2.5.3 软件定义网络(SDN)
虽然人们普遍认为网络领域的 SDN是一种相对较新的现象,其根源在数据中心,但实际情况是电信网络使用这些技术已长达几十年。实例之一是使用该技术控制电路交换网络中的数据平面,通过控制器的控制平面来提供800号码服务(用于呼叫和反向计费的长途自动路由)。
在网络云中,通过应用这些成果和来自云数据中心的知识,可促进 SDN的进一步发展,以创建分层分布式控制框架。具有全网连接视图的“主”(或全局)控制器负责控制与网络不同功能部分相关的辅助控制器。每台控制器也可以按比例进行复制。对于IP/多协议标签交换(MPLS)网络架构,网络云使用混合方法来保持分布式控制平面和协议以实现响应,并使用集中式控制平面进行优化和复杂控制。
在 SDN网络云中非常独特的问题之一是向模型驱动软件和网络配置转变。过去,这些任务是通过创建详细需求文档来完成的,网络工程师必须将这些文档转换为相关网元的特定供应商配置语言。任何新网络功能的引入都需要额外的时间来等待文档、测试配置以及在 OSS中实现配置。新流程涉及使用另外一种下一代(YANG,YetAnotherNextGeneration)建模语言定义功能的问题。供应商中立的YANG模板创建便携且易于维护的所需网络功能的明确表示;在将模板与实际网络功能结合使用之前,可以采用仿真技术来验证其正确性。
在 AT&T的 SDN方法中,无论是通过经典的PNF形式,还是通过更加现代化的虚拟化网络功能(VNF)形式来实现,所有 SDN可控网元都能进行类似处理。网络云 SDN控制器包含诸多子系统,可以设计用于与开放网络自动化平台(ONAP,OpenNetworkAutomationPlatform)协同运行。它将服务逻辑解释器(SLI,ServiceLogicInterpreter)和基于开放日光(ODL,OpenDaylight)部件的实时控制器结合在一起。SLI负责执行脚本,这些脚本定义对诸如服务请求和闭环控制事件等生命周期事件所采取的操作。可以将常用或复杂的 SLI脚本封装为运行于 ODL框架中的 Java类,然后作为单个脚本操作进行重用。另一项功能是网络资源自治控制,可用于将网络资源与服务实例进行关联或将网络资源分配给服务实例。
适配器位于控制器的底部,可以与各种网元控制接口进行交互。这些交互既可以是传统网元管理系统(EMS,ElementManagementSystem)风格的“供应”,又可以是采用边界网关协议(BGP, BorderGatewayProtocol)的实时网络事务。
没有策略职能的任何控制框架都是不完整的。可以基于从 NFVI以及在其上运行的服务采集的事件来定义策略规则。事件可以触发执行点处的算法变化和 /或 NFVI/SDN网络云上的控制操作。例如,网络链路的高利用率可能会触发流量工程(TE,TrafficEngineering)的路由变化,或者无响应服务功能可能会触发服务功能的重启。
使用先进的高级SDN控制器功能,不仅可创建诸如互联网、虚拟专用网(VPN)、实时媒体服务等传统网络服务,还可以创建更为复杂的按需服务。
2.5.4 开放网络自动化平台
网络功能虚拟化的迁移改变了网络基础设施运行模式的许多方面,并对运营生命周期中的服务进行管理。服务的初始设计不再是垂直集成的优化基础设施,而是必须假设采用分布式云硬件基础设施,并从最符合服务设计需求的任何来源重用网络功能。必须采用诸如定义工作流之类的自动化方式,以及引用运行时信息源并调整基础设施资源使用的行为,来形式化描述初始安装、配置、呈现以及用于响应生命周期事件的变化。基础设施和服务功能必须公开支持监视、外部控制和策略规范的软件接口,而策略规范可以改变运行时的行为。短期流量工程(TE)和长期容量规划决策都必须考虑充分利用公共基础设施的广泛服务和应用场景。
传统的运营支持系统(OSS)和业务支撑系统(BSS)设计用于集成单片网元部件,并增加交付和支持客户服务运营所需的功能。该方法存在许多局限性:网元部件缺少某些生命周期操作的标准接口,且往往针对特定服务进行优化,或者在不同服务之间不容易实现共享。这增加了执行诸如初始交付、升级、例行维护和故障修复等生命周期操作的成本和时间,而且需要专用的基础设施和技能;设计、集成和部署基础设施所需的时间与培训大规模运营基础设施的员工限制了服务提供商交付新服务的灵活性;新型或新兴的服务量和增长的不确定性使投资难以合理化,交付时间过长又无形中增加了错失市场机会的风险。
上述 ETSINFV工作直接导致了 VNF管理和编排(MANO,ManagementandOrchestration)规范的诞生。ONAP通过为板载资源添加全面的服务设计平台扩展了 ETSIMANO,创建服务,定义生命周期操作;基于遥测、分析和策略驱动生命周期管理操作的闭环控制;用于加速和降低 板载功能开销和消除VNF相关管理系统的模型驱动平台;支持 PNF。
一致的计划既包括如何使用 ONAP功能来取代诸如故障关联、性能分析和元件管理等传统OSS/BSS系统,又包括如何逐步淘汰这些传统系统,该计划对于传统物理网络(PNF)和新型虚拟化网络功能(VNF)基础设施共存的过渡期至关重要。如果二者都没有明确的计划,则传统系统和设计就有可能与 ONAP平台上的服务设计集成存在风险,从而削弱高度自动化操作的优势并增加维护成本。
2.5.4 网络安全
网络安全是一种多学科问题,始于诸如机密性和完整性等经典安全问题,并涉及可用性问题(确保服务和网络正常工作),且可以消除恶意企图来将其负面影响降至最低。使用网络云,需要在运营云环境中通过软件和网络的组合来理解安全性。例如,采用“深度防御”和“关注点分离” 等安全技术,这是一种对VNF进行分类的实用方法,可阻止每一类型不会同时在同一台服务器上运行。出于这些原因,安全性是网络云的关键架构和设计因素之一。
网络安全体现在两个不同的方面—基础设施自身保护以及在服务中提供安全功能的能力。基础设施安全的基本结构是确保每一部件都通过单独评估,并在设计时充分考虑安全性。
对于网络云来说,架构部件包含诸如访问控制列表(ACL,AccessControlList)和虚拟专用网(VPN)等功能实体,以限制和分离流量。服务器使用管理程序来运行操作系统,而管理程序可提供具有内存隔离的独立执行环境。在此基础上,运营网络可用于提供对管理端口的访问,并使用防火墙来提供控制和检查点。
安全架构的其他方面也在发挥作用。当希望避免出现安全问题时,良好的安全方法还提供了缓解、恢复和取证机制。基础设施的缓解方法包括过载控制和转移功能。过载控制(在网络出现问题时也非常有效)优先考虑功能,以便资源高效应用于控制平面和高优先级流量。转移功能通常使用 IP报头的特定部分来识别备选网络流量,具有重定向分组以用于后续处理、速率限制以及消除的能力。
取证是安全的基础。记录活动的能力提供了分析历史事件以确定根本原因并开发预防和缓解方案的能力。它还通过充当行为检查的辅助点来发挥主动安全执行的作用,而行为检查则可以发现安全设计或实现方案中存在的故障或缺陷。
在安全流程中,两大关键组件是自动化和身份管理。自动化充分考虑到复杂序列的管理问题,并从配置中消除人为因素,而人为因素是典型的安全问题的来源,需要在ACL中输入错误 IP地址来创建漏洞。身份管理确保人员和软件都有权查看、创建、删除或更改记录或设置。网络云采用集中式方法进行身份验证。这可以防止本地密码的另一个弱点,因为这些本地密码更易受到威胁。
2.5.6 企业客户终端设备
企业网络是企业用于将其人员、IT和运营基础设施联系在一起的环境。针对办公室、仓库、工厂和卡车、汽车中的移动人员,以及在访问客户时,企业需要全面的通信解决方案。通常,它们使用一系列语音、视频、数据和移动服务。企业的所有运营地点都需要某种形式的称为客户端设备(CPE,CustomerPremisesEquipment)的本地设备。过去,CPE采用与网络设备相同的方法,即实现形式为设备。如今,CPE采用 NFV经历相同的转型。它支持单台设备在需要时在软件控制下提供多种功能。
当使用 NFV重新设计 CPE时,采用的方法是支持功能实体在新虚拟化 CPE内部或网络中的网络云上运行。对于CPE内的本地网络功能,需要通过创新来构建一种合适的执行环境。与多台服务器可用于增加或减少 VNF实体的网络云不同,CPE环境通常仅限于单个 CPU芯片组。考虑到软件可移植性并充分利用开源生态系统,我们再次选择基于内核的虚拟机(KVM,Kernel-basedVirtualMachine)作为管理程序,以支持多个 VNF实体在各台虚拟机中共享 CPU。(这里涉及的安全性问题较少,因为 CPE专门针对单个客户。)
CPE最具挑战性的问题之一是管理。由于 CPE位于客户广域网(WAN,WideAreaNetwork)服务端与本地网络之间的本地位置,因此,提供可操作网络连接功能非常重要。这是通过共享WAN服务来实现的,而WAN服务使用特殊虚拟局域网(VLAN,VirtualLocalAreaNetwork)或IP地址隔离流量。但是,在服务启动之前或故障后服务开展期间,WAN连接可能不可用。解决方案是利用移动访问网络云并提供“回拨”功能。第二种连接考虑到远程“测试和开通”程序, 且在 WAN发生故障时,提供故障诊断和定位功能。
