虛擬應用網(wǎng)絡(luò )VAN中的自動(dòng)化管理技術(shù)

移動(dòng)互聯(lián)、電子商務(wù)、電子政務(wù)的巨大需求推動(dòng)著(zhù)虛擬化、大數據、云計算、SDN等新技術(shù)不斷涌現。與此同時(shí)，為承接越來(lái)越多變的應用，網(wǎng)絡(luò )結構也越來(lái)越復雜，設備種類(lèi)和數量也都極大增長(cháng)，傳統網(wǎng)絡(luò )的運維和管理方式開(kāi)始顯得“捉襟見(jiàn)肘”，難以應付。針對這樣的局面，人們會(huì )想，網(wǎng)絡(luò )能不能變得更簡(jiǎn)單、更貼近應用一些?答案就是——VAN(Virtual Application Network，虛擬應用網(wǎng)絡(luò ))。H3C VAN就是通過(guò)虛擬化的方式將復雜的傳統網(wǎng)絡(luò )抽象出來(lái)成為一些基本的元素，通過(guò)自動(dòng)化和可編程的管理平臺讓這些網(wǎng)絡(luò )元素有機地按照上層應用的需求靈活地調度。

具體來(lái)說(shuō)，在網(wǎng)絡(luò )的開(kāi)局階段通過(guò)“零配置管理”等技術(shù)使大批量設備的開(kāi)局更為簡(jiǎn)單和高效;在運維和業(yè)務(wù)調整時(shí)提供NetConf、自動(dòng)化腳本等技術(shù)，維護者只需輕點(diǎn)鼠標即可完成網(wǎng)絡(luò )的“隨需而變”;如果出現設備故障，H3C還有嵌入式自動(dòng)化技術(shù)使設備更智能，能夠自己處理簡(jiǎn)單的故障。

1 Zero-Configuration零配置管理

所謂零配置管理方案，即在網(wǎng)絡(luò )管理員與現場(chǎng)設備零接觸的情況下，設備上電后自動(dòng)完成遠程設備的業(yè)務(wù)下發(fā)及配置維護。

早在2004年，DSL論壇(現已改名Broadband論壇)推出了TR069技術(shù)規范，用以實(shí)現對網(wǎng)關(guān)、路由器、機頂盒等設備的集中管理?；谠搮f(xié)議，初始安裝時(shí)，用戶(hù)設備會(huì )自動(dòng)尋找管理服務(wù)器，建立連接后即可與服務(wù)器通信，實(shí)現自動(dòng)配置升級、軟件版本管理、狀態(tài)監控及故障診斷。如圖1所示。

圖1 TR069協(xié)議

在TR069協(xié)議的基礎上，Zero-Configuration零配置管理方案進(jìn)行了創(chuàng )新，通過(guò)DHCP報文來(lái)實(shí)現管理服務(wù)器的IP地址以及用戶(hù)名、密碼等信息的傳遞，從而實(shí)現 “零配置”。如圖2所示，在零配置管理服務(wù)器(BIMS)上預先制定設備配置策略，遠程的網(wǎng)絡(luò )設備無(wú)需任何配置，上電后向DHCP服務(wù)器請求IP地址，DHCP服務(wù)器在向網(wǎng)絡(luò )設備反饋IP地址的同時(shí)，提供管理服務(wù)器的訪(fǎng)問(wèn)地址。網(wǎng)絡(luò )設備隨即通過(guò)TR069協(xié)議向服務(wù)器發(fā)起配置請求，服務(wù)器根據網(wǎng)絡(luò )設備的類(lèi)型或序列號下發(fā)相應的配置內容，完成自動(dòng)配置。

圖2 Zero-Configuration零配置管理方案

在數據中心環(huán)境下，設備數量多，網(wǎng)絡(luò )業(yè)務(wù)復雜，配置難度較大，尤其是接入層的設備規模非常龐大，而且通常處于同一層次的接入設備的業(yè)務(wù)配置基本相同，管理員將身陷單調的重復勞動(dòng)中，且出錯率高，同時(shí)在浩瀚的設備叢中發(fā)現某一處配置錯誤非常困難。

針對數據中心的零配置管理方案基于物理位置對設備進(jìn)行預先的配置規劃，從數據中心拓撲到機房拓撲甚至到機架拓撲，管理員在虛擬的管理界面上如同身臨實(shí)際的機房，對機架上的每一個(gè)虛擬設備使用幾個(gè)固定的配置模板進(jìn)行直觀(guān)地預配置，即可將網(wǎng)絡(luò )規劃批量地落實(shí)到位。接下來(lái)管理員只需要等待設備入場(chǎng)，隨著(zhù)繼電器清脆的上電聲，看著(zhù)設備自動(dòng)“走”上工作崗位并納入到業(yè)務(wù)系統的管理中就可以了。如圖3所示。

圖3 數據中心零配置管理方案

針對分支企業(yè)的零配置管理方案充分考慮了跨越Internet的應用場(chǎng)景，采用TR069協(xié)議進(jìn)行業(yè)務(wù)管理，天生具備對動(dòng)態(tài)IP地址設備的管理能力，如圖4。管理員可以足不出戶(hù)，在總部機房進(jìn)行全網(wǎng)設備的規劃和預配置策略的制訂，分散在全國乃至全球各地的遠程分支設備上電后自行向總部獲取配置，并實(shí)現企業(yè)分支網(wǎng)絡(luò )的互聯(lián)和業(yè)務(wù)的發(fā)放，無(wú)需企業(yè)分支網(wǎng)絡(luò )人員的參與，降低了對企業(yè)分支網(wǎng)絡(luò )管理人員的要求，免去了總部技術(shù)人員滿(mǎn)天飛的窘境。

圖4 廣域分支網(wǎng)絡(luò )零配置管理方案

針對普遍跨越Internet互聯(lián)的企業(yè)分支網(wǎng)絡(luò )，零配置管理方案提出了基于IPSec VPN方式的接入模式，有效保障網(wǎng)絡(luò )的安全性，如圖5所示。通過(guò)零配置管理系統與IPSec VPN管理系統的聯(lián)動(dòng)，由IPSec VPN管理系統制訂IPSec VPN服務(wù)模板，對分支企業(yè)進(jìn)行內網(wǎng)的規劃，由零配置管理系統的策略分發(fā)中心實(shí)現對企業(yè)分支網(wǎng)絡(luò )的自動(dòng)化零配置部署，同時(shí)建立IPSec隧道，實(shí)現企業(yè)分支網(wǎng)絡(luò )與總部的安全互聯(lián)。另一方面，方案考慮分支企業(yè)IT技術(shù)的欠缺和整網(wǎng)的統一管理，在IPSec隧道建立后可直接將分支企業(yè)的網(wǎng)絡(luò )由總部進(jìn)行統一托管，由總部網(wǎng)絡(luò )管理人員對各分支網(wǎng)絡(luò )進(jìn)行全面的監控，通過(guò)多緯度的報表展示企業(yè)分支網(wǎng)絡(luò )設備的出口流量、故障趨勢、服務(wù)質(zhì)量、子網(wǎng)資產(chǎn)等信息，實(shí)現對企業(yè)分支網(wǎng)絡(luò )的深入管理。

圖5 廣域分支零配置管理與IPSec VPN業(yè)務(wù)聯(lián)動(dòng)方案

除了針對各種場(chǎng)景下的配置管理，Zero-Configuration零配置管理方案還具有豐富的開(kāi)放性，可以方便地與iMC智能管理中心家族中的其他業(yè)務(wù)模塊(MPLS VPN管理、QoS管理、EAD終端準入管理等)融合，將傳統業(yè)務(wù)管理系統的業(yè)務(wù)特性與零配置管理方案業(yè)務(wù)配置模式相結合，實(shí)現“1+1>2”的效果。

2 NETCONF

IETF在2003年5月成立了Netconf工作組，該工作組主要是為了提出一個(gè)全新的基于XML的網(wǎng)絡(luò )配置(NETCONF)協(xié)議而成立的。該工作組已于2006年12月通過(guò)了NETCONF協(xié)議的基本標準RFC4741-4744。NETCONF允許查詢(xún)設備的運行和配置數據，允許修改設備的配置數據。使用NETCONF，設備可以發(fā)布一套完整的編程接口(API)，管理客戶(hù)端使用這套API即可實(shí)現對網(wǎng)絡(luò )設備的自動(dòng)化管理。