1在網(wǎng)絡(luò)變更過程中，

我們遇到了什么挑戰(zhàn)?

隨著千行百業(yè)數(shù)字化轉(zhuǎn)型的逐步深入，各種各樣的數(shù)字化新業(yè)務(wù)，新需求如雨后春筍般涌現(xiàn)，這也迫切要求網(wǎng)絡(luò)策略能夠快速變更和調(diào)整以適應(yīng)業(yè)務(wù)需求的快速變化。然而，數(shù)字化時(shí)代，企業(yè)網(wǎng)絡(luò)的規(guī)模復(fù)雜度遠(yuǎn)超想象，無線網(wǎng)絡(luò)用戶指數(shù)級(jí)增長(zhǎng)，有線網(wǎng)絡(luò)端口數(shù)以萬計(jì)，“單點(diǎn)配置，影響全局”，網(wǎng)絡(luò)變更對(duì)于業(yè)務(wù)的影響的評(píng)估也越來越困難，使之成為近年來網(wǎng)絡(luò)故障/事故的主要根因之一。

根據(jù)國(guó)內(nèi)某知名企業(yè)IT部門提供的數(shù)據(jù)，平均每月有30次左右的網(wǎng)絡(luò)變更操作，由于網(wǎng)絡(luò)變更失誤導(dǎo)致的故障占比就高達(dá)43%，變更失敗引發(fā)的業(yè)務(wù)中斷，影響就更大。此外，金融行業(yè)客戶反映他們平時(shí)網(wǎng)絡(luò)運(yùn)維都是圍繞著變更場(chǎng)景做的，普遍認(rèn)為70%以上的網(wǎng)絡(luò)故障都是由變更引入。

同時(shí)，由于網(wǎng)絡(luò)變更與業(yè)務(wù)成功直接相關(guān)，成功的變更除了要開通新的業(yè)務(wù)還要保證原有業(yè)務(wù)不發(fā)生故障，不引入新的問題。因此網(wǎng)絡(luò)運(yùn)維人員對(duì)網(wǎng)絡(luò)的變更操作也變得越來越謹(jǐn)慎，經(jīng)常需要在變更前進(jìn)行方案設(shè)計(jì)評(píng)審，變更的影響評(píng)估，并且在變更實(shí)施后進(jìn)行撥測(cè)，流量監(jiān)控，手工檢查表項(xiàng)，甚至人工現(xiàn)場(chǎng)連續(xù)保障2~3天等方式來檢查變更后的網(wǎng)絡(luò)是否符合預(yù)期。

確保網(wǎng)絡(luò)能夠快速，零差錯(cuò)變更，提升配置校驗(yàn)效率，成為網(wǎng)絡(luò)變更過程中的關(guān)鍵挑戰(zhàn)。

2為什么傳統(tǒng)的校驗(yàn)手段無法解決?

根據(jù)Dimensional Research對(duì)315名網(wǎng)絡(luò)運(yùn)維專家的調(diào)查，網(wǎng)絡(luò)變更主要依賴人工檢查和對(duì)報(bào)文進(jìn)行鏡像和抓包分析這兩類傳統(tǒng)運(yùn)維手段來進(jìn)行配置校驗(yàn)和問題定位。這兩種手段的缺陷在于：

01檢驗(yàn)不準(zhǔn)確，潛在問題難預(yù)防

傳統(tǒng)配置校驗(yàn)手段只能依賴于真實(shí)的探測(cè)報(bào)文或者網(wǎng)絡(luò)當(dāng)前的活躍流量，對(duì)于潛在的路由和安全問題，只能后知后覺，在故障發(fā)生之后才出現(xiàn)異常，難以主動(dòng)預(yù)防。而且使用ping，traceroute/tracert等命令發(fā)送探針報(bào)文，由于網(wǎng)絡(luò)中存在的訪問控制或安全策略，有可能阻斷特定協(xié)議特定端口號(hào)的業(yè)務(wù)，無法通過探針報(bào)文檢查出問題，導(dǎo)致校驗(yàn)結(jié)果不可靠，不準(zhǔn)確，潛在問題難預(yù)防。

02校驗(yàn)不全面，難以全網(wǎng)全量覆蓋

傳統(tǒng)人工校驗(yàn)本質(zhì)上是采樣分析，只要采樣就有局限性和隨機(jī)性，不可能做到全網(wǎng)全量覆蓋。比如通過人工檢查只能進(jìn)行簡(jiǎn)單的單點(diǎn)連通性驗(yàn)證，面對(duì)網(wǎng)絡(luò)中可能承載的成千上萬成笛卡爾積的應(yīng)用互訪關(guān)系，無法有效窮舉;而對(duì)校驗(yàn)對(duì)象進(jìn)行報(bào)文鏡像和抓包時(shí)，也不可能對(duì)所有業(yè)務(wù)報(bào)文做出1:1的鏡像，校驗(yàn)過程很難覆蓋完整的網(wǎng)絡(luò)互訪意圖。

03測(cè)試和故障定位時(shí)間長(zhǎng)

傳統(tǒng)人工校驗(yàn)缺乏可視化的路徑信息和不可達(dá)根因，定位耗時(shí)。在不可達(dá)時(shí)逐個(gè)設(shè)備手工檢查表項(xiàng)和配置，只在小型網(wǎng)絡(luò)中可行，對(duì)于有上百臺(tái)設(shè)備，上百萬條表項(xiàng)的網(wǎng)絡(luò)無異于大海撈針，往往會(huì)出現(xiàn)“變更1分鐘，校驗(yàn)4小時(shí)”的情況。

3什么是華為的智能校驗(yàn)技術(shù)?

華為CloudCampus(全無線智能云園區(qū)網(wǎng)絡(luò))與超過2000家大中型企業(yè)的網(wǎng)絡(luò)創(chuàng)新實(shí)踐，推出園區(qū)網(wǎng)絡(luò)自動(dòng)駕駛解決方案，旨在通過數(shù)字孿生，AI等技術(shù)構(gòu)建智能校驗(yàn)，幫助企業(yè)園區(qū)網(wǎng)絡(luò)突破人工校驗(yàn)的效率瓶頸。

智能校驗(yàn)讓運(yùn)維人員在iMaster NCE-Campus進(jìn)行網(wǎng)絡(luò)校驗(yàn)意圖定義，如單點(diǎn)可達(dá)性驗(yàn)證，終端接入仿真驗(yàn)證，全子網(wǎng)互訪驗(yàn)證等確定校驗(yàn)的規(guī)則和策略;然后，對(duì)網(wǎng)絡(luò)設(shè)備的真實(shí)配置，轉(zhuǎn)發(fā)表項(xiàng)以及網(wǎng)絡(luò)拓?fù)涞热嫒康男畔⑦M(jìn)行數(shù)據(jù)采集，構(gòu)建出忠實(shí)反映真實(shí)網(wǎng)絡(luò)結(jié)構(gòu)和轉(zhuǎn)發(fā)行為的虛擬數(shù)學(xué)模型，為物理網(wǎng)絡(luò)構(gòu)建數(shù)字孿生映射。并使用數(shù)據(jù)面校驗(yàn)(DPV：data plane verification)技術(shù)，對(duì)網(wǎng)絡(luò)進(jìn)行嚴(yán)格的意圖驗(yàn)證和閉環(huán)，高效校驗(yàn)網(wǎng)絡(luò)問題。

4智能校驗(yàn)技術(shù)能做什么，

能帶來什么收益?

分鐘級(jí)構(gòu)建網(wǎng)絡(luò)快照，配置變更快速法發(fā)現(xiàn)

運(yùn)維人員可以通過iMaster NCE-Campus以只讀的形式采集網(wǎng)絡(luò)中設(shè)備的數(shù)據(jù)，并進(jìn)行數(shù)據(jù)面建模，最終形成快照，5分鐘即可完成500網(wǎng)元，超過15萬路由表項(xiàng)，5萬VLAN的數(shù)學(xué)建模，構(gòu)建網(wǎng)絡(luò)快照?？煺湛梢岳斫鉃槭悄硞€(gè)時(shí)間點(diǎn)下網(wǎng)絡(luò)的一個(gè)“鏡像”，是智能校驗(yàn)方案的基礎(chǔ)。運(yùn)維人員可以對(duì)不同時(shí)間點(diǎn)的快照進(jìn)行對(duì)比，通過對(duì)比快速發(fā)現(xiàn)網(wǎng)絡(luò)在兩個(gè)時(shí)間點(diǎn)下的設(shè)備差異、配置文件差異、接口鏈路狀態(tài)差異和IP路由差異，為網(wǎng)絡(luò)問題的快速定位提供有效的輔助信息。

100%全量互訪關(guān)系覆蓋，子網(wǎng)互通性一目了然

基于快照，可以通過矩陣形式呈現(xiàn)子網(wǎng)互通性驗(yàn)證結(jié)果，支持TCP/UDP/ICMP等多種協(xié)議的報(bào)文驗(yàn)證，展示所有網(wǎng)絡(luò)的可達(dá)性信息和多路徑連通信息，全網(wǎng)業(yè)務(wù)網(wǎng)段間的連通性情況一目了然。支持端到端的路徑分析能力。校驗(yàn)返回結(jié)果直觀可視化，包含轉(zhuǎn)發(fā)路徑，精確到協(xié)議號(hào)，端口號(hào)的可達(dá)/不可達(dá)報(bào)文空間，故障定位效率顯著提升。

終端接入精準(zhǔn)驗(yàn)證，用戶權(quán)限安全可信

智能校驗(yàn)提供了終端接入驗(yàn)證的能力，網(wǎng)絡(luò)管理員可以在快照中模擬一個(gè)接入終端，實(shí)時(shí)精準(zhǔn)模擬校驗(yàn)終端接入權(quán)限是否精準(zhǔn)，使網(wǎng)絡(luò)安全可信。

5智能校驗(yàn)要解決哪些技術(shù)難題?

網(wǎng)絡(luò)設(shè)備成百上千，拓?fù)?轉(zhuǎn)發(fā)模型復(fù)雜，如何做到全面準(zhǔn)確的數(shù)學(xué)建模?

面對(duì)成百上千的網(wǎng)絡(luò)設(shè)備，復(fù)雜的組網(wǎng)拓?fù)?，以及二層三層，overlay，underlay等多層網(wǎng)絡(luò)轉(zhuǎn)發(fā)模型，如何做到全面全量的數(shù)學(xué)建模?

網(wǎng)絡(luò)連接建模，物理拓?fù)?00%數(shù)學(xué)建模

智能校驗(yàn)以數(shù)字孿生技術(shù)將復(fù)雜的物理網(wǎng)絡(luò)抽象為數(shù)學(xué)的點(diǎn)線面的屬性，依據(jù)從設(shè)備上采集到的信息，抽象出一個(gè)和現(xiàn)實(shí)網(wǎng)絡(luò)在報(bào)文轉(zhuǎn)發(fā)行為上等價(jià)等效的虛擬的數(shù)字孿生的網(wǎng)絡(luò)模型，比如將網(wǎng)絡(luò)設(shè)備，接口，二三層網(wǎng)絡(luò)，Overlay和Underlay轉(zhuǎn)發(fā)路徑等全量信息虛擬化數(shù)字化的等價(jià)類，用數(shù)學(xué)的方法完成物理網(wǎng)絡(luò)100%數(shù)字孿生映射。

報(bào)文頭空間建模，轉(zhuǎn)發(fā)行為100%數(shù)學(xué)建模

網(wǎng)絡(luò)中報(bào)文的轉(zhuǎn)發(fā)行為主要由報(bào)文頭部信息所決定，譬如IP轉(zhuǎn)發(fā)行為由目的IP字段所決定，安全過濾，訪問控制的策略則與五元組強(qiáng)相關(guān)，真實(shí)的設(shè)備只能處理具體的報(bào)文，單看IPv4協(xié)議的目的IP就有種組合，如果再考慮五元組甚至更多字段的話，組合數(shù)量極其龐大。因此針對(duì)具體報(bào)文的采樣檢查很難對(duì)轉(zhuǎn)發(fā)行為做出嚴(yán)謹(jǐn)和全量的覆蓋。

智能校驗(yàn)借鑒了網(wǎng)絡(luò)設(shè)備的報(bào)文匹配技術(shù)和學(xué)術(shù)界網(wǎng)絡(luò)驗(yàn)證研究領(lǐng)域的思想，將一個(gè)具體的報(bào)文頭當(dāng)做一個(gè)N維空間中的一個(gè)點(diǎn)，這樣就可以將原始的IP前綴轉(zhuǎn)發(fā)表等價(jià)轉(zhuǎn)換為一個(gè)報(bào)文等價(jià)類的轉(zhuǎn)發(fā)表，構(gòu)建一個(gè)全量的報(bào)文頭空間：每個(gè)等價(jià)類用一個(gè)整數(shù)標(biāo)識(shí)，每個(gè)設(shè)備的接口上記錄能夠從此轉(zhuǎn)發(fā)出去的等價(jià)類集合。這樣我們可以通過高效的數(shù)學(xué)算法和數(shù)據(jù)結(jié)構(gòu)使得每個(gè)網(wǎng)絡(luò)功能節(jié)點(diǎn)一次性處理一個(gè)集合的報(bào)文，比如說目的IP都屬于某個(gè)網(wǎng)段的報(bào)文，突破了傳統(tǒng)采樣檢查的限制，能夠更高效更廣泛地驗(yàn)證不同組合形式的報(bào)文頭部，做到全網(wǎng)全量級(jí)別的校驗(yàn)。

轉(zhuǎn)發(fā)路徑復(fù)雜多變，如何做到嚴(yán)謹(jǐn)快速的可達(dá)性驗(yàn)證?

驗(yàn)證報(bào)文的轉(zhuǎn)發(fā)行為，就需要忠實(shí)于現(xiàn)實(shí)網(wǎng)絡(luò)設(shè)備對(duì)報(bào)文的處理流程和轉(zhuǎn)發(fā)機(jī)制。

智能校驗(yàn)緊扣網(wǎng)元設(shè)備對(duì)報(bào)文的處理行為，并通過形式化方法中的符號(hào)執(zhí)行技術(shù)，符號(hào)化的模擬報(bào)文轉(zhuǎn)發(fā)行為。如下圖網(wǎng)絡(luò)中，左邊是依據(jù)所有轉(zhuǎn)發(fā)表將全量報(bào)文空間劃分為{1,2,3,4,5,6}，六個(gè)報(bào)文等價(jià)類，每個(gè)等價(jià)類對(duì)應(yīng)一個(gè)報(bào)文空間。右側(cè)所示的則是一顆以A.1接口為根的可達(dá)樹，能夠窮舉所有可能的報(bào)文轉(zhuǎn)發(fā)路徑和最終目的地，并使用高效圖搜索算法和諸多更復(fù)雜的優(yōu)化手段，能夠在極短時(shí)間內(nèi)完成全網(wǎng)全量的環(huán)路和黑洞檢測(cè)以及大批量的可達(dá)性驗(yàn)證。

原文標(biāo)題：華為“智能校驗(yàn)”在手，網(wǎng)絡(luò)變更不用愁!

文章出處：【微信公眾號(hào)：華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。

審核編輯：湯梓紅