敏捷網(wǎng)絡(luò)包括了園區(qū)、數(shù)據(jù)中心、分支、廣域,繼承了業(yè)界SDN的最新理念和研究成果。2013年重點(diǎn)聚焦在敏捷園區(qū)領(lǐng)域,通過業(yè)務(wù)隨行、全網(wǎng)安全協(xié)防、質(zhì)量感知、有線無線深度融合和SDN平滑演進(jìn)五個(gè)創(chuàng)新功能,協(xié)助企業(yè)客戶完成面向新業(yè)務(wù)趨勢變化的網(wǎng)絡(luò)轉(zhuǎn)型,讓網(wǎng)絡(luò)更敏捷地為業(yè)務(wù)服務(wù)。
改變一:網(wǎng)絡(luò)資源云化,業(yè)務(wù)隨行
業(yè)務(wù)隨行意味著用戶的策略、資源、對應(yīng)的業(yè)務(wù)體驗(yàn)?zāi)軌螂S著用戶的移動(dòng)而動(dòng)態(tài)遷移,終極實(shí)現(xiàn)的效果是移動(dòng)辦公的人員不管在哪里,使用什么終端接入,體驗(yàn)?zāi)軌蛞恢。那么為了保證體驗(yàn)的一致,有哪些策略需要“隨行”呢?
接入控制策略隨行
為了讓策略隨行,華為在敏捷網(wǎng)絡(luò)里面引入了SDN的架構(gòu)。SDN技術(shù)在數(shù)據(jù)中心領(lǐng)域試圖解決虛擬機(jī)遷移導(dǎo)致的網(wǎng)絡(luò)策略不能隨行的問題,因而華為考慮創(chuàng)新的把SDN架構(gòu)引入到園區(qū),試圖同樣來解決園區(qū)網(wǎng)絡(luò)資源和策略需要跟隨辦公人員移動(dòng)而變化的問題。
我們引入Controller之后,只需要在Controller做統(tǒng)一配置,由它像大腦一樣來翻譯和下發(fā)指令到交換機(jī)。IT人員不需要像以前一樣配置機(jī)器指令,只需要在界面上基于圖形和自然語言做配置,降低了對IT人員的專業(yè)要求。
QoS策略隨行
QoS策略同樣只需要在Controller上定義,以前述開會(huì)的例子來講,大家都在會(huì)議區(qū)開會(huì),流量突然陡增的時(shí)候,VIP用戶想在相同區(qū)域處理重要業(yè)務(wù), Controller可以精確的把QoS策略推到他最邊緣的那臺(tái)交換機(jī)上,專門配置保障帶寬,從而保障VIP用戶的流暢體驗(yàn)。
當(dāng)BYOD逐漸普及以后,QoS在企業(yè)園區(qū)會(huì)更加趨于重要。移動(dòng)終端上有不同的業(yè)務(wù),如上網(wǎng)、語音、視頻、重要的交互訪問等流量,對待重點(diǎn)用戶/用戶組、重點(diǎn)業(yè)務(wù),也可以在Controller配置對應(yīng)的策略,用戶走到哪,QoS策略隨行到哪。
存儲(chǔ)和業(yè)務(wù)策略隨行
大型公司往往不止一個(gè)數(shù)據(jù)中心,為保證每個(gè)員工接入數(shù)據(jù)中心處理業(yè)務(wù)的體驗(yàn),對接入時(shí)間有嚴(yán)格的要求,因而數(shù)據(jù)中心往往部署在全球,其中像ERP或其他重要的業(yè)務(wù)系統(tǒng)都是熱備狀態(tài),通過雙活的方式做用戶接入的負(fù)載分擔(dān)。那么同樣當(dāng)從北京出差的員工在深圳接入時(shí),最好是用戶的業(yè)務(wù)和對應(yīng)業(yè)務(wù)存儲(chǔ)的數(shù)據(jù)也可以從北京的數(shù)據(jù)中心動(dòng)態(tài)負(fù)載到深圳的數(shù)據(jù)中心。這樣用戶將可以獲得最佳的業(yè)務(wù)體驗(yàn),這個(gè)過程可以形象的叫做“飄”,這種體驗(yàn)在未來可以在敏捷網(wǎng)絡(luò)的架構(gòu)下,由存儲(chǔ)領(lǐng)域和網(wǎng)絡(luò)領(lǐng)域融合來實(shí)現(xiàn)。
改變二:全網(wǎng)安全協(xié)防,從單點(diǎn)防護(hù)步入全網(wǎng)防護(hù)年代
我們來看一個(gè)故事:某人在家里,突然有人敲門,開門之后,敲門者說走錯(cuò)門了。如果戶主不認(rèn)識(shí)敲門者,可能關(guān)門了事。敲門者又挨家挨戶的去敲其他的門,遇到?jīng)]有住戶在家的,就可以撬門行竊。
在這個(gè)例子中,每個(gè)戶主坐在自己家里時(shí),都會(huì)認(rèn)為敲門者的行為是正常的。但是如果站在整個(gè)小區(qū)的高度來看,作為安防人員,看小區(qū)所有的監(jiān)控畫面,就會(huì)及時(shí)發(fā)現(xiàn)這個(gè)有些怪異的行為有著潛在的安全威脅。
這個(gè)例子充分說明了從全網(wǎng)的視角出發(fā)和從單點(diǎn)出發(fā),它們所能發(fā)現(xiàn)的安全風(fēng)險(xiǎn)是不一樣的。從全網(wǎng)的視角出發(fā)更能夠發(fā)現(xiàn)一些潛在的威脅。那么,有了Controller意味著可以從全網(wǎng)角度出發(fā)來看整個(gè)企業(yè)園區(qū)網(wǎng)絡(luò)。更進(jìn)一步,就可以考慮用大數(shù)據(jù)分析的方法來從全網(wǎng)視角發(fā)現(xiàn)安全威脅。
華為創(chuàng)新性的將安全行為分析軟件集成到Controller中,通過搜集全網(wǎng)各類設(shè)備的日志信息,記錄全網(wǎng)的各類安全事件,進(jìn)而分析并發(fā)現(xiàn)一些以前從單點(diǎn)出發(fā)的視角不能發(fā)現(xiàn)的潛在威脅或攻擊。通過交互界面呈現(xiàn)給管理員,并產(chǎn)生告警。進(jìn)而管理員可以調(diào)用全網(wǎng)安全資源對風(fēng)險(xiǎn)進(jìn)行防御。這樣可以降低管理人員的維護(hù)工作量,整個(gè)系統(tǒng)也可以更加安全的運(yùn)行。
大數(shù)據(jù)分析還有一點(diǎn)非常重要的,就是實(shí)時(shí)性。
有一個(gè)例子是某企業(yè)的網(wǎng)絡(luò)出現(xiàn)了安全事故。事后回顧總結(jié)時(shí)發(fā)現(xiàn),如果當(dāng)時(shí)根據(jù)當(dāng)事人的證言和被攻擊設(shè)備及其周邊設(shè)備的日志進(jìn)行分析,是能夠發(fā)現(xiàn)一些蛛絲馬跡的。但這些蛛絲馬跡為什么不能當(dāng)場發(fā)現(xiàn)呢?最重要的原因是數(shù)據(jù)量太大了。管理員不可能把自己網(wǎng)絡(luò)里面的設(shè)備日志在短期內(nèi)全都讀一遍,并分析其中的關(guān)聯(lián)。
而使用大數(shù)據(jù)分析的思想,全網(wǎng)安全協(xié)防就可以立即把網(wǎng)絡(luò)安全攻擊事件分析出來,第一時(shí)間發(fā)現(xiàn)網(wǎng)絡(luò)安全問題,甚至提前發(fā)現(xiàn)隱患,從而及時(shí)的阻止安全事故的發(fā)生。
改變?nèi)篒P質(zhì)量感知,網(wǎng)絡(luò)可精確管理
IP是面向無連接的,對網(wǎng)絡(luò)質(zhì)量是無感知的,這使得網(wǎng)絡(luò)故障定位非常困難。華為通過iPCA(internet Packet Conservation Algorithm,包守恒算法)來解決網(wǎng)絡(luò)質(zhì)量感知的問題。它的關(guān)鍵點(diǎn),是充分利用了IP包里的一個(gè)保留位對數(shù)據(jù)包進(jìn)行染色、檢測并計(jì)數(shù),從而準(zhǔn)確判斷網(wǎng)絡(luò)中的丟包等異常情況。
iPCA帶來了很多好處,這里可以舉幾個(gè)應(yīng)用場景來說明。
廣域?qū)>的質(zhì)量監(jiān)控:現(xiàn)在大量的企業(yè)廣域網(wǎng)都是租用運(yùn)營商專線。實(shí)際上,在運(yùn)營商專線里面存在著大量的丟包,但是為什么用戶一般體驗(yàn)不到呢?這是由于TCP以及應(yīng)用層的重傳機(jī)制,保證了用戶的體驗(yàn),但網(wǎng)絡(luò)質(zhì)量其實(shí)是受到丟包影響而下降了的。這種情況下,iPCA可以部署在這兩個(gè)專線端口,統(tǒng)計(jì)所有丟包,幫助企業(yè)客戶準(zhǔn)確評估專線的鏈路質(zhì)量。