移动服务提供商(SP)正在快速由4G向5G演进。但由于4G网络里的部署了大量来自不同厂商的、不同品牌的硬件设备,移动运营商部署网络服务时,会遇到不灵活、耗时长、不易管理的难题。
于是,移动服务提供商们纷纷开始转向新的部署方式,即在标准虚拟平台上基于软件的部署方式。这样的部署方式带来诸多好处,包括可以整合多种网络功能、可以缩短服务交付时间、可以继续保持竞争力等。
基于软件的新部署方式提出更高要求
为了应对激增的移动、IoT和5G业务的需求,移动服务提供商们开始采用虚拟化的基础构架、SDN(软件定义网络)技术和NFV(network function virtulization,网络功能虚拟化)解决方案。
SDN对网络控制平面和转发平面进行抽象化处理,实现了可编程的网络;NFV是指一种操作框架,目的是为了将部署在COTS硬件上的、在虚拟基础架构中的VNF软件设备编排和自动化起来,然后进行VNF设备的全生命周期管理。NFV依赖SDN原理,把网络操作分成用户平面、控制平面、管理和编排(MANO)平面。
因此,这种新的软件部署方案使SP们有机会降低网络服务的设计复杂度、加快端到端的服务交付速度。但为了实现这种软件策略的效果,SP们需要寻求新的集中式NFV管理和编排(NFV- MANO)解决方案,以培育VNF生态系统,促进网络服务设计和交付,并实现SP运营商的业务目标。
NFV-MANO解决方案需要遵循行业开放标准,从而可以顺利地加载多个厂家的VNFs,在服务链中对它们进行协调,与虚拟基础设施管理器(VIMs)进行互操作,并通过实例化终止生命周期管理网络服务和VNFs,在它们之间实现自动伸缩和自动修复。
此外,这种新的软件方案必须能够解决额外的网络安全问题,防御来自内部和外部的多向量攻击。
我们知道,基于IP的软件部署方案使得移动基础构架资源和用户服务会成为攻击者的目标——这些攻击可以来自上亿的IoT终端和移动设备终端。因此,SP们需要在他们的VNF组合中包含更多可适应和可编程的安全解决方案,并部署它们来保护网络服务的可用性、提高用户体验。
NFV框架的进展
欧洲电信标准化协会(ETSI)和Linux基金会(LF)都在积极地开发和培育NFV框架的参考架构和标准体系。ETSI管理下的OSM(Open Source MANO)和LF管理下的ONAP(Open Network Automation Platform)是目前由服务运营商和网络厂商们所支持的、最重要的开源NFV项目。
在ETSI NFV架构中,NFV MANO提供核心操作功能,并由四个部分组成:NFV编排器(VNF Orchestrator)、VNF管理器(VNF Manager)、虚拟化基础设施管理器(VI Manager,Virtualized Infrastructure Manager)以及这些功能模块与其他操作系统之间的互通。
在LF NFV架构中,ONAP包含所有由ETSI NFV框架指定的MANO层功能。此外,它还提供一种网络服务的设计框架以及故障、配置、计帐、性能和安全功能(FCAPS)。
在ETSI NFV框架下,NFV编排器、VNF管理器和VI管理器提供了主要的NFV MANO功能。NFV MANO主要有四个方面的职责,为服务提供商们带来相应的好处,譬如快速的业务创新、弹性的网络功能部署、提升的资源利用率、资本性支出和运营成本的降低;
- 与操作系统、OSS/BSS系统的交互;
- 在网络服务中编排VNF,在虚拟资源上部署和运营VNF和网络服务实例,并对VNF和网络服务实例进行生命周期管理;
- 与网元管理(EM)进行交互,从而管理其逻辑功能,并确保VNF服务包括VNF故障、配置、计帐、性能和安全功能(FCAPS);
- 与网络功能虚拟化基础设施(NFVI)交互,从而在VNF部署的地方,实现分配、管理和编排虚拟资源,包括计算资源、存储资源、网络资源等。
A10提供NFV-MANO集成解决方案
A10支持SPs的软件策略,并以基于ETSI NFV规范的VNF包的形式交付A10 vThunder软件设备。vThunder软件镜像与基于TOSCA的VNFD(VNF描述符)和其他配置文件一起打包,以支持与NFV-MANO解决方案的完全互操作性。
具体地说,A10的解决方案具有以下的特点:
- 在ETSI NFV框架内得到证明的VNF
通过遵循ETSI NFV规范,NFV-MANO解决方案可以接受并自动将A10 vThunder VNF包装载到其VNF目录中。然后,NFV-MANO可以动态编排和部署vThunder,将其作为多供应商或单用途网络服务中的应用程序和安全VNF实例。vThunder的VNFD还包括NFV-MANO执行VNF实例扩展、修复和终止功能(除了onboarding和instantiation)所需的生命周期管理信息。
A10 vThunder VNF包已经和众多领先的NFV- MANO解决方案进行了集成和验证——包括爱立信 Ericsson cloud manager、NEC Netcracker HOM、思科CISCO NSO、红帽OpenStack等等——实现了ETSI NFV框架内的完全互操作性。
A10网络参与了ETSI NFV 插件测试 ,测试了其端到端VNF生命周期运行能力,支持网络可编程性和云服务编排(见图1)。
图1:ETSI NFV-MANO架构框架中的A10 vThunder VNF解决方案和领先的NFV-MANO解决方案
- 具有整合服务功能的高性能体系结构
在第二次和第三次ETSI NFV插件测试中,A10 vThunder CFW进行了ADC、CGNAT和部分Gi-Firewall的测试,以确保应用程序交付的安全性、增强在多供应商网络服务中的服务可用性。
vThunder CFW融合了ADC、CGNAT和L4-L7防火墙功能,是应用和安全的融合解决方案。利用已经得到市场验证的A10的先进操作系统核心, 虚拟设备可以提供高性能的100 Gbps带宽处理能力。
A10 vThunder CFW提供了扩展和保护移动基础设施和用户免受各种攻击和服务中断所需的性能和通用性。
- 可作为Gi/SGi防火墙部署,在移动基础设施与互联网之间的Gi-LAN上提供统一的CGNAT、状态防火墙、集成DDoS保护、DPI和L4-L7服务。
- 可作为带有细粒度SCTP过滤功能的GTP防火墙,以保护移动基础设施免受访问网络和漫游伙伴的攻击。
- 在无线接入网上,vThunder可以部署在控制和数据平面上保护不受信任的回程流量,并通过扩展提供出色的IPsec VPN性能(参见图2)。
图2:用于保护移动基础设施的A10 vThunder部署场景
A10 vThunder还可以使服务提供商能够提供增值服务,并推动新的服务收入。例如,当作为Gi/SGi防火墙部署时,SP可以根据订阅者类型或流量上下文应用动态流量导向策略,将数据流导向增值服务(VAS)点,以更好地进行流量管理,并获得不同的订阅者体验(参见图3)。
图3:A10 vThunder部署场景,用于每个订阅者的流量控制
- 简化操作和管理,具有可视性
为了进一步简化和自动化运维任务,A10功能齐全的RESTful API提供了与第三方管理控制台的快速集成,从而有效地操作一个或多个vThunder设备。
A10的FlexPool™许可支持软件基于订阅的能力池模型, 提供了极大的灵活性,允许运营商随时按需分配和分发多个vThunder。A10的全许可模式与FlexPool一起,极大地降低了基于软件的网络进行操作和许可管理的复杂性。
A10 Harmony®控制器支持对A10 vThunder®设备的集中管理。Harmony Controller可以对部署在服务提供商网络中的vThunder设备实时分发应用程序安全策略、备份和配置恢复,同时提供对访问服务的可视化管理及分析功能。
总结
A10公司与领先的NFV-MANO厂家合作,通过与NFV编排及自动化解决方案集成,实现A10公司软件Thunder在SP虚拟化基础构架上的快速部署,满足其扩展要求,保护移动基础构架和用户免受多向量攻击的危害,实现“永续在线”的服务要求。
与ETSI NFV兼容的A10 vThunder VNF设备可以与众多领先的NFV- MANO解决方案完全集成,为移动服务提供商提供集中编排和自动化的快速网络服务创新、动态应用安全交付和新的服务收入。
vThunder VNF在一个统一的虚拟设备中提供ADC、CGNAT和L4-L7防火墙功能,进一步降低了服务提供商们的资本支出和运营成本。这种由A10 vThunder提供的NFV-MANO互操作性可以很好地支持服务提供商实现5G软件战略和业务敏捷性。