电信云网络对云网融合的要求及其架构探讨

云网融合及电信云网络概述

云网融合是业务需求和技术创新并行驱动带来的网络架构深刻变革。云网融合包含云和网两个方面：以云为核心，云计算业务的开展需要强大的网络能力的支撑；以网络为核心，要借鉴云计算的理念实现网络资源的优化。随着云计算业务的不断落地，网络基础设施需要更好地适应云计算应用的需求，以确保网络的灵活性、智能性和可运维性。

云技术经过十多年的发展，IaaS/PaaS/SaaS三层模型架构已经成型。云技术的普及以及计算能力的提升，使得电信网元采用云技术来承载成为可能。这样一方面使得硬件通用化、软硬解耦，运营商可以大幅降低CAPEX，另一方面也可以通过网元的软件化来加速新业务的面市周期，提升网络的弹性、利用率，以及峰值情况下的服务质量。云的多租户、自动化网络管控、可视化运维，以及5G技术采用的网络切片功能的需求共同推动了SDN技术，从而使得在IaaS层面计算、存储、网络可以完全实现自动化的编排并即刻生效。DC内的SDN广泛使用overlay技术，支持网络软硬解耦、多厂商部署的场景，也将SDN的重心放在云网络虚拟化的支持上，而非参与网络拓扑的故障收敛处理。

电信云是云网融合的一个场景。电信云基于虚拟化、云计算等技术实现电信业务云化，以NFV、SDN为主要技术，以构建一个资源可全局调度、能力可全面开放、容量可弹性伸缩、架构可灵活调整的云化平台。电信云所需的自动化网络功能，是构建该云化平台的关键技术之一，它保证了运营商网络在云化转型过程中多个层面的网元之间通信的自动化调整、运维和网络安全防护，促使运营商最终实现网络的软化和云化。

电信云网络特点及其对云网融合的要求

电信云网络具有其自身的特点，对云网融合的要求与IT网络有很大不同，主要体现在如下几个方面。

虚拟终端类型多样，通信模式各有不同

电信云需要同时支持多种模式通信，网络功能复杂。

电信网元虚拟化场景多种多样，总得来说可以分为三类：负责控制、策略管理、网络运维以及计费的信令面网元，负责媒体业务转发和路由的用户面网元，以及同时具备以上两者功能的混合网元。

信令面网元的通信流量小，消耗带宽低，控制功能强，占用虚机的CPU资源大，一般推荐使用OVS类型的虚机端口进行通信，比如vPCRF；用户面网元流量大、带宽要求高，并且对时延较为敏感，比如vFW等，一般推荐SRIOV的部署模式；混合网元兼有信令面网元和用户面网元的特点，需要同一个虚机上部署多个、多种端口类型，也即多个SRIOV端口和OVS端口共存，例如PGW的虚拟化形式vGW。

根据运营商的特定要求，某些网元需要部署在物理服务器中，这样网络还需要支持裸金属服务器的网络通信；某些网元需要部署在容器中，还需要支持容器网络的通信。

可靠性、容灾要求高

电信网元不同于IT网元，对可靠性和容灾有严苛要求。一般来说，其可靠性要达到99.999%电信级别。这就要求电信云网络从各个层面提供可靠性和容灾保护，包括服务器设备、网卡设备、交换机设备、交换机链路、网关设备，至少要提供1+1的主备冗余。

除此之外，还要提供高效的备份恢复能力，提供异地容灾能力。对虚拟层面，配置虚机的重生和自愈等要提供自动化的网络调整能力。

故障检测和倒换时间要求苛刻

电信云网络对可靠性和容灾有着超高的要求，对故障检测、设备倒换有着超高的时间要求。例如，网络设备版本升级或主备倒换，对通信业务的影响不能超过50ms；要求网络设备启用BFD机制，实现链路的快速双向检测，当网络故障时，能将业务及时切换到备用设备和备用链路上。这些都是IT云不具有的。

网络安全要求高

电信网元的安全性要求极高，从物理组网层面到虚拟网络层面都有严苛的要求。

一般来说，物理组网要进行严格的组网隔离，部分运营商要求多层级的隔离。例如第一层级实现业务网络、存储网络和管理网络的隔离，并使用防火墙对跨不同的网络通信的防护。

在业务网络内部，又分为“对外暴露区域”“隔离区域”和“核心管控区域”，不同的的区域之间通过不同类型的防火墙实现等级保护；管理域和存储域又要划分不同的网络平面，不同的网络平面的互访严格禁止。

流量监测有特定要求

传统的电信网络有监测的要求，电信网络云化之后继承了这一要求；另外，电信云为了实现自动化的运维和网络分析，需要对网络中的信令和数据实时采集和分析。鉴于以上两个方面的驱动，在电信云网络中，需要具备精准、自动的数据布控和采集能力，特别是电信网元虚机终端在迁移和重生的时候，流量采集的策略要实现自动化跟随调整。

此外，采集的流量输送上也存在复杂的要求，例如，流量要是同时送外多个目的地，需要在多个分析仪上负荷分担（媒体面流量大，一个分析探针处理来不及处理，需要多个并行工作）。

网络协议要求高

电信网云多种多样，其对通信协议的要求也各有不同：静态路由、动态路由OSPF/ISIS/BGP、链路监测BFD，以及存在多个企业APN和业务链情况下，还要支持MPLS、GRE、QinQ等协议。

网络服务质量要求高

电信云网络中多种类型通信模式并存，不同的通信平面对网络的服务质量要求各不相同。一般来说，信令面的通信QoS要求高于媒体面的通信，媒体面的通信又区分多种业务等级，比如VoIP和上网业务。因此电信网络需要从承载层面支持QoS的保证机制，根据不同的业务需求，为其配备不同的QoS等级，在网络拥塞的情况下能保证高优先级业务的优先开展。

网络带宽要求高

电信云中存在媒体面的路由型网元，比如vGW、vBRAS，另外随着5G业务的增加，以及固网光进铜退带来的流量爆炸式的增长，这类网元的带宽需求也呈现指数级的暴涨。而这类网元是部署在服务器上的，其网络流量最终通过电信云网络输送到骨干网或者Internet，对电信云网络提出了很大的带宽要求。特别是在存在业务链的情况下，同一个流量会在电信云的数据中心内部迂回2~6次，造成流量几倍级的增长，对电信云网络的转发能力造成了极大的挑战。

网络动态调整的频率相比公有云低

电信云中的网元相比于公有云应用有一个特点，就是网元虚机数量和型号等都是提前规划好的，而且为了保证电信网元通信的可靠性和业务尽量不受影响，其部署、撤销、弹缩的操作频度相比于公有云的虚机也弱不少。从而，自动化要求相比于IT云的要求稍弱。

电信云网络部署推荐架构

电信云网络作为云网融合的一种场景，除了具备云网的一般特点之外，还有上述独有的特点和需求。根据电信云的特点，我们推荐的组网架构形式如图1所示。

电信云网络架构纵向分为DC GW、Spine和Leaf交换机三层。在DC GW外侧接防火墙和外网，在Leaf交换机接服务器，交换机采用堆叠或者ECMP（Equal Cost Multiple Path，等价多路径）部署方案以提供高可靠性。横向根据功能不同，分为计算域、存储域和管理域，某些特定需求下还要从管理域划出特定的带外管理域。为了保证安全性，管理域、存储域与计算域的通信要经过管理防火墙的过滤和保护。

计算域的服务器上启用虚机、裸金属服务器或者容器，用于安装电信虚拟网元VNF，VNF之间及对外的通信采用云网联动的overlay网络，overlay网络通过SDN集中控制。VxLAN隧道封装，根据虚机的动态创建、销毁、扩缩容、重生及自愈，动态调整虚拟网络以满足VNF的通信要求；根据VNF的安全等级不同，又将其隔离为Exposed Zone（暴露区域）、DMZ Zone（隔离区域）和Core Zone（核心管控区域）。Exposed Zone的VNF主要是复杂的对外通信的路由型网元，比如核心网的vGW；DMZ Zone中建议部署不直接对外暴露但是需要与Exposed Zone网元直接通信的VNF，例如vMME等；Core Zone的安全等级最高，主要部署核心签约数据网元等，比如HSS等，不同安全等级的Zone通信需要经过防火墙保护。

存储域主要部署存储服务器或磁阵，用于提供云存储，供VNF按需申请消费；控制域主要安装云控制节点和SDN控制器，用于实现对云、对网的联动控制和编排。

业界内已经对DC外部的P骨干网络、移动回传、城域、DCI underlay网络的演进达成一致认识——采用SR作为演进技术路线。对于DC内部采用VxLAN的技术构建overlay的虚拟网络。DC内部可以视为一个L2VPN域，VNF相当于vDC L2 VPN中的一个客户设备，特别是vRouter类的VNF，例如vGW或者vBRAS，是WAN网络的一部分，因此WAN SR的路径编排需要包括此类VNF。

业界当前正在考虑如何对vDC内外采用同一技术，实现网络的统一演进。中兴通讯推荐使用SR over VxLAN的方式（见图2）。层次上，将DC外部网络和DC内部的overlay网络实现互通和统一编排，既满足业务网络的统一协调和控制，又对DC内部的物理网络的影响降到最低，避免对底层网络功能过分依赖。

鉴于电信云网络的特殊架构和需求，NFV/SDN技术在网络中的部署也具有差异性，运营商和设备商需要针对电信云的特殊要求和关键功能，为其研制特定的方案并开发特定的功能。

电信云的虚拟化技术也在日新月异的发展中。智能网卡和业务卸载技术、容器技术正在加速成熟并不断应用于电信云的虚机化改造中；带内遥测技术、智能化流量采集和分析技术、网络自检和自愈技术都在快速发展，为满足运营商的智能运维提供了新思路。另一方面，我们也必须认识到，电信网络云化的构建不是一蹴而就的事，需要由简入繁一步一步地试点实践和探索。