近年來思科著重於發展跨領域的意圖式網路(Intent Based Networking),不論規模是園區、資料中心、分支機構,皆是以意圖式網路為核心精神所設計,如今資料中心「以應用程式為中心的基礎架構(ACI)」搭配Tetration平台,確保混合雲基礎架構依照預期的方式運行,以加快變更效率並保障合規性。
思科台灣技術長馮志良表示,思科發展意圖式網路的理念,便是要將企業營運管理階層或IT管理者的意圖,轉譯變成一整套可執行的政策。比如想要保護網頁應用系統不被外部攻擊,首先得釐清網頁應用程式對外連網的狀態,進而限制存取權限,此需求轉換成存取管控政策,之後要套用到實體設備時,再次轉換成指令集,或透過API介接派送。整個工作流程的操作步驟,都交給自動化來執行。 除了自動化能力以外,政策還得在實體或虛擬的基礎架構環境中部署啟用,為了確定整體的設定配置符合預期,思科網路保證引擎(Network Assurance Engine)藉由蒐集取得的大數據運行機器學習演算,結合思科累積30多年領域知識建構出的5,000多種數學模型進行分析,可預期行為的偏差,並建議採取修補的措施。
網路保證引擎驗證可行性
尤其是混合雲架構,在應用服務部署相當分散的狀況下,網路設定與政策的變更僅憑人工操作恐難以完整掌握,因而增加人為錯誤引發網路連線中斷的風險。經過網路保證引擎分析,可避免設定配置錯誤,或避免雲端原生的容器環境控管政策出現衝突,讓意圖得以被正確地實施。
馮志良舉例,許多企業內部專案開始利用雲端平台,可能藉由Amazon VPC(Virtual Private Cloud)邏輯隔離區建置私有雲,這類應用場景的網路架構,正適合由ACI協助轉譯。否則,採用AWS的企業必須學習AWS的網路環境設定,隨著應用遷移,可能還得再學習Azure與Google雲端平台,ACI的用意則是讓IT管理者無需額外學習,只要在其單一控管控管介面上界定意圖,底層的轉譯則交給自動化機制執行。
專注於符合應用需求而非實作技術
連網裝置數量逐年攀升,當大量的連網裝置接取上線後,廣域網路的重要性勢必隨之提高。以往企業得租用電信業者提供的專用線路,近年來開始評估Internet傳輸的可能性,前提是必須能保證傳輸頻寬,並在狀況發生時可自動地切換選用最佳遞送線路。特別是在雲端服務興起後,外部據點的員工可直接透過行動網路接取,網路傳輸流量不再經過總部,必須換一種方式確保外部據點的存取安全。
馮志良指出,思科SD-WAN解決方案已協同微軟Office 365研發團隊分析了全球部署的據點,制定保障傳輸效能,可偵測並導向傳輸品質最佳的路徑。「許多人認為SD-WAN優點是降低專線費用,實際上,更重要的是確保傳輸效能與安全性。如今武漢肺炎全球蔓延,許多企業鼓勵員工在家工作以降低感染風險,工作事項的討論則採用視訊會議,當全體員工都採用視訊會議時,網路傳輸品質恐面臨挑戰,如此情況下,更須確保高階管理層的會議優先順序。」
前述實際應用案例即著眼於企業應用需求,也就是意圖式網路的核心精神。當企業應用環境出現明確的意圖,或者是要解決的問題,意圖式網路即可發揮作用,讓IT管理者更專注於達成控管,至於技術層面的實作則交給思科自動化機制來執行。
專屬晶片處理大量封包展優勢
運用機器學習與人工智慧來處理網路封包擷取的資料,可說是現今網通廠商共同的研發目標,然而關鍵在於數學模型須經過大數據持續訓練與調校,其中考驗的是領域知識,而非技術問題。「思科最大的優勢是基於30多年的領域知識來執行調校,非其他廠商所能仿效。」馮志良說。
想判定從網路傳輸流量中擷取的資料究竟是惡意或善意,必須經過演算。資料演算模型的正確性,則仰賴訓練時餵入的網路領域經驗及客服累積的知識庫。蒐集資料的方式,不僅只是透過軟體介接,執行的硬體平台同樣不可忽視。馮志良進一步說明,資料中心骨幹網路頻寬主流已達100GbE,甚至有400GbE的最新核心交換器,唯有把蒐集資料的演算邏輯內建在高速的ASIC晶片中,才可快速地運行解析與過濾需掌握的關鍵資料,這是硬體廠商才有能力達成的任務。
「思科擁有自主研發的高階ASIC晶片,但也能讓企業有所選擇,例如以應用為中心基礎架構的Nexus系列,同時亦有推出內建商用型晶片的機種。若無需掌握到實體設備緩衝記憶體(Buffer)內的資料,或許商用型晶片的Nexus設備即可符合需求。」現代IT設備大量採用商用的x86處理器,資料蒐集方式常見為API介接,馮志良認為,實際上卻可能遺漏許多存在於實體設備中的關鍵資料,這也是近年來思科又開始強調硬體設計重要性的主因。
他指出,透過軟體來執行資料蒐集,可能固定時間才會執行一次,萬一斷線事件發生在兩個Flow之間,往往難以從蒐集到的資料中判定問題根源。就傳統的標準網管SNMP來看,主要是輪詢的方式,經常出現的問題是交換器內部處理器因此變得相當忙碌。還有另一種硬體設計的思維是主動向外推送,亦即當流量進入設備時,把需要的流量資料解析過濾出來,並且推送到指定位址。他也指出這種硬體設計模式較為少見,主因在於須耗用相當大的運算資源,尤其是多數實體設備採用商用處理器,恐發生效能問題。
他進一步強調,目前沒有人可以證明,僅仰賴商用標準x86處理器即可涵蓋所有執行任務,至少在網路領域中仍舊有專屬晶片的強勁需求。不可否認確實有許多案例可遷移到x86平台來執行,但畢竟有限制,唯有搭配自主研發晶片的技術平台,才可順利地擴展。特別是現在討論相當多的第五代行動通訊(5G)應用場景,最大的特點並非頻寬變大,而是連網裝置數量相當多,此時勢必須藉由ASIC處理網路封包,才可避免效能瓶頸。