企业网关

hp20072007

引言
企业网关是企业用户接入运营商网络的门户，实
现企业内部设备通信及内部设备与外部设备的通
信。在SDN架构下实现企业网关管理及专线业务下
发，通过NFV实现产品功能及服务虚拟化，最终实现
企业专线业务自动快速开通，用户自助服务的能力是
本文讨论的重点内容。
1 企业网关虚拟化
虚拟化企业网关应具备快速开通专线业务，设备
自动化部署，动态在线调整配置属性，可对企业客户
开放管理权限，支持用户多种网络环境开通业务。同
时应具备用户流量识别和调节、ACL、Internet访问等
基础功能。
虚拟化企业网关系统架构如图1所示。其中应用
平台是企业专线业务呈现，提供用户订购、业务订购
及运营商管理界面，且与运营商OSS/BSS系统对接。
Orchestrator资源占用及业务编排负责提供用户、业务
的配置和管理模板，包括用户开通、撤销，IP 地址，
QoS，ACL等多种配置功能。此外，提供API北向接口，
对接应用平台，提供对接功能。流量收集与分析提供
用户数据搜集、统计及分析功能。SDN控制器负责生
成企业网关设备相关的表项，接收来自Orchestrator相关信息，生成配置信息和转发表项，通过加密协议
将相关信息下发给网关设备。VNFM负责虚拟机的建
立及虚拟化功能实现。企业网关设备是放置在客户
侧的接入设备，负责快速开通企业专线。企业网关设
备应根据用户的需求，提供物理设备及服务器软件安
装形态，以便满足不同场景需求。vCPE在控制器的管
理下进行虚拟专线建立、QoS、ACL等功能。
通过企业网关虚拟化的网络架构，将企业网络和
企业网关中与电信服务密切相关的功能上移，解决物
理网关带来的网络功能限制，同时，虚拟化后的企业
网关功能在网络侧的实现可以平台化，为将来业务能
力的快速部署、企业网关功能的集中管理以及提供网
络业务公用API和开放业务平台提供了可能（未来可
能内部使用或开放给第三方）。
2 企业网关虚拟化技术方案
企业网关在企业内部建立统一的数据处理中心，
对企业内部数据进行管理，对外连接运营商网络，并
可与分支机构之间进行数据交互。同时，企业网关是
运营商为企业用户提供企业分支互联、宽带接入以及
连接数据中心等业务的基础设备，并协助完成企业网
络部署、运营商远程管理和维护企业网络和其他业务
的核心设备。企业网关虚拟化的关键技术包括两大
方面，一是网络侧和用户侧的功能界面划分，二是上
移的功能在网络侧的部署位置和相应的业务、管理流
程。
传统企业网关通过宽带接入和承载网直接或通
过软交换设备连接到业务网络（直接连接到业务网络
的情况下，业务的控制逻辑直接由对应的业务平台实
现）。同时，企业网关通过IP网连接到企业网络远程
管理平台（RMS），被远程管理平台所管理。其中传统
的电话业务采用内置分离器与企业网关集成在一起，
或者采用传统外置分离器在企业入口处分开。
企业网关主要通过集成的Ethernet端口、WLAN
无线能力、USB端口连接各种企业网络业务终端（包括
PC、IP摄像头、IAD、存储设备、IT设备、机顶盒STB等）
为用户提供全面的企业网络业务能力。企业网络业
务终端在通过企业网关实现设备互联的同时，还通过
企业网关访问公众网络，并与公众网络上的业务平台
和其他各类终端配合，进一步为用户提供更广泛的企
业网络业务能力。
企业网关虚拟化的实现思路如图2所示，运营层负责用户业务订购及运维人员进行设备配置管理，通
过协同层进行业务编排和资源占用，由控制层的SDN
控制器完成设备配置、业务开通和流量控制。
同时企业网关虚拟化技术方案应考虑的因素主
要包括以下几个方面。
a）简化实体网关功能，降低故障率。
b）VAS在网络侧实现，实体网关不做或简单软件
升级实现新业务支持。
c）利于网络演进。
3 企业客户网关虚拟化对城域网的影响
通过SDN/NFV实现虚拟化企业网关，完成点到点
专线、互联网专线及企业访问数据中心业务自动开
通、服务自助管理等功能，势必对现有城域网相关架
构产生影响，其对网络架构的影响包括网络结构以及
网元节点功能和定位的改变、网络管理架构的影响
等。虚拟化改变了网络控制和3层数据包处理等功能
的实现位置和方式，可能会改变IP城域网接入层设备
的功能形态以及管理方式，对后续网络和业务的演进
方式产生影响。而不同的部署方案对现有IP城域网
的影响也不尽相同。
3.1 部署在接入节点时的影响
考虑 vCPE 若采用 2 层专线，为避免穿越 3 层设
备，部署位置相对较低，当部署在接入节点时，此方案
对现有IP城域网的影响相对较小，vCPE部署位置在
现有IP城域网的BNG设备之前，BNG设备无需增加额
外功能。
管理架构方面：将vCPE部署在接入网中，涉及到
的网络功能包括数据转发、地址分配管理、地址和状
态翻译、应用层代理、接入认证等，也就带来了网络管
理架构随之进行调整的问题，因此需要在城域网内建
立协调统一的网络管理机制。
3.2 部署在BNG节点时的影响
由于BNG设备本身承载了带宽接入的认证管理
功能，若vCPE部署在BNG设备上，会对BNG有较大影
响。现有BNG设备可能需要升级支持部分功能，同时
也意味着更高的可靠性和安全要求，如需要实现状态
实时同步、双机热备、无感知保护倒换以及高等级安
全防护，需要配套的技术和管理手段支持。考虑该部
署方案时，可同步考虑VBNG的部署。
管理架构方面：城域网的管理系统需要将vCPE
功能纳入其中，在一定程度上增加了管理复杂度，但
集中管理也为业务开展、部署和推广带来便利。
3.3 数据中心部署的影响
伴随光改、机房改造、数据中心SDN化等工作，
vCPE可配合部署在数据中心，vCPE本身对城域网的
要求并没有增加，但数据中心SDN化对城域网提出了
新的要求。由于vCPE部署在数据中心内部，其相关
设备需支持VxLAN。
数据中心内部部署vCPE同时需要支持业务链功
能，可以与协同层和应用平台部署在同一位置，实现
集中化管理。