iMaster NCE-WAN V100R020C10 监控拓扑技术白皮书

iMaster NCE-WAN V100R020C10 监控拓扑技术白皮书文档版本01发布日期2021-01-19华为技术有限公司iMaster NCE-WAN V100R020C10 监控拓扑技术白皮书目 录目 录1 概述11.1 产生背景11.2 主要功能11.3 技术特色12 技术实现32.1 监控拓扑基础概念32.2 监控拓扑组件组成32.3 监控拓扑规格42.4 基本原理42.4.1 站点视图显示原理42.4.2 设备视图显示原理62.4.3 分页自定义布局原理62.4.4 数据视图渲染原理72.5 监控拓扑组网介绍72.6 典型业务场景92.6.1 运营商线路断链92.6.2 线路丢包102.6.3 接口利用率冲高112.6.4 站点间互访异常133 缩略语表/Acronyms and Abbreviations15iMaster NCE-WAN V100R020C10 监控拓扑技术白皮书1 概述1 概述本文讲解了iMaster NCE-WAN监控拓扑技术的背景、关键技术、原理以及典型的应用。1.1 产生背景1.2 主要功能1.3 技术特色1.1 产生背景iMaster NCE-WAN EVPN VPN 拓扑是一个可配置的逻辑拓扑，为了展现网络管理员配置的网络拓扑，监控拓扑通过Web UI的方式可视化展现WAN网络拓扑。依托WAN网络拓扑之间的关系，在拓扑的节点和链路进行监控数据呈现，提供运维排障的工具，支持更便捷的网络监控和运维排障能力。1.2 主要功能1. 查看EVPN VPN站点拓扑关系，支持查看局部拓扑并保存布局。2. 支持查看局部逻辑拓扑对应的设备物理拓扑。3. 通过Tip查看站点、站点间、设备和WAN链路基本信息。4. 通过数据渲染查看站点、站点间、设备、WAN链路的监控信息。5. 提供Ping、Trace、表项查询、故障采集和命令行运维工具。6. 通过右键站点、站点间、设备、WAN链路查看对象监控信息或使用运维工具。1.3 技术特色1. 通过组网特点使用不同布局方式展示不同拓扑组网，快速识别组网差异。其中Hub-spoke组网使用Hub在上spoke在下的上下树形式展现，Full-Mesh使用圆形展现，区域互联使用多个不同区域展示。另外引入分页自定义布局方式简化拓扑，提高拓扑的可用性。2. 支持站点逻辑拓扑到设备物理拓扑的映射。3. 多种数据视图多维度监控，可快速切换，数据定时刷新对网络进行实时监控。4. 打造监控运维统一入口，在拓扑中可以进行监控也可以进行运维5. Web界面扁平化设计，多种功能在同一页面即可完成操作，无需跳转，减少弹窗，提高业务处理的流畅度，提升用户体验。2iMaster NCE-WAN V100R020C10 监控拓扑技术白皮书2 技术实现2 技术实现2.1 监控拓扑基础概念2.2 监控拓扑组件组成2.3 监控拓扑规格2.4 基本原理2.5 监控拓扑组网介绍2.6 典型业务场景2.1 监控拓扑基础概念VPN：Virtual Private Network（虚拟专用网络）2.2 监控拓扑组件组成l 站点逻辑拓扑l 设备物理拓扑l 拓扑工具l 分页自定义布局l 数据视图l 运维工具l 右键菜单l Tips2.3 监控拓扑规格指标项指标项描述备注单区域Hub-spoke最大站点数量1000最多支持8个Hub站点，其中可以含有2个主备分支互通Hub。单区域Full-mesh最大站点数量1000可以含有2个主备逃生站点。区域互联支持最大站点数量5000单区域最大支持1000站点。数据视图支持最大渲染站点数量站点数量 > 100站点数量过大，渲染时间较长，超过100站点后只展示拓扑关系不进行数据渲染。Full-mesh组网切换至点击显示连线站点数量 > 20Full-Mesh站点之间两两互联，连线过多，当站点数量超过20个，默认不展示连线，点击站点显示连线。数据视图刷新时间固定30s-2.4 基本原理2.4.1 站点视图显示原理站点视图展示VPN逻辑拓扑，其中单区域Hub-spoke使用hub在上，spoke在下的上下树展示，如图2-1。单区域VPN网络full-mesh使用圆进行展示，如图2-2。区域互联默认只显示各区域的边缘站点，区域内的其它站点默认不展示，添加区域内站点后呈现多区域展示，如图2-3。当前租户单VPN最大管理规模为5000站点，单区域最大1000站点，所以单区域实际管理规模是1000站点，全部显示屏幕无法展示，过多的线也将整个屏幕渲染成面。为了既能展示网络的组网拓扑逻辑，又能提供数据视图的叠加和运维功能，Hub-Spoke单区域组网默认只显示20个分支站点，full-mesh默认展示10个站点，区域互联只显示边缘骨干站点。剩下的站点使用分页自定义的方式添加或从拓扑上移除，提供站点查询的功能，用户可以在搜索框根据站点名称搜索站点加入或移除拓扑显示，为了数据视图渲染的性能，添加站点不做限制，但超过100个站点后不再进行数据视图的渲染。图2-1 hub-spoke默认布局方式图2-2 full-mesh默认布局图2-3 区域互联展示方式2.4.2 设备视图显示原理通过站点视图的站点位置信息映射到站点的设备位置以及配置的WAN链路信息，能够绘制出一个对应逻辑拓扑的物理拓扑。如图2-4是一个简单的Full-mesh组网逻辑拓扑到物理拓扑的切换。图2-4 站点视图到设备视图的映射2.4.3 分页自定义布局原理分页自定义使用一个分页列表来选择展示在拓扑上的站点，其中包括单个和批量站点的添加和移除。自定义出来的拓扑是一个支持局部显示的子拓扑，并支持自定义拖拽站点的位置并保存布局。当保存的布局比较混乱可以使用VPN拓扑进行调整或直接重置布局为默认的拓扑布局展示方式。如图2-5是分页自定义的操作面板。分页自定义布局只作用在站点视图，设备视图是站点的映射，支持拖动设备位置调整布局，但不支持保存布局。图2-5 自定义布局功能面板和保存布局功能2.4.4 数据视图渲染原理2.4.4 数据视图渲染原理数据视图是将监控数据或配置数据单维度批量渲染在站点拓扑的节点和连线上，达到监控网络健康状况和批量查看信息的方法，添加定时刷新机制（30s刷新）实时监控网络状态，并在部分数据视图增加过滤面板，快速过滤出符合条件的节点和连线。当前站点视图支持站点最高告警渲染、站点间连接状态、LQM、时延、丢包率渲染；设备视图支持WAN链路名称、VPN实例、接口、上下行容量、上下行利用率和设备告最高警状态、设备在线状态渲染。如图2-6设备视图下的最高告警级别和WAN链路上行利用率渲染，过滤面板支持不同告警级别和利用率阈值过滤，图例明确说明每种颜色代表的意义。图2-6 设备视图下的最高告警级别和WAN链路上行利用率渲染2.5 监控拓扑组网介绍iMaster NCE-WAN EVPN VPN 拓扑是一个可配置的逻辑拓扑，含有三种典型的拓扑组网方式。l Hub-spoke组网：spoke通过连接Hub进行互联，如图2-7。l Full-mesh组网：两两互联，如图2-8。l 区域互联组网：使用多区域互联，区域内可以是Hub-spoke或Full-mesh组网，区域之间的连接也是Hub-spoke或Full-mesh，如图2-9。图2-7 Hub-spoke组网图2-8 Full-mesh组网图2-9 区域互联组网2.6 典型业务场景2.6.1 运营商线路断链l 图2-10是手动制造运营商线路断链场景，控制器接收设备BGP断链重要告警，在监控拓扑中站点视图或设备视图对应站点或设备将被渲染成橙色以上。链接Site5连接状态渲染成全部异常或无数据，右键Site5查看单站点告警状态，发现BGP断链和接口链路shutdown告警，定位到是接口shutdown，联系运营商查看接口shutdown原因并恢复。图2-10 手动shutdown Site5站点连接运营商端口制造线路断链场景，过1-2分钟后监控拓扑页面站点视图l 图2-11是恢复后的站点视图，最高告警级别和站点间连接状态渲染恢复正常。右键Site5查看告警，BGP断链告警已自动清除。图2-11 线路断链故障恢复后，1-2分钟监控拓扑站点视图最高告警级别和站点间连接状态渲染恢复正常。2.6.2 线路丢包l 手动制造线路丢包场景，站点视图丢包率渲染如图2-12，反映出每个站点的丢包率。图2-12 线路丢包时站点视图l 右键站点间使用ping工具如图2-13，分别对虚拟网络和物理网络进行ping操作。 如果物理网络含有丢包，那多次进行ping操作确认并联系运营商处理。 如果物理网络没有丢包问题，需要排查配置信息进行排查确认，同时可以查看站点应用统计，设备视图WAN链路上下行接口利用率是否是异常流量导致网络拥塞。图2-13 使用站点间ping工具2.6.3 接口利用率冲高图2-14是手动使用长Ping制造接口利用率冲高场景设备视图对应展示，可以发现链路上行利用率偏高，可以切回站点视图查看对应站点应用监控，查看导致接口利用率高的应用流量是ICMP即Ping报文如图2-15，若是正常业务流，再次查看设备视图上行容量是否不足（通过上下行容量渲染或鼠标移入对应WAN链路Tip查看），若正常业务流量增大可以考虑向运营商扩容，若是异常流量导致则查找对应IP，确认是否是异常操作，进行协调处理，当故障恢复后设备视图，上行接口利用率渲染恢复正常如图2-16。图2-14 接口利用率冲高设备视图最高告警级别和上行利用率渲染图2-15 右键站点查看站点应用质量流量统计图2-16 接口利用率恢复正常2.6.4 站点间互访异常分支与总部之间互访异常，分支无法ping通总部服务器，业务访问失败。站点互访异常定位流程如图2-17，该流程中使用的排查方式有：l 告警：检查是否有端口故障、BGP中断l 站点间监控：检查站点间隧道状态以及WAN链路物理接口状态l 表项查询：检查分支和总部是否有互相的路由、BGP状态以及DTLS状态l Ping：检查站点间LAN接口互通以及本站点LAN到内网互通是否正常l Trace：检查站点LAN接口至内网的路径l SSH命令行：检查Logbuffer日志l 故障采集：采集设备日志进一步定位分析根因图2-17 站点间互访失败故障定位流程图以上排查使用的工具均集成在监控拓扑中，可以在站点、站点间、设备、WAN链路的右键菜单中进行使用，也可以通过直接使用数据渲染、诊断工具进行故障点定位。13iMaster NCE-WAN V100R020C10 监控拓扑技术白皮书3 缩略语表/Acronyms and Abbreviations3 缩略语表/Acronyms and Abbreviations文档版本01 (2021-01-19)版权所有 华为技术有限公司14