锐捷网络极简X SDN——自动化运维方案部署指导:方案介绍及原理、实施前准备工作_网络设备zam技术
赞
踩
目录
Ⅰ 方案介绍
一、方案价值介绍
随着网络的发展,客户越发关注运维上的高效,提倡智能运维或自动化运维,当前锐捷、华三、华为、思科、SDN都具备自动化运维功能。
该方案可以降低客户运维的成本,同时提高运维的效率,提高运维水平的一个有效手段。目前主要考虑同准入管控和策略随行配合推广使用,覆盖的行业有:高教、医疗等一些行业
锐捷自动化运维方案 主要包括如下几个重要功能:
1)设备零配置上线:设备上电入网后,可通过RG-INC-PRO控制器自动完成对设备的配置下发和维护工作,无需人工登陆到设备上进行配置;
2)设备零替换:当设备出现故障的时候,使用空配置的设备替换掉原先的设备,可直接入网,继承原先所有配置。
3)设备版本升级:上传版本BIN文件,勾选设备,手动进行版本升级。
4)配置备份恢复:设备可以按计划自动备份或者手动进行配置的备份,保证配置变动后的同步;配置还原恢复,用于配置变更后需要恢复到历史配置。
二、场景说明
1、接入(29系列)、汇聚(57H系列)、核心(网关,支持配置dhcp relay即可)需要为我司设备,除这些设备外的其他设备,保持原有拓扑不变;29系列设备,包含S29XS系列、S29E-V3;
2、新增控制器接入,按常规场景部署,控制器与服务器一同部署,放置于服务器区,上联服务器区汇聚交换机,再接入核心;在简易环境中,也可将控制器直接接入核心交换机;保证控制器和接入设备网关三层可达;
3、汇聚交换机S57H上下联口均采用trunk口与网关设备互联,默认开启STP/RLDP;
4、接入交换机29系列上联口采用trunk口连接汇聚,用户终端直连接入,或者通过级联/hub进行扩展;
5、跨网段以及多个管理网段部署场景下,接入汇聚核心设备上,如果全局使能ip dhcp snooping,则上联口都需要配置ip dhcp snooping trust,否则dhcp报文会被过滤;
6、多管理网段部署场景下,网关设备如果是汇聚(S57H),则不能是自动化上线设备,无法实现自动化上线。
Ⅱ 方案原理
一、关键技术和属于
1、零配置自动部署管理
零配置自动部署管理(ZAM),设备可通过管理口、物理口以及SVI 口执行零配置流程,开始执行零配置流程时,获取所有up的物理以及SVI口。然后依次在每一个端口上执行零配置流程,直到零配置成功。其中,如果用于执行零配置的端口在最后才遍历到,则零配置可能需要耗时较长的时间才执行成功。当前方案实现中,不支持管理口zam零配置入网,同时管理SVI的管理vlan只能是vlan 1。
2、ADS
自动化部署功能APP,自动化运维功能APP简称。该APP安装部署在控制器系统上的docker容器内,安装后控制器可支持自动化运维功能。
3、自动化运维需要使用到的协议
(1)Netconf协议
控制器向设备的管控口,下发端口安全配置,控制器通过netconf协议,读取设备的cpu、memory、arp数和mac数等
(2)SNMP协议
Snmp协议,主要用于整网的拓扑发现,链路动态添加删除,以及整网拓扑动态全量获取和增量获取,这个是实现自动化运维零替换实现的基础。
(3)Telnet协议
用于用户远程登陆到设备,以及ADS和控制器远程登录到设备进行配置备份还原以及软件版本升级使用的协议。
二、零配置上线原理介绍
零配置上线前提:
-
支持自动化运维的接入、汇聚交换机,在空配置启动的情况下,VLAN1的SVI接口下默认启动了DHCP(ip address dhcp),即SVI 1 会动态获取IP地址;
-
支持自动化运维的设备,flash中默认存在zam.py 脚本,用于控制零配置上线的过程;
-
RG-INC-PRO部署ADS后具备DHCP Server功能;
-
在RG-INC-PRO上设定设备上线要加载的配置。
零配置上线过程:
-
零配置启机的时候,设备端会发送DHCP请求,RG-INC-PRO通过回应DHCP应答报文,报文中除了携带分配给终端使用的IP地址,同时携带Option 66和67,同步TFTP(RG-INC-PRO)地址以及启机自动化运维使用的python文件名(保存于RG-INC-PRO);
-
设备使用TFTP下载启机的python文件作为启机脚本;
-
设备运行启机脚本,不断在CLI上执行脚本上携带的配置命令,就是之前模板上定制的一些配置。
-
上线过程的日志如下:
Ⅲ 方案限制
一、基础限制
| 自动化运维 | 1、整网自动化运维只支持一个管理网段,并且只能为VLAN 1; | 未解 |
| 2、零配置入网的设备需要空配置状态下启动(不能有config.text和init_config.txt); | 未解 | |
| 3、自动化运维并非所有硬件型号和软件版本都支持,需要特定的硬件型号和软件版本(详见下一个小章节—方案组件及参数指标); | 未解 | |
| 4、如果希望已在网设备支持自动化运维,需确保硬件型号和软件版本支持,并且需要将no zam删除,或者改为zam; | 未解 | |
| 5、配置模板必须以config、config terminal 等开头,以end结果。(提交模板时会提示) | 未解 | |
| 6、零配置上线的设备,其上联设备的互联端口需要配置为trunk口,如核心设备下联口需要配置为trunk | 未解 | |
| 7、集群情况下,只有集群中的一个节点可以部署自动化运维组件,集群的其他节点不能部署自动化运维组件,但是其他节点需要配置自动化运维的IP地址,该IP地址均为部署了组件的那台控制器的IP地址。 | 未解 | |
| 8、使用自动化运维功能的交换机hostname中不能带有“#”,否者控制器会无法登陆到交换机的特权模式,会导致配置下发、配置备份、交换机升级等功能提示失败。 | 未解 | |
| 9、自动化运维组件不支持做NAT,否者会出现外网可以访问INC但是无法访问ADS的情况。 | 未解 | |
| 10、设备备份还原功能,需要手动开启设备run-shell-system功能 | 未解 |
注:控制器会通过“#”来判断是否有成功登陆到交换机的特权模式,如果hostname中有#存在(例如:zhfgn#sa-02),那么登陆交换机后,是处于“
zhfgn#sa-02>” 用户模式的,但是控制器会探测到#号存在,就以为已经到达特权模式“zhfgn#sa-02#”了,这时候控制器会在>模式下执行各种操作,但是该模式下权限不足,很多操作都会失败,最后就会报错。
二、控制器固有限制
| 控制器基础 | 1、控制器部署时不要对控制器IP在出口做NAT,防止控制器受到外部攻击导致控制器异常 | 未解 |
| 2、不允许将控制器和设备通信的网段纳管到控制器的业务子网,防止删除该网段时,交换机的ip地址也会被删除,从而出现控制器与交换机通信异常。 | 未解 | |
| 3、config页面中,控制器虚拟IP不能与控制器IP配置成一样,否则会导致控制器无法启动 | 未解 | |
| 4、INC-PRO控制器不支持降级,否则会导致业务异常 | 未解 |
Ⅳ 方案组件及参数指标
一、方案组件介绍
| 产品型号 | 软件版本 | 功能说明 |
| S57C-H系列 | 以RTR或者官网为准 | 自动化运维,具体型号请以方案版本发行说明中接入汇聚设备硬件支持情况为准 |
| 2910/v3系列 S53系列 | 以RTR或者官网为准 | 自动化运维,具体型号请以方案版本发行说明中接入汇聚设备硬件支持情况为准 |
| RG-INC-PRO (SDN控制器) | 以RTR或者官网为准 | 实现配置下发、流表下发 |
备注:
1、控制器版本随硬件出厂前,已罐装完成。后续实施正常情况下建议升级到当前已发布的最新版本;
二、版本硬件支持情况
| 硬件型号 | 硬件版本号 | 说明 |
| S2910-24GT4XS-E | 1.x | 主机 |
| S2910-48GT4XS-E | 1.x | 主机 |
| S2910C-24GT2XS-P-E | 1.x | 主机 |
| S2910C-24GT2XS-HP-E | 1.x | 主机 |
| S2910C-48GT2XS-HP-E | 1.x | 主机 |
| S2910-24GT4SFP-UP-H | 3.x | 主机 |
| S2910-24GT4SFP-UP-H | 2.x | 主机 |
| S2910-24GT4XS-UP-H | 1.x | 主机 |
| S2910-10GT2SFP-P-E | 1.x | 主机 |
| S2910-10GT2SFP-UP-H | 1.x | 主机 |
| S2910-24GT4XS-PS-E | 1.x | 主机 |
| S2910-24GT4XS-UP-H | 3.x | 主机 |
| S2910-10GT2SFP-UP-H | 3.x | 主机 |
| M2910-01XS | 1.x | 扩展卡 |
| M2910-01XT | 1.x | 扩展卡 |
| M2910-02XS | 1.x | 扩展卡 |
| S2952G-E V3 | 1.x | 主机 |
| S2928G-E V3 | 1.x | 主机 |
| 硬件型号 | 硬件版本号 | 说明 |
| S5310-24GT4XS | 1.x | 主机 |
| S5310-48GT4XS | 1.x | 主机 |
| 硬件型号 | 硬件版本号 | 说明 |
| S5750C-28GT4XS-H | 1.x | 主机 |
| S5750C-28SFP4XS-H | 1.x | 主机 |
| S5750C-48GT4XS-H | 1.x | 主机 |
| S5750C-48SFP4XS-H | 1.x | 主机 |
| S5750-48GT4XS-HP-H | 1.x | 主机 |
| M5000H-01QXS | 1.x | 扩展卡 |
| M5000H-04XS | 1.x | 扩展卡 |
| M5000H-MSC | 1.x | 扩展卡 |
| RG-PA70I | 1.x | 电源 |
| RG-PD70I | 1.x | 电源 |
Ⅴ 方案授权license说明
| 授权名称 | 授权支持的方案和主要功能 | 其他 |
| RG-INC-PRO-BASE RGG-INC-PRO-SW-NMC | 控制器平台授权,该授权包含的主要功能:环路检测+设备监控(设备健康监控)+拓扑管理 | (必选)锐捷SDN控制器授权,用于激活控制器平台 |
| RG-INC-PRO-CLUSTER | 控制器集群授权,该授权包含的主要功能:支持集群部署 | (可选)锐捷SDN控制器集群功能模块授权,每个集群成员设备必须配置一个,单台控制器不需要该授权,如果是多台控制器组件集群就需要该授权 |
| RG-INC-PRO-SW-DEVICE-xxx | 控制器可管控的网络设备数量授权,该授权包含的主要功能:支持纳管网络设备的数量 | (必选)可管控的网络设备数量,锐捷SDN方案专用节点License,每个支持增加xxx个网络节点授权(具体数量根据购买情况而定),如果没有该授权,控制器将不能纳管网络设备 |
| RG-INC-PRO-SW-AMAINT | 自动化运维方案授权 |
Ⅵ 方案设计参考
一、需要收集的信息如下:
| 信息收集类型 | 信息概述 | 收集结论 |
| 现网拓扑收集 | 基础的扁平化大二层网络 | 新建分部使用基本的扁平化即可 |
| VLAN1现网使用情况 | 现网并未使用VLAN | 不存在IP或VLAN冲突的情况,可正常部署 |
| 收集新到货的汇聚和接入设备的MAC | 通过步骤二方式收集 也可通过小工具扫描(方案部署章节有介绍) | 形成表格,后续导入INC-PRO |
| 其余业务信息收集 | 正常收集VLAN,IP,接口情况等 | 制作配置脚本,用于INC-PRO下发给设备 |
如上图,列出了新建分支的两台汇聚交换机,以及下联部分接入交换机,详细介绍如下:
1、 INC-PRO部署于服务器区,与下方管理VLAN路由可达即可;
2、 所有设备的管理网段相同,都采用VLAN 1,SVI 1;
3、 N18K将对应下联口配置成为Trunk,启用VLAN 1作为分支设备的管理VLAN;
4、 汇聚交换机、接入交换机的网段及管理VLAN如上图规划。
注:上图中仅列出新建分支的核心、汇聚、接入网络的情况,其余出口、安全等设备,以及旧网具体情况,本案例不详述。
二、VLAN/IP规划:
| 设备类型 | 管理VLAN | 管理IP分配 |
| 核心交换机 | VLAN1和其他 | 10.10.10.1/24(此处仅列出针对新建分部的管理IP) |
| 汇聚交换机 | VLAN1和其他 | 10.10.10.2/24 – 10.10.10.10/24 |
| 接入交换机 | VLAN1和其他 | 10.10.10.11/24 – 10.10.10.254/24 |
如上表,核心交换连接了总部及各分部的交换机,当前与其他分部交换机使用的管理VLAN并非为VLAN 1,此处仅要求N18K与新建分部(需要自动化运维)的设备使用VLAN 1作为管理VLAN,网关N18K上配置SVI 1的IP地址作为下方汇聚、接入设备的网关。
其余分部管理VLAN以及整往业务VLAN规划,本案例不详细介绍。
需要将上述表格规划内容放到如下表格中,因此可以在一开始规划的时候就使用下表
如上图(仅列出两台设备,其余设备此处未列出),规划相关信息,该表格请在INC-PRO上下载(下方章节有介绍),各参数注释如下:
1、 网关:分支汇聚、接入设备的管理VLAN的网关,N18K配置,必须使用VLAN1;
2、 设备名称:建议与地理位置相关,以便在INC-PRO上可以很快识别到设备位置;
3、 设备角色:汇聚则为业务汇聚,接入则为业务接入;
4、 设备MAC:可手动输入设备面板上的MAC,也可通过小工具扫描(下文介绍);
5、 所在区域及详细位置:根据具体情况配置,根据实际情况配置。
Ⅶ 实施前准备
一、授权导入
二、汇聚、接入设备升级
到货设备携带的软件版本非自动化运维支持的版本,需要先升级到支持自动化运维的版本,后续才能进行自动化运维。
