Tweet
Ảo hóa mạng và NFV: Khi Firewall, Router cũng trở thành “Máy Ảo”
Trong nhiều năm, khi nói đến ảo hóa, phần lớn kỹ sư mạng nghĩ ngay đến server virtualization với VMware, KVM hay Hyper-V. Nhưng có một cuộc cách mạng âm thầm lớn không kém đang diễn ra trong mạng máy tính: Network Virtualization và Network Functions Virtualization (NFV).
Điều thú vị là ngày nay, không chỉ server có thể được ảo hóa, mà cả firewall, router, load balancer hay IDS/IPS cũng có thể chạy như những máy ảo. Network Virtualization là gì?
Network virtualization được sử dụng để tạo ra các nhóm logic (logical groupings) của các node trên mạng, tách rời chúng khỏi vị trí vật lý thực tế.
Nói đơn giản:
... vẫn có thể được quản lý như thể chúng cùng nằm trên một segment mạng vật lý duy nhất.
Đây chính là abstraction (trừu tượng hóa) của hạ tầng mạng. Đây không phải công nghệ mới
Thực ra ý tưởng này đã tồn tại khá lâu.
Các công nghệ như:
đều mang tư tưởng network abstraction.
Nhưng trong môi trường cloud, virtual machines và container có thể liên tục:
... thì network virtualization trở thành nền tảng bắt buộc.
Ví dụ:
Một ứng dụng 3-tier gồm:
có thể trải rộng trên nhiều máy chủ vật lý khác nhau, nhưng nhờ overlay network như VXLAN, chúng vẫn “nhìn thấy nhau” như cùng Layer 2 domain.
Đó chính là sức mạnh của virtual networking.
NFV – Khi chức năng mạng trở thành phần mềm
Nếu network virtualization chủ yếu nói về virtualizing connectivity, thì Network Functions Virtualization (NFV) đi xa hơn:
Nó virtualize chính các chức năng mạng.
NFV tập trung vào các dịch vụ từ:
Ví dụ:
Thay vì mua appliance vật lý chuyên dụng, ta biến chúng thành Virtual Network Functions (VNF).
Ví dụ truyền thống:
Với NFV:
đều chạy như máy ảo. NFV ra đời để giải quyết điều gì?
Ảo hóa server mang lại tính linh hoạt rất lớn, nhưng vô tình tạo ra bất cân xứng:
Compute đã mềm dẻo.
Network vẫn cứng nhắc.
Ví dụ:
VM có thể spin up trong vài phút.
Nhưng muốn triển khai firewall mới có thể mất:
NFV sinh ra để loại bỏ sự chậm chạp đó.
Bạn có thể spin up một virtual firewall giống như tạo một VM.
Đây là tư duy "network as software".
Virtual Node có thể triển khai động
NFV cho phép tạo các instance mạng ảo như:
và triển khai ở nơi cần thiết.
Ví dụ:
Một workload mới trên OpenStack cần micro-segmentation.
Thay vì kéo traffic qua firewall vật lý trung tâm, có thể spin up distributed firewall VNF ngay gần workload đó.
Đây là cách tiếp cận gần giống “security follows the workload”.
OPNFV là gì?
Open Platform for Network Function Virtualization (OPNFV) là một sáng kiến mã nguồn mở cho NFV.
Mục tiêu:
Tạo ra một base infrastructure layer để chạy các Virtual Network Functions.
Website dự án:
opnfv.org
Ý tưởng là thay vì mỗi vendor xây một stack riêng biệt, cộng đồng xây dựng nền tảng mở chung cho NFV.
Hạ tầng bên dưới NFV cần những gì?
Các node NFV như virtual routers hay firewalls không thể tự tồn tại.
Chúng cần nền tảng hỗ trợ bên dưới. 1. Hypervisor
Đây là lớp tách các virtual routers, switches và firewalls khỏi phần cứng vật lý.
Ví dụ:
Hypervisor cho phép một physical server chạy nhiều VMs:
2. Virtual Forwarder
Dùng kết nối các instance riêng lẻ.
Có thể hình dung như data plane switching fabric.
Ví dụ:
Open vSwitch thường được dùng rất nhiều trong NFV.
3. Network Controller
Đây là bộ điều khiển các virtual forwarders trong toàn mạng vật lý.
Vai trò gần giống SDN controller.
Ví dụ:
Control plane tập trung, forwarding phân tán.
4. VM Manager
Quản lý vòng đời của các network-based VMs:
Ví dụ:
Service Chaining – Khái niệm cực quan trọng trong NFV
Một thành phần hay xuất hiện trong NFV architecture là:
Virtual Network Function Forwarding (Service Chain)
Còn gọi là:
Service Function Chaining (SFC)
Khái niệm:
Traffic đi qua chuỗi dịch vụ theo thứ tự định nghĩa.
Ví dụ:
Client Traffic
→ Virtual Firewall
→ IDS
→ Load Balancer
→ Application
Đây là “dịch vụ dây chuyền”.
Không cần appliance vật lý nối dây thủ công.
Toàn bộ được định nghĩa logic.
Thách thức lớn của NFV: Integration
Đây là điểm NFV từng đau đầu nhiều năm.
Các thành phần open-source đã có:
Nhưng tích hợp chúng lại từng là bài toán “private task”.
Doanh nghiệp có ba lựa chọn:
Vấn đề là integration không bao giờ là việc làm một lần.
Nó là công việc liên tục:
Và đây chính là lý do OPNFV ra đời.
OPNFV muốn thay đổi điều gì?
Mục tiêu của OPNFV:
Biến việc tích hợp NFV từ một giải pháp đóng, riêng lẻ (private solution) thành một giải pháp cộng đồng mở (open community solution).
Đây là thay đổi mang tính chiến lược.
Giống như Linux thay đổi hệ điều hành.
OPNFV muốn làm điều tương tự cho NFV stack.
NFV và xu hướng hiện đại
NFV là nền móng cho nhiều công nghệ ngày nay:
Đặc biệt trong 5G core:
Các thành phần như:
đều triển khai theo tư duy NFV/CNF.
NFV khác SDN thế nào?
Nhiều người hay nhầm.
SDN
Tách control plane khỏi data plane để điều khiển mạng tập trung.
NFV
Biến network appliances thành software.
Có thể nhớ:
Hai công nghệ thường đi cùng nhau.
Góc nhìn CCIE thực chiến
Nếu trước đây thiết kế mạng chỉ xoay quanh:
Thì giờ cần tư duy thêm:
Đây là bước chuyển từ box-by-box networking sang software-defined infrastructure.
Và đó là lý do NFV không chỉ là một chủ đề học thuật, mà là nền móng của data center, cloud và 5G hiện đại.
Nếu từng nghe virtual firewall, vRouter, service chaining hay SASE mà thấy mơ hồ — thì thực chất tất cả đều bắt nguồn từ NFV.
Trong nhiều năm, khi nói đến ảo hóa, phần lớn kỹ sư mạng nghĩ ngay đến server virtualization với VMware, KVM hay Hyper-V. Nhưng có một cuộc cách mạng âm thầm lớn không kém đang diễn ra trong mạng máy tính: Network Virtualization và Network Functions Virtualization (NFV).
Điều thú vị là ngày nay, không chỉ server có thể được ảo hóa, mà cả firewall, router, load balancer hay IDS/IPS cũng có thể chạy như những máy ảo. Network Virtualization là gì?
Network virtualization được sử dụng để tạo ra các nhóm logic (logical groupings) của các node trên mạng, tách rời chúng khỏi vị trí vật lý thực tế.
Nói đơn giản:
- Một máy ảo ở Data Center A
- Một container ở Data Center B
- Một workload chạy trên Public Cloud
... vẫn có thể được quản lý như thể chúng cùng nằm trên một segment mạng vật lý duy nhất.
Đây chính là abstraction (trừu tượng hóa) của hạ tầng mạng. Đây không phải công nghệ mới
Thực ra ý tưởng này đã tồn tại khá lâu.
Các công nghệ như:
- VLAN
- VRF
- MPLS VPN
- VXLAN
- Overlay Networks
đều mang tư tưởng network abstraction.
Nhưng trong môi trường cloud, virtual machines và container có thể liên tục:
- di chuyển workload (mobility)
- scale up/down động
- chuyển giữa các data center
- chạy hybrid cloud hoặc multi-cloud
... thì network virtualization trở thành nền tảng bắt buộc.
Ví dụ:
Một ứng dụng 3-tier gồm:
- Web tier
- App tier
- Database tier
có thể trải rộng trên nhiều máy chủ vật lý khác nhau, nhưng nhờ overlay network như VXLAN, chúng vẫn “nhìn thấy nhau” như cùng Layer 2 domain.
Đó chính là sức mạnh của virtual networking.
NFV – Khi chức năng mạng trở thành phần mềm
Nếu network virtualization chủ yếu nói về virtualizing connectivity, thì Network Functions Virtualization (NFV) đi xa hơn:
Nó virtualize chính các chức năng mạng.
NFV tập trung vào các dịch vụ từ:
- Layer 4
- Layer 5
- Layer 6
- Layer 7
Ví dụ:
- Load Balancer
- Firewall
- VPN Gateway
- IDS/IPS
- WAN Optimizer
- NAT Gateway
Thay vì mua appliance vật lý chuyên dụng, ta biến chúng thành Virtual Network Functions (VNF).
Ví dụ truyền thống:
- Cisco ASA appliance vật lý
- F5 Big-IP hardware
- Palo Alto firewall appliance
Với NFV:
- Cisco ASAv
- FTDv
- Palo Alto VM-Series
- Virtual F5 load balancer
đều chạy như máy ảo. NFV ra đời để giải quyết điều gì?
Ảo hóa server mang lại tính linh hoạt rất lớn, nhưng vô tình tạo ra bất cân xứng:
Compute đã mềm dẻo.
Network vẫn cứng nhắc.
Ví dụ:
VM có thể spin up trong vài phút.
Nhưng muốn triển khai firewall mới có thể mất:
- mua thiết bị
- rack and stack
- cabling
- cấu hình
- change window
NFV sinh ra để loại bỏ sự chậm chạp đó.
Bạn có thể spin up một virtual firewall giống như tạo một VM.
Đây là tư duy "network as software".
Virtual Node có thể triển khai động
NFV cho phép tạo các instance mạng ảo như:
- Virtual Firewall
- Virtual Router
- Virtual WAN Edge
và triển khai ở nơi cần thiết.
Ví dụ:
Một workload mới trên OpenStack cần micro-segmentation.
Thay vì kéo traffic qua firewall vật lý trung tâm, có thể spin up distributed firewall VNF ngay gần workload đó.
Đây là cách tiếp cận gần giống “security follows the workload”.
OPNFV là gì?
Open Platform for Network Function Virtualization (OPNFV) là một sáng kiến mã nguồn mở cho NFV.
Mục tiêu:
Tạo ra một base infrastructure layer để chạy các Virtual Network Functions.
Website dự án:
opnfv.org
Ý tưởng là thay vì mỗi vendor xây một stack riêng biệt, cộng đồng xây dựng nền tảng mở chung cho NFV.
Hạ tầng bên dưới NFV cần những gì?
Các node NFV như virtual routers hay firewalls không thể tự tồn tại.
Chúng cần nền tảng hỗ trợ bên dưới. 1. Hypervisor
Đây là lớp tách các virtual routers, switches và firewalls khỏi phần cứng vật lý.
Ví dụ:
- VMware ESXi
- KVM
- Xen
Hypervisor cho phép một physical server chạy nhiều VMs:
- Traditional server VMs
- Network-based VMs (VNFs)
2. Virtual Forwarder
Dùng kết nối các instance riêng lẻ.
Có thể hình dung như data plane switching fabric.
Ví dụ:
- Open vSwitch (OVS)
- Linux bridge
- DPDK-based forwarding engines
Open vSwitch thường được dùng rất nhiều trong NFV.
3. Network Controller
Đây là bộ điều khiển các virtual forwarders trong toàn mạng vật lý.
Vai trò gần giống SDN controller.
Ví dụ:
- OpenDaylight
- ONOS
- VMware NSX Controller
Control plane tập trung, forwarding phân tán.
4. VM Manager
Quản lý vòng đời của các network-based VMs:
- Provisioning
- Scaling
- Monitoring
- Lifecycle Management
Ví dụ:
- OpenStack Nova
- Kubernetes (trong CNF hiện đại)
- VMware vCenter
Service Chaining – Khái niệm cực quan trọng trong NFV
Một thành phần hay xuất hiện trong NFV architecture là:
Virtual Network Function Forwarding (Service Chain)
Còn gọi là:
Service Function Chaining (SFC)
Khái niệm:
Traffic đi qua chuỗi dịch vụ theo thứ tự định nghĩa.
Ví dụ:
Client Traffic
→ Virtual Firewall
→ IDS
→ Load Balancer
→ Application
Đây là “dịch vụ dây chuyền”.
Không cần appliance vật lý nối dây thủ công.
Toàn bộ được định nghĩa logic.
Thách thức lớn của NFV: Integration
Đây là điểm NFV từng đau đầu nhiều năm.
Các thành phần open-source đã có:
- Hypervisor
- Virtual switching
- Controllers
- Orchestration
Nhưng tích hợp chúng lại từng là bài toán “private task”.
Doanh nghiệp có ba lựa chọn:
- Tự tích hợp
- Thuê ngoài integration
- Mua hệ thống pre-integrated từ vendor
Vấn đề là integration không bao giờ là việc làm một lần.
Nó là công việc liên tục:
- nâng cấp
- vá lỗi
- tương thích
- scaling
- interoperability
Và đây chính là lý do OPNFV ra đời.
OPNFV muốn thay đổi điều gì?
Mục tiêu của OPNFV:
Biến việc tích hợp NFV từ một giải pháp đóng, riêng lẻ (private solution) thành một giải pháp cộng đồng mở (open community solution).
Đây là thay đổi mang tính chiến lược.
Giống như Linux thay đổi hệ điều hành.
OPNFV muốn làm điều tương tự cho NFV stack.
NFV và xu hướng hiện đại
NFV là nền móng cho nhiều công nghệ ngày nay:
- SD-WAN vEdge/cEdge
- Virtual Firewalls
- SASE/SSE service nodes
- 5G Network Functions
- Cloud-native Network Functions (CNF)
Đặc biệt trong 5G core:
Các thành phần như:
- AMF
- SMF
- UPF
đều triển khai theo tư duy NFV/CNF.
NFV khác SDN thế nào?
Nhiều người hay nhầm.
SDN
Tách control plane khỏi data plane để điều khiển mạng tập trung.
NFV
Biến network appliances thành software.
Có thể nhớ:
- SDN = cách điều khiển mạng
- NFV = cách triển khai chức năng mạng
Hai công nghệ thường đi cùng nhau.
Góc nhìn CCIE thực chiến
Nếu trước đây thiết kế mạng chỉ xoay quanh:
- Router
- Switch
- VLAN
- Firewall appliance
Thì giờ cần tư duy thêm:
- Overlay
- Virtualized functions
- Service chaining
- Controller-driven networking
- Software-defined security
Đây là bước chuyển từ box-by-box networking sang software-defined infrastructure.
Và đó là lý do NFV không chỉ là một chủ đề học thuật, mà là nền móng của data center, cloud và 5G hiện đại.
Nếu từng nghe virtual firewall, vRouter, service chaining hay SASE mà thấy mơ hồ — thì thực chất tất cả đều bắt nguồn từ NFV.
Attached Files