自動駕駛網(wǎng)絡(luò)“上路”

郭濤

第一次聽說“自動駕駛網(wǎng)絡(luò)”這個名詞，大約在半年前，當時，瞻博網(wǎng)絡(luò)（Juniper Networks）首席執(zhí)行官Rami Rahim（拉希姆）在一次采訪中表示，Juniper正致力于將具有自主運行能力的網(wǎng)絡(luò)付諸實施。用他的話說，可自主運行的網(wǎng)絡(luò)就像是自動駕駛的汽車一樣，網(wǎng)絡(luò)本身不僅要具備高性能和強大的功能，所有網(wǎng)絡(luò)組件都能提供相關(guān)的數(shù)據(jù)和信息，并進行有效的分析，而且可以借助機器學習平臺，更好地了解網(wǎng)絡(luò)的狀態(tài)，在故障發(fā)生前就能提前預知并提供相應(yīng)的解決辦法，同時網(wǎng)絡(luò)還可以實現(xiàn)自動化的配置和安全策略的設(shè)定，具有自我調(diào)整的能力。

當時聽到這些描述，筆者心里雖然認同這一網(wǎng)絡(luò)未來的發(fā)展方向，但同時也認為，這可能是幾年后才可能發(fā)生的事情。但是僅僅過了半年，筆者在2017年底舉行的全球網(wǎng)絡(luò)技術(shù)大會（GNTC）上再次從云杉網(wǎng)絡(luò)CEO亓亞烜嘴里聽到“自動駕駛網(wǎng)絡(luò)”這一說法時，再聯(lián)想到Oracle發(fā)布18c自治數(shù)據(jù)庫時提到的”自動駕駛數(shù)據(jù)庫“的理念，忽然意識到，“自動駕駛網(wǎng)絡(luò)”的時代可能在不知不覺間來臨了！

亓亞烜相信，“自動駕駛網(wǎng)絡(luò)”會比自動駕駛汽車更早變?yōu)楝F(xiàn)實。

基于“意圖”的交互式網(wǎng)絡(luò)

“自動駕駛網(wǎng)絡(luò)”是一個形象的比喻，即未來的網(wǎng)絡(luò)會更加自動化，一些最基本的網(wǎng)絡(luò)配置、功能實現(xiàn)、安全保障完全可以由網(wǎng)絡(luò)系統(tǒng)自己實現(xiàn)，自主管理，網(wǎng)絡(luò)管理員會被解放出來，將更多精力放在網(wǎng)絡(luò)業(yè)務(wù)規(guī)劃上，而不是每天為了消除網(wǎng)絡(luò)故障疲于奔命。只要仔細想一想，肯定大家都會認同這一趨勢，關(guān)鍵是如何才能實現(xiàn)？

IBNS（Intent-Based Networking System，基于意圖的交互式網(wǎng)絡(luò)系統(tǒng)）應(yīng)運而生。Gartner大約從2016年開始關(guān)注IBNS，《Innovation Insight： Intent-Based Networking Systems， Gartner， Feb 7， 2017》定義，IBNS必須具備以下幾種能力：轉(zhuǎn)譯和驗證、自動安裝、網(wǎng)絡(luò)狀態(tài)的察覺、精確診斷，以及動態(tài)的優(yōu)化和補救。

IBNS提供了一種搭建和運維網(wǎng)絡(luò)的新方法，提升了網(wǎng)絡(luò)的可用性和敏捷性。系統(tǒng)可以跨現(xiàn)有的網(wǎng)絡(luò)設(shè)施進行適合的網(wǎng)絡(luò)變更，并且是由網(wǎng)絡(luò)自動完成的。IBNS還提供了對網(wǎng)絡(luò)基礎(chǔ)設(shè)施的生命周期管理，包含設(shè)計、安裝、運營和精確診斷。

“IBN與SDN不是一回事。SDN關(guān)注的是網(wǎng)絡(luò)本身，也就是‘路，而IBN是實現(xiàn)交通控制的紅綠燈?！必羴啛@解釋說，“SDN是實現(xiàn)IBN的基礎(chǔ)。由于SDN的出現(xiàn)，網(wǎng)絡(luò)變得更加復雜了，需要更多的策略、管理，這是非常困難的一件事。而IBN的出現(xiàn)，讓SDN網(wǎng)絡(luò)的配置、管理和運維變得更加簡捷、方便。在實現(xiàn)SDN之后，IBN是必然選擇。”

IBN的概念是2016年出現(xiàn)的。云杉網(wǎng)絡(luò)從一開始就在關(guān)注，而且提出了一個更直接的說法——網(wǎng)絡(luò)監(jiān)控一體化。時至今日，SDN已經(jīng)是數(shù)據(jù)中心網(wǎng)絡(luò)的一種新常態(tài)。SDN是從技術(shù)的角度出發(fā)，而IBN是從用戶業(yè)務(wù)的角度出發(fā)，解決具體的應(yīng)用問題，包括網(wǎng)絡(luò)管理、業(yè)務(wù)連續(xù)性、安全性等。Gartner的數(shù)據(jù)顯示，采用IBN后，用戶業(yè)務(wù)部署的速度可以提高10倍，業(yè)務(wù)中斷減少50%。

“IBN的出現(xiàn)對那些網(wǎng)絡(luò)工程師的影響最大，這不僅僅是技術(shù)層面的問題，而是人的觀念要徹底改變。”亓亞烜打比方說，“如果有一天，我們不用自己開車，去哪都有人接送，這是一種什么感覺？IBN帶來的改變，網(wǎng)絡(luò)工程師要慢慢適應(yīng)和改變?！?/p>

用戶自發(fā)的需求

以前，我們看到的更多情況是，技術(shù)的發(fā)展驅(qū)動應(yīng)用的變革，而IBN卻打破了常規(guī)，因為先有了客戶自發(fā)的需求，才促進了IBN的產(chǎn)生和發(fā)展。

因為云計算、SDN等的普及，企業(yè)的數(shù)據(jù)中心、網(wǎng)絡(luò)的規(guī)模越來越大，也越來越復雜，繼續(xù)沿用人工管理的方式，既不經(jīng)濟，也是人自身的能力所難以勝任的?！熬W(wǎng)絡(luò)未來發(fā)展的趨勢一定是實現(xiàn)自動化管理?！必羴啛@介紹說，國內(nèi)的一些證券公司、互聯(lián)網(wǎng)公司，甚至大型物流公司都提出了幾乎相同的需求：降低網(wǎng)絡(luò)管理的復雜性和成本，更有效地保證業(yè)務(wù)連續(xù)性和安全性。

以前，網(wǎng)絡(luò)管理都由企業(yè)的網(wǎng)絡(luò)管理部門一力承當，而現(xiàn)在要想實現(xiàn)網(wǎng)絡(luò)的”多快好省“，僅靠人工是遠遠不夠的。比如一家大型的物流企業(yè)，可能有數(shù)百個業(yè)務(wù)同時并發(fā)，要對其進行實時的狀態(tài)管理，必須依靠網(wǎng)絡(luò)的自動化。再比如，現(xiàn)在很多互聯(lián)網(wǎng)企業(yè)都提供公有云服務(wù)，但是經(jīng)常會有一些用戶因為很基本的網(wǎng)絡(luò)配置或功能問題來尋求幫助，而云服務(wù)商通常沒有這么多的人力來應(yīng)對這些問題。怎么辦？唯一途徑就是讓網(wǎng)絡(luò)具備自動化解決這些問題的能力。這才是IBN興起的根本原因。

云杉網(wǎng)絡(luò)提供基于IBN的服務(wù)也有一段時間了，現(xiàn)有的客戶主要來自金融、運營商等行業(yè)，其中很多用戶是主動找上門來的。“2011年，SDN剛開始部署時，我們主要還是向國外廠商學習?，F(xiàn)在進入IBN時代，中國用戶成了應(yīng)用的先鋒，其需求之迫切更甚于國外?！必羴啛@表示，“而且對IBN提出需求的更多是傳統(tǒng)企業(yè)，而不是像BAT這樣的互聯(lián)網(wǎng)企業(yè)。國外的市場分析機構(gòu)也注意到了這些不同于以往的變化?！?/p>

IBN當前主要的應(yīng)用環(huán)境包括數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)、WAN等。美國高速公路安全委員會將自動駕駛分成5個級別，Level 0代表沒有自動駕駛功能，而Level 4表示完全自動駕駛。亓亞烜認為，目前自動駕駛網(wǎng)絡(luò)的水平相當于汽車具有增強駕駛功能，差不多是Level 3。

從安全切入

云杉網(wǎng)絡(luò)是從網(wǎng)絡(luò)安全的角度切入IBN的。英雄所見略同，Juniper為了保證自主運行網(wǎng)絡(luò)的安全，也推出了軟件定義安全網(wǎng)絡(luò)（SDSN）?！拔覀冎饕鉀Q的是安全策略管理方面的問題?！睋?jù)亓亞烜介紹，云杉網(wǎng)絡(luò)只用了半年時間就推出了安全白名單功能。

云杉網(wǎng)絡(luò)安全白名單的研發(fā)就源于客戶的實際需求。某客戶的生產(chǎn)環(huán)境為自研OpenStack云平臺，其安全部門提出了構(gòu)建能夠?qū)崿F(xiàn)安全監(jiān)控的云的訴求。針對云上的業(yè)務(wù)流量，南北向的安全由傳統(tǒng)的防火墻負擔，而東西向的安全暫時沒有解決方案，所以希望云杉網(wǎng)絡(luò)能夠基于白名單方案實現(xiàn)對內(nèi)網(wǎng)流量的控制。

業(yè)務(wù)部門負責定義合法的VM池、IP地址、Port等資源組，安全部門根據(jù)業(yè)務(wù)部門的意見決定是否放行該資源組的流量，并由此形成可編輯的策略，保障業(yè)務(wù)的安全性和網(wǎng)絡(luò)的可控性。

安全白名單具體功能實現(xiàn)如下：假設(shè)某金融機構(gòu)有一個手機銀行業(yè)務(wù)，其業(yè)務(wù)流是用戶在手機App的操作回傳到數(shù)據(jù)中心之后，先經(jīng)過服務(wù)端校驗和處理，然后再回寫到數(shù)據(jù)庫，之后數(shù)據(jù)庫將變更結(jié)果反饋出去，直至用戶手機App。為了安全起見，該金融機構(gòu)的安全人員只允許手機App的服務(wù)端（某些固定的IP或其他自定義的資源）訪問特定數(shù)據(jù)庫（的指定端口），其他任何資源不允許訪問。這個規(guī)則是橫亙在被保護的資源和外部訪問之間的安全門，稱之為白名單系統(tǒng)，就像一些公司的門禁卡，只有本公司員工能開門，對不符合該白名單的訪問系統(tǒng)除了進行阻斷，還要進行報警、記錄日志等相關(guān)操作。

毫無疑問，IBN當然會用到人工智能、數(shù)據(jù)分析，數(shù)據(jù)的采集和分析是核心，而為了實現(xiàn)對網(wǎng)絡(luò)的實時監(jiān)控，數(shù)據(jù)分析的性能和效率要進一步提升?，F(xiàn)在，我們對人工智能有了越來越清楚的認知，它不是取代人，而是輔助人提高工作的效率。IBN的出現(xiàn)，也是借助人工智能、數(shù)據(jù)分析，讓網(wǎng)絡(luò)自己完成“力所能及”的事情，而人只要做只能由人完成的事情就可以了。IBN會帶來一場革命嗎？與其說革命，不如說它是網(wǎng)絡(luò)自然演進的結(jié)果。還是那句話，未來，網(wǎng)絡(luò)一定是自動化管理的。