思科的DNA中心是一款新的网络自动化软件,该公司将其定位为其雄心勃勃的基于意图的网络(IBN)战略的接口。
+更多关于网络世界足球竞猜app软件:什么是基于意图的网络?|为什么基于意图的网络可能是一件大事+
IBN于2017年夏天启动,计划建立一个直观的网络,包含多种组件,其中包括DNA中心,它是管理校园和分支网络的配置仪表板。
该计划还包括SD-Access,它使用以身份为中心的方法来管理进入网络并在网络中操作的用户和设备;网络数据平台(NDP)和保证,将对网络流量数据进行分类并提供预测分析;以及使用流量元数据识别威胁的加密流量分析(ETA)。
这一战略的第一个方面是用于控制SD-Access的DNA中心。DNA Center运行在一个名为Application Policy Infrastructure Controller - Enterprise Module (APIC-EM)的客户端设备上,该设备根据部署的规模通过订阅支付费用。(思科未来可能会提供云托管版本。)
“当你实现SD-Access时,你实际上是在创建一个覆盖网络,”思科企业交换技术营销高级总监卡尔•焊锡解释道。仍然有由交换机、路由器和无线接入点组成的物理网络,但DNA中心创建了一个抽象层,允许整个结构被视为一个虚拟交换机。可以操纵这种结构来创建虚拟网络,这些虚拟网络对网络进行分段,并且每个虚拟网络都有集中管理的特定策略。
传统上,创建和管理这些虚拟网络是使用vpn、vlan和分段规则的组合。“但要在交换、路由和无线领域始终如一地应用这一点可能需要一些时间,”焊锡说。这个想法是简化整个过程,只需点击几下鼠标就能创建虚拟网络,并让政策得到一致应用。我们表达了我们的意图,并让控制器——DNA中心——想出如何在其控制下的所有设备上部署这种配置。”
思科
思科DNA中心的欢迎屏幕,用于管理基于软件定义访问(SD-Access)意图网络的软件界面
在SD-Access控制中,DNA Center主要由四个部分组成:网络的设计、策略的设置、策略的提供和策略的保证。思科表示,这是IBN战略的承诺:用户表达他们希望网络做什么,软件自动化平台实现它。
设计
在这里,网络管理员管理应用于网络上的新设备的所有设置。用户可以在DNA中心中定义站点,例如,总部或分支机构,或特定的地理位置。在设计门户中,用户根据设备的领域定义设备应该如何配置。定义了建立主机协议、设置域名、建立syslog文件、配置管理协议等功能。然后,当一个设备部署到某个站点时,DNA Center会自动获取该站点的配置设置,并将它们安装到该设备上。“我可以一次性定义设置的层次结构,该域下的所有内容都将继承这些设置,”Solder解释道。
硬件凭证、用户名、密码和IP地址都在这里管理。DNA中心可以通过集成外部IP地址管理器(如Infoblox)来自动分配IP地址。
设计门户还管理设备映像。管理员可以设置黄金图像,当安装新设备时,DNA中心将检查正在运行的图像,如果与预定义的黄金图像不匹配,它将提示管理员更新图像。
政策
政策管理是DNA中心的核心。它是管理员创建和管理虚拟网络配置文件的门户网站。当用户或设备被分配到一个虚拟网络时,他们在逻辑上被限制在这个虚拟网络中。在最佳实践中,访问一个不同的虚拟网络应该需要通过防火墙。类似的策略控制可以使用防火墙、MPLS部署和虚拟参考站的组合来执行。然而,在分布式环境中跨不同类别的设备(路由器、交换机和接入点)实现它们需要大量的手工劳动,Solder说。
在这些虚拟网段中,DNA中心允许更细粒度的微分割。因此,例如,一个企业中的不同团队可能有自己的虚拟网段——一个虚拟网段用于员工,另一个虚拟网段用于设备,第三个虚拟网段用于外部用户。例如,DNA中心可以制定政策,阻止外部用户与设施网络通信。
微分割允许更细粒度的策略执行。例如,在员工虚拟网络中,财务团队可能拥有与营销团队不同的访问和使用策略。焊锡指出,创建这些虚拟网络限制了安全威胁的范围——如果勒索软件攻击进入企业的一个领域,从逻辑上讲,它将被拒绝进入其他领域。
此策略管理用于替代基于IP地址和源IP的访问控制列表。DNA中心采用一种基于身份的方法,使用的是身份服务引擎(ISE),这是一种与DNA中心一起运行的软件。它可以与Active Directory或其他身份管理平台集成,在网络中执行基于身份的策略。“无论你是在校园还是分支机构,有线还是无线连接,政策都遵循(用户),”焊锡解释说。
条款
虽然设计步骤确保正确配置新的网络基础设施,策略步骤建立规则,但供应功能是实现这些规则的地方。
管理员在DNA Center中使用基于图形的拖放界面和彩色编码模板来管理哪些设备应该特定于哪个域,以及将在这些设备上执行哪些策略。当用户和设备加入网络时,硬件设备——路由器、交换机和接入点——通过ISE使用它们的身份来执行这些策略。
保证
DNA中心的最后一个组成部分-保证-处理织物的持续管理。该保障组件使用名为网络数据平台(NDP)的软件,与DNA中心捆绑在一起,收集网络运行数据。DNA中心利用这些信息来创建健康评分,显示网络中的问题点,比如应用程序运行不正确,某个基础设施出现故障,或者用户在不熟悉的设备上连接到网络。DNA中心甚至会推荐一些排除故障的步骤。
现有的网络运营管理和思科承诺的基于意图的网络新浪潮之间的一个关键区别是,使用软件来确保已经创建的策略在网络中得到正确执行。思科计划使用算法来监控网络活动,并证明政策正在实施。其中一些功能——如热图、使用统计和问题领域的故障排除——将在2018年1月的DNA中心1.1版中提供;其他方面是DNA中心未来的路线图。