Аппаратная основа и её требования
На схемах показаны доступные в настоящее время модули маршрутизаторов LPUI с интегрированными картами и их характеристики.
А так выглядит roadmap с новыми вариантами модулей, которые будут доступны в течение ближайших двух лет. При разработке решений на их основе важно учитывать энергопотребление. Сейчас стандартные ЦОДы строятся из расчёта 7–10 кВт на стойку, в то время как применение маршрутизаторов терабитного класса подразумевает потребляемую мощность в несколько раз выше (до 30–40 уВт в пике).
Общий взгляд на шасси показывает, что фабрики скрываются за средним блоком вентиляторов. Есть возможность их «горячей» замены, реализованная благодаря резервированию по схеме 2N или N 1. По сути, речь идёт о стандартной ортогональной архитектуре высокой надёжности.
Huawei ai fabric — свой путь
AI Fabric реализует RDMA over Ethernet, дополненный собственным интеллектуальным алгоритмом управления перегрузками сети, что обеспечивает нулевую потерю пакетов, высокую пропускную способность сети и низкую задержку передачи для RDMA-потоков.
Huawei Ai Fabric построен на открытых стандартах и поддерживает целый спектр различного оборудования, что оптимизирует процесс внедрения. Однако некоторые дополнительные инструменты — надстройки над открытыми стандартами, позволяющие повысить эффективность обмена данными, о которых мы расскажем в последующих публикациях — доступны только для устройств производства Huawei.
В коммутаторы серии CloudEngine, поддерживающие решение, интегрирован чип, анализирующий характеристики трафика и динамически настраивающий сетевые параметры, что позволяет эффективнее использовать буфер коммутатора. Собранные характеристики также используются для прогнозирования модели трафика в будущем.
Infiniband vs ethernet
Две основных реализации RDMA на рынке — проприетарный транспортный протокол InfiniBand и «чистый» RDMA на базе Ethernet, к сожалению, не лишены недостатков.
Транспортный протокол InfiniBand имеет встроенный механизм контроля доставки пакетов (защиту от потери данных), но поддерживается специфическим оборудованием и не совместим с Ethernet. Фактически использование этого протокола замыкает ЦОД на одном поставщике оборудования, что несет в себе определенные риски и обещает сложности с точки зрения обслуживания (поскольку InfiniBand имеет малую рыночную долю, найти специалистов будет не так-то просто). Ну и, естественно, при внедрении протокола нельзя использовать уже существующее оборудование IP-сетей.
RDMA over Ethernet позволяет использовать в сети существующее оборудование, поддерживает сети Ethernet, а значит, будет легче находить специалистов по обслуживанию. На фоне Infiniband это существенно снижает стоимость владения инфраструктурой, упрощает ее развертывание.
Единственный серьезный недостаток, который препятствовал широкому распространению RDMA over Ethernet — отсутствие механизмов защиты от потери пакетов, что ограничивает пропускную способность всей сети. Для сокращения потерь пакетов или предотвращения перегрузки сети необходимо использовать сторонние механизмы.
Rdma — путь сокращения задержек передачи
RDMA — идея не новая. Технология обеспечивает прямой обмен данными между памятью и сетевым интерфейсом, сокращая время ожидания и исключая лишние копирования данных в буферы. Ее корни уходят в разработки 1990-х годов компаний Compaq, Intel и Microsoft.
В передаче пакета от одной системы к другой есть три типа задержек:
- из-за процессорной обработки, необходимой, например, для буферизации данных в ОС и подсчета чек-сумм;
- из-за шин и каналов передачи данных (значительно увеличить полосу пропускания технически невозможно);
- из-за сетевого оборудования.
Чтобы сократить потери на всей этой цепочке, еще в 1990-х было предложено использовать прямой доступ к памяти взаимодействующих систем — абстрактную модель Virtual Interface Architecture. Ее основная идея заключается в том, что приложения, запущенные в двух взаимодействующих системах, полностью заполняют их локальную память и устанавливают P2P соединение для передачи данных, не затрагивая ОС.
Относительно абстрактной модели VIA RDMA, как технология, шагнула дальше в направлении оптимальной утилизации ресурсов. В частности, она не ждет заполнения буфера для установления соединения и допускает соединения одновременно с несколькими компьютерами. За счет этого технология позволяет сократить задержки на передаче до 1 мс, снижая нагрузку на процессор.
Specs
Вы можете открыть 2–3 окна приложений со смартфона на экране компьютера. Фактическое количество окон зависит от версии системы смартфона и компьютера.
Эта функция поддерживается следующими системными приложениями: Заметки, Файлы, Калькулятор, Браузер HUAWEI, Huawei Club, Календарь, Сообщения, Галерея, Советы, HUAWEI Музыка, HUAWEI Reader и Эл. почта. Поддержка сторонними приложениями зависит от их версии.
Изменения сетевого взаимодействия
Главная «фишка» Huawei Ai Fabric — сокращение накладных расходов при передаче пакетов данных между системами внутри кластера за счет реализации RDMA (Remote Direct Memory Access) — прямого доступа к памяти систем, входящих в кластер.
Как применять эти технологии
В качестве «технологического зонтика», покрывающего вышеперечисленные решения, ранее использовалось три разнородных продукта. U2000 применялся в качестве NMS для transmission-домена и IP-домена. Дополнительно в SDN-системах задействовались системы uTraffic и гораздо более известная Agile Controller.
CloudSoP
Прежде всего он позволяет полностью управлять жизненным циклом инфраструктуры, начиная с построения сети — оптической или IP. На него же возложено управление ресурсами, как стандартными (MPLS), так и новыми (SRv6). Наконец, CloudSoP даёт возможность полноценно обслуживать все сервисы с высоким уровнем гранулярности.
Давайте подробнее остановимся на классическом подходе к управлению. В таком случае оно может осуществляться с помощью L3VPN или SR-TE, что даёт дополнительные возможности создания туннелей. Для того чтобы распределить ресурсы под различные сервисные задачи, используется более сотни параметров и сегментная маршрутизация.
Как выглядит развёртывание такого сервиса? Сперва нужно задать первичную политику для конкретного уровня (плоскости). На схеме выше выбрана технология SRv6, с помощью которой настраивается доставка трафика из точки А в точку Е. Система рассчитает возможные пути с учётом пропускной способности и задержек, а также создаёт параметры для последующего контроля.
Провели настройку — приступаем к созданию и запуску в эксплуатацию дополнительных VPN-сервисов. Серьёзное преимущество решения Huawei в том, что, в отличие от стандартного MPLS Traffic Engineering, оно позволяет синхронизировать пути туннелей без каких-либо дополнительных надстроек.
На схеме выше показан общий процесс снятия информации. Часто для него применяется SNMP, что занимает немало времени, причём даёт усреднённый результат. Однако телеметрия, которую мы прежде использовали в ЦОДах и кампусных решениях, пришла в мир операторских магистральных сетей. Она добавляет нагрузку, зато позволяет понимать происходящее в сети не на минутном, а на субсекундном уровне.
Конечно, полученный объём трафика надо каким-то образом «переварить». Для этого используется дополнительная технология машинного обучения. На основании предварительно загруженных паттернов самых распространённых сетевых неисправностей система контроля способна делать прогнозы по вероятностям возникновения эксцессов. Например, поломки модуля SFP (Small Form-factor Pluggable) или внезапного всплеска трафика в сети.
А так выглядит горизонтально масштабируемая (scale-out) система управления на основе ARM-серверов TaiShan и базы данных GaussDB. У отдельных нод аналитической системы есть понятие «роли», что позволяет гранулярно расширять диагностические сервисы при росте трафика или увеличении числа узлов сети.
Иными словами, всё, что было хорошего в мире СХД, постепенно приходит в область управления сетями.
Яркий пример внедрения наших новых технологий — Промышленный и коммерческий банк Китая (ICBC). В нём развёрнута опорная сеть высокопроизводительных маршрутизаторов, которым присвоены определённые роли. Согласно NDA, мы вправе дать на схеме только общее представление о структуре сети.
Кому это полезно?
Huawei Ai Fabric позволяет получить профит на двух уровнях.
С одной стороны, решение позволяет оптимизировать архитектуру ЦОД — сократить количество узлов (за счет более оптимальной утилизации ресурсов), создать конвергентную среду без традиционного разделения на отдельные подсети, которые сложно и дорого обслуживать по частям.
С другой стороны, AI Fabric позволяет повысить скорость распределенных вычислений, особенно там, где требуется часто обращаться к памяти удаленных систем. К примеру, внедрение ИИ в любой сфере подразумевает период обучения алгоритма, который может включать миллионы операций, поэтому выигрыш в задержке на каждой такой операции обернется серьезным ускорением процесса.
Эффект от внедрения специализированного инструмента, вроде Huawei Ai Fabric, будет заметен в ЦОД с шестью и более коммутаторами. Но чем больше объем ЦОДа, тем выше профит — за счет оптимальной утилизации ресурсов кластер того же масштаба с Ai Fabric обеспечит более высокую производительность.
Для примера кластер из 384 нод может достичь производительности «обычного» кластера в 512 нод. При этом решение не имеет ограничений по количеству физических коммутаторов внутри инфраструктуры. Их могут быть десятки тысяч (если забыть о том, что обычно проекты ограничиваются масштабами административного домена).
Не одни только флагманы
Как бы ни впечатляли флагманские модели, больше всего инсталляций приходится на box-решения серий М и F.
Наиболее востребованные сейчас сервисные маршрутизаторы — модели M8 и M14. Они позволяют в рамках одной платформы работать и с низкоскоростными, таким как E1, и с высокоскоростными интерфейсами (100 Гбит/с сейчас и 400 Гбит/с в ближайшем будущем).
Производительности M14 вполне достаточно, чтобы удовлетворить все запросы обычных enterprise-заказчиков. С помощью него можно строить стандартные решения L3VPN для связи с провайдерами, хорош он и в качестве дополнительного инструмента, например, для сбора телеметрии или применения SRv6.
Для модели доступно большое количество карт. Здесь нет отдельных фабрик, а для обеспечения связанности используются супервизоры. Таким образом достигается указанное на схеме распределение производительности по портам.
В дальнейшем супервизор можно будет заменить на новый, что даст и новую производительность на тех же самых портах.
Модель M8 несколько меньше M14, в производительность также уступает старшей модели, но сценарии использования у них очень похожи.
Набор совместимых с M8 физических карт позволяет, к примеру, настроить подключение к P-устройствам по интерфейсу 100 Гбит/с, использовать технологию FlexE и всё это зашифровать.
По большому счёту, именно с устройства M6 можно начинать работу с операторской средой. Оно небольшое и не подходит для провайдеров, но с лёгкостью применимо как точка агрегации трафика для подключения региональных ЦОДов, допустим в банке. Притом набор ПО здесь такой же, как и на старших моделях.
Доступных карт для M6 поменьше, а максимальная производительность составляет 50 Гбит/с, что, впрочем, заметно выше, чем у стандартных решений в индустрии на 40 Гбит/с.
Отдельного упоминания заслуживает и самая младшая модель — M1A. Это небольшое решение, которое может оказаться кстати там, где ожидается расширенный температурный диапазон эксплуатации (-40… 65 °С).
Несколько слов о линейке F. Модель NetEngine 8000 F1A стала одним из самых популярных продуктов Huawei в 2021 году, не в последнюю очередь благодаря тому, что оснащена портами с пропускной способностью от 1 до 100 Гбит/с (до 1,2 Тбит/с суммарно).
От чего зависит, какие технологии нужны для сетевых решений
Требования к новейшему сетевому оборудованию сейчас определяются четырьмя опорными трендами:
- распространением широкополосной мобильной связи 5G;
- ростом облачных нагрузок как в приватных, так и в публичных ЦОДах;
- расширением мира IoT;
- увеличением востребованности искусственного интеллекта.
Во время пандемии возникла ещё одна общая тенденция: более привлекательными становятся сценарии с уменьшенным насколько возможно физическим присутствием в пользу виртуального. Сюда среди прочего относятся сервисы виртуальной и дополненной реальности, а также решения на базе сетей Wi-Fi 6. Все эти сферы применения требуют высокого качества канала. Обеспечить его и призван NetEngine 8000.
Подробнее о srv6
Для чего же именно сейчас потребовалось включить в наши продукты поддержку технологии SRv6?
В настоящее время количество протоколов, необходимых для организации VPN-туннелей, может составлять 10 , что вызывает серьёзные проблемы с управлением и наводит на мысли о необходимости радикально упростить процесс.
Ответом индустрии на этот вызов и стало создание технологии SRv6, к появлению которой приложили руку компании Huawei и Cisco.
Одним из ограничений, которые необходимо было снять, являлась необходимость использовать для маршрутизации стандартных пакетов принцип per-hop behavior (PHB). Наладить «межоператорское» взаимодействие посредством Inter-AS MP-BGP с дополнительными сервисами (VPNv4) достаточно сложно, поэтому таких решений очень мало.
На схеме представлен кейс по внедрению SRv6. Две глобальные сети были объединены несколькими разными протоколами. Чтобы получить сервис от какого-либо виртуального или аппаратного сервера, требовалось большое количество переключений (handover) между VXLAN, VLAN, L3VPN и пр.
После внедрения SRv6 оператор располагал туннелем end-to-end даже не до аппаратного сервера, а до Docker-контейнера.
Подробнее о технологии flexe
Второй уровень модели OSI плох тем, что он не предоставляет те необходимые сервисы и тот уровень SLA, в которых нуждаются провайдеры. Они, в свою очередь, хотели бы получить некий аналог TDM (Time-division multiplexing), но на Ethernet. Для решения проблемы применялось множество подходов, позволявших добиться лишь очень ограниченных результатов.
Flex Ethernet служит именно для того, чтобы гарантировать качество уровня SDH (Synchronous Digital Hierarchy) и TDM в IP-сетях. Это стало возможным благодаря работе с forwarding plane, когда мы таким образом модифицируем L2-среду, чтобы она становилась максимально производительной.
Как работает любой стандартный физический порт? Имеется определённое количество очередей и tx-кольцо. Попавший в буфер пакет ждёт своей обработки, что не всегда удобно, особенно при наличии elephant- и mice-потоков.
Обеспечить гарантированную пропускную способность на уровне физической среды помогают дополнительные вставки и ещё один слой абстракции.
Дополнительный MAC-слой выделяется на уровне передачи информации, что позволяет создать жёсткие физические очереди, которым можно назначать определённые SLA.
Так это выглядит на уровне внедрения. В дополнительном слое фактически реализован TDM-фрейминг. Благодаря такой метавставке есть возможность гранулярно раздавать очереди и формировать TDM-услуги через Ethernet.
Один из сценариев использования FlexE подразумевает очень жёсткое следование SLA путём формирования тайм-слотов для выравнивания пропускной способности или предоставления ресурсов для критических сервисов.
Ещё один сценарий позволяет работать с дефектами. Вместо простого хеширования передачи информации мы формируем отдельные каналы практически на физическом уровне, в отличие от виртуальных, создаваемых QoS (Quality of Service).
Подробнее об ifit
Как и FlexE, iFIT является лицензируемой технологией Huawei. Она позволяет проводить проверку SLA на очень гранулярном уровне. В отличие от стандартных механизмов IP SLA и NQA, iFIT оперирует не синтетическим, а «живым» трафиком.
Доступна iFIT на всех устройствах, которые поддерживают телеметрию. Для этого используется дополнительное поле, не занятое стандартными Option Data. Туда записывается информация, которая позволяет понять происходящее в канале.
Роутер гипервизор huawei в одном корпусе. запускаем с нуля
Данная статья будет полезна системным администраторам, планирующим работать с сетевым оборудованием Huawei, а так же ИТ-специалистам, перед которыми стоит задача разработки собственных решений на базе стандартных платформ. В ней будет приведено подробное описание настройки устройства посредством командной строки (CLI).
Я получил для тестирования и изучения продукт компании Huawei Enterprise – Huawei AR169W-P-M9. Как следует из описания на сайте производителя – это устройство объединяет в себе полный набор услуг, в том числе маршрутизации, коммутации, безопасности и беспроводного доступа, а также содержит в себе открытую сервисную платформу (OSP, которая по сути является x86 компьютером), которая может обеспечить практически любой функционал, доступный на x86-платформе.
Если все упростить – то это полноценный роутер корпоративного уровня с интегрированным гипервизором на базе x86 архитектуры и все это размером с толстую книгу. Рассмотрим устройство поближе. Основные характеристики с сайта производителя ниже.
Рис.1
| 1 — Порт USB (host) | 2 — Антенна Bluetooth |
| 3 — Две Wi-Fi антенны | 4 — Слот для доп. Жесткого диска (HDD 2.5”) |
| 5 — Консольный порт | 6 — Порт WAN 1GE Ethernet |
| 7 — Порт WAN VDSL | 8 — LAN – 4х портовый коммутатор GE thernet |
| 9 — Кнопка сброса Reset | 10 — Разъем для блока питания PoE портов (100 W). В комплект не входит. |
| 11 — Разъем для стандартного блока питания (60 W) | 12 — Разъем для фиксации кабеля питания. |
| 13 — Три USB интерфейса (host). Выходная мощность каждого 5 W. | 14 — VGA для подключения монитора. |
| 15 — HDMI видео-интерфейс | 16 — Разъем для подключения наушников |
| 17 — Разъем для подключения микрофона | 18 — Интерфейс RS485/232 |
| 19 — Интерфейс для подключения Bluetooth антенны | 20 — Название модели. |
| 21 — Разъем для заземления | 22 — Две антенны Wi-Fi |
Техническая спецификация
| Процессор основного устройства | Dual-core, 1 GHz |
| Память основного устройства | 512 Мб |
| Память OSP системы | 8 Гб |
| Flash основного устройства | 512 Мб |
| Жесткий диск HDD OSP системы (build in) | 64 Гб |
| Процессор OSP системы | Intel Atom 1.9 GHz 4 Core |
| Размеры (В x Ш x Г) | 44.5 мм x 300 мм x 220 мм |
| Wi-Fi | 802.11b/g/n 802.11ac |
| Service Forwarding Performance (IMIX) | 150 Мб/сек. |
| Масса | 2,8 кг. |
| Питание | 100В – 240В |
Характеристики маршрутизатора
| Базовый функционал | ARP, DHCP, NAT, and Sub interface management |
| WLAN (AP – точка доступа FAT) | AP management, WLAN QoS, WLAN security, WLAN radio management, and WLAN user management (Only WLAN models support WLAN AP features) |
| WLAN (AC – контроллер точек доступа) | AP management (AC discovery/AP access/AP management), CAPWAP, WLAN user management, WLAN radio management (802.11a/b/g/n), WLAN QoS (WMM), and WLAN security (WEP/WPA/WPA2/Key management) |
| LAN | IEEE 802.1P, IEEE 802.1Q, IEEE 802.3, VLAN management, MAC address management, MSTP, etc. |
| Ipv4 Unicast Routing | Routing policy, static route, RIP, OSPF, IS-IS, and BGP |
| Ipv6 Unicast Routing | Routing policy, static route, RIPng, OSPFv3, IS-Isv6, and BGP4 |
| Multicast | IGMP v1/v2/v3, PIM SM, PIM DM, and MSDP |
| VPN | IPSec VPN, GRE VPN, DSVPN, L2TP VPN, and Smart VPN |
| QoS | Diffserv mode, Priority mapping, traffic policing (CAR), traffic shaping, congestion avoidance (based on IP precedence/DSCP WRED), congestion management (LAN interface: SP/WRR/SP WRR; WAN interface: PQ/CBWFQ), MQC (traffic classification, traffic behavior, and traffic policy), Hierarchical QoS, and Smart Application Control (SAC) |
| Security | ACL, firewall, 802.1x authentication, AAA authentication, RADIUS authentication, HWTACACS authentication, broadcast storm suppression, ARP security, ICMP attack defense, URPF, CPCAR, blacklist, IP source tracing, and PKI |
| Management and Maintenance | Upgrade management, device management, web-based GUI, GTL, SNMP v1/v2c/v3, RMON, NTP, CWMP, Auto-Config, site deployment using USB disk, and CLI |
Следующие операционные системы могут быть установлены на сервисный модуль OSP:
• Windows Server 2003 32bit,
• Windows Server 2008 R1 32bit,
• Windows Server 2008 R2 64bit,
• Windows 7 32bit sp1,
• Windows 8.x
• Red Hat Enterprise 6.5,
• Red Hat Enterprise 7.0,
• SUSE Enterprise 11 SP1,
• Fedora Core 20,
• Debian Wheezy.
После более детального изучения устройства, я набросал следующую структурную схему устройства:
Рис.2
Как можно увидеть, устройство условно состоит из двух частей:
MCU – основное устройство, которое является роутером Huawei серии AR. И по сути ничем от него не отличается, весь функционал роутеров этой серии доступен в данном устройстве.
OSP – open system platform – по сути является x86 компьютером на котором установлен гипервизор QEMU. Взаимодействует с MCU посредством виртуального свича (vSwitch). В командной строке MCU мы увидим устройство как отдельный интерфейс (я постарался отразить это на структурной схеме в виде отдельного линка к логическому роутеру). Управление гипервизором также происходит из командной строки роутера, что на мой взгляд не очень удобно, возможно в будущем это изменится и будет возможность настраивать OSP посредством клавиатуры и монитора или посредством WEB-интерфейса.
Wi-Fi модуля (802.11b/g/n 802.11ac)
- Всех возможных портов для взаимодействия с внешним миром (описаны выше).
В своей практике я часто имею дело с сетевым оборудованием Huawei, считаю, что достаточно хорошо знаю его архитектуру, операционную систему VRP и CLI. Но когда я узнал о существовании такого «гибрида», мне стало интересно – на каком уровне в нем происходит интеграция x86 и VRP? Как будет выглядеть с точки зрения роутера гипервизор? И как будут выглядеть сетевые ресурсы роутера с точки зрения установленной на сервисную платформу x86-ой операционной системы? И интерес, в первую очередь, свяазан с открывающимися вариантами решений различных типовых задач – ведь по сути в одной коробке уже есть почти все, вот к примеру варианты использования:
Рис. 3
На рисунке 3 – базовая схема подключения дополнительного офиса к главному. Устройство в дополнительном офисе решает задачу выхода в Интернет, раздачу Wi-Fi, предоставление IP-телефонии, коммутацию четырех устройств, а также до двух серверов для задач, которые нужно решать локально.
Второй вариант:
Рис. 4
Решение для общественного транспорта. Устройство будет раздавать интернет пассажирам, которое оно будет получать посредством 3G/4G, а также транслировать рекламу посредством HDMI-интерфейса и подключенному к нему монитору и колонке. Или, например, определяя местоположение по GPS, проводить экскурсию пассажирам. Для этого, конечно же, на гостевой ОС должно быть запущено соответствующее приложение. Стоит так же заметить, что для данного применения уместнее использовать промышленный вариант серии AR 500, который выполнен в специальном корпусе, защищающем устройство от тряски.
Думаю, что вариантов применения можно придумать множество, эти варианты первые, что пришли мне в голову.
Первичные настройки роутера.
Пароль по умолчанию на консоль (параметры консоли стандартные, как у Cisco: 9600baud, без контроля четности):
Username: admin
Password: Admin@huawei
(в некоторых ранних версиях VRP пароль может быть Admin@123, но в свежих версиях – такой как указано выше).
1) Прописываем IP адрес для VlanInterface1, в котором по умолчанию находятся порты LAN-свича GE0-GE4, а также маршрут по умолчанию:
<Huawei>system-view
Enter system view, return user view with Ctrl Z.
[Huawei]sysname AR169
[AR169]interface Vlanif1
[AR169-Vlanif1]ip address 172.31.31.77 255.255.255.0
[AR169-Vlanif1]quit
[AR169]ip route-static 0.0.0.0 0.0.0.0 172.31.31.12) Настраиваем доступ по SSH к устройству, предвариетльно создав пользователя и сгенерировав ключи rsa:
[AR169]rsa local-key-pair create
The key name will be: Host
RSA keys defined for Host already exist.
Confirm to replace them? (y/n):y
The range of public key size is (512 ~ 2048).
NOTES: If the key modulus is less than 2048, It will introduce potential security risks.
Input the bits in the modulus[default = 2048]:
Generating keys...
...........................................................................................................................................
....................
..............................................
................
[AR169]user-interface vty 0 4
[AR169-ui-vty0-4]authentication-mode aaa
[AR169-ui-vty0-4]protocol inbound ssh
[AR169-ui-vty0-4]quit
[AR169]aaa
[AR169-aaa]local-user user1 password irreversible-cipher Pa$$w0rd
[AR169-aaa]local-user user1 privilege level 15
[AR169-aaa]local-user user1 service-type ssh http terminal
[AR169]ssh user user1 authentication-type password3) Далее, пункт опциональный – обновление ПО до последней версии. Перед началом работы с любым устройством крайне рекомендуется обновится до самой последней версии ПО.
Проверим, какая версия ПО VRP сейчас стоит на роутере:
[AR169]display version
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.160 (AR160 V200R007C00SPC600PWE)
Copyright (C) 2021-2021 HUAWEI TECH CO., LTD
Huawei AR169W-P-M9 Router uptime is 0 week, 0 day, 0 hour, 53 minutes
MPU 0(Master) : uptime is 0 week, 0 day, 0 hour, 53 minutes
SDRAM Memory Size : 512 M bytes
Flash 0 Memory Size : 512 M bytes
MPU version information :
1. PCB Version : ARSRU169AGW-L VER.D
2. MAB Version : 0
3. Board Type : AR169W-P-M9
4. CPLD0 Version : 0
5. BootROM Version : 1
SubBoard[1]:
1. PCB Version : AR-1OSPBT-D VER.B
2. Board Type : OSP-X86Как можно заметить, версия ПО VRP этого роутера V200R007C00SPC600PWE. Условно расшифровать можно, как версия 200, релиз 007, номер в релизе 00, service pack 600. Буквы PWE означают Payload without encryption, что означает, что в данной версии ПО отключено стойкое шифрование с длинной ключа выше 56 бит. Если этих букв нет в названии ПО, то устройство будет поддерживать стойкое шифрование.
На момент написания статьи самая свежая доступная версия V200R007C00SPC900, ее можно найти на сайте производителя поиском по ключевым словам “AR 169 OSP”:
В случае, если файл будет недоступен для скачивания (пиктограмма в виде замка около названия файла), то следует обратиться к вашему партнеру, через которого приобреталось оборудование.
Скачиваем файл с AR169-OSP-V200R007C00SPC900.cc и выкладываем его на TFTP-сервер. Я использую для этих целей бесплатный tftpd64 для Windows. Мой tftp-сервер располагается в той же сети, что и VLAN1 у роутера. Адрес tftp-сервера 172.31.31.250.
Далее, для скачивания файла нужно выйти в пользовательский режим (с треугольными скобками ) и дать команду на скачивание файла с tftp сервера:
<AR169>tftp 172.31.31.250 get AR169-OSP-V200R007C00SPC900.cc Должно начаться скачивание файла на встроенную flash-память. После скачивания, из этого же режима проверим содержимое flash командой dir и убедимся, что все скачалось.
Далее, чтобы при следующей перезагрузке устройства грузилось уже новая версия ПО, нужно в этом же пользовательском режиме дать команду с явным указанием этого нового файла:
<AR169>startup system-software flash:/AR169-OSP-V200R007C00SPC900.ccДалее, после перезагрузки по команде display version убедимся, что роутер загрузился с новой версией прошивки V200R007C00SPC900.
4) Переходим к созданию виртуальной машины.
Виртуальная машина создается в интерфейсе CLI роутера в режиме virtual-environment.
Сперва проверим, включен ли DHCP на виртуальных интерфейсах GE0/0/5 и GE0/0/6 которые связывают роутер и плату OSP.
Для этого посмотрим конфигурацию всего устройства:
[AR169]display current-configuration
…
interface GigabitEthernet0/0/5 ip address 192.168.2.1 255.255.255.0 dhcp select interface
#
interface GigabitEthernet0/0/6 description VirtualPort ip address 192.168.3.1 255.255.255.0 dhcp select interface
#Лишний вывод я обрезал, оставил только вывод пятого и шестого интерфейсов. Как можно видеть, здесь присутствует включенный DHCP сервер, который будет раздавать в эти интерфейсы IP-адреса из сеток /24.
В моем случае это было настроено по умолчанию, но в случае, если DHCP на этих интерфейсах не настроен (по крайней мере в мануале про это написано), следует его включить:
[AR169]dhcp enable
[AR169]interface GigabitEthernet0/0/5
[AR169-GigabitEthernet0/0/5]dhcp select interface
[AR169-GigabitEthernet0/0/5]quit
[AR169]interface GigabitEthernet0/0/6
[AR169-GigabitEthernet0/0/6]dhcp select interfaceТак же на этом этапе можно сменить адреса вашей виртуальной сети, если эти адреса чем то не устраивают, в данном случае сетевые карты виртуальных машин будут в одном адресном пространстве GigabitEthernet0/0/5, т.е. в данном случае 192.168.2.0 /24. Я оставлю как есть.
Для чего нужно раздавать IP-адреса в этот интерфейс?
Ниже схема того, как взаимосвязаны между собой роутер (MCU) и плата x86 (OSP):
Рис. 5
Как видно из рисунка 5, GE5/0/0/5 является интерфейсом связи с MCU и OSP, и первый выданный по DHCP адрес должен будет получить интерфейс br0 виртуального свича. Проверим, какой адрес выдался из пула адресов интерфейса Gi0/0/5:
[AR169]display ip pool interface gigabitethernet0/0/5 used ----------------------------------------------------------------------------- Start End Total Used Idle(Expired) Conflict Disable ----------------------------------------------------------------------------- 192.168.2.1 192.168.2.254 253 1 252(0) 0 0 ----------------------------------------------------------------------------- Network section : ----------------------------------------------------------------------------- Index IP MAC Lease Status ----------------------------------------------------------------------------- 253 192.168.2.254 34a2-a2fc-edd8 36112 Used -----------------------------------------------------------------------------Таким образом, адрес 192.168.2.254 будет основной точкой входа в нашу виртуальную среду, именно к нему нужно обращаться для перехода в режим виртуальной среды платы OSP следующей командой:
[AR169]virtual-environment 192.168.2.254В этом режиме предстоит скачать образ операционной системы с заранее поднятого ftp сервера, а также сформировать и запустить виртуальную машину.
Я поднял FTP-сервер FileZilla на машине с адресом 172.31.31.250, подключенным к LAN-свичу нашего устройства, т.е. к VLAN1:
Рис.6
Важное замечание. В моем случае, роутер не является шлюзом по умолчанию для FTP-сервера, поэтому я вручную на ftp-сервере прописал статический маршрут в сеть 192.168.2.0 /24 через 172.31.31.77.
На FTP-сервере заведен пользователь user1 которому доступна папка с образом Windows 8.1 – файл с названием win81.iso. Скачаем его в нашу виртуальную среду:
[AR169]virtual-environment 192.168.2.254
[AR169-virtual-environment-192.168.2.254]download package win81.iso ftp ftp://172.31.31.250/win81.iso user user1 password cipher
Enter Password(<1-16>):
The download ratio is 100%. Info: Package downloading finished.Далее, создаем пустой виртуальный диск размером 30Гб для будущей операционной системы:
[AR169-virtual-environment-192.168.2.254]blank-disk name disk1 size 30Формируем OVA-файл из ISO с параметрами нашей будущей виртуальной машины:
[AR169-virtual-environment-192.168.2.254]ova file win81 iso win81.iso disk disk1 cpu 4 memory 2800 network-card 1 network-card-type virtio extend-description "-hdb /dev/external_disk" Info: This operation will take several minutes, please wait....Комментарии по параметрам команды ova file:
• Первым параметром будет название создаваемого ova-файла без расширения, т.е. win81;
• Параметро iso – наш win81.iso файл, который был скачен ранее;
• Параметр disk – название диска, созданного нами командой blank-disk, т.е. disk1
• Cpu – указываем количество процессоров от 1 до 4.
• Memory – количество оперативной памяти в гигабайтах, в данном случае 2800 Мб (в случае если используем extend-description в предыдущей команде, то больше памяти поставить нельзя).
• Network-card – количество сетевый карт виртуальной машины, в данном случае 1.
• Network-card-type – тип виртуальной карты, возможны три варианта: e1000, rpl8139 и virtio. Рекомендованный тип для Windows – e1000.
• Extend-description – важный параметр, который регламентирует расширеные настройки виртуальной машины, такие как дополнительный жесткий диск, serial interface, HDMI и Audio, а также USB. Если не описывать эти параметры, то виртуальная машина «не увидит» допольнительный жетский диск, который можно установить в наше устроство и т.п.
Но есть важное ограничение, налагаемое CLI устройства – команда целиком не может быть длиннее 256 символов, а параметры подключения USB или HDMI превышают это ограничение.
Для этого случае в руководстве описан способ создание OVA-файла офф-лайн, то есть не на данном устройстве, а на вашей linux-машине. Здесь я не буду приводить это описание и буду использовать только один короткий параметр для подключения внешнего диска: «-hdb /dev/external_disk». Так же важное замечание при
И так, ova-файл сформирован, можно приступать к инсталляции виртуальной машины из этой сборки:
[AR169-virtual-environment-192.168.2.254]install vm win81 package win81.ova Info: This operation will take several minutes, please wait..Виртуальная машина проинсталлирована, далее зайдем в режим управления виртуальной машины, пропишем номер порта (например 8) по которому она в дальнейшем будет доступна по VNC viewer:
[AR169-virtual-environment-192.168.2.254]vm win81 [AR169-virtual-environment-vm-win81]vnc-server port 8 password cipher
Enter Password(<6-8>):
[AR169-virtual-environment-vm-win81]После чего можно виртуальную машину активировать и стартовать:
[AR169-virtual-environment-vm-win81]vm activate Info: VM activated successfully.
[AR169-virtual-environment-vm-win81]vm start Info: VM started successfully.Проверим состояние виртуальной машины следующей командой, а также запомним имя ее виртуального интерфейса (veth), оно нам пригодится в следующем шаге:
[AR169-virtual-environment-192.168.2.254]display vm win81
Name: win81
Status: running
Package: win81.ova
Auto-boot: enable
Exception-action: alarm
Cpu-shared: Current: 0 1 2 3 Next:
Cpu-mono: Current: Next:
Storage-claimed: Current: Disk: disk1 Target: sda Size: 30720M Next:
Memory: Current: 2800M Next:
Cdrom: Current: Name: win81.iso Type: private Next:
Veth: Current: Name: win81_eth1 Mac: 0a:0b:1b:ce:e9:17 Next:Из данного вывода видно, что виртуальная машина win81 находится в запущенном состоянии, использует в качестве основного жесткого диска disk1 емкостью 30720 Мб, количество памяти 2800 Мб и ее виртуальный сетевой интерфейс называется win81_eth. Следующим шагом свяжем этот интерфейс с системой роутинга самого роуетера:
Для этого создаем виртуальный интерфейс veth2 для HostOS:
[AR169-virtual-environment-192.168.2.254]veth veth2 … и создаем виртуальный линк между HostOS и виртуальной машиной Win81 (см. Рисунок 5):
[AR169-virtual-environment-192.168.2.254]link veth veth2 to veth win81_eth1Добавляем виртуальный интерфейс Host OS к виртуальному свичу vSwitch:
[AR169-virtual-environment-192.168.2.254]ovs bridge br0
[AR169-virtual-environment-ovs-br0]port veth2 link-type access
[AR169-virtual-environment-ovs-br0]quitВсе, работы по созданию виртуальной машины завершены, можно приступать к ее инсталляции и непосредственной работе с ней. Для этого будем использовать бесплатный VNC Viewer, предварительно скачав его с сайта разработчика (RealVNC).
В качестве адреса указываем наш виртуальный интерфейс 192.168.2.254:8 — и порт 8, который мы настроили чуть выше. В настройках соединения, в разделе Expert следует обязательно сделать параметр FullColor = true, в противном случае ничего работать не будет:
Рис. 7
Вводим пароль, который мы задали в команде vnc-server и видим начальный экран установки нашей гостевой операционной системы, в данном случае Windows 8.1:
Рис. 8.
Процесс инсталляции Windows ничем не отличается от обычного, поэтому я пропущу этот момент, будем считать, что Windows успешно установился и запущен. Сразу же проверим, что у нас с сетевыми настройками:
Рис. 9
Как видно, DHCP выдал адрес 192.168.2.253 и мы можем пинговать шлюз 192.168.2.1. Таким образом, сетевая карта установилась нормально и виртуальная машина взаимодействует с роутером. Осталось выпустить виртуальную машину в интернет (настроить NAT на роутере) и, например, «прокинуть» порт снаружи для доступа по RDP к виртуальной машине (в этом случае крайне желательно настроить на сетевой карте виртуальной машины статический адрес из сети 192.168.2.0/24, а не оставлять его динамическим):
Создадим Access-list для фильтрации хостов, которым нужно предоставить доступ в интернет, в данном случае всю сеть 192.168.2.0 /24 :
[AR169]acl number 2001
[AR169-acl-basic-2001] rule permit source 192.168.2.0 0.0.0.255
[AR169-acl-basic-2001]quitПодключим к интерфейсу GigabitEthernet0/0/4 (WAN) кабель от провайдера, пусть нам выделен статический адрес 195.19.XX.XX, шлюз по умолчанию 195.19.XX.1:
[AR169]interface GigabitEthernet0/0/4
[AR169-GigabitEthernet0/0/4]ip address 195.19.XX.XX 255.255.255.224
[AR169-GigabitEthernet0/0/4] nat outbound 2001Сделаем трансляцию порта с внешнего 33389 на внутренний 3389 хоста нашей виртуальной машины 192.168.2.254
[AR169-GigabitEthernet0/0/4] nat server protocol tcp global current-interface 33389 inside 192.168.2.253 3389
[AR169-GigabitEthernet0/0/4]quitНастроим маршрут по умолчанию в Интернет:
[AR169] ip route-static 0.0.0.0 0.0.0.0 195.19.XX.1Обязательно сохраним конфигурацию:
[AR169]save Warning: The current configuration will be written to the device. Are you sure to continue?[Y/N]:Y It will take several minutes to save configuration file, please wait........... Configuration file had been saved successfully Note: The configuration file will take effect after being activatedНа этом базовые настройки можно считать завершенными, была поднята одна виртуальная машина с гостевой ОС Windows 8.1, проведено обновление ПО устройства, сделан доступ в интернет и трансляция порта снаружи для доступа к ОС посредством протокола RDP.
Семейство netengine 8000
Устройства, входящие в семейство NetEngine 8000, разделены на три основные серии. Маркированные литерой X — это высокопроизводительные флагманские модели для операторов связи или под высоконагруженные ЦОДы. Серия M рассчитана на воплощение различных metro-сценариев.
А устройства с индексом F предназначены прежде всего для реализации распространённых DCI-сценариев (Data Center Interconnect). Большинство из «восьмитысячников» могут быть частью туннелей end-to-end с пропускной способностью 400 Гбит/с и поддерживать гарантированный уровень услуги (Service Level Agreement — SLA).
Факт: сегодня только Huawei производит полный спектр оборудования для организации сетей класса 400GE. На иллюстрации выше показан сценарий построения сети для крупного enterprise-заказчика или большого оператора. В последнем случае используются высокопроизводительные маршрутизаторы ядра NetEngine 9000, а также новые маршрутизаторы NetEngine 8000 F2A, способные агрегировать большое количество подключений 100, 200 или 400 Гбит/с.
Metro-фабрики реализуются на базе устройств серии М. Подобные решения позволяют без смены платформы адаптироваться к тому десятикратному росту объёма трафика, который ожидается в течение ближайшей декады.
Huawei самостоятельно производит оптические модули с пропускной способностью 400 Гбит/с. Построенные на них решения на 10–15% дешевле аналогичных по ёмкости, но использующих 100-гигабитные каналы. Тестирование модулей началось ещё в 2021 году, а уже в 2021-м состоялось первое внедрение оборудования на их основе; сейчас африканский оператор связи Safaricom ведёт коммерческую эксплуатацию такой системы.
Огромная пропускная способность NetEngine 8000, которая, возможно, в 2020 году кажется избыточной, обязательно понадобится уже в не самом отдалённом будущем. Кроме того, маршрутизатор подходит для использования в качестве крупной точки обмена, какая наверняка пригодится как операторам второго уровня, так и крупным enterprise-структурам в фазе бурного роста и создателям решений для «электронного правительства».
Также Huawei способствует распространению целого ряда новых технологий, среди которых протокол маршрутизации SRv6, заметно упрощающий доставку операторского VPN-трафика. Технология FlexE (Flexible Ethernet) обеспечивает гарантированную пропускную способность на втором уровне модели OSI, а iFIT (In-situ Flow Information Telemetry) позволяет точно отслеживать параметры выполнения условий SLA.
С точки зрения провайдера, SRv6 можно применять от уровня контейнера в ЦОДе, построенном на NFV (Network Functions Virtualization), до, например, беспроводной среды широкополосного доступа. Корпоративным заказчикам сквозное использование нового протокола понадобится при построении магистральных (опорных) сетей.
Так выглядит таймлайн коммерциализации технологии SRv6 для поддержки 5G-решений. Практический кейс: арабская компания Zain Group в процессе перехода к использованию 5G модернизировала свою сеть, увеличив пропускную способность магистральных каналов, а также улучшила управляемость инфраструктуры за счёт внедрения SRv6.
Трёхслойная интеллектуальная архитектура ip wan
В основе решений Huawei лежит трёхслойная архитектура, на нижнем уровне которой располагается оборудование различной производительности. На втором уровне — среда управления оборудованием и дополнительные сервисы, расширяющие функциональность анализа и контроля сети.
Вот короткое видео, рассказывающее о возможностях NetEngine 8000 и использованных в нём технических решениях:
Само собой, оборудование должно быть рассчитано на рост трафика и расширение инфраструктуры с учётом правильного питания и подобающего охлаждения. Когда флагманская модель маршрутизатора оснащена 20 БП по 3 кВт каждый, применение углеродных нанотрубок в системе теплоотведения уже не кажется избыточным.
Ради чего всё это? Звучит как фантастика, но уже сейчас для нас 14,4 Тбит/с на слот — показатель вполне достижимый. И эта умопомрачительная пропускная способность востребована. В частности, всё теми же финансовыми и энергетическими компаниями, многие из которых располагают сегодня опорными сетями, созданными с применением технологии DWDM (Dense Wavelength Division Multiplexing). В конце концов, растёт и количество приложений, требующих всё более высоких скоростей.
В одном из наших сценариев построения сетей машинного обучения между двумя кластерами Atlas 900 также требуется пропускная способность терабитного класса. И подобных задач масса. К ним, в частности, относятся ядерные вычисления, метеорологические расчёты и пр.
