搜索
AgileCampusV200R002C00敏捷园区网解决方案技术主打胶片——零配置部署企业网络解决方案部HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page3目录问题与挑战1实现原理与关键技术2典型应用场景3HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page4网络管理人员工作现状—安装、升级、更换等重复劳动0.00%5.00%10.00%15.00%20.00%25.00%30.00%监控和故障定位安全特性(如防火墙)的配置设备的初始安装与配置设备升级流量优化其他设备的初始安装与配置、软件升级和设备更换等工作花费网络管理人员的大部分时间。其中,有些工作简单重复、效率低下。如何对网络设备进行批量、自动管理,成为企业IT部门面临的严重挑战。网络管理人员工作时间分布(基于华为对企业网络TCO的研究)HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page5传统基于MAC/ESN的零配置部署方案ESN(或MAC)配置文件ESN1配置文件1.zipESN2配置文件2.zipESN3配置文件3.zipESN4配置文件4.zip2、制作设备差异化配置信息工程人员1、制作通用配置脚本4、记录设备ESN(或MAC)和布放位置,并绑定配置文件名3、工程人员从库房领取设备,并电话通知管理员设备ESN(或MAC)和布放位置5.现场安装上电8、获取设备差异化配置(FTP)7、设备上线,注册设备MAC、ESN信息DHCPServerWeb网管配置脚本制作工具配置文件名映射LSW独立工具(如记事本)CommanderFTPServerHUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page6传统零配置部署方案问题分析及改进1、网络规划设计和软/硬件安装连线过程分离,需人工通过MAC/ESN来关联部署文件,易出现关联错误,影响效率。2、无法感知网络规划拓扑和设备实际拓扑的差异点。用户很难对连线、设备型号等错误进行直观了解和排错。3、部署过程无法在网管上操作,而且和部署后网管统一管理过程分离。传统的零配置部署敏捷的零配置部署1、敏捷零配置部署流程中,从网络规划、生成配置文件、导出标签条信息、根据设备型号贴标签、部署人员根据设备标签布放和连线、设备上电部署,整个过程有机的结合起来,提升管理效率。2、拓扑纠错。实时感知并展示规划拓扑和实际部署拓扑的差异点,供用户排错。3、网管整合了网络规划、部署以及后续设备管理全流程。设备部署结束后自动向网管注册,并由网管进行故障替换、设备升级等后续生命周期管理。HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page7目录问题与挑战1实现原理与关键技术2典型应用场景3HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page8方案概览基本概念:零配置部署是在现网部署交换机设备,当设备布放完成后,无需网络管理员到安装现场对设备进行软件调试,在设备满足空配置的条件下,设备上电后即可自动连接到指定的管理设备加载指定的配置文件、大包文件、补丁文件等系统文件,实现设备的部署。零配置部署中主要有如下几个角色:网管:即eSight。给待部署设备分配文件服务器的地址、用户名、密码、需下载的文件名;收集部署交换机拓扑信息,建立待部署设备信息数据库;管理待部署设备的部署过程进展等信息;待部署设备:在零配置部署过程中,待部署设备作为一台二层交换机,默认使用Vlanif1接口动态获取DHCP。待部署设备会和网管三层互联,从其获取部署信息;并向其发送自身信息;响应网管发送的部署回应,激活等操作;DHCP服务器:可使用交换机或第三方DHCP服务器来提供DHCP服务。DHCP服务器需要支持配置Option148字段,来设置网管的IP地址。拓扑根节点:指待部署拓扑网络中的一台已配置部署完的节点,且为最上层节点,下面直接连着待部署设备。网管(eSight)DHCP服务器待部署设备1拓扑根节点待部署设备2待部署设备3待部署设备4待部署设备5待部署设备6待部署设备7待部署设备8拓扑根节点交换机待部署设备网管(eSight)HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page9功能说明基于拓扑的零配置部署主要功能介绍:拓扑规划:网管人员可以根据拓扑规划在网管上进行拓扑绘制,包括设备的选型、设备链路规划、名称规划等;配置生成:网管上根据常见的组网类型,提供默认的配置模板,网管人员根据默认的配置模板生成命令行配置文件,同时,网管也提供自定义的能力,供网管人员导入制作完成的命令行配置文件。同时,可以指定设备软件包、补丁包、license文件等;拓扑纠错:网管上规划的拓扑可以和实际上电形成的拓扑进行对比,当存在差异时,如果是网络拓扑规划的问题,网管人员需要重新调整拓扑结构,系统提供调整拓扑结构的能力;待部署文件下发:网管人员在检验设备合法性之后,允许待部署设备到文件服务器下载待部署文件。此时,待部署设备和网管进行部署流程交互完成文件下载和部署过程进度反馈。配置文件备份:设备部署成功之后,为防止运行中出现故障能够及时恢复故障,需要备份设备的配置文件,包括运行配置和启动配置。故障设备替换:在设备出现硬件故障不能够通过软件方式进行修复的时候,需要替换故障设备。在替换成新的设备之后,用户能够将原有设备的配置文件恢复到新的设备上;如果新的设备的类型和被替换的设备不一致,无法继续使用原有的设备配置文件,则运行运维人员能够将新规划的配置文件下发到新的设备上。HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page10总体方案架构网管(eSight)DHCP服务器拓扑根节点(LSW)待部署设备(LSW)获取IP获取eSight的IP使能NDPNTDP获取NTDP拓扑属性信息上报回应下载文件信息进展信息上报待部署文件传输获取拓扑部署交互协议SNMP协议NTDP协议SFTP协议DHCP协议配置改变上报SNMP协议(部署后)指定升级SFTP文件服务器HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page11总体流程离线制作配置数据:•规划待部署设备拓扑:指定设备位置、互联接口、设备名称、接入设备白名单(可选)•离线制作配置文件:利用模板、自定义方式制作交换机配置文件•关联配置文件:将待部署设备与配置文件进行关联设备上电:现场安装待部署设备,设备上电启动并通过DHCP获取设备管理IP、网管IP等参数打通管理通道:•选择上级已部署节点作为拓扑根节点。•拓扑根节点接入口配置缺省VLAN(PVID)作为部署管理VLAN(可选,默认为VLAN1)拓扑根节点(指待部署设备组网中的上级已部署节点)DHCPServer网管(eSight)集成文件服务器471网络规划:•用户讨论规划设备位置、上联对端接口、管理IP、管理VLAN、其他网络和基本业务配置参数3获取拓扑信息/拓扑纠错/白名单过滤:•网管上使能拓扑根节点的拓扑收集能力,网管获取到待部署设备拓扑信息,与步骤2中规划的拓扑进行比对、纠错•网管根据待部署设备的信息进行白名单合法性过滤•纠错完成后,指定待部署设备使能部署交互526部署交互/传输文件:•待部署设备开始和网管之间进行交互,通过文件传输协议传递相应的待部署文件•网管上展示部署状态进展设备激活:•网管上,管理员指定设备进行激活,设备重启待部署设备HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page12文件服务器部署交互流程流程说明:1.待部署设备通过DHCP获取地址时,通过Option148字段获取到eSight的IP;2.待部署设备自动利用部署协议向eSight发起部署请求,该请求报文中携带了待部署设备的相关信息;3.eSight上根据待部署设备的MAC/ESN信息映射到具体的待部署文件,将部署文件信息组装到部署回应报文中发送给待部署设备;4.待部署设备根据部署回应中的信息进行文件下载;5.下载过程中,反馈下载进展给eSight,进行进展展示;6.下载结束后,如果成功,eSight向待部署设备发送触发激活报文进行激活;7.待部署设备收到触发报文后,进行重启激活。网管(eSight)【部署请求报文】(携带待部署设备的相关信息)通过文件传输协议下载待部署文件reboot待部署设备(交换机)超时重发,超过N次重走部署流程根据MAC映射查找相关的下载文件信息部署成功后进行激活【触发激活报文】立即激活【部署回应报文】(携带部署文件信息)白名单过滤拓扑纠错人工确认部署DHCP交互(Option148字段携带eSight地址)1)用户配置Option148指定网管地址DHCP服务器部署进展展示【部署进展反馈】HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page13拓扑收集流程NDP(NeighborDiscoveryProtocol)邻居发现协议:用来获取直接相连的邻居设备的信息,包括连接端口、设备名称、软件版本等信息,工作原理如下:运行NDP的设备周期性地向邻居发送NDP报文,其中包含NDP信息(包括当前设备的名称、软件版本和连接端口等信息)以及NDP信息在接收设备上的老化时间。同时会接收(但不转发)邻居设备发送的NDP报文。运行NDP的设备都会存储和维护NDP邻居信息表,在该表中为每台邻居设备创建一个表项。当新发现了一个邻居,即第一次收到它发送的NDP报文时,为其新增一个表项。如果收到的邻居设备NDP信息与旧信息不同,则更新相应的表项及其老化时间;如果相同,则只更新老化时间;如果老化时间超时后仍未收到邻居的NDP信息,将自动删除相应的表项。NDP报文NDP报文NDP报文NDP邻居信息表SW2SW3SW1SW2SW3SW4NDP邻居信息表SW1SW4NDP邻居信息表SW3NDP邻居信息表SW1SW1SW2SW3SW4NTDP请求NTDP应答拓扑信息SW1|--SW2|--SW3|--|--SW4NTDP使能NTDP(NeighborTopologyDiscoveryProtocol)邻居拓扑发现协议:为管理设备提供可加入集群的设备信息,收集指定跳数内设备的拓扑信息。NDP为NTDP提供邻接表信息,NTDP根据邻接信息发送和转发NTDP拓扑收集请求,收集一定网络范围内所有设备的NDP信息以及这些设备间的连接信息。收集完这些信息后,管理设备或网管可使用这些信息完成所需功能。当成员设备上的NDP发现邻居有变化时,通过握手报文将邻居改变的消息通知给管理设备,管理设备可以启动NTDP收集指定拓扑,从而使NTDP能够及时反映网络拓扑的变化。管理设备可以定时在网络内进行拓扑收集,用户也可以通过手工配置启动一次拓扑收集。管理设备收集拓扑信息过程如下:管理设备从使能NTDP的端口周期性发送NTDP拓扑收集请求报文。收到请求报文的设备立即发送拓扑响应报文至管理设备,并在已使能NTDP的端口复制此请求报文并发送到邻接设备;拓扑响应报文包含本设备的基本信息和所有邻接设备的NDP信息。邻接设备收到请求报文后将执行同样操作,直至拓扑收集请求报文扩散到指定跳数范围内的所有设备。HUAWEITECHNOLOGIESCO.,LTD.华为保密信息,未经授权禁止扩散Page14拓扑收集流程(续1)采用拓扑规划方式进行零配置部署时,eSight会向拓扑根节点下发使能NTDP拓扑发现,当拓扑根节点上的拓扑发生变化后,向eSight发送trap消息,通过该机制eSight可以进行拓扑刷新,待部署设备上电后会在eSight上形成实际拓扑信息库实际拓扑信息图拓扑根节点获取拓扑信息eSight拓扑根节点MAC_2IP_2ESN_2S5700S5700-28C-HI接入层汇聚层10.11.11.11核心层G0/0/0G0/0