要確保網(wǎng)絡功能虛擬化（NFV）發(fā)揮其最大效能，網(wǎng)絡自身需要以虛擬化網(wǎng)絡功能（VNF）的形式具備動態(tài)和可編程的能力。軟件定義網(wǎng)絡（SDN）因其可編程能力和便于配置，完美契合了快速變化的NFV應用對網(wǎng)絡的需求。

　　作為主要應用場景，SDN已經(jīng)部署于數(shù)據(jù)中心，然而，NFV需要一個更強大的方案。NFV架構需要支持跨越多個地理位置的網(wǎng)絡功能。它還應該是高度可靠和高性能的方案，能夠與傳統(tǒng)網(wǎng)絡輕松互聯(lián)。

　　為什么NFV需要SDN?

　　過去，網(wǎng)絡是半靜態(tài)化的。需要人工介入，經(jīng)由命令行接口或管理系統(tǒng)才能實現(xiàn)變更。手動更改容易出現(xiàn)錯誤，所以只有經(jīng)過特別培訓且針對該領域的專家才被允許進行修改工作，且要被記錄下來。部署新的網(wǎng)元意味著必須遵守嚴格的流程和刻板的規(guī)則，以避免與現(xiàn)有網(wǎng)元產(chǎn)生沖突。即使是很小的變更也可能要花費數(shù)周或數(shù)月。

　　NFV和SDN顯著改善了提供新業(yè)務的流程。SDN通過將網(wǎng)絡虛擬化的方式在這一流程中發(fā)揮積極作用，這一方式類似于針對計算和存儲的服務器虛擬化。SDN通過開放的北向API，諸如OpenStack Neutron來提供易于使用的網(wǎng)絡抽象。這使得更多人–也包括自動化系統(tǒng)–得以提供和配置網(wǎng)絡。它還將響應時間從數(shù)分鐘減少到數(shù)秒。

　　但對于NFV和SDN的引入不僅是在技術層面：它要求在觀念和流程上做出改變。運營商需要接受在其系統(tǒng)中出現(xiàn)一種更加高級的自動化操作，提供在幾分鐘內改變全網(wǎng)的能力。這包括為新功能及業(yè)務擴展而部署VNF和軟件升級，還包括對網(wǎng)絡資源的再協(xié)調和一致化。

　　為NFV構建網(wǎng)絡基礎

　　NFV把在云中的實踐引入到運營商網(wǎng)絡。網(wǎng)絡功能被虛擬化和自動化，以運行在一個共享的服務器架構上，該架構提供必要的計算、存儲和網(wǎng)絡資源。然而，相對于大多數(shù)IT應用，網(wǎng)絡功能要求的更多，這意味著NVF有著特定的需求，包括：

• 動態(tài)和擴展能力

　　NFV架構應該是動態(tài)的。其必須支持可對業(yè)務用量變化做出響應的高度可擴展的應用。當VNF擴展或遷移到一個不同的位置，網(wǎng)絡需要隨之改變而無需人工介入。

• 在分布式環(huán)境中的連接

　　NFV中網(wǎng)絡–SDN或是其他方案–的主要角色是提供VNF組件（VNFCs）間的連接。大多數(shù)的NFV應用需要二層或三層的連接。對于某些應用，可能還需要一層或零層的控制（傳輸?shù)腟DN）SDN網(wǎng)絡提供：

• 靜態(tài)或動態(tài)的IP尋址
• 浮動IP地址
• 組播/廣播/任播
• Middlebox服務

　　當IT云想方設法進行集中和整合數(shù)據(jù)中心時，NFV節(jié)點卻需要仔細進行跨地域的分布式部署，以便保證性能和高可用性，并避免不必要的流量回程到集中化的數(shù)據(jù)中心。

• 安全

　　一個對內部和外部攻擊者的高等級安全防范機制是任何運營商架構都必須具備的。

　　例如，應該僅為需要互通的網(wǎng)元間提供連接能力，僅允許合法的流量通過（使用防火墻或安全組）。VNF與任何”嘈雜”的相鄰網(wǎng)元間必須進行足夠的隔離，以保證性能和安全。

• 與傳統(tǒng)網(wǎng)絡互聯(lián)

　　引入NFV是一個漸進的過程，需逐步進行。與傳統(tǒng)網(wǎng)絡的互聯(lián)非常關鍵，它可確保在向完全基于NFV的架構演進的整個過程中，業(yè)務不會因此中斷。

• 容量和可靠性

　　VNF通常在支持數(shù)據(jù)和媒體流量上體現(xiàn)出高性能。因此，在整個WAN上，以及服務器網(wǎng)卡、Hypervisor和虛擬交換機之間，必須保證足夠的帶寬和包吞吐率。對實時性能有要求的網(wǎng)絡功能還會對時延和抖動比較敏感。在故障或災難發(fā)生時，網(wǎng)絡需要保證業(yè)務的可用性。

• 策略以及正在轉變的角色和職責

　　今天，許多業(yè)務以豎井方式提供。每個業(yè)務有其自己的硬件、軟件和運維團隊。通過NFV，運營商可部署一個更加層次化的模型，其中，NFV平臺–具備計算、存儲和網(wǎng)絡資源–成為一個公用的層，無需為每個業(yè)務復制一份。這改變了運維團隊的角色和職責。NFV和SDN展現(xiàn)出更多的策略驅動的特性，以實現(xiàn)一個連貫的運維模型和更好的自動化。

　　NFV環(huán)境中如何使用SDN？

　　在NFV網(wǎng)絡中，SDN可扮演幾個不同的角色。兩個最具代表性的例子是虛擬化的背板和業(yè)務功能鏈（SFC）。

• 虛擬背板

　　為實現(xiàn)物理網(wǎng)絡功能，NFV網(wǎng)絡需要承擔一項額外的工作，該工作以往是通過定制化硬件完成的。大型物理網(wǎng)元包含眾多的用于處理的刀片以及通過背板與交換模塊相連的接口卡。當這些網(wǎng)元變成為虛擬（VNF）的之后，刀片和接口卡被映射為虛擬機（VM）上的組件（VNFC），這些虛擬機運行在相同、或者不同的服務器上，甚至分布在多個不同的數(shù)據(jù)中心（圖1）。

圖1 背板連接被網(wǎng)絡連接取代

　　圖1顯示了EPC 功能傳統(tǒng)上可運行在一個路由平臺上，或者通過NFV虛擬化為相互獨立的VM，運行在不同的服務器上。這些功能包括服務網(wǎng)關、分組數(shù)據(jù)網(wǎng)關、控制和終結，而內部通信路徑現(xiàn)在則需被映射為（虛擬）網(wǎng)絡。

　　物理網(wǎng)絡功能的包處理性能是通過軟硬件的共同調節(jié)來保證和優(yōu)化的。對虛擬化環(huán)境中各功能間流量的管理是一個新的任務，后文將有討論。

• 業(yè)務功能鏈和虛擬CPE

　　SFC被廣泛認為是NFV和SDN的一個重要應用。它使得運營商能夠動態(tài)地將增值服務添加到用戶的數(shù)據(jù)流經(jīng)路徑上，借此創(chuàng)建和銷售增值服務包。

圖2 業(yè)務功能鏈

　　所謂業(yè)務鏈，是指在流量源和接收端之間的數(shù)據(jù)路徑上附著的一系列VNF。例如，圖2中藍色業(yè)務鏈包含了一個防火墻和視頻優(yōu)化器。紅色鏈也包含了防火墻，但還加入了防病毒和父母控制功能。

　　業(yè)務鏈可被用在固定寬帶和移動網(wǎng)絡中。就固定寬帶而言，SFC 可實現(xiàn)客戶前端設備（CPE）的虛擬化。借助SFC，用戶流量可被引導經(jīng)由一系列的業(yè)務功能，而這些功能是從物理CPE遷移至網(wǎng)絡中的。

　　借助NFV和SDN，運營商可通過軟件配置實現(xiàn)業(yè)務功能鏈，而無需安裝物理設備，也無需重新連線或手工對網(wǎng)絡連接進行重新配置。他們可使用NFV來動態(tài)部署虛擬化的設備，并根據(jù)流量需求進行擴容。

　　此外，SDN使得運營商能夠根據(jù)業(yè)務鏈配置將用戶流量引導流經(jīng)不同的業(yè)務功能序列。例如，運營商可通過將業(yè)務功能替換為新版本或其他廠商的類似功能，來實現(xiàn)不中斷業(yè)務的情況下對業(yè)務鏈的修改和增強。不僅如此，通過自助式門戶，用戶可對其各自鏈中的功能進行增刪。