基于意图的验证引领网络自动化的新浪潮

基于意图的网络（IBN）是近年来最热的IT趋势之一，IBN由软件定义网络（SDN）发展而来，其目标是实现网络运营自动化，并使网络能够更好地与业务目标或意图保持一致。

Gartner于2017年首次创造了IBN这一术语。根据定义，IBN由网络软件组成，有助于计划、设计、实现和操作网络，从而提高网络的可用性和灵活性。在实践中，它归结为两个关键功能：1）配置：将高级策略或意图转换为网络配置的能力；（2）验证：验证实际行为与高级意图匹配的能力。

提供IBN解决方案的最大挑战是自动化智能 - 软件能够推断网络行为，并在高级意图和实际配置之间来回映射。它实际上意味着复制和自动化经验丰富的网络运营商从多年的运营网络以及诊断和故障排除问题中积累的知识和经验。此外，在现有网络和工作流中采用IBN存在组织上的障碍。企业的业务依赖于网络，如何信任软件来运行他们的网络？

幸运的是，IBN有一点实用且易于部署，还可以提供自动化的优势：网络验证。

验证网络行为是IT流程自动化的关键

那么，什么是网络验证？网络验证是验证网络的端到端行为（由其配置和状态决定）是否符合更高级别的意图的能力。更具体地说，网络验证系统可以对网络中所有可能的端到端路径进行数学分析，找出所有可能进入网络的数据包，然后可以将这种端到端行为分析与高级意图进行比较。示例如下：

• 从特定的接入层路由器到另一个站点，是否至少有3条通过MPLS核心的冗余路径？
• 整个网络路径上是否存在单点故障？
• 对于所有非管理IP协议，我们是否确保了两个租户或应用程序之间的逻辑流量隔离？
• 来自外部互联网的流量是否仅限于特定目的地和服务？
• 在我们的Amazon云上运行的特定服务是否只能从不同的内部站点、系统和用户获得？如果是，是哪些？

IBN验证系统能够理解这些高级的、通用的需求，并在当前网络状态下对其进行验证。IBN有效地将意图与各个设备配置联系起来，以推理和自动化验证过程。从IT角度来看，这可以主动识别网络中可能最终导致中断的任何潜在错误，同时避免繁琐的手动搜索以隔离问题或执行根源分析。例如，如果提出了一组配置更改或部署了新服务，IBN可以在部署到实时网络之前帮助验证对现有策略的影响，从而避免可能的回滚并帮助加速更改窗口。

验证是一种与传统测试环境截然不同的方法。它是基于对网络设计、配置和当前网络状态的分析进行推理的。它不会查看实时流量或测试场景来确定网络活动。因此，验证可以做一些传统测试很少做的事情：通过确认某些事情不会发生来“证明是否定的”，例如两个网络无法通过任何路径访问。IBN验证还可以识别网络中任何位置的配置错误，如MTU不匹配、转发环路或IP地址重复等，这些错误可能不会出现在任何特定测试中，也不需要逐个检查设备。

网络验证如何在实践中发挥作用？

IBN验证系统创建了一个网络模型，该模型可以推断所有可能的行为，并使用它来验证策略和服务描述是否符合预期。要使IBN验证系统在现有网络上工作，需要满足的条件有：1）每个设备必须具有只读访问权才能提取配置文件和状态信息；2）IBN软件必须准确地为所有可能的数据包流建模每个网络设备（交换机、路由器、防火墙和负载平衡器）的行为；3）IBN模型必须适应所有协议和服务，如EVPN、BGP、MPLS、虚拟网络等。

总的来说，IBN，特别是验证，正在将网络IT模型从被动应对问题的方法转变为主动积极的方法，其中对当前网络设计的自动分析可以实际上消除人为错误和配置错误，从而在一开始就避免问题。验证所支持的自动化有助于复制和增强关键IT工程师在诊断故障、记录网络需求和验证修复方面的专业知识。

对IBN采取审慎态度

虽然企业距离让软件完全接管它们的网络还有一段距离，但今天大多数IBN部署都因专注于网络验证而取得了成功。它不仅安全（要求对设备进行只读访问），还可以轻松集成到现有网络和工作流中，无需硬件更新。企业能够立即获得切实的利益，因为验证可以加速变更管理流程，提高可靠性并提高灵活性。

在更高层次上，验证是部署IBN的第一步。验证使企业能够在其网络和运营网络的过程中建立信任，使其能够从手动人工驱动、软件辅助，发展到最终的软件驱动的网络运营。

原文链接：https://www.networkcomputing.com/networking/intent-based-verification-leading-new-wave-network-automation