張順康，陳 鳴，許 博

(1.南京航空航天大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106；2.陸軍工程大學(xué) 指揮控制工程學(xué)院，江蘇 南京 210007)

0 引 言

在計(jì)算機(jī)網(wǎng)絡(luò)中，網(wǎng)絡(luò)服務(wù)是運(yùn)行在應(yīng)用層的一種程序，能夠提供數(shù)據(jù)存儲(chǔ)、處理、表示、通信或其他分布式計(jì)算能力，網(wǎng)絡(luò)服務(wù)可認(rèn)為是某種網(wǎng)絡(luò)功能的集合，是網(wǎng)絡(luò)創(chuàng)新最為活躍的領(lǐng)域，是網(wǎng)絡(luò)價(jià)值的體現(xiàn)。在網(wǎng)絡(luò)功能虛擬化(network function virtualization，NFV)環(huán)境下，NFV通過軟硬件解耦和功能抽象，形成不依賴于物理設(shè)備的虛擬網(wǎng)絡(luò)功能(virtual network function，VNF)，VNF運(yùn)行在虛擬機(jī)或容器中，通過服務(wù)功能鏈(service function chaining，SFC)將若干個(gè)VNF互連，形成一條具有特定功能、性能的網(wǎng)絡(luò)路徑，用于提供端到端的NFV網(wǎng)絡(luò)服務(wù)[1-2]。SFC可以靈活部署網(wǎng)絡(luò)服務(wù)，有效降低網(wǎng)絡(luò)建設(shè)與運(yùn)維的成本，加快新服務(wù)的應(yīng)用和升級(jí)。SFC是當(dāng)前學(xué)術(shù)界的研究熱點(diǎn)，2015年至今的HotMiddlebox研討會(huì)上，收錄了多篇SFC方面的論文，甚至計(jì)算機(jī)網(wǎng)絡(luò)的頂級(jí)會(huì)議——ACM SIGCOMM，也將SFC列為專題來研討。分析SFC的相關(guān)工作，對(duì)于SFC的研究主要分為以下3個(gè)方面：SFC標(biāo)準(zhǔn)化研究、SFC編排研究和SFC應(yīng)用研究[3-6]。

在SFC應(yīng)用研究領(lǐng)域，目前研究者比較關(guān)注的是如何降低時(shí)延、增強(qiáng)服務(wù)可靠性以及靈活調(diào)整服務(wù)功能。該文研究如何靈活調(diào)整NFV網(wǎng)絡(luò)服務(wù)的功能，提出了兩個(gè)問題并給出了解決方案。第一，目前SFC僅通過定義VNF序列的執(zhí)行順序來控制網(wǎng)絡(luò)服務(wù)功能，而事實(shí)上，VNF的運(yùn)行參數(shù)及執(zhí)行時(shí)間段等都會(huì)對(duì)NFV網(wǎng)絡(luò)服務(wù)的功能產(chǎn)生影響；第二，如何讓系統(tǒng)理解用戶對(duì)NFV網(wǎng)絡(luò)服務(wù)的要求，并且能夠自動(dòng)將其轉(zhuǎn)換為對(duì)VNF序列的控制操作。針對(duì)第一個(gè)問題，文中提出了增強(qiáng)服務(wù)功能鏈(enhanced service function chaining，ESFC)的概念，并給出了一種基于XML語言的描述方法，通過自定用戶義的標(biāo)簽描述VNF序列的執(zhí)行順序、運(yùn)行參數(shù)以及執(zhí)行時(shí)間段等，從而精細(xì)地定制ESFC，滿足用戶細(xì)粒度控制NFV網(wǎng)絡(luò)服務(wù)的需求；對(duì)于第二個(gè)問題，文中設(shè)計(jì)了一種靈活控制ESFC的系統(tǒng)模型，可以自動(dòng)解析控制描述文件，并生成對(duì)VNF序列的控制任務(wù)，執(zhí)行相應(yīng)的任務(wù)，就可以控制特定VNF在特定時(shí)間內(nèi)，以特定的參數(shù)運(yùn)行，從而自動(dòng)調(diào)整ESFC，實(shí)現(xiàn)NFV網(wǎng)絡(luò)服務(wù)的精細(xì)化控制。

1 SFC相關(guān)研究

目前，SFC的標(biāo)準(zhǔn)化工作主要由IETF下的SFC工作組完成，該組織在草案[7]中詳細(xì)定義了SFC的框架結(jié)構(gòu)、適用場(chǎng)景、數(shù)據(jù)包分組格式等。SFC編排問題已經(jīng)被證明是一個(gè)NP難問題[8]，可將SFC編排問題轉(zhuǎn)化為整數(shù)線性規(guī)劃模型，然后設(shè)計(jì)啟發(fā)式算法求最優(yōu)解，如Beck等人[9]設(shè)計(jì)了一種基于彈性約束的啟發(fā)式算法，根據(jù)SFC策略需求可以快速得到最優(yōu)解，有效降低計(jì)算資源消耗；李丹等人[10]則提出了一種基于最優(yōu)加權(quán)圖匹配的算法，將SFC抽象為功能拓?fù)鋱D，利用特征向量分解算法獲得匹配結(jié)果，并利用爬山算法對(duì)結(jié)果進(jìn)行優(yōu)化，可以顯著降低帶寬資源消耗，并且算法復(fù)雜度很低，具有較高的時(shí)效性。

當(dāng)前對(duì)于SFC應(yīng)用問題的研究主要集中在如何降低時(shí)延以及保證服務(wù)的可靠性，如Oljira等人[11]通過一些仿真試驗(yàn)測(cè)試了虛擬化對(duì)網(wǎng)絡(luò)時(shí)延的影響，仿真結(jié)果表明，對(duì)于端到端的網(wǎng)絡(luò)時(shí)延，虛擬化環(huán)境下的數(shù)值比非虛擬化環(huán)境要大；陳卓等人[12]抽象了一個(gè)面向業(yè)務(wù)流服務(wù)時(shí)延優(yōu)化的數(shù)學(xué)模型，并基于遺傳算法提出了一種啟發(fā)式SFC重遷移配置策略，并通過對(duì)比試驗(yàn)證明了模型和算法的有效性。而為了提高服務(wù)的可靠性，通常采用VNF備份機(jī)制，如Fan等人[13]基于VNF備份機(jī)制提出了一種新穎的在線算法，可以在資源消耗最小的同時(shí)，確保網(wǎng)絡(luò)服務(wù)的可靠性；蘭巨龍等人[14]通過將網(wǎng)絡(luò)拓?fù)涑橄鬄橛邢驁D進(jìn)行建模分析，提出了一種基于路徑選擇的可靠性算法；韓青等人[15]提出了一種最優(yōu)備份拓?fù)渖伤惴?，可以在保證服務(wù)可靠性的前提下，減少VNF備份數(shù)量，提高資源利用率。

綜上所述，雖然目前關(guān)于SFC標(biāo)準(zhǔn)化以及SFC編排的研究已經(jīng)相對(duì)成熟，在SFC應(yīng)用方面也取得了一定的研究成果，提出的一些算法和模型也具備一定的可行性，但是，由于上述算法基本都是通過仿真系統(tǒng)進(jìn)行驗(yàn)證的，在真實(shí)網(wǎng)絡(luò)中的效果還有待商榷。另外當(dāng)前也缺少利用SFC靈活、精細(xì)地控制NFV網(wǎng)絡(luò)服務(wù)的研究。文中針對(duì)這一問題進(jìn)行了探討，提出了兩個(gè)問題并給出了解決方案，同時(shí)在NFV網(wǎng)絡(luò)中進(jìn)行試驗(yàn)，確保了結(jié)果的準(zhǔn)確性及可靠性。

2 增強(qiáng)服務(wù)功能鏈機(jī)制

2.1 相關(guān)定義

定義1：NFV環(huán)境下，所謂VNF是一段能夠在虛擬機(jī)或容器等環(huán)境中運(yùn)行的代碼或軟件。

定義2：NFV環(huán)境下，虛擬中間盒(virtual middle-box，VMB)是指具有特定網(wǎng)絡(luò)功能的Linux容器(Linux container，LXC)，在LXC環(huán)境中運(yùn)行一個(gè)或多個(gè)VNF提供某種網(wǎng)絡(luò)功能，這種LXC即被稱為VMB。

定義3：NFV環(huán)境下，某VNFi的定義為：VNFi={F,P}，其中F是性能與功能集合，P是運(yùn)行參數(shù)集合。當(dāng)分組序列通過VNFi時(shí)，所呈現(xiàn)的功能及性能集合稱為VNFi行為。當(dāng)前的VNF通常認(rèn)為其行為是不變的，但事實(shí)上，若P取不同的子集pt，則其可能呈現(xiàn)不同的功能和性能Ft={fs|pt}。

當(dāng)前的SFC較之傳統(tǒng)方式提供網(wǎng)絡(luò)服務(wù)的優(yōu)勢(shì)，就在于它可以定制VNF的次序，增強(qiáng)網(wǎng)絡(luò)服務(wù)的靈活性。但是SFC一旦確定并部署完成，SFC的行為就是固定的，且xAi(x),x∈A取值為1。而事實(shí)上，VNFi的行為是可變的，因此xAi(x)可能取值為0，并且由定義3可知，每個(gè)VNF的行為都可能隨著運(yùn)行參數(shù)的改變而不同。

定義5：NFV環(huán)境下，當(dāng)某SFC的運(yùn)行參數(shù)P可控調(diào)整，且xAi(x)可按時(shí)間t取值0或1，該SFC稱為增強(qiáng)服務(wù)功能鏈(ESFC)。

SFC與ESFC的本質(zhì)區(qū)別是，前者僅能定制VNF次序，且一旦定制完成，則其行為固定不變；而后者則可通過VNF順序、運(yùn)行參數(shù)集合P和隨時(shí)間變化的xAi(x)等要素來定制SFC，從而靈活、精細(xì)地控制SFC，使得NFV網(wǎng)絡(luò)服務(wù)呈現(xiàn)豐富的功能多樣性。

2.2 靈活控制ESFC的系統(tǒng)模型

引入上述概念使得靈活、精細(xì)地控制NFV網(wǎng)絡(luò)服務(wù)成為可能，但由于用戶對(duì)網(wǎng)絡(luò)服務(wù)的需求不斷變化，通過人工修改程序來滿足網(wǎng)絡(luò)服務(wù)行為調(diào)整的方法是不可取的，需要研發(fā)一種系統(tǒng)：理解人類用戶需求，進(jìn)而自動(dòng)將其轉(zhuǎn)換為可執(zhí)行的網(wǎng)絡(luò)任務(wù)。

為此，基本思路是：定義一種形式化描述ESFC的方法，用戶利用該方法描述所需的網(wǎng)絡(luò)服務(wù)，并形成控制描述文件；系統(tǒng)讀入并解析控制描述文件，進(jìn)而將其分解為對(duì)VNF序列的控制任務(wù)。

為了具有靈活、精細(xì)地控制網(wǎng)絡(luò)服務(wù)的能力，需要系統(tǒng)提供相關(guān)的功能支持。該系統(tǒng)的層次模型如圖1所示，它分為服務(wù)定制層、服務(wù)編排層以及任務(wù)執(zhí)行層。其中，服務(wù)定制層主要供用戶定制NFV網(wǎng)絡(luò)服務(wù)的控制描述文件，用于解決提出的第一個(gè)問題；服務(wù)編排層是控制描述文件的解釋執(zhí)行環(huán)境，負(fù)責(zé)編排控制描述文件并生成任務(wù)隊(duì)列，用來解決提出的第二個(gè)問題；任務(wù)執(zhí)行層的主要功能就是執(zhí)行具體的任務(wù)以控制VNF呈現(xiàn)特定行為，從而靈活調(diào)整ESFC的功能，實(shí)現(xiàn)靈活控制NFV網(wǎng)絡(luò)服務(wù)的目標(biāo)。

對(duì)于該靈活控制ESFC的系統(tǒng)模型，有以下3條假設(shè)：

圖1 靈活控制ESFC的系統(tǒng)模型

(1)NFV網(wǎng)絡(luò)服務(wù)由ESFC提供。

(2)ESFC已經(jīng)部署在NFV網(wǎng)絡(luò)中。

(3)用戶明確NFV網(wǎng)絡(luò)服務(wù)需求。

該系統(tǒng)中，執(zhí)行一個(gè)控制任務(wù)指調(diào)整一個(gè)VNF的行為，任務(wù)隊(duì)列中的所有任務(wù)全部被執(zhí)行之后，即完成了相應(yīng)的ESFC的調(diào)整，即實(shí)現(xiàn)了用戶的NFV網(wǎng)絡(luò)服務(wù)需求?？刂迫蝿?wù)具有“控制描述”、“解析調(diào)度”和“任務(wù)執(zhí)行”3種狀態(tài)，系統(tǒng)調(diào)度控制任務(wù)執(zhí)行時(shí)的有限狀態(tài)機(jī)如圖2所示。其中，當(dāng)新的網(wǎng)絡(luò)服務(wù)需求到達(dá)時(shí)，任務(wù)處于“控制描述”狀態(tài)，采用形式化方法描述NFV網(wǎng)絡(luò)服務(wù)行為，定義構(gòu)成網(wǎng)絡(luò)服務(wù)行為的控制任務(wù)可通過描述ESFC實(shí)現(xiàn)，而事實(shí)上是描述構(gòu)成ESFC的VNF序列的行為，任務(wù)保持在“控制描述”狀態(tài)直至描述完畢為止；而當(dāng)完成控制描述文件時(shí)，提交控制描述文件，任務(wù)處于“解析調(diào)度”狀態(tài)?？刂迫蝿?wù)處于“解析調(diào)度”狀態(tài)時(shí)，當(dāng)任務(wù)隊(duì)列中某個(gè)任務(wù)的調(diào)度時(shí)間到了，提交該任務(wù)，轉(zhuǎn)向“任務(wù)執(zhí)行”狀態(tài)；如果當(dāng)任務(wù)調(diào)度時(shí)間到了而沒有任務(wù)可調(diào)度，則返回。當(dāng)任務(wù)處于“任務(wù)執(zhí)行”狀態(tài)，若某個(gè)控制任務(wù)是一次性任務(wù)，則執(zhí)行完畢后刪除該任務(wù)；而當(dāng)該任務(wù)需要重復(fù)執(zhí)行時(shí)，則需要將該任務(wù)重新插入隊(duì)列的適當(dāng)位置。

圖2 系統(tǒng)執(zhí)行控制任務(wù)的有限狀態(tài)機(jī)

2.3 形式化描述方法

XML是一種可擴(kuò)展標(biāo)記語言，允許用戶自定義標(biāo)簽，同時(shí)具有自描述性，可定義各種標(biāo)識(shí)描述信息的所有元素[16]。因此為了解決文中提出的第一個(gè)問題，提出了一種基于XML語言描述ESFC的形式化方法，用戶可根據(jù)NFV網(wǎng)絡(luò)服務(wù)需求自主定義標(biāo)簽，從而能夠靈活地基于多個(gè)約束條件定義一個(gè)ESFC，滿足用戶靈活、精細(xì)地描述NFV網(wǎng)絡(luò)服務(wù)的需求。

文中給出了從VNF次序、VNF執(zhí)行時(shí)間、VNF運(yùn)行參數(shù)等因素共同定義的ESFC的控制描述文件control.xml。該文件共3層，第1層為根標(biāo)簽，表示此文件用來描述NFV網(wǎng)絡(luò)服務(wù)的控制信息，其標(biāo)簽定義為；第2層標(biāo)簽為，定義了一條控制信息的序號(hào)；第3層定義了一個(gè)VNF的控制信息，包括VNF所在VMB的名稱、VNF名稱、VNF執(zhí)行時(shí)間、VNF動(dòng)作、VNF運(yùn)行參數(shù)等，其具體標(biāo)簽定義如表1所示。

表1 VNF控制信息的標(biāo)簽定義

2.4 控制器設(shè)計(jì)

上述控制描述文件可解決靈活、細(xì)粒度地描述ESFC的問題，而為了解決文中提出的第二個(gè)問題，基于圖1所示的靈活控制ESFC的系統(tǒng)模型，設(shè)計(jì)實(shí)現(xiàn)了一個(gè)控制器，用來解析控制描述文件，并將其自動(dòng)轉(zhuǎn)換為控制相應(yīng)VNF行為的任務(wù)隊(duì)列，調(diào)度隊(duì)列執(zhí)行任務(wù)即可及時(shí)、準(zhǔn)確地調(diào)整ESFC，從而實(shí)現(xiàn)NFV網(wǎng)絡(luò)服務(wù)的精細(xì)化控制。

控制器分為解析模塊和任務(wù)隊(duì)列模塊兩部分，解析模塊負(fù)責(zé)檢測(cè)控制描述文件的語法格式，并解析描述文件得到NFV網(wǎng)絡(luò)服務(wù)的控制描述信息；任務(wù)隊(duì)列模塊根據(jù)控制描述信息構(gòu)建任務(wù)隊(duì)列，并調(diào)度任務(wù)隊(duì)列的任務(wù)在特定時(shí)間下發(fā)到任務(wù)執(zhí)行模塊執(zhí)行。其中，解析模塊的語法檢測(cè)功能由檢測(cè)函數(shù)XMLGrammarD()提供，基于DTD文件實(shí)現(xiàn)，描述文件解析功能由解析函數(shù)analysisXML()提供，基于Java DOM4j函數(shù)庫實(shí)現(xiàn)，逐行解析控制描述文件即可得到NFV網(wǎng)絡(luò)服務(wù)的控制描述信息；任務(wù)隊(duì)列基于雙向鏈表實(shí)現(xiàn)，構(gòu)造任務(wù)隊(duì)列時(shí)，有VNF運(yùn)行時(shí)間和VNF優(yōu)先級(jí)兩個(gè)約束條件，因此得到的任務(wù)隊(duì)列中，排在前面的都是執(zhí)行時(shí)間靠前且優(yōu)先級(jí)較高的控制任務(wù)?？刂破鞯墓ぷ髁鞒倘缦拢?/p>

(1)系統(tǒng)讀入控制描述文件，執(zhí)行函數(shù)XMLGrammarD()檢查控制描述文件的語法，若語法正確，執(zhí)行解析函數(shù)；否則，給出錯(cuò)誤提示，由人工修改控制描述文件后再重新讀入。

(2)執(zhí)行完解析函數(shù)之后得到NFV網(wǎng)絡(luò)服務(wù)的控制信息，根據(jù)控制描述信息生成任務(wù)隊(duì)列，執(zhí)行調(diào)度函數(shù)taskControl()處理任務(wù)隊(duì)列。

(3)若已到達(dá)隊(duì)首任務(wù)的執(zhí)行時(shí)間startTime，則讓隊(duì)首控制任務(wù)出隊(duì)，獲取控制任務(wù)信息，然后執(zhí)行隊(duì)列函數(shù)taskAdjustment()，此過程中根據(jù)任務(wù)類別，對(duì)該任務(wù)進(jìn)行不同操作，然后開啟線程下發(fā)任務(wù)參數(shù)到任務(wù)執(zhí)行模塊，從而控制特定VMB中特定的VNF執(zhí)行特定的操作；若未到達(dá)隊(duì)首任務(wù)的執(zhí)行時(shí)間，則繼續(xù)等待。

調(diào)度任務(wù)隊(duì)列的詳細(xì)流程如圖3所示。

圖3 任務(wù)隊(duì)列調(diào)度流程

2.5 任務(wù)執(zhí)行模塊設(shè)計(jì)

任務(wù)執(zhí)行模塊，用來執(zhí)行具體的控制任務(wù)，改變特定VNF的行為，其基于shell腳本實(shí)現(xiàn)，主要接收任務(wù)隊(duì)列下發(fā)的控制任務(wù)信息。首先，根據(jù)任務(wù)信息確定操作的VMB以及VNF；然后，根據(jù)VNF的動(dòng)作信息調(diào)整VNF行為。任務(wù)執(zhí)行腳本control.sh位于/usr/local/目錄下，共有3個(gè)函數(shù)：start()、stop()和restart()，分別用來執(zhí)行啟動(dòng)VNF、停止VNF運(yùn)行以及重啟VNF等操作。

(1)執(zhí)行start()函數(shù)需要傳遞的參數(shù)有VMB名稱、VNF名稱以及VNF運(yùn)行參數(shù)(可選)。

(2)執(zhí)行stop()函數(shù)需要傳遞的參數(shù)有VMB名稱和VNF名稱。

(3)執(zhí)行restart()函數(shù)需要傳遞的參數(shù)有VMB名稱、VNF名稱以及VNF運(yùn)行參數(shù)。

其中VNF的運(yùn)行參數(shù)存儲(chǔ)在文件config.txt中，以“參數(shù)名=參數(shù)值”的格式存儲(chǔ)，每個(gè)參數(shù)占一行，位于相應(yīng)VMB中的/usr/local/目錄下。啟動(dòng)VNF實(shí)際上就是根據(jù)該配置文件使VNF的功能生效；停止VNF運(yùn)行實(shí)際上是根據(jù)VNFname的值關(guān)閉相應(yīng)的進(jìn)程；重啟VNF實(shí)際上就是更新該配置文件，并以新的配置文件為參數(shù)讓VNF的功能生效。

3 原型系統(tǒng)試驗(yàn)及結(jié)果分析

根據(jù)第2節(jié)提出的靈活控制ESFC的系統(tǒng)模型，本節(jié)基于LXC技術(shù)在一臺(tái)服務(wù)器上建立了原型系統(tǒng)，通過對(duì)原型系統(tǒng)的試驗(yàn)，驗(yàn)證了基于XML語言描述NFV網(wǎng)絡(luò)服務(wù)需求的方法的可行性，以及ESFC機(jī)制的有效性。

3.1 原型系統(tǒng)組成

原型系統(tǒng)運(yùn)行在一臺(tái)型號(hào)為Intel(R) Xeon(R) X5647的服務(wù)器上，服務(wù)器的主頻為2.93 GHz，內(nèi)存為32 G，CPU為四核，安裝Ubuntu 16.04 server版系統(tǒng)。原型系統(tǒng)的NFV網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖4所示，NFV網(wǎng)絡(luò)中的所有虛擬網(wǎng)絡(luò)節(jié)點(diǎn)都是通過在LXC中運(yùn)行VNF得到的，所有鏈路的帶寬均為1 000 Mbps，在LXC中運(yùn)行Quagga[17]軟件得到虛擬路由器R1～R5，所有路由器中都運(yùn)行OSPF協(xié)議[18]；在LXC運(yùn)行OpenvSwitch軟件得到交換機(jī)S1；在LXC中運(yùn)行IPERF軟件得到虛擬主機(jī)iperf1和iperf2，用來發(fā)送或接收TCP/UDP流量；在LXC中運(yùn)行TFN2K[19]軟件得到可以發(fā)動(dòng)DDoS攻擊中間盒A1，可發(fā)送DDoS攻擊流；在LXC中運(yùn)行DDoS防御程序[20]得到DDoS防御中間盒D1，可用來檢測(cè)并防御DDoS攻擊。

圖4 測(cè)試原型系統(tǒng)的NFV網(wǎng)絡(luò)

3.2 系統(tǒng)功能驗(yàn)證及分析

為了驗(yàn)證靈活控制ESFC的系統(tǒng)能夠根據(jù)控制描述文件準(zhǔn)確地調(diào)整ESFC，從而按需靈活控制NFV網(wǎng)絡(luò)服務(wù)，在此NFV網(wǎng)絡(luò)中，部署了兩條ESFC：iperf2→iperf1和A1→D1→iperf1，通過以下試驗(yàn)來驗(yàn)證靈活控制ESFC的系統(tǒng)功能，試驗(yàn)開始前，ESFC的功能節(jié)點(diǎn)中的VNF都未運(yùn)行。

試驗(yàn)過程如下：

(1)在T0=0 s時(shí)，啟動(dòng)iperf2和iperf1，并讓iperf2向iperf1發(fā)送帶寬為100 Mbps的TCP流。

(2)在T1=10 s時(shí)，改變iperf2中IPERF VNF的運(yùn)行參數(shù)，讓其向iperf1發(fā)送帶寬為200 Mbps的UDP流。

(3)在T2=20 s時(shí)，啟動(dòng)A1中的TFN2K VNF，讓其對(duì)iperf1發(fā)動(dòng)DDoS攻擊，攻擊方式為TCP flood。

(4)在T3=30 s時(shí)，啟動(dòng)D1中的防御程序。

(5)在T4=40 s時(shí)，結(jié)束試驗(yàn)。

編輯表示此次試驗(yàn)過程的控制描述文件，并將其提交給原型系統(tǒng)執(zhí)行，統(tǒng)計(jì)這段時(shí)間內(nèi)，iperf1端口捕獲分組速率的變化情況，試驗(yàn)重復(fù)了30次，取其平均值作為iperf1端口捕獲分組速率的數(shù)值。圖5展示了iperf1端口捕獲分組速率的變化曲線。

圖5 通過系統(tǒng)控制ESFC的行為

由圖5可見，在T0～T1(0～10 s)時(shí)間段內(nèi)，iperf1端口捕獲分組的速率大約在8 500個(gè)報(bào)文/秒左右，報(bào)文類型為TCP；在T1～T2(10～20 s)時(shí)間段內(nèi)，iperf1端口捕獲分組的速率約為17 000個(gè)報(bào)文/秒，報(bào)文類型為UDP；在T2～T3(20～30 s)時(shí)間段內(nèi)，iperf1端口捕獲UDP分組的速率基本不變，仍為17 000個(gè)報(bào)文/秒，捕獲TCP分組的速率則迅速增加，約為60 000個(gè)報(bào)文/秒；在T3～T4(30～40 s)時(shí)間段內(nèi)，iperf1端口捕獲UDP分組的速率保持不變，仍為17 000個(gè)報(bào)文/秒，而捕獲TCP分組的速率則迅速下降到0。并且在時(shí)刻T0、T1、T2、T3，捕獲分組的速率變化基本都在極短時(shí)間內(nèi)完成，此后基本保持穩(wěn)定。分析捕獲分組速率的變化曲線可知，在T0時(shí)刻，iperf1接收到帶寬為100 Mbps的TCP報(bào)文；在T1時(shí)刻iperf1接收到帶寬為200 Mbps的UDP 報(bào)文；在T2時(shí)刻iperf1遭受了TCP flood 攻擊；在T3時(shí)刻啟動(dòng)了DDoS防御中間盒D1，因此，DDoS攻擊報(bào)文不能通過交換機(jī)S1轉(zhuǎn)發(fā)到iperf1?？梢钥吹剑囼?yàn)過程中，相關(guān)VNF的行為與預(yù)定義的控制描述文件完全一致。

試驗(yàn)小結(jié)：基于XML語言編輯控制描述文件可以表示復(fù)雜、多變的NFV網(wǎng)絡(luò)服務(wù)需求，并且該系統(tǒng)讀入控制描述文件，可以按照預(yù)期調(diào)控相關(guān)VNF的行為，從而按需調(diào)整ESFC，進(jìn)而實(shí)現(xiàn)靈活、精細(xì)地控制NFV網(wǎng)絡(luò)服務(wù)的目標(biāo)。

3.3 系統(tǒng)性能驗(yàn)證及分析

為了測(cè)試通過系統(tǒng)控制VNF行為的及時(shí)性，將VNF行為預(yù)定發(fā)生時(shí)間與實(shí)際執(zhí)行時(shí)間的間隔稱為調(diào)度時(shí)間，以其作為評(píng)價(jià)指標(biāo)。通過該系統(tǒng)反復(fù)測(cè)試了控制不同的VNF執(zhí)行不同操作時(shí)的調(diào)度時(shí)間，最后得到如表2所示的試驗(yàn)結(jié)果。

表2 三種VNF的調(diào)度時(shí)間 ms

由表2可見，調(diào)度時(shí)間與VNF類型基本無關(guān)，但與VNF行為有關(guān)。啟動(dòng)或停止VNF的調(diào)度時(shí)間約為40 ms，而重啟VNF的調(diào)度時(shí)間大致為100 ms。這說明，當(dāng)同時(shí)刻僅有一個(gè)控制任務(wù)需要被執(zhí)行時(shí)，該系統(tǒng)可以在極短時(shí)間內(nèi)完成特定VNF行為的控制。

但在實(shí)際應(yīng)用中，用戶可能需要同時(shí)改變大量VNF的行為，為此，讓該系統(tǒng)在同一時(shí)刻分別調(diào)度100、200、300、400、500和800個(gè)任務(wù)進(jìn)行試驗(yàn)，這些控制任務(wù)并發(fā)執(zhí)行，此時(shí)統(tǒng)計(jì)處理完成同一時(shí)刻執(zhí)行的所有任務(wù)所需要的調(diào)度時(shí)間。圖6顯示了并發(fā)執(zhí)行任務(wù)的測(cè)試結(jié)果。

由圖6可見，任務(wù)調(diào)度時(shí)間與同一時(shí)刻需要執(zhí)行的任務(wù)數(shù)量大致呈線性增長(zhǎng)的關(guān)系。該系統(tǒng)在1秒內(nèi)可以同時(shí)處理大約200個(gè)動(dòng)作為“restart”的VNF操作，800個(gè)動(dòng)作為“start”或“stop”的VNF操作，因此該系統(tǒng)應(yīng)當(dāng)能滿足大部分實(shí)際網(wǎng)絡(luò)服務(wù)的應(yīng)用需求。

圖6 并發(fā)執(zhí)行多個(gè)任務(wù)所需的調(diào)度時(shí)間

為了測(cè)試該系統(tǒng)工作時(shí)對(duì)宿主機(jī)的影響，在試驗(yàn)過程中，統(tǒng)計(jì)了宿主服務(wù)器資源的使用情況。圖7展示了系統(tǒng)運(yùn)行過程中宿主服務(wù)器的CPU使用率及內(nèi)存占用率的變化情況。

圖7 宿主服務(wù)器資源與任務(wù)數(shù)量的關(guān)系

由圖7可見，盡管宿主服務(wù)器的CPU利用率和內(nèi)存占用率隨任務(wù)數(shù)量的增加而上升，但即使在調(diào)度800個(gè)任務(wù)時(shí)，內(nèi)存占用率的增長(zhǎng)也沒有超過1%，CPU利用率最大也沒有達(dá)到15%。上述試驗(yàn)結(jié)果表明，系統(tǒng)總的調(diào)度時(shí)間隨著任務(wù)數(shù)量的增加而大致呈線性增長(zhǎng)趨勢(shì)，該系統(tǒng)能夠同時(shí)處理200個(gè)動(dòng)作為“restart”的VNF調(diào)度，或800個(gè)動(dòng)作為“start”或“stop”的VNF調(diào)度，而不影響響應(yīng)的及時(shí)性，并且這些調(diào)度操作對(duì)系統(tǒng)資源的影響較小。說明基于普通宿主服務(wù)器，原型系統(tǒng)能夠滿足完成處理大量并發(fā)任務(wù)調(diào)度的需求。

4 結(jié)束語

當(dāng)前，通過SFC定制NFV網(wǎng)絡(luò)服務(wù)，僅能定義VNF次序，并且在SFC部署完成之后，不能再調(diào)整相應(yīng)的VNF行為。文中研究了SFC定制NFV網(wǎng)絡(luò)服務(wù)時(shí)所面臨的兩個(gè)問題，并給出了解決方案。首先，提出了ESFC的概念，給出了一種基于XML語言的細(xì)粒度描述NFV網(wǎng)絡(luò)服務(wù)的表示方法；其次，設(shè)計(jì)并實(shí)現(xiàn)了靈活控制ESFC的系統(tǒng)。原型系統(tǒng)的試驗(yàn)結(jié)果表明，該系統(tǒng)通過解析控制描述文件，能夠靈活、精細(xì)地控制NFV網(wǎng)絡(luò)服務(wù)。并且該系統(tǒng)基于NFV技術(shù)實(shí)現(xiàn)，所得的試驗(yàn)結(jié)果真實(shí)可靠。接下來，將進(jìn)一步優(yōu)化控制器設(shè)計(jì)，使所提架構(gòu)與機(jī)制能夠更好地滿足多種NFV網(wǎng)絡(luò)服務(wù)的需求，以及研究該系統(tǒng)如何應(yīng)用到真實(shí)網(wǎng)絡(luò)中。