功能服务链在城域网络中的应用方案研究

孔艺诺，屠礼彪，宋 盈（.中讯邮电咨询设计院有限公司，北京 00048；.中国联合网络通信集团有限公司，北京 00033）

0 引言

在云计算、物联网、自动驾驶等新兴技术的驱动下，我国数字经济蓬勃发展。国家“十四五”规划高度重视数字经济的发展，把“网络强国、数字中国”作为新发展阶段的重要战略进行部署，数字经济成为我国国民经济高质量发展的新动能。在云服务时代，运营商顺应技术的发展和时代的变革，积极响应国家号召，结合自身网络布局和技术优势，积极推动运营商的网络加速向云化演进，通过网络功能虚拟化能力（NFV），以集中部署的方式承载网络设备的功能，而网络功能云化后集中部署在运营商数据中心，仍需要与运营商广域网络进行连接融合。运营商的城域网近年来已逐步向以云DC 为中心的云网边一体化智能网络的方向发展，而更加高效便捷地将运营商云DC 提供的种种网络服务能力与运营商网络传统的连接能力协作起来，满足客户数字化应用需求，建立差异化竞争优势，是运营商势必要不断优化的云网融合演进方向。

随着5G技术和工业物联网的快速发展，更多的垂直领域如VR、自动驾驶、智慧城市、智慧家庭等也对网络提出了不同时延、稳定性和带宽的需求。为了应对互联网+时代带来的网络能力升级的需求和挑战，运营商势必要面对细分的企业市场，并快速向可提供差异化服务的网络服务提供商转型，网络服务也需要从传统的管道式连接为主转向算网一体的差异化网络服务。

1 功能服务链关键技术

为了向不同需求的企业和终端用户提供差异化、定制化的网络服务，运营商网络往往需要在网络传输的过程中为流量提供各类的网络增值服务，来保障数据包的安全性、合理性以及可传递性，常见的网络服务有防火墙、负载均衡设备、DDOS 流量清洗设备、入侵防御系统等等。数据通信网络不仅需要将流量引导至对应网络服务功能的处理节点，还需要按照业务需求的一定顺序对数据包进行引导，才能满足当前多样化融合业务的需求。

1.1 传统的功能服务链实现方式

在传统网络架构场景下，通常网络是根据业务所需的服务类型就近放在业务接入侧附近，并通过网络服务之间的一系列隧道和引流策略配置才能够按照一定顺序将网络服务连接起来（常见的配置有策略路由、VxLAN 隧道或者GRE隧道等），而这种部署和运维模式存在诸多问题。

a）网络服务与基础网络设备之间的物理连接强耦合。无法实现多种业务在服务节点之间自由地选择服务顺序。

b）配置复杂。需要在整个转发路径中逐个对关键网络节点进行手动配置，才能将流量引导至预期的下一个节点，而城域网网络设备通常要综合承载大量业务，在进行配置时一方面可能因运维人员配置错误出现较大面积的网络故障风险，另一方面多业务之间的配置可能存在冲突，导致无法满足多业务在网络设备中反复引流的情况。

c）变更和新业务下发不灵活。随着业务模式的不断变更和网络服务能力的快速发展，无论是需要为企业客户进行流量修改还是增加或删除任一网络服务节点，都需要在数个城域网络设备上进行配置修改操作，变更流程复杂、耗时长。

d）数据包在这个过程中多次进入不同的隧道，反复在路径中封装、拆封装，对网络设备的复杂性具有较高要求，且多次封装也会影响数据包的转发效率。

1.2 基于SRv6的功能服务链关键技术

SRv6 是基于IPv6 和Segment Routing 的新一代IP承载协议，它可以统一传统的复杂网络协议，实现网络协议的简化和应用级SLA 的保证。基于SRv6 的功能服务链（SFC）是一种通过在原始报文中添加SRv6路径信息来引导报文按照指定的路径依次经过网络服务设备的技术。SRv6 TE Policy 通过Segment List 指示网络中的设备遵循指定的路径转发，非常适合业务链场景。将网络转发路径上的关键节点以及代表网络服务的SID 按照所需顺序封装到SRv6 TE Policy 中，如果数据包被重定向到SRv6 TE Policy 中，则SRv6 TE Policy 的Segment List 由头端添加到数据包上，网络的其余设备执行Segment List中嵌入的指令。

SRv6近年来已经逐渐标准化，其基础协议主要包括SRv6 报文封装格式SRH、SRv6 网络编程框架、IGP基础路由扩展、BGP VPN 扩展、OAM 监控、BGP-LS北向接口、PCEP 北向接口、YANG 接口等，这些基础协议可以支持完成基于SRv6的VPN、路径规划、链路保护、SDN 管控等基础业务部署，相关协议标准化基本完成，其余协议标准也基本达到工作组文稿状态。而SRv6 SFC 报文封装格式已经正式发布为RFC8754，关于SRv6 SFC 的OAM 监控、静态代理、动态代理等能力的标准化仍在草案阶段，相关的标准化进程正在由主流设备厂商和运营商联合推进。对国内主流网络设备供应商的技术调研表明，华为、中兴、烽火等厂商基本都已经实现了SFC 的基本功能设计、产品能力开发和管控方案设计，而关于SFC 功能的代理方案和保护方案，各厂商产品仍处于不断发展和推进的进程当中。

SRv6 SFC服务链网络包括以下角色。

a）业务分类节点（Service Classifier，SC）。SC位于SRv6 SFC 服务链网络边缘，通常为运营商接入侧设备，作为服务链路径的源节点，通过指定接口、五元组或者DSCP 等标识，将业务数据引入特定的SRv6 TE Policy隧道中进行转发。

b）应用服务节点（Service Function，SF）。SF 为网络提供各类增值服务的节点，可以为网络服务专用设备，也可以是部署在运营商云资源池的虚拟网络服务节点。

c）服务链转发节点（Service Function Forwarder，SFF）。SFF 作为SF 的服务链代理，根据SRv6 封装信息，将收到的报文转发到SFF关联的若干SF上。SF处理报文后，将报文返回给SFF，SFF 决定是否继续转发报文。

d）服务链路径（Service Function Path，SFP）。SFP为根据需求计算出的一条报文路径，可以精确地指定每一个SF 的流量流经顺序。在SRv6 网络中，一个SRv6 TE Policy可以作为一个业务链路径SFP。

图1为简化后的SRv6 SFC 应用场景，SC 从用户网络接收到原始报文，通过匹配五元组等分类信息进行分类，分类后的流量被重定向到SRv6 TE Policy 中。分类器根据SRv6 TE Policy 进行SRv6 报文封装，SRH信息里除了SRv6 TE Policy 路径信息以外，还有代表VPN业务或公网业务的Tail End.DT4 SID。

图1 SRv6 SFC的典型组网方案示意

SRv6 SFC 技术可以很方便地满足云网中灵活引导流量的需求。SFC 技术利用SRv6 报文中可编程头部SRH 将业务所需的各种服务节点按需、按顺序融合到一条逐跳指定路径的SRv6 Policy 中，来满足网络中不同业务对网络的需求，可以很好地解决上述传统方案为部署和运维带来的诸多问题。

a）接入设备根据业务方的不同需求，将对应流量根据SRv6 Policy 引导至满足条件的SRv6-TE 隧道中，流量会根据控制器或编排器提前编排好的路径逐跳进行IPv6 寻址转发，实现不同业务可在同样的数据网络中按需按序访问服务节点。而网络服务设备之间只需要保证IPv6 网络可达，摆脱物理连接带来的限制，可以很好地解决传统方案中网络设备强耦合的问题。

b）运维人员仅需要在流量进入运营商网络的接入设备上进行SRv6 SFC 配置，由接入设备根据SFC 配置为指定流量封装SRH 头部后进行后续转发，网络其他设备无需感知服务路径需求或者配合业务对服务编排的需求进行一系列配置，可以极大地解决传统方案的配置复杂性问题。

c）由于仅接入设备需要进行配置和流量封装，当业务需求需要变更时，仅需对接入设备进行一次SFC配置重新下发的操作即可，运维人员可以快速灵活地对服务链业务进行变更。

d）数据包仅在接入设备进入SRv6 隧道时进行一次封装，极大地优化了传统方案中多次封装的转发效率问题。

2 SFC网络实现方案

智能城域网采用虚拟化、云化技术，网络服务（如BRAS/防火墙等）由就近在业务侧部署转向按省市构建城域网络能力资源池集中部署的方式，以此来满足智能城域网业务综合承载、算力下沉、算力统一编排的需求，实现多专业网元在网络能力资源池中的统一承载，并满足电信级网元的高性能与高可靠性承载要求。在城域网络中，可利用SRv6 SFC 技术构建智能、高效的业务链能力，实现云、网、安业务的融合与随选，提供业务自助订购、弹性调整、自动开通的能力。由网络服务编排系统对一条起始于CPE 设备、终结于城域网核心设备的端到端SRv6 隧道进行编排，逐个、有序地将网络服务节点在SRH 中进行排序，引导用户流量按需按序地经过网络能力资源池中的各项服务。根据当前城域网络现状，有如下几个网络方案。

2.1 企业接入CPE且支持SRv6 Policy场景

随着SRv6 技术的不断发展，部分政企接入设备CPE 或者物理BRAS 已支持SRv6 Policy 功能。通过运营商统一开放的门户，客户可以自定义选择网络能力资源池支持的各项服务并决策服务生效的顺序，由网络服务编排系统根据定制化需求以及当前资源池负载情况、能力支持情况选择一到多个资源池为客户创建物理或虚拟服务，并将编排好的服务链隧道信息通过网管系统下发到CPE 设备上，即CPE 作为SFC 的业务分类节点。

图2 为CPE 作为SC 的SFC 网络方案示意，政企客户的数据流通过接入设备CPE 进入运营商网络，根据企业客户源地址、染色情况、DSCP 等标记进行分类，CPE 将分类后的流量重定向到SRv6 TE Policy 中，以Policy 定义的路径作为SRH 插入到业务数据包中，并将流量发送到运营商城域网络中，转发至对应的网络能力资源池。

图2 CPE作为SC的SFC网络方案示意

2.2 无CPE或者CPE不支持SRv6场景

在现网场景下，部分政企接入设备CPE 或者物理BRAS 建设较早，设备原始能力无法支持SRv6 TE Policy 能力，在该场景下选择将分流编排的动作转移到城域网接入设备上完成，业务数据流流经CPE 等设备并通过二层或三层转发进入到运营商智能城域网接入设备（MAR），业务或者运维人员通过统一管控门户定制增值服务需求，控制器将编排好的Policy 提前下发至城域网接入设备。图3 给出了MAR 作为SC 的SFC 网络方案示意，可根据用户数据包五元组或者接入端口对业务流量进行分类染色，由城域网接入设备按照设备上Policy 规则将染色后的流量重定向到SRv6 TE Policy中，城域网其他设备根据报文外层头部信息将流量转发至预期的第一个对数据流进行处理的网络服务节点。

图3 MAR作为SC的SFC网络方案示意

2.3 网络服务支持SRv6 Policy场景

根据上述CPE 分流或城域接入设备分流的方案，城域网可以将业务流量通过重封装的方式定向转发到网络资源能力池中的网络服务节点。网络服务可能承载在专用集成硬件上，也可能承载在通用硬件上容器化部署，在该服务节点支持SRv6 Policy 的情况下，带SRH 头的业务流量直接转发至网络服务节点，网络服务节点根据自身能力和配置情况对流量进行处理，且由于该节点支持SRv6，该节点同时需要对SRv6 头部进行处理，即执行SL 减一的操作并将SRH中下一个SID 封装到外层头部的目的地址中，用于标识流量的下一个目的地。下一个服务节点收到数据报文后依然根据能力对数据流量进行处理，并同样对SRv6进行头部处理。

以此类推，直到流量经过服务链指定的最后一个服务节点后，根据SRv6 协议基本原理，由最后一个服务节点（SRv6 隧道尾节点）将报文原始目的地址封装到最外层头部的目的地址，并将流量根据路由表寻址转发至运营商公网。

2.4 网络服务不支持SRv6 Policy场景

现网中存在大量的历史采购或者建设的专用硬件服务设施，该类设施不支持SRv6 功能，在服务链编排中如果需要使用该类设备的网络服务能力，则需要城域网网络设备为该类服务提供代理，即代理网络设备根据收到报文的SRv6 SID，将报文依次转发至SID关联的各类服务上进行处理。转发过程如下：代理网络设备收到报文后，由于服务无法识别SRv6 报文，需要将SRv6 报文解封装，去除IPv6 基础头部和扩展的SRH 头部，把用户网络的原始数据报文转发给网络服务节点进行处理。处理后的流量回到代理网络设备后，根据手工配置或动态记录的SID 列表为处理后的业务报文重新封装SRv6 头部，使报文继续在SRv6 SFC网络中转发。

为了实现服务代理，需要在代理网络设备上创建End.AS SID 或者End.AM SID 类型的SID，并在控制器上进行服务编排时，将该SID 编排进SRv6 TE Policy中，用于标识SRv6 服务链静态代理的某个网络服务。End.AS SID 对应的转发动作是：在报文从该节点发送到服务节点之前，先解封装报文，然后根据End.AS SID关联的出接口转发报文。在报文从服务节点发送回到本代理节点之后，根据报文的入接口（或入接口和VLAN）查找关联的End.AS SID，并为报文重新添加SRv6封装。

3 SFC网络管控方案

为实现云、网、安等业务协同，面向业务提供清晰可用的自助订购、弹性调整、快速开通的网络服务能力，需要通过网络服务编排器协同网络设备控制器、网管系统以及资源池控制器协同配置，实现端到端的服务链开通和业务开通能力。各系统分别负责的管控能力模块如下。

a）网络服务编排系统。

（a）计算满足业务要求SLA 的可用路径以及备用路径。

（b）从用户界面获取业务所需的服务内容以及顺序、质量等网络服务要求。

（c）统筹网络信息，分配VRF、color、VLAN 等资源。

（d）生成并编排服务链和业务路径信息，形成SRH 配置并统筹整网控制器对网络进行配置、管理、调优等。

b）网络设备控制器（SDN控制器）。

（a）收集网络网元、拓扑、链路等信息，绘制可视化网络拓扑。

（b）业务VPN开通，配置下发。

（c）SRv6路径计算，Policy配置增删改查。

（d）服务链代理配置增删改查。

c）网管系统。

（a）收集设备告警并对各类告警进行分类和预处理。

（b）对设备状态、标签容量、链路状态等网络资源进行监控。

（c）对整网流量水线、网络质量等进行监控。

（d）自动化sop执行等。

d）资源池控制器。

（a）云资源池内网络监控。

（b）云内网络服务状态监控。

（c）网络服务创建、修改、删除。

（d）云内网络设备配置查询、修改、删除等。

图4 给出了智能城域网管控方案示意，一条完整的业务功能服务链的编排预期应包括以下几个流程。

图4 智能城域网管控方案示意

a）在业务第一次创建时，网络服务编排系统首先通过网络设备控制器和资源池控制器分别获取承载网络、资源池网络和服务信息，汇总获得整网网络能力全景图。

b）根据用户输入的业务编排要求，选择资源池中已有的服务节点，或通知资源池在空闲虚机上进行新增服务的创建。

c）获取全部服务节点以及网络设备的SRv6 能力，如果存在不支持SRv6 的服务节点，网络服务编排器还需要为其就近选择网络设备进行代理，并为其分配代理SID 以及生成相应的代理配置，通知控制器进行代理配置下发。

d）网络服务编排系统根据资源占用情况为业务选择color，并通知网络设备控制器通过路由策略对需要引流的业务流量进行染色。

e）网络服务编排系统向网络设备控制器下发算路请求，通知网络设备控制器根据客户的定制需求（服务需求、SLA需求、时延需求等）进行预算路。

f）网络设备控制器确定SRv6路径后，网络服务编排系统将转发路径的关键节点与网络服务SID 或者代理SID 信息、业务color 染色信息等进行整合，生成SRv6 SFC 配置，并通过网络设备控制器进行配置下发。

至此，一条业务功能服务链创建成功，业务流量进入分流设备后会根据设备上所配置的SRv6 Policy选择对应的业务服务链进行转发；业务链初步创建成功后，网络服务编排系统还需要根据网管以及资源池控制器的网络、服务、资源池等健康状态信息实时进行服务链配置的自动调整；当业务需求发生变更和停止时，系统也需要支持对服务链的手动修改以及删除能力。

4 结束语

随着工业互联、自动驾驶、行业云网、智慧园区、元宇宙、云游戏等互联网+新业态的持续发展，各行业对运营商网络定制化和差异化服务的需求会逐渐提高。通过本文的智能城域网功能服务链调度方案，可以实现运营商网络快速适应流量多样化、算力下沉的需求，为不同业务提供多种多样的、可灵活选择的大带宽、低延时、灵活路径随选、安全可信等网络增值服务能力，满足云专线、云间高速、云边协同、政企专线等业务的承载需求，打造简洁、敏捷、开放、融合、安全、智能的云网融合新型信息基础设施。本方案有效解决了传统网络服务部署方式设备冗余、开通慢、配置复杂等问题，随着SRv6 技术的进一步发展和应用，运营商网络将以更简单、精细的服务能力助力各行各业应用流量蓬勃发展。