思博倫通信

思博倫技術(shù)專欄

完整驗證NFV的性能

思博倫通信

編者按：網(wǎng)絡(luò)功能虛擬化（NFV）可以提供許多優(yōu)勢，包括幫助網(wǎng)絡(luò)和數(shù)據(jù)中心運(yùn)營商實現(xiàn)潛在的成本縮減，以及通過敏捷性來發(fā)現(xiàn)實現(xiàn)更高營收的機(jī)遇。然而，由于基礎(chǔ)設(shè)施的設(shè)計中可以有多種方案，因此這種敏捷性潛力也會在性能、可靠性和安全性方面產(chǎn)生更多的不確定性。在一個軟件定義的云棧中，運(yùn)營商要想實現(xiàn)NFV的成功部署，跨越所有邊界的全局性和連續(xù)性驗證必不可少。思博倫通信的《完整驗證NFV的性能》一文對思博倫NFV解決方案進(jìn)行了詳細(xì)研究和介紹。思博倫NFV解決方案可驗證所有的云棧層和待測NFV組件，并且可以通過隔離的方式精確查找問題的根源；可以幫助廠商和運(yùn)營商提高其產(chǎn)品和服務(wù)的質(zhì)量，并且在設(shè)計和集成過程中做出更明智的決策。由于需要測試的排列組合數(shù)量巨大，驗證過程的自動化已成為必然的選擇。只有利用協(xié)調(diào)被測組件和測試仿真接口的能力，才有可能在NFV環(huán)境中實現(xiàn)完整的自動化。

1 引言

網(wǎng)絡(luò)功能虛擬化（NFV）可以提供許多優(yōu)勢，包括幫助網(wǎng)絡(luò)和數(shù)據(jù)中心運(yùn)營商實現(xiàn)潛在的成本縮減，以及通過敏捷性來發(fā)現(xiàn)實現(xiàn)更高營收的機(jī)遇。然而，由于基礎(chǔ)設(shè)施的設(shè)計中可以有多種方案，因此這種敏捷性潛力也會在性能、可靠性和安全性方面產(chǎn)生更多的不確定性。在一個軟件定義的云棧中，運(yùn)營商要想實現(xiàn)NFV的成功部署，跨越所有邊界的全局性和連續(xù)性驗證必不可少。

2 簡介

NFV可通過虛擬化計算基礎(chǔ)設(shè)施提供網(wǎng)絡(luò)功能。這些網(wǎng)絡(luò)功能，在過去只能使用專用的硬件聯(lián)網(wǎng)解決方案才能實現(xiàn)。在NFV拓?fù)浣Y(jié)構(gòu)中，部分或所有采用電纜連接的物理網(wǎng)絡(luò)組件，均被虛擬計算基礎(chǔ)設(shè)施中的虛擬機(jī)替代。在NFV術(shù)語中，提供每種功能服務(wù)的虛擬機(jī)便被稱為虛擬化網(wǎng)絡(luò)功能（VNF）。VNF被部署在一個商用或開源監(jiān)視程序中，虛擬交換機(jī)來實現(xiàn)互聯(lián)。這些虛擬網(wǎng)絡(luò)設(shè)備也可以是開源或商用產(chǎn)品，并采用集成到商用市售（COTS）計算/服務(wù)器硬件中的物理網(wǎng)絡(luò)適配器來實現(xiàn)互聯(lián)。

路由、安全性和負(fù)載均衡等其它網(wǎng)絡(luò)功能，都可以使用單虛擬機(jī)或多虛擬機(jī)服務(wù)鏈?zhǔn)酵負(fù)浣Y(jié)構(gòu)中的虛擬機(jī)來實施。通用計算硬件與NFV軟件結(jié)合在一起后，能夠有效地降低成本，并且利用高密度網(wǎng)絡(luò)適配器來擴(kuò)大多核心處理器的規(guī)模，從而降低專用聯(lián)網(wǎng)硬件的資本支出。由于NFV所承諾的敏捷性和靈活性，數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)營商都有采用NFV的意愿。通過采用自動化來協(xié)調(diào)云環(huán)境中不同租戶（客戶）或系統(tǒng)（應(yīng)用/服務(wù)）不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，還有可能縮減更多的運(yùn)營成本。

圖1 虛擬和物理VNF互聯(lián)

3 驗證NFV環(huán)境

業(yè)界通常認(rèn)為NFV可以應(yīng)用于一系列的數(shù)據(jù)中心和傳輸網(wǎng)絡(luò)互聯(lián)。服務(wù)商和數(shù)據(jù)中心運(yùn)營商可以使用NFV，以更大的深度和廣度來驗證各類服務(wù)。還可以對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行重新配置，利用融合了各類租戶網(wǎng)絡(luò)功能不同組合的NFV服務(wù)鏈，來滿足彈性的隨需式使用案例。數(shù)據(jù)中心、網(wǎng)絡(luò)運(yùn)營商和云供應(yīng)商都可以使用NFV，來解決各類尖銳的云基礎(chǔ)設(shè)施多租用問題，例如隨需式數(shù)據(jù)中心互聯(lián)、租戶隔離/安全風(fēng)險以及吵鬧鄰居造成的性能惡化。

圖1顯示的是服務(wù)鏈中VNF之間的互聯(lián)，其中環(huán)形是下層虛擬設(shè)備的簡略表示。VNF至物理網(wǎng)絡(luò)接口卡（NIC）的連接被描繪會橙色，而且既可以類似于以藍(lán)色顯示的VNF之間的連接，也可以是一種允許VNF直接訪問物理以太網(wǎng)接口的特殊接口類型。這種直接訪問通常便于在包含虛擬設(shè)備的物理網(wǎng)絡(luò)接口與VNF之間實現(xiàn)更高的包轉(zhuǎn)發(fā)性能。這種直接訪問所采用的技術(shù)包含PCI吞吐量（（IntelVT-d或AMD-Vi）和單個根I/O虛擬化及共享（SR-IOV）等技術(shù)，而且必須得到下層硬件（計算平臺、網(wǎng)卡）和監(jiān)視程序軟件的支持。

圖2取自O(shè)penStack云管理員指南，在一個潛在的虛擬拓?fù)浣Y(jié)構(gòu)中描繪出了圖上部的虛擬機(jī)（或潛在的VNF）之間的接口，以及圖下部的物理以太網(wǎng)接口。實現(xiàn)虛擬機(jī)互聯(lián)的替代方法還有很多。這些方法在很大程度上取決于所用的監(jiān)視程序，并且可能采用監(jiān)視程序固有的原生方法，也可以使用共享式設(shè)備（如Linux橋）或使用軟件定義的聯(lián)網(wǎng)（SDN）開源，例如Open vSwitch（OVS）或商用虛擬交換解決方案。圖2顯示的是在一個OpenStack上下文環(huán)境中使用OVS，其中VLAN封裝用于在物理交換層進(jìn)行分配。OVS可用于一個SDN設(shè)置中，通過明確控制轉(zhuǎn)發(fā)表的內(nèi)容，來對虛擬交換層進(jìn)行動態(tài)控制。然而，它也可以用于靜態(tài)環(huán)境中，而在此類環(huán)境中，虛擬交換機(jī)的運(yùn)行方式類似于包含L2橋接域、MAC地址學(xué)習(xí)和VLAN標(biāo)簽等特性的物理交換機(jī)。在后一種場景中，OVS可充當(dāng)一個標(biāo)準(zhǔn)Linux橋，但可以提供更多選擇的優(yōu)勢（如可更方便地建立用于監(jiān)視的端口映射）和可配置性。

圖2中顯示的虛擬設(shè)備詳情已經(jīng)超出了本文所討論的內(nèi)容范圍。然而，采用該圖的重點(diǎn)在于，突顯該場景中虛擬機(jī)與物理網(wǎng)絡(luò)接口之間的9個接口或邊界。在讀者看來，所有這些軟件層所產(chǎn)生的影響都是再明顯不過了－該場景中的包轉(zhuǎn)發(fā)性能無法與高速以太網(wǎng)接口（10/40G以太網(wǎng)）上專門為處理小包尺寸下線速負(fù)載的物理網(wǎng)絡(luò)相提并論。服務(wù)器計算的大趨勢正在不斷演化，而且隨著Intel和AMD等計算廠商所提供的虛擬至物理接口技術(shù)不斷進(jìn)步，虛擬交換效率低下的問題正在所到改善。根據(jù)部署場景的不同，圖2中的虛擬設(shè)備層也可以濃縮為一個Linux橋。

圖2 一臺虛擬機(jī)/監(jiān)視程序中的客戶操作系統(tǒng)與主機(jī)操作系統(tǒng)中共享式物理網(wǎng)絡(luò)接口卡之間的各種Linux虛擬網(wǎng)絡(luò)設(shè)備（資料來源：OpenStack云管理員指南）

4 NFV存在不確定性

盡管NFV可以為網(wǎng)絡(luò)和數(shù)據(jù)中心運(yùn)營商帶來諸多好處，但在選擇技術(shù)、配置基礎(chǔ)設(shè)施、優(yōu)化性能和強(qiáng)化性能方面，仍然存在諸多的不確定性。NFV的靈活性優(yōu)勢也會增加必須考慮的排列組合的數(shù)量，而且這種增加往往會以指數(shù)方式大量呈現(xiàn)。那些發(fā)布基于專有硬件聯(lián)網(wǎng)產(chǎn)品的廠商，完全有能力將解決方案的數(shù)量限定在有限的使用案例上，并且可以對嵌入軟件與運(yùn)營商硬件組件之間的互動加以優(yōu)化。在過去，驗證核心功能的重任往往要由網(wǎng)絡(luò)廠商來承擔(dān)。今天的NFV大趨勢正在將這種負(fù)擔(dān)轉(zhuǎn)移到部署NFV拓?fù)浣Y(jié)構(gòu)的運(yùn)營商肩上，而網(wǎng)絡(luò)廠商仍然需要承擔(dān)在不同硬件（計算平臺、物理交換層）和軟件基礎(chǔ)設(shè)施（監(jiān)視程序、全局云棧、公共云等）中驗證NFV軟件的職責(zé)。

思博倫在COTS計算及NFV軟件經(jīng)驗測試方面的成功經(jīng)驗表明，性能的巨大差異在所難免，而且取決于多個關(guān)鍵的變量，其中包括：

●分配給為VNF服務(wù)的虛擬機(jī)的計算資源，但分配得越多，并不一定就能轉(zhuǎn)換為更高的性能。

●物理聯(lián)網(wǎng)環(huán)境和虛擬網(wǎng)絡(luò)組件（虛擬基礎(chǔ)設(shè)施）之間的接口配置。

●連接VNF的虛擬聯(lián)網(wǎng)替代技術(shù)的選擇。

由于需要評估聯(lián)網(wǎng)能力時否能在不同的云棧環(huán)境中正常工作，因此驗證的任務(wù)已經(jīng)超出了性能測試的范疇，而變得更為復(fù)雜。

云基礎(chǔ)設(shè)施驗證方面的挑戰(zhàn)：

由于NFV通過一個包含眾多硬件和軟件層的云棧來提供，因此它會帶來形形色色的多種驗證挑戰(zhàn)。典型的云棧如圖3所示，其中的硬件組件以暗藍(lán)色表示，而虛擬/應(yīng)用軟件組件以亮藍(lán)色表示。根據(jù)部署場景和所用具體技術(shù)的不同，可能會有很大的不同，而且不一定會包含所以描繪出的組件。例如，為多個租戶提供匯聚路由的運(yùn)營商N(yùn)FV使用案例可能不包含應(yīng)用/db、客戶操作系統(tǒng)存儲虛擬化或NAS/SAN存儲組件。但數(shù)據(jù)中心運(yùn)營商的NFV使用案例則可能包含所有已描繪出的組件。

圖3 NFV部署的云基礎(chǔ)設(shè)施

在監(jiān)視程序中會使用VNF來提供網(wǎng)絡(luò)虛擬化。這些虛擬機(jī)將擁有分配到的計算和虛擬機(jī)鏡像存儲資源，并且可以通過駐留在中間件層中的OpenStack NovaCompute等云管理軟件實現(xiàn)動態(tài)協(xié)調(diào)。其中，一部分VNF還可以具備SDN接口，例如使用OpenFlow協(xié)議來動態(tài)控制OVS實例的轉(zhuǎn)發(fā)表。在本案例中，OpenFlow控制器還可以駐留在中間件層中。

VNF可以在應(yīng)用/服務(wù)層之前的服務(wù)鏈中組合在一起，在云數(shù)據(jù)中心使用案例中提供安全性和負(fù)載均衡。除非應(yīng)用/服務(wù)負(fù)載在計算結(jié)點(diǎn)上本地化，VNF將可以通過服務(wù)器網(wǎng)卡連接至外部物理交換結(jié)構(gòu)，并且常常會使用VLAN或VXLAN形式的封閉，起到在物理結(jié)構(gòu)上加快流量隔離和轉(zhuǎn)發(fā)的作用。在大數(shù)據(jù)/數(shù)據(jù)分析等數(shù)據(jù)中心使用案例中，外部存儲通常會被用于直連存儲（DAS）之上，并且擁有自己的物理聯(lián)網(wǎng)結(jié)構(gòu)，尤其是用于光纖通道（FC）等塊技術(shù)中。VNF不太可能使用外部存儲，但其流量可能使用相同的網(wǎng)卡/融合有物理結(jié)構(gòu)的以太網(wǎng)通道，因此必須在驗證NFV部署的整個云棧環(huán)境時將其考慮在內(nèi)。要想讓驗證解決方案能夠跨越圖3所示的所有邊界進(jìn)行測試，其測試解決方案必須具備物理和虛擬雙重屬性，并且在基礎(chǔ)設(shè)施的內(nèi)部和外部均擁有測試接口。云棧組件必須能夠通過多維度仿真實現(xiàn)隔離，從而精確地找出功能和性能問題。另外，在執(zhí)行系統(tǒng)測試時必須能夠同時對多個層進(jìn)行驗證，找出復(fù)雜問題相互依存的根源所在。在驗證駐留在VNF中并與物理交換結(jié)構(gòu)相互作用的轉(zhuǎn)發(fā)和IP服務(wù)時，需要用到L2/3主機(jī)和路由器仿真。存儲和應(yīng)用協(xié)議仿真能夠在驗證負(fù)載均衡和安全功能等有狀態(tài)第4～7層VNF時發(fā)揮至關(guān)重要的作用。此外，還需要對NFV基礎(chǔ)設(shè)施所服務(wù)的終端服務(wù)/應(yīng)用進(jìn)行驗證。由于靈活性的緣故，NFV會增加必須執(zhí)行的測試排列組合數(shù)量，而且遠(yuǎn)大于傳統(tǒng)的專用硬件聯(lián)網(wǎng)拓?fù)浣Y(jié)構(gòu)，因此如果在測試/仿真和協(xié)調(diào)層不具備自動化，則僅使用手動方法時根本不可能提供充分的測試覆蓋能力。協(xié)調(diào)層的自動化使被測的云棧/NFV基礎(chǔ)設(shè)施能夠在被修改后，在開發(fā)和集成檢查點(diǎn)期間連續(xù)運(yùn)行大量必需的測試案例。

5 思博倫的NFV驗證解決方案

（1）跨邊界的NFV驗證

在過去的20年中，思博倫所確立的一項關(guān)鍵核心競爭力就是，構(gòu)建專用的硬件（基于FPGA），并使之能夠在高速以太網(wǎng)測試接口上以線速實現(xiàn)第2/3層流量生成和分析。這樣便可以對所有關(guān)鍵的第2/3層流量屬性施加決定性的精確控制，其中包括幀尺寸、封裝、主機(jī)仿真規(guī)模（數(shù)以百萬計的MAC/IP地址）和負(fù)載。利用這些生成引擎，可以仿真出真實的IP多樣性，并且可以與同樣高性能的分析器引擎結(jié)合在一起，實現(xiàn)對每個流的高級跟蹤和統(tǒng)計分析。SpirentTestCenter平臺是一種統(tǒng)一架構(gòu)，能夠以不同規(guī)格的機(jī)箱和共享式測試模塊，提供此項能力，并且長期用于測試專用的路由/交換網(wǎng)絡(luò)設(shè)備。同時，這些解決方案也可以用于驗證NFV基礎(chǔ)設(shè)施。

圖4顯示的是SpirentTestCenter第2/3層測試模塊如何用于測試一個映射到4個網(wǎng)卡接口上的簡單的虛擬路由VNF。這種形式的測試使我們能夠?qū)θ菁{NFV的虛擬基礎(chǔ)設(shè)施管道空間加以定性。通過在下層管道中暴露各種瓶頸，可以找出計算平臺中——從服務(wù)器物理網(wǎng)卡，到被測VNF和跨越虛擬/物理邊界的物理網(wǎng)卡——所具備端對端最大包轉(zhuǎn)發(fā)/處理性能。這種形式測試的優(yōu)勢是，能夠以確定性的方式測量入向（流來源）端口的負(fù)載，以及出向（流出口）端口的接收負(fù)載。單向（與往返相對應(yīng)）包在時間上的時延、時延分布和時延變化，都可以得到精確的測量，且精度分辨率可達(dá)10納秒，因此可以將NFV包轉(zhuǎn)發(fā)性能與專用交換機(jī)/路由器硬件解決方案進(jìn)行細(xì)致的對比。我們可以使用事實上的RFC標(biāo)準(zhǔn)方法，在不同的場景中對整個被測計算環(huán)境執(zhí)行基準(zhǔn)測試。這些場景包括：

●網(wǎng)卡至PCI-E插槽安裝，并考慮PCI-E通道寬度和與CPU的互聯(lián)。

●使用雙向流量可對多端口網(wǎng)卡進(jìn)行評估。

●不同包尺寸下的端口對、部分網(wǎng)格和全網(wǎng)格流量模式。

●分配給VNF的計算資源（邏輯CPU核心和內(nèi)存），包括巨形頁面等內(nèi)存后備方案。

兩壩肩測點(diǎn)水來源主要有兩點(diǎn)，即庫內(nèi)入滲、山體滲水。庫內(nèi)入滲包括壩體滲水、壩體與山體接觸滲水及繞壩滲水。山體滲水主要是巖體裂隙發(fā)育，降水入滲等形成的巖體內(nèi)地下水發(fā)育?？變?nèi)水位高低受庫水位影響小于降水影響，測點(diǎn)與庫水位相關(guān)性等分析應(yīng)剔除降水因素影響。本項目數(shù)據(jù)采取7月20日后汛期結(jié)束、庫水位相對穩(wěn)定的時段分析，工程所在地洪水以融雪性洪水為主降水稀少，其他類似項目的相關(guān)性分析應(yīng)將降水納入影響因子。

●至VNF的不同磁盤/存儲映射（如果VNF需要從存儲頻繁讀/寫的話）。

●在啟用輸入/輸出內(nèi)存管理單元（IOMMU）時使用IntelVT-d的PCI吞吐量支持。

在許多情況下，由于所部署NFV拓?fù)浣Y(jié)構(gòu)的問題，或者是因為無出向物理網(wǎng)絡(luò)接口映射的VNF至VNF互連的驗證需求，使用第2/3層流量的端對端NFV驗證并不適用。這一點(diǎn)在圖5中有明確的顯示。在這種情況下，被測的是相同的VNF虛擬路由器。然而，虛擬路由器在部署時右側(cè)連接了額外的虛擬機(jī)，并連接至主機(jī)應(yīng)用/服務(wù)層。藍(lán)色圈表示虛擬機(jī)至虛擬機(jī)的互連，可以是共享的Linux或OVS橋接，而它們最終將會連接至應(yīng)用/服務(wù)層。

圖4 利用SpirentTestCenter第2/3層流量生成/分析技術(shù)實現(xiàn)的端對端驗證

該拓?fù)浣Y(jié)構(gòu)使虛擬路由器能夠以隔離的方式，跨越物理和虛擬設(shè)備（橋接）的邊界獲得驗證。測試流量將從連接至物理網(wǎng)卡的物理SpirentTestCenter測試端口通過，并傳至連接至共享橋接的虛擬思博倫測試端口。這樣就引出了驗證NFV過程中另外一個關(guān)鍵的思博倫解決方案組件—虛擬測試端口。思博倫可提供與虛擬機(jī)相同形式的生成/分析引擎。測試流量可以從物理至虛擬端口生成并獲得分析，使NFV/虛擬基礎(chǔ)設(shè)施能夠以由外而內(nèi)和由內(nèi)而外的方式接受測試。

思博倫的物理和虛擬測試接口在特性集方面擁有接近的奇偶校驗特性，唯一的主要區(qū)別就是包時延測量的分辨率有所下降。

圖5 使用思博倫物理和虛擬測試端口的跨越虛擬橋接物理至虛擬驗證

（2）多維度自動化

要確定主機(jī)計算環(huán)境的2/3層包轉(zhuǎn)發(fā)性能，將上面章節(jié)中簡要描述的虛擬設(shè)備和第3層VNF互聯(lián)在一起至關(guān)重要，因為虛擬交換基礎(chǔ)設(shè)施仍然缺乏專用路由器/交換機(jī)硬件設(shè)備所具備的性能，而且其在多種條件下的包丟失和時延也更加嚴(yán)重。但NFV驗證需要仿真多種不同的控制層協(xié)議，并且使用多種拓?fù)浣Y(jié)構(gòu)下的4～7層應(yīng)用協(xié)議。實現(xiàn)所有這些維度自動化的能力非常關(guān)鍵，因為不斷變化的監(jiān)視程序或虛擬交換參數(shù)可能急劇改變NFV的性能剖面。供應(yīng)或協(xié)調(diào)下層NFV/虛擬基礎(chǔ)設(shè)施的能力也非常有必要，因為如果不能以程序方式控制該維度，完整的自動化將無法實現(xiàn)。圖6展示了另外一個需要4～7層應(yīng)用流量生成的NFV拓?fù)浣Y(jié)構(gòu)。有狀態(tài)防火墻等安全設(shè)備和負(fù)載均衡器等其它應(yīng)用感知設(shè)備不會傳送3層流量，因此需要真正的應(yīng)用負(fù)載來對其加以驗證。如圖6所示，NFV服務(wù)鏈（連網(wǎng)VNF的序列）通常會包含這些類型的功能。在過去超過十年的時間里，思博倫一直在開發(fā)Avalanche平臺，一種先進(jìn)的應(yīng)用協(xié)議仿真解決方案。該解決方案可以每秒同時生成數(shù)百萬個有狀態(tài)（TCP）連接或仿真用戶。針對高性能場景，思博倫已經(jīng)將Avalanche打包為一種基于硬件的設(shè)備形態(tài)，同時也提供所圖6左側(cè)所示的虛擬機(jī)形態(tài)。

有狀態(tài)NFV服務(wù)鏈應(yīng)當(dāng)使用Avalanche平臺進(jìn)行基準(zhǔn)測試，利用連接容量測試確定其用戶擴(kuò)展能力，測量出應(yīng)用會話事務(wù)發(fā)生過程中，服務(wù)鏈可以保持的開放或并發(fā)連接總數(shù)。在驗證的過程中，NFV服務(wù)鏈處理應(yīng)用事務(wù)連接的速率至關(guān)重要，因為許多使用案例中都存在連接速率突然變化的終端用戶流量，例如所有用戶在上午同時登錄，或發(fā)生新聞事件時用戶發(fā)起的Web搜索風(fēng)暴等。峰值測試案例可用于測量NFV服務(wù)鏈每秒可處理的最大連接/事務(wù)速率。

利用圖6中的思博倫Avalanche，可以對NFV服務(wù)鏈（防火墻、負(fù)載均衡器和VNF互連）和終端應(yīng)用/服務(wù)一起作為一個系統(tǒng)來驗證。Avalanche可以仿真客戶端及其在Web（HTTP）、文件、即時消息、流視頻、存儲和其它多種協(xié)議上的應(yīng)用事務(wù)。Avalanche平臺還包含高性能的應(yīng)用服務(wù)器仿真，可在不使用真實應(yīng)用服務(wù)器虛擬機(jī)（將圖6中的右側(cè)用Reflector實例替代）的情況下實現(xiàn)NFV服務(wù)鏈的隔離。

圖6還顯示了思博倫虛擬部署管理器如何協(xié)調(diào)或供應(yīng)被測的NFV基礎(chǔ)設(shè)施（NVFVNF或其它虛擬機(jī)）和思博倫虛擬測試接口（思博倫Avalanchevirtual或STCvirtual實例）。這樣就為思博倫測試端口（物理或虛擬）支持的其它仿真維度添加了協(xié)調(diào)維度，實現(xiàn)了完整的自動化解決方案。利用基準(zhǔn)測試案例實現(xiàn)的NFV服務(wù)鏈自動化安置，可以實現(xiàn)NFV基礎(chǔ)設(shè)施最優(yōu)化配置的融合。

圖6 思博倫虛擬部署管理器可協(xié)調(diào)思博倫的測試虛擬機(jī)和被測NFV基礎(chǔ)設(shè)施

圖7 數(shù)據(jù)庫復(fù)制使用案例的拓?fù)浣Y(jié)構(gòu)圖示

圖7顯示的是思博倫測試接口如何在路由和SDN維度中實現(xiàn)控制層仿真能力，以便對更復(fù)雜的NFV拓?fù)浣Y(jié)構(gòu)加以驗證。SpirentTestCenter虛擬接口（頂上）可以仿真SDN維度中的OpenFlow控制器，在數(shù)據(jù)庫虛擬機(jī)互連池中，對帶虛擬路由器VNF的的Open vSwitch（OVS）橋接的轉(zhuǎn)發(fā)表實施控制。數(shù)據(jù)庫復(fù)制可能以vRouterVNF的方式，發(fā)生在池中或不同的數(shù)據(jù)中心之間。商業(yè)邏輯將會控制哪些數(shù)據(jù)庫實例處于活動狀態(tài)，以及復(fù)制事件在實際部署過程中的何時發(fā)生。通過使用所描繪的測試拓?fù)浣Y(jié)構(gòu)，DevOps工程師可以認(rèn)真考慮其商業(yè)邏輯是否適用。另外一個Spirent TestCenter虛擬接口（左側(cè)）可用于仿真路由器，并將路由注入vRouterVNF。還有一個接口（底部）則可用于發(fā)送指向已公告路由的流量。此外，還可以評價vRouterVNF的控制層擴(kuò)展能力，并對OVS/vRouter組合的第3層吞吐量執(zhí)行基準(zhǔn)測試。

圖8再次顯示了在圖3中呈現(xiàn)過的云棧圖，但也疊加了思博倫豐富產(chǎn)品組合所支持的所有數(shù)據(jù)層、控制層、協(xié)調(diào)層和攻擊層維度。數(shù)據(jù)層仿真還擴(kuò)展到了應(yīng)用、存儲和2/3層流量生成及分析能力上，并且以藍(lán)色高亮顯示。思博倫可以仿真控制層協(xié)議，包括SDN/ Openflow、路由，以及利用虛擬機(jī)遷移等監(jiān)視程序事件，在基礎(chǔ)設(shè)施上添加額外壓力的能力。

圖8 思博倫的多維度自動化，展示思博倫如何仿真所有必要的維度，對云棧中的NFV/虛擬基礎(chǔ)設(shè)施執(zhí)行全局性的驗證

思博倫虛擬部署管理器可用于控制協(xié)調(diào)層，將NFVVNF和思博倫虛擬測試接口都融入NFV拓?fù)浣Y(jié)構(gòu)中。最后，Avalanche平臺（虛擬/物理）還可用于控制攻擊層，以及存儲/應(yīng)用協(xié)議。攻擊層包含發(fā)起分布式拒絕服務(wù)（DDoS）攻擊的能力，而這種攻擊可能對網(wǎng)絡(luò)基礎(chǔ)設(shè)施和Web服務(wù)產(chǎn)生干擾?？蛻魝?cè)漏洞和惡意軟件也可與合法流量一同注入，對防火墻、入侵阻止系統(tǒng)（IPS）和其它網(wǎng)絡(luò)層安全設(shè)備的安全效能加以驗證。這些威脅也可以瞄準(zhǔn)以NFV基礎(chǔ)設(shè)施為前端的應(yīng)用和服務(wù)，使之得到強(qiáng)化并具備抵御跨站點(diǎn)腳本或SQL注入攻擊等應(yīng)用層漏洞的能力。

6 結(jié)束語

思博倫的NFV解決方案可驗證所有的云棧層和待測NFV組件，并且可以通過隔離的方式精確查找問題的根源。它可以幫助廠商和運(yùn)營商提高其產(chǎn)品和服務(wù)的質(zhì)量，并且在設(shè)計和集成過程中做出更明智的決策。由于需要測試的排列組合數(shù)量巨大，驗證過程的自動化已成為必然的選擇。只有利用協(xié)調(diào)被測組件和測試仿真接口的能力，才有可能在NFV環(huán)境中實現(xiàn)完整的自動化。