作为思科的技术营销及解决方案工程高级总监，弗兰克·达戈斯蒂诺(Frank D’Agostino)负责主导着思科的以应用程序为中心的基础设施(ACI)和该公司的软件定义网络工具的产品组合的开发兼技术市场策略。最近，Network World网站的总编辑约翰·迪克斯就思科在企业客户采用SDN的过程中都学到了什么经验等相关问题采访了达戈斯蒂诺。(此前，达戈斯蒂诺曾担任全球技术运营商Nicira Networks公司的副总裁，该公司后被VMware收购，以推动其SDN策略。)

　　您能否大致描述一下典型的ACI企业客户是怎样的?他们当前又在试图努力解决什么类型的挑战呢?

　　显然，ACI正逐渐开始引起业界广泛的兴趣和关注度。目前，我们有超过585家企业客户已采用了ACI，而有超过2650家企业客户已然通过Nexus 9K的部署实现了ACI准备就绪。ACI正在被所有细分市场所广泛采用，包括云供应商、大型企业、商业企业、和公共服务机构。企业客户希望他们的高性价比的网络是开放的、应用程序相关的，并能够在自动化模型支持所有的物理和虚拟应用程序交付平台。

　　我想，这其中涉及到了诸多方面的原因。其一，我们所提供的是一个更好的网络;其二，我们可以实现应用程序相关;第三，我们允许客户以一个开放的方式集成整合而不限制创新。实际上，我们允许供应商整合融入运营模式，而这其中某些供应商在某些细分市场甚至可能是我们的竞争对手，从而真正实现了客户以及供应商的双赢，我认为这就是为什么思科ACI被如此广泛采用的原因了。

　　企业用户只是想要一个更好的网络，而这一更好的网络必须要是自动化的、具备可视化、能够提供可扩展性，灵活性和敏捷性。最关键是无需因为要多虑ACI丰富的功能而错过了自动化和可视化的眼前利益。大约80%的运营成本节省来自于如下四大基本功能的实现：

　　•自动化的网络连接，无论是在虚拟机上的虚拟网卡，还是在裸机或交换机上的物理端口，或是一个VLAN接口，我们开创了在逻辑上实现了客户是独立的或安全的。自动化的基本连接是第一步。

　　•接下来，客户想要删除每台设备上的访问控制列表，并将这些规则移动到可以借助APIC控制器实现自动部署的文件。我们根据文件配置实现了每个端口分布式无状态防火墙以线速运行。能够立即将ACL从设备迁移到文件增强了灵活性，并允许安全配置文件移动到无论您需要的工作负载或服务链。

　　•应用服务链可以是相当复杂的，有许多的物理和虚拟设备会对企业用户的安全和管理策略带来影响。管理策略并不是都只针对于一台设备。其实际上涉及到企业内部所有已启用应用程序的方方面面，第4层至7层的服务可以在任何方面在网络中被启用。这意味着，安全威胁不会因流量已经出了您企业的管理程序而停止。安全必须是相关的，并被部署在每一个连接两个应用程序端口直接流量的通道中，无论其是物理的还是虚拟的，红帽、Xen、微软、VMware、Linux容器或任何其他。

　　•最后一个，是在SDN环境中。在这里，企业用户能够启动覆盖并希望能够打开网络中每一个端口的监控，这样，能够让您拥有一个相关的监控能力及安全性。

　　大多数企业客户都只实现了大约5%或更少的基本连接自动化。而客户可以通过自动化现有的用例实现70%-80%的运营效益，而无需进一步实施更深层次的细粒度策略。策略将随着从自动化现有用例到应用程序模型而发展演变。所以，我建议广大企业客户无需过度关注于所有的功能。而应该把重点聚焦在自动化现有用例中。最大限度地提升自动化的好处，最大限度地提高可视化和安全性，一旦您了解了模型对于部署自动化意味着什么，就可以迁移到更多的应用程序驱动的，以云为中心的DevOps模型。

　　所以，我们才看到企业客户以及云提供商都在积极的通过各种方式追求运行模型，自动化现有用例，然后进一步发展。

　　是否有一个较特别的用例呢?

　　坦白地说，最大的一个是安全问题。每个人都害怕接触到设备到设备的安全规则问题，毕竟，其正是限制了敏捷性的原因之一。无论是采用虚拟机，或Linux容器，或者您企业采用了微软、VMware、Red Hat或Xen的产品的混合搭配，企业都想要具有可重复性。但鉴于其复杂性，所以企业需要使用配置文件，但又需要避免人工手动操作​​，以防止键盘操作错误。所以，无论该服务何时需要被启动都需要确保安全，并能够自动执行。

　　采用Linux容器技术是否增加了复杂性呢?

　　不，我认为其扩展了ACI的价值。一贯的政策能够在全线基础设施应用，进一步简化了基础设施，加快了客户选择最佳的应用程序交付平台，而无需牺牲自动化、管理策略和可视化的能力。应用程序服务可以与任何交付平台进行链接，这说明了为什么像ACI这样的一个模型比第一代的SDN LAN仿真控制器好得多。