随着IT技术迅猛发展,越来越多的业务承载于IT网络,网络的规模越来越大,结构越来越复杂,设备的配置复杂性越来越高,对网络管理员提出了更高的要求。
在数据中心或大型园区网中,网络设备成百上千,批量上线带来的重复配置多、工作量大;同时,企业分支网络得到进一步的发展,分支网络的分布范围广且位置分散,现场部署和维护将耗费大量的人力物力;各企业分支网络中的设备多为拨号上网或隐藏在NAT设备之下,没有固定的访问地址,无法对分支设备进行远程统一管理。
为了整个网络的有效运作,需要进行统一的配置策略管理,传统的远程管理方式(如Telnet、SSH、SNMP、远程Web登录等)具有很多的局限性,要解决这些问题,需要一种策略集中的、能够穿越NAT管理动态IP地址设备的、简便的远程管理和维护模式,Zero-Configuration零配置管理方案应运而生。
1 Zero-Configuration零配置管理方案
所谓零配置管理方案,即在设备上电后,网络管理员与现场设备零接触的情况下,自动完成远程设备的业务下发及配置维护。要实现这个目标,我们首先需要看一下相关的技术支撑。
早在2004年,DSL论坛(现已改名Broadband论坛,http://www.broadband-forum.org/)就已开始了相关的研究,推出了TR069技术*规范,用以实现对网关、路由器、机顶盒等设备的集中管理。基于该协议,初始安装时,用户设备会自动寻找管理服务器,建立连接后即可与服务器通信,实现自动配置升级、软件版本管理、状态监控及故障诊断。如图1所示。
注:
TR069协议全称为"CPE广域网管理协议"。它基于HTTP(HTTPS)协议实现,提供了对下一代网络中的网络设备进行管理配置的通用框架和协议,用于从网络侧对网关、路由器、交换机等设备进行远程集中管理。
图1 TR069协议
在TR069协议的基础上,Zero-Configuration零配置管理方案中进行了创新,通过DHCP报文来实现管理服务器的IP地址以及用户名、密码等信息的传递,从而实现 "零配置"。如图2所示,在零配置管理服务器(BIMS)上预先制定设备配置策略,远程的网络设备无需任何配置,上电后向DHCP服务器请求IP地址,DHCP服务器在向网络设备反馈IP地址的同时,向网络设备提供管理服务器的访问地址。网络设备随即通过TR069协议向服务器发起配置请求,服务器根据网络设备的类型或序列号下发相应的配置内容,完成网络设备的自动配置。
图2 Zero-Configuration零配置管理方案
2 零配置管理方案在数据中心场景下的应用
数据中心设备数量多,网络业务复杂,配置难度较大,尤其是接入层的设备规模非常庞大,而且通常处于同一层次的接入设备的业务配置基本相同,管理员将深陷单调的重复劳动,出错率高,同时在浩瀚的设备丛中发现某一配置错误非常困难。
针对数据中心的零配置管理方案基于物理位置对设备进行预先的配置规划,从数据中心拓扑到机房拓扑甚至到机架拓扑,管理员在虚拟的管理界面上如同身临实际的机房,对机架上的每一个虚拟设备使用几个固定的配置模板进行直观地预配置,即可将网络规划批量地落实到位。接下来管理员只需要等待设备入场,随着继电器清脆的上电声,看着设备自动走上工作岗位并纳入到业务系统的管理中。如图3所示。
图3 数据中心零配置管理方案
3 零配置管理方案在其他场景下的应用
3.1 广域分支网络
针对分支企业的零配置管理方案充分考虑了跨越Internet的应用场景,采用TR069协议进行业务管理,与生俱来地具备对动态IP地址设备的管理能力,如图4。管理员可以足不出户,在总部机房进行全网设备的规划和预配置策略的制订,分散在全国乃至全球各地的远程分支设备上电后自行向总部获取配置,并实现企业分支网络的互联和业务的发放,无需企业分支网络人员的参与,降低了对企业分支网络管理人员的要求,免去了总部技术人员满天飞的囧境。
图4 广域分支网络零配置管理方案
针对普遍跨越Internet互联的企业分支网络,结合众多的实际项目经验,零配置管理方案提出了基于IPSec VPN方式的接入模式,有效保障网络的安全性,如图5所示。通过零配置管理系统与IPSec VPN管理系统的联动,由IPSec VPN管理系统制订IPSec VPN服务模板,对分支企业进行内网的规划,由零配置管理系统的策略分发中心实现对企业分支网络的自动化零配置部署,同时建立IPSec隧道,实现企业分支网络与总部的安全互联。另一方面,方案考虑分支企业IT技术的欠缺和整网的统一管理,在IPSec隧道建立后可直接将分支企业的网络由总部进行统一托管,由总部网络管理人员对各分支网络进行全面的监控,通过多纬度的报表展示企业分支网络设备的出口流量、故障趋势、服务质量、子网资产等信息,实现对企业分支网络的深入管理。
图5 广域分支零配置管理与IPSec VPN业务联动方案
3.2 运营网络
运营网络的零配置对象主要是家庭网关等终端CPE设备,用户多为家庭用户,网络规模较数据中心和广域网更为庞大,运营商必须具备远程维护能力,尽量避免上门服务带来的繁重压力和巨额成本。家庭终端CPE设备配置简单,用户的配置策略也相对单一,运营商需要集中、批量的部署方式。
针对运营网络,零配置管理方案为网络设备制订软件版本和配置基线,设备上线后零配置管理系统自动比对设备软件版本和配置版本的正确性,并对不正确的设备强行下发相应的版本和配置,自动维持全网设备版本和配置的一致性。同时,零配置管理系统提供了丰富的北向接口*,与运营商的BOSS系统对接,实现基于运营商统一策略的业务开通和服务推送。如图6所示。
注:
北向接口(Northbound Interface)是指提供给其它的管理系统进行接入和管理的接口,即向上提供的接口。
图6 运营网络零配置管理方案
4 零配置方案与iMC其他解决方案的有机融合
除了提供针对各种场景下的配置管理,Zero-Configuration零配置管理方案还具有丰富的开放性,可以方便地与iMC智能管理中心家族中的其他业务模块(MPLS VPN管理、QoS管理、EAD终端准入管理等)融合,将传统业务管理系统的业务特性与零配置管理方案业务配置模式相结合,实现"1+1>2"的效果。
图7 零配置方案与iMC其他解决方案融合
5 结束语
Zero-Configuration零配置管理是在IT网络业务日益复杂、可靠性要求越来越高的背景下产生的,其独有的基于网络设备自行请求配置的被动模式,解决了传统主动管理模式中无法有效管理动态地址设备、难以穿越NAT、管理不及时等硬伤,大大提高了管理效率,降低了管理成本,使管理员可以更轻松自如的驾驭IT网络。随着应用的日益广泛,技术的日臻完善,新的模式将承载更丰富的网络业务、更广泛的应用场景,提供更便捷的使用体验,相信零配置管理方案的未来将更加美好!