2.5.2 软件定义访问自动化服务
1. DNA 中心的自动化与编排
自动化和编排,如软件定义访问概述部分所定义的,将“软件定义”的概念引入“访问”网络,将用户的业务“意图”转换为有意义的网络配置和验证任务。
思科软件定义访问使用基于控制器的自动化作为主要的配置和编排模型,用以设计、部署、验证和优化有线、无线和安全网络组件。有了DNA中心,IT团队现在可以在与业务目标一致的抽象层级别上操作,而不用担心具体的实现细节。这实现了最小化人为错误的概率,以及通过更容易的标准化总体网络设计来简化 IT团队的操作。
思科 DNA中心为非网络交换矩阵和基于网络交换矩阵的组件提供多种形式和级别的自动化和编排。下面简要列出思科DNA自动化和编排的关键原则和概念。
(1) 敏捷性:减少设计、部署和 /或优化网络环境所需的时间。思科 DNA中心通过以设备发现(现有网络):现有网络设备的自动发现和资产清单构建。
· 局域网自动化(新网络):新网络设备的自动发现、配置和资产建立。
② 网络交换矩阵叠加网络的关键工作流程。
· 网络交换矩阵站点:一组支持网络交换矩阵的网络设备的自动配置,具有通用的网络交换矩阵控制平面和数据平面。
· 网络交换矩阵设备角色:运行各种网络交换矩阵功能的网络设备的自动配置,包括控制平面节点、边界节点、边缘节点、扩展节点、网络交换矩阵模式的无线控制器和无线接入点。
· 虚拟网络:自动配置在网络交换矩阵叠加网络中,启用虚拟路由和转发分段。
· 基于组的策略:自动配置在网络交换矩阵叠加网络中,对基于组的策略进行分类和/或实施。
· 主机联网:为加入网络的客户端自动配置相关功能,包括静态或动态虚拟网络、IP地址池和分配可扩展组、SSID、二层相关配置等。
· 多播服务:自动配置在网络交换矩阵叠加网络中启用IP多播分发。
· 预验证: 在部署网络交换矩阵叠加网络自动化之前验证网络设备功能和支持性的工具。
· 交换矩阵部署后验证:在网络交换矩阵叠加网络自动化之后验证网络设备正常运行的工具。
2. 使用 DNA 中心自动化软件定义访问
下面通过简述DNA中心平台提供的设计、策略和配置工作流程描述软件定义访问概念的实际应用。
(1)网络设计。
大型企业中的 IT团队通常必须管理大量具有不同业务功能和属性的分布式站点。 例如,某个企业可能有零售店、售货亭、配送中心、制造场所和公司办公室,在这种情况下,IT 团队的愿望通常是将基于业务属性相近的站点标准化为网络配置文件来简化其操作,IT 团队还需要允许本地团队管理和自定义特定于站点的特定参数,如特定于站点的日志记录服务等,同时确保在整个企业中一致地定义其他通用参数,如网络身份验证和策略。
DNA中心允许根据站点对网络基础设施进行分类,并提供一定程度的粒度细分来定义与企业网络基础设施的物理布局密切相关的建筑物和楼层。为了提供最大的灵活性,DNA 中心还允许定义站点的层次结构(如图2-20所示)。
图 2-20思科 DNA 中心定义的网络层次结构
DNA中心允许对全局或以每个站点为单位进行自动配置,还支持使用思科即插即用解决方案实现零接触配置网络基础设施,自动加载新的网络基础架构组件。为实现这一目标,DNA中心的设计部分提供:
① 网络层次结构创建;
② 特定于站点的网络参数;
③ 基于站点的网络配置文件。
(2)应用网络设置。
在 DNA中心的设计工作流程中定义的设置提供了网络主要构建模块,它们将首先在部署之前验证网络配置,随后在自动化过程的其他阶段进一步最小化这些元素的手动输入。如前所述,这些设置应用于网络层次结构,并将在后续的工作流程元素中用于多个目的。此工作流程中定义的设置包括:
① AAA、DHCP、NTP和DNS服务器;
② DNA中心访问网络设备的凭据;
③ 用于客户端设备的IP地址池。用于其他思科DNA中心工作流程的IP地址池,包括局域网(底层网络)自动化和网络交换矩阵边界节点外部连接自动化。
(3) 规划和构建无线网络配置。
无线网络的配置可以在 DNA中心完全实现自动化,配置流程作为设计/策略 /配置工作流程中的一个步骤实现。IP 地址池、虚拟网络和可扩展组标签等共享元素已集成到此工作流程中,无须单独定义。对于特定于无线网络部署的功能,包括企业和访客SSID配置、射频优化参数以及服务质量(QoS)、“思科—苹果”快行线协议和自适应 802.11r等其他关键功能可在 DNA中心中定义和部署配置。
(4) 管理软件映像。
DNA中心的设计工作流程包括软件映像管理——为各种网络设备(包括路由器、交换机和无线控制器)自动管理软件映像。此功能包括多次验证检查,以确保为设备的升级或降级作好充分准备。
(5) 定义策略。
DNA中心使企业能够创建逻辑网段和细粒度用户组,以及基于网络情境的服务策略,然后将这些策略自动化为规范配置并将其推送到网络基础架构。可以在软件定义访问网络交换矩阵中自动执行3种主要类型的策略,具体如下。
① 安全性:访问控制策略,规定谁可以访问什么资源,它由一组跨组访问规则组成。例如,允许/拒绝组到组的访问。
② QoS:应用策略,它从应用体验的角度调用QoS服务,以便为网络上的用户提供差异化访问。
③ 复制:流量复制策略,它调用DNA中心内的流量复制服务来配置ERSPAN以监控特定流量。
(6) 配置网络。
定义了网络设计后,自动部署配置可以按如下方式进行。
① 向站点添加设备:此步骤将网络设备分配到作为设计工作流程的一部分所创建的物理站点,该设备准备好接受所在站点的设计参数配置。
② 配置网络设备(交换机、路由器、无线控制器和无线接入点):此步骤将根据设计工作流程提供的参数进行相关设备的配置。配置步骤完成后将在设备上启用在站点设计中基于思科最佳实践设置的所有参数。
(7) 创建网络交换矩阵。
这一步骤涉及网络交换矩阵边缘节点、边界节点和控制平面节点的选择。此外,还提供预验证和部署后验证检查,以验证网络交换矩阵中设备的状态。网络交换矩阵是通过以下步骤构建的。
① 向网络交换矩阵添加边缘节点。
② 选择网络交换矩阵的边界节点,此时管理员还需要提供外部和/或传输连接参数,这允许网络交换矩阵连接到外部网络。
③ 选择网络交换矩阵的控制平面节点。
④ 将无线控制器加入软件定义访问网络交换矩阵中。
(8) 主机联网。
主机联网允许将终端连接到网络交换矩阵的边缘节点。主机联网工作流程将允许对终端进行身份验证,将其分类到可扩展组并关联到虚拟网络和IP地址池。实现这一点的关键步骤如下。
① 身份验证模板选择:DNA中心提供了预定义的身份验证模板,以简化将身份验证机制应用于网络的过程。模板的选择会自动将所需的配置推送到网络交换矩阵的边缘节点。
② 虚拟网络、单播和多播子网选择:将IP地址池与虚拟网络(VN)相关联。
③ 网络交换矩阵SSID选择:用于将无线网络集成到软件定义访问网络交换矩阵。
④ 静态端口设置:允许设置端口级别。
(9) 预验证和部署后验证检查。
每个网络交换矩阵创建步骤都允许管理员进行预验证检查,以确保所选网络设备能够正确地被配置为可接受的网络交换矩阵配置。同样,部署后验证检查允许管理员通过突出显示可能在配置期间报告错误的设备来验证网络交换矩阵的正确操作。此步骤有助于管理员找到
部署前后任何可能无法满足预期结果的问题。
(10) 总结。
一旦完成部署软件定义访问网络交换矩阵的任务,就可以通过DNA中心轻松地实现配置更改以适应不断变化的业务用例,而不需要通过手动交互。
