网络安全 频道

高瞻远瞩 山石云·界产品通过ETSI NFV测试

    【IT168 评论】2018年4月17日,以“云网融合、智领未来” 为主题的“2018年中国SDN/NFV大会”在京成功召开。本次大会由工业和信息化部指导,SDN/NFV产业联盟主办,本次大会的邀请了业界知名组织代表和产业界技术专家,山石网科云安全产品线总监 荣钰以《从 ETSI NFV 第二次互操作测试看 NFV 业务的即将到来》进行了精彩分享,在会议间隙,接受了IT168记者专访。

高瞻远瞩 山石云界产品通过ETSI NFV测试
▲山石网科云安全产品线总监 荣钰

  NFV与VNF的关系及技术定义

  VNF在ETSI NFV框架中可以说是最重要的组件,因为所有其它的组件都是为它们服务的,它们是具有网络功能的业务虚拟机,利用服务器的计算、存储、网络等资源为用户提供网络相关功能的服务,MANO和VIM则通过API配合起来做VNF的编排管理。

高瞻远瞩 山石云界产品通过ETSI NFV测试
区别于传统硬件设备的NFV特性要求

  事实上,VNF不仅仅是虚拟机,其在NFV场景下还要具有三大能力,一是支持Cloud-Init用来做0 Day Configuration,二是支持利用NFVI & VIM提供的EPA特性提升自己的性能,三是支持Rest API来支持1 Day Configuration以及满足性能和故障管理需求。从ETSI NFV第二次互操作测试上看,Cloud-Init基本上已经成为大家公认的0 Day Configuration标准;对于EPA特性的要求上,很多NFVI & VIM也能够提供CPU、内存、网卡等各种可提供硬件加速的能力,包括CPU Pinning,NUMA,Huge Pages,DPDK,甚至SR-IOV;但定义Rest API接口的SOL002标准刚刚发布不久,已经落地的还不多。VNF后续的演进是容器形态,这样才能完全满足Cloud-Native的定义和需求,具有极强的健壮和高可靠性。

  为何选择参加ETSI NFV测试?

  当前中国市场选择业务上云,除了电商客户之外大量的场景是在政府,我们在交付虚拟防火墙过程中或交付之后依然有很多工作和坑,所以我们就一直在想是否有一个框架或标准,这是我们参加ETSI NFV测试初衷。山石网科云安全产品线总监 荣钰首先说道。

  在网络安全领域,NFV和NFV即是服务现在是很火的概念,ETSI和很多网络及安全厂商已经一起在这个方向上努力了5年多了,经过ETSI NFV第二次互操作测试,我们看到,定义解决方案和实现方法的技术规范已经都发布了,这就意味着网络及安全厂商们可以放开手脚向这个领域投入了。

  任亮也表示,从ETSI NFV第二次互操作测试的角度来讨论NFV和NFV即是服务的发展,深度解析NFV的本质,并向有NFV业务需求的服务商或者运营商/非运营商给出专业的方案落地建议。我们希望遵循标准,可以让客户更加方便的集成和使用,以及第三方厂商对接。

  ETSI NFV PLUGTESTS测试情况

  2018年1月15日—19日,ETSI总部法国索菲亚·安提波利斯,19家VNF,10家MANO,12家NFVI&VIM参与了本次测试。来自中国的厂商有3家,山石网科参与了VNF项目测试,另外两家厂商分别参加了另外两个项目。

高瞻远瞩 山石云界产品通过ETSI NFV测试

  VNF测试流程-共5个阶段,9个过程,报名、签署NDA协议、参与每周的电话会议、远程接入HIVE网络、填写技术应答和Wiki、VNF厂商上传镜像文件、熟悉测试计划、预测试、现场测试。

高瞻远瞩 山石云界产品通过ETSI NFV测试
测试环境-跨38个远程网络

  互操作测试以远程为主,各厂商把自己的本地环境通过VPN+BGP接入ETSI总部的HIVE网络,进行远程互联。山石网科使用的苏州互联网出口的设备T5060,是比较早调通接入的厂商,得益于自家产品在VPN和路由方面的能力,获得了ETSI HIVE管理员的认可。

高瞻远瞩 山石云界产品通过ETSI NFV测试

  现场测试分两个阶段,前两天指定分组和组合,后三天是自由组合,组织方给正式测试定了三种测试类型,多VNF、多VNF+EPA、多NFVI & VIM,指定分组和组合测的都是多VNF类型,组合里要求1家MANO,1家NFVI & VIM,两家VNF,其中一家VNF是能够产生流量的,另一家VNF是能够转发流量的。

高瞻远瞩 山石云界产品通过ETSI NFV测试

  山石云·界遵从标准框架,产品易完成互操作,山石云·界5天时间,完成了与13个厂家(7家MANO,6家VIM)的互操作测试,提交了17份测试报告;完成了从手动伸缩、自动伸缩、0Day配置、EPA、多站点5大类测试;体现出国内云计算整体具备较高水平;得益于开源社区贡献,国内云计算厂家(VIM&MANO)实现较为标准。

高瞻远瞩 山石云界产品通过ETSI NFV测试

  荣钰表示,对比两次测试发现五点变化,第一,ETSI NFV第二次互操作测试的重要变化,开始关注Solution定义的接口测试。第二,RestAPI成为编排管理的标准接口;第三,有标准SOL文档可供参考,遵从OpenAPI框架,数据结构遵从SOL数据结构,越来越多厂家计划遵从;第四,开放度和解耦度更高,第五,整体开发效率更高。

  传统网络设备商向VNF转型是必然的选择

  山石网科作为硬件防火墙领军者,连续四年入选Gartner“企业级防火墙魔力象限报告”和“UTM魔力象限报告”,并连续两年入选Gartner IDPS魔力象限,在NSS Labs的测试中以超高检测率及“最优客户价值”获得推荐级别,山石网科在此殊荣之下,依然向着更有潜力、更远云计算市场思考开始虚拟防火墙研发历程!

高瞻远瞩 山石云界产品通过ETSI NFV测试

  2013年开始做虚拟防火墙,不仅仅是从硬件提取到虚拟机,要分别支持ESXi、KVM、Xen、Hyper-V,而且还要适配OpenStack、vCenter、AliCloud、AWS、Azure、SDN、SR-IOV平台。任亮说道。

高瞻远瞩 山石云界产品通过ETSI NFV测试

  传统网络设备厂商在向VNF厂商转型过程中不足,一方面是对云计算(IT)技术的积累不足,VNF的产品形态是虚拟机,属于IT技术范畴,而很多传统网络硬件设备厂商在云计算(IT)技术领域都积累不足,从研发到售前,都是这个状态。CT技术的特点是低耦合、高内聚,一个硬件盒子部署在用户的网络中,只要保证把自己弄明白,剩下的就是网络连通性;而IT技术的特点却是环境强相关性,VNF产品本身的问题都已经是小问题,而VNF适应环境,并跟环境内其它组件进行配合的问题才是关键。很多传统网络硬件设备厂商对云计算(IT)环境并不熟悉,也就导致做出的VNF产品仅停留在虚拟机的层面,而事实上,VNF并不仅是一个简单的虚拟机。

  另外一方面,对软件销售和服务模式的经验不足,传统网络硬件设备的销售模式是一次性购买,长时间使用,而虚拟机形态的VNF产品则是按需购买,短时间使用。这是完全不同的两种销售和服务模式,几乎所有的传统网络硬件设备厂商都会不适应,很多刚做出VNF产品的厂商还是沿用之前的硬件产品的销售和服务模式,就会遇到很多代理和渠道的不适应,影响该有的销售业绩。同时,VNF产品又会遇到软件产品都会遇到的盗版问题,为了防盗版,VNF厂商不得不投入大量的人力物力,然后在实际操作中,又会遇到这样那样的麻烦,用户不愿意接受硬件思维的版权控制方案,这些问题在硬件时代都是不曾想到的。

  高瞻远瞩 山石网科云安全硕果累累

高瞻远瞩 山石云界产品通过ETSI NFV测试
山石网科云安全硕果累累

高瞻远瞩 山石云界产品通过ETSI NFV测试
典型NFV业务场景的落地实践中跨多VIM的Cross-Site VPN

  这样的应用场景是非常典型且运营商行业和非运营商行业客户都需求很强烈的NFV应用,不仅可以面向数据中心环境使用,还可以作为接入侧的SD-WAN场景应用,运营商之上的动态管道运营,可想象的商业空间相当大。一个跨多VIM的Cross-Site VPN在2分钟内能够被自动拉起并业务打通,充分体现了NFV的本质价值,即自动化编排与快速部署。

  截止目前,山石网科能够提供通用解决方案、OpenStack下整体交付方案、符合NFV框架标准的方案,荣钰在最后也表示,云计算和安全,应该是标准的、解耦的,有了标准,用户才会受益,当下NFV框架标准日趋成熟,山石网科将继续加大在标准化产品的投入(已经参与第三次测试),愿意在标准框架下与各厂家展开充分互操作。

0
相关文章