白皮书
首页 » White Papers » 通过自动化应对网络变更和配置管理的运行挑战

通过自动化应对网络变更和配置管理的运行挑战

摘要

现代企业依赖网络可用性来实现业务的连续性。在异构网络中,管理员在正确管理设备配置、执行更改、确保合规性以及最大限度地减少人为错误引发的网络停机时间方面面临着许多挑战。本白皮书详细的讨论了这些挑战并研究了传统的手动配置管理。解决这些挑战的方法、自动化NCCM解决方案以简化管理员工作的需求、人们在NCCM解决方案中应该期待的重要成分以及在使用NCCM解决方案之前需要考虑的因素,都已得到处理。

目录

  1. 挑战
  2. 传统的NCCM实践
  3. 传统方法的局限性
  4. 综上所述
  5. 您可以在NCCM解决方案中找到什么?
  6. 针对您企业角色的NCCM解决方案的范围
  7. 一些用户讲述了他们为什么使用NCCM解决方案……
  8. 结论

挑战

网络构成了现代IT和其他企业的支柱。非常复杂和多样的网络基础设施是骨干网的组成部分,存在数百甚至数千个关键任务边缘设备,例如来自数十家硬件供应商的交换机、路由器、防火墙和其他设备。企业在采购网络基础设施方面投入巨资,并聘请高技能的专业人员来管理网络基础设施,普遍情况下少数管理员管理大型基础架构。

管理网络是一项具有挑战性的任务,因为业务连续性直接取决于网络可用性。随着关键业务服务受到影响,即使是几分钟的网络中断也可能对收入流产生连锁反应。随着业务需求的增长,网络复杂性也呈指数级增长。企业自然而然地对少数网络管理员施加压力,要求他们负责确保网络可用性。不仅是网络可用性,而且需要确保安全性和可靠性,优化网络的性能、容量和利用率都属于管理员的职责范围。

业务需求处于不断变化的状态,管理员需要经常通过配置网络设备来响应需求,这是一项敏感且耗时的任务。它需要专业知识、熟悉来自不同供应商的所有类型的设备、了解变化的影响、精确度和准确性。当然高技能的网络管理员会执行配置更改。

具有讽刺意味的是,大多数配置更改都是重复的、劳动密集型的任务,例如更改密码和访问控制列表。然而,由于在生产中对设备进行配置更改中的微小错误都会带来导致网络中断的风险,因此熟练的网络管理员将大部分时间花在配置设备上。他们发现很难专注于战略性网络工程和管理任务。

此外随着对关键任务网络资源的安全威胁日益增加以及信息管理不善造成的严重法律后果,各地的企业不仅需要遵循标准做法、内部安全政策、严格的政府法规和行业准则,还需要证明这些政策被强制执行和网络设备仍然符合定义的策略。确保合规性已成为当今网络管理员的首要任务。这促使他们在更改配置时格外小心。

管理员还必须持续监控对设备进行的更改,因为任何未经授权的更改都可能对网络造成严重破坏。企业希望网络管理员和IT部门持续提供运营效率,并为经济高效的网络管理做出贡献。

很明显管理者面临着多方面的压力,但是他们通常如何管理配置呢?让我们来看看一些传统的网络配置管理实践:

  • 在进行更改时,大多数管理员都会记录建议的更改。他们分别登录到每个设备并执行更改。如果配置更改不成功,他们将通过撤消文档中记录的更改将配置恢复到以前的工作状态。
  • 在拥有大量设备的大型企业中,管理员无法遵循“更改文档”流程。相反他们开发自定义脚本来将配置推送到多个设备。由于硬件供应商的多样性,管理员开发了大量自定义脚本以适应每种设备类型的语法。
  • 其他一些人则使用零散的工具来完成配置管理中的特定任务。他们手动关联每个工具的输出。
  • 更糟糕的是,一些管理员在没有任何管理计划的情况下随意对现场设备进行更改。当配置错误导致网络中断时,他们最终希望可以将配置移回正确的工作版本。他们手动排除故障原因。

传统方法的局限性

手动配置设备的方式存在各种缺点和严重的限制。以下是表现比较明显的局限性:

  • 技术高超的网络管理员将大部分宝贵时间花在重复、耗时的配置任务上。他们很少有时间专注于战略性网络管理计划和任务。这相当于浪费资源、成本和时间。
  • 没有规定可以一次性将配置更改批量应用到许多设备。管理员必须单独登录设备,或者最多执行许多自定义脚本才能完成工作,这将非常耗时。
  • 即使是简单的任务,如轮换设备密码、查看访问列表等,也可能会遇到困难。
  • 随着设备数量的增加,管理员发现很难响应需要频繁更改配置的业务优先级。从而导致犯错的可能性变大了。
  • 配置中的一个小错误可能会对网络安全产生破坏性影响,从而为恶意黑客提供空间。从安全的角度来看,传统方法没有规定在部署之前检查配置。
  • 管理员忘记了配置更改。所以配置管理成为一项艰巨的任务,面对网络中断,故障排除变得费力。平均修复时间(MTTR)显着上升。
  • 无法根据用户角色来控制对设备配置的访问。也无法检查/防止未经授权的配置更改。
  • 传统做法无法确保对用户行为负责。当由于错误的配置更改或发生安全漏洞而出现问题时,在没有审计跟踪的情况下将无法追踪到特定个人的操作。
  • 没有任何规定来监督和确保遵守政府法规、行业最佳实践和标准。

问题一览

  • 在重复的配置任务中浪费人力资源
  • 管理员需要大量时间来进行配置更改
  • 面对停机时的故障排除变得非常重要
  • 没有任何规定来监控未经授权的更改、安全性和合规性
  • 无法跟踪配置更改
  • 没有集中控制
  • 对操作缺乏责任感

综上所述

如今随着网络变更和配置管理(NCCM)解决方案的推出,应对网络配置管理的复杂、多方面的操作和技术挑战变得越来越简单。

NCCM解决方案为了在设备配置管理的整个生命周期进行自动化管理。更改配置、管理更改、确保合规性和安全性的过程都是自动化的,并且在网络管理员使用NCCM解决方案后证明其功能的强大性。它们有助于节省时间并确保网络正常运行。

在此引用Gartner在一份研究报告中的用户咨询来进行说明:

“用网络设备配置管理工具代替手动流程,以监控和控制变更流程,降低风险并实施合规政策。这些工具提供了一种维护网络配置的自动化方式,提供了降低成本、减少人为错误和提高配置策略合规性的机会。”

(来源: Gartner Inc., 关于网络和通信的宣传周期, 2007, 26 7月 2007)

通过利用NCCM解决方案,管理员可以实施主动和被动的配置管理策略。在实施主动的配置管理策略方面,管理员可以减少人为错误并防止未经授权的更改;当出现问题时,他们可以在几分钟内通过找到根本原因或回滚到以前的工作版本来应对突发事件。

您可以在NCCM解决方案中找到什么?

配置管理的三个“C”

由于设备配置与网络基础设施的安全性直接相关,因此NCCM的范围已扩展到了第三个“C”,即NCCCM——网络变更、配置和合规性管理。一个好的NCCM解决方案应该能够自动化所有的三个“C”。

NCCM 解决方案中预期的战略要求可分为以下五个大类:

  1. 配置管理
  2. 变更管理
  3. 合规管理
  4. 审计与报告
  5. 自动化和工具
  6. 配置管理

所有与创建设备清单、检索配置、查看、编辑和将它们上传回设备、维护配置的历史版本、比较配置和建立基于角色的访问控制相关的操作都可以归类在配置管理下。

支持多供应商设备

现在的网络是异构的,因此NCCM解决方案不应该偏向任一供应商,能够支持来自各种硬件供应商的设备。至少该解决方案应该支持来自所有流行供应商的所有设备类型。否则管理员将无法达到所需的自动化水平。

设备添加的发现选项

设备配置管理从将您的设备添加到NCCM解决方案开始。网络通常具有数百甚至数千个设备,手动添加每个设备将是一项繁琐且密集的劳动任务。除了其他设备添加选项外,该解决方案还应提供发现网络中的设备并自动添加它们的功能。

通信协议

NCCM解决方案应该支持广泛的协议来与设备建立通信和传输配置文件。政府和行业法规要求通过一个安全的渠道进行沟通。因此,除了支持SNMP、Telnet和TFTP等其他协议外,NCCM解决方案还应该支持SSH、SCP。

安全存储

设备配置是敏感数据,如果恶意用户掌握了设备密码,他可能会对网络造成严重破坏。因此该解决方案应该具有在数据存储中可以加密形式存储配置文件的规定。应防止数据库被入侵。

信息清单

NCCM解决方案应提供被管理设备的信息清单。它应该提供各种详细信息,例如序列号、接口详细信息、机箱详细信息、端口配置、IP地址和设备的硬件属性。这样的清单通过增加他们对网络设备的可见性被证明是管理员手中的一个强大工具。

配置操作和计划

NCCM解决方案应该在GUI中提供简单、直观的选项,从而执行各种配置操作,如配置检索、查看、编辑和将配置上传回设备。还应该有一些选项来安排在未来的时间点进行自动执行的操作。

配置版本控制和比较

从设备检索的配置应以正确的版本存储,进一步的更改应按增量顺序进行版本控制。还应规定比较同一设备或不同设备的任何两个版本。比较应该在GUI中并排显示,非常清楚地将差异显示出来。

基线配置

NCCM 解决方案应规定将每个设备的受信任配置版本标记为“基线”版本,以使管理员能够在网络中断时将配置回滚到基线版本。 基线版本可以被认为是“最佳工作配置版本”。

基于角色的访问控制

出于安全原因,在多成员的工作环境中,应根据各种功能角色来控制对设备和配置的访问。虽然管理员应该能够查看所有配置,但其他人应该具有管理员分配的受限访问权限。NCCM解决方案应该对此有规定。

配置上传审批机制

将配置更改上传到设备是一项重要任务,需要适当注意并深入了解配置语法。 错误的配置更改可能会留下安全漏洞。因此许多企业的安全策略要求由某些级别的用户执行的某些类型的更改之前需要最高管理员审核和批准之后才可实施。

变更管理

与管理配置更改相关的操作——实时监控更改、防止未经授权的更改、发送更改通知、恢复到受信任的版本等都属于更改管理。

实时更改监控

未经授权、错误或恶意的配置更改可能会会严重影响业务连续性,因此必须能够实时监控配置更改,并在中央存储库中提供最新的配置,以便管理员将立即知道他们的网络操作面临风险。

快速恢复到受信任版本

仅对配置更改的实时感知不足以防止网络中断。必须通过回滚到基线或以前的工作版本,采取快速纠正措施来设置配置。

变更管理政策和通知

NCCM 解决方案应提供强大的变更管理策略,以便管理员能够定义在检测到配置更改时要启动的操作。动作可以是任何东西——自动回滚更改、发送电子邮件通知、向手机发送短信、向网络监控系统触发告警等。

合规管理

政府和行业法规

除了确保安全存储、安全数据传输、细粒度的访问限制和全面审计外,还必须提供检查配置是否符合政府/行业法规 (HIPAA、Sarbanes-Oxley、EPHI、GLBA、PCI数据安全要求等) 的规定。 应立即将违规行为作为告警报告给管理员。

最佳实践和标准

NCCM 解决方案应提供检查配置是否符合一组定义的标准或最佳实践的规定。例如思科提供了“黄金标准”,它解释了思科设备的推荐安全设置。应该规定验证对任何此类标准的遵守情况。管理员应该能够定义自己的自定义标准和合规策略。

配置语法检查

在计划的配置更改期间,最大程度减少由于手动错误而导致的网络中断的最佳方法之一,是在将配置更改上传到设备之前检查配置更改的语法是否正确。更改后的字符串应确认通过NCCM解决方案的自动语法验证。

合规报表

应规定检查所有级别的合规性:按需、定期自动和每当发生变化时,违规行为应立即上报给安全人员。此外还应生成全面的合规报表来提交给合规审计师。IT经理应定期收到自动合规报表。应生成有关合规和不合规设备的详细信息。此外在违规的情况下,应具备补救能力。

审计与报表

用户活动跟踪

NCCM解决方案用户执行的所有操作都应正确记录为审计跟踪。关于“谁”在“何时”改变了“什么”的信息应该很容易辨认。这将确保对组织内的行动实行问责制。还应规定定期向IT经理发送有关用户活动的报表。

防止篡改审计日志

应用程序记录的审计路径不仅应该是准确的,而且应该是可以防止篡改的。否则恶意用户会删除记录来隐藏他们的行为,而审计路径将无法解决责任问题。即使清除路径的权限取决于受信任的管理员,但是删除审计路径时也应生成告警。

信息报表

您企业中整个网络配置管理过程的信息应该以全面、信息丰富的报表形式呈现。应以易于理解的格式提供不同活动的状态和摘要,例如设备配置的详细信息、配置更改、网络清单、启动和运行配置之间的冲突、设备审计的详细信息、用户活动、策略合规性的详细信息等,从而帮助网络管理员可以对设备配置做出明智的决策。重要事件的摘要应作为“执行报告”定期提交给IT经理。

自动化和工具

自动化

NCCM解决方案应为所有耗时和繁琐密集型的任务提供高水平的自动化。管理员通常希望将同一组更改应用于多个设备,例如应用安全补丁。NCCM解决方案应提供配置模板来执行这些任务。可计划以及批量操作的规定都应该简化管理员的工作。

固件升级

网络管理员经常要做的任务之一是升级设备的固件。IOS图像的上传/下载是另一项重要任务。NCCM解决方案应提供安全实用程序来执行这些活动。

命令执行工具

NCCM解决方案应提供实用程序和工具来执行设备上的各种命令并显示输出。例如要查看设备的“访问列表”或VLAN,管理员只需点击GUI中的按钮,而不是在命令行界面中手动连接到设备。

强大的搜索

在拥有大量设备的企业中,将需要快速搜索清单中的特定设备。有时需要在配置数据库中搜索设备配置文件中的特定单词、字符串、短语或这些的组合。NCCM解决方案应该有一个强大的搜索机制来促进解决这些问题。

数据库备份和灾难恢复

无论应用程序多么强大,都应该始终提供可靠的灾难恢复机制。数据的实时备份是最好的设置,至少应该支持定期备份和安全存储数据。应该提供工具从而在灾难发生后快速从备份数据中恢复。

与外部身份存储、身份验证机制集成

NCCM解决方案应该能够从外部身份存储(例如Windows Active Directory或LDAP目录)中导入用户/用户组。此外它还应该能够使用外部身份存储提供的身份验证服务,从而禁用解决方案提供的本地身份验证。同时还应该提供利用第三方身份验证的规定,例如RADIUS、TACACS、AD、LDAP等。

从任何地方访问

NCCM解决方案最好是基于web的,为来自任何地方的授权用户提供访问权限。在地理分布的环境中,对此需求非常高。

高可用性

一旦NCCM解决方案在企业的生产中部署,IT管理员将严重依赖应用程序的可用性来进行配置操作。解决方案的持续可用性至关重要。在地理分布的网络中,此类需求变得更加重要。

易于安装和使用

该解决方案应该非常容易安装和使用。它应该只是管理员可以使用的一个工具,而对于安装过程和使用不需要过于繁琐。

可接受的价格

尽管NCCM解决方案通过使管理员能够管理昂贵的网络基础设施,从而提供更高的价值,但该解决方案的价格不应太高而造成成本上升的负担。

针对您企业角色的NCCM解决方案的范围

以下是NCCM解决方案如何根据您企业角色来帮助您日常工作的指示性列表:

IT经理

  • 减少因错误的配置更改而导致的网络中断;确保业务的连续性
  • 确保配置符合一组定义的标准实践、政策和政府法规
  • 获取有关您网络的信息报表并做出明智的决定
  • 自动化设备配置任务来降低运营成本

网络管理员/工程师

  • 在安全、集中的存储库中维护设备配置版本,并通过单一界面进行管理
  • 实时监控配置变更
  • 自动执行耗时、重复的配置任务
  • 精确、轻松地对大量设备进行配置变更

网络安全专员

  • 确保网络设备保持完全安全
  • 防止未经授权的配置变更
  • 跟踪“谁”在“何时”进行了“什么”配置更改
  • 确保配置符合企业的安全策略

一些用户讲述了他们为什么使用NCCM解决方案……

Neil C. Perry,IT经理,Stoops Freightliner-Quality Trailer, Inc
"我们部署了NCCM解决方案(ManageEngine Network Configuration Manager)来对众多网络设备进行配置更改。它帮助我们节省了大量时间。自动化的方法让我们的IT管理人员不用担心耽误休息时间来使我们的设备总是处于最新的配置,对于在各种规模企业工作的网络管理员来说,这是完美的必选产品。"

Larry Ware, Federal Signal Global Network Boffin
"NCCM解决方案 (Network Configuration Manager)已被证明是一个非常有用的工具,可以帮助Federal Signal, Inc.管理来自多个地理位置的多个供应商的设备。它使我们能够有效地管理远程设备配置并为网络基础设施实施有效的变更控制。"

Kevin Spies,Lightyear Network Solutions网络运营经理
"在部署NCCM解决方案(Network Configuration Manager)之前,我们常常手动下载配置,并一直在努力跟踪更改。NCCM解决方案通过将配置存储在中央存储库中,并通过Web GUI访问它们来改变这一切。这使我们能够更快地响应来自客户的变更请求。"

结论

缺乏高效有效的设备配置管理,会导致影响企业的业务连续性。设备的手动配置消耗了熟练管理员的时间和精力,他们只能努力跟踪配置更改。而越来越多的安全威胁和政府法规迫使企业遵守标准做法和政策。

自动化的NCCM解决方案使网络管理员能够完全控制设备配置管理的整个生命周期。在更改配置、管理更改、确保合规性和安全性等方面都是自动化的。这些解决方案提高了效率,提高了生产力,帮助节省了时间、成本和资源,并最大限度地减少人为错误和网络停机时间。

有了良好的NCCM解决方案,企业可以充分利用其网络基础设施。它们可以实现增加网络正常运行时间并减少降级和性能问题。