世界各地的運營商正在加緊準備,以迎接未來十年里即將出現(xiàn)的用戶數(shù)量以及內容驅動型業(yè)務流量的激增。造成這種激增的部分原因,是由于移動應用平臺和諸多數(shù)字內容供應商的崛起,促進了現(xiàn)有網(wǎng)絡上視頻和應用程序內容消費的增加。
在過去的五年里,互聯(lián)網(wǎng)流量的年復合增長率高達 30% 或以上。
預計截至 2022 年:
- IP 流量將增至每月 396 艾字節(jié)
- 城市服務區(qū)的流量將占到互聯(lián)網(wǎng)流量的 1/3
- 將會有 280 億臺設備和互聯(lián)節(jié)點接入互聯(lián)網(wǎng)
- 48% 的互聯(lián)節(jié)點將支持視頻功能
5G 設備將通過提高速度和降低延遲來滿足市場對帶寬和網(wǎng)絡性能的不斷追求。互聯(lián)設備、在線游戲平臺以及視頻會議平臺將會產(chǎn)生新業(yè)務流量,這些流量會導致網(wǎng)絡中部署的設備數(shù)量大幅增加。為了跟上這種增長的步伐,網(wǎng)絡供應商需要在網(wǎng)絡的所有區(qū)域保持簡單、安全、始終如一且高度自動化的運行。
Cisco IOS XR的同步發(fā)展
Cisco? Internetwork Operating System (IOS)XR 軟件已準確預知到這些技術變革,并為適應變革而不斷發(fā)展演變。
IOS XR 不但具備領先的路由協(xié)議和功能,而且持續(xù)專注于 Segment Routing 和以太網(wǎng)虛擬專用網(wǎng)絡(EVPN)等基于意圖的傳輸技術。這些特點使 IOS XR 成為各個網(wǎng)絡細分市場上云服務提供商和大型電信運營商的首選。
運營商網(wǎng)絡正逐步向可擴展、自動化的運營工作流程過渡,這一過渡正推動整個行業(yè)的設備供應商網(wǎng)絡操作系統(tǒng)在網(wǎng)絡堆棧的每一層利用模型驅動的 API 來實現(xiàn)開放且可擴展的軟件架構。
隨著 6.x 版本的發(fā)布,IOS XR 朝著這一方向邁出了第一步,從 32 位 QNX 操作系統(tǒng)升級到 64 位 Linux 操作系統(tǒng),并專注于滿足行業(yè)需求的運營相關功能。
通過支持服務開通可編程化的 YANG 模型和大規(guī)模實時遙測數(shù)據(jù),結合面向定制協(xié)議和控制器堆棧較低層的高性能服務層 API, 大大提升了 IOS XR 與目標工作流程和工具相結合的能力。
自從 4 年前 IOS XR 開始支持零接觸服務開通(Zero-Touch Provisioning)功能以解決零日的部署需求,ZTP 工作流程超高的接受度使其成為 IOS XR 最吸引人的功能特性。
ZTP 讓運營商能夠在不接觸路由器控制臺和無需任何手動干預的情況下,對其網(wǎng)絡中采用 IOS XR 的路由器完成開通配置工作。如此一來大大縮短了服務開通時間,同時也不再需要派遣昂貴的技術人員(SME)到現(xiàn)場手動配置設備。
初始部署期間,使用 ZTP 所節(jié)省的時間和費用,讓運營商能夠在網(wǎng)絡優(yōu)化和設計方面投入更多資金,有助于創(chuàng)造更多收入。ZTP 將成為降低運營費用(OpEx)的關鍵組件,它還能夠擴展網(wǎng)絡以滿足 5G 和相關技術的需求。IOS XR 的發(fā)展演變不止于此,我們期待看到 IOS XR 在接入網(wǎng)絡市場的廣泛應用,
由于 IOS XR 允許最終用戶直接訪問其底層 Linux 環(huán)境,因此大量的腳本語言(Bash、Python、Golang、C++)和配置管理工具(Ansible、Puppet 和 Chef 等等)可供使用。
憑借對容器(LXC 和 Docker)的支持,運營商將可以在設備上直接使用他們最喜愛的 Linux 工具或部署客戶化的代理和協(xié)議。這種設計可以幫助運營商充分利用 IOS XR 網(wǎng)絡堆棧和原生 Linux 環(huán)境相結合的卓越能力,從而進一步降低管理網(wǎng)絡設備的運營復雜度。
為未來設計,未來將去向何方?
第一步是保留 IOS XR 6.x 版本中融入的所有運營性增強功能。運營商客戶針對結合高性能和可擴展 API 的大規(guī)模自動化需求仍然旺盛。而針對大規(guī)模流式遙測(StreamingTelemetry)、Linux 式工作流程以及和行業(yè)標準工具結合等方面的投入,將推動 IOS XR 進一步的發(fā)展演變。
網(wǎng)絡大小和規(guī)模的不斷增大,運營商顯然面臨著諸多挑戰(zhàn)。他們必須優(yōu)化和大幅簡化運營。從零日 ZTP 和 Day 1 配置與監(jiān)控到 Day N 業(yè)務處理和管理,每個部署階段的自動化必須更容易實現(xiàn)。
每年威脅設備完整性的新型攻擊載體的層出不窮,對網(wǎng)絡設備安全性的擔憂也越來越多。隨著運營商網(wǎng)絡的邊界進一步擴大,尤其是在接入部署方面,中間人 (Man-In-The-Middle) 式攻擊將變得更加普遍。這種攻擊試圖接管網(wǎng)絡設備或配置服務以滲透和破壞網(wǎng)絡,進而破壞網(wǎng)絡數(shù)據(jù)。除了位于受信任的網(wǎng)絡運營中心(NOC),缺乏安 全的帶外管理網(wǎng)絡的設備自動化配置和服務開通,都將增加網(wǎng)絡的受攻擊幾率。
我們需要更加注重采用“值得信賴” 的網(wǎng)絡設備,這類設備必須將采用安全的自動化服務開通工作流,驗證所有的已安裝組件并監(jiān)控運行中的進程從而清除攻擊作為高優(yōu)先級。
隨著極富擴展性且針對 400G 而優(yōu)化 Cisco 8000 系列平臺的發(fā)布,IOS XR 繼續(xù)擴大其所支持的平臺系列。IOS XR7 可以運行于廣泛的硬件和虛擬平臺,如 XRv9000 虛擬路由器以實現(xiàn)虛擬網(wǎng)絡功能(VNF)、NCS 5000、NCS5500 系列、ASR 9000 系列以及經(jīng)過驗證的第三方硬件產(chǎn)品,從而提供業(yè)界最全面的平臺和解決方案系列,可在運營商網(wǎng)絡的所有部分實現(xiàn)統(tǒng)一的運營模式和特性功能。
推出 IOS XR7
IOS XR 第 7 版的推出,該架構得以進一步演進滿足需求。
IOS XR7 架構注重三大主要理念:
簡單
更易于開通、自動化以及與各種各樣的工作流程相結合。
- 容器, 因此通過現(xiàn)成的工具和腳本解決方案管理系統(tǒng)比以往更加容易。
- 運營更簡單:Linux 風格的工作流程和整合讓運營商能夠使用可擴展配置管理工具 (Ansible、Puppet、Chef) 并支持二進制文件或容器形式的內置標準 Linux 應用程序 (LXC、Docker)。
- 零日部署更簡單、更安全:基于 RFC 8572 的強大而安全的零接觸功能有助于實現(xiàn)安全的設備加載 /上線,其利用的是模板驅動型 ZTP 腳本,該腳本基于 IOS XR 路由器與引導服務器之間的 YANG 模型化事務處理。
- 軟件分發(fā)和部署更簡單:可以通過名為 Golden Installation Software Objects(GISO)的 Artifact 來將定制腳本、應用程序、軟件包和文件融入到可部署的 ISOArtifact 中。單獨的 IOS XR 組件和補丁通過路由器性能模塊(RPM)來分發(fā)。
- 全新設計的強大 IOS XR 安裝:IOS XR 安裝構建于 DNF(Dandified YUM)之上,現(xiàn)已擴展支持模塊化機箱系統(tǒng)和 YANG 模型化 API。IOS XR 安裝讓運營商能夠管理 IOS XR RPM、原生 Linux RPM 和 GISO 安裝的生命周期,同時支持安裝過程中的實時遙測通知。
現(xiàn)代
模型驅動型 API 遍布堆棧的每一層。對傳輸技術的支持已達業(yè)界領先水平。
- YANG 模型化管理層 API:旨在實現(xiàn)設備配置開通和管理的自動化。這些模型包括原生 IOS XR YANG 模型和 OpenConfig 模型。
- 流式遙測功能(StreamingTelemetry):針對基于 cadence 或事件驅動型的監(jiān)控數(shù)據(jù),該數(shù)據(jù)源自位于 gRPC、TCP 或 UDP 傳輸層之上的管理層的 YANG 模型路徑。
- 服務層(SL)和開放轉發(fā)抽象(OFA)API:服務層 API 是 IOS XR 通用網(wǎng)絡基礎結構層(RIB、標簽交 換數(shù)據(jù)庫、BFD、L2 等等)的高性能 API,它讓控制器和定制協(xié)議能夠在不影響業(yè)務的情況下改變 IOS XR RIB 中的路由并創(chuàng)建標簽交換路徑等等。OFA API 是硬件平臺 ASIC SDK 上的一款模型驅動型 API,它可以對網(wǎng)絡堆棧的最低層直接進行高性能訪問,也可以通過 P4 runtime 等模型抽象來進 行高性能訪問。
- Segment Routing 和 EVPN:專注于簡化、大規(guī)模和編程擴展性的 Segment Routing 和 EVPN 一直是基于 IOS XR 的主要傳輸部署方式。IOS XR7 持續(xù)專注于這些技術并進一步支持 SR FlexAlgo、SRV6 等等。EVPN 通過為包括第 2 層 VPN 和第 3 層 VPN 服務在內的所有服務類型提供 統(tǒng)一的控制平面協(xié)議(BGP),推動了進一步的簡化。
- 零接觸 API:用于零接觸配置開通的各種 API 可實現(xiàn)零日自動化。其中包括通過內置庫 Bash 和 Python 提供的命令行界面(CLI)自動化 API。借助 IOS XR7,運營商還可以在 ZTP Python 庫中使用內置 Netconf 客戶端通過 YANG 模型的 XML 輸入來啟動系統(tǒng),進而讓網(wǎng)絡團隊在準備就緒時能夠將系統(tǒng)從 CLI 轉變?yōu)?YANG 模型。
值得信賴
只有在使用值得信賴的網(wǎng)絡設備來運行值得信賴的網(wǎng)絡操作系統(tǒng)(NOS)時,才能夠實現(xiàn)安全可信的工作流程。
- IOS XR7 通過確保以下幾點來實現(xiàn)安全可信的工作流程:
- 始于硬件的信任:安全且不可篡改的信任錨模塊 (TAm) 包含硬件組件的已知有效值以及思科根植的 密鑰和證書。這些密鑰和證書用于在BIOS 啟動期間驗證硬件組件。
- 安全啟動:在安全的啟動過程中驗證網(wǎng)絡操作系統(tǒng) (IOS XR7) 的各個部分可以進一步增強信任。方法是在啟動操作系統(tǒng)之前根據(jù) TAm 中的密鑰來驗證引導程序和內核模塊的簽名。
- 運行時信任:保持運行時信任的方法是對 IOS XR 或第三方應用程序以及啟動的后續(xù)進程在內的所有 運行時進程執(zhí)行 IMA(完整性度量架構)評估檢查并記錄所有差異。
- 簽名的 RPM:在安裝前根據(jù) TAm 中的密鑰驗證這些 RPM 上的簽名,可以為所有 IOS XR RPM 和第三方應用程序 RPM 建立信任。
- 信任可視化和報告能力:遠程證明功能可用于對設備生命周期內系統(tǒng)執(zhí)行的所有信任驗證操作提供可視化和報告功能。
只有在使用值得信賴的網(wǎng)絡設備來運行值得信賴的網(wǎng)絡操作系統(tǒng)(NOS)時,才能夠實現(xiàn)安全可信的工作流程。
不斷發(fā)展演變的思科 IOS XR,滿足運營商應對未來挑戰(zhàn)的需求。
