摘要

网络虚拟化为在密集和异质环境中部署通信服务提供了高度的灵活性。通常存在两种主要的方法（维度）：用于功能虚拟化的网络功能虚拟化（NFV）技术和用于资源虚拟化的虚拟网络嵌入（VNE）算法。它们被结合起来应用。这些方法可以应用于不同的网络层面，如工业网络的工厂和企业。在应用网络虚拟化时，应考虑一些可能相互冲突的目标和约束，主要是在复杂的拓扑结构中。本论文提出了一个网络虚拟化模型，该模型考虑了两个虚拟化维度、两个网络层次以及不同的目标和约束。所考虑的网络层次是工业网络中的两个主要层次。然而，这种考虑并没有把模型限制在一个特定的环境或某些层次。所考虑的目标/约束是拓扑结构、可靠性、安全性、性能和资源使用。

基于这个模型，我们首先建立了一个自律性和复合虚拟网络的整体组合解决方案。这个解决方案考虑了两个虚拟化维度、两个网络级别和目标目标。此外，这个解决方案结合了三个新颖的虚拟化子方法，考虑了性能、可靠性和表现。然而，这些子方法适用于不同级别和维度的组合，而可靠性方法则额外考虑了资源使用目标。在介绍了所有的解决方案后，我们将它们映射到定义的模型中。

关于对工业网络的适用性，综合方法被应用于企业级的工业物联网（IIoT）用例，其灵感来自工业4.0中的智能工厂概念。然而，子方法被应用于更具体的用例。性能和可靠性解决方案与作为工业网络现代技术的时间敏感网络（TSN）标准的相关组件集成。目标是用网络虚拟化的灵活性来丰富TSN的可靠性和性能能力。

在组合方法中，我们组成并嵌入了一个环境感知的扩展虚拟网络（EVN），代表了物理设备、虚拟应用功能和所需的服务功能链（SFC）。我们使用图形转换方法将抽象的应用需求（由应用请求（AR）表示）转换成EVN。EVN的组成和嵌入方法都考虑了底层网络（SN）拓扑结构和不同的安全性、可靠性、性能和资源使用策略。这些政策的应用具有一定的优先级，并取决于通信实体的属性，如位置和类型。EVN使用基于属性的节点映射、可靠性感知分支和贪婪的链式嵌入启发法进行嵌入。链式嵌入启发式是使用代表用例的随机拓扑结构进行评估的。

性能子方法是基于NFV的，并应用于具有时间关键型流量（TCT）的特定用例。我们开发并评估了一个完整的框架，用于使用高性能NFV虚拟化时间感知整形器（TAS）。可靠性子方法是基于VNE的，并应用于一个特定的工厂级用例。我们开发了基于可靠性感知的K-最短路径算法的最小和最大分支启发式算法，并使用一个典型的工厂拓扑结构对其进行了比较。然后，我们将这些算法与可靠性框架复制和消除（FRER）模拟器整合，通过支持技术的自主和有效配置实现可靠性策略。

安全子方法与两个虚拟化维度有关，并被应用于通用企业级用例。然而，安全方面对工业网络的适用性只显示在组合（EVN）方法及其用例中。我们研究了网络功能虚拟化基础设施（NFVI）中的自主安全管理，主要目标是通过虚拟网络功能（VNF）的实时迁移，通过SFC重新配置对威胁做出早期反应。这个目标是通过支持安全测量的决策架构来实现的，该架构一方面考虑环境中的威胁和事件，另一方面考虑NFVI供应商和用户之间的服务水平协议（SLA）。为此，我们对针对VNF的攻击进行分类，并定义可能的早期可检测行为模式。最后，我们开发了一种安全感知的VNE启发式，考虑了虚拟网络（VN）的安全要求和SN的安全能力。这种方法在组合方法中被修改，以考虑部署虚拟化的安全VNF。

1 引言

将网络虚拟化技术应用于复杂的异构环境，有望减少运营支出（OPEX）和资本支出（CAPEX），并满足日益增长的需求。然而，有不同的虚拟化技术和不同的应用水平，其中各种目标可能更重要。此外，网络虚拟化带来了一些挑战，如性能下降；更广泛的攻击面；考虑可能相互冲突的多个目标和约束[1]；考虑多个网络级别；环境感知的虚拟网络的自主构成；有效的部署算法；对复杂环境的适用性；以及与实际的，主要是现代技术的整合。这些挑战大多由研究人员部分和单独考虑，对适用性的看法有限。

1.1 网络虚拟化

虚拟网络嵌入（VNE）是一个基于图论的领域，它开发了虚拟网络（VN）及其需求和底层网络（SN）及其资源的抽象模型。此外，VNE还开发了图算法来映射物理资源上的VN要求。VNE算法计算出服务器和网络资源的路径和分配给由虚拟节点（VNos）和连接它们的虚拟链接（VLis）组成的VN。计算结果应被网络控制器用来实现SN中的实际资源保留。

在另一个层面上，网络功能虚拟化（NFV）是一种现代网络虚拟化技术，将网络功能与专有硬件解耦。这些功能以虚拟网络功能（VNF）的形式在标准服务器上运行，并在服务功能链（SFC）中连锁，形成端到端的通信服务。SFC可能包括一个或多个子SFC，根据流量规格确定数据流路径。NFV利用虚拟化技术，在所需位置灵活地按需部署复杂的网络功能。网络虚拟化的研究广泛涉及多目标优化，但他们部分针对重要的约束条件，并提出了大规模问题的启发式方法。

1.2 工业企业

传统的部署专有和基于硬件的网络功能的传统网络范式不够灵活，无法满足新兴和不断增长的应用需求，主要是5G移动网络和工业4.0的安全、性能和弹性要求。这一事实是由于部署新设备、升级设备和服务创新的复杂性和高成本。

工业4.0企业应用将通过数据分析和自主决策支持智能工厂。为此，需要在企业的不同层面进行监测、分析和管理功能。例如，当管理员管理不同的遥远地点，以远程控制可定制的生产、安全、能源消耗、利用和安全时，就需要远程资产管理。IIoT通过在整个工厂安装无线传感器并通过互联网网关进行整合，实现了远程资产监控。这些数据可以被远程访问，以实时采取进一步的行动。

然而，除了这种情况下的应用功能外，服务提供商应能够创建和部署通信服务，以满足工业企业与监测流量和结果决策有关的具体要求。虚拟化技术通过在边缘和中央数据中心分别部署数据采集和分析功能，支持管理应用程序的灵活性。在这种情况下，中央数据中心承载着企业功能，而边缘数据中心则承载着单个工厂功能。

本论文的目标适用领域是未来密集的工业网络，在那里多目标优化方法并不高效。我们提供了一个完整的智能和复杂企业的虚拟化系统的基础设计。在这个系统中，我们针对主要的重要目标，提出了新的启发式方法，并为适用领域调整了一些现有的适当算法。

1.3 解决方法

在这篇论文中，我们用多种组合的虚拟化方法解决网络虚拟化的挑战。我们首先研究了复杂环境下的全面和自主的网络虚拟化，它结合了不同的技术、多个应用层次，以及主要的目标/约束：拓扑、安全、性能、可靠性和资源利用。我们专注于两个主要的网络虚拟化方法（维度）；功能虚拟化的NFV和资源虚拟化的VNE。我们将这些维度应用于多个目标下的不同层次的工业网络。我们首先提出了一个综合的解决方案，然后我们在最关键的目标/约束条件下将某些技术应用于某些层面。此外，我们设计了新颖的虚拟化解决方案和算法，提供高效率和可用性。这些解决方案得到了未来工业企业的具体用例的支持，并与时间敏感网络（TSN）标准中的两个主要组件集成。

我们首先开发了一个全面的VNE-NFV模型，用于在一组数据中心上部署一个扩展虚拟网络（EVN）。我们介绍了EVN的概念，它结合了虚拟应用和网络功能，以及应用和网络设备。这个EVN是通过对用户定义的简单VN（应用请求（AR））进行逐步的图形转换来建立的，以代表应用终端节点和一般要求。一组策略（如安全策略）也由用户定义，并以特定的优先级进行处理，以便用特定的VNos、VLis和VNFs扩展AR，并对资源有相应的需求。政策代表了EVN中的某种模式，以及当这种模式与EVN的当前状态相匹配时要执行的特定图转换操作。网络模型和策略考虑了节点的位置/领域和类型（拓扑结构），以及安全、冗余（可靠性）、低延迟和负载平衡（性能）要求。然而，降低成本（资源使用）的目标是在嵌入阶段考虑的。这个目标直接影响到减少能源消耗的目标。一个转变的例子是，当VLi连接两个地点时，添加特定的安全VNFs。

构建EVN的下一步是根据所需的VNF和它们之间的依赖关系，并使用拓扑排序方法来组成候选SFC。嵌入算法首先分配虚拟应用节点，然后它使用一种贪婪的启发式方法来映射SFC，该方法适应于剩余的SFC和路径长度。这个启发式的设计对我们的使用情况是可行的，这也适用于用于评估的随机拓扑结构。这些解决方案在VNE工具ALgorithms for Embedding of VIrtual Networks (ALEVIN) [11]中实现，这是一个用JAVA编写的开源VNE框架。一个典型的用例，即IIoT领域的远程资产管理，被用来说明开发的方法。远程资产管理是一个企业应用，但被部署在三个层面：工厂大厅、边缘计算和云计算。然而，在一般的虚拟化模型中，工厂大厅和边缘计算被合并以代表工厂层面。

考虑到所有目标的全面的VNE-NFV解决方案取决于三个子解决方案，它们考虑了不同级别和虚拟化维度的性能、可靠性和安全目标。对于性能和可靠性，我们分别研究了NFV和VNE对现代工业网络技术（TSN）的适用性。这里的适用性水平是子解决方案中的工厂和组合解决方案中的企业。我们将NFV应用于流量整形组件（时间感知整形器（TAS）），以提高灵活性，我们研究了性能开销，这是这种方法的主要挑战。我们还将VNE应用于冗余组件（Frame Replication and Elimination for Reliability (FRER)），以提高灵活性，同时最大限度地减少资源的使用，这是可靠性方面的一个重大挑战。对于安全角度和子解决方案，我们通过提出网络功能虚拟化基础设施（NFVI）的自主安全管理方法，在企业层面上应用NFV和VNE。NFV通过基于VNF迁移的防御架构来应用，而VNE则通过一个映射算法来应用，该算法了解VN的安全要求和SN的安全能力。

从性能角度来看，我们研究了TSN标准中的一个基本流量整形器TAS及其现有的实现。然后，我们研究了可用于使用高性能NFV实现虚拟TAS的机制。基于这些研究，我们设计、实现并评估了一个初步的虚拟TAS，它是一个由使用数据平面开发工具包（DPDK）构建的多个具有TAS功能的VNF组成的SFC。此外，我们开发了一个完整的框架，包括NFV专用的TAS控制器、调度和传输选择算法、时间同步以及流量生成和性能测量工具。我们提出了一种基于网络预取的新方法，主要是在虚拟环境中，通过提前测量真实的传输和处理时间来支持调度计算。在评估中，我们使用不同的场景测量穿越TAS SFC的时间关键型流量（TCT）的帧丢失和延迟，以判断虚拟TAS在提供与标准中设计的基于硬件的TAS相当的性能的能力。此外，我们还评估了穿越同一SFC的最佳努力流量（BET）和穿越使用相同资源的另一SFC的外部干扰的影响。这些因素在分析虚拟化开销时很重要。

从可靠性的角度来看，我们将可靠性模型作为网络实体的一个属性，并开发了具有不同路径不连接性策略的可靠性软件和基于分支的链接映射算法，可用于不同的工业流量类别。这些算法依赖于传统的框图方法来计算路径的可靠性。这些算法主要在资源利用率、VN接纳率和实现的可靠性方面进行比较。我们使用了一个来自工业网络的典型评估拓扑，其中包括各种应用类型。此外，我们分析了TSN次级标准IEEE Std 802.1CB FRER，它定义了流复制的方法。我们在此基础上开发兼容的VNE模型，并使用VNE工具ALEVIN以与FRER兼容的格式导出映射结果。然后我们在TSN模拟器Tsimnet[70]中测试了分支算法和FRER之间的这种整合。我们开发了最小和最大分支方法，并在工业环境中应用和评估了这些方法，因为这些方法是针对复杂环境的有效启发式方法，能够以最小或合理的资源使用量提高可靠性。

从安全的角度，我们阐述了VNF的安全性。企业VNF将被部署在标准服务器上，这可能会暴露出更广泛的攻击面。我们分析了VNF上的主要安全威胁，这些威胁来自于共同托管的VNF。重点关注的威胁是侧面通道、共同定位和迁移利用攻击。然后，我们设计了一个基于决策引擎和VNF迁移的防御概念。决策引擎将可疑的VNF作为威胁源迁移到一个详细的分析环境中。此外，我们开发了一种安全感知的节点和链路映射算法，考虑了VN的安全约束和SN的安全功能。在本论文中，我们仅在安全和隐私背景下讨论与服务水平协议（SLA）相关的VNF放置策略以及相关的QoS问题。

1.4 贡献

综上所述，我们开发、调整、应用和评估了几种高效的启发式算法，用于优化问题低效的复杂环境。在性能和可靠性方面，我们重点关注虚拟化对工业网络技术的适用性。在下文中，我们列出了本论文对技术现状的贡献。

我们提出了一个虚拟化模型，该模型考虑了网络层次、虚拟化维度和主要目标/约束。此外，我们将开发的模型和算法映射到这个模型上。图1.1显示了所提出的具有两个网络层次、两个虚拟化维度和目标的虚拟化模型。第7章讨论了所开发的方法（组合方法和子方法）的映射。这里的目标顺序反映了第三章中讨论的组合方法的优先级。
我们开发了一个全面的解决方案，用于结合虚拟化技术，并将其应用于不同的网络层次和多个目标。
- 在不同的拓扑结构、性能、可靠性和安全目标和约束条件下，我们使用图变换将一般的应用要求转换为物理拓扑感知的EVN。然而，资源利用目标是由EVN映射阶段解决的。
- 我们开发并实现了一种贪婪的启发式算法，根据链条和路径长度嵌入SFC。
- 我们将组合的解决方案应用于一个受工业4.0概念启发的IIoT用例，并代表了多个层次和目标。
我们开发了一个可靠性的VNE模型和三种可靠性感知的链路映射算法（最短路径、最大分支和最小分支），并在VN接受度、资源利用率、运行时间和实现的可靠性方面进行了比较。我们使用一个具有不同应用的典型工厂拓扑结构进行评估。基于我们的发现，我们提出了工业网络的流量类别和这些算法之间的映射。
我们将理论上的网络虚拟化方法与工业网络技术（TSN）相结合。
- 我们设计并实现了一个使用高性能NFV技术的虚拟化TAS的完整框架。我们的解决方案在实现TSN方面实现了高度的灵活性，为企业级工业应用提供了可接受的延迟概率。
- 我们使用TSN模拟器Tsimnet将可靠性感知链路映射算法的映射结果与标准的IEEE Std 802.1CB FRER进行整合。
我们讨论了VNF的安全威胁，并在NFVI中设计了一个基于迁移的防御解决方案，其中考虑了相关的隐私和QoS方面。
我们开发了一种安全感知的VNE算法，将VN的安全约束映射到SN的安全能力。

1.5 论文结构

本论文的结构如下：在第二章中，我们介绍了与工业网络虚拟化有关的工作，我们的组合方法，以及我们对性能（虚拟TSN）、可靠性（分支和FRER）和安全（基于迁移的防御和安全感知的VNE）的子解决方案。在第三章，我们介绍了组合的EVN方法。在第四章中，我们介绍了虚拟化TAS的性能子解决方案。在第5章中，我们提出了分支和与FRER整合的可靠性子解决方案。在第6章中，我们从安全的角度提出了决策引擎和安全感知的映射算法。第七章是本论文的结论，主要是将开发的方法映射到虚拟化模型中。

图1.2显示了论文地图的逻辑元素和主要依赖关系。这些贡献在各自的章节中详细说明后，在结论（第7章）中被映射到拟议的虚拟化模型中。第3章中的转换逻辑是由反映目标的不同转换实现的。延迟、冗余和安全转换以及EVN嵌入算法分别使用了第4、5、6章中三个子方法的算法和概念。最后，相关工作方面（EVN和三个主要目标）与各自的章节相联系，并阐明了技术的现状和我们的贡献。