帶你讀《軟體定義網絡之旅：建構更智能、更快速、更靈活的未來網絡》第二章将現代電信網絡從全IP 網轉變為網絡雲2.5（二）

2.5.3    軟體定義網絡（SDN）

雖然人們普遍認為網絡領域的 SDN是一種相對較新的現象，其根源在資料中心，但實際情況是電信網絡使用這些技術已長達幾十年。執行個體之一是使用該技術控制電路交換網絡中的資料平面，通過控制器的控制平面來提供800号碼服務（用于呼叫和反向計費的長途自動路由）。

在網絡雲中，通過應用這些成果和來自雲資料中心的知識，可促進 SDN的進一步發展，以建立分層分布式控制架構。具有全網連接配接視圖的“主”（或全局）控制器負責控制與網絡不同功能部分相關的輔助控制器。每台控制器也可以按比例進行複制。對于IP/多協定标簽交換（MPLS）網絡架構，網絡雲使用混合方法來保持分布式控制平面和協定以實作響應，并使用集中式控制平面進行優化和複雜控制。

在 SDN網絡雲中非常獨特的問題之一是向模型驅動軟體和網絡配置轉變。過去，這些任務是通過建立詳細需求文檔來完成的，網絡工程師必須将這些文檔轉換為相關網元的特定供應商配置語言。任何新網絡功能的引入都需要額外的時間來等待文檔、測試配置以及在 OSS中實作配置。新流程涉及使用另外一種下一代（YANG，YetAnotherNextGeneration）模組化語言定義功能的問題。供應商中立的YANG模闆建立便攜且易于維護的所需網絡功能的明确表示；在将模闆與實際網絡功能結合使用之前，可以采用仿真技術來驗證其正确性。

在 AT&T的 SDN方法中，無論是通過經典的PNF形式，還是通過更加現代化的虛拟化網絡功能（VNF）形式來實作，所有 SDN可控網元都能進行類似處理。網絡雲 SDN控制器包含諸多子系統，可以設計用于與開放網絡自動化平台（ONAP，OpenNetworkAutomationPlatform）協同運作。它将服務邏輯解釋器（SLI，ServiceLogicInterpreter）和基于開放日光（ODL，OpenDaylight）部件的實時控制器結合在一起。SLI負責執行腳本，這些腳本定義對諸如服務請求和閉環控制事件等生命周期事件所采取的操作。可以将常用或複雜的 SLI腳本封裝為運作于 ODL架構中的 Java類，然後作為單個腳本操作進行重用。另一項功能是網絡資源自治控制，可用于将網絡資源與服務執行個體進行關聯或将網絡資源配置設定給服務執行個體。

擴充卡位于控制器的底部，可以與各種網元控制接口進行互動。這些互動既可以是傳統網元管理系統（EMS，ElementManagementSystem）風格的“供應”，又可以是采用邊界網關協定（BGP， BorderGatewayProtocol）的實時網絡事務。

沒有政策職能的任何控制架構都是不完整的。可以基于從 NFVI以及在其上運作的服務采集的事件來定義政策規則。事件可以觸發執行點處的算法變化和 /或 NFVI/SDN網絡雲上的控制操作。例如，網絡鍊路的高使用率可能會觸發流量工程（TE，TrafficEngineering）的路由變化，或者無響應服務功能可能會觸發服務功能的重新開機。

使用先進的進階SDN控制器功能，不僅可建立諸如網際網路、虛拟專用網（VPN）、實時媒體服務等傳統網絡服務，還可以建立更為複雜的按需服務。

2.5.4      開放網絡自動化平台

網絡功能虛拟化的遷移改變了網絡基礎設施運作模式的許多方面，并對營運生命周期中的服務進行管理。服務的初始設計不再是垂直內建的優化基礎設施，而是必須假設采用分布式雲硬體基礎設施，并從最符合服務設計需求的任何來源重用網絡功能。必須采用諸如定義工作流之類的自動化方式，以及引用運作時資訊源并調整基礎設施資源使用的行為，來形式化描述初始安裝、配置、呈現以及用于響應生命周期事件的變化。基礎設施和服務功能必須公開支援監視、外部控制和政策規範的軟體接口，而政策規範可以改變運作時的行為。短期流量工程（TE）和長期容量規劃決策都必須考慮充分利用公共基礎設施的廣泛服務和應用場景。

傳統的營運支援系統（OSS）和業務支撐系統（BSS）設計用于內建單片網元部件，并增加傳遞和支援客戶服務營運所需的功能。該方法存在許多局限性：網元部件缺少某些生命周期操作的标準接口，且往往針對特定服務進行優化，或者在不同服務之間不容易實作共享。這增加了執行諸如初始傳遞、更新、例行維護和故障修複等生命周期操作的成本和時間，而且需要專用的基礎設施和技能；設計、內建和部署基礎設施所需的時間與教育訓練大規模營運基礎設施的員工限制了服務提供商傳遞新服務的靈活性；新型或新興的服務量和增長的不确定性使投資難以合理化，傳遞時間過長又無形中增加了錯失市場機會的風險。

上述 ETSINFV工作直接導緻了 VNF管理和編排（MANO，ManagementandOrchestration）規範的誕生。ONAP通過為闆載資源添加全面的服務設計平台擴充了 ETSIMANO，建立服務，定義生命周期操作；基于遙測、分析和政策驅動生命周期管理操作的閉環控制；用于加速和降低   闆載功能開銷和消除VNF相關管理系統的模型驅動平台；支援 PNF。

一緻的計劃既包括如何使用 ONAP功能來取代諸如故障關聯、性能分析和元件管理等傳統OSS/BSS系統，又包括如何逐漸淘汰這些傳統系統，該計劃對于傳統實體網絡（PNF）和新型虛拟化網絡功能（VNF）基礎設施共存的過渡期至關重要。如果二者都沒有明确的計劃，則傳統系統和設計就有可能與 ONAP平台上的服務設計內建存在風險，進而削弱高度自動化操作的優勢并增加維護成本。

2.5.4     網絡安全

網絡安全是一種多學科問題，始于諸如機密性和完整性等經典安全問題，并涉及可用性問題（確定服務和網絡正常工作），且可以消除惡意企圖來将其負面影響降至最低。使用網絡雲，需要在營運雲環境中通過軟體和網絡的組合來了解安全性。例如，采用“深度防禦”和“關注點分離” 等安全技術，這是一種對VNF進行分類的實用方法，可阻止每一類型不會同時在同一台伺服器上運作。出于這些原因，安全性是網絡雲的關鍵架構和設計因素之一。

網絡安全展現在兩個不同的方面—基礎設施自身保護以及在服務中提供安全功能的能力。基礎設施安全的基本結構是確定每一部件都通過單獨評估，并在設計時充分考慮安全性。

對于網絡雲來說，架構部件包含諸如通路控制清單（ACL，AccessControlList）和虛拟專用網（VPN）等功能實體，以限制和分離流量。伺服器使用管理程式來運作作業系統，而管理程式可提供具有記憶體隔離的獨立執行環境。在此基礎上，營運網絡可用于提供對管理端口的通路，并使用防火牆來提供控制和檢查點。

安全架構的其他方面也在發揮作用。當希望避免出現安全問題時，良好的安全方法還提供了緩解、恢複和驗證機制。基礎設施的緩解方法包括過載控制和轉移功能。過載控制（在網絡出現問題時也非常有效）優先考慮功能，以便資源高效應用于控制平面和高優先級流量。轉移功能通常使用 IP報頭的特定部分來識别備選網絡流量，具有重定向分組以用于後續處理、速率限制以及消除的能力。

驗證是安全的基礎。記錄活動的能力提供了分析曆史事件以确定根本原因并開發預防和緩解方案的能力。它還通過充當行為檢查的輔助點來發揮主動安全執行的作用，而行為檢查則可以發現安全設計或實作方案中存在的故障或缺陷。

在安全流程中，兩大關鍵元件是自動化和身份管理。自動化充分考慮到複雜序列的管理問題，并從配置中消除人為因素，而人為因素是典型的安全問題的來源，需要在ACL中輸入錯誤 IP位址來建立漏洞。身份管理確定人員和軟體都有權檢視、建立、删除或更改記錄或設定。網絡雲采用集中式方法進行身份驗證。這可以防止本地密碼的另一個弱點，因為這些本地密碼更易受到威脅。

2.5.6    企業客戶終端裝置

企業網絡是企業用于将其人員、IT和營運基礎設施聯系在一起的環境。針對辦公室、倉庫、工廠和卡車、汽車中的移動人員，以及在通路客戶時，企業需要全面的通信解決方案。通常，它們使用一系列語音、視訊、資料和移動服務。企業的所有營運地點都需要某種形式的稱為用戶端裝置（CPE，CustomerPremisesEquipment）的本地裝置。過去，CPE采用與網絡裝置相同的方法，即實作形式為裝置。如今，CPE采用 NFV經曆相同的轉型。它支援單台裝置在需要時在軟體控制下提供多種功能。

當使用 NFV重新設計 CPE時，采用的方法是支援功能實體在新虛拟化 CPE内部或網絡中的網絡雲上運作。對于CPE内的本地網絡功能，需要通過創新來建構一種合适的執行環境。與多台伺服器可用于增加或減少 VNF實體的網絡雲不同，CPE環境通常僅限于單個 CPU晶片組。考慮到軟體可移植性并充分利用開源生态系統，我們再次選擇基于核心的虛拟機（KVM，Kernel-basedVirtualMachine）作為管理程式，以支援多個 VNF實體在各台虛拟機中共享 CPU。（這裡涉及的安全性問題較少，因為 CPE專門針對單個客戶。）

CPE最具挑戰性的問題之一是管理。由于 CPE位于客戶廣域網（WAN，WideAreaNetwork）服務端與本地網絡之間的本地位置，是以，提供可操作網絡連接配接功能非常重要。這是通過共享WAN服務來實作的，而WAN服務使用特殊虛拟區域網路（VLAN，VirtualLocalAreaNetwork）或IP位址隔離流量。但是，在服務啟動之前或故障後服務開展期間，WAN連接配接可能不可用。解決方案是利用移動通路網絡雲并提供“回撥”功能。第二種連接配接考慮到遠端“測試和開通”程式， 且在 WAN發生故障時，提供故障診斷和定位功能。