作者：黃兆基

　　

　　思科架構(gòu)師 黃兆基

　　是一個(gè)介紹如何利用思科先進(jìn)技術(shù)解決客戶難題的欄目。每期聚焦一個(gè)技術(shù)熱點(diǎn)或應(yīng)用場(chǎng)景，邀請(qǐng)資深思科技術(shù)專家深入淺出地介紹，為讀者提供實(shí)用性強(qiáng)的建議。

　　不論屬于哪個(gè)行業(yè)，企業(yè)成功與否的關(guān)鍵，說(shuō)到底還是客戶服務(wù)是否到位。在數(shù)字化轉(zhuǎn)型的大趨勢(shì)下，為客戶提供線上線下一體化的服務(wù)已經(jīng)成為行業(yè)共識(shí)。

　　但是物聯(lián)網(wǎng)、 5G 、多云環(huán)境和應(yīng)用微服務(wù)化這些層出不窮的新技術(shù)在帶來(lái)便利的同時(shí)，也增加了企業(yè) IT 系統(tǒng)的復(fù)雜度——網(wǎng)絡(luò)元素多樣化且環(huán)環(huán)相扣，一旦出現(xiàn)問(wèn)題，比如本應(yīng)可以訪問(wèn)的數(shù)據(jù)無(wú)法獲得，不應(yīng)該訪問(wèn)的數(shù)據(jù)卻可以獲得，就會(huì)造成嚴(yán)重的安全隱患；又或是時(shí)延等性能問(wèn)題，由于數(shù)據(jù)經(jīng)過(guò)的路徑復(fù)雜，排錯(cuò)往往無(wú)從下手，問(wèn)題遲遲得不到解決給客戶造成困擾甚至損失。

　　我們以一家本地大型機(jī)構(gòu)為例，看看思科基于意圖的網(wǎng)絡(luò)（ Intent Based Networking, IBN ）是如何幫助該機(jī)構(gòu)為未來(lái)數(shù)字化轉(zhuǎn)型作好準(zhǔn)備的。

　　通過(guò)與客戶的溝通，我們了解到，這家機(jī)構(gòu)希望為自己的客戶提供線上接入業(yè)務(wù)系統(tǒng)的功能，而且要大量接入物聯(lián)網(wǎng)設(shè)備，企業(yè)網(wǎng)絡(luò)因此要實(shí)現(xiàn)不同用戶、設(shè)備及新應(yīng)用微服務(wù)互訪的功能。機(jī)構(gòu)特別關(guān)注由于網(wǎng)絡(luò)復(fù)雜性可能帶來(lái)的安全、時(shí)延等隱患。

　　了解到客戶有這樣的擔(dān)心，于是我們向客戶推薦了思科基于意圖的網(wǎng)絡(luò)（ Intent Based Networking, IBN ）的理念，幫助客戶從開(kāi)始設(shè)計(jì)整個(gè)基礎(chǔ)設(shè)施時(shí)就考慮到將來(lái)運(yùn)營(yíng)時(shí)可能產(chǎn)生問(wèn)題之所在，引入易于排錯(cuò)的功能特性，從而解決了客戶的擔(dān)憂。IBN 能令網(wǎng)絡(luò)部署緊密配合企業(yè)的業(yè)務(wù)目標(biāo)（ business outcomes ），透過(guò)自動(dòng)化（ automation ）快速部署、快速應(yīng)對(duì)市場(chǎng)動(dòng)態(tài)。且其持續(xù)保障能力（ assurance ），配合人工智能、實(shí)時(shí)運(yùn)行數(shù)據(jù)收集和分析，能有助監(jiān)控和快速查找安全、時(shí)延等隱患，特別是在發(fā)生問(wèn)題時(shí)易于排錯(cuò)。

　　為了制定出最符合客戶業(yè)務(wù)需求的最理想且最可行的 IBN 部署策略，我們?cè)谇捌诟�客戶開(kāi)展了一個(gè)具備一定規(guī)模的驗(yàn)證項(xiàng)目（ POV ），驗(yàn)證一個(gè)全新基礎(chǔ)設(shè)施協(xié)助其數(shù)字化轉(zhuǎn)型的效果。重點(diǎn)之一是在網(wǎng)絡(luò)上能達(dá)到端到端的自動(dòng)化部署（ automated provisioning ）、具備零信任（ Zero Trust ）的安全特性和持續(xù)的運(yùn)營(yíng)保障（ ongoing assurance ），還有最后方案必須提供開(kāi)放整合其他平臺(tái)的可能性。

　　

　　先說(shuō)說(shuō)IBN要解決什么困難。從前在用戶與應(yīng)用服務(wù)之間的網(wǎng)絡(luò)是相對(duì)簡(jiǎn)單的：用戶接入點(diǎn)和應(yīng)用服務(wù)所在地多是靜態(tài)。

　　但伴隨著 5G 、物聯(lián)網(wǎng)的到來(lái)，將會(huì)有大量智能設(shè)備需要接入網(wǎng)絡(luò)；用戶接入網(wǎng)絡(luò)的方式也變得多樣化，不再是單純從園區(qū)網(wǎng)進(jìn)來(lái)。

　　

　　同時(shí)應(yīng)用服務(wù)也邁向動(dòng)態(tài)、微型化及以及多云部署。

　　

　　在超連結(jié)環(huán)境下，用戶端與后臺(tái)應(yīng)用之間往往跨過(guò)了無(wú)數(shù)區(qū)域：當(dāng)中有不同云平臺(tái)、 PAAS 或 SAAS 。

　

　　傳統(tǒng)分段式獨(dú)立網(wǎng)絡(luò)部署已經(jīng)無(wú)法跟上這樣的變化步伐，滿足安全地大量配置用戶和設(shè)備的復(fù)雜訪問(wèn)需求。

　　思科 IBN 的基本原則利用了 Group Based Policy 的管理概念，把用戶、設(shè)備、物理機(jī)、虛機(jī)、容器微服務(wù)等需要網(wǎng)絡(luò)連接的個(gè)體按照它們?cè)L問(wèn)的需求，分配到不同的群組（ Group ），群組之間的溝通權(quán)限以策略（ Policy ）執(zhí)行。群組內(nèi)的每個(gè)組員便自動(dòng)受到所屬群組的溝通制約。舉個(gè)例子，不論用戶是通過(guò)互聯(lián)網(wǎng)、或是園區(qū)網(wǎng)進(jìn)來(lái)，只要同屬一個(gè)用戶端群組，都可以按照群組的訪問(wèn)權(quán)限去訪問(wèn)特定的應(yīng)用群。這些策略是按照企業(yè)的業(yè)務(wù)目標(biāo)（ business outcomes ）所制定，運(yùn)營(yíng)時(shí)便可以得到保障（ assurance ），排錯(cuò)時(shí)因訪問(wèn)路徑清晰且有據(jù)可查而變得容易。

　　思科在幾個(gè)不同的區(qū)域（ Domain ）內(nèi)以同一個(gè)IBN原則提供了解決方案；分別是園區(qū)網(wǎng)的 SD-Access 、廣域網(wǎng)的 SD-WAN 和數(shù)據(jù)中心網(wǎng)的 ACI 。

　

　　為何分成三個(gè) Domain ？

　　以單一 Domain 不是更簡(jiǎn)單嗎？

　　三個(gè)區(qū)域面對(duì)的要求是完全不同的。以單獨(dú)的控制器獨(dú)立管控本身的區(qū)域，照顧每個(gè)區(qū)域的特別需求。雖然獨(dú)立、但因?yàn)槿齻�(gè)區(qū)域都是基于 IBN 的原則：每個(gè)區(qū)域都同時(shí)有群組（ Group ）和策略（ Policy ）的概念。這兩種元素成為區(qū)域之間互相證明對(duì)方訪問(wèn)權(quán)限的共通語(yǔ)言，大大簡(jiǎn)化了端到端橫跨多個(gè)域的部署。

　　以園區(qū)網(wǎng)為例，其主要職能是核實(shí)和讓用戶與智能設(shè)備接入有線或無(wú)線網(wǎng)絡(luò)，且按照它們的權(quán)限控制在網(wǎng)絡(luò)上的訪問(wèn)。數(shù)據(jù)中心網(wǎng)則是管理各種應(yīng)用負(fù)載的互訪，當(dāng)中又包括物理機(jī)、虛機(jī)、微服務(wù)、負(fù)載均衡等設(shè)備，而廣域網(wǎng)主要掌控訪問(wèn)路徑、優(yōu)先次序等。

　　通過(guò)這次 POV ，我們?yōu)榭蛻趄?yàn)證了 SD-Access ，透過(guò) SD-WAN 與 ACI 進(jìn)行策略交換，讓客戶體會(huì)到簡(jiǎn)單而快速地部署跨區(qū)域端到端的訪問(wèn)權(quán)限，比如當(dāng)用戶登入網(wǎng)絡(luò)后，按照他登入的 Profile （ 舉例如從辦公室內(nèi)，家里或是從移動(dòng)網(wǎng)絡(luò)進(jìn)來(lái) ），園區(qū)網(wǎng)絡(luò)與數(shù)據(jù)中心網(wǎng)透過(guò)自動(dòng)互換策略，便可批準(zhǔn)他訪問(wèn)到數(shù)據(jù)中心內(nèi)哪些應(yīng)用微服務(wù)， 例如太敏感的資料只可以通過(guò)辦公室網(wǎng)絡(luò)登入才可以訪問(wèn)得到等等。這個(gè)群組為基礎(chǔ)的權(quán)限管理概念同時(shí)包括人及各種網(wǎng)絡(luò)設(shè)備，客戶將來(lái)添加物聯(lián)網(wǎng)設(shè)備都可以透過(guò)設(shè)備本身的 Profile 進(jìn)行分類部署。企業(yè)不用擔(dān)心因添加第三方物聯(lián)網(wǎng)設(shè)備而導(dǎo)致安全漏洞。且思科 IBN 的 SD-Access 可以將這個(gè)以 Profile 為訪問(wèn)權(quán)限的控制同時(shí)應(yīng)用在有線和無(wú)線網(wǎng)路上，彈性更大。就像理學(xué)宗師朱熹的詩(shī)句“ 問(wèn)渠哪得清如許，為有源頭活水來(lái) ”描述的那樣， IBN 將客戶業(yè)務(wù)需求融入網(wǎng)絡(luò)設(shè)計(jì)之中，從源頭上保證了網(wǎng)絡(luò)的靈活性和易于排錯(cuò)的特性。

　　IBN 雖好，但目前大多數(shù)客戶部署還是處于起步階段，能夠完全體驗(yàn)到 IBN 優(yōu)勢(shì)的還屬鳳毛麟角，個(gè)中原因還是在于能否解決好以下幾個(gè)“ 問(wèn)題 ”：

　　作為 IBN 的先行者和倡導(dǎo)者，思科在這些環(huán)節(jié)還有很多“ 秘籍 ”，將來(lái)可以繼續(xù)與大家分享。