Сетевой инженер — специалист, отвечающий за стабильную и безопасную работу сетевой инфраструктуры компании. Также он занимается настройкой и обслуживанием сетевых устройств.
При этом крупные компании, обладающие собственным дата-центром и сложной вычислительной инфраструктурой, всё чаще при проектировании сетей передачи данных отдают предпочтение архитектуре сетевых фабрик. Этот термин подразумевает создание полносвязной двухуровневой (Leaf-Spine) сети, где «стволы» (spine) представляют собой высокопроизводительные устройства, отвечающие за объединение коммутаторов нижнего уровня (leaf), а «листья» — это коммутаторы, которые обеспечивают подключение серверов и внешних сетей. Сетевые фабрики, по сравнению с традиционной трехзвенной иерархической архитектурой (доступ, агрегация, ядро), демонстрируют более высокие масштабируемость, надежность и производительность. Среди протоколов, работающих поверх физической архитектуры сетевой фабрики, наиболее широко применяемым является семейство EVPN-VXLAN.
Перспективы автоматизации для создания и настроек небольшой сетевой фабрики
Источник: «Инфосистемы Джет»
В таблице, подготовленной компанией «Инфосистемы Джет», приведена примерная оценка трудозатрат, необходимых для развертывания небольшой по размеру сетевой фабрики, от проектирования до финального тестирования и оформления документации. По ней хорошо видно, что существенная доля в общем объеме этих работ может быть автоматизирована.
В этом материале рассматриваются пять наиболее востребованных на сегодняшний день сценариев автоматизации при создании и настройке сетевой фабрики EVPN-VXLAN, осуществляемых с помощью технологий искусственного интеллекта.
Первый сценарий: создание базовой конфигурации EVPN-VXLAN
Инструментарий на основе ИИ может построить «с нуля» полную первоначальную конфигурацию сетевой фабрики (так называемую green field) с учетом заданных параметров и лучших практик. Это позволяет существенно ускорить развертывание новой сетевой инфраструктуры и избежать ошибок при первоначальной настройке комплексных топологий, вызванных «человеческим фактором».
Пример работы ИИ-агента: вывод базовой конфигурации сетевой фабрики
Источник: «Инфосистемы Джет»
На иллюстрации показан пример построения конфигурации сетевой фабрики на базе открытой сетевой операционной системы SONiC (Software for Open Networking in the Cloud). «Ее особенностью является то, что конфигурация расщеплена на две составляющие. Первая — это так называемая Config DB в формате JSON. Вторая — конфигурация Config FRR. Сложность в том, что ряд конфигурационных объектов присутствуют и в одной, и в другой части, и управляя такой конфигурацией, например, вручную, требуется очень хорошо синхронизировать обе части между собой», — поясняет руководитель отдела развития решений для операторов связи «Инфосистемы Джет» Денис Гудцов.
Обе составляющие конфигурации генерируются быстро, и они синтаксически полностью верны, то есть данная конфигурация уже является работоспособной.
Руководитель отдела развития решений для операторов связи «Инфосистемы Джет» Денис Гудцов
Фото: «Инфосистемы Джет»
Второй сценарий: динамическое изменение конфигурации
Внесение изменений в действующую конфигурацию сетевой фабрики EVPN-VXLAN часто бывает сложным и трудоемким, особенно если корректировка нужна большому количеству конфигурационных объектов. В частности, в сетевой фабрике добавление нового VLAN влечет за собой целый ряд изменений в нескольких объектах по цепочке. Это опять же повышает риск человеческих ошибок. В целом требуется много времени на поддержание инфраструктуры в консистентном состоянии.
Инструмент на основе технологий ИИ помогает сетевым инженерам безопасно и эффективно обновлять конфигурации оборудования, анализируя текущую конфигурацию и предлагая точечные изменения. Например, при необходимости добавить перечень VLAN на двух портах Ethernet двух разных Leaf-коммутаторов SONiC ИИ проверяет синтаксис, конфликты, находит оптимальный способ генерации команд для внесения изменений и обновляет документацию, а также показывает, каким образом эти изменения были применены.
Пример работы ИИ-агента: динамическое изменение конфигурации
Источник: «Инфосистемы Джет»
Для качественной работы модели ИИ на входе требуется наличие трех компонентов: базовой конфигурации оборудования (green field или существующая конфигурация, в которую необходимо внести изменения), референсной конфигурации (так называемая кодовая база, пример того, как должна быть реализована целевая конфигурация) и исходных данных дизайна (информация о том, какие изменения нужно внести или как фабрика должна быть построена). «Далее пишется промпт — запрос, в котором описывается задача для ИИ. Особенность в том, что это не просто ИИ-агент, а некая инструментальная среда — специальный инструмент, в котором выполняется сам агент, а также есть интерфейс управления всей кодовой базой, параметрами, настройками и так далее. Инструментальная среда обеспечивает цикл исполнения этого промпта: на входе получает промпт, создает конфигурацию, применяет ее на оборудовании, получает результат исполнения. Если результат ошибочный, например, с выводом каких-либо ошибок чтения конфигурации, он снова загружается в промпт, и цикл повторяется. Когда результат на выходе успешен, он фиксируется и применяется в качестве конфигурации», – рассказывает Денис Гудцов.
При этом важно отметить, что платные модели показывают результат лучше бесплатных. Также на качественное создание конфигурации влияют количество токенов в запросе (чем больше, тем лучше) и поддержка контекста (требуется глубокий контекст).
Третий сценарий: миграция конфигураций между вендорами
Перенос конфигурации существующей сетевой фабрики одного вендора на оборудование другого вендора требует глубоких знаний синтаксиса обоих вендоров. Этот сценарий гораздо сложнее, чем первые два. В существующих реалиях в большинстве случаев он реализуется без средств автоматизации, поскольку поддержка мультивендорной среды управления сетевой конфигурации — задача довольно сложная. Однако необходимость в нем возникает достаточно часто, особенно в российских компаниях, занимающихся импортозамещением сетевого оборудования. Типовой задачей для них становится миграция фабрик иностранных производителей на фабрики отечественных, либо же на открытые whitebox-решения на базе SONiC.
ИИ помогает автоматизировать этот процесс, сократить время и усилия, необходимые для миграции, а также снизить риск ошибок, связанных с ручным преобразованием. В ИИ-агент загружается текущая конфигурация EVPN-VXLAN фабрики, как правило построенной на иностранном оборудовании, а также референсные модели целевых конфигураций для подкрепления. ИИ правильно определяет семантику этой конфигурации, выстраивает иерархическую структуру, формирует перечень объектов, которые требуется смигрировать, и выдает на выходе полностью функциональную эквивалентную конфигурацию (например, SONiC), состоящую из набора конфигурационных файлов.
При этом результат, получаемый с помощью ИИ, проверяется в несколько этапов. Агент формирует абстрактную модель конфигурации и поясняет основные сущности и их иерархию, а также то, каким образом она перенесена из одной конфигурации в другую. После чего из абстрактного описания формируются непосредственно конфигурационные файлы для оборудования.
«Достаточно сложный кейс ИИ отрабатывает эффективно и быстро. Важно отметить, что этот конкретный сценарий успешно проходит проверку по синтаксису и успешно загружается в оборудование. То есть вы просто берете, переносите, и это работает», – комментирует Денис Гудцов. Однако он отмечает и сложности миграций такого рода: в частности, невозможно использовать публичные модели для анализа частных конфигураций, особенно в критической информационной инфраструктуре (КИИ). Кроме того, не все отечественные решения публикуют достаточно информации для работы публичных моделей, поэтому для эффективного использования ИИ-инструментов в подобных сценариях необходимо строить собственную ИИ-инфраструктуру и заниматься её дообучением под свои частные сценарии.
Четвертый сценарий: оптимизация управления доступом
Управление списками контроля доступа (Access Control List, ACL) в масштабных сетях — постоянная головная боль сетевых инженеров, поскольку таких списков существует большое количество, и при таком объеме сложно разобраться, где между ними есть пересечения или дублирующие правила. Внедрение специализированного инструмента для автоматизации этой работы затратно по финансам и времени.
ИИ-агент может значительно упростить эту задачу, автоматически выявляя проблемы (перекрывающиеся и дублирующие правила, которые могут привести к неэффективному или неожиданному поведению оборудования) и генерируя новые правила, исходя из текстового описания.
«Для этого фактически нужно просто правильным образом подготовить исходные данные и написать промпт. Загрузив в ИИ-агент эту информацию, можно получить достаточно быстрый результат. Однако и в данном случае есть два нюанса, которые стоит отметить. Первый — то, что работа публичных моделей с такого рода информацией не всегда возможна, поскольку есть критическая инфраструктура, закрытые корпоративные данные, которые нельзя выгружать в публичное пространство. Для этого существуют on-premise-системы. И второй нюанс — это верификация этих данных: результат работы, который сгенерирован ИИ, в отличие от конфигурации, тяжело проверять. Эта проблема тоже решаема с помощью определенных инструментов», – замечает Денис Гудцов.
Пятый сценарий: анализ сетевых логов и событий
Большая сетевая фабрика состоит из десятков сетевых устройств, генерирующих огромное количество событий и логов. Вручную анализировать их, находить корреляции между событиями, выявлять инциденты и их причины бывает затруднительно, даже если в компании организовано централизованное хранение лог-файлов.
ИИ становится мощным инструментом для автоматического анализа и выявления инцидентов. Он способен обработать тысячи строк логов от сетевого оборудования, обнаруживать аномалии (например, падение BGP-сессий, повышенную задержку, необычный трафик) и готовить отчеты о происшествиях за выбранный период с указанием времени и деталей. При этом специалист может взаимодействовать с ИИ-агентом на естественном языке: задавать такие запросы, как, например, «Проанализируй файлы за (такой-то) период. Покажи, какие события за этот период возникали, где была проблема».
Однако формируемые ИИ выводы требуют обязательной верификации экспертом. Так же, как и в предыдущем сценарии, важно отметить, что передача чувствительной внутренней информации большого объема в публичные модели здесь затруднительна.
ИИ — не панацея, а только инструмент
С одной стороны, искусственный интеллект уже сегодня трансформирует подходы к проектированию и управлению сетями, открывает новые возможности для повышения эффективности, надежности и безопасности сетевой инфраструктуры, упрощает и ускоряет выполнение рутинных задач сетевого инженера, снижает вероятность ошибки. С его помощью возможны раннее выявление аномалий и потенциальных проблем сети, оптимизация ресурсов и повышение общей производительности. Осваивать технологии ИИ так же важно, как и любой другой мощный профессиональный инструмент.
С другой стороны, ИИ на данном этапе своего развития является не заменой инженера, а только способным помощником. Он пока не способен решать сложные вопросы архитектурного проектирования и декомпозиции задач. На стороне специалиста остается верификация и при необходимости — исправление создаваемых ИИ конфигураций.
«ИИ — это полезный инструмент, который дополняет человеческий опыт и знания своими возможностями. Но все решения с точки зрения архитектуры, дизайна, планирования, всё, что невозможно автоматизировать, остается за человеком», — резюмирует Денис Гудцов.
