作者：黃兆基

 

 

思科架構(gòu)師 黃兆基

 

是一個(gè)介紹如何利用思科先進(jìn)技術(shù)解決客戶難題的欄目。每期聚焦一個(gè)技術(shù)熱點(diǎn)或應(yīng)用場(chǎng)景，邀請(qǐng)資深思科技術(shù)專家深入淺出地介紹，為讀者提供實(shí)用性強(qiáng)的建議。

 

不論屬于哪個(gè)行業(yè)，企業(yè)成功與否的關(guān)鍵，說到底還是客戶服務(wù)是否到位。在數(shù)字化轉(zhuǎn)型的大趨勢(shì)下，為客戶提供線上線下一體化的服務(wù)已經(jīng)成為行業(yè)共識(shí)。

 

但是物聯(lián)網(wǎng)、 5G 、多云環(huán)境和應(yīng)用微服務(wù)化這些層出不窮的新技術(shù)在帶來便利的同時(shí)，也增加了企業(yè) IT 系統(tǒng)的復(fù)雜度——網(wǎng)絡(luò)元素多樣化且環(huán)環(huán)相扣，一旦出現(xiàn)問題，比如本應(yīng)可以訪問的數(shù)據(jù)無法獲得，不應(yīng)該訪問的數(shù)據(jù)卻可以獲得，就會(huì)造成嚴(yán)重的安全隱患；又或是時(shí)延等性能問題，由于數(shù)據(jù)經(jīng)過的路徑復(fù)雜，排錯(cuò)往往無從下手，問題遲遲得不到解決給客戶造成困擾甚至損失。

 

我們以一家本地大型機(jī)構(gòu)為例，看看思科基于意圖的網(wǎng)絡(luò)（ Intent Based Networking, IBN ）是如何幫助該機(jī)構(gòu)為未來數(shù)字化轉(zhuǎn)型作好準(zhǔn)備的。

 

通過與客戶的溝通，我們了解到，這家機(jī)構(gòu)希望為自己的客戶提供線上接入業(yè)務(wù)系統(tǒng)的功能，而且要大量接入物聯(lián)網(wǎng)設(shè)備，企業(yè)網(wǎng)絡(luò)因此要實(shí)現(xiàn)不同用戶、設(shè)備及新應(yīng)用微服務(wù)互訪的功能。機(jī)構(gòu)特別關(guān)注由于網(wǎng)絡(luò)復(fù)雜性可能帶來的安全、時(shí)延等隱患。

 

了解到客戶有這樣的擔(dān)心，于是我們向客戶推薦了思科基于意圖的網(wǎng)絡(luò)（ Intent Based Networking, IBN ）的理念，幫助客戶從開始設(shè)計(jì)整個(gè)基礎(chǔ)設(shè)施時(shí)就考慮到將來運(yùn)營時(shí)可能產(chǎn)生問題之所在，引入易于排錯(cuò)的功能特性，從而解決了客戶的擔(dān)憂。IBN 能令網(wǎng)絡(luò)部署緊密配合企業(yè)的業(yè)務(wù)目標(biāo)（ business outcomes ），透過自動(dòng)化（ automation ）快速部署、快速應(yīng)對(duì)市場(chǎng)動(dòng)態(tài)。且其持續(xù)保障能力（ assurance ），配合人工智能、實(shí)時(shí)運(yùn)行數(shù)據(jù)收集和分析，能有助監(jiān)控和快速查找安全、時(shí)延等隱患，特別是在發(fā)生問題時(shí)易于排錯(cuò)。

 

為了制定出最符合客戶業(yè)務(wù)需求的最理想且最可行的 IBN 部署策略，我們?cè)谇捌诟蛻糸_展了一個(gè)具備一定規(guī)模的驗(yàn)證項(xiàng)目（ POV ），驗(yàn)證一個(gè)全新基礎(chǔ)設(shè)施協(xié)助其數(shù)字化轉(zhuǎn)型的效果。重點(diǎn)之一是在網(wǎng)絡(luò)上能達(dá)到端到端的自動(dòng)化部署（ automated provisioning ）、具備零信任（ Zero Trust ）的安全特性和持續(xù)的運(yùn)營保障（ ongoing assurance ），還有最后方案必須提供開放整合其他平臺(tái)的可能性。

 

 

先說說IBN要解決什么困難。從前在用戶與應(yīng)用服務(wù)之間的網(wǎng)絡(luò)是相對(duì)簡(jiǎn)單的：用戶接入點(diǎn)和應(yīng)用服務(wù)所在地多是靜態(tài)。

 

但伴隨著 5G 、物聯(lián)網(wǎng)的到來，將會(huì)有大量智能設(shè)備需要接入網(wǎng)絡(luò)；用戶接入網(wǎng)絡(luò)的方式也變得多樣化，不再是單純從園區(qū)網(wǎng)進(jìn)來。

 

 

同時(shí)應(yīng)用服務(wù)也邁向動(dòng)態(tài)、微型化及以及多云部署。

 

 

 

在超連結(jié)環(huán)境下，用戶端與后臺(tái)應(yīng)用之間往往跨過了無數(shù)區(qū)域：當(dāng)中有不同云平臺(tái)、 PAAS 或 SAAS。

 

 

傳統(tǒng)分段式獨(dú)立網(wǎng)絡(luò)部署已經(jīng)無法跟上這樣的變化步伐，滿足安全地大量配置用戶和設(shè)備的復(fù)雜訪問需求。

 

思科 IBN 的基本原則利用了 Group Based Policy 的管理概念，把用戶、設(shè)備、物理機(jī)、虛機(jī)、容器微服務(wù)等需要網(wǎng)絡(luò)連接的個(gè)體按照它們?cè)L問的需求，分配到不同的群組（ Group ），群組之間的溝通權(quán)限以策略（ Policy ）執(zhí)行。群組內(nèi)的每個(gè)組員便自動(dòng)受到所屬群組的溝通制約。舉個(gè)例子，不論用戶是通過互聯(lián)網(wǎng)、或是園區(qū)網(wǎng)進(jìn)來，只要同屬一個(gè)用戶端群組，都可以按照群組的訪問權(quán)限去訪問特定的應(yīng)用群。這些策略是按照企業(yè)的業(yè)務(wù)目標(biāo)（ business outcomes ）所制定，運(yùn)營時(shí)便可以得到保障（ assurance ），排錯(cuò)時(shí)因訪問路徑清晰且有據(jù)可查而變得容易。

 

思科在幾個(gè)不同的區(qū)域（ Domain ）內(nèi)以同一個(gè)IBN原則提供了解決方案；分別是園區(qū)網(wǎng)的 SD-Access 、廣域網(wǎng)的 SD-WAN 和數(shù)據(jù)中心網(wǎng)的 ACI 。

 

 

 

為何分成三個(gè) Domain ？

以單一 Domain 不是更簡(jiǎn)單嗎？

 

 

以園區(qū)網(wǎng)為例，其主要職能是核實(shí)和讓用戶與智能設(shè)備接入有線或無線網(wǎng)絡(luò)，且按照它們的權(quán)限控制在網(wǎng)絡(luò)上的訪問。數(shù)據(jù)中心網(wǎng)則是管理各種應(yīng)用負(fù)載的互訪，當(dāng)中又包括物理機(jī)、虛機(jī)、微服務(wù)、負(fù)載均衡等設(shè)備，而廣域網(wǎng)主要掌控訪問路徑、優(yōu)先次序等。

 

 

通過這次 POV ，我們?yōu)榭蛻趄?yàn)證了 SD-Access ，透過 SD-WAN 與 ACI 進(jìn)行策略交換，讓客戶體會(huì)到簡(jiǎn)單而快速地部署跨區(qū)域端到端的訪問權(quán)限，比如當(dāng)用戶登入網(wǎng)絡(luò)后，按照他登入的 Profile （ 舉例如從辦公室內(nèi)，家里或是從移動(dòng)網(wǎng)絡(luò)進(jìn)來 ），園區(qū)網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)透過自動(dòng)互換策略，便可批準(zhǔn)他訪問到數(shù)據(jù)中心內(nèi)哪些應(yīng)用微服務(wù)， 例如太敏感的資料只可以通過辦公室網(wǎng)絡(luò)登入才可以訪問得到等等。這個(gè)群組為基礎(chǔ)的權(quán)限管理概念同時(shí)包括人及各種網(wǎng)絡(luò)設(shè)備，客戶將來添加物聯(lián)網(wǎng)設(shè)備都可以透過設(shè)備本身的 Profile 進(jìn)行分類部署。企業(yè)不用擔(dān)心因添加第三方物聯(lián)網(wǎng)設(shè)備而導(dǎo)致安全漏洞。且思科 IBN 的 SD-Access 可以將這個(gè)以 Profile 為訪問權(quán)限的控制同時(shí)應(yīng)用在有線和無線網(wǎng)路上，彈性更大。就像理學(xué)宗師朱熹的詩句“ 問渠哪得清如許，為有源頭活水來 ”描述的那樣， IBN 將客戶業(yè)務(wù)需求融入網(wǎng)絡(luò)設(shè)計(jì)之中，從源頭上保證了網(wǎng)絡(luò)的靈活性和易于排錯(cuò)的特性。

 

IBN 雖好，但目前大多數(shù)客戶部署還是處于起步階段，能夠完全體驗(yàn)到 IBN 優(yōu)勢(shì)的還屬鳳毛麟角，個(gè)中原因還是在于能否解決好以下幾個(gè)“ 問題 ”：

 

1. 如何從現(xiàn)有的非 IBN 網(wǎng)絡(luò)遷移到 IBN 的環(huán)境？

2. 企業(yè)是否已經(jīng)很了解目前網(wǎng)絡(luò)中訪問的關(guān)系，從而能制訂 IBN 內(nèi)所需要的 Policy 與 Group 分類？

3. IBN 是部署的原則，運(yùn)營（ Day-2 ）時(shí)還需要其他管理工具，不可以輕視。

 

作為 IBN 的先行者和倡導(dǎo)者，思科在這些環(huán)節(jié)還有很多“ 秘籍 ”，將來可以繼續(xù)與大家分享。