任何事物的发展都离不开历史发展的大背景,园区网络的发展亦是如此。数字化转型风头正劲,企业和组织纷纷加入数字化浪潮之中,上层业务需要更简单、更灵活、更安全、更健壮的网络去支撑。园区网络未来将如何演进,以适应业务快速发展的步伐,为企业创新提供有力支撑,将成为一个永恒的话题。
园区网络发展面临的挑战
SDN技术让网络的部署变得越来越简单,让业务快速上线和变更更具灵活性与弹性。而传统运维的低效率、高成本、被动性已成为制约园区网络发展的主要矛盾。随着人工智能和大数据技术被引入网络运维之中,智能运维的概念已经跃出水面。
很多企业和组织存在多个园区或分支机构,甚至还有自建数据中心,而园区与数据中心之间存在业务互访需求。是否能够让一套运维人马统一编排调度园区与园区、园区与数据中心的网络资源呢?
另外,我们希望用户在移动办公中对网络切换完全无感知,做到网随人动、策略随行,较大化提升用户网络体验,由网络自适应需求。同时,网络切换不仅对用户无感知,对运维人员也要做到无感知。
而在共享物理资源网络中,复杂的网络逻辑叠加上复杂的安全策略已令运维人员在部署和运维过程中头疼不已。而服务链图形化部署方式可以对安全策略做以抽象、化繁为简,从而提升安全部署效率。
统一融合管理
为了更好为企业的数字化转型提供支撑,园区网络需要灵活、快速地响应业务的需求变化,并利用新的人工智能技术提供网络端到端的可视性和更高的问题定位效率,从而减少停机时间。这些都需要网络具备统一融合管理能力,主要体现在:
企业网络的一站式管理 通过自动化能力, 运维人员从统一的用户界面实现端到端设计、部署、配置策略。不再需要对设备进行操作,网络可以更快扩展和响应业务需求。总部完全托管分支的网络运维的方式,大大提升了网络响应业务变更效率,同时也降低了分支园区管理对运维人员的能力要求。
智能数据分析 通过端到端的可视性,管理员不再需要逐跳式故障排除,同时,海量数据的挖掘又催生智能运维,通过对数据时间维度、空间维度的分析,可在问题发生前进行预测。
云原生平台 网络控制管理系统基于云原生平台研发设计,具备以下三大特点:
● 业务更敏捷:采用DevOps,功能持续交付,新业务上线快,功能迭代快;
● 功能可扩展:无状态应用以容器作为最小单位,扩展容易;
● 故障可恢复:微服务下,服务之间隔离,故障影响范围小。
图1 SNA融合架构
园数融合
在企业、教育、医疗等行业中的一些单位/机构中,存在数据中心的规模不大,或者数据中心无法集中部署的场景。在这些场景中, 通常园区网络和数据中心网络是由一套人员负责管理和运维,所以园区和数据中心网络的融合管理可以很好的提高运维管理效率,降低成本。
在园数融合管理场景中, 数据中心可以采用传统的组网架构,以兼容客户现有的数据中心,保护已有投资,也可以采用基于VxLAN的Fabric组网架构。在统一的管理平台中, 可以实现设备自动化上线,支持端到端的拓扑呈现、端到端的业务及策略配置、端到端的设备和网络健康度呈现以及智能分析保障。
图2 园区和数据中心融合管理
智能运维
传统运维的不足
当前网络运维存在的主要问题是运维成本高与故障定位时间周期长。园区网络运维通常是救火模式,网络故障的发现依赖于用户上报或用户投诉等事件驱动,故障发生后,仅仅依赖工具、日志、抓包等手段通过人工的方式分析。另外,日益复杂的网络进一步加剧了园区网络运维人员的紧张程度。
智能运维起航正当时
从运维人员的角度,可以把智能运维分为三个维度:用户保障、网络保障、应用保障。通过历史大数据与AI专家经验库,可以给每一个维度的健康度建模,基于模型实时给出健康度评分,这样运维人员就可以非常直观的获知当前用户、网络、应用的真实体验。
要实现智能运维功能,有两个关键技术:一个是网络的数据采集技术,另一个是大数据与AI技术。Telemetry技术的出现,使得我们可以对网络设备进行多维度、细粒度的数据采集,这是实现对网络状态、用户状态以及应用的精细化可视与立体化可测的基础。
最终,借助AI机器学习算法,针对某一关键指标做动态基线计算,可以推算某一时刻是否出现异常,也可通过基线来预测指标的未来走势。
园区网络智能运维场景
用户体验是园区网络运维的核心。任何网络异常都可能对用户的上网体验产生影响,尤其是在无线环境中,受周边各种因素影响更多。当前,主要的智能运维场景分为网络可视与故障分析两类。下面介绍其中的三种场景:
用户接入旅程回放 无线终端接入旅程回放功能就是通过在用户上网过程中经过的每一个设备上获取用户数据,将无线终端认证、关联、DHCP获取IP地址、DNS解析网址过程里的每一个报文与状态全部录制下来,让运维人员即刻感受到用户真实上网体验,瞬间定位故障原因。
音视频质量感知 现在,我们通过对SIP+RTP类音视频业务的流量采集,实时探测音视频会话的建立与结束,自动启用音视频质量监控技术,分析会话过程中的音视频MOS值与丢包率、最大连续丢包数、重传率、抖动等质量指标的相关性,识别质差音视频流,为音视频业务保障提供有力依据。
问题分析 当前问题分析可分为八个大类:接入类问题、认证类问题、IP地址类问题、漫游类问题、无线信号类问题、无法上网类问题、上网慢类问题、无线负载类问题。每一个大类又可以细化出若干个小类。
图3 问题分析分类
网随人动
为什么需要网随人动?
随着移动互联越来越普及,导致终端在企业的总部/分支间经常移动。对于跨国企业,这种移动甚至是跨越国界的大范围移动。同时,智慧+的底层需要引入大量的物联网终端来感知物理世界,导致园区接入的终端类型越来越多,数量越来越大,管控越来越难。加之企业日常变动带来管控工作量的增加,每次变动都需要运维人员对网络做较多的手工调整和配置变更,且变更过程多会面临断网等问题,用户体验较差。
为了解决上述痛点,应该引入新的技术/新的网络架构,增加现有园区网的弹性,让外部变化发生时,网络能自适应,实现网络策略或网络参数(IP/网段/VPN)自动跟随调整,称之为网随人动。其优势在于:
● 大大降低运维人员工作量,提升用户使用体验,提升企业生产率。
● 网随人动可以只包含策略的随行,也可以包含策略+网络参数的随行(网段/IP/VPN等),后者对于无线本地转发+大范围漫游,防火墙策略简化,终端追溯等带来额外好处。
● 简化网络意图的实施,加速整个园区网从SDN向IBN转换。因为网络意图可以不用关注位置等底层细节,从而可以将注意力更聚焦于业务层面,实现起来更容易。
如何实现网随人动?
网随人动需要解决业务层的角色信息如何在网络层映射和表达的问题,这里有两种关键技术。第一种是通过准入认证获取终端的角色信息,要求终端入网必须有准入。另一种是网络角色在转发通路上的表达,具体有两种实现方式:
● 角色和网段一一对应,不使用专门字段携带和转发。
角色确定了,网段/IP/VRF等信息也可以完成绑定和随行,策略基于网段匹配,并且可以提前下发。这种方式的优点是网络参数提前确认和规划,终端移动无需再做调整,用户体验好,运维人员工作量小。不足之处在于网段和角色耦合紧,较适合新建场景。
● 角色采用专门字段表达和传递,与网段没有关系。
策略基于角色字段来进行匹配,而不是基于网段信息来匹配。这种方式的优点是对老网改动少,改造场景适应性好,可对DHCP/认证系统解耦;不足之处在于网络参数不保证随行,功能上会带来限制。
服务链
什么是服务链?
园区网存在两类流量:东西流量和南北流量。当网络流量按照业务逻辑所要求的既定的顺序,经过这些业务点(主要指安全设备如防火墙、LB等),这就是服务链(Service Chain),服务链可以理解为一种业务形式。
服务链在园区网络应用场景
南北流量采用一体化的NGFW设备实现多业务安全防护的功能,部署模式上符合服务链模型,实现了安全设备与物理拓扑的解耦,(如图4)模式一,安全功能执行与传统设备无差异。优点是支持全业务安全功能,但存在无法按需调整安全功能处理顺序问题。
图4 南北向服务链流量模式一
(如图5)所示,模式二通过采用不同的安全设备实现不同的安全功能,实现了功能级别的安全资源池,是真正意义上的安全服务链模型,可以满足灵活的业务防护需求。
图5 南北向服务链流量模式二
园区网的东西流量的安全防护目前主要有几种方式:方式一,通过配置组间策略方式,实现用户之间的全隔离,该方式受限于交换机ACL的资源限制,无法做到更精细化的管理;方式二,在终端做防护,该方式的缺陷是防护不稳定,取决于终端操作系统版本以及用户更新病毒库的频率;方式三,内网配置防火墙,但随着移动办公、策略随行等SDN新方案的引入,需要在所有用户互访的交换机上配置PBR策略,给网络带来了较大复杂性与成本。
图6 东西向服务链流量模式
而东西向服务链引流方案如图6所示,将流量按需引入服务链服务节点,可以大大减轻网络东西互访带来的风险,通过网络资源池化模式实现按需引流,降低成本,减轻运维。
而随着智慧园区网络向自动化方向演进,网络可视与可控成为关键点,服务链可以将流量按需镜像到网络监控器中,再根据大数据分析与AI系统实现网络的自动运维,或者自动安全防护。
图7 园区网络可视化需求
如图7所示,园区网服务链可以将流量按需镜像到网络分析与安全工具中,实现对网络故障的诊断与网络病毒的安全监控,为自动化网络提供可靠的技术保障。
结束语
作为业务发展的基石,园区网络技术发展方向是清晰明确的。以业务为导向,简化网络部署、智能化网络运维、丰富网络功能、提升安全能力,以适应业务各种灵活部署需要。正如开篇所述,为推动业务发展,对网络不断优化与发展的需求是永无止境的。我们只有不断突破与创新,才能适应时代发展的需要。
浙公网安备 33010802004375号
