带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.5(三)

简介: 带你读《思科软件定义访问 : 实现基于业务意图的园区网络》第二章软件定义访问体系结构2.5


2.5.2       软件定义访问自动化服务

 

1.   DNA 中心的自动化与编排

自动化和编排,如软件定义访问概述部分所定义的,将软件定义的概念引入访问网络,将用户的业务意图转换为有意义的网络配置和验证任务。

思科软件定义访问使用基于控制器的自动化作为主要的配置和编排模型,用以设计、部署、验证和优化有线、无线和安全网络组件。有了DNA中心,IT团队现在可以在与业务目标一致的抽象层级别上操作,而不用担心具体的实现细节。这实现了最小化人为错误的概率,以及通过更容易的标准化总体网络设计来简化 IT团队的操作。

思科 DNA中心为非网络交换矩阵和基于网络交换矩阵的组件提供多种形式和级别的自动化和编排。下面简要列出思科DNA自动化和编排的关键原则和概念。

(1)  敏捷性:减少设计、部署和 /或优化网络环境所需的时间。思科 DNA中心通过以设备发现(现有网络:现有网络设备的自动发现和资产清单构建。

·  局域网自动化(新网络:新网络设备的自动发现、配置和资产建立。

网络交换矩阵叠加网络的关键工作流程。

·  网络交换矩阵站点:一组支持网络交换矩阵的网络设备的自动配置,具有通用的网络交换矩阵控制平面和数据平面。

·  网络交换矩阵设备角色:运行各种网络交换矩阵功能的网络设备的自动配置,包括控制平面节点、边界节点、边缘节点、扩展节点、网络交换矩阵模式的无线控制器和无线接入点。

·  虚拟网络:自动配置在网络交换矩阵叠加网络中,启用虚拟路由和转发分段。

·  基于组的策略:自动配置在网络交换矩阵叠加网络中,对基于组的策略进行分类和/或实施。

·  主机联网:为加入网络的客户端自动配置相关功能,包括静态或动态虚拟网络、IP地址池和分配可扩展组、SSID、二层相关配置等。

·  多播服务:自动配置在网络交换矩阵叠加网络中启用IP多播分发。

·  预验证: 在部署网络交换矩阵叠加网络自动化之前验证网络设备功能和支持性的工具。

·  交换矩阵部署后验证:在网络交换矩阵叠加网络自动化之后验证网络设备正常运行的工具。

2.   使用 DNA 中心自动化软件定义访问

下面通过简述DNA中心平台提供的设计、策略和配置工作流程描述软件定义访问概念的实际应用。

1)网络设计。

大型企业中的 IT团队通常必须管理大量具有不同业务功能和属性的分布式站点。 例如,某个企业可能有零售店、售货亭、配送中心、制造场所和公司办公室,在这种情况下,IT   团队的愿望通常是将基于业务属性相近的站点标准化为网络配置文件来简化其操作,IT   团队还需要允许本地团队管理和自定义特定于站点的特定参数,如特定于站点的日志记录服务等,同时确保在整个企业中一致地定义其他通用参数,如网络身份验证和策略。

DNA中心允许根据站点对网络基础设施进行分类,并提供一定程度的粒度细分来定义与企业网络基础设施的物理布局密切相关的建筑物和楼层。为了提供最大的灵活性,DNA   中心还允许定义站点的层次结构(如图2-20所示

                                 

2-20思科 DNA 中心定义的网络层次结构

DNA中心允许对全局或以每个站点为单位进行自动配置,还支持使用思科即插即用解决方案实现零接触配置网络基础设施,自动加载新的网络基础架构组件。为实现这一目标,DNA中心的设计部分提供:

网络层次结构创建;

特定于站点的网络参数;

基于站点的网络配置文件。

2)应用网络设置。

DNA中心的设计工作流程中定义的设置提供了网络主要构建模块,它们将首先在部署之前验证网络配置,随后在自动化过程的其他阶段进一步最小化这些元素的手动输入。如前所述,这些设置应用于网络层次结构,并将在后续的工作流程元素中用于多个目的。此工作流程中定义的设置包括:

AAADHCPNTPDNS服务器;

DNA中心访问网络设备的凭据;

用于客户端设备的IP地址池。用于其他思科DNA中心工作流程的IP地址池,包括局域网(底层网络)自动化和网络交换矩阵边界节点外部连接自动化。

(3) 规划和构建无线网络配置。

无线网络的配置可以在 DNA中心完全实现自动化,配置流程作为设计/策略 /配置工作流程中的一个步骤实现。IP   地址池、虚拟网络和可扩展组标签等共享元素已集成到此工作流程中,无须单独定义。对于特定于无线网络部署的功能,包括企业和访客SSID配置、射频优化参数以及服务质量(QoS)、思科苹果快行线协议和自适应 802.11r等其他关键功能可在 DNA中心中定义和部署配置。

(4)  管理软件映像。

DNA中心的设计工作流程包括软件映像管理——为各种网络设备(包括路由器、交换机和无线控制器)自动管理软件映像。此功能包括多次验证检查,以确保为设备的升级或降级作好充分准备。

(5)  定义策略。

DNA中心使企业能够创建逻辑网段和细粒度用户组,以及基于网络情境的服务策略,然后将这些策略自动化为规范配置并将其推送到网络基础架构。可以在软件定义访问网络交换矩阵中自动执行3种主要类型的策略,具体如下。

①   安全性:访问控制策略,规定谁可以访问什么资源,它由一组跨组访问规则组成。例如,允许/拒绝组到组的访问。

②   QoS:应用策略,它从应用体验的角度调用QoS服务,以便为网络上的用户提供差异化访问。

复制:流量复制策略,它调用DNA中心内的流量复制服务来配置ERSPAN以监控特定流量。

(6)  配置网络。

定义了网络设计后,自动部署配置可以按如下方式进行。

①   向站点添加设备:此步骤将网络设备分配到作为设计工作流程的一部分所创建的物理站点,该设备准备好接受所在站点的设计参数配置。

②     配置网络设备(交换机、路由器、无线控制器和无线接入点:此步骤将根据设计工作流程提供的参数进行相关设备的配置。配置步骤完成后将在设备上启用在站点设计中基于思科最佳实践设置的所有参数。

(7) 创建网络交换矩阵。

这一步骤涉及网络交换矩阵边缘节点、边界节点和控制平面节点的选择。此外,还提供预验证和部署后验证检查,以验证网络交换矩阵中设备的状态。网络交换矩阵是通过以下步骤构建的。

向网络交换矩阵添加边缘节点。

②     选择网络交换矩阵的边界节点,此时管理员还需要提供外部和/或传输连接参数,这允许网络交换矩阵连接到外部网络。

选择网络交换矩阵的控制平面节点。

将无线控制器加入软件定义访问网络交换矩阵中。

(8)  主机联网。

主机联网允许将终端连接到网络交换矩阵的边缘节点。主机联网工作流程将允许对终端进行身份验证,将其分类到可扩展组并关联到虚拟网络和IP地址池。实现这一点的关键步骤如下。

身份验证模板选择DNA中心提供了预定义的身份验证模板,以简化将身份验证机制应用于网络的过程。模板的选择会自动将所需的配置推送到网络交换矩阵的边缘节点。

虚拟网络、单播和多播子网选择:将IP地址池与虚拟网络(VN)相关联。

网络交换矩阵SSID选择:用于将无线网络集成到软件定义访问网络交换矩阵。

静态端口设置:允许设置端口级别。

(9) 预验证和部署后验证检查。

每个网络交换矩阵创建步骤都允许管理员进行预验证检查,以确保所选网络设备能够正确地被配置为可接受的网络交换矩阵配置。同样,部署后验证检查允许管理员通过突出显示可能在配置期间报告错误的设备来验证网络交换矩阵的正确操作。此步骤有助于管理员找到

部署前后任何可能无法满足预期结果的问题。

(10)  总结。

一旦完成部署软件定义访问网络交换矩阵的任务,就可以通过DNA中心轻松地实现配置更改以适应不断变化的业务用例,而不需要通过手动交互。

相关文章
|
5天前
|
安全 网络安全 数据安全/隐私保护
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限
访问控制列表(ACL)是网络安全中的一种重要机制,用于定义和管理对网络资源的访问权限。它通过设置一系列规则,控制谁可以访问特定资源、在什么条件下访问以及可以执行哪些操作。ACL 可以应用于路由器、防火墙等设备,分为标准、扩展、基于时间和基于用户等多种类型,广泛用于企业网络和互联网中,以增强安全性和精细管理。
34 7
|
22天前
|
人工智能 监控 安全
网络监控软件
【10月更文挑战第17天】
106 68
|
21天前
|
网络协议 安全 网络安全
|
7天前
|
存储 网络协议 安全
软件管理,磁盘存储,文件系统以及网络协议
【11月更文挑战第9天】本文介绍了软件管理、磁盘存储和网络协议等内容。软件管理包括软件生命周期管理和软件包管理,涉及需求分析、设计、实现、测试、发布、维护等阶段,以及软件包的安装、升级和依赖关系处理。磁盘存储部分讲解了磁盘的物理结构、分区与格式化、存储管理技术(如 RAID 和存储虚拟化)。网络协议部分涵盖了分层模型、重要协议(如 HTTP、TCP、IP)及其应用与安全。
|
9天前
|
存储 数据安全/隐私保护 云计算
多云网络环境:定义、优势与挑战
多云网络环境:定义、优势与挑战
24 5
|
8天前
|
运维 物联网 网络虚拟化
网络功能虚拟化(NFV):定义、原理及应用前景
网络功能虚拟化(NFV):定义、原理及应用前景
23 3
|
8天前
|
网络虚拟化 数据安全/隐私保护 数据中心
对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令
本文对比了思科和华为网络设备的基本配置、接口配置、VLAN配置、路由配置、访问控制列表配置及其他重要命令,帮助网络工程师更好地理解和使用这两个品牌的产品。通过详细对比,展示了两者的相似之处和差异,强调了持续学习的重要性。
21 2
|
8天前
|
数据可视化 算法 安全
员工上网行为管理软件:S - PLUS 在网络统计分析中的应用
在数字化办公环境中,S-PLUS 员工上网行为管理软件通过精准的数据收集、深入的流量分析和直观的可视化呈现,有效帮助企业管理员工上网行为,保障网络安全和提高运营效率。
18 1
|
16天前
|
数据采集 监控 数据可视化
Fortran 在单位网络监控软件数据处理中的应用
在数字化办公环境中,Fortran 语言凭借其高效性和强大的数值计算能力,在单位网络监控软件的数据处理中展现出独特优势。本文介绍了 Fortran 在数据采集、预处理和分析可视化三个阶段的应用,展示了其在保障网络安全稳定运行和有效管理方面的价值。
45 10
|
5天前
|
存储 SQL 安全
网络安全与信息安全:关于网络安全漏洞、加密技术、安全意识等方面的知识分享
【10月更文挑战第39天】在数字化时代,网络安全和信息安全成为了我们生活中不可或缺的一部分。本文将介绍网络安全漏洞、加密技术和安全意识等方面的内容,帮助读者更好地了解网络安全的重要性,并提供一些实用的技巧和方法来保护自己的信息安全。
15 2