1.2.3         网络运维面临的挑战

如今，许多网络在网络操作和运维方面提供了非常有限的可见性。各种可用的网络监视方法（SNMP、NetFlow和类似方法）以及相关的工具在不同的网络平台上具有不同的可用性，这使得在当前网络部署中提供全面持续的监视、端到端的洞察力变得非常困难。

如果不深入了解网络的运行状态，企业通常会发现自己对于网络问题是被动反应，而不是主动地解决这些问题，无论这些问题是普通的故障还是严重的停机故障，或是由用户增长和应用程序使用模式的变化引起的体验的变化。

如果能够更加了解网络的使用情况以及在网络可见性和监视方面更加积极主动，对于许多企业来讲将具有重大价值。这也就需要一种更全面的、端到端的方法，它允许从底层网络的基础网络交换矩阵实时报告的大量数据中提炼出网络洞察力。

大多数企业缺乏对网络操作和使用的全面可见性，这一点限制了它们主动响应网络变更的能力并使用户故障的解决很缓慢。

1.2.4         当所有问题混合在一起，你该怎么办

如图 1-2所示，典型的传统服务部署步骤如下。

（1） 将用户映射到微软活动目录（或用于用户身份验证的类似数据库）中的用户组。

（2）  如果使用动态身份验证，将这些用户标识链接到 AAA服务器［如思科身份服务引擎（ISE）］。这为每个标识提供了对应的 VLAN/子网。

（3）  为要提供的新服务定义和配置新的   VLAN    和相关子网。然后，在所有必要的设备

（交换机、路由器和无线控制器）上实现这些VLAN和子网。

（4）  使用适当的设备或防火墙 ACL或网络分段来保护这些子网。如果使用网络虚拟化分段方法，请使用 VRF-Lite或 MPLSVPN将 VRF进行端到端扩展。

（5）  要做到这一切，有必要跨多个用户界面工作——活动目录的图形化配置界面、AAA服务器的图形化配置界面、用于无线网络的无线控制器的图形化配置界面、用于有线交换机或路由器的命令行界面（CLI），你需要手动地将所有必要的元素结合在一起来完成所有的工作。

图 1-2 传统的服务部署

当需要添加另一组用户或终端设备或修改与之相关的策略时，必须重复所有这些步骤。如果需要不断添加/  修改用户组和安全策略，此时的工作量将无法想象！所以推出新的网络服务常常需要几天甚至几周的时间 !