CN112956158A - 结构数据平面监视 - Google Patents

结构数据平面监视 Download PDF

Info

Publication number
CN112956158A
CN112956158A CN201980071148.5A CN201980071148A CN112956158A CN 112956158 A CN112956158 A CN 112956158A CN 201980071148 A CN201980071148 A CN 201980071148A CN 112956158 A CN112956158 A CN 112956158A
Authority
CN
China
Prior art keywords
node
network
fabric
disconnection
count
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201980071148.5A
Other languages
English (en)
Other versions
CN112956158B (zh
Inventor
大卫·约翰·扎克
维克拉姆·维卡斯·彭达尔卡尔
肖恩·迈克尔·瓦贡
托马斯·西盖蒂
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN112956158A publication Critical patent/CN112956158A/zh
Application granted granted Critical
Publication of CN112956158B publication Critical patent/CN112956158B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0805Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability
    • H04L43/0811Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters by checking availability by checking connectivity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/34Source routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis

Abstract

系统和方法允许利用用户业务来监视网络结构的状态。结构节点(例如,交换机、路由器或其他网络设备)可以从节点(例如,网络设备、网络装置或端点)接收用户业务。结构节点可以将用户业务匹配到被存储在结构节点的硬件计数器矩阵中的元组,该元组与硬件计数器矩阵中的计数相对应。结构节点可以递增计数。结构节点可以响应于计数在第一时间内没有递增而将主动探测发送到该节点。结构节点可以响应于结构节点在第二时间内未接收到对主动探测的响应而向网络管理系统发送指示结构节点与该节点之间的断开连接的数据。

Description

结构数据平面监视
相关申请交叉引用
本申请要求于2019年8月21日提交的题为“结构数据平面监视(FABRIC DATAPLANE MONITORING)”的美国非临时专利申请No.16/547,002的权益和优先权,本申请要求于2018年11月19日提交的题为“结构数据平面监视(FABRIC DATA PLANE MONITORING)”的美国临时专利申请No.62/769,154的权益,其全部内容通过引用合并于此。
技术领域
本公开的主题总体上涉及计算机联网领域,并且更具体地,涉及用于利用用户业务来监视网络设备的状态的系统和方法。
背景技术
校园网络可以提供到环境(例如,办公室、医院、学院和大学、石油和天然气设施、工厂以及类似地点)内计算设备(例如,服务器、工作站、台式计算机、膝上型计算机、平板电脑、移动电话等)和事物(例如,台式电话,安全相机,照明,供暖、通风及空调(Heating,Ventilating,and Air-conditioning,HVAC),窗户,门,锁,医疗设备,工业和制造设备等)的连接性。校园网络可能面临的一些独特挑战包括:对可能出现在网络中任何地方的有线和无线设备、机载计算设备以及事物进行集成并在设备以及事物在网络内从一个位置迁移到另一位置时保持连接性;支持自带设备(Bring Your Own Device,BYOD)功能;对物联网(IoT)设备进行连接和供电;以及尽管存在与Wi-Fi访问、设备移动性、BYOD和IoT相关联的漏洞,也保护网络的安全。当前用于部署能够提供这些功能的网络的方法常常需要由高度熟练的网络工程师进行持续且广泛的配置和管理,这些工程师需要操作若干不同的系统(例如,基于目录的身份服务;认证、授权及计费(AAA)服务;无线局域网(WLAN)控制器;针对每个交换机、路由器或网络的其他网络设备的命令行接口;等等),并且手动将这些系统拼接在一起。这可能使网络部署变得困难且耗时,并阻碍了许多组织快速创新并采用新技术(例如,视频、协作和连接的工作区(workspace))的能力。
常规校园网络的另一问题是与监视网络状态相关联的性能较差。这通常是通过在控制平面上主动探测网络中的每个网络设备来实现的。随着网络的增长,从/向每个网络边缘节点进行监视所需的主动探测的数量呈指数增长,例如以[n(n-1)/2]函数,其中n可以代表网络中的边缘节点数量。结果,控制平面上的负载显著增强,单个网络设备的中央处理单元(CPU)利用率上的负载也显著增强,并且整体网络性能相应降低。通过减少主动探测的数量和/或探测的频率,可以在某种程度上减轻这些影响中的一些。然而,这也使网络监视的效率大大降低。
附图说明
为了提供对本公开及其特征和优点的更完整的理解,结合附图参考以下描述,其中:
图1A-图1C示出了根据一些实施例的企业网络的物理拓扑和企业网络的各种状态的示例;
图2示出了根据一种实施例的用于企业网络的逻辑架构的示例;
图3A-图3I示出了根据一种实施例的用于网络管理系统的图形用户界面的示例;
图4示出了根据一种实施例的用于多站点企业网络的物理拓扑的示例;
图5示出了根据一种实施例的用于被动监视网络设备的过程的示例;
图6示出了根据一种实施例的网络设备的示例;以及
图7A和图7B示出了根据一些实施例的系统的示例。
具体实施方式
以下阐述的详细描述旨在作为对实施例的各种配置的描述,而不旨在代表可以实施本公开的主题的唯一配置。附图被并入本文并构成详细描述的一部分。为了提供对本公开的主题的更透彻的理解,详细描述包括具体细节。然而,应当清楚并显而易见的是,本公开的主题不限于本文阐述的具体细节,并且可以在没有这些细节的情况下被实施。在一些实例中,以框图形式示出了结构和组件,以避免模糊本公开的主题的概念。
概述
在独立权利要求中阐述了本发明的各方面,并且在从属权利要求中阐述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于每个方面。
系统和方法允许利用用户业务来监视网络结构的状态。结构节点(例如,交换机、路由器或其他网络设备)可以从节点(例如,网络设备、网络装置或端点)接收用户业务。结构节点可以将用户业务匹配到被存储在结构节点的硬件计数器矩阵中的元组(tuple),该元组与硬件计数器矩阵中的计数相对应。结构节点可以递增计数。结构节点可以响应于计数在第一时间内没有递增而将主动探测发送到该节点。结构节点可以响应于结构节点在第二时间内未接收到对主动探测的响应而向网络管理系统发送指示结构节点与节点之间的断开连接的数据。
示例实施例
网络可以被分为两个主要的功能区域-控制平面和数据平面。控制平面可以承载信令数据并负责路由业务。数据平面(有时也称为转发平面或用户平面)可以负责推送分组并承载用户业务(有时也称为数据业务、数据平面业务或转发平面业务)。例如,数据平面可以包括处理分组并查找转发表以转发数据的网络部分。控制平面可以包括填充转发表的元素。
监视网络设备的状态、连接性和路径完整性是用于网络保证或确保网络的安全性、可用性和合规性的重要任务。常规的网络保证可能涉及在控制平面上主动探测网络设备,即使网络正常运行也是如此。这可能会增加网络设备的活动业务负载和中央处理单元(CPU)利用率,它们本来可以用于数据业务。数据平面通常被设计为优化分组转发,并且可能具有较少的资源可用于其他任务。因此,经由数据平面监视网络状态通常不被实践。此外,用于监视和报告网络性能的当前方法可能不适合企业网络的规模。本公开的各种实施例可以通过使用容易获得的硬件被动地监视数据平面业务并在出现保证问题(例如,链路丢失、设备重装等)时主动探测网络设备来克服用于网络监视的常规方法的这些和其他缺陷。在解决故障时,网络可以返回到被动监视数据平面。以这种方式,可以避免网络正常运行期间的主动探测。监视也可以以各种粒度级别发生(例如,每物理网络设备、服务、虚拟局域网(VLAN)、虚拟可扩展局域网等)。除了减少活动业务负载和CPU利用率之外,将主动探测限制在问题出现时,还可以更容易地诊断问题的根本原因。
在一些实施例中,网络设备(例如,交换机、路由器等)的硬件计数器可以用于对照元组的集合进行匹配。元组可以包括“一元组”(其中网络设备隐式地是源或目的地之一),二元组(例如,源路由定位符(RLOC)和目的地RLOC、源互联网协议(IP)地址和目的地IP地址,或RLOC与IP地址的某种组合或其他一对源-目的地标识符),三元组(例如,源-目的地-虚拟可扩展局域网(VXLAN)网络标识符(VNID),源-目的地-虚拟专用网络(VPN)标签,或源、目的地和其他网络分段标识符)等。当在数据平面中经过网络设备时,在分组与特定元组匹配的情况下,硬件(例如,专用集成电路(ASIC)或现场可编程门阵列(FPGA))中的相应计数器可以递增。网络管理系统可以监视计数器以确定网络设备的状态。例如,如果计数器在递增,则网络管理系统可以确定业务正在源网络设备和目的地网络设备之间流动,因为在递增的计数器可以证明这两个设备以及它们之间的网络路径的运行状况。这样,在这种情况下可能不需要主动探测来验证连接性。因此,该方法可以消除发送方用于生成此类探测的增量CPU利用率,接收方处理和响应此类探测的增量CPU利用率,以及传输此类探测的相应增量带宽。这可以在不牺牲保证的情况下优化整个网络的效率。
当计数器停止递增时,网络管理系统可以确定一个或两个网络设备和/或它们之间的路径可能存在问题。网络管理系统可以触发一个或两个网络设备上的主动探测,以确定问题的根本原因。一旦计数器再次开始递增,就可以停用主动探测。
这种方法可以大大减少对常规基于软件的探测的使用,降低设备CPU上的控制平面负载,并为其他类型的探测提供更大的可扩缩性。此外,网络管理系统可以更好地响应网络中断或损坏情况。例如,常规的主动探测在基于控制平面CPU时可能需要较长的探测间间隔,以避免影响整体设备性能。在使用基于硬件的计数器进行稳定状态监视以降低网络设备上的负载的情况下,这不会是问题。
该方法可以在许多服务和设备中被实现,包括:结构部署(例如,
Figure BDA0003041621150000051
软件定义的访问(SD-访问)部署)中的RLOC(例如,结构边缘和边界节点)和控制平面节点;网络服务,例如身份服务(例如,由
Figure BDA0003041621150000052
身份服务引擎(ISE)提供的服务)、动态主机配置协议(DHCP)服务,域名系统(DNS)服务等);和端点(例如,销售点(POS)服务器、文件服务器、邮件服务器、物联网(IoT)设备服务器等);以及其他服务和设备。
在各种实施例中,网络管理系统可以使用灵活的元组计数器来被动地监视硬件中的正常业务流,在计数器停止递增时报告异常,在相应硬件计数器在一段时间(例如,毫秒或秒的数量级的短间隔)内停止递增时自动发起主动探测(例如,互联网控制消息协议(ICMP)探测),在硬件计数器再次递增时自动停止主动探测,在出现问题时生成警报并向网络运营商提供相关数据以辅助对问题的根本原因进行故障排除,针对所监视或记录的值对探测检查进行可视化,并出于历史和趋势线目的而保留设备的数据。
图1A示出了网络100的物理拓扑的示例。应当理解,对于网络100和本文讨论的任何网络,在类似配置或替代配置中可以存在附加的或更少的节点、设备、链路、网络或组件。本文还设想了具有不同数量和/或类型的端点、节点、云组件、服务器、软件组件、设备、虚拟或物理资源、配置、拓扑、服务、装置或部署的示例实施例。此外,网络100可以包括可以被端点或网络设备访问和利用的任何数量或类型的资源。为了清楚和简单起见,本文提供了图示和示例。
在该示例中,网络100包括管理云102和网络结构120。尽管在该示例中被示出为在网络结构120外部的网络或云,但是管理云102可以替代地或附加地驻留在组织的驻地设备(premise)上或托管中心中(还有,被云提供商或类似环境托管)。管理云102可以提供用于构建和操作网络结构120的中央管理平面。管理云102可以负责转发配置和策略分发以及设备管理和分析。管理云102可以包括一个或多个网络控制器设备104、一个或多个AAA设备106、一个或多个无线局域网控制器(WLC)108、和一个或多个结构控制平面节点110。在其他实施例中,管理云102的一个或多个元件可以与网络结构120位于同一地点。
网络控制器设备104可以用作针对一个或多个网络结构的命令和控制系统,并且可以容纳用于部署和管理网络结构的自动化工作流。网络控制器设备104可以包括自动化、设计、策略、配设和保证能力等,如下面关于图2进一步讨论的。在一些实施例中,一个或多个思科数字网络架构(Cisco DNATM)设备可以用作网络控制器设备104。
AAA设备106可以控制对计算资源的访问,促进网络策略的实施,审计使用情况,并提供对服务计费所必需的信息。AAA设备可以与网络控制器设备104以及包含用于用户、设备、事物、策略、计费的信息以及类似信息的数据库和目录进行交互,以提供认证、授权及计费服务。在一些实施例中,AAA设备106可以利用远程认证拨入用户服务(RemoteAuthentication Dial-In User Service,RADIUS)或Diameter来与设备和应用进行通信。在一些实施例中,一个或多个
Figure BDA0003041621150000061
身份服务引擎(ISE)设备可以用作AAA设备106。
WLC 108可以支持附接到网络结构120的结构使能的接入点,处理与WLC相关联的传统任务以及用于无线端点注册和漫游的与结构控制平面的交互。在一些实施例中,网络结构120可以实现无线部署,该无线部署将数据平面终端(例如,虚拟可扩展局域网(VXLAN))从集中位置(例如,具有先前覆盖的无线接入点的控制和配设(CAPWAP)部署)移动到接入点/结构边缘节点。这可以使能针对无线业务的分布式转发和分布式策略应用,同时保留集中式配设和管理的优势。在一些实施例中,一个或多个
Figure BDA0003041621150000071
无线控制器、
Figure BDA0003041621150000072
无线局域网(LAN)和/或其他Cisco DNATM-ready的无线控制器可以用作WLC 108。
网络结构120可以包括结构边界节点122A和122B(统称为122)、结构中间节点124A-D(统称为124)和结构边缘节点126A-F(统称为126)。尽管在该示例中结构控制平面节点110被示出为在网络结构120的外部,但在其他实施例中,结构控制平面节点110可以与网络结构120位于同一位置。在结构控制平面节点110与网络结构120位于同一位置的实施例中,结构控制平面节点110可以包括专用节点或节点集,或者结构控制节点110的功能可以由结构边界节点122来实现。
结构控制平面节点110可以用作中央数据库,用于在所有用户、设备和事物附接到网络结构120时以及在它们漫游时跟踪它们。结构控制平面节点110可以允许网络基础设施(例如,交换机、路由器、WLC等)查询数据库以确定附接到结构的用户、设备和事物的位置,而不是使用泛洪和学习机制。以这种方式,结构控制平面节点110可以用作关于附接到网络结构120的每个端点在任何时间点位于何处的单个事实源。除了跟踪特定端点(例如,IPv4的/32地址、IPv6的/128地址等)之外,结构控制平面节点110还可以跟踪较大的汇总路由器(summarized router)(例如,IP/掩码)。这种灵活性有助于跨结构站点进行汇总,并提高整体可扩缩性。
结构边界节点122可以将网络结构120连接到传统的第3层网络(例如,非结构网络)或不同的结构站点。结构边界节点122还可以将上下文(例如,用户、设备或事物映射和身份)从一个结构站点转换到另一结构站点或转换到传统的网络。当封装跨不同结构站点是相同的时,结构上下文的转换一般按1:1映射。结构边界节点122还可以与不同结构站点的结构控制平面节点交换可达性和策略信息。结构边界节点122还为内部网络和外部网络提供边界功能。内部边界可以通告一组定义的已知子网,例如那些通向一组分支站点或数据中心的子网。另一方面,外部边界可以通告未知的目的地(例如,向互联网进行通告,在操作上类似于默认路由的功能)。
结构中间节点124可以用作纯第3层转发器,该纯第3层转发器将结构边界节点122连接到结构边缘节点126并为结构覆盖业务提供第3层底层。
结构边缘节点126可以将端点连接到网络结构120,并且可以封装/解封装业务并将业务从这些端点转发到网络结构以及从网络结构转发。结构边缘节点126可以在网络结构120的外围处操作,并且可以是用于用户、设备和事物的附接以及策略的实现的第一点。在一些实施例中,网络结构120还可以包括结构扩展节点(未示出),用于将下游非结构第2层网络设备附接到网络结构120,从而扩展网络结构。例如,经扩展节点可以是小型交换机(例如,紧凑型交换机、工业以太网交换机、楼宇自动化交换机等),这些小型交换机经由第2层连接到结构边缘节点。连接到结构扩展节点的设备或事物可以使用结构边缘节点126来与外部子网进行通信。
在该示例中,网络结构可以表示单个结构站点部署,其中,该单个结构站点部署可以被与多站点结构部署区分开,如下面关于图4进一步讨论的。
在一些实施例中,可以在结构站点中的每个结构边缘节点126上配设在该结构站点中托管的所有子网。例如,如果在给定的结构站点中配设了子网10.10.10.0/24,则可以在该结构站点中的所有结构边缘节点126上定义该子网,并且可以将位于该子网中的端点放置在该结构中的任何结构边缘节点126上。这可以简化IP地址管理,并允许部署更少但更大的子网。在一些实施例中,一个或多个
Figure BDA0003041621150000081
Catalyst交换机、Cisco
Figure BDA0003041621150000082
交换机、Cisco
Figure BDA0003041621150000083
MS交换机、
Figure BDA0003041621150000084
集成服务路由器(ISR)、
Figure BDA0003041621150000085
聚合服务路由器(ASR)、
Figure BDA0003041621150000086
企业网络计算系统(ENCS)、
Figure BDA0003041621150000087
云服务虚拟路由器(CSRv)、思科集成服务虚拟路由器(ISRv)、Cisco
Figure BDA0003041621150000088
MX设备、和/或其他Cisco DNA-readyTM设备可以用作结构节点122、124和126。
网络100还可以包括有线端点130A、130C、130D和130F以及无线端点130B和130E(统称为130)。有线端点130A、130C、130D和130F可以分别通过导线连接到结构边缘节点126A、126C、126D和126F,而无线端点130B和130E可以分别无线连接到无线接入点128A和128B(统称为128),它们进而分别可以通过导线连接到结构边缘节点126B和126E。在一些实施例中,Cisco
Figure BDA0003041621150000091
接入点、Cisco
Figure BDA0003041621150000092
接入点、和/或其他Cisco DNATM-ready接入点可以用作无线接入点128。
端点130可以包括通用计算设备(例如,服务器、工作站、台式计算机等)、移动计算设备(例如,膝上型计算机、平板电脑、移动电话等)、可穿戴设备(例如,手表、眼镜或其他头戴式显示器(HMD)、耳机等)等。端点130还可以包括物联网(IoT)设备或装置,例如农业装置(例如,牲畜跟踪和管理系统、灌溉设备、无人驾驶飞行器(UAV)等);连接的汽车和其他载具;智能家居传感器和设备(例如,警报系统、安全相机、照明、电器、媒体播放器、HVAC设备、电表、窗户、自动门、门铃、锁等);办公设备(例如,台式电话、复印机、传真机等);医疗保健设备(例如,起搏器、生物识别传感器、医疗设备等);工业设备(例如,机器人、工厂机械、建筑设备、工业传感器等);零售设备(例如,自动售货机、销售点(POS)设备、射频识别(RFID)标签等);智能城市设备(例如,路灯、停车表、废物管理传感器等);运输和后勤设备(例如,旋转栅门、租车跟踪器、导航设备、库存监视器等);等等。
在一些实施例中,网络结构120可以支持有线和无线访问以作为单个集成基础设施的一部分,使得对于有线和无线端点两者,连接性、移动性和策略实施行为是相似或相同的。这可以为用户、设备和事物带来与访问媒体无关的统一体验。
在集成的有线和无线部署中,可以通过如下方式来实现控制平面集成:利用WLC108通知结构控制平面节点110由无线端点130进行的加入、漫游和断开连接,使得结构控制平面节点可以具有与网络结构120中的有线和无线端点两者有关的连接性信息,并且可以针对连接到网络结构的端点用作单个事实源。对于数据平面集成,WLC 108可以指示结构无线接入点128形成到其相邻结构边缘节点126的VXLAN覆盖隧道。接入点(AP)VXLAN隧道可以携带去往和来自结构边缘节点126的分段和策略信息,从而允许与有线端点的连接性和功能性相同或相似的连接性和功能性。当无线端点130经由结构无线接入点128加入网络结构120时,WLC 108可以将该端点加入网络结构120中,并向结构控制平面节点110通知该端点的媒体访问控制(MAC)地址。然后,WLC 108可以指示结构无线接入点128形成到相邻结构边缘节点126的VXLAN覆盖隧道。接下来,无线端点130可以经由动态主机配置协议(DHCP)来获得其自身的IP地址。一旦完成,结构边缘节点126可以将无线端点130的IP地址注册到结构控制平面节点110,以在端点的MAC地址和IP地址之间形成映射,并且去往和来自无线端点130的业务可以开始流动。
图1B示出了处于稳定状态或正常操作状态的网络100的一部分的状态140的示例。在该示例中,状态140包括用于结构边界节点122A的计数器矩阵142A和用于结构边缘节点126A的计数器矩阵142B(统称为计数器142)。在一些实施例中,计数器矩阵或计数器142可以以诸如可编程ASIC(例如,
Figure BDA0003041621150000101
统一访问数据平面(UADP)ASIC)、现场可编程门阵列(FPGA)或其他可编程芯片之类的硬件来被实现。计数器矩阵142A的每一行可以包括元组144A、计数器146A和封装标志148A。元组144A可以通过业务的源和目的地(以及,在业务被封装的情况下,网络分段(例如,VNID、VPN、安全组标签(SGT)、端点组(EPG)等))来识别由结构边界节点122A处理的业务。元组144A可以包括:源一元组,其中结构边界节点122A隐式地是目的地;目的地一元组,其中结构边界节点122A隐式地是源;源-目的地二元组;源-目的地-VNID三元组;源-目的地-VPN三元组等。当匹配相应元组144A的业务经过结构边界节点122A时,计数器146A可以被递增。计数器146A的递增可以指示:相应元组144A的源和目的地以及它们之间的链路似乎是运作的。封装标志148可以指示业务是否被封装(例如,VXLAN、VPN等)。
在稳定状态期间,端点130A可以例如通过登录到网络并调用对AAA设备106的服务的请求来生成用户业务。端点130A可以将用户业务发送到结构边缘节点126A。结构边缘节点126A可以利用与结构边界节点122A相关联的目的地标识符和与边缘节点126A相关联的源标识符来封装用户业务,并且将经封装的业务转发到结构节点122A。结构边界节点122A可以接收经封装的用户业务,将用户业务匹配到元组144A,其中在元组144A中,源与结构边缘节点126A相关联,而目的地(未示出)与结构边界节点122A相关联。网络设备可以维护单个计数器矩阵或多个计数器矩阵,例如,其中结构节点122A隐式地是源的计数器矩阵和其中结构节点122隐式地是目的地的计数器矩阵,针对每个网络分段的矩阵,等等。如本领域普通技术人员将理解的,可以利用各种存储方案。
当结构节点122A接收到经封装的用户业务时,它可以使计数器146A递增(例如,从205671到205672)以指示:结构边缘节点126A以及结构边界节点122A与结构边缘节点126A之间的路径是正常的。在一些实施例中,网络设备可以周期性地将其计数器发送到其他节点(例如,网络控制器设备104、结构控制节点110、其他结构节点122、结构边缘节点126等),以报告网络的状态。如本领域普通技术人员将理解的,可以使用各种分发方案,并且只要计数器146A递增,则结构边界节点122A和接收其计数器数据的其他节点(例如,结构节点110、122和126,网络控制器设备104等)就可以推断出:结构边缘节点126A是活动的,并且不需要进行主动探测。
结构边界节点122A可以将用户业务转发到AAA设备106,并作为响应而接收服务器业务。结构边界节点122A可以利用与结构边缘节点126A相关联的目的地标识符和与结构边界节点122A相关联的源标识符来封装服务器业务,并将经封装的服务器业务转发至结构边缘节点126A。结构边缘节点126A可以接收经封装的服务器业务,将服务器业务与元组144B匹配(在元组144B中,源是结构边界节点122A),并且使计数器146B递增(例如,从9067121到9067122)。只要计数器146B递增,结构边缘节点126A和接收结构边缘节点的计数器数据的节点就可以推断出:结构边界节点122A是活动的,并且不需要主动探测。
结构边界节点122A同样可以推断出结构控制平面节点110是活动的(当与结构控制平面节点相关联的元组的计数器146A递增时(例如,从77452到77453)),并且可以推断出AAA设备106是活动的(当与AAA设备106相关联的计数器146A递增时(例如,从985412到985413))。类似地,当与结构边界节点122B相关联的元组的计数器146B递增时(例如,从13774到13775),结构边缘节点126A可以推断出结构边界节点122B是活动的,并且当与结构控制平面节点110相关联的元组的计数器146B递增时(例如,从9761到9762),结构边缘节点126A可以推断出结构控制平面节点110是活动的。在一些实施例中,可以通过维护针对每个网络分段(例如,VNID、VPN、SGT、EPG等)的计数器,将这种稳定状态监视扩展到网络分段监视。
图1C示出了处于错误状态或处于非操作状态(例如,结构边界节点122A的非操作)中的网络100的一部分的状态150的示例。这可能导致与结构边界节点122A相关联的元组的计数器146B停止递增(例如,计数器在指定的持续时间内保持在9067121)。作为响应,结构边缘节点126A可以在合适的超时间隔(其可以通过配置被确定)之后自动开始对受影响的节点(例如,结构边界节点122A)的主动探测。如果结构边界节点122A响应主动探测,则从结构边缘节点126A的角度来看,可以将结构边界节点122A重新设置为活动节点(例如,结构边缘节点126A可以继续被动地监视到结构边界节点122A的业务并递增相应的计数器)。如果在超时周期到期之前没有数据传输到结构边界节点122A,并且结构边缘节点126A未向网络控制器设备104报告中断,则可能出现这种“误报”。在一些实施例中,可以记录该事件以重新调整超时间隔。
如果在定义的间隔之后没有对主动探测做出响应,则结构边缘节点126A可以向网络控制器设备104通知中断。其他结构边缘节点126也可以注意到这一点,发起它们自己的主动探测,并将问题报告给网络控制器设备104。网络控制器设备104可以使探测报告相关以确定问题的范围(例如,问题是本地于边缘的、分布式的、还是网络范围的)。因此,只有在发生实际中断时才可以使用主动探测,以使连接性监视是可扩缩的并且网络可以对实际故障做出更好的响应。此外,如果每个结构节点连续运行被动监视,则网络控制器设备104可以获得网络的全局视图,并且更容易确定中断的根本原因。
在解决了结构边界节点122A的问题并且结构边界恢复之后,结构边界节点122A可以响应主动探测并且网络可以重新收敛(reconverge)。即,对主动探测和真实用户网络业务的实际流进行响应的结构边界节点122A可以使所有计数器再次开始递增。这可以使得所有主动探测停止,并且对计数器数据的流送可以停止或可以更不频繁地发生。该方法也可以在每个结构边界节点122处被使用,以监视每个结构边缘节点126。同样地,该方法可以在每个结构边界节点122处被使用,以监视任何外部服务和设备(例如,AAA服务、DHCP服务、POS服务器、文件服务器、邮件服务器、IoT设备服务器等)。以这种方式,由于主动探测的针对性性质(只有在存在实际问题时才可能发生),所以可以实现更大的规模。此外,由于使用了硬件计数器并且利用了网络设备在其正常操作过程中必须处理的真实用户业务流,因此,用于实现被动监视的CPU利用率可以是忽略不计的。
图2示出了用于企业网络(例如,网络100)的软件架构或逻辑架构200的示例。本领域普通技术人员将理解,对于逻辑架构200以及本公开中所讨论的任何系统,在类似或替代配置中可以存在附加的或更少的组件。为了简洁和清楚起见,本公开中提供了图示和示例。其他实施例可以包括不同数量和/或类型的元件,但是本领域的普通技术人员将理解,此类变型并不脱离本公开的范围。在该示例中,逻辑架构200包括管理层202、控制器层220、网络层230(例如,由网络结构120体现)、物理层240(例如,由图1的各种元件体现)、以及共享服务层250。
管理层202可以抽象出其他层的复杂性和依赖性,并向用户提供工具和工作流以管理企业网络(例如,网络100)。管理层202可以包括用户界面204、设计功能206、策略功能208、配设功能210、保证功能212、平台功能214、和基本自动化功能216。用户界面204可以向用户提供单个点以管理和自动化网络。用户界面204可以在可由web浏览器访问的web应用/web服务器,和/或可由桌面应用、移动app、外壳程序或其他命令行接口(CLI)、应用编程接口(例如,静态状态传输(REST)、简单对象访问协议(SOAP)、面向服务的架构(SOA)等)和/或其他合适接口访问的应用/应用服务器内被实现,其中在该其他合适接口中,用户可以配置云管理的网络基础设施、设备和事物;提供用户偏好;指定策略、输入数据;查看统计数据;配置交互或操作;等等。用户界面204还可以提供可见性信息,例如网络、网络基础设施、计算设备和事物的视图。例如,用户界面204可以提供网络状态或状况、正在发生的操作、服务、性能、拓扑或布局、已实现的协议、运行过程、错误、通知、警报、网络结构、正在进行的通信、数据分析等的视图。
设计功能206可以包括用于管理站点简档、地图和平面图、网络设置、和IP地址管理等的工具和工作流。策略功能208可以包括用于定义和管理网络策略的工具和工作流。配设功能210可以包括用于部署网络的工具和工作流。保证功能212可以通过从网络基础设施、端点和其他上下文信息源学习来使用机器学习和分析以提供网络的端到端可见性。平台功能214可以包括用于将网络管理系统与其他技术集成的工具和工作流。基本自动化功能216可以包括用于支持策略功能208、配设功能210、保证功能212和平台功能214的工具和工作流。
在一些实施例中,设计功能206、策略功能208、配设功能210、保证功能212、平台功能214、和基本自动化功能216可以被实现为微服务(在这些微服务中,相应的软件功能被实现在相互通信的多个容器中),而不是将所有工具和工作流合并为单个软件二进制文件。设计功能206、策略功能208、配设功能210、保证功能212、和平台功能214中的每一个可以被视为一组相关的自动化微服务,以覆盖网络生命周期的设计、策略创作、配设、保证和跨平台集成阶段。基本自动化功能216可以通过允许用户执行某些网络范围的任务来支持顶级功能。
图3A-图3I示出了用于实现用户界面204的图形用户界面的示例。尽管图3A-图3I将图形用户界面示出为包括在大形状因数的通用计算设备(例如,服务器、工作站、台式机、膝上型计算机等)上执行的浏览器中被显示的网页,但是本公开中所公开的原理广泛适用于其他形状因数的端点,包括平板电脑、智能电话、可穿戴设备或其他小形状因数的通用计算设备;电视;机顶盒;IoT设备;以及其他能够连接到网络并包括输入/输出组件以使用户能够与网络管理系统进行交互的电子设备。本领域的普通技术人员还应当理解,图3A-图3I的图形用户界面仅仅是用于管理网络的用户界面的一个示例。其他实施例可以包括更少数量或更多数量的元件。
图3A示出了图形用户界面300A,其是用户界面204的登陆屏幕或主屏幕的示例。图形用户界面300A可以包括用于选择设计功能206、策略功能208、配设功能210、保证功能212、和平台功能214的用户界面元素。图形用户界面300A还包括用于选择基本自动化功能216的用户界面元素。
在该示例中,基本自动化功能216包括:
·网络发现工具302,用于自动发现要填充到库存中的现有网络设备;
·库存管理工具304,用于管理物理和虚拟网络元件的集合;
·拓扑工具306,用于可视化网络设备的物理拓扑;
·图像仓库工具308,用于管理网络设备的软件图像;
·命令运行器工具310,用于基于CLI来诊断一个或多个网络设备;
·许可证管理器工具312,用于管理对网络中的软件许可证使用情况进行的可视化;
·模板编辑器工具314,用于在设计简档中创建和创作与网络设备相关联的CLI模板;
·网络PnP工具316,用于支持网络设备的自动配置;
·遥测工具318,用于设计遥测简档并将遥测简档应用于网络设备;以及
·数据集及报告工具320,用于访问各种数据集,调度数据提取,并生成多种格式(例如,发布文档格式(Post Document Format,PDF)、逗号分隔值(CSV)、Tableau等)的报告,例如库存数据报告、软件图像管理(SWIM)服务器报告和客户数据报告等。
图3B示出了图形用户界面300B,其是用于设计功能206的登陆屏幕的示例。图形用户界面300B可以包括用于在逻辑上定义企业网络的各种工具和工作流的用户界面元素。在该示例中,设计工具和工作流包括:
·网络分层工具322,用于设置地理位置、建筑物和楼层平面细节,并将这些细节与唯一的站点id相关联;
·网络设置工具324,用于设置网络服务器(例如,域名系统(DNS)、DHCP、AAA等)、设备凭据、IP地址池、服务提供商简档(例如,WAN提供商的服务质量(QoS)等级)和无线设置;
·图像管理工具326,用于管理软件图像和/或维护更新、设置版本合规性以及下载和部署图像;
·网络简档工具328,用于定义LAN、WAN和WLAN连接简档(包括服务集标识符(SSID));以及
·认证模板工具330,用于定义认证模式(例如,封闭式认证、轻松连接、开放式认证等)。
设计工作流206的输出可以包括唯一站点标识符的分层集合,这些标识符定义了网络的各种站点的全局和转发配置参数。配设功能210可以使用站点标识符来部署网络。
图3C示出了图形用户界面300C,其是用于策略功能208的登陆屏幕的示例。图形用户界面300C可以包括用于定义网络策略的各种工具和工作流。在该示例中,策略设计工具和工作流包括:
·策略仪表板332,用于查看虚拟网络、基于组的访问控制策略、基于IP的访问控制策略、业务复制策略、可扩缩组和IP网络组。策略仪表板332还可以显示未能部署的策略的数量。策略仪表板332可以提供策略列表以及与每个策略有关的以下信息:策略名称、策略类型、策略版本(例如,每次策略更改时可以被递增的策略的迭代、修改策略的用户、描述、策略范围(例如,策略影响的用户和设备组或应用))和时间戳;
·基于组的访问控制策略工具334,用于管理基于组的访问控制或安全组访问控制列表(SGACL)。基于组的访问控制策略可以定义可扩缩组和访问契约(例如,构成访问控制策略的规则,例如当业务与策略匹配时允许或拒绝);
·基于IP的访问控制策略工具336,用于管理基于IP的访问控制策略。基于IP的访问控制可以定义IP网络组(例如,共享相同访问控制要求的IP子网)和访问契约;
·应用策略工具338,用于为应用业务配置QoS。应用策略可以定义应用集(例如,具有相似网络业务需求的应用集)和站点范围(例如,向其定义应用策略的站点);
·业务复制策略工具340,用于设置经封装的远程交换端口分析器(ERSPAN)配置,使得两个实体之间的网络业务流被复制到指定目的地以进行监视或故障排除。业务复制策略可以定义要复制的业务流的源和目的地,以及业务复制契约,其中该业务复制契约指定发送业务副本的设备和接口;以及
·虚拟网络策略工具343,用于将物理网络分段为多个逻辑网络。
策略工作流208的输出可以包括一组虚拟网络、安全组、以及定义网络的各种站点的策略配置参数的访问及业务策略。配设功能210可以使用虚拟网络、组和策略来在网络中进行部署。
图3D示出了图形用户界面300D,其是用于配设功能210的登陆屏幕的示例。图形用户界面300D可以包括用于部署网络的各种工具和工作流。在该示例中,配设工具和工作流包括:
·设备配设工具344,用于将设备分配给库存并部署所需的设置和策略,以及将设备添加到站点;以及
·结构配设工具346,用于创建结构域并将设备添加到结构。
配设工作流210的输出可以包括网络底层和结构覆盖以及策略(被定义在策略工作流208中)的部署。
图3E示出了图形用户界面300E,其是用于保证功能212的登陆屏幕的示例。图形用户界面300E可以包括用于管理网络的各种工具和工作流。
在该示例中,保证工具和工作流包括:
·运行状况概述工具345,用于提供企业网络的全局视图,包括网络设备和端点。与运行状况概述工具345相关联的用户界面元素(例如,下拉菜单、对话框等)也可以被切换为切换到附加的或替代的视图,例如单独的网络设备的运行状况的视图、所有有线和无线客户端的运行状况的视图,以及在网络中运行的应用的运行状况的视图,如下面关于图3F-图3H进一步讨论的。
·保证仪表板工具347,用于管理和创建定制仪表板;
·问题工具348,用于显示和排除网络问题;以及
·传感器管理工具350,用于管理传感器驱动的测试。
图形用户界面300E还可以包括位置选择用户界面元素352、时间段选择用户界面元素354和视图类型用户界面元素355。位置选择用户界面元素352可以使用户能够查看特定站点(例如,经由网络分层工具322定义的)和/或网络域(例如,LAN、WLAN、WAN、数据中心等)的总体运行状况。时间段选择用户界面元素354可以使得能够显示特定时间段(例如,过去的3小时、过去的24小时、过去的7天、自定义等)内的网络的总体运行状况。视图类型用户界面元素355可以使用户能够在网络站点的地理地图视图(未示出)或分层站点/建筑物视图(如图所示)之间切换。
在分层站点/建筑物视图内,行可以表示网络分层(例如,由网络分层工具322定义的站点和建筑物);列358可以指示正常客户端的数量(以百分比为单位);列360可以通过以下项来指示无线客户端的运行状况:评分(例如,1-10)、颜色和/或描述符(例如,与运行状况评分1至3相关联的红色或严重,表明客户端具有严重问题;与运行状况评分4至7相关联的橙色或警告,表明针对客户端的警告;与运行状况评分8至10相关联的绿色或无错误或无警告;与运行状况评分为空或0相关联的灰色或无可用数据)或其他指示符;列362可以通过评分、颜色、描述符等来指示有线客户端的运行状况;列364可以包括用户界面元素,用于深入到与分层站点/建筑物相关联的客户端的运行状况;列366可以指示正常网络设备的数量(以百分比为单位);列368可以通过评分、颜色、描述符等来指示访问交换机的运行状况;列370可以通过评分、颜色、描述符等来指示核心交换机的运行状况;列372可以通过评分、颜色、描述符等来指示分布交换机的运行状况;列374可以通过评分、颜色、描述符等来指示路由器的运行状况;列376可以通过评分、颜色、描述符等来指示WLC的运行状况;列378可以通过评分、颜色、描述符等来指示其他网络设备的运行状况;以及列380可以包括用户界面元素,用于深入到与分层站点/建筑物相关联的网络设备的运行状况。在其他实施例中,除有线或无线之外,还可以按照其他方式对端点进行分组,例如,按设备类型(例如,台式机、膝上型计算机、移动电话、IoT设备或更特定类型的IoT设备等)、制造商、型号、操作系统等等。同样,在附加实施例中,网络设备也可以按照这些和其他方式被分组。
图形用户界面300E还可以包括总体运行状况概要用户界面元素(例如,视图、窗格、图块(tile)、卡、容器、小部件、dashlet等),其包括:客户端运行状况概要用户界面元素384,其指示正常客户端的数量(以百分比为单位);颜色编码趋势图表386,其指示(例如,由时间段选择用户界面元素354选择的)特定时间段内的百分比;用户界面元素388,其按照客户端类型(例如,无线、有线)来细分正常客户端的数量(以百分比为单位);网络基础设施运行状况概要用户界面元素390,其指示正常网络设备的数量(以百分比为单位);颜色编码趋势图表392,其指示特定时间段内的百分比;以及设备类型用户界面元素394,其按照网络设备类型(例如,核心交换机、访问交换机、分布交换机等)来细分网络设备的数量(以百分比为单位)。
图形用户界面300E还可以包括问题用户界面元素396,其列出了必须解决的问题(如果存在的话)。可以基于时间戳、严重性、位置、设备类型等对问题进行排序。可以选择每个问题以深入查看所选问题的更详细视图。
图3F示出了图形用户界面300F,其是用于仅概述网络设备的运行状况的屏幕的示例,例如可以通过切换运行状况概述工具345来导航到该图形用户界面300F。图形用户界面300F可以包括时间轴滑块398,用于选择比时间段选择用户界面元素(例如,时间段选择用户界面元素354)更精细的时间范围。图形用户界面300F还可以包括与图形用户界面300E中所示信息类似的信息,例如包括以下项的用户界面元素:与图形用户界面300E的分层站点/建筑物视图和/或地理地图视图类似的分层站点/建筑物视图和/或地理地图视图(除了只针对网络设备提供信息之外)(此处未示出),正常网络设备的数量(以百分比为单位)385;颜色编码趋势图表387,其按照设备类型来指示百分比;按照设备类型对正常网络设备的数量的细分,等等。此外,图形用户界面300F可以通过网络拓扑(未示出)来显示网络设备的运行状况的视图。该视图可以是交互式的,例如通过使用户能够放大或缩小、向左或向右移动或旋转拓扑(例如,旋转90度)。
在该示例中,图形用户界面300F还包括:颜色编码趋势图表3002,其示出了特定时间段内网络设备的性能;按照设备类型选项卡的网络运行状况,其包括提供系统监视指标(例如,CPU利用率、存储器利用率、温度等)的系统运行状况图表3004,提供数据平面指标(例如,上行链路可用性和链路错误)的数据平面连接性图表3006,以及为每种设备类型提供控制平面指标的控制平面连接性图表3008;AP分析用户界面元素,其包括提供AP状态信息(例如,连接到网络的AP的数量以及未连接到网络的AP的数量等)的上下颜色编码图表3010,和按照客户端计数排名的前N个AP的图表3012,其中该图表3012提供了关于具有最高数量的客户端的AP的信息;网络设备表3014,其使得用户能够过滤(例如,按照设备类型、运行状况或自定义过滤器)、查看和导出网络设备信息。每个网络设备的运行状况的详细视图还可以通过在网络设备表3014中选择该网络设备来被提供。
图3G示出了图形用户界面300G,其是用于端点的运行状况的概述的屏幕的示例,例如可以通过切换运行状况概述工具345来导航至该图形用户界面300G。图形用户界面300G可以包括:SSID用户界面选择元素3016,用于按照所有SSID或特定SSID来查看无线客户端的运行状况;频带用户界面选择元素3018,用于按照所有频带或特定频带(例如,2.4GHz、5GHz等)来查看无线客户端的运行状况;以及时间轴滑块3020,其可以类似于时间轴滑块398进行操作。
图形用户界面300G还可以包括:客户端运行状况概要用户界面元素,该客户端运行状况概要用户界面元素提供与在图形用户界面300E中所示信息类似的信息,例如,正常客户端的数量(以百分比为单位)385;和颜色编码趋势图表387,其指示特定时间段内针对每个端点组(例如,有线/无线、设备类型、制造商、型号、操作系统等)的百分比。此外,客户端运行状况概要用户界面元素可以包括颜色编码圆环图表,该颜色编码圆环图表提供了较差(例如,表明客户端运行状况评分为1至3的红色)、一般(例如,表明客户端运行状况评分为4至7的橙色)、良好(例如,表明运行状况评分为8到10的绿色)和非活动(例如,表明运行状况评分为空或0的灰色)端点的计数。与每种颜色、运行状况评分、运行状况描述符等相关联的端点的计数可以通过指向该颜色的选择手势(例如,单击、双击、长按、悬停、点击、右键点击等)来被显示。
图形用户界面300G还可以包括,在特定时间段内在所有站点或所选站点中多个其他客户端运行状况指标图表,例如:
·客户端加入时间3024;
·所接收的信号强度指示(RSSI)3026;
·连接性信噪比(SNR)3028;
·每SSID的客户端计数3030;
·每频带的客户端计数3032;
·DNS请求和响应计数器(未示出);以及
·连接性物理链路状态信息3034,其指示物理链路向上、向下和具有错误的有线端点的分布。
此外,图形用户界面300G可以包括端点表3036,该端点表3036使得用户能够按照设备类型、运行状况、数据(例如,加入时间>阈值、关联时间>阈值、DHCP>阈值、AAA>阈值、RSSI>阈值等)或自定义过滤器来过滤端点,查看并导出端点信息(例如,用户标识符、主机名、MAC地址、IP地址、设备类型、上一次听到的信息、位置、虚拟局域网(VLAN)标识符、SSID、总体运行状况评分、加入评分、连接评分、端点连接到的网络设备等)。每个端点的运行状况的详细视图还可以通过在端点表3036中选择该端点来被提供。
图3H示出了图形用户界面300H,其是用于应用的运行状况的概述的屏幕的示例,例如可以通过切换运行状况概述工具345来导航到该图形用户界面300H。图形用户界面300H可以包括应用运行状况概要用户界面元素,该应用运行状况概要用户界面元素包括:正常应用的数量的百分比3038(以百分比为单位);针对在网络中运行的每个应用或应用类型(例如,事务相关的、事务无关的、默认的;超文本传输协议(HTTP)、VoIP、聊天、电子邮件、批量传输、多媒体/流媒体等)的运行状况评分3040;按照使用情况排名的前N个应用的图表3042。可以基于应用的质量指标(例如,分组丢失、网络延迟等)来计算运行状况评分3040。
此外,图形用户界面300H还可以包括使得用户能够过滤(例如,按照应用名称、域名、运行状况、使用情况、平均吞吐量、业务类别、分组丢失、网络延迟、应用延迟、自定义过滤器等),查看和导出应用信息的应用表3044。每个应用的运行状况的详细视图还可以通过在应用表3044中选择该应用来被提供。
图3I示出了图形用户界面300I的示例,即,用于平台功能214的登陆屏幕的示例。图形用户界面300C可以包括用于与其他技术系统集成的各种工具和工作流。在该示例中,平台集成工具和工作流包括:
·捆绑工具3046,用于管理特定于域的应用编程接口(API)的分组、工作流和用于网络编程和平台集成的其他特征;
·开发者工具箱3048,用于访问API目录,该API目录列出了可用的API和方法(例如,GET、PUT、POST、DELETE等)、描述、运行时(runtime)参数、返回码、模型模式等。在一些实施例中,开发者工具箱3048还可以包括“Try It”按钮,以允许开发者试验特定的API以更好地理解其行为;
·运行时仪表板3050,用于查看和分析基本指标或API以及集成流的使用情况;
·平台设置工具3052,用于查看和设置全局的或特定于捆绑的设置,这些设置定义了集成目的地和事件消耗偏好;以及
·通知用户界面元素3054,用于呈现与软件更新的可用性、安全威胁等有关的通知。
返回图2,控制器层220可以包括用于管理层202的子系统,并且可以包括网络控制平台222、网络数据平台224和AAA服务226。这些控制器子系统可以形成抽象层,以隐藏管理许多网络设备和协议的复杂性和依赖性。
网络控制平台222可以为网络层230和物理层240提供自动化和编排服务,并且可以包括设置、协议和表格以自动管理网络层和物理层。例如,网络控制平台222可以提供设计功能206、策略功能208、配设功能210和平台功能214。此外,网络控制平台222可以包括:用于发现交换机、路由器、无线控制器和其他网络设备的工具和工作流(例如,网络发现工具302);用于维护网络和端点详细信息、配置和软件版本的工具和工作流(例如,库存管理工具304);用于自动部署网络基础设施的即插即用(Plug-and-Play,PnP)(例如,网络PnP工具316);用于创建可视数据路径以加快对连接性问题的故障排除的路径跟踪;用于自动化服务质量以跨网络对应用进行优先级排序的轻松的QoS;以及用于自动部署物理和虚拟网络服务的企业服务自动化(ESA)等。网络控制平台222可以使用以下项来与网络设备进行通信:网络配置(NETCONF)/另一下一代(Yet Another Next Generation,YANG)、简单网络管理协议(SNMP)、安全外壳(SSH)/Telnet等。在一些实施例中,
Figure BDA0003041621150000231
网络控制平台(NCP)可以用作网络控制平台222。
网络数据平台224可以提供网络数据收集、分析和保证,并且可以包括设置、协议和表格以监视和分析网络基础设施以及连接到网络的端点。网络数据平台224可以从网络设备收集多种类型的信息,包括系统日志、SNMP、网络流(NetFlow)、交换端口分析器(SPAN)和流式遥测等。网络数据平台224还可以收集并使用共享的上下文信息。
在一些实施例中,一个或多个Cisco DNATM中心设备可以提供管理层202、网络控制平台222和网络数据平台224的功能。Cisco DNATM中心设备可以通过向现有集群添加附加的Cisco DNATM中心节点来支持水平可扩缩性;可以支持用于硬件组件和软件包两者的高可用性;可以支持备份和存储机制,以支持灾难发现场景;可以支持基于角色的访问控制机制,用于基于角色和范围来对用户、设备和事物进行区别访问;并且可以支持可编程接口,以使能与第三方供应商的集成。Cisco DNATM中心设备也可以是云捆绑的,以提供现有功能的升级以及新软件包和应用的添加,而无需手动下载和安装它们。
AAA服务226可以为网络层230和物理层240提供身份和策略服务,并且可以包括设置、协议和表格以支持端点标识和策略实施服务。AAA服务226可以提供工具和工作流以管理虚拟网络和安全组,以及以创建基于组的策略和契约。AAA服务226可以使用AAA/RADIUS、802.1X、MAC认证旁路(MAB)、web认证、和EasyConnect等来标识和扼要描述网络设备和端点。AAA服务226还可以收集并使用来自网络控制平台222、网络数据平台224和共享服务250等的上下文信息。在一些实施例中,
Figure BDA0003041621150000241
ISE可以提供AAA服务226。
网络层230可以被概念化为两层的组合,即,底层234和覆盖层232,其中底层234包括物理和虚拟网络基础设施(例如,路由器、交换机、WLC等)和用于转发业务的第3层路由协议,并且覆盖层232包括虚拟拓扑(用于在逻辑上连接有线和无线用户、设备和事物,并将服务和策略应用于这些实体)。底层234的网络设备可以例如经由IP在彼此之间建立连接性。底层可以使用任何拓扑和路由协议。
在一些实施例中,网络控制器设备104可以提供诸如由Cisco DNATM中心局域网(LAN)自动化实现的LAN自动化服务,以自动发现、配设和部署网络设备。一旦发现,自动底层配设服务便可以利用即插即用(PnP)将所需的协议和网络地址配置应用于物理网络基础设施。在一些实施例中,LAN自动化服务可以实现中间系统到中间系统(IS-IS)协议。IS-IS的一些优点包括:没有IP协议依赖性的邻居建立、使用环回地址的对等功能、以及对IPv4、IPv6和非IP业务的不可知处理。
覆盖层232可以是建立在物理底层234的顶部上的逻辑虚拟化拓扑,并且可以包括结构数据平面、结构控制平面和结构策略平面。在一些实施例中,可以使用具有组策略选项(Group Policy Option,GPO)的虚拟可扩展LAN(VXLAN)经由分组封装来创建结构数据平面。VXLAN-GPO的一些优点包括:其对第2层和第3层虚拟拓扑(覆盖层)两者的支持,以及其在具有内置网络分段功能的任何IP网络上运作的能力。
在一些实施例中,结构控制平面可以实现用于逻辑映射以及解析用户、设备和事物的定位符/标识符分离协议(LISP)。LISP可以通过消除每个路由器处理每个可能的IP目的地地址和路由的需求来简化路由。LISP可以通过将远程目的地移动到集中式地图数据库来实现此目的,该数据库允许每个路由器仅管理其本地路由并查询地图系统以定位目的地端点。
结构策略平面是可以将意图转换为网络策略的地方。即,策略平面是网络运营商可以基于网络结构120所提供的服务(例如,安全性分段服务、QoS、捕获/复制服务、应用可视性服务等)来实例化逻辑网络策略的地方。
分段是一种用于将特定的用户或设备组与其他组分开,以减少拥塞、提高安全性、遏制网络问题、控制访问等的方法或技术。如所讨论的那样,结构数据平面可以通过使用分组报头中的虚拟网络标识符(VNID)和可扩缩组标签(SGT)字段来实现VXLAN封装,以提供网络分段。网络结构120可以支持宏分段和微分段两者。宏分段通过使用唯一的网络标识符和单独的转发表,来在逻辑上将网络拓扑分割为较小的虚拟网络。可以将其实例化为虚拟路由和转发(VRF)实例,并将其称为虚拟网络(VN)。也就是说,VN是由第3层路由域定义的网络结构120中的逻辑网络实例,并且可以提供第2层和第3层服务两者(使用VNID来提供第2层和第3层分段两者)。微分段通过实施源到目的地访问控制权限(例如,通过使用访问控制列表(ACL))来在逻辑上分离VN中的用户或设备组。可扩缩组是分配给网络结构120中的一组用户、设备或事物的逻辑对象标识符。它可以用作安全组ACL(SGACL)中的源和目的地分类符。SGT可以用于提供与地址无关的(address-agnostic)基于组的策略。
在一些实施例中,结构控制平面节点110可以实现定位符/标识符分离协议(LISP)以彼此通信并且与管理云102进行通信。因此,控制平面节点可以操作主机跟踪数据库、地图服务器和地图解析器。主机跟踪数据库可以跟踪连接到网络结构120的端点130,并将端点与结构边缘节点126关联,从而将端点的标识符(例如,IP或MAC地址)与端点在网络中的位置(例如,最近的路由器)解耦。
物理层240可以包括诸如交换机和路由器110、122、124和126以及无线元件108和128之类的网络设备,以及诸如网络控制器设备104和AAA设备106之类的网络设备。
共享服务层250可以提供到外部网络服务的接口,例如,云服务252;域名系统(DNS)、DHCP、IP地址管理(IPAM)和其他网络地址管理服务254;防火墙服务256;网络即传感器(Naas)/经加密的威胁分析(ETA)服务;和虚拟网络功能(VNF)260;等等。管理层202和/或控制器层220可以使用API经由共享服务层250来共享身份、策略,转发信息等。
图4示出了用于多站点企业网络400的物理拓扑的示例。在该示例中,网络结构包括结构站点420A和420B。结构站点420A可以包括结构控制平面节点410A,结构边界节点422A和422B,结构中间节点424A和424B(此处以虚线示出,并且为了简单起见而未连接至结构边界节点或结构边缘节点),以及结构边缘节点426A-C。结构站点420B可以包括结构控制节点410B、结构边界节点422C-E、结构中间节点424C和424D、以及结构边缘节点426D-F。与单个结构相对应的多个结构站点(例如,图4的网络结构)可以通过传输网络(transitnetwork)进行互连。传输网络可以是(具有其自己的控制平面节点和边界节点,但没有边缘节点的)网络结构的一部分。此外,传输网络与其互连的每个结构站点共享至少一个边界节点。
通常,传输网络将网络结构连接到外部世界。存在多种用于外部连接性的方法,例如传统的IP网络436、传统的WAN 438A、软件定义的WAN(SD-WAN)(未示出)、或软件定义的访问(SD-Access)438B。跨结构站点以及其他类型站点的业务可以使用传输网络的控制平面和数据平面来在这些站点之间提供连接性。本地边界节点可以用作从结构站点的切换点,并且传输网络可以将业务传递到其他站点。传输网络可以使用其他特征。例如,如果传输网络是WAN,则也可以使用诸如性能路由之类的特征。为了提供端到端策略和分段,传输网络应该是在网络上承载端点上下文信息(例如,VRF、SGT)的电缆。否则,可能需要在目的地站点边界处对业务进行重新分类。
结构站点中的本地控制平面可以仅保存与连接到本地结构站点内的边缘节点的端点有关的状态。本地控制平面可以经由本地边缘节点来注册本地端点,例如向单个结构站点(例如,网络结构120)。未显式地注册到本地控制平面的端点可以被假定为是经由连接到传输网络的边界节点而可到达的。在一些实施例中,对于附接到其他结构站点的端点,本地控制平面可能不保存状态,使得边界节点不注册来自传输网络的信息。以这种方式,本地控制平面可以独立于其他结构站点,从而增强了网络的整体可扩缩性。
传输网络中的控制平面可以保存其互连的所有结构站点的概要状态。该信息可以通过边界从不同结构站点注册到传输控制平面。边界节点可以将来自本地结构站点的端点标识符(EID)信息注册到仅用于概要EID的传输网络控制平面中,从而进一步提高可扩缩性。
多站点企业网络400还可以包括共享服务云432。共享服务云432可以包括一个或多个网络控制器设备404、一个或多个AAA设备406,并且其他共享服务器(例如,DNS;DHCP;IPAM;SNMP和其他监视工具;网络流、系统日志和其他数据收集器等)可以驻留。这些共享服务通常可以驻留在网络结构之外以及现有网络的全局路由表(GRT)中。在这种情况下,可能需要某种VRF间路由的方法。VRF间路由的一种选择是使用融合路由器(fusion router),该融合路由器可以是执行VRF间泄漏(例如,VRF路由的导入/导出)以将VRF融合在一起的外部路由器。多协议可以用于这种路由交换,因为它可以固有地防止路由循环(例如,使用AS_PATH属性)。也可以使用其他路由协议,但可能需要复杂的分发列表和前缀列表来防止循环。
然而,在使用融合路由器来实现VN间通信时可能存在若干缺点,例如:路由复制,因为从一个VRF泄漏到另一VRF的路由是被编程在硬件表中的并且可能导致更多的三态内容地址存储器(TCAM)利用率;在实现路由泄漏的多个接触点处进行的手动配置;SGT上下文的丢失,因为SGT可能未被跨VRF维护,并且一旦业务进入另一VRF就必须被重新分类;以及业务传回(hairpinning),因为业务可能需要被路由到融合路由器,并且然后回到结构边界节点。
SD-访问外联网可以提供一种用于实现VN间通信的灵活且可扩缩的方法,这通过以下各项来实现:避免路由复制,因为VN间查找发生在结构控制平面(例如,软件)中,使得路由条目不需要在硬件中被复制;提供了单个接触点,因为网络管理系统(例如,CiscoDNATM中心)可以自动化VN间查找策略,使其成为单个管理点;维护SGT上下文,因为VN间查找发生在控制平面节点(例如,软件)中;以及避免了传回,因为VN间转发可以发生在结构边缘(例如,相同的VN内)处,所以业务不需要在边界节点处传回。另一个优点是可以为所需的每个共同资源创建单独的VN(例如,共享服务VN、互联网VN、数据中心VN等)。
图5示出了用于使用用户业务来监视网络设备的状态的过程500的示例。本领域普通技术人员应当理解,对于本文所讨论的任何过程,除非另有说明,否则在各种实施例的范围内可以存在以相似或替代顺序或者并行执行的附加的、更少的或替代的步骤。过程500可以部分地由结构节点(例如,结构控制平面节点110、结构边界节点122、结构边缘节点126等)和节点执行。该节点可以是另一网络设备,例如结构或非结构交换机、结构或非结构路由器、或其他网络设备(例如,网络控制器设备104、AAA设备106、共享服务250等)或端点(例如,端点130)。
过程500可以从步骤502开始,在步骤502中,结构节点(例如,结构控制平面节点110、结构边界节点122、结构边缘节点126等)可以从如下节点接收用户业务,例如结构或非结构节点、网络服务(例如,云服务、AAA服务、DNS服务、DHCP服务、IPAM服务、防火墙、NaaS/ETA服务、VNF等)、端点(例如,POS服务器、文件服务器、邮件服务器、IoT设备服务器、或其他设备或服务)、或连接到网络结构的其他设备。在一些实施例中,该节点可以位于网络结构的外部。
在步骤504处,结构节点可以将从用户业务中提取的标识信息(例如,源、目的地、网络分段等)匹配到(网络设备的计数器矩阵中与节点相关联的)元组。计数器矩阵的每一行可以包括元组和计数器。元组可以包括:源一元组(其中网络设备隐式地是目的地)、目的地一元组(其中网络设备隐式地是源)、源-目的地两元组、源-目的地-网络分段三元组;等等。在一些实施例中,每一行还可以包括指示业务是否被封装的一个或多个封装标志(例如,VNID、VPN、SGT、EPG等)。在这样的实施例中,结构节点可以检查封装标志以确定如何提取标识信息(例如,RLOC、IP地址等)。
在步骤506处,结构节点可以针对与在步骤502处接收到的用户业务相对应的元组递增硬件计数器。在一些实施例中,可以使用诸如
Figure BDA0003041621150000291
UADP ASIC之类的可编程专用集成电路(ASIC)来实现硬件计数器。
在判定框508处,结构节点可以监视硬件计数器。如果计数器在递增,则过程500可以返回到步骤502并处理新的用户业务。然而,如果替代地,结构节点确定硬件计数器在第一预定时间段内没有递增,则过程500可以进行到判定框510,在判定框510中,结构节点可以将主动探测发送到该节点(例如,ICMP探测),并在第二预定时间段内等待响应。如果该节点在第二预定时间段过去之前响应主动探测,则结构节点可以停用主动探测,并且过程可以返回至步骤502,在步骤502中,结构节点可以处理新的用户业务。在一些实施例中,网络设备还可以调整第一预定时间段的长度以确保更少的“误报”。
如果该节点在第二预定时间段过去之后未响应主动探测,则过程500可以进行到步骤512,在步骤512中,结构节点可以向网络管理系统(例如,由网络控制器设备104实现)发送信号,表明在结构网络设备与节点之间存在断开连接(例如,节点故障或结构节点与节点之间的链路故障),或者以其他方式发送指示断开连接的数据(例如,计数器数据)。
过程500可以以步骤514结束,在步骤514中,网络管理系统可以从结构节点接收指示断开连接的信号或数据(以及指示第二结构节点与节点之间的第二断开连接的第二数据)。网络管理系统可以基于数据(和第二数据)来确定断开连接的原因。在一些实施例中,网络管理系统可以使数据和第二数据相关以确定断开连接的范围(例如,限于网络的节点、子网或其他分段)。网络管理系统可以尝试修复断开连接(例如,重启节点,在节点周围重新路由网络结构和/或到节点的链路,配设新的节点等)。
图6示出了网络设备600(例如,交换机、路由器、网络设备等)的示例。网络设备600可以包括主中央处理单元(CPU)602、接口604和总线606(例如,PCI总线)。当在适当的软件或固件的控制下动作时,CPU 602可以负责执行分组管理、错误检测和/或路由功能。CPU602优选地在包括操作系统和任何适当的应用软件的软件的控制下完成所有这些功能。CPU602可以包括一个或多个处理器608,例如来自摩托罗拉微处理器系列或MIPS微处理器系列的处理器。在替代实施例中,处理器608可以是用于控制网络设备600的操作的专门设计的硬件。在一种实施例中,存储器610(例如,非易失性RAM和/或ROM)也可以形成CPU 602的一部分。然而,存在很多不同的方式可以将存储器耦合到系统。
接口604可以被提供为接口卡(有时称为线卡)。接口604可以控制通过网络对数据分组的发送和接收,并且有时支持与网络设备600一起使用的其他外围设备。可以提供的接口中包括以太网接口、帧中继接口、电缆接口、数字用户线(DSL)接口、令牌环接口等。此外,可以提供各种非常高速的接口,例如快速令牌环接口、无线接口、以太网接口、千兆位以太网接口、异步传输模式(ATM)接口、高速串行接口(HSSI)、SONET上分组(Packet OverSONET,POS)接口、光纤分布式数据接口(FDDI)等。接口604可以包括适合于与适当的介质进行通信的端口。在某些情况下,接口604还可以包括独立处理器,并且在某些实例中,还包括易失性RAM。独立处理器可以控制通信密集型任务,例如分组交换、介质控制和管理。通过为通信密集型任务提供单独的处理器,接口604可以允许CPU 602有效地执行路由计算、网络诊断、安全功能等等。
尽管图6所示的系统是实施例的网络设备的示例,但是其决不是可以在其上实现本主题技术的唯一网络设备架构。例如,也可以使用具有单个处理器的架构,该处理器可以处理通信以及路由计算和其他网络功能。此外,其他类型的接口和介质也可以与网络设备600一起使用。
不管网络设备的配置如何,它都可以采用一个或多个存储器或存储器模块(包括存储器610),该存储器或存储器模块被配置为存储用于通用网络操作的程序指令以及用于本文所述的漫游、路由优化和路由功能的机制。程序指令可以控制操作系统和/或一个或多个应用的操作。一个或多个存储器也可以被配置为存储诸如移动性绑定、注册和关联表之类的表。
图7A和图7B示出了根据各种实施例的系统。在实践各种实施例时,更合适的系统对于本领域普通技术人员而言将是显而易见的。本领域普通技术人员也将容易地认识到,其他系统也是可能的。
图7A示出了总线计算系统700的示例,其中该系统的组件使用总线705彼此进行电气通信。计算系统700可以包括处理单元(CPU或处理器)710和系统总线705,该系统总线705可以将包括系统存储器715的各种系统组件(例如,只读存储器(ROM)720和随机存取存储器(RAM)725)耦合到处理器710。计算系统700可以包括与处理器710直接连接、紧密接近、或集成为其一部分的高速存储器的缓存712。计算系统700可以将数据从存储器715、ROM 720、RAM 725和/或存储设备730复制到缓存712,以供处理器710快速访问。以这种方式,缓存712可以提供性能提升,从而避免了在等待数据时的处理器延迟。这些模块和其他模块可以控制处理器710执行各种动作。其他系统存储器715也可供使用。存储器715可以包括具有不同性能特性的多种不同类型的存储器。处理器710可以包括任何通用处理器和硬件模块或软件模块(例如,存储在存储设备730中的模块1 732、模块2 734和模块3 736),该硬件模块或软件模块被配置为控制处理器710,并且处理器710可以包括专用处理器,在该专用处理器中软件指令被合并到实际的处理器设计中。处理器710基本上可以是完全自包含的计算系统,其包含多个核心或处理器、总线、存储器控制器、缓存等。多核心处理器可以是对称的或非对称的。
为了使用户能够与计算系统700进行交互,输入设备745可以表示任何数量的输入机构,例如用于语音的麦克风、用于手势或图形输入的触敏屏幕(touch-protectedscreen)、键盘、鼠标、运动输入、语音等等。输出设备735也可以是本领域技术人员已知的许多输出机构中的一种或多种输出机构。在一些情况下,多模态系统可以使用户能够提供多种类型的输入以与计算系统700进行通信。通信接口740可以支配和管理用户输入和系统输出。对于在任何特定硬件布置上的操作没有限制,并且因此在开发了改进的硬件或固件布置时,此处的基本特征可以很容易地替换为改进的硬件或固件布置。
存储设备730可以是非易失性存储器,并且可以是硬盘或可以存储可由计算机访问的数据的其他类型的计算机可读介质,例如磁带盒、闪存卡、固态存储器设备、数字通用盘、盒式磁带、随机存取存储器、只读存储器、以及前述项的混合。
如上所述,存储设备730可以包括用于控制处理器710的软件模块732、734、736。设想了其他硬件或软件模块。存储设备730可以连接到系统总线705。在一些实施例中,执行特定功能的硬件模块可以包括被存储在计算机可读介质中的软件组件,该软件组件结合必要的硬件组件(例如,处理器710、总线705、输出设备735等)来执行该功能。
图7B示出了根据一种实施例可以被使用的芯片组计算系统750的示例架构。计算系统750可以包括处理器755,该处理器755代表如下任何数量的物理上和/或逻辑上不同的资源:能够执行被配置为执行所识别的计算的软件、固件和硬件。处理器755可以与芯片组760进行通信,该芯片组760可以控制到处理器755的输入和来自处理器755的输出。在该示例中,芯片组760可以将信息输出到诸如显示器之类的输出设备765,并且可以向存储设备770读取和写入信息,该存储设备770可以包括磁性介质、固态介质和其他合适的存储介质。芯片组760还可以从RAM 775读取数据以及将数据写入到RAM 775。可以提供用于与各种用户接口组件785接口连接的桥780,以用于与芯片组760接口连接。用户接口组件785可以包括键盘、麦克风、触摸检测及处理电路、诸如鼠标之类的指示设备等。到计算系统750的输入可以来自机器生成的和/或人工生成的各种源中的任何一种。
芯片组760还可以与一个或多个通信接口790接口连接,这些通信接口790可以具有不同的物理接口。通信接口790可以包括用于有线和无线LAN、用于宽带无线网络以及个域网的接口。用于生成、显示和使用本文公开的技术的方法的一些应用可以包括通过物理接口来接收有序的数据集,或者可以由机器本身通过处理器755分析存储在存储设备770或RAM 775中的数据来被生成。此外,计算系统750可以经由用户接口组件785而从用户接收输入,并且通过使用处理器755解释这些输入来执行适当的功能,例如浏览功能。
应当理解,计算系统700和750可以分别具有多于一个的处理器710和755,或者计算系统700和750可以是联网在一起以提供更大处理能力的计算设备组或计算设备集群的一部分。
为了解释的清楚起见,在某些情况下,各种实施例可以被表示为包括各个功能块,这些功能块包括包含以下各项的功能块:设备、设备组件、以软件实现的方法中的步骤或例程、或硬件和软件的组合。
在一些实施例中,计算机可读存储设备、介质、和存储器可以包括包含比特流等的电缆或无线信号。然而,当提及时,非暂态计算机可读存储介质明确地排除诸如能量、载波信号、电磁波、和信号本身之类的介质。
可以使用存储在计算机可读介质中或以其他方式可从计算机可读介质获得的计算机可执行指令来实现根据上述示例的方法。这样的指令可以包括例如使得或以其他方式配置通用计算机、专用计算机、或专用处理设备以执行特定功能或功能组的指令和数据。所使用的部分计算机资源可以是通过网络可访问的。计算机可执行指令可以是例如二进制、中间格式指令,例如汇编语言、固件、或源代码。可以用于对指令、在根据所述示例的方法期间使用的信息和/或创建的信息进行存储的计算机可读介质的示例包括磁盘或光盘、闪存、配备有非易失性存储器的USB设备、联网存储设备,等等。
实现根据这些公开内容的方法的设备可以包括硬件、固件和/或软件,并且可以采用各种形状因子中的任何一种。这样的形状因子的一些示例包括诸如服务器、机架安装设备、台式计算机、膝上型计算机等之类的通用计算设备,或者诸如平板计算机、智能电话、个人数字助理、可穿戴设备等之类的通用移动计算设备。本文描述的功能性还可以被体现在外围设备或附加卡中。作为进一步的示例,这样的功能性也可以在不同芯片或在单个设备中执行的不同进程之间的电路板上被实现。
指令、用于传达这样的指令的介质、用于执行这样的指令的计算资源、以及用于支持这样的计算资源的其他结构是用于提供这些公开内容中所描述的功能的手段。
尽管使用各种示例和其他信息来解释所附权利要求的范围内的各方面,但是不应当基于在这样的示例中的特定特征或布置来暗示对权利要求的限制,因为本领域的普通技术人员将能够使用这些示例来导出各种各样的实现方式。此外,虽然可能已经以特定于结构特征和/或方法步骤的示例的语言描述了一些主题,但是应当理解,所附权利要求中限定的主题不一定限于这些描述的特征或动作。例如,这样的功能性可以以不同的方式被分布或在除本文所标识的那些组件之外的组件中被执行。而是,将所描述的特征和步骤公开为在所附权利要求的范围内的系统的组件和方法的示例。

Claims (23)

1.一种由计算机实现的方法,包括:
由结构节点从节点接收用户业务;
由所述结构节点将所述用户业务匹配到被存储在所述结构节点的硬件计数器矩阵中的元组,所述元组与所述硬件计数器矩阵中的计数相对应;
由所述结构节点递增所述计数;以及
响应于所述计数在第一时间内没有递增,由所述结构节点向所述节点发送主动探测。
2.根据权利要求1所述的由计算机实现的方法,还包括:
响应于在第二时间内未接收到对所述主动探测的响应,由所述结构节点向网络管理系统发送指示如下内容的数据:所述结构节点与所述节点之间的断开连接。
3.根据权利要求2所述的由计算机实现的方法,还包括:
由所述网络管理系统基于指示断开连接的所述数据来确定所述断开连接的原因。
4.根据权利要求2或3所述的由计算机实现的方法,还包括:
由所述网络管理系统从第二结构节点接收第二数据,所述第二数据指示所述第二结构节点与所述节点之间的第二断开连接;以及
由所述网络管理系统基于指示断开连接的所述数据与指示第二断开连接的所述第二数据的相关性来确定所述断开连接的范围。
5.根据权利要求1至4中任一项所述的由计算机实现的方法,还包括:
在第二时间内从所述节点接收对所述主动探测的响应;
停用所述主动探测;以及
递增所述计数。
6.根据权利要求5所述的由计算机实现的方法,还包括:
由所述结构节点向网络管理系统发送指示如下内容的数据:对所述结构节点与所述节点之间的断开连接的误报;以及
基于所述误报来调整所述第一时间。
7.根据权利要求1至6中任一项所述的由计算机实现的方法,其中,所述结构节点是以下各项中的一者:结构边缘节点、结构边界节点、或结构控制平面节点。
8.根据权利要求1至7中任一项所述的由计算机实现的方法,其中,所述节点是第二结构节点。
9.根据权利要求1至8中任一项所述的由计算机实现的方法,其中,所述节点是服务或端点之一。
10.根据权利要求1至9中任一项所述的由计算机实现的方法,其中,所述元组包括源路由定位符(RLOC)或源网络地址之一。
11.根据权利要求10所述的由计算机实现的方法,其中,所述元组还包括目的地RLOC或目的地网络地址之一。
12.根据权利要求11所述的由计算机实现的方法,其中,所述元组还包括网络分段标识符。
13.一种系统,包括:
一个或多个处理器;
硬件计数器矩阵;以及
存储器,包括指令,所述指令在由所述一个或多个处理器执行时,使得所述系统执行以下操作:
从节点接收用户业务;
将所述用户业务匹配到被存储在所述硬件计数器矩阵中的元组,所述元组与所述硬件计数器矩阵中的计数相对应;
递增所述计数;以及
响应于所述计数在第一时间内没有递增而向所述节点发送主动探测。
14.根据权利要求13所述的系统,其中,所述指令在被执行时,还使得所述系统执行以下操作:
响应于在第二时间内未接收到对所述主动探测的响应,向网络管理系统发送指示如下内容的数据:所述系统与所述节点之间的断开连接。
15.根据权利要求13或14所述的系统,其中,所述指令在被执行时,还使得所述系统执行以下操作:
从所述节点接收对所述主动探测的响应;
停用所述主动探测;以及
递增所述计数。
16.根据权利要求13至15中任一项所述的系统,其中,所述指令在被执行时,还使得所述系统执行以下操作:
发送指示如下内容的数据:对所述系统与所述节点之间的断开连接的误报;以及
基于所述误报来调整所述第一时间。
17.一种非暂态计算机可读存储介质,包括指令,所述指令在由系统的一个或多个处理器执行时,使得所述系统执行以下操作:
从节点接收用户业务;
将所述用户业务匹配到被存储在所述系统的硬件计数器矩阵中的元组,所述元组与所述硬件计数器矩阵中的计数相对应;
递增所述计数;以及
响应于所述计数在第一时间内没有递增,向所述节点发送主动探测。
18.根据权利要求17所述的非暂态计算机可读存储介质,所述指令在被执行时,还使得所述系统执行以下操作:
响应于在第二时间内未接收到对所述主动探测的响应,向网络管理系统发送指示如下内容的数据:所述系统与所述节点之间的断开连接。
19.根据权利要求18所述的非暂态计算机可读存储介质,所述指令在被执行时,还使得所述系统执行以下操作:
基于指示断开连接的所述数据来确定所述断开连接的原因。
20.根据权利要求19所述的非暂态计算机可读存储介质,所述指令在被执行时,还使得所述系统执行以下操作:
从第二结构节点接收第二数据,所述第二数据指示所述第二结构节点与所述节点之间的第二断开连接;以及
基于指示断开连接的所述数据与指示第二断开连接的所述第二数据的相关性来确定所述断开连接的范围。
21.一种装置,包括:
用于通过结构节点从节点接收用户业务的设备;
用于进行以下操作的设备:通过所述结构节点将所述用户业务匹配到被存储在所述结构节点的硬件计数器矩阵中的元组,所述元组与所述硬件计数器矩阵中的计数相对应;
用于通过所述结构节点递增所述计数的设备;以及
用于响应于所述计数在第一时间内没有递增而通过所述结构节点向所述节点发送主动探测的设备。
22.根据权利要求21所述的装置,还包括用于实现根据权利要求2至12中任一项所述的方法的设备。
23.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令在由计算机执行时,使得所述计算机执行根据权利要求1至12中任一项所述的方法的步骤。
CN201980071148.5A 2018-11-19 2019-11-06 结构数据平面监视 Active CN112956158B (zh)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US201862769154P 2018-11-19 2018-11-19
US62/769,154 2018-11-19
US16/547,002 US10911341B2 (en) 2018-11-19 2019-08-21 Fabric data plane monitoring
US16/547,002 2019-08-21
PCT/US2019/060031 WO2020106449A1 (en) 2018-11-19 2019-11-06 Fabric data plane monitoring

Publications (2)

Publication Number Publication Date
CN112956158A true CN112956158A (zh) 2021-06-11
CN112956158B CN112956158B (zh) 2024-04-16

Family

ID=70726837

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980071148.5A Active CN112956158B (zh) 2018-11-19 2019-11-06 结构数据平面监视

Country Status (4)

Country Link
US (1) US10911341B2 (zh)
EP (1) EP3884623A1 (zh)
CN (1) CN112956158B (zh)
WO (1) WO2020106449A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11308109B2 (en) * 2018-10-12 2022-04-19 International Business Machines Corporation Transfer between different combinations of source and destination nodes
US11218391B2 (en) * 2018-12-04 2022-01-04 Netapp, Inc. Methods for monitoring performance of a network fabric and devices thereof
US10917288B2 (en) * 2019-06-25 2021-02-09 Bank Of America Corporation Adaptive edge-shift for enterprise contingency operations
US11290361B1 (en) * 2019-12-16 2022-03-29 Xilinx, Inc. Programmable network measurement engine
US20230030168A1 (en) * 2021-07-27 2023-02-02 Dell Products L.P. Protection of i/o paths against network partitioning and component failures in nvme-of environments

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6859829B1 (en) * 1999-02-23 2005-02-22 Microsoft Corp. Method and mechanism for providing computer programs with computer system events
US20050081101A1 (en) * 2003-09-27 2005-04-14 Love Carl E. Implementation-efficient multiple-counter value hardware performance counter
CN102937915A (zh) * 2012-11-28 2013-02-20 中国人民解放军国防科学技术大学 用于多核处理器的硬件锁实现方法及装置
CN104506339A (zh) * 2014-11-21 2015-04-08 河南中烟工业有限责任公司 基于profinet的工业以太网网络拓扑管理实现方法
CN104756474A (zh) * 2012-07-13 2015-07-01 适应性频谱和信号校正股份有限公司 用于通信链路性能估计的方法和系统
CN107204897A (zh) * 2017-05-25 2017-09-26 深圳市伊特利网络科技有限公司 网络链路的故障检测方法及系统
CN107438981A (zh) * 2015-04-29 2017-12-05 安移通网络公司 跨控制器故障切换和负荷平衡的无线客户端业务连续性
CN107453849A (zh) * 2017-07-31 2017-12-08 中国南方电网有限责任公司电网技术研究中心 配电通信网络有线链路与无线链路的互备联动方法和系统、空地互备一体化装置
US20170366978A1 (en) * 2016-06-21 2017-12-21 Qualcomm Incorporated Network Path Probing Using Available Network Connections
US20180123867A1 (en) * 2016-10-31 2018-05-03 Microsoft Technology Licensing, Llc Automatic network connection recovery in the presence of multiple network interfaces
CN108476145A (zh) * 2015-11-12 2018-08-31 瑞典爱立信有限公司 用于通用分组无线电服务隧道协议(gtp)探测的方法和系统

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2584647B2 (ja) * 1988-01-28 1997-02-26 株式会社リコー 通信網のノード装置
US6363421B2 (en) * 1998-05-31 2002-03-26 Lucent Technologies, Inc. Method for computer internet remote management of a telecommunication network element
CA2413434A1 (en) * 2000-06-26 2002-01-03 International Business Machines Corporation Data management application programming interface for a parallel file system
US20020102976A1 (en) * 2001-01-31 2002-08-01 Newbury Mark E. System and method for performing inter-layer handoff in a hierarchical cellular system
US7206579B2 (en) * 2001-12-21 2007-04-17 Ntt Docomo, Inc. Adaptive IP handoff triggering and iterative tuning of IP handoff trigger timing
WO2005067179A1 (en) * 2004-01-08 2005-07-21 Sk Telecom Co., Ltd. System for packet data service in the mixed network of asynchronous communication network and synchronous communication network and hand-over method thereof
US7574510B2 (en) * 2004-07-30 2009-08-11 Nokia Corporation Systems, nodes, and methods for dynamic end-to-end session-enhancing services for transport-level-based connections
KR101117283B1 (ko) * 2004-10-11 2012-03-21 삼성전자주식회사 무선랜망과 이동통신 시스템에 접속 가능한 듀얼모드단말의 액티브 핸드오프 시스템 및 방법
IES20070550A2 (en) * 2006-08-03 2008-04-30 Accuris Technologies Ltd A roaming gateway
US7958453B1 (en) * 2006-09-29 2011-06-07 Len Bou Taing System and method for real-time, multi-user, interactive and collaborative environments on the web
US9419867B2 (en) 2007-03-30 2016-08-16 Blue Coat Systems, Inc. Data and control plane architecture for network application traffic management device
US9215279B1 (en) * 2009-02-17 2015-12-15 Netapp, Inc. Servicing of storage device software components of nodes of a cluster storage system
US8473582B2 (en) * 2009-12-16 2013-06-25 International Business Machines Corporation Disconnected file operations in a scalable multi-node file system cache for a remote cluster file system
US9152603B1 (en) * 2011-12-31 2015-10-06 Albert J Kelly, III System and method for increasing application compute client data I/O bandwidth performance from data file systems and/or data object storage systems by hosting/bundling all of the data file system storage servers and/or data object storage system servers in the same common global shared memory compute system as the application compute clients
US8937865B1 (en) * 2012-08-21 2015-01-20 Juniper Networks, Inc. Scheduling traffic over aggregated bundles of links
TWI478537B (zh) * 2012-11-21 2015-03-21 Inst Information Industry 電表網路系統及其電表節點與廣播方法
US8964752B2 (en) 2013-02-25 2015-02-24 Telefonaktiebolaget L M Ericsson (Publ) Method and system for flow table lookup parallelization in a software defined networking (SDN) system
US9755960B2 (en) 2013-09-30 2017-09-05 Juniper Networks, Inc. Session-aware service chaining within computer networks
CN106233757B (zh) * 2014-03-31 2021-11-02 康维达无线有限责任公司 M2m服务层与3gpp网络之间的过载控制和协调
US9608938B2 (en) 2014-08-12 2017-03-28 Arista Networks, Inc. Method and system for tracking and managing network flows
US9705775B2 (en) 2014-11-20 2017-07-11 Telefonaktiebolaget Lm Ericsson (Publ) Passive performance measurement for inline service chaining
US10149311B2 (en) * 2015-11-30 2018-12-04 Google Llc Constructing a self-organizing mesh network using 802.11AD technology

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6859829B1 (en) * 1999-02-23 2005-02-22 Microsoft Corp. Method and mechanism for providing computer programs with computer system events
US20050081101A1 (en) * 2003-09-27 2005-04-14 Love Carl E. Implementation-efficient multiple-counter value hardware performance counter
CN104756474A (zh) * 2012-07-13 2015-07-01 适应性频谱和信号校正股份有限公司 用于通信链路性能估计的方法和系统
CN102937915A (zh) * 2012-11-28 2013-02-20 中国人民解放军国防科学技术大学 用于多核处理器的硬件锁实现方法及装置
CN104506339A (zh) * 2014-11-21 2015-04-08 河南中烟工业有限责任公司 基于profinet的工业以太网网络拓扑管理实现方法
CN107438981A (zh) * 2015-04-29 2017-12-05 安移通网络公司 跨控制器故障切换和负荷平衡的无线客户端业务连续性
CN108476145A (zh) * 2015-11-12 2018-08-31 瑞典爱立信有限公司 用于通用分组无线电服务隧道协议(gtp)探测的方法和系统
US20170366978A1 (en) * 2016-06-21 2017-12-21 Qualcomm Incorporated Network Path Probing Using Available Network Connections
US20180123867A1 (en) * 2016-10-31 2018-05-03 Microsoft Technology Licensing, Llc Automatic network connection recovery in the presence of multiple network interfaces
CN107204897A (zh) * 2017-05-25 2017-09-26 深圳市伊特利网络科技有限公司 网络链路的故障检测方法及系统
CN107453849A (zh) * 2017-07-31 2017-12-08 中国南方电网有限责任公司电网技术研究中心 配电通信网络有线链路与无线链路的互备联动方法和系统、空地互备一体化装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
卢剑雄, 张世永, 钟亦平: "基于终端探测的IP性能测试系统", 计算机工程, no. 23, 5 November 2005 (2005-11-05) *
王杰;石成辉;刘亚宾;: "基于节点共享计数型Bloom filter高效动态数据包过滤方案", 系统工程与电子技术, no. 09 *

Also Published As

Publication number Publication date
US20200162355A1 (en) 2020-05-21
US10911341B2 (en) 2021-02-02
CN112956158B (zh) 2024-04-16
WO2020106449A1 (en) 2020-05-28
EP3884623A1 (en) 2021-09-29

Similar Documents

Publication Publication Date Title
CN113169891B (zh) 通过软件定义的操作管理及维护来识别和解决结构网络中的算法问题
US11831491B2 (en) System and methods to validate issue detection and classification in a network assurance system
US11405427B2 (en) Multi-domain policy orchestration model
US11671331B2 (en) Systems and methods for contextual network assurance based on change audits
US11882202B2 (en) Intent based network data path tracing and instant diagnostics
US11509532B2 (en) Switch triggered traffic tracking
CN113016167B (zh) 在网络中使权利跟随终端设备的方法和装置
US20200162371A1 (en) Route optimization using real time traffic feedback
CN113039520A (zh) 将中心集群成员资格扩展到附加计算资源
US10904104B2 (en) Interactive interface for network exploration with relationship mapping
CN112956158B (zh) 结构数据平面监视
US20210226866A1 (en) Threat detection of application traffic flows
US11122443B2 (en) Automated access point mapping systems and methods
US11296964B2 (en) Technologies for dynamically generating network topology-based and location-based insights
US11121923B2 (en) Automatic provisioning of network components
US11811613B2 (en) Method and apparatus for automated spanning-tree loop detection in networks
US11716250B2 (en) Network scale emulator
CN114270907B (zh) 自动接入点布置系统和方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant