成长值: 62320
|
什么是DNA?
1、将Fabric网络、SDN、NFV、自动化、大数据、数据分析、人工智能、云服务管理、以及开放可扩展的可编程性等融合到一个网络架构中。
2、具备持续的自我学习、自我调整、自动化和自我保护功能,以优化网络运营并抵御不断演进的网络威胁
3、基于意图的网络,网络管理人员只需要制定合适的网络策略,网络就可以自动将业务意图转换为网络配置
4、DNA具备管理多个网络域的功能,包括园区、WAN、数据中心、云,多个域由单个控制器实例进行控制
DNA的开放性体现在哪里?
1、管理开放-允许企业运营商与现有的或第三方开源软件系统(开放式管理)集成。如DNA控制器可以为客户或合作伙伴提供开发定制应用程序的能力。
2、功能开放-允许第三方–虚拟网络功能(VNFs)被整合到DNA架构中
3、互操作性开放- 网络都通过标准协议交互,所以允许第三方网元或托管服务器与思科产品共存
4、可编程-提供开放标准的APIs,使得网元可以以编程的方式被控制
什么是智能网络?
1、从终端、网络设备、网络服务应用等收集数据或实时反馈,将各种来源的数据进行关联并通过机器学习得出深层次的见解或者建议。
量化客户体验指数,在将要发生问题前就提前预警,给出问题发生的原因,提出解决问题的方法,乃至无需人工干预而自行解决
从而确保网络可以自我优化、自我保护,确保以最佳的性能运行。
2、智能不仅仅体现在集中的大数据分析、人工智能上,还应体现在整个网络架构中的边缘设备上(边缘计算)
1)通过在网络边缘设备实现自动化功能,在底层嵌入机器学习和分析能力。
2)包括设备端(交换机、路由器等,VNFs等)自身也要实现智能化。如设备端可以连续监测语音或者视频的传输质量,
自动调整QOS策略以保证服务质量。
3)再比如思科的Catalyst 9000交换产品实现增强型威胁分析ETA,可帮助网络发现并阻断最复杂的网络攻击。
ETA使用思科Talos团队提供的网络情报来检测已知攻击签名,加密流量中的已知攻击签名亦可被检测出来,
这能够帮助客户在确保安全性的同时有效保护隐私。
3、开放性、可编程
使用DNA可以获得什么?
1、使用单一控制面板管理网络和实现网络自动化,从而节省时间。
2、按照先确定地理位置,然后创建站点和添加网络设备的顺序设计企业网络。
3、利用直观的工作流程和可重复使用的模板快速扩展业务。
4、配置和调配整个企业范围内的数以千计网络设备只需分钟,而不用耗费几个小时。
5、自动根据业务需求对网络做出适当更改。DNA中心使用由从网络设备(不仅限于网元(路由器、交换机、接入点等),
还包括支持网络功能的相关服务,包括AAA服务、4-7层网络功能服务)收集信息的网络数据平台提
供的实时反馈。利用通过机器学习得出的深层次见解以及数据源之间的关联,保证服务可以提供关于
网络、客户端和应用性能的见解。在这些见解的基础上,可以提出解决问题的建议、发现造成问题的
根本原因,以及根据发展趋势和与基准行为的背离情况来预测网络趋势。总的来说,保证服务可以确保
网络以最佳性能运行。
6、在网络中快速实施策略,以满足不断变化的业务需求。根据业务需求,部署基于组的安全访问和网络分割。
利用DNA中心,应用策略的对象可以是用户和应用,而不必是网络设备。通过自动化减少人工操作和与人为失误相关的成本,
从而增加正常运行时间并提高安全性。保证服务可以对网络进行评估,并根据情景把数据转化成情报,
从而确保网络设备策略配置的更改契合用户的目标。
7、通过实时网络保证服务减少网络中断。使用保证服务提供一致且优质的应用体验。利用思科DNA中
心,由被动监控转变成主动监控。保证服务能够确定网络执行操作的方式、预测全企业范围内的问
题,以及提供建议的解决方案来减少停机时间。
DNA中心是什么?
1、集中管理所有网络功能,是个命令中心
2、DNA中心可以对园区、企业分支机构、广域网或者云,实现端到端网络管理。
3、基于思科SDN控制器和思科应用策略基础设施控制器-企业模块 (APIC-EM) 基础之上。
DNA中心能够轻松在全网范围内设计、调配和应用策略。它能够提供端到端可视性。
4、集成了思科NDP,在网络见解的基础上优化网络性能并提供最佳的用户和应用体验。
5、ISE身份服务引擎
1)可用于对连接到网络上的终端设备创建和实施安全和访问策略。该应用的目标在于简化不同设备和应用间的身份管理。
2)TrustSec是思科的软件定义分段技术,也是许多思科平台支持的另一个常见组件,当用户或设备的流量进入网络时,
系统会给其分配一个标签(称为安全组标签),然后整个网络基础设施的每个位置都根据标签实施访问策略。
可以将终端纳入名为安全组的逻辑组中。安全组的分配以业务决策为基础,采用的标准远远超过仅使用IP地址或传统 ACL。
易于管理员理解和管理,而且基于组的规则数量大大低于基于IP地址的等效规则集。
什么是APIC-EM(思科应用策略基础设施控制器-企业模块)?
1、基于OpenDaylight架构基础上建立,将业务策略自动转变为网络设备级策略
2、通过Plug and Play自动化软件实现策略执行自动化,Plug and Play代理安装于思科路由器和交换机上,可直接与网络控制器通信。
3、安全特性
1)可在整个端到端网络上自动部署网络策略并对其进行合规检查,以便提供出色的威胁检测和修复功能。
2)可以对访问控制列表 (ACL) 进行有效地变更管理
3)ACL应用包括自动检查策略合规情况、对ACL配置进行故障排除以及在思科身份服务引擎(ISE)中部署基于用户的ACL策略
4、服务质量 (EasyQoS)
1)通过EasyQoS服务使网络能够根据应用策略,动态更新整个网络的服务质量设置。
2)借助EasyQoS,能够确保优先支持合适的应用,以便为用户带来最佳体验。
3)自动检查全网络的QoS合规性
4)部署基于用户的QoS策略
5)通过一个高级图形用户界面,可促进整个企业网络中的 QoS 部署和变更管理。
5、智能广域网(IWAN)
1)可在思科路由器上自动配置IWAN和高性能路由选择 (PfR)
Catalyst 9000交换产品组合具备哪些专为智能网络而生的特性?
0、对硬件(ASIC)和软件(IOS XE)层均进行革新,并使软件和硬件分离
1、融合了基于x86的全新板载 CPU(拥有基于容器的应用托管)和开放式思科IOS XE 16,具备服务器和容器的功能
1)在内置的x86 CPU上托管第三方应用,使客户能在容器或虚拟机中运行其应用
2)IOS XE 16是一款融合操作系统,支持模型驱动的可编程性、数据流遥感勘测和热补丁。
3)IOS由应用程序编程接口(API)驱动,拥有开放、可编程和模块化的特点。使得用户可以对IOS与其他系统进行集成,并进行个性化交付。
2、提供高级可编程性、更强的安全性,以及更高的无线接入点密度,从而为带宽更高的上行链路和更高级的操作系统提供支持
3、支持可信任系统和高级安全功能,帮助实现分段和微分段。
例如加密的流量分析 (ETA)、AES256/MACSEC256 和可信任系统、本地 MACsec-256 加密
加密的流量分析 (ETA) 可检测存在于加密流量中的恶意软件和其他威胁。
4、专为利用DNA和思科软件定义的接入(SD-Access) 量身打造的平台
支撑思科软件定义接入(SD-Access)和思科应用策略基础设施控制器企业模块 (APIC-EM),从而实现策略自动化
5、提供与业界领先的扩展和硬件就绪功能(例如永久 UPOE/PoE 视听桥接 (AVB)/IEEE 1588 和服务发现)的物联网融合
6、使用 NBAR2(下一代基于网络的应用识别)提供出色的应用可视性与可控性
7、可提供80Gbps的上行链路带宽,以及480Gbps堆叠带宽解决方案
8、支持网络系统虚拟化(通过StackWise® 虚拟技术)
9、能够托管无线控制器,并支持诸如802.11ax等全新无线标准
10、可插拔本地存储。
11、思科不仅有面向园区网市场的可编程芯片UADP及其系列产品,也有主打SDN云计算的面向数据中心的Insieme系列自研芯片,更有面向运营商和超大规模数据中心的Leaba系列芯片
12、high–speed ASICs 以满足大量的遥测数据被收集,并被送到数据分析引擎
13、ASIC加密或者强加安全组标示
14、ASIC保证低延迟的分组传输和服务质量
15、本地Flexible NetFlow
DNA架构?
DNA架构包括如下几个要素:
1、fabric网络
2、虚拟化(NFV\VLAN\VRF)
3、云交换
4、网络控制器(基于SDN)
5、服务定义与编排
6、数据分析引擎、遥测数据采集
fabric网络:
(包括以下特征)
1、任意网络元素之间的通讯:基于IP通讯的underlay基础设施
2、灵活的服务:基于可编程特性,为端点(终端、设备、应用)提供灵活的服务
3、策略执行:在企业网络边缘或者网络域之间,为终端或者应用设置网络访问策略(如ACL/QOS等)
4、链路封装:允许主机或者应用使用各种不同的二层协议(比如不同的以太网封装类型)连接到网络
5、位置独立转发:主机或者应用程序位置移动无需更改underlay基础设施
6、基于控制器的管理:简化网络操作,使得整个网络被看成一个整体,而非一个个网元或者网络功能
7、高可靠性:以确保网络的抗错误能力,包括网元或者软件功能错误
虚拟化:
(包括以下两个部分)
1、传输虚拟化
通过VLAN\VRF进行网络分割、二三层隔离
2、网络功能虚拟化(NFV)
允许网络功能运行在虚拟机上,包括NAT\防火墙\DPI等。
越来越多的网元提供基于X86的计算资源
专用的X86服务器
网络功能的安装、卸载。
网络功能的状态、重部署、重启、服务器迁移
云交换架构:
1、DNA架构充分整合不同的云模型,包括私有云、虚拟私有云(APC)、混合云、公有云模型。
2、在传输层层面,各种云模型都可以通过隧道技术无缝的融合到企业网络中。
3、在控制层层面,管理或者编排工具可以部署在云上,通过公有云网关来操作网络。
4、云的优势,资源动态分配、可伸缩、全局可达性被扩展到DNA的编排和管理工具中。具体包括:
1)可以根据编排和管理工具,动态的分配或者释放计算资源、存储资源
2)云架构的可用性和弹性机制,使得企业运营者不需要再提供高可用的基础设施来运营网络
3)通过公有云网关,DNA的编排和管理可以在任意地方被访问
5、云交换架构利用了网络功能虚拟化,特别是安全功能,以便安全的连接到云提供商。
网络控制器:
1、DNA控制器提供网络抽象层来屏蔽自动化中各种网元的细节,并向业务流程和分析引擎提供抽象视角
2、DNA控制器在服务实例的任何部分(如云、校园、广域网或数据中心域)中实现策略,用于所有策略变体,如访问、传输或路径优化。
3、身份识别,包括终端、设备、应用的身份识别
4、包括如下策略:
1)网络访问策略,即ACL访问控制
2)安全与加密策略
安全策略还包括防火墙、异常检测、黑名单、白名单
3)TE(流量工程)策略确定最佳路径转发
思科EasyQoS具有内置的最佳实践QoS策略,支持对1300多种应用进行策略控制,并且可以在整个网络中应用端到端策略(包括交换、路由和无线连接)。
4、网络功能策略,决定哪些IP流需要经过哪些网络服务,如通过广域网优化功能优化流量传输、通过IPS or IDS做流量检测、基于NSH SFC使得IP流经过特定的网络服务进行处理
5、南向接口:
CLI\NETCOF\YANG\REST
服务定义与编排结构:
1、通过图形化界面创建服务
2、约定的规则
3、定制服务
4、基于模板创建服务
数据分析引擎(思科NDP)、遥测数据采集:
1、数据收集 DNA网元实现数据收集,包括网络的所有方面,包括网元设备状态、流量传输状态、网络是否拥塞、丢包、带宽利用率等,语音、视频程序等是否传输正常等;
1)数据收集不仅限于网元(路由器、交换机、接入点等),还包括支持网络功能的相关服务,包括AAA服务、4-7层网络功能服务
2)思科借助自定义的ASIC和NetFlow,可以100%捕获思科网络数据,而且不会对交换机的转发性能产生影响
3)实时收集、限制和关联 NetFlow、简单网络管理协议 (SNMP)、无线局域网控制器和系统日志信息,实现持续监控网络和提供切实可行的见解
4)通讯基础设施需要保证遥测数据的有效传输,包括带宽保证、 SLAs
2、数据分析
1)分析引擎通常托管在企业数据中心或者在云中。
2)DNA分析引擎分析和关联所有收集的数据,包括各种网元、各种网络功能收集到的数据
3)DNS分析引擎不仅分析随着时间迁移的时间 ,还能过滤收集到的数据
4)基于环境情境解读数据,数据的重要性毋庸置疑,但同样重要的还有其所处的环境情境,包括人物、事件、时间、地点和方式等。
3、反馈与控制
1)网络或者安全服务可以根据分析结果给出建议和优化
2)分析还可以暴露在数字化应用程序中,以增强其操作或行为。
弹性与安全性考虑:
1、安全性:
1)端点安全服务
在网络域的边缘进行强制策略执行检查,允许访问什么、不允许访问什么
可以对特定的流进行加密\IPS\DPS,对需要经过不可信网络的数据流进行加密。
ETA加密流量中的已知攻击签名亦可被检测出来,这能够帮助客户在确保安全性的同时有效保护隐私
思科StealthWatch 和其他工具可提供精细的流量分析,使用网络作为安全传感器和执行器,提供完整的解决方案来识别威胁和异常
思科TrustSec利用软件定义的分段技术来控制网络访问
2)DNA控制器平台的安全性
访问DNA控制器平台需要经过严格的认证
网络管理者需要向任何控制-平面功能提交用户名和密码凭据。
基于角色的访问权限控制
安全通道-如HTTPS
组件之间的API调用受制于身份验证机制、token机制。
2、高可用性
1)控制器以及编排组件的高可用性
集群、持久化、分布式存储
2)网络服务功能的高可用性
冗余的数据转发、控制平面
链路冗余、HSRP、VRRP、VSU、二三层收敛优化、FRR、BFD
4至7层的网络服务一般通过VNF部署,冗余机制,虚拟机的容错、高可靠性机制
DNA的高可靠性适用于多播流
什么是netflow?
1、思科NetFlow是下一代流技术,可帮助优化网络基础设施,降低运营成本,改进容量规划和安全事件检测流程。
2、NetFlow可提供有关网络用户和应用、高峰使用时间以及流量路由的重要信息。
————————————————
版权声明:本文为CSDN博主「b0207191」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/b0207191/article/details/88598133
|
|