企業網關虛擬化研究與部署

程海瑞　中國聯合網絡通信有限公司網絡技術研究院工程師張　沛　中國聯合網絡通信有限公司網絡技術研究院寬帶網絡研究室主任，高級工程師

?

企業網關虛擬化研究與部署

程海瑞中國聯合網絡通信有限公司網絡技術研究院工程師
張沛中國聯合網絡通信有限公司網絡技術研究院寬帶網絡研究室主任，高級工程師

摘要通過研究企業網關的功能架構以及網絡虛擬化技術，建立了企業網關虛擬化功能分布模型，提出了虛擬企業網關部署方案。

關鍵詞企業網關網絡虛擬化軟件定義網絡

1　引言

目前，電信運營商部署在中小企業客戶側的企業網關主要提供企業寬帶、語音、網絡安全等業務，并協助運營商完成企業網絡部署、業務發放和管理維護。從技術角度講，企業網關主要實現企業內部到外部的路由/橋接、協議轉換、地址管理和轉換的功能，承擔防火墻、防DDoS攻擊、DMZ、VPN等網絡安全的職責，并提供可能的VoIP、網絡存儲等功能。企業網關主要功能模塊包括：

（1）WAN側接口：xPON、Ethernet等。

（2）LAN側接口：千兆以太網、WLAN、語音、USB等接口。

（3）包處理：二層轉發、三層轉發、廣播和組播控制、隧道封裝和加密、防火墻、QoS。

（4）網絡控制層：IP路由和組播控制協議、網絡附著協議（包括DHCP、PPP等）、NAT穿越、WLAN認證、隧道端點配置。

（5）業務協調層：LAN配置協議、LAN拓撲發現協議、應用層網關、HTTP服務器。

（6）業務層：VoIP、動態DNS、VPN、防DDoS。

（7）管理層：配置管理、QoS管理、安全管理、診斷和性能監控、升級、LAN設備管理。

隨著超寬帶和云計算技術的發展，中小企業用戶希望將繁雜的網絡配置管理功能從企業網絡轉向運營商網絡，并實現彈性的按需付費，以節約企業信息化開支，于是企業網關虛擬化的方案應運而生。

2　虛擬化技術研究

2.1網絡功能虛擬化

傳統的非虛擬化網絡設備由3層構成，包括專有硬件平臺、操作系統和網絡功能軟件（如路由器、企業網關、防火墻等）。其中，設備廠商根據網絡功能的需求設計相應的專有硬件平臺和軟件，網絡功能與專有硬件平臺綁定通常由同一設備廠家提供。在同一專有硬件平臺上通常只提供單一的網絡功能，不同網絡功能的專有硬件平臺無法共享。

ETSI（歐洲電信標準協會）發布的NFV（Network Function Vitiualized，網絡功能虛擬化）將網絡功能以軟件的形式運行在網絡功能虛擬化基礎設施之上。網絡功能虛擬化參考架構如圖1所示，其中主要包括3個域：

（1）虛擬網絡功能（VNF，Virtualised Network Function）：網絡功能的軟件實現并運行在NFVI之上。

（2）網絡功能虛擬化基礎設施（NFVI，NFV Infrastructure）：包括物理的計算、存儲和網絡資源及其虛擬化資源，以及虛擬化層。網絡功能虛擬化基礎設施支持虛擬網絡功能在其上運行。

（3）管理與編排（MANO，Management and Orchestration）：負責編排、物理/虛擬化資源的生命周期管理以及VNF的生命周期管理。NFV MANO重點承擔在NFV架構下虛擬化相關的管理任務。

2.2企業網關虛擬化

圖1　網絡功能虛擬化參考架構

ETSI公布的NFV小組規范（Group Specification）用例文檔涵蓋了家庭/企業網關、數據中心等9類場景，企業網關虛擬化方案可以此基礎展開研究。企業網關虛擬化的方式如下：將企業網關的部分三層、管理、網絡安全等功能集中到網絡側，成為運行在NFVI上的虛擬網絡功能，通常稱為vBG（Virtual Business Gateway，虛擬企業網關）；將企業側的企業網關簡化為以二層功能為主的橋接式網關，通常稱為pRG（physical Business Gateway，物理網關），具體如圖2所示。

圖2　企業網關虛擬化示意圖

考慮到減少對pBG的配置、降低對pBG的成本、提高網絡彈性等因素，pBG和vBG功能劃分方案如圖3所示，與傳統型企業網關功能結構相比，虛擬化的企業網關中的路由功能和幾乎所有控制和業務功能轉移到網絡側的vBG實現；pBG主要保留LAN側物理接口、二層轉發功能（如LAN QoS、二層MAC學習、廣播）、簡單的三層功能（如DHCP、NTP等）以及管理功能。

3　企業網關虛擬化的部署方案

vBG可以部署在運營商側，也可以部署在企業網的出口側（如具有多分支機構的大型企業出于成本和信息安全考慮將vBG部署在企業內部）。部署在企業側vBG對網絡結構影響很小，需要vBG、pBG支持vxlan。本文主要探討部署在運營商側的方案。vBG的功能主要是路由轉發、IP地址轉化、網絡安全（VPN、防DDoS、防火墻等），將其功能分離開分別部署運營商的vBRAS、vFirewall上的意義很有限，因此vBG整體部署更合理。

圖3　pBG和vBG的功能分布

3.1分散式部署

在業務發展初期，虛擬企業網關用戶較少，可考慮將vBG部署在運營商網絡靠近用戶的位置，如部署在接入網中，將vBG旁掛在OLT側或者與虛擬化的OLT部署在一起，覆蓋該OLT下的企業用戶。

該方案不帶來網絡層次的變化，對pBG的管理和配置可以延用PON網絡的OMCI/擴展OAM，對整個網絡影響較小，初期單位成本較低，會對OLT造成一定的影響，對運維體系也會有一定影響。

3.2集中式部署

隨著虛擬企業網關的逐步普及，考慮將vBG部署在運營商的城域網中，實現集約化運營，如部署在vBRAS或vIDC側，或者和上述設備部署在同一套網絡功能虛擬化基礎設施里。

該方案帶來了網絡層次的變化，需要重新梳理一些業務流程，如部署在vBRAS側，PPPoE、NAT功能和流程可以簡化；部署在vIDC側需要支持vxlan。在用戶規模小的情況下該方案部署成本較高。

4　結束語

企業網關的虛擬化，實現了用戶側終端功能簡化和局端網關虛擬化功能的整體部署，有利于降低CAPEX和OPEX，提高了業務開通效率。企業用戶對服務質量要求較高，企業網關虛擬化應用還有需要進一步研究的問題，如vBG、pBG之間LSL的鏈路備份，QoS，DPI，信息安全等。

參考文獻

1 BBF. WT-345. Broadband Network Gateway and Network Function Virtualization

2 BBF. SD-313. High Level Requirements and Framework for SDN in Telecommunication Broadband Networks

3 BBF. WT-328. Virtual Business Gateway

4 ETSI. Network Functions Virtualisation Introductory White Pape

發展策略

Study on Vrtual Business Gateway and Deployment

AbstractBased on the study of functional framework and virtualization for business gateway，the model of function distribution for virtual business gateway is analyzed，and virtual business gateway deployment scheme is proposed.

Key wordsbusiness gateway，NFV，SDN

收稿日期：（2015-12-18）