隨著IT技術迅猛發(fā)展，越來越多的業(yè)務承載于IT網絡，網絡的規(guī)模越來越大，結構越來越復雜，設備的配置復雜性越來越高，對網絡管理員提出了更高的要求。

在數據中心或大型園區(qū)網中，網絡設備成百上千，批量上線帶來的重復配置多、工作量大；同時，企業(yè)分支網絡得到進一步的發(fā)展，分支網絡的分布范圍廣且位置分散，現場部署和維護將耗費大量的人力物力；各企業(yè)分支網絡中的設備多為撥號上網或隱藏在NAT設備之下，沒有固定的訪問地址，無法對分支設備進行遠程統(tǒng)一管理。

為了整個網絡的有效運作，需要進行統(tǒng)一的配置策略管理，傳統(tǒng)的遠程管理方式（如Telnet、SSH、SNMP、遠程Web登錄等）具有很多的局限性，要解決這些問題，需要一種策略集中的、能夠穿越NAT管理動態(tài)IP地址設備的、簡便的遠程管理和維護模式，Zero-Configuration零配置管理方案應運而生。

1    Zero-Configuration零配置管理方案

所謂零配置管理方案，即在設備上電后，網絡管理員與現場設備零接觸的情況下，自動完成遠程設備的業(yè)務下發(fā)及配置維護。要實現這個目標，我們首先需要看一下相關的技術支撐。

早在2004年，DSL論壇（現已改名Broadband論壇，http://www.broadband-forum.org/）就已開始了相關的研究，推出了TR069技術*規(guī)范，用以實現對網關、路由器、機頂盒等設備的集中管理?；谠搮f(xié)議，初始安裝時，用戶設備會自動尋找管理服務器，建立連接后即可與服務器通信，實現自動配置升級、軟件版本管理、狀態(tài)監(jiān)控及故障診斷。如圖1所示。

注：

TR069協(xié)議全稱為"CPE廣域網管理協(xié)議"。它基于HTTP（HTTPS）協(xié)議實現，提供了對下一代網絡中的網絡設備進行管理配置的通用框架和協(xié)議，用于從網絡側對網關、路由器、交換機等設備進行遠程集中管理。

圖1 TR069協(xié)議

在TR069協(xié)議的基礎上，Zero-Configuration零配置管理方案中進行了創(chuàng)新，通過DHCP報文來實現管理服務器的IP地址以及用戶名、密碼等信息的傳遞，從而實現 "零配置"。如圖2所示，在零配置管理服務器（BIMS）上預先制定設備配置策略，遠程的網絡設備無需任何配置，上電后向DHCP服務器請求IP地址，DHCP服務器在向網絡設備反饋IP地址的同時，向網絡設備提供管理服務器的訪問地址。網絡設備隨即通過TR069協(xié)議向服務器發(fā)起配置請求，服務器根據網絡設備的類型或序列號下發(fā)相應的配置內容，完成網絡設備的自動配置。

圖2 Zero-Configuration零配置管理方案

2    零配置管理方案在數據中心場景下的應用

數據中心設備數量多，網絡業(yè)務復雜，配置難度較大，尤其是接入層的設備規(guī)模非常龐大，而且通常處于同一層次的接入設備的業(yè)務配置基本相同，管理員將深陷單調的重復勞動，出錯率高，同時在浩瀚的設備叢中發(fā)現某一配置錯誤非常困難。

針對數據中心的零配置管理方案基于物理位置對設備進行預先的配置規(guī)劃，從數據中心拓撲到機房拓撲甚至到機架拓撲，管理員在虛擬的管理界面上如同身臨實際的機房，對機架上的每一個虛擬設備使用幾個固定的配置模板進行直觀地預配置，即可將網絡規(guī)劃批量地落實到位。接下來管理員只需要等待設備入場，隨著繼電器清脆的上電聲，看著設備自動走上工作崗位并納入到業(yè)務系統(tǒng)的管理中。如圖3所示。

圖3 數據中心零配置管理方案

3    零配置管理方案在其他場景下的應用

3.1    廣域分支網絡

針對分支企業(yè)的零配置管理方案充分考慮了跨越Internet的應用場景，采用TR069協(xié)議進行業(yè)務管理，與生俱來地具備對動態(tài)IP地址設備的管理能力，如圖4。管理員可以足不出戶，在總部機房進行全網設備的規(guī)劃和預配置策略的制訂，分散在全國乃至全球各地的遠程分支設備上電后自行向總部獲取配置，并實現企業(yè)分支網絡的互聯(lián)和業(yè)務的發(fā)放，無需企業(yè)分支網絡人員的參與，降低了對企業(yè)分支網絡管理人員的要求，免去了總部技術人員滿天飛的囧境。

圖4 廣域分支網絡零配置管理方案

針對普遍跨越Internet互聯(lián)的企業(yè)分支網絡，結合眾多的實際項目經驗，零配置管理方案提出了基于IPSec VPN方式的接入模式，有效保障網絡的安全性，如圖5所示。通過零配置管理系統(tǒng)與IPSec VPN管理系統(tǒng)的聯(lián)動，由IPSec VPN管理系統(tǒng)制訂IPSec VPN服務模板，對分支企業(yè)進行內網的規(guī)劃，由零配置管理系統(tǒng)的策略分發(fā)中心實現對企業(yè)分支網絡的自動化零配置部署，同時建立IPSec隧道，實現企業(yè)分支網絡與總部的安全互聯(lián)。另一方面，方案考慮分支企業(yè)IT技術的欠缺和整網的統(tǒng)一管理，在IPSec隧道建立后可直接將分支企業(yè)的網絡由總部進行統(tǒng)一托管，由總部網絡管理人員對各分支網絡進行全面的監(jiān)控，通過多緯度的報表展示企業(yè)分支網絡設備的出口流量、故障趨勢、服務質量、子網資產等信息，實現對企業(yè)分支網絡的深入管理。

圖5 廣域分支零配置管理與IPSec VPN業(yè)務聯(lián)動方案

3.2    運營網絡

運營網絡的零配置對象主要是家庭網關等終端CPE設備，用戶多為家庭用戶，網絡規(guī)模較數據中心和廣域網更為龐大，運營商必須具備遠程維護能力，盡量避免上門服務帶來的繁重壓力和巨額成本。家庭終端CPE設備配置簡單，用戶的配置策略也相對單一，運營商需要集中、批量的部署方式。

針對運營網絡，零配置管理方案為網絡設備制訂軟件版本和配置基線，設備上線后零配置管理系統(tǒng)自動比對設備軟件版本和配置版本的正確性，并對不正確的設備強行下發(fā)相應的版本和配置，自動維持全網設備版本和配置的一致性。同時，零配置管理系統(tǒng)提供了豐富的北向接口*，與運營商的BOSS系統(tǒng)對接，實現基于運營商統(tǒng)一策略的業(yè)務開通和服務推送。如圖6所示。

注：

北向接口（Northbound Interface）是指提供給其它的管理系統(tǒng)進行接入和管理的接口，即向上提供的接口。

圖6 運營網絡零配置管理方案

4    零配置方案與iMC其他解決方案的有機融合

除了提供針對各種場景下的配置管理，Zero-Configuration零配置管理方案還具有豐富的開放性，可以方便地與iMC智能管理中心家族中的其他業(yè)務模塊（MPLS VPN管理、QoS管理、EAD終端準入管理等）融合，將傳統(tǒng)業(yè)務管理系統(tǒng)的業(yè)務特性與零配置管理方案業(yè)務配置模式相結合，實現"1+1>2"的效果。

 圖7 零配置方案與iMC其他解決方案融合

5   結束語

Zero-Configuration零配置管理是在IT網絡業(yè)務日益復雜、可靠性要求越來越高的背景下產生的，其獨有的基于網絡設備自行請求配置的被動模式，解決了傳統(tǒng)主動管理模式中無法有效管理動態(tài)地址設備、難以穿越NAT、管理不及時等硬傷，大大提高了管理效率，降低了管理成本，使管理員可以更輕松自如的駕馭IT網絡。隨著應用的日益廣泛，技術的日臻完善，新的模式將承載更豐富的網絡業(yè)務、更廣泛的應用場景，提供更便捷的使用體驗，相信零配置管理方案的未來將更加美好！