华为企业网络产品线总裁刘少伟：敏捷网络改变了什么

　　敏捷网络包括了园区、数据中心、分支、广域，继承了业界SDN的最新理念和研究成果。2013年重点聚焦在敏捷园区领域，通过业务随行、全网安全协防、质量感知、有线无线深度融合和SDN平滑演进五个创新功能，协助企业客户完成面向新业务趋势变化的网络转型，让网络更敏捷地为业务服务。

　　改变一：网络资源云化，业务随行

　　业务随行意味着用户的策略、资源、对应的业务体验能够随着用户的移动而动态迁移，终极实现的效果是移动办公的人员不管在哪里，使用什么终端接入，体验能够一致。那么为了保证体验的一致，有哪些策略需要“随行”呢？

　　接入控制策略随行

　　为了让策略随行，华为在敏捷网络里面引入了SDN的架构。SDN技术在数据中心领域试图解决虚拟机迁移导致的网络策略不能随行的问题，因而华为考虑创新的把SDN架构引入到园区，试图同样来解决园区网络资源和策略需要跟随办公人员移动而变化的问题。

　　我们引入Controller之后，只需要在Controller做统一配置，由它像大脑一样来翻译和下发指令到交换机。IT人员不需要像以前一样配置机器指令，只需要在界面上基于图形和自然语言做配置，降低了对IT人员的专业要求。

　　QoS策略随行

　　QoS策略同样只需要在Controller上定义，以前述开会的例子来讲，大家都在会议区开会，流量突然陡增的时候，VIP用户想在相同区域处理重要业务， Controller可以精确的把QoS策略推到他最边缘的那台交换机上，专门配置保障带宽，从而保障VIP用户的流畅体验。

　　当BYOD逐渐普及以后，QoS在企业园区会更加趋于重要。移动终端上有不同的业务，如上网、语音、视频、重要的交互访问等流量，对待重点用户/用户组、重点业务，也可以在Controller配置对应的策略，用户走到哪，QoS策略随行到哪。

　　存储和业务策略随行

　　大型公司往往不止一个数据中心，为保证每个员工接入数据中心处理业务的体验，对接入时间有严格的要求，因而数据中心往往部署在全球，其中像ERP或其他重要的业务系统都是热备状态，通过双活的方式做用户接入的负载分担。那么同样当从北京出差的员工在深圳接入时，最好是用户的业务和对应业务存储的数据也可以从北京的数据中心动态负载到深圳的数据中心。这样用户将可以获得最佳的业务体验，这个过程可以形象的叫做“飘”，这种体验在未来可以在敏捷网络的架构下，由存储领域和网络领域融合来实现。

　　改变二：全网安全协防，从单点防护步入全网防护年代

　　我们来看一个故事：某人在家里，突然有人敲门，开门之后，敲门者说走错门了。如果户主不认识敲门者，可能关门了事。敲门者又挨家挨户的去敲其他的门，遇到没有住户在家的，就可以撬门行窃。

　　在这个例子中，每个户主坐在自己家里时，都会认为敲门者的行为是正常的。但是如果站在整个小区的高度来看，作为安防人员，看小区所有的监控画面，就会及时发现这个有些怪异的行为有着潜在的安全威胁。

　　这个例子充分说明了从全网的视角出发和从单点出发，它们所能发现的安全风险是不一样的。从全网的视角出发更能够发现一些潜在的威胁。那么，有了Controller意味着可以从全网角度出发来看整个企业园区网络。更进一步，就可以考虑用大数据分析的方法来从全网视角发现安全威胁。

　　华为创新性的将安全行为分析软件集成到Controller中，通过搜集全网各类设备的日志信息，记录全网的各类安全事件，进而分析并发现一些以前从单点出发的视角不能发现的潜在威胁或攻击。通过交互界面呈现给管理员，并产生告警。进而管理员可以调用全网安全资源对风险进行防御。这样可以降低管理人员的维护工作量，整个系统也可以更加安全的运行。

　　大数据分析还有一点非常重要的，就是实时性。

　　有一个例子是某企业的网络出现了安全事故。事后回顾总结时发现，如果当时根据当事人的证言和被攻击设备及其周边设备的日志进行分析，是能够发现一些蛛丝马迹的。但这些蛛丝马迹为什么不能当场发现呢？最重要的原因是数据量太大了。管理员不可能把自己网络里面的设备日志在短期内全都读一遍，并分析其中的关联。

　　而使用大数据分析的思想，全网安全协防就可以立即把网络安全攻击事件分析出来，第一时间发现网络安全问题，甚至提前发现隐患，从而及时的阻止安全事故的发生。

　　改变三：IP质量感知，网络可精确管理

　　IP是面向无连接的，对网络质量是无感知的，这使得网络故障定位非常困难。华为通过iPCA（internet Packet Conservation Algorithm，包守恒算法）来解决网络质量感知的问题。它的关键点，是充分利用了IP包里的一个保留位对数据包进行染色、检测并计数，从而准确判断网络中的丢包等异常情况。

　　iPCA带来了很多好处，这里可以举几个应用场景来说明。

　　广域专线的质量监控：现在大量的企业广域网都是租用运营商专线。实际上，在运营商专线里面存在着大量的丢包，但是为什么用户一般体验不到呢？这是由于TCP以及应用层的重传机制，保证了用户的体验，但网络质量其实是受到丢包影响而下降了的。这种情况下，iPCA可以部署在这两个专线端口，统计所有丢包，帮助企业客户准确评估专线的链路质量。