虛擬應用網絡VAN中的自動化管理技術
來源:C114中國通信網
作者:陸毅、胡小龍
摘要: 移動互聯、電子商務、電子政務的巨大需求推動著虛擬化、大數據、云計算、SDN等新技術不斷涌現。與此同時,為承接越來越多變的應用,網絡結構也越來越復雜,設備種類和數量也都極大增長,傳統網絡的運維和管理方式開始顯得“捉襟見肘”,難以應付。針對這樣的局面,人們會想,網絡能不能變得更簡單、更貼近應用一些?答案就是——VAN(Virtual Application Network,虛擬應用網絡)。H3C VAN,就是通過虛擬化的方式將復雜的傳統網絡抽象出來成為一些基本的元素,通過自動化和可編程的管理平臺讓這些網絡元素有機地按照上層應用的需求靈活地調度。
Abstract:
Key words :
移動互聯、電子商務、電子政務的巨大需求推動著虛擬化、大數據、云計算、SDN等新技術不斷涌現。與此同時,為承接越來越多變的應用,網絡結構也越來越復雜,設備種類和數量也都極大增長,傳統網絡的運維和管理方式開始顯得“捉襟見肘”,難以應付。針對這樣的局面,人們會想,網絡能不能變得更簡單、更貼近應用一些?答案就是——VAN(Virtual Application Network,虛擬應用網絡)。H3C VAN,就是通過虛擬化的方式將復雜的傳統網絡抽象出來成為一些基本的元素,通過自動化和可編程的管理平臺讓這些網絡元素有機地按照上層應用的需求靈活地調度。
具體來說,在網絡的開局階段通過“零配置管理”等技術使大批量設備的開局更為簡單和高效;在運維和業務調整時提供NetConf、自動化腳本等技術,維護者只需輕點鼠標即可完成網絡的“隨需而變”;如果出現設備故障,H3C還有嵌入式自動化技術使設備更智能,能夠自己處理簡單的故障。
1 Zero-Configuration零配置管理
所謂零配置管理方案,即在網絡管理員與現場設備零接觸的情況下,設備上電后自動完成遠程設備的業務下發及配置維護。
早在2004年,DSL論壇(現已改名Broadband論壇)推出了TR069技術規范,用以實現對網關、路由器、機頂盒等設備的集中管理。基于該協議,初始安裝時,用戶設備會自動尋找管理服務器,建立連接后即可與服務器通信,實現自動配置升級、軟件版本管理、狀態監控及故障診斷。如圖1所示。
圖1 TR069協議
在TR069協議的基礎上,Zero-Configuration零配置管理方案進行了創新,通過DHCP報文來實現管理服務器的IP地址以及用戶名、密碼等信息的傳遞,從而實現 “零配置”。如圖2所示,在零配置管理服務器(BIMS)上預先制定設備配置策略,遠程的網絡設備無需任何配置,上電后向DHCP服務器請求IP地址,DHCP服務器在向網絡設備反饋IP地址的同時,提供管理服務器的訪問地址。網絡設備隨即通過TR069協議向服務器發起配置請求,服務器根據網絡設備的類型或序列號下發相應的配置內容,完成自動配置。
圖2 Zero-Configuration零配置管理方案
在數據中心環境下,設備數量多,網絡業務復雜,配置難度較大,尤其是接入層的設備規模非常龐大,而且通常處于同一層次的接入設備的業務配置基本相同,管理員將身陷單調的重復勞動中,且出錯率高,同時在浩瀚的設備叢中發現某一處配置錯誤非常困難。
針對數據中心的零配置管理方案基于物理位置對設備進行預先的配置規劃,從數據中心拓撲到機房拓撲甚至到機架拓撲,管理員在虛擬的管理界面上如同身臨實際的機房,對機架上的每一個虛擬設備使用幾個固定的配置模板進行直觀地預配置,即可將網絡規劃批量地落實到位。接下來管理員只需要等待設備入場,隨著繼電器清脆的上電聲,看著設備自動“走”上工作崗位并納入到業務系統的管理中就可以了。如圖3所示。
圖3 數據中心零配置管理方案
針對分支企業的零配置管理方案充分考慮了跨越Internet的應用場景,采用TR069協議進行業務管理,天生具備對動態IP地址設備的管理能力,如圖4。管理員可以足不出戶,在總部機房進行全網設備的規劃和預配置策略的制訂,分散在全國乃至全球各地的遠程分支設備上電后自行向總部獲取配置,并實現企業分支網絡的互聯和業務的發放,無需企業分支網絡人員的參與,降低了對企業分支網絡管理人員的要求,免去了總部技術人員滿天飛的窘境。
圖4 廣域分支網絡零配置管理方案
針對普遍跨越Internet互聯的企業分支網絡,零配置管理方案提出了基于IPSec VPN方式的接入模式,有效保障網絡的安全性,如圖5所示。通過零配置管理系統與IPSec VPN管理系統的聯動,由IPSec VPN管理系統制訂IPSec VPN服務模板,對分支企業進行內網的規劃,由零配置管理系統的策略分發中心實現對企業分支網絡的自動化零配置部署,同時建立IPSec隧道,實現企業分支網絡與總部的安全互聯。另一方面,方案考慮分支企業IT技術的欠缺和整網的統一管理,在IPSec隧道建立后可直接將分支企業的網絡由總部進行統一托管,由總部網絡管理人員對各分支網絡進行全面的監控,通過多緯度的報表展示企業分支網絡設備的出口流量、故障趨勢、服務質量、子網資產等信息,實現對企業分支網絡的深入管理。
圖5 廣域分支零配置管理與IPSec VPN業務聯動方案
除了針對各種場景下的配置管理,Zero-Configuration零配置管理方案還具有豐富的開放性,可以方便地與iMC智能管理中心家族中的其他業務模塊(MPLS VPN管理、QoS管理、EAD終端準入管理等)融合,將傳統業務管理系統的業務特性與零配置管理方案業務配置模式相結合,實現“1+1>2”的效果。
2 NETCONF
IETF在2003年5月成立了Netconf工作組,該工作組主要是為了提出一個全新的基于XML的網絡配置(NETCONF)協議而成立的。該工作組已于2006年12月通過了NETCONF協議的基本標準RFC4741-4744。
NETCONF允許查詢設備的運行和配置數據,允許修改設備的配置數據。使用NETCONF,設備可以發布一套完整的編程接口(API),管理客戶端使用這套API即可實現對網絡設備的自動化管理。
NETCONF使用XML語言來完成配置過程數據和協議消息的交互,所有NETCONF的請求和應答都使用XML描述。基于XML數據交換,使它具有了強大的跨平臺通訊能力。同ISO/OSI一樣,NETCONF協議也采用了分層結構,NETCONF協議分成四層:內容層、操作層、RPC層和通信協議層,如圖6所示:
圖6 NETCONF分層
l 通信協議層為NETCONF提供面向連接的、可靠的、順序的數據鏈路。NETCONF協議本身并不包含數據通訊協議,但定義了一系列推薦的數據通訊層協議,有console、SSH、BEEP、HTTPS、TELNET等。
l RPC層提供了一個簡單的、傳輸協議無關的機制,通過使用<rpc>和<rpc-reply>元素分別對操作層和內容層的內容進行封裝。
l 操作層(Operations)定義了一系列在RPC中應用的基本的原語操作,用來完成不同的網絡管理和監控動作,這些操作將組成NETCONF的基本能力。H3C Comware V7在此基礎上進行協議操作擴展,以提高協議操作的易用性。
l 內容層定義管理對象的集合,可以是配置數據、狀態數據、統計信息等。
NETCONF協議定義了數據獲取的子樹過濾(Sub tree)機制,為用戶提供靈活的數據獲取過濾手段。Comware V7在此基礎上,擴展了正則表達式過濾和簡單匹配過濾,進一步增加了NETCONF數據過濾的操作易用性。
NETCONF協議支持向設備訂閱管理節點關心的系統日志事件。即,只要設備有符合訂閱條件的日志事件產生,設備就會將日志信息以NETCONF事件的方式通知給管理節點。通過事件訂閱機制,管理節點能夠實時響應設備的狀態變化,做出快速的反應,大大提高了管理節點的監控能力。
NETCONF采用XML進行管理者和代理者之間的數據傳輸和模塊表達,并且兼顧監控和故障管理,安全驗證和訪問控制,可擴展性強。它將配置數據和狀態數據分開,避免了操作時對不相關的數據進行的多余處理,例如可以避免對狀態數據進行的配置操作,進一步提高了操作的效率。它不僅定義了多種取值和配置操作,還定義了錯誤回滾等多種能力,并且支持能力的添加,具有較強的擴展性,可滿足各種大型異構網絡的配置需求。NETCONF規定必須采用安全的面向連接的通信傳輸方式,相比起SNMP采用UDP進行傳輸的方式來說,進一步加強了系統的安全性,同時也避免了UDP傳輸數據最大值的局限性。NETCONF解決了SNMP和CLI在配置等方面的先天性不足。同時,通過將XML技術引入到網絡管理當中來,能夠安全高效地處理大批量的數據傳輸。
3 自動化腳本
TCL和python都是業界廣泛使用的腳本語言,網絡設備支持這些腳本語言,可以大大降低網絡管理員的學習成本,利用這些腳本語言,網絡管理員可以實現高度自動化的管理。
網絡設備支持腳本語言通常都遵循如圖7的體系結構:
圖7 自動化腳本架構
用戶腳本由腳本解釋器解釋執行,腳本解釋器內嵌在網絡設備操作系統的內部。TCL和Python都有各自獨立的腳本解釋器。除了用戶自行編寫的腳本,還可以使用業界開源或者第三方開發的腳本庫或者工具。腳本的解釋和執行是在一個安全上下文內進行的,可以有效避免非授權的惡意攻擊。
在大型機構里,大量的接入設備的配置一般都具有很大的相似性,但又不完全相同,不能通過簡單的復制粘貼copy其他設備的配置文件。業務有變更需要對網絡設備配置進行修改時,如果不使用自動化技術,需要逐一手工對每臺設備進行配置,耗時非常長且容易出錯;而通過自動化腳本可以對大批的設備進行批量配置,既縮短了變更時間、出錯的概率也大大降低。
4 嵌入式自動化技術
嵌入式自動化技術主要是對設備內部事件進行監控,事件發生時執行用戶定義策略。針對一些特定類型的故障,通過嵌入式自動化技術,維護人員可以預先定義故障處理的方法,一旦發生該類故障,設備自動執行預先定義好的故障處理策略,從而提高故障處理的效率。下文主要以H3C RTM(Real-Time event Manager)技術為例進行說明。
RTM是一種嵌入式設備上內嵌的、實時的策略驅動的模型。用戶通過策略訂閱感興趣的實時事件。事件發生時,執行策略中制定的動作。RTM可用來實時監控設備,當故障發生時能及時的收集第一現場信息,并采取故障診斷、故障恢復、匯總上報等措施。例如RTM與SCM聯動,監控進程的啟動和停止,衡量系統的可靠性,并采取更靈活的策略。如圖8所示。
圖8 嵌入式自動化技術架構
RTM是一種開放的架構,可以很容易的將事件源添加到RTM框架中。RTM目前支持7種事件源。其它事件源也將會陸續添加到RTM框架中。
有匹配的事件發生時,RTM可以執行用戶配置的一個動作或者多個動作。RTM目前支持的動作主要有:CLI、syslog、trap、switch-over、reboot等*。CLI是指執行任一命令行;syslog和trap是向網管發送特定消息;switch-over可以實現主備自動倒換;reboot可以實現對單獨板卡或者整個設備的重新啟動。
RTM是一種開發的框架,很容易將動作添加到RTM框架中。熟悉Comware CLI的用戶可以選擇使用Comsh script訂閱事件。RTM也支持完整的TCL8.5語法,并在此基礎上做了適當擴展,使用TCL可以編寫出更為靈活且功能強大的策略腳本。RTM框架對策略腳本執行的安全性做了特別考慮。只有管理員或授權用戶才可注冊策略腳本,而且只有注冊的策略腳本才會生效運行。策略腳本一旦被篡改,則不能再運行。
5 結論
在網絡日益復雜的環境下,網絡管理承受著大量挑戰。通過“零配置”管理讓大量設備的開局能在短時間內完成,使得新機房、新業務上線時間大大縮短。通過NETCONF網絡管理技術,用戶可以使用API深度定制網絡管理系統,將不同廠商的設備統一管理起來。自動化腳本技術使得網絡管理腳本(甚至工具)共享成為可能,使一些低效的、繁瑣的、機械的網絡管理操作變成自動化的高效操作。嵌入式自動化技術使管理員能實時監控設備,并在第一時間進行信息收集和故障恢復嘗試,大大減少了網絡故障時間。
隨著自動化管理技術的不斷進步,網絡管理在“化繁為簡”的同時,網絡資源調度的靈活性也極大提高了,從而使“隨需而動”成為可能。
此內容為AET網站原創,未經授權禁止轉載。