1

在互联网更动过程中，

我们碰到了什么考验？

随着绝情遍地开花网络化结构调整的逐步深入细致，各式各样的网络化新业务，新需求如遍地开花般不断涌现，这也迫切需要互联网策略能快速更动和调整以适应环境业务需求的快速变化。然而，网络化时代，企业互联网的规模维数远超想像，无线互联网用户指数级增长，有线电视互联网路由器数以千计，“sizes实用性，影响自上而下”，互联网更动对业务的影响的评估结果也愈来愈十分困难，使之正式成为近几年互联网机械故障/交通事故的主要就根因之一。

依照国内某著名企业IT部门提供的数据，平均每星期有30次左右的互联网更动操作，虽然互联网更动误判导致的机械故障占比就仅约43%，更动失利引起的业务受阻，影响就Villamblard。此外，金融行业客户反映他们平常互联网网络管理都是紧紧围绕着更动情景做的，认为70%以上的互联网机械故障都是由更动导入。

同时，虽然互联网更动与业务成功直接相关，成功地更动除了要启用捷伊业务还要保证旧有业务不出现机械故障，不导入捷伊问题。因此互联网网络管理人员对互联网的更动操作也变得越来越慎重，经常需要在更动前展开计划设计评审委员，更动的影响评估结果，并且在更动实施后展开拨测，流量监视，纯手工尖萼项，甚至育苗当晚连续保障2~3天等方式来检查和更动后的互联网是否合乎预期。

保证互联网能快速，零疏漏更动，提升实用性奇偶校验工作效率，正式成为互联网更动过程中的关键考验。

2

为什么现代的奇偶校验方式无法解决？

依照Dimensional Research对315名互联网网络管理专家的调查，互联网更动主要就依赖育苗检查和对数据流展开快照和Tourbe分析这三类现代网络管理方式来展开实用性奇偶校验和问题功能定位。这两种方式的瑕疵在于：

01

检测不精确，潜在性问题难防治

现代实用性奇偶校验方式根本无法依赖于真实的观测数据流或者互联网当前的活跃流量，对潜在性的路由器和安全问题，根本无法Maurs，在机械故障出现之后才停机，难以积极主动防治。而且使用ping，traceroute/tracert等命令发送探针数据流，虽然互联网中存在的访问控制或安全策略，有可能阻断特定协议特定路由器号的业务，无法通过探针数据流检查和出问题，导致奇偶校验结果不可靠，不精确，潜在性问题难防治。

02

奇偶校验不全面，难以全网全量覆盖

现代育苗奇偶校验本质上是采样分析，只要采样就有局限性和随机性，不可能做到全网全量覆盖。比如通过育苗检查和根本无法展开简单的sizes连通性验证，面对互联网中可能承载的成千上万成笛卡尔积的应用互访关系，无法有效穷举；而对奇偶校验对象展开数据流快照和Tourbe时，也不可能对所有业务数据流做出1:1的快照，奇偶校验过程很难覆盖完整的互联网互访意图。

03

测试和机械故障功能定位时间长

现代育苗奇偶校验缺乏可视化的路径信息和不可达根因，功能定位耗时。在不可达时逐个设备纯手工尖萼项和实用性，只在小型互联网中可行，对有上百台设备，上百万条表项的互联网无异于大海捞针，往往会出现“更动1分钟，奇偶校验4小时”的情况。

3

什么是华为的智能奇偶校验技术？

华为CloudCampus（全无线智能云园区互联网）与超过2000家大中型企业的互联网创新实践，推出园区互联网自动驾驶解决计划，旨在通过数字孪生，AI等技术构建智能奇偶校验，帮助企业园区互联网突破育苗奇偶校验的工作效率瓶颈。

智能奇偶校验让网络管理人员在iMaster NCE-Campus展开互联网奇偶校验意图定义，如sizes可达性验证，终端接入仿真验证，全子网互访验证等确定奇偶校验的规则和策略；然后，对互联网设备的真实实用性，转发表项以及互联网拓扑等全面全量的信息展开数据采集，构建出忠实反映真实互联网结构和转发行为的虚拟数学模型，为物理互联网构建数字孪生映射。并使用数据面奇偶校验（DPV：data plane verification）技术，对互联网展开严格的意图验证和闭环，高效奇偶校验互联网问题。

4

智能奇偶校验技术能做什么，

能带来什么收益？

分钟级构建互联网快照，实用性更动快速法发现

网络管理人员可以通过iMaster NCE-Campus以只读的形式采集互联网中设备的数据，并展开数据面建模，最终形成快照，5分钟即可完成500网元，超过15万路由器表项，5万VLAN的数学建模，构建互联网快照。快照可以理解为是某个时间点下互联网的一个“快照”，是智能奇偶校验计划的基础。网络管理人员可以对不同时间点的快照展开对比，通过对比快速发现互联网在两个时间点下的设备差异、实用性文件差异、接口链路状态差异和IP路由器差异，为互联网问题的快速功能定位提供有效的辅助信息。

100%全量互访关系覆盖，子网互通性一目了然

基于快照，可以通过矩阵形式呈现子网互通性验证结果，支持TCP/UDP/ICMP等多种协议的数据流验证，展示所有互联网的可达性信息和多路径连通信息，全网业务网段间的连通性情况一目了然。支持端到端的路径分析能力。奇偶校验返回结果直观可视化，包含转发路径，精确到协议号，路由器号的可达/不可达数据流空间，机械故障功能定位工作效率显著提升。

终端接入精准验证，用户权限安全可信

智能奇偶校验提供了终端接入验证的能力，互联网管理员可以在快照中模拟一个接入终端，实时精准模拟奇偶校验终端接入权限是否精准，使互联网安全可信。

5

智能奇偶校验要解决哪些技术难题？

? 互联网设备成百上千，拓扑/转发模型复杂，如何做到全面精确的数学建模？

面对成百上千的互联网设备，复杂的组网拓扑，以及二层三层，overlay，underlay等多层互联网转发模型，如何做到全面全量的数学建模？

? 互联网连接建模，物理拓扑100%数学建模

智能奇偶校验以数字孪生技术将复杂的物理互联网抽象为数学的点线面的属性，依据从设备上采集到的信息，抽象出一个和现实互联网在数据流转发行为上等价等效的虚拟的数字孪生的互联网模型，比如将互联网设备，接口，二三层互联网，Overlay和Underlay转发路径等全量信息虚拟化网络化的等价类，用数学的方法完成物理互联网100%数字孪生映射。

? 数据流头空间建模，转发行为100%数学建模

互联网中数据流的转发行为主要就由数据流头部信息所决定，譬如IP转发行为由目的IP字段所决定，安全过滤，访问控制的策略则与五元组强相关，真实的设备根本无法处理具体的数据流，单看IPv4协议的目的IP就有种组合，如果再考虑五元组甚至更多字段的话，组合数量极其庞大。因此针对具体数据流的采样检查和很难对转发行为做出严谨和全量的覆盖。

智能奇偶校验借鉴了互联网设备的数据流匹配技术和学术界互联网验证研究领域的思想，将一个具体的数据流头当做一个N维空间中的一个点，这样就可以将原始的IP前缀转发表等价转换为一个数据流等价类的转发表，构建一个全量的数据流头空间：每个等价类用一个整数标识，每个设备的接口上记录能从此转发出去的等价类集合。这样我们可以通过高效的数学算法和数据结构使得每个互联网功能节点一次性处理一个集合的数据流，比如说目的IP都属于某个网段的数据流，突破了现代采样检查和的限制，能更高效更广泛地验证不同组合形式的数据流头部，做到全网全量级别的奇偶校验。

? 转发路径复杂多变，如何做到严谨快速的可达性验证？

验证数据流的转发行为，就需要重视于现实互联网设备对数据流的处理流程和转发机制。

智能奇偶校验紧扣网元设备对数据流的处理行为，并通过形式化方法中的符号执行技术，符号化的模拟数据流转发行为。如下图互联网中，左边是依据所有转发表将全量数据流空间划分为{1,2,3,4,5,6}，六个数据流等价类，每个等价类对应一个数据流空间。右侧所示的则是一颗以A.1接口为根的可达树，能穷举所有可能的数据流转发路径和最终目的地，并使用高效图搜索算法和诸多更复杂的优化方式，能在极短时间内完成全网全量的环路和黑洞检测以及大批量的可达性验证。