配置管理:最佳實踐白皮書
目錄
簡介
配置管理是一組流程和工具的集合,可提升網路一致性、跟蹤網路更改並提供最新的網路文檔和可視性。通過構建和維護配置管理最佳實踐,您可以獲得多種好處,如提高網路可用性和降低成本。其中包括:
-
由於反應性支援問題的減少,降低了支援成本。
-
由於裝置、電路和使用者跟蹤工具以及識別未使用網路元件的流程,降低了網路成本。
-
降低被動支援成本,縮短解決問題的時間,從而改善網路可用性。
由於缺乏配置管理,我們發現以下問題:
-
無法確定網路更改對使用者的影響
-
反應支援問題增加,可用性降低
-
增加解決問題的時間
-
未使用的網路元件導致更高的網路成本
此最佳實踐文檔提供了實施成功配置管理計畫的流程圖。我們將詳細瞭解以下步驟:制定標準、維護文件,以及驗證和稽核標準。
配置管理的高級流程
下圖顯示如何利用關鍵的成功因素及績效指標來實施成功的配置管理計畫。
建立標準
為網路一致性建立標準有助於減少網路複雜性、計畫外停機時間以及網路影響事件的風險。我們建議以下標準以實現最佳網路一致性:
軟體版本控制與管理
軟體版本控制是在相似的網路裝置上部署一致的軟體版本的做法。這提高了對所選軟體版本進行驗證和測試的機會,並大大限制了網路中發現的軟體缺陷和互操作性問題。有限的軟體版本還能降低使用者介面、命令或管理輸出、升級行為和功能行為發生意外行為的風險。這使得環境更簡單也更易於支援。總體而言,軟體版本控制可提高網路可用性,並幫助降低被動支援成本。
注意:類似的網路裝置被定義為標準網路裝置,使用提供通用服務的通用機箱。
為軟體版本控制實施以下步驟:
-
根據機箱、穩定性和新功能要求確定裝置分類。
-
針對相似裝置的各個軟體版本。
-
測試、驗證和試用所選軟體版本。
-
將成功的版本記錄為相似裝置分類的標準。
-
一致地部署所有相似裝置或將裝置升級到標準軟體版本。
IP定址標準與管理
IP地址管理是在網路中分配、回收和記錄IP地址和子網的過程。IP編址標準定義了子網大小、子網分配、網路裝置分配和子網範圍內的動態地址分配。推薦的IP地址管理標準可減少子網重疊或重複、網路中無彙總、IP地址裝置分配重複、IP地址空間浪費和不必要的複雜性的機會。
成功管理IP地址的第一步是瞭解網路中使用的IP地址塊。在許多情況下,網路組織必須依靠RFC 1918 
,該地址空間不是網際網路可定址的,但可以與網路地址轉換(NAT)一起用於訪問網路。 定義地址塊後,將其分配給網路區域,以促進總結。在許多情況下,您必須根據定義範圍內的子網數量和大小進一步細分這些塊。您應為標準應用定義標準子網大小,例如構建子網大小、WAN鏈路子網大小、環回子網大小或WAN站點子網大小。然後,您可以在更大的摘要塊內的子網塊之外為新應用程式分配子網。
例如,我們以大型企業網路為例,其中包括東海岸園區、西海岸園區、國內廣域網、歐洲廣域網以及其他主要的國際站點。組織為這些區域分配連續的IP無類域間路由(CIDR)塊以促進IP彙總。然後,組織在這些塊中定義子網大小,並將每個塊的子部分分配給特定的IP子網大小。每個主塊或整個IP地址空間都可以在電子表格中記錄,該電子表格顯示了該塊中每個可用子網大小的已分配、已使用和可用子網。
下一步是建立每個子網範圍內IP地址分配的標準。子網內的路由器和熱待命路由器協定(HSRP)虛擬地址可能會分配到該範圍內的第一個可用地址。可以為交換機和網關分配下一個可用地址,然後分配其他固定地址,最後為DHCP分配動態地址。例如,所有使用者子網可以是/24子網,其中分配了253個可用地址。路由器可能分配了。1和。2地址,而HSRP地址分配了。3地址、交換機。5到。9,以及DHCP範圍從。10到。253。無論您制定何種標準,都應在所有網路工程計畫文檔中記錄並參考這些標準,以幫助確保一致部署。
命名約定和DNS/DHCP分配
對裝置使用一致且結構化的命名約定和DNS有助於以下列方式管理網路:
-
為與裝置相關的所有網路管理資訊建立與路由器一致的接入點。
-
減少重複IP地址的機會。
-
建立裝置的簡單標識,顯示位置、裝置型別和用途。
-
通過提供更簡單的網路裝置識別方法來改進庫存管理。
大多數網路裝置有一到兩個介面用於管理裝置。這些介面可以是帶內或帶外乙太網介面和控制檯介面。您應該為這些與裝置型別、位置和介面型別相關的介面建立命名約定。在路由器上,我們強烈建議使用環回介面作為主要管理介面,因為可以從不同的介面訪問它。您還應該將環回介面配置為陷阱、SNMP和系統日誌消息的源IP地址。然後,各個介面可以具有標識裝置、位置、用途和介面的命名約定。
我們還建議識別DHCP範圍並將其新增到DNS,包括使用者的位置。這可能是IP地址的一部分或物理位置。例如「dhcp-bldg-c21-10」到「dhcp-bldg-c21-253」,它標識了建築C二樓配線間1中的IP地址。您還可以使用精確的子網進行標識。一旦為裝置和DHCP建立了命名約定,您將需要一些工具來跟蹤和管理條目,例如Cisco Network Registrar。
標準配置和描述符
標準配置適用於協定和介質配置,以及全域性配置命令。描述符是用於描述介面的介面命令。
我們建議為每個裝置分類建立標準配置,例如路由器、LAN交換機、WAN交換機或ATM交換機。每個標準配置都應包含維護網路一致性所需的全域性、媒體和協定配置命令。媒體配置包括ATM、幀中繼或快速乙太網配置。協定配置包括標準IP路由協定配置引數、常見的服務品質(QoS)配置、常見訪問清單以及其他所需的協定配置。全域性配置命令適用於所有類似裝置,其中包括服務命令、IP命令、TACACS命令、vty配置、標語、SNMP配置和網路時間協定(NTP)配置等引數。
描述符通過建立適用於每個介面的標準格式來開發。描述符包括介面的用途和位置、連線到介面的其他裝置或位置、以及電路識別符號。描述符可幫助支援組織更好地瞭解與介面相關問題的範圍,並可更快地解決問題。
建議在標準配置檔案中保留標準配置引數,並在配置協定和介面之前將檔案下載到每個新裝置。此外,您還應記錄標準配置檔案,包括每個全域性配置引數的說明及其重要原因。Cisco Resource Manager Essentials(RME)可用於管理標準配置檔案、協定配置和描述符。
配置升級過程
升級程式有助於確保軟體和硬體升級順利進行,同時最大限度地減少停機時間。升級程式包括供應商驗證、供應商安裝參考(如發行說明)、升級方法或步驟、配置准則和測試要求。
升級過程可能因網路型別、裝置型別或新軟體要求而異。可以在體系結構組中開發和測試單個路由器或交換機升級要求,並在任何更改文檔中加以參考。涉及整個網路的其他升級無法如此輕鬆地測試。這些升級可能需要更深入的規劃、供應商參與和其他步驟來確保成功。
您應結合任何新的軟體部署或確定的標準版本建立或更新升級過程。這些過程應定義所有升級步驟,參考與更新裝置相關的供應商文檔,並提供測試過程以在升級後驗證裝置。定義並驗證升級過程後,應在適用於特定升級的所有更改文檔中引用升級過程。
解決方案模板
您可以使用解決方案模板定義標準模組化網路解決方案。網路模組可以是配線間、WAN現場辦公室或接入集中器。在每種情況下,您需要定義、測試並記錄解決方案,以幫助確保以完全相同的方式執行類似的部署。這可以確保未來的更改在組織的風險級別低得多,因為解決方案的行為已明確界定。
為所有風險較高的部署建立解決方案模板,以及多次部署的解決方案。解決方案模板包含網路解決方案的所有標準硬體、軟體、配置、佈線和安裝要求。解決方案模板的特定詳細資訊如下所示:
-
硬體和硬體模組,包括記憶體、快閃記憶體、電源和卡佈局。
-
邏輯拓撲,包括埠分配、連線、速度和介質型別。
-
軟體版本,包括模組或韌體版本。
-
所有非標準、非裝置特定的配置,包括路由協定、介質配置、VLAN配置、訪問清單、安全性、交換路徑、生成樹引數等。
-
帶外管理要求。
-
電纜要求。
-
安裝要求,包括環境、電源和機架位置。
請注意,解決方案模板不包含許多要求。整體配置管理實踐應涵蓋特定解決方案的IP編址、命名、DNS分配、DHCP分配、PVC分配、介面描述符等特定要求。常規配置管理實踐應涵蓋更一般的要求,如標準配置、更改管理計畫、文檔更新程式或網路管理更新程式。
維護文檔
我們建議記錄網路以及網路中發生的近即時更改。您可以使用此精確的網路資訊來進行故障排除、網路管理工具裝置清單、清點、驗證和稽核。我們建議使用以下網路文檔關鍵成功因素:
當前裝置、鏈路和終端使用者清單
當前裝置、鏈路和終端使用者清單資訊使您能夠跟蹤網路清單和資源、問題影響以及網路更改影響。能夠跟蹤與使用者需求相關的網路清單和資源,有助於確保被管理的網路裝置被主動使用、提供審計所需的資訊,並幫助管理裝置資源。終端使用者關係資料提供定義變更風險和影響的資訊,以及更快速地故障排除和解決問題的能力。裝置、鏈路和終端使用者庫存資料庫通常由許多領先的服務提供商組織開發。網路庫存軟體的領先開發者是Visionael Corporation 。資料庫可能包含類似裝置、鏈路和客戶使用者/伺服器資料的表,這樣當裝置關閉或發生網路更改時,您就可以輕鬆瞭解終端使用者的影響。
組態版本控制系統
配置版本控制系統維護所有裝置的當前運行配置和一組先前運行版本。這些資訊可用於故障排除、配置或變更稽核。進行故障排除時,您可以將當前運行配置與以前的工作版本進行比較,以幫助瞭解配置是否以任何方式與問題相關。我們建議維護此配置的三個到五個先前工作版本。
TACACS配置日誌
要確定更改配置的人和時間,您可以使用TACACS日誌記錄和NTP。在思科網路裝置上啟用這些服務時,會在設定變更時將使用者ID和時間戳新增到組態檔中。然後,將此戳與配置檔案一起複製到配置版本控制系統中。然後,TACACS可以阻止未管理的更改,並提供適當稽核發生更改的機制。使用Cisco Secure產品啟用TACACS。使用者登入裝置時,必須提供使用者ID和密碼,以向TACACS伺服器進行驗證。通過將網路裝置指向NTP主時鐘,可以輕鬆地在網路裝置上啟用NTP。
網路拓撲檔案
拓撲文檔有助於理解和支援網路。您可以使用它來驗證設計手冊並更好地瞭解網路,以便將來進行設計、更改或故障排除。拓撲文檔應包括邏輯和物理文檔,包括連線、定址、介質型別、裝置、機架佈局、卡分配、電纜路由、電纜標識、端接點、電源資訊和電路標識資訊。
維護拓撲文檔是成功進行配置管理的關鍵。要建立一個可以維護拓撲文檔的環境,必須強調文檔的重要性,並且必須提供更新資訊。每當發生網路更改時,我們強烈建議更新拓撲文檔。
網路拓撲文檔通常使用圖形應用程式(如Microsoft Visio )來維護。其他產品(如Visionael )提供了管理拓撲資訊的卓越功能。
驗證和稽核標準
配置管理效能指示符提供了一種機制,用於驗證和稽核網路配置標準和關鍵成功因素。通過實施配置管理的流程改進計畫,您可以使用績效指標確定一致性問題並改善總體配置管理。
我們建議建立一個跨職能部門的團隊,以衡量配置管理是否成功,並改進配置管理流程。該團隊的第一個目標是實施配置管理效能指標,以便確定配置管理問題。我們將詳細討論以下配置管理效能指標:
在評估這些稽核的結果之後,啟動專案以解決不一致問題,然後確定問題的初始原因。可能的原因包括缺乏標準文檔或缺乏一致的流程。您可以改進標準文檔、實施培訓或改進流程,以防止進一步的配置不一致。
我們建議每月進行一次稽核,如果需要僅驗證,則按季度進行稽核。稽核過去的稽核以確認過去的問題已解決。尋求總體改進和目標,以展示進展和價值。建立指標以顯示高風險、中風險和低風險網路配置不一致的數量。
配置完整性檢查
配置完整性檢查應該評估網路的整體配置、複雜性和一致性以及潛在問題。對於Cisco網路,我們建議使用Netsys配置驗證工具。此工具輸入所有裝置配置並建立配置報告,用於識別當前的問題,例如IP地址重複、協定不匹配和不一致性。該工具報告任何連線或協定問題,但不輸入用於評估每台裝置的標準配置。您可以手動檢視配置標準或建立報告標準配置差異的指令碼。
裝置、協定和媒體稽核
裝置、協定和介質稽核是軟體版本、硬體裝置和模組、協定和介質以及命名約定的一致性的效能指標。稽核應首先確定任何非標準問題,這些問題應導致配置更新以解決或改進問題。評估整體流程,以確定它們如何防止發生次優部署或非標準部署。
Cisco RME是一種配置管理工具,可以稽核和報告硬體版本、模組和軟體版本。Cisco還在開發更全面的介質和協定審計,報告與IP、DLSW、幀中繼和ATM的不一致性。如果沒有開發協定或介質稽核,則可以使用手動稽核,例如檢視網路中所有類似裝置的裝置、版本和配置,或者通過抽查裝置、版本和配置。
標準和文檔審查
此績效指標用於稽核網路和標準文檔,以確保資訊準確且為最新。稽核應包括稽核當前文檔、建議更改或增加以及批准新標準。
您每季度應檢視以下文檔:標準配置定義、解決方案模板(包括建議的硬體配置)、當前標準軟體版本、所有裝置和軟體版本的升級過程、拓撲文檔、當前模板和IP地址管理。
意見