中興通訊：云網(wǎng)一體化趨勢下的IP網(wǎng)絡(luò )重構

  云計算經(jīng)過(guò)十多年的發(fā)展，單純的公有云或私有云已經(jīng)不能滿(mǎn)足企業(yè)需求，新業(yè)務(wù)的發(fā)展需要多種云環(huán)境并存，云計算將進(jìn)入多云混合時(shí)代，公有云+邊緣云成為5G和DICT時(shí)代各方新的拓展點(diǎn)。另一方面，運營(yíng)商基礎網(wǎng)絡(luò )收入增長(cháng)見(jiàn)頂，而DICT市場(chǎng)是基礎網(wǎng)絡(luò )市場(chǎng)的3倍，達1.3萬(wàn)億元。中國企業(yè)上云率只有40%，還不到海外企業(yè)的一半，公有云IaaS服務(wù)在中國市場(chǎng)還處于增速快、空間大的窗口期，預計到2022年市場(chǎng)規模達2900億元。對運營(yíng)商而言，向云服務(wù)市場(chǎng)拓展是必然選擇。

  運營(yíng)商云網(wǎng)一體化面臨的挑戰

  進(jìn)軍云計算市場(chǎng)，幫個(gè)人/企業(yè)實(shí)現數字化，運營(yíng)商基礎設施首先要數字化。相比于云商，運營(yíng)商網(wǎng)絡(luò )的3個(gè)主要短板是智能化程度、業(yè)務(wù)部署時(shí)間和云網(wǎng)分離運營(yíng)。運營(yíng)商云服務(wù)起步晚，自研能力不足，解耦集成系統比云商垂直inhouse方式復雜，在業(yè)務(wù)深耕、端到端運營(yíng)、生態(tài)合作和需求洞察方面不如云商。但是，運營(yíng)商掌握云網(wǎng)融合網(wǎng)絡(luò )的全部3層資源，擁有多種連接入口(尤其是5G)、端到端SLA、屬地化運維隊伍，安全可信、融合集中的云能力和分布式的網(wǎng)絡(luò )能力是運營(yíng)商的天然優(yōu)勢。

  當前，運營(yíng)商網(wǎng)絡(luò )的痛點(diǎn)在于云網(wǎng)業(yè)務(wù)分開(kāi)發(fā)放，SLA無(wú)承諾，具體體現在：

  - 系統對接定制化時(shí)間長(cháng)，云網(wǎng)分開(kāi)發(fā)放;

  - 運營(yíng)上缺乏精細化的SLA保障和度量手段，無(wú)法滿(mǎn)足政企、金融客戶(hù)的要求;

  - 缺乏主動(dòng)運維監控手段。

  要做到云網(wǎng)一體化，對網(wǎng)絡(luò )有效賦能，充分發(fā)揮運營(yíng)商網(wǎng)絡(luò )的能力，需要做到網(wǎng)隨云動(dòng)、SLA可量化、故障可識別：

  - 開(kāi)放集成，網(wǎng)隨云動(dòng)，業(yè)務(wù)敏捷按需，分鐘級下發(fā);

  - 實(shí)現可承諾SLA保障、可承諾帶寬、時(shí)延保障;

  - SLA精細化管理，SLA數據毫秒級采集，隨流SLA測量和呈現，異常SLA主動(dòng)識別;

  - 智能運維，分鐘級別故障智能定位定界，主動(dòng)識別和優(yōu)化網(wǎng)絡(luò )異常。

  四方面進(jìn)行IP網(wǎng)絡(luò )重構

  云網(wǎng)一體，從技術(shù)上講，是電信技術(shù)、互聯(lián)網(wǎng)技術(shù)和IT技術(shù)的深度融合。三大技術(shù)具備不同的“基因”：電信技術(shù)特點(diǎn)是高可靠、高質(zhì)量、標準化和規?；?互聯(lián)網(wǎng)技術(shù)特點(diǎn)是低成本、分布式、迭代式和服務(wù)化;IT技術(shù)特點(diǎn)是分層開(kāi)放、軟硬件分離、虛擬化和云化。這三大技術(shù)的深度融合將推動(dòng)IP網(wǎng)絡(luò )從四個(gè)方面進(jìn)行重構：

  - 網(wǎng)絡(luò )架構重構：目標是簡(jiǎn)潔、開(kāi)放。通過(guò)網(wǎng)絡(luò )解耦，轉發(fā)、控制和業(yè)務(wù)應用分離，網(wǎng)絡(luò )能力全面開(kāi)放，實(shí)現網(wǎng)絡(luò )可編程。

  - 網(wǎng)絡(luò )運營(yíng)重構：目標是集約、自動(dòng)化。通過(guò)策略和模型驅動(dòng)的自動(dòng)化運營(yíng)，實(shí)現控制集中化、全局可調度，以及基于業(yè)務(wù)鏈的編排服務(wù)開(kāi)通和配置自動(dòng)化。

  - 網(wǎng)絡(luò )部署重構：目標是快捷、低成本。通過(guò)網(wǎng)絡(luò )扁平化，實(shí)現資源可調度，部署快捷、可擴展。

  - 網(wǎng)絡(luò )服務(wù)重構：目標是彈性、按需。通過(guò)多方聯(lián)合創(chuàng )新，實(shí)現網(wǎng)絡(luò )服務(wù)互聯(lián)網(wǎng)化，按需快速配置，變更。

  通過(guò)以上四個(gè)方面的重構，網(wǎng)絡(luò )最終實(shí)現：

  - 創(chuàng )新增強：基于軟件和細顆粒度網(wǎng)絡(luò )能力進(jìn)行自主創(chuàng )新。

  - 效率提升：實(shí)現基于軟件的自動(dòng)化維護和管理，以及基于虛擬化/云化的靈活部署和擴展。

  - 降成本：創(chuàng )新以太等技術(shù)降低Capex和Opex。

  新IP網(wǎng)絡(luò )目標架構設計

  基于以上討論的IP網(wǎng)絡(luò )重構理念，逐步引入新技術(shù)來(lái)應對云網(wǎng)融合、5G和IoT等新業(yè)務(wù)新型需求。網(wǎng)絡(luò )需要采用“自頂向下”的設計理念，推進(jìn)控制面和轉發(fā)面分離/解耦，通過(guò)集約化智慧運營(yíng)實(shí)現資源的柔性調度與業(yè)務(wù)的靈活部署。具體設計架構如圖1所示。

  現有網(wǎng)絡(luò )如果重構，應當遵循的演進(jìn)策略為：以網(wǎng)絡(luò )能力開(kāi)放及增值業(yè)務(wù)能力增強等為導向，推進(jìn)網(wǎng)絡(luò )升級;按場(chǎng)景引入新型技術(shù)，降本增效，提升效率;盤(pán)活數據資源，提升用戶(hù)體驗和網(wǎng)絡(luò )運營(yíng)管理水平。

  在網(wǎng)絡(luò )基礎設施方面，引入大容量單機，構建無(wú)阻塞的轉發(fā)網(wǎng)絡(luò )，做到業(yè)網(wǎng)分離;引入SR/BIER等新型技術(shù)，實(shí)現融合統一承載;基于DC設置，構建業(yè)務(wù)集中處理POP(Points Of Presence);按業(yè)務(wù)需求，引入虛擬化網(wǎng)元，提升業(yè)務(wù)處理能力;在網(wǎng)絡(luò )控制層，引入網(wǎng)絡(luò )操作系統，在逐步對控制器標準化及抽象化的基礎上，形成統一的、可編程的、功能強大的控制器模型，規范各類(lèi)控制器的南向和北向接口;在運營(yíng)體系方面，整合各類(lèi)平臺能力，新一代運營(yíng)系統的關(guān)鍵組件標準化、模型化;增強網(wǎng)絡(luò )數據的收集分析和網(wǎng)絡(luò )故障診斷能力，引入網(wǎng)絡(luò )AI技術(shù)、NETCONF/YANG以及Telemetry技術(shù)，構建統一的數據模型。

  構建安全可信的網(wǎng)絡(luò )基礎設施

  無(wú)論網(wǎng)絡(luò )如何改變，安全是永恒的話(huà)題。伴隨著(zhù)企業(yè)業(yè)務(wù)大規模上云，網(wǎng)絡(luò )安全變得格外重要，所以自底向上構建一整套安全可信網(wǎng)絡(luò )架構，提供基礎設施到應用層的端到端安全服務(wù)成為了迫切需求。

  當前的網(wǎng)絡(luò )基礎設施主要包括BGP、DNS和PKI等系統，這些基礎設施或其背后的可信模型是中心化的，而中心化的信任模型存在著(zhù)中心節點(diǎn)權限過(guò)大、單點(diǎn)失效等脆弱性，其自身無(wú)法成為牢固的安全可信基礎，大大降低了網(wǎng)絡(luò )的安全性、可靠性和平等性。如何用去中心化技術(shù)手段構建更為安全可信的網(wǎng)絡(luò )基礎設施，成為了研究的重點(diǎn)。由于去中心化技術(shù)天然就支持可信性驗證，因此基于其上實(shí)現BGP、DNS和PKI等基礎設施能力也就天然具備安全可信的能力，能夠真正從根本上保證其安全，進(jìn)而確保網(wǎng)絡(luò )上層服務(wù)的安全。網(wǎng)絡(luò )路由是關(guān)鍵的信息，去中心化的BGP安全機制首先從去中心化的IP地址和AS號的管理入手，提供不可篡改的資源所有權記錄，進(jìn)一步地，基于IP/ASN所有權發(fā)布的相關(guān)綁定信息和鄰居信息可以實(shí)現BGP的基本能力，同時(shí)可以提供相應的驗證信息，天然就支持BGP源驗證、路徑驗證、路由泄漏檢測等安全能力。這樣就真正地從“基因”上賦予網(wǎng)絡(luò )“端-網(wǎng)-云”牢固的安全可信屬性和能力，為未來(lái)網(wǎng)絡(luò )協(xié)議體系和網(wǎng)絡(luò )服務(wù)提供了更為堅實(shí)的安全可信基礎，可以說(shuō)從根本上解決了目前面臨的安全可信問(wèn)題。

  中興通訊憑借強大的自研芯片能力、全自主研發(fā)的網(wǎng)絡(luò )操作系統ROSng，以及管控合一的管控平臺，推出精準網(wǎng)絡(luò )解決方案，包括云化城域網(wǎng)解決方案、骨干網(wǎng)資源調度方案等，未來(lái)在網(wǎng)絡(luò )內生安全架構和新技術(shù)研發(fā)上，中興通訊將持續深入研究，推動(dòng)IP網(wǎng)絡(luò )架構朝更高效更安全的方向發(fā)展。

  作者：中興通訊IP產(chǎn)品規劃總工程師 陶文強