CloudFabric云數據中心網解決方案意圖網絡設計指南

1、 DOCPROPERTY PartNumber DOCPROPERTY Product&Project Name CloudFabric云數據中心網解決方案 DOCPROPERTY DocumentName 設計指南（意圖網絡）目 錄 TOC h z t 標題 1,1,標題 2,2,標題 3,3, 標題 4,4, 標題 5,5, 標題 7,1, 標題 8,2, 標題 9,3, Heading1 No Number,1,Appendix heading 1,1,Appendix heading 2,2,Appendix heading 3,3,Appendix heading 4,4,Appen

2、dix heading 5,5, Heading 1,1,Heading 2,2,Heading 3,3, Heading 4,4, Heading 5,5, Heading 7,1,Heading 8,2,Heading 9,3 HYPERLINK l _Toc54970185 1 數據中心網絡自動化概述 PAGEREF _Toc54970185 h 1 HYPERLINK l _Toc54970186 2 CloudFabric基于意圖驅動的自動駕駛網絡介紹 PAGEREF _Toc54970186 h 4 HYPERLINK l _Toc54970187 3 DAY0：設計開局階段意圖

3、PAGEREF _Toc54970187 h 7 HYPERLINK l _Toc54970188 3.1 極簡ZTP PAGEREF _Toc54970188 h 7 HYPERLINK l _Toc54970189 3.2 Underlay網絡檢測 PAGEREF _Toc54970189 h 8 HYPERLINK l _Toc54970190 4 DAY1：業(yè)務發(fā)放變更階段意圖 PAGEREF _Toc54970190 h 13 HYPERLINK l _Toc54970191 4.1 CPV連通性仿真 PAGEREF _Toc54970191 h 14 HYPERLINK l _To

4、c54970192 4.1.1 網絡業(yè)務編排（設計態(tài)） PAGEREF _Toc54970192 h 14 HYPERLINK l _Toc54970193 4.1.2 網絡資源仿真校驗 PAGEREF _Toc54970193 h 15 HYPERLINK l _Toc54970194 4.1.3 網絡連通性校驗 PAGEREF _Toc54970194 h 15 HYPERLINK l _Toc54970195 4.1.4 設備配置變更內容預覽 PAGEREF _Toc54970195 h 16 HYPERLINK l _Toc54970196 5 DAY2：日常運維階段意圖 PAGERE

5、F _Toc54970196 h 17 HYPERLINK l _Toc54970197 5.1 業(yè)務發(fā)放后可達性校驗 PAGEREF _Toc54970197 h 17 HYPERLINK l _Toc54970198 5.1.1 BGP Peer可達性校驗 PAGEREF _Toc54970198 h 18 HYPERLINK l _Toc54970199 5.1.2 VXLAN隧道可達性校驗 PAGEREF _Toc54970199 h 19 HYPERLINK l _Toc54970200 5.1.3 Underlay配置一致性驗證 PAGEREF _Toc54970200 h 19

6、HYPERLINK l _Toc54970201 5.1.4 網絡中是否存在路由環(huán)路/路由黑洞 PAGEREF _Toc54970201 h 22 HYPERLINK l _Toc54970202 5.1.5 Overlay子網連通性校驗 PAGEREF _Toc54970202 h 23 HYPERLINK l _Toc54970203 5.1.6 IP/子網間是否隔離 PAGEREF _Toc54970203 h 24 HYPERLINK l _Toc54970204 6 DAY N：網絡變更階段意圖 PAGEREF _Toc54970204 h 26 HYPERLINK l _Toc54

7、970205 6.1 交換機擴容 PAGEREF _Toc54970205 h 26 HYPERLINK l _Toc54970206 6.2 服務器擴容 PAGEREF _Toc54970206 h 29 HYPERLINK l _Toc54970207 6.3 替換交換機 PAGEREF _Toc54970207 h 32 HYPERLINK l _Toc54970208 6.3.1 替換設備（非ZTP設備） PAGEREF _Toc54970208 h 32 HYPERLINK l _Toc54970209 6.3.2 替換設備（ZTP設備） PAGEREF _Toc54970209 h

8、 44 HYPERLINK l _Toc54970210 6.4 替換端口 PAGEREF _Toc54970210 h 51 HYPERLINK l _Toc54970211 7 意圖特性的部署要求 PAGEREF _Toc54970211 h 54 HYPERLINK l _Toc54970212 A 參考圖片 PAGEREF _Toc54970212 h 55數據中心網絡自動化概述數據中心網絡的現狀和發(fā)展數據中心當前已普遍邁入云化時代，隨著數字化轉型的深入，持續(xù)強化并提升網絡的發(fā)放和運維效率，是用戶必須直面的問題，隨之而來業(yè)務云化也給網絡帶來了諸多挑戰(zhàn)。業(yè)務變更激增帶來的網絡變更頻率隨之

9、加大。各種APP的秒級上線，要求相應的網絡發(fā)放效率也需要大幅提升。云化數據中心網絡規(guī)模增大，加之各種業(yè)務的頻繁上線變更，對網絡的運維難度在增大。網絡的優(yōu)化調整依靠人工經驗存在較大局限性和滯后性，亟需引入網絡AI實現對網絡的智能可視、可預測及智能化調優(yōu)。為了解決上述問題業(yè)界提出了網絡自動駕駛理念，網絡自動駕駛可通過機器決策提供快速、可靠、智能的網絡服務，他解放了IT應用，在網絡自動駕駛的加持下，系統(tǒng)會理解企業(yè)的商業(yè)和業(yè)務意圖，并自動轉化為最佳網絡配置下發(fā)。例如企業(yè)需要部署一個VR體驗應用，系統(tǒng)自動會推薦部署方案、安全策略、負載芬達策略、外部網絡出口等，并最終提供一個可訪問的鏈接地址；系統(tǒng)也會持續(xù)

10、學習業(yè)務意圖，自主決策調整網絡策略，如根據應用訪問連接數量、建鏈成功率等數據，識別異常訪問的鏈接，自主調整網絡的策略。除了理解業(yè)務意圖以外，網絡自身也會完成調優(yōu)和演進，例如通過云端學習發(fā)現鏈路劣化的特征，通過本地的數據分析，提起發(fā)現將要出現的故障，并對將要發(fā)生的故障進行處理和規(guī)避，避免故障對業(yè)務造成影響。網絡自動駕駛的本質是機器決策替代人的決策，數據和算法替代人的經驗；網絡自動駕駛系統(tǒng)通過云端和本地學習，加快知識的傳播。在不久的將來用戶將感知不到網絡的存在，但網絡又無處不在。網絡自動駕駛的分級和定義要實現數據中心網絡完全的自動駕駛，必然是一個長期的過程，華為從執(zhí)行、監(jiān)控、分析、決策和意圖等維度

11、將網絡自動駕駛分為五個等級，如REF _table2036815468519 r h表1-1所示。網絡自動駕駛分級介紹級別關鍵特征評估維度執(zhí)行監(jiān)控分析決策意圖L0Manual Operation & Maintenance手工操作全人工的命令行操作人工人工人工人工設備命令級L1Assisted Operation & Maintenance工具輔助批量工具或腳本下發(fā)，系統(tǒng)提供監(jiān)控人工為主系統(tǒng)為主人工人工批量腳本L2Partial Autonomous Network部分自治網絡基于網絡級模型的自動執(zhí)行，提供可視監(jiān)控能力，人工判斷決策系統(tǒng)為主系統(tǒng)為主人工為主人工為主網絡模型級L3Conditio

12、nal Autonomous Network限定條件自治網絡基于業(yè)務意圖，系統(tǒng)提供決策推薦，人工確認授權后，部分故障和意圖全自動閉環(huán)系統(tǒng)系統(tǒng)系統(tǒng)為主系統(tǒng)為主網絡模型級+業(yè)務意圖級L4Highly Autonomous Network高度自治網絡基于常見業(yè)務意圖或故障，系統(tǒng)持續(xù)實時監(jiān)控，并主動糾偏，保證網絡的持續(xù)滿足要求系統(tǒng)系統(tǒng)系統(tǒng)系統(tǒng)業(yè)務意圖級L5Full Autonomous Network全自治網絡任意場景中系統(tǒng)完成全部閉環(huán)系統(tǒng)系統(tǒng)系統(tǒng)系統(tǒng)業(yè)務意圖級L0 - 手工操作：所有操作全部通過人工執(zhí)行，包括配置下發(fā)，狀態(tài)查詢都是通過命令行完成，這是網絡的最初始階段。L1 - 工具輔助：針對已知重復

13、性的任務，通過工具或腳本批量操作，輔助用戶提高效率，一般是針對一個或多個網元。例如，批處理工具。L2 - 部分自治網絡：大部分用戶和廠商都處于這個階段。這個階段關鍵點是從網元視角轉變?yōu)榫W絡視角，比如業(yè)界的Fabric、VPC等概念，都是讓用戶從整個網絡考慮問題，擺脫對單網元命令行的依賴。同時系統(tǒng)提供整個網絡的監(jiān)控和可視，用戶根據系提供的監(jiān)控結果，人工分析和定位。L3 - 限定條件自治網絡：系統(tǒng)從網絡視角轉變?yōu)闃I(yè)務視角，通過業(yè)務意圖驅動整個網絡的運行，此時系統(tǒng)從被動執(zhí)行轉變?yōu)橹悄軟Q策，比如推薦網絡的最佳方案、提供事前評估、事后自動驗收、發(fā)現問題后自動定位根因等，此時系統(tǒng)有了智能化能力，給用戶提供

14、更豐富的建議，用戶授權確認后，可實現部分場景的閉環(huán)管理。L4 - 高度自治網絡：相比L3階段，L4階段的網絡智能化程度更高。系統(tǒng)可以提前預測和分析潛在的風險，并主動進行優(yōu)化調整，保證網絡是持續(xù)滿足業(yè)務要求的。針對突發(fā)問題，系統(tǒng)有主動糾偏的能力。實現對網絡的完整閉環(huán)管理。L5 - 全自治網絡：這是數據中心網絡發(fā)展的終極目標，系統(tǒng)具備在任意場景中跨業(yè)務、跨領域的全生命周期的閉環(huán)自動化能力，真正實現無人駕駛網絡。華為CloudFabric V100R020C00版本具備L3網絡自動駕駛能力，即：可基于業(yè)務意圖提供決策推薦，并在人工確認后具備部分故障和意圖的全自動閉環(huán)能力。從L3自動駕駛等級開始，網絡

15、具備了基于意圖驅動的能力，根據Gartner的數據顯示，75%的組織機構仍然通過手動操作來管理他們的網絡，很多組織仍然使用最初的命令行界面（CLI）?；谝鈭D的網絡旨在通過消除手動配置來降低網絡復雜性并提高自動化水平，他使得用戶可以使用自然語言向物理網絡發(fā)送一個簡單的請求，而網絡可以對此進行相應?；谝鈭D的網絡是目前SDN組網方案中熱門的技術，作為網絡市場的最大參與者之一，華為公司正在積極倡導、規(guī)劃并落地這一理念。IDN（Intent-Driven Network）是華為公司在2018年MWC（Mobile World Congress，世界移動通信大會）上發(fā)布的基于意圖驅動的智簡網絡解決方案

16、，通過在物理網絡和商業(yè)意圖之間構建一個橋梁，跨越客戶商業(yè)意圖與物理網絡之間的鴻溝，驅動網絡從SDN網絡向自治網絡（Autonomous Network）演進，使能商業(yè)價值最大化。意圖網絡是將用戶的體驗和網絡一起進行數字化，從網絡為中心轉向以用戶為中心，基于數字化的世界提供業(yè)務，改善用戶體驗，進行預防性的維護。意圖網絡的核心是基于ABC（AI人工智能，BigData大數據，Cloud云計算）的技術，真正實現以用戶的商業(yè)邏輯和業(yè)務策略意圖為驅動，構建智慧、極簡、超寬、安全、開放的智能網絡。意圖驅動的網絡帶來的四大變化：從以網絡為中心到以用戶為中心從碎片化管理到閉環(huán)管理從被動響應到主動預測從技術依賴

17、到人工智能/自動化華為定義的意圖驅動的網絡具有八大場景，我們在此介紹的其中之一 “數據中心網絡”場景下的意圖網絡技術。CloudFabric基于意圖驅動的自動駕駛網絡介紹基于意圖驅動的網絡概念是相較于傳統(tǒng)網絡的配置模式而言。傳統(tǒng)網絡中，當用戶有業(yè)務需要上線時，網絡管理員根據業(yè)務管理員描述的業(yè)務需求（業(yè)務的上線位置和互訪要求等），通過CLI的人機交互界面完成對設備的配置，眾所周知，基于命令行的配置對管理員的專業(yè)技能要求較高，實施比較復雜，周期長，而配置中出現錯誤的概率也比較大，所以極大的影響了業(yè)務的上線效率?；谝鈭D驅動的網絡，簡單來說就是實現將用戶的業(yè)務需求自動轉換為網絡配置，用戶無需深入了解

18、設備的配置原理，只需描述業(yè)務應用對網絡資源的需求和互訪行為等，由網絡控制器自動將用戶對業(yè)務的描述轉換為邏輯網絡模型，并最終翻譯為設備的配置下發(fā)。方案特點CloudFabric解決方案在意圖網絡的設計上也是從易用性及高效發(fā)放方面重點考慮，網絡的編排過程通過業(yè)務化的描述語言輸入，對用戶的意圖進行解析，并自動轉為設備的配置進行下發(fā)，從而實現對網絡的簡單、高效利用的目的。特點1：網絡編排業(yè)務化CloudFabric解決方案中，iMaster NCE-Fabric控制器在進行意圖網絡的編排時，最大程度讓用戶使用業(yè)務化的描述作為編排輸入，控制器底層通過內置的AI算法，能給根據用戶的業(yè)務意圖輸入，自動計算出

19、對網絡的需求，進而自動生成網絡模型下發(fā)。因此在網絡編排層面，屏蔽了以往對網絡配置的高技術門檻要求，用戶僅需要按自己的業(yè)務需求進行編排描述即可。例如：服務器擴容場景，用戶僅需描述擴容服務器數量、接入位置、服務器接入的網絡平面等基本信息，即可實現服務器接入網絡的自動化批量擴容，相比傳統(tǒng)通過CLI或網管進行配置，效率大幅提升，而且無需復雜的網絡規(guī)劃設計。特點2：網絡配置自動化基于意圖發(fā)放的網絡，iMaster NCE-Fabric控制器可以將用戶輸入的意圖自動轉換為對設備的配置下發(fā)，控制器是基于意圖的網絡方案的核心組件，通過內置的人機意圖轉換邏輯和AI算法，控制器可以將用戶輸入的自然語言轉換為諸如I

20、P地址配置、端口配置、路由配置等設備命令完成業(yè)務網絡的自動下發(fā)，因此基于意圖的網絡讓用戶能夠快速部署和擴展新的數據中心資源，大幅提升網絡運維效率。關鍵特性CloudFabric V100R020C00版本中實現的L3自動駕駛意圖驅動網絡，覆蓋了數據中心網絡全生命周期場景，從Day0 - DayN階段都有涉及，如REF _fig1651217113217 r h圖2-1所示。L3自動駕駛意圖驅動網絡在網絡運維各階段的應用配置回滾特性，請查閱CloudFabric V100R020C00 運營維護設計指南。網絡健康度、業(yè)務畫像、故障1-3-5特性，請查閱CloudFabric V100R020C0

21、0 網絡健康度設計指南。安裝部署階段該階段包括了設備快速開局上線及對上線后的Underlay網絡連通性進行仿真檢查，兩種意圖網絡場景：極簡ZTP：該階段為了滿足數據中心網絡快速上線的需要，用戶通過向導式的部署描述unerlay組網意圖，通過在界面上輸入幾個必要的設備和鏈路參數就可以自動生成拓撲規(guī)劃表，該模式解決了手工填寫網絡拓撲規(guī)劃信息的繁瑣過程，極大程度地提高了開局效率。Underlay網絡檢測：在Underlay網絡上線后，為了能夠快速檢測Underlay網絡間連通性是否正常，iMaster NCE-Fabric控制器通過CPV仿真算法，對用戶提交的Fabric網絡連通性進行仿真計算，以便

22、及時發(fā)現Underlay網絡中是否存在問題，為后續(xù)Overlay業(yè)務上線奠定基礎。業(yè)務發(fā)放階段：業(yè)務發(fā)放前仿真：用戶在編排完Overlay邏輯網絡后，為保證SDN控制器組裝的配置模型，下發(fā)至物理網絡時的實際業(yè)務轉發(fā)行為與原始業(yè)務意圖一致，用戶可以事先發(fā)起對未下發(fā)的邏輯網絡進行連通性仿真，以提前檢查業(yè)務下發(fā)至物理網絡時的轉發(fā)效果，避免由于用戶的編排失誤導致業(yè)務上線后的網絡訪問出現異常。監(jiān)控排障階段：業(yè)務發(fā)放后校驗：相對于“業(yè)務發(fā)放前仿真”，業(yè)務發(fā)放后校驗，是用戶將編排的業(yè)務網絡下發(fā)到物理網絡后，為了監(jiān)控業(yè)務網絡的連通性、轉發(fā)路徑及相關SLA等是否正常，通過提交自己的網絡驗證意圖，由FabricI

23、nsight定期獲取設備的配置、轉發(fā)表項等數據，通過DPV引擎進行計算，呈現業(yè)務網絡的實際轉發(fā)行為供用戶參考。網絡變更階段：交換機擴容：iMaster NCE-Fabric控制器支持對通過ZTP上線的Spine設備或Leaf設備進行擴容。用戶可根據實際需求導入新設備的拓撲信息，iMaster NCE-Fabric控制器自動執(zhí)行ZTP任務流程完成新設備的上線。用戶導入新設備拓撲信息的方式有兩種：模板導入拓撲和自動生成拓撲，取決于新設備所屬的Fabric開局時使用的拓撲規(guī)劃方式。服務器擴容：CloudFabric解決方案中，采用基于意圖的服務器自動化擴容技術，用戶在控制器界面上輸入包括服務器的位置

24、、數量、接入的網絡平面、網卡綁定關系等必要的擴容參數，即可實現服務器自動化快速部署接入網絡。替換交換機：當網絡中的設備出現故障時，iMaster NCE-Fabric控制器提供自動化替換流程，用戶在控制器UI中選擇需要替換的網絡設備（當前版本支持對CE交換機進行替換操作），并根據向導提示輸入必要的參數，控制器即可完成替換設備的上線納管及備份配置文件的加載，同時還會對替換后的設備配置進行校驗，已修復控制器與交換機間配置數據一致性問題。替換端口：由于設備端口故障，需要將原先接入故障端口的業(yè)務轉移至其他正常端口下，此時可以通過iMaster NCE-Fabric控制器提供的“替換端口”功能實現自動將

25、故障端口上的配置轉移至替換后的端口。用戶僅需通過選擇替換前端口和替換后端口，然后點擊“替換”等簡單幾步操作即可實現，簡化了對設備的配置維護工作，實現網絡業(yè)務的快速變更。DAY0：設計開局階段意圖 HYPERLINK l _ZH-CN_TOPIC_0249302308 o 3.1 極簡ZTP HYPERLINK l _ZH-CN_TOPIC_0249302309 o 3.2 Underlay網絡檢測極簡ZTP極簡ZTP，又稱為“經典配置規(guī)劃模式”，是一種自動化生成規(guī)劃文件的方式，用戶在控制器界面上輸入幾個必要的設備參數和鏈路參數就可以自動生成拓撲規(guī)劃表。該模式解決了手工制作網絡拓撲規(guī)劃文件的繁瑣

26、過程，極大程度地提高了開局效率。經典配置規(guī)劃模式需要填寫下列參數生成拓撲規(guī)劃文件：設備信息：如REF _fig10321154313598 r h圖3-1所示，包括Spine和Leaf數量及Spine設備ESN號。Spine數量不超過4，通常為2或4。ESN號帶外管理網必填，用于首層設備Spine的身份識別；帶內組網可不填，使用根設備Sysname作為身份識別。組網信息：如REF _fig10321154313598 r h圖3-1所示，組網管理方式分為帶內管理網、帶外Meth口管理網、VPN隔離的帶外管理網，選擇“VPN隔離的帶外管理網”時，須填寫管理VPN的名稱。帶內管理網時需要輸入根設備

27、信息，包括Sysname、管理IP和VTEP IP，用于生成根設備自身的規(guī)劃信息。鏈路信息：如REF _fig117901211504 r h圖3-2所示，設備間的互聯(lián)鏈路，包括Spine和Leaf互聯(lián)鏈路（Spine下行口范圍、Leaf上行口范圍）以及M-LAG組網需填寫Leaf間的Peer-link鏈路；帶內組網時，還需輸入根設備下行口范圍和Spine設備上行鏈路。經典配置規(guī)劃模式-設備信息&組網信息組網鏈路信息然后結合網絡地址規(guī)劃情況，配置以下地址資源池：管理地址池：為待部署設備分配管理IP地址。互聯(lián)地址池：為待部署設備分配互聯(lián)IP地址。VTEP IP地址池：為待部署的VXLAN NVE

28、節(jié)點分配VTEP IP地址。BGP PEER IP地址池：為待部署設備分配BGP PEER IP地址，用于和其他節(jié)點建立BGP PEER。帶外組網時該選項為必填。帶內組網由于BGP PEER IP和管理地址均使用loopback 1地址，所以只需填入管理地址池，無需填寫該選項。配置完上述地址資源池，控制器將為每個設備從資源池中分配一個IP地址，結合用戶輸出的上述拓撲參數，系統(tǒng)自動生成每臺設備的詳細規(guī)劃數據，該規(guī)劃數據支持以拓撲圖及列表方式呈現預覽，同時也支持數據導出，如REF _fig1658113464019 r h圖3-3所示。自動生成的組網拓撲Underlay網絡檢測網絡檢測功能是對Un

29、derlay網絡配置進行檢測，便于運維人員盡早發(fā)現故障和問題，及時定位與處理。支持的網絡檢測項如下：設備之間的路徑連通性（不包括防火墻設備和與之連接的鏈路）。網絡中是否存在路由黑洞。網絡中是否存在路由環(huán)路。校驗網絡配置參數，所校驗的參數和內容如REF _table18108133213595 r h表3-1所示。網絡配置參數校驗說明參數名稱校驗內容OSPFRouter ID是否唯一鏈路兩端的OSPF接口的網絡類型是否一致OSPF鄰居之間Hello報文時間是否一致VTEP IP網絡中VTEP IP地址是否唯一同一設備組內設備的VTEP IP是否相同VTEP MAC網絡中VTEP MAC是否唯一同

30、一設備組內設備的VTEP MAC是否相同互聯(lián)IP同一設備的互聯(lián)IP地址是否唯一互聯(lián)鏈路兩端接口的IP地址是否為同網段不支持對Eth-Trunk接口、物理接口下的邏輯子接口、Vlanif接口進行互聯(lián)IP的校驗。前提條件Underlay網絡已部署完成。操作步驟選擇需要檢測的網絡，開始檢測。在“運維監(jiān)控”APP的菜單中選擇“診斷 網絡檢測”。選擇需要檢測的Fabric，單擊“開始檢測”。用戶也可進入物理拓撲圖，右鍵單擊需要檢測的Fabric圖標，選擇“網絡檢測”，開始檢測。頁面左側顯示檢測進展。當檢測進度達到100%時，檢測完成，顯示檢測結果，包括驗證結果總數、正常路徑數、不通路徑數、網絡環(huán)路數和路

31、由黑洞數。在驗證結果頁面下方選擇對應頁簽分別查看檢測結果。連通性連通性顯示的是設備分別作為源設備和目的設備與其他設備之間的鏈路的連通性檢測結果。當“狀態(tài)”為“故障”，則表示源設備與目的設備之間的某一條或多條鏈路斷連。當“狀態(tài)”為“正常”，則表示源設備與目的設備之間的所有鏈路正常。單擊查看源設備與目的設備之間所有路徑信息與狀態(tài)。單擊某一條路徑，頁面上方拓展示該條鏈路的拓撲圖。路由黑洞顯示網絡中所存在的路由黑洞。路由環(huán)路顯示網絡中所存在的路由環(huán)路。配置校驗顯示網絡配置參數的校驗結果。單擊參數后面的數字，列表顯示該參數校驗詳情，包括錯誤類型和錯誤碼。單擊錯誤信息前的，查看報錯設備和參數值。結束DAY

32、1：業(yè)務發(fā)放變更階段意圖數據中心內的業(yè)務系統(tǒng)借助虛擬化、云計算、容器等技術極大的提高了業(yè)務部署的敏捷性及資源利用率，計算實例（裸金屬/虛機/容器等）根據業(yè)務需求持續(xù)的在不同物理服務器上被創(chuàng)建、部署、變更和銷毀；數據中心網絡也逐漸從相對穩(wěn)定演進到了持續(xù)的動態(tài)變化，網絡業(yè)務發(fā)放及變更等操作也變得更加頻繁，以滿足多變的業(yè)務訴求及計算實例部署形態(tài)的變化；雖然SDN技術通過采用圖形化界面、拖拽式操作等在一定程度上提高了網絡業(yè)務發(fā)放及變更效率，但是技術人員在運維數據中心網絡時仍然存在以下幾個問題：無法預判網絡設備資源（例如BD/VNI、VRF、靜態(tài)路由等）是否滿足新業(yè)務發(fā)放需求。網絡變更實施前難以評估網絡

33、變更對現有業(yè)務的運行是否會造成影響。網絡變更完成后業(yè)務是否能正常運行難以評估，故障感知依賴被動值守等待業(yè)務上線運行異常。網絡業(yè)務發(fā)放及變更引起的網絡設備配置變化無法感知，依賴于事后逐設備人工比對。華為CloudFabric網絡業(yè)務發(fā)放前校驗（CPV）方案引入“設計態(tài)”概念，用戶可以對需要進行業(yè)務變更/發(fā)放的租戶開啟“設計態(tài)”；開啟“設計態(tài)”后用戶進行網絡業(yè)務及變更編排，編排完成后提交給iMaster NCE-Fabric對變更內容進行自動化仿真驗證，并可針對用戶網絡資源、配置變更內容、連通性等進行自動化仿真校驗，當前iMaster NCE-Fabric對Overlay IPv4及IPv6網絡均

34、可實施仿真。具體業(yè)務流程如REF _fig91330441418 r h圖4-1所示。業(yè)務發(fā)放前校驗流程 HYPERLINK l _ZH-CN_TOPIC_0249302852 o 4.1 CPV連通性仿真CPV連通性仿真網絡業(yè)務編排（設計態(tài)）用戶針對需要進行網絡業(yè)務編排的租戶開啟設計態(tài)，當前iMaster NCE-Fabric僅支持同時對一個租戶開啟設計態(tài)；用戶可以對租戶所屬的VPC業(yè)務及跨VPC互通業(yè)務進行編排用戶在設計進行的變更操作不會直接下發(fā)到設備。設計態(tài)編排界面和iMaster NCE-Fabric上普通業(yè)務發(fā)放界面一致，業(yè)務編排添加的元素（邏輯路由器/交換機等）在編排界面中的圖標會

35、添加+進行識別，如下圖。用戶完成業(yè)務編排后可將編排內容提交仿真，iMaster NCE-Fabric會對已存在業(yè)務及本次編排內容進行仿真模擬；用戶提交仿真時配置內容并不會真實下發(fā)到CE交換機，而是通過仿真引擎對已有配置和新增配置進行疊加后進行建模。在給某租戶開啟設計態(tài)后，可以繼續(xù)編排VPC業(yè)務，編排完成后單擊“仿真評估”來啟動仿真評估。網絡資源仿真校驗數據中心內網絡設備數量眾多且配置復雜，云計算及容器技術給業(yè)務應用帶來敏捷性的同時也增加了網絡的復雜性及網絡業(yè)務發(fā)放/變更的頻率。發(fā)放新的業(yè)務或進行網絡變更前運維人員需要評估設備上的資源是否可以滿足新的業(yè)務需求，以避免由于設備資源不足導致業(yè)務下發(fā)失

36、敗或新業(yè)務下發(fā)導致已有業(yè)務故障；傳統(tǒng)情況下依賴于運維人員人工登錄設備查看當前資源使用率，之后根據個人經驗對資源需求進行預估，這種操作方式不僅效率低下且準確度取決于運維人員的技術水平。iMaster NCE-Fabric的網絡資源仿真校驗功能通過對設備資源持續(xù)監(jiān)控獲取實時設備資源利用率，并通過CPV仿真建模準確預估單次業(yè)務發(fā)放需要消耗的網絡資源；從而可以輔助用戶判斷整網設備的空閑資源是否可以滿足待下發(fā)業(yè)務的需求，以避免網絡設備資源不足導致業(yè)務下發(fā)失敗或其他故障。用戶在設計態(tài)完成業(yè)務編排后提交仿真，iMaster NCE-Fabric建模仿真后直觀呈現待發(fā)放業(yè)務的資源校驗結果，如下圖所示。如上圖，

37、用戶在“資源占用及配置變更”界面可直接查看待部署業(yè)務即將下發(fā)到哪些設備上，iMaster NCE-Fabric直觀的呈現每臺設備上資源占用情況（已消耗/本次消耗/資源總量）。網絡連通性校驗用戶在設計態(tài)完成業(yè)務編排后，可以先提交業(yè)務連通性仿真校驗，在配置下發(fā)到網絡設備上之前，就通過仿真系統(tǒng)查看業(yè)務的連通情況是否符合預期，用戶通過選取需要校驗的源和目的對象提交連通性校驗。源和目的對象可以是endport、logic switch及l(fā)ogic router，用戶也可以指定業(yè)務會話的協(xié)議和端口，以便聚焦驗證范圍。如果用戶提交的是IP地址，則控制器會驗證所有65535個協(xié)議端口間的連通性情況。如果用戶提

38、交的是logic switch，則控制器會校驗兩組logic switch間IP+端口的所有組合。如果用戶提交的是logic router，則控制器會校驗兩組logic router間IP+端口的所有組合。設備配置變更內容預覽用戶通過設計態(tài)編排的業(yè)務，在網絡配置下發(fā)到設備上之前可以預先將配置呈現出來，供用戶查看配置詳情。DAY2：日常運維階段意圖 HYPERLINK l _ZH-CN_TOPIC_0249302854 o 5.1 業(yè)務發(fā)放后可達性校驗業(yè)務發(fā)放后可達性校驗CloudFabric V100R020C00解決方案中，為了讓用戶對業(yè)務下發(fā)后的實際轉發(fā)行為和連通性能夠有及時的了解，解決方

39、案組件FabricInsight通過DPV引擎實現了對多種網絡場景下的可達性進行驗證，使網絡運維人員能夠早于業(yè)務報障先行發(fā)現網絡問題，及時修復，有效提升業(yè)務連續(xù)性水平。方案特點：FabricInsight通過定期采集網絡中的相關數據，包括設備配置、設備ARP表、FIB表、網絡拓撲及網絡設備對象的狀態(tài)等，提交給DPV引擎；DPV引擎通過仿真驗證算法模擬網絡設備的轉發(fā)行為，并最終給出通斷、中斷原因、途徑節(jié)點等結果，實現原理如REF _fig161484269318 r h圖5-1所示。業(yè)務發(fā)放后DPV可達性驗證CloudFabric V100R020C00版本FabricInsight提供對多種場

40、景下的網絡可達性校驗能力，包括：BGP Peer可達性校驗VXLAN隧道可達性校驗Underlay配置一致性驗證網絡中是否存在路由環(huán)路/路由黑洞Overlay子網連通性校驗IP/子網間是否隔離BGP Peer可達性校驗BGP Peer可達性驗證是FabricInsight預制的驗證項，主要是針對同一個Fabric組網中的BGP對等體設備間的可達性進行驗證，需要驗證的BGP對等體是FabricInsight根據設備的配置還原而來。以下面的配置為例來說明FabricInsight如何獲取需要驗證的BGP對等體組。bgp 100 router-id advertise lowest-priority

41、 all-address-family peer-up delay 360 undo default ipv4-unicast group Spine internal peer group Spine peer group Spine peer Spine connect-interface LoopBack1從上面配置中FabricInsight獲取的本地設備BGP會話的源IP為loopback1接口所配置的IP地址，目的IP為peer IP地址 group命令中的IP，以此源/目的地址對來驗證彼此之間的可達性，最終的驗證結果如REF _fig16301219315 r h圖5-2所示：【

42、可達性狀態(tài)】下的箭頭表示轉發(fā)方向，紅色箭頭表示在此方向上不可達，綠色箭頭表示在此方式上可達。BGP對等體可達性驗證VXLAN隧道可達性校驗VXLAN隧道可達性驗證是FabricInsight預制的驗證項，FabricInsight使用DPV技術驗證同一Fabric內的VXLAN隧道間的可達性，通過查詢配置發(fā)現有建立VXLAN隧道的設備間的聯(lián)系。# 查看VXLAN隧道的信息。 display vxlan tunnelNumber of vxlan tunnel : 3 Tunnel ID Source Destination State Type Uptime 4026531844 up sta

43、tic 03:12:33 4026531846 up static 12:23:45 4026531847 down static - 通過上述查詢信息FabricInsight可以查詢到建立VXLAN隧道的源和目的IP。interface Nve1 source 通過上述NVE的配置，確定源目標IP的所掛接的接口，將上述源目的IP的可達性請求輸入DPV引擎后，可計算出所有VXLAN隧道間的連通結果，VXLAN隧道可達性驗證結果如REF _fig87031913168 r h圖5-3所示：【可達性狀態(tài)】下的箭頭表示轉發(fā)方向，紅色箭頭表示在此方向上不可達，綠色箭頭表示在此方式上可達。VXLAN隧

44、道可達性驗證Underlay配置一致性驗證FabricInsight會對組網設備間網絡側鏈路的配置一致性進行驗證，該功能也為預制能力。FabricInsight主要驗證互聯(lián)鏈路兩端接口上的配置及運行模式相關的一致性，包括：接口的雙工模式、速率、MTU、VLAN、自協(xié)商模式、接口工作模式、IP子網。雙工模式如下圖所示，FabricInsight通過檢查互聯(lián)鏈路兩端接口工作的雙工模式是否一致，向用戶呈現該驗證項狀態(tài)是否正常。速率如下圖所示，FabricInsight通過檢查互聯(lián)鏈路兩端接口的實際運行速率是否一致，向用戶呈現該驗證項狀態(tài)是否正常。MTU如下圖所示，FabricInsight通過檢查互

45、聯(lián)鏈路兩端接口的MTU值是否一致，向用戶呈現該驗證項狀態(tài)是否正常。VLAN如下圖所示，FabricInsight通過檢查互聯(lián)鏈路兩端接口的VLAN封裝是否一致，向用戶呈現該驗證項狀態(tài)是否正常。自協(xié)商模式如下圖所示，FabricInsight通過檢查互聯(lián)鏈路兩端接口的自協(xié)商配置模式是否一致，向用戶呈現該驗證項狀態(tài)是否正常。工作模式如下圖所示，FabricInsight通過檢查互聯(lián)鏈路兩端接口的L2/L3模式是否一致，向用戶呈現該驗證項狀態(tài)是否正常。IP子網如下圖所示，當互聯(lián)鏈路為L3鏈路時，FabricInsight通過檢查互聯(lián)鏈路兩端接口所配置的子網是否位于同一網段，向用戶呈現該驗證項狀態(tài)是否

46、正常。網絡中是否存在路由環(huán)路/路由黑洞網絡中由于路由的配置問題，或路由震蕩等原因可能導致網絡中出現三層轉發(fā)環(huán)路，FabricInsight通過采集設備的轉發(fā)表項、拓撲及配置數據，導入DPV引擎可以計算出針對特定網段的路由環(huán)路。FabricInsight通過分析設備上的配置和FIB表項，發(fā)現特定目的IP無下一跳或下一跳接口為null，來報告網絡中是否存在路由黑洞。路由環(huán)路在意圖環(huán)路的呈現UI，可以查看當前已發(fā)生路由環(huán)路的路徑，點擊路徑上的網元可以查看該網元上發(fā)生路由環(huán)路的目的IP。路由黑洞黑洞路由的呈現UI，可以查看與黑洞路由相關的前一跳設備，及發(fā)生黑洞路由的設備，以及引發(fā)黑洞路由的“疑似原因”

47、。Overlay子網連通性校驗FabricInsight為用戶提供了自定義驗證子網連通性的選項。用戶可以在“意圖驗證”頁面新增新的意圖規(guī)則來監(jiān)控不同IP間的可達性。創(chuàng)建可達性意圖規(guī)則用戶在創(chuàng)建的意圖規(guī)則中定義監(jiān)控網段所屬的Fabric，源和目的IP，協(xié)議端口；如果用戶希望源/目的間IP互訪需要經過指定設備，可以在“途徑節(jié)點”項中選擇，當FabricInsight計算出來的路徑沒有包含指定節(jié)點時，會報告與意圖規(guī)則不一致。IP/子網間是否隔離用戶的業(yè)務網絡如果有IP間隔離的要求，也可以創(chuàng)建意圖規(guī)則來監(jiān)控這些IP間是否真的不可互訪。創(chuàng)建隔離性意圖規(guī)則在“意圖驗證”界面通過“增加意圖”來創(chuàng)建隔離性規(guī)則

48、，選擇監(jiān)控業(yè)務所屬的Fabric，自定義需要隔離的源/目的IP地址/協(xié)議/端口即可開啟隔離性監(jiān)控，如果FabricInsight在后續(xù)的檢測中發(fā)現規(guī)則中的源/目的IP可以互訪，則會報告狀態(tài)異常并給出提示。DAY N：網絡變更階段意圖 HYPERLINK l _ZH-CN_TOPIC_0249324781 o 6.1 交換機擴容 HYPERLINK l _ZH-CN_TOPIC_0249324782 o 6.2 服務器擴容 HYPERLINK l _ZH-CN_TOPIC_0249324783 o 6.3 替換交換機 HYPERLINK l _ZH-CN_TOPIC_0249324784 o 6

49、.4 替換端口交換機擴容iMaster NCE-Fabric支持對通過ZTP上線的Spine設備或Leaf設備進行擴容。用戶可根據實際需求導入新設備的拓撲信息（包括設備信息和互聯(lián)信息），iMaster NCE-Fabric自動執(zhí)行ZTP任務流程完成新設備的上線。用戶導入新設備拓撲信息的方式有兩種：模板導入拓撲和自動生成拓撲，取決于新設備所屬的Fabric開局時使用的拓撲規(guī)劃方式。前提條件Underlay網絡已使用ZTP方式進行部署。操作步驟在“網絡規(guī)建”APP 菜單中選擇“部署 網絡擴容”。在“新導入設備”頁面的“所屬region”的下拉菜單中選擇需要擴容的網絡。添加新設備的拓撲信息。模板導入

50、單擊“模板.xlsx”下載模板。參見模板表格中的“說明”和“典型場景數據樣例”頁簽，結合實際組網情況，填寫模板。單擊，選擇已填寫好的模板，單擊“上傳”。自動生成根據需要擴容的設備類型選擇Leaf擴容或Spine擴容。若擴容Leaf，設置需要擴容的數量和組網形態(tài)，在“Leaf組網形態(tài)”下拉菜單中選擇“單設備”、“M-LAG”或“堆疊”。每次只能選擇一種組網形態(tài)。若擴容Spine，請輸入新設備的ESN號，每次只能輸入一臺Spine設備序列號。單擊“預覽并確認規(guī)劃拓撲”查看并確認拓撲圖。在“待上線設備”列表中勾選待擴容設備，單擊“下一步”。頁面顯示選中的設備所關聯(lián)的拓撲圖以及設備、鏈路和互聯(lián)信息，單

51、擊“導出”，將這些信息以.xls文件格式導出。（可選）若需要修改設備名稱和設備位置，可在“設備”頁簽中勾選設備，單擊“操作”列的進行修改。勾選需要上線的設備，單擊“上線”。將待擴容設備接入網絡，確保其物理鏈路與導入的拓撲一致，并上電。當設備部署狀態(tài)達到100%時，擴容完成。若部署過程中某臺設備的進度一直未達到，可單擊“完成”。結束部署流程。在設備側清理執(zhí)行的部署任務，處理報錯后重新啟動部署流程。選擇“網絡部署 任務管理”，查看所有擴容任務進度。任務結果為“完成”，表示擴容已完成。任務結果為“進行中”，表示擴容任務正在執(zhí)行。單擊，頁面展示任務進展詳情。（可選）若需要終止任務，可單擊。服務器擴容在

52、數據中心的日常維護中，服務器擴容是一個經常性且關鍵的工作，通常情況下管理員需要事先規(guī)劃好服務器接入的網絡平面及相關網絡參數（如接入VLAN），服務器各網卡與交換機的連接關系，然后根據規(guī)劃設計對服務器接入交換機的各個端口進行配置，傳統(tǒng)方法在大批量擴容服務器時，效率低耗時長，無法滿足業(yè)務快速上線的需要。CloudFabric解決方案，采用基于意圖的服務器自動化擴容技術，用戶在控制器界面上輸入服務器擴容的相關參數，可以實現服務器接入網絡的快速自動化配置。用戶在使用控制器的服務器擴容功能之前，需要針對同批次擴容的服務器規(guī)劃好統(tǒng)一網絡設計，這些統(tǒng)一的設計要求包括：服務器的網絡接入平面一致（如都有管理網、

53、業(yè)務網和存儲網）服務器各平面接入的網卡數量和bond模式一致服務器各平面接入的交換機組網模式一致（如都是堆疊、M-LAG或單機組網）服務器各平面Underlay或Overlay網絡廣播域規(guī)劃一致使用意圖編排批量上線的服務器需要支持LLDP在符合上述規(guī)劃部署的前提下，用戶可通過一次性編排輸入服務器通用上線網絡參數，控制器通過讀取交換機的LLDP信息自動識別服務器的上線位置，并對交換機的接入端口進行自動化配置，達到批量服務器快速、高效的上線的效果。服務器批量擴容示意圖在服務器批量擴容的意圖編排主要聚焦在幾個關鍵網絡參數的配置：指定服務器數量：是為了使控制器統(tǒng)計本批次成功完成上線配置的數量。指定服務

54、器接入位置：是為了使控制器本批次僅處理從指定交換機接收的服務器上線數據，摒棄其他交換機上收到數據的干擾，也避免誤配非本次上線計劃內的服務器接入設備?！肮芾砭W絡”和“存儲網絡”的網絡類型可選擇Underlay或Overlay網絡：如果網絡類型為Underlay，則用戶需要選擇該網絡平面的接入VLAN。如果網絡類型為Overlay的話用戶需要選擇該網絡平面所屬的“Swtich名”，該Swtich為用戶已創(chuàng)建的某個VPC內的Logicswitch，iMaster NCE-Fabric控制器據此將在服務器上線時打通其所在的Overlay網絡配置?！熬W卡平面”：需要設置該批次上線服務器中具體物理網卡將用

55、來接入的網絡平面（如管理網或存儲網等預先設置的網絡平面）。如果有多個網絡平面共用同一網卡的情況，可以為該網卡綁定多個網絡平面?！熬W卡模式”：如果選擇了負載分擔模式，則位于同一網絡平面中有多個網卡上線后，iMaster NCE-Fabric控制器將在交換機上將接入這些網卡的端口綁定為同一Eth-Trunk。如果選擇了主備模式，則iMaster NCE-Fabric控制器將每個網卡的接入端口下發(fā)相同的獨立配置?！癙XE自動配置”：勾選后，iMaster NCE-Fabric控制器將會在本次指定的交換機設備組接入端口上均下發(fā)接入PXE網絡的配置，用于所有服務器初次上線時的PXE需要。待本批次服務器擴

56、容流程結束后，iMaster NCE-Fabric控制器將重新檢查交換機的哪些端口沒有服務器接入，并回收此類型端口上的PXE配置。具體的服務器擴容UI界面參考如下：替換交換機替換設備（非ZTP設備）當用戶組網中的物理設備（非ZTP設備）發(fā)生故障或升級更替時，需要進行設備替換操作。用戶場景iMaster NCE-Fabric支持替換用戶網絡中的物理設備。替換過程中，需要將舊設備下電，會造成相關業(yè)務暫時中斷。替換成功后，新設備與iMaster NCE-Fabric重新建立連接并恢復業(yè)務。非ZTP設備替換支持同系列、不同款型的設備硬件替換，為了保證替換后設備跟替換前的設備在網絡上的地位與配置相同，建

57、議用戶替換同一型號的物理設備，業(yè)務配置保持一致等。在設備替換成功后，iMaster NCE-Fabric在設備替換成功后手工執(zhí)行數據對賬。前提條件非ZTP設備在使用ZTP方式替換時，新設備的設備型號、接口等硬件信息與舊設備完全一致。新設備的軟件版本與舊設備相同或高于舊設備。新設備已經加載License，且License的規(guī)格不低于舊設備。新設備未被iMaster NCE-Fabric納管。新設備的內存足夠保存最新的配置信息。新設備在設備替換完成之前不要使能LLDP，替換完成后根據實際需要開啟LLDP。非ZTP設備以下介紹的替換方式適用于所有非ZTP設備。將舊設備下電。導出或從歷史備份中獲取舊設

58、備的配置文件（假設文件名為backup.cfg）。將舊設備下電、從網絡中移除。若在iMaster NCE-Fabric的“物理資源 設備管理 設備 SSH指紋策略”頁面已開啟“鎖定首次學習的指紋”，請關閉“鎖定首次學習的指紋”。若未開啟，請?zhí)^該步驟。若設備已開啟SSH公鑰校驗，請關閉校驗。若未開啟，請?zhí)^該步驟。在“系統(tǒng)”APP的菜單中選擇“系統(tǒng)設置 南向協(xié)議 SSH SSH客戶端配置”。去使能設備的校驗開關或勾選需要關閉的設備后單擊“關閉校驗”。在“網絡規(guī)建”APP的菜單中選擇“物理資源 設備管理 設備”。隔離設備。在設備列表中，單擊設備操作列的。單擊“確定”。單擊待替換設備后的。執(zhí)行該步

59、驟前請確保新設備處于離線狀態(tài)。若新設備已上線，請觸發(fā)新設備離線后，再執(zhí)行該步驟。按頁面提示內容檢查無誤后單擊“下一步”。若該設備已加入Fabric，則支持查看設備替換影響分析。單擊不同類型業(yè)務后的數字，頁面下方展示業(yè)務列表。單擊“下一步”。填寫新設備的ESN和MAC地址，單擊“替換”。其中，“新MAC地址”為新設備的橋MAC地址。在設備上執(zhí)行命令display bridge mac-address查看設備的橋MAC地址。 display bridge mac-address System bridge MAC address: xxxx-xxxx-xxxx在彈出窗口中單擊“是”，并在新的彈出窗

60、口中單擊“確定”。上線新設備。將新設備接入網絡，確保所有物理連線與舊設備完全一致，并上電。將舊設備的配置文件backup.cfg上傳到新設備，設置為下次啟動時使用的配置文件，并重啟生效（重啟時請勿保存當前配置）。 startup saved-configuration backup.cfg reboot Info: The system is comparing the configuration, please wait. Warning: All the configuration will be saved to the next startup configuration. Conti