BPA用户指南金牌配置模板下一代V5.1
简介
金牌设备配置模板(GCT)提供预定义的配置,允许用户在设备上保持一致的配置。这样可提高运营效率,减少配置错误,并支持合规性标准和最佳实践。GCT可以参数化,以便跨多个设备和控制器重复使用模板。它还支持模板的创建和管理。
为使用GCT管理多个控制器实例之间的配置提供统一的用户体验。它允许用户创建设备配置模板,导入模板,并在应用中搜索特定模板。用户还可以根据需要查看、编辑、删除和克隆模板。
管理模板
GCT支持多种高级功能,例如比较不同的模板、克隆现有模板并将它们分发到目标控制器,从而在整个网络中实现精简且一致的配置管理。
可用菜单选项
GCT包括以下菜单选项:
- 创建模板:启动模板创建流程
- 上传:上传模板
- DELETE :一次删除多个模板
- 下载:下载模板的当前配置
- 分发:将模板分发或复制到目标控制器(不同于源控制器)
- 同步模板:从源控制器获取更新的模板配置
创建模板
“创建模板”功能允许用户高效地构建针对各种平台定制的新配置模板。这支持为多个控制器创建模板,包括:Cisco Network Services Orchestrator(NSO)、Ansible、Cisco Catalyst Center、Cisco Nexus Dashboard Fabric Controller(NDFC)、Cisco Crosswork Network Controller(CNC)和Device to Device(D2D)。
要创建新模板,请执行以下操作:
- 登录到BPA应用。
- 单击Templates选项卡。
- 选择更多选项图标> 创建模板。
创建模板流程包括四(4)个里程碑以及选择控制器类型和控制器实例的前提步骤。
这四个里程碑是:
- 模板详细信息
- 配置
- 分配变量
- 审核
模板详细信息
Template Details部分允许用户定义配置模板的核心属性和元数据。
以下是Cisco Catalyst中心控制器类型的模板详细信息部分中的字段:
- 模板名称
- 目的:一个必填字段,用户可以在其中为模板输入唯一的描述性名称
- 输入:文本输入(例如,My_Core_Router_Template或Branch_Switch_Config_v2)
- version
- 目的:显示模板的当前版本;它通常自动填充并指示模板的小版本
- 输入:只读;新模板默认为一(1)
- 描述
- 目的:全面介绍模板的用途、实施的具体配置以及任何其他相关说明
- 输入:自由格式文本(例如,此模板适用于企业核心路由器的标准服务质量(QoS)和路由配置。)
- 标签
- 目的:允许用户将一个或多个标记与模板关联,以便更轻松地分类和搜索
- 输入:从预定义列表中选择一个或多个选项
- 操作系统类型
- 目的:一个必填字段,用于指定设计此模板的操作系统类型(例如,IOS XE、NX-OS)
- 输入:从下拉列表中选择一个选项
- 项目
- 目的:将模板分配给特定项目的必填字段,有助于组织和访问控制
- 输入:从下拉列表中选择一个选项
- 模板标记
- 目的:与“标记”类似,这些标记是与要在BPA中使用的模板本身相关的特定标记
- 输入:从预定义列表中选择一个或多个选项
- 语言
- 目的:一个必填字段,用于指定模板中配置命令的语言或格式(例如,JINJA、CLI、VELOCITY)
- 输入:从下拉列表中选择一个选项
- 设备类型
- 目的:一个必填字段,指示此模板用于的特定设备类型(例如,路由器、交换机、防火墙)
- 输入:从下拉列表中选择一个或多个选项
以下是NSO模板详细信息字段,不包括前面介绍的详细信息:
- 选择网络操作系统
- 目的:一个必填字段,用于指定网络操作系统(OS)和模板所设计版本,以确保模板和目标设备的操作系统之间的兼容性
- 输入:从下拉列表中选择一个选项(例如cisco-iosxr-cli-7.61)
- 来源
- 目的:一个必填字段,用于定义如何生成或获取配置模板;选项通常包括根据现有设备配置创建模板或启动新模板
- 输入:从下拉列表中选择一个选项(例如Existing Device Config)
- 选择设备
- 目的:必填字段,用于指定模板要用于的特定设备型号或类型;这有助于确保模板适用于特定硬件
- 输入:从下拉列表中选择一个选项(例如ncs-250)
- 选择配置类型
- 目的:一个必填字段,指定模板管理的配置类型,例如完整设备配置或侧重于特定功能的部分配置
- 输入:从下拉列表中选择一个选项。(例如,部分设备配置)
- 选择配置路径
- 目的:一个必填字段,用于指定模板管理的设备配置层次结构中的特定路径;这与部分配置尤其相关。
- 输入:从下拉列表中选择一个选项(例如cisco-ios-xr:call-home)
以下是NDFC的模板详细信息字段,不包括前面介绍的详细信息:
- 模板类型
- 目的:用于对模板所代表的常规配置类型进行分类的必填字段(例如POAP、POLICY、SHOW、PROFILE等)
- 输入:从预定义列表中选择一个选项
- 模板子类型
- 目的:用于进一步优化模板分类的必填字段,提供有关其功能的更具体的详细信息
- 输入:从预定义列表中选择一个选项
- 模板内容类型
- 目的:用于定义模板内内容的格式或性质的必填字段(例如CLI、Jinja2)
- 输入:从预定义列表中选择一个选项
配置
本节指导用户如何在支持各种模板格式(例如,命令行界面(CLI)、JINJA、YAML等)的语法检查的配置文本框中为其模板定义配置。 用户可以使用变量创建配置。使用变量是创建动态、可重用和可扩展配置的基础,允许将单个模板应用于具有不同参数的多个设备或服务。
示例:
对于Cisco Catalyst Center和NDFC:
hostname {{ device_name }}
同样,用户可以根据控制器定义变量。以下是图标及其用法:
| 图标 | 描述 |
|---|---|
 |
下载图标 下载配置 |
 |
清除图标 清除配置 |
 |
验证图标 验证配置 |
 |
全屏图标 全屏查看配置 |
分配变量
Assign Variables部分可供用户为Configuration部分中定义的变量提供实际值。用户可以选择从中获取值的源。
- 参考D:提供从其中获取值的实际RefD节点的名称空间和路径
- 设备:从设备获取相应变量的值
- 默认:用户定义的值
审核
这是模板创建过程的最后一步,用户可以在其中查看为模板创建提供的所有详细信息。复查后,用户可以单击Submit创建模板。
模板创建过程因控制器类型而异。例如:
- Cisco Catalyst中心:必须先在源控制器上创建模板。成功部署后,模板将保存到BPA数据库。如果部署失败,系统将显示错误消息,提示用户修复问题并重新提交模板。
- CNC、NSO、Ansible和D2D:BPA数据库提供单一数据源。验证后,模板直接保存到BPA数据库中。
在Cisco Catalyst Center中创建模板
在Cisco Catalyst Center中创建模板的步骤:
- 登录到BPA应用。
- 单击Templates选项卡。
- 选择更多选项图标> 创建模板。Golden Config Templates窗口打开。
- 更新必填字段(例如Controller Type、Controller Instance、Template Name等)。
- 更新配置部分下的配置。
- 在配置中分配可用变量。
- 查看模板,然后单击Submit。
模板已成功创建并显示在模板控制面板上。
用户可以创建各种控制器的模板,可用字段会根据所选控制器类型进行动态调整。用户界面明确指示在模板创建过程中哪些字段是必填字段和可选字段,从而确保简化且用户友好体验。
这种自适应设计有助于用户有效地提供特定于每个控制器的必要信息。有关创建模板流程的每个里程碑的详细信息,请参阅模板详细信息、配置、分配变量和审核部分。
为NSO创建模板
NSO支持以下模板配置类型:
- 手动配置:是指人工操作员在不使用NSO协调功能的情况下直接对网络设备(如路由器、交换机或防火墙)进行的任何配置更改。例如,通过Secure Shell或控制台直接登录设备并输入配置命令。
- 现有设备配置:表示在物理或虚拟网络设备上运行的完整当前配置。它是NSO在应用新配置或验证服务状态时进行比较的基准。
- 部分设备配置:是指设备配置的特定部分,NSO负责将其作为服务的一部分进行管理或协调。与作为整个配置的现有设备配置不同,部分设备配置是一个子集,代表由特定服务实例的NSO拥有和管理的配置元素。NSO通常只管理对设备配置的特定部分进行更改的服务(例如,虚拟局域网(VLAN)、虚拟专用网(VPN)隧道或特定路由协议配置)。 “部分设备配置”允许NSO只关注这些相关部分,而不接管整个设备配置。
要为NSO创建模板,请执行以下操作:
- 更新必填字段。
- 单击 Next。
Configuration部分会自动填充,如下所示:
- 使用以下语法添加变量:
- 选择设置图标。将打开Parameter desc弹出窗口。
- 将这些值赋给变量。
- 查看详细信息并单击Submit。
编辑或更新模板
编辑或更新模板的常见场景包括:
- 在所有接入点上启用新的无线安全功能(例如,具有特定EAP方法的WPA3)
- 引入具有唯一身份验证的新访客Wi-Fi SSID
- 组织决定标准化接口描述、实施新的NTP服务器层次结构或更改所有设备的日志记录目标
在这些情况下,用户需要能够编辑模板。
要编辑模板,请选择特定模板的操作列下的更多选项图标> 编辑。
这将以编辑模式打开模板。有关创建模板的更多详细信息,请参阅创建模板部分。
从模板创建或编辑错误中恢复
在模板创建或编辑过程中,用户可能会因缺少必需信息或配置问题而遇到错误。如果未更新必填字段,用户界面将突出显示这些必填字段,并且Submit按钮将保持禁用状态,直到提供所有必填信息。
如果存在配置问题,提交或验证模板时会显示弹出错误消息。弹出窗口提供控制器返回的验证错误消息,使用户能够在继续操作之前识别和解决问题。
查看模板
为了快速查看模板的配置,用户可以点击单个行,或在操作列下为每个模板选择更多选项图标> 查看选项。
删除模板
删除模板的常见方案包括:
- 当特定网络功能(例如,有线等效保密等旧身份验证方法,或特定路由协议已被淘汰)不再受支持或在网络中时。可以删除仅配置此过时功能的模板。
- 当整个办公大楼、园区或远程站点关闭并移除其网络基础设施时。可以删除仅与该位置相关的任何特定于站点的模板(例如“Branch_Office_A_Security_Template”)。
要删除模板,请执行以下操作:
- 选择所需模板的操作列下的更多选项图标> 删除。
- 单击Delete以删除模板。
下载和上传模板
下载模板的常见场景包括:
- 当用户想将Cisco Catalyst Center模板(尤其是复杂的CLI或设计模板)存储在外部版本控制系统(例如Git)中以跟踪更改、恢复到以前的版本并确保灾难恢复时
- 当用户开发和测试试运行或Cisco Catalyst Center实验室实例中的模板,并需要将其部署到Cisco Catalyst Center生产实例中时
要下载模板,请执行以下操作:
- 在所需模板的操作列下选择更多选项图标> 下载。
- 为模板提供一个名称,然后单击Save。
要上传模板,请执行以下操作:
- 更新模板名称并删除以前下载的模板的模板ID。
- 从BPA Templates选项卡中,选择More Options图标> Upload。
- 选择更新的模板。
- 选择为其创建模板的目标控制器实例。
比较模板
比较模板的常见场景包括:
- 当服务实例无法在特定设备上部署,并且用户怀疑生成的配置中因Jinja2模板或Python逻辑而存在细微错误时。将有问题的模板(或其生成的配置)与正常运行版本或已知良好的配置进行比较,有助于确定导致故障的确切线路或参数
- 当安全团队审核防火墙 — 服务模式内的逻辑时,确保其始终配置特定的安全策略或日志记录参数,或验证服务模式的YANG定义及其基础配置模板是否强制执行所有必要的安全性和合规性标准。
- 当存在两种服务模式(例如MPLS-L3VPN和SD-WAN-Overlay)时,它们会调配相似的网络结构并具有不同的底层配置。比较模板有助于了解其YANG定义或配置生成逻辑中的精确差异,从而有助于设计、支持和潜在的整合。
- 选择要比较的模板。
- 选择More Options图标> Compare。比较窗口打开。
克隆模板
克隆现有模板的常见场景包括:
- 当现有的“L3VPN服务”模式适用于Cisco IOS-XR设备时,用户需要扩展支持以包括Juniper MX系列路由器用于相同服务。用户可以克隆现有的“L3VPN服务”模型,并创建新的Jinja2模板,或在克隆的模型中修改Python逻辑,为Juniper设备生成等效的L3VPN配置,同时保持相同的高级服务抽象。
- 当用户计划重组复杂的“Internet接入服务”模式以提高其性能或添加重要的新功能时。用户需要在不影响生产服务的前提下广泛测试这些更改。他们可以克隆生产“Internet访问服务”模型,在克隆版本中实施重大更改,然后将其部署到单独的NSO实例或实验室环境进行彻底测试。
- 当用户开发“数据中心互联服务”v2.0模式时,该模式会引入突破性的更改或重要的新功能,而v1.0则仍在为现有客户生产中。他们可以克隆v1.0服务模型,并以克隆版本开发v2.0,从而使v1.0能够保持稳定并投入生产,而v2.0将进行开发、测试并最终部署。
克隆模板功能在源控制器中创建新模板。用户需要更新新模板的名称。要克隆模板,请执行以下操作:
- 在模板的操作列下选择更多选项图标> 克隆。模板以编辑模式打开。
- 提供新的模板名称。
- 单击 submit。
在vManage中克隆模板
与其他控制器不同,vManage在克隆时不会在编辑模式下打开模板。而是打开所选模板的弹出窗口,用户可以在其中更改关联的资源组。
克隆模板时,用户有两个选项:
- 维护父克隆关系:保留与克隆模板的父级之间的链接。如果父模板的配置发生更改,克隆的模板上将显示Update图标。如果需要,克隆的模板可以从父模板复制更改。
- 创建副本:创建模板的所有功能以及设备模板的副本。
分发模板
分发模板功能可帮助用户创建模板的克隆,其中目标控制器与源控制器不同。
用户将模板分发或复制到目标控制器的常见场景包括:
- 当有独立的环境用于开发或测试(试运行)和实际操作(生产)时。 新配置和功能在部署到生产环境之前会在试运行中构建和验证。
- 如果大型企业有多个DNAC部署,每个主要地理区域(例如北美、EMEA和APAC)有一个部署。 为了保持品牌一致性和运营效率,核心网络配置应该标准化。
分发模板的步骤:
- 选择要分发的模板。
- 选择More Options图标> Distribute。Distribute Template窗口打开。
- 单击Distribute Template。
在vManage中分发模板
vManage中的模板分布是单向的,从主控制器到辅助控制器。当自注册vManage控制器时,可以选择某个控制器作为主控制器,而所有其他控制器将自动分配为辅助控制器。
要在vManage中分发模板,请执行以下操作:
- 添加需要分发模板的目标控制器(辅助)。
- 选择要与分布式模板关联的资源组。
- 在Controller Details部分下输入模板名称。
- 单击Dry Run。Dry run results窗口打开,并在非主控制器内显示Source Template Name(源控制器)和Targeted Template Name。
- 单击Distribute。Distribution Results窗口打开。
模板已成功从非主控制器分发到其他控制器实例。
同步模板
同步模板功能用于从源控制器获取最新模板,确保BPA数据库具有最新数据。用户必须选择控制器实例并选择更多选项 > 同步模板。
模板控制面板功能
分组依据
按名称对模板分组(或使用一致的命名约定)是一种强大的组织战略,可显着提高所有三个平台的可管理性、可搜索性和运营效率。这允许用户查看彼此靠近列出的模板的多个版本。
最新版本
Latest Version切换允许用户仅查看任何模板的最新版本,并自动筛选出任何较旧版本的模板。
显示/隐藏列
此功能允许用户在控制面板上添加其他列,这些列基于控制器相关。要显示或隐藏列,请执行以下操作:
- 选择更多选项图标> 显示/隐藏列。Edit Columns窗口打开。
- 选中或取消选中可选列的复选框。
- 单击 Apply。
vManage的模板版本管理
此功能允许用户指定可以在vManage控制器的BPA中保留多少先前版本的模板。在市场变体中,提供需要配置的策略。
对于模板版本管理:
- 在Varances选项卡下,选择任何所需的设备类型。将打开Device Type详细窗口。
- 从Select Versioning Type下拉列表中选择一个版本。
部署作业
“部署作业”部分是用于推送配置更改和部署网络设计的命令中心。在网络自动化中,准确性和控制至关重要。本节指导用户如何管理从初始验证到最终应用程序的整个部署生命周期,从而确保网络完全按照预期运行。
本节提供两个关键功能:
- 创建预览作业:在将任何更改提交到活动网络之前,用户可以生成配置的详细预览。这提供了模板的“试运行”,使用户能够查看推送到每个目标设备的确切命令。此主动验证可最大限度地减少错误、识别潜在冲突并建立对部署策略的信心。
- 创建调配作业:查看预览后,用户可以执行调配作业以将模板应用于目标设备。调配过程可处理安全高效的配置应用,确保整个网络基础设施的一致性和合规性。
用户可以通过掌握预览和调配作业的创建,获得对网络部署的无与伦比的控制权,从而实现快速、可靠且降低风险的配置管理。
控制面板
在GCT下一代UI中引入的新控制面板整合了所有配置模板的执行作业详细信息和状态的视图。
它提供以下功能:
- 能够创建新的配置模板的执行作业
- 存储历史执行作业详细信息的完整详细信息及其状态
- 能够重新部署配置模板执行作业
- 根据用户组和访问策略细粒度访问作业
- 用于创建、执行、预览和调配所有控制器类型的单一界面
要访问部署作业,请执行以下操作:
- 导航至GCT下一代门户。
- 选择Menu图标> Golden Config Template > Deployment Jobs。
“配置模板部署作业”控制面板显示作业列表,其中包含以下详细信息:
- 作业名称、作业说明、模板名称/组
- 目标设备的成功和失败计数
- 作业状态、创建者和可用的操作
点击所需作业的行以查看设备级别的预览和调配的详细结果。
通过编辑现有作业可以重新部署现有作业。
创建和管理部署作业
要创建预览和设置作业,请执行以下操作:
- 点击Deployment Jobs选项卡。
- 选择More Options图标> Deploy Config。Deployment Jobs窗口打开。
- 更新必填字段(例如,作业名和作业说明)。
- 从Select Template/Template Groups下拉列表中选择一个模板或模板组。
- 从Job Type下拉列表中选择Preview或Preview & Provision。
a. **Preview**: Simulate the template's configurations on selected devices without applying the template configuration
b. **Preview & Provision**: Execute a preview (dry-run) and apply the template configuration on selected devices选择目标设备并填充模板变量
用户必须选择资产组或设备作为模板配置部署的目标。根据提供给用户组的访问策略权限显示可用资产的列表。
用户应在网格界面中为任何模板变量提供值。如果变量列表范围很广,则水平滚动帮助用户填充变量。网格功能包括:
- 能够编辑或清除变量值
- 显示所选切换按钮
- 全屏图标
- 刷新图标
- 更多选项图标:
- 清除值:清除所有已填充的变量
- 编辑变量:填充所有变量
- 在设备名称字段中搜索
预览和调配配置
要预览和调配配置,请执行以下操作:
- 单击Preview对所有设备和选定的模板或模板组执行试运行。将显示成功或失败结果。
- 单击Provision将配置提交到所有选定的设备。系统将配置应用到所选设备。将打开Provision弹出窗口,显示每台设备的成功或失败结果。
从错误中恢复
用户可以在每台设备的侧面板上查看错误详细信息。由于错误可能因设备而异,控制器也会有所不同,因此详细查看错误日志非常重要。例如,如果模板与特定设备不兼容,用户可以从预览和调配中删除该设备。同样,如果遇到“device not reachable”错误,请等待一段时间,然后重试。
处理部署失败和重新部署
如果某个部署作业在某些设备上失败,请排除故障并解决设备问题,并通过从作业的操作列中选择更多选项图标> 重新部署来重新部署该作业。
重新部署可帮助用户编辑现有作业并重新部署到受影响的设备。要点包括:
- 重新部署使用之前选择的模板和设备
- 系统会更新作业结果,以反映基于作业类型的最新结果
- 重新部署支持上述所有控制器(例如NSO、CNC、NDFC、DNAC、vManage和Ansible)
组
模板组为网络配置模板提供逻辑容器或组织结构。用户无需管理可能包含数百或数千个模板的简单列表,而是可以将模板分类并排列成有意义的集合。
组的优势
随着网络自动化的扩展和模板库的增长,有效的组织变得至关重要。模板组提供以下优势:
- 改善组织和发现能力:消除杂乱,快速定位特定模板。按功能、设备类型、位置或项目对模板进行分组可让模板库直观且易于导航,从而节省宝贵的时间。
- 增强基于角色的访问控制(RBAC):为特定模板集分配精细权限。用户可以向不同的模板组授予不同的用户角色(例如,网络架构师、网络运营中心工程师、自动化开发人员)不同的访问级别(只读、修改、执行),从而确保用户只与与其工作职能相关的模板交互。
- 简化生命周期管理:按模板的状态或环境组织模板(例如“已批准生产”、“开发沙盒”、“已弃用”)。 这有助于管理模板生命周期,确保生产中仅使用经过验证的模板,并且更容易识别和存档过时的模板。
- 简化协作:通过将特定模板组的所有权或责任分配给不同的团队或个人来促进团队合作。这样可以促进问责制并防止意外修改。
- 实施标准化:通过将遵循特定策略、命名约定或设计标准的模板分组来提高一致性。这有助于确保从特定组部署的所有配置满足组织要求。
- 可扩展性和适应未来发展:随着网络自动化的增长和新的服务或技术的引入,模板组提供了一个灵活的框架来合并和管理新的模板,而不会使现有库不堪重负。
管理组
本节概述如何使用可用的GCT或设备模板创建、编辑和删除GCT组。
创建组
添加模板组功能用于对相关GCT进行分组。它支持设备配置模板的逻辑分离和高效管理。
要创建新组,请执行以下操作:
- 选择More Options图标> Add。此时将打开一个新表单。
- 更新必填字段(例如,Group Name、Controller Type)。
- 从Template Type下拉列表中选择以下选项之一:
- GCT模板:这些模板是BPA的一部分。
- 设备模板:这些模板包含设备中可用的预配置模板,并作为控制器同步数据的一部分更新到BPA。将显示控制器实例的附加选项。选择适当的控制器实例。
然后将可用模板加载到网格中。
- 选中要分组的模板的复选框,然后单击Save。这将创建组,用户将被重定向到“组控制面板”页。
此形式类似于NSO、Ansible和CNC控制器类型;对于Cisco Catalyst Center,表单字段不同。Cisco Catalyst Center的其他字段包括:
- 描述
- 目的:提供模板组的用途的全面说明或任何其他相关说明
- 输入:文本区域(例如,此模板组适用于企业核心路由器的标准QoS和路由配置)
- 标签
- 目的:允许用户将一个或多个标记与模板组关联,以便更轻松地分类和搜索
- 输入:文本区域
- 操作系统类型
- 目的:一个必填字段,用于指定设计此模板组的操作系统类型(例如,IOS XE、NX-OS)
- 输入:从下拉列表中选择一个选项
- 项目
- 目的:用于将模板组分配给特定项目的必填字段,有助于组织和访问控制
- 输入:从下拉列表中选择一个选项
- 语言
- 目的:这是一个必填字段,用于指定模板组内配置命令的语言或格式(例如JINJA、CLI、VELOCITY)
- 输入:从下拉列表中选择一个选项
- 设备类型
- 目的:一个必填字段,用于指示此模板组要用于的特定设备类型(例如,路由器、交换机、防火墙)
- 输入:从下拉列表中选择一个或多个选项
编辑组
在GCT管理中,编辑模板组是一项重要的维护和优化活动。以下是需要编辑模板组的主要原因:
- 组织变革
- 部门重组:重组业务部门时,模板组需要重新调整
- 站点整合或扩展:合并或拆分位置需要模板组重组
- 角色重新定义:网络设备职责变化需要模板组更新
- 运营演变
- 新设备角色:引入新的网络功能(SD-WAN、IoT网关)
- 技术升级:迁移到需要重新分类的新平台
- 服务变更:添加或删除网络服务会影响组组织
- 合规性和安全更新
- 法规更改:对法规的更新需要修改模板组
- 新的合规性要求:更新的管理法规(PCI-DSS、GDPR、SOX)需要修改模板组
- 安全策略更新:增强的安全标准要求进行组级策略更改需要组重组
- 安全增强功能
- 威胁形势演变:新的安全威胁需要更新组策略
- 访问控制精简:更改不同组的权限和访问级别
- 风险分类更新:根据更新的风险评估对设备进行重新分类
- 技术基础设施变更
- 网络架构演变:更改整体网络设计需要更新设备的分组方式
- 拓扑 更改:网络重新设计会影响设备的分组方式
- 技术迁移:从传统平台迁移到现代平台
- 供应商更改:交换供应商需要新的组分类
- 设备生命周期管理
- 硬件更新:新设备型号需要适当的组分配
- 寿命终止设备:从组中删除过时的设备类别
- 容量规划:根据性能和容量需求调整组
- 提高运营效率
- 性能优化:连续模板细化
- 模板整合:合并类似的组以降低复杂性
- 组拆分:划分大型组以实现更好的可管理性
- 层次优化:重组父子关系以提高效率
要编辑组,请执行以下操作:
编辑组
- 在操作列中,选择更多选项图标> 编辑。
- 选择要更新的特定模板。
- Click Save.
删除组
在GCT管理中,删除模板组是一项重要的维护活动。以下是需要删除模板组的主要原因:
- 过时的技术和设备
- 寿命终止硬件
- 平台迁移
- 组织改组
- 业务变化
- 运营整合
- 合规性和安全清理
- 策略更改
- 访问控制简化
- 错误恢复和纠正
- 错误补救
- 数据完整性
要删除多个组,请执行以下操作:
- 选中要删除的组的复选框。
- 选择更多选项图标> 删除。系统随即会显示确认。
- Click OK.
组控制面板
“组”(Groups)操控板显示网格中的可用模板组。
- 单击GCT应用中的Groups选项卡。
- 选择特定的Controller Type和Controller Instance过滤器。
- 选择Refresh图标以再次获取数据。
- 选择More Options图标以Add或Delete组。
受限访问的基于角色的访问控制
要限制对模板的访问,用户可以使用基于角色的访问控制(RBAC)功能。
可用角色
默认情况下,GCT应用具有以下三(3)个角色,这些角色在创建组时分配:
- 模板管理器管理员:具有所有权限的管理者角色。这些用户可以编辑或删除任何模板、部署作业或组。
- 模板管理器操作员:这些用户拥有管理权限,可以管理模板(CURD)、部署作业和组以及同步组模板
- 模板管理器只读:这些用户具有查看模板、组和部署作业的只读权限
关联访问策略
创建资源组
要创建资源组,请执行以下操作:
- 选择设置图标> 资源组。系统将显示Resource Groups页面。
- 单击Add Resource Group。将打开Add Resource Group窗口。
- 提供资源组名称、资源类型和说明。
- 配置模板:列出所有模板
- 配置模板组:列出所有模板组
- SD-WAN范围:列出所有范围(适用于vManage v20.15控制器)。
- 配置模板:列出所有模板
- 配置模板组:列出所有模板组
- SD-WAN范围:列出所有范围(适用于vManage v20.15控制器)
- 选择所需的资源。
- 单击 submit。创建资源组。
创建访问策略
要创建新策略,请执行以下操作:
- 选择Settings图标> User Management > Access Policies。将打开Add Policy窗口。
- 选中在上一节中创建的资源组的复选框。
- 选中用户分配到的组的复选框。
- 单击 submit。
vManage Notes on RBAC
vManage版本20.9和20.12
对于vManage controller v20.12和v20.9,vManage资源组映射到BPA资源组。发生BPA控制器数据同步(或GCT应用内的同步模板)时,将自动创建BPA资源组以映射vManage资源组。
例如,如果vManage控制器实例为“vManage-R6”,资源组为“needle”,则BPA资源组命名为“needle-vManage-R6”。与针头资源组关联的所有模板都会自动映射。
vManage用户无需手动创建资源组。这些自动创建的资源组可用于访问策略以限制对模板的访问,并包括
vManage版本20.15
对于vManage controller v20.15,用户可以在创建资源组时选择范围。BPA中可用的作用域直接从控制器上定义的作用域映射。
例如,如果控制器上的作用域名称为“firewall”,则BPA作用域名称的格式为“<<scope-name>-<<controller-id-in-bpa>>”(例如,firewall-vManage-R6)。
实例视图
实例视图功能提供了强大的机制,可验证多个Cisco Catalyst Center部署中的网络配置模板的一致性。它可以作为审核和验证工具,使用户能够快速识别差异并确保网络配置标准化。
随着网络环境不断发展并变得日益分散,跨多个Cisco Catalyst Center实例(例如,针对不同区域、试运行与生产或灾难恢复站点)管理配置模板变得至关重要。实例视图有助于:
- 保持标准化:确保所有区域或分布式Cisco Catalyst Center实例都使用相同的已批准模板进行关键网络配置(例如,安全策略、QoS设置、标准设备基线)
- 检测配置漂移:主动识别目标Cisco Catalyst Center上的模板与指定的黄金来源相比何时被无意修改、过时或完全缺失
- 验证部署:确认新的或更新的模板在促销过程(例如从阶段到生产)之后已成功传播到所有预定的Cisco Catalyst Center实例
- 简化审核:为合规性检查提供清晰、切实可行的见解,证明网络在所有管理点都遵守定义的配置标准
- 简化故障排除:可快速识别模板不匹配引起的区域配置问题,从而节省诊断时间
工作原理:
实例视图使用指定的主控制器(在初始控制器自注册或配置期间设置)作为授权源来执行模板的配置比较。然后,它会将此主控制器上的模板与其他连接的目标控制器上的模板进行比较。
了解状态:
对于每个模板,“实例视图”将显示以下状态之一,指示其与主控制器相关的一致性:
- 同步:目标控制器上的模板在内容和名称上与主控制器上的模板相同。这表示完全同步。
- 不同步:主控制器和目标控制器上都存在同名的模板,但它们的内容不同。这突出显示了目标控制器上的潜在配置漂移或未批准的更改。
- 缺席:模板存在于主控制器上,但在目标控制器中缺失。这表示目标控制器不是标准模板库的最新版本。
- 不能应用:无法与主控制器进行模板比较。
主要考虑因素:
实例视图的准确性和实用性依赖于主控制器的正确指定,因为所有比较都是相对于其模板库进行的。确保主控制器保存最新版本的网络配置模板,且这些模板具有权威性。
在“实例视图的模板控制面板”(Template Dashboard for Instance View)上激活“实例视图”(Instance View)切换按钮。
与主控制器模板相比,园区模板的状态显示在上方。有一个主控制器,其余是辅助控制器。如果模板存在于主控制器上,则针对辅助控制器有各种状态。用户必须首先确定一个控制器为主控制器;只能有一个主控制器。
可使用以下两(2)项操作:
- 比较:主控制器模板与辅助控制器模板进行比较。有一个下拉列表,可供比较的控制器选择。
- 更新模板:
- 第 1 种情况:单击Update template时,用户将获得一个选项,可以更新与主控制器模板相关的辅助控制器模板。用户可以选择多个控制器,但只能选择那些没有模板或模板不同步的控制器。添加模板后,用户可以选择Create或Update。
- 第 2 种情况:如果主控制器上没有模板,则用户可选择从辅助控制器到主控制器创建模板。用户必须在“园区实例视图策略”中的市场差异中设置权限。设置权限后,会为从控制器到主控制器启用Update按钮。
- 实例3:其它WRR加权修改有一个选项可用于通过GCT应用程序创建项目。要创建项目,请单击添加项目。创建项目窗口打开。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
24-Sep-2025
|
初始版本 |
反馈