jīng)由一系列的業(yè)務(wù)功能，而這些功能是從物理CPE遷移至網(wǎng)絡(luò)中的。

　　借助NFV和SDN，運(yùn)營(yíng)商可通過(guò)軟件配置實(shí)現(xiàn)業(yè)務(wù)功能鏈，而無(wú)需安裝物理設(shè)備，也無(wú)需重新連線或手工對(duì)網(wǎng)絡(luò)連接進(jìn)行重新配置。他們可使用NFV來(lái)動(dòng)態(tài)部署虛擬化的設(shè)備，并根據(jù)流量需求進(jìn)行擴(kuò)容。

　　此外，SDN使得運(yùn)營(yíng)商能夠根據(jù)業(yè)務(wù)鏈配置將用戶流量引導(dǎo)流經(jīng)不同的業(yè)務(wù)功能序列。例如，運(yùn)營(yíng)商可通過(guò)將業(yè)務(wù)功能替換為新版本或其他廠商的類似功能，來(lái)實(shí)現(xiàn)不中斷業(yè)務(wù)的情況下對(duì)業(yè)務(wù)鏈的修改和增強(qiáng)。不僅如此，通過(guò)自助式門(mén)戶，用戶可對(duì)其各自鏈中的功能進(jìn)行增刪。