中興通訊：云網一體化趨勢下的IP網絡重構

  云計算經過十多年的發展，單純的公有云或私有云已經不能滿足企業需求，新業務的發展需要多種云環境并存，云計算將進入多云混合時代，公有云+邊緣云成為5G和DICT時代各方新的拓展點。另一方面，運營商基礎網絡收入增長見頂，而DICT市場是基礎網絡市場的3倍，達1.3萬億元。中國企業上云率只有40%，還不到海外企業的一半，公有云IaaS服務在中國市場還處于增速快、空間大的窗口期，預計到2022年市場規模達2900億元。對運營商而言，向云服務市場拓展是必然選擇。

  運營商云網一體化面臨的挑戰

  進軍云計算市場，幫個人/企業實現數字化，運營商基礎設施首先要數字化。相比于云商，運營商網絡的3個主要短板是智能化程度、業務部署時間和云網分離運營。運營商云服務起步晚，自研能力不足，解耦集成系統比云商垂直inhouse方式復雜，在業務深耕、端到端運營、生態合作和需求洞察方面不如云商。但是，運營商掌握云網融合網絡的全部3層資源，擁有多種連接入口(尤其是5G)、端到端SLA、屬地化運維隊伍，安全可信、融合集中的云能力和分布式的網絡能力是運營商的天然優勢。

  當前，運營商網絡的痛點在于云網業務分開發放，SLA無承諾，具體體現在：

  - 系統對接定制化時間長，云網分開發放;

  - 運營上缺乏精細化的SLA保障和度量手段，無法滿足政企、金融客戶的要求;

  - 缺乏主動運維監控手段。

  要做到云網一體化，對網絡有效賦能，充分發揮運營商網絡的能力，需要做到網隨云動、SLA可量化、故障可識別：

  - 開放集成，網隨云動，業務敏捷按需，分鐘級下發;

  - 實現可承諾SLA保障、可承諾帶寬、時延保障;

  - SLA精細化管理，SLA數據毫秒級采集，隨流SLA測量和呈現，異常SLA主動識別;

  - 智能運維，分鐘級別故障智能定位定界，主動識別和優化網絡異常。

  四方面進行IP網絡重構

  云網一體，從技術上講，是電信技術、互聯網技術和IT技術的深度融合。三大技術具備不同的“基因”：電信技術特點是高可靠、高質量、標準化和規?；?互聯網技術特點是低成本、分布式、迭代式和服務化;IT技術特點是分層開放、軟硬件分離、虛擬化和云化。這三大技術的深度融合將推動IP網絡從四個方面進行重構：

  - 網絡架構重構：目標是簡潔、開放。通過網絡解耦，轉發、控制和業務應用分離，網絡能力全面開放，實現網絡可編程。

  - 網絡運營重構：目標是集約、自動化。通過策略和模型驅動的自動化運營，實現控制集中化、全局可調度，以及基于業務鏈的編排服務開通和配置自動化。

  - 網絡部署重構：目標是快捷、低成本。通過網絡扁平化，實現資源可調度，部署快捷、可擴展。

  - 網絡服務重構：目標是彈性、按需。通過多方聯合創新，實現網絡服務互聯網化，按需快速配置，變更。

  通過以上四個方面的重構，網絡最終實現：

  - 創新增強：基于軟件和細顆粒度網絡能力進行自主創新。

  - 效率提升：實現基于軟件的自動化維護和管理，以及基于虛擬化/云化的靈活部署和擴展。

  - 降成本：創新以太等技術降低Capex和Opex。

  新IP網絡目標架構設計

  基于以上討論的IP網絡重構理念，逐步引入新技術來應對云網融合、5G和IoT等新業務新型需求。網絡需要采用“自頂向下”的設計理念，推進控制面和轉發面分離/解耦，通過集約化智慧運營實現資源的柔性調度與業務的靈活部署。具體設計架構如圖1所示。

  現有網絡如果重構，應當遵循的演進策略為：以網絡能力開放及增值業務能力增強等為導向，推進網絡升級;按場景引入新型技術，降本增效，提升效率;盤活數據資源，提升用戶體驗和網絡運營管理水平。

  在網絡基礎設施方面，引入大容量單機，構建無阻塞的轉發網絡，做到業網分離;引入SR/BIER等新型技術，實現融合統一承載;基于DC設置，構建業務集中處理POP(Points Of Presence);按業務需求，引入虛擬化網元，提升業務處理能力;在網絡控制層，引入網絡操作系統，在逐步對控制器標準化及抽象化的基礎上，形成統一的、可編程的、功能強大的控制器模型，規范各類控制器的南向和北向接口;在運營體系方面，整合各類平臺能力，新一代運營系統的關鍵組件標準化、模型化;增強網絡數據的收集分析和網絡故障診斷能力，引入網絡AI技術、NETCONF/YANG以及Telemetry技術，構建統一的數據模型。

  構建安全可信的網絡基礎設施

  無論網絡如何改變，安全是永恒的話題。伴隨著企業業務大規模上云，網絡安全變得格外重要，所以自底向上構建一整套安全可信網絡架構，提供基礎設施到應用層的端到端安全服務成為了迫切需求。

  當前的網絡基礎設施主要包括BGP、DNS和PKI等系統，這些基礎設施或其背后的可信模型是中心化的，而中心化的信任模型存在著中心節點權限過大、單點失效等脆弱性，其自身無法成為牢固的安全可信基礎，大大降低了網絡的安全性、可靠性和平等性。如何用去中心化技術手段構建更為安全可信的網絡基礎設施，成為了研究的重點。由于去中心化技術天然就支持可信性驗證，因此基于其上實現BGP、DNS和PKI等基礎設施能力也就天然具備安全可信的能力，能夠真正從根本上保證其安全，進而確保網絡上層服務的安全。網絡路由是關鍵的信息，去中心化的BGP安全機制首先從去中心化的IP地址和AS號的管理入手，提供不可篡改的資源所有權記錄，進一步地，基于IP/ASN所有權發布的相關綁定信息和鄰居信息可以實現BGP的基本能力，同時可以提供相應的驗證信息，天然就支持BGP源驗證、路徑驗證、路由泄漏檢測等安全能力。這樣就真正地從“基因”上賦予網絡“端-網-云”牢固的安全可信屬性和能力，為未來網絡協議體系和網絡服務提供了更為堅實的安全可信基礎，可以說從根本上解決了目前面臨的安全可信問題。

  中興通訊憑借強大的自研芯片能力、全自主研發的網絡操作系統ROSng，以及管控合一的管控平臺，推出精準網絡解決方案，包括云化城域網解決方案、骨干網資源調度方案等，未來在網絡內生安全架構和新技術研發上，中興通訊將持續深入研究，推動IP網絡架構朝更高效更安全的方向發展。

  作者：中興通訊IP產品規劃總工程師 陶文強