BPA使用手冊金色配置模板下一代V5.1
簡介
Golden Device Configuration Template(GCT)提供預定義的配置,允許使用者在裝置上保持一致的配置。這樣可提高運營效率、減少配置錯誤,並支援合規標準和最佳實踐。可以將GCT引數化,以便跨多個裝置和控制器重複使用模板。它還支援模板的建立和管理。
為使用GCT管理多個控制器例項之間的配置提供了統一的使用者體驗。它使使用者能夠在應用程式中建立裝置配置模板、匯入模板和搜尋特定模板。使用者還可以根據需要檢視、編輯、刪除和克隆模板。
管理模板
GCT支援多種高級功能,例如比較不同的模板、克隆現有模板並將其分發到目標控制器,從而在整個網路中實現精簡且一致的配置管理。
可用選單選項
GCT包括以下選單選項:
- 建立模板:啟動模板建立流程
- 上傳:上傳模板
- 刪除:一次刪除多個模板
- 下載:下載模板的當前配置
- Distribute:將模板分發或複製到目標控制器(與源控制器不同)
- 同步模板:從源控制器獲取更新的模板配置
建立模板
「建立模板」功能允許使用者高效地構建為各種平台定製的新配置模板。這支援為多個控制器建立模板,包括:Cisco Network Services Orchestrator(NSO)、Ansible、Cisco Catalyst Center、Cisco Nexus Dashboard Fabric Controller(NDFC)、Cisco Crosswork Network Controller(CNC)和裝置到裝置(D2D)。
建立新模板:
- 登入到BPA應用程式。
- 按一下Templates頁籤。
- 選擇更多選項圖示> 建立模板。
「建立模板」流程包含四(4)個里程碑以及選擇控制器型別和控制器例項的必備步驟。
這四個里程碑是:
- 範本詳細資料
- 組態
- 分配變數
- 檢閱
範本詳細資料
Template Details部分允許使用者定義配置模板的核心屬性和後設資料。
以下是Cisco Catalyst中心控制器型別的模板詳細資訊部分中的欄位:
- 模板名稱
- 目的:一個必填欄位,使用者可以在其中為模板輸入唯一的描述性名稱
- 輸入:文本輸入(例如My_Core_Router_Template或Branch_Switch_Config_v2)
- 版本
- 目的:顯示模板的當前版本;它通常是自動填充的,並指示模板的小版本
- 輸入:唯讀;新模板預設為一(1)
- 說明
- 目的:提供模板的用途、其實現的具體配置以及任何其他相關註釋的全面說明
- 輸入:自由格式文本(例如,此模板應用企業核心路由器的標準服務品質(QoS)和路由配置。)
- 標記
- 目的:允許使用者將一個或多個標籤與模板相關聯,以便更輕鬆地分類和搜尋
- 輸入:從預定義清單中選擇一個或多個選項
- 作業系統型別
- 目的:一個必填欄位,用於指定設計此模板的作業系統型別(例如IOS XE、NX-OS)
- 輸入:從下拉選單中選擇一個選項
- 專案
- 目的:用於將模板分配給特定專案的必填欄位,有助於組織和訪問控制
- 輸入:從下拉選單中選擇一個選項
- 模板標籤
- 目的:與「標籤」類似,這些標籤是與要在BPA中使用的模板本身相關的特定標籤
- 輸入:從預定義清單中選擇一個或多個選項
- 語言
- 目的:用於指定模板中配置命令的語言或格式的必填欄位(例如JINJA、CLI、VELOCITY)
- 輸入:從下拉選單中選擇一個選項
- 裝置型別
- 目的:一個必填欄位,用於指示此模板要用於的特定裝置型別(例如,路由器、交換機、防火牆)
- 輸入:從下拉選單中選擇一個或多個選項
以下是NSO模板詳細資訊欄位,不包括前面介紹的詳細資訊:
- 選擇網路作業系統
- 目的:一個必填欄位,用於指定為其設計模板的網路作業系統(OS)和版本,以確保模板和目標裝置的作業系統之間的相容性
- 輸入:從下拉選單中選擇一個選項(例如cisco-iosxr-cli-7.61)
- 來源
- 目的:一個必填欄位,用於定義如何生成或生成配置模板;選項通常包括根據現有裝置配置建立模板或啟動新模板
- 輸入:從下拉選單中選擇一個選項(例如,現有裝置配置)
- 選擇裝置
- 目的:一個必填欄位,用於指定模板要用於的特定裝置型號或型別;這有助於確保模板適用於特定硬體
- 輸入:從下拉選單中選擇一個選項(例如ncs-250)
- 選擇配置型別
- 目的:一個必填欄位,指定模板管理的配置型別,例如完整裝置配置或側重於特定功能的部分配置
- 輸入:從下拉選單中選擇一個選項。(例如,部分裝置配置)
- 選擇配置路徑
- 目的:一個必填欄位,指定模板管理的裝置配置層次結構中的特定路徑;這對於部分配置尤其重要。
- 輸入:從下拉選單中選擇一個選項(例如cisco-ios-xr:call-home)
以下是NDFC的「模板詳細資訊」欄位,不包括前面介紹的詳細資訊:
- 模板型別
- 目的:用於對模板代表的常規配置型別進行分類的必填欄位(例如POAP、POLICY、SHOW、PROFILE等)
- 輸入:從預定義清單中選擇一個選項
- 模板子型別
- 目的:一個必填欄位,用於進一步細化模板分類,提供有關其功能的更多具體詳細資訊
- 輸入:從預定義清單中選擇一個選項
- 模板內容型別
- 目的:用於定義模板中內容的格式或性質的必填欄位(例如CLI、Jinja2)
- 輸入:從預定義清單中選擇一個選項
組態
本節指導使用者如何在支援各種模板格式(例如,命令列介面(CLI)、JINJA、YAML等)的語法檢查的配置文本框中為其模板定義配置。 使用者可以使用變數建立配置。使用變數是建立動態、可重用和可擴展配置的基礎,允許將單個模板應用於具有不同引數的多個裝置或服務。
範例:
對於Cisco Catalyst Center和NDFC:
hostname {{ device_name }}
同樣,使用者可以根據控制器來定義變數。以下是圖示及其用法:
| 圖示 | 說明 |
|---|---|
 |
下載圖示 下載組態 |
 |
清除圖示 清除組態 |
 |
驗證圖示 驗證設定 |
 |
全屏圖示 在全屏中檢視配置 |
分配變數
Assign Variables部分可供使用者為Configuration部分中定義的變數提供實際值。使用者可以選擇從中提取值的源。
- 參考文件:提供從其中獲取值的實際RefD節點的名稱空間和路徑
- 裝置:從裝置獲取相應變數的值
- 預設:使用者定義的值
檢閱
這是模板建立過程的最後一步,使用者可以在其中檢視為模板建立提供的所有詳細資訊。審閱後,使用者可以按一下Submit以建立模板。
模板建立過程因控制器型別而異。舉例來說:
- Cisco Catalyst Center:必須先在源控制器上建立模板。成功部署後,模板將儲存到BPA資料庫。如果部署失敗,則會顯示一條錯誤消息,提示使用者修復問題並重新提交模板。
- CNC、NSO、Ansible和D2D:BPA資料庫提供單一的真理來源。驗證後,模板將直接儲存到BPA資料庫。
在Cisco Catalyst Center中建立模板
在Cisco Catalyst Center中建立模板:
- 登入到BPA應用程式。
- 按一下Templates頁籤。
- 選擇更多選項圖示> 建立模板。Golden Config Templates視窗隨即開啟。
- 更新所需的欄位(例如Controller Type、Controller Instance、Template Name等)。
- 在Configuration部分下更新配置。
- 在「配置」中分配可用變數。
- 複查模板,然後按一下Submit。
模板已成功建立並顯示在「模板儀表板」上。
使用者可以建立各種控制器的模板,可用欄位將根據所選控制器型別進行動態調整。使用者介面清楚地指示在模板建立過程中哪些欄位是必填欄位和可選欄位,從而確保簡化且使用者友好體驗。
這種自適應設計有助於使用者有效地提供特定於每個控制器的必要資訊。有關建立模板流程的每個里程碑的詳細資訊,請參閱模板詳細資訊、配置、分配變數和複查部分。
為NSO建立模板
NSO支援以下模板配置型別:
- 手動配置:是指由人工操作員在不使用NSO的協調功能的情況下直接對網路裝置(如路由器、交換機或防火牆)進行的任何配置更改。例如,通過Secure Shell或控制檯直接登入裝置並輸入配置命令。
- 現有裝置配置:是指在物理或虛擬網路裝置上運行的完整當前配置。在應用新配置或驗證服務狀態時,它作為NSO與進行比較的基線。
- 部分裝置配置:是指裝置配置的特定部分,NSO負責作為服務的一部分進行管理或協調。與作為整個配置的現有裝置配置不同,部分裝置配置是一個子集,代表特定服務例項的NSO所擁有和管理的配置元素。NSO通常管理僅要求對裝置配置的特定部分(例如,虛擬區域網(VLAN)、虛擬專用網(VPN)隧道或特定路由協定配置)進行更改的服務。 「部分裝置配置」允許NSO僅關注這些相關部分,而不接管整個裝置配置。
要為NSO建立模板,請執行以下操作:
- 更新必填欄位。
- 按「Next」(下一步)。
Configuration部分將自動填充,如下所示:
- 使用以下語法新增變數:
- 選擇設定圖示。將開啟「Parameter desc」彈出視窗。
- 將這些值賦給變數。
- 檢視詳細資訊,然後按一下Submit。
編輯或更新模板
編輯或更新模板的常見方案包括:
- 在所有接入點上啟用新的無線安全功能(例如,具有特定EAP方法的WPA3)
- 引入具有唯一身份驗證的新訪客Wi-Fi SSID
- 組織決定標準化介面描述、實施新的NTP伺服器分層結構或更改所有裝置的日誌記錄目標
在這些情況下,使用者需要編輯模板的功能。
要編輯模板,請選擇特定模板的操作列下的更多選項圖示> 編輯。
這將以編輯模式開啟模板。有關建立模板的更多詳細資訊,請參閱建立模板部分。
從模板建立或編輯錯誤中恢復
在模板建立或編輯過程中,使用者可能會因缺少必需資訊或配置問題而遇到錯誤。當必填欄位未更新時,使用者介面會突出顯示這些必填欄位,並且「提交」按鈕將保持禁用狀態,直到提供所有必填資訊。
如果存在配置問題,提交或驗證模板時將顯示彈出錯誤消息。彈出視窗提供控制器返回的驗證錯誤消息,使使用者能夠在繼續操作之前識別和解決問題。
檢視模板
為了快速檢視模板的配置,使用者可以按一下單個行,或在「操作」(Actions)列下為每個模板選擇「更多選項」(More Options)圖示>「檢視」(View)選項。
刪除模板
刪除模板的常見方案包括:
- 當特定網路功能(例如,有線等效保密等舊身份驗證方法,或已被淘汰的特定路由協定)不再受支援或在網路中時。可以刪除專門配置此過時功能的模板。
- 當整個辦公大樓、園區或遠端站點關閉並且其網路基礎設施被移除時。可以刪除僅與該位置相關的任何站點特定模板(例如「Branch_Office_A_Security_Template」)。
要刪除模板,請執行以下操作:
- 在所需模板的操作列下選擇更多選項圖示> 刪除。
- 按一下Delete以刪除模板。
下載和上傳模板
下載模板的常見方案包括:
- 當使用者希望將Cisco Catalyst Center模板(尤其是複雜的CLI或設計模板)儲存在外部版本控制系統(如Git)中以跟蹤更改、恢復到以前的版本並確保災難恢復時
- 當使用者開發和測試登台或Cisco Catalyst Center實驗室例項中的模板,並需要將其部署到Cisco Catalyst Center生產例項中時
要下載模板,請執行以下操作:
- 在所需模板的Action列下選擇More Options圖示> Download。
- 提供模板的名稱,然後按一下Save。
上載模板:
- 更新模板名稱並刪除以前下載的模板的模板ID。
- 在BPA Templates頁籤中,選擇More Options圖示> Upload。
- 選擇更新的模板。
- 選擇為其建立模板的目標控制器例項。
比較模板
比較模板的常見方案包括:
- 當服務例項無法在特定裝置上部署時,使用者懷疑生成的配置中由於Jinja2模板或Python邏輯而存在細微錯誤。將有問題的模板(或其生成的配置)與正常運行版本或已知良好的配置進行比較,有助於確定導致故障的確切行或引數
- 安全團隊稽核防火牆 — 服務模型中的邏輯時,確保始終配置特定的安全策略或日誌記錄引數,或驗證服務模型的YANG定義及其基礎配置模板是否強制實施所有必要的安全性和合規性標準。
- 存在兩種服務模式(例如MPLS-L3VPN和SD-WAN-Overlay)時,提供相似的網路結構並具有不同的底層配置。比較模板有助於瞭解其YANG定義或配置生成邏輯中的精確差異,從而有助於設計、支援和潛在的整合。
- 選擇要比較的模板。
- 選擇更多選項圖示> 比較。此時將開啟比較視窗。
克隆模板
克隆現有模板的常見方案包括:
- 當現有的「L3VPN服務」模式適用於Cisco IOS-XR裝置時,使用者需要擴展支援以針對相同服務包括Juniper MX系列路由器。使用者可以克隆現有的「L3VPN服務」模型,並建立新的Jinja2模板,或在克隆的模型中修改Python邏輯,從而為Juniper裝置生成等效的L3VPN配置,同時保持相同的高級別服務抽象。
- 當使用者計畫重新設計複雜的「Internet訪問服務」模式以提高其效能或新增重要的新功能時。使用者需要在不影響生產服務的前提下廣泛測試這些更改。他們可以克隆生產「Internet訪問服務」模型,實施克隆版本中的重大更改,然後將其部署到單獨的NSO例項或實驗室環境以進行徹底測試。
- 當使用者開發「資料中心互連服務」的v2.0時,會引入突破性的更改或重大的新功能,而v1.0仍在為現有客戶生產中。他們可以克隆v1.0服務模型並在克隆版本中開發v2.0 ,使v1.0能夠保持穩定並投入生產,而v2.0將進行開發、測試和最終部署。
克隆模板功能可在源控制器中建立新模板。使用者需要更新新模板的名稱。要克隆模板,請執行以下操作:
- 在模板的操作列下選擇更多選項圖示> 克隆。模板在編輯模式下開啟。
- 提供新的模板名稱。
- 按一下「Submit」。
在vManage中克隆模板
與其他控制器不同,vManage在克隆時不會在編輯模式下開啟模板。而是開啟所選模板的彈出視窗,使用者可以在其中更改關聯的資源組。
使用者在克隆模板時有兩個選項:
- 維護父克隆關係:保留指向克隆模板父級的連結。如果父模板的配置發生更改,則在克隆的模板上會顯示Update圖示。如果需要,克隆的模板可以從父模板複製更改。
- 建立副本:建立模板的所有功能以及裝置模板的副本。
分發模板
分發模板功能可幫助使用者建立模板的克隆,其中目標控制器與源控制器不同。
使用者將模板分發或複製到目標控制器的常見情況包括:
- 當有獨立的環境用於開發或測試(預備)和實際操作(生產)時。 在部署到生產環境之前,新配置和功能將在試運行中構建和驗證。
- 大型企業有多個DNAC部署,每個主要地理區域(例如北美、EMEA、APAC)有一個部署。 要保持品牌一致性和運營效率,核心網路配置應標準化。
分發模板:
- 選擇要分發的模板。
- 選擇更多選項圖示> 分發。Distribute Template視窗開啟。
- 按一下Distribute Template。
在vManage中分發模板
vManage中的模板分佈是單向的,從主控制器到輔助控制器。當啟用vManage控制器時,可以選擇某個控制器作為主控制器,而所有其他控制器將自動分配為輔助控制器。
要在vManage中分發模板:
- 新增需要分發模板的目標控制器(輔助控制器)。
- 選擇要與分布式模板關聯的資源組。
- 在「Controller Details」部分下輸入模板名稱。
- 按一下Dry Run。將開啟「Dry run results」視窗,並在非主控制器中顯示源模板名稱(源控制器)和目標模板名稱。
- 按一下「Distribute」。將開啟分配結果視窗。
模板已成功從非主控制器分發到其他控制器例項。
同步模板
同步模板功能用於從源控制器獲取最新模板,確保BPA資料庫具有最新資料。使用者必須選擇控制器例項並選擇更多選項 > 同步模板。
模板儀表板功能
分組依據
按名稱對模板進行分組(或使用一致的命名約定)是一種強大的組織策略,可顯著提高所有三個平台的可管理性、可搜尋性和運營效率。這允許使用者檢視彼此靠近列出的模板的多個版本。
最新版本
Latest Version切換允許使用者僅檢視任何模板的最新版本,並自動篩選出任何較舊版本的模板。
顯示/隱藏列
此功能允許使用者在控制面板上新增基於控制器相關的其他列。要顯示或隱藏列:
- 選擇更多選項圖示> 顯示/隱藏列。Edit Columns視窗開啟。
- 選中或取消選中可選列的覈取方塊。
- 按一下「Apply」。
適用於vManage的模板版本管理
此功能允許使用者指定可在vManage控制器的BPA中保留多少先前版本的模板。在市場變化中,提供需要配置的策略。
對於模板版本管理:
- 在Varances頁籤下,選擇任何所需的裝置型別。Device Type詳細視窗開啟。
- 從選擇版本控制型別下拉選單中選擇一個版本。
部署作業
「部署作業」部分是用於推送配置更改和部署網路設計的命令中心。在網路自動化中,準確性和控制至關重要。本部分指導使用者如何管理從初始驗證到最終應用程式的整個部署生命週期,以確保網路按預期正常運行。
本節提供兩個重要功能:
- 建立預覽作業:在將任何更改提交到活動網路之前,使用者可以生成配置的詳細預覽。這提供了模板的「試運行」,使使用者能夠檢視推送到每個目標裝置的確切命令。此主動驗證可最大限度地減少錯誤、識別潛在衝突並建立對部署策略的信心。
- 建立預配作業:檢視預覽後,使用者可以執行預配作業以將模板應用於目標裝置。調配過程可處理配置的安全而高效的應用,確保整個網路基礎架構的一致性和合規性。
使用者可以通過同時建立預覽作業和調配作業來獲得對網路部署的無與倫比的控制能力,從而實現快速、可靠且降低風險的配置管理。
控制面板
在GCT下一代UI中引入的新儀表板將整合所有配置模板的執行作業詳細資訊和狀態檢視。
它提供以下功能:
- 能夠建立新的配置模板的執行作業
- 儲存歷史執行作業詳細資訊的完整詳細資訊及其狀態
- 能夠重新部署配置模板執行作業
- 基於使用者組和訪問策略細粒度訪問作業
- 用於建立、執行、預覽和調配所有控制器型別的單一介面
要訪問部署作業,請執行以下操作:
- 導航至GCT下一代門戶。
- 選擇Menu圖示> Golden Config Template > Deployment Jobs。
「配置模板部署作業」控制面板顯示包含下列詳細資訊的作業清單:
- 作業名稱、作業說明、模板名稱/組
- 目標裝置的成功和失敗計數
- 作業狀態、創建者和可用的操作
按一下所需作業的行,在裝置級別檢視預覽和調配的詳細結果。
通過編輯現有作業可以重新部署現有作業。
建立和管理部署作業
要建立預覽和設定作業,請執行以下操作:
- 按一下Deployment Jobs頁籤。
- 選擇More Options圖示> Deploy Config。將打開「部署作業」視窗。
- 更新必填欄位(例如作業名稱和作業說明)。
- 從選擇模板/模板組下拉選單中搜尋並選擇模板或模板組。
- 從作業型別下拉選單中選擇預覽或預覽與調配。
a. **Preview**: Simulate the template's configurations on selected devices without applying the template configuration
b. **Preview & Provision**: Execute a preview (dry-run) and apply the template configuration on selected devices選擇目標裝置和填充模板變數
使用者必須選擇資產組或裝置作為模板配置部署的目標。根據提供給使用者組的訪問策略許可權顯示可用資產的清單。
使用者應在網格介面中為任何模板變數提供值。如果變數清單範圍很廣,則水準滾動幫助使用者填充變數。網格功能包括:
- 能夠編輯或清除變數值
- 顯示選定的切換
- 全屏圖標
- 刷新圖標
- 「更多選項」圖示:
- 清除值:清除所有已填充的變數
- 編輯變數:填充所有變數
- 在裝置名稱欄位中搜索
預覽和預配配置
要預覽和配置配置,請執行以下操作:
- 按一下Preview,對所有裝置和選定的模板或模板組執行試運行。顯示成功或失敗結果。
- 按一下Provision將配置提交到所有選定的裝置。系統將配置應用到選定的裝置。將開啟Provision彈出視窗,顯示每台裝置的成功或失敗結果。
從錯誤中恢復
使用者可以在每台裝置的側面板上檢視錯誤詳細資訊。由於錯誤可能因裝置而異,並且控制器之間可能存在差異,因此詳細檢視錯誤日誌非常重要。例如,如果模板與特定裝置不相容,則使用者可以從預覽和調配中刪除該裝置。同樣,如果遇到「裝置無法訪問」錯誤,請等待一段時間,然後重試。
處理部署失敗和重新部署
如果某個部署作業在某些裝置上失敗,請排除裝置問題並解決這些問題,並通過從作業的操作列中選擇更多選項圖示> Re Deploy重新部署該作業。
重新部署可幫助使用者編輯現有作業並重新部署到受影響的裝置。要點包括:
- 重新部署使用以前選擇的模板和裝置
- 系統會更新作業結果,以便根據作業型別反映最新結果
- 重新部署支援上述所有控制器(例如NSO、CNC、NDFC、DNAC、vManage和Ansible)
組
模板組為網路配置模板提供邏輯容器或組織結構。使用者無需管理可能包含數百或數千個模板的簡單清單,而是可以將模板分類並排列成有意義的模板。
組的優勢
隨著網路自動化規模的擴大和模板庫的增長,有效的組織變得至關重要。模板組具有以下優點:
- 改善組織和可發現性:消除雜亂現象,快速找到特定模板。按功能、裝置型別、位置或專案對模板進行分組可讓模板庫直觀且易於導航,從而節省寶貴的時間。
- 增強角色型存取控制(RBAC):為特定模板集分配精細許可權。使用者可以向不同的模板組授予不同的使用者角色(例如,網路架構師、網路運營中心工程師、自動化開發人員)不同的訪問級別(只讀、修改、執行),確保使用者只與與其工作功能相關的模板進行互動。
- 簡化生命週期管理:按模板狀態或環境組織模板(例如,「已批准生產」、「開發沙盒」、「已棄用」)。 這有助於管理模板生命週期,確保生產中僅使用經過驗證的模板,並且更容易識別和歸檔過時的模板。
- 簡化合作:通過將特定模板組的所有權或責任分配給不同的團隊或個人,促進團隊合作。這樣可以促進問責制,防止未經授權的修改。
- 實施標準化:通過將遵循特定策略、命名約定或設計標準的模板分組來提高一致性。這有助於確保從特定組部署的所有配置均滿足組織要求。
- 可擴充性和適應未來發展:隨著網路自動化的增長和新的服務或技術的引入,模板組提供了一種靈活的框架,可在不增加現有庫容量的情況下整合和管理新的模板。
管理組
本節概述使用可用的GCT或裝置模板建立、編輯和刪除GCT組。
建立組
「新增模板組」功能用於對相關GCT進行分組。它實現了裝置配置模板的邏輯分離和高效管理。
要建立新組,請執行以下操作:
- 選擇更多選項圖示> 新增。此時將開啟一個新窗體。
- 更新必填欄位(如組名、控制器型別)。
- 從「模板型別」(Template Type)下拉選單中選擇以下選項之一:
- GCT模板:這些模板是BPA的一部分。
- 裝置模板:這些模板包含裝置中可用的預配置模板,並作為控制器同步資料的一部分更新到BPA。將顯示控制器例項的附加選項。選擇適當的控制器例項。
然後將可用的模板載入到網格中。
- 選中要分組的模板的覈取方塊,然後按一下儲存。這將建立組,使用者將被重定向到「組控制面板」頁。
此形式類似於NSO、Ansible和CNC控制器型別;對於Cisco Catalyst Center,表單欄位不同。Cisco Catalyst Center的其他欄位包括:
- 說明
- 目的:提供模板組的用途的全面說明或任何其他相關說明
- 輸入:文本區域(例如,此模板組適用於企業核心路由器的標準QoS和路由配置)
- 標記
- 目的:允許使用者將一個或多個標籤與模板組相關聯,以便更輕鬆地分類和搜尋
- 輸入:文本區域
- 作業系統型別
- 目的:一個必填欄位,用於指定設計此模板組的作業系統型別(例如IOS XE、NX-OS)
- 輸入:從下拉選單中選擇一個選項
- 專案
- 目的:用於將模板組分配給特定專案的必填欄位,有助於組織和訪問控制
- 輸入:從下拉選單中選擇一個選項
- 語言
- 目的:這是一個必填欄位,用於指定模板組內配置命令的語言或格式(例如JINJA、CLI、VELOCITY)
- 輸入:從下拉選單中選擇一個選項
- 裝置型別
- 目的:一個必填欄位,用於指示此模板組用於的特定裝置型別(例如,路由器、交換機、防火牆)
- 輸入:從下拉選單中選擇一個或多個選項
編輯組
在GCT管理中,編輯模板組是一項重要的維護和最佳化活動。以下是需要編輯模板組的關鍵原因:
- 組織更改
- 部門重組:重組業務部門時,模板組需要重新調整
- 站點整合或擴展:合併或拆分位置需要模板組重組
- 角色重新定義:網路裝置職責的變化需要模板組更新
- 運營演變
- 新裝置角色:新網路功能(SD-WAN、IoT網關)簡介
- 技術升級:遷移到需要組重新分類的新平台
- 服務變更:新增或刪除網路服務會影響組組織
- 合規性和安全更新
- 法規更改:對法規的更新需要修改模板組
- 新的法規遵從性要求:更新的管理法規(PCI-DSS、GDPR、SOX)需要修改模板組
- 安全策略更新:增強的安全標準需要團體級別的策略更改需要團體重組
- 安全增強功能
- 威脅環境演變:新的安全威脅需要更新的組策略
- 存取控制細化:更改不同組的許可權和訪問級別
- 風險分類更新:根據更新的風險評估對裝置進行重新分類
- 技術基礎設施變更
- 網路架構演變:整體網路設計的變化要求更新裝置的分組方式
- 拓撲更改:網路重新設計會影響裝置的分組方式
- 技術遷移:從傳統平台遷移到現代平台
- 供應商更改:交換供應商需要新的組分類
- 裝置生命週期管理
- 硬體更新:新裝置型號需要適當的組分配
- 壽命終止裝置:從組中移除過時的裝置類別
- 容量規劃:根據效能和容量需求調整組
- 運營效率提高
- 效能最佳化:連續模板細化
- 模板合併:合併類似的組以降低複雜性
- 組拆分:劃分大型組以實現更好的管理
- 層次最佳化:重組父子關係以提高效率
要編輯組,請執行以下操作:
編輯組
- 在「Action」列中,選擇More Options圖示> Edit。
- 選擇要更新的特定模板。
- 按一下「Save」。
刪除組
在GCT管理中,刪除模板組是一項重要的維護活動。以下是需要刪除模板組的關鍵原因:
- 過時的技術和裝置
- 停產硬體
- 平台遷移
- 組織改組
- 業務變化
- 運營整合
- 合規性和安全清理
- 策略更改
- 訪問控制簡化
- 錯誤復原與修正
- 錯誤修正
- 資料完整性
要刪除多個組:
- 選中要刪除的組的覈取方塊。
- 選擇更多選項圖示> 刪除。系統會顯示確認。
- 按一下「OK」(確定)。
組控制面板
「組」操控板顯示網格中的可用模板組。
- 按一下GCT應用程式中的Groups頁籤。
- 選擇特定的控制器類型和控制器例項過濾器。
- 選擇Refresh圖示以再次獲取資料。
- 選擇More Options圖示以Add或Delete組。
用於受限訪問的基於角色的訪問控制
若要限制對模板的訪問,使用者可以使用基於角色的訪問控制(RBAC)功能。
可用角色
預設情況下,GCT應用程式具有以下三(3)個角色,這些角色在建立組時分配:
- 模板管理器管理員:具有所有許可權的管理員角色。這些使用者可以編輯或刪除任何模板、部署作業或組。
- 模板管理器操作員:這些使用者具有管理許可權,可以管理模板(CURD)、部署作業、組以及同步組模板
- 模板管理器只讀:這些使用者具有只讀許可權以檢視模板、組和部署作業
關聯訪問策略
建立資源組
要建立資源組,請執行以下操作:
- 選擇Settings圖示> Resource Groups。將顯示Resource Groups頁。
- 按一下Add Resource Group。將開啟新增資源組視窗。
- 提供資源組名稱、資源型別和說明。
- 配置模板:列出所有模板
- 配置模板組:列出所有模板組
- SD-WAN範圍:列出所有作用域(適用於vManage v20.15控制器)。
- 配置模板:列出所有模板
- 配置模板組:列出所有模板組
- SD-WAN範圍:列出所有作用域(適用於vManage v20.15控制器)
- 選擇所需的資源。
- 按一下「Submit」。建立資源組。
建立訪問策略
建立新策略:
- 選擇Settings圖示> User Management > Access Policies。將開啟Add Policy視窗。
- 選中在上一節中建立的資源組的覈取方塊。
- 選中使用者分配到的組的覈取方塊。
- 按一下「Submit」。
vManage RBAC上的註釋
vManage版本20.9和20.12
對於vManage controller v20.12和v20.9,vManage資源組對映到BPA資源組。當BPA控制器資料同步(或GCT應用程式中的同步模板)發生時,將自動建立BPA資源組以對映vManage資源組。
例如,如果vManage控制器例項為「vManage-R6」,而資源組為「needle」,則BPA資源組命名為「needle-vManage-R6」。與針資源組關聯的所有模板都會被自動對映。
vManage使用者無需手動建立資源組。這些自動建立的資源組可用於訪問策略中,以限制對模板的訪問,其中包含「自動建立
vManage版本20.15
對於vManage controller v20.15,使用者可以在建立資源組時選擇範圍。BPA中可用的作用域直接從控制器上定義的作用域對映。
例如,如果控制器上的作用域名稱為「firewall」,則BPA作用域名稱的格式為「<<scope-name>>-<<controller-id-in-bpa>>」(例如,firewall-vManage-R6)。
例項檢視
「例項檢視」功能提供了強大的機制,可驗證多個Cisco Catalyst Center部署中的網路配置模板的一致性。它可以作為稽核和驗證工具,使使用者能夠快速識別差異並確保網路配置的標準化。
隨著網路環境的增長和日益分散化,跨多個Cisco Catalyst中心例項(例如,針對不同區域、暫存與生產或災難恢復站點)管理配置模板變得至關重要。例項檢視有助於:
- 保持標準化:確保所有區域或分散式Cisco Catalyst Center例項都使用同一已批准的關鍵網路配置模板(例如,安全策略、QoS設定、標準裝置基線)
- 檢測配置漂移:主動識別目標Cisco Catalyst Center上的模板與指定的黃金來源相比在何時被意外修改、過時或完全丟失
- 驗證部署:確認在升級過程(例如從階段到生產)之後,新模板或更新的模板已成功傳播到所有預定的Cisco Catalyst Center例項
- 簡化稽核:為合規性檢查提供清晰、可操作的見解,證明網路在所有管理點都遵守定義的配置標準
- 簡化故障排除:可快速識別模板不匹配引起的區域配置問題,從而節省診斷寶貴時間
工作方式:
「例項檢視」使用指定的主控制器(在初始控制器自註冊或配置期間設定)作為授權源來執行模板的配置比較。接下來會比較此主控制器上與其他已連線目標控制器上的範本。
瞭解狀態:
對於每個模板,「例項檢視」將顯示以下狀態之一,指示其相對於主控制器的一致性:
- 正在同步:目標控制器上的模板的內容和名稱與主控制器上的模板相同。這表示完全同步。
- 不同步:主控制器和目標控制器上均存在同名模板,但它們的內容不同。這突出顯示了目標控制器上的潛在配置漂移或未批准的更改。
- 缺席:該模板存在於主控制器上,但在目標控制器中缺失。這表示目標控制器與標準模板庫不是最新的。
- 不適用:無法與主控制器進行模板比較。
主要考慮因素:
「例項檢視」的準確性和實用性取決於主控制器的正確指定,因為所有比較都是相對於其模板庫進行的。確保主控制器擁有最新版本的授權網路配置模板。
在「例項檢視」(Instance View)的「模板儀表板」(Template Dashboard for Instance View)上啟用「例項檢視」(Instance View)切換。
與主控制器模板相比,園區模板的狀態將顯示在上。有一個主控制器,其餘是輔助控制器。如果模板存在於主控制器上,則針對輔助控制器有各種狀態。使用者首先必須將一個控制器識別為主控制器;只能有一個主控制器。
以下兩(2)項操作可用:
- 比較:將主控制器模板與輔助控制器模板進行比較。有一個下拉式清單,可選取要比較的控制器。
- 更新模板:
- 案例 1:按一下Update template時,會為使用者提供一個選項,以更新主控制器模板的輔助控制器模板。使用者可以選擇多個控制器,但只能選擇那些沒有模板或模板不同步的控制器。新增模板後,使用者可以選擇Create或Update。
- 案例 2:如果主控制器上沒有模板,則使用者將可以選擇從輔助控制器到主控制器建立模板。使用者必須在「園區例項檢視策略」中的市場差異中設定許可權。一旦設定了許可權,就會為從控制器到主控制器啟用Update按鈕。
- 案例 3:可以選擇通過GCT應用程式建立專案。要建立專案,請按一下新增專案。將打開「建立項目」視窗。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
24-Sep-2025
|
初始版本 |
意見