智能管理企業網絡

■ 河南 郭建偉

編者按：對于APIC-EM（即應用策略基礎設施控制器企業模塊）來說，是基于軟件定義網絡的控制器，具有可擴展平臺、高可靠性、簡單部署、北向RESTful APIs等特點。APIC-EM主要用來協調和管理由思科基礎設施組成的局域網和廣域網，可以托管大量的諸如網絡PnP、IWAN、路徑追蹤、EasyQOS、PKI證書基礎設施和網絡資產等嵌入式服務，可以從GUI或者RESTful API查看這些應用。也就是說，APIC-EM是一個平臺，利用容器技術可以允許各種服務或應用嵌入到該平臺中。

APIC-EM網管解決方案

對于RESTful架構來說，是一種互聯網軟件架構，具有結構清晰、符合標準、易用理解、庫擴展方便等特點，可以通過各種語言（例如Python等）來調用RESTful API，實現自動化管理操作。從APIC-EM解決方案來說，其是在原有的傳統網絡解決方案的基礎上，利用APIC-EM控制器對各種網絡設備（例如路由器等）進行統一管理，幫助管理員快速部署各種配置信息。

APIC-EM管理的對象依然是傳統的網絡設備，這些設備并沒有分離管理層面，管理員也可以單獨對這些設備進行管理。

APIC-EM支持虛擬化平臺和基于設備的部署，允許用戶定義自動化和抽象的策略，APIC為企業網絡接入提供了應用控制平臺，簡化了復雜的網絡配置，支持現有設備和新的網絡設備。同PI（即Cisco Prime Infrastructure）等傳統的網絡方式不同，APIC-EM可以實現更加智能化自動化的網絡管理。例如，傳統網絡是針對單個設備進行手工配置，只能針對已知區域進行靜態配置，花費的時間很長，對于APIC-EM來說，針對整個網絡進行程序化配置，可以管理已知或未知區域，利用策略和GUI進行配置，短時間內即可完成。

當然。以上兩種管理方式是可以關聯的。各種應用程序可以通過REST API來向APIC-EM發送各種策略，APIC-EM再向各種網絡設備推送各種配置參數。對于APIC-EM的安裝來說，可以使用硬件設備，例如C系列USC APIC-EM-APL-R-K9等，在其中已經預裝了APIC-EM軟件，也可以下載ISO鏡像進行安裝，服務器需要安裝Ubuntu 14.04 64位系統。APIC-EM對于武器的硬件要求較高，例如CPU需要六核，內存為64GB，占用硬盤 500GB等，如果是多主機部署的話，內存為32GB即可。在實際使用時，建議配置128GB內存并使用固態硬盤。APIC-EM對于Catalyst企業級的交換機，ASR系列的路由器以及IOS XE和AireOS的WLC提供了很好的支持。

安裝APIC-EM設備

在服務器上加載“APICEM-1.x.iso”的安裝鏡像，展開安裝文件，接受授權信息，選擇“Create a new APICEM cluster”項，創建新的APIC-EM控制器。如果選擇“Add this host to an existing APIC-EM cluster”項，表示將其添加到一個APIC-EM集群中，實現分布式部署。這里選擇前者。

之后為其設置IP地址，子網掩碼，網關和DNS地址。

因為APIC-EM需要連接Internet，所以需要配置DNS服務器，使其可以解析域名。接下來根據需要來設置是否需要代理上網，之后輸入CCO賬戶名和密碼以及公司名稱。對于CCO賬戶來說，主要用來在線升級。一般來說即使隨意設置CCO名稱，也不影響使用。

接下來需要配置底層Linux賬戶信息，賬戶名為Root，密碼需要進行設置。

之后根據提示設置APIC-EM的管理員賬戶和密碼，例如將其賬戶名設置為“admin”等。為了保證APIC-EM正常運行，必須按照提示設置正確的NTP服務器地址，實現時間同步操作。在下一步窗口中的“Enable IPSec Encryption”欄中選擇內部主機通訊流量是否加密，例如輸入“no”不進行加密。其余設置保持默認，執行具體的安裝操作。

注意：安裝的時間可能比較長。

網絡PnP的作用

利用網絡PnP即插即用技術，可以統一讓思科交換機，路由器以及AP等設備的配置流程實現統一化管理。

例如當新設備接入后，可以從DHCP服務器取得控制器的IP，并注冊到控制器，進而獲得IOS、證書以及所需的配置信息。這樣可以統一刷入IOS系統，省卻了手工操作的繁瑣。

網絡PnP可以為企業網絡客戶提供安全并集成的增強型解決方案，讓新設備的部署和更新的過程變得更加簡單快捷。

當新設備發現控制器后，控制器會創建用于該設備的數據庫條目。管理員可利用該條目，為設備調配合適的鏡像和配置參數。因此，網絡PnP不僅免于人工干預，還可節約時間避免出錯。

對于企業級網管來說，不僅要實現操作的簡單性和安全性，更重要的是要實現配置的一致性。

在部署網絡PnP時，為了提高效率，可以先創建一個數據庫，在其中輸入對應的主機名、序列號、設備類型等數據。

當然，也可以使用Excel文件來存儲這些數據，通過合適的Python腳本文件，來讀取該數據庫的信息，提取所需的信息，利用PnP REST API直接將信息寫入到 APIC-EM控制器中。

配置簡單實驗環境

在本例中，所有的服務器設備，例如APIC-EM主機。PI主機，DNS服務器，DHCP服務器，網關設備，管理主機等都位于172.16.0.0/24的網絡范圍。這里使用了一臺路由器作為DHCP服務器，在其全局配置環境中執行“ip dhcp pool r_dhcp”，“network 172.16.0.0 255.255.255.0”，“defaultrouter 172.16.0.10”，“option 43 ascii xxx”等命令，來配置DHCP地址池，其中的“172.16.0.10”為網關地址。“xxx”為控制器地址。注意，該地址的格式比較特殊。

例如對于“5A1D;B2;K4;I172.16.0.25 4;J80”來說，其中的“5A”表示PnP DHCP ID，為固定代碼。“1D” 表示激活 PnP DHCP debug，“B2”和“K4”表示通過HTTP協議訪問IPV4格式的地址，“I”參數指定控制器的 IP，“J”參數指定端口。R1，R2和R3等路由器位于另外的網段，在其上運行的是OSPF協議，其均處于Aera 0區域，R1的Gi0/1接口和172.16.0.0/24網段相連。R1的Gi0/2接口和R2的Gi0/1接口連接。

R2為ABR邊界路由器，其Gi0/2接口和其他設備相連，位于Aera100 區域。R1的 的Gi0/2接 口的 IP 為 192.168.10.1/24，R2的Gi0/1接 口IP為192.168.21.10/24。R1 的Gi0/3接口和R3的Gi0/1接口連接。R3為ABR邊界路由器，其Gi0/2接口和其他設備相連，位于Aera200區域。R1的的Gi0/3接口的 IP 為 192.168.30.1/24，R3的Gi0/1接 口IP為192.168.31.10/24。

這里為了簡單起見，在R2和R3等設備上已經手工執行了所需的配置操作，并且處于開機狀態。僅僅在R1沒有進行任何配置，其處于純空未開機狀態。以在R1上開啟網絡PnP功能為例，來說明具體的實現方法。當然，也可以按照類似的方法為R2和R3配置網絡PnP功能。例如當R1開機后，通過DHCP服務器獲取自身IP和控制器的地址，并從控制器上得到自己的系統和配置信息，之后自動完成所有的配置，這樣該網段就處于暢通狀態。

配置網絡PnP功能

在管理主機上訪問“https://172.16.0.254”地 址，“172.16.0.254” 為APIC-EM的地址，在登錄界面輸入上述APIC-EM的管理員賬戶和密碼，在APIC-EM管理界面頂部選擇“SYSTEM HEALTH”項，查看系統的健康信息，包括CPU，內存和硬盤的利用率，以及各服務是否處于啟用狀態等。在最左側縱向工具欄上點擊“Network Plug and Play”按鈕，在頂部點擊“Configuration”項，在打開窗口中點擊“Upload”按鈕，上傳R1的配置文件。

該配置文件是文本文 件，其 中 包 含Gi0/1，Gi0/2和Gi0/3的地址信息、OSPF宣告信息、指定Enable Password密 碼、設置Username Password和Privilege 15參 數、SSH以 及SNMP的Red/Write Community等配置信息，如果有下層連接的設備，需要配置Option 43選項等信息。例如在配置文件中輸入“hostname R1”，“enable secret xxx”，設置主機名和密碼信息。

輸 入“no aaa newmodel”，“ip dhcp excludedaddress 192.168.10.1 192.168.10.100”，“snmpserver community ceshiro ro”，“ snmp-server community ceshi RW”，“ip dhcp pool VLAN10”，“network 192.168.10.0 255.255.255.0”，“defaultroute 192.168.10.100”，“option 42 xxx”，“ip domain name xxx.com”，“username admin priv 15 secret password”，“cdp run”，“route 2”，“redistribute connected subnets”，“interface GigabitEthernet1 ip address 172.16.0.2 2555.255.255.0”，“negotiation auto”，“cdp enable”，“no shutdown”等。

這和平時手工配置OSPF協議的基本一致，這里限于篇幅就不詳述了。點擊頂部 的“Projects”項，點擊“Add”按鈕，在“Project Name”欄中輸入項目的名稱（例 如“R1Project”），點擊“Create”按鈕，創建該項目。點擊左側的“Add”按鈕，在打開窗口中的“Device Name”欄中輸入設備的名 稱（例 如“Route1”），在“Product ID”欄中輸入其產品 ID（例 如“CSR1000V”），在“Serial Number”欄中輸入其序列號，對于序列號可以在路由器的命令行中執行“show license udi”命令查看。

在“Image”欄中點擊選擇按鈕，選擇IOS文件，這樣可以將IOS刷入目標設備中。在“Config”列表中選擇上述導入的配置文件。選擇“Drvice Certificate”項，可以對目標設備發放證書，因為APIC-EM可以作為證書服務器存在。點擊“add”按鈕，保存上述配置信息。之后將R1開機，其會通過DHCP Option 43獲取PnP Server（即APIC-EM）的相關信息，例如傳輸協議類型、端口號等，之后發送HTTP請求給APIC-EM。如果連接建立成功，APIC-EM會給R1推送一張證書，R1加載該證書到信任證書中，有了證書之后，R1就會和APIC-EM建立HTTPS連接，來得到ISO系統文件以及配置信息，并自動進行配置。

使用APIC-EM設備發現功能

利用APIC-EM的設備發現功能，可以檢測到各種設備信息。在APIC-Em管理界面右上角點擊設置按鈕。在彈出菜單中選擇“Settings”項，在左側選擇“CLI Credentials”項，在右側輸入目標設備（例如R1等）的管理用戶名和密碼，以及Enable Password特權密碼，點擊“Add”按鈕將其添加進來。

同理可以添加各種設備的密碼信息。在左側選擇“SNMPv2c”項，在右側的“Read Community”和“Write Community”面板中分別輸入目標設備的讀寫團體名稱。這樣，就添加了CLI和SNMP登錄憑據。

在左側選擇“Prime Credentials”項，在右側輸入PI的地址，用戶名和密碼。這樣，就可以讓APICEM和PI服務器之間進行數據的同步。只要APICEM發現的設備，PI也可以知曉。在左側縱向工具欄上點擊“Discovery”按鈕，在右側的“Dicovery Name”欄中輸入發現項目的名稱（例 如“Fxdev”），在“Type”欄中選擇“CDP”項，在“IP Address”欄中輸入R1的Gi0/1接 口 的IP（例 如“172.16.0.2”）。

如果不是思科的設備，可以選擇“Range”項，輸入一個網段，來發現其中的主機并進行探測。在“CDP Level”欄中輸入搜索的跳數。例如在本例中，點擊“Start”按鈕，APIC-EM可以利用預設的憑據登錄到R1上，之后利用CDP協議登錄到與之相鄰的設備。并進一步利用預設的憑據逐層級登錄到其他的設備，利用CDP協議獲取更多相關的設備。這樣可以快速發現全網的所有設備，在報告窗口中的“LIST”列表中顯示發現的所有設備信息。同PI的設備發現功能相比，APIC-EM發現的效率更高。

APIC-En的路徑追蹤功能

在左側工具列中選擇“Device Inventory” 按鈕，在右側顯示資產的詳細信息。在工具列上點擊“Topology”按鈕，在右側顯示查看網絡拓撲結構圖。

對于APIC-EM等SDN設備來說，路徑追蹤功能使其優勢之一。所有的設備都會被APIC-EM等控制器集中管理，控制器掌管一切并了解全局狀態，利用控制器的路徑可視化功能，大大提高了管理的效率，使排錯診斷的過程變得簡單明了。

在左側工具列中選擇“Path Trace”按 鈕，在 頂部 點 擊“Start new Path Trace”鏈接，在打開面板中的“Source”欄中輸入起始地址，在“Destination”欄中輸入目標IP，點擊“More Options”項，可以設置更多的項目，包括源端口、目的端口以及協議等。

選 擇“Include Stats”項，可以選擇所需的狀態信息，包括QoS、接口、設備、性能分析等信息。選擇“ACL Trace”項，激活ACL列表追蹤功能。

點擊“Stat Trace”按鈕，開始路徑追蹤操作。APEMEM可以根據源地址和目標地址進行分析，判斷經過了哪些設備、了解其出入接口情況、使用的路由協議信息、獲取每個設備的狀態、檢測其是否存在問題等。在報告窗口中點擊“Reverse”按鈕，可以進行反向分析，更加深入的對網絡進行檢測。