iMaster-NCE-Fabric数据中心网解决方案及应用

iMasterNCE-Fabric数据中心网解决方案及应用iMasterNCE-Fabric系统安装部署基线、可靠性和开放性数据中心网络演进的目标和挑战iMasterNCE-Fabric应用场景和USECASE商用案例虚拟化时代云时代AI时代202020152010资源池化共享提升利用率实现云化服务优化发放效率挖掘数据价值释放数据的潜能数据中心使命从业务中心走向价值中心服务器利用率20%->60%1千->10万笔/秒分钟级弹性伸缩游戏下载提升38%广告转化提升49%中石油大二层架构建行新一代系统微信+AI营销云收割长尾，容器迅猛增长追求性能/资源利用率提升，业务秒级弹性伸缩AI应用物联网云/容器无人驾驶人脸识别客户画像生命科学万物互联带来海量连接和数据数字化生产系统连接入云，故障0容忍AI算法依赖数据和算力超大型大数据处理平台，模型日趋复杂庞大AI时代数据中心特征包括物联网、AI应用和云/容器化新业务特征对网络提出新挑战业务发放安装部署业务变更监控维护故障处理…规划DCN全生命周期自动化诉求排序AI算力通过容器调动GPU来提升需容器-网络联动极速上下线超大数据中心网络迅猛建设需快速完成建网业务频繁变更带来大量网络变更需智能化对网络评估和校验iMasterNCE-Fabric系统安装部署基线、可靠性和开放性数据中心网络演进的目标和挑战iMasterNCE-Fabric应用场景和USECASE商用案例华为iMasterNCE@CloudFabric数据中心网解决方案极速网络发放：图形化拖拽式操作，极简业务逻辑，部署效率是业界3倍极速容器上线：容器上线10K/min，业界领先性能多云互联：MDC统一编排，多DC互通自动化iMasterNCE-FabricV100R20C00提供数据中心网络全生命生期极简自动化体验北向抽象网络资源和服务，南向适配不同设备和网络实现变更风险预评估，配置“零”差错网络E2E自动部署，部署“零”等待事前仿真：网络部署前通过形式化验证算法基于现网IPv4/v6配置面仿真，评估待变更配置对网络影响、评估现网资源满足度事后校验：网络连通性、接口、路由等问题校验多级回退：基于不同维度快照，实现业务变更回溯和全网20min内极速恢复典型故障智能修复，业务“零”中断故障1-3-5：典型75类故障，1分钟感知、3分钟定位、5分钟恢复网络健康度：基于业务体验全面评估网络健康度，实现未发生故障主动预测云平台&应用传统设备Telemetry云平台&应用TelemetryAS-ISNetconf/YANGOpenflow/OVSDBSDN设备To-Be传统设备SDN设备Netconf/YANGOpenflow/OVSDBCLI/SNMP/QxCLI/SNMP/Qx管控析融合闭环自动化网管，控制器，分析器多个独立产品iMasterNCE什么是iMasterNCE？业界首个“管-控-析”融合架构342SDN自动化业务配置部署AI智能分析预测排障自动化+智能化管理+控制+分析规+建+维+优统一数据底座感知定位处理一气呵成全生命周期管理仿真校验监控优化iMasterNCE关键改变之234NetworkiMasterNCE的管控析融合，是实现网络高度自动化的基础工具繁多，数据不统一需要全生命周期运维，自闭环操作OSS(Inventory,etc.)工作指令规建维优数据手工导入/导出规划工具维护工具优化工具自动化工具全生命周期自动化断裂Neutron模型仅支持Overlay管理和控制需要统一Overlay自动化，但Underlay缺失LogicRouterLogicFWEndPortLogicSwitchEndPortLogicLBExternalNetworkEndPortLogicSwitchVPC网络KPI及流量可视化故障修复仍依赖人工可视化智能运维，但故障闭环依赖人工华为iMasterNCE全新启航（企业版）数据中心NCE-Fabric*企业园区NCE-Campus*SD-WANNCE-WAN*广域传输NCE-TLite广域IPNCE-IPLiteNEW华为iMasterNCE全新启航（运营商版）数据中心NCE-Fabric*企业园区NCE-Campus*SD-WANNCE-WAN*广域传输NCE-T广域IPNCE-IPNEW家庭宽带NCE-FAN跨域NCE-SuperDay0Day1安装部署业务发放业务变更监控运维故障处理优化调参…..硬件连线上电生成初始配置初始开局业务发放场景容器网络云网一体计算联动网络业务安全3rdVAS对接SecoM集成业务链微分段变更意图网络质量调优（待规划）多DC统一管理IPv6能力演进规划设计Day2DayN初始建网业务意图理解金融业务意图理解最佳网络推荐基础网络监控（管控融合）数据一致对账单/多路径探测eDesigner选型/设计组网洞察网络建设意图事前仿真事后校验业务变更（Overlay）事前仿真自动执行事后校验（分析）网络变更（Underlay）扩容场景服务器交换机设备更换设备替换变更意图事前仿真自动执行事后校验Underlay网络配置变更全网应急恢复例行维护租户快照回滚一键应急预案应急处理持续监控网络健康度（分析）故障处理1-3-5故障闭环故障预测环路检测R20C10版本R20C00版本（含增强）更早版本iMasterNCE-Fabric提供数据中心网络全生命周期管控的极简体验MDC单机部署（TR6）V100R020C00新增特性MDC：MDC统一编排，多DC互通自动化NEW多级业务回滚，全网业务20min内恢复NEW网络变更仿真IPv6增强增强iMasterNCE-Fabric单机部署（海外企业CloudFabricEasy配套）NEWVXLANFirewallSpineLeaf网络控制层Fabric网络层业务呈现/协同层计算接入层物理服务器虚拟化服务器裸金属服务器LB3rd云平台其他功能增强1212极简开局：极简操作，免人工干预，Underlay网络自动上线和校验UseCase1As-IsZTP准备工作较复杂，且需多步操作、多参数输入Spine管理交换机SFTP服务（1台服务器）DHCP服务（1台服务器）ServerLeaf①②③④To-Be无需准备、少量输入参数、一键操作，网络自动开通（3台服务器）Spine管理交换机ServerLeaf（3台服务器）DHCP/SFTP内置标准拓扑自动生成各种参数设置默认值One-ClickDay2Day0Day14步操作，部署繁琐额外服务器需求（DHCP服务器、SFTP服务器）配置文件提前规划，耗时长部署后手工验收1步操作DHCP、SFTP服务器内置，5->3配置文件自规划，支持对接设计工具导入部署部署后自动验收，避免连线和配置错误ZTP配置发放流程：适用场景：控制器与待上线设备（华为CE交换机）物理连接已完成，待上线设备的设备license已导入控制器。网络管理员点击启动ZTP任务；NCE-Fabric发布DHCP报文；待上线设备从控制器发布的DHCP报文获取临时IP及控制器南向IP地址；待上线设备使用内置证书向控制器发起认证；认证通过后，控制器通过设备型号判断设备角色（Spine/Leaf）；NCE-Fabric对待上线设备下发管理IP、SNMP、Netconf等配置；并在待上线设备重启后，通过管理IP完成正式纳管；控制器通过LLDP链路对新上线设备下发互联配置及OSPF、BGP等配置；全网设备上线成功，链路全部打通，此时可在控制器界面可以看到全网拓扑。网络管理员一键ZTP配置发放流程①②③⑤④⑥⑦Day2Day0Day1Underlay网络验证：自动检验全网接口、链路和路由等故障，杜绝人为配置错误数据中心网络配置类故障占比40%因路由问题导致的配置类故障占比约25%路由故障占数据中心网络故障总数约10%15%20%网络工程师用于检查和验证网络时间占比70%因路由变更消耗的时间占比约30%消耗20%运维精力校验网络连通性、路由配置及变更路由故障运维精力典型举例1：【路由配置故障】新配置1条路由，导致原有路由被激活，形成路由环路设备已有静态路由如下，到达10.200.0.0/21有2条静态路由，其中，10.17.43.21不可达iproute-static10.200.0.0255.255.248.010.17.43.21iproute-static10.200.0.0255.255.248.010.17.43.28现配置1条静态路由如下：iproute-static10.17.0.0255.255.0.010.17.43.33新配置的路由使用10.17.43.21可达，下一跳为10.17.43.33，导致形成路由环路典型举例2：【Underlay网络校验】新建和扩容数据中心网络后，检查网络连通性等设备上电、按网络规划连线、自动化Underlay网络配置后，手工检查全网连通性、验证网络连线正确性等，耗时5人天路由自动化配置后，以及新增/删除等变更后，检查全网路由配置，是否存在环路、黑洞等问题，耗时5人天依赖专家经验、手工校验自动化、智能化校验Underlay网络自动化校验，主动发现配置类错误/故障减少专家依赖，提升运维效率UseCase2Day2Day0Day1形式化验证算法网络验证操作现网配置信息现网拓扑信息现网资源信息数据收集建模求解验证结果全网连通性路由黑洞路由环路配置参数校验网络建模形式化验证算法iMasterNCE-Fabric收集当前数据中心网络的拓扑、配置、资源等信息，作为Underlay网络验证输入根据收集到的现网信息建立物理/逻辑/应用网络模型，并通过形式化验证方法求解，分析检测现网异常目前可验证Underlay网络连通性等，广泛应用于ZTP上线后自动校验、网络扩容后校验、网络不通故障的根因定位等场景Day2Day0Day1UseCase3容器网络自动化：网络随需部署，可视运维效率提升30%As-Is容器网络预置部署，与VM/BM割裂，部署和运维效率低云平台容器云容器云平台与网络无交互和联动，各自独立管理容器和网络提前预留和部署大量Overlay网络，为容器后续上线提供网络准备To-Be容器网络按需部署，统一管理，网络可视，运维效率提升30%云平台容器云APIServerwatcherCNIPluginCE1800VFusionStageFusionStage3rd云平台3rd云平台Day2Day0Day1容器云平台与网络联动，统一管理，可视运维容器网络随需部署容器网络自动化：提供大规模、高性能、高安全、高可维组网架构NetworkOverlayFusionStageAPIServerwatcherCNIPluginCE1800VPODKubernetesnode(BM)GWVTEPDVRVTEPDVRVTEPCNIPluginPODKubernetesnode(BM)CNIPluginPODKubernetesnode(BM)vRoutereBGPeBGPVLANCE1800VvRouterCE1800VL3路由（单租户）L3路由（单租户）L2桥接（多租户）注：1、10K/min容器上下线为R19C10版本增强特性；2、容器网络可视特性在R19C10版本提供。Day2Day0Day1网络变更仿真：叠加业务的全局仿真，预判变更风险Day2Day0Day1注：1、暂不支持vlan资源仿真；2、暂不支持过墙业务验证。现网配置信息现网拓扑信息现网资源信息数据收集建模求解校验结果网络建模形式化验证算法收集当前网络拓扑、配置、资源等信息以待变更配置作为输入建立物理/逻辑/应用网络模型并通过形式化验证方法求解校验现网资源是否足够、连通性互访关系分析以及变更对原有业务影响分析和呈现待变更配置资源充足度互访连通性对原有业务影响网络变更仿真：变更影响性实时呈现VxLAN运行环境仿真环境资源占用评估：网络变更操作导致的VRF、StaticRoute、L2子接口、VNI、BD、EVPN等逻辑资源占用情况变化实时呈现全网影响性分析：网络变更前后全网IP连通性变化呈现连通性检查：呈现基于特定IP五元组会话的连通性变化仿真结果，支持会话向下钻取呈现路径变化Day2Day0Day1数据同步金融工单智能对接：网络意图自理解，变更准确更高效Day2Day0Day1注：1、R19C10支持F5子网开通和南北向ACL开通；16意图转换仿真校验网络设计iMasterNCE-Fabric网络配置1342工单/ITSM意图模型内置模型:ACL部署F5子网开通2~3天10分钟1~2天手工自动手工网络设计配置下发业务验证10分钟POC云网一体化方案概览：云平台作为唯一入口来发放业务应用场景客户网络和IT部门深度融合，有云平台统一管理DC中的计算、存储、网络资源。网络能力向业务开放，网络人员需要理解Openstac，VPC，租户等业务语言客户价值云平台作为唯一入口来发放业务，能同时呈现完整的业务资源诉求和关联关系；计算、网络通过云平台协同管理，当创建租户的VM时，通过云平台选择使用的逻辑网络，云平台通过iMasterNCE提供的标准北向接口，实现基于租户网络资源的动态发放ServerleafServiceleafSpineServerleafVTEPVTEPvFW资源池VTEP改造数据中心：HybridOverlayBorder-LeafVTEPServerleafServiceleafSpineServerleafLB资源池Border-LeafVTEP新建数据中心：NetworkOverlayLB资源池裸金属自动化发放裸金属自动化发放FW资源池VTEP云管理平台FusionSphereKVMFusionCompute/KVM开源OpenStack认证链接：https://www.openstack.org/foundation/companies/profile/huaweiUseCase5利旧交换机Day2Day0Day1云网一体化方案整体架构业务呈现/协同层面向运营商、企业、VPC、RSP的Portal。提供业务灵活定制化界面。网络控制层网络控制平台即SDNController–iMasterNCE，完成网络建模和网络实例化。北向支持开放API接口，实现业务快速定制和自动发放。南向支持OpenFlow/OVSDB/Netconf等接口，统一管理控制物理和虚拟网络。Fabric网络层由物理设备组成的承载Overlay网络的基础物理组网。基于硬件的VXLAN网关提高业务性能。支持对传统VLAN网络的兼容。计算接入层vSwitch（OVS或者CE1800V）实现虚拟机本地接入的网络配置/策略管理VFW实现基于软件防火墙的安全策略控制和负载均衡管理。VXLANFirewallSpineLeaf网络控制层Fabric网络层业务呈现/协同层计算接入层物理服务器虚拟化服务器裸金属服务器LB3rd计算平台3rd云平台Day2Day0Day1云网一体化方案组件间接口iMasterNCE-Fabric<->云平台通过RESTful接口与云平台对接，接收云平台下发的网络业务指令。iMasterNCE-Fabric<->防火墙Netconf：SecoManager组件用于向防火墙下发配置。SNMP：SecoManager组件用于发现和获取防火墙的信息。iMasterNCE-Fabric<->物理交换机Netconf：用于AC向物理交换机下发配置。SNMP：用于发现和获取物理交换机的信息。OpenFlow：用于物理交换机对接，实现路径探测和连通性检测运维功能。iMasterNCE-Fabric<->vSwitchOVSDB：用于与vSwitch交互动态配置信息。OpenFlow：用于向vSwitch下发流表iMaster❶❹❸❷VXLANFirewallSpineLeaf网络控制层Fabric网络层业务呈现/协同层计算接入层物理服务器虚拟化服务器裸金属服务器LB3rd云平台3rd计算平台Day2Day0Day1对接云平台配置①②AC处理成功，并还原③云平台上创建业务配置云平台对接Day2Day0Day1SwiftiMasterNCE-AgentNeutronNovaHypervisor业务管理员应用portal云平台ManageOne3rdAPP①②③④⑤云网一体化业务发放流程业务发放流程业务管理员通过云平台实现计算、存储和网络资源的模型创建；当VM创建完成后，Nova通知Neutron对vSwitch进行VLAN配置；系统通过Neutron通知iMasterNCE有VM上线；iMasterNCE对NVE节点进行配置，建立Port+VLAN->VNI的映射关系，并实现二层广播、单播转发表的下发；iMasterNCE对VXLAN网关配置VNI和vBDIF，并关联VRF，根据VM上线信息向网关下发ARP、MAC、隧道表等信息，至此网络可达；云网一体化解决方案Day2Day0Day1适用场景客户计算业务管理系统庞杂，或受限于客户自身计算管理和网络管理的融合程度，无法构建统一云平台情况下，可采用无云平台的计算联动方案，最大程度上实现网络的自动化配置，减轻网络管理员的工作量。客户价值计算资源与网络资源协同，实现网络的自动化；方便快捷的实现网络的开通和资源调整，缩短IT业务资源的上线周期；应用、逻辑和物理网络三层互视，故障定位快，实现精细化运维；缺点计算、网络分开管理，计算资源和网络资源无法对应。部署建议采用非云平台的计算与网络协同发放模式。要求计算和存储资源构建资源池，推荐虚拟化平台在单一资源池内只选择一种类型。典型案例适用于尚未云化的企业用户，比如EVRY二期、华为东莞EDC等项目。计算联动解决方案概览：与第三方计算管理平台对接，联动发放网络计算管理员网络管理员UseCase63rd计算管理平台Day2Day0Day1计算联动自动化方案整体架构业务呈现层iMasterNCE-Fabric北向提供独立UI，实现网络业务编排、策略发放和自动化部署。网络控制层iMaserNCE-Fabric南向支持OpenFlow/Netconf/OVSDB/SNMP等接口，完成网络设备自动化配置。东西向对接VMM，实现虚拟网络发放及虚拟感知。网络服务层CE交换机实现硬件NVE，VXLANGW，支持分布式路由器。Leaf支持堆叠/M-LAG，BorderLeaf支持堆叠/多活。通过动态路由协议（BGP）对接外部路由器。硬件防火墙旁挂/直挂BorderLeaf。支持ServiceChain对第三方VAS服务引流。计算接入层VM接入：支持对接第三方计算管理平台对接。BM接入：支持物理服务器的L2BR接入。VXLANFirewallSpineLeaf网络控制层网络服务层业务呈现层计算接入层物理服务器虚拟化服务器3rd计算平台Day2Day0Day1计算联动自动化方案组件间接口业务编排界面<->iMasterNCE：通过RESTful接口对接。iMasterNCE<->VMM：通过WebService接口与VMM对接，进行资源同步并感知VM上下线信息。iMasterNCE<->防火墙：Netconf：用于SecoManager向防火墙下发配置。SNMP：用于SecoManager发现和获取防火墙的信息。iMasterNCE<->物理交换机：Netconf：用于向物理交换机下发配置。SNMP：用于发现和获取物理交换机的信息。OpenFlow：用于向物理交换机下发流表。iMasterNCE<->vSwitch：OVSDB：用于与vSwitch交互动态配置信息。OpenFlow：用于向vSwitch下发流表。❶❷❸❹❺VXLANFirewallSpineLeaf网络控制层网络服务层业务呈现层计算接入层物理服务器虚拟化服务器3rd计算平台Day2Day0Day1计算联动业务发放流程业务发放流程网络管理员通过在iMasterNCE上拖拽逻辑网元的方式完成逻辑网络模型定义；一键式部署，iMasterNCE根据配置分配Overlay网络的VNI和虚拟网络使用的LocalVLAN，并保存VLAN与VNI的映射关系；iMasterNCE与计算平台交互所需的PortGroup，并将LocalVLAN与PortGroup绑定；计算管理员在计算平台创建虚拟机，手工将虚拟机与PortGroup进行绑定；计算平台通知iMasterNCE虚拟机上线和PortGroup绑定事件，并获取虚拟机上线的位置；iMasterNCE以PortGroup为索引查询数据库，获取LocalVLAN与VNI映射信息；通过查询LLDP邻居的信息，获取物理服务器与TOR端口的连接关系。通过Netconf接口向TOR端口下发LocalVLAN到VNI的映射配置；计算联动方案ServervSwitch/VM计算管理员网络管理员①②③④⑤⑥3rd计算管理平台Day2Day0Day1UseCase5服务器扩容：数据中心服务器自动扩容和智能校验，提升部署效率90%As-Is扩容10台服务器，80步操作，260个参数，人工参与To-Be扩容10台服务器，1步操作，3个参数，免人工干预logic-Switchlogic-routerlogic-Port安全Policy4个参数2次点击1次点击9个参数3次点击使能LLDP（手工）配置M-lag（手工）创建End-Port9个参数3次点击4个参数3次点击确认下发1次点击以金融企业为例，业务发展迅猛使数据中心扩容成为常态服务器平均年增长30%以上场景描述方案价值90%部署效率意图驱动网络自动部署100%扩容成功自动校验网络链路服务器扩容服务器扩容意图模型Underlay网络校验配置转换和下发Day2Day0Day1服务器扩容：自动配置服务器接入网络，并能进行基本规则检查扩容前准备上线感知，资源分配，链路校验，配置下发，自动校验确认待扩容服务器已完成物理接入；在iMasterNCE-Fabric界面根据实际组网选择计划接入的Fabric及设备组等资源；在iMasterNCE-Fabric控制器界面输入网络平面、网卡、接入模式三项服务器接入参数，并点击开始。1、iMasterNCE-Fabric根据LLDP协议，发现服务器和接入设备之间链路信息；2、根据接入模式校验当前设备计入链路是否符合预期（双规接入，接入口一致等）；3、根据链路连接信息生成接入侧需要下发的配置信息（vlan，mlag，logicport等）；4、根据选择网络类型下发前一步生成的接入配置，实现服务器接入网络打通；配置下发生成配置链路校验STARTDay2Day0Day1引入Overlay业务批量配置方案，提升规模操作效率新增批量导入导出功能WEBUI自主编排配置方案优点：拖拽式配置，直观可视，有配置引导，操作界面友好。缺点：基于单个对象配置，如网络规模较大时，需要逐点配置参数，效率较低。简单计算：单个对象配置5分钟，1000个对象则需十天（按每天工作8小时计算）。适用场景：适用于对配置操作不熟悉的用户使用，或业务规模较小的手工配置场景。Eg:小规模新建，单节点业务修改/扩容等。优点：引入批量的增删改查功能，快速提升批量配置效率（支持基于对象的专有Excel）；缺点：基于Excel模板进行同类型对象批量配置，对用户的配置操作水平及网络逻辑结构熟悉程度要求较高。适用场景：适用于对网络配置操作及网络逻辑结构较为熟悉的用户使用，或业务规模较大的手工配置场景。Eg：①金融行业测试区网络，业务规模批量上线，测试后批量删除；②老旧网络搬迁，原网配置批量导入；③用于服务器批量扩容，批量开放VLAN端口等AsIsToBe可视效率互为补充UseCase8Day2Day0Day1支持任务状态可视，包括每个任务的运行状态、起止时间、总耗时、失败原因批量导入导出：支持任务状态可视，任务可查可回溯支持常见大规格对象的批量导入导出功能（VAS设备仅支持导出）丰富的大规格对象类型批量配置任务中心界面多任务状态监控Day2Day0Day1引入组播overVxLAN功能，减少无效复制和转发AsIsToBePainPoint：点对多点业务场景，基于头端复制列表在Leaf复制N份报文,不需要接收的用户也会收到信息源发送数据，造成信息泛滥和信息安全性问题，leaf节点上行带宽压力大，易阻塞。Solution：引入组播overVxLAN后，信息在距信息源尽可能远的网络节点才开始复制和分发，并且只发送给指定的接收者，减少无效复制和转发，保证网络带宽被有效利用。UseCase7Day2Day0Day1组播部署场景&方案实现金融行业：外汇、股票、期货等交易市场实时数据发布；OTT：网络直播、视频点播等。VTEPSpineBorder-LeafVTEPSpineBorder-LeafFabric1Fabric2MulticastSourc1MulticastReceiverMulticastReceiverMulticastReceiverMulticastReceiverMulticastReceiverMulticastSourc2MulticastSourc3MulticastSourc4控制面：通过控制面引入NG-MVPN协议传递组播路由信息，实现在VXLAN网络中建立组播表项，指导组播数据转发；转发面：1、Source发出的组播流量在VTEP进行VXLAN组播封装，按照组播转发表项转发；2、流量到达接收者端VTEP，进行VXLAN解封装后，按需转发到接收者。减少VXLAN网络中广播流量，减轻设备性能压力节省VXLAN网络的带宽保证部署在VXLAN网络中IP组播业务的服务质量仅NetworkOverlay分布式虚拟化场景支持，云平台不支持组播业务接口，无组播业务模型。不支持主备出口，不支持IPv6Overlay组播。仅商用芯片系列交换机支持。VTEPDay2Day0Day1主流场景下组播overVxLAN功能灵活配置控制器界面下，支持两种配置方式云网一体化二次编排使能场景一：机架出租场景场景二：计算联动场景场景三：云网一体化WEBUI界面自主编排北向开放API接口WEBUI界面手工配置组播模板配置Day2Day0Day1管控融合：集成管理、控制和分析能力，使能自动化和智能化Day2Day0Day1As-Is纯管理功能，数据隔离无法分享纯管理类功能，FCAPS(Fault,Configuration,Accounting,Performance,Security)分散的功能模块NMS与周边产品(uTraffic,planningtool,andcommissioningtool)分别独立部署,数据隔离无法共享，流程不通To-Be集成管理、控制和分析能力，使能全生命周期的网络智能化管理域继承eSightnetwork管理能力和NBI接口，并沿袭原有运维习惯。提供统一的云化平台，融合管理、控制、分析、预测、规划、调测，打造全生命周期智能化闭环产品。数据天然共享，流程统一OSS业务编排器业务智能存量网络SDN网络统一云平台北向开放API+面向场景可编程IntentEngineControllerManagerAnalyzer(Bigdata&AI)基础管理集成页签设备状态指标呈现重点关注性能呈现精细运维管理：基础管理集成，Underlay&Overlay全网可视Day2Day0Day1iMasterNCE-Fabric与eSightNetwork对比总览Day2Day0Day1网管常见功能特性支持情况（数据中心领域）Day2Day0Day1网络健康度：主动故障预防的健康度评估体系Day2Day0Day1UseCase6基于五层模型建立全面网络健康度评估体系，帮助运维人员“看网识网”，直观地呈现全网整体体验质量；支持生成评估报告，提升运维效率和业务体验满意度；详细指标评估维度如下：网络健康度全面评估，数据中心的CT测试仪注：1、依赖iMasterNCE-FabricInsight网络健康度全面评估Day2Day0Day1基于设备、网络、协议、Overlay、业务五个维度实时或周期自动生成网络质量评估报表，全面掌握网络状态，主动运维故障1-3-5：典型故障智能感知、定位和修复Day2Day0Day1UseCase71分钟故障感知3分钟故障定位5分钟故障修复基于Telemetry实时采集全量信息，通过网络健康度模块快速感知故障AI算法构建网络知识图谱，快速定位故障根因网络知识图谱根因智能推荐和评估修复方案，自动故障修复修复预案推荐变更影响分析业务流量仿真自动下发健康度：100注：1、依赖iMasterNCE-FabricInsight故障1-3-5：AI+知识推理，实现故障智能闭环Day2Day0Day1CollectAnalysisDecision数据中心全息数据业务流数据/Telemetry数据..根因分析知识推理引擎智能分析引擎手动恢复推荐最佳预案：端口隔离回退配置扩容建议华为30+年运维专家经验真实局点故障持续学习训练模型应用风险预测异常检测基于意图闭环数据清洗AI异常识别网络对象建模iMasterNCE-FabricInsightiMasterNCE-Fabric多级应急处理之一键式应急预案设备或端口故障时，启动一键式应急预案迅速进行故障恢复，减小对业务影响①②③...按模板顺序执行应急操作步骤支持对交换机执行复位操作支持对防火墙执行主备倒换操作支持对接口进行Shutdown操作Day2Day0Day1多级应急处理之租户回滚Day2Day0Day1租户/系统管理员RollBack[业务变更]租户业务修改增加VPC1删除subnet1手工备份(可选)定时备份（可自定义）配置差异比对配置回退回退进度查询回退历史查询[备份]SFTP备份服务器备份导出备份导入约束与限制：备份/回滚操作过程中，同租户不可操作防火墙业务暂不支持快照回滚操作F5等三方VAS不支持快照回滚操作备份快照最大支持20个R20C00新增多级应急处理之全网回退Day2Day0Day1系统管理员RollBack[业务变更]租户业务修改业务迁移，新建VPC批量删除LogicPort手工备份(可选)定时备份（可自定义）业务异常全网回退回退进度查询回退历史查询20min内可完成全网回退操作（含设备配置）约束与限制：建议在机架出租场景使用，云网/计算联动场景需要在全网回退后与云平台/VMM进行对账操作全网备份/回退操作过程中，NCE-Fabric需先执行锁定操作备份基于整网设备进行，一个设备备份失败则整网备份失败防火墙需要手工备份/修复配置不支持NE路由器、三方VAS设备、商用芯片款型CE交换机、虚拟交换机CE1800v的备份和恢复主备容灾场景不建议使用该特性（如执行全网回退，可能导致主备集群间数据库不一致）恢复失败基于设备回退（可选）R20C00新增全网回退：20分钟极速回退，快速恢复业务Day2Day0Day1R20C00新增As-Is快照时间戳不统一，恢复时间长To-Be全网统一快照，快速恢复业务1小时快照配置回退全网恢复业务异常设备1设备2设备3设备4恢复时长20分钟Day0Day1安装部署业务发放业务变更监控运维故障处理优化调参…..硬件连线上电生成初始配置初始开局业务发放场景容器网络云网一体计算联动网络业务安全3rdVAS对接SecoM集成业务链微分段变更意图网络质量调优（待规划）多DC统一管理IPv6能力演进规划设计Day2DayN初始建网业务意图理解金融业务意图理解最佳网络推荐基础网络监控（管控融合）数据一致对账单/多路径探测eDesigner选型/设计组网洞察网络建设意图事前仿真事后校验业务变更（Overlay）事前仿真自动执行事后校验（分析）网络变更（Underlay）扩容场景服务器交换机设备更换设备替换变更意图事前仿真自动执行事后校验Underlay网络配置变更全网应急恢复例行维护租户快照回滚一键应急预案应急处理持续监控网络健康度（分析）故障处理1-3-5故障闭环故障预测环路检测R20C10版本R20C00版本（含增强）更早版本iMasterNCE-Fabric提供数据中心网络全生命周期管控的极简体验MDC单机部署（TR6）SFC业务链介绍SF（ServiceFunction，业务功能节点）：即提供增值服务功能的节点，包括防火墙，负载均衡设备等设备。SC（ServiceClassifier，业务分类节点）：实现业务流识别（识别哪些流量需要引入到业务链上去），设置业务标识，封装业务报文头。SFF（ServiceFunctionForwarder，业务转发节点）：连接SF业务功能节点的交换机，可以识别要经过业务链的业务流信息，并根椐SF业务流信息进行转发，包括TOR，网关，vSwitch等设备。PBR：PBR：PolicyBasedRoute，策略路由通过CE交换机产品的MQC（modularQoScommand）特性对业务流量进行匹配并重定向，使流量不走缺省默认的二、三层转发流程，而是按指定的路径转发；特点：1）每一跳都要下发PBR；2）PBR-Based不需要改变原始报文；NSHNSH：NetworkServiceHeader，一种新的数据面封装格式，构建一个新业务平面，实现SFC功能。IETF定义此封装格式，NSH封装头包括业务路径和元数据信息等。特点：1）只需要在SC节点下发过滤和重定向引流进入SFC转发路径；2）NSH-Based需要在原始报文添加NSH头部封装；基于NSH的业务链，标准对接，无ACL瓶颈PBR严重依赖ACL表项规格NSH彻底摆脱表项限制AsIsToBeVAS资源池VM资源池外部网络基于PBR转发3条ACL规则3条策略路由此处为ACL表项瓶颈支持NSHVAS资源池VM资源池外部网络基于NSH转发1条ACL规则1条策略路由添加NSH报文头不支持NSHVAS资源池案例1：某行PBR与防病毒抢占ACL导致资源不足，业务无法下发（与安全策略冲突）；案例2：某金融机构部署微分段和传统PBR安全，导致ACL资源溢出功能失效（与微分段冲突）；基于报文NSH中的SPI转发，避免ACL资源使用兼容现网：支持NSHAware和Unware（代理）两种模,ACL节省一半以上。微分段背景：数据中心多样化给网络安全带来的挑战传统隔离手段存在流量迂回传统安全依靠设置不同业务分区解决云的共享和安全隔离是一对新的矛盾接入交换机支持安全隔离交换机需要突破ACL瓶颈多样化的隔离策略，ACL成为稀缺资源外部网络Untrusted来源<>2012年，Zerotrust的安全模型内部网络Segmentation子网Micro-SegmentationVM名/容器离散IPSpineVTEPServerleafVTEPServerleaf微分段：粒度更细，维度更广的一种安全隔离手段VM名称=web*微分段解决Zero-trust安全模型，分段粒度更细，维度更广，同时涵盖物理机，解决东西向安全问题；从IT系统角度重新定义网络，分段从网络语言转化成IT语言，更符合业务需要。“分段”“微”Micro-SegmentationsubnetVM名/容器离散IP操作系统类型组织名WEB1WEB2WEB3WEB4安全组=APPAPP1APP2APP3APP4操作系统=linuxLinuxLinuxLinuxLinuxIPIP1=10.0.0.1IP2=10.0.0.2MACMAC1=00-00-00-00-cc-09MAC2=00-22-00-11-c6-18VLAN=10DB1DB2DB3DB4微分段：实现细粒度业务安全和隔离微分段在需要高转发弱安全的互访管控场景有着独到的价值，不存在流量绕行问题，转发性能不是瓶颈。分布式安全高效转发接入交换机的流量就近隔离，不依赖防火墙即可实现东西向隔离。统一隔离微分段实现Zero-trust安全模型，分段粒度更细（离散IP）、维度更广(VM名称)，同时涵盖物理机，实现虚拟机，裸机的统一隔离。微分段与业务链功能互斥，定义Fabric时选择安全策略自动化编排，威胁自动闭环服务调用隔离策略TOR安全策略隔离/阻断请求SecoManager支持与iMasterNCE-Fabric融合部署（APP方式），支持SSO跳转，界面统一资源复用，无须额外的服务器和网络资源。安全联动统一入口SecoManager收到HiSecInsight的南北向流量阻断请求，将策略编排到具体的安全设备执行阻断动作；SecoManager收到HiSecInsight的主机隔离或东西向流量阻断请求，分发到iMasterNCE，由iMasterNCE决策承载的TOR进行隔离。安全协同云平台/北向请求L4-7业务时，iMasterNCE-Fabric调用SecoManger相应接口实现（SNAT、EIP/DNAT、FWaaS、VPNaaS、VASQoS）；IPS、AV等高级特性可以跳转至SecoManger配置。云平台/北向请求HiSecInsightiMasterNCE-Fabric与第三方设备联动编排引流云网一体化场景方案3rd安全控制器/管理系统三方VASL2-L3配置引流策略F5LB、RadwareVAS策略纳管纳管/安全策略网络虚拟化场景方案3rd安全控制器/管理系统三方VAS引流策略L2-L3配置纳管/安全策略单向引流NeutronPlugin双向引流NovaPlugin华为提供三方提供三方管理包iMasterNCE-Fabric仅配置交换机侧连接三方VAS的接口配置和引流策略；三方VAS自行提供插件对接云平台如下款型除了交换机侧的配置外还支持（不在列表范围的仅支持单向引流）：精细运维管理：全网资源可视TOP设备使用率集成APP工具从物理到逻辑资源，从全局到VPC，100%资源可视资源状态可视精细运维管理：三层拓扑可视应用-》逻辑-》物理查询租户所使用的逻辑及物理资源及时扩缩容等资源调整应用《-逻辑《-物理查询物理网络所运行的应用物理网络故障，反向判定影响范围应用《-逻辑-》应用查询逻辑资源所使用的物理资源查询逻辑资源所运行的应用业务与网络尽在掌握运维TIPS从物理到逻辑拓扑，从逻辑到应用，100%业务可视精细运维管理：业务路径可视单路径、多路径、环路探测VM级真实物理路径基于五元组过滤分跳详细路径展示从物理到逻辑链路，从单路径到多路径，100%路径可视精细运维管理：环路检测环路检测方案介绍监控网络中异常事件EventMonitoring端口流量统计异常端口BUM比例异常MACFlapping事件例行对异常事件进行全局性关联，判断环路可能EventCorrelation是否有跨VTEP的MACFlapping事件？针对同一个MAC是否同一个BD域参与的所有端口流量同时异常？（基于拓扑）是否同一个BD域的两个端口单播流量同时异常？（基于拓扑）对怀疑的环路进行检测，最终确定环路LoopDetection对流量异常的UNI口，使能报文捕捉功能（采样sFlow），上送控制器；基于捕捉的报文进行判断：如果捕捉到重复报文，则一定存在环路环路探测输出原理：SDN控制器通过流量采集、事件关联等机制自动发现环路、定位环路、并能主动消除环路：精细运维管理：数据一致性对账与转发器（交换机、防火墙）数据一致性对账与虚拟设备（vSwitch、vDHCP）数据一致性对账与云平台数据一致性对账与vCenter数据一致性对账与SecoManager数据一致性对账支持对CE设备加锁，实现对CE设备的单头管理，即只允许iMasterNCE下发配置在云平台上操作：当业务创建/更新数据不一致时，在云平台更新业务或使用北向一致性工具修复业务当业务删除数据不一致时，使用北向一致性或第三方工具，调用AC-DCN北向接口来删除数据iMasterNCE-Fabric支持与各部件对账数据一致性，保障业务100%正确运行Day0Day1安装部署业务发放业务变更监控运维故障处理优化调参…..硬件连线上电生成初始配置初始开局业务发放场景容器网络云网一体计算联动网络业务安全3rdVAS对接SecoM集成业务链微分段变更意图网络质量调优（待规划）多DC统一管理IPv6能力演进规划设计Day2DayN初始建网业务意图理解金融业务意图理解最佳网络推荐基础网络监控（管控融合）数据一致对账单/多路径探测eDesigner选型/设计组网洞察网络建设意图事前仿真事后校验业务变更（Overlay）事前仿真自动执行事后校验（分析）网络变更（Underlay）扩容场景服务器交换机设备更换设备替换变更意图事前仿真自动执行事后校验Underlay网络配置变更全网应急恢复例行维护租户快照回滚一键应急预案应急处理持续监控网络健康度（分析）故障处理1-3-5故障闭环故障预测环路检测R20C10版本R20C00版本（含增强）更早版本iMasterNCE-Fabric提供数据中心网络全生命周期管控的极简体验MDC单机部署（TR6）IPv6收益12345更大IPv6有更大的地址空间。相比32位的IPv4地址，IPv6128位的地址，地址数量翻了2^96倍更快IPv6采用新的报文头部，其选项与基本头部分开，支持按需插入，简化和加速路由选择过程，从而降低端到端时延更精简IPv6提供分层编址，大大减小了路由表的长度，提高了路由转发的速率IPv6中，加密和鉴权选项提供了分组的保密性和完整性，极大的增强了网络的安全性更敏捷IPv6加入了对自动配置的支持，使得网络（尤其是局域网）的管理更加便捷更安全业界趋势：国内IPv6业务快速发展（中国移动、工行、银联均已开展IPv6业务上线）IPv6特性支持情况VXLANFirewallSpineLeaf控制器支持情况交换机支持情况云平台支持情况vswitch支持情况物理服务器虚拟化服务器FusionSphereOpenstackVAS支持情况分析器支持情况对接开源Openstack/FusionSphereNCE北向支持IPv6IPv6编排（Port、Qos、Ironic发放、metadataproxy、安全组、外部网络、安全策略、EIP、SNAT、ExRouter、VPC互通）NSH、微分段、南向管理网络—电信云场景（R19C10新增）NCE南向管理网络支持IPv6，IPv6PBR、IPv6DSCP暂不支持IPv6事前仿真校验（R20C00新增）指定TCP流分析Overlay：IPv6VxLANLB支持IPv6FW支持IPv6Overlay：IPv6透传、IPv6DVRIPv6安全组、DHCPv6（仅POC）Day0Day1安装部署业务发放业务变更监控运维故障处理优化调参…..硬件连线上电生成初始配置初始开局业务发放场景容器网络云网一体计算联动网络业务安全3rdVAS对接SecoM集成业务链微分段变更意图网络质量调优（待规划）多DC统一管理IPv6能力演进规划设计Day2DayN初始建网业务意图理解金融业务意图理解最佳网络推荐基础网络监控（管控融合）数据一致对账单/多路径探测eDesigner选型/设计组网洞察网络建设意图事前仿真事后校验业务变更（Overlay）事前仿真自动执行事后校验（分析）网络变更（Underlay）扩容场景服务器交换机设备更换设备替换变更意图事前仿真自动执行事后校验Underlay网络配置变更全网应急恢复例行维护租户快照回滚一键应急预案应急处理持续监控网络健康度（分析）故障处理1-3-5故障闭环故障预测环路检测R20C10版本R20C00版本（含增强）更早版本iMasterNCE-Fabric提供数据中心网络全生命周期管控的极简体验MDC单机部署（TR6）多DC的驱动力业务扩张业务规模的不断增长使得单个数据中心的资源很难满足业务增长的需求，需要多个数据中心来部署业务。备份容灾网络故障影响范围扩散，网络要有独立可靠性。备份和容灾逐渐成为普遍需求。PhysicalNetwork(leafs:100)资源整合跨地域、DC资源整合，统一池化管理多活诉求，业务系统多DC分布式部署。银监发[2011]104号：明确业务连续性中断事故定级Ⅰ级：3个小时中断，通报国务院Ⅱ级：0.5小时-3小时多家金融机构中断Ⅲ级：一个金融机构0.5小时以上Multi-Pod：近距DC资源整合，跨DC主备容灾单控制器集群拉通8个Fabric，1800台物理交换机。仲裁节点可选，配置可使能主备集群自动倒换功能；如不配置仅支持手工倒换时延带宽要求：RTT<=20ms（主备集群间），RTT<=50ms（集群与设备间），BW>=1Gbps主备切换10分钟（500节点）边缘DC：小型近距DC灵活接入，支持RemoteLeafR20C00新增SpineSpineLeafLeafLeafLeafFabric-GWFabric-GWSpineSpineLeafLeafLeafLeafFabric-GWFabric-GWLeafLeafLeafLeafFabric-GWFabric-GWFabric-GWFabric-GW中心DC边缘DC边缘DC边缘DCMDC管理架构设计Fabric-GW：Fabric中具有VxLAN路由重生成能力的设备角色TransitFabric：由各Fabric-GW构成的逻辑Fabric，Fabric-GW由控制器直接管理TransitVPC：只在Fabric-GW上实例化，用于与业务VPC1、VPC2等路由互通业务VPC：如图示VPC1、VPC2等，业务VPC不只在Fabric内实例化TransitVPC引入DC外部路由，通过专线通道连通多云业务私有云公有云/其他云MDC（MultiDatacenterController）Fabric-GW2Fabric-GW1Fabric-GW4Fabric-GW3……Fabric-GWnTransitFabricFabric2iMasterNCE-FabricleafspineFabric1iMasterNCE-FabricLeafSpineTransitVPCVPC1VPC2专线通道R20C00新增NewMDC场景介绍R20C00新增MDC（MultiDatacenterController）跨Fabric/DCVPC互通业务Fabric1业务Fabric2MDC（MultiDatacenterController）业务Fabric1VASFabric1VAS资源池灵活调度MDC（MultiDatacenterController）业务Fabric1业务Fabric2VASFabric2跨FabricVPC访问专线/公有云/Internet专线/公有云/InternetMDC定义东西向TransitRouter，拉通多个租户LogicRouter跨Fabric间TransitVRF通过EVPNRT交叉，实现路由交换典型用户：工行、农行VAS资源池可统一分配，利用率提升TransitVRF实例化到设备时通过路由优先级，实现主备VAS保护典型用户：工行、农行静态路由/BGPMDC定义南北向TransitRouter,定义外部网络ExternalCidrMDC定义Internet接入，配置与Internet的互联接口和路由典型用户：银联POC多DC场景选择无容灾容灾近距远距客户肖像：远距（RTT>50ms）有多个DC，无异地容灾诉求，DC间有L2/3互通需求。约束：控制器与MDC间RTT<=1sMDC管理控制器集群数量32客户肖像：同城或近距有多个DC，无异地容灾诉求，倾向统一管理物理网络。约束：控制器与物理网络间RTT<=50msRemoteLeaf(机架出租)场景可放宽至300ms单控制器集群支持管控8（32可测试）个Fabric客户肖像：同城或近距有多个DC，对网络有异地容灾诉求。约束：控制器与物理网络间RTT<=50ms控制器集群间RTT<=20ms单控制器集群支持管控8（32可测试）个Fabric客户肖像：远距（RTT>50ms）有多个DC，有异地容灾诉求，DC间有L2/3互通需求。约束：网络层面仅能提供本地冗余，不支持异地容灾；业务层面依赖IT系统提供容灾能力。场景3：Multi-Site场景1：Multi-Pod场景2：Multi-Pod&DR场景4：Opens