組態管理:最佳實踐白皮書
目錄
簡介
組態管理是一系列流程和工具的集合,可提升網路一致性、跟蹤網路更改並提供最新的網路文檔和可視性。透過構建和維護組態管理最佳實踐,您可以獲得多項好處,例如提高網路可用性和降低成本。這些包括:
-
由於反應性支援問題減少,降低了支援成本。
-
由於裝置、電路和使用者跟蹤工具和流程可辨識未使用的網路元件,因此降低了網路成本。
-
透過降低被動支援成本和縮短解決問題的時間,提高了網路可用性。
由於組態管理不足,我們看到了以下問題:
-
無法確定網路更改對使用者的影響
-
反應性支援問題增加,可用性降低
-
增加解決問題的時間
-
未使用的網路元件導致網路成本增加
此最佳實務檔案提供成功實作組態管理計畫的程式流程圖。我們將詳細瞭解以下步驟:建立標準、維護文檔以及驗證和稽核標準。
組態管理高級流程
下圖顯示如何利用關鍵成功因素及績效指標來實施成功的組態管理計畫。
建立標準
建立網路一致性標準有助於降低網路複雜性、減少意外停機時間以及網路影響事件的風險。為了獲得最佳網路一致性,我們建議使用以下標準:
軟體版本控制和管理
軟體版本控制是指在類似的網路裝置上部署一致的軟體版本的做法。這提高了對所選擇的軟體版本進行驗證和測試的機會,並大大限制了網路中發現的軟體缺陷和互操作性問題的數量。有限的軟體版本也可降低使用者介面、指令或管理輸出、升級行為和功能行為發生意外行為的風險。這降低了環境的複雜性和支援難度。總體而言,軟體版本控制可提高網路可用性並幫助降低被動支援成本。
注意:類似的網路裝置定義為標準網路裝置,使用提供通用服務的通用機箱。
實施軟體版本控制的以下步驟:
-
根據機箱、穩定性和新功能要求確定裝置分類。
-
針對相似裝置的個別軟體版本。
-
測試、驗證和試用所選軟體版本。
-
將成功的版本記錄為類似裝置分類的標準。
-
將所有類似裝置一致地部署或升級為標準軟體版本。
IP定址標準和管理
IP地址管理是在網路中分配、回收和記錄IP地址和子網的過程。IP定址標準定義了子網的大小、子網分配、網路裝置分配和子網範圍內的動態地址分配。推薦的IP地址管理標準可減少子網重疊或重複、網路中非彙總、重複的IP地址裝置分配、浪費的IP地址空間和不必要的複雜性的機會。
成功管理IP地址的第一步是瞭解網路中使用的IP地址塊。
在許多情況下,網路組織必須依靠RFC 1918地址空間,該地址空間不能在Internet上定址,但可以與網路地址轉換(NAT)一起用於訪問網路。定義好地址塊後,請將其按照促進總結的方式分配給網路區域。在許多情況下,您必須根據定義範圍內的子網數量和大小進一步細分這些塊。您應為標準應用定義標準子網大小,例如構建子網大小、WAN鏈路子網大小、環回子網大小或WAN站點子網大小。然後,您可以在較大的彙總塊中的子網塊之外為新應用程式分配子網。
例如,讓我們以一個大型企業網路為例,該網路有一個東海岸校園、一個西海岸校園、一個國內WAN、一個歐洲WAN和其他主要的國際站點。組織將連續的無類IP域間路由(CIDR)塊分配給每個區域,以促進IP彙總。然後,組織會定義這些地址塊中的子網大小,並將每個地址塊的子部分分配給特定的IP子網大小。每個主要塊或整個IP地址空間都可在電子表格中記錄,該電子表格顯示塊中每個可用子網大小的已分配、已使用和可用子網。
下一步是在每個子網範圍內建立IP地址分配標準。可以為子網內的路由器和熱備用路由器協定(HSRP)虛擬地址分配該範圍內的第一個可用地址。可以為交換機和網關分配下一個可用地址,然後分配其他固定地址,最後為DHCP分配動態地址。例如,所有使用者子網可以是/24子網,並分配253個可用地址。可以為路由器分配。1和。2地址,為HSRP地址分配。3地址、交換機。5到。9,以及DHCP範圍從。10到。253。無論您制定何種標準,都應在所有網路工程計畫文檔中記錄和引用這些標準,以幫助確保一致部署。
命名約定和DNS/DHCP分配
對裝置命名約定和DNS使用一致且結構化的方式可幫助您透過以下方式管理網路:
-
為與裝置相關的所有網路管理資訊建立與路由器一致的存取點。
-
減少重複IP地址的機會。
-
建立裝置的簡單標識,顯示位置、裝置型別和用途。
-
透過提供更簡單的網路裝置辨識方法改進庫存管理。
大多數網路裝置都有一到兩個介面用於管理裝置。這些介面可以是帶內或帶外乙太網介面和控制檯介面。您應該為與裝置型別、位置和介面型別相關的介面建立命名約定。在路由器上,我們強烈建議使用環回介面作為主要管理介面,因為可以從不同介面訪問它。您還應將環回介面配置為陷阱、SNMP和系統日誌消息的源IP地址。然後,各個介面可以具有標識裝置、位置、用途和介面的命名約定。
我們還建議確定DHCP範圍並將其增加到DNS,包括使用者的位置。這可以是IP地址的一部分或物理位置。例如「dhcp-bldg-c21-10」到「dhcp-bldg-c21-253」,用於標識建築物C、二樓、配線間1中的IP地址。您也可以使用精確的子網路來辨識。一旦為裝置和DHCP建立了命名規則,您將需要工具來跟蹤和管理條目,例如Cisco Network Registrar。
標準配置和描述符
標準配置適用於協定和介質配置,以及全局配置命令。描述符是用於描述介面的介面命令。
我們建議為每個裝置分類(例如路由器、LAN交換機、WAN交換機或ATM交換機)建立標準配置。每個標準配置都應包含維護網路一致性所必需的全局、介質和協定配置命令。媒體配置包括ATM、幀中繼或快速乙太網配置。協定配置包括標準IP路由協定配置引數、常見的服務品質(QoS)配置、通用訪問清單和其他必需的協定配置。全局配置命令適用於所有類似的裝置,包括服務命令、IP命令、TACACS命令、vty配置、標語、SNMP配置和網路時間協定(NTP)配置等引數。
描述符透過建立適用於每個介面的標準格式來開發。該描述符包括介面的用途和位置、連線到介面的其他裝置或位置、以及電路識別符號。描述符有助於您的支援組織更好地瞭解與介面相關問題的範圍,並能更快地解決問題。
我們建議您將標準配置引數儲存在標準配置檔案中,並在配置協定和介面之前將檔案下載到每台新裝置。此外,您應記錄標準組態檔案,包括每個全域組態引數的說明及其重要性。Cisco Resource Manager Essentials (RME)可用於管理標準配置檔案、協定配置和描述符。
組態升級程式
升級程式有助於確保軟硬體升級順利進行,並將停機時間降至最低。升級程式包括廠商驗證、廠商安裝參考(例如版本說明)、升級方法或步驟、組態準則以及測試需求。
升級程式可能會因網路型別、裝置型別或新軟體需求而有所不同。單個路由器或交換機升級要求可以在一個架構組中開發和測試,並可在任何更改文檔中引用。涉及整個網路的其他升級無法如此輕鬆地測試。這些升級可能需要更深入的規劃、供應商參與以及確保成功的其他步驟。
您應結合任何新的軟體部署或辨識的標準版本來建立或更新升級程式。這些步驟應定義所有升級步驟、與更新裝置相關的參考供應商文檔,並提供用於在升級後驗證裝置的測試步驟。定義並驗證升級程式後,應在適用於特定升級的所有變更檔案中參考升級程式。
解決方案模板
您可以使用解決方案模板定義標準模組化網路解決方案。網路模組可以是配線間、WAN現場辦公室或接入集中器。在每種情況下,您需要定義、測試和記錄解決方案,以幫助確保以完全相同的方式執行類似的部署。這可以確保未來更改在組織的風險級別低得多,因為解決方案的行為已明確定義。
為所有風險較高的部署建立解決方案模板,以及多次部署的解決方案。解決方案模板包含網路解決方案的所有標準硬體、軟體、配置、佈線和安裝要求。解決方案模板的特定詳細資訊如下所示:
-
硬體與硬體模組,包括記憶體、快閃記憶體、電源與介面卡配置。
-
邏輯拓撲,包括埠分配、連線、速度和介質型別。
-
軟體版本,包括模組或韌體版本。
-
所有非標準、非裝置特定配置,包括路由協定、介質配置、VLAN配置、訪問清單、安全性、交換路徑、生成樹引數等。
-
帶外管理要求。
-
纜線需求。
-
安裝要求,包括環境、電源和機架位置。
請注意,解決方案模板不包含很多要求。整體組態管理實踐應涵蓋特定解決方案的特定要求,例如IP編址、命名、DNS分配、DHCP分配、PVC分配、介面描述符等。一般組態管理規範應涵蓋一般要求,如標準配置、更改管理計畫、文檔更新程式或網路管理更新程式。
維護文檔
我們建議以近乎即時的方式記錄網路和網路中發生的變化。您可以使用此精確的網路資訊來進行故障排除、網路管理工具裝置清單、清點、驗證和稽核。我們建議使用以下網路文檔關鍵成功因素:
當前裝置、鏈路和終端使用者清單
透過當前的裝置、鏈路和終端使用者資產資訊,您可以跟蹤網路資產和資源、問題影響以及網路更改影響。能夠跟蹤與使用者需求相關的網路資產和資源,有助於確保受管網路裝置被積極使用、提供審計所需的資訊,以及幫助管理裝置資源。終端使用者關係資料可提供定義更改風險和影響的資訊,以及更快速地排除故障和解決問題的能力。裝置、鏈路和終端使用者庫存資料庫通常由許多領先的服務提供商組織開發。網路清單軟體的領先開發者是Visionael Corporation 。資料庫可能包含類似於裝置、鏈路、客戶使用者/伺服器資料的清單,以便當裝置發生故障或網路發生變化時,您可以很容易瞭解終端使用者的影響。
配置版本控制系統
配置版本控制系統維護所有裝置的當前運行配置和一組先前運行版本。此資訊可用於故障排除、配置或變更稽核。進行故障排除時,您可以將當前運行配置與以前的工作版本進行比較,以幫助瞭解配置是否以任何方式與問題相關。我們建議維護此配置的三個到五個早期工作版本。
TACACS配置日誌
為了確定誰在何時進行了配置更改,您可以使用TACACS日誌記錄和NTP。在思科網路裝置上啟用這些服務時,使用者ID和時間戳會在更改配置時增加到配置檔案中。然後,將該stamp與配置檔案一起複製到配置版本控制系統中。然後,TACACS可以阻止非受管更改,並提供相應機制以適在地稽核發生的更改。TACACS是使用Cisco Secure產品啟用的。使用者登入裝置時,必須透過提供使用者ID和密碼來向TACACS伺服器進行身份驗證。透過將網路裝置指向NTP主時鐘,可以輕鬆地在網路裝置上啟用NTP。
網路拓撲文檔
拓撲文檔有助於理解和支援網路。您可以使用它來驗證設計手冊,並更好地瞭解網路,以便將來進行設計、更改或故障排除。拓撲文檔應包括邏輯和物理文檔,包括連線、編址、介質型別、裝置、機架佈局、卡分配、電纜路由、電纜標識、端接點、電源資訊和電路標識資訊。
維護拓撲文檔是成功進行組態管理的關鍵。若要建立可以維護拓朴檔案的環境,必須強調檔案的重要性,而且必須提供更新所需的資訊。每當發生網路更改時,我們強烈建議更新拓撲文檔。
網路拓撲文檔通常使用圖形應用程式(如Microsoft Visio )維護。其他產品(如Visionael )提供了卓越的功能來管理拓撲資訊。
驗證和稽核標準
組態管理效能指標提供了一種機制,用於驗證和審計網路配置標準和關鍵成功因素。透過實施組態管理的流程改進計畫,您可以使用績效指標確定一致性問題並改進整體組態管理。
我們建議建立一個跨職能部門的團隊,以衡量組態管理是否成功,並改進組態管理流程。小組的首要目標是實施組態管理績效指標,以確定組態管理問題。我們將詳細討論以下組態管理效能指標:
評估這些稽核的結果之後,請啟動專案以修正不一致之處,然後判斷問題的初始原因。可能的原因包括缺乏標準文檔或缺乏一致的流程。您可以改進標準文檔、實施培訓或改進流程以防止進一步配置不一致。
我們建議每月進行一次稽核,如果需要驗證,則按季度進行稽核。複查過去的稽核,以確認已解決過去的問題。尋求整體改進和目標,以展示進展和價值。建立指標,顯示高風險、中等風險和低風險網路配置不一致的數量。
配置完整性檢查
配置完整性檢查應評估網路的整體配置、其複雜性和一致性以及潛在問題。對於思科網路,我們建議使用Netsys配置驗證工具。此工具輸入所有裝置配置並建立配置報告,用於辨識當前問題,例如重複IP地址、協定不匹配和不一致性。該工具報告任何連線或協定問題,但不輸入標準配置以便在每台裝置上評估。您可以手動檢視配置標準或建立報告標準配置差異的指令碼。
裝置、協定和介質稽核
裝置、協定和介質稽核是軟體版本、硬體裝置和模組、協定和介質以及命名規則的一致性的績效指標。稽核應首先確定任何非標準問題,這些問題應導致配置更新以修復或改進問題。評估整體流程,以確定它們如何防止發生次優部署或非標準部署。
Cisco RME是一種組態管理工具,能提供硬體版本、模組和軟體版本的稽核和報告。思科還正在開發更全面的介質和協定審計,將報告與IP、DLSW、幀中繼和ATM不一致的情況。如果未開發協定或介質稽核,您可以使用手動稽核,例如檢視網路中所有類似裝置的裝置、版本和配置,或者透過抽查裝置、版本和配置進行稽核。
標準和文檔審查
此績效指標會稽核網路和標準文檔,以確保資訊準確且保持最新。審計應包括審查當前文檔、建議變更或增加內容,以及批准新標準。
您應每季度檢視以下文檔:標準配置定義、解決方案模板(包括建議的硬體配置)、當前標準軟體版本、所有裝置和軟體版本的升級過程、拓撲文檔、當前模板和IP地址管理。
意見