Juniper提昇網絡自動化 JET加速實現物聯網

Juniper Networks
Juniper Networks 安全方案架構師梁定康

網絡工程師都希望自動化網絡管理;絕大部分的網絡設備,類似思科、Juniper、Palo Alto Networks,開放了Python的API,自動執行某些任務。以Juniper為例,兩年前就推出PyEZ,可Python動態設定設備,目前幾乎成為工業標準。

Python成網絡管理自動管理最流行工具,思科、PAN、Extreme、Arista之類,均支援Python的API,網絡自動化趨勢亦正形成,幫助工程師自動化日常流程,迎接智能網絡年代。

雖然說,網絡設備的自動化任務,可通過Ansible或SaltStack之類工具實現;但如果自動化的流程相對簡單,又有特定的要求,Python的API是不錯的選擇,加上GitHub有不少現成例子;只要安裝在PC上,通過NETCONF協定,甚至Telnet,就可從遙距改變網絡設備的設定。

Juniper Networks 安全方案架構師梁定康說,網絡設備互相連接,尤其是物聯網(IoT)興起,機器對機器(M2M)溝通極為頻密,簡化網絡自動化流程,甚至自動執行保安,愈來愈重要。目前,主流的網絡設備支援Python的API,可以向網絡設備;如路由器、交換器和防火牆,直接以Python語言執行預定的流程,甚至一旦懷疑受攻擊,馬上關閉特定埠位,以確保重要服務器不受影響,有助提高網絡的穩定。

梁定康說,Juniper推出了Juniper Extension Toolkit(JET),直接從安裝在Juniper全線的網絡設備上,也可安裝在獨立的VM內,進行監察和網絡分析工具,再向不同網絡設備發出指令。JET可根據特定條件,執行Python程式,再控制另一部Juniper,或任何支援Python的API的網絡設備,以執行指定動作;實現完全自動化管理,有助管理IoT。

JET已支援Juniper所有設備;包括了路由器、交換器和防火牆。「IoT大部分流量,都從機器直接產生;以人手管理,可能反應不夠快捷;連接設備眾多,保安也有隱憂。」網絡管理的自動化,更顯急不容緩。

雖然,JET讓Python程式於網絡設備之內運行,卻仍然安全。

「JET直接安裝在網絡設備上,可減少硬件,也更安全。例如Python須先經特定數碼證書簽署,才能在JET執行,以加強防禦。」

JET運行在不同Juniper設備,可以為網絡設備加上額外功能。例如交換器發現有新設備連接入網絡,從DHCP取得IP位置,如果新設備MAC位址從未登記或出現過,可向防火牆要求加入限制,加上過濾(Firewall Filters),或者放置到某個VLAN上,限制存取範圍,以免遭陌生或不明來歷機器,入侵內部網絡。

JET可讓第三方開發的程,在JUNOS平台執行,直接改變JUNOS控制板(Control Plan)功能和設定,例如關閉某些埠位,加進路由設定,取代網絡存取控制(Network Access Control)的部分功能,並可度身訂造,非常方便。

「JET是Juniper實現「自動駕駛網絡」(Self-Driving Network)其中一項工具,簡化自動化管理網絡,可跟Contrail Intent Bots及AppFormix Analytics Bots等分析工具整合,根據分析結論馬上改變設定,加強網絡安全,減少技術人手。另一方面,廠商在GitHub上,上載有不少Python現成例子,可以下載直接安裝,較易上手。」梁定康說,JET也可配合Juniper的其他SDN工具配合,實現雲端的網絡自動化管理。

IoT上連接盈千累萬的終端設備,必須迅速反應,JET可自動化處理網絡壅塞,維持服務承諾的水平;如網絡活動超過了某個上限,馬上改變設定。

JET有望推動網絡設備自動化,以減輕管理壓力。JET也支援大部分其他廠商網絡設備,遵從公開的標準,不少IoT方案,以公有雲或不同廠商設備完成,公開和互相操作能力,對網絡自動化而言,重要性可謂不言而喻。

Leave a Reply

Your email address will not be published. Required fields are marked *