作者：黄兆基

　　

　　思科架构师 黄兆基

　　是一个介绍如何利用思科先进技术解决客户难题的栏目。每期聚焦一个技术热点或应用场景，邀请资深思科技术专家深入浅出地介绍，为读者提供实用性强的建议。

　　不论属于哪个行业，企业成功与否的关键，说到底还是客户服务是否到位。在数字化转型的大趋势下，为客户提供线上线下一体化的服务已经成为行业共识。

　　但是物联网、 5G 、多云环境和应用微服务化这些层出不穷的新技术在带来便利的同时，也增加了企业 IT 系统的复杂度——网络元素多样化且环环相扣，一旦出现问题，比如本应可以访问的数据无法获得，不应该访问的数据却可以获得，就会造成严重的安全隐患；又或是时延等性能问题，由于数据经过的路径复杂，排错往往无从下手，问题迟迟得不到解决给客户造成困扰甚至损失。

　　我们以一家本地大型机构为例，看看思科基于意图的网络（ Intent Based Networking, IBN ）是如何帮助该机构为未来数字化转型作好准备的。

　　通过与客户的沟通，我们了解到，这家机构希望为自己的客户提供线上接入业务系统的功能，而且要大量接入物联网设备，企业网络因此要实现不同用户、设备及新应用微服务互访的功能。机构特别关注由于网络复杂性可能带来的安全、时延等隐患。

　　了解到客户有这样的担心，于是我们向客户推荐了思科基于意图的网络（ Intent Based Networking, IBN ）的理念，帮助客户从开始设计整个基础设施时就考虑到将来运营时可能产生问题之所在，引入易于排错的功能特性，从而解决了客户的担忧。IBN 能令网络部署紧密配合企业的业务目标（ business outcomes ），透过自动化（ automation ）快速部署、快速应对市场动态。且其持续保障能力（ assurance ），配合人工智能、实时运行数据收集和分析，能有助监控和快速查找安全、时延等隐患，特别是在发生问题时易于排错。

　　为了制定出最符合客户业务需求的最理想且最可行的 IBN 部署策略，我们在前期跟客户开展了一个具备一定规模的验证项目（ POV ），验证一个全新基础设施协助其数字化转型的效果。重点之一是在网络上能达到端到端的自动化部署（ automated provisioning ）、具备零信任（ Zero Trust ）的安全特性和持续的运营保障（ ongoing assurance ），还有最后方案必须提供开放整合其他平台的可能性。

　　

　　先说说IBN要解决什么困难。从前在用户与应用服务之间的网络是相对简单的：用户接入点和应用服务所在地多是静态。

　　但伴随着 5G 、物联网的到来，将会有大量智能设备需要接入网络；用户接入网络的方式也变得多样化，不再是单纯从园区网进来。

　　

　　同时应用服务也迈向动态、微型化及以及多云部署。

　　

　　在超连结环境下，用户端与后台应用之间往往跨过了无数区域：当中有不同云平台、 PAAS 或 SAAS 。

　

　　传统分段式独立网络部署已经无法跟上这样的变化步伐，满足安全地大量配置用户和设备的复杂访问需求。

　　思科 IBN 的基本原则利用了 Group Based Policy 的管理概念，把用户、设备、物理机、虚机、容器微服务等需要网络连接的个体按照它们访问的需求，分配到不同的群组（ Group ），群组之间的沟通权限以策略（ Policy ）执行。群组内的每个组员便自动受到所属群组的沟通制约。举个例子，不论用户是通过互联网、或是园区网进来，只要同属一个用户端群组，都可以按照群组的访问权限去访问特定的应用群。这些策略是按照企业的业务目标（ business outcomes ）所制定，运营时便可以得到保障（ assurance ），排错时因访问路径清晰且有据可查而变得容易。

　　思科在几个不同的区域（ Domain ）内以同一个IBN原则提供了解决方案；分别是园区网的 SD-Access 、广域网的 SD-WAN 和数据中心网的 ACI 。

　

　　为何分成三个 Domain ？

　　以单一 Domain 不是更简单吗？

　　三个区域面对的要求是完全不同的。以单独的控制器独立管控本身的区域，照顾每个区域的特别需求。虽然独立、但因为三个区域都是基于 IBN 的原则：每个区域都同时有群组（ Group ）和策略（ Policy ）的概念。这两种元素成为区域之间互相证明对方访问权限的共通语言，大大简化了端到端横跨多个域的部署。

　　以园区网为例，其主要职能是核实和让用户与智能设备接入有线或无线网络，且按照它们的权限控制在网络上的访问。数据中心网则是管理各种应用负载的互访，当中又包括物理机、虚机、微服务、负载均衡等设备，而广域网主要掌控访问路径、优先次序等。

　　通过这次 POV ，我们为客户验证了 SD-Access ，透过 SD-WAN 与 ACI 进行策略交换，让客户体会到简单而快速地部署跨区域端到端的访问权限，比如当用户登入网络后，按照他登入的 Profile （ 举例如从办公室内，家里或是从移动网络进来 ），园区网络与数据中心网透过自动互换策略，便可批准他访问到数据中心内哪些应用微服务， 例如太敏感的资料只可以通过办公室网络登入才可以访问得到等等。这个群组为基础的权限管理概念同时包括人及各种网络设备，客户将来添加物联网设备都可以透过设备本身的 Profile 进行分类部署。企业不用担心因添加第三方物联网设备而导致安全漏洞。且思科 IBN 的 SD-Access 可以将这个以 Profile 为访问权限的控制同时应用在有线和无线网路上，弹性更大。就像理学宗师朱熹的诗句“ 问渠哪得清如许，为有源头活水来 ”描述的那样， IBN 将客户业务需求融入网络设计之中，从源头上保证了网络的灵活性和易于排错的特性。

　　IBN 虽好，但目前大多数客户部署还是处于起步阶段，能够完全体验到 IBN 优势的还属凤毛麟角，个中原因还是在于能否解决好以下几个“ 问题 ”：

　　作为 IBN 的先行者和倡导者，思科在这些环节还有很多“ 秘籍 ”，将来可以继续与大家分享。