La gestion de la configuration est une collection de processus et d'outils qui favorisent la cohérence de réseau, dépistent la modification de réseau, et fournissent la documentation réseau et la visibilité à jour. En établissant et en mettant à jour des meilleures pratiques de gestion de la configuration, vous pouvez vous attendre à plusieurs avantages tels que la disponibilité améliorée du réseau et des coûts inférieurs. Ceux-ci incluent :
Réduction des coûts d'assistance en raison d'une diminution des problèmes d'assistance réactive.
Réduction des coûts réseau grâce aux outils et processus de suivi des périphériques, des circuits et des utilisateurs qui identifient les composants réseau inutilisés.
Amélioration de la disponibilité du réseau grâce à la diminution des coûts d'assistance réactifs et à l'amélioration des délais de résolution des problèmes.
Nous avons constaté les problèmes suivants dus à un manque de gestion de la configuration :
Incapacité à déterminer l'impact des modifications du réseau sur l'utilisateur
Problèmes d'assistance réactifs accrus et disponibilité réduite
Temps accru pour résoudre les problèmes
Coûts réseau plus élevés en raison des composants inutilisés du réseau
Ce document de bonnes pratiques fournit un organigramme de processus pour la mise en oeuvre d'un plan de gestion de la configuration réussi. Nous allons examiner en détail les étapes suivantes : créer des normes, tenir à jour la documentation, valider et vérifier les normes.
Le schéma ci-dessous montre comment utiliser les facteurs de réussite critiques suivis d'indicateurs de performance pour mettre en oeuvre un plan de gestion de la configuration réussi.
La création de normes de cohérence du réseau permet de réduire la complexité du réseau, le nombre d'interruptions non planifiées et l'exposition aux événements affectant le réseau. Nous recommandons les normes suivantes pour une cohérence optimale du réseau :
Le contrôle des versions logicielles est la pratique consistant à déployer des versions logicielles cohérentes sur des périphériques réseau similaires. Cela améliore les chances de validation et de test des versions logicielles choisies et limite considérablement le nombre de défauts logiciels et de problèmes d'interopérabilité détectés sur le réseau. Des versions logicielles limitées réduisent également le risque de comportement inattendu avec les interfaces utilisateur, les sorties de commande ou de gestion, le comportement de mise à niveau et le comportement des fonctionnalités. Cela rend l'environnement moins complexe et plus facile à prendre en charge. Dans l'ensemble, le contrôle des versions logicielles améliore la disponibilité du réseau et réduit les coûts d'assistance réactifs.
Remarque : Les périphériques réseau similaires sont définis comme des périphériques réseau standard avec un châssis commun fournissant un service commun.
Implémentez les étapes suivantes pour le contrôle de version du logiciel :
Déterminer les classifications des périphériques en fonction des exigences en matière de châssis, de stabilité et de nouvelles fonctionnalités.
Ciblez les versions logicielles individuelles pour des périphériques similaires.
Tester, valider et tester les versions logicielles choisies.
Documenter les versions réussies comme standard pour la classification de périphériques similaires.
Déployer ou mettre à niveau régulièrement tous les périphériques similaires vers une version logicielle standard.
La gestion des adresses IP est le processus d’allocation, de recyclage et de documentation des adresses IP et des sous-réseaux d’un réseau. Les normes d’adressage IP définissent la taille des sous-réseaux, l’attribution des sous-réseaux, l’attribution des périphériques réseau et l’attribution des adresses dynamiques dans une plage de sous-réseaux. Les normes de gestion des adresses IP recommandées réduisent les possibilités de chevauchement ou de dupliquer les sous-réseaux, de non-récapitulation dans le réseau, d'attribution de périphériques d'adresses IP en double, d'espace d'adressage IP perdu et de complexité inutile.
La première étape d’une gestion réussie des adresses IP consiste à comprendre les blocs d’adresses IP utilisés dans le réseau. Dans de nombreux cas, les organisations réseau doivent s'appuyer sur l'espace d'adressage RFC 1918 , qui n'est pas adressable sur Internet, mais peut être utilisé pour accéder au réseau en conjonction avec la traduction d'adresses de réseau (NAT). Une fois que vous avez défini les blocs d'adresses, allouez-les aux zones du réseau de manière à promouvoir le résumé. Dans de nombreux cas, vous devrez subdiviser ces blocs en fonction du nombre et de la taille des sous-réseaux dans la plage définie. Vous devez définir des tailles de sous-réseau standard pour les applications standard, telles que la création de tailles de sous-réseau, les tailles de sous-réseau de liaison WAN, la taille de sous-réseau de bouclage ou la taille de sous-réseau de site WAN. Vous pouvez ensuite allouer des sous-réseaux pour de nouvelles applications à partir d'un bloc de sous-réseaux dans un bloc de résumé plus grand.
Prenons par exemple un grand réseau d'entreprise avec un campus de la côte est, un campus de la côte ouest, un WAN domestique, un WAN européen et d'autres sites internationaux majeurs. L'organisation alloue des blocs de routage CIDR (Classless Interdomain Routing) IP contigus à chacune de ces zones pour promouvoir le résumé IP. L'organisation définit ensuite les tailles de sous-réseau dans ces blocs et alloue des sous-sections de chaque bloc à une taille de sous-réseau IP particulière. Chaque bloc principal ou l'espace d'adressage IP entier peut être documenté dans une feuille de calcul montrant les sous-réseaux alloués, utilisés et disponibles pour chaque taille de sous-réseau disponible dans le bloc.
L’étape suivante consiste à créer des normes pour les affectations d’adresses IP dans chaque plage de sous-réseaux. Les adresses virtuelles des routeurs et du protocole HSRP (Hot Standby Router Protocol) d'un sous-réseau peuvent se voir attribuer les premières adresses disponibles dans la plage. Les prochaines adresses disponibles peuvent être attribuées aux commutateurs et aux passerelles, suivies d’autres affectations d’adresses fixes et enfin d’adresses dynamiques pour DHCP. Par exemple, tous les sous-réseaux utilisateur peuvent être des sous-réseaux /24 avec 253 affectations d'adresses disponibles. Les adresses .1 et .2 peuvent être attribuées aux routeurs, et l'adresse HSRP l'adresse .3, les commutateurs .5 à .9 et la plage DHCP de .10 à .253. Quelles que soient les normes que vous développez, elles doivent être documentées et référencées dans tous les documents de plan d'ingénierie de réseau afin d'assurer un déploiement homogène.
L'utilisation cohérente et structurée des conventions d'attribution de noms et du DNS pour les périphériques vous aide à gérer le réseau de la manière suivante :
Crée un point d'accès cohérent aux routeurs pour toutes les informations de gestion de réseau associées à un périphérique.
Réduit les opportunités de doublons d'adresses IP.
Crée une identification simple d'un périphérique indiquant son emplacement, son type et son objectif.
Améliore la gestion des stocks en fournissant une méthode plus simple d'identification des périphériques réseau.
La plupart des périphériques réseau disposent d’une ou deux interfaces pour gérer le périphérique. Il peut s’agir d’une interface Ethernet intrabande ou hors bande et d’une interface console. Vous devez créer des conventions d'attribution de noms pour ces interfaces en fonction du type de périphérique, de l'emplacement et du type d'interface. Sur les routeurs, nous vous recommandons fortement d’utiliser l’interface de bouclage comme interface de gestion principale, car elle est accessible à partir de différentes interfaces. Vous devez également configurer les interfaces de bouclage comme adresse IP source pour les interruptions, SNMP et les messages syslog. Les interfaces individuelles peuvent ensuite avoir une convention d’attribution de noms qui identifie le périphérique, l’emplacement, l’objectif et l’interface.
Nous vous recommandons également d'identifier les plages DHCP et de les ajouter au DNS, y compris l'emplacement des utilisateurs. Il peut s'agir d'une partie de l'adresse IP ou d'un emplacement physique. Par exemple, « dhcp-bldg-c21-10 » à « dhcp-bldg-c21-253 », qui identifie les adresses IP dans le bâtiment C, deuxième étage, local technique 1. Vous pouvez également utiliser le sous-réseau précis pour l'identification. Une fois qu'une convention d'attribution de noms a été créée pour les périphériques et DHCP, vous avez besoin d'outils pour suivre et gérer les entrées, tels que Cisco Network Registrar.
La configuration standard s’applique aux configurations de protocole et de support, ainsi qu’aux commandes de configuration globale. Les descripteurs sont des commandes d’interface utilisées pour décrire une interface.
Nous vous recommandons de créer des configurations standard pour chaque classification de périphérique, par exemple routeur, commutateur LAN, commutateur WAN ou commutateur ATM. Chaque configuration standard doit contenir les commandes de configuration globale, multimédia et de protocole nécessaires pour maintenir la cohérence du réseau. La configuration des supports inclut la configuration ATM, Frame Relay ou Fast Ethernet. La configuration de protocole inclut des paramètres de configuration de protocole de routage IP standard, des configurations de qualité de service (QoS) communes, des listes d’accès communes et d’autres configurations de protocole requises. Les commandes de configuration globale s'appliquent à tous les périphériques similaires et incluent des paramètres tels que les commandes de service, les commandes IP, les commandes TACACS, la configuration vty, les bannières, la configuration SNMP et la configuration NTP (Network Time Protocol).
Les descripteurs sont développés en créant un format standard qui s’applique à chaque interface. Le descripteur inclut l'objectif et l'emplacement de l'interface, d'autres périphériques ou emplacements connectés à l'interface, ainsi que les identificateurs de circuit. Les descripteurs aident votre organisation de support à mieux comprendre l'étendue des problèmes liés à une interface et permettent une résolution plus rapide des problèmes.
Nous vous recommandons de conserver les paramètres de configuration standard dans un fichier de configuration standard et de télécharger le fichier sur chaque nouveau périphérique avant la configuration du protocole et de l'interface. En outre, vous devez documenter le fichier de configuration standard, y compris une explication de chaque paramètre de configuration globale et pourquoi il est important. Cisco Resource Manager Essentials (RME) peut être utilisé pour gérer les fichiers de configuration standard, la configuration de protocole et les descripteurs.
Les procédures de mise à niveau permettent de s'assurer que les mises à niveau logicielles et matérielles se déroulent en douceur avec un temps d'arrêt minimal. Les procédures de mise à niveau incluent la vérification du fournisseur, les références d'installation du fournisseur telles que les notes de version, les méthodologies ou étapes de mise à niveau, les directives de configuration et les exigences de test.
Les procédures de mise à niveau peuvent varier considérablement selon les types de réseau, les types de périphériques ou les nouvelles exigences logicielles. Les exigences de mise à niveau de chaque routeur ou commutateur peuvent être développées et testées au sein d'un groupe d'architecture et référencées dans toute documentation de modification. D'autres mises à niveau, impliquant des réseaux entiers, ne peuvent pas être testées aussi facilement. Ces mises à niveau peuvent nécessiter une planification plus approfondie, l'implication des fournisseurs et des étapes supplémentaires pour garantir le succès.
Vous devez créer ou mettre à jour des procédures de mise à niveau en conjonction avec tout nouveau déploiement logiciel ou version standard identifiée. Les procédures doivent définir toutes les étapes de la mise à niveau, faire référence à la documentation du fournisseur relative à la mise à jour du périphérique et fournir des procédures de test pour valider le périphérique après la mise à niveau. Une fois les procédures de mise à niveau définies et validées, la procédure de mise à niveau doit être référencée dans toute la documentation de modification appropriée à la mise à niveau particulière.
Vous pouvez utiliser des modèles de solution pour définir des solutions réseau modulaires standard. Un module de réseau peut être un local technique, un bureau de site WAN ou un concentrateur d’accès. Dans chaque cas, vous devez définir, tester et documenter la solution pour vous assurer que des déploiements similaires peuvent être effectués exactement de la même manière. Cela garantit que les changements futurs se produiront à un niveau de risque beaucoup plus faible pour l'entreprise, car le comportement de la solution est bien défini.
Créer des modèles de solution pour tous les déploiements et solutions à risque élevé qui seront déployés plusieurs fois. Le modèle de solution contient toutes les exigences standard en matière de matériel, de logiciels, de configuration, de câblage et d'installation pour la solution réseau. Les détails spécifiques du modèle de solution sont présentés comme suit :
Les modules matériels et matériels, notamment la mémoire, la mémoire flash, l'alimentation et les cartes.
Topologie logique comprenant l’affectation des ports, la connectivité, la vitesse et le type de support.
Versions logicielles, y compris les versions de module ou de micrologiciel.
Toutes les configurations non standard et non spécifiques aux périphériques, y compris les protocoles de routage, les configurations de support, la configuration VLAN, les listes d’accès, la sécurité, les chemins de commutation, les paramètres Spanning Tree, etc.
Exigences de gestion hors bande.
câblage requis.
Configuration requise pour l'installation, notamment les environnements, l'alimentation et les emplacements des racks.
Notez que le modèle de solution ne contient pas de nombreuses exigences. Les exigences spécifiques telles que l'adressage IP pour la solution spécifique, l'attribution de noms, les affectations DNS, les affectations DHCP, les affectations PVC, les descripteurs d'interface, etc., doivent être couvertes par les pratiques globales de gestion de la configuration. Les exigences plus générales, telles que les configurations standard, les plans de gestion des changements, les procédures de mise à jour de la documentation ou les procédures de mise à jour de la gestion du réseau, doivent être couvertes par les pratiques générales de gestion de la configuration.
Nous vous recommandons de documenter le réseau et les modifications qui se sont produites sur le réseau en temps quasi réel. Vous pouvez utiliser ces informations précises sur le réseau pour le dépannage, les listes de périphériques des outils de gestion du réseau, l'inventaire, la validation et les audits. Nous vous recommandons d'utiliser les facteurs de réussite critiques suivants de la documentation réseau :
Les informations actuelles sur les périphériques, les liaisons et l'inventaire des utilisateurs finaux vous permettent de suivre l'inventaire et les ressources du réseau, l'impact des problèmes et l'impact des changements sur le réseau. La capacité à suivre l'inventaire du réseau et les ressources en fonction des besoins des utilisateurs permet de s'assurer que les périphériques réseau gérés sont activement utilisés, fournit les informations nécessaires aux audits et aide à gérer les ressources des périphériques. Les données de la relation utilisateur final fournissent des informations permettant de définir les risques et l'impact des changements, ainsi que la possibilité de dépanner et de résoudre plus rapidement les problèmes. Les bases de données d'inventaire des périphériques, des liaisons et des utilisateurs finaux sont généralement développées par de nombreuses grandes organisations de fournisseurs de services. Le principal développeur de logiciels d'inventaire de réseau est Visionael Corporation . La base de données peut contenir des tables pour des périphériques, des liens et des données utilisateur/serveur similaires, de sorte que lorsqu'un périphérique est en panne ou que des modifications de réseau surviennent, vous pouvez facilement comprendre l'impact sur l'utilisateur final.
Un système de contrôle de version de configuration gère les configurations en cours de tous les périphériques et un nombre défini de versions précédentes en cours d'exécution. Ces informations peuvent être utilisées pour le dépannage et les audits de configuration ou de modification. Lors du dépannage, vous pouvez comparer la configuration en cours à des versions de travail précédentes pour vous aider à comprendre si la configuration est liée au problème de quelque manière que ce soit. Nous vous recommandons de conserver trois à cinq versions de travail précédentes de la configuration.
Pour identifier qui a apporté des modifications à la configuration et quand, vous pouvez utiliser la journalisation TACACS et NTP. Lorsque ces services sont activés sur les périphériques réseau Cisco, l'ID utilisateur et l'horodatage sont ajoutés au fichier de configuration au moment de la modification de configuration. Ce tampon est ensuite copié avec le fichier de configuration dans le système de contrôle de version de configuration. Le TACACS peut ensuite servir de moyen de dissuasion pour les changements non gérés et fournir un mécanisme permettant de vérifier correctement les changements qui se produisent. TACACS est activé à l'aide du produit Cisco Secure. Lorsque l'utilisateur se connecte au périphérique, il doit s'authentifier auprès du serveur TACACS en fournissant un ID utilisateur et un mot de passe. Le protocole NTP est facilement activé sur un périphérique réseau en pointant le périphérique sur une horloge maître NTP.
La documentation topologique aide à comprendre et à prendre en charge le réseau. Vous pouvez l'utiliser pour valider les directives de conception et mieux comprendre le réseau pour la conception, les modifications ou le dépannage futurs. La documentation topologique doit inclure à la fois la documentation logique et physique, y compris la connectivité, l'adressage, les types de supports, les périphériques, l'agencement des racks, l'affectation des cartes, le routage des câbles, l'identification des câbles, les points de terminaison, les informations d'alimentation et d'identification des circuits.
La maintenance de la documentation topologique est la clé du succès de la gestion de la configuration. Pour créer un environnement dans lequel la maintenance de la documentation topologique peut avoir lieu, il faut souligner l'importance de la documentation et les informations doivent être disponibles pour les mises à jour. Nous vous recommandons vivement de mettre à jour la documentation de la topologie chaque fois que le réseau change.
La documentation de la topologie du réseau est généralement mise à jour à l'aide d'une application graphique telle que Microsoft Visio . D'autres produits comme Visionael
offrent des fonctionnalités supérieures de gestion des informations topologiques.
Les indicateurs de performance de gestion de la configuration fournissent un mécanisme permettant de valider et d'auditer les normes de configuration du réseau et les facteurs de réussite critiques. En mettant en oeuvre un programme d'amélioration des processus pour la gestion de la configuration, vous pouvez utiliser les indicateurs de performances pour identifier les problèmes de cohérence et améliorer la gestion globale de la configuration.
Nous vous recommandons de créer une équipe interfonctionnelle pour mesurer le succès de la gestion de la configuration et améliorer les processus de gestion de la configuration. Le premier objectif de l'équipe est de mettre en oeuvre des indicateurs de performance de gestion de la configuration afin d'identifier les problèmes de gestion de la configuration. Nous aborderons en détail les indicateurs de performances de gestion de la configuration suivants :
Après avoir évalué les résultats de ces vérifications, lancez un projet pour corriger les incohérences, puis déterminez la cause initiale du problème. Les causes possibles sont le manque de documentation sur les normes ou l'absence de processus cohérent. Vous pouvez améliorer la documentation des normes, mettre en oeuvre des formations ou améliorer les processus pour éviter d'autres incohérences de configuration.
Nous recommandons des audits mensuels, ou peut-être trimestriels si seule la validation est nécessaire. Examiner les audits antérieurs pour confirmer que les problèmes passés sont résolus. Recherchez des améliorations et des objectifs généraux pour démontrer les progrès et la valeur. Créez des mesures pour indiquer la quantité d'incohérences de configuration réseau à risque élevé, à risque moyen et à faible risque.
Le contrôle de l’intégrité de la configuration doit évaluer la configuration globale du réseau, sa complexité et sa cohérence, ainsi que les problèmes potentiels. Pour les réseaux Cisco, nous vous recommandons d'utiliser l'outil de validation de configuration Netsys. Cet outil entre toutes les configurations de périphériques et crée un rapport de configuration qui identifie les problèmes actuels tels que les adresses IP en double, les incohérences de protocole et les incohérences. L'outil signale tout problème de connectivité ou de protocole, mais n'entre pas de configuration standard pour l'évaluation sur chaque périphérique. Vous pouvez examiner manuellement les normes de configuration ou créer un script qui signale les différences de configuration standard.
Les audits de périphériques, de protocoles et de supports sont un indicateur de performance pour la cohérence des versions logicielles, des périphériques et modules matériels, des protocoles et des supports, ainsi que des conventions de noms. Les audits doivent d'abord identifier les problèmes non standard, ce qui devrait conduire à des mises à jour de configuration pour résoudre ou améliorer les problèmes. Évaluer les processus globaux afin de déterminer comment ils peuvent empêcher des déploiements sous-optimaux ou non standard.
Cisco RME est un outil de gestion de la configuration qui permet d'auditer et de générer des rapports sur les versions matérielles, les modules et les versions logicielles. Cisco développe également des audits multimédias et de protocoles plus complets qui signaleront des incohérences avec IP, DLSW, Frame Relay et ATM. Si aucun audit de protocole ou de support n'est développé, vous pouvez utiliser des audits manuels, tels que l'examen des périphériques, des versions et des configurations pour tous les périphériques similaires d'un réseau, ou en vérifiant par sondage les périphériques, les versions et les configurations.
Cet indicateur de performance examine la documentation relative au réseau et aux normes pour s'assurer que les informations sont exactes et à jour. La vérification devrait inclure l'examen de la documentation actuelle, la recommandation de modifications ou d'ajouts et l'approbation de nouvelles normes.
Vous devez consulter la documentation suivante tous les trimestres : définitions de configuration standard, modèles de solution comprenant les configurations matérielles recommandées, versions logicielles standard actuelles, procédures de mise à niveau pour tous les périphériques et versions logicielles, documentation topologique, modèles actuels et gestion des adresses IP.