NFV级联故障实验介绍v1_2016_01_30.docxVIP

NFV级联故障方案演示方案本文主要介绍了NFV下的级联故障实验与方案演示实验，级联故障实验是为了验证和分析NFV下级联故障的产生和传播方式，原型实验是为了验证方案对NFV下级联故障的防止作用，两个实验的变量为是否开启方案。物理环境物理底层采用一台服务器，采用OpenStack+QEMU的两层虚拟化架构，如图一所示：图一：底层架构主机信息如下：主机名IP地址作用controller192.168.1.34控制节点+网络节点Compute1~5192.168.1.105192.168.1.24192.168.1.131192.168.1.88192.168.1.145计算节点fl192.168.1.238SDN控制器Nfs192.168.1.75NfsVNF功能及SFC数据面实现方案VNF网络功能尽量采用开源的网络功能实现，当没有对应的开源实现时，自己进行实现，有两种简单地替代实现方式1：TCP套接字+网络功能2：原始套接字+网络功能其中网络功能的示意图如图四，根据VNF的类型（IO密集型或CPU密集型）修改对应的IO操作次数M和计算操作次数N。其中IO操作是文件读写，计算操作是哈希表插入和删除。图四：网络功能示意图两种实现方式对应两种数据面实现方式，前者对应多条TCP连接，后者对应一条TCP连接。针对第一种实现方式，每个网络功能实体只能处理发往本网络功能实体的包，多条TCP连接映射为一条逻辑上的连接（既SFC），见2.1。针对第二种实现方式，每个网络功能的代码可以处理网卡上收到的任何包，SFC是一条实际上的TCP连接，见2.2，两个方案的说明如下。注：2.2单条连接模拟一条SFC还在调试中。多条连接模拟一条SFC将VNF1到VNF3的SFC映射为VNF1到VNF2的TCP连接和VNF2到VNF3的TCP连接，如图五所示：图五：多条连接模拟一条SFC数据发送者将S发往VNF1， VNF1处理完之后，通过某种机制，比如注册中心获取下一条连接节点的信息，与VNF2建立连接，并将数据发给VNF2，最终达到VNF3，送往数据接收者D。优点：兼容传统网络(非SDN网络)容易实现、具有很高的可行性难点:需要维护逻辑上的连接，用多条实际连接映射到一条逻辑连接解决思路：可用端口或打标签来区分两个VNF之间的不同逻辑连接单条连接模拟一条SFC利用SDN技术，让数据发送者S到数据接受者D的转发路径途经的指定的VNF。比如在SW1处下发流表，SW1根据流表将包发往VNF1，VNF1利用原始套接字获取数据包，进行处理后再扔回SW1，SW1再根据流表扔到下一跳的SW2，如下图所示：图六：单条连接模拟一条SFC优点：保持了S到D的实际连接；SDN控制器维护服务链，可用IP+PORT标识SFC，相对于方案一需要维护逻辑连接来说，难度相对较小难点：需要在VNF所在VM嵌入原始套接字相关代码需要SDN技术，适用面窄解决方案：设计VNF开发框架，将原始套接字代码融入VNF开发框架中。级联故障实验仿真拓扑Openstack采用Havana版本+BigSwitch插件+FloodLight进行搭建，在云平台上创建4个host：host1~4，5个vnf：vnf1~5，6个OpenFlowSwitch：OpenFLowSw1~6，1个vnfm以及1个dhcpServer，在该拓扑中存在两条SFC，SFC1:VNF1VNF3VNF4与SFC2：VNF2vnf3vnf5，流host1host3经过SFC1，流host2host4经过SFC2。物理拓扑图如图二：图二：故障仿真物理拓扑对应的逻辑拓扑如图三：图三：故障仿真逻辑拓扑实验方案1：运行FloodLight，启动各个OpenFlowSw，让其与FloodLight连接。2：启动各个VNF3：启动两条流，host1host3，host2host44：注入恶意流实验现象SFC1注入恶意流后，VNF1的出入速率都增大，但是入速率大于出速率。VNF2上SFC1的入速率增大， VNF2上SFC1的出速率增大，但是小于SFC1入速率，VNF2上SFC2的出速率降低，入速率不变。VNF2的入缓存被塞满，程序阻塞，VNF3和VNF4接收不到包。VNF1和VNF5的发送速率下降为0。VNF1和VNF5的出缓存先后被塞满。最后VNF1、VNF2、VNF5由于缓存过大而阻塞，VNF4、VNF3接收包速率为0。实验结论在NFV环境中，故障会顺着流的方向进行传播，也会逆着流的方向进行传播，还会通过共享节点从一条链传播到其他SFC，引起级联故障。方案演示实验方案简介如图四所示，方案流程主要分为三部分：状态监测、异常判断和异常处理。图四：方案流程状态监测：主要对系统作两方面的监测：1、通过监测每条SFC所经过的每个VNF模块上的入包率和出包率2、每个V