網(wǎng)絡(luò)功能虛擬化 (NFV) 是用虛擬機替代網(wǎng)絡(luò)設(shè)備硬件。虛擬機使用管理程序來運行網(wǎng)絡(luò)軟件和進程，例如路由和負載平衡。

為什么網(wǎng)絡(luò)功能虛擬化？

NFV 允許將通信服務與專用硬件（例如路由器和防火墻）分離。這種分離意味著網(wǎng)絡(luò)運營可以動態(tài)提供新服務，而無需安裝新硬件。使用網(wǎng)絡(luò)功能虛擬化部署網(wǎng)絡(luò)組件需要數(shù)小時，而不是像傳統(tǒng)網(wǎng)絡(luò)那樣需要數(shù)月。此外，虛擬化服務可以在更便宜的通用服務器上運行，而不是在專有硬件上運行。

使用網(wǎng)絡(luò)功能虛擬化的其他原因包括：

• 即用即付：即用即付 NFV 模型可以降低成本，因為企業(yè)只需為他們需要的東西付費。
• 更少的設(shè)備：由于 NFV 在虛擬機而不是物理機上運行，??因此所需的設(shè)備更少，運營成本更低。
• 可擴展性：使用虛擬機擴展網(wǎng)絡(luò)架構(gòu)更快、更容易，并且不需要購買額外的硬件。

網(wǎng)絡(luò)功能虛擬化如何工作？

本質(zhì)上，網(wǎng)絡(luò)功能虛擬化取代了單個硬件網(wǎng)絡(luò)組件提供的功能。這意味著虛擬機運行的軟件可以完成與傳統(tǒng)硬件相同的網(wǎng)絡(luò)功能。負載平衡、路由和防火墻安全都是由軟件而不是硬件組件執(zhí)行的。管理程序或 軟件定義的網(wǎng)絡(luò) 控制器允許網(wǎng)絡(luò)工程師對虛擬網(wǎng)絡(luò)的所有不同部分進行編程，甚至可以自動配置網(wǎng)絡(luò)。IT 經(jīng)理可以在幾分鐘內(nèi)通過一個管理平臺配置網(wǎng)絡(luò)功能的各個方面。

網(wǎng)絡(luò)功能虛擬化的好處

許多服務提供商認為網(wǎng)絡(luò)功能虛擬化的好處大于風險。對于傳統(tǒng)的基于硬件的網(wǎng)絡(luò)，網(wǎng)絡(luò)管理員必須購買專用的硬件設(shè)備并手動配置和連接它們來構(gòu)建網(wǎng)絡(luò)。這很耗時，并且需要專門的網(wǎng)絡(luò)專業(yè)知識。

NFV 允許虛擬網(wǎng)絡(luò)功能在標準通用服務器上運行，由虛擬機管理程序控制，這比購買專有硬件設(shè)備便宜得多。 使用虛擬化網(wǎng)絡(luò)，網(wǎng)絡(luò)配置 和管理要簡單得多。最重要的是，網(wǎng)絡(luò)功能可以按需更改或添加，因為網(wǎng)絡(luò)在易于配置和管理的虛擬機上運行。

網(wǎng)絡(luò)功能虛擬化的風險

NFV 使網(wǎng)絡(luò)更具響應性和靈活性，并且易于擴展。它可以加快上市時間并顯著降低設(shè)備成本。然而，存在安全風險，并且網(wǎng)絡(luò)功能虛擬化安全問題已被證明是電信提供商廣泛采用的障礙。以下是服務提供商需要考慮的實施網(wǎng)絡(luò)功能虛擬化的一些風險：

• 物理安全控制無效：與鎖定在數(shù)據(jù)中心的物理設(shè)備相比，虛擬化網(wǎng)絡(luò)組件增加了它們對新型攻擊的脆弱性。
• 惡意軟件難以隔離和遏制：惡意軟件更容易在運行于一臺虛擬機的虛擬組件之間傳播，而不是在可以隔離或物理分離的硬件組件之間傳播。
• 網(wǎng)絡(luò)流量不太透明：傳統(tǒng)的流量監(jiān)控工具很難在虛擬機之間東西向傳輸?shù)木W(wǎng)絡(luò)流量中發(fā)現(xiàn)潛在的惡意異常，因此 NFV 需要更細粒度的安全解決方案。
• 復雜的層需要多種形式的安全性：網(wǎng)絡(luò)功能虛擬化環(huán)境本質(zhì)上是復雜的，具有多個層，很難用全面的安全策略來保護。

NFV架構(gòu)

在傳統(tǒng)的網(wǎng)絡(luò)架構(gòu)中，路由器、交換機、網(wǎng)關(guān)、防火墻、負載均衡器和入侵檢測系統(tǒng)等各個專有硬件設(shè)備都執(zhí)行不同的網(wǎng)絡(luò)任務。虛擬化網(wǎng)絡(luò)將這些設(shè)備替換為在虛擬機上運行以執(zhí)行網(wǎng)絡(luò)任務的軟件應用程序。

NFV架構(gòu)由三部分組成：

• 集中式虛擬網(wǎng)絡(luò)基礎(chǔ)設(shè)施：NFV 基礎(chǔ)設(shè)施可能基于 容器管理 平臺或抽象計算、存儲和網(wǎng)絡(luò)資源的管理程序。
• 軟件應用：軟件取代傳統(tǒng)網(wǎng)絡(luò)架構(gòu)的硬件組件，以提供不同類型的網(wǎng)絡(luò)功能（虛擬化網(wǎng)絡(luò)功能）。
• 框架：需要一個框架（通常稱為 MANO——管理、自動化和網(wǎng)絡(luò)編排）來管理基礎(chǔ)設(shè)施和提供網(wǎng)絡(luò)功能。

網(wǎng)絡(luò)功能虛擬化的歷史

歐洲電信標準協(xié)會 (ETSI) 是一個由 AT&T、中國移動、BT 集團、德國電信等服務提供商組成的聯(lián)盟，于 2012 年在 OpenFlow 世界大會上首次提出了網(wǎng)絡(luò)功能虛擬化標準的想法。這些服務提供商一直在尋找一種方法來加速網(wǎng)絡(luò)服務的部署。

推出新的網(wǎng)絡(luò)服務曾經(jīng)是一個繁瑣的過程，需要額外的硬件盒空間和電力。隨著能源和空間成本的增加以及熟練網(wǎng)絡(luò)硬件工程師數(shù)量的減少，ETSI 委員會轉(zhuǎn)向網(wǎng)絡(luò)功能虛擬化來解決這兩個問題。NFV 消除了硬件設(shè)備對物理空間的需求，并且不需要密集的網(wǎng)絡(luò)經(jīng)驗來配置和管理。

今天，幾個開源項目正在致力于開發(fā) NFV 標準，包括 ETSI、NFV 開放平臺、開放 網(wǎng)絡(luò)自動化 平臺、開源 MANO 和 MEF——以前的城域以太網(wǎng)論壇。許多不同的組織提出了相互競爭的標準提案，這使得服務提供商難以適應網(wǎng)絡(luò)功能虛擬化。盡管如此，由于當今企業(yè)網(wǎng)絡(luò)的復雜性和需求迅速擴大，它越來越受歡迎。

NFV 與 SDN

NFV 將網(wǎng)絡(luò)服務與專用硬件設(shè)備、軟件定義網(wǎng)絡(luò)或 SDN 分開，將路由、策略定義和應用程序等網(wǎng)絡(luò)控制功能與網(wǎng)絡(luò)轉(zhuǎn)發(fā)功能分開。借助 SDN，虛擬網(wǎng)絡(luò)控制平面決定向何處發(fā)送流量，從而使整個網(wǎng)絡(luò)能夠通過一個管理平臺進行編程。SDN 允許網(wǎng)絡(luò)控制功能自動化，這使得網(wǎng)絡(luò)能夠快速響應動態(tài)工作負載。軟件定義網(wǎng)絡(luò)可以位于虛擬網(wǎng)絡(luò)或物理網(wǎng)絡(luò)之上，但虛擬網(wǎng)絡(luò)不需要 SDN 即可運行。SDN 和 NFV 都依賴虛擬化技術(shù)來運行。