2.5.2 軟體定義通路自動化服務
1. DNA 中心的自動化與編排
自動化和編排,如軟體定義通路概述部分所定義的,将“軟體定義”的概念引入“通路”網絡,将使用者的業務“意圖”轉換為有意義的網絡配置和驗證任務。
思科軟體定義通路使用基于控制器的自動化作為主要的配置和編排模型,用以設計、部署、驗證和優化有線、無線和安全網絡元件。有了DNA中心,IT團隊現在可以在與業務目标一緻的抽象層級别上操作,而不用擔心具體的實作細節。這實作了最小化人為錯誤的機率,以及通過更容易的标準化總體網絡設計來簡化 IT團隊的操作。
思科 DNA中心為非網絡交換矩陣和基于網絡交換矩陣的元件提供多種形式和級别的自動化和編排。下面簡要列出思科DNA自動化和編排的關鍵原則和概念。
(1) 靈活性:減少設計、部署和 /或優化網絡環境所需的時間。思科 DNA中心通過以裝置發現(現有網絡):現有網絡裝置的自動發現和資産清單建構。
· 區域網路自動化(新網絡):新網絡裝置的自動發現、配置和資産建立。
② 網絡交換矩陣疊加網絡的關鍵工作流程。
· 網絡交換矩陣站點:一組支援網絡交換矩陣的網絡裝置的自動配置,具有通用的網絡交換矩陣控制平面和資料平面。
· 網絡交換矩陣裝置角色:運作各種網絡交換矩陣功能的網絡裝置的自動配置,包括控制平面節點、邊界節點、邊緣節點、擴充節點、網絡交換矩陣模式的無線控制器和無線接入點。
· 虛拟網絡:自動配置在網絡交換矩陣疊加網絡中,啟用虛拟路由和轉發分段。
· 基于組的政策:自動配置在網絡交換矩陣疊加網絡中,對基于組的政策進行分類和/或實施。
· 主機聯網:為加入網絡的用戶端自動配置相關功能,包括靜态或動态虛拟網絡、IP位址池和配置設定可擴充組、SSID、二層相關配置等。
· 多點傳播服務:自動配置在網絡交換矩陣疊加網絡中啟用IP多點傳播分發。
· 預驗證: 在部署網絡交換矩陣疊加網絡自動化之前驗證網絡裝置功能和支援性的工具。
· 交換矩陣部署後驗證:在網絡交換矩陣疊加網絡自動化之後驗證網絡裝置正常運作的工具。
2. 使用 DNA 中心自動化軟體定義通路
下面通過簡述DNA中心平台提供的設計、政策和配置工作流程描述軟體定義通路概念的實際應用。
(1)網絡設計。
大型企業中的 IT團隊通常必須管理大量具有不同業務功能和屬性的分布式站點。 例如,某個企業可能有零售店、售貨亭、配送中心、制造場所和公司辦公室,在這種情況下,IT 團隊的願望通常是将基于業務屬性相近的站點标準化為網絡配置檔案來簡化其操作,IT 團隊還需要允許本地團隊管理和自定義特定于站點的特定參數,如特定于站點的日志記錄服務等,同時確定在整個企業中一緻地定義其他通用參數,如網絡身份驗證和政策。
DNA中心允許根據站點對網絡基礎設施進行分類,并提供一定程度的粒度細分來定義與企業網絡基礎設施的實體布局密切相關的建築物和樓層。為了提供最大的靈活性,DNA 中心還允許定義站點的層次結構(如圖2-20所示)。
圖 2-20思科 DNA 中心定義的網絡層次結構
DNA中心允許對全局或以每個站點為機關進行自動配置,還支援使用思科即插即用解決方案實作零接觸配置網絡基礎設施,自動加載新的網絡基礎架構元件。為實作這一目标,DNA中心的設計部分提供:
① 網絡層次結建構立;
② 特定于站點的網絡參數;
③ 基于站點的網絡配置檔案。
(2)應用網絡設定。
在 DNA中心的設計工作流程中定義的設定提供了網絡主要構模組化塊,它們将首先在部署之前驗證網絡配置,随後在自動化過程的其他階段進一步最小化這些元素的手動輸入。如前所述,這些設定應用于網絡層次結構,并将在後續的工作流程元素中用于多個目的。此工作流程中定義的設定包括:
① AAA、DHCP、NTP和DNS伺服器;
② DNA中心通路網絡裝置的憑據;
③ 用于用戶端裝置的IP位址池。用于其他思科DNA中心工作流程的IP位址池,包括區域網路(底層網絡)自動化和網絡交換矩陣邊界節點外部連接配接自動化。
(3) 規劃和建構無線網絡配置。
無線網絡的配置可以在 DNA中心完全實作自動化,配置流程作為設計/政策 /配置工作流程中的一個步驟實作。IP 位址池、虛拟網絡和可擴充組标簽等共享元素已內建到此工作流程中,無須單獨定義。對于特定于無線網絡部署的功能,包括企業和訪客SSID配置、射頻優化參數以及服務品質(QoS)、“思科—蘋果”快行線協定和自适應 802.11r等其他關鍵功能可在 DNA中心中定義和部署配置。
(4) 管理軟體映像。
DNA中心的設計工作流程包括軟體映像管理——為各種網絡裝置(包括路由器、交換機和無線控制器)自動管理軟體映像。此功能包括多次驗證檢查,以確定為裝置的更新或降級作好充分準備。
(5) 定義政策。
DNA中心使企業能夠建立邏輯網段和細粒度使用者組,以及基于網絡情境的服務政策,然後将這些政策自動化為規範配置并将其推送到網絡基礎架構。可以在軟體定義通路網絡交換矩陣中自動執行3種主要類型的政策,具體如下。
① 安全性:通路控制政策,規定誰可以通路什麼資源,它由一組跨組通路規則組成。例如,允許/拒絕組到組的通路。
② QoS:應用政策,它從應用體驗的角度調用QoS服務,以便為網絡上的使用者提供差異化通路。
③ 複制:流量複制政策,它調用DNA中心内的流量複制服務來配置ERSPAN以監控特定流量。
(6) 配置網絡。
定義了網絡設計後,自動部署配置可以按如下方式進行。
① 向站點添加裝置:此步驟将網絡裝置配置設定到作為設計工作流程的一部分所建立的實體站點,該裝置準備好接受所在站點的設計參數配置。
② 配置網絡裝置(交換機、路由器、無線控制器和無線接入點):此步驟将根據設計工作流程提供的參數進行相關裝置的配置。配置步驟完成後将在裝置上啟用在站點設計中基于思科最佳實踐設定的所有參數。
(7) 建立網絡交換矩陣。
這一步驟涉及網絡交換矩陣邊緣節點、邊界節點和控制平面節點的選擇。此外,還提供預驗證和部署後驗證檢查,以驗證網絡交換矩陣中裝置的狀态。網絡交換矩陣是通過以下步驟建構的。
① 向網絡交換矩陣添加邊緣節點。
② 選擇網絡交換矩陣的邊界節點,此時管理者還需要提供外部和/或傳輸連接配接參數,這允許網絡交換矩陣連接配接到外部網絡。
③ 選擇網絡交換矩陣的控制平面節點。
④ 将無線控制器加入軟體定義通路網絡交換矩陣中。
(8) 主機聯網。
主機聯網允許将終端連接配接到網絡交換矩陣的邊緣節點。主機聯網工作流程将允許對終端進行身份驗證,将其分類到可擴充組并關聯到虛拟網絡和IP位址池。實作這一點的關鍵步驟如下。
① 身份驗證模闆選擇:DNA中心提供了預定義的身份驗證模闆,以簡化将身份驗證機制應用于網絡的過程。模闆的選擇會自動将所需的配置推送到網絡交換矩陣的邊緣節點。
② 虛拟網絡、單點傳播和多點傳播子網選擇:将IP位址池與虛拟網絡(VN)相關聯。
③ 網絡交換矩陣SSID選擇:用于将無線網絡內建到軟體定義通路網絡交換矩陣。
④ 靜态端口設定:允許設定端口級别。
(9) 預驗證和部署後驗證檢查。
每個網絡交換矩陣建立步驟都允許管理者進行預驗證檢查,以確定所選網絡裝置能夠正确地被配置為可接受的網絡交換矩陣配置。同樣,部署後驗證檢查允許管理者通過突出顯示可能在配置期間報告錯誤的裝置來驗證網絡交換矩陣的正确操作。此步驟有助于管理者找到
部署前後任何可能無法滿足預期結果的問題。
(10) 總結。
一旦完成部署軟體定義通路網絡交換矩陣的任務,就可以通過DNA中心輕松地實作配置更改以适應不斷變化的業務用例,而不需要通過手動互動。
![圖解HTTP八:确認通路使用者身份的認證[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)