云计算经过十多年的发展,单纯的公有云或私有云已经不能满足企业需求,新业务的发展需要多种云环境并存,云计算将进入多云混合时代,公有云+边缘云成为5G和DICT时代各方新的拓展点。另一方面,运营商基础网络收入增长见顶,而DICT市场是基础网络市场的3倍,达1.3万亿元。中国企业上云率只有40%,还不到海外企业的一半,公有云IaaS服务在中国市场还处于增速快、空间大的窗口期,预计到2022年市场规模达2900亿元。对运营商而言,向云服务市场拓展是必然选择。
运营商云网一体化面临的挑战
进军云计算市场,帮个人/企业实现数字化,运营商基础设施首先要数字化。相比于云商,运营商网络的3个主要短板是智能化程度、业务部署时间和云网分离运营。运营商云服务起步晚,自研能力不足,解耦集成系统比云商垂直inhouse方式复杂,在业务深耕、端到端运营、生态合作和需求洞察方面不如云商。但是,运营商掌握云网融合网络的全部3层资源,拥有多种连接入口(尤其是5G)、端到端SLA、属地化运维队伍,安全可信、融合集中的云能力和分布式的网络能力是运营商的天然优势。
当前,运营商网络的痛点在于云网业务分开发放,SLA无承诺,具体体现在:
- 系统对接定制化时间长,云网分开发放;
- 运营上缺乏精细化的SLA保障和度量手段,无法满足政企、金融客户的要求;
- 缺乏主动运维监控手段。
要做到云网一体化,对网络有效赋能,充分发挥运营商网络的能力,需要做到网随云动、SLA可量化、故障可识别:
- 开放集成,网随云动,业务敏捷按需,分钟级下发;
- 实现可承诺SLA保障、可承诺带宽、时延保障;
- SLA精细化管理,SLA数据毫秒级采集,随流SLA测量和呈现,异常SLA主动识别;
- 智能运维,分钟级别故障智能定位定界,主动识别和优化网络异常。
四方面进行IP网络重构
云网一体,从技术上讲,是电信技术、互联网技术和IT技术的深度融合。三大技术具备不同的“基因”:电信技术特点是高可靠、高质量、标准化和规模化;互联网技术特点是低成本、分布式、迭代式和服务化;IT技术特点是分层开放、软硬件分离、虚拟化和云化。这三大技术的深度融合将推动IP网络从四个方面进行重构:
- 网络架构重构:目标是简洁、开放。通过网络解耦,转发、控制和业务应用分离,网络能力全面开放,实现网络可编程。
- 网络运营重构:目标是集约、自动化。通过策略和模型驱动的自动化运营,实现控制集中化、全局可调度,以及基于业务链的编排服务开通和配置自动化。
- 网络部署重构:目标是快捷、低成本。通过网络扁平化,实现资源可调度,部署快捷、可扩展。
- 网络服务重构:目标是弹性、按需。通过多方联合创新,实现网络服务互联网化,按需快速配置,变更。
通过以上四个方面的重构,网络最终实现:
- 创新增强:基于软件和细颗粒度网络能力进行自主创新。
- 效率提升:实现基于软件的自动化维护和管理,以及基于虚拟化/云化的灵活部署和扩展。
- 降成本:创新以太等技术降低Capex和Opex。
新IP网络目标架构设计
基于以上讨论的IP网络重构理念,逐步引入新技术来应对云网融合、5G和IoT等新业务新型需求。网络需要采用“自顶向下”的设计理念,推进控制面和转发面分离/解耦,通过集约化智慧运营实现资源的柔性调度与业务的灵活部署。具体设计架构如图1所示。
现有网络如果重构,应当遵循的演进策略为:以网络能力开放及增值业务能力增强等为导向,推进网络升级;按场景引入新型技术,降本增效,提升效率;盘活数据资源,提升用户体验和网络运营管理水平。
在网络基础设施方面,引入大容量单机,构建无阻塞的转发网络,做到业网分离;引入SR/BIER等新型技术,实现融合统一承载;基于DC设置,构建业务集中处理POP(Points Of Presence);按业务需求,引入虚拟化网元,提升业务处理能力;在网络控制层,引入网络操作系统,在逐步对控制器标准化及抽象化的基础上,形成统一的、可编程的、功能强大的控制器模型,规范各类控制器的南向和北向接口;在运营体系方面,整合各类平台能力,新一代运营系统的关键组件标准化、模型化;增强网络数据的收集分析和网络故障诊断能力,引入网络AI技术、NETCONF/YANG以及Telemetry技术,构建统一的数据模型。
构建安全可信的网络基础设施
无论网络如何改变,安全是永恒的话题。伴随着企业业务大规模上云,网络安全变得格外重要,所以自底向上构建一整套安全可信网络架构,提供基础设施到应用层的端到端安全服务成为了迫切需求。
当前的网络基础设施主要包括BGP、DNS和PKI等系统,这些基础设施或其背后的可信模型是中心化的,而中心化的信任模型存在着中心节点权限过大、单点失效等脆弱性,其自身无法成为牢固的安全可信基础,大大降低了网络的安全性、可靠性和平等性。如何用去中心化技术手段构建更为安全可信的网络基础设施,成为了研究的重点。由于去中心化技术天然就支持可信性验证,因此基于其上实现BGP、DNS和PKI等基础设施能力也就天然具备安全可信的能力,能够真正从根本上保证其安全,进而确保网络上层服务的安全。网络路由是关键的信息,去中心化的BGP安全机制首先从去中心化的IP地址和AS号的管理入手,提供不可篡改的资源所有权记录,进一步地,基于IP/ASN所有权发布的相关绑定信息和邻居信息可以实现BGP的基本能力,同时可以提供相应的验证信息,天然就支持BGP源验证、路径验证、路由泄漏检测等安全能力。这样就真正地从“基因”上赋予网络“端-网-云”牢固的安全可信属性和能力,为未来网络协议体系和网络服务提供了更为坚实的安全可信基础,可以说从根本上解决了目前面临的安全可信问题。
中兴通讯凭借强大的自研芯片能力、全自主研发的网络操作系统ROSng,以及管控合一的管控平台,推出精准网络解决方案,包括云化城域网解决方案、骨干网资源调度方案等,未来在网络内生安全架构和新技术研发上,中兴通讯将持续深入研究,推动IP网络架构朝更高效更安全的方向发展。