李晨+解沖鋒

摘要：業(yè)務(wù)功能鏈（SFC）是網(wǎng)絡(luò)功能虛擬化（NFV）虛擬網(wǎng)絡(luò)中對數(shù)據(jù)報文按需進行業(yè)務(wù)處理的重要手段。通過對SFC體系架構(gòu)、基本流程、應(yīng)用場景等的分析和介紹，認為隨著技術(shù)標準和產(chǎn)業(yè)支持方面的不斷發(fā)展和完善，SFC必將成為虛擬化網(wǎng)絡(luò)實現(xiàn)業(yè)務(wù)自動編排和快速部署的重要手段。

關(guān)鍵詞： SFC；虛擬化；軟件定義網(wǎng)絡(luò)（SDN）/NFV

在運營商現(xiàn)有的網(wǎng)絡(luò)中，端到端業(yè)務(wù)數(shù)據(jù)報文的傳遞一般要依照一定的順序，經(jīng)過多個不同的業(yè)務(wù)功能節(jié)點，才能保證網(wǎng)絡(luò)能夠根據(jù)用戶的業(yè)務(wù)需求，提供快速、安全、可靠、穩(wěn)定的服務(wù)。傳統(tǒng)網(wǎng)絡(luò)中的業(yè)務(wù)功能節(jié)點（如防火墻、負載均衡等）與網(wǎng)絡(luò)拓撲和硬件資源緊密耦合，各個業(yè)務(wù)節(jié)點均為專用的設(shè)備形態(tài)，且部署復(fù)雜，當新業(yè)務(wù)開通，流程發(fā)生變更或者擴容時，需要更改網(wǎng)絡(luò)拓撲。對網(wǎng)絡(luò)設(shè)備而言，也需要一定的改造和升級，并且周邊的支撐系統(tǒng)也會存在升級改造的工作量，增加了新業(yè)務(wù)開通的復(fù)雜程度。另外，頻繁升級也增加了網(wǎng)絡(luò)設(shè)備的故障概率，使網(wǎng)絡(luò)無法滿足業(yè)務(wù)靈活加載和快速部署的現(xiàn)網(wǎng)使用需求。

隨著虛擬化技術(shù)的逐漸成熟和應(yīng)用，網(wǎng)絡(luò)呈現(xiàn)出網(wǎng)絡(luò)功能動態(tài)加載，資源按需調(diào)配，業(yè)務(wù)靈活開通等特點，傳統(tǒng)網(wǎng)絡(luò)部署無法滿足類似需求。軟件定義網(wǎng)絡(luò)（SDN）/網(wǎng)絡(luò)功能虛擬化（NFV）技術(shù)使網(wǎng)絡(luò)數(shù)據(jù)轉(zhuǎn)發(fā)與控制分離，網(wǎng)絡(luò)功能與硬件設(shè)備解耦。在SDN/NFV虛擬化網(wǎng)絡(luò)中，業(yè)務(wù)鏈技術(shù)非常適合實現(xiàn)業(yè)務(wù)流量按照指定的順序經(jīng)過不同的網(wǎng)絡(luò)功能節(jié)點，完成網(wǎng)絡(luò)的某種業(yè)務(wù)流程。當業(yè)務(wù)調(diào)整時，只需要更改業(yè)務(wù)鏈的順序而無需更改網(wǎng)元配置就可以實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的靈活開通和加載。

1 業(yè)務(wù)鏈技術(shù)體系架構(gòu)及流程

業(yè)務(wù)功能鏈（SFC）是一個有序的業(yè)務(wù)功能的集合，其基于分類和策略對網(wǎng)絡(luò)上的IP數(shù)據(jù)包、鏈路幀或者數(shù)據(jù)流進行一系列的業(yè)務(wù)處理。SFC可獨立于具體網(wǎng)絡(luò)應(yīng)用場景，可以應(yīng)用于固定、移動網(wǎng)絡(luò)及數(shù)據(jù)中心等場景。術(shù)語“業(yè)務(wù)鏈”經(jīng)常作為“業(yè)務(wù)功能鏈”的簡稱，但兩者具有相同的含義[1]。

SFC的體系架構(gòu)如圖1所示，SFC的整體包括：流分類器（CF）、SFC感知的業(yè)務(wù)功能節(jié)點、傳統(tǒng)業(yè)務(wù)功能節(jié)點、業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點（SFF）、代理節(jié)點Proxy。體系中每一種業(yè)務(wù)單元作為業(yè)務(wù)流程中的環(huán)節(jié)之一，分別具有不同的功能和作用，不同業(yè)務(wù)單元的串接完成業(yè)務(wù)鏈的整體功能實現(xiàn)。各個業(yè)務(wù)單元的定義和主要功能概括如下[2]：

（1）CF。CF對于網(wǎng)絡(luò)流量按照分類規(guī)則進行分類，網(wǎng)絡(luò)流量如果符合分類標準則會被導(dǎo)流進入業(yè)務(wù)處理路徑，去往相應(yīng)的業(yè)務(wù)功能節(jié)點；流分類決策后，報文會被加上正確的SFC封裝，同時合適的業(yè)務(wù)處理路徑也會被選中或創(chuàng)建出來。

（2）業(yè)務(wù)功能（SF）節(jié)點。SF節(jié)點是按照特定功能要求對于數(shù)據(jù)報文進行處理的功能單元，業(yè)務(wù)功能節(jié)點從一個或多個業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點接收報文。該報文一般是SFC封裝的報文，在經(jīng)過處理后向一個或多個業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點發(fā)送報文。

（3）SFF。SFF負責(zé)根據(jù)SFC封裝信息，把從網(wǎng)絡(luò)中收到的報文或數(shù)據(jù)幀送到業(yè)務(wù)功能節(jié)點；業(yè)務(wù)功能節(jié)點處理完報文仍會把報文送回同一個業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點，業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點負責(zé)把報文重新送回傳統(tǒng)網(wǎng)絡(luò)。有些業(yè)務(wù)功能節(jié)點，譬如防火墻，可能會在處理中銷毀報文，此時不需要將其再送回業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點。業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點和業(yè)務(wù)功能節(jié)點一起構(gòu)成了SFC的數(shù)據(jù)平面。

（4）SFC代理。為使SFC架構(gòu)能夠支持不具備SFC功能的傳統(tǒng)功能節(jié)點，就需要使用SFC 代理。SFC代理位于業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點和對應(yīng)的傳統(tǒng)功能節(jié)點（一個或多個）之間。SFC代理代表業(yè)務(wù)功能節(jié)點從業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點接收報文；SFC代理將SFC報文解封裝后，使用一個本地連接鏈路把報文發(fā)送給不具備SFC功能的傳統(tǒng)功能節(jié)點；SFC代理從傳統(tǒng)功能節(jié)點收到報文后，將報文重新進行SFC加封裝后送入業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點，繼續(xù)進行業(yè)務(wù)功能鏈處理。從業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點的角度來看，SFC代理屬于具備SFC功能的業(yè)務(wù)功能節(jié)點[3]。

業(yè)務(wù)鏈系統(tǒng)的基本工作流如圖2所示，基于控制下發(fā)用戶參數(shù)轉(zhuǎn)發(fā)流程包括以下一些步驟：

（1）在用戶數(shù)據(jù)觸發(fā)之前，SFC應(yīng)用會通過北向接口發(fā)送新業(yè)務(wù)的業(yè)務(wù)鏈屬性、配置、策略等信息給SFC控制平面的控制器。

（2）SFC控制器根據(jù)相關(guān)業(yè)務(wù)鏈拓撲生成相應(yīng)的業(yè)務(wù)功能路徑；控制器同時產(chǎn)生相應(yīng)的用戶元數(shù)據(jù)；控制器將上述信息以及轉(zhuǎn)發(fā)表下發(fā)參數(shù)發(fā)送給業(yè)務(wù)分類器、業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點、業(yè)務(wù)功能實體等組件。

（3）用戶數(shù)據(jù)報文進入業(yè)務(wù)分類器，分類器將根據(jù)步驟2提供的策略對流進行分類，并匹配相應(yīng)的業(yè)務(wù)功能路徑（報文的業(yè)務(wù)處理順序）。

（4）業(yè)務(wù)分類器插入業(yè)務(wù)功能鏈報文頭，頭部信息包括業(yè)務(wù)功能路徑等信息，并把元數(shù)據(jù)封裝在報文內(nèi)及用戶配置的業(yè)務(wù)處理策略，發(fā)送到業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點1。

（5）業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點1解析相應(yīng)SFC頭部，根據(jù)業(yè)務(wù)轉(zhuǎn)發(fā)路徑，將報文發(fā)送到業(yè)務(wù)功能1。

（6）業(yè)務(wù)功能節(jié)點1對SFC封裝中的內(nèi)層報文進行處理后把報文發(fā)送回業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點1。

（7）業(yè)務(wù)功能節(jié)點1根據(jù)報文轉(zhuǎn)發(fā)生成會話，根據(jù)配置要求會話下發(fā)，進行功能卸載；再將會話和卸載標記，經(jīng)由控制器，下發(fā)到業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點或交換機。

（8）業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點1收到SFC封裝報文后，根據(jù)SFC封裝信息把報文送給業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點2。

（9）業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點2收到業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點1的報文，根據(jù)SFC封裝信息找到下一跳業(yè)務(wù)功能節(jié)點為業(yè)務(wù)功能節(jié)點2并且相應(yīng)業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點為轉(zhuǎn)發(fā)節(jié)點2，則把報文送給業(yè)務(wù)功能節(jié)點2。

（10）業(yè)務(wù)功能節(jié)點1對SFC封裝中的內(nèi)層報文進行處理后把報文發(fā)送回業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點2。

（11）業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點2收到從SFC代理節(jié)點發(fā)回的報文，根據(jù)SFC封裝中的信息得知此報文已經(jīng)完成流分類中為報文選擇的業(yè)務(wù)處理路徑，則對報文進行SFC解封裝，把報文信息發(fā)到傳統(tǒng)網(wǎng)絡(luò)。

（12/13）用戶報文進入交換機時，交換機或分類器可以查找到相應(yīng)的會話，打上卸載標記，報文進入業(yè)務(wù)轉(zhuǎn)發(fā)節(jié)點2和業(yè)務(wù)功能2進行處理。

2 業(yè)務(wù)鏈技術(shù)應(yīng)用場景

SFC的應(yīng)用場景很多，而且結(jié)合NFV虛擬化技術(shù)以后，與底層硬件完全解耦。業(yè)界廠商和運營商可以根據(jù)自身需求開發(fā)基于SFC的系統(tǒng)，為SFC的現(xiàn)網(wǎng)應(yīng)用提供了開闊的空間。目前對于SFC的應(yīng)用主要包括：寬帶城域網(wǎng)絡(luò)、數(shù)據(jù)中心網(wǎng)絡(luò)以及3G/4G移動網(wǎng)絡(luò)[4]。

（1）寬帶城域網(wǎng)絡(luò)。在寬帶網(wǎng)絡(luò)現(xiàn)網(wǎng)中，利用現(xiàn)網(wǎng)網(wǎng)元按照用戶需求實現(xiàn)企業(yè)和家庭業(yè)務(wù)的自訂購、靈活加載與疊加，簡化用戶側(cè)網(wǎng)關(guān)功能，避免為新業(yè)務(wù)上線而頻繁升級。業(yè)務(wù)鏈功能節(jié)點可以部署在城域網(wǎng)的前端云平臺上，具體包括網(wǎng)絡(luò)型的業(yè)務(wù)功能，如用戶認證、防火墻、NAT44/NAT64及IPv6過渡等功能；增值型的業(yè)務(wù)功能，如帶寬控制、病毒檢測、父子賬號及云存儲等。城域網(wǎng)業(yè)務(wù)鏈技術(shù)應(yīng)用系統(tǒng)如圖3所示。

（2）數(shù)據(jù)中心網(wǎng)絡(luò)。數(shù)據(jù)中心的業(yè)務(wù)功能節(jié)點包括：深度包檢測單元（DPI）、入侵檢測系統(tǒng)（IDS）/入侵防御系統(tǒng)（IPS）、邊緣防火墻（EdgeFW）、郵件安全防火墻（SegFW）、應(yīng)用防火墻（AppFW）等。通常運營商部署多個地理分布的數(shù)據(jù)中心，每個數(shù)據(jù)中心運行著不同的業(yè)務(wù)功能，例如，時延敏感型或者高使用率的業(yè)務(wù)功能部署在區(qū)域數(shù)據(jù)中心，而時延不敏感型或者低使用率的業(yè)務(wù)功能部署在全局的集中式數(shù)據(jù)中心。在這種場景下，運營商可以在多個數(shù)據(jù)中心靈活、經(jīng)濟地構(gòu)建SFC。圖4所示為數(shù)據(jù)中心兩種業(yè)務(wù)鏈典型應(yīng)用場景。

（3）3G/4G移動網(wǎng)絡(luò)應(yīng)用場景。在移動網(wǎng)絡(luò)環(huán)境下，包含有終端的源IP地址和要到達目的平臺的目的IP地址的IP包，通過Gi接口（3G網(wǎng)絡(luò)中的接口，在LTE 4G網(wǎng)絡(luò)中為SGi接口）離開移動分組網(wǎng)關(guān)，在（S）Gi接口和實際的應(yīng)用平臺之間，上行的數(shù)據(jù)流和下行的數(shù)據(jù)流可以各自穿越順序的業(yè)務(wù)功能集，即SFC業(yè)務(wù)鏈。物理的或虛擬的業(yè)務(wù)功能可以構(gòu)建不同的SFC業(yè)務(wù)鏈，在3G網(wǎng)絡(luò)中被稱為Gi-LAN業(yè)務(wù)，在4G網(wǎng)絡(luò)中被稱為SGi-LAN業(yè)務(wù)。

3 SFC產(chǎn)業(yè)支持

隨著SDN/NFV技術(shù)的不斷應(yīng)用以及網(wǎng)絡(luò)新業(yè)務(wù)的不斷涌現(xiàn)，傳統(tǒng)網(wǎng)絡(luò)已經(jīng)無法滿足業(yè)務(wù)的快速開通和靈活部署的需求。業(yè)務(wù)鏈技術(shù)應(yīng)運而生，成為產(chǎn)業(yè)關(guān)注焦點。目前，全球運營商也在探索如何通過虛擬化和業(yè)務(wù)鏈等技術(shù)來降低運營成本和投資成本的創(chuàng)新之路。中興通訊等設(shè)備制造商以及IT廠商的產(chǎn)品中也均有對于SFC技術(shù)的支持，比較典型的是虛擬寬帶網(wǎng)絡(luò)網(wǎng)關(guān)（vBNG）產(chǎn)品和虛擬用戶終端設(shè)備（vCPE）產(chǎn)品。

圖5所示為中興通訊的vBNG產(chǎn)品基于業(yè)務(wù)鏈的系統(tǒng)部署示意圖。vBNG即將在ZTE ZXR10 M6000等系列產(chǎn)品中實現(xiàn)，其將現(xiàn)在的物理寬帶網(wǎng)絡(luò)網(wǎng)關(guān)（BNG）設(shè)備的業(yè)務(wù)功能全部虛擬化，通過SFC技術(shù)將各業(yè)務(wù)功能節(jié)點進行串聯(lián)和組織，并與SDN/NFV技術(shù)相結(jié)合實現(xiàn)城域網(wǎng)架構(gòu)的演進。

vCPE是NFV應(yīng)用的焦點案例，同時也是業(yè)務(wù)鏈技術(shù)的典型應(yīng)用，目前，各個廠商的vCPE產(chǎn)品中均能夠支持業(yè)務(wù)鏈技術(shù)。圖6所示為中興通訊的vCPE產(chǎn)品業(yè)務(wù)鏈應(yīng)用的系統(tǒng)實現(xiàn)示意。

CPE本身集成了數(shù)據(jù)轉(zhuǎn)發(fā)、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）轉(zhuǎn)換、撥號認證接入（PPPOE）/動態(tài)地址分配接入（IPOE）、WEB認證、動態(tài)主機配置協(xié)議（DHCP）服務(wù)器等業(yè)務(wù)。vCPE將這些業(yè)務(wù)拆分并獨立出來，形成NAT、PPPOE/IPOE、WEB認證、DHCP服務(wù)器等多個業(yè)務(wù)功能（SF節(jié)點）。根據(jù)不同的業(yè)務(wù)鏈策略，使不同的用戶流量經(jīng)過不同的SF節(jié)點進行業(yè)務(wù)處理，完成業(yè)務(wù)鏈功能，而且vCPE本身可能并不是一個裝置，也有可能由多個不同的裝置組合而成，而這些設(shè)備的形態(tài)可以是X86的服務(wù)器，也可以利用傳統(tǒng)的電信級路由器以保護運營商的投資。

4 結(jié)束語

隨著SDN/NFV技術(shù)不斷成熟和在網(wǎng)絡(luò)中的逐步應(yīng)用，如何實現(xiàn)虛擬網(wǎng)絡(luò)業(yè)務(wù)功能的靈活編排成為業(yè)界關(guān)注的焦點。SFC技術(shù)可以將業(yè)務(wù)功能節(jié)點自動串聯(lián)起來進行數(shù)據(jù)報文的傳送。文章中，我們從SFC的體系架構(gòu)和基本工作流程對業(yè)務(wù)鏈技術(shù)本身進行了介紹，并且對業(yè)務(wù)鏈的典型應(yīng)用場景進行了說明，最后針對當前業(yè)務(wù)鏈技術(shù)的產(chǎn)業(yè)支持技術(shù)方案和產(chǎn)品進行了現(xiàn)狀分析。隨著業(yè)務(wù)鏈技術(shù)在技術(shù)標準和產(chǎn)業(yè)支持方面的不斷發(fā)展和完善，其必將成為虛擬化網(wǎng)絡(luò)實現(xiàn)業(yè)務(wù)自動編排和快速部署的重要手段。

參考文獻

[1] IETF. Service Function Chaining （SFC） Architecture： IETF RFC 7665[S]. 2015

[2] IETF. Problem Statement for Service Function Chaining： IETF RFC 7498[S]. 2015

[3] IETF. Service Function Chaining Use Cases In Data Centers [EB/OL].[2016-09-10].https：//datatracker.ietf.org/doc/draft-ietf-sfc-dc-use-cases

[4] IETF. Service Function Chaining Use Cases in Mobile Networks [EB/OL]. [2016-09-10].https：//datatracker.ietf.org/doc/draft-ietf-sfc-use-case-mobility