王 磊

（云南广播电视台，云南 昆明 650500）

1 网络虚拟化的驱动力

近年来，“以软件为中心”的网络虚拟化得到了快速的发展，服务器虚拟化的巨大成功和软件定义网络（Software Defining Network，SDN）组网模式，是最重要的两个驱动因素。通过把服务器虚拟化的原理应用到网络，原来需要运行在专用硬件上的网络功能转移到了x86服务器上，网络功能虚拟化（Network Function virtualization，NFV）得以实现。SDN技术应用在虚拟网络中，大幅降低了网络的复杂程度，更加促进了网络虚拟化的进程。服务器虚拟化产生大量虚拟机，随之也带来一系列的问题。首先是虚拟局域网（Virtual Local Area Network，VLAN）数量严重不足，虚拟网络之间难以进行有效的安全隔离；其次是接入交换机没有足够的MAC地址容量来适应大量的虚拟机；最后，由于网络结构复杂，造成虚拟机迁移困难。虚拟可扩展局域网（Virtual Extensible LAN，VXLAN）等叠加网络协议很好地解决了这些问题。它创建的大二层虚拟网络，为虚拟机的迁移铺平了道路；VXLAN提供了比VLAN多得多的虚拟网络识别码，为虚拟网络之间的安全隔离提供了充分的保障；数据包在进出VXLAN网络时需要分别进行封装和解封装，两端交换机只需要给虚拟隧道终结点（VXLAN Tunnel Endpoint，VTEP）设备提供MAC地址存储容量，大大降低了对交换机MAC地址容量的需求[1]。技术的进步为网络虚拟化的发展创造了重要的基础条件。

市场需求也是网络虚拟化快速发展的重要促进因素。传统网络组建模式建设周期太长，往往需要数月的时间，完全跟不上市场的变化节奏，网络还没建好，需求可能已经发生变化。传统网络建设和运维成本高、资源利用率低且缺乏敏捷性，难以适应当今市场的要求，迫切需要基于软件的网络虚拟化来解决这些问题。

传统网络安全防护策略往往重边界轻内部，导致这种结果的根本原因就在于物理网络的部署方式。在网络边界，通常部署有防火墙等物理设备，可以起到比较好的防护效果。网络内部的复杂程度远远大于网络边界，不可能采用与网络边界同样的防护方法。网络威胁一旦突破边界防护，由于网络内部缺少行之有效的防护措施，很容易给整个网络造成严重破坏。网络虚拟化可以根据实际的安全需求，动态地创建、部署各种安全虚拟网络功能（Virtual Network Function，VNF），并且利用SDN技术实现集中安全管控，为整个网络构建起一张立体的安全防护网。近年来，网络安全事故频发，绝大多数案例都是从网络内部发起攻击造成的。要改变这样的现状，必须加快发展网络虚拟化。

除此以外，网络虚拟化减少了物理设备的数量，节约大量电力消耗，践行了“绿色低碳、节能环保”的发展理念。所有这些因素共同促进网络虚拟化得到了飞速的发展。

2 网络虚拟化的核心要素和体系结构

2.1 核心要素

网络虚拟化的两大核心要素分别是网络功能虚拟化（Network Function virtualization，NFV）和软件定义网络（Software Defining Network，SDN）。它们从两个不同的维度构建起虚拟网络的基础架构。尽管NFV和SDN是两种完全不相关的技术，但是它们彼此互补，共同实现了以应用为中心的建网思想，是网络“云”化的必然选择。

NFV运用服务器虚拟化技术实现特定的网络功能，包括虚拟网络功能（Virtual Network Function，VNF）、通用硬件、网络交换路由协议以及管理工具在内的整个系统[2]。NFV在x86等通用服务器上运用虚拟化技术，通过软件实现众多的网络功能，减少了大量专用网络设备的使用量。NFV的最终目的就是实现网络设备的软件化，把原来运行在专用网元设备上的网络功能尽可能地转移到价格低廉的通用服务器上。这样一来，不仅降低了网络的建设成本，而且可以利用开放的应用程序接口（Application Programming Interface，API）对网络功能编程控制，便于创建更加灵活、功能多样的网络。在NFV体系结构中，VNF扮演着非常重要的角色。它就是一台运行有网络协议的虚拟机、容器（如VMware的Edge服务网关），或者是一个功能插件（如VMware的分布式防火墙功能模块），可以实现传统网络硬件的相关功能。VNF运行在通用硬件上，不受专有硬件和部署位置的制约，实现了网络软件和硬件的解耦。可以将VNF放到最合适的位置，创建出高效、低延迟的优质网络。NFV建立在以软件为中心的理论基础上，结合虚拟资源具有的弹性、可伸缩性等特点，传统网络遇到的许多障碍都可以得到解决。传统网络设备通常集多种功能于一身，难以对特定功能单独升级。而VNF采取模块化设计，一个VNF设备通常只执行一种网络功能，很容易进行单独在线升级，且不会对应用产生影响。NFV最大限度地减轻了物理网络的流量压力，大量数据在物理主机内部就完成了交换路由，根本不会流经物理网络。NFV建立在服务器虚拟化基础之上，这就决定了适合NFV化的主要是基于中央处理器（Central Processing Unit，CPU）、内存处理任务的网络功能，执行高速包转发功能的网络设备并不适合NFV化。

“开放”和“集中”是SDN技术实现的两大重要特征[3]。SDN做到了网络设备转发平面和控制平面的分离，是一种不同于传统网络的体系框架。网络设备（物理或者虚拟）专注于数据的转发，而控制功能集中到SDN控制器，实行集中控制、分布式转发的策略。由于SDN控制器掌握全网的控制信息，因此也就知晓了完整的网络拓扑结构，为应用软件的部署提供了清晰的网络视图。SDN方式可以及时获取连接入网的设备信息，对各类安全威胁第一时间采取应对措施，大幅提高网络安全性。控制信息的集中处理大幅降低了对网络设备的性能要求，绝大多数网络设备只需要执行SDN控制器的决策转发数据即可，不需要进行复杂的计算。以开放最短路径优先（Open Shortest Path First，OSPF）动态路由协议为例，对SDN架构提升网络效率进行说明。传统物理网络情况下，每一台路由器之间都需要相互交换链路状态信息、单独计算路由，浪费了大量的网络带宽和计算资源。如果采用SDN方式，每个路由器只需要给SDN控制器发送链路状态信息，由其集中计算路由，再将计算结果返回全网设备，大幅降低了资源需求。网络虚拟化实现网络资源共享，一张物理网络上可能运行有成百上千个独立的虚拟网络，如果不采用SDN，网络管理将是一项不可能完成的工作。SDN区别于普通网管系统的最大特性就在于它可以持续监控网络的运行情况，实时调整网络的资源配置以满足用户的实际需求，大幅提高网络的使用效率。

NFV和SDN高度融合在一起创建的网络不仅具有开放性、可扩展性、弹性、敏捷性以及可编程性等特点，而且还起到简化控制逻辑、大幅缩短交付周期、降低运行成本等效果，所有这些都符合网络发展的趋势。

2.2 体系结构

网络虚拟化的理念来源于服务器虚拟化。因为融入了网络的特性，所以其体系结构比服务器虚拟化要复杂。从欧洲电信标准协会（European Telecommunications Standards Institute，ETSI）NFV架构就可以看到，网络虚拟化不但要实现虚拟网络，还要提供虚拟计算和虚拟存储。包括网络、计算和存储的全部底层硬件设备经过虚拟化层的处理，形成了虚拟资源池。在此基础之上就可以创建虚拟交换机、虚拟路由器、虚拟防火墙等VNF。各虚拟机（Virtual Machine，VM）连接到虚拟交换机，再通过虚拟链路连接到路由和防火墙等设备，这样就构建起了一张特定的虚拟网络。所有VNF和虚拟网络不仅可以根据需要进行创建和删除，还可以动态缩放，充分实现了系统资源的高效利用。采用NFV方式建网，完全不同于传统物理网络建设，不需要花费大量的时间和资金来购置、部署网络设备，只需要根据实际的需要创建VNF，再将各个VNF按照网络拓扑结构链接起来，就完成了逻辑网络的部署，整个过程都是通过软件进行。NFV从结构上可以分为硬件设施层、虚拟资源层以及网络功能层，部署方式主要有单厂商、软硬件解耦以及三层解耦共3种方式[4]。其中，三层解耦方式最符合NFV的初始目标，可以满足网络“云化”的需求，但是实现难度也最大。

网络虚拟化一方面通过NFV优化资源配置、提高利用率，另一方面采取SDN集中控制模式来简化网络结构，实现NFV与SDN的高度融合，其体系结构如图1所示。SDN控制器在整个体系中起到了至关重要的作用，它通过南向接口（如OpenFlow）连接转发设备，通过北向接口（如REST）连接应用，同时还要和NFV编排与控制组件交互，使得网络具备了可编程和自动化的特性。它将应用程序和网络耦合在一起，应用的需求可以直接传递给网络，真正实现了“软件定义网络”的理念。高效的NFV监视系统是另外一个重要因素，及时准确地获取物理主机、虚拟机及VNF的状态信息，对于虚拟网络的管理和编排非常重要。一种称为“信息获取需求与获取技术解耦”（Information Requirements Decoupling from Acquisition，IRDA）的信息获取方法具有较高的参考价值[5]。

图1 SDN/NFV融合架构

3 VMware NSX中的NFV/SDN体现

NSX是一款NFV与SDN融合得非常好的虚拟化平台，实现了管理、控制、数据三个平面的分离，其体系层次如图2所示。管理工作主要由NSX Manager和vCenter完成，可以配置逻辑交换机、逻辑路由器以及逻辑防火墙等VNF组件，并且实现逻辑组网等网络编排功能。在数据转发方面，NSX Controller是虚拟网络的SDN控制器，如果物理网络也支持OpenFlow等南向协议，它同样可以成为物理网络的SDN控制器。另外，DLR Control VM是一台专门处理分布式三层路由的虚拟机，也是SDN控制器组件。在网络安全领域，NSX Manager还要负责将管理组件vCenter上创建的分布式防火墙规则同步推送到ESXi主机，对全部分布式防火墙（Distributed Firewall，DFW）实现SDN集中控制。NSX数据平面包括分布和集中两种转发模式，分别用于处理东西向和南北向流量。分布式转发以功能模块的形式嵌入到虚拟化层，在主机内部就可以实现二层交换和三层路由。特别是Edge服务网关就是建立在服务器虚拟化之上的VNF，实现了网络地址转换（Network Address Translation，NAT）、域名系统（Domain Name System，DNS）、虚拟专用网络（Virtual Private Network，VPN）、路由等多种网络功能[1]。

图2 NSX-V体系层次

4 广播电视网络虚拟化应用

有线电视用户接入网大多采用混合光纤同轴电缆（Hybrid Fiber Coax，HFC）和光纤到户（Fibre To The Home，FTTH）两种技术，分别使用有线电视融入接入技术平台（Converged Cable Access Platform，CCAP）和宽带远程接入服务器（Broadband Remote Access Server，BRAS）网关作为接入设备。可以将这两种设备的光电传输以外的功能实现虚拟化，在中心局端集中部署计费、认证、授权、路由以及安全策略发布等集中控制功能，在前端部署数据交换功能，充分发挥NFV/SDN的优势[6]。

交互式网络电视（IPTV）和互联网视频点播近年来呈现爆发式增长。广播电视行业作为重要的视频提供商，对内容分发网络（Content Delivery Network，CDN）有非常高的要求。传统CDN建立在物理网络之上，建设维护成本高、资源浪费严重、视频格式单一，难以适应业务需求的快速发展。利用网络虚拟化可以将物理CDN虚拟化为多个虚拟CDN，并且实现SDN集中控制[7]。通过网络虚拟化，虚拟CDN实现了内容“集中录制存储，精细化推送”，不仅大幅降低了边缘节点的存储容量需求，而且支持多种视频格式，以适应手机、PC、电视等多种终端的要求。

光传输网络是广电系统最主要的传输载体，主要包括光交换机、光纤链路、可重构光分插复用器（Reconfigurable Optical Add-Drop Multiplexer，ROADM）以及光再生器等。其中，ROADM是最重要的设备，和交换机需要维护MAC地址表一样，它也需要维护相应的表项，以确定如何对复合光进行交换和分插波长。波长选择对于光传输网络非常重要，源和目的地的距离、光纤损耗、差错率以及可用波长等都是重要的参考因素，要尽量做到全路径的光操作，避免出现光和电的相互转换。如果在光传输网络中采用SDN方式组网，控制器就可以从光设备中获取可用波长和每个节点的信号质量等信息，不仅能由此计算出源端到目的端的最佳光传输路径，还可以对ROADM等设备进行编程控制[2]。SDN技术应用到光传输网络，一方面提高了网络的效率，节约了管理成本；另一方面实现了集中化和智能化的配置，大大提升了网络的故障检测恢复能力，对确保安全播出有重要意义。

广播电视行业近年来在媒体融合方面取得了长足的进步，进一步实现了内容融合和网络融合。在网络建设方面，自主平台打造和“借船出海”两翼齐飞；在服务功能方面，实现了引导+服务的拓展；在内容表现形式方面，媒体形态实现了全态化[8]。从中央电视台到很多地方媒体都建设了自主的融媒体平台，一些安全性要求不太高的功能甚至转移到了“公有云”上，借助互联网这艘大船拓展传统媒体的网络空间。传统媒体原先的职责定位就是舆论宣传和引导，在媒体融合的环境下，其被赋予了社会服务的功能。很多政务服务的应用运行在“融媒体云”上，有的媒体单位甚至涉足了“智慧城市”等领域。在媒体内容的形态和传播渠道方面，除了电视外，传统媒体通过微信、微博、抖音等平台全方位进入互联网，扩大影响力。媒体融合的程度越深，网络结构就越复杂。为了确保融媒体平台上各个系统的安全隔离和资源分配，NFV和SDN都是不可或缺的技术。

5 结 语

尽管NFV和SDN技术还处于完善、发展阶段，但是网络虚拟化在它们的相互协作下还是得到了快速的发展。在实际应用中，网络设计者除了要注重虚拟技术外，更应该重视物理网络的合理规划，优化布局计算、存储和网络资源，为网络虚拟化的实施创造有利的条件。只有这样，网络虚拟化的两大核心要素才能发挥最大的效能，创建出优质的虚拟网络。