《NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)》一1.3 管理接口...
本节书摘来自异步社区《NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)》一书中的第1章,第1.3节,作者 【美】Ron Fuller, CCIE#5851 , David Jansen, CCIE #5952 , Matthew McPherson,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.3 管理接口
NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)
NX-OS拥有以下管理接口。
CP(Controller Processor,控制器处理器)/控制引擎:包含管理平面和控制平面,对网络运行至关重要。
CMP(Connectivity Management Processor,连接性管理处理器):在CP不可达的情况下,CMP接口可以提供连接设备的第二个网络接口。CMP接口用于带外管理和监控,CMP 接口与主操作系统完全独立。只有 Nexus 7000 Supervisor Module-1 才提供 CMP 接口。
MGMT0:通过专用接口和 VRF 来提供真正意义上的带外管理,可以确保与控制平面或数据平面百分之百地隔离。MGMT0 可以通过 MGMT0 接口上的IPv4地址或IPv6地址来管理设备。MGMT0接口是 10/100/1000以太网接口。部署 vPC 的时候,最佳实践就是将 MGMT0 接口用作 vPC 的保持**(keepalive)链路。
Telnet:提供一种不安全的访问NX-OS设备的管理连接。
SSH:提供一种安全的访问NX-OS设备的管理连接。
XML(Extended Markup Language,扩展标记语言)管理接口:使用基于XML的NETCONF(Network Configuration Protocol ,网络配置协议),利用XML管理工具或管理程序,通过该接口来实现设备的管理、监控和通信能力。
SNMP(Simple Network Management Protocol,简单网络管理协议):管理系统通过一组基于 TCP/IP 协议的通信标准,利用该接口来进行设备的监控与配置。
1.3.1 CP(控制引擎模块)
Cisco Nexus 7000系列控制引擎模块的设计目的是为Cisco Nexus 7000系列机箱提供可扩展的控制平面与管理功能。Nexus 7000控制引擎模块基于Intel双核处理器,能够实现可扩展的控制平面。控制引擎模块负责控制二层和三层服务、冗余性能力、配置管理、状态监控以及电源和环境管理功能。此外,控制引擎模块还能为所有线卡提供集中式的交换矩阵仲裁能力。全分布式转发架构允许控制引擎平滑升级到具有更大转发容量的I/O模块和交换矩阵模块。对于全冗余系统来说,需要部署两块控制引擎模块,其中一块控制引擎模块处于活动状态,而另一块控制引擎模块则处于备用状态,从而为数据中心级产品提供极高的可用性能力。为了满足日益增长的数据中心需求,Nexus 7000 控制引擎模块还具有以下特性及优势。
活动和备用控制引擎。
在Nexus 7000中安装双控制引擎模块时的ISSU。Nexus 5000/5500自NX-OS 4.2(1)N1 开始支持 ISSU,如果希望提供 ISSU 功能,那么必须注意以下事项。
如果Nexus 5500上安装了三层模块,那么就不支持ISSU。
如果Nexus 5000/5500是STP根网桥(Root Bridge),那么Nexus 5000/5500就不支持ISSU。原因在于根网桥需要每个Hello间隔(2秒)内生成BPDU,对于ISSU进程来说,由于进程重启时间太长,因而无法确保进程能够在 3 倍的Hello失效间隔内恢复正常。但是,由于 Nexus 5000/5500 定位于数据中心接入层设备,而 STP 根网桥通常位于数据中心汇聚层的 L2/L3 边界,因而这一点通常都不是问题。
VoQ(Virtual output Queuing,虚拟输出队列),VoQ是一种QoS感知型无损交换矩阵,可以防止出现与线端阻塞(Head-of-line blocking)相关的一系列问题。
提供USB接口,可以通过该接口访问USB闪存设备以实现软件映像的加载与恢复。
集中仲裁机制可以为交换机矩阵中的流量流实施对称控制,以确保透明地无损切换。
隔离且冗余的带外配置与管理通道。
Nexus 7000 支持通过 VDC 实现管理平面虚拟化。
带有内嵌式控制平面包分析器的集成式诊断与协议解码功能,该功能基于Wireshark开源系统(不需要额外的许可证)。EthAnalyzer是一种实时的、集成在设备上的协议分析系统,不但可以监控从带内和mgmt0接口到控制处理器(控制引擎模块)的各种流量,而且EthAnalyzer还能提供众多的抓包与显示选项,并生成标准的.pcap文件。
控制平面与数据平面完全解耦,模块上没有任何硬件转发。
分布式转发架构,使得控制引擎与交换矩阵的升级完全独立。
集中式仲裁与VoQ机制,实现统一交换矩阵(Unified Fabric)。
平滑地容量及能力升级机制,设计支持40G和 100G以太网。
简化操作的系统定位器与LED(Light-Emitting Diode,发光二极管)指示。
CMP,用于无人值守远程管理的专用带外管理处理器。
1.3.2 CMP
控制引擎集成了富有创新性的专用 CMP 来支持整个系统的远程管理与故障排查。CMP 提供了全面的、与主操作系统完全独立的带外管理和监控能力。CMP 可以对控制引擎模块、所有模块以及Cisco Nexus 7000 系列交换机进行远程管理,不需要独立的终端服务器,从而大大降低了与此相关的复杂度及成本。CMP 可以通过自己的专用处理器、内存、启动闪存以及单独的以太网管理端口来实施远程控制操作。CMP 可以复位所有系统组件,也可以复位其所连接的主机控制引擎模块,进而实现系统的全面重启。
注:只有Supervisor-1提供CMP接口,Supervisor-2和Supervisor-2e都没有CMP接口。
CMP的主要优势如下:
专用处理器、内存及启动闪存;
CMP接口可以复位所有系统组件(包括控制引擎模块)并重启整个系统;
独立的远程系统管理与监控能力,可以实现系统的远程管理;
可以远程监控控制引擎的状态并发起重置操作,不需要单独配置用于带外管理的终端服务器;
只要带外以太网连接正常,就可以进行远程系统复位,因而在系统维护期间不需要现场支持;
可以远程查看整个启动过程中的启动时(boot-time)消息;
能够发起整个系统的断电与重启操作,在没有本地操作人员干预的情况下即可复位设备的电源;
登录认证机制,为带外管理环境提供了安全访问能力;
可以访问控制引擎日志,从而快速检测和预防潜在的系统故障;
对控制引擎控制台的全面控制能力。
例1-5显示了连接CMP接口的方式以及在CMP接口下可用的show命令。请注意转义序列“~”,其作用是返回NX-OS主接口。此外,还可以从CMP返回到CP模块。
例1-5 连接 CMP 接口并显示可用的 show命令
1.3.3 Telnet
NX-OS支持Telnet服务器和客户端。Telnet协议允许TCP/IP终端连接到主机上。通过 Telnet,某个站点内的用户可以建立一条去往另一个站点内的登录服务器的 TCP连接,并且将一台设备上的键盘输入信息传递到另一台设备。Telnet 可以接受 IP 地址或域名作为远程设备的地址,由于 Telnet 会话未经加密,因而建议使用SSH。
注:请记住,NX-OS在默认情况下是禁用Telnet服务器的。
例1-6解释了在NX-OS中启用Telnet服务器的方式。
例1-6 在NX-OS中启用Telnet服务器
1.3.4 SSH
NX-OS支持SSH服务器和SSH客户端。利用 SSH 服务器,SSH 客户端可以建立一条安全且经过加密的去往Cisco NX-OS 设备的连接。SSH使用强加密进行认证。Cisco NX-OS 软件中的 SSH 服务器可以与公开的商业 SSH 客户端进行互操作。SSH 支持的用户认证机制有RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)、TACACS+(Terminal Access Controller Access Control System Plus,增强型终端访问控制器访问控制系统)以及使用本地存储的用户名及密码。
SSH客户端应用程序允许SSH协议提供设备认证和加密功能。通过SSH客户端,Cisco NX-OS设备能够创建一条安全且经过加密的去往其他Cisco NX-OS设备或其他运行了SSH服务器的设备的连接。
SSH需要服务器**以便为Cisco NX-OS设备提供安全通信机制,可以在以下SSH选项中使用SSH服务器**:
使用RSA(Rivest, Shamir, and Adelman)公钥加密的SSH版本2;
使用DSA(Digital System Algorithm,数字系统算法)的SSH版本2。
使用SSH服务之前,必须确认拥有与相应版本相对应的SSH服务器**对。可以根据所使用的SSH客户端版本来生成SSH服务器**对。SSH服务接受两种类型的用于SSH版本 2 的**对:
dsa选项,为SSH版本 2 协议生成DSA**对;
rsa选项,为SSH版本 2 协议生成RSA**对。
在默认情况下,Cisco NX-OS软件会生成1024位的RSA**。
SSH支持以下公钥格式:
OpenSSH;
IETF SECSH(Secure Shell,安全外壳)。
例1-7解释了启用SSH服务器并配置SSH服务器**的方式。
例1-7 启用SSH服务器并配置SSH服务器**
1.3.5 XML管理接口
NX-OS拥有强大的 XML 管理接口,可以完成整台交换机的配置操作。该接口使用基于 XML的 NETCONF 协议,利用 XML管理工具或管理程序,通过该接口来进行设备管理和通信。NETCONF基于RFC 4741,NX-OS的实现需要使用SSH会话来与设备进行通信。
由于NETCONF基于XSD(XML Schema Definition,XML结构定义),因而可以将设备配置要素都包含在 RPC(Remote Procedure Call,远程进程调用)消息中,然后再从 RPC 消息中选择一种与希望设备执行的命令类型相匹配的NETCONF操作。利用NETCONF协议,可以在设备上配置所有的CLI命令集。
XML 管理接口不需要额外的许可证,无需支付任何费用即可随 NX-OS 设备提供XML 管理接口。
通过 web2.0/ajax 浏览器程序即可启用 XML/NETCONF。该浏览器程序利用XML/ NETCONF以动态更新表的方式下载Nexus 7000上的接口统计信息。
1.3.6 SNMP
SNMP是一种为SNMP管理站与代理之间的通信过程提供消息格式的应用层协议。SNMP 为监控和管理网络中的设备提供了一种标准框架和通用语言。
目前的SNMP有多种版本,如SNMPv1、v2 和v3,每种SNMP版本都有不同的安全模型或安全级别。大多数企业客户都希望实施SNMPv3,因为该版本在通过网络传递管理信息(或流量)时提供了加密机制。安全级别决定了是否需要对 SNMP 消息进行保护和认证,而安全模型可以存在多种安全级别。
noAuthNoPriv:不提供认证或加密的安全级别。
AuthNoPriv:提供认证但不提供加密的安全级别。
AuthPriv:同时提供认证和加密的安全级别。
Cisco NX-OS支持以下SNMP标准。
SNMPv1:简单的基于团体字符串(community-string)的接入方式。
SNMPv2c:基于RFC 2575的组接入方式,可以嵌入RBAC模型中。
SNMPv3:启用两种独立的安全机制:认证(利用SHA-1[Secure Hash Algorithm,安全哈希算法]或MD5[Message Digest 5,报文摘要5]算法的哈希运算消息认证)和加密(默认使用DES[Data Encryption Standard,数据加密标准],也支持AES),可以为NMS管理站与NX-OS提供安全通信。NX-OS的SNMPv3同时实现了上述两种安全机制(如例1-8所示)。
由于NX-OS是真正模块化和高可用系统,因而NX-OS的SNMP实现支持SNMP的无状态重启机制,而且 NX-OS 还实现了 SNMP 的虚拟化支持能力。NX-OS 支持每个VDC一个SNMP 实例。此外,SNMP也支持VRF,可以配置SNMP使用特定的VRF到达网管主机。
例1-8解释了在 NX-OS 上启用SNMPv3的方式。
例1-8 在NX-OS上启用SNMPv3
1.3.7 DCNM
Cisco DCNM是一种支持NX-OS设备的管理解决方案。DCNM可以实现整个数据中心基础设施的运行时间与可靠性的最大化,从而极大地提升服务级别。DCNM聚焦于数据中心的运营管理需求,提供了健壮的系统框架和丰富的功能特性集,能够满足当前数据中心和未来数据中心在交换、应用、自动化、服务开通以及服务等多方面的需求。
DCNM 是一种客户端/服务器应用程序,支持基于 Java 的客户端/服务器程序。DCNM客户端仅与DCNM服务器进行通信,不会与被管理的Cisco NX-OS设备进行直接通信。DCNM服务器使用Cisco NX-OS 设备的 XML 管理接口来管理和监控NX-OS设备。其中,XML管理接口是一种基于 NETCONF协议的程序化方法,是CLI功能的补充。
NX-OS平台上的DCNM拥有健壮的配置机制和丰富的功能特性,通过DCNM企业管理系统可以配置、开通并监控以下功能特性:
物理端口;
端口通道和vPC;
环回接口和管理接口;
VLAN网络接口(有时也称为SVI[Switched Virtual Interface,交换式虚接口]);
VALN和PVLAN(Private VLAN,私有VLAN);
生成树协议,包括 RST(Rapid Spanning Tree,快速生成树)和 MST(Multi-Instance Spanning Tree,多实例生成树);
VDC(Virtual Device Contexts,虚拟设备环境);
GLBP(Gateway Load Balancing Protocol,网关负载均衡协议)与对象跟踪;
HSRP(Hot Standby Router Protocol,热备份路由器协议);
访问控制列表;
IEEE 802.1x;
AAA(Authentication, authorization, and accounting,认证、授权和记账);
基于角色的访问控制;
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)Snooping;
动态ARP(Address Resolution Protocol,地址解析协议)检查;
IP源保护(Source Guard);
流量风暴控制;
端口安全;
带有 TCAM(Ternary Content Addressable Memory,三态内容寻址存储器)统计信息的硬件资源利用率;
SPAN(Switched Port Analyzer,交换式端口分析器);
PONG(Network Path Analysis,网络路径分析),PONG功能可以在给定的时间间隔内跟踪两个节点之间的路径延时,并以统计形式监控延时信息(基于轮询频率);
支持MDS 9000;
支持Nexus 1000v;
支持Nexus 4000;
支持Nexus 3000;
支持Catalyst 6500;
支持Nexus 7000;
支持Nexus 5000;
支持Nexus 5500;
支持UCS;
FCoE开通与管理—向导式开通方式可以简化光纤通道和FCoE接口的配置操作,FCoE路径的性能监控功能可以显示该路径上通过了多少光纤通道流量以及以太网流量。拓扑结构视图可以显示通过 SAN 或 LAN 交换机流出到VMware虚拟基础设施的FCoE路径信息;
支持端口配置文件(Port Profile),允许管理员创建、删除、修改Cisco Nexus 7000系列设备的二层端口参数,也可以通过给定的配置文件查看接口类型;
FabricPath监控功能允许管理员查看启用了FabricPath功能的设备的switch-id以及交换机之间的冲突情况;
用于HIF端口的FEX三层路由式端口允许管理员为FEX接口配置和管理三层接口;
共享式接口允许管理员创建新的存储 VDC、共享跨以太网 VDC 和存储 VDC的端口,并配置从以太网VDC到存储 VDC的VLAN。
此外,DCNM 还提供了端到端的企业可视性能力,包括拓扑结构视图、事件浏览器、配置变更管理、设备操作系统管理、硬件资产清单以及日志和统计数据的收集管理。