Avsiktsbaserade nätverk: I juni lanserade Cisco sin Software Defined Access (SDA), vilket är en avsiktsbaserad nätverkslösning (Intent-based networking). Det finns också andra spelare i detta utrymme, till exempel Apstra. Vad är avsiktsbaserade nätverk?
Traditionella nätverk: imperativt tillvägagångssätt
Traditionellt har vi byggt nätverk med ett imperativt tillvägagångssätt (imperative approach), vilket innebär att vi exakt måste ange alla komponenter för att nå vårt önskade tillstånd. För att visa detta, låt oss börja med ett enkelt exempel där vi har traditionell nätverksarkitektur.
Detta nätverk är ett ganska enkelt nätverk som är typiskt för ett mindre kontor. Vi har två användare, Bob och Alice, som tillhör olika avdelningar. Bob är i HR-avdelningen, och Alice är i försäljningsavdelningen. Vårt mål för Alice är att kunna nå filservern men inte Bob. De båda borde kunna få tillgång till Internet, dock.
Om vi börjar från början och konfigurerar det här scenariot, måste följande steg till för att konfigurera detta scenario:
- Tilldela ett VLAN för HR-användare
- Tilldela ett VLAN för försäljningsanvändare
- Tilldela ett VLAN för servrar
- Tilldela ett IP-nät för HR-användare
- Tilldela ett IP-nät för försäljningsanvändare
- Tilldela ett IP-nät för servrar
- Konfigurera Bobs och Alices portar för att vara i rätt VLAN
- Konfigurera trunk-port mellan access och distribution för att tillåta dessa VLAN
- Konfigurera trunk-port mellan switchar i distributionslagret för att tillåta dessa VLAN
- Konfigurera två SVI i switcharna i distributionslagret
- Konfigurera HSRP på switcharna i distributionslagret
- Konfigurera en ACL på FW för att neka trafik från Bob (HR) men tillåta trafik från Alice (försäljning) mot servern
- ACL ska tillåta trafik från båda avdelningarna mot Internet
Det finns många nackdelar med detta tillvägagångssätt, av vilka jag har listat några nedan:
- Att tilldela VLAN och IP-nät är en manuell inställning
- Användaridentitet är baserad på IP-adress
- Säkerheten kan kringgås om en användare kan få en IP adress i ”rätt” IP-nät
- Underliggande topologi måste uppdateras för varje förändring
- Att lägga till eller ta bort konfiguration kan påverka alla användare
- Många enheter behöver uppdateras för att uppdatera konfigurationen
Några av dessa kan lösas genom att använda nätverksautomatisering, men här är några av de saker vi vill åstadkomma:
- Komma bort från att manuellt behöva tillhandahålla VLAN och IP-nät
- Ha en policy baserad på något annat än IP-adress
- Uppnå bättre säkerhet genom att använda autentisering
- Skapa en stabilare underliggande topologi som alltid finns på plats
- Minimera antalet enheter som behöver uppdateras för att konfigurera nya nät och användare
Avsiktsbaserade nätverk: deklarativt tillvägagångssätt
Med ett deklarativt tillvägagångssätt (declarative approach) vill vi kunna definiera en policy och få nätet att räkna ut alla detaljer. Vår avsikt är att:
- Tillåt Bob att få tillgång till alla interna resurser utom servern och Internet
- Låt Alice få tillgång till alla interna resurser och Internet
- Ge gateway redundans för användarna
Vi bryr oss inte om vilket VLAN som tilldelas eller IP-nätet. Vi bryr oss inte om access-portar eller trunkar eller att konfigurera brandväggsregler. Vi vill bara ha ett nätverk som instansierar policyn ovan. Detta är hela tanken bakom avsiktsbaserade nätverk.
Enligt Gartner Research VP, Andrew Lerner, ska ett Intent Based Networking System (IBNS) ska ha följande fyra komponenter*:
- Översättning och validering: En av de viktigaste principerna för IBNS är dess förmåga att översätta kommandon från nätverksadministratörer till åtgärder som mjukvaran utför. Tanken är att nätverksansvariga definierar en policy på hög nivå som de vill ha verkställt i nätverket. IBNS verifierar att policyn kan utföras.
- Automatiserad implementering: När en nätverksadministratör har definierat nätverkets önskvärda tillstånd manipulerar IBNS-programvaran nätverksresurser för att skapa önskat tillstånd och genomdriva policyer.
- Medvetenhet om tillstånd: En annan viktig del av IBNS är dess insamling av data för att ständigt övervaka nätets tillstånd.
- Försäkring och dynamisk optimering: IBNS garanterar ständigt att nätets önskade tillstånd upprätthålls. Det använder maskininlärning för att välja det bästa sättet att genomföra önskat tillstånd och kan vidta automatiska korrigerande åtgärder för att upprätthålla tillståndet.
Basen i avsiktsbaserade nätverk
För att kunna bygga ett avsiktsbaserat nätverk behövs några komponenter, och jag kommer att beskriva dessa baserat på Cisco SDA-nätverk.
Fabric – Fabric är byggt med Catalyst 9k (UADP 2.0) eller Catalyst 3850/3650 (UADP 1.1) switchar där administratören inte bryr sig om de enskilda switcharna, utan snarare ses det som en enhet, alltså en fabric.
Underliggande topologi – Den underliggande topologin är det som ger IP-tillgänglighet så att den överliggande topologin kan bygga sina tunnlar och hitta destinationen för tunneländpunkterna. Den underliggande topologin är ofta byggd med Intermediate System till Intermediate System (ISIS), vilket också är fallet i Application Centric Infrastructure (ACI) i DC-miljöer.
Överliggande topologi – En överliggande topologi gör det möjligt för användarna att ansluta till alla switchar som ingår i fabric och tillhör ett visst IP-nät och kan fortfarande kommunicera på L2 med andra användare som finns på andra switchar. Ofta används Virtual EXtensible LAN (VXLAN) som protokoll för att bygga den överliggande topologin.
Orkestreringsmotor – Det måste finnas en motor som ansvarar för att orkestrera konfigurationen för de enskilda enheterna. I SDA är det APIC-EM (Application Policy Infrastructure Controller Enterprise Module) som ansvarar för detta.
Policy-motor – Något behövs för att omforma policy och utföra autentisering av användare. I SDA är detta Identity Services Engine (ISE) som används i denna roll.
Management – Management av SDA sker via Digital Network Architecture Center (DNA Center) där design, provisionering och hantering av lösningen utförs.
Försäkring – Administratören behöver veta hur nätverket fungerar. Finns det några fel? Hur många trådlösa användare är aktiva? Finns det tillräckligt med IP-adresser i DHCP-poolerna? Network Data Platform (NDP) är vad Cisco använder för att ge administratören inblick i nätverket.
Nätverksadministratören blir snabbare och bättre
Är avsiktsbaserade nätverk ett nytt koncept? I nätverksindustrin är en teknik nästan aldrig helt ny och bygger i regel på något annat som redan existerar. Från mitt perspektiv är det nya att den framtida nätverksadministratören kommer att ha mindre inriktning på VLAN, IP-nät och ACL och mer fokus på användaridentitet, policy och att ge en bra användarupplevelse. Det betyder inte att administratörer inte behöver kunskap. Kom ihåg att i bakgrunden konfigureras detta med hjälp av verktyg och teknik som vi har 
använt manuellt tidigare.
Det kommer att finnas situationer där administratören behöver felsöka eller samla in information om ett TAC-fall, etc. Vad det innebär är att mindre erfarna administratörer kan utföra mer arbete, snabbare. Det innebär också att administratörer kan fokusera på viktigare saker än att provisionera VLAN.
Jag hoppas att den här bloggen ger dig en inblick i vad ett IBNS är och att det inte är så läskigt. Jag och mina kollegor har de högsta certifieringarna på Ciscos nätverksprodukter och vi står gärna till tjänst om du har frågor kring avsiktsbaserade nätverk för din verksamhet, kontakta oss.
/Daniel Dib
Sr Network Architect,
CCIE #37149 CCDE #20160011
Conscia Netsafe
Ovanstående artikel publicerades ursprungligen på engelska av Daniel i Cisco Learning Network. Toppbild: Cisco Systems – YouTube – Cisco Live 2017 Technology Vision Address
*https://www.networkworld.com/article/3202699/lan-wan/what-is-intent-based-networking.html
