《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

本节书摘来异步社区《CCNP TSHOOT(642-832)学习指南》一书中的第1章,第1.3节,作者: 【美】Amir Ranjbar 译者: 夏俊杰, 更多章节内容可以访问云栖社区“异步社区”公众号查看。

1.3 网络维护工具、应用程序及资源

CCNP TSHOOT(642-832)学习指南
在确定并定义了企业的网络维护方法、维护进程以及维护流程之后,就需要选择相应的维护工具、应用程序和资源,以便有效地执行这些网络维护任务。当然,选择的维护工具必须是足够且能够买得起的。理想情况下,选择的维护工具和应用程序能够支持所有维护任务,并且相应的初始成本和运行成本都在预算之内。为了确定网络维护工具包的适宜性,必须做到以下几点。

确定、评估和实施基本网络维护工具包的各个部件。
评估支持网络文档编制进程的维护工具并选择适合本企业的工具。
描述配置管理、软硬件资源管理是如何改善灾难恢复流程的。
分析用于测量网络性能的各种度量值以及性能策略进程的关键因素,以创建适合本企业的性能策略计划。

1.3.1 基本的网络维护工具、应用程序及资源

目前市面上有很多可供选择的网络维护工具、应用程序及资源,这些工具及应用程序在价格、复杂性、功能性和可扩展性上差异很大。图1-2列出了属于网络维护工具包的基本工具及应用程序。


《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

网络维护工具包中的基本组件如下所示。

命令行设备管理工具:Cisco IOS软件提供了强大了CLI(Command-Line Interface,命令行界面),可以用来配置并监控单独的路由器和交换机,包括show命令、debug命令、EEM(Embedded Event Manager,内嵌式事件管理器)命令以及IP SLA命令。在通过设备的串行控制台进行初始配置之后,通常是利用Telnet协议或SSH(Secure Shell,安全外壳)协议远程访问CLI。为了保证在网络出现故障的情况下仍能管理网络设备,通常需要部署带外网管系统,从而可以在任何时候都能利用串行控制台访问CLI。
基于GUI(Graphical User Interface,图形用户界面)的设备管理工具:Cisco为大多数Cisco路由器和交换机都提供了免费的基于GUI的设备管理工具,如CCP(Cisco Configuration Professional,Cisco配置专家)、SDM(Cisco Security Device Manager,Cisco安全设备管理器)、CCA(Cisco Configuration Assistant,Cisco配置助理)和CNA(Cisco Network Assistant,Cisco网络助理)。
备份服务器:为了创建路由器和交换机的软件及配置备份,需要提供TFTP、FTP、HTTP或SCP(Secure Copy Protocol,安全复制协议)服务器。许多操作系统都将这些服务作为可选附件,而且许多软件包也都提供这类服务。
日志服务器:利用syslog协议将路由器和交换机的日志消息发送到syslog服务器即可实现基本的日志功能。syslog是大多数UNIX操作系统的标准服务,也可以在操作系统中安装额外软件来提供syslog服务。
时间服务器:为了同步网络中所有设备的时钟,需要在网络中部署NTP(Network Time Protocol,网络时间协议)服务器,也可以将网络中的路由器和交换机的时钟同步到Internet上众多公共时间服务器中的某一台时间服务器上。
为了确保logging命令和debug命令输出结果中的时间戳的正确性,并支持基于时间的功能特性(如使用证书或基于时间的接入),非常重要的一点就是要正确设置网络设备的时钟并使其保持同步。NTP可以将网络设备的时钟同步到NTP服务器上,而NTP服务器则可以进一步同步到更高级的NTP服务器上。设备在NTP层次结构的位置取决于其层级(相当于NTP跳数),层级1服务器是直连到权威时间源(如电波钟或原子钟)的服务器,将自己的时钟同步到层级1服务器的服务器被称为层级2服务器,以此类推。

通常核心网络中都会配置冗余服务器,这些服务器的时钟同步到权威时间源或服务提供商的服务器,并配置其他网络设备将其时钟同步到这些集中部署的时间源上。对大型网络来说,这种层次结构可能会存在多个层级,可以使用命令ntp server来配置时间服务器,如果出于冗余性目的而配置了多台时间服务器,那么就由NTP协议来确定哪台时间服务器是最可靠的并同步到该服务器上。当然,也可以在命令ntp server中使用命令选项prefer来指定优选时间服务器。除了可以定义时间服务器之外,还可以定义本地时区并让网络设备采用DST(Daylight Savings Time,日光节约时间或夏令时)。最后,同步完设备时间并正确配置了时区之后,就可以配置路由器或交换机在其日志和调试表项中打上时间戳。

例1-1给出了同步到单一时间服务器(IP地址为10.1.220.3)的设备时钟情况。该设备的时区被配置为PST(Pacific Standard Time,太平洋标准时间),其中,PST与UTC之间相差8个小时,并且配置该设备在3月的第二个星期日的凌晨2点更改为DST,在11月第一个星期日的凌晨2点更改回标准时间。此外,对系统日志功能产生的日志来说,要求在时间戳中使用当地日期和时间,并在时间戳中包含时区信息。对调试产生的日志来说,配置基本相同,但是为了更加精确,要求在时间戳中体现到毫秒级别的时间。

例1-1 NTP示例

《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

有关NTP的详细配置信息,请参考“Cisco IOS网络管理配置指南”中的“NTP配置”一节:http://tinyurl.com/yezfkr3

1.3.2 配置工具及文档编制工具

在规划和实施网络维护流程时,许多基于Web的维护工具及资源都非常有用。cisco.com网站提供了大量实用工具以支持大家的网络维护流程,但许多工具仅面向拥有有效Cisco服务合同的注册用户或Cisco渠道合作伙伴。下面列出了一些很有用且免费的实用工具。

动态配置工具(Dynamic Configuration Tool):该工具可以帮助大家创建硬件配置,并验证硬件与所选软件的兼容性,此外,还会提供一份完整的BoM(Bill of Materials,材料清单),它列出了所有必需的零件编号。有关该工具的详细信息请查看https://apps.cisco.com/qtc/config/html/configureHomeGuest.html
Cisco功能特性导航(Cisco Feature Navigator):该工具可以快速发现希望在网络中运行的功能特性所属的Cisco IOS软件版本。有关该工具的详细信息请查看http://tools.cisco.com/ITDIT/CFN/
SNMP对象导航(SNMP Object Navigator):该工具可以将SNMP OID(Object IDentifier,对象标识符)翻译成对象名,此外,还能够下载SNMP MIB(Management Information Base,管理信息库)文件并验证特定Cisco IOS软件版本所支持的MIB。有关该工具的详细信息请查看http://tools.cisco.com/Support/SNMP/do/BrowseOID. do?local=en。
Cisco电源计算器(Cisco Power Calculator):该工具可以为特定的PoE(Power over Ethernet,以太网供电)硬件配置计算供电需求。访问该软件需要拥有cisco.com账号。
好的网络文档通常源于好的网络维护进程,而好的工具则能够有效地支撑文档编制进程,但需要切记的是,必须将文档编制与更新工作作为网络维护进程的有机组成部分。网络文档的价值在很大程度上依赖于如何访问该文档以及如何保证文档的时效性;如果在需要时找不到或者无法访问网络文档,或者是无法信任网络文档中的信息,那么这些网络文档将毫无价值。因而,必须确保所使用的文档工具或应用程序能够支持文档创建、检索和更新等功能,并且要易于访问、易于使用。下面列出了一些用于访问、创建、维护网络文档的常用工具。

Wiki:Wiki将基于Web的易用性与编辑能力的直观性很好地结合在一起,适合用作基本的文档系统。可以将Wiki用作文档编制框架,而将其他已有的文档系统链接到Wiki中。
问题跟踪系统(Issue tracking system):问题跟踪系统有时也被称为故障工单系统、支撑工单系统或事故工单系统。问题跟踪系统可以记录、跟踪并文档化各种支撑请求、故障及事故。通过记录事故的进展、沟通情况以及事故扩大化等情况,问题跟踪系统可以让故障排除团队以一种有效的工作方式同时处理同一个网络事故。此外,还可以创建一个历史故障库以及相应的处理过程及解决方案。

1.3.3 日志记录服务

发生在网络设备(如路由器)上的所有事件都能被记录下来。网络事件包括很多类型,而且不同的事件还拥有不同的重要性或严重性等级,常见的网络事件包括接口up或down、配置事件以及建立了路由邻接关系等。在默认情况下,事件仅仅被记录到设备的控制台,但访问设备的控制台不是很方便,因而需要单独监控这些事件。采集日志信息并将日志信息存储到服务器上或至少存储到路由器的独立内存中是非常有意义的,这将会给今后的故障检测与排除工作提供极大的帮助

将日志消息记录到路由器或交换机的缓存中是保证设备日志可用的最起码的步骤(只要不重启设备)。对某些网络设备或Cisco IOS软件版本来说,将日志记录到缓存中是默认开启的,如果需要手工启用日志缓存功能,那么就可以使用命令logging buffered,指定设备将日志缓存到设备的RAM中。由于缓存是一种环形结构,因而当缓存达到其最大容量限度时,最早的日志消息将被丢弃,以便缓存最新的日志消息。利用命令show logging可以显示日志缓存中的内容。Cisco Systems网络设备日志的严重等级(severity level)分为以下几类。

  • (0)紧急(Emergencies)
  • (1)警报(Alerts)
  • (2)危急(Critical)
  • (3)差错(Errors)
  • (4)告警(Warnings)
  • (5)通告(Notifications)
  • (6)报告(Informational)
  • (7)调试(Debugging)

启用了日志记录功能之后,作为可选项,可以指定严重等级,以便让网络设备仅记录所配置严重等级或等级数值小于该严重等级的日志消息。在默认情况下,所有严重等级的日志消息都会被记录到缓存中。

可以调整记录到控制台的日志的严重等级。在默认情况下,所有严重等级的日志消息都会被记录到控制台,但是,与缓存日志类似,可以在命令logging console中配置严重等级的可选参数。

最好的方式是将日志消息发送给syslog服务器,这样做的好处是可以集中存储网络中所有设备的日志消息。将日志消息发送给syslog服务器之后,即便网络设备崩溃或重启,这些日志消息也不会丢失。利用命令logging host可以配置一台或多台syslog服务器。在默认情况下,只将严重等级为6或严重等级数值小于6的日志消息记录到syslog服务器上,该默认设置是可以更改的。与缓存日志或控制台日志类似(但是与这些命令的形式不同),可以利用命令logging trap level来配置严重等级,该命令会应用于所有已配置的syslog主机。图1-3显示了在网络设备上配置的3种日志记录命令并分别给出了相应的解释。

..10-1203 二校改图0103.jpg

《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

有关日志记录和syslog服务配置的详细信息,请参考“Cisco IOS网络管理配置指南”中的“日志记录系统消息”一节:http://tinyurl.com/yc8ftr6

1.3.4 网络监控和性能测量工具

基于GUI和CLI的设备管理工具可以在怀疑设备存在故障时用来检查单台设备,但通常只有在用户抱怨时才可能发现故障;当用户已经发现故障时,该故障可能已经对企业的商业运行造成了不良影响。网络监控系统的作用就是要连续检查网络设备的可用性及状态信息,这样就可以尽可能早地发现网络中可能存在的故障问题,甚至可以在终端用户发现故障之前就诊断并解决这些潜在的故障问题。大多数网络监控软件都融入了SNMP、ICMP以及syslog等多种协议,以方便监控网络设备和网络事件。此外,还可以使用Cisco IOS提供的NetFlow功能,它不但能够监控设备,而且还能监控网络的实际流量。某些网络监控软件还融入了性能监控能力,在网络监控与性能测量之间存在一个灰色地带,在监控网络性能并查找差错和问题时,还可以利用这些性能数据进行容量规划、SLA遵从性测量或记账等用途。

测量网络性能的3个主要出发点如下。

容量规划:通过测量网络的平均负荷及峰值负荷情况,可以为网络创建流量的基线数据并掌握网络的利用率情况。通过长期不断的性能测量,可以发现网络流量的增长趋势,并能预测出何时该升级网络链路或网络设备,以便在流量增长到可能导致拥塞和性能问题之前完成相应的升级工作。
诊断性能故障:由于性能故障很难量化而且是间歇性的,因而很难检测和排除网络的性能故障。用户可能会抱怨“最近某应用真的很慢”,但这句话意味着什么呢?该应用在什么时候很慢呢?其原因是什么呢?是客户端软件问题还是服务器问题,又或者是客户端与服务器之间的网络问题呢?全面掌握网络的负荷情况,特别是该客户端与服务器之间的负荷情况,将有助于确定是否是因为网络拥塞而导致了该故障。
SLA遵从性测量:无论是向他人提供SLA所保证的等级的服务,还是从服务提供商接受承诺的特定等级的服务,都需要在网络中部署相应的测量手段,以确认是否满足了SLA中定义的服务保证。
在测量网络性能时,可以首先从路由器和交换机收集统计信息,并将收集到的统计信息存储到数据库中,然后将这些信息以图形化的方式展现出来加以分析。该信息对容量规划和性能故障检测与排除工作来说非常有用。通常要收集的统计信息包括接口上的字节数和包数以及设备的CPU利用率和内存利用率。对SLA遵从性测量来说,最有用的测量对象应该是RTT(Round-Trip Time,往返时间)、抖动和丢包。许多Cisco路由器都提供了IP SLA功能,该功能可以在网络中建立相应的探针来测量网络中特定路径上的这些关键对象,然后可以利用Cisco IOS命令来读取这些统计信息或利用SNMP来采集这些统计信息。原始数据都被存储在数据库中,今后可以加以分析或以图形方式加以展现。作为CiscoWorks LAN管理解决方案的一部分,Cisco IPM(Internetwork Performance Monitor,互连网络性能监控系统)可以利用路由器中的IP SLA功能提供详细的性能图形。此外,其他许多网络管理软件都能利用SNMP采集统计信息并以图形的方式表现出来。开源软件MRTG(Multi Router Traffic Grapher,多路由器流量图形系统)以及很多基于MRTG的其他工具都属于这类网络管理软件。

1.3.5 实施备份和恢复服务
网络维护工具包中的一个基本组件就是备份服务器,其作用是存储设备的配置信息以及Cisco IOS软件并用于恢复操作。最简单和最常用的服务实现方式就是TFTP,它无需在网络设备上做任何配置。备份服务器无需进行任何认证或鉴定就可接收备份文件,只要指定设备配置或Cisco IOS软件的文件名即可。不过,由于TFTP协议无需认证,所有内容都以明文方式经网络进行传送,因而是一种相对不那么安全的实现机制。可以考虑采用FTP、SCP、HTTP或HTTPS等相对较为安全的协议来传送设备配置信息及软件,如果希望使用这些较为安全的实现机制,必须指定用户名和密码来认证备份服务器。对所有这些协议来说,都可以将登录凭证作为URL(Uniform Resource Locator,统一资源定位符)的一部分并用于copy命令。在URL中的表现形式是将用户名和密码以username:password@方式放置在服务器名称或IP地址之前。例1-2显示了如何利用FTP将启动配置复制到IP地址为10.1.152.1的服务器上且文件名为RO1-test.cfg,使用的用户名和密码分别是backup和san-fran。

例1-2 使用需要用户名和密码的FTP服务执行备份操作

《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

对SCP、HTTP和HTTPS来说,命令语法与例1-2相似,只要将ftp://替换成scp://、http://https://即可。但是在命令行中输入用户名和密码不但繁琐,而且从安全性的角度来看,将密码以明文方式显示在屏幕上也很不安全。为了解决这个问题,在采用FTP、HTTP或HTTPS协议时,可以在配置中指定用户名和密码,而不用在命令行中指定用户名和密码。例1-3显示了如何将FTP、HTTP用户名和密码存储到配置文件中,这样在执行FTP备份操作时就无需在命令行中输入用户名和密码了。

例1-3 将FTP、HTTP用户名和密码存储到配置文件中

《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

上述配置命令也可以用于HTTP和HTTPS,唯一的区别在于URL中的协议标识符。请注意,虽然FTP和HTTP需要认证,但它们仍然是以明文方式传送登录凭证,而SCP和HTTPS则可以利用加密机制来保证所传送的登录凭证及文件内容的机密性,因而在可能的情况下应尽量使用更安全的SCP和HTTPS协议。

创建备份应该是网络维护进程的有机组成部分。网络中出现了任何变更都应创建备份,并将配置文件复制到设备的NVRAM以及网络服务器上。如果网络设备的闪存空间足够大,那么不但可以在服务器上创建配置归档(archive),而且还可以在设备闪存中创建配置归档。无论是在设备本地还是在远程服务器上创建配置归档,一个很有用的功能特性就是Cisco IOS软件版本12.3(7)T提供的配置替换和配置回退(Configuration Replace and Configuration Rollback)功能。例1-4给出了创建配置归档的配置示例。

例1-4 创建配置归档

《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

创建配置归档需要在全局配置模式下输入命令archive,然后会进入config-archive配置模式。在该配置子模式下可以为归档指定相应的参数,唯一的强制性参数就是库文件路径,该路径会被用作库文件名,而且会在库文件名后面为随后归档的每个配置都附加一个编号。路径采用的是URL记法,可以是Cisco IOS文件系统所支持的本地路径或网络路径。请注意,由于该功能并不支持所有类型的本地闪存,因而如果希望在设备本地存储配置归档而不是存储到服务器上,那么在使用该功能之前必须检查所用设备的闪存类型。在配置路径中,可以包含变量$h以指定设备的主机名,还可以包含变量$t以便在文件名中包含时间和日期戳。

指定了配置归档的存储位置之后,就可以利用命令archive config来手工创建设备配置的归档副本。该功能特性的最大好处就是可以利用该功能自动创建并更新配置归档。在归档配置命令中增加选项write-memory即可触发自动创建配置归档功能,即运行配置被复制到NVRAM的时候会自动触发创建一份运行配置的归档副本。也可以在命令中使用选项time-period并指定一个时间周期(以分钟为单位),即可周期性地生成配置文件的归档副本,也就是说,每次所设置的时间周期一到,就会归档运行配置的副本。

利用show archive命令可验证已归档的配置文件是否存在。除了显示文件本身信息之外,该命令还能够显示最近归档的文件以及下一次将要创建的归档文件的文件名(如例1-5所示)。

例1-5 命令show archive的输出结果

《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

通过创建备份(以手工方式复制文件或者利用配置归档功能),可以将配置恢复到故障发生前的某个时间点,如果出现人为错误导致设备配置丢失、硬件故障或者需要替换设备时,可以将最后归档的配置文件复制到设备的NVRAM中,重新启动设备后即可恢复到归档中所存储的配置。此外,如果对设备做了某项变更或者做了一系列变更之后,发现未达到预期目标,那么此时也可能希望将设备恢复到最后归档的配置。如果这些变更操作是在周期性维护窗口内执行的,那么就可以经常性地执行恢复操作(就像配置文件彻底丢失一样),将最后归档的正确配置复制到设备的NVRAM中并重新加载配置。但是,如果这些变更操作是在正常网络操作(如检测与排除网络故障)时执行的,那么重新加载配置将会中断网络运行,因而除非万不得已,否则不建议这么做。

这种情形就是配置替换功能所要解决的问题,命令configure replace可以用已保存的配置文件替换路由器的当前运行配置,实现方式是将路由器的运行配置与命令configure replace所指定的配置文件进行对比,然后创建一份差异列表,根据所发现的差异情况,生成各种Cisco IOS配置命令,从而可以将现有的运行配置更改为替换配置。例1-6就是一个该命令的简单示例。这种方法的好处是仅需要变更少数不一致的配置,设备无需重新加载整个配置,也不用重新应用现有的命令。这种将设备回退到归档配置的方法是对网络中断影响最小的方法。请注意,虽然命令configure replace中并没有关键字rollback,但是某些cisco.com文档仍然将configure replace命令称为configuration rollback(配置回退)。

例1-6 命令configure replace的简单示例

《CCNP TSHOOT(642-832)学习指南》一1.3 网络维护工具、应用程序及资源

从例1-6可以看出,更改了设备的主机名,然后将配置回退到最近归档的配置,命令configure replace中加入了选项list,作用是显示配置替换操作所要应用的配置命令。可以发现,在不影响其他配置的情况下,该回退操作取消了之前所作的主机名更改操作。虽然命令configure replace的设计目的是补充配置归档功能,但是也完全可以在该命令中使用完整的Cisco IOS配置文件。

1.3.6 灾难恢复工具

要想成功地实施灾难恢复,需要:

  • 最新的配置备份;
  • 最新的软件备份;
  • 最新的硬件清单;
  • 配置和软件部署工具。

作为基本网络维护工具包的一部分,TFTP、FTP、SCP、HTTP及HTTPS服务器在创建路由器或交换机的配置及操作系统备份方面非常有用。也可以使用其他软件以扩展网络维护工具包的功能并执行以下任务。

  • 自动备份调度。
  • 配置文件对比和变更跟踪。
  • 模板创建和编辑。
  • 将配置文件推送到多台设备。
  • 硬件清单跟踪。

作为CiscoWorks LMS(LAN Management Solutions,LAN管理解决方案)的一部分,CiscoWorks RME(Resource Manager Essentials,资源管理器)就是一款可以提供以上功能的应用程序。有关LMS以及Cisco提供的其他网络管理工具的详细信息,请参见 http://www.cisco.com/en/US/products/sw/netmgtsw/index.html

上一篇:3月22日云栖精选夜读:深入理解Android Instant Run运行机制


下一篇:JavaScript 原型概念深入理解