360的網(wǎng)絡運維自動化之路

360的網(wǎng)絡運維自動化之路大綱1、軟件在奇虎網(wǎng)絡中發(fā)揮的作用2、奇虎在硬件設備上的VXLAN實踐3、“SDN”Internet出口流量分析出口流量監(jiān)控業(yè)務申告問題出口流量監(jiān)控internet核心核心TAP核心核心接入serverLVSLVS流處理服務器流處理服務器集中存儲骨干路由器骨干路由器Netflow采集處理設備數(shù)據(jù)存儲Web接口路徑主機間故障排查路徑主機間故障排查internet核心核心核心核心接入服務器LVSLVSWeb接口信息收集數(shù)據(jù)庫邏輯處理目前是通過SNMP采集設備的路由表、ARP表、MAC表、CRC信息；目前存在的問題：1.2.采集是周期性的，不具備實時性

采集收全球路由的設備時，SNMP無法勝任路徑網(wǎng)絡質(zhì)量監(jiān)控品質(zhì)監(jiān)控網(wǎng)絡質(zhì)量監(jiān)控局限性：覆蓋范圍不夠廣，有時候不能說明問題不能發(fā)現(xiàn)交換機丟包問題.

parity

error造成的特定源IP和目標IP之間不通特定業(yè)務流不通Tail-drop解決方法：參照微軟的pingmesh方法應對DDOS服務器tor服務器tor服務器torcorecore統(tǒng)計分析WEBEXABGPcorecoreinternet清洗中心BGP

FLOWSPECBGP

FLOWSPEC可以基于五元組進行流量的限速、屏蔽、重定向。并且可以使用BGP協(xié)議進行傳遞。Exabgp一個python實現(xiàn)的bgp，可以方便與程序互動電信防

DDOS設備管理及信息采集總結(jié)我們學到了什么python管理設備的方法設備管理方法管理方法數(shù)據(jù)格式telnetlibtelnet字符串pexpecttelnet/ssh字符串Paramikossh字符串a(chǎn)nsiblessh字符串SNMPsnmpsnmp格式netconfssh、ssl等xml、yang結(jié)構(gòu)化數(shù)據(jù)

網(wǎng)絡可以借助ES,HADOOP,STORM等大數(shù)據(jù)分析應用，挖掘更多有用的東西與設備交互真的不容易設備管理及信息采集總結(jié)美好的未來OpenConfigOpenConfig

is

an

informal

working

group

of

network

operators

sharing

the

goalof

moving

our

networks

toward

a

more

dynamic,

programmable

infrastructure

byadopting

software-defined

networking

principles

such

as

declarativeconfiguration

and

model-driven

management

and

operations.Streaming

TelemetryStreaming

telemetry

is

a

new

paradigm

for

network

monitoring

in

which

data

isstreamed

from

devices

continuously

with

efficient,

incremental

updates.Operators

can

subscribe

to

the

specific

data

items

they

need,

usingOpenConfig

data

models

as

the

common

interface.奇虎私有云OPENSTACK變遷-vlan模式核心核心核心核心接入服務器NATNATinternet接入服務器OPENSTACKCONTROLLER網(wǎng)段B網(wǎng)段A接入接入服務器問題一：冗余性需要通過堆疊解決堆疊問題二：虛擬機不能熱漂移VLAN奇虎私有云OPENSTACK變遷-原生VXLAN核心核心核心核心接入服務器Network

nodeNetwork

nodeinternet接入服務器OPENSTACKCONTROLLER主備NetworknodeNetworknodeVXLANOVSOVS服務器服務器服務器Networknode服務器NetworknodeOVSOVSVXLAN主備1.NetworkNode是瓶頸點2.OVS

VXLAN東西向流量的性能瓶頸如何解決OVS在VXLAN上的性能問題OVSOVSDPDK服務器網(wǎng)卡服務器網(wǎng)卡卸載遷移OVS到DPDK版本升級網(wǎng)卡1.卸載vxlan的checksum2.卸載vxlan封裝和解封裝OVSVLANOVSVXLANTORVXLAN將VXLAN功能卸載到TOR驗證VXLAN核心VXLAN

TOR服務器VXLAN

TOR服務器OPENSTACKCONTROLLER核心NeutronDriver冗余網(wǎng)關組FULL-MESH

VXLAN驗證了VXLAN和OPENSTACK結(jié)合的可行性EVPN帶來的好處TORTORserverLACP核心核心TOR層面無需再使用堆疊技術即可實現(xiàn)接入層的冗余。使用EVPN的ESI(Ethernet

Segment

Identifier)標識TORTORTORTORRR使用BGP為控制協(xié)議，可以使用BGP的RR設計做自動發(fā)現(xiàn)，不用再配置full-mesh的靜態(tài)配置正式上線的Openstack拓撲服務器leafLLDP服務器leafLLDP服務器leafLLDPspinespine拓撲管理NeutronOpenstackcontrollerRREVPN分布式網(wǎng)關分布式網(wǎng)關Drivercorecore從另外一個角度看SDN