1在網絡變更過程中，

我們遇到了什么挑戰?

隨著千行百業數字化轉型的逐步深入，各種各樣的數字化新業務，新需求如雨后春筍般涌現，這也迫切要求網絡策略能夠快速變更和調整以適應業務需求的快速變化。然而，數字化時代，企業網絡的規模復雜度遠超想象，無線網絡用戶指數級增長，有線網絡端口數以萬計，“單點配置，影響全局”，網絡變更對于業務的影響的評估也越來越困難，使之成為近年來網絡故障/事故的主要根因之一。

根據國內某知名企業IT部門提供的數據，平均每月有30次左右的網絡變更操作，由于網絡變更失誤導致的故障占比就高達43%，變更失敗引發的業務中斷，影響就更大。此外，金融行業客戶反映他們平時網絡運維都是圍繞著變更場景做的，普遍認為70%以上的網絡故障都是由變更引入。

同時，由于網絡變更與業務成功直接相關，成功的變更除了要開通新的業務還要保證原有業務不發生故障，不引入新的問題。因此網絡運維人員對網絡的變更操作也變得越來越謹慎，經常需要在變更前進行方案設計評審，變更的影響評估，并且在變更實施后進行撥測，流量監控，手工檢查表項，甚至人工現場連續保障2~3天等方式來檢查變更后的網絡是否符合預期。

確保網絡能夠快速，零差錯變更，提升配置校驗效率，成為網絡變更過程中的關鍵挑戰。

2為什么傳統的校驗手段無法解決?

根據Dimensional Research對315名網絡運維專家的調查，網絡變更主要依賴人工檢查和對報文進行鏡像和抓包分析這兩類傳統運維手段來進行配置校驗和問題定位。這兩種手段的缺陷在于：

01檢驗不準確，潛在問題難預防

傳統配置校驗手段只能依賴于真實的探測報文或者網絡當前的活躍流量，對于潛在的路由和安全問題，只能后知后覺，在故障發生之后才出現異常，難以主動預防。而且使用ping，traceroute/tracert等命令發送探針報文，由于網絡中存在的訪問控制或安全策略，有可能阻斷特定協議特定端口號的業務，無法通過探針報文檢查出問題，導致校驗結果不可靠，不準確，潛在問題難預防。

02校驗不全面，難以全網全量覆蓋

傳統人工校驗本質上是采樣分析，只要采樣就有局限性和隨機性，不可能做到全網全量覆蓋。比如通過人工檢查只能進行簡單的單點連通性驗證，面對網絡中可能承載的成千上萬成笛卡爾積的應用互訪關系，無法有效窮舉;而對校驗對象進行報文鏡像和抓包時，也不可能對所有業務報文做出1:1的鏡像，校驗過程很難覆蓋完整的網絡互訪意圖。

03測試和故障定位時間長

傳統人工校驗缺乏可視化的路徑信息和不可達根因，定位耗時。在不可達時逐個設備手工檢查表項和配置，只在小型網絡中可行，對于有上百臺設備，上百萬條表項的網絡無異于大海撈針，往往會出現“變更1分鐘，校驗4小時”的情況。

3什么是華為的智能校驗技術?

華為CloudCampus(全無線智能云園區網絡)與超過2000家大中型企業的網絡創新實踐，推出園區網絡自動駕駛解決方案，旨在通過數字孿生，AI等技術構建智能校驗，幫助企業園區網絡突破人工校驗的效率瓶頸。

智能校驗讓運維人員在iMaster NCE-Campus進行網絡校驗意圖定義，如單點可達性驗證，終端接入仿真驗證，全子網互訪驗證等確定校驗的規則和策略;然后，對網絡設備的真實配置，轉發表項以及網絡拓撲等全面全量的信息進行數據采集，構建出忠實反映真實網絡結構和轉發行為的虛擬數學模型，為物理網絡構建數字孿生映射。并使用數據面校驗(DPV：data plane verification)技術，對網絡進行嚴格的意圖驗證和閉環，高效校驗網絡問題。

4智能校驗技術能做什么，

能帶來什么收益?

分鐘級構建網絡快照，配置變更快速法發現

運維人員可以通過iMaster NCE-Campus以只讀的形式采集網絡中設備的數據，并進行數據面建模，最終形成快照，5分鐘即可完成500網元，超過15萬路由表項，5萬VLAN的數學建模，構建網絡快照?？煺湛梢岳斫鉃槭悄硞€時間點下網絡的一個“鏡像”，是智能校驗方案的基礎。運維人員可以對不同時間點的快照進行對比，通過對比快速發現網絡在兩個時間點下的設備差異、配置文件差異、接口鏈路狀態差異和IP路由差異，為網絡問題的快速定位提供有效的輔助信息。

100%全量互訪關系覆蓋，子網互通性一目了然

基于快照，可以通過矩陣形式呈現子網互通性驗證結果，支持TCP/UDP/ICMP等多種協議的報文驗證，展示所有網絡的可達性信息和多路徑連通信息，全網業務網段間的連通性情況一目了然。支持端到端的路徑分析能力。校驗返回結果直觀可視化，包含轉發路徑，精確到協議號，端口號的可達/不可達報文空間，故障定位效率顯著提升。

終端接入精準驗證，用戶權限安全可信

智能校驗提供了終端接入驗證的能力，網絡管理員可以在快照中模擬一個接入終端，實時精準模擬校驗終端接入權限是否精準，使網絡安全可信。

5智能校驗要解決哪些技術難題?

網絡設備成百上千，拓撲/轉發模型復雜，如何做到全面準確的數學建模?

面對成百上千的網絡設備，復雜的組網拓撲，以及二層三層，overlay，underlay等多層網絡轉發模型，如何做到全面全量的數學建模?

網絡連接建模，物理拓撲100%數學建模

智能校驗以數字孿生技術將復雜的物理網絡抽象為數學的點線面的屬性，依據從設備上采集到的信息，抽象出一個和現實網絡在報文轉發行為上等價等效的虛擬的數字孿生的網絡模型，比如將網絡設備，接口，二三層網絡，Overlay和Underlay轉發路徑等全量信息虛擬化數字化的等價類，用數學的方法完成物理網絡100%數字孿生映射。

報文頭空間建模，轉發行為100%數學建模

網絡中報文的轉發行為主要由報文頭部信息所決定，譬如IP轉發行為由目的IP字段所決定，安全過濾，訪問控制的策略則與五元組強相關，真實的設備只能處理具體的報文，單看IPv4協議的目的IP就有種組合，如果再考慮五元組甚至更多字段的話，組合數量極其龐大。因此針對具體報文的采樣檢查很難對轉發行為做出嚴謹和全量的覆蓋。

智能校驗借鑒了網絡設備的報文匹配技術和學術界網絡驗證研究領域的思想，將一個具體的報文頭當做一個N維空間中的一個點，這樣就可以將原始的IP前綴轉發表等價轉換為一個報文等價類的轉發表，構建一個全量的報文頭空間：每個等價類用一個整數標識，每個設備的接口上記錄能夠從此轉發出去的等價類集合。這樣我們可以通過高效的數學算法和數據結構使得每個網絡功能節點一次性處理一個集合的報文，比如說目的IP都屬于某個網段的報文，突破了傳統采樣檢查的限制，能夠更高效更廣泛地驗證不同組合形式的報文頭部，做到全網全量級別的校驗。

轉發路徑復雜多變，如何做到嚴謹快速的可達性驗證?

驗證報文的轉發行為，就需要忠實于現實網絡設備對報文的處理流程和轉發機制。

智能校驗緊扣網元設備對報文的處理行為，并通過形式化方法中的符號執行技術，符號化的模擬報文轉發行為。如下圖網絡中，左邊是依據所有轉發表將全量報文空間劃分為{1,2,3,4,5,6}，六個報文等價類，每個等價類對應一個報文空間。右側所示的則是一顆以A.1接口為根的可達樹，能夠窮舉所有可能的報文轉發路徑和最終目的地，并使用高效圖搜索算法和諸多更復雜的優化手段，能夠在極短時間內完成全網全量的環路和黑洞檢測以及大批量的可達性驗證。

原文標題：華為“智能校驗”在手，網絡變更不用愁!

文章出處：【微信公眾號：華為數據通信】歡迎添加關注!文章轉載請注明出處。

審核編輯：湯梓紅