基於意圖的網絡(IBN)

目前業界圍繞基於意圖的網絡（intent-based networking）有諸多的討論和爭議，有專家認爲IBN是一種智能的拓撲結構，能夠監控整體網絡性能、識別問題並自動解決問題，而不需要人工干預。業界認爲IBN是對網絡管理方式的一個重大轉變。

什麼是基於意圖的網絡（IBN）？

網絡業界的發展總是伴隨着新技術的應用，五年前，數據中心是Ethernet Fabrics，後來是SDN，目前是SD-WAN。隨着SD-WAN的不斷髮展，網絡領域最新的風口是基於意圖的網絡。

基於意圖的網絡部署產品或市場，相反，它是幫助規劃、設計和實施/操作可提高網絡可用性和靈活性的網絡軟件。另一部分人認爲IBN是用於網絡基礎設施的生命週期管理軟件。Gartner提出的關於IBN的定義包括以下四個部分：

• 轉譯和驗證：系統從最終用戶獲取更高級別的業務策略，並將其轉換爲必要的網絡配置，生成並驗證最終的設計和配置以保證正確性。
• 自動化實施：系統可以在現有網絡基礎設施上配置適當的網絡變更，通過網絡自動化或網絡編排完成
• 網絡狀態感知：系統爲其管理控制下的系統提供實時網絡狀態，並且是協議和傳輸不可知的。
• 保障和自動化優化/補救：系統持續驗證原始業務意圖得到實現，並且可以在所需意圖無法實現時採取糾正措施。

簡而言之，IBNS就是讓網絡管理員能夠定義他們想要的網絡，並且擁有一個自動化的網絡管理平臺來穿點所需的狀態並執行策略。目前國外已經有不少創業公司在IBN這一領域進行創業，包括Apstra、Forward Networks、Waltz和Veriflow等等。

但Gartner分析師Andrew Lerner表示，鑑於IBN是一個新生的技術，至少到2020年纔會成爲主流，同時他認爲IBNS最好在概念部署的試點和驗證中得到實施。

基於意圖的網絡優勢和風險

業界對網絡的要求我相信應該是一致的，大家的目標都一樣，就是讓網絡更加智能化，雖然目標一致但實現方式往往不會相同。用戶會根據其業務的優先性來確定其優化網絡的途徑。IBN這種方式所具備的諸多優勢包括：

• 擴展物聯網和移動性：通過在網絡中自動創建基於身份的意圖，用戶可以保護工作組、BYOD等等。
• 雲的性能和安全性：如果用戶需要將工作負載遷移到雲端，IBN可以確保雲應用的安全和高質量的用戶體驗。這需要在WAN中應用SDN，以便安全訪問分支機構的雲應用程序。
• 保障、安全和優化：由於IBN是一種系統方式，因此所有部署最終都集中在一個集成系統上，該系統需要採用整體閉環方法來實現網絡各個部分的策略、保障和自動化。

雖然IBN具備諸多的優勢，但其風險也很明顯。組織實現IBN之後將會使網絡能滿足需求，同時降低運營成本並能夠應付更多的安全問題。對於網絡團隊來說，這意味着從繁瑣的運營維護中解脫出來，從而對業務產生一些好處。然而，這需要相當數量的新技能和流程的變化，這一過程面臨着風險。此外，還存在與實施相關的技術和流程風險。

巨頭視角

思科IBN

思科CEO Chuck Robbins在今年6月份宣佈了思科發行了基於意圖的網絡軟件，聲稱該軟件可以檢測加密流量中的惡意軟件威脅，並且認爲IBN是影響未來30年的網絡。

爲了構建基於意圖的網絡，思科發佈了以下軟件和硬件，軟件將作爲訂閱服務提供：

• 數字網絡架構（DNA）中心：這是網絡自動化和學習的引擎，集中管理儀表板使得網絡管理員能夠自定義意圖，然後將意圖轉化爲行動。它跨越了設計、配置、策略和保障，爲整個IT部門提供了網絡的可見性和情境。
• 軟件定義接入（SD-Access）：通過自動化策略實施和單個網絡結構上的網絡分段，目的是通過將日常任務自動化（如配置、故障排除）來簡化網絡訪問。
• 新數據平臺和保障：這是一個分析平臺，與網絡上運行的所有數據進行分類和關聯。通過DNA中心保障服務，將機器學習轉化爲預測分析、商業智能和可操作性。
• 加密流量分析：安全軟件使用思科的Talos網絡智能和機器學習來分析元數據流量模式，思科表示這可以加使IT部門能夠以高達99%的準確度來檢測加密流量中的威脅。
• Catalyst 9000交換組合：該交換產品建立在思科的芯片基礎上，並且運行該公司的IOS XE軟件。思科認爲，這些交換機將是安全可編程的，設計時充分考慮了移動性、雲計算和物聯網因素。

思科表示，約有75家全球企業和組織正在對思科的軟件和交換機進行考察，這些企業包括DB Systel GmbH，Jade University of Applied Sciences，NASA，Royal Caribbean Cruises，Scentsy，UZ Leuven，Wipro。

Juniper Self-Driving Network

Juniper認爲Self-Driving Network是一種可預測並適應期環境的自主網絡，它同時增加了規模經濟和效率，同時降低了運營成本。因此，它可以爲最終用戶提供經濟而優質的個性化體驗。 當自動化框架融入遙測，大數據分析，機器學習和網絡引導等功能時，自主分析，自我發現，自我配置和自我修正，自治網絡就誕生了。Self-Driving Network可以與零接觸網絡等同，最終目標是消除手動工作。

實現Juniper Self-Driving Network需要以下三個自動化策略：

• 通過簡化和抽象網絡來降低操作複雜性
• 使用戶能夠更快部署新的網絡服務
• 通過深度遙測提高容量利用率和網絡彈性

邁向Self-Driving Network依賴於遙測，自動化，機器學習和聲明式編程：

• 遙測：需要基於推送語義的遙測和基於機器學習的異常檢測。Juniper的OpenNTI是一個使用標準遙測，分析和分層設計來收集，標準化和可視化關鍵性能指標（KPI）的簡單開源工具。
• 自動化：通過自動化拓撲發現、路徑計算和路徑安裝。需要自動服務部署，基於配置服務的特定升級以及基於機器學習的歸納網絡響應。
• 機器學習：機器學習採用創新的編程方法，將靜態編碼轉變爲從數據輸入中學習的動態算法，進行預測並採取適當的行動。Juniper的AppFormix解決方案將機器學習和流媒體分析的功能與諸如基於Openstack和Kubernetes的混合雲和NFV/Telco雲等編排系統的應用感知結合在一起。
• 聲明的意圖：讓網絡明確你的意圖，而不只是完成意圖。Juniper的Northstar工具使服務提供商能夠根據所提供的限制（如帶寬，多樣性和虛擬間網絡策略）安裝網絡路徑。

Juniper認爲，Self-Driving Network具備革命性的優勢，將會促進生產力的進一步發展，釋放企業的創新能力。

值得關注的初創公司

Anuta Networks致力於提升網絡編排水平，網絡編排是將網絡服務與硬件組件分離以實現流程的高度自動化。憑藉其NCX平臺，該公司認爲它可以利用開放架構標準，協調超過35家網絡廠商的設備。NCX可以提供服務、掃描網絡設備，並提醒IT管理員解決潛在的問題。該公司目前已經在澳大利亞電信和F5公司的Silverline DDoS提供服務。

Forward Networks提供了一套新的功能和創新的定價模式，該公司是由斯坦福大學Nick Mckeown的四個博士創立，主要提供兩個產品：orward Enterprise和Forward Essentials的工具集。企業產品包括三方面的方法：搜索即時訪問，驗證基於意圖的可伸縮性，並預測模型變化如何影響網絡。該解決方案創建了一個網絡的軟件副本，可以建模和測試，而不會損害生產網絡。

Apstra採取了操作系統的方式來實現基於意圖的網絡，該公司通過自我配置、修復和防禦來自動化網絡基礎設施和服務的整個生命週期。這需要使用過程自動化、遙測、分析和驗證。由此帶來的好處可以提高可擴展性，控制/可視性以及使用多廠商設備的靈活性。

雲杉網絡是中國目前第一家提出IBN的SDN初創公司，依託於其推出的DeepFlow產品，打造數據中心網絡的網絡分析與控制的閉環系統，最大程度地消除了雲時代企業IT網絡與企業業務脫節，爲金融、電信、互聯網、能源等多個行業提供下一代網絡解決方案。

基於意圖的網絡目前還處於早期階段，但它是一個將網絡拓撲從傳統硬件轉移到更靈活的軟件定義實現的引人注目的平臺。隨着機器學習和人工智能的發展，基於意圖的網絡系統將變得更加智能化和預測性更強。

 

IBN的定義

網絡業界的發展總是伴隨着新技術的應用，五年前，數據中心是Ethernet Fabrics，後來是SDN，其核心理念是將轉發與控制進行分離，以此提高網絡的運行效率和網絡的靈活性。目前是SD-WAN，隨着SD-WAN的不斷髮展，網絡領域最新的風口是基於意圖的網絡IBN（Intent based network）。

從廣義上看SDN代表了一種新的網絡思想，從狹義上看其就是一項網絡轉發技術。IBN似乎更像是一種網絡架構，SDN和IBN是互補的，它們可以一起部署也能單獨部署。它們有着一致的目的，就是幫助網絡變得更加靈活。因此ONF組織爲SDN發佈了北向接口用於支持IBN。SDN更加專注於如何去控制網絡，採用一種基於策略的聲明式控制方法，而IBN專注於如何將應用的需求告訴網絡而不是告訴網絡怎樣配置某個設備。

IBN本意是對網絡進行抽象，隱藏細節，包括對各種協議配置以及管理維護，最終給用戶體現爲意圖接口，用戶只要說出需要網絡做什麼，而不是要手動配置OSPF/BGP/LDP各種協議，網絡可以把對用戶意圖實現的結果反饋給用戶，讓用戶知道網絡的運行狀態。

這是一種智能的拓撲結構，能夠監控整體網絡性能、識別問題並自動解決問題，而不需要人工干預。其真正技術內涵包括高級語言接口定義（描述用戶意圖）、基於獲取的網絡狀態解釋用戶意圖、網絡自動運維，其中更是包含了AI等各種技術。業界認爲IBN是對網絡管理方式的一個重大轉變。

2017年Gartner提出的關於IBN的定義，包括以下四個部分：

• 轉譯和驗證（Translation and Validation）：系統從最終用戶獲取更高級別的業務策略（what），並將其轉換爲必要的網絡配置（how），生成並驗證最終的設計和配置以保證正確性。
• 自動化實施（Automated Implementation）：系統可以在現有網絡基礎設施上配置適當的網絡變更，通過網絡自動化或網絡編排完成。
• 網絡狀態感知（Awareness of Network State）：系統爲其管理控制下的系統提供實時（real-time）網絡狀態，並且是協議和傳輸不可知的。
• 保障和自動化優化/補救（Assurance and Dynamic Optimization/Remediation）：系統持續驗證原始業務意圖得到實現，並且可以在所需意圖無法實現時採取糾正措施。

爲什麼需要IBN？

網絡很複雜。管理網絡一直以來是一個十分複雜的工作，網絡工程師需要負責管理網絡設備、提供用戶權限、配置網絡策略等等工作。根據Gartner的數據顯示，75%的組織仍然通過手動操作來管理他們的網絡，很多組織仍然使用最初的命令行界面（CLI）。CLI的缺點也很明顯，因爲缺少錯誤特定的返回代碼，自動化工具還必須處理輸入或輸出文本中的偶爾錯字。CLI通常與手動配置更改有關，這是造成企業網絡中斷的主要原因。

網絡侷限於數據傳輸的時代已經一去不返。現在，網絡已成爲應用程序開發和創新的平臺。作爲主要開發平臺，網絡需要靈活性來滿足快速變化的業務和用戶需求。自動化和編排通過簡化網絡運營和管理，幫助實現這種敏捷性。自動化網絡的最簡單方式是通過可編程性使用標準、低級 API 提供對網絡設備乃至芯片級別的細粒度控制。用API替換CLI並不困難，較新的設備通常有了XML或JSON編碼的REST接口支持CLI和API。可編程性對於實現網絡感知的應用程序和應用程序感知的網絡而言至關重要。網絡可編程不在於各種接口和各種規範，而在於對於網絡的抽象，能夠真正體現出用戶意圖，通過消除手動配置來降低網絡複雜性並提高自動化水平，它使得用戶或管理員使用自然語言向物理網絡發送一個簡答的請求。例如，IT管理員可以請求IP語音應用程序提高語音質量，網絡可以對此進行響應。再想象一下，有一家醫院的網絡擁有所有患者敏感的數據信息。通過IBNS，網絡工程師能夠要求只有醫生和護士才能夠訪問這些患者信息，其他用戶被禁止訪問。IBNS可以自動地去識別醫生的身份從而修改他們的訪問權限策略。

簡而言之，IBNS就是讓網絡工程師能夠定義他們想要的網絡，從繁瑣的網絡運維工作中解脫出來。不再僅僅去使用一些複雜繁瑣的腳本，而是擁有一個自動化的網絡管理平臺和圖形化的工具，實現網絡變更。系統將會持續實時驗證原始的業務意圖是否已經被滿足了，並且在沒有達到預設的意圖時可以執行改正的動作，形成一個持續閉環循環的系統（continuous closed-loop.），與傳統方式相比它提升了網絡的可用性和敏捷性。唯有持續閉環的系統纔可以保證意圖的有效性，纔可以確保意圖不會被突發的網絡狀況干擾。

今年夏天，思科 CEO Chuck Robbins 談到基於意圖的網絡的業務優勢，可以概括爲三個主要方面：

• 速度和敏捷： 隨着網絡的發展，在網絡上開展的業務會越來越多。現在，人們刷信用卡就能啓動一個雲應用程序，這就要求網絡做出迴應。因此，非常重要的一點是，網絡能迅速調整來滿足這些需求，而且只需很少的人工干預。
• 多任務的自動化：支持IT把工作重點放在實現業務價值上。目前，IT的很多時間都花在了不產生價值的任務上。我們可以在管理層實現很多任務的自動化，這使得IT能夠更多地去從事給業務帶來價值的工作。
• 安全、合規和風險：利用自動化和算法驗證配置，減少了出錯的風險，可以更精細的分析網絡。

IBN是如何工作的？

標準化、流程化是自動化的前提。將業務要求轉換爲複雜的意圖，在此過程需要大量勞動力，包括漫長的設計和配置驗證。更重要的是，複雜性通常使網絡難以改變。傳統網絡已成爲許多 IT 運營中的瓶頸。通過融入實時分析和持續驗證業務要求，IBNS可快速分析當前形勢。將用戶的業務要求解釋爲意圖，然後將意圖轉換爲整個網絡基礎架構上的必要網絡配置。如果未滿足所需的意圖，系統將立即採取糾正措施。

Intent-Based Networking: Top 10 Questions and Answers文章中，介紹了10個常見的問題，在第6條中簡單的講解了IBN具體是如何工作的。IBN是通過機器學習、數據分析以及網絡團隊確保系統的持續性運轉。作爲一個閉環系統，從一個理想的意圖到最終的實現，需要通過下面的步驟：

1. 定義/理解意圖：理想的商業需求。
2. 自動轉譯意圖生成一系列的指定的網絡配置變更（例如：修改ACLs，更新應用特定的協議等等）。
3. 在下發修改配置到實際網絡之前，需要驗證這些變化的配置。
4. 假設第3步驟成功，下發驗證過的配置到實際網絡中，否則回到第2步驟。
5. 對實際網絡進行週期性的快照，驗證是否符合步驟1裏定義的意圖，形成一個閉環系統。

上圖來自Verification and Intent-Based Networking: Closing the Control Loop 文章中，描述了IBN的最基本的系統框架。這和上面所描述的步驟基本一致，值得注意的是通常完整IBNS要在轉譯Translation後Implementation前要加上驗證配置的步驟。當驗證通過了，系統纔會下發（deploy）配置到網絡中。所以在整個閉環中，有兩個地方需要驗證Verification，一個是驗證下發前的配置，另一個是根據現網的報文行爲和動態網絡的狀態進行動態的驗證。目的是爲了驗證實際網絡狀態是否和所期望的意圖達成一致，形成閉環。

在傳統的網絡中，往往只是進行簡單地監控（monitor），有許多不足的地方。在傳統的系統中，網絡監控廣度和深度不足，所描述的信息和數據都是直接來自於底層設備的（low-level），而非用戶期望的以規範化數據模型方式來表達。這對管理員的技能要求高，可用性保障困難。因爲故障來源複雜（配置錯誤，軟件故障，鏈路故障等），設備之間聯繫緊密, 並且存在故障擴散現象，整個系統缺乏有深度的全局網絡數據視圖。另外在網絡中通常隱藏着許多隱患，往往發生特定的事件，我們才能發現這個故障。所以在IBN系統中，基於Telemetry這一網絡遙測、實時監控的特性，能夠全面地實時瞭解網絡狀態。Telemetry遙測的功能不僅僅能夠獲得數據流實時信息，而且能夠獲得實時的網絡配置、流量統計、計數、報錯、表項、環境、緩存等一些列信息。近期Google等雲巨頭推動 OpenConfig 的一個重要原因就是希望能夠以單一標準化數據模型語言（YANG） 來定義數據和實時狀態反饋（state streaming），其實就是數據定義加上 Telemetry 的特性。通過驗證verification最後閉環這一步驟將low-level的設備數據與high-level的意圖關聯起來。網絡的狀態時時變化，執行時的狀態與驗證時的狀態可能存在不一致，此時IBNS會主動地根據期望的狀態對策略進行優化補救。

 

 

與SDN相比，基於意圖的網絡(IBN)稍顯稚嫩，雖然同爲改變網絡行業的技術，但這兩者之間處於什麼樣的關係呢?SDN和基於意圖的網絡由相似之處，IBN可以視爲是SDN概念的延伸並且進一步改善網絡自動化和複雜性的問題，其中包括減少手動配置網絡等。

十年前提出的SDN是作爲邏輯分離網絡硬件和軟件的一種方式，也是提供網絡可編程性、提高自動化和降低成本的手段。SDN的概念現在成爲了數據中心和廣域網應用的主流，分別出現了軟件定義數據中心(SDDC)和軟件定義廣域網(SD-WAN)的應用。它將網絡創新的重點轉移到了軟件上，而不是專有硬件。雖然一些領先的超大規模雲服務提供商已經開始部署SDN對其網絡進行編程，並大幅降低了成本，但是在自動化網絡運營方面，SDN能發揮的作用相對有限。

向基於意圖的網絡演進

根據Gartner的數據顯示，75%的組織仍然通過手動操作來管理他們的網絡，很多組織仍然使用最初的命令行界面(CLI)。基於意圖的網絡通過消除手動配置來降低網絡複雜性並提高自動化水平，它使得用戶或管理員使用自然語言向物理網絡發送一個簡答的請求。例如，IT管理員可以請求IP語音應用程序提高語音質量，網絡可以對此進行響應。

SDN和基於意圖的網絡相互銜接，因爲IBN的實施可能包括使用可執行所需策略和意圖的SDN控制器。IBN的當前版本可以自動執行諸如IP地址設置和配置虛擬LAN之類的操作，並且可以分析網絡流量來檢測威脅並提供解決網絡問題的方式，基於意圖的網絡使組織能夠快速部署和擴展新的數據中心網絡資源。

未來IBN的進一步發展將能夠檢測並自動解決網絡挑戰，例如安全異常和網絡擁塞。在IBN中實施開放API將能夠實現更多的廠商集成，並使高級用戶能夠更輕鬆地對網絡進行編程。

SDN和基於意圖的網絡目標都很遠大，但IBN的實現在技術上還面臨若干問題，以思科和Juniper爲代表的廠商已經開始向IBN發展，OpenDaylight等開源項目也在逐漸將IBN的思想添加到其SDN控制器中。IT組織仍然面臨着決策性的挑戰，即是否應該將他們的數據中心、校園網或廣域網建立在一個廠商的基礎上，還是與初創公司合作實現物理網絡。