程海瑞　中国联合网络通信有限公司网络技术研究院工程师张　沛　中国联合网络通信有限公司网络技术研究院宽带网络研究室主任，高级工程师



企业网关虚拟化研究与部署

程海瑞中国联合网络通信有限公司网络技术研究院工程师
张沛中国联合网络通信有限公司网络技术研究院宽带网络研究室主任，高级工程师

摘要通过研究企业网关的功能架构以及网络虚拟化技术，建立了企业网关虚拟化功能分布模型，提出了虚拟企业网关部署方案。

关键词企业网关网络虚拟化软件定义网络

1　引言

目前，电信运营商部署在中小企业客户侧的企业网关主要提供企业宽带、语音、网络安全等业务，并协助运营商完成企业网络部署、业务发放和管理维护。从技术角度讲，企业网关主要实现企业内部到外部的路由/桥接、协议转换、地址管理和转换的功能，承担防火墙、防DDoS攻击、DMZ、VPN等网络安全的职责，并提供可能的VoIP、网络存储等功能。企业网关主要功能模块包括：

（1）WAN侧接口：xPON、Ethernet等。

（2）LAN侧接口：千兆以太网、WLAN、语音、USB等接口。

（3）包处理：二层转发、三层转发、广播和组播控制、隧道封装和加密、防火墙、QoS。

（4）网络控制层：IP路由和组播控制协议、网络附着协议（包括DHCP、PPP等）、NAT穿越、WLAN认证、隧道端点配置。

（5）业务协调层：LAN配置协议、LAN拓扑发现协议、应用层网关、HTTP服务器。

（6）业务层：VoIP、动态DNS、VPN、防DDoS。

（7）管理层：配置管理、QoS管理、安全管理、诊断和性能监控、升级、LAN设备管理。

随着超宽带和云计算技术的发展，中小企业用户希望将繁杂的网络配置管理功能从企业网络转向运营商网络，并实现弹性的按需付费，以节约企业信息化开支，于是企业网关虚拟化的方案应运而生。

2　虚拟化技术研究

2.1网络功能虚拟化

传统的非虚拟化网络设备由3层构成，包括专有硬件平台、操作系统和网络功能软件（如路由器、企业网关、防火墙等）。其中，设备厂商根据网络功能的需求设计相应的专有硬件平台和软件，网络功能与专有硬件平台绑定通常由同一设备厂家提供。在同一专有硬件平台上通常只提供单一的网络功能，不同网络功能的专有硬件平台无法共享。

ETSI（欧洲电信标准协会）发布的NFV（Network Function Vitiualized，网络功能虚拟化）将网络功能以软件的形式运行在网络功能虚拟化基础设施之上。网络功能虚拟化参考架构如图1所示，其中主要包括3个域：

（1）虚拟网络功能（VNF，Virtualised Network Function）：网络功能的软件实现并运行在NFVI之上。

（2）网络功能虚拟化基础设施（NFVI，NFV Infrastructure）：包括物理的计算、存储和网络资源及其虚拟化资源，以及虚拟化层。网络功能虚拟化基础设施支持虚拟网络功能在其上运行。

（3）管理与编排（MANO，Management and Orchestration）：负责编排、物理/虚拟化资源的生命周期管理以及VNF的生命周期管理。NFV MANO重点承担在NFV架构下虚拟化相关的管理任务。

2.2企业网关虚拟化

图1　网络功能虚拟化参考架构

ETSI公布的NFV小组规范（Group Specification）用例文档涵盖了家庭/企业网关、数据中心等9类场景，企业网关虚拟化方案可以此基础展开研究。企业网关虚拟化的方式如下：将企业网关的部分三层、管理、网络安全等功能集中到网络侧，成为运行在NFVI上的虚拟网络功能，通常称为vBG（Virtual Business Gateway，虚拟企业网关）；将企业侧的企业网关简化为以二层功能为主的桥接式网关，通常称为pRG（physical Business Gateway，物理网关），具体如图2所示。

图2　企业网关虚拟化示意图

考虑到减少对pBG的配置、降低对pBG的成本、提高网络弹性等因素，pBG和vBG功能划分方案如图3所示，与传统型企业网关功能结构相比，虚拟化的企业网关中的路由功能和几乎所有控制和业务功能转移到网络侧的vBG实现；pBG主要保留LAN侧物理接口、二层转发功能（如LAN QoS、二层MAC学习、广播）、简单的三层功能（如DHCP、NTP等）以及管理功能。

3　企业网关虚拟化的部署方案

vBG可以部署在运营商侧，也可以部署在企业网的出口侧（如具有多分支机构的大型企业出于成本和信息安全考虑将vBG部署在企业内部）。部署在企业侧vBG对网络结构影响很小，需要vBG、pBG支持vxlan。本文主要探讨部署在运营商侧的方案。vBG的功能主要是路由转发、IP地址转化、网络安全（VPN、防DDoS、防火墙等），将其功能分离开分别部署运营商的vBRAS、vFirewall上的意义很有限，因此vBG整体部署更合理。

图3　pBG和vBG的功能分布

3.1分散式部署

在业务发展初期，虚拟企业网关用户较少，可考虑将vBG部署在运营商网络靠近用户的位置，如部署在接入网中，将vBG旁挂在OLT侧或者与虚拟化的OLT部署在一起，覆盖该OLT下的企业用户。

该方案不带来网络层次的变化，对pBG的管理和配置可以延用PON网络的OMCI/扩展OAM，对整个网络影响较小，初期单位成本较低，会对OLT造成一定的影响，对运维体系也会有一定影响。

3.2集中式部署

随着虚拟企业网关的逐步普及，考虑将vBG部署在运营商的城域网中，实现集约化运营，如部署在vBRAS或vIDC侧，或者和上述设备部署在同一套网络功能虚拟化基础设施里。

该方案带来了网络层次的变化，需要重新梳理一些业务流程，如部署在vBRAS侧，PPPoE、NAT功能和流程可以简化；部署在vIDC侧需要支持vxlan。在用户规模小的情况下该方案部署成本较高。

4　结束语

企业网关的虚拟化，实现了用户侧终端功能简化和局端网关虚拟化功能的整体部署，有利于降低CAPEX和OPEX，提高了业务开通效率。企业用户对服务质量要求较高，企业网关虚拟化应用还有需要进一步研究的问题，如vBG、pBG之间LSL的链路备份，QoS，DPI，信息安全等。

参考文献

1 BBF. WT-345. Broadband Network Gateway and Network Function Virtualization

2 BBF. SD-313. High Level Requirements and Framework for SDN in Telecommunication Broadband Networks

3 BBF. WT-328. Virtual Business Gateway

4 ETSI. Network Functions Virtualisation Introductory White Pape

发展策略

Study on Vrtual Business Gateway and Deployment

AbstractBased on the study of functional framework and virtualization for business gateway，the model of function distribution for virtual business gateway is analyzed，and virtual business gateway deployment scheme is proposed.

Key wordsbusiness gateway，NFV，SDN

收稿日期：（2015-12-18）