已有帐户?

  •   个性化内容
  •   您的产品和支持

需要帐户?

创建帐户

思科技术在思科

Cisco DNA Center:基于意图的网络的初步成果

 

为何要采用基于意图的网络?

如果您拥有成千上万台网络设备(例如我们有 15000 台),利用高效的管理方法可以大幅节省运营成本,并显著提高运营灵活性。现在,我们可以提供一系列卓越的工具,用于实现零接触部署、软件映像管理和交换矩阵管理。不过在 IT 经理 Stephen Hoover 看来:“纵使如此,与服务器和存储管理相比,网络管理和自动化的发展要慢得多,我们希望这两个方面有更进一步的发展。” 我们最迫切希望实现的是以下两项功能:

  • 用单一管理平台取代多个管理应用。这样做的目标是让工程师能在单一界面中不受地理位置限制地查看全球网络中发生的一切情况。
  • 尽可能让各种操作都实现自动化,包括访问控制、无线网络状态感知、故障排除和问题解决、故障单生成、配置以及软件映像管理。

自动化正是让我们如此期待基于意图的网络的原因。“只有将我们工程师的聪明才智用于解决复杂的问题,才能真正发挥他们最大的价值。”Hoover 说,“让他们去执行那些可以而且应当实现自动化的任务,就是在浪费人才。”

这就是基于意图的网络背后的核心理念。您只需表达自己的业务意图(例如“限制仅 A 组工程师可以访问此数据库”),然后由网络自动帮您实现该意图。将许多单独的步骤整合为一个自动化流程可以减少错误,提高效率,并节省时间。

如何实现:Cisco DNA Center

利用 Cisco DNA Center,我们在实现前文所述的两个目标(统一的网络视图和基于意图的网络)方面取得了一些初步成果。Cisco DNA Center 整合了我们目前使用的多种管理工具的功能。它不仅是一种集中管理控制面板,而且还能自动执行调配和变更管理,依据我们的策略来检查合规性,并捕获资产日志。通过分析资产日志,我们可以排除故障、解决问题或执行预防性维护。

思科 IT 部门总会“一马当先”地试用思科推出的新产品(例如 Cisco DNA Center)。这意味着,在我们将产品投入市场时,我们交付给客户的产品已经按照我们内部的建议进行了优化。作为 Cisco DNA Center 的第零位客户,我们与业务部门合作,告知他们我期望实现什么新功能,如何调整用户界面和报告漏洞。

目前,我们已将 Cisco DNA Center 用于生产环境,通过它支持软件定义接入和无线网络状态感知。我们还与业务部门积极合作,共同开发更加动态的基于情景的控制面板,用于协助事件解决,在维修管理工具中自动生成故障单,并实现自动化软件映像管理。我们即将推出即插即用部署(也称为零接触部署)。

下表总结了我们预计 Cisco DNA Center 能够实现的优势。本文剩余部分将阐述我们目前正在执行的工作以及最新进展。

网络状态感知(已投入使用)

通过分析历史和实时活动日志,确定网络问题的原因,我们可以在问题出现之前做出预测,防患于未然。过去,我们的做法是将这些日志存储在设备本地。这样做的弊病在于,设备内存很快就会占满,我们所能收集和分析的信息量也会因此受到限制。而且如果发生故障的设备需要重启,我们就会丢失这些日志,使我们更难确定故障的原因。

现在,我们开始使用 Cisco DNA Center 在服务器(而非设备)上收集和分析信息。这种方法可以帮助我们改善调查分析,加快故障排除的速度。我们正在美国、澳大利亚、加拿大、英国、印度、日本、挪威、波兰和新加坡的 15 个站点开展试点。在试点站点,无线控制器持续向 Cisco DNA Center 发送遥测数据。如果有人报告连接问题,服务中心工程师会查看 Cisco DNA Center,快速确定问题是出自网络还是用户设备。

今后,我们还将提供自助式故障排除功能。比如说,您遇到无线上网问题,这可能是因为存在覆盖盲点或无线接入点故障。我们设想的一种解决方案是,您只需进入楼内的 Webex Teams 会议室,然后输入问题,比如“为什么我无法连接到网络?” 一台机器人会检索 Cisco DNA Center 的数据,然后回答:“根据数据显示,问题似乎出在您的笔记本电脑上。我已经向桌面服务团队提交案例,这是案例编号。” 或者,它也可能会说:“似乎您所在楼层的每个人都有同样的问题。我已经向网络团队提交案例,这是案例编号。” 这样不仅能更快解决您的问题,而且还可以减少服务中心的成本支出。

软件定义的接入(已投入使用)

目前,我们可以基于用户身份自动执行访问控制。如果您试图连接到我们的网络,思科身份服务引擎 (ISE) 会同时检查您的身份和设备,以决定是否将您连接到生产环境、实验室或访客网络。

借助 Cisco DNA Center,我们开始基于特定应用或时间控制接入。例如,我们可向使用新 Web 界面的合同制员工授予 Web 前端的访问权限,但不向其授予数据库的访问权限。或者,我们可以为一场高管网络研讨会授予最高网络优先级 30 分钟。“到目前为止,为特定的流量指定一段时间内的优先级非常费事,以致于我们很少那么做。”企业网络架构师 Dipesh Patel 说。

我们正在澳大利亚北悉尼的办公室展开软件定义的接入试点。我们使用 ISE 为每位用户设置策略,包括永久性或在限定时间内限制访问特定应用。例如,我们可以向合同制员工授予仅在下周一上午 8:00 到中午 12:00 可以访问实验室网络的权限。

我们还可以让特定团队的用户仅能访问生产网络的特定应用。ISE 与 Cisco DNA Center 共享策略,后者可指示所有交换机执行该策略。交换机为每位用户的流量打上标记。“标记有点类似于员工身份识别卡,让用户仅能够访问特定的位置。” Patel 说。

动态事件控制面板(功能开发中)

直至最近,我们一直都在结合使用多种应用来监控网络运行状况并解决问题。现在我们正与业务部门合作,将同样的功能迁移到 Cisco DNA Center 中。由此带来的一项直接成果就是能够通过单一管理平台查看任何位置(从源到目的地)的服务流。(以前,我们一次只能查看一个大区或区域。)在单一管理平台上可以洞察一切网络情况,这能帮助我们的工程师更快发现问题及其情景,从而更快解决问题。

我们还在与业务部门合作,添加更多故障排除和事件解决功能。首先,如果 Cisco DNA Center 报告某台设备出现了问题,我们仅需几次点击操作就能创建动态事件控制面板。控制面板将显示受影响设备及其邻居的信息,更便于查找和解决问题。

如果补救措施是更改配置,我们只需输入一次配置更改,然后就能通过一次点击操作将其应用到一组交换机中。假如我们发现新的安全威胁,需要快速更改大楼内几百台设备的安全设置,在这种情况下,提高配置更改的速度将很有价值。

今后会怎么样?在提交案例时,Cisco DNA Center 会在案例中提供工程师初步排除故障所需的信息。业务部门正在根据我们的建议,努力使系统还能根据机器学习和机器推理,显示可能的故障原因和建议采取的措施。随着客户和我们持续使用 Cisco DNA Center,措施建议将变得越来越准确。或许某一天,Cisco DNA Center 甚至会让工程师只需点击一下鼠标,即可采取建议的措施来修复问题。

故障单自动生成(功能开发中)

我们希望单一管理平台还能容纳第三方管理工具。为此,我们目前正在将 Cisco DNA Center 与我们的故障单系统 ServiceNow 集成。不久我们还将添加其他备受欢迎的系统,包括 NetSuite 和 Remedy。我们的设想是:当 Cisco DNA Center 检测到故障时,系统会自动创建案例,将其标记为 1 级、2 级或 3 级支持,并附上受影响设备和相邻设备的日志。因此,支持工程师可以快速提取到相关日志。

自动化的软件映像管理(功能开发中)

如今,我们的网络工程师将 20% 到 40% 的时间都花在代码升级上。我们目前没有高效的批量升级解决方案,因此工程师需要按照包含 30 到 50 个步骤的手册逐一手动升级设备。Hoover 表示,手动升级会导致两个问题。“一个问题是,每当有新映像通过认证时,我们都没有足够的时间升级每一台设备,因此会优先执行安全升级。”他说,“因此在任何指定时间,都只有约 55% 到 60% 的设备与最新映像一致。” 另一个问题是,手动步骤不可避免地会导致网络错误。事实上,大多数网络相关故障的原因都可以追溯到网络变更。

作为 Cisco DNA Center 的第零位客户,我们正与业务部门合作,使代码升级实现自动化,消除故障。我们计划在 10 到 15 个站点展开 Cisco DNA Center 的软件映像管理功能试点。Cisco DNA Center 将识别映像过期的设备,然后提前数小时或数天将当前代码转储到那些设备上,再进行激活。我们将等到正常办公时间结束后或在周末激活新代码,这样变更就不会打断该办公室人员的工作。

我们预计自动化软件映像管理功能将使映像一致性从 55%-60% 提高到 70% 以上。预计每个办公室安全漏洞修补的平均修复时间 (MTTR) 将从目前的 2 小时缩短到 1 小时。也就是说,这不但会使我们暴露在漏洞风险下的时间缩短 50%,并且还会使我们 285 个中小型办公室的每次升级节省 570 个工时。

即插即用(已规划)

即插即用也就是我们以前所称的零接触交换矩阵部署。我们预计这项功能实现后,可以为我们节省大量成本。目前我们每年通过机群计划 (fleet program) 花费 800 万美元进行交换机和路由器硬件以及代码的升级。比如,一家南美分支机构计划将采用一台全新的 Catalyst 9000。按照目前的方式,我们先将其发送到地区发货仓库,一位工程师会在那里转储代码并应用配置。仓库人员重新包装设备并将其发往目的地,然后由我们派到现场的工程师对设备进行机架堆叠式安装。“我们会产生两倍的运输费用,还要加上工程师的时间和差旅成本。”David Maksim 说。

借助即插即用功能,我们能把新设备直接发往该分支机构,并由当地的供应商启动设备。该交换机将自动连接到 Cisco DNA Center,根据序列号检索正确的代码。“通过自动化和集中式管理,我们用更少的工程师就能管理更多站点的设备升级,而且不需要出差。”Hoover 说。

我们预计即插即用功能将使机群计划成本降低约 25%,即每年节省约 160 万美元。节省的成本包括以下方面:

  • 通过将设备直接发往目的站点,降低 50% 的运输成本。
  • 消除原本需要为每个站点机群升级安排的 1-2 名工程师的差旅成本。
  • 通过自动化步骤缩短工程师在升级上花费的时间。
  • 减少错误以及从错误中恢复所需的时间。“在仓库错误输入命令会导致分支机构人员在办公室花费 10 分钟到 2 小时绞尽脑汁解决问题。”Maksim 说,“基于意图的网络可以避免这种浪费时间和中断工作的情况。”

后续行动

完成本文所述 Cisco DNA Center 使用案例的共同开发,我们会从多达 500 人的远程办公室开始将其投入使用。在此过程中,我们将继续扮演第零位客户的角色,与业务部门紧密合作,提供新的使用案例并分享我们的经验,从而继续为我们的客户创造商业价值。

相关详细信息