企业基础网络的挑战和驱动力 云计算、大数据、移动化、无线化、物联网,以及安全威胁,让今天的企业基础网络面临着前所未有的业务挑战,但与此同时,这些业务挑战也驱动着网络技术快速发展和演进。 ● 数据中心规模与流量模型发生变化 云计算在公有云、私有云和混合云市场的快速发展,使得数据中心(DC)的规模越来越大,流量模型也变为东西流量(DC内服务器和服务器之间流量)远远超过南北流量(DC内服务器和用户之间流量)。为了应对上述挑战,基于Leaf-Spine(叶脊)组网模式构建无阻塞网络部件POD(Point Of Delivery),然后基于POD构建无阻塞集群(Cluster)模式越来越成为主流。 随着服务器接口带宽从1G升级到10G,leaf和Spine交换机之间以及POD和Core交换机之间的互联也将升级到40G/100G,因此对应的Leaf、Spine和Core交换机带宽容量需要持续升级,特别是核心交换机要能够支撑高密度100G接口以及未来的400G接口。 ● ICT技术和应用部署走向融合 这个驱动力来源于两个方向:一方面,随着传统企业办公网络和移动互联网、物联网的互通融合,需要在企业网络的边界设备上部署多样的业务和应用,比如协议转换、管理策略、安全控制、应用增值等。而这些应用的开发者既可能是网络设备商,也可能是第三方IT应用开发商;另一方面,随着云计算的发展,在数据中心内需要针对不同的业务和应用动态部署计算、存储和网络功能,为此基于服务器计算环境实现网络功能就成为一个趋势。上述两方面从两个方向推动了传统IT和CT两个领域的技术和应用部署的融合。 总结下来,ICT融合体现为:网络功能App化,部署IT化;网络设备虚拟化,管理模式IT化。 ● 网络接入无线化发展迅猛 企业网络无线化发展趋势非常迅猛,特别是在末端接入场合,随着物联网、移动互联网的发展,呈现出LTE、Wi-Fi、Zigbee、Bluetooth、SubG等多种无线技术混合应用的局面。无线网络的协同、性能、效率、部署和管理越发显得重要。 ● 网络边界模糊,安全管理更加复杂 随着如下一些业务趋势,企业网络的安全边界变得模糊和动态:公有云/私有云/混合云的发展,使企业IT应用的部署跨越了传统的企业地理位置边界;BYOD和无线化接入,使得用户接入位置动态化;DC内计算资源虚拟化和按需调度,使得部署其上的IT应用的物理位置动态化。上述原因导致用户和应用的部署在网络上呈现出动态变化,因此传统企业基于物理位置和网络物理拓扑进行安全策略部署的方式很难适应,其动态性和复杂性需要新的安全管理框架。 ● APT威胁剧增,未知威胁防御成为重点 APT(Advanced Persistent Threat,高级持续性威胁)依赖“0-day缺陷”,能够规避防御手段,导致传统基于特征的检测方式失效,APT攻击表现为以下两大特征:第一,高级(Advanced)。高级社会工程学攻击能力、高级情报收集与分析能力,以及高度专业化攻击技术团队。第二,持续(Persistent)。目标驱动力强、利益驱动力强、组织纪律性好、资金支撑力强。 上述特征使APT攻击具有极大的危险性,并且近年来快速增加。为了应对APT攻击,建立一套能够实时分析和学习攻击行为、并且针对识别出来的威胁及时调正网络安全策略、刷新安全威胁防御特征库的安全机制就显得越发迫切和重要。 综合上述业务和技术挑战,可以发现,由于网络规模的扩张、资源的动态调度、管理策略和应用的灵活部署,除了传统的容量、性能、成本挑战外,解决管理和运营复杂性成为焦点,因此网络的价值也就从传统的连通性向管理和服务转移。 NaaS,企业基础网络解决方案模式变革 为了应对上述业务和技术挑战,HUAWEI制定了如下的技术战略总体架构,表现为5个方向: ● 宽广 继续提升网络的连接容量、连接丰富性(各类有线无线链路技术)和场景适应性(办公、工业场合),使得网络可以在数据中心、广域网、园区、分支、物联网、移动互联网等场合广泛延伸和适配。 ● 灵活 通过研发支撑可灵活编程的转发和计算类芯片,适应未来网络协议变化和业务处理灵活变化的需求;同时通过支撑虚拟化的网络设备操作系统,向第三方管理、控制开放,或者支撑第三方开发的功能和应用运行在网络设备上。 ● 开放 通过集中的网络控制器将网络资源、网络功能集中分配、管理和控制,配合提供相应网络状态,通过服务方式提供给网络上部署的应用系统调用和驱动,实现企业IT业务和应用对网络的实时、动态管理和驱动。 ● 易用 通过集中网络控制器,提供针对网络资源、功能和状态的人性化操作和显示界面,解决传统基于复杂CLI等方式造成的管理难度。 ● 安全 建立一套可实时检测和感知网络威胁,基于企业应用和用户安全策略,实时动态调整网络安全配置、刷新网络安全威胁检测特征库的系统,保证网络的安全运行。 这个技术战略的核心就是网络即服务(NaaS),其关键技术支撑由如下3点构成。 ● SDN控制器 SDN本质是一种新的网络管理和运营模式。面对网络规模扩张、网络管理动态化的挑战,传统以设备为中心、基于人工静态配置的模式已经不能适应发展的需要。SDN基于网络控制器将网络资源、网络管理和网络控制集中,形成网络服务能力,并且通过restful化的机机接口将这些网络服务开放给部署在网络之上的IT业务系统。 由于SDN开启了一个新的模式和产业生态环境,因此开源模式渐成主流,其中ODL(OpenDayLight)和ONOS(Open Network Operating System,开源网络操作系统)是比较有影响力的。针对企业基础网络,HUAWEI构建了基于ODL的控制器开放平台,并且针对不同网络场景下的具体挑战,对这个开源框架和相应的网络服务能力进行了扩充,主要细分为6个场景: Agile WAN:通过一定程度的集中路由和策略控制优化广域网流量,提供更好的广域互联质量,降低广域互联成本。 Agile Campus:通过用户接入认证,实现基于用户策略的集中管理并自动转化为网络配置,从而实现以用户为中心的策略控制,适应BYOD、无线化等业务趋势对网络管理的需求。 Agile Wi-Fi:通过集中无线管理和控制功能,实现全网无线优化、用户接入策略控制和用户漫游等业务需求,提升无线网络效率,降低无线网络管理控制的复杂性。 Agile ICT GW:通过对网络设备虚拟化环境的统一管理、动态部署App化网络功能和第三方应用App,使得网关设备可灵活具备复杂ICT业务处理能力,满足移动互联网、物联网和企业分支场景需求。 Agile DCN:通过对DC网络资源集中管理和逻辑网络集中控制,从而实现逻辑网络到物理网络的动态映射和关联,满足数据中心虚拟化需求。 Agile Security:通过对网络上安全服务能力的抽象和基于用户和应用安全策略的集中管理,实现灵活动态的安全管理。 ● 虚拟化的网络设备操作系统 由于SDN的集中管理和网络功能的复杂化和多样性,特别是在移动互联网、物联网和企业分支、DC互联等网络边界部署的网关设备,需要很强的集中管理以及网络功能和应用处理的虚拟化动态部署能力,这些都对网络设备的App系统提出了管理IT化和虚拟化开放设备资源的能力需求。出于性能、开放性等要素取舍,在网络设备上会支撑多种虚拟化技术,如LXC(Linux Container)、KVM/VM等。 ● 可适配多运行环境的虚拟网络功能App 网络功能的App化和基于虚拟环境部署主要受两个方向的驱动:一方面,支撑虚拟化的专用网络设备(特别是网关)需要动态加载和部署不同的网络功能;另一方面,出于灵活性需要,数据中心内针对租户动态生成逻辑网络时,需要依托计算虚拟化环境动态部署网络功能。上述两个场景都对一些网络功能,如防火墙、IPS/IDS、WoC(WLAN over CATV)、负载均衡等都提出了App实现、并且可以适配和部署到不同虚拟化环境中的需求。 商业模式和产业生态环境变化 基于SDN网络控制器、网络设备虚拟化和网络功能虚拟化的发展趋势,可以预见,传统的企业网络商业模式将会发生很大的变化。 现有的商业模式基于网络设备本身提供完整的网络功能,部署也是以网络设备为核心,基于规划进行安装配置。因此具备不同网络功能的设备有不同的分类,如路由器、交换机、防火墙、Wi-Fi控制器(AC)等。 在新的模式下,由于网络设备具备虚拟化能力,可以动态加载不同的网络功能,因此设备具有的功能是动态可变的;另一方面网络功能App化后,可以动态部署在网络设备上,也可以动态部署在虚拟化计算环境中。因此,在新的商业模式下,传统网络设备的定义已经模糊,而且网络部署也不再完全以设备为中心,而是基于网络控制器集中定义、动态部署生成。 因此,大家可以大胆预测,未来的企业网络商业模式将从以网络设备为中心,转向以“网络设备+控制器”为载体平台、网络功能App化、网络能力服务化方向发展。由此衍生出卖设备、卖网络功能App、卖网络服务、甚至是提供网络运营等灵活多样的商业模式。 这样一种商业模式将打破现有的网络设备开发和运维的封闭模式,使更多的厂商可以参与进来,通过开放合作提供差异化的优质技术和服务,将促进企业网络基础设施对企业业务发展的推动力。 上述商业模式的健康发展需要一个前提,就是充分的开放,使得网络设备厂商、网络功能厂商、控制器厂商、网络服务提供商等之间可以充分合作。业界实践表明,开源是最佳的产业链开放模式,因此基于ODL开源架构的控制器平台、基于Linux开源架构的网络设备操作系统等将会成为趋势,并且基于这些开源体系发展出一个充满创新的健康生态环境。
|