企業(yè)基礎網絡的挑戰(zhàn)和驅動力

　　云計算、大數據、移動化、無線化、物聯網，以及安全威脅，讓今天的企業(yè)基礎網絡面臨著前所未有的業(yè)務挑戰(zhàn)，但與此同時，這些業(yè)務挑戰(zhàn)也驅動著網絡技術快速發(fā)展和演進。

• 數據中心規(guī)模與流量模型發(fā)生變化

　　云計算在公有云、私有云和混合云市場的快速發(fā)展，使得數據中心（DC）的規(guī)模越來越大，流量模型也變?yōu)闁|西流量（DC內服務器和服務器之間流量）遠遠超過南北流量（DC內服務器和用戶之間流量）。為了應對上述挑戰(zhàn)，基于Leaf-Spine（葉脊）組網模式構建無阻塞網絡部件POD（Point Of Delivery），然后基于POD構建無阻塞集群（Cluster）模式越來越成為主流。

　　隨著服務器接口帶寬從1G升級到10G，leaf和Spine交換機之間以及POD和Core交換機之間的互聯也將升級到40G/100G，因此對應的Leaf、Spine和Core交換機帶寬容量需要持續(xù)升級，特別是核心交換機要能夠支撐高密度100G接口以及未來的400G接口。

• ICT技術和應用部署走向融合

　　這個驅動力來源于兩個方向：一方面，隨著傳統企業(yè)辦公網絡和移動互聯網、物聯網的互通融合，需要在企業(yè)網絡的邊界設備上部署多樣的業(yè)務和應用，比如協議轉換、管理策略、安全控制、應用增值等。而這些應用的開發(fā)者既可能是網絡設備商，也可能是第三方IT應用開發(fā)商；另一方面，隨著云計算的發(fā)展，在數據中心內需要針對不同的業(yè)務和應用動態(tài)部署計算、存儲和網絡功能，為此基于服務器計算環(huán)境實現網絡功能就成為一個趨勢。上述兩方面從兩個方向推動了傳統IT和CT兩個領域的技術和應用部署的融合。

　　總結下來，ICT融合體現為：網絡功能軟件化，部署IT化；網絡設備虛擬化，管理模式IT化。

• 網絡接入無線化發(fā)展迅猛

　　企業(yè)網絡無線化發(fā)展趨勢非常迅猛，特別是在末端接入場合，隨著物聯網、移動互聯網的發(fā)展，呈現出LTE、Wi-Fi、Zigbee、Bluetooth、SubG等多種無線技術混合應用的局面。無線網絡的協同、性能、效率、部署和管理越發(fā)顯得重要。

• 網絡邊界模糊，安全管理更加復雜

　　隨著如下一些業(yè)務趨勢，企業(yè)網絡的安全邊界變得模糊和動態(tài)：公有云/私有云/混合云的發(fā)展，使企業(yè)IT應用的部署跨越了傳統的企業(yè)地理位置邊界；BYOD和無線化接入，使得用戶接入位置動態(tài)化；DC內計算資源虛擬化和按需調度，使得部署其上的IT應用的物理位置動態(tài)化。上述原因導致用戶和應用的部署在網絡上呈現出動態(tài)變化，因此傳統企業(yè)基于物理位置和網絡物理拓撲進行安全策略部署的方式很難適應，其動態(tài)性和復雜性需要新的安全管理框架。

• APT威脅劇增，未知威脅防御成為重點

　　APT（Advanced Persistent Threat，高級持續(xù)性威脅）依賴“0-day缺陷”，能夠規(guī)避防御手段，導致傳統基于特征的檢測方式失效，APT攻擊表現為以下兩大特征：第一，高級（Advanced）。高級社會工程學攻擊能力、高級情報收集與分析能力，以及高度專業(yè)化攻擊技術團隊。第二，持續(xù)（Persistent）。目標驅動力強、利益驅動力強、組織紀律性好、資金支持力強。

　　上述特征使APT攻擊具有極大的危險性，并且近年來快速增加。為了應對APT攻擊，建立一套能夠實時分析和學習攻擊行為、并且針對識別出來的威脅及時調正網絡安全策略、刷新安全威脅防御特征庫的安全機制就顯得越發(fā)迫切和重要。

　　綜合上述業(yè)務和技術挑戰(zhàn)，可以發(fā)現，由于網絡規(guī)模的擴張、資源的動態(tài)調度、管理策略和應用的靈活部署，除了傳統的容量、性能、成本挑戰(zhàn)外，解決管理和運營復雜性成為焦點，因此網絡的價值也就從傳統的連通性向管理和服務轉移。

　　NaaS，企業(yè)基礎網絡解決方案模式變革

　　為了應對上述業(yè)務和技術挑戰(zhàn)，華為制定了如下的技術戰(zhàn)略總體架構，表現為5個方向：

• 寬廣

　　繼續(xù)提升網絡的連接容量、連接豐富性（各類有線無線鏈路技術）和場景適應性（辦公、工業(yè)場合），使得網絡可以在數據中心、廣域網、園區(qū)、分支、物聯網、移動互聯網等場合廣泛延伸和適配。

• 靈活

　　通過研發(fā)支持可靈活編程的轉發(fā)和計算類芯片，適應未來網絡協議變化和業(yè)務處理靈活變化的需求；同時通過支持虛擬化的網絡設備操作系統，向第三方管理、控制開放，或者支持第三方開發(fā)的功能和應用運行在網絡設備上。

• 開放

　　通過集中的網絡控制器將網絡資源、網絡功能集中分配、管理和控制，配合提供相應網絡狀態(tài)，通過服務方式提供給網絡上部署的應用系統調用和驅動，實現企業(yè)IT業(yè)務和應用對網絡的實時、動態(tài)管理和驅動。

• 易用

　　通過集中網絡控制器，提供針對網絡資源、功能和狀態(tài)的人性化操作和顯示界面，解決傳統基于復雜CLI等方式造成的管理難度。

• 安全

　　建立一套可實時檢測和感知網絡威脅，基于企業(yè)應用和用戶安全策略，實時動態(tài)調整網絡安全配置、刷新網絡安全威脅檢測特征庫的系統，保證網絡的安全運行。

　　這個技術戰(zhàn)略的核心就是網絡即服務（NaaS），其關鍵技術支撐由如下3點構成。

　　SDN控制器

　　SDN本質是一種新的網絡管理和運營模式。面對網絡規(guī)模擴張、網絡管理動態(tài)化的挑戰(zhàn)，傳統以設備為中心、基于人工靜態(tài)配置的模式已經不能適應發(fā)展的需要。SDN基于網絡控制器將網絡資源、網絡管理和網絡控制集中，形成網絡服務能力，并且通過restful化的機機接口將這些網絡服務開放給部署在網絡之上的IT業(yè)務系統。

　　由于SDN開啟了一個新的模式和產業(yè)生態(tài)環(huán)境，因此開源模式漸成主流，其中ODL（OpenDayLight）和ONOS（Open Network Operating System，開源網絡操作系統）是比較有影響力的。針對企業(yè)基礎網絡，華為構建了基于ODL的控制器開放平臺，并且針對不同網絡場景下的具體挑戰(zhàn)，對這個開源框架和相應的網絡服務能力進行了擴充，主要細分為6個場景：

• Agile WAN：通過一定程度的集中路由和策略控制優(yōu)化廣域網流量，提供更好的廣域互聯質量，降低廣域互聯成本。
• Agile Campus：通過用戶接入認證，實現基于用戶策略的集中管理并自動轉化為網絡配置，從而實現以用戶為中心的策略控制，適應BYOD、無線化等業(yè)務趨勢對網絡管理的需求。
• Agile Wi-Fi：通過集中無線管理和控制功能，實現全網無線優(yōu)化、用戶接入策略控制和用戶漫游等業(yè)務需求，大大提升無線網絡效率，降低無線網絡管理控制的復雜性。
• Agile ICT GW：通過對網絡設備虛擬化環(huán)境的統一管理、動態(tài)部署軟件化網絡功能和第三方應用軟件，使得網關設備可靈活具備復雜ICT業(yè)務處理能力，滿足移動互聯網、物聯網和企業(yè)分支場景需求。
• Agile DCN：通過對DC網絡資源集中管理和邏輯網絡集中控制，從而實現邏輯網絡到物理網絡的動態(tài)映射和關聯，滿足數據中心虛擬化需求。
• Agile Security：通過對網絡上安全服務能力的抽象和基于用戶和應用安全策略的集中管理，實現靈活動態(tài)的安全管理。

　　虛擬化的網絡設備操作系統

　　由于SDN的集中管理和網絡功能的復雜化和多樣性，特別是在移動互聯網、物聯網和企業(yè)分支、DC互聯等網絡邊界部署的網關設備，需要很強的集中管理以及網絡功能和應用處理的虛擬化動態(tài)部署能力，這些都對網絡設備的軟件系統提出了管理IT化和虛擬化開放設備資源的能力需求。出于性能、開放性等要素取舍，在網絡設備上會支持多種虛擬化技術，如LXC（Linux Container）、KVM/VM等。

　　可適配多運行環(huán)境的虛擬網絡功能軟件

　　網絡功能的軟件化和基于虛擬環(huán)境部署主要受兩個方向的驅動：一方面，支持虛擬化的專用網絡設備（特別是網關）需要動態(tài)加載和部署不同的網絡功能；另一方面，出于靈活性需要，數據中心內針對租戶動態(tài)生成邏輯網絡時，需要依托計算虛擬化環(huán)境動態(tài)部署網絡功能。上述兩個場景都對一些網絡功能，如防火墻、IPS/IDS、WoC（WLAN over CATV）、負載均衡等都提出了軟件實現、并且可以適配和部署到不同虛擬化環(huán)境中的需求。

　　商業(yè)模式和產業(yè)生態(tài)環(huán)境變化

　　基于SDN網絡控制器、網絡設備虛擬化和網絡功能虛擬化的發(fā)展趨勢，可以預見，傳統的企業(yè)網絡商業(yè)模式將會發(fā)生很大的變化。

　　現有的商業(yè)模式基于網絡設備本身提供完整的網絡功能，部署也是以網絡設備為核心，基于規(guī)劃進行安裝配置。因此具備不同網絡功能的設備有不同的分類，如路由器、交換機、防火墻、Wi-Fi控制器（AC）等。

　　在新的模式下，由于網絡設備具備虛擬化能力，可以動態(tài)加載不同的網絡功能，因此設備具有的功能是動態(tài)可變的；另一方面網絡功能軟件化后，可以動態(tài)部署在網絡設備上，也可以動態(tài)部署在虛擬化計算環(huán)境中。因此，在新的商業(yè)模式下，傳統網絡設備的定義已經模糊，而且網絡部署也不再完全以設備為中心，而是基于網絡控制器集中定義、動態(tài)部署生成。

　　因此，我們可以大膽預測，未來的企業(yè)網絡商業(yè)模式將從以網絡設備為中心，轉向以“網絡設備+控制器”為載體平臺、網絡功能軟件化、網絡能力服務化方向發(fā)展。由此衍生出賣設備、賣網絡功能軟件、賣網絡服務、甚至是提供網絡運營等靈活多樣的商業(yè)模式。

　　這樣一種商業(yè)模式將打破現有的網絡設備開發(fā)和運維的封閉模式，使更多的廠商可以參與進來，通過開放合作提供差異化的優(yōu)質技術和服務，將大大促進企業(yè)網絡基礎設施對企業(yè)業(yè)務發(fā)展的推動力。

　　上述商業(yè)模式的健康發(fā)展需要一個前提，就是充分的開放，使得網絡設備廠商、網絡功能廠商、控制器廠商、網絡服務提供商等之間可以充分合作。業(yè)界實踐表明，開源是最佳的產業(yè)鏈開放模式，因此基于ODL開源架構的控制器平臺、基于Linux開源架構的網絡設備操作系統等將會成為趨勢，并且基于這些開源體系發(fā)展出一個充滿創(chuàng)新的健康生態(tài)環(huán)境。