溫曙光 賀 鵬 姜海洋 關(guān)洪濤 謝高崗

網(wǎng)絡(luò)功能虛擬化(Network Function Virtualization,NFV)[1]是歐洲電信標準組織ETSI在2012年提出的一項愿景，借助云計算、虛擬化和SDN技術(shù)把電信設(shè)備從目前的專用平臺遷移到通用的X86平臺上來，幫助運營商和數(shù)據(jù)中心更加敏捷地為客戶創(chuàng)建和部署網(wǎng)絡(luò)特性，降低設(shè)備投資和運營費用。

NFV是從電信領(lǐng)域提出來的概念，“網(wǎng)絡(luò)功能”在NFV白皮書中主要是指電信網(wǎng)絡(luò)的功能模塊(Network Function，NF)，比如IP Multimedia Subsystem(IMS)、Evolved Packet Core(EPC)。隨著技術(shù)的發(fā)展與相互融合，NFV的概念已經(jīng)突破了原始的定義從電信網(wǎng)絡(luò)進入數(shù)通網(wǎng)絡(luò)領(lǐng)域[2]，研究機構(gòu)和相關(guān)的公司開始探索利用NFV的方法和工具將數(shù)據(jù)網(wǎng)絡(luò)中的面向連接的網(wǎng)絡(luò)功能服務(wù)化，常見的網(wǎng)絡(luò)功能有：防火墻、網(wǎng)絡(luò)地址轉(zhuǎn)換NAT、因特網(wǎng)入侵防護監(jiān)測和保護IDS/IPS、緩存Cache、深度數(shù)據(jù)包檢測DPI、廣域網(wǎng)加速、Web防火墻WAF、漏洞掃描等。

OpenContrail[3]正是Juniper瞄準這一市場機會推出的開源解決方案，為云計算平臺提供網(wǎng)絡(luò)虛擬化(Network Virtualization, NV)和網(wǎng)絡(luò)功能虛擬化的能力。它采用Openstack[4]作為云資源管理平臺，具有良好的可擴展性。本文介紹的NFCloud是我們基于OpenContrail構(gòu)建的用于數(shù)據(jù)通訊領(lǐng)域的NFV系統(tǒng)，具有敏捷靈活、融合、高性能和高可用的特點。

1 業(yè)務(wù)模型

OpenContrail的NFV業(yè)務(wù)模型如圖1所示。租戶的業(yè)務(wù)運行在虛擬機A1～A6中，這些虛擬機連接到租戶網(wǎng)絡(luò)A/A1/A2上，租戶網(wǎng)絡(luò)是在基礎(chǔ)網(wǎng)絡(luò)(物理網(wǎng)絡(luò))上利用overlay技術(shù)構(gòu)建的虛擬網(wǎng)絡(luò)(Virtual Net, VNet)。OpenContrail的NFV功能允許在租戶的兩個VNet間(如圖1上部所示)或者VNet和Internet間(如圖1下部所示)增加以下兩種形式的功能：1)一組服務(wù)實例串接形成一條服務(wù)鏈(如圖1下部的FW和LB業(yè)務(wù))，這兩個網(wǎng)絡(luò)間的流量會依次經(jīng)過整條服務(wù)鏈上的每一個虛擬的網(wǎng)絡(luò)功能(Virtual Network Function, vNF)服務(wù)實例，每個vNF都在兩個網(wǎng)絡(luò)間轉(zhuǎn)發(fā)流量；2)一個并聯(lián)的vNF服務(wù)實例(如圖1下部的IPS業(yè)務(wù))，這兩個網(wǎng)絡(luò)間的流量會被鏡像到vNF，vNF可以對流量進行離線的深度數(shù)據(jù)包分析而無需轉(zhuǎn)發(fā)。整條服務(wù)鏈既可以做二層轉(zhuǎn)發(fā)也可以做三層轉(zhuǎn)發(fā)，依據(jù)實際部署和應(yīng)用場景而定。

在OpenContrail的模型中，接入vNF的一端必須是租戶的虛擬網(wǎng)絡(luò)，這一要求將其提供NFV的能力限定于云平臺之上。NFCloud在調(diào)研之后提出來，NFV平臺應(yīng)該滿足下列的需求。

1)將NFV的業(yè)務(wù)能力擴展到物理網(wǎng)絡(luò)中，也就是說，NFV平臺能為物理網(wǎng)絡(luò)加載vNF服務(wù)。

2)提供多租戶的環(huán)境，不同的用戶能運行不同的vNF服務(wù)，他們之間是相互隔離的。

3)vNF能以服務(wù)鏈的形式串聯(lián)或者并聯(lián)在租戶物理網(wǎng)絡(luò)出口。

4)vNF能以云主機的形式部署在網(wǎng)絡(luò)邊緣。跟服務(wù)鏈上的服務(wù)不同，云主機有可達的IP地址，用戶可以通過地址直接連接到云主機上。云主機的地址可以跟用戶在同一個網(wǎng)段，也可以在網(wǎng)管單獨分配的網(wǎng)段。

根據(jù)這樣的需求，NFCloud所支持的業(yè)務(wù)模型如圖2所示。圖2左邊是一般的園區(qū)網(wǎng)絡(luò)結(jié)構(gòu)，上面的路由器與Internet相連提供出口服務(wù)，下面的核心交換機提供大容量的交換網(wǎng)絡(luò)，往下通過接入層接入不同的用戶，用戶間的流量一般是通過IP地址或者VLAN標簽區(qū)分。在出口路由器下，NFCloud部署透明網(wǎng)關(guān)(Transparent GateWay,TGW)，將用戶的物理網(wǎng)絡(luò)流量引入到各自訂購的虛擬服務(wù)鏈中來。如圖2所示，用戶1訂購了一組服務(wù)；而其他用戶尚未訂購服務(wù)。所有的用戶都可以隨時登陸NFCloud系統(tǒng)啟用或者停用訂閱的服務(wù)。服務(wù)分為兩種：服務(wù)鏈和云主機。服務(wù)鏈處理所有從該用戶與Internet之間的流量，云主機則是一臺用戶可以訪問的虛擬機。跟OpenContrail一樣，服務(wù)鏈里面又包括串聯(lián)服務(wù)和并聯(lián)服務(wù)。從用戶的視角出發(fā)，NFCloud在用戶的物理網(wǎng)絡(luò)出口提供了虛擬網(wǎng)關(guān)(Virtual Gateway, VG)的功能，在VG上，用戶可以根據(jù)自己的需求，加載不同的業(yè)務(wù)。在NFCloud平臺上，用戶可以租賃vNF服務(wù)，也可以稱為“租戶”，因此在本文的討論中，“用戶”和“租戶”的意義可以互換。

圖1 OpenContrail的NFV功能的業(yè)務(wù)模型

圖2 NFCloud的業(yè)務(wù)模型

NFCloud實現(xiàn)的4點需求，尤其是將NFV的業(yè)務(wù)能力擴展到物理網(wǎng)絡(luò)這一點，使得我們可以將NFV這一強大的工具用于改造傳統(tǒng)的物理網(wǎng)絡(luò)上。它的架構(gòu)使得它適合于部署在網(wǎng)絡(luò)服務(wù)提供商出口，如園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)出口，或者運營商側(cè)的匯聚鏈路上，提供面向多租戶的虛擬網(wǎng)絡(luò)服務(wù)和近用戶側(cè)的云計算能力。

2 系統(tǒng)架構(gòu)

圖3所示的是NFCloud的系統(tǒng)架構(gòu)。整個架構(gòu)采用微服務(wù)架構(gòu)耦合，這是當(dāng)前分布式系統(tǒng)開發(fā)的一種較為流行的架構(gòu)。它將系統(tǒng)里面的各個組件劃分為多個獨立運行的服務(wù)，相互之間采用RESTful API請求、遠過程調(diào)用或者消息隊列的方式進行服務(wù)。每個服務(wù)完成的工作相對比較簡單，清晰。按照各個服務(wù)所部署的位置，在NFCloud系統(tǒng)中有三類節(jié)點：控制節(jié)點、計算節(jié)點和透明網(wǎng)關(guān)轉(zhuǎn)發(fā)設(shè)備。

圖3 NFCloud的系統(tǒng)架構(gòu)

控制節(jié)點運行各個子系統(tǒng)的控制平面。NFCloud-web是用戶的入口，提供交互操作界面，它將用戶的網(wǎng)絡(luò)配置下發(fā)到透明網(wǎng)關(guān)控制平面TGW-control，從Openstack生成虛擬機組成服務(wù)鏈，服務(wù)鏈的配置下發(fā)到Opencontrail；Openstack和Opencontrail再通過其內(nèi)部的機制管理計算節(jié)點。vNF-webproxy是vNF的管理平面提供的一個操作界面代理，允許用戶從NFCloud-web直接管理vNF應(yīng)用。TGW-control通過BGP協(xié)議跟Opencontrail協(xié)商服務(wù)鏈的隧道信息，并將它們存放在ZooKeeper里通知到透明網(wǎng)關(guān)轉(zhuǎn)發(fā)設(shè)備TGW-forwarder。

計算節(jié)點是運行服務(wù)鏈和云主機虛擬機的服務(wù)器。計算節(jié)點由Openstack和Opencontrail管理，NFCloud在Openstack和Opencontrail上層開發(fā)的組件并不直接和計算節(jié)點交互。計算節(jié)點運行虛擬交換機(Virtual Switch，vSwitch)，負責(zé)為虛擬機構(gòu)建VNet和服務(wù)鏈。計算節(jié)點之間的網(wǎng)絡(luò)互連由高速的光纖(10G/40G)互連，這個高速互連網(wǎng)絡(luò)稱為Fabric網(wǎng)絡(luò)。

透明網(wǎng)關(guān)轉(zhuǎn)發(fā)設(shè)備T G W-forwarder則是將用戶的物理網(wǎng)絡(luò)與vNF聯(lián)通的關(guān)鍵設(shè)備。它通過上下行鏈路串入到物理網(wǎng)絡(luò)中，通過Fabric網(wǎng)絡(luò)與計算節(jié)點相連。TGW-forwarder從Zookeeper中獲取TGW-control寫入的用戶配置和路由信息。TGW-forwarder將用戶的流量加上2層隧道頭送給服務(wù)鏈或者云主機中的vNF，把處理完的流量再送回到物理網(wǎng)絡(luò)中。

控制節(jié)點和計算節(jié)點都是標準的X86服務(wù)器；而TGW-forwarder作為網(wǎng)絡(luò)接入設(shè)備，既可以采用X86服務(wù)器，也可以采用眾核處理卡或者NP。在標準部署中，一套完整的NFCloud系統(tǒng)，包括一個主控制節(jié)點和一個備份控制節(jié)點，多個計算節(jié)點和一個透明網(wǎng)關(guān)轉(zhuǎn)發(fā)設(shè)備。

3 挑戰(zhàn)與解決方案

在通信通訊領(lǐng)域，服務(wù)提供商一直強調(diào)連接服務(wù)的高性能和高可靠性。而作為通信能力服務(wù)化的一種技術(shù)手段，NFV正是因為其在性能和可靠性方面達不到電信運營商的標準而成為其商業(yè)化的障礙[5-6]。在我們與客戶的接觸中發(fā)現(xiàn)，NFCloud提出的業(yè)務(wù)模型的接受度是非常高的，他們對OpenContrail底層能提供的性能和可靠性同樣表現(xiàn)了不滿意的態(tài)度。下面討論NFCloud在性能和可靠性方面所做的工作。

3.1 透明網(wǎng)關(guān)

從功能的角度來看，透明網(wǎng)關(guān)屬于傳統(tǒng)的數(shù)據(jù)平面設(shè)備，其處理邏輯如圖4所示：對流量按照上層定義的屬性進行分類，如果它屬于本設(shè)備的報文則進行協(xié)議棧處理；如果是送入vNF的數(shù)據(jù)包，按照用戶進行數(shù)據(jù)包分類，即屬于某個用戶服務(wù)鏈或者云主機則加上隧道頭從Fabric網(wǎng)絡(luò)送入NFCloud后端的云虛擬機里，其余的報文直接轉(zhuǎn)發(fā)；如果是vNF發(fā)送到物理網(wǎng)絡(luò)的數(shù)據(jù)包，則解封裝，提取出接口，恢復(fù)二層頭發(fā)送到上下行網(wǎng)絡(luò)中。

從部署的角度來看，透明網(wǎng)關(guān)串接到園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)出口或者運營商側(cè)匯聚鏈路上。前者的鏈路多以1G速率為主，在這種場景下，基于X86平臺DPDK[7]的純軟件的透明網(wǎng)關(guān)也可以滿足性能要求。而對于后兩種場景，目前的鏈路以10G/40G的光纖接入為主，即使只將少部分流量導(dǎo)入到NFCloud云中，由于所有的流量都需要經(jīng)過透明網(wǎng)關(guān)進行用戶查找，因此，對透明網(wǎng)關(guān)的性能壓力是巨大的。為應(yīng)付高速率鏈路對透明網(wǎng)關(guān)的性能需求，NFCloud在集成了眾核處理器+交換芯片的硬件平臺上開發(fā)了高性能透明網(wǎng)關(guān)，其結(jié)構(gòu)如圖5所示。

在圖5中，TGW-forwarder的中心是交換芯片，對外提供上下行鏈路和Fabric接口，對內(nèi)連接兩邊的眾核處理芯片，兩塊芯片分別處理上下行的流量。從網(wǎng)絡(luò)進來的流量經(jīng)過交換芯片進行類型判斷和用戶查找：如果不需要額外處理的報文直接就轉(zhuǎn)發(fā)；如果需要進行上層協(xié)議處理和隧道處理的報文，交換芯片會插入相應(yīng)的用戶信息送給CPU處理。這個結(jié)構(gòu)把圖4中性能關(guān)鍵的部分放到了交換芯片，包類型判斷用交換芯片的ACL規(guī)則實現(xiàn)，用戶查找用TCAM實現(xiàn)。由于使用了交換芯片，提高了透明網(wǎng)關(guān)轉(zhuǎn)發(fā)平面的性能和可靠性。

圖4 透明網(wǎng)關(guān)轉(zhuǎn)發(fā)數(shù)據(jù)包處理流程

圖5 基于眾核處理器平臺的透明網(wǎng)關(guān)轉(zhuǎn)發(fā)平面

3.2 虛擬交換機

透明網(wǎng)關(guān)將服務(wù)鏈的流量通過Fabric網(wǎng)絡(luò)送到服務(wù)鏈或者云主機中的vNF進行處理。vNF是虛擬機中的應(yīng)用程序，而計算節(jié)點上面運行虛擬交換機(Virtual Switch, VS)軟件處理Fabric接口和虛擬機的虛擬接口之間的報文交換。虛擬交換機由于其連接著物理接口和虛擬接口，其采用的技術(shù)直接決定了IO接口數(shù)據(jù)轉(zhuǎn)發(fā)的性能，因此，VS的性能優(yōu)化尤其重要。

主流的VS架構(gòu)，多采用基于內(nèi)核的數(shù)據(jù)通路+vhost-net+virtio的方式進行虛擬交換[8]，其結(jié)構(gòu)如圖6(a)所示。由于Linux內(nèi)核中網(wǎng)絡(luò)協(xié)議棧的通用性，基于內(nèi)核的數(shù)據(jù)通路的額外開銷較多，在1次IO中需要2次內(nèi)存分配和釋放+1次數(shù)據(jù)包拷貝；另外，由于涉及到驅(qū)動、協(xié)議棧、iptables/ebtables等多層功能，處理也較復(fù)雜?；趦?nèi)核的數(shù)據(jù)通路很難提供超過1Gb/s線速的性能。為追求更高的性能，VS都開始朝著用戶態(tài)交換的架構(gòu)演進，以消除內(nèi)核協(xié)議棧過重的額外開銷。用戶態(tài)交換把圖6(a)都遷移到了用戶態(tài)來如圖6(b)所示，變成了DPDK+vhost-user+virtio。相較原來的基于內(nèi)核數(shù)據(jù)通路的方式而言，減少了1次內(nèi)存分配和釋放，由于不需要考慮過多通用的功能，處理可以專注在虛擬交換上。在這種模式下，VS的性能可以提高到3Gb/s線速。

除了VS的架構(gòu)外，降低VS處理的復(fù)雜性對性能也有較好的提升。原生的VS為全功能的處理設(shè)計了通用而復(fù)雜的流表規(guī)則和動作集。已有研究表明，通過算法的優(yōu)化，比如Hypersplit[9]，流表cache可以對通用的流表匹配有較好的加速作用。而NFCloud將服務(wù)鏈IO的處理進行了大幅簡化，避免了復(fù)雜的流表規(guī)則和動作集，比一些通用的優(yōu)化算法效果更好，能將性能再次提升10%左右。

圖6 基于內(nèi)核態(tài)和用戶態(tài)通路的VS架構(gòu)

3.3 服務(wù)實例

服務(wù)實例是運行在虛擬機里面的vNF，一般是基于DPDK開發(fā)的用戶態(tài)程序，對租戶的流量進行業(yè)務(wù)處理。從虛擬化的角度來提升虛擬機的性能，Openstack和KVM社區(qū)有很多共性的優(yōu)化的方法，比如大頁面的使用，NUMA親和性的綁定，VCPU和物理CPU的綁定等，這些方法同樣適合于在NFV場景，因此我們都已經(jīng)把這些優(yōu)化技術(shù)引入到NFCloud系統(tǒng)中。從NFV的特性下手去提高服務(wù)實例的性能，NFCloud主要是從網(wǎng)絡(luò)流量的IO著手，對vNIC的virtio-net前后端驅(qū)動進行改造，使其能夠支持vNF對網(wǎng)絡(luò)流量進行并行化處理和批處理。

1)vNF應(yīng)用對流量進行并行化處理。雖然多核處理器已經(jīng)發(fā)布超過10年，但由于并行編程的難度，許多NF應(yīng)用在利用多核處理器的能力上仍然表現(xiàn)不佳。根據(jù)我們之前已有的研究成果總結(jié)[10]，網(wǎng)絡(luò)流量并行編程模型主要有三種，即Run-To-Complete(RTC)模型、Software-Pipeline(SPL)模型以及由上面兩種模型共同衍生出來的混合模型，包括Supra-linear模型、Multi-Snort、Para-Snort等。混合模型的出發(fā)點是SPL模型中的每一個Pipeline的復(fù)雜度是不均等的，對于較復(fù)雜的Pipeline應(yīng)該采用RTC再進行并行化。Para-Snort模型在NF應(yīng)用中適合網(wǎng)絡(luò)流量處理特性因而性能較好，而且Para-Snort模型的編程復(fù)雜度較低開發(fā)容易。因此Para-Snort模型在新一代NF應(yīng)用的開發(fā)中占據(jù)了主流的地位。

對于Para-Snort模型，在作者其它研究表明[11]，數(shù)據(jù)包捕獲+負載均衡越靠近底層，從用戶態(tài)→內(nèi)核態(tài)→硬件越往下走，整個系統(tǒng)的可擴展性和性能就越好。在NFCloud中，數(shù)據(jù)包捕獲+負載均衡是實現(xiàn)在虛擬交換層+vNIC上，將virtio-net的前后端都改造為支持多隊列收發(fā)的并行結(jié)構(gòu)，使得數(shù)據(jù)包從網(wǎng)卡進入系統(tǒng)就能夠被并行處理，減少后續(xù)處理的拷貝和同步開銷，極大地提高了vNF應(yīng)用的性能。

2)vNF應(yīng)用對流量進行批處理。我們建議vNF應(yīng)用一次從網(wǎng)卡上收多個數(shù)據(jù)包進行處理；發(fā)送時則緩存多個數(shù)據(jù)包一次發(fā)送。從IO上來說，批處理可以減少系統(tǒng)開銷；從應(yīng)用來說，批處理可以提高代碼和數(shù)據(jù)的熱度，提高Cache命中率。

3.4 可用性

由于數(shù)據(jù)通訊處于互聯(lián)網(wǎng)應(yīng)用的基礎(chǔ)地位，高可用性是天然的業(yè)務(wù)要求。而云管理平臺在單個業(yè)務(wù)的可用性方面，主要是上層業(yè)務(wù)做負載均衡+冗余備份，在NFCloud控制平面也采用相同的方法(如圖3所示部署的備份控制節(jié)點)。而對于NFV工作的數(shù)據(jù)通訊層上的可用性，包括Openstack在內(nèi)的云管理平臺都缺乏足夠的保護措施。NFCloud在這方面做了增強，從手段來說是冗余+監(jiān)控+保護，從保護范圍來說是系統(tǒng)→服務(wù)鏈→單個vNF應(yīng)用三級。

1)vNF應(yīng)用監(jiān)控和服務(wù)鏈狀態(tài)監(jiān)控。前者是對vNF是否正常進行業(yè)務(wù)轉(zhuǎn)發(fā)進行監(jiān)控，后者對某個租戶的整條業(yè)務(wù)鏈轉(zhuǎn)發(fā)進行監(jiān)控。這兩種方式都是通過主動發(fā)送探測包并監(jiān)控返回來的探測包來推測被監(jiān)控對象的行為和狀態(tài)。這兩套機制都是借用802.1AG協(xié)議的Connectiv Fault Management(CFM)的狀態(tài)機。當(dāng)監(jiān)測應(yīng)用或者服務(wù)鏈的的行為異常時，NFCloud會通知控制平面嘗試做修復(fù)工作，比如重啟虛擬機，暫時將流量跳過某一級或全部應(yīng)用，或者跟ECMP聯(lián)動。

2)Equal Cost Multi Path(ECMP)冗余備份，利用負載均衡對vNF進行備份。ECMP是一種網(wǎng)絡(luò)層的負載均衡技術(shù)，如圖7所示，對于FW這個vNF運行了3個相同的虛擬機對流量進行處理。當(dāng)NFCloud采用vNF應(yīng)用監(jiān)控和服務(wù)鏈狀態(tài)監(jiān)控的方法監(jiān)測到某一個FW虛擬機失效時，F(xiàn)W前一級的VS將會知道并跳過失效的FW虛擬機。它既提供良好的可擴展性，也提供冗余備份能力。

3)入口短路保護，采用光保護交換機對透明網(wǎng)關(guān)TGW和整套云平臺進行監(jiān)控。其工作原理如圖8所示，光保護交換機放置在TGW-forwarder前，兩者之間有一條心跳線。在系統(tǒng)正常工作時，光保護交換機會將上下行間的流量送給TGW-forwarder；當(dāng)系統(tǒng)不能正常工作時，比如光保護交換機掉電、兩者時間的光纖無信號或者沒有心跳時，光保護交換機直接將上下行的流量透傳，從而保護上下行間的鏈路。

圖7 ECMP對業(yè)務(wù)進行負載均衡

圖8 光保護交換機的工作原理

4 總結(jié)

NFV成為改造網(wǎng)絡(luò)的一個強大的工具，有許多網(wǎng)絡(luò)服務(wù)提供商正在計劃將它們的服務(wù)遷移到NFV平臺上去。本文總結(jié)了我們在Opencontrail上構(gòu)建面向數(shù)據(jù)通訊NFV平臺——NFCloud時遇到的問題和解決方法。NFCloud的核心價值在于解決以下兩個問題：NFV應(yīng)該怎樣提供業(yè)務(wù)能力和NFV平臺如何滿足服務(wù)提供商的技術(shù)要求。

NFV應(yīng)該怎樣提供業(yè)務(wù)能力？我們在調(diào)研了好幾種商用和開源的NFV平臺后發(fā)現(xiàn)，vNF的主要運行模式包括Middlebox服務(wù)和主機服務(wù)[12]，我們將這兩種業(yè)務(wù)抽象為在出口的服務(wù)鏈和在邊緣的云主機。所有的NFV平臺都提供運行云主機這種能力。而對于服務(wù)鏈業(yè)務(wù)，對于加載網(wǎng)絡(luò)的Middlebox業(yè)務(wù)，這是特別合適的業(yè)務(wù)模式，但是，服務(wù)鏈業(yè)務(wù)在各種NFV平臺中的功能要么缺失，要么有較大的局限性(只能用于VNet之間)，要么使用較復(fù)雜。NFCloud將NFV平臺業(yè)務(wù)能力總結(jié)為4點需求：擴展到物理網(wǎng)絡(luò)、多租戶、提供服務(wù)鏈功能、提供云主機功能。這使得NFCloud適合部署在網(wǎng)絡(luò)出口，如園區(qū)網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)出口，或者運營商側(cè)的匯聚鏈路上，提供面向多租戶的虛擬網(wǎng)絡(luò)服務(wù)和近用戶側(cè)的云計算能力。

NFV平臺如何滿足服務(wù)提供商的技術(shù)要求？NFV底層使用云計算技術(shù)來運行vNF。這兩者在技術(shù)要求上并不一致：NFV在數(shù)據(jù)通路上提供虛擬服務(wù)，要求高性能和高可用性；而云計算正是允許犧牲部分性能來解決資源彈性使用的問題。在整個數(shù)據(jù)通路上我們采用了多種技術(shù)來提高性能：使用專用的眾核處理平臺來實現(xiàn)10G的透明網(wǎng)關(guān)轉(zhuǎn)發(fā)平面；采用用戶態(tài)交換并簡化規(guī)則處理來提高虛擬交換的性能；在virtio接口上提供并行化和批處理能力來提高vNF自身的性能。在可用性上，NFCloud采用監(jiān)控+冗余+保護手段對系統(tǒng)→服務(wù)鏈→單個vNF應(yīng)用三級的可用性進行加強。

參考文獻

[1]ETSI: Network Function Virtualization[EB/OL].[2016-01-02].http://www.etsi.org/technologies-clusters/technologies/nfv

[2]華一強,郭曉琳,楊艷松.NFV及其在IP網(wǎng)中應(yīng)用的探討[J].郵電設(shè)計技術(shù),2015(2):11-16

[3]Opencontrail: An open-source network virtualization platform for the cloud[EB/OL].[2016-01-02].http://www.opencontrail.org/

[4]Openstack: Open source software for creating private and public clouds[EB/OL].[2016-01-02].http://www.openstack.org/

[5] 李晨,段曉東,陳煒,等.SDN和NFV的思考和實踐[J].電信科學(xué),2014(8):23-27

[6]史凡,解云鵬,胡曉娟,等.SDN/NFV技術(shù)對電信網(wǎng)絡(luò)架構(gòu)的價值和引入要點分析[J].電信網(wǎng)技術(shù),2015(4):1-4

[7]DPDK: a set of libraries and drivers for fast packet processing[EB/OL].[2016-01-03].http://www.dpdk.org/

[8]Rusty Russell.Virtio: towards a de-facto standard for virtual I/O devices[J].ACM SIGOPS Operating Systems Review,2008(5): 95-103

[9]賀鵬.高效包分類方法研究[D].北京:中國科學(xué)院大學(xué),2015

[10]姜海洋.網(wǎng)絡(luò)入侵檢測系統(tǒng)并行化技術(shù)研究[D].北京:中國科學(xué)院大學(xué),2015

[11]溫曙光,謝高崗.libpcap-MT:一種多線程的通用數(shù)據(jù)包捕獲庫[J].計算機研究與發(fā)展,2011(5):756-764

[12]薛淼,符剛.基于SDN/NFV的Service Chaining關(guān)鍵技術(shù)研究[J].郵電設(shè)計技術(shù),2015(2):1-6