- 思科软件定义访问:实现基于业务意图的园区网络
- 谢清
- 16589字
- 2020-08-27 07:25:48
2.5 思科DNA软件定义访问提供的服务
2.5.1 软件定义访问策略服务
1. 传统网络环境下的策略
(1)策略定义。
在涉及策略和服务的任何讨论中,起点始终应该是由创建需求的业务来驱动。过去,企业网络的唯一业务需求是提供快速、高可用的连接性(也称为访问需求)。随着这些年计算和网络的发展,服务和策略都在不断进化。现在,企业网络策略必须满足新的需求,以支持更大的灵活性、敏捷性和不断增加的安全性。
在本节中,我们将重点介绍软件定义访问的首要需求——安全性,讲述软件定义访问策略如何解决企业网络当前面临的一些重大挑战。重要的是,对于其他网络服务和策略,如服务质量(QoS)、数据分组抓取、流量工程等,也存在类似的需求和挑战,软件定义访问以类似的方式来解决这些问题。
(2)业务驱动因素。
驱动策略部署的业务需求之一是出于行业原因(PCI、HIPAA等)或企业合规原因(降低风险)。企业内可以存在多个需求。例如,一家医疗保健公司不仅必须遵守国家法规,还必须遵守PCI遵从性要求,同时希望通过隔离医疗设备来减少风险。
(3)策略使用场景。
下面是一组常见的医疗网络的样本需求,用来说明软件定义访问如何满足业务需求,同时可以提供业务的敏捷性、灵活性和较低的运营费用。
如上所述,我们的出发点是评估业务的驱动力和需求,具体如下。
① 安全的病人护理:只允许经过批准的医疗用户和医疗设备进入医疗网络。
② 安全的关键业务应用程序:在访问企业网络时识别所有用户终端,并且只允许批准的用户和设备访问通用企业网络。
③ 法规遵从性要求:只允许批准的用户或设备访问PCI遵从性范围内的特定终端、服务器和应用程序。
④ 提供病人护理:提供与企业通用网络和医疗网络隔离的访客网络。
传统上,下一步是评估网络以了解上面提到的每个主要资源位于何处。例如,
① 网络中的医疗设备在哪里?
② 在PCI法规遵从范围内的服务器和应用程序在哪里?
③ 网络中的医疗用户在哪里?
如果企业很幸运,则它们能够将所有相关资源与一组清晰的IP地址子网相互关联。这将允许它们构建表示子网的IP地址和易于理解的可读名称之间的关联。下面是一些例子。
192.0.2.0/24=核磁共振成像设备
192.16.1.0/24=医疗影像服务器
198.51.100.0/24=PCI应用
10.1.100.0/24=医护人员
101.0.0/24=访客
(4)策略构建(如图2-16所示)。
图2-16 策略构建实例
网络架构师将需要在这些网络对象和一组权限(环境中的所有子网的访问控制策略)之间建立关系,通常使用安全管理系统来实现。安全管理系统(如防火墙或ACL管理系统)提供IP前缀和“网络对象”之间关系的易于理解的可读抽象映射。
网络架构师将在网络对象之间针对特定协议(IP、TCP、UDP等)和端口(http、https等)建立访问控制规则,然后在对象之间建立最终的访问权限(允许或拒绝)。
为了保证策略执行,网络管理员需要利用将相关流量(针对每个子网)引导到相应的策略执行点(例如,使用ACL的分布层交换机、园区防火墙等)的方式设计网络。然后,管理系统将使用网络对象将IP地址返回策略执行点。
在大多数情况下,访问控制安全策略执行结果产生的遥测数据表示为日志、流数据、命中计数器等,完全以IP地址项来标识。这意味着策略执行点生成的所有信息都仅与网络结构相关,而不以与策略结构相关的方式生成。这也意味着任何安全管理或网络运维系统必须再次将网络结构转换回策略结构,且需要跨越企业网络中的多个策略实施点。
这最终演变为一个非常复杂的操作,因为它通常需要处理多种格式的遥测数据以及这些数据的不同方面,从而使我们需要通过复杂的关联操作来执行相对简单的任务,例如,“IP地址1(它是网络对象A的一部分)当前正在与IP地址2(它是网络对象B的一部分)通信”,在这个日志中,意味着存在违反安全策略X的情况。由此可见,将网络对象(VLAN/子网)映射到策略对象并保持相关性是非常复杂的。
(5)实施策略。
注意,对于上面描述的内容,存在一个固有的假设:如果将设备连接到子网,则该设备将继承所在子网的所有安全访问策略。记住,企业网络要提供快速和高可用的访问,这包含了两个关键的策略:
① 在园区、数据中心或分支机构内,对连接到网络的不同部分的人都没有网络验证;
② 如果可以将设备插入正确端口,那么它可以被安全系统正确分类。
无线网络通过引入设备和身份认证改变了这一点,但是并没有改变将IP子网到网络对象进行传统映射从而获得安全权限的现状。无线网络还引入了用户和设备移动性,带来了网络拓扑与安全策略紧耦合的挑战,因为用户和/或设备可以出现在网络中的任何部分。此外,为了向网络中添加IPv6地址,需要重复上述的所有工作,同时出现了一些新的挑战:
① 在IPv6中有更多的网络范围和聚合子网,并且每个用户和/或设备可以使用多个IPv6地址;
② 由于采用16进制(字母、数字混合)的表示方法且地址长度增加,IPv6地址通常被认为比IPv4更难读取和回溯;
③ 安全管理工具需要创建单独的IPv6网络对象和/或升级软件。
当这些策略被创建和应用时,它们通常被锁定在管理工具中。虽然软件定义网络(SDN)已经可以通过自动化的方式创建网络和应用,但是这种自动化并不容易扩展到安全策略中。在许多情况下,自动化要么是不完整的(仅针对分支中的用户/设备等工作负载),要么是特定于供应商的。
在大多数情况下,网络对象和策略无法扩展到多种类型的策略实施点(防火墙、交换机或路由器)中。不同类型的策略执行点通常由不同的管理系统管理,并且需要在系统之间手动同步策略。尽管市场上有一些第三方工具关注于多平台和多供应商管理,但是它们仅限于通用的网络构造,并且带来了另一层面的操作复杂性。
此外,当我们进入应用层面的安全操作时,网络安全对象之间是有关联的。例如,假设网络安全策略允许设备与因特网通信。除非网络安全策略管理控制台和高级恶意软件管理控制台手动共享网络对象与更广泛企业网络的相关性,否则高级恶意软件控制台将不会在其生成的警报中知道终端的业务相关性。因此,除非对业务至关重要的设备被恶意软件破坏,并且恶意软件传感器检测到这一安全威胁,否则网络安全操作者将很可能看不到关于事件的高级警报。
处理策略的另一个挑战是,防火墙和/或交换机及路由器上的访问控制列表中的许多访问控制项(ACE)一直保持不变(或未优化),并且随着时间的推移其数量不断增长,因为网络管理员实际上不知道什么是驱动业务的应用以及这些应用需要强制执行的策略是什么。
因此,在传统网络中改变或删除策略可能会带来意想不到的后果,从而造成更大的风险。
(6)挑战。
当前传统策略方法的主要挑战在于,从对象(IP地址)到与业务相关的对象(网络对象),然后回到对象(IP地址),这一过程无法携带业务相关性。例如:
① 与策略相关的遥测结果缺乏易于理解的、可读的业务相关性(日志和流统计仅使用IP地址而不包含用户情境);
② 很难从网络策略遥测结果中获得可操作的智能;
③ 依赖于多平台或多厂商工具来构建这些结构之间的关联;
④ 耗时、复杂和容易出错的过程可能会导致实施和/或执行策略方面的差距。
当前的企业技术还缺乏在VLAN/子网中横向扩展的策略执行方法。由于层出不穷的安全事件,大量涉及IoT设备和用户设备的安全事件的发生,在VLAN/子网内缺乏安全控制是导致恶意软件和赎金软件泛滥的主要原因。人们正在重新关注安全策略能否控制企业内部和组成员之间的通信流量。由于局域网天生的行为特性,必须引入新的流量控制机制以将同一VLAN/子网内的设备引导到安全策略实施点(如私有VLAN等)。这也意味着为了控制子网内的横向扩展,必须为每个VLAN/子网创建一个新的ACL策略,即使这些IP子网的大部分实际上是相同的网络对象。
最后,随着移动性的引入,网络管理员不能假定任何给定的静态IP子网/VLAN结构可以精确地表示为用于策略目的的给定终端用户/设备的集合。网络管理员也不能手动跟上移动用户/设备的添加和改变的速度。后面,读者将了解软件定义访问如何以独特而有效的方式解决上述挑战。
2. 软件定义访问策略体系结构
如前所述,软件定义访问网络交换矩阵提供了两个关键的分段结构——用于宏分段的虚拟网络和用于微分段的用户组——两者可以组合在一起使用,以满足策略定义的需求。
软件定义访问中的策略是基于用户、设备、事物或应用的逻辑分组以及组和组之间的关系来定义的,并且可以进一步基于网络三层和四层分类器来定义访问控制规则。例如,可以创建策略来定义“物理安全摄像头”组无法访问“门卡阅读器”组,或者“医疗设备”组仅能被“医生”组访问。
有线和无线策略均使用DNA中心集中定义和管理。在拓扑结构不可知的情况下,基于用户/设备标识的策略在网络交换矩阵边缘和边界节点上执行(如图2-17所示)。针对终端的组分类被嵌入网络交换矩阵的数据平面中,并且被软件定义访问网络交换矩阵端到端地承载,因此,软件定义访问可以执行针对业务的策略,而无须关心其源地址。对于需要基于状态检查的策略,基于组的策略也可以应用于SGT感知防火墙或Web代理。
图2-17 软件定义访问中的策略执行
(1)接入终端分组。
思科身份服务引擎(ISE)通过各种机制建立连接到网络的端点的标识,这些机制包括802.1x、MAC地址、客户端类型、活动目录登录和强制门户认证。一旦建立端点的标识,思科ISE还将定义端点标识与组的关联规则。活动目录组中的属性可用于定义ISE中的组分类,以便在软件定义访问架构中使用。这些组被自动导入DNA中心,以便用户从DNA中心用户界面统一查看和管理策略(如图2-18所示)。
图2-18 软件定义访问中基于组策略的用户访问
DNA中心还能够从外部NAC和AAA系统收集端点身份信息,并使用外部派生的身份将端点映射成组。对于不能通过上述任何机制进行基于身份访问的环境,DNA中心允许网络管理员静态地定义访问端口和组之间的关联。
(2)应用群组。
可以通过基于外部应用程序的IP地址或子网将外部应用程序分组来为DNA中心的用户或应用程序的端点定义和实现策略。这在数据中心中尤其相关,应用程序出于安全原因分组到预定义的子网中。
对于基于思科以应用为中心的基础设施(ACI)架构来构建的数据中心,来自软件定义访问的端点组可以由ACI中的APIC控制器导入,然后可以基于从用户访问应用程序的端到端的相同组策略模型来定义策略。这一互通性可实现高度可扩展、自动化、简化的策略,迎合了用户或工作负载移动性的需求。
思科的云策略平台使公有云环境(如AWS)以及混合云环境中的工作负载能够映射到可以导入DNA中心的组中。DNA中心因此可以使用相同的基于组的策略构造来定义和实现用户/设备终端与公共/混合云中的应用程序之间的访问控制策略。这些组策略可以在策略执行点(如网络交换矩阵边界或兼容防火墙上)实例化。
3. 通过思科DNA中心的API实施安全策略
考虑到安全运营团队利用软件定义访问策略模型来响应用户访问之外的不同级别的漏洞的能力,例如,假设已为主机操作系统识别出新的漏洞,并且该主机的用户登录网络,通过管理代理,该主机操作系统被识别为尚未修补漏洞。根据这一条件,管理代理可以将漏洞识别为“威胁”级别,并通过API将“威胁”级别策略应用于软件定义访问网络交换矩阵中。
该策略可以立即拒绝用户访问整个企业网络中的任何关键业务系统,同时仍允许他们访问非关键系统和外部网络(如因特网)。此示例突出显示了软件定义访问中策略模型的强大功能。来自DNA中心的集中控制(从网络拓扑中抽象出来的策略模型)应用需要每个网络元素执行操作策略,如果没有网络运营者花费大量时间来完成任务,是很难实现的,即使实现也需要花费几天时间。
软件定义访问还为第三方应用程序提供了灵活性,可通过DNA中心的一组开放API接口来创建、实例化并将策略推送到网络交换矩阵中。客户可以利用安全信息和事件管理器(SIEM)系统等应用环境使用这些API。虽然SIEM系统可能无法配置网络,但将其与可以推动网络中的策略更改的软件定义访问网络交换矩阵集成,可以帮助安全运营者加速对SIEM识别出来的事件的响应速度。当在SIEM中检测到高风险事件时,它可以调用API到DNA中心请求创建或修改软件定义访问策略以“隔离”特定的一组用户/端口,快速隔离威胁,或者创建ERSPAN流量复制会话以用于进一步的流量分析。
如图2-19所示,对DNA中心API的调用可以触发流量复制策略,并协同ISE对用户进行隔离。
图2-19 第三方应用程序调用DNA中心和ISE API
4. 软件定义访问策略的优点
除了降低操作网络的复杂性和总体成本之外,软件定义访问的自动化和网络保障功能还为网络操作实现了策略驱动的模型,该模型减少了引入新服务所需的时间,并提高了整体网络的安全性。下面将进一步讨论这些好处。
(1)从网络基础设施设计中解耦策略。
类似于软件定义访问通过VXLAN叠加网络对网络连接进行抽象的方式,软件定义访问抽象了策略的概念,并将其与底层网络拓扑解耦。即使网络设计发生改变,也不需要操作者手动逐个定义和更新策略元素。由于软件定义访问利用网络交换矩阵的网络基础设施来执行策略,因此,不再需要复杂的流量工程机制将流量转发到防火墙来执行安全策略,从而减少IP-ACL在防火墙中的极速蔓延。策略与网络拓扑的解耦使操作更加简单有效,并使网络能够更有效地用于执行策略。这为以更快的时间实现新的业务服务、无缝网络移动性以及全面减少日常网络管理工作等方面带来了许多好处。
(2)简化策略定义。
在逻辑、业务相关和易于理解的用户组的基础上管理访问控制策略简化了持续运营流程并降低了安全风险。它还减少了证明网络安全合规性所需的时间和精力,并简化了审计流程。
(3)策略自动化。
终端基于其身份与用户组的动态关联减少了确保端点位于适当网段上所需的操作开销,还可以增强企业整体的安全性,尤其是在用户和设备移动的环境中。传统方法所需的复杂性和时间成本与企业网络中的设备数量和每个设备上执行的任务呈线性关系。在软件定义访问中,策略制订更简单,执行速度更快,更易于设计、部署、操作和理解。
(4)基于策略的企业网络编排。
软件定义访问策略模型提供了一个平台,客户可以在其中开发大量的应用程序,包括网络分段、安全性、合规性和对实时安全威胁的响应等用例,以及在网络交换矩阵内部提供各种服务的能力。
通过在DNA中心使用API、丰富的网络遥测源和智能机器学习,软件定义访问可以利用“闭环”模型的概念支持多种用例,每种用例都可以利用软件定义访问策略模型将“可操作的”业务意图部署到软件定义访问网络交换矩阵中。
2.5.2 软件定义访问自动化服务
1. DNA中心的自动化与编排
自动化和编排,如软件定义访问概述部分所定义的,将“软件定义”的概念引入“访问”网络,将用户的业务“意图”转换为有意义的网络配置和验证任务。
思科软件定义访问使用基于控制器的自动化作为主要的配置和编排模型,用以设计、部署、验证和优化有线、无线和安全网络组件。有了DNA中心,IT团队现在可以在与业务目标一致的抽象层级别上操作,而不用担心具体的实现细节。这实现了最小化人为错误的概率,以及通过更容易的标准化总体网络设计来简化IT团队的操作。
思科DNA中心为非网络交换矩阵和基于网络交换矩阵的组件提供多种形式和级别的自动化和编排。下面简要列出思科DNA自动化和编排的关键原则和概念。
(1)敏捷性:减少设计、部署和/或优化网络环境所需的时间。思科DNA中心通过以下方式实现敏捷性。
① 集中设计:针对不同的操作环境,包括对全局和本地网络设备设置的特定要求,生成、组织和管理一组公共和/或独特的网络设计。
② 自动化部署:快速部署配置到多个设备,并提供部署验证。
③ 优化设计:确保网络状态和规模扩展的一致性,以符合期望的网络运营目标。
(2)可靠性:思科DNA中心通过一致的、部署规范的网络最佳实践配置带来可靠性。
① 配置最佳实践:成熟且经过测试的设计和配置可确保一致的可预测行为。
② 基于配置文件或模板的配置:将不同的设计和配置组织到易于管理的配置文件或模板集合。
(3)简化:最大限度地降低配置和集成多个设备的复杂性。思科DNA中心通过以下方式实现简化。
① 集中管理:在单一视图中集中提供设计、部署和管理多个网络组件和/或外部服务所需的所有功能,这些功能可作为单一事实来源。
② 减少接触点:减少传统的逐个机箱进行的配置和管理任务,并为网络运营者提供单一的集中式界面。
③ 可编程接口(API):允许运营者以自己的定制化方式开展自动化网络运维,同时利用集中平台进行网络维护并驱动网络状态的变化。
(4)抽象:DNA中心使用易于理解的概念和结构,抽象出网络基础设施的基本特征和技术实现细节。DNA中心通过简单的、与技术无关的工作流程提供此功能,并通过物理和逻辑网络拓扑的视图提供支持。
那么什么是思科软件定义访问环境中的自动化和业务编排呢?思科软件定义访问将自动化和业务编排的关键概念应用于企业园区网络,包括以下几项主要技术,如有线访问、无线访问,以及用于安全性和应用优化的服务和策略。思科软件定义访问自动化和业务编排可分为两大类:网络底层(或非网络交换矩阵)和网络交换矩阵叠加网络。
① 思科DNA中心对底层网络的关键工作流程。
·全局和站点设置:针对不同站点的网络配置(如服务器、IP地址管理等)的层次化管理。
·设备发现(现有网络):现有网络设备的自动发现和资产清单构建。
·局域网自动化(新网络):新网络设备的自动发现、配置和资产建立。
② 网络交换矩阵叠加网络的关键工作流程。
·网络交换矩阵站点:一组支持网络交换矩阵的网络设备的自动配置,具有通用的网络交换矩阵控制平面和数据平面。
·网络交换矩阵设备角色:运行各种网络交换矩阵功能的网络设备的自动配置,包括控制平面节点、边界节点、边缘节点、扩展节点、网络交换矩阵模式的无线控制器和无线接入点。
·虚拟网络:自动配置在网络交换矩阵叠加网络中,启用虚拟路由和转发分段。
·基于组的策略:自动配置在网络交换矩阵叠加网络中,对基于组的策略进行分类和/或实施。
·主机联网:为加入网络的客户端自动配置相关功能,包括静态或动态虚拟网络、IP地址池和分配可扩展组、SSID、二层相关配置等。
·多播服务:自动配置在网络交换矩阵叠加网络中启用IP多播分发。
·预验证:在部署网络交换矩阵叠加网络自动化之前验证网络设备功能和支持性的工具。
·交换矩阵部署后验证:在网络交换矩阵叠加网络自动化之后验证网络设备正常运行的工具。
2. 使用DNA中心自动化软件定义访问
下面通过简述DNA中心平台提供的设计、策略和配置工作流程描述软件定义访问概念的实际应用。
(1)网络设计。
大型企业中的IT团队通常必须管理大量具有不同业务功能和属性的分布式站点。例如,某个企业可能有零售店、售货亭、配送中心、制造场所和公司办公室,在这种情况下,IT团队的愿望通常是将基于业务属性相近的站点标准化为网络配置文件来简化其操作,IT团队还需要允许本地团队管理和自定义特定于站点的特定参数,如特定于站点的日志记录服务等,同时确保在整个企业中一致地定义其他通用参数,如网络身份验证和策略。
DNA中心允许根据站点对网络基础设施进行分类,并提供一定程度的粒度细分来定义与企业网络基础设施的物理布局密切相关的建筑物和楼层。为了提供最大的灵活性,DNA中心还允许定义站点的层次结构(如图2-20所示)。
图2-20 思科DNA中心定义的网络层次结构
DNA中心允许对全局或以每个站点为单位进行自动配置,还支持使用思科即插即用解决方案实现零接触配置网络基础设施,自动加载新的网络基础架构组件。为实现这一目标,DNA中心的设计部分提供:
① 网络层次结构创建;
② 特定于站点的网络参数;
③ 基于站点的网络配置文件。
(2)应用网络设置。
在DNA中心的设计工作流程中定义的设置提供了网络主要构建模块,它们将首先在部署之前验证网络配置,随后在自动化过程的其他阶段进一步最小化这些元素的手动输入。如前所述,这些设置应用于网络层次结构,并将在后续的工作流程元素中用于多个目的。此工作流程中定义的设置包括:
① AAA、DHCP、NTP和DNS服务器;
② DNA中心访问网络设备的凭据;
③ 用于客户端设备的IP地址池。用于其他思科DNA中心工作流程的IP地址池,包括局域网(底层网络)自动化和网络交换矩阵边界节点外部连接自动化。
(3)规划和构建无线网络配置。
无线网络的配置可以在DNA中心完全实现自动化,配置流程作为设计/策略/配置工作流程中的一个步骤实现。IP地址池、虚拟网络和可扩展组标签等共享元素已集成到此工作流程中,无须单独定义。对于特定于无线网络部署的功能,包括企业和访客SSID配置、射频优化参数以及服务质量(QoS)、“思科—苹果”快行线协议和自适应802.11r等其他关键功能可在DNA中心中定义和部署配置。
(4)管理软件映像。
DNA中心的设计工作流程包括软件映像管理——为各种网络设备(包括路由器、交换机和无线控制器)自动管理软件映像。此功能包括多次验证检查,以确保为设备的升级或降级作好充分准备。
(5)定义策略。
DNA中心使企业能够创建逻辑网段和细粒度用户组,以及基于网络情境的服务策略,然后将这些策略自动化为规范配置并将其推送到网络基础架构。可以在软件定义访问网络交换矩阵中自动执行3种主要类型的策略,具体如下。
① 安全性:访问控制策略,规定谁可以访问什么资源,它由一组跨组访问规则组成。例如,允许/拒绝组到组的访问。
② QoS:应用策略,它从应用体验的角度调用QoS服务,以便为网络上的用户提供差异化访问。
③ 复制:流量复制策略,它调用DNA中心内的流量复制服务来配置ERSPAN以监控特定流量。
(6)配置网络。
定义了网络设计后,自动部署配置可以按如下方式进行。
① 向站点添加设备:此步骤将网络设备分配到作为设计工作流程的一部分所创建的物理站点,该设备准备好接受所在站点的设计参数配置。
② 配置网络设备(交换机、路由器、无线控制器和无线接入点):此步骤将根据设计工作流程提供的参数进行相关设备的配置。配置步骤完成后将在设备上启用在站点设计中基于思科最佳实践设置的所有参数。
(7)创建网络交换矩阵。
这一步骤涉及网络交换矩阵边缘节点、边界节点和控制平面节点的选择。此外,还提供预验证和部署后验证检查,以验证网络交换矩阵中设备的状态。网络交换矩阵是通过以下步骤构建的。
① 向网络交换矩阵添加边缘节点。
② 选择网络交换矩阵的边界节点,此时管理员还需要提供外部和/或传输连接参数,这允许网络交换矩阵连接到外部网络。
③ 选择网络交换矩阵的控制平面节点。
④ 将无线控制器加入软件定义访问网络交换矩阵中。
(8)主机联网。
主机联网允许将终端连接到网络交换矩阵的边缘节点。主机联网工作流程将允许对终端进行身份验证,将其分类到可扩展组并关联到虚拟网络和IP地址池。实现这一点的关键步骤如下。
① 身份验证模板选择:DNA中心提供了预定义的身份验证模板,以简化将身份验证机制应用于网络的过程。模板的选择会自动将所需的配置推送到网络交换矩阵的边缘节点。
② 虚拟网络、单播和多播子网选择:将IP地址池与虚拟网络(VN)相关联。
③ 网络交换矩阵SSID选择:用于将无线网络集成到软件定义访问网络交换矩阵。
④ 静态端口设置:允许设置端口级别。
(9)预验证和部署后验证检查。
每个网络交换矩阵创建步骤都允许管理员进行预验证检查,以确保所选网络设备能够正确地被配置为可接受的网络交换矩阵配置。同样,部署后验证检查允许管理员通过突出显示可能在配置期间报告错误的设备来验证网络交换矩阵的正确操作。此步骤有助于管理员找到部署前后任何可能无法满足预期结果的问题。
(10)总结。
一旦完成部署软件定义访问网络交换矩阵的任务,就可以通过DNA中心轻松地实现配置更改以适应不断变化的业务用例,而不需要通过手动交互。
2.5.3 软件定义访问网络保障服务
1. 网络保障概述
网络的发展和新的业务需求的不断涌现使得网络的复杂性也随之增加。复杂性从多个维度引入:从确保新功能可以成功地运行在现有的网络设计和体系结构之上,到保证新功能与现有功能共存并成功互操作,以及在不中断业务的情况下实施适当的基础设施生命周期管理。
除此之外,随着网络的作用在数字化转型过程中变得更加突出,网络的任何中断或性能降级都会对业务造成破坏。因此,无论用户从哪里连接、正在使用哪个设备,或者试图访问哪个应用程序,IT系统总是处于确保应用的最佳连接性和最佳体验的压力之下。本质上,它面临着以下挑战。
(1)反应性故障排除:经常在事件发生后意识到并必须对其进行故障排除。
(2)分离的工具:企业拥有过多的工具,这些工具引入了复杂性,因为每个工具只提供所需功能的子集。
(3)缺乏洞察力:当前的工具经常提供不相关的数据,因此,无法驱动可采取行动的洞察力。
思科全数字化网络架构采用网络保障功能量化网络的可用性和潜在风险,网络保障包含下列元素。
(1)遥测:从各种网络源收集操作数据。
(2)关键性能指标(KPI):良好定义的度量,它指示诸如连接状态之类的参数,这些参数可以被定义为二进制值(端口正常与否)或变化值(如CPU利用率)。
(3)问题:由相关KPI衍生的负面事件的严重程度。
(4)趋势:特定KPI的历史视图,通常可以用作未来状态的正向指示。
(5)健康评分:基于IT基础设施运行状态的KPI,客户端、应用程序或网络设备的量化健康状况。
(6)可视力:对应于问题或趋势可操作的下一步应对措施。
(7)报告:网络管理或操作的各个方面的总结,如设备资产、问题、合规性等信息的总结。
思科软件定义访问环境下的网络保障为两个主要类别提供了分析和洞察:底层网络(非网络交换矩阵)和网络交换矩阵叠加网络。
(1)为底层网络提供的分析如下。
① 网络:传统(非网络交换矩阵)局域网、无线局域网和广域网协议的状态。
② 设备:交换机、路由器、无线软件和硬件(CPU、内存、温度等)状态信息。
③ 客户端:传统(非网络交换矩阵)有线和无线客户端状态和统计。
④ 应用:传统(非网络交换矩阵)有线和无线数据流状态、统计和性能。
(2)为网络交换矩阵叠加网络提供的分析如下。
① 网络交换矩阵可达性:所有网络交换矩阵节点之间的连通性检查。
② 网络交换矩阵设备:网络交换矩阵节点映射条目、协议和性能。
③ 网络交换矩阵客户端:客户端联网和共享服务(DHCP、DNS、AAA、RADIUS)的状态。
④ 基于组的策略:ISE(pxGrid、AAA)和边界以及边缘节点策略条目。
2. 遥测技术
DNA中心内的数据分析平台从许多来源收集数据,以提供与网络相关的客户端和应用的洞察力。情境化数据是从网络基础设施(路由器、交换机、无线控制器等)和连接到网络的各种其他系统(思科ISE、AppDynamics、ITSM、IPAM等)中收集的。这些数据在数据分析平台内相互关联,以提供可操作的见解,包括与网络、客户端和应用运行健康状态相关的根本原因分析和影响评估。遥测的主题如下。
·遥测采集机制:从不同网络设备摄取数据的主要方法是什么?
·遥测系数:如何收集正确的数据并以最佳方式实现对网络的有效可视化?
·主动式遥测与网络传感器:如何在网络边缘检测网络的性能和稳定性?
(1)遥测采集机制。
基于网络设备的能力或在设备上运行的软件映像,使用各种机制从网络基础设施收集遥测数据。这些收集机制包括流式遥测机制和标准遥测机制。
流式遥测机制使网络设备能够向DNA中心发送近乎实时的遥测信息,减少数据收集的延迟。流式遥测的优点包括:
① 可量化的低CPU开销;
② 优化数据导出(KPI,事件);
③ 事件驱动通知。
网络保障还摄取标准遥测机制收集的数据,如SNMP、SNMP陷阱、syslog消息、用于应用数据流相关信息的NetFlow导出数据,以及使用CLI显示命令收集的操作数据。DNA中心还将收集来自其他连接系统的情境化数据,如思科ISE、AppDynamics、ITSM和IPAM系统。
(2)主动式遥测与网络传感器
为了识别网络中的问题,需要通过评估端到端多个元素来提前测试网络连接的质量。
① 联网:客户端获得IP地址需要多长时间?
② 访问可达性:重要的网络服务(如DHCP、DNS和AAA服务器)是否可以稳定访问?
③ 性能:关键网络应用的性能如何?
网络保障可利用无线传感器对网络进行主动测量,为性能监视提供多维度的关键数据。DNA中心的传感器管理工作流程可以利用专用无线接入点或选择性地将服务客户端的无线接入点转换为传感器模式。传感器的预定测试随后会将相应的遥测数据传回DNA中心。
(3)遥测系数。
凭借着DNA中心的遥测系数,网络保障使管理员可以自定义遥测能力,识别哪些地方可能缺少对网络有价值的可见性;根据设备模型和软件版本等因素,按照需要提供丰富的遥测配置。
3. 健康状态与可视化
想象一下,我们作为IT运营者,收到一张网络连接问题的故障单,问题的描述是“用户 anna_rossi@acme声称无线网络太慢”。这听起来很熟悉。那么,我们从哪里开始进行故障排查呢?
DNA中心网络保障具备单独的仪表板以时间线显示有线和无线接入的所有网络和客户端相关信息的摘要。该页面不仅给出网络中所有客户端的概要,还允许搜索特定的用户名或MAC地址,然后显示该用户特定的信息。
(1)整体健康状态。
DNA中心的“健康状态”概念远远超出了关键性能指标(KPI)的范畴。虽然KPI本身很重要,但DNA中心支持在最短的时间内传递最重要和可操作信息的广泛目标——在某些情况下,甚至是在影响用户和服务的“条件”变成“问题”之前就主动发现问题。
DNA中心网络保障基于从整个网络来源摄取的各种各样的遥测数据,提供相关的、可采取行动的可视力。它们被呈现在单一的整体健康状态仪表板中,涉及下列问题。
① 我的网络健康状态如何?如果网络中的组件工作状态不健康,那么在高层次上,哪些网络基础设施类别尤其不健康——是核心、分布、接入还是无线网络?
② 我的客户端健康状态如何?如果存在工作状态不健康的客户端,它们是有线客户端还是无线客户端?
整体健康状态仪表板在3个主要视图中回答这些问题,第四个“问题”视图用于向任何需要立即关注的关键条件提供额外的信息,下面将进一步简单描述这些视图。
① 基于地图和拓扑的整体健康状态:利用以前在设计工作流程中定义的网络层次结构反映网络和客户端的健康状态信息。
② 全局网络健康:反映网络的健康状态水平——也就是说,目前以8分或以上(范围从1~10分)的健康水平运行的网络设备所占的百分比。在这个视图中,基于DNA中心的网络资产或拓扑视图中定义的设备角色,全局网络健康状态评分可被进一步细分为其关键组件——核心、访问、分布和无线网络的健康状态。
③ 全局客户端健康:指目前以8分或以上的健康水平运行的网络客户端所占的百分比。全局客户端健康状态评分可进一步分解成有线客户端健康状态评分和无线客户端健康状态评分,进行快速比较。
④ 全局亟待解决问题列表:指示高度影响网络运行的问题,如路由协议相邻故障。通过这些突出显示的问题可直接访问相关数据的详细视图以及可能采取的任何建议动作,以便快速地关注问题产生的根本原因。
(2)网络健康状态。
网络健康状态视图在3个主要视图中总结了设备级的网络保障信息。
① 网络地图和拓扑:显示地理地图或与站点相关的拓扑视图及其健康评分。
② 网络健康摘要:反映所有站点或域中被监视的网络元素的健康状况,可进一步细分为核心、接入、分布和无线网络。
③ 网络交换矩阵的健康状态:表示组成网络交换矩阵的物理站点的健康状态,包括网络交换矩阵中执行特定功能的网络设备,如控制平面节点、网络交换矩阵边界等,还包括网络交换矩阵所支持的客户端和应用流量的健康状态。
(3)软件定义访问网络交换矩阵健康状态。
软件定义访问网络交换矩阵健康状态(如图2-21所示)评分分为以下3类。
图2-21 网络交换矩阵健康状态
① 系统健康:考虑诸如交换机、路由器、无线控制器和无线接入点的CPU和内存利用度量。
② 数据转发平面连通性:考虑诸如链路错误和上行链路可用性状态等指标,以及无线网络的射频相关信息。
③ 控制平面连通性:考虑网络交换矩阵控制平面节点的连接性或可达性等指标。
(4)网络交换矩阵的洞察力。
① 控制平面:通过检查可达性(如发现链接中断、网络邻居变化等)、测量控制平面响应时间(如网络延迟增加)和验证设备配置(如MTU不匹配)提供对网络交换矩阵底层网络和叠加网络控制平面的洞察,发现可能导致的网络问题。
② 数据转发平面:利用IPSLA主动生成探测,对包括底层网络和叠加网络在内的从网络交换矩阵边界到网络共享服务进行探测以便检测问题,此外还利用路径跟踪功能来提供附加的运维情境信息。
③ 策略平面:关于网络元素的策略实例,例如,SGACL是否由于缺少TCAM资源而未能下载或未能实例化。
④ 设备:监视物理网络设备的单独资源,如CPU、存储器、温度、环境、风扇、线路卡、POE功率和TCAM表,并且可以提供趋势化分析以帮助避免在网络交换矩阵中发生问题。
(5)客户端健康状态。
网络保障客户端健康状态页面提供易于使用的仪表板,用于监视整个网络中客户端的分析摘要,包括下列内容。
① 联网时间:客户认证和获取IP地址所需的时间。
② 连接质量:测量无线连接性指数和有线物理链路状态。
③ 有线和无线客户端操作系统。
这些对网络的洞察是监视和解决用户体验性问题的关键,大多数时间它们可以帮助IT运营者有效地应对已经产生的任何问题。对于前面的例子,IT运营者现在可以在主客户端健康页面(或者在主网络保障页面)中搜索用户“anna_rossi”,并可以通过客户端全景视图的专用页面双击特定的用户健康信息,该页面提供了基本但重要的信息,例如,客户端面临的问题概述、客户端随着时间推移的健康状态评分以及用户联网路径。对于无线网络用户,联网路径图反映了用户接入的无线接入点和无线电模块、下一跳交换机以及与之关联的无线控制器等关键信息,如图2-22所示。
图2-22 客户端路径跟踪
(6)客户端健康状态评分时间线。
客户端健康状态评分时间线提供了对该客户端体验的直观历史视图,包括诸如联网时间和连接质量等重要因素。该时间线提供了客户端的回顾性视图,IT操作员可以据此进行故障排除,即使这些问题有可能无法复现。在上面的例子中,很明显anna_rossi经历了缓慢的网络连接,它的客户端设备尽管是双频客户端,但是更趋向连接2.4 GHz而不是5 GHz的无线电。
(7)高级射频度量。
对于无线用户,网络保障提供了关键的射频相关KPI,以评估无线客户端的无线网络体验;这些信息以图表表示,显示了诸如接收信号强度指示(RSSI)、信号噪声比(SNR)以及随时间变化的数据连接速率等重要数值。
(8)苹果iOS客户端的Wi-Fi分析。
传统上,在Wi-Fi网络上确定终端用户设备的实际体验一直是一项艰巨的任务。思科和苹果在此方面合作,从苹果iOS 11开始,DNA中心网络保障能够从支持的苹果设备中获取这些有价值的反馈,回答如下问题。
① 苹果设备访问无线网络有哪些相关细节?
② 从客户端设备的视角如何“看待”网络?例如,哪些无线接入点比其他无线接入点更适合连接?
③ 客户端设备最近断开的原因是什么?
这种能力是思科解决方案独有的,不仅有助于识别潜在的短期问题,还有助于随着时间的推移预测客户端设备的行为趋势。
4. 报告
在即将推出的思科DNA中心1.3版本中,DNA中心将提供预定义和可定制的报告功能,以帮助进行容量规划、检测客户端和网络基础设施设备的总体基线和模式变化,并提供对诸如软件升级和配置失败等业务活动的视图。DNA中心网络保障的报告功能将包括以下特征:
(1)按需或按计划一次性或重复执行;
(2)多种格式的输出报表;
(3)通过电子邮件自动发送给收件人;
(4)针对某个站点或所有站点;
(5)基于API允许集成到其他系统。
报告还将包括网络交换矩阵拓扑和非网络交换矩阵拓扑的设备资产、客户端、审计和网络基础设施视图。
2.5.4 与合作伙伴生态系统的整合
1. 介绍
软件定义访问在提高IT敏捷性和效率方面的价值通过与其他思科和非思科解决方案以及产品的生态系统集成而进一步增强。这些集成将帮助管理整个企业的环境,包括将网络基础设施作为单个编排的实体,从而能够更快地引入新服务并关注业务成果。
这一集成能力通过使用DNA中心开放的北向API构建,这些API包含了丰富的基于意图的业务流程和数据即服务。DNA中心为独立软件供应商(ISV)的合作伙伴、客户和生态系统合作伙伴提供了集成能力和开发环境。例如,与IT服务管理(ITSM)、IP地址管理(IPAM)等系统的集成,以及其他功能:
(1)API目录和文档;
(2)运行监测和分析;
(3)API生命周期管理;
(4)示例代码和脚本生成能力。
同时,DNA中心作为一个开放、灵活的平台,使企业可以依靠思科DNA中心来实现各项全数字化业务计划,充分释放网络的潜力,从而按其期望的方式自定义网络,并且无论现在还是未来,都能持续满足其使用需求。标志着思科率先打造了业界首个基于意图的开放性网络平台—DNA中心平台,能够跨园区、广域网、分支机构提供“东西南北向”的全方位可扩展性。该平台借助超过100个应用编程接口、软件开发工具包和适配器,充分利用网络所能提供的全部分析和洞察能力,使企业的开发人员可依据其自身优势和需求,灵活自如地对该系统进行编程,实现更高的安全性、更快的操作和更个性化的体验。
(1)北向API,利用网络智能提升业务运营:DNA中心让业务开发人员能够通过基于意图的API,将整体网络作为单一系统进行编程,同时使业务和IT应用程序能够向网络提供业务意图捕获功能并且为企业提供网络洞察。
(2)西向API,简化职能部门IT流程:借助DNA中心平台,网络IT管理人员能够交换、收集并整合信息,以通过软件适配器实现IT系统流程的自动化,进而为整个IT环境提供全方位的基于意图的基础设施,实现IT资源由传统运营转向创新。
(3)东向API,实现多域整合管理:园区网络、数据中心、广域网、无线网、分支机构等都可借助思科DNA中心整合起来,进行统一管理,这是对多个IT和安全域协调、交换、强制和保障策略的贯彻。
(4)南向API,管理多厂商网络:将异构网络环境统一集成到基于意图的网络策略中,从而运用单一系统进行统一的管理与调整。
DNA中心与生态系统如图2-23所示。
图2-23 DNA中心与生态系统
2. API与可编程性
软件定义访问解决方案中的API分为以下3类。
(1)设备API:用于直接访问单个网络设备上的配置和操作功能。
(2)DNA中心API:用于实现全网的自动化和编排。
(3)身份服务引擎(ISE)API:用于丰富用户和设备访问的情境数据。
下面将进一步详细探讨这3种类型的API。
(1)设备API。
基于IOS-XE的网络基础设施设备提供基于IETF和OpenConfig YANG模型以及思科本地模型的API,通过NETCONF、RESTCONF和gRPC接口,这些API支持配置自动化和操作模型。较新的IOS-XE设备(如Catalyst 9000、ASR、ISR等)还支持流式遥测,允许网络分析解决方案订阅基于YANG数据模型的低延迟数据流,用于大规模的实时数据分析。
(2)DNA中心API。
DNA中心为全网自动化和编排提供REST API,这有助于提供网络的抽象视图并实现可扩展的网络自动化。此外,DNA中心也提供REST API展示网络运维数据,如客户端、网络设备和应用全景视图中的操作数据,以及网络的主要问题、趋势和见解,这使得外部实体能够使用这些数据创建与业务相关的、数据驱动的工作流。
(3)身份服务引擎API。
思科身份服务引擎API提供关于网络行为的情境信息,包括用户和设备访问策略、身份验证和授权事件等。这些API还允许对策略相关的配置进行自动化,例如,使外部系统能够触发对用户和终端的授权更改,以便快速遏制威胁。ISE自身提供了一个称为平台交换架构(pxGrid)的机制,用于与80多个合作伙伴生态系统的集成。
3. 生态系统整合
客户能够从软件定义访问架构中通过来自DNA中心的开放北向REST API与DNA生态系统的其他解决方案的集成来获得增强的价值和功能。生态系统集成跨越各种类型的解决方案,如IP地址管理、IT服务管理、公有云、外部SDN编排器、安全分析和操作、安全基础设施(如防火墙)等。通过这些集成可以实现如下关键能力。
·改进的操作和安全性。通过外部系统和软件定义访问之间的协调,客户可以通过编程定义和部署闭环系统,该闭环系统不仅从网络中获取洞察力和状态信息,还可以使用外部数据和功能丰富它,并且提供响应,返回到网络。这有助于将具有独立自动化和管理平台的多个系统作为单个协调实体来操作,从而提升IT系统的敏捷性、效率和改善安全态势。
·简化的最佳产品部署。在日益复杂但具有创新性的世界里,客户经常寻找最佳产品工具,以将其纳入IT环境,解决客户或最终用户所期望的关键功能。开放API和验证互操作性确保端到端的编排环境容易部署。
·技术投资的增值。对于已经采用和标准化的思科或非思科解决方案的客户,生态系统集成有助于确保客户在采用软件定义访问的同时从现有投资中获得最大价值。
每个解决方案和供应商集成的能力正在迅速提升。下面是DNA中心目前正在开发的各种集成技术伙伴以及与软件定义访问联合功能的示例。
(1)IP地址管理(IPAM)。
软件定义访问通过IPAM-API与领先的IPAM解决方案(如InfoBlox和Bluecat)实现了有效的集成,这使客户能够将在IPAM解决方案中定义的IP地址池导入DNA中心以用于软件定义访问,并且在DNA中心中定义的IP地址池可以在IPAM中使用。
(2)思科网络服务编排器(NSO)。
一些大型企业客户已经将思科网络服务编排器(NSO)作为其网络编排协调的解决方案进行了标准化,使用NSO的NETCONF/RESTCONF接口和网络基础设施实现广域网、数据中心和园区部署的自动化管理。软件定义访问部署可以由思科NSO通过DNA中心的API来组织,并由思科NSO使用。软件定义访问与思科网络编排器集成的主要优点如下。
① 跨网络的一致性:与当前NFV/SDN网络相同的解决方案。
② 灵活敏捷的服务管理:减少部署新服务所需的时间。
③ 最好的行业多厂商支持。
(3)防火墙。
思科ASA与思科软件定义访问的集成使防火墙能够完全访问网络情境信息,也包括终端组分类的安全情境信息。这使其能够通过与DNA中心的策略模型一致的方式简化策略管理并且监视通过防火墙(如ASA防火墙和Firepower威胁防御防火墙)的通信流量。这种集成还可从非思科防火墙(如Checkpoint)获得。
(4)安全分析。
安全分析解决方案(如StealthWatch)和软件定义访问之间的集成使网络和安全团队能够加速事故响应,通过StealthWatch识别出受到危害的主机或表现出可疑行为的主机,结合作为思科软件定义访问一部分的ISE的快速威胁遏制能力,易于在网络上实现主机隔离或阻塞。总而言之,软件定义访问集成先进安全分析解决方案的关键优势是:
① 积极识别和报告潜在的安全威胁;
② 分段或隔离网络以缓解安全威胁;
③ 自动化安全和网络操作。