龐鐳
摘? ?要:隨著網(wǎng)絡結構、運維管理、安全層級越來越復雜,當網(wǎng)絡復雜度達到一定程度后,運維工作一定不是通過運維人員的經(jīng)驗、精力來支撐的,而是需要引入自動化、智能化的運維工具。本文結合當前高校校園網(wǎng)運維面臨的困難和挑戰(zhàn),闡述了Csico DNA在高校校園網(wǎng)中應用的優(yōu)勢和存在的問題,給高校運維人員高質(zhì)量運維工作提供了借鑒。
關鍵詞:DNA? 校園網(wǎng)? VXLAN
中圖分類號:G64? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 文獻標識碼:A? ? ? ? ? ? ? ? ? ? ? ?文章編號:1674-098X(2020)03(b)-0093-02
隨著高校校園網(wǎng)規(guī)模的不斷擴大,各類網(wǎng)絡設備、多種物聯(lián)終端數(shù)量越來越多,校園應用系統(tǒng)更加多樣,網(wǎng)絡安全策略更加嚴格,傳統(tǒng)由人工操作的命令行式運維模式與日益復雜的網(wǎng)絡格局之間的矛盾逐漸凸顯。作為校園網(wǎng)的運維管理部門,學校教育技術中心運維人員亟需研究和探索自動化、智能化的網(wǎng)絡運維管理模式,應對復雜的網(wǎng)絡環(huán)境,以便能夠更好地實現(xiàn)服務教學、科研,方便師生應用的目標。
1? 校園網(wǎng)運維面臨的困難和挑戰(zhàn)
當前,高校校園網(wǎng)蓬勃發(fā)展,呈現(xiàn)出復雜格局。校園用戶有線無線網(wǎng)、物聯(lián)網(wǎng)、安保專網(wǎng)、一卡通專網(wǎng)、財務專網(wǎng)、教學考務監(jiān)控專網(wǎng)等單獨組網(wǎng),各功能網(wǎng)絡呈塊狀結構分布,塊與塊之間有的需要嚴格的物理隔絕,有的需要相互連通,有的塊內(nèi)網(wǎng)段之間需要互通,或某兩個網(wǎng)段之間杜絕互通。多種訪問需求,就需要多種不同的配置策略與之相匹配,無形中給管理人員帶來巨大挑戰(zhàn)。
1.1 人工運維成本高
傳統(tǒng)的校園網(wǎng)功能多,設備的基礎配置、設備與設備之間互通配置等,全部需要運維人員去完成,運維成本大。特別是上新項目時,大量設備需要逐個配置。當網(wǎng)絡拓撲和策略需要調(diào)整變更時,人為操作,無法保證變更前后設備配置完全一致。
1.2 用戶策略分級多
高校網(wǎng)絡訪問策略針對不同用戶有差異。老師、學生,非在編人員等等,不同的用戶訪問不同的資源,小型網(wǎng)絡通常使用訪問控制列表即可實現(xiàn)。高校校園網(wǎng)拓撲結構復雜,設備數(shù)量眾多,需要保證全網(wǎng)一致性的實施,僅用訪問控制列表,在實現(xiàn)和維護兩個層面都很困難。
1.3 安全等級要求高
2019年12月1日,等保2.0標準正式實施,標準中對于網(wǎng)絡關鍵應用有嚴格的要求,必須做到物理隔離,獨立運維。
1.4 故障判斷難度高
傳統(tǒng)的網(wǎng)管系統(tǒng)功能多集中在監(jiān)控設備的運行狀態(tài),無法做到對全網(wǎng)故障進行分析和預判。校園網(wǎng)用戶多,故障類型多,傳統(tǒng)抓包的或憑經(jīng)驗的故障排除方式顯然已不能適應復雜網(wǎng)絡結構。
在這樣的背景下,Cisco DNA應運而生。DNA從網(wǎng)絡的部署、配置、調(diào)試、到排障,全過程摒棄傳統(tǒng)的命令行方式,通過控制器圖形化界面進行操作,實現(xiàn)了自動化、智能化運維的目標。
2? Cisco DNA簡介
DNA—Digital Network Architecture,是面向園區(qū)網(wǎng)的全數(shù)字化網(wǎng)絡架構。包含:自動化運維工具、基于意圖的策略部署、網(wǎng)絡分析及故障排除功能。實現(xiàn)管理和轉發(fā)功能的分離,是DNA最基本的原則之一。
部署DNA可以長期提供網(wǎng)絡運維的支撐和保障。在DNA模式下,設備加電即可獲得配置,智能化程度高。所有針對網(wǎng)絡設備管理層面的操作都交由DNA-C控制器來統(tǒng)一指揮,完成管理、配置、策略下發(fā)等任務,全網(wǎng)交換機等網(wǎng)絡設備只完成轉發(fā)功能??刂破鲿崟r從設備提取信息,同時將網(wǎng)絡知識庫放置于控制器中,用于分析網(wǎng)絡風險,評價網(wǎng)絡健康狀況,提示網(wǎng)絡安全隱患。
3? DNA在高校校園網(wǎng)中應用的優(yōu)勢
3.1 網(wǎng)絡安全層面
傳統(tǒng)方式,校園網(wǎng)出口需要部署安全策略,就配置防火墻設備;需要搜集分析用戶上網(wǎng)行為,就部署行為管理設備;需要實現(xiàn)一鍵斷網(wǎng),就部署反向代理設備,所有完成安全功能的設備是疊加式的部署方式,不能將上述功能集中在一臺設備上。DNA架構提倡集成式的安全,全網(wǎng)設備,包括AP、交換機、防火墻,都是作為網(wǎng)絡探針存在,通過全網(wǎng)搜集數(shù)據(jù)的方式來保證網(wǎng)絡的安全。
3.2 設備層面
所有設備只需上架、加電、IP可達,其他的操作都無需人工干預,都由DNA-C控制器進行配置和策略的下發(fā)。特別是針對有多個校區(qū)的情況,某分校區(qū)的設備只需加電,其他操作都可在主校區(qū)完成。校園網(wǎng)設備傳統(tǒng)且普遍采用的運維管理方式是,運維人員為主,各類網(wǎng)絡監(jiān)控軟件為輔,所有的網(wǎng)絡設備配置、策略調(diào)整均是通過命令行實現(xiàn)。這就網(wǎng)絡運管人員提出了比較高的要求,不僅需要熟悉某一品牌某種型號設備的所有命令及其含義,還需要考慮并解決不同品牌網(wǎng)絡設備交叉使用的兼容性問題。
3.3 組網(wǎng)方式層面
當前,安保網(wǎng)、一卡通、校園網(wǎng)等各個功能網(wǎng)絡之間物理隔離,存在多網(wǎng)建設、維護成本高的問題。DNA是疊加的網(wǎng)絡,只需建立一套物理網(wǎng)絡,在此基礎上疊加多個虛擬網(wǎng)絡。通過虛擬方式實現(xiàn)物理隔離,可以在控制器上添加多個虛擬網(wǎng)絡,不僅節(jié)省了硬件成本,更為管理員的部署和規(guī)劃提供了方便。
3.4 故障處理層面
傳統(tǒng)故障處理需要經(jīng)過多個環(huán)節(jié),多次操作,多個節(jié)點去排查故障原因,在DNA架構中,DNA控制器會搜索智能故障數(shù)據(jù)庫直接給出故障原因及處理意見,簡化并弱化了人為參與的因素,將極大提升運維效率。
4? DNA在高校校園網(wǎng)中應用存在的問題
從兼容性角度來看,目前,CiscoDNA都是基于Cisco-C系列9000型號的交換機展開的,DNA不支持其他品牌的網(wǎng)絡設備,同時也不支持思科較早型號的設備。而校園網(wǎng)大量在用的CiscoC2960,C3750等型號交換機無法支持DNA。同時,無線設備方面,Cisco17、27、37、18、28、38系列的無線接入點都可以支持DNA,早期的型號都不支持。
從功能角度來看,實現(xiàn)DNA必備的組建有控制器(DNA-C)、ISE認證模塊、無線控制器。DNA體系對傳統(tǒng)三層網(wǎng)絡結構中的核心層、接入層設備有型號的要求,必須支持VXLAN。因為VXLAN是在接入層進行封裝,在核心層進行解封裝。
也就是說,要實現(xiàn)DNA,需要更換校園網(wǎng)大量在用的網(wǎng)絡設備。無論是從成本還是從制度層面來看,大量更換在用設備都需要一個較長的時間周期。
5? 結語
Cisco DNA作為一種自動化、智能化程度較高的運維模式,已經(jīng)成為園區(qū)網(wǎng)運維發(fā)展的新趨勢,高校校園網(wǎng)可以在逐步消化現(xiàn)有設備的基礎上,引入DNA設備,在為運維工作提供更大方便的同時,以期實現(xiàn)更加穩(wěn)定,更加敏捷的校園網(wǎng)接入方案。
參考文獻
[1] 劉倩熙. IPTV在校園網(wǎng)的應用研究[D].湖南大學,2012.
[2] 王鳳霞. 校園網(wǎng)無線網(wǎng)絡管理與應用優(yōu)化[D].復旦大學,2012.
[3] 吳文皓. 校園網(wǎng)環(huán)境下的MPLS技術研究與仿真[D].哈爾濱理工大學,2013.