作者:谢清
出版社:人民邮电出版社
格式: AZW3, DOCX, EPUB, MOBI, PDF, TXT
思科软件定义访问:实现基于业务意图的园区网络试读:
内 容 提 要
本书介绍了目前业界炙手可热的意图网络和思科在企业网络解决方案中实现意图网络所采用的全数字化网络架构。本书以图文并茂的方式,力图通过简单易懂的语言展示思科意图网络的理念和在园区网中的具体的实现方法,希望读者可以通过本书系统地了解思科软件定义访问的全貌,进而把握行业趋势,拓展知识面。本书适合希望了解意图网络概念和实现方法论的读者作为入门材料阅读,同样适合网络建设、运维和管理人员借鉴并帮助他们开阔思路,还可供高等院校相关专业的师生参考。致 谢
在此我要特别感谢我的家人,尤其是妻子和孩子对我的支持和付出。我在繁忙的工作之余还要抽出时间编写本书,牺牲了太多陪伴他们的时间。也正是因为他们的支持,才让我坚持下来,将自己的想法付诸实践。谨以此书献给我深爱的家人和敬爱的同事、朋友以及诸多希望把握现在的转型机会而掌控未来的网络工程师们。风物长宜放眼量!让我们一起热烈拥抱网络新时代的到来,把握现在,创造未来!序 言
大道至简,知行合一最有价值的道理往往源于最朴素的认知,认知比较容易,将认知付诸实践则面临挑战。对事物的认知和实践密不可分,如果可以实现二者统一,就可以成就一番功业。化繁为简,长期坚持,自然就可以功到渠成。中国古人的智慧与哲理,反映在现代企业和高科技技术的发展上,依然具有深刻的启示作用与借鉴意义。我们处在一个软件定义的年代,思科公司利用强大的研发能力实现巨人转身,以客户数字化转型为中心交出了一份完美的答卷,这就是意图网络(IBN,Intent-Based Networking)。本书所重点介绍的软件定义访问(SDA,Software Define Access)技术也是思科在园区网络中对大道至简这一哲理的完美实践。软件定义访问技术是思科意图网络的重要组成部分,浓缩了思科三十多年互联网基础架构技术的精华,将思科网络解决方案和技术在硬件领先性、大规模网络部署的扩展性、行业客户最佳实践和海量经验积累、软件智能化可操作性运维及API接口灵活性等方面体现得淋漓尽致。可以说,软件定义访问是思科近年来在园区网络领域最重要的革新之一,也是思科对软件定义一切(Software Defined Everything)的响亮回答与呼应。极简往往完美,但是简单往往不意味着“简单”,这背后蕴含了思科在意图网络方面的厚积薄发。1984年成立的思科公司,在1986年为美国犹他州立大学提交了世界上第一台路由器产品——AGS,掀起了互联网发展的浪潮,浓墨重彩地为全球互联网和企业IT发展书写了重要篇章。近十年是互联网和云计算飞速发展的年代,软件编程接口(API)成为新的会话语言,API接口可以对话软件、对话应用,甚至对话和指挥基础硬件。不得不说,传统网络技术在诞生之后的很长时间没有革命性突破,网络沦为了业务管道,不受业务甚至IT技术人员重视。而早期很多网络人员甚至以复杂性为荣,以此为高水平的象征,这显然违背了大道至简的哲理,不具备互联网时代特征的业务规范化和可抽象操作性,经验无法推广和复制。云为先(Cloud First )是40%的企业转型的驱动力。为了对应Cloud First,IT基础架构也必须跟上。Gartner曾经预测,仅2020年这1年,接入到网络的在线设备将增加6300万台。这些海量新增的网络终端接入云计算会带来巨大的基础网络压力和复杂性。近年来软件定义存储、软件定义数据中心、软件定义网络、软件定义安全等也层出不穷,让人们看到了IT技术发展的希望。坦白地说,网络技术发展在过去滞后于云计算和移动互联网等新兴技术,这已是不争的事实。SDN很长时间也没有找到正确的方向,科研人员长期处于各种困境与纠结中。网络滞后的直接后果就是,直到今天,很多大型的行业网络依然依赖于手工配置,而网络人员技术水平和人员配备也达不到要求。手工误操作故障成为造成企业业务中断的最主要原因。大量的IT基础设施在利用手工操作和手工运维,这严重拖延了企业的业务发展和数字化转型的脚步。倍感欣慰的是,在软件定义网络经历了早期以OpenFlow为代表的技术发展困境后,思科经过不懈地努力与创新,意图网络(IBN)异军突起,再一次掀起了网络革新的浪潮,为互联网下一个十年的发展奠定了坚实基础。如果你是一位传统的、经验丰富的网络工程师,如思科认证工程师(CCIE),相信你可以从本书中找到共鸣,并欣喜地看到曾经的网络经验已经被转换成可复用的知识库与最佳实践。过去复杂、费事、费力、易出错的操作,如VLAN划分、路由配置、网络安全策略、网络扩容等,都变成了图形界面的仪表盘,魔术般幻化为鼠标的简单操控。如果你是一位软件工程师,你也可以在本书中找到共同语言:API、中间件、定制化业务与开放、自动化,甚至人工智能等。大道至简,一部SDA,可以集成思科逾30年的网络经验,结合互联网软件和人工智能领域的创新,引领未来十年网络技术发展。我们迎来了更加激动人心的数字化转型时代,软件定义已经超越了IT的范畴,进入了万物互联新历程。以特斯拉为代表的软件定义汽车,将传统汽车制造与互联网技术完美融合,展示和预测了未来数字化转型的真谛。IDC预测,2年内,数字化完备(Digital Ready)的企业数量将增加3倍。而Garter也预测,数字化业务需要更快地让业务提速,速度的关键则是企业网络运维和工具的改变。正所谓“工欲善其事,必先利其器”。基于意图的网络,是数字化业务转型的基石与重器。网络与业务将通过思科意图网络进行对话,网络可以了解业务情境和预测业务增长,业务可以掌握和预测网络健康状况,知行合一在这里演化成了“业络归根”。最后谈一下5G。5G是振奋人心的技术,影响面早已超越了移动通信的范畴。未来国民经济助推,企业数字化转型,都离不开5G的建设与发展。5G有几个关键技术,其中网络功能虚拟化(NFV)、软件定义网络(SDN)、网络切片等都与网络技术软件化密不可分。意图网络涉及的软硬件解构、DNA中心控制器、API扩展等,在5G建设中均可以大显身手。此外,企业IT人员在拥抱5G的同时,如何将5G网络与企业自身IT网络融合打通,实现统一运维与管理,也是业界所关注的,IBN和SDA技术将在其中发挥重要的作用。本书的作者谢清是我多年的同事和朋友。他领导和参与了众多IBN/SDA的实际场景设计及整体架构的部署和测试,并积极推动思科研发部门对于IBN/SDA的进一步改进与提高,我非常期待这本数字化网络最佳实践著作的问世。曹图强思科全球副总裁,大中华区首席技术官2020年3月20日,农历春分前 言
2016年是网络变革大潮涌动的一年,在把握无线网络新技术的同时,我发现业界也在酝酿着一场巨大变革。业界对基于SDN的白盒解决方案极其推崇,众多厂商打着软件定义的大旗“攻城略地”。思科(Cisco)在数据中心领域试水的ACI(Application Centric Infrastracture)架构日渐成熟,越来越多的客户选择ACI架构来构建他们的数据中心网络。而彼时的思科刚刚在企业网络中推出全数字化网络架构,甚至连企业网络软件定义控制器(APIC-EM)的名字都是从思科数据中心软件定义控制器(APIC)的名字演化而来。思科希望借助自己在数据中心网络领域的成功,以自动化和可编程来推动企业网络转型。然而,尚处于数字化转型初期的用户、合作伙伴,甚至是思科员工都缺乏相关的方法和手段来了解如何构建软件定义的企业网络。我觉察到这将是一个划时代的伟大变革,会从根本上改变传统的、几十年不变的园区网的规划、设计、部署实施和维护的方式。对于技术的渴求激发了我的好奇心,无奈的是当时并没有多少系统性的资料供自己学习,因此,我只能从思科数据中心技术、架构和演变入手,希望可以触类旁通地了解如何在企业园区中实现和应用软件定义网络。经过一年多的准备,我通过了思科数据中心CCIE认证。与此同时,思科全数字化网络架构不断发展演进,基于软件定义的园区网和广域网技术日趋完善,园区网络的软件定义控制器也从APIC-EM演进到如今的DNA中心。通过不断的学习和实践,我进一步了解和掌握了软件定义在企业网络尤其是园区网络中的应用和最佳实践,我也为众多用户搭建了基于软件定义访问的大型园区网络。在这一学习和实践的过程中,我研究了大量相关的前沿资料并积累了相关知识。现在,我对入门时无法系统地学习新技术和新知识的痛苦感触颇深。因此,我想把积累的学习和实践经验分享给更多希望应对转型挑战的网络从业人员,这也是我编写本书最初的目的。对于网络从业人员而言,未来的IT部门将会更多地参与到业务和IT创新中。可以预见,数字化转型对于CTO、CIO以及网络工程师而言必将是一个长期而艰辛的过程,也将是你在颠覆中创造奇迹的过程。端到端的架构设计、自动网络分析和优化、软件定义和网络策略管理、主动响应配置、部署、管理任务等不再遥不可及,软件定义网络、应用编程接口将成为人们面临的新挑战。尽管在本书的写作过程中我大量采用了第一手素材,但是技术发展日新月异,可以预期,在本书出版之时,思科DNA中心控制器和软件定义访问将会有更新的软件版本并引入更多的新特性。经过谨慎地选择和斟酌,我认为思科软件定义访问的基本概念和原理是不变的,因此,本书大部分内容按照思科DNA中心1.2版本来撰写,同时介绍了一些后续版本中的重要特性,例如,基于人工智能和机器学习的智能运维网络保障。由于笔者水平有限,书中难免会出现一些描述不准确的地方,在此恳请各位读者批评指正,欢迎读者发送邮件到passcciew@sina.com与我联系,我衷心地希望得到您提出的宝贵意见和建议。第1章 思科全数字化网络架构和软件定义访问简介
1.1 数字化网络转型大势所趋
数字化转型正在为每个行业创造新的机会。在医疗行业,医生现在能够远程监测病人的病情并利用医学分析来预测健康问题;在教育行业,技术正在使全面联网的校园更加个性化,任何人都可以平等地获得学习资源;在零售行业,商店可以结合位置、场景通过线下和线上提供全渠道体验。在当今世界,数字化转型是企业保持业务相关性的必要前提!
万物互联的网络是实现数字化的基石,是实现生产力和协作的途径,是改进最终用户体验的推动者,也是保护企业资产和知识产权的第一道防线。对网络的投资是使任何企业成功地向数字化过渡的关键。
与几年前相比,移动客户端的使用量显著增加,基于云的应用程序得到了更多的应用,物联网(IoT)的引入,使现在的网络需要支持与以往非常不同的IT环境。
企业的数字化,网络的规模和网络需求持续增长,但是IT资源没有相应增加。与此同时,最终用户对于联网的期望值也在上升,企业业务也期待网络能够跟上不断发展的技术和增长需求。
当前,在客户端、终端设备和应用程序之间提供互联的基础网络技术仍然一成不变。虽然如今的IT团队有许多技术选择来设计规划和部署运营他们的网络,但是始终没有一个全面的、交钥匙的解决方案来满足他们在移动性、物联网、云计算和安全方面不断变化的企业需求。
思科软件定义访问是业界针对企业市场的首个基于意图的网络解决方案。基于意图的网络将网络视为一个单一的系统,它描述并验证业务意图(或目标),并返回可具操作意义的洞察力。基于数字化业务意图的网络如图1-1所示。图1-1 基于数字化业务意图的网络
软件定义访问为用户、设备和应用程序通信提供了自动化的端到端服务(如网络分段、服务质量、分析保障等)。软件定义访问自动化了用户策略,因此,可以确保任何用户或设备在通过网络访问任何应用程序时都具备适当的访问控制和应用程序体验。通过涵盖有线和无线局域网的单一网络交换矩阵,软件定义访问在任何地方都能创建一致的用户体验而不会危及网络的安全性。
软件定义访问具有以下优势:(1)自动化:有线和无线网络资源调配和策略的一致性管理;(2)策略:自动网络分段和基于组的策略;(3)保证:针对快速问题解决和容量规划的情境洞察力;(4)集成:开放和可编程接口,用于与第三方解决方案进行集成。
1.2 传统网络面临的挑战
在本节中,我们将在许多常见用例的背景下探讨现代网络所面临的挑战,具体如下。
1. 网络设计部署
·实现的复杂性。
·无线网络的注意事项。
2. 服务部署
·网络分段。
·访问控制策略。
·用户和设备的上线和管理。
3. 网络运维
·解决问题缓慢。1.2.1 网络设计部署面临的挑战
1. 设计实施的复杂性
随着时间的推移,网络运营者必须通过采用新的功能和设计方法来适应新的网络服务,但都要基于传统网络的基础结构。此外,必须不断优化网络以获得高可用性,支持新的应用,从而产生网络“雪花”效应——世界上没有完全相同的两片雪花。尽管这可能满足网络功能的目标,但也使网络变得复杂而难以理解,须进行故障排除、预测和升级。
一个部署缓慢的网络将大大阻碍企业快速创新的能力和采用诸如视频、协作和连接工作场所等新技术的进程。如果网络的变化和适应速度很慢,采用上述任何一种创新能力都会受到阻碍。事实证明,IT很难对“雪花”网络设计及其潜在变体进行自动化,这限制了在当今网络中为了提高企业的运营效率而采用自动化的能力。太多的网络变体和组合使得采用新的功能和服务具有挑战性。
2. 集成无线网络服务
目前部署无线网络的主要挑战之一是不容易实现网络分段。虽然无线局域网可以利用多个SSID来进行无线空中接口的流量分离,但是受限于可以部署的数量,并且SSID最终会在无线控制器上映射回VLAN。无线控制器本身没有VRF或者三层网络分段的概念,所以部署真正的融合有线和无线网络的虚拟化解决方案非常具有挑战性。因此,传统的无线网络需要单独管理,难以进行网络分段。1.2.2 提供网络服务面临的挑战
1. 网络分段
让我们来看看目前可用的一些选项及其创建网络分段时面临的挑战。(1)虚拟局域网。
最简单的网络分段形式是基于VLAN。你可能还不习惯将其视为网络分段技术,但这就是VLAN的用途之一:将网络在二层域分段。通过将用户和设备放置在不同的VLAN中,我们可以在三层网络边界上对它们之间的通信强制执行控制。对于无线网络,不同的SSID可能用于分离空中接口的流量,但随后这些流量被映射到有线侧的VLAN。
使用VLAN作为网络分段方法的挑战来自于两个方面:它们的跨度以及随之而来的拓扑相关性问题。就跨度而言,大多数企业选择将单个VLAN限制在相对较小的区域(例如限于一个配线间)。因此,许多企业最终在典型的网络部署中需要管理成百上千个 VLAN,从而使IP 地址规划变得无比复杂,以至于极其难以部署和管理。
使用VLAN进行网络分段的主要挑战:
① 在冗余网络设计中,跨越范围广泛的VLAN容易受到二层环路的影响;
② 大型二层网络的设计非常低效(通常有50%的端口处于阻塞状态);
③ 不受控制的二层环路可能随时产生,大型二层网络设计面临极大的崩溃风险;
④ 对VLAN内部通信流量进行过滤的机制通常比在三层网络边界上可用的机制要有限得多。
VLAN确实是很简单的网络分段方法,但在现有网络的情况下,简单也许不是最好的解决方案——一个扁平的二层网络设计将企业暴露在可能会造成网络中断的许多潜在事件中,此外,管理数以百计的 VLAN 对于大多数企业来说也是一项令人生畏的任务。(2)VRF-Lite与VRF。
网络分段的另一种方法是利用三层技术,通过使用虚拟路由转发(VRF)来分段网络。这有利于在不需要构建大型复杂的访问控制列表来控制通信流的情况下提供网络分段,因为不同VRF之间的通信只能在网络管理者规定的网络拓扑上流动(通常是通过路由泄露或通过防火墙)。
通过VRF方法进行网络分段面临的挑战:
① VRF在设备之间使用802.1q中继,这在有限的几个设备上实现时相对简单,但在需要更大的实施范围时就会变得非常烦琐;
② 需要为每个VRF提供单独的路由协议进程,从而增加了CPU负载和复杂性;
③ 典型的经验法则是VRF部署不应超过10个VRF,否则它将变得极其不灵活,无法在更大范围的企业中实现端到端部署。(3)VRF结合使用 MPLS VPN。
MPLS VPN具有陡峭的学习曲线和相对较高的学习成本,因为它们要求网络管理者熟悉许多新的MPLS特定功能,包括用于标签分发的LDP,以及多协议BGP作为控制平面。此外,当出现问题时,网络管理者需要了解如何调试启用了 MPLS的网络。
使用MPLS VPN进行网络分段的挑战:
① MPLS VPN的扩展性要比VRF好得多,但对于许多网络管理人员来说,MPLS往往过于复杂,尤其是在端到端的网络部署中;
② 并不是所有的网络平台都支持MPLS VPN。
尽管网络具备VRF的能力已经超过10年,但是只有很小比例的企业部署了以VRF实现的任何形式的网络分段。这是为什么呢?一言以蔽之,它过于复杂了。
2. 访问控制策略
策略是一个抽象的词汇,对不同的人意味着不同的含义。但是,在网络环境下,每个企业都有其实施的多个策略。在交换机上使用访问控制列表(ACL)或防火墙上的安全规则集是安全策略;使用QoS将流量分类到不同的类别中并使用队列为应用程序区分优先级是服务质量策略;根据用户角色将终端设备放置到单独的VLAN中是设备级访问控制策略。
今天的网络管理者通常使用几组常用的策略工具:VLAN、子网和访问控制列表。(1)是否向网络中添加语音应用?这意味着要创建一组新的语音VLAN和相关的子网。(2)是否添加物联网设备——例如,门锁、身份标识阅读器之类的设备?使用更多的VLAN和子网。(3)添加IP摄像机和流式视频终端,还是需要更多的VLAN和子网。
这就是如今的企业网络中存在数以百计甚至上千的VLAN和子网的原因。设计和维护的复杂程度显而易见,因为这些VLAN的存在,你还需要进一步维护众多的DHCP作用域,甚至需要额外使用IP地址管理工具来完成随之而来对跨越所有VLAN和相关功能的大型IP地址空间的管理维护工作。
如今,面对众多的内部和外部威胁,网络的安全性十分重要。这使我们有必要在网络设备(包括交换机、路由器和防火墙)上配置和持续维护大规模的访问控制列表,网络三层边界是其最常见的部署位置。目前用于策略管理的传统方法(在设备和防火墙上大规模配置复杂的ACL)很难实现和维护。
3. 用户和客户端设备上线和管理
无论选择哪种解决方案,是基于二层还是三层进行网络设计,是否采用网络分段方法,用户和设备接入网络总是存在这样或那样的问题。
即使采用将 VLAN或子网静态对应到有线端口或无线 SSID这样简单的方法,也存在如下一些常见的难题。(1)这种方法本身并不提供真正的安全性,因为任何连接到该端口或SSID的用户都与其在网络中的“角色”相关联。(2)无论是在第一跳的交换机,还是在10跳以外的防火墙,该用户的IP地址都将被检查并强制执行相应的安全策略。本质上,IP 地址最终被用作用户身份的代理。然而,这一方法很难扩展和管理。
使用802.1x或其他身份验证方法动态分配VLAN/子网,也存在一些常见的难题。(1)虽然使用802.1x在无线网络部署中很常见,但在有线网络中并不常见。(2)许多问题阻碍了部署802.1x解决方案,例如,终端设备对802.1x的支持程度、终端设备上的802.1x配置设置、在设备上基于角色动态切换 VLAN/子网、网络设备对于802.1x 的支持程度和网络设备上的相关功能特性差异等。
一旦确认了用户/设备的身份,它如何能在网络中进行端到端的承载和处理?IP数据报头中没有用于对此用户/设备进行映射的位置,因此,只能使用IP地址作为身份代理。但是,这会导致用户/设备子网的激增,以及复杂性的问题。大多数企业都希望建立用户/设备标识并将其用于端到端的策略。然而,许多IT人员最终不得不承认,这是一项极其艰巨的任务。1.2.3 网络运维面临的挑战
如今,许多网络在网络操作和运维方面提供了非常有限的可见性。各种可用的网络监视方法(SNMP、NetFlow和类似方法)以及相关的工具在不同的网络平台上具有不同的可用性,这使得在当前网络部署中提供全面持续的监视、端到端的洞察力变得非常困难。
如果不深入了解网络的运行状态,企业通常会发现自己对于网络问题是被动反应,而不是主动地解决这些问题,无论这些问题是普通的故障还是严重的停机故障,或是由用户增长和应用程序使用模式的变化引起的体验的变化。
如果能够更加了解网络的使用情况以及在网络可见性和监视方面更加积极主动,对于许多企业来讲将具有重大价值。这也就需要一种更全面的、端到端的方法,它允许从底层网络的基础网络交换矩阵实时报告的大量数据中提炼出网络洞察力。
大多数企业缺乏对网络操作和使用的全面可见性,这一点限制了它们主动响应网络变更的能力并使用户故障的解决很缓慢。1.2.4 当所有问题混合在一起,你该怎么办
如图1-2所示,典型的传统服务部署步骤如下。(1)将用户映射到微软活动目录(或用于用户身份验证的类似数据库)中的用户组。(2)如果使用动态身份验证,将这些用户标识链接到AAA服务器[如思科身份服务引擎(ISE)]。这为每个标识提供了对应的VLAN/子网。(3)为要提供的新服务定义和配置新的VLAN和相关子网。然后,在所有必要的设备(交换机、路由器和无线控制器)上实现这些VLAN和子网。(4)使用适当的设备或防火墙ACL或网络分段来保护这些子网。如果使用网络虚拟化分段方法,请使用VRF-Lite或MPLS VPN将VRF进行端到端扩展。(5)要做到这一切,有必要跨多个用户界面工作——活动目录的图形化配置界面、AAA服务器的图形化配置界面、用于无线网络的无线控制器的图形化配置界面、用于有线交换机或路由器的命令行界面(CLI),你需要手动地将所有必要的元素结合在一起来完成所有的工作。图1-2 传统的服务部署
当需要添加另一组用户或终端设备或修改与之相关的策略时,必须重复所有这些步骤。如果需要不断添加/修改用户组和安全策略,此时的工作量将无法想象!所以推出新的网络服务常常需要几天甚至几周的时间!
1.3 意图网络和思科全数字化网络架构
1.3.1 基于意图的网络思科开创了一种新的网络部署和运营方法——基于意图的网络(简称意图网络)。意图网络是一种全新的方法,通过该方法,企业可以实施、运营维护和扩展其网络。意图网络专注于实现当下和未来对企业至关重要的业务成果,其中包括为复杂的网络功能和容量规划提供自动化、标准化和简化的设计和部署选项,并允许网络性能不断被优化以适应运营企业业务的应用程序不断变化的需求。
要真正了解意图网络的价值以及理解为什么意图网络是在网络设计、运营和扩展方面的创新和革命,最重要的是要回顾和理解传统企业网络的实施方式。
1. 传统网络的部署和挑战
多年来,网络一直由训练有素且经验丰富的操作者通过广泛使用的命令行接口手动实施,在某些情况下也会由个人来使用自定义的脚本进行一些基本的自动化工作。但是对大型的分布式网络的部署和后续操作,即使是使用脚本,对于大多数企业来说,仍然是一项异常艰巨的任务。
考虑到数字化时代,企业业务不断推陈出新,例如,某企业现在需要推出新应用(如新的销售系统),这一新业务需要网络支撑并在企业网络中以符合业务需要的体验运行,我们需要考虑对该应用给以适当的、必要的优先服务级别(例如,与其他应用程序相比具备相对高的优先级)。
通常,此类应用的推出涉及对网络中的应用流量进行分类(例如,基于IP子网/地址和TCP端口号),然后根据其相对优先级将此流量分配给指定队列。这听起来很简单,但是,不同的网络设备通常具有不同的队列结构和QoS功能,使得端到端的配置极其复杂。考虑到在应用流量途经的路径中众多设备的这种复杂性,将其与所涉及的应用程序数量相乘,再考虑设备的各种软件版本,所面临的问题的严重程度就可想而知。当需要重复地为多个应用程序来配置服务质量保证时,整个过程将是异常耗时和耗费人力的,并且非常容易出现人为的错误。
一旦出现流量通过网络被错误分类的问题,其结果将是,用户经历糟糕的应用体验和缓慢的数据访问,这对最终用户来说非常明显,会严重影响他们的效率。与此同时,找到网络中对流量错误分类或标记不当的问题的位置也将是非常困难和耗时的。
当前,网络架构师、网络管理员和网络操作人员的日常工作基本上被类似的问题所困扰,要解决这类问题就必须依靠新的方法和工具,这也是思科创建意图网络的目的所在。当然,上述例子只是意图网络可以帮助解决的众多挑战之一,在后面的章节中,我们将看到意图网络在解决这些挑战中所体现出来的强大威力。但是请记住,意图网络为网络自动化和网络保障带来的广泛功能远远超出了这个单一的例子。事实上,意图网络不仅提供了一组崭新的功能,还能够以创新且简化的方式实现这些功能,它实际上改变了我们设计、部署和使用网络的方式。 让我们一起来探索意图网络是如何实现这一切的吧!
2. 基于意图的网络
如果有这样一个网络管理工具,可以输入哪些应用程序相对于其他应用程序具有更高的优先级,然后按下一个按钮就能实现你的“意图”,你会如何反应?
如果同样的工具能理解所涉及的网络拓扑结构,并且能够将网络管理者的“意图”(例如,“当网络带宽受到限制时,我希望将重要的业务应用程序与其他应用程序的优先级区分开来”)呈现到所有相关网络设备的所有配置中,你觉得如何?
还是这个工具,如果可以将机器生成的配置自动分发到网络设备而不会产生人为错误、拼写错误或脚本编写错误,你觉得如何?如果业务意图也可以通过使用外部应用程序的API进行触发,你又觉得如何?
最后,如果使用相同的工具可以分析生成网络部署的结果,并在应用程序性能和网络质量出现问题时自动发现,你觉得如何?如果该工具不仅可以向网络管理员发出问题提醒,还可以实际引导他们找到根本原因并提出适当的解决方案,你觉得如何?
换句话说,如果网络管理员可以快速自动地将业务意图转化为行动,并确保网络能够按需运行,你觉得如何?这实际上就是思科意图网络的本质。
思科针对上述QoS示例的解决方案是思科DNA中心的应用策略工具与网络保障工具相结合的例子,也是思科意图网络愿景的一个典型示例。使用思科DNA中心应用程序策略工具,网络管理员只需几次单击即可在整个网络端到端的基础架构中推出全网的QoS部署。使用作为思科企业网络控制器平台的思科DNA中心的自动化功能将网络管理员的意图转化为实际行动,并且他们不需要关注单个平台的实现细节。
一旦网络服务质量策略配置推送到全网设备,工作于同一平台上的思科DNA中心还可以提供网络保障能力,持续测量网络基础设施是否实现了管理者的意图,如果出现偏差,可以及时提供问题识别和补救措施。
意图网络同样适用于网络自动化和网络保障。基于意图的网络是网络设计、运营和持续使用的基础。 网络不再是推出新应用程序和服务的瓶颈。借助意图网络,你可以以高度自动化、可预测和非常简化的方式设计、部署、管理和更新新的应用、新的网络部署模型(例如,软件定义访问和软件定义广域网)以及新的网络设备和服务。
本质上,意图网络允许网络架构师定义他们的“意图”,然后将其呈现为适当的“动作”集合,以简化和标准化的方式在底层网络基础设施中实现该意图。这不仅包括与自动化功能相关的动作,还包括随后的持续监控网络部署、识别和响应异常行为,并不断优化网络以提升企业的关键应用程序性能和用户体验。
思科全数字化网络架构是意图网络在企业网络部署的蓝图,它为包括交换机、路由器、无线控制器、无线接入点等在内的思科产品提供服务,定义了这些产品及其支持的解决方案所必须提供的关键属性和功能。
实现意图园区网络愿景的关键是思科全数字化网络架构和思科用于企业网络的控制器——思科DNA中心,我们现在来探讨一下。1.3.2 思科全数字化网络架构(DNA)
思科全数字化网络架构包含思科对于企业网络设计、部署和运营的整体战略。 它由以下几个主要部分构成(如图1-3所示)。图1-3 思科全数字化网络架构
1. 策略
思科DNA提供了一个健壮的网络环境,网络架构师和管理人员可以在其中定义和部署端到端的策略,包括用于提供应用程序优先级的QoS策略、控制用户和服务访问的安全策略,或用于收集网络数据以进行容量规划和问题识别/修复的策略。思科DNA中的策略通常以意图的形式来呈现,然后通过思科 DNA 中心等工具转换为适当的设备级配置。
2. 自动化
自动化功能使思科DNA能够全面了解网络、设备集合、设备角色和拓扑。自动化用于实现用户希望表达的部署意图,并将其转换为推送到网络设备的标准化和自动化配置。思科 DNA中心为企业网络实现了简易但功能强大的自动化功能。
3. 分析和网络保障
通过大数据分析,思科DNA可以从网络中收集相关实时数据,将其存储在高效的数据库中,并采用智能算法来关联这些数据,并由此得出结论、确定问题并采取补救措施,以确保最终用户的意图在实际环节中实现。思科DNA网络保障允许网络管理员轻松地整合和使用企业网络生成的大量数据,这些数据以易于理解的形式呈现,以便确定问题和定位问题产生的根本原因,并在解决问题时提供指导性的补救措施建议。
4. 虚拟化
虚拟化允许网络管理员指定网络服务以物理(设备和装置)形式或虚拟(软件)形式为基础进行部署。利用虚拟化,在基于思科 DNA的网络系统中的不同位置可以实现更快捷的设计、部署和管理等关键功能。虚拟化可实现的高度灵活性在提高部署速度的同时,还能使网络部署和业务变更更加灵活。
5. 可编程网络基础架构
可编程网络基础架构包含两个方面。首先,网络元素可以包含灵活的硬件组件。Catalyst 9000交换机就是一个例子,它利用UADP(统一接入数据平面)ASIC芯片(基本上是交换机平台的“核心”)来实现。UADP非常灵活,可以通过简单的软件升级适应新的协议和封装,这使得即使是基于UADP的已有设备(如Catalyst 3850),也可以通过软件升级支持新的、市场领先的解决方案,如软件定义访问,从而允许企业以简化的方式实现新的和更高级的功能。此外,支持思科DNA的网络设备还可以利用API(应用程序编程接口)框架简化设备之间的交互,API集合包括北向接口和南向接口,且支持自定义用例以及与不同系统的集成。
6. 云集成
云集成允许思科DNA功能不仅可以在现场部署实现,还可以与基于云的组件集成。通过云集成和现场部署两种方式,思科DNA使企业能够从基于云的服务中获益,包括简化集成、快速部署以及提供贯穿整个企业的一致性的服务。
7. 安全
最后,网络中部署的所有功能必须以安全的方式实现,既适用于设备本身,又适用于其部署和使用方法。在当今的企业网络中,固有安全是企业持续运营的关键,因此,思科DNA架构在系统内的每个级别中以及部署的每个设备和解决方案中都内嵌了安全性设计。1.3.3 基于意图的思科DNA
如图1-4所示,在利用了基于意图网络的思科DNA系统中,网络管理员将意图在思科DNA中心等工具中表达,然后DNA中心将该意图呈现为特定设备的配置,最终将其以适当级别的网络集成安全性推送到涉及的网络设备中。图1-4 基于意图的网络
DNA中心可以从这些网络设备中提取数据并进行分析,协助网络管理者创建“闭环”的网络操作系统,系统持续不断地学习底层网络的运作方式。思科DNA以强大、简单和可扩展的方式帮助企业为业务增长和变革做好充分准备。
这就是意图网络在企业网络的整体解决方案,即思科全数字化网络架构。总之,思科DNA为下一代企业网络的设计、部署和运营提供了框架。1.3.4 思科DNA中心架构
网络正面临着终端、用户、客户端和应用程序规模持续扩大的挑战。随着物联网、虚拟现实和人工智能的广泛部署,当今使用的传统网络系统将面临挑战。网络、用户和应用程序的增长和能力的变化将是动态的。当今的网络设计人员应该寻求一种灵活的系统架构,该架构可以根据需要添加更多的资源来实现扩展。下一代企业架构应确保满足以下目标:(1)能够通过向现有系统添加其他资源来实现扩展;(2)无论网络规模如何,都能够立即可视化整个端到端网络;(3)直观的用户体验(UX)、简化的网络操作;(4)面向新一代网络、客户端和应用程序的易用性。
思科DNA中心提供可扩展的模块化设计,基于最佳的微服务架构,可以横向扩展以满足企业不断增长的需求。思科 DNA 中心由模块化组件组成,可执行特定的任务,主要组成部分包括:(1)系统;(2)网络控制器平台;(3)网络数据平台。
如图1-5所示,由网络保障和自动化(包括软件定义访问)组成的思科 DNA 中心应用程序均可利用思科 DNA 中心的可扩展架构。图1-5 思科DNA中心架构概览
1. 模块化组件(1)系统。
思科DNA中心利用基于微服务的架构在容器中托管微服务。在托管微服务方面,思科DNA中心的每个物理节点可能不完全相似。通过保持物理节点和服务托管彼此独立,该体系结构允许思科DNA中心在物理系统可能出现故障时继续运行。微服务可以在容器中独立运行,可以是1:1或N:1。每个容器分配有CPU和内存资源。随着越来越多的物理资源(CPU、内存)被添加到逻辑系统的池中,微服务的数量可以实现水平扩展,以便为更多的用户和应用程序提供服务或为规模更大的网络提供服务。“系统”是指一系列负责管理底层微服务的基础设施包。思科 DNA 中心中的系统组件可以帮助操作员管理系统任务,如升级、备份、还原和监控。(2)网络控制器平台。
网络控制器平台是思科DNA中心的核心软件包之一。它旨在对网络进行全生命周期的管理和监控。网络控制器平台包括网络信息数据库、策略和自动化引擎以及网络编程接口。
自动化引擎能够发现网络基础设施并定期扫描网络以创建单一的事实来源,包括网络设备详细信息、系统上运行的软件映像、网络设置、站点定义和设备到站点的映射信息,还包括将网络设备映射到物理拓扑的拓扑信息以及详细的设备级数据。
策略引擎在整个企业网络中为服务质量、应用程序体验、访问控制和其他策略配置各种策略。它使用服务和策略框架并利用特定于设备的数据模型为整个企业网络提供抽象层级。该模块负责配置网络设备。
网络信息数据库存储网络控制器平台使用的所有数据,可以与网络数据平台交换网络信息数据库的部分信息(如网络拓扑和设备信息)以进行基于情境的分析和关联。(3)网络数据平台。
大数据是一个用于描述来自不同来源的大量、复杂数据集的术语,这些数据集被分析、解读,用以揭示可用于解决业务问题的模式和趋势。
随着网络设备定期向网络数据收集器发送结构化和非结构化的数据,我们要分析和关联来自不同网络位置的大量数据,将其可视化,这使洞察网络问题变成一项极具挑战性的任务,对于中小规模的网络也是如此。随着设备数量和类型的不断增加,以及使用的应用程序数量的不断增加,旧的网络监控协议(如SNMP和Syslog)已不足以监控网络的运行状况。现在,通过新的Netconf流传输协议,我们能够以更快的速率发送大数据流。在收集和导出网络信息时,安全性也是许多网络管理员首要考虑的因素。思科DNA中心的网络平台为网络管理员提供了深入洞察其网络状态的有效的手段,并且可以来指导他们做出正确的决策,这一点至关重要。
网络数据平台(如图1-6所示)的目标是转换来自不同数据源的大数据,并将这些信息关联起来以生成可操作的业务洞察。网络数据平台基于全面的基于微服务的分析和流处理引擎。该引擎提供分布式、高性能、可扩展的数据收集和聚合框架,以提供近乎实时的网络洞察和主动故障排除。此外,该引擎还支持围绕IT运营分析(ITOA)、IT服务管理(ITSM)和安全性的高级用例。图1-6 网络数据平台
2. 功能
思科DNA中心通过专注于生成相关性的见解来推动创新和简化,超越传统监控工具。思科DNA网络保障通过多个数据源为设备、应用程序、用户和终端收集信息,然后应用高级分析算法来发现问题并建议修复选项。思科DNA中心使用思科开发的独特的网络图技术,该技术利用数据源的组合来实现基于情境的关联。(1)情境化关联。
情境化关联有助于捕获网络上实体和参与者之间的交互和关系并建模。思科DNA中心的网络数据平台能够以近乎实时的速度持续丰富、聚合、关联和分析网络数据,可以将此视为大数据引擎,将网络状态存储在数据库中,同时在未来的某个时间点通过思科DNA网络保障进行审查和分析,如图1-7所示。图1-7 数据图和情境化关联(2)时间序列分析。
时间序列是以相同时间间隔收集的一组数据点,是用于创建跨网络、设备、客户端、应用程序和安全性的思科DNA网络保障关键的性能指标。通过内置的数学函数、统计模型和聚合框架,大数据引擎将这些数据发送到北向接口应用(如思科DNA网络保障),以创建独特的见解,如图1-8所示。图1-8 时间序列分析(3)复杂事件处理。
复杂事件处理多路复用来自各种数据源的数据以推断感兴趣的事件或模式。然后,派生模式会触发检测到的异常通知,或者作为见解在呈现到思科 DNA 网络保障面板之前存储信息以供进一步处理。复杂事件处理的价值是快速识别重要事件并近乎实时地发出告警,如图1-9所示。图1-9 复杂事件处理(4)闭环修复。
在思科DNA中心中,自动化平台的作用是将网络管理员表达的业务意图转换为网络策略和配置,而网络保障的作用是监控网络设备以确保一切按照业务意图运行,如图1-10所示,这将创建一个供企业使用的闭环系统。图1-10 闭环系统
每当网络管理员通过自动化方式实施网络变更时,他们都可以利用DNA网络保障来监控变更,以确定对企业的网络运营产生的是正面还是负面影响,以及是否满足业务意图。
以类似的方式,当网络保障检测到网络中存在异常时,网络管理员可以利用自动化方式,采取纠正措施来恢复意图。展望未来,许多纠正措施将通过网络保障和ITSM工作流程集成实现自动化。
前面强调了自动化和网络保障与一个系统内不同组件之间的紧密联系的重要性。对于网络管理员来说,了解变更(如自动化事件)是否按预期工作非常重要。无论采用哪种方式,网络管理员都想知道结果,特别是对于他们需要的记录结果和/或启动回滚的更改。相反,网络保障可以触发自动化事件。例如,趋势事件检测到一条过度使用的链路,管理员需要做出反应,这可以通过更改链接速度或添加链接来实现。(5)通过平台API实现集成。
开放接口提供了灵活性、可访问性和可扩展性,可用于构建自定义应用程序以及与ServiceNow、Skype for Business、LiveAction和Tableau等互补的行业标准平台实现集成。我们将在后面的章节详细描述。1.3.5 思科DNA中心平台
思科DNA中心平台是思科意图网络的核心,支持企业网络中一系列主动监控和故障排除用例的业务意图表达。随着云应用程序在主流企业中的激增,思科DNA中心平台成为最佳解决方案,从而提高了生产力并实现了创新的应用编程接口,正迅速成为现代IT企业的标配。虽然企业服务总线(ESB)等传统集成实践仍然普遍适用于内部部署应用程序,但它们很快就被弃用,以支持API的方式实现连接。此外,为了满足在现代企业网络中扩展和加速运营的需求,IT工程师需要围绕开放API构建智能和端到端的跨职能工作流程。如今,我们不再关注是否需要API的问题,而是关注哪些API正在公开以及如何发布以供调用的问题。
思科DNA中心平台带来全方位的可扩展性和开放性,允许企业利用网络作为平台,使跨职能领域的IT应用程序能够利用思科DNA网络保障固有的网络智能,通过构建新应用程序或集成现有应用程序来自动化网络操作和部署。
思科DNA中心平台通过API、集成工作流程、事件和通知来对外提供更多、更深入的意图网络功能。此外,它还可以利用软件开发工具包(SDK)来支持多供应商设备或应用程序。思科DNA中心平台的一些关键功能如图1-11所示。图1-11 思科DNA中心平台功能——应用编程接口、适配器和软件开发工具包
意图API:意图API是特定功能的北向接口REST API,提供基于策略的业务意图抽象,重点关注结果,而不是实现该结果的机制。REST API体系结构通过HTTPS进行GET、POST、PUT和DELETE操作,简单、可扩展、使用安全。
集成工作流程:集成功能是思科DNA中心平台的东/西向接口的一部分。思科DNA中心平台是一种将思科DNA网络保障工作流程和数据、IT/网络系统以及跨域集成进行融合的工具。
多供应商支持(第三方集成SDK):思科DNA中心平台可以管理第三方网络设备和多供应商应用。SDK使用专用的设备数据分组与第三方设备进行通信。
事件和通知服务:思科DNA中心的事件可以通过WebHooks方式转发到第三方应用程序。可以由网络管理员通过平台用户接口配置事件类型、发布频率、主机和发送事件数据的URL路径。
1. 平台功能
应用编程接口是思科DNA中心平台提供的关键组件,可实现多供应商设备的管理,并支持丰富的应用和解决方案生态系统。API允许使用标准化的方法将思科DNA中心与外部设备和服务连接起来。思科DNA中心提供强大的API集成、事件通知和报告能力。(1)意图API。
意图API是一个北向API,它将思科DNA中心的功能暴露给希望调用它的外部服务,可以通过API触发的策略转换为网络设备功能并由思科DNA中心配置。重点关注是“什么”而不是“如何”,这简化了工程师与网络“对话”的方式,因为他们不需要了解配置的细节。在本例中使用的API利用了RESTful方法,并使用JSON格式的HTTPS。通过这些API提供的一些思科DNA网络保障功能如下。
① 总体客户端和网络设备健康状况监视:这些API为任何给定时间点提供客户端和网络设备的总体运行状况。
GET /dna/intent/api/v1/client-health
GET /dna/intent/api/v1/network-health
② 客户端和网络设备详细信息:这些API提供有关任何给定时间点的客户端和网络设备的详细信息。允许外部应用在过去的特定时间点检索客户端和设备详细信息,这对于调试网络和客户端的问题特别有用。
GET /dna/intent/api/v1/client-detail
GET /dna/intent/api/v1/device-detail
③ 全局和站点健康状态:返回所有站点的总体健康信息。
GET /dna/intent/api/v1/site-health
④ 路径跟踪:允许用户分析任意两个网络端点之间的任何应用流的数据路径。
POST /dna/intent/api/v1/flow-analysis
GET /dna/intent/api/v1/flow-analysis/${flowAnalysisId}
网络设备详细信息API的示例及其提供的信息如图1-12所示。外部应用可以使用它来监视连接到企业网络的客户端的运行状况。
所有API都记录在思科 DNA 中心用户接口中的API目录中,也可以在思科DevNet门户网站上找到。API目录提供与每个API相关的详细信息,包括查询、头参数、响应代码、请求和响应模式,还可以生成示例代码预览和从用户界面中尝试API的功能。图1-12 网络设备详细信息API(2)IT服务管理集成。
思科DNA中心平台的主要目标之一是简化整个IT价值链中的端到端IT流程。通过与各种生态系统领域[如IT服务管理(ITSM)、IP地址管理(IPAM)和商业智能(BI)报告]集成来实现这一目标。通过利用基于REST的集成适配器API可以构建双向接口,以允许在思科DNA中心和外部第三方IT系统之间交换情境信息。
具体而言,思科DNA中心平台提供了与ITSM工具集成的功能。这可以最大限度地减少问题的重复和在不同系统界面之间反复切换的需求,并优化流程以获得主动洞察和更快的补救处理。这是通过将思科DNA中心与各种ITSM工作流程集成来实现的。
① 在思科DNA中心和ITSM工具之间同步CMDB。
② 事件、意外、变更和问题管理工作流程。
③ ITSM批准和预批准。
④ 正式的变更和维护窗口调度过程。
这是思科DNA中心和ITSM工具之间的双向集成,它提供了向外部系统发布网络数据、事件和通知的功能,同时从连接的ITSM系统中获取思科DNA中心的信息。ITSM系统的示例包括ServiceNow、BMC Remedy、RT请求跟踪器和其他内部工单系统。
思科DNA中心平台通过WebHooks方式公开集成API和事件,与ITSM工具(如Service Now)集成(如图1-13所示)。图1-13 IT服务管理(ITSM)集成(3)通过WebHooks发送事件通知。
思科DNA中心平台提供发布事件通知的功能,使第三方应用程序能够接收思科DNA网络保障检测到的任何问题,以及思科DNA中心系统级别和基于任务的操作通知,它还提供在触发事件时接收自定义通知的功能。这对于希望根据触发的事件类型采取业务操作的第三方系统非常有用。例如,如果网络中的某个设备不合规,则自定义应用可能希望接收通知并执行软件升级操作。
另外,对于思科DNA中心需要在规定时间内完成自动化工作流程的这种情况,如果采用传统的解决方案,需要经常对思科DNA中心进行轮询以获取任务的状态更新,而通过订阅任务完成事件和接收通知,可以完全避免轮询,这样可以优化网络和计算带宽以及轮询资源所需的成本。
要接收思科DNA中心的事件,用户必须提供接收或“回调”URL。然后,思科 DNA 中心平台可以使用HTTPS POST将事件发布到回调URL,如图1-14所示。图1-14 接收思科DNA中心事件
思科DNA中心平台通知利用WebHooks使用标准化IT4IT架构向北向接口推送事件消息。这些事件通知提供的信息可用于构建与各种ITSM系统的集成。 每个事件的各种属性(类别、严重性、类型或工作流)都是根据行业标准预定义的,用户可以选择根据其企业流程自定义这些属性。事件框架允许用户根据事件类型、站点、域和类别筛选事件通知。(4)邮件通知。
从思科DNA中心平台的角度来看,基于“少即多”模式的有效电子邮件通知可以成为一种强大的互动工具,尤其是因为网络管理者不希望坐在屏幕前等待网络问题的发生。此外,考虑到业务和IT运营的全局性质,网络运营者希望在关注的事件可能影响用户体验时得到通知。
思科DNA中心的电子邮件通知工作流允许客户配置规则(问题优先级、问题发生、受影响的客户端数量、一天中的时间和电子邮件别名),以指定他们希望接收电子邮件通知的确切条件。如果警报符合条件,则系统会自动生成一封电子邮件,其中包含与问题相关的适当信息量(优先级、严重性、站点、问题描述和可能的补救措施)以确保更轻松地解决问题。为了避免不堪重负,客户还可以定义在思科DNA中心发送电子邮件通知之前需要重复相同问题的次数。(5)报告。
思科DNA中心平台支持客户的按需报告和库存信息。高保真度和汇总数据可用于商业智能报告。报告生成可以根据以下配置进行管理。
① 数据过滤器:包括客户端报告的位置、SSID或无线频段。
② 时间表:现在、之后或反复出现。
③ 时间范围:从3小时到过去7天或自定义时间段。
④ 输出文件类型:电子表格csv、PDF或Tableau数据提取。
⑤ 报告类型:汇总或详细。
2. 数据保留
思科DNA中心旨在保留数据,同时考虑多种因素,如数据的关键性、发生率、总结或原始数据,具体取决于数据量和应用要求。
高保真数据最多保留14天,用于问题复现。网络管理者经常面临无法回到过去并有效地重现短暂的网络问题的挑战。在无线网络或其他高动态环境中尤其如此,在这些环境中,从最终用户的角度来看,很难诊断导致性能急剧下降的持久但瞬态的问题。高保真数据为健康状况和传感器仪表板、360°视图和问题洞察提供支持。
网络架构师依靠定期趋势分析和报告来满足新的业务需求和优化网络运营。趋势分析通常在几周或几个月内围绕数据进行,以获得洞察。思科DNA中心提供开箱即用的报告,可分析14天内的数据。超过14天,可以将思科DNA网络保障数据卸载到Tableau等外部源或数据湖进行趋势分析。
思科DNA网络保障提供可配置的数据保留和清除设置与计划。在默认情况下,数据存储14天并且可以通过网络保障中任何健康状态或全景视图页面中固有的时间旅行功能进行检索。可以在某些无线网络SSID(如访客SSID)上配置灵活的清除策略(如图1-15所示),以优化系统性能并遵守有关隐私的组织策略。
试读结束[说明:试读内容隐藏了图片]