开放网络的先行者与推动者—星融元
技术支持(Support)  TEL:(+86)4000989811

标签: SDN

上蒸下煮,如何解暑可视网络运维的“三伏天”?


关键词


关注星融元

曾经,在各大行业的数据中心
各类后端安全工具做数据监测工作时
往往会通过零散的流量镜像或分光方式
去各大区域采集所需的流量

但通常辛辛苦苦跑一趟采集回来的流量
不够全面,后端安全工具也“难为无米之炊”
“原生态”,无任何标识也未经过预处理
害得网络运维人员长期背黑锅
大家提起流量采集是“爱恨交加”

不仅如此
当后端安全工具流量需求发生变化时
要从头进行网络规划和策略分解、配置
一发不可牵,牵之动全身
要是正好赶上HW行动类似的安防需求
根本无法及时应对

随着大数据时代的到来
业务网络相应升级扩容
必然地
监测设备的数量不断增多
监测链路规模不断扩大

如果部署方式还是一成不变的话
自然要求配套更多的流量镜像设备
老板们投入的
各类硬件设备的成本也水涨船高
越来越不堪重负

无所不能神通广大的厂商们
总是能敏锐地嗅出需求的味道
搞出来了一套【网络可视化】解决方案
成功pk掉
职场“摆烂”的传统零散分光或镜像模式
并顺利C位出道

这张业务能力不错的可视网络
集流量定向采集、源端口标记
租户信息标记、采集报文预处理
状态监控和过载保护…….
等功能于一身
真香警告

千行百业,前仆后继,纷纷入手
然而随着企业业务发展壮大
可视网络规模持续攀升
从最初的两层组网,到后来的三层
还不够,再来一套汇聚层双核心部署

对于这样日渐膨胀的可视网络
讲真,得需要好好“管教”
传统的控制器采用的【集中管理】方式
在过去很长时间算是一个流行的招式

它一定程度上也确实发挥了
设备自动发现、拓扑发现等方面的功力
但当运维人员下发配置策略的时候
还是要一台一台的登录、实现
其本质仍然是每台设备的单独策略设置和管理
简直累死个人

低效网络运维如何破局
星融元推出了集群管理版本的控制器
专为行业客户的可视网络量身打造
同属早先发布的AFC
(Asteria Fabric Controller)系列
它的英文名字叫【AFC-NPB】

在AFC-NPB的管理下
多台设备构建而成的可视网络矩阵
摇身一变成为一台逻辑设备
轻松搞定全网策略统一下发和灵活的流量调度
大大提升运维管理效率

说一千道一万
AFC-NPB
是时候亮亮绝活了

01/ 自动的网络拓扑呈现

02/ 智能的路径计算与优化

03/ 实时的大屏数据呈现

04/ 多维度的网络状态监控

05/ 灵活的组网部署与扩展

AFC-NPB的能力
远不止如此
还有一体化虚拟流量采集管理
多样化的辅助管理……
等更多方面的功能
让【可视网络】运维管理
真正做到“又快又省”

我们总说

这是一个科技改变世界的时代
当网络厂商们的努力
能够带来的网络基础设施
成本降低,效能增高

运维和管理的便捷……

这才是每个人能够享受到的科技荣光

相关文章

数据中心的“天眼”,告诉你什么叫网络监控世界的内卷


关键词


关注星融元

前段时间,有客户咨询我们,他们在处理日常业务的过程中,偶尔感知到数据传输丢失、突发高时延等故障问题。客户的数据中心内部有上千台的交换机,依靠人工排查问题,不仅定位难,而且耗费时间也长,严重影响业务连续性。所以怎么才可以快速定位到具体故障设备,甚至具体故障端口,然后进行故障修复呢?

在超大规模的数据中心里,故障的精准定位是一个普遍存在的网络运维难题。

落后的传统运维模式

大型数据中心,既有由交换机、路由器等物理硬件组成的物理Underlay网络,也有在Underlay网络上为业务或用户构建逻辑隔离的虚拟Overlay网络空间,其网络架构复杂,技术堆栈层次多,对故障的识别、海量策略的下发等网络运维工作带来极大困难。特别是一些对网络时延要求较高的业务, 如高性能计算、人工智能等,业务交互关系更复杂,数据交换更频繁,网络架构更加复杂,对故障的响应时间和定位速度要求极高。

但是当前的网络运维还是以人工为主,当故障一旦出现后,通常要一台台地识别,不仅工作量巨大,甚至会对整个网络产生影响,阻碍业务的正常开展。同时,传统网络基于CLI、SNMP机制的被动运维模式:通过拉模式来获取设备的监控数据,故障定位缓慢;采集精度粗略,只能做到分钟级别的采集,监控到的网络节点数据并不准确;缺乏对设备队列、端口状态信息的查询,故障定位不详细。这种被动响应以及故障定位迟缓、粗略的网络监控方式,管理效率越来越低,已无法跟上时代的步伐,无法满足数据中心网络运维要求。

因此,面对大规模、高性能的网络监控需求,用户需要一种全新的工具,让网络运维更加智能化。

针对传统网络运维方面的种种挑战,星融元在充分了解客户痛点的基础上,将实现客户的网络运维的智能可视化放在重要位置:设计和研发了一款智能网络运维产品——AFF(Asteria Fabric Foresight)云网智能遥测系统,具备网络状态实时监控,网络质量全面感知、网络故障快速定位等功能,帮助用户在星融元为其搭建的网络里,从容解决来自网络运维方面的难题。

AFF云网智能遥测系统

AFF(Asteria Fabric Foresight)云网智能遥测系统,遵循INT(Inband Network Telemetry,带内网络遥测)技术,能够在不影响设备的性能和功能的情况下,实现更高精度的网络数据监控;能够快速、精准地掌握全网设备的实时运行状态,帮助用户提升响应速度和运维效率,告别过往问题发生时的束手无策。

INT作为一种混合测量技术,是一种借助数据面业务进行网络状况的收集、携带、整理、上报的技术。两个关键技术点:第一点是Inband(带内),意味着借助数据面的业务流量,而不是像很多协议那样专门使用协议报文来完成协议想要达到的目的,第二点就是Telemetry(遥测),具备测量网络的数据并远程上报的特点。

1、精细运维

即便是在规模不断增大的数据中心网络,也可以做到纳秒级别的监控粒度,能够完整、准确地反映网络状况,据此预估可能发生的故障。并通过WEB页面清晰完整地展现全网设备的连接拓扑,帮助用户对整体网络质量有全面直观的了解,为用户的网络优化提供有力的数据依据。

2、快速定位

在复杂的网络中,能够帮助用户快速地定位故障,达到纳秒级的故障定位速度,并通过远程预警方式快速告知客户详细网络故障信息;同时当用户需要回溯故障详情时,可以通过系统日志精准定位故障设备,从而大幅减轻了运维工作人员的压力。

3、释放资源

AFF基于INT遥测技术,采用订阅上报机制,通过设备的交换芯片转发INT流量,不占用设备CPU开销;此外,AFF可以直接在生产业务网络环境中进行部署,使用现有的网络链路直接传输INT流量,无需对生产网络环境进行复杂的改动,节省部署成本。

AFF与AFC的智能联动

AFF是星融元为了让客户的网络管控和智能运维更加一体化而研发的一项高级扩展功能,该功能基于星融元自研的SDN云网控制器AFC(Asteria Fabric Controller)。AFC是星融元自研的一款面向各行业云数据中心等应用场景,提供网络设备的智能管控及配置自动下发等功能的SDN云网控制器。

用于AFF的应用场景拓扑图

通过为AFF设计全面的REST API接口,AFF可以与AFC无缝对接,智能联动,为客户提供一个全网健康状态可见的网络分析平台。即便在一个数据中心有成千上万台的星融元交换机,如果想要进行一个时延阈值的设置,只需通过AFC,一键下发配置策略即可,可以极大减轻运维人员的工作难度,帮助客户在业务部署中,减少设备配置的复杂度,提高业务的上线速度。并且面对AFF上报的故障问题,通过AFC可以对业务流量的转发路径进行快速调整,避开故障设备或故障端口,保障业务流量的正常转发。

AFF的出现解决了云网环境中由于网络设备数量过于庞大,从而给运维人员带来的网络故障定位难、运维时间成本高、工作效率低等难题;实现了全网设备健康状态的可视化,提升了网络监控数据的实时性和精确度,保障业务稳定、可靠运行。AFF也让星融元的云网络解决方案功能更加完整,服务更加全面,从网络的搭建,再到网络的管控和运维,一站式全网健康管理,网络质量尽在掌控之中。

相关文章

技术揭秘—网络高可靠是怎样炼成的


关键词


关注星融元

SFC2.0智能安全资源池解决方案产生背景:

园区网络的公网出口、内网各区域出口通常会以“串糖葫芦”的方式串接部署各种安全防护设备,防护网络中的各种攻击。一方面,由于串接部署在很大程度上限制了网络出口的性能、增加了单点故障率,另一方面,随着等保2.0正式实施, 对“网络安全”要求提升到新的高度。面对这些新的挑战,星融SFC2.0 智能安全资源池解决方案应运而生,实现了出口安全资源进行了池化和服务化,具备流量按需调度、安全设备弹性扩展和网络高可靠等优点,可根据用户需求进行自动化的服务链编排,对业务流量进行灵活的调度和全面的安全防护。( 详细了解该方案,请点我)

SFC2.0智能安全资源池解决方案部署图

揭秘SFC2.0高可靠技术

SFC控制器可检查安全节点的状态,发现故障将智能地进行异常下线、主备切换和逻辑bypass等,避免网络中断,保证了安全服务能力的持续可用。另外,通过SDN交换机双机部署、安全设备集群部署、安全设备与交换机full-mesh连接等多种机制保障了整个解决方案的可靠性。

1、业务级高可靠-健康检查

健康检查是高可靠的基础,通过健康检查实时发现异常并采取相应措施,才能及时完成业务自动恢复。

针对被检查安全节点的部署模式,健康检查的分为两类:

  1. 安全节点透明模式部署:物理接口的Link状态、LACP协商状态、LLDP协商状态等;
  2. 安全节点在线转发模式部署:ARP、ICMP;(透明模式健康检查同样适用在线转发模式)

透明模式部署的健康检查手段同样适用于在线转发模式部署安全设备。

健康检查模块通过周期性向安全设备发送探测报文检测设备状态。如下图所示,以在线转发模式部署的ARP健康检查方式为例,SDN交换机周期性发送ARP探测报文,能够收到安全设备的应答,则表示该设备运作正常;如果指定次数没有收到安全设备的应答,则表示安全设备运作异常,如下图中WAF设备。

2、设备级高可靠

(1)主备高可靠:

组网结构

在主备模型中,两台SDN交换机主备部署,通过跨主机聚合与出口路由、核心交换互联,承接所有流量。主备模式是通过分配安全节点的权重值实现,默认将所有流量发送到主安全节点,备安全节点standby。激活状态的安全节点可以连接在二虚一系统的任意位置。安全节点支持full-mesh连接,如接口数量紧张,可以只连单台SDN交换机。

异常处理

主备切换:通过ICMP或者链路Link状态等健康检查手段判断安全节点是否正常运作,当主安全节点出现异常时,触发主、备切换,原本引导给主安全节点的流量将自动切换给备安全节点,并生成警告通知。

逻辑Bypass:当同一资源组内所有安全节点均出现异常,逻辑上将Bypass该资源组。有些情况Bypass某资源组后无法保持业务连续性,比如BypassNAT或其他被定义为“必须”资源组的情况,只能保持当前转发路径,并生成警告通知。

(2)双活/集群高可靠:

组网结构

双活/集群组网结构是最为常见的一种部署模式,两台SDN交换机和多台安全设备共同承担业务,同时具有超高的可靠性保障。在这种部署模式下两台SDN交换机双活部署,通过跨主机聚合技术MC-LAG承接所有流量,上行方向与出口路由互联,下行方向与核心交换互联。SDN交换机将流量按照服务链定义,依次负载至安全资源组,安全节点可以部署在两台SDN交换机的任意位置。

集群部署时的负载均衡方式可选,一致性HASH负载均衡方式(对称hash保证非NAT模式会话完整),支持权重分配;策略负载均衡方式(通过策略划分两个路径处理的流量),可以解决NAT前后会话完整性问题。路径中存在NAT节点的情况下,如果链路中的同一安全节点集群无法实现会话通过,那么无法通过HASH负载均衡保证同源同宿,需要通过规则将NAT前后的流量引导给同一个安全节点。

异常处理

SDN交换机将流量依次负载至安全资源组,通过icmp或链路状态检查安全节点的健康状态。

当资源组中一台出现异常时,通过一致性hash仅将异常节点的流量引导给其他成员,原负载至正常节点的流量并不受影响,最大限度保证了业务的连续性,减轻安全节点的工作负担。

一致性hash的工作原理:一致性 hash是hash负载均衡的一种,不同的是仅对异常安全节点的流量进行hash负载,正常节点的流量保持不变)。如图6:输入流量序号为1-7;出现异常前流量编号1、3、4负载给FW1,流量编号2、7负载FW2,流量编号5、6负载给FW3;出现异常后,流量编号2、5、6、7的出接口保持不变,仅将流量编号1、3、4负载给正常的安全节点FW2和FW3,最大限度保证会话完整,减小因重建会话导致的业务震荡。

当资源组中的所有节点出现异常时,通过逻辑bypass跳过该安全资源组。对于某些无法跳过的情形,如图7中的NAT节点跳过以后仍然无法恢复网络,可选保持原流量路径不变,业务中断同时会发出告警信息。

结语

SFC2.0智能安全资源池解决方案,通过以上多种机制保障了网络的高可靠,增强了整套安全防护系统的可靠性,解决了客户必须晚上上线新方案、设备上下线维护等的烦恼。目前在高校、医疗、金融等行业已经积累了广泛的成功案例,切实解决了客户的痛点,帮助用户告别了臃肿、难以扩展、难以运维、不堪重负的网络安全架构。

相关文章

星融元助力中南民族大学构建SDN智能安全资源池网络出口


关键词


关注星融元

日前,由星融元数据技术有限公司(以下简称“星融”)主办的“软件定义网络”高校技术研讨会在武汉万达瑞华酒店成功召开。活动共吸引了来自包括武汉大学、华中科技大学、武汉理工大学、华中师范大学等20多所高校的近40位老师出席。前来与会的专家学者,通过主题报告、现场讨论等多种形式进行了深入交流与探讨,共商高校网络建设新发展。

在网络创新方面,中南民族大学一直走在探索的前沿。此次,来自中南民族大学现代教育技术中心的高杰欣老师为大家分享了《基于SDN的校园网超级汇聚应用实践》,并向在座的同行介绍了相关方面的经验。

中南民族大学现代教育技术中心高杰欣老师做经验分享

正如高老师所说,SDN在提高网络元素可编程性,和降低对专用硬件依赖性的方面,会成为我们现在看不见的未来。随着SDN的深入发展,SDN呈现出更智能,更自动化,更易用的特点。SDN的供应商方面存在两种类型,一种是纯软的SDN解决方案,一种是软硬结合的SDN解决方案。

星融属于后者。星融定位于用开放的软硬件为客户搭建云网架构。

中南民族大学的校园网超级汇聚探索实践中,采用的是正是星融的SFC智能安全资源池解决方案,选择值得信赖的产品和服务,也是成功经验的一部分,因此,高老师特意用了一章节总结了星融的解决方案为客户带来的体验价值,以下是来自客户的介绍:

1、可用性方面
客户:用起来完全没问题,设备在生产环境网络上跑了两年多的时间,一直如拓扑图所示,作为最最核心的设备,也是最关键的设备在网络中运行。

2、稳定性方面
客户:产品的稳定性表现突出,2年里持续运行,没有出现任何故障,甚至基于电源或者风扇的报错没有看到,稳定性值得赞赏。设备重启后,仍然能够调用原来所配置的流表策略,持续运行。

3、功能性方面
客户:产品功能已经全部尝试完毕,感受很好。比某些所谓说自己是做SDN的厂家,事实上只擅长做分流的产品有更大的应用空间,星融的设备远不止分流和服务链的功能。

4、管理性方面
客户:设备运行状态基本满足,图形化配置界面,用户管理与系统日志兼备。图形化的界面,大大减少距离感。

5、扩展性方面
客户:固件不断升级,曾经交流时的特性逐步实现,有的还在递进式迭代中,对各种光模块的兼容性也可圈可点。

6、服务性方面
愿意倾听客户意见,做测试和割接之前,愿意花很多时间配合,认真做场景测试,保证割接一次成功。

星融与中南民族大学的服务链合作实践开始于2018年,2年期间,星融按需投入,持续精进,最终获得了来自客户对产品和服务的肯定和认可,让星融自豪的同时更有信心和决心为更多高校构建SDN智能安全资源池网络出口!

项目背景

中南民族大学校园网搭建采用典型的三层网络结构构建园区网,安全设备采用双active模式部署,出口流量峰值近20Gbps。随着网络扩容与日常运维,逐渐发现如下问题:

  •  IPS、行为管理等基于应用层的安全设备性能接近瓶颈
  • POC测试需频繁断网割接且需要大量人力资源投入
  • 出口设备故障会导致全校网络中断,影响极其恶劣
  • 随着旁路监控设备增多,核心交换机镜像口已经用满。

星融SFC2.0智能安全资源池解决方案

基于星融 NX系列产品具有的能力,星融为中南民族大学校园组网提供了超高可靠的能力基础,以及便于拓展、流量智能编排、运维便捷、流量可视的安全资源池网络出口:

星融智能安全资源池网络出口组网图

在星融 NX系列SDN多功能可编程交换机组建的安全资源池网络出口中可实现:

  1. SDN智能流量调度:根据业务不同安全等级规划不同流量路径;
  2. 流量永不中断:NX双机部署、安全设备故障bypass等高可靠机制保证业务稳定;
  3. 转发、复制有机结合:在提供流量智能编排调度的同时,可向旁路分析设备提供定制化的镜像流量。

SFC2.0方案亮点与客户价值

1、网络超高可靠
SFC2.0方案可有效解决单点故障问题,可通过NX设备完善的双机方案,加持业界领先的探测机制监测安全设备状态,发现故障可灵活处理,保证业务持续性。

2、降低网络建设成本
通过对流量路径定制化编排,可使安全设备利用率最大化、合理化,避免因为某些安全设备无谓的性能消耗而导致不必要的更新和扩容等。

3、降低运维难度
设备上线/POC测试即插即用,安全设备状态及出口流量走势通过NX一目了然,出现网络故障可实现快速定位。

4、一机多用
NX超高端口密度可实现安全设备轻松横向扩展,全面的功能可同时满足流量编排转发和流量复制镜像。

5、助力高校科研孵化
原生可编程的NX交换机+前沿的SDN网络架构,可支持高校对新技术探索、协议验证及科研申报。

相关文章

对星融元产品感兴趣?

立即联系我们

返回顶部

© 星融元数据技术(苏州)有限公司 苏ICP备17070048号-2