产品观察1:华为FabricInsight产品简要分析

1
2
3
最近机缘巧合之下接触到了华为FabricInsight这款产品,简要谈谈看法。
只针对2018年8月份左右发布的版本。
另外注意,在Google搜索相关资料的时候,记得要把Fabric Insight这两个单词合并在一起搜索,中间不要加空格,别问我怎么知道的。

概述

信息采集

SNMP

在使用FabricInsight之前需要配置华为设备的SNMP协议,主要作用为获取设备的MIB信息,
并进行其他管理操作。

LLDP

使能各设备的LLDP功能,以便FabricInsight据此(以及通过SNMP上送的MIB信息)绘制硬
件连接拓扑图。

NetConf

使能各设备的NetConf配置,以便FabricInsight能通过NetConf协议配置各设备的ERSPAN功
能。

ERSPAN

配置ERSPAN功能,destination IP配置为FabricInsight collector的地址。底层实现为:通过
GRE隧道的方式将远程设备的流量路由/镜像至分析节点,以实现对流量可视化分析。
ERSPAN可配置筛选特定的流量,并非全量镜像。从华为对交换机的配置:

[~Device] observe-port 1
​
 destination-ip 10.10.10.20
​
 source-ip 10.1.1.1 
[*Device] traffic-mirroring vxlan tag-format none tcp-flag fin syn rst observe-port 1 inbound 
[*Device] traffic-mirroring tcp-flag fin syn rst observe-port 1 inbound 
[*Device] commit

通过ERSPAN镜像给FabricInsight的流量包括带有FIN/SYN/RST等TCP flag的网包。对应其
产品中对TCP事件的可视化能力。
注*:据此可以看出FabricInsight没有全量流量镜像&分析能力
注*:命令中的vxlan可能是将流量通过vxlan封装,做三层转发,而非镜像全部vxlan流量

Telemetry

华为的Telemetry指设备主动、以固定周期上报的一些设备信息,包括CPU\MEM\QUEUE等信
息。

手动录入

主要为用户业务信息,每一个业务的定义为一组IP和某一固定端口号的集合,需要用户手工录
入。

功能分类

Underlay拓扑可视化

依据LLDP生成及SNMP上报的信息,可生成Underlay设备间的拓扑信息。
流量事件统计
依据ERSPAN镜像的含有SYN\FIN\RST等flag的TCP网包,可统计一条流(五元组)中的事件
发生次数、时间及类型。并可据此进行简单的SYN重传、建立连接RTT、建连成功率分析。但
缺少对网流完整过程(e.g.流量传输数据总量、pps、整体平均时延等)的统计和分析。

设备信息统计

根据Telemetry信息给出CPU\MEM等设备运行状态统计信息,以及对各网络端口IN/OUT总
量、drop、error数量等的统计信息。

应用流量分类过滤

其应用功能,本质为手动设置IP+端口号过滤规则,通过过滤的流量即为一个应用。应用间的
流量状态展现,即为在流量事件统计数据库中分别为起止两端的流量配置两个应用的过滤规则
,筛选出的流量即可作为应用间的流量状态展示。

FabricInsight特点

强绑定性

只能用于华为的硬件设备。并且后期会形成双向绑定,如若依赖FabricInsight,扩容时只能继
续采购华为设备。

基于流量事件

对于流的分析仅涉及五元组和TCP流量事件。可依据SYN、FIN、RST等TCP流量事件完成
TCP SYN重传、RST等事件的侦测,并作为报警依据。

无流量全量分析

当前观察,仅有TCP流量的事件信息,对UDP、ICMP、ARP等网络流量无采集分析能力。仅
针对TCP流量,亦无流量全量分析能力,无法获取诸如流量总字节数、总包数、pps、平均时
延、最大时延等信息。

Overlay能力暂无

当前FabricInsight宣称的可分析虚拟网络是指,手工指定某一虚拟网元(Virtual NE)IP地址
,手工指定其角色(e.g. FW\LB\Router)其与外界通讯的流量可以以与Underlay网络相同的
方式采集。
未发现针对虚拟网络VM间的采集分析能力。从其官方手册中针对ERSPAN的配置来看,可能
或未来会具有一定的VXLAN隧道解封装及关联对应能力。但即便如此,在大规模网络流量的
情况下,对全部VXLAN流量分析亦将为设备带来压力。
另外,主机内的虚拟网络流量,FabricInsight以现在的形式是绝对无法取得的。

FabricInsight未来演进趋势推测

In-band Telemetry

FabricInsight的数据采集能力全部来自于设备提供的能力。在设备/芯片领域的发展趋势是提
供更加精细化的In-band Telemetry遥测能力。从Cisco/Barefoot等厂商近期对P4芯片的动态来
看,华为跟风也是早晚的事。In-band Telemetry可以提供诸如per packet的全生命周期、匹配
的具体转发规则、更加精细的时间戳等能力。但如若采用新的芯片组提供In-band Telemetry
,则会仅支持新款产品。
除此之外,也将不仅仅将流量分析的范畴局限于TCP流量。

虚拟网络

虚拟网络是行业演进的趋势,但需要考虑华为对FabricInsight这款产品本身的定位。如果添加
虚拟网络能力,则其品牌名称、目标人群都将会有较大调整。但华为整体上缺乏虚拟网络可视
化的产品和能力,因此推断会先对接华为自己的云平台FusionCloud,计算节点绑定探针。但
先期仍会仅采用TCP流量事件的分析模式,不会全量采集和分析。

AIops

AI的概念在当前版本的FabricInsight中已有所体现,但当前仅是一些标准差方差的统计计算。
演进的方式将是对网络中断和延迟的诊断以及自调优的赋能。但这种分析首先要求用户能够输
入一定的专家经验作为数据训练的标记,同时对分析节点的部署要求较高(支持大数据分布式
计算和存储)。

安全防御

这是当前看起来最有实际效能的功能。其本身具有的TCP事件分析能力完全可以用来完成
DDoS攻击的侦测和防御。

,
© 2020 DecodeZ All Rights Reserved. 本站访客数人次 本站总访问量
Theme by hiero