Cisco DNA技術(shù)學(xué)習(xí)報(bào)告

SDN技術(shù)風(fēng)靡全球，大佬們都想搞出一番噱頭，攀上這高大上的技術(shù)，也好給客戶吹吹火車。一直號(hào)稱網(wǎng)絡(luò)設(shè)備奠基石的Cisco針對(duì)企業(yè)網(wǎng)，推出一款爆品技術(shù)：DNA（數(shù)字化網(wǎng)絡(luò)架構(gòu)，DigitalNetworkArchitecture）。主要的技術(shù)元素：數(shù)字化的理Cisco推出的這款產(chǎn)品主要目的是釋放IT管理人員的雙手，解決掉復(fù)雜的部署和策略安全等問(wèn)題。主打降成本運(yùn)營(yíng)，簡(jiǎn)單化部署和分支業(yè)務(wù)快速上線，號(hào)稱可以減少網(wǎng)絡(luò)部署和維護(hù)時(shí)間75%。Cisco從數(shù)據(jù)分析，中小企業(yè)和服務(wù)產(chǎn)商的網(wǎng)絡(luò)運(yùn)營(yíng)，75%的時(shí)間花費(fèi)在策略安全配置和新設(shè)備加入的等。PNP，即插即用功能主要解決部署復(fù)雜、過(guò)程漫長(zhǎng)、斷網(wǎng)斷電風(fēng)險(xiǎn)和成本高等問(wèn)題。實(shí)現(xiàn)簡(jiǎn)單化、自動(dòng)化部署，必須與APCI-EM一起部署使用的。在PNP功能中，用于管理設(shè)備，升級(jí)設(shè)備，導(dǎo)入設(shè)備配置等功能；PNP代理：運(yùn)行在思科設(shè)備上的代理程序，用于設(shè)備安全性接入，與思科PNP服務(wù)器通信，讓新增設(shè)備能夠無(wú)縫嵌入到環(huán)境中；信號(hào)與手機(jī)建立通信，手機(jī)通過(guò)物理串行接口連接新增設(shè)備，達(dá)到APIC-EM設(shè)置新增設(shè)備的組件。PNP服務(wù)器是APIC-EM中思科網(wǎng)絡(luò)即插即用應(yīng)用程序的后端部分。Cisco網(wǎng)絡(luò)設(shè)備通過(guò)與Cisco即插即用連接云服務(wù)聯(lián)系，以獲取為您的組織定義的適當(dāng)遠(yuǎn)程部署設(shè)備用PNP功能無(wú)非就兩個(gè)步驟：識(shí)別設(shè)備和配置設(shè)備。新增設(shè)備的發(fā)現(xiàn)識(shí)別，主要是通過(guò)PNP代理實(shí)現(xiàn)，發(fā)現(xiàn)的主要流程：第一種是無(wú)配置啟動(dòng)：新設(shè)備在沒(méi)有配置文件情況下啟動(dòng)，通電時(shí)就會(huì)自動(dòng)觸發(fā)PNP代理程序，用于發(fā)下PNP服務(wù)器的IP地址。采用的是vlan1作為三層口獲取IP地址，同時(shí)在上級(jí)設(shè)備也要開(kāi)啟PNP服務(wù)功能。第二種是CLI配置啟動(dòng)：管理員可以通過(guò)CLI配置啟動(dòng)PNP代理。PNP代理發(fā)現(xiàn)階段是為了獲取PNP服務(wù)器IP地址，用于網(wǎng)絡(luò)設(shè)備的部署和管理，主要4、通過(guò)二、三層設(shè)備發(fā)現(xiàn)PNPPNP代理啟動(dòng)DHCP發(fā)現(xiàn)協(xié)議，從DHCP服務(wù)器獲取設(shè)備所需的IP配置；將pnp服務(wù)器的IP地址或主機(jī)名發(fā)給請(qǐng)求設(shè)備，攜帶上分配的IP地址；代理就可以與PNP服務(wù)器進(jìn)行通信。這里的PNP服務(wù)器其實(shí)就是我們前面提到的APIC-EM控制器。這種方式主要解決無(wú)法支持特定供應(yīng)商43選項(xiàng)而實(shí)現(xiàn)，與第一種方案主要的區(qū)別點(diǎn)是在核心設(shè)備中開(kāi)啟snooping，偵聽(tīng)PNP代理的DHCP消息是否來(lái)之cisco設(shè)備，從而修訂43選項(xiàng)增加附屬消息，剩余的都與上一種方式一致。當(dāng)客戶無(wú)法做到或者不愿意讓核心設(shè)備做DHCPsnooping功能，PNP代理將退回到DNS查找方法。PNP代理從客戶網(wǎng)絡(luò)中獲取到域名，并構(gòu)建完全限定域名（FQDN）。PnP代理使用預(yù)設(shè)的部署服務(wù)器名稱和DHCP響應(yīng)的部署名稱構(gòu)建以下FQDN。然后，代理程序?qū)⒉檎冶镜孛Q服務(wù)器，并嘗試解析上述FQDN的IP地址。在沒(méi)有DHCP或者DNS服務(wù)器的情況下，發(fā)現(xiàn)鄰接網(wǎng)絡(luò)中已經(jīng)啟動(dòng)了PNP代理設(shè)備，使用移動(dòng)設(shè)備，首先在移動(dòng)設(shè)備上按照個(gè)APP軟件，添加APIC-EM的URL地址，先于控制器能夠連接上，再將另外一段通過(guò)連接器與設(shè)備通信。此方法一般用于遠(yuǎn)程分支部署的比較多，需要通過(guò)互聯(lián)網(wǎng)進(jìn)行升級(jí)。需要以下控制臺(tái)電纜，具體取決于設(shè)備是iOS還是Android設(shè)備：iOS設(shè)備：具有Lightening（8針）連接器的iOS設(shè)備的RedparkLightningConsoleCableAndroid設(shè)備：Airconsole藍(lán)牙適配器一旦PNP代理發(fā)現(xiàn)PnP服務(wù)器，代理就會(huì)在傳輸層安全（TLS）握手中與服務(wù)器通信。為了向服務(wù)器進(jìn)行身份驗(yàn)證，代理程序會(huì)顯示其HTTPS證書。PNP服務(wù)器的管理員設(shè)置特定部署可接受的設(shè)備認(rèn)證機(jī)制。部署服務(wù)器將其證書提供給部署代理，以便代理可以對(duì)服務(wù)器進(jìn)行身份驗(yàn)證。無(wú)論代理是否能夠驗(yàn)證服務(wù)器證書，代理人都會(huì)在后TLS授權(quán)交換中與部署服務(wù)器配合使用。在此交換中，代理請(qǐng)求服務(wù)器呈現(xiàn)其服務(wù)器授權(quán)令牌。為響應(yīng)此請(qǐng)求，服務(wù)器提供從思科獲得的授權(quán)令牌。代理驗(yàn)證授權(quán)令牌上的簽名。如果授權(quán)令牌特定于唯一設(shè)備標(biāo)識(shí)符（UDI則代理還確保其UDI列在授權(quán)令牌中。在此步驟結(jié)束時(shí)，在部署代理和服務(wù)器之間建立安全通信通設(shè)備與服務(wù)器之間先建立通信，一旦通信完成設(shè)備先安裝證書，再與服務(wù)器發(fā)送UDI進(jìn)行身份確認(rèn)。如果設(shè)備自身有攜帶簽名證書，可以不需要獲取證書，直接與服務(wù)器進(jìn)行DHCP43/60選項(xiàng)是供應(yīng)商特定的標(biāo)識(shí)符，以此自定義格式作為識(shí)別和傳輸關(guān)鍵信息。當(dāng)然還有其他的身份驗(yàn)證過(guò)程，例如移動(dòng)設(shè)備發(fā)現(xiàn)過(guò)程，是通過(guò)移動(dòng)APP將證件傳給/certificatesPNP功能中識(shí)別設(shè)備只是其中一部分，主要的還是如何與APIC-EM一起實(shí)現(xiàn)遠(yuǎn)程升級(jí)、配置設(shè)備。主要的部署有兩種，一是遠(yuǎn)程部署，例如隔著兩個(gè)城市的新增網(wǎng)絡(luò)設(shè)備；二是本地網(wǎng)絡(luò)的部署，有DHCP服務(wù)器或DNS發(fā)現(xiàn)的場(chǎng)景，一般是校園網(wǎng)或者企業(yè)網(wǎng)本地。遠(yuǎn)程部署：不管是什么部署場(chǎng)景，都在2.1章節(jié)中詳細(xì)描述過(guò)PNP與PNP服務(wù)器（APIC-EM）的發(fā)現(xiàn)過(guò)程，使用得什么協(xié)議發(fā)現(xiàn)的。我們現(xiàn)在看下APIC-EM控制器上如何使用PNP功能。PNP儀表板可以一目了然查看網(wǎng)絡(luò)中的數(shù)據(jù)，包括項(xiàng)目、設(shè)備等信息。通過(guò)每個(gè)餅圖查看項(xiàng)目或者設(shè)備的詳細(xì)信息。搜索項(xiàng)目：允許搜多項(xiàng)目列表，并加載項(xiàng)目；搜索設(shè)備：允許根據(jù)名稱、序列號(hào)和MAC地址搜多設(shè)備。PNP通過(guò)常見(jiàn)項(xiàng)目可以輕松創(chuàng)建IWAN站點(diǎn)。項(xiàng)目的資源包括配置文件、image文件和設(shè)備ID證書。同時(shí)，項(xiàng)目是可以復(fù)制的，從而編輯新的項(xiàng)目，達(dá)到編輯簡(jiǎn)單化。不是從APIC-EM到設(shè)備，而是設(shè)備從指定的URL進(jìn)行下載在“項(xiàng)目”中可以添加設(shè)備，需要輸入以下信息：l設(shè)備MAC地址（僅僅用于接入設(shè)備）--不是很明白為什么接入設(shè)備需要填MAC地址。2、選擇配置文件或者模板；配置文件是運(yùn)用在與設(shè)備通信后，進(jìn)行配置刷新。思科有；（先在項(xiàng)目中添加設(shè)備的信息，后續(xù)在網(wǎng)絡(luò)設(shè)備上電后加入到網(wǎng)絡(luò)，APIC-EM控制器就識(shí)別到此設(shè)備，從而進(jìn)行版本、配置的升級(jí)。上傳配置文件：在“配置”的選擇中，可以上傳配置文件，可預(yù)覽文件內(nèi)容，可以刪除上傳配置模板：在“模板”的選項(xiàng)中，可以上傳配置模板，與配置文件類似的操作。統(tǒng)一管理。在前面講過(guò)，添加設(shè)備時(shí)需要關(guān)聯(lián)的此image文件；批量導(dǎo)入功能：在“批量導(dǎo)入”選項(xiàng)中，可以導(dǎo)入項(xiàng)目和設(shè)備屬性的CSV文件，用于批量導(dǎo)入項(xiàng)目和配置設(shè)備（特別是升級(jí)設(shè)備或者配置都丟失的時(shí)候特別好用）。同時(shí)，思科支持cloud同步設(shè)備，需要注冊(cè)思科賬號(hào)就是。/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/software/guide/pnp_apic_em_config_guide/pnp_apic_em_config_guide_chapter_01.html?referring_site=RE&pos=1&page=/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/solution/guidexml/b_pnp-solution-guide.html#task_2AB93A91FC78409789985933097C5909/c/en/us/td/docs/ios-xml/ios/pnp/configuration/xe-3e/pnp-xe-3e-book.html?referring_site=RE&pos=2&page=/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/solution/guidexml/b_pnp-solution-guide.html#concept_4A3D8AD59EAE4339B5E7FC7DA73C3594《CiscoNetworkPlugandPlay:GettingStarted》/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/software/video/cisconetworkplugnplay.html?referring_site=RE&pos=5&page=/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/solution/guidexml/b_pnp-solution-guide.html《ConfigurationGuideforCiscoNetworkPlugandPlayonCiscoAPIC-EM》/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/software/guide/pnp_apic_em_config_guide/pnp_apic_em_config_guide_chapter_01.html?referring_site=RE&pos=1&page=/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/solution/guidexml/b_pnp-solution-guide.html《SolutionGuideforCiscoNetworkPlugandPlay》/c/en/us/td/docs/solutions/Enterprise/Plug-and-Play/solution/guidexml/b_pnp-solution-guide.html?DNA控制器即企業(yè)SDN控制器提供GUI管理與抽象?認(rèn)證服務(wù)：外部認(rèn)證系統(tǒng)，動(dòng)態(tài)終端到組的映射與策略定義?分析引擎：外部數(shù)據(jù)收集，終端到應(yīng)用流監(jiān)控與服務(wù)狀態(tài)監(jiān)控。3.1.1管理地圖添加新的樓層到樓棟并且更新地圖定義樓層屬性-邊界，區(qū)域以及障礙物樓層的AP位置標(biāo)注區(qū)域改變時(shí)自動(dòng)引出配置更新AAA，DHCP，DNS，NTP，服務(wù)器配置管理收集器例如：Syslog，Netflow&Trap接收器在地域/區(qū)域/樓棟所有屬性被繼承以及重寫密碼配置符合標(biāo)準(zhǔn)管理設(shè)備證書(CLI),SNMP讀寫證書以及Https(s)證書在地域/區(qū)域/樓棟所有屬性被繼承以及重寫本地管理存儲(chǔ)與查看IP池狀態(tài)在Parent/Global級(jí)別下定義通用IP池從Parent池分配地域級(jí)別池可用IP池類型：通用，LAN，管理，服務(wù)，WAN將定義在Infoblox中的IP池拉到DNACenter里l在DNACenter里定義Global級(jí)別的IP池并推送到Inf整合：將Infoblox服務(wù)器信息添加到DNACenter中并監(jiān)控它的狀態(tài)軟件鏡像管理可視化軟件鏡像，對(duì)于給定的設(shè)備類別包含：l使用一個(gè)特定版本鏡像的設(shè)備數(shù)鏡像倉(cāng)庫(kù)集中存儲(chǔ)軟件鏡像，VNF鏡像以及網(wǎng)絡(luò)容器鏡像管理軟件鏡像SoftwareMaintenanceUpgrade（SMU）軟件維護(hù)升級(jí)lURL(http/ftp)l其他網(wǎng)絡(luò)設(shè)備遠(yuǎn)程文件服務(wù)器l本地文件服務(wù)器來(lái)分發(fā)軟件l映射到區(qū)域級(jí)別的的文件服務(wù)器軟件維護(hù)升級(jí)設(shè)備影響-啟動(dòng)/暫停鏡像標(biāo)準(zhǔn)化-“GoldenImages”設(shè)備系列：每個(gè)設(shè)備系列(包括路由器，交換機(jī)和WLC)一個(gè)GoldenImage設(shè)備角色：在同一系列中的設(shè)備根據(jù)角色分類，比如CAT3850作為一個(gè)接入交換機(jī)還是分布式交換機(jī)地域映射：地域?qū)哟翁峁ゞoldenimage重寫，比如美洲人使用V16.1版本還是亞太地使用DNACenter的SWIM/SMU工作流1.選擇需要更新鏡像/SMU的設(shè)備2.自動(dòng)預(yù)檢查RAM&Flash，并且如果預(yù)檢查失敗就中止3.升級(jí)過(guò)程中的詳細(xì)狀態(tài)信息，SMU激活前后檢查帶詳細(xì)日志信息-CPU，硬盤空間，路由匯總，在鏡像升級(jí)或前后檢查失敗時(shí)，提供失敗原因并回溯。DNACenter的無(wú)線配置工作流程企業(yè)SSID設(shè)置，激活A(yù)ppleFastLane，簡(jiǎn)化安排選項(xiàng)，未數(shù)據(jù)/語(yǔ)音+數(shù)據(jù)激活Qos。無(wú)線接口配置，映射動(dòng)態(tài)接口到VLAN。全域確定一次配置，它的葉節(jié)點(diǎn)與地域會(huì)自動(dòng)繼承RF配置：開(kāi)箱即用的RF配置，可以為2.4與5Ghz客戶端，數(shù)據(jù)速率定制DCA頻道1.路由器與WLC的標(biāo)準(zhǔn)化配置2.只需要?jiǎng)?chuàng)建與繪制一次就能給多個(gè)地域使用3.可以是一個(gè)全分支辦公室或獨(dú)立設(shè)備的藍(lán)圖4.可以根據(jù)網(wǎng)絡(luò)中設(shè)備的角色或位置提供標(biāo)準(zhǔn)配置。5.維護(hù)網(wǎng)絡(luò)的繪制到部署的網(wǎng)絡(luò)單元的映射6.網(wǎng)絡(luò)配置文件的版本管理來(lái)跟蹤變化。1.Fabric/NonFabric選擇，本地與集中交換，一個(gè)單獨(dú)的網(wǎng)絡(luò)配置可以關(guān)聯(lián)到多個(gè)地域來(lái)2.管理WLC:使用CDP/IP發(fā)現(xiàn)WLC，使用SNMP&C