孔藝諾，屠禮彪，宋 盈（.中訊郵電咨詢設計院有限公司，北京 00048；.中國聯(lián)合網(wǎng)絡通信集團有限公司，北京 00033）

0 引言

在云計算、物聯(lián)網(wǎng)、自動駕駛等新興技術的驅動下，我國數(shù)字經(jīng)濟蓬勃發(fā)展。國家“十四五”規(guī)劃高度重視數(shù)字經(jīng)濟的發(fā)展，把“網(wǎng)絡強國、數(shù)字中國”作為新發(fā)展階段的重要戰(zhàn)略進行部署，數(shù)字經(jīng)濟成為我國國民經(jīng)濟高質量發(fā)展的新動能。在云服務時代，運營商順應技術的發(fā)展和時代的變革，積極響應國家號召，結合自身網(wǎng)絡布局和技術優(yōu)勢，積極推動運營商的網(wǎng)絡加速向云化演進，通過網(wǎng)絡功能虛擬化能力（NFV），以集中部署的方式承載網(wǎng)絡設備的功能，而網(wǎng)絡功能云化后集中部署在運營商數(shù)據(jù)中心，仍需要與運營商廣域網(wǎng)絡進行連接融合。運營商的城域網(wǎng)近年來已逐步向以云DC 為中心的云網(wǎng)邊一體化智能網(wǎng)絡的方向發(fā)展，而更加高效便捷地將運營商云DC 提供的種種網(wǎng)絡服務能力與運營商網(wǎng)絡傳統(tǒng)的連接能力協(xié)作起來，滿足客戶數(shù)字化應用需求，建立差異化競爭優(yōu)勢，是運營商勢必要不斷優(yōu)化的云網(wǎng)融合演進方向。

隨著5G技術和工業(yè)物聯(lián)網(wǎng)的快速發(fā)展，更多的垂直領域如VR、自動駕駛、智慧城市、智慧家庭等也對網(wǎng)絡提出了不同時延、穩(wěn)定性和帶寬的需求。為了應對互聯(lián)網(wǎng)+時代帶來的網(wǎng)絡能力升級的需求和挑戰(zhàn)，運營商勢必要面對細分的企業(yè)市場，并快速向可提供差異化服務的網(wǎng)絡服務提供商轉型，網(wǎng)絡服務也需要從傳統(tǒng)的管道式連接為主轉向算網(wǎng)一體的差異化網(wǎng)絡服務。

1 功能服務鏈關鍵技術

為了向不同需求的企業(yè)和終端用戶提供差異化、定制化的網(wǎng)絡服務，運營商網(wǎng)絡往往需要在網(wǎng)絡傳輸?shù)倪^程中為流量提供各類的網(wǎng)絡增值服務，來保障數(shù)據(jù)包的安全性、合理性以及可傳遞性，常見的網(wǎng)絡服務有防火墻、負載均衡設備、DDOS 流量清洗設備、入侵防御系統(tǒng)等等。數(shù)據(jù)通信網(wǎng)絡不僅需要將流量引導至對應網(wǎng)絡服務功能的處理節(jié)點，還需要按照業(yè)務需求的一定順序對數(shù)據(jù)包進行引導，才能滿足當前多樣化融合業(yè)務的需求。

1.1 傳統(tǒng)的功能服務鏈實現(xiàn)方式

在傳統(tǒng)網(wǎng)絡架構場景下，通常網(wǎng)絡是根據(jù)業(yè)務所需的服務類型就近放在業(yè)務接入側附近，并通過網(wǎng)絡服務之間的一系列隧道和引流策略配置才能夠按照一定順序將網(wǎng)絡服務連接起來（常見的配置有策略路由、VxLAN 隧道或者GRE隧道等），而這種部署和運維模式存在諸多問題。

a）網(wǎng)絡服務與基礎網(wǎng)絡設備之間的物理連接強耦合。無法實現(xiàn)多種業(yè)務在服務節(jié)點之間自由地選擇服務順序。

b）配置復雜。需要在整個轉發(fā)路徑中逐個對關鍵網(wǎng)絡節(jié)點進行手動配置，才能將流量引導至預期的下一個節(jié)點，而城域網(wǎng)網(wǎng)絡設備通常要綜合承載大量業(yè)務，在進行配置時一方面可能因運維人員配置錯誤出現(xiàn)較大面積的網(wǎng)絡故障風險，另一方面多業(yè)務之間的配置可能存在沖突，導致無法滿足多業(yè)務在網(wǎng)絡設備中反復引流的情況。

c）變更和新業(yè)務下發(fā)不靈活。隨著業(yè)務模式的不斷變更和網(wǎng)絡服務能力的快速發(fā)展，無論是需要為企業(yè)客戶進行流量修改還是增加或刪除任一網(wǎng)絡服務節(jié)點，都需要在數(shù)個城域網(wǎng)絡設備上進行配置修改操作，變更流程復雜、耗時長。

d）數(shù)據(jù)包在這個過程中多次進入不同的隧道，反復在路徑中封裝、拆封裝，對網(wǎng)絡設備的復雜性具有較高要求，且多次封裝也會影響數(shù)據(jù)包的轉發(fā)效率。

1.2 基于SRv6的功能服務鏈關鍵技術

SRv6 是基于IPv6 和Segment Routing 的新一代IP承載協(xié)議，它可以統(tǒng)一傳統(tǒng)的復雜網(wǎng)絡協(xié)議，實現(xiàn)網(wǎng)絡協(xié)議的簡化和應用級SLA 的保證。基于SRv6 的功能服務鏈（SFC）是一種通過在原始報文中添加SRv6路徑信息來引導報文按照指定的路徑依次經(jīng)過網(wǎng)絡服務設備的技術。SRv6 TE Policy 通過Segment List 指示網(wǎng)絡中的設備遵循指定的路徑轉發(fā)，非常適合業(yè)務鏈場景。將網(wǎng)絡轉發(fā)路徑上的關鍵節(jié)點以及代表網(wǎng)絡服務的SID 按照所需順序封裝到SRv6 TE Policy 中，如果數(shù)據(jù)包被重定向到SRv6 TE Policy 中，則SRv6 TE Policy 的Segment List 由頭端添加到數(shù)據(jù)包上，網(wǎng)絡的其余設備執(zhí)行Segment List中嵌入的指令。

SRv6近年來已經(jīng)逐漸標準化，其基礎協(xié)議主要包括SRv6 報文封裝格式SRH、SRv6 網(wǎng)絡編程框架、IGP基礎路由擴展、BGP VPN 擴展、OAM 監(jiān)控、BGP-LS北向接口、PCEP 北向接口、YANG 接口等，這些基礎協(xié)議可以支持完成基于SRv6的VPN、路徑規(guī)劃、鏈路保護、SDN 管控等基礎業(yè)務部署，相關協(xié)議標準化基本完成，其余協(xié)議標準也基本達到工作組文稿狀態(tài)。而SRv6 SFC 報文封裝格式已經(jīng)正式發(fā)布為RFC8754，關于SRv6 SFC 的OAM 監(jiān)控、靜態(tài)代理、動態(tài)代理等能力的標準化仍在草案階段，相關的標準化進程正在由主流設備廠商和運營商聯(lián)合推進。對國內主流網(wǎng)絡設備供應商的技術調研表明，華為、中興、烽火等廠商基本都已經(jīng)實現(xiàn)了SFC 的基本功能設計、產(chǎn)品能力開發(fā)和管控方案設計，而關于SFC 功能的代理方案和保護方案，各廠商產(chǎn)品仍處于不斷發(fā)展和推進的進程當中。

SRv6 SFC服務鏈網(wǎng)絡包括以下角色。

a）業(yè)務分類節(jié)點（Service Classifier，SC）。SC位于SRv6 SFC 服務鏈網(wǎng)絡邊緣，通常為運營商接入側設備，作為服務鏈路徑的源節(jié)點，通過指定接口、五元組或者DSCP 等標識，將業(yè)務數(shù)據(jù)引入特定的SRv6 TE Policy隧道中進行轉發(fā)。

b）應用服務節(jié)點（Service Function，SF）。SF 為網(wǎng)絡提供各類增值服務的節(jié)點，可以為網(wǎng)絡服務專用設備，也可以是部署在運營商云資源池的虛擬網(wǎng)絡服務節(jié)點。

c）服務鏈轉發(fā)節(jié)點（Service Function Forwarder，SFF）。SFF 作為SF 的服務鏈代理，根據(jù)SRv6 封裝信息，將收到的報文轉發(fā)到SFF關聯(lián)的若干SF上。SF處理報文后，將報文返回給SFF，SFF 決定是否繼續(xù)轉發(fā)報文。

d）服務鏈路徑（Service Function Path，SFP）。SFP為根據(jù)需求計算出的一條報文路徑，可以精確地指定每一個SF 的流量流經(jīng)順序。在SRv6 網(wǎng)絡中，一個SRv6 TE Policy可以作為一個業(yè)務鏈路徑SFP。

圖1為簡化后的SRv6 SFC 應用場景，SC 從用戶網(wǎng)絡接收到原始報文，通過匹配五元組等分類信息進行分類，分類后的流量被重定向到SRv6 TE Policy 中。分類器根據(jù)SRv6 TE Policy 進行SRv6 報文封裝，SRH信息里除了SRv6 TE Policy 路徑信息以外，還有代表VPN業(yè)務或公網(wǎng)業(yè)務的Tail End.DT4 SID。

圖1 SRv6 SFC的典型組網(wǎng)方案示意

SRv6 SFC 技術可以很方便地滿足云網(wǎng)中靈活引導流量的需求。SFC 技術利用SRv6 報文中可編程頭部SRH 將業(yè)務所需的各種服務節(jié)點按需、按順序融合到一條逐跳指定路徑的SRv6 Policy 中，來滿足網(wǎng)絡中不同業(yè)務對網(wǎng)絡的需求，可以很好地解決上述傳統(tǒng)方案為部署和運維帶來的諸多問題。

a）接入設備根據(jù)業(yè)務方的不同需求，將對應流量根據(jù)SRv6 Policy 引導至滿足條件的SRv6-TE 隧道中，流量會根據(jù)控制器或編排器提前編排好的路徑逐跳進行IPv6 尋址轉發(fā)，實現(xiàn)不同業(yè)務可在同樣的數(shù)據(jù)網(wǎng)絡中按需按序訪問服務節(jié)點。而網(wǎng)絡服務設備之間只需要保證IPv6 網(wǎng)絡可達，擺脫物理連接帶來的限制，可以很好地解決傳統(tǒng)方案中網(wǎng)絡設備強耦合的問題。

b）運維人員僅需要在流量進入運營商網(wǎng)絡的接入設備上進行SRv6 SFC 配置，由接入設備根據(jù)SFC 配置為指定流量封裝SRH 頭部后進行后續(xù)轉發(fā)，網(wǎng)絡其他設備無需感知服務路徑需求或者配合業(yè)務對服務編排的需求進行一系列配置，可以極大地解決傳統(tǒng)方案的配置復雜性問題。

c）由于僅接入設備需要進行配置和流量封裝，當業(yè)務需求需要變更時，僅需對接入設備進行一次SFC配置重新下發(fā)的操作即可，運維人員可以快速靈活地對服務鏈業(yè)務進行變更。

d）數(shù)據(jù)包僅在接入設備進入SRv6 隧道時進行一次封裝，極大地優(yōu)化了傳統(tǒng)方案中多次封裝的轉發(fā)效率問題。

2 SFC網(wǎng)絡實現(xiàn)方案

智能城域網(wǎng)采用虛擬化、云化技術，網(wǎng)絡服務（如BRAS/防火墻等）由就近在業(yè)務側部署轉向按省市構建城域網(wǎng)絡能力資源池集中部署的方式，以此來滿足智能城域網(wǎng)業(yè)務綜合承載、算力下沉、算力統(tǒng)一編排的需求，實現(xiàn)多專業(yè)網(wǎng)元在網(wǎng)絡能力資源池中的統(tǒng)一承載，并滿足電信級網(wǎng)元的高性能與高可靠性承載要求。在城域網(wǎng)絡中，可利用SRv6 SFC 技術構建智能、高效的業(yè)務鏈能力，實現(xiàn)云、網(wǎng)、安業(yè)務的融合與隨選，提供業(yè)務自助訂購、彈性調整、自動開通的能力。由網(wǎng)絡服務編排系統(tǒng)對一條起始于CPE 設備、終結于城域網(wǎng)核心設備的端到端SRv6 隧道進行編排，逐個、有序地將網(wǎng)絡服務節(jié)點在SRH 中進行排序，引導用戶流量按需按序地經(jīng)過網(wǎng)絡能力資源池中的各項服務。根據(jù)當前城域網(wǎng)絡現(xiàn)狀，有如下幾個網(wǎng)絡方案。

2.1 企業(yè)接入CPE且支持SRv6 Policy場景

隨著SRv6 技術的不斷發(fā)展，部分政企接入設備CPE 或者物理BRAS 已支持SRv6 Policy 功能。通過運營商統(tǒng)一開放的門戶，客戶可以自定義選擇網(wǎng)絡能力資源池支持的各項服務并決策服務生效的順序，由網(wǎng)絡服務編排系統(tǒng)根據(jù)定制化需求以及當前資源池負載情況、能力支持情況選擇一到多個資源池為客戶創(chuàng)建物理或虛擬服務，并將編排好的服務鏈隧道信息通過網(wǎng)管系統(tǒng)下發(fā)到CPE 設備上，即CPE 作為SFC 的業(yè)務分類節(jié)點。

圖2 為CPE 作為SC 的SFC 網(wǎng)絡方案示意，政企客戶的數(shù)據(jù)流通過接入設備CPE 進入運營商網(wǎng)絡，根據(jù)企業(yè)客戶源地址、染色情況、DSCP 等標記進行分類，CPE 將分類后的流量重定向到SRv6 TE Policy 中，以Policy 定義的路徑作為SRH 插入到業(yè)務數(shù)據(jù)包中，并將流量發(fā)送到運營商城域網(wǎng)絡中，轉發(fā)至對應的網(wǎng)絡能力資源池。

圖2 CPE作為SC的SFC網(wǎng)絡方案示意

2.2 無CPE或者CPE不支持SRv6場景

在現(xiàn)網(wǎng)場景下，部分政企接入設備CPE 或者物理BRAS 建設較早，設備原始能力無法支持SRv6 TE Policy 能力，在該場景下選擇將分流編排的動作轉移到城域網(wǎng)接入設備上完成，業(yè)務數(shù)據(jù)流流經(jīng)CPE 等設備并通過二層或三層轉發(fā)進入到運營商智能城域網(wǎng)接入設備（MAR），業(yè)務或者運維人員通過統(tǒng)一管控門戶定制增值服務需求，控制器將編排好的Policy 提前下發(fā)至城域網(wǎng)接入設備。圖3 給出了MAR 作為SC 的SFC 網(wǎng)絡方案示意，可根據(jù)用戶數(shù)據(jù)包五元組或者接入端口對業(yè)務流量進行分類染色，由城域網(wǎng)接入設備按照設備上Policy 規(guī)則將染色后的流量重定向到SRv6 TE Policy中，城域網(wǎng)其他設備根據(jù)報文外層頭部信息將流量轉發(fā)至預期的第一個對數(shù)據(jù)流進行處理的網(wǎng)絡服務節(jié)點。

圖3 MAR作為SC的SFC網(wǎng)絡方案示意

2.3 網(wǎng)絡服務支持SRv6 Policy場景

根據(jù)上述CPE 分流或城域接入設備分流的方案，城域網(wǎng)可以將業(yè)務流量通過重封裝的方式定向轉發(fā)到網(wǎng)絡資源能力池中的網(wǎng)絡服務節(jié)點。網(wǎng)絡服務可能承載在專用集成硬件上，也可能承載在通用硬件上容器化部署，在該服務節(jié)點支持SRv6 Policy 的情況下，帶SRH 頭的業(yè)務流量直接轉發(fā)至網(wǎng)絡服務節(jié)點，網(wǎng)絡服務節(jié)點根據(jù)自身能力和配置情況對流量進行處理，且由于該節(jié)點支持SRv6，該節(jié)點同時需要對SRv6 頭部進行處理，即執(zhí)行SL 減一的操作并將SRH中下一個SID 封裝到外層頭部的目的地址中，用于標識流量的下一個目的地。下一個服務節(jié)點收到數(shù)據(jù)報文后依然根據(jù)能力對數(shù)據(jù)流量進行處理，并同樣對SRv6進行頭部處理。

以此類推，直到流量經(jīng)過服務鏈指定的最后一個服務節(jié)點后，根據(jù)SRv6 協(xié)議基本原理，由最后一個服務節(jié)點（SRv6 隧道尾節(jié)點）將報文原始目的地址封裝到最外層頭部的目的地址，并將流量根據(jù)路由表尋址轉發(fā)至運營商公網(wǎng)。

2.4 網(wǎng)絡服務不支持SRv6 Policy場景

現(xiàn)網(wǎng)中存在大量的歷史采購或者建設的專用硬件服務設施，該類設施不支持SRv6 功能，在服務鏈編排中如果需要使用該類設備的網(wǎng)絡服務能力，則需要城域網(wǎng)網(wǎng)絡設備為該類服務提供代理，即代理網(wǎng)絡設備根據(jù)收到報文的SRv6 SID，將報文依次轉發(fā)至SID關聯(lián)的各類服務上進行處理。轉發(fā)過程如下：代理網(wǎng)絡設備收到報文后，由于服務無法識別SRv6 報文，需要將SRv6 報文解封裝，去除IPv6 基礎頭部和擴展的SRH 頭部，把用戶網(wǎng)絡的原始數(shù)據(jù)報文轉發(fā)給網(wǎng)絡服務節(jié)點進行處理。處理后的流量回到代理網(wǎng)絡設備后，根據(jù)手工配置或動態(tài)記錄的SID 列表為處理后的業(yè)務報文重新封裝SRv6 頭部，使報文繼續(xù)在SRv6 SFC網(wǎng)絡中轉發(fā)。

為了實現(xiàn)服務代理，需要在代理網(wǎng)絡設備上創(chuàng)建End.AS SID 或者End.AM SID 類型的SID，并在控制器上進行服務編排時，將該SID 編排進SRv6 TE Policy中，用于標識SRv6 服務鏈靜態(tài)代理的某個網(wǎng)絡服務。End.AS SID 對應的轉發(fā)動作是：在報文從該節(jié)點發(fā)送到服務節(jié)點之前，先解封裝報文，然后根據(jù)End.AS SID關聯(lián)的出接口轉發(fā)報文。在報文從服務節(jié)點發(fā)送回到本代理節(jié)點之后，根據(jù)報文的入接口（或入接口和VLAN）查找關聯(lián)的End.AS SID，并為報文重新添加SRv6封裝。

3 SFC網(wǎng)絡管控方案

為實現(xiàn)云、網(wǎng)、安等業(yè)務協(xié)同，面向業(yè)務提供清晰可用的自助訂購、彈性調整、快速開通的網(wǎng)絡服務能力，需要通過網(wǎng)絡服務編排器協(xié)同網(wǎng)絡設備控制器、網(wǎng)管系統(tǒng)以及資源池控制器協(xié)同配置，實現(xiàn)端到端的服務鏈開通和業(yè)務開通能力。各系統(tǒng)分別負責的管控能力模塊如下。

a）網(wǎng)絡服務編排系統(tǒng)。

（a）計算滿足業(yè)務要求SLA 的可用路徑以及備用路徑。

（b）從用戶界面獲取業(yè)務所需的服務內容以及順序、質量等網(wǎng)絡服務要求。

（c）統(tǒng)籌網(wǎng)絡信息，分配VRF、color、VLAN 等資源。

（d）生成并編排服務鏈和業(yè)務路徑信息，形成SRH 配置并統(tǒng)籌整網(wǎng)控制器對網(wǎng)絡進行配置、管理、調優(yōu)等。

b）網(wǎng)絡設備控制器（SDN控制器）。

（a）收集網(wǎng)絡網(wǎng)元、拓撲、鏈路等信息，繪制可視化網(wǎng)絡拓撲。

（b）業(yè)務VPN開通，配置下發(fā)。

（c）SRv6路徑計算，Policy配置增刪改查。

（d）服務鏈代理配置增刪改查。

c）網(wǎng)管系統(tǒng)。

（a）收集設備告警并對各類告警進行分類和預處理。

（b）對設備狀態(tài)、標簽容量、鏈路狀態(tài)等網(wǎng)絡資源進行監(jiān)控。

（c）對整網(wǎng)流量水線、網(wǎng)絡質量等進行監(jiān)控。

（d）自動化sop執(zhí)行等。

d）資源池控制器。

（a）云資源池內網(wǎng)絡監(jiān)控。

（b）云內網(wǎng)絡服務狀態(tài)監(jiān)控。

（c）網(wǎng)絡服務創(chuàng)建、修改、刪除。

（d）云內網(wǎng)絡設備配置查詢、修改、刪除等。

圖4 給出了智能城域網(wǎng)管控方案示意，一條完整的業(yè)務功能服務鏈的編排預期應包括以下幾個流程。

圖4 智能城域網(wǎng)管控方案示意

a）在業(yè)務第一次創(chuàng)建時，網(wǎng)絡服務編排系統(tǒng)首先通過網(wǎng)絡設備控制器和資源池控制器分別獲取承載網(wǎng)絡、資源池網(wǎng)絡和服務信息，匯總獲得整網(wǎng)網(wǎng)絡能力全景圖。

b）根據(jù)用戶輸入的業(yè)務編排要求，選擇資源池中已有的服務節(jié)點，或通知資源池在空閑虛機上進行新增服務的創(chuàng)建。

c）獲取全部服務節(jié)點以及網(wǎng)絡設備的SRv6 能力，如果存在不支持SRv6 的服務節(jié)點，網(wǎng)絡服務編排器還需要為其就近選擇網(wǎng)絡設備進行代理，并為其分配代理SID 以及生成相應的代理配置，通知控制器進行代理配置下發(fā)。

d）網(wǎng)絡服務編排系統(tǒng)根據(jù)資源占用情況為業(yè)務選擇color，并通知網(wǎng)絡設備控制器通過路由策略對需要引流的業(yè)務流量進行染色。

e）網(wǎng)絡服務編排系統(tǒng)向網(wǎng)絡設備控制器下發(fā)算路請求，通知網(wǎng)絡設備控制器根據(jù)客戶的定制需求（服務需求、SLA需求、時延需求等）進行預算路。

f）網(wǎng)絡設備控制器確定SRv6路徑后，網(wǎng)絡服務編排系統(tǒng)將轉發(fā)路徑的關鍵節(jié)點與網(wǎng)絡服務SID 或者代理SID 信息、業(yè)務color 染色信息等進行整合，生成SRv6 SFC 配置，并通過網(wǎng)絡設備控制器進行配置下發(fā)。

至此，一條業(yè)務功能服務鏈創(chuàng)建成功，業(yè)務流量進入分流設備后會根據(jù)設備上所配置的SRv6 Policy選擇對應的業(yè)務服務鏈進行轉發(fā)；業(yè)務鏈初步創(chuàng)建成功后，網(wǎng)絡服務編排系統(tǒng)還需要根據(jù)網(wǎng)管以及資源池控制器的網(wǎng)絡、服務、資源池等健康狀態(tài)信息實時進行服務鏈配置的自動調整；當業(yè)務需求發(fā)生變更和停止時，系統(tǒng)也需要支持對服務鏈的手動修改以及刪除能力。

4 結束語

隨著工業(yè)互聯(lián)、自動駕駛、行業(yè)云網(wǎng)、智慧園區(qū)、元宇宙、云游戲等互聯(lián)網(wǎng)+新業(yè)態(tài)的持續(xù)發(fā)展，各行業(yè)對運營商網(wǎng)絡定制化和差異化服務的需求會逐漸提高。通過本文的智能城域網(wǎng)功能服務鏈調度方案，可以實現(xiàn)運營商網(wǎng)絡快速適應流量多樣化、算力下沉的需求，為不同業(yè)務提供多種多樣的、可靈活選擇的大帶寬、低延時、靈活路徑隨選、安全可信等網(wǎng)絡增值服務能力，滿足云專線、云間高速、云邊協(xié)同、政企專線等業(yè)務的承載需求，打造簡潔、敏捷、開放、融合、安全、智能的云網(wǎng)融合新型信息基礎設施。本方案有效解決了傳統(tǒng)網(wǎng)絡服務部署方式設備冗余、開通慢、配置復雜等問題，隨著SRv6 技術的進一步發(fā)展和應用，運營商網(wǎng)絡將以更簡單、精細的服務能力助力各行各業(yè)應用流量蓬勃發(fā)展。