■ 河南 郭建偉

編者按：對(duì)于APIC-EM（即應(yīng)用策略基礎(chǔ)設(shè)施控制器企業(yè)模塊）來(lái)說(shuō)，是基于軟件定義網(wǎng)絡(luò)的控制器，具有可擴(kuò)展平臺(tái)、高可靠性、簡(jiǎn)單部署、北向RESTful APIs等特點(diǎn)。APIC-EM主要用來(lái)協(xié)調(diào)和管理由思科基礎(chǔ)設(shè)施組成的局域網(wǎng)和廣域網(wǎng)，可以托管大量的諸如網(wǎng)絡(luò)PnP、IWAN、路徑追蹤、EasyQOS、PKI證書(shū)基礎(chǔ)設(shè)施和網(wǎng)絡(luò)資產(chǎn)等嵌入式服務(wù)，可以從GUI或者RESTful API查看這些應(yīng)用。也就是說(shuō)，APIC-EM是一個(gè)平臺(tái)，利用容器技術(shù)可以允許各種服務(wù)或應(yīng)用嵌入到該平臺(tái)中。

APIC-EM網(wǎng)管解決方案

對(duì)于RESTful架構(gòu)來(lái)說(shuō)，是一種互聯(lián)網(wǎng)軟件架構(gòu)，具有結(jié)構(gòu)清晰、符合標(biāo)準(zhǔn)、易用理解、庫(kù)擴(kuò)展方便等特點(diǎn)，可以通過(guò)各種語(yǔ)言（例如Python等）來(lái)調(diào)用RESTful API，實(shí)現(xiàn)自動(dòng)化管理操作。從APIC-EM解決方案來(lái)說(shuō)，其是在原有的傳統(tǒng)網(wǎng)絡(luò)解決方案的基礎(chǔ)上，利用APIC-EM控制器對(duì)各種網(wǎng)絡(luò)設(shè)備（例如路由器等）進(jìn)行統(tǒng)一管理，幫助管理員快速部署各種配置信息。

APIC-EM管理的對(duì)象依然是傳統(tǒng)的網(wǎng)絡(luò)設(shè)備，這些設(shè)備并沒(méi)有分離管理層面，管理員也可以單獨(dú)對(duì)這些設(shè)備進(jìn)行管理。

APIC-EM支持虛擬化平臺(tái)和基于設(shè)備的部署，允許用戶定義自動(dòng)化和抽象的策略，APIC為企業(yè)網(wǎng)絡(luò)接入提供了應(yīng)用控制平臺(tái)，簡(jiǎn)化了復(fù)雜的網(wǎng)絡(luò)配置，支持現(xiàn)有設(shè)備和新的網(wǎng)絡(luò)設(shè)備。同PI（即Cisco Prime Infrastructure）等傳統(tǒng)的網(wǎng)絡(luò)方式不同，APIC-EM可以實(shí)現(xiàn)更加智能化自動(dòng)化的網(wǎng)絡(luò)管理。例如，傳統(tǒng)網(wǎng)絡(luò)是針對(duì)單個(gè)設(shè)備進(jìn)行手工配置，只能針對(duì)已知區(qū)域進(jìn)行靜態(tài)配置，花費(fèi)的時(shí)間很長(zhǎng)，對(duì)于APIC-EM來(lái)說(shuō)，針對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行程序化配置，可以管理已知或未知區(qū)域，利用策略和GUI進(jìn)行配置，短時(shí)間內(nèi)即可完成。

當(dāng)然。以上兩種管理方式是可以關(guān)聯(lián)的。各種應(yīng)用程序可以通過(guò)REST API來(lái)向APIC-EM發(fā)送各種策略，APIC-EM再向各種網(wǎng)絡(luò)設(shè)備推送各種配置參數(shù)。對(duì)于APIC-EM的安裝來(lái)說(shuō)，可以使用硬件設(shè)備，例如C系列USC APIC-EM-APL-R-K9等，在其中已經(jīng)預(yù)裝了APIC-EM軟件，也可以下載ISO鏡像進(jìn)行安裝，服務(wù)器需要安裝Ubuntu 14.04 64位系統(tǒng)。APIC-EM對(duì)于武器的硬件要求較高，例如CPU需要六核，內(nèi)存為64GB，占用硬盤(pán) 500GB等，如果是多主機(jī)部署的話，內(nèi)存為32GB即可。在實(shí)際使用時(shí)，建議配置128GB內(nèi)存并使用固態(tài)硬盤(pán)。APIC-EM對(duì)于Catalyst企業(yè)級(jí)的交換機(jī)，ASR系列的路由器以及IOS XE和AireOS的WLC提供了很好的支持。

安裝APIC-EM設(shè)備

在服務(wù)器上加載“APICEM-1.x.iso”的安裝鏡像，展開(kāi)安裝文件，接受授權(quán)信息，選擇“Create a new APICEM cluster”項(xiàng)，創(chuàng)建新的APIC-EM控制器。如果選擇“Add this host to an existing APIC-EM cluster”項(xiàng)，表示將其添加到一個(gè)APIC-EM集群中，實(shí)現(xiàn)分布式部署。這里選擇前者。

之后為其設(shè)置IP地址，子網(wǎng)掩碼，網(wǎng)關(guān)和DNS地址。

因?yàn)锳PIC-EM需要連接Internet，所以需要配置DNS服務(wù)器，使其可以解析域名。接下來(lái)根據(jù)需要來(lái)設(shè)置是否需要代理上網(wǎng)，之后輸入CCO賬戶名和密碼以及公司名稱。對(duì)于CCO賬戶來(lái)說(shuō)，主要用來(lái)在線升級(jí)。一般來(lái)說(shuō)即使隨意設(shè)置CCO名稱，也不影響使用。

接下來(lái)需要配置底層Linux賬戶信息，賬戶名為Root，密碼需要進(jìn)行設(shè)置。

之后根據(jù)提示設(shè)置APIC-EM的管理員賬戶和密碼，例如將其賬戶名設(shè)置為“admin”等。為了保證APIC-EM正常運(yùn)行，必須按照提示設(shè)置正確的NTP服務(wù)器地址，實(shí)現(xiàn)時(shí)間同步操作。在下一步窗口中的“Enable IPSec Encryption”欄中選擇內(nèi)部主機(jī)通訊流量是否加密，例如輸入“no”不進(jìn)行加密。其余設(shè)置保持默認(rèn)，執(zhí)行具體的安裝操作。

注意：安裝的時(shí)間可能比較長(zhǎng)。

網(wǎng)絡(luò)PnP的作用

利用網(wǎng)絡(luò)PnP即插即用技術(shù)，可以統(tǒng)一讓思科交換機(jī)，路由器以及AP等設(shè)備的配置流程實(shí)現(xiàn)統(tǒng)一化管理。

例如當(dāng)新設(shè)備接入后，可以從DHCP服務(wù)器取得控制器的IP，并注冊(cè)到控制器，進(jìn)而獲得IOS、證書(shū)以及所需的配置信息。這樣可以統(tǒng)一刷入IOS系統(tǒng)，省卻了手工操作的繁瑣。

網(wǎng)絡(luò)PnP可以為企業(yè)網(wǎng)絡(luò)客戶提供安全并集成的增強(qiáng)型解決方案，讓新設(shè)備的部署和更新的過(guò)程變得更加簡(jiǎn)單快捷。

當(dāng)新設(shè)備發(fā)現(xiàn)控制器后，控制器會(huì)創(chuàng)建用于該設(shè)備的數(shù)據(jù)庫(kù)條目。管理員可利用該條目，為設(shè)備調(diào)配合適的鏡像和配置參數(shù)。因此，網(wǎng)絡(luò)PnP不僅免于人工干預(yù)，還可節(jié)約時(shí)間避免出錯(cuò)。

對(duì)于企業(yè)級(jí)網(wǎng)管來(lái)說(shuō)，不僅要實(shí)現(xiàn)操作的簡(jiǎn)單性和安全性，更重要的是要實(shí)現(xiàn)配置的一致性。

在部署網(wǎng)絡(luò)PnP時(shí)，為了提高效率，可以先創(chuàng)建一個(gè)數(shù)據(jù)庫(kù)，在其中輸入對(duì)應(yīng)的主機(jī)名、序列號(hào)、設(shè)備類型等數(shù)據(jù)。

當(dāng)然，也可以使用Excel文件來(lái)存儲(chǔ)這些數(shù)據(jù)，通過(guò)合適的Python腳本文件，來(lái)讀取該數(shù)據(jù)庫(kù)的信息，提取所需的信息，利用PnP REST API直接將信息寫(xiě)入到 APIC-EM控制器中。

配置簡(jiǎn)單實(shí)驗(yàn)環(huán)境

在本例中，所有的服務(wù)器設(shè)備，例如APIC-EM主機(jī)。PI主機(jī)，DNS服務(wù)器，DHCP服務(wù)器，網(wǎng)關(guān)設(shè)備，管理主機(jī)等都位于172.16.0.0/24的網(wǎng)絡(luò)范圍。這里使用了一臺(tái)路由器作為DHCP服務(wù)器，在其全局配置環(huán)境中執(zhí)行“ip dhcp pool r_dhcp”，“network 172.16.0.0 255.255.255.0”，“defaultrouter 172.16.0.10”，“option 43 ascii xxx”等命令，來(lái)配置DHCP地址池，其中的“172.16.0.10”為網(wǎng)關(guān)地址。“xxx”為控制器地址。注意，該地址的格式比較特殊。

例如對(duì)于“5A1D;B2;K4;I172.16.0.25 4;J80”來(lái)說(shuō)，其中的“5A”表示PnP DHCP ID，為固定代碼?！?D” 表示激活 PnP DHCP debug，“B2”和“K4”表示通過(guò)HTTP協(xié)議訪問(wèn)IPV4格式的地址，“I”參數(shù)指定控制器的 IP，“J”參數(shù)指定端口。R1，R2和R3等路由器位于另外的網(wǎng)段，在其上運(yùn)行的是OSPF協(xié)議，其均處于Aera 0區(qū)域，R1的Gi0/1接口和172.16.0.0/24網(wǎng)段相連。R1的Gi0/2接口和R2的Gi0/1接口連接。

R2為ABR邊界路由器，其Gi0/2接口和其他設(shè)備相連，位于Aera100 區(qū)域。R1的 的Gi0/2接 口的 IP 為 192.168.10.1/24，R2的Gi0/1接 口IP為192.168.21.10/24。R1 的Gi0/3接口和R3的Gi0/1接口連接。R3為ABR邊界路由器，其Gi0/2接口和其他設(shè)備相連，位于Aera200區(qū)域。R1的的Gi0/3接口的 IP 為 192.168.30.1/24，R3的Gi0/1接 口IP為192.168.31.10/24。

這里為了簡(jiǎn)單起見(jiàn)，在R2和R3等設(shè)備上已經(jīng)手工執(zhí)行了所需的配置操作，并且處于開(kāi)機(jī)狀態(tài)。僅僅在R1沒(méi)有進(jìn)行任何配置，其處于純空未開(kāi)機(jī)狀態(tài)。以在R1上開(kāi)啟網(wǎng)絡(luò)PnP功能為例，來(lái)說(shuō)明具體的實(shí)現(xiàn)方法。當(dāng)然，也可以按照類似的方法為R2和R3配置網(wǎng)絡(luò)PnP功能。例如當(dāng)R1開(kāi)機(jī)后，通過(guò)DHCP服務(wù)器獲取自身IP和控制器的地址，并從控制器上得到自己的系統(tǒng)和配置信息，之后自動(dòng)完成所有的配置，這樣該網(wǎng)段就處于暢通狀態(tài)。

配置網(wǎng)絡(luò)PnP功能

在管理主機(jī)上訪問(wèn)“https://172.16.0.254”地 址，“172.16.0.254” 為APIC-EM的地址，在登錄界面輸入上述APIC-EM的管理員賬戶和密碼，在APIC-EM管理界面頂部選擇“SYSTEM HEALTH”項(xiàng)，查看系統(tǒng)的健康信息，包括CPU，內(nèi)存和硬盤(pán)的利用率，以及各服務(wù)是否處于啟用狀態(tài)等。在最左側(cè)縱向工具欄上點(diǎn)擊“Network Plug and Play”按鈕，在頂部點(diǎn)擊“Configuration”項(xiàng)，在打開(kāi)窗口中點(diǎn)擊“Upload”按鈕，上傳R1的配置文件。

該配置文件是文本文 件，其 中 包 含Gi0/1，Gi0/2和Gi0/3的地址信息、OSPF宣告信息、指定Enable Password密 碼、設(shè)置Username Password和Privilege 15參 數(shù)、SSH以 及SNMP的Red/Write Community等配置信息，如果有下層連接的設(shè)備，需要配置Option 43選項(xiàng)等信息。例如在配置文件中輸入“hostname R1”，“enable secret xxx”，設(shè)置主機(jī)名和密碼信息。

輸 入“no aaa newmodel”，“ip dhcp excludedaddress 192.168.10.1 192.168.10.100”，“snmpserver community ceshiro ro”，“ snmp-server community ceshi RW”，“ip dhcp pool VLAN10”，“network 192.168.10.0 255.255.255.0”，“defaultroute 192.168.10.100”，“option 42 xxx”，“ip domain name xxx.com”，“username admin priv 15 secret password”，“cdp run”，“route 2”，“redistribute connected subnets”，“interface GigabitEthernet1 ip address 172.16.0.2 2555.255.255.0”，“negotiation auto”，“cdp enable”，“no shutdown”等。

這和平時(shí)手工配置OSPF協(xié)議的基本一致，這里限于篇幅就不詳述了。點(diǎn)擊頂部 的“Projects”項(xiàng)，點(diǎn)擊“Add”按鈕，在“Project Name”欄中輸入項(xiàng)目的名稱（例 如“R1Project”），點(diǎn)擊“Create”按鈕，創(chuàng)建該項(xiàng)目。點(diǎn)擊左側(cè)的“Add”按鈕，在打開(kāi)窗口中的“Device Name”欄中輸入設(shè)備的名 稱（例 如“Route1”），在“Product ID”欄中輸入其產(chǎn)品 ID（例 如“CSR1000V”），在“Serial Number”欄中輸入其序列號(hào)，對(duì)于序列號(hào)可以在路由器的命令行中執(zhí)行“show license udi”命令查看。

在“Image”欄中點(diǎn)擊選擇按鈕，選擇IOS文件，這樣可以將IOS刷入目標(biāo)設(shè)備中。在“Config”列表中選擇上述導(dǎo)入的配置文件。選擇“Drvice Certificate”項(xiàng)，可以對(duì)目標(biāo)設(shè)備發(fā)放證書(shū)，因?yàn)锳PIC-EM可以作為證書(shū)服務(wù)器存在。點(diǎn)擊“add”按鈕，保存上述配置信息。之后將R1開(kāi)機(jī)，其會(huì)通過(guò)DHCP Option 43獲取PnP Server（即APIC-EM）的相關(guān)信息，例如傳輸協(xié)議類型、端口號(hào)等，之后發(fā)送HTTP請(qǐng)求給APIC-EM。如果連接建立成功，APIC-EM會(huì)給R1推送一張證書(shū)，R1加載該證書(shū)到信任證書(shū)中，有了證書(shū)之后，R1就會(huì)和APIC-EM建立HTTPS連接，來(lái)得到ISO系統(tǒng)文件以及配置信息，并自動(dòng)進(jìn)行配置。

使用APIC-EM設(shè)備發(fā)現(xiàn)功能

利用APIC-EM的設(shè)備發(fā)現(xiàn)功能，可以檢測(cè)到各種設(shè)備信息。在APIC-Em管理界面右上角點(diǎn)擊設(shè)置按鈕。在彈出菜單中選擇“Settings”項(xiàng)，在左側(cè)選擇“CLI Credentials”項(xiàng)，在右側(cè)輸入目標(biāo)設(shè)備（例如R1等）的管理用戶名和密碼，以及Enable Password特權(quán)密碼，點(diǎn)擊“Add”按鈕將其添加進(jìn)來(lái)。

同理可以添加各種設(shè)備的密碼信息。在左側(cè)選擇“SNMPv2c”項(xiàng)，在右側(cè)的“Read Community”和“Write Community”面板中分別輸入目標(biāo)設(shè)備的讀寫(xiě)團(tuán)體名稱。這樣，就添加了CLI和SNMP登錄憑據(jù)。

在左側(cè)選擇“Prime Credentials”項(xiàng)，在右側(cè)輸入PI的地址，用戶名和密碼。這樣，就可以讓APICEM和PI服務(wù)器之間進(jìn)行數(shù)據(jù)的同步。只要APICEM發(fā)現(xiàn)的設(shè)備，PI也可以知曉。在左側(cè)縱向工具欄上點(diǎn)擊“Discovery”按鈕，在右側(cè)的“Dicovery Name”欄中輸入發(fā)現(xiàn)項(xiàng)目的名稱（例 如“Fxdev”），在“Type”欄中選擇“CDP”項(xiàng)，在“IP Address”欄中輸入R1的Gi0/1接 口 的IP（例 如“172.16.0.2”）。

如果不是思科的設(shè)備，可以選擇“Range”項(xiàng)，輸入一個(gè)網(wǎng)段，來(lái)發(fā)現(xiàn)其中的主機(jī)并進(jìn)行探測(cè)。在“CDP Level”欄中輸入搜索的跳數(shù)。例如在本例中，點(diǎn)擊“Start”按鈕，APIC-EM可以利用預(yù)設(shè)的憑據(jù)登錄到R1上，之后利用CDP協(xié)議登錄到與之相鄰的設(shè)備。并進(jìn)一步利用預(yù)設(shè)的憑據(jù)逐層級(jí)登錄到其他的設(shè)備，利用CDP協(xié)議獲取更多相關(guān)的設(shè)備。這樣可以快速發(fā)現(xiàn)全網(wǎng)的所有設(shè)備，在報(bào)告窗口中的“LIST”列表中顯示發(fā)現(xiàn)的所有設(shè)備信息。同PI的設(shè)備發(fā)現(xiàn)功能相比，APIC-EM發(fā)現(xiàn)的效率更高。

APIC-En的路徑追蹤功能

在左側(cè)工具列中選擇“Device Inventory” 按鈕，在右側(cè)顯示資產(chǎn)的詳細(xì)信息。在工具列上點(diǎn)擊“Topology”按鈕，在右側(cè)顯示查看網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。

對(duì)于APIC-EM等SDN設(shè)備來(lái)說(shuō)，路徑追蹤功能使其優(yōu)勢(shì)之一。所有的設(shè)備都會(huì)被APIC-EM等控制器集中管理，控制器掌管一切并了解全局狀態(tài)，利用控制器的路徑可視化功能，大大提高了管理的效率，使排錯(cuò)診斷的過(guò)程變得簡(jiǎn)單明了。

在左側(cè)工具列中選擇“Path Trace”按 鈕，在 頂部 點(diǎn) 擊“Start new Path Trace”鏈接，在打開(kāi)面板中的“Source”欄中輸入起始地址，在“Destination”欄中輸入目標(biāo)IP，點(diǎn)擊“More Options”項(xiàng)，可以設(shè)置更多的項(xiàng)目，包括源端口、目的端口以及協(xié)議等。

選 擇“Include Stats”項(xiàng)，可以選擇所需的狀態(tài)信息，包括QoS、接口、設(shè)備、性能分析等信息。選擇“ACL Trace”項(xiàng)，激活A(yù)CL列表追蹤功能。

點(diǎn)擊“Stat Trace”按鈕，開(kāi)始路徑追蹤操作。APEMEM可以根據(jù)源地址和目標(biāo)地址進(jìn)行分析，判斷經(jīng)過(guò)了哪些設(shè)備、了解其出入接口情況、使用的路由協(xié)議信息、獲取每個(gè)設(shè)備的狀態(tài)、檢測(cè)其是否存在問(wèn)題等。在報(bào)告窗口中點(diǎn)擊“Reverse”按鈕，可以進(jìn)行反向分析，更加深入的對(duì)網(wǎng)絡(luò)進(jìn)行檢測(cè)。