关于云数据中心SDN/NFV组网方案、测试及问题研究

作者：张毅

1  引言

1,1 SDN和NFV技术相互补充相互结合

  SDN (software defined networking)是一种软件集中控制、网络开放的网络体系架构，核心思想在于控制与转发相分离、集中化控制、通过标准接口开放网络能力。其最大价值在于提升网络虚拟化能力、加速网络创新，提高全网资源使用效率。NFV (network function virtualization)是采用虚拟化技术，将传统电信设备与硬件解耦，基于通用的计算、存储、网络设备实现电信网络功能，从而提升设备的建设、管理和维护效率。

  网络由网元功能及其之间的网络连接共同组成，SDN和NFV就是网络连接与网元功能的关系。SDN提供网络连接，NFV提供网元功能，二者相互独立又相互补充，如图1所示。其中，独立性表现为SDN可以基于传统硬件方式实现网络功能，也可以采用NFV方式提供网络功能。两者相互补充会发挥更大的效应：一方面,SDN技术将网络的转发功能和控制功能分离，功能的拆分有利于网元的NFV化；另一方面，NFV可基于x86通用硬件为SDN的控制和转发网元提供虚拟资源，使得SDN的资源调度更加灵活。

1.2云数据中心引入SDN/NFV技术的必要性

  传统网络虚拟化能力不足，使得云数据中心虚拟私有云(virtual private cloud，VPC)业务和业务链(service chain)服务受到挑战。灵活性、扩展性和易用性成为未来网络的基本特征。在此背景下，SDN和NFV技术的出现使其迅速成为产业关注的热点。

  将集中控制、能力开放的SDN架构应用于云数据中心，可提升网络服务的虚拟化能力，提高全网资源调度的高效性，满足虚拟机在数据中心内灵活创建、迁移、隔离等业务需求。同时为了解决防火墙、负载均衡器、广域网VPN网关等传统硬件设备虚拟化能力有限的问题，云数据中心在SDN架构的基础上引入NFV形式的软件产品，采用业务链的解决方案为每个租户单独提供可定制的服务，并集中进行流量的调度。通过SDN和NFV技术联合，可以将物理网络抽象成虚拟的逻辑网络模型，基于SDN架构、OpenStack标准接口和流表设计实现VPC和业务链服务，并通过加速技术实现NFV网元的高效工作。

2  云数据中心SDN/NFV技术引入方案

2.1  云数据中心SDN/NFV组网架构

  云数据中心SDN解决方案具有多级架构，包括应用层、协同层／虚拟化平台、控制器和转发层。多级架构有助于实现网络的灵活调度，提供真正的网络即服务。

  SDN调度平台或者第三方平台作为应用层，为用户提供网络资源的自配置界面以及虚拟网络拓扑配置界面，用户可针对虚拟链路／网元进行访问控制策略的配置，并向用户实时呈现当前网络的运行情况。

  协同层包含计算、存储、网络、鉴权等多个模块，用于调度数据中心内的计算、存储和网络资源。

  控制层为逻辑集中的控制实体（物理上可集中式资源实现或者分布式资源实现），将应用层业务请求转化为转发层的流表并配置到转发层的相应网元中，并接收转发层的状态、统计和告警等信息。

  转发层由具有分组转发功能的物理设备（物理网元）或虚拟交换设备（虚拟网元）组成，根据SDN控制器通过控制一转发接口配置的转发表完成数据转发。虚拟转发层是云计算数据中心组网中必不可少的一个层次，用来满足云计算环境下的虚拟机流量交换需求并提供灵活的流量调度。从转发层的不同网元选择以及采用的流量封装方式来看，可分为overlay和overlay+ underlay组网方案。

  overlay组网方案的核心在于仅通过SDN控制虚拟交换机，虚拟交换机作为VxLAN的接入点，虚拟交换机之间通过VxLAN tunnel建立重叠网络，基于SDN的流量控制和业务编排完全在虚拟交换机层面完成。底层的物理网络通过网管或命令行方式基于传统网络技术提供服务器（虚拟交换机）之间的二层或三层连通，基于虚拟交换机增加的VxLAN封装的MAC地址或IP地址信息进行转发，对于虚拟机之间的流量并不直接感知。

  overlay+underlay组网方案是通过SDN同时控制物理和虚拟交换机，全面控制网络资源。虚拟交换机仍然作为VxLAN的接入点，虚拟交换机之间通过VxLAN tunnel建立重叠网络，基于SDN的流量控制和业务编排结合虚拟交换机和物理交换机共同完成。此时物理网络只需要基于虚拟交换机增加的VxIAN封装的报头信息进行转发，物理交换机的转发流量容量需求大大减少。由于物理交换机也在SDN的控制之下，VxLAN网关可以由核心交换机来兼做，一方面能够优化流量转发的路径，另一方面基于硬件设备的VxLAN网关具有更好的转发性能。另外，该方案可以同时适用于纯虚拟机业务环境和虚拟机物理服务器共存的业务场景。

  两种组网方案针对不同的场景需求。建议在以虚拟机为主的业务场景采用overlay方案；在同时需要虚拟机和物理服务器的业务场景采用overlay+underlay方案，另外，根据设备支持情况和性能需求选择虚拟交换机或硬件交换机作为VxLAN接人点。云数据中心SDN/NFV组网架构中，NFV网元以资源池的形式存在，通过SDN业务链调度实现NFV（包括虚拟防火墙、虚拟负载均衡等）的能力。

2.2云数据中心SDN NFV方案评测

  为了在云数据中心引入SDN和NFV技术，提供虚拟私有云(virtual private cloud，VPC)和业务功能链(servicefunction chaining，SFC)等先进网络服务，本文对云数据中心SDN/NFV方案进行了规模组网评测，如图2所示。本次评测基于开源OpenStack平台，采用KVM虚拟化操作系统，对SDN重叠网解决方案进行验证。

  本次评测针对SDN云数据中心系统、控制器、转发设备（含SDN、NFV）的功能和性能进行全面测试，测试围绕OpenStack系统测试、SDN控制设备测试、SDN转发设备测试、NFV网元（包括负载均衡器、防火墙以及IPSec VPN）测试以及通用安全性测试共5个部分展开。

  (l)OpenStack系统测试

  OpenStack系统测试属于SDN多层架构中协同层，虚拟化平台测试，具体包括OpenStack平台实现虚拟路由器、网络、安全组功能测试，浮动IP地址、NAT功能测试，LB/FW/VPN业务自动开通功能测试以及容量并发、压力可靠性测试。结合数据中心的实际业务，对OpenStack云平台提出要求。

  通过OpenStack云平台自服务对虚拟路由、网络、子网、端口、安全组进行创建、删除、修改、查看等相关操作，SDN控制器从云平台获取网络信息并下发配置到转发设备，从而对租户自定义网络、创建虚拟机、创建基于安全组的子网访问策略等功能进行验证。

  通过浮动IP地址、NAT功能测试，验证SDN和传统网络的互通，任意虚拟机访问外网能力以及转发设备是否支持公网IP地址和私网IP地址1:1静态绑定和N:l NAT两种方式。两种方式下针对IP地址的带宽限速功能也进行同步验证。

  通过OpenStack云平台自服务方式对虚拟防火墙／虚拟负载均衡器进行创建/删除／修改／查看等相关操作，对IPSec VPN服务执行开通操作，验证NFV网元自动或者手动开通功能。

  通过容量并发、可靠性脚本压力测试验证通过云平台可以创建的最大的网络（子网）、虚拟路由器、安全组、虚拟机数量以及SDN系统对并发创建的处理能力。

  (2)SDN控制设备测试

  SDN控制设备测试对控制器性能，包括控制器流表下发速度、建立时间、支持流表总容量以及支持交换机规模上限进行性能测试；在控制设备可靠性方面，对控制器主备负载分担能力以及发生故障时主备倒换能力和倒换时间提出要求；进一步验证SDN控制设备的可商用性。

(3)SDN转发设备测试

  SDN转发设备由物理网元或者是虚拟交换设备实现分组转发功能，SDN转发设备测试内容包括转发设备的功能、可靠性、稳定性测试以及转发设备性能测试。

  (4)NFV网元测试

  NFV网元测试针对NFV网元，包括负载均衡、防火墙以及VPN的功能和性能进行验证。通过测试，对LB/FW/VPN的功能以及在一定性能要求下单服务器上能承载的最大虚拟网元数目进行验证。

  负载均衡的功能及性能测试验证负载均衡服务是否支持健康检查、负载均衡算法、SSL功能、会话保持及多VIP访问；可靠性方面验证是否支持双机热备份。与此同时，在统一配置服务器承载的一定性能要求的负载均衡器最大数目也得到了测试，具有实际部署指导价值。

  防火墙功能及性能测试针对基于五元组、时间段的安全策略以及是否支持安全策略顺序、双机热备份可靠性展开，在统一配置服务器承载的一定性能要求的防火墙最大数目也得到了验证。

  通过IPSec VPN功能和性能测试验证IPSec VPN的功能和性能，并同步测试了统一配置服务器承载软件IPSec网关的最大数量。

  (5)安全通用测试

  SDN技术相比传统网络带来了安全上的变化，引入了控制器安全、流表安全等新安全问题。而传统的安全问题，比如针对服务器的DoS攻击、弱口令等在SDN中仍然存在，而且攻击后果会更严重，所以安全通用测试一并纳入SDN/NFV方案评测。安全通用测试对SDN/NFV方案中控制器、NFV网元进行安全测试，包括账号安全、授权安全、IP安全、口令功能、日志功能、安全监控等安全测试。

3  云数据中心SDN/NFV方案及测试的关键问题

  通过方案评测，发现云数据中心SDN/NFV方案对OpenStack接口支持能力普遍较好，商用控制器和虚拟交换机性能基本可以满足需求，基于SRIOV等技术的NFV网元在功能和性能方面也达到商用要求，SDN/NFV联合商用方案在运营商网络已具备商用部署条件。与此同时，本文发现云数据中心引入SDN和NFV技术还存在一些问题，如OpenStack及NFV的可靠性、测试方法的标准化、组网和部署方案经验缺乏、虚拟化平台支持度不够以及接口标准化工作缺乏等，需要在云数据中心后续方案的演进和实践过程中进行进一步的思考与讨论。

  (l)OpenStack可靠性需要完善

  由于标准OpenStack不具备数据库高可靠性或者集群的能力，所以存在单点故障的问题，当前数据库的高可靠性需要安装第三方软件实现，自身多节点负载均衡或可靠保护还需要进一步研究。

  (2)测试方法的标准化

  由于当前overlay的解决方案不唯一，存在VxLAN以及MPLSoGRE两大主流封装技术，因此测试方案无法得到统一，横向对比比较困难。另外控制器与转发设备流表下发存在主动下发和被动触发两种模式，两种模式下控制器流表下发速度和建立时间也难以横向对比。

  (3)组网和部署经验缺乏

  SDN/NFV技术目前还处于试商用初期，组网部署方案经验不足，多种部署方案无明确场景对比。如，NFV网元的部署位置是旁挂在underlay核心交换机还是直接部署在虚拟交换机或网关之后需根据场景决策．NFV网元的部署位置决定了其是否受到VLAN的限制。另外，NAT存在集中式部署和分布式两种部署方式，各有千秋，目前对于两种部署方式应合理选择，并无明确的场景比较。

  (4)SDN对Xen和VMware虚拟化平台的支持需加强

  通过评测发现，目前SDN解决方案主要支持KVM虚拟化平台，对VMware和Xen虚拟化平台支持效果较差。当前主流的云操作系统OpenStack基于开源KVM平台开发，开放程度高，并且大量公有云系统基于OpenStack提供服务，业界具有丰富的部署经验，因此对于KVM虚拟化平台支持度高。为了推动SDN和NFV技术的大规模商用部署，VMware和Xen平台应进一步开放，这是提高SDN对这两大虚拟化平台支持度的基础。

  (5)SDN和NFV融合架构不明确，NFV接口有待进一步标准化

  SDN架构按照ONF和CCSA等组织定义，分为应用层、协同层、控制层和转发层，概念清晰达成共识。NFV按照ETSI定义关于MANO、VNF、NFVI、OMC、OSS的总体架构业界也达成共识。但是当SDN和NFV共同部署在云中心，为用户提供VPC和业务链服务时，NFVI资源如何整合，SDN应用和NFV orchestrator如何分工就成为了两个架构融合的关键。目前架构和接口尚未达成一致，需要标准组织推动研究。

(6)OpenStack支持的北向接口不足，应在标准和开源社区推动两方面努力

  目前OpenStack在网络方面的北向接口支持不足，如：OpenStack无法监管物理服务器，对SDN和传统网络融合组网存在一定的管理问题；OpenStack Neutron等模块北向接口不完善，无法满足所有的业务需求；FWaaS的plugin只支持单厂商，无法实现多厂商集成；针对数据中心业务链服务相关的API如流量重定向、业务安排等还在研发中。近期可采用App扩展RESTful API弥补OpenStack北向接口的不足，并积极推动CCSA TC1等组织完善北向接口以及业务链的标准化；远期应推动OpenStack社区完善和扩展，统一北向接口。

4  云数据中心SDN/NFV技术展望

  针对云计算数据中心的SDN/NFV组网方案研究和评测对推动SDN/NFV技术的商用具有重要意义，加速了SDN和NFV产业链成熟。通过评测，本文发现SDN与NFV两大技术结合具有天然的优势，业界对未来网络演进的思路和见解也逐步明晰。SDN/NFV联合组网方案具备良好的互操作性，NFV形态的负载均衡器、防火墙、VPN产品在功能、性能、可靠性方面已具备在运营商网络中商用部署条件。

  同时，云数据中心SDN/NFV技术评测的结果也反映出SDN/NFV技术面临着一些挑战，其中SDN和NFV融合架构模糊、标准化工作缺乏以及软件可靠性等方面的关键问题对SDN/NFV的发展和应用十分重要，需要进一步的研究和探讨。

SDN/NFV技术的引入带给业界的改变远超过技术本身，产业格局、网络架构、运维模式的改变将随着技术的逐步落地而带来新的挑战，需要进行不断的探索和实践。

5摘要：云计算技术的快速发展和广泛应用使得数据中心的业务形态产生了翻天覆地的变化，SDN和NFV两大技术联合应用在数据中心优势显著，真正实现了网络资源的虚拟化。经过有针对性的SDN/NFV规模组网评测．可以看到SDN/NFV已经具备在云数据中心网络的部署条件。同时，在方案制定和测试验证过程中也发现了一些关键问题需要未来进一步研究和探讨。