NaaS：變革企業(yè)基礎網(wǎng)絡(luò )模式

　　企業(yè)基礎網(wǎng)絡(luò )的挑戰和驅動(dòng)力

　　云計算、大數據、移動(dòng)化、無(wú)線(xiàn)化、物聯(lián)網(wǎng)，以及安全威脅，讓今天的企業(yè)基礎網(wǎng)絡(luò )面臨著(zhù)前所未有的業(yè)務(wù)挑戰，但與此同時(shí)，這些業(yè)務(wù)挑戰也驅動(dòng)著(zhù)網(wǎng)絡(luò )技術(shù)快速發(fā)展和演進(jìn)。

• 數據中心規模與流量模型發(fā)生變化

　　云計算在公有云、私有云和混合云市場(chǎng)的快速發(fā)展，使得數據中心（DC）的規模越來(lái)越大，流量模型也變?yōu)闁|西流量（DC內服務(wù)器和服務(wù)器之間流量）遠遠超過(guò)南北流量（DC內服務(wù)器和用戶(hù)之間流量）。為了應對上述挑戰，基于Leaf-Spine（葉脊）組網(wǎng)模式構建無(wú)阻塞網(wǎng)絡(luò )部件POD（Point Of Delivery），然后基于POD構建無(wú)阻塞集群（Cluster）模式越來(lái)越成為主流。

　　隨著(zhù)服務(wù)器接口帶寬從1G升級到10G，leaf和Spine交換機之間以及POD和Core交換機之間的互聯(lián)也將升級到40G/100G，因此對應的Leaf、Spine和Core交換機帶寬容量需要持續升級，特別是核心交換機要能夠支撐高密度100G接口以及未來(lái)的400G接口。

• ICT技術(shù)和應用部署走向融合

　　這個(gè)驅動(dòng)力來(lái)源于兩個(gè)方向：一方面，隨著(zhù)傳統企業(yè)辦公網(wǎng)絡(luò )和移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)的互通融合，需要在企業(yè)網(wǎng)絡(luò )的邊界設備上部署多樣的業(yè)務(wù)和應用，比如協(xié)議轉換、管理策略、安全控制、應用增值等。而這些應用的開(kāi)發(fā)者既可能是網(wǎng)絡(luò )設備商，也可能是第三方IT應用開(kāi)發(fā)商；另一方面，隨著(zhù)云計算的發(fā)展，在數據中心內需要針對不同的業(yè)務(wù)和應用動(dòng)態(tài)部署計算、存儲和網(wǎng)絡(luò )功能，為此基于服務(wù)器計算環(huán)境實(shí)現網(wǎng)絡(luò )功能就成為一個(gè)趨勢。上述兩方面從兩個(gè)方向推動(dòng)了傳統IT和CT兩個(gè)領(lǐng)域的技術(shù)和應用部署的融合。

　　總結下來(lái)，ICT融合體現為：網(wǎng)絡(luò )功能軟件化，部署IT化；網(wǎng)絡(luò )設備虛擬化，管理模式IT化。

• 網(wǎng)絡(luò )接入無(wú)線(xiàn)化發(fā)展迅猛

　　企業(yè)網(wǎng)絡(luò )無(wú)線(xiàn)化發(fā)展趨勢非常迅猛，特別是在末端接入場(chǎng)合，隨著(zhù)物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)的發(fā)展，呈現出LTE、Wi-Fi、Zigbee、Bluetooth、SubG等多種無(wú)線(xiàn)技術(shù)混合應用的局面。無(wú)線(xiàn)網(wǎng)絡(luò )的協(xié)同、性能、效率、部署和管理越發(fā)顯得重要。

• 網(wǎng)絡(luò )邊界模糊，安全管理更加復雜

　　隨著(zhù)如下一些業(yè)務(wù)趨勢，企業(yè)網(wǎng)絡(luò )的安全邊界變得模糊和動(dòng)態(tài)：公有云/私有云/混合云的發(fā)展，使企業(yè)IT應用的部署跨越了傳統的企業(yè)地理位置邊界；BYOD和無(wú)線(xiàn)化接入，使得用戶(hù)接入位置動(dòng)態(tài)化；DC內計算資源虛擬化和按需調度，使得部署其上的IT應用的物理位置動(dòng)態(tài)化。上述原因導致用戶(hù)和應用的部署在網(wǎng)絡(luò )上呈現出動(dòng)態(tài)變化，因此傳統企業(yè)基于物理位置和網(wǎng)絡(luò )物理拓撲進(jìn)行安全策略部署的方式很難適應，其動(dòng)態(tài)性和復雜性需要新的安全管理框架。

• APT威脅劇增，未知威脅防御成為重點(diǎn)

　　APT（Advanced Persistent Threat，高級持續性威脅）依賴(lài)“0-day缺陷”，能夠規避防御手段，導致傳統基于特征的檢測方式失效，APT攻擊表現為以下兩大特征：第一，高級（Advanced）。高級社會(huì )工程學(xué)攻擊能力、高級情報收集與分析能力，以及高度專(zhuān)業(yè)化攻擊技術(shù)團隊。第二，持續（Persistent）。目標驅動(dòng)力強、利益驅動(dòng)力強、組織紀律性好、資金支持力強。

　　上述特征使APT攻擊具有極大的危險性，并且近年來(lái)快速增加。為了應對APT攻擊，建立一套能夠實(shí)時(shí)分析和學(xué)習攻擊行為、并且針對識別出來(lái)的威脅及時(shí)調正網(wǎng)絡(luò )安全策略、刷新安全威脅防御特征庫的安全機制就顯得越發(fā)迫切和重要。

　　綜合上述業(yè)務(wù)和技術(shù)挑戰，可以發(fā)現，由于網(wǎng)絡(luò )規模的擴張、資源的動(dòng)態(tài)調度、管理策略和應用的靈活部署，除了傳統的容量、性能、成本挑戰外，解決管理和運營(yíng)復雜性成為焦點(diǎn)，因此網(wǎng)絡(luò )的價(jià)值也就從傳統的連通性向管理和服務(wù)轉移。

　　NaaS，企業(yè)基礎網(wǎng)絡(luò )解決方案模式變革

　　為了應對上述業(yè)務(wù)和技術(shù)挑戰，華為制定了如下的技術(shù)戰略總體架構，表現為5個(gè)方向：

• 寬廣

　　繼續提升網(wǎng)絡(luò )的連接容量、連接豐富性（各類(lèi)有線(xiàn)無(wú)線(xiàn)鏈路技術(shù)）和場(chǎng)景適應性（辦公、工業(yè)場(chǎng)合），使得網(wǎng)絡(luò )可以在數據中心、廣域網(wǎng)、園區、分支、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等場(chǎng)合廣泛延伸和適配。

• 靈活

　　通過(guò)研發(fā)支持可靈活編程的轉發(fā)和計算類(lèi)芯片，適應未來(lái)網(wǎng)絡(luò )協(xié)議變化和業(yè)務(wù)處理靈活變化的需求；同時(shí)通過(guò)支持虛擬化的網(wǎng)絡(luò )設備操作系統，向第三方管理、控制開(kāi)放，或者支持第三方開(kāi)發(fā)的功能和應用運行在網(wǎng)絡(luò )設備上。

• 開(kāi)放

　　通過(guò)集中的網(wǎng)絡(luò )控制器將網(wǎng)絡(luò )資源、網(wǎng)絡(luò )功能集中分配、管理和控制，配合提供相應網(wǎng)絡(luò )狀態(tài)，通過(guò)服務(wù)方式提供給網(wǎng)絡(luò )上部署的應用系統調用和驅動(dòng)，實(shí)現企業(yè)IT業(yè)務(wù)和應用對網(wǎng)絡(luò )的實(shí)時(shí)、動(dòng)態(tài)管理和驅動(dòng)。

• 易用

　　通過(guò)集中網(wǎng)絡(luò )控制器，提供針對網(wǎng)絡(luò )資源、功能和狀態(tài)的人性化操作和顯示界面，解決傳統基于復雜CLI等方式造成的管理難度。

• 安全

　　建立一套可實(shí)時(shí)檢測和感知網(wǎng)絡(luò )威脅，基于企業(yè)應用和用戶(hù)安全策略，實(shí)時(shí)動(dòng)態(tài)調整網(wǎng)絡(luò )安全配置、刷新網(wǎng)絡(luò )安全威脅檢測特征庫的系統，保證網(wǎng)絡(luò )的安全運行。

　　這個(gè)技術(shù)戰略的核心就是網(wǎng)絡(luò )即服務(wù)（NaaS），其關(guān)鍵技術(shù)支撐由如下3點(diǎn)構成。

　　SDN控制器

　　SDN本質(zhì)是一種新的網(wǎng)絡(luò )管理和運營(yíng)模式。面對網(wǎng)絡(luò )規模擴張、網(wǎng)絡(luò )管理動(dòng)態(tài)化的挑戰，傳統以設備為中心、基于人工靜態(tài)配置的模式已經(jīng)不能適應發(fā)展的需要。SDN基于網(wǎng)絡(luò )控制器將網(wǎng)絡(luò )資源、網(wǎng)絡(luò )管理和網(wǎng)絡(luò )控制集中，形成網(wǎng)絡(luò )服務(wù)能力，并且通過(guò)restful化的機機接口將這些網(wǎng)絡(luò )服務(wù)開(kāi)放給部署在網(wǎng)絡(luò )之上的IT業(yè)務(wù)系統。

　　由于SDN開(kāi)啟了一個(gè)新的模式和產(chǎn)業(yè)生態(tài)環(huán)境，因此開(kāi)源模式漸成主流，其中ODL（OpenDayLight）和ONOS（Open Network Operating System，開(kāi)源網(wǎng)絡(luò )操作系統）是比較有影響力的。針對企業(yè)基礎網(wǎng)絡(luò )，華為構建了基于ODL的控制器開(kāi)放平臺，并且針對不同網(wǎng)絡(luò )場(chǎng)景下的具體挑戰，對這個(gè)開(kāi)源框架和相應的網(wǎng)絡(luò )服務(wù)能力進(jìn)行了擴充，主要細分為6個(gè)場(chǎng)景：

• Agile WAN：通過(guò)一定程度的集中路由和策略控制優(yōu)化廣域網(wǎng)流量，提供更好的廣域互聯(lián)質(zhì)量，降低廣域互聯(lián)成本。
• Agile Campus：通過(guò)用戶(hù)接入認證，實(shí)現基于用戶(hù)策略的集中管理并自動(dòng)轉化為網(wǎng)絡(luò )配置，從而實(shí)現以用戶(hù)為中心的策略控制，適應BYOD、無(wú)線(xiàn)化等業(yè)務(wù)趨勢對網(wǎng)絡(luò )管理的需求。
• Agile Wi-Fi：通過(guò)集中無(wú)線(xiàn)管理和控制功能，實(shí)現全網(wǎng)無(wú)線(xiàn)優(yōu)化、用戶(hù)接入策略控制和用戶(hù)漫游等業(yè)務(wù)需求，大大提升無(wú)線(xiàn)網(wǎng)絡(luò )效率，降低無(wú)線(xiàn)網(wǎng)絡(luò )管理控制的復雜性。
• Agile ICT GW：通過(guò)對網(wǎng)絡(luò )設備虛擬化環(huán)境的統一管理、動(dòng)態(tài)部署軟件化網(wǎng)絡(luò )功能和第三方應用軟件，使得網(wǎng)關(guān)設備可靈活具備復雜ICT業(yè)務(wù)處理能力，滿(mǎn)足移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和企業(yè)分支場(chǎng)景需求。
• Agile DCN：通過(guò)對DC網(wǎng)絡(luò )資源集中管理和邏輯網(wǎng)絡(luò )集中控制，從而實(shí)現邏輯網(wǎng)絡(luò )到物理網(wǎng)絡(luò )的動(dòng)態(tài)映射和關(guān)聯(lián)，滿(mǎn)足數據中心虛擬化需求。
• Agile Security：通過(guò)對網(wǎng)絡(luò )上安全服務(wù)能力的抽象和基于用戶(hù)和應用安全策略的集中管理，實(shí)現靈活動(dòng)態(tài)的安全管理。

　　虛擬化的網(wǎng)絡(luò )設備操作系統

　　由于SDN的集中管理和網(wǎng)絡(luò )功能的復雜化和多樣性，特別是在移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)和企業(yè)分支、DC互聯(lián)等網(wǎng)絡(luò )邊界部署的網(wǎng)關(guān)設備，需要很強的集中管理以及網(wǎng)絡(luò )功能和應用處理的虛擬化動(dòng)態(tài)部署能力，這些都對網(wǎng)絡(luò )設備的軟件系統提出了管理IT化和虛擬化開(kāi)放設備資源的能力需求。出于性能、開(kāi)放性等要素取舍，在網(wǎng)絡(luò )設備上會(huì )支持多種虛擬化技術(shù)，如LXC（Linux Container）、KVM/VM等。

　　可適配多運行環(huán)境的虛擬網(wǎng)絡(luò )功能軟件

　　網(wǎng)絡(luò )功能的軟件化和基于虛擬環(huán)境部署主要受兩個(gè)方向的驅動(dòng)：一方面，支持虛擬化的專(zhuān)用網(wǎng)絡(luò )設備（特別是網(wǎng)關(guān)）需要動(dòng)態(tài)加載和部署不同的網(wǎng)絡(luò )功能；另一方面，出于靈活性需要，數據中心內針對租戶(hù)動(dòng)態(tài)生成邏輯網(wǎng)絡(luò )時(shí)，需要依托計算虛擬化環(huán)境動(dòng)態(tài)部署網(wǎng)絡(luò )功能。上述兩個(gè)場(chǎng)景都對一些網(wǎng)絡(luò )功能，如防火墻、IPS/IDS、WoC（WLAN over CATV）、負載均衡等都提出了軟件實(shí)現、并且可以適配和部署到不同虛擬化環(huán)境中的需求。

　　商業(yè)模式和產(chǎn)業(yè)生態(tài)環(huán)境變化

　　基于SDN網(wǎng)絡(luò )控制器、網(wǎng)絡(luò )設備虛擬化和網(wǎng)絡(luò )功能虛擬化的發(fā)展趨勢，可以預見(jiàn)，傳統的企業(yè)網(wǎng)絡(luò )商業(yè)模式將會(huì )發(fā)生很大的變化。

　　現有的商業(yè)模式基于網(wǎng)絡(luò )設備本身提供完整的網(wǎng)絡(luò )功能，部署也是以網(wǎng)絡(luò )設備為核心，基于規劃進(jìn)行安裝配置。因此具備不同網(wǎng)絡(luò )功能的設備有不同的分類(lèi)，如路由器、交換機、防火墻、Wi-Fi控制器（AC）等。

　　在新的模式下，由于網(wǎng)絡(luò )設備具備虛擬化能力，可以動(dòng)態(tài)加載不同的網(wǎng)絡(luò )功能，因此設備具有的功能是動(dòng)態(tài)可變的；另一方面網(wǎng)絡(luò )功能軟件化后，可以動(dòng)態(tài)部署在網(wǎng)絡(luò )設備上，也可以動(dòng)態(tài)部署在虛擬化計算環(huán)境中。因此，在新的商業(yè)模式下，傳統網(wǎng)絡(luò )設備的定義已經(jīng)模糊，而且網(wǎng)絡(luò )部署也不再完全以設備為中心，而是基于網(wǎng)絡(luò )控制器集中定義、動(dòng)態(tài)部署生成。

　　因此，我們可以大膽預測，未來(lái)的企業(yè)網(wǎng)絡(luò )商業(yè)模式將從以網(wǎng)絡(luò )設備為中心，轉向以“網(wǎng)絡(luò )設備+控制器”為載體平臺、網(wǎng)絡(luò )功能軟件化、網(wǎng)絡(luò )能力服務(wù)化方向發(fā)展。由此衍生出賣(mài)設備、賣(mài)網(wǎng)絡(luò )功能軟件、賣(mài)網(wǎng)絡(luò )服務(wù)、甚至是提供網(wǎng)絡(luò )運營(yíng)等靈活多樣的商業(yè)模式。

　　這樣一種商業(yè)模式將打破現有的網(wǎng)絡(luò )設備開(kāi)發(fā)和運維的封閉模式，使更多的廠(chǎng)商可以參與進(jìn)來(lái)，通過(guò)開(kāi)放合作提供差異化的優(yōu)質(zhì)技術(shù)和服務(wù)，將大大促進(jìn)企業(yè)網(wǎng)絡(luò )基礎設施對企業(yè)業(yè)務(wù)發(fā)展的推動(dòng)力。

　　上述商業(yè)模式的健康發(fā)展需要一個(gè)前提，就是充分的開(kāi)放，使得網(wǎng)絡(luò )設備廠(chǎng)商、網(wǎng)絡(luò )功能廠(chǎng)商、控制器廠(chǎng)商、網(wǎng)絡(luò )服務(wù)提供商等之間可以充分合作。業(yè)界實(shí)踐表明，開(kāi)源是最佳的產(chǎn)業(yè)鏈開(kāi)放模式，因此基于ODL開(kāi)源架構的控制器平臺、基于Linux開(kāi)源架構的網(wǎng)絡(luò )設備操作系統等將會(huì )成為趨勢，并且基于這些開(kāi)源體系發(fā)展出一個(gè)充滿(mǎn)創(chuàng )新的健康生態(tài)環(huán)境。