一文詳細(xì)了解華為智能校驗技術(shù)

1在網(wǎng)絡(luò)變更過程中，

我們遇到了什么挑戰(zhàn)?

隨著千行百業(yè)數(shù)字化轉(zhuǎn)型的逐步深入，各種各樣的數(shù)字化新業(yè)務(wù)，新需求如雨后春筍般涌現(xiàn)，這也迫切要求網(wǎng)絡(luò)策略能夠快速變更和調(diào)整以適應(yīng)業(yè)務(wù)需求的快速變化。然而，數(shù)字化時代，企業(yè)網(wǎng)絡(luò)的規(guī)模復(fù)雜度遠(yuǎn)超想象，無線網(wǎng)絡(luò)用戶指數(shù)級增長，有線網(wǎng)絡(luò)端口數(shù)以萬計，“單點配置，影響全局”，網(wǎng)絡(luò)變更對于業(yè)務(wù)的影響的評估也越來越困難，使之成為近年來網(wǎng)絡(luò)故障/事故的主要根因之一。

根據(jù)國內(nèi)某知名企業(yè)IT部門提供的數(shù)據(jù)，平均每月有30次左右的網(wǎng)絡(luò)變更操作，由于網(wǎng)絡(luò)變更失誤導(dǎo)致的故障占比就高達(dá)43%，變更失敗引發(fā)的業(yè)務(wù)中斷，影響就更大。此外，金融行業(yè)客戶反映他們平時網(wǎng)絡(luò)運(yùn)維都是圍繞著變更場景做的，普遍認(rèn)為70%以上的網(wǎng)絡(luò)故障都是由變更引入。

同時，由于網(wǎng)絡(luò)變更與業(yè)務(wù)成功直接相關(guān)，成功的變更除了要開通新的業(yè)務(wù)還要保證原有業(yè)務(wù)不發(fā)生故障，不引入新的問題。因此網(wǎng)絡(luò)運(yùn)維人員對網(wǎng)絡(luò)的變更操作也變得越來越謹(jǐn)慎，經(jīng)常需要在變更前進(jìn)行方案設(shè)計評審，變更的影響評估，并且在變更實施后進(jìn)行撥測，流量監(jiān)控，手工檢查表項，甚至人工現(xiàn)場連續(xù)保障2~3天等方式來檢查變更后的網(wǎng)絡(luò)是否符合預(yù)期。

確保網(wǎng)絡(luò)能夠快速，零差錯變更，提升配置校驗效率，成為網(wǎng)絡(luò)變更過程中的關(guān)鍵挑戰(zhàn)。

2為什么傳統(tǒng)的校驗手段無法解決?

根據(jù)Dimensional Research對315名網(wǎng)絡(luò)運(yùn)維專家的調(diào)查，網(wǎng)絡(luò)變更主要依賴人工檢查和對報文進(jìn)行鏡像和抓包分析這兩類傳統(tǒng)運(yùn)維手段來進(jìn)行配置校驗和問題定位。這兩種手段的缺陷在于：

01檢驗不準(zhǔn)確，潛在問題難預(yù)防

傳統(tǒng)配置校驗手段只能依賴于真實的探測報文或者網(wǎng)絡(luò)當(dāng)前的活躍流量，對于潛在的路由和安全問題，只能后知后覺，在故障發(fā)生之后才出現(xiàn)異常，難以主動預(yù)防。而且使用ping，traceroute/tracert等命令發(fā)送探針報文，由于網(wǎng)絡(luò)中存在的訪問控制或安全策略，有可能阻斷特定協(xié)議特定端口號的業(yè)務(wù)，無法通過探針報文檢查出問題，導(dǎo)致校驗結(jié)果不可靠，不準(zhǔn)確，潛在問題難預(yù)防。

02校驗不全面，難以全網(wǎng)全量覆蓋

傳統(tǒng)人工校驗本質(zhì)上是采樣分析，只要采樣就有局限性和隨機(jī)性，不可能做到全網(wǎng)全量覆蓋。比如通過人工檢查只能進(jìn)行簡單的單點連通性驗證，面對網(wǎng)絡(luò)中可能承載的成千上萬成笛卡爾積的應(yīng)用互訪關(guān)系，無法有效窮舉;而對校驗對象進(jìn)行報文鏡像和抓包時，也不可能對所有業(yè)務(wù)報文做出1:1的鏡像，校驗過程很難覆蓋完整的網(wǎng)絡(luò)互訪意圖。

03測試和故障定位時間長

傳統(tǒng)人工校驗缺乏可視化的路徑信息和不可達(dá)根因，定位耗時。在不可達(dá)時逐個設(shè)備手工檢查表項和配置，只在小型網(wǎng)絡(luò)中可行，對于有上百臺設(shè)備，上百萬條表項的網(wǎng)絡(luò)無異于大海撈針，往往會出現(xiàn)“變更1分鐘，校驗4小時”的情況。

3什么是華為的智能校驗技術(shù)?

華為CloudCampus(全無線智能云園區(qū)網(wǎng)絡(luò))與超過2000家大中型企業(yè)的網(wǎng)絡(luò)創(chuàng)新實踐，推出園區(qū)網(wǎng)絡(luò)自動駕駛解決方案，旨在通過數(shù)字孿生，AI等技術(shù)構(gòu)建智能校驗，幫助企業(yè)園區(qū)網(wǎng)絡(luò)突破人工校驗的效率瓶頸。

智能校驗讓運(yùn)維人員在iMaster NCE-Campus進(jìn)行網(wǎng)絡(luò)校驗意圖定義，如單點可達(dá)性驗證，終端接入仿真驗證，全子網(wǎng)互訪驗證等確定校驗的規(guī)則和策略;然后，對網(wǎng)絡(luò)設(shè)備的真實配置，轉(zhuǎn)發(fā)表項以及網(wǎng)絡(luò)拓?fù)涞热嫒康男畔⑦M(jìn)行數(shù)據(jù)采集，構(gòu)建出忠實反映真實網(wǎng)絡(luò)結(jié)構(gòu)和轉(zhuǎn)發(fā)行為的虛擬數(shù)學(xué)模型，為物理網(wǎng)絡(luò)構(gòu)建數(shù)字孿生映射。并使用數(shù)據(jù)面校驗(DPV：data plane verification)技術(shù)，對網(wǎng)絡(luò)進(jìn)行嚴(yán)格的意圖驗證和閉環(huán)，高效校驗網(wǎng)絡(luò)問題。

4智能校驗技術(shù)能做什么，

能帶來什么收益?

分鐘級構(gòu)建網(wǎng)絡(luò)快照，配置變更快速法發(fā)現(xiàn)

運(yùn)維人員可以通過iMaster NCE-Campus以只讀的形式采集網(wǎng)絡(luò)中設(shè)備的數(shù)據(jù)，并進(jìn)行數(shù)據(jù)面建模，最終形成快照，5分鐘即可完成500網(wǎng)元，超過15萬路由表項，5萬VLAN的數(shù)學(xué)建模，構(gòu)建網(wǎng)絡(luò)快照?？煺湛梢岳斫鉃槭悄硞€時間點下網(wǎng)絡(luò)的一個“鏡像”，是智能校驗方案的基礎(chǔ)。運(yùn)維人員可以對不同時間點的快照進(jìn)行對比，通過對比快速發(fā)現(xiàn)網(wǎng)絡(luò)在兩個時間點下的設(shè)備差異、配置文件差異、接口鏈路狀態(tài)差異和IP路由差異，為網(wǎng)絡(luò)問題的快速定位提供有效的輔助信息。

100%全量互訪關(guān)系覆蓋，子網(wǎng)互通性一目了然

基于快照，可以通過矩陣形式呈現(xiàn)子網(wǎng)互通性驗證結(jié)果，支持TCP/UDP/ICMP等多種協(xié)議的報文驗證，展示所有網(wǎng)絡(luò)的可達(dá)性信息和多路徑連通信息，全網(wǎng)業(yè)務(wù)網(wǎng)段間的連通性情況一目了然。支持端到端的路徑分析能力。校驗返回結(jié)果直觀可視化，包含轉(zhuǎn)發(fā)路徑，精確到協(xié)議號，端口號的可達(dá)/不可達(dá)報文空間，故障定位效率顯著提升。

終端接入精準(zhǔn)驗證，用戶權(quán)限安全可信

智能校驗提供了終端接入驗證的能力，網(wǎng)絡(luò)管理員可以在快照中模擬一個接入終端，實時精準(zhǔn)模擬校驗終端接入權(quán)限是否精準(zhǔn)，使網(wǎng)絡(luò)安全可信。

5智能校驗要解決哪些技術(shù)難題?

網(wǎng)絡(luò)設(shè)備成百上千，拓?fù)?轉(zhuǎn)發(fā)模型復(fù)雜，如何做到全面準(zhǔn)確的數(shù)學(xué)建模?

面對成百上千的網(wǎng)絡(luò)設(shè)備，復(fù)雜的組網(wǎng)拓?fù)洌约岸尤龑?，overlay，underlay等多層網(wǎng)絡(luò)轉(zhuǎn)發(fā)模型，如何做到全面全量的數(shù)學(xué)建模?

網(wǎng)絡(luò)連接建模，物理拓?fù)?00%數(shù)學(xué)建模

智能校驗以數(shù)字孿生技術(shù)將復(fù)雜的物理網(wǎng)絡(luò)抽象為數(shù)學(xué)的點線面的屬性，依據(jù)從設(shè)備上采集到的信息，抽象出一個和現(xiàn)實網(wǎng)絡(luò)在報文轉(zhuǎn)發(fā)行為上等價等效的虛擬的數(shù)字孿生的網(wǎng)絡(luò)模型，比如將網(wǎng)絡(luò)設(shè)備，接口，二三層網(wǎng)絡(luò)，Overlay和Underlay轉(zhuǎn)發(fā)路徑等全量信息虛擬化數(shù)字化的等價類，用數(shù)學(xué)的方法完成物理網(wǎng)絡(luò)100%數(shù)字孿生映射。

報文頭空間建模，轉(zhuǎn)發(fā)行為100%數(shù)學(xué)建模

網(wǎng)絡(luò)中報文的轉(zhuǎn)發(fā)行為主要由報文頭部信息所決定，譬如IP轉(zhuǎn)發(fā)行為由目的IP字段所決定，安全過濾，訪問控制的策略則與五元組強(qiáng)相關(guān)，真實的設(shè)備只能處理具體的報文，單看IPv4協(xié)議的目的IP就有種組合，如果再考慮五元組甚至更多字段的話，組合數(shù)量極其龐大。因此針對具體報文的采樣檢查很難對轉(zhuǎn)發(fā)行為做出嚴(yán)謹(jǐn)和全量的覆蓋。

智能校驗借鑒了網(wǎng)絡(luò)設(shè)備的報文匹配技術(shù)和學(xué)術(shù)界網(wǎng)絡(luò)驗證研究領(lǐng)域的思想，將一個具體的報文頭當(dāng)做一個N維空間中的一個點，這樣就可以將原始的IP前綴轉(zhuǎn)發(fā)表等價轉(zhuǎn)換為一個報文等價類的轉(zhuǎn)發(fā)表，構(gòu)建一個全量的報文頭空間：每個等價類用一個整數(shù)標(biāo)識，每個設(shè)備的接口上記錄能夠從此轉(zhuǎn)發(fā)出去的等價類集合。這樣我們可以通過高效的數(shù)學(xué)算法和數(shù)據(jù)結(jié)構(gòu)使得每個網(wǎng)絡(luò)功能節(jié)點一次性處理一個集合的報文，比如說目的IP都屬于某個網(wǎng)段的報文，突破了傳統(tǒng)采樣檢查的限制，能夠更高效更廣泛地驗證不同組合形式的報文頭部，做到全網(wǎng)全量級別的校驗。

轉(zhuǎn)發(fā)路徑復(fù)雜多變，如何做到嚴(yán)謹(jǐn)快速的可達(dá)性驗證?

驗證報文的轉(zhuǎn)發(fā)行為，就需要忠實于現(xiàn)實網(wǎng)絡(luò)設(shè)備對報文的處理流程和轉(zhuǎn)發(fā)機(jī)制。

智能校驗緊扣網(wǎng)元設(shè)備對報文的處理行為，并通過形式化方法中的符號執(zhí)行技術(shù)，符號化的模擬報文轉(zhuǎn)發(fā)行為。如下圖網(wǎng)絡(luò)中，左邊是依據(jù)所有轉(zhuǎn)發(fā)表將全量報文空間劃分為{1,2,3,4,5,6}，六個報文等價類，每個等價類對應(yīng)一個報文空間。右側(cè)所示的則是一顆以A.1接口為根的可達(dá)樹，能夠窮舉所有可能的報文轉(zhuǎn)發(fā)路徑和最終目的地，并使用高效圖搜索算法和諸多更復(fù)雜的優(yōu)化手段，能夠在極短時間內(nèi)完成全網(wǎng)全量的環(huán)路和黑洞檢測以及大批量的可達(dá)性驗證。

原文標(biāo)題：華為“智能校驗”在手，網(wǎng)絡(luò)變更不用愁!

文章出處：【微信公眾號：華為數(shù)據(jù)通信】歡迎添加關(guān)注!文章轉(zhuǎn)載請注明出處。

審核編輯：湯梓紅