- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
10-AD-Campus 6.5 IPv6业务配置指导-整本手册.pdf 
(8.24 MB)
AD-Campus 6.5
IPv6业务配置指导
资料版本:5W101-20231226
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
(1) 各款型IPv6支持情况请参考方案规格。
(2) 如果vDHCP部署完成后,需要由IPv4单栈扩容为双栈,则需要备份当前vDHCP的数据,然后卸载vDHCP组件,并重新双栈安装。完成后可进行数据恢复操作。若恢复后在控制组件中进行vDHCP审计操作时存在有审计差异的情况,则可通过控制组件同步下发相关配置。具体可以参考《AD-Campus 6.5维护手册》的3.1.7 章节。
(3) 目前不支持双栈MAC-portal认证
(4) 暂不支持底座纯IPv6单栈部署
随着IPv6的不断推进,园区网用户对IPv6的需求也越来越大,因此在AD-Campus园区网方案中也增加了IPv6业务的相关功能,包括IPv6设备纳管、IPv6设备自动化上线、IPv6认证等。
目前控制组件对IPv6业务管理分为两种:
· 管理网络采用IPv4部署,业务网络采用IPv6部署。
· 管理网络采用IPv6部署,业务网络采用IPv6部署。
图3-1 组网图
控制组件对设备的纳管依然采用IPv4地址。与IPv4标准组网相比,主要区别是增加了DHCPv6服务器,同时支持微软DHCP/vDHCP:其中微软DHCPv6只支持松耦合,不支持HA高可用;vDHCP支持紧耦合,也支持HA高可用。
组网设备通过IPv4地址被控制组件纳管,IPv6业务通过手动或控制组件自动下发后实现,IPv6配置流程如下:
(1) 控制组件通过IPv4地址纳管设备。
(2) 设备手动配置IPv6配置。
(3) 控制组件页面IPv6配置。
(4) DHCPv6 Server配置。
(5) IPv6安全组配置。
(6) 用户认证上线获取IPv6地址。
(1) 控制组件页面IPv6配置。
(2) 设备自动化上线,控制组件下发IPv6配置。
(3) DHCPv6 Server配置。
(4) IPv6安全组配置。
(5) 用户认证上线获取IPv6地址。
IPv6业务配置流程如下图所示。
图3-2 IPv6业务配置流程图
具体步骤参见《AD-Campus 6.5 微软DHCP紧耦合方案配置指导》中“安装微软DHCP服务”章节。
管理方式选择“松耦合”,请勿勾选“使能高可用”项,目前方案不支持高可用。
路径:[自动化>园区网络>网络参数>DHCP],单击<增加>按钮,弹出增加DHCP服务器页面。在该页面中纳管微软DHCP,配置如下图所示。
· 名称:填写名称。
· 管理方式:选择“松耦合”选项。
· IPv6地址:填写IPv6地址。
图3-3 增加DHCP服务器
配置完成后,单击<确定>按钮,可在列表中查看增加的DHCP服务器。
图3-4 查看DHCP服务器
· IPv6无需创建超级作用域。
· 目前DHCPv6服务器只支持松耦合且不支持主备模式,安全组作用域只能手动在DHCP Server上添加。
推荐组网中,用户IPv4地址是从vDHCP上获取地址,微软DHCP无需配置安全组的IPv4作用域。
创建安全组IPv6作用域步骤如下。
(1) 在DHCP Server页面单击导航树中[DHCP>win-xxxxx>IPv6]菜单项。其中,“win-xxxxx”应根据实际路径进行调整。在弹出的菜单中选择“新建作用域”选项,进入新建作用域向导页面。
图3-5 新建作用域
(2) 输入名称及描述,单击<下一步>按钮。
图3-6 作用域名称
(3) 进入作用域前缀页面,输入作用域所分发地址的IPv6前缀,输入完成后,单击<下一步>按钮。
图3-7 作用域前缀
(4) 进入添加排除页面,输入需要从给定作用域中排除的IPv6地址范围(包括网关地址),输入完成后,单击<添加>按钮,在列表中可查看排除的地址范围,单击<下一步>按钮。
图3-8 添加排除
(5) 进入作用域租用页面,其中IPv6地址首选和有效生存时间范围均为1分钟~999天23小时59分钟,且首选生存时间小于等于有效生存时间。
图3-9 作用域租用
(6) 后续步骤保持默认并单击<下一步>按钮,直至完成激活,结果如图3-10所示。
(1) 登录统一数字底盘页面,选择“系统”页签,在左侧导航树中单击[部署管理]菜单项,进入组件部署导航页面。单击<上传>按钮,上传各组件安装包。
图3-11 上传vDHCP安装包
(2) 上传完成后,单击<下一步>按钮,解析安装包并进入组件选择页面。“公共服务”区段下“vDHCP Server”勾选“南向双协议”。
图3-12 组件选择1
(3) 在组件选择页面,选择需要安装的组件,完成后单击<下一步>按钮,进入参数配置界面,参数配置界面不需要配置任何参数,直接单击<下一步>按钮,进入网络配置页面。在网络配置页面,分别创建IPv4/IPv6网络和子网,用于给vDHCP分配地址。
图3-13 网络配置
VLAN默认为空,如果配置VLAN,三层交换机与该网卡相连的端口需要配置成Trunk口,但该接口的PVID不能与此处配置的VLAN相同(不建议此处配置VLAN)。
(4) 网络配置完成后,单击<下一步>按钮,进入节点绑定页面,无需操作,单击<下一步>按钮,进入网络绑定页面,将网络和子网绑定到相应组件。
(5) vDHCP Server:管理网络绑定IPv4网络和子网;默认网络绑定IPv6网络和子网。
图3-14 网络绑定1
(6) 在网络绑定页面,将网络和子网绑定到相应组件,使用子网IP地址池为组件分配IP地址。配置完成后,单击<下一步>按钮,进入参数确认页面。部署vDHCP需要手动输入VRRP备份组号,取值范围为1~255,同一个网络中不能配置相同的VRRP备份组号。确认无误后,单击<部署>按钮,开始部署vDHCP。
图3-15 参数确认1
(7) 部署完成后,在部署管理页面,单击组件左侧的
图标,可展开组件信息,单击详情
图标,可查看组件的详细信息。
图3-16 组件详情
(1) 路径:[自动化>园区网络>网络参数>DHCP],单击<增加>按钮,弹出增加DHCP服务器页面。在该页面中纳管vDHCP,配置如下图所示。
¡ 名称:填写名称。
¡ 管理方式:选择“紧耦合”,vDHCP只支持紧耦合。
¡ 使用高可用性:集群环境时需勾选;若是单机环境,则不需要勾选。
¡ 启用双栈:勾选。
¡ IPv6地址:填写的是部署vDHCP时分配的IPv6地址,可在部署vDHCP的页面查看,如下:查看路径:[系统>部署管理],在列表中展开“公共服务”项,单击
图标查看详情。
¡ 厂商:选择“H3C”。
¡ 勾选使能高可用。
图3-17 增加DHCP服务器
(2) 配置完成后,单击<确定>按钮,可在列表中查看增加的DHCP服务器。
图3-18 查看DHCP服务器
表3-1 IP地址规划
|
规划项 |
数据示例 |
说明 |
|
VLAN 1网段(网关) |
120.1.0.0/24(120.1.0.1) |
VLAN 1的网络,用于自动化上线 |
|
VLAN 4094网段(网关) |
130.1.0.0/24(130.1.0.1) |
VLAN 4094的网络,用于控制组件和设备通信 |
|
VLAN30网段(网关) |
100.1.0.0/24(100.1.0.1) |
统一数字底盘使用的网段,用于PC和统一数字底盘的通信 |
|
VLAN1010网段(网关) |
110.1.0.0/24(110.1.0.1) |
SeerEngine-Campus&vDHCP使用的网段,用于PC和控制组件的通信(SeerEngine-Campus使用独立网卡时配置) |
|
Underlay IP网段 |
200.1.1.0/24 |
Spine与Leaf环回口地址网段 |
|
统一数字底盘北向业务IP |
100.1.0.100 |
登录统一数字底盘的地址 |
|
EIA |
100.1.0.100 |
EIA服务器的地址 |
|
SeerEngine-Campus集群IP |
110.1.0.100 |
SeerEngine-Campus的集群地址 |
|
SeerEngine-Campus节点IP |
Node1:110.1.0.101 Node2:110.1.0.102 Node3:110.1.0.103 |
SeerEngine-Campus集群包含的三个节点地址 |
|
vDHCP集群IP |
110.1.0.104 |
vDHCP服务器的集群地址,实际不使用 |
|
vDHCP节点IP |
Node1:110.1.0.105 Node2:110.1.0.106 |
vDHCP服务器使用的两个节点地址 |
|
VXLAN/VLAN 4094 IPv6网段(网关) |
133::/64(133::1) |
VXLAN/VLAN 4094的IPv6网络,用于设备和DHCPv6 Server通信 |
|
DHCPv6网段(网关) |
130::/64(130::AAAA) |
DHCPv6 Server的IPv6网络 |
该场景也适用于新设备的手动纳管。
(1) 在L3 Switch的VLAN4094接口下增加地址池的IPv6网关地址。
#
interface Vlan-interface4094
ip address 130.1.0.1 255.255.255.0
ipv6 address 133::1/64
#
(2) 静态路由配置。配置静态路由或动态路由协议,用于用户获取IPv6地址后与服务器(DHCPv6或EIA V7)之间的互通。
ipv6 route-static :: 0 133::2 //配置一条缺省路由下一跳为Spine VSI4094接口的IPv6地址。
(1) VSI4094配置IPv6地址。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.2 255.255.255.0
local-proxy-arp enable
ipv6 address 133::2/64
local-proxy-nd enable
#
(2) VPN配置。
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
(3) BGP配置。
bgp 100
ip vpn-instance vpn-default
#
address-family ipv6 unicast
import-route direct
import-route static
#
(4) 静态路由配置。配置到服务器的静态路由,下一跳为三层交换机VLAN4094的IPv6地址:
ipv6 route-static vpn-instance vpn-default 130:: 64 133::1
//目的IP为DHCPv6 Server所在的IPv6 网段
(5) 全局关闭VXLAN Tunnel的ND学习配置。
vxlan tunnel nd-learning disable
(6) Vsi-interface 4092下开启IPv6功能。
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local
l3-vni 4092
#
(1) VSI4094接口配置。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.3 255.255.255.0
local-proxy-arp enable
arp proxy-send enable
ipv6 address 133::3/64
local-proxy-nd enable
#
(2) VPN配置。
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
(3) BGP配置。
bgp 100
ip vpn-instance vpn-default
#
address-family ipv6 unicast
import-route direct
import-route static
#
(4) 静态路由配置。配置到服务器的静态路由,下一跳为三层交换机VLAN4094的IPv6地址。
ipv6 route-static vpn-instance vpn-default 130:: 64 133::1
//目的IP为DHCPv6 Server所在的IPv6 网段
(5) 全局DHCP Snooping配置。
ipv6 dhcp snooping enable vlan 2 to 4094
(6) 全局关闭VXLAN Tunnel的ND学习配置。
vxlan tunnel nd-learning disable
(7) Vsi-interface 4092下开启IPv6功能。
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local
l3-vni 4092
#
(8) VSI VXLAN4094实例下配置IPv6 DHCP Snooping功能。
#
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
dhcp snooping trust tunnel
ipv6 dhcp snooping trust tunnel
#
(9) 开启按需下发功能(可选,该功能默认关闭,可根据需求开启)。如果Leaf开启了按需下发,则Spine上需要在BGP vpn-default下引入直连路由,将终端所有私网网段路由引入到Leaf和Spine,保证终端和服务器以及外网的互通。
#为节约硬件资源,通过EVPN同步的远端ARP/ND表项默认不下驱动硬件,有流量请求时才下发。
ip forwarding-conversational-learning //开启IPv4按需下发功能
ipv6 forwarding-conversational-learning //开启IPv6按需下发功能
#流量停止,硬件表项老化删除的默认老化时间为60分钟,通过以下命令可以进行设置
[leaf1]ip forwarding-conversational-learning aging ?
INTEGER<60-1440> Aging time in (minutes)
#
[leaf1]ipv6 forwarding-conversational-learning aging ?
INTEGER<60-1440> Aging time in (minutes)
· S5560X、S6520X设备建议配置按需下发。
· Leaf设备同时做Border时不建议配置按需下发。
(1) 配置VLAN4094接口。
#
interface Vlan-interface4094
ip address 130.1.0.4 255.255.255.0
ipv6 address 133::4/64
#
(2) 静态路由配置。Spine和统一数字底盘的连接为三层接入时,需配置到服务器的静态路由,下一跳为三层交换机VLAN4094的IPv6地址。
ipv6 route-static 130:: 64 133::1
//目的IP为服务器所在的IPv6网段
进入[自动化>园区网络>网络参数>参数>全局配置]页面,将“启用IPv6”选项置为“是”。
图3-19 启用IPv6
设备自动化上线配置只需在IPv4的基础上增加如下配置。
(1) 在三层交换机的VLAN4094接口下增加地址池的IPv6网关地址。
#
interface Vlan-interface4094
ip address 130.1.0.1 255.255.255.0
ipv6 address 133::1/64
#
(2) 静态路由配置。配置静态路由或动态路由协议,用于用户获取IPv6地址后与服务器之间的互通。
ipv6 route-static :: 0 133::2 //配置一条缺省路由下一跳为Spine VSI4094接口的IPv6地址
(1) 开启按需下发功能(可选,该功能默认关闭,可根据需求开启)。如果Leaf开启了按需下发,则Spine上需要在BGP vpn-default下引入直连路由,将终端所有私网网段路由引入到Leaf和Spine,保证终端和服务器以及外网的互通。
#为节约硬件资源,通过EVPN同步的远端ARP/ND表项默认不下驱动硬件,有流量请求时才下发
ip forwarding-conversational-learning //开启IPv4按需下发功能
ipv6 forwarding-conversational-learning //开启IPv6按需下发功能
#流量停止,硬件表项老化删除的默认老化时间为60分钟,通过以下命令可以进行设置
[leaf1]ip forwarding-conversational-learning aging ?
INTEGER<60-1440> Aging time in (minutes)
#
[leaf1]ipv6 forwarding-conversational-learning aging ?
INTEGER<60-1440> Aging time in (minutes)
· S5560X、S6520X设备建议配置按需下发。
· Leaf设备同时做Border时不建议配置按需下发。
(1) 创建VLAN4094的IPv6地址池。进入[自动化>园区网络>网络设备]页面,单击右上角“IP地址池”链接,进入IP地址池页面。
(2) 单击<增加>按钮,进入增加IP地址池页面。具体配置如下图所示,配置完成后单击<确定>按钮,保存配置。
¡ 名称:填写名称。
¡ 类型:选择“园区VLAN4094网络”选项。
¡ 地址池:填写地址池。
¡ 网关地址:填写网关地址。
图3-20 IP地址池
(3) 创建自动化模板。自动化模板需要在地址池设置添加VLAN4094的IPv6地址池,并将IPv6 DHCP Server地址添加到IPv6网段内。
a. 进入[自动化>园区网络>Fabrics]页面,单击页面右上角“自动化部署”链接,进入自动化模板页面。增加自动化模板,选择Fabric列表,点击确定。选择“原自动化上线”,切换至“地址池设置”页签,进行地址池配置,参数说明如下:
- VLAN4094 IPv6地址池:选择前面创建的地址池。
- 服务器IPv6管理网段:用户需要互通的服务器IPv6地址段。设备自动化上线时,控制组件会向设备下发该网段的静态路由。
图3-21 地址池设置
b. 模板配置完成后,单击<确定>按钮保存配置,并返回自动化模板页面。单击列表中模板名称对应操作列的预览
图标,查看模板中已经添加的IPv6相关配置,如图3-22所示。
路径:[自动化>园区网络>网络参数>参数>全局配置],将“启用IPv6”选项置为“是”。
图3-23 启用IPv6
图4-1 组网图
与IPv4标准组网相比,主要增加了DHCPv6服务器、IPv6设备纳管时地址为纯IPv6(设备的VLAN1、4094、Loopback地址全部是IPv6)。
组网设备通过IPv6地址被控制组件纳管,IPv6业务通过设备自动化上线或手工配置后实现,IPv6配置流程如下:
(1) 设备手动配置IPv6配置。
(2) 控制组件页面手动纳管设备。
(3) DHCPv6 Server配置。
(4) IPv6安全组配置。
(5) 用户认证上线获取IPv6地址。
(1) 控制组件页面设备自动化上线配置(包含DHCPv6 Server配置)。
(2) IPv6安全组配置。
(3) 用户认证上线获取IPv6地址。
IPv6业务配置流程如下图所示:
图4-2 IPv6业务配置流程图
图4-3 IP规划
|
规划项 |
数据实例 |
说明 |
|
统一数字底盘北向业务IP |
190::195 |
统一数字底盘北向业务IP |
|
EIA |
190::204 |
EIA服务器地址 |
|
SeerEngine-Campus集群IP |
130::195 |
SeerEngine-Campus的集群地址 |
|
SeerEngine-Campus节点IP |
Node1:130::190 Node2:130::191 Node3:130::192 |
SeerEngine-Campus集群包含的三个节点地址 |
|
vDHCP |
Node1:130::6 Node2:130::7 |
vDHCP服务器使用的两个节点地址 |
|
VLAN1网关 |
132::1 |
VLAN 1的网关,用于自动化上线 |
|
VLAN4094网关 |
133::1 |
VLAN 4094的网关,用于控制组件和设备通信 |
|
VLAN50网关 |
130::AAAA |
控制组件、vDHCP所在网段的网关 |
|
VLAN150网关 |
190::AAAA |
统一数字底盘、EIA所在网段的网关 |
目前方案支持统一数字底盘和SeerEngine-Campus、vDHCP融合网卡部署,可以根据需要选择是否复用部署统一数字底盘使用的网卡。
选择三层接入方案:使用一张、两张网卡均可。若使用一张网卡部署,SeerEngine-Campus、vDHCP和统一数字底盘使用同一张网卡;若使用两张网卡部署,则SeerEngine-Campus、vDHCP部署和统一数字底盘各使用一张网卡。
vDHCP支持双栈部署,SeerEngine-Campus只支持单栈部署。
(1) 登录统一数字底盘页面,选择“系统”页签,在左侧导航树中单击[部署管理]菜单项,进入组件部署导航页面。单击<上传>按钮,上传各组件安装包。
图4-4 上传vDHCP安装包
(2) 上传完成后,单击<下一步>按钮,解析安装包并进入组件选择页面。在“控制组件”区段下的“区网络”勾选“融合EIA”;在“公共服务”区段下的“vDHCP Server”勾选“南向双协议”。
图4-5 组件选择1
图4-6 组件选择2
(3) 在组件选择页面,选择需要安装的组件,完成后单击<下一步>按钮,进入参数配置界面,参数配置界面不需要配置任何参数,直接单击<下一步>按钮,进入网络配置页面。在网络配置页面,分别创建IPv4/IPv6网络和子网,用于给控制组件和vDHCP分配地址。
图4-7 网络配置
VLAN默认为空,如果配置VLAN,三层交换机与该网卡相连的端口需要配置成Trunk口,但该接口的PVID不能与此处配置的VLAN相同(不建议此处配置VLAN)。
(4) 网络配置完成后,单击<下一步>按钮,进入节点绑定页面,无需操作,单击<下一步>按钮,进入网络绑定页面,将网络和子网绑定到相应组件。
(5) SeerEngine-Campus:绑定IPv6网络和子网。
(6) vDHCP Server:管理网络绑定IPv6网络和子网;默认网络绑定IPv4网络和子网。
图4-8 网络绑定
(7) 在网络绑定页面,将网络和子网绑定到相应组件,使用子网IP地址池为组件分配IP地址。配置完成后,单击<下一步>按钮,进入参数确认页面。部署vDHCP 需要手动输入VRRP备份组号,取值范围为1~255,同一个网络中不能配置相同的VRRP备份组号。确认无误后,单击<部署>按钮,开始部署vDHCP。
图4-9 参数确认1
图4-10 参数确认2
(8) 部署完成后,在部署管理页面,单击组件左侧的
图标,可展开组件信息,单击详情图标
,可查看组件的详细信息。
图4-11 组件详情
下面介绍的是Spine、Leaf、Aceess不进行自动化部署时,需要手动配置的基础配置部分。配置完Underlay部分后,SeerEngine-Campus控制组件可以纳管设备,并且根据SeerEngine-Campus上的设置下发Overlay部分的配置。
(1) 全局使能DHCP、STP。
#使能DHCP
dhcp enable
#
#使能STP
stp global enable
#
(2) 配置VLAN1和VLAN4094接口。
#
interface Vlan-interface1
ipv6 address 132::1/64
ipv6 dhcp select relay //DHCP Relay相关的配置,用于设备自动化上线,若Spine/Leaf/Access都为手动配置纳管,则DHCP Relay相关配置可以不配。
ipv6 dhcp relay server-address 130::106 //vDHCP服务器的节点地址
ipv6 dhcp relay server-address 130::107
#
vlan 4094
#
#
interface Vlan-interface4094
ipv6 address 133::1/64
#
(3) 创建VLAN50,VLAN150接口。
#
vlan 50
vlan 150
#
#
interface Vlan-interface 50
ipv6 address 130::AAAA/64
#
#
interface Vlan-interface 150
ipv6 address 190::AAAA/64
#
(4) 与Spine相连的接口配置。
#
interface Ten-GigabitEthernet1/0/49
description to_jieruSpine
port link-type trunk
port trunk permit vlan 1 4094
#
(5) 与统一数字底盘连接的接口加入VLAN150。
#
interface GigabitEthernet1/0/37
port access vlan 150
stp edged-port
#
(6) 与SeerEngine-Campus,vDHCP连接的接口加入VLAN50。
#
interface GigabitEthernet1/0/30
port access vlan 50
stp edged-port
#
(7) 增加默认路由。配置默认路由下一跳为Spine VSI4094接口地址,用于认证用户与EIA的互通。
#
ipv6 route-static :: 0 133::2
#
(1) 设备Spine角色和Sysname配置。
#默认是Spine角色的不用再配置,非默认Spine角色的需要配置后重启生效
vcf-fabric role spine
#
sysname spine
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
undo stp vlan 2 to 4094 enable
stp mode pvst
stp global enable
stp vlan 1 priority 0 //Spine设备设置stp优先级
#
(4) 配置SNMP、NETCONF、Telnet、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
#配置NETCONF
netconf soap http enable
netconf soap https enable
netconf ssh server enable
restful https enable
#
#配置Telnet
telnet server enable
#
#配置ssh
ssh server enable
#
(5) 配置Telnet/SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需符合密码复杂度要求。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type telnet http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094;创建VLAN 1虚接口。
#创建 Vlan 4094
vlan 4094
#
# Vlan 1 虚接口创建,可不配置
interface Vlan-interface1
ipv6 address 132::4/64
(7) 配置OSPF。
#
ospfv3 1
router-id 66.0.0.2
non-stop-routing
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ospfv3 1 area 0.0.0.0
ipv6 address 51::3/128 //配置ospf
#
(9) 配置Spine下行接口,有多个下行接口时创建多个VLAN接口。
#创建VLAN
vlan 3496
#
#创建VLAN虚接口
interface Vlan-interface3496
ospfv3 1 area 0.0.0.0
ospfv3 network-type p2p
ipv6 address auto link-local
mtu 4094 // spine和Leaf建立IPv6隧道,需修改mtu为4094
#
# Spine下行接口配置 port trunk permit
#
interface GigabitEthernet1/0/35
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3496 //若组网中所有的Spine/Leaf/Access设备都手工配置上线,则不需要配置permit vlan1
#
· SeerEngine-Campus默认自动下发的VLAN:分配VLAN 100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN 2800用于Access交换机使用;VLAN 2801-VLAN 3000用于静态接入AC;VLAN 3501-VLAN 4000用于安全组使用;VLAN 3001-VLAN 3500用于设备自动化上线Spine-Leaf间的互联链路,VLAN 4092-VLAN 4094为保留VLAN;剩余VLAN 1-VLAN 99、VLAN 4001-VLAN 4091不会自动分配。VLAN 4051-VLAN 4060默认用于免认证VLAN。因此,建议在路由发布的VLAN接口时选择使用VLAN 2-99、VLAN 4001-4050、VLAN 4061-4091间的VLAN。目前园区VLAN支持自定义范围,可根据自定义场景进行规划。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
(10) 使能L2VPN。
#
l2vpn enable
#
(11) 配置vpn-target,VSI VXLAN4094、VSI-interface虚接口IP地址以及L3VNI,用以控制通道的连通。
#创建Vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1。
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置vsi-interface 4094的IP地址。
interface Vsi-interface4094
ip binding vpn-instance vpn-default
local-proxy-arp enable
arp proxy-send enable
ipv6 address 133::3/64
local-proxy-nd enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
mtu 4094 // spine和Leaf建立IPv6隧道,需修改mtu为4094
#
# 配置三层转发用的vsi-interface接口以及L3 VNI
# ip address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为vsi-interface 4094的接口IP。
#创建vsi接口4092用于配置vpn-default的l3vni
interface Vsi-interface4092
description SDN_VRF_VSI_Interface_4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local
l3-vni 4092
#
# 配置vsi VXLAN4094实例
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
ipv6 dhcp snooping trust tunnel
loopback-detection action block
loopback-detection enable vlan 4094
#
(12) 配置BGP EVPN。
# 配置bgp,如果有多个Leaf,就需要配置多个peer。
# 手动配置的BGP AS号必须保证与SeerEngine-Campus中Fabric设置的AS号相同
#
bgp 100
non-stop-routing
router-id 66.0.0.2 //注意每台设备的router-id 不能相同
peer 51::2 as-number 100 //配置BGP peer,IP地址为Leaf设备的loopBack口地址
peer 51::2 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 51::2 enable
peer 51::2 reflect-client //配置路由反射器, 用于转发不同Leaf之间的路由
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
import-route direct //引入直连路由,Leaf设备上如果开启IPv4按需下发功能时需要配置
import-route static //引入静态路由
#
address-family ipv6 unicast
import-route direct //引入直连路由,Leaf设备上如果开启IPv6按需下发功能时需要配置
import-route static //引入静态路由
#
(13) 将Spine上行口(连接到L3Switch的接口)配置为AC口,绑定VSI VXLAN4094。
#
interface Ten-GigabitEthernet1/0/52
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
service-instance 4094 //创建服务实例4094
encapsulation s-vid 4094 //匹配VLAN标签4094
xconnect vsi vxlan4094 //绑定VSI VXLAN4094
#
(14) 配置静态路由。
#Spine和统一数字底盘的连接为3层接入时,需配置到统一数字底盘、控制组件、EIA等业务相关服务器的静态路由,下一跳为三层交换机VLAN4094的IP地址
ipv6 route-static vpn-instance vpn-default 130:: 64 133::1 //目的IP为控制组件、vDHCP、EIA的网段IP
#
ipv6 route-static vpn-instance vpn-default 190:: 64 133::1 //目的IP为统一数字底盘的网段IP,
#
关闭VXLAN Tunnel的MAC地址学习和ARP学习
#关闭VXLAN Tunnel的ARP/ND学习,禁止远端报文的ARP学习和MAC地址学习
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable
#
# 关闭VXLAN Tunnel的MAC地址学习
vxlan tunnel mac-learning disable
#
配置NTP
#
clock timezone beijing add 08:00:00
#
# IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 190::195 vpn-instance vpn-default
#
若部署统一数字底盘时配置了内置NTP服务器,此处推荐配置NTP服务器IP为统一数字底盘的集群北向业务IP。若为外置的NTP服务器,则需要确保该NTP服务器和控制组件以及统一数字底盘网络互通。
(15) Spine堆叠环境配置桥MAC保持不变。若Spine为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
下述配置中,如果设备是S5560X或者S6520X,则需要设置switch-mode为VXLAN模式,重启后生效。
每一台Leaf设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
配置命令如下:
#查看switch-mode,若不是VXLAN MODE,则修改成VXLAN MODE。
dis switch-mode status
Switch-mode in use: VXLAN MODE.
Switch-mode for next reboot: VXLAN MODE.
#
#查看switch-mode的命令
[Leaf11]switch-mode ?
0 NORMAL MODE(default)
1 VXLAN MODE
2 802.1BR MODE
3 MPLS MODE
4 MPLS-IRF MODE
#
#设置成VXLAN MODE模式,执行完后需重启才能配置生效
switch-mode 1
#
(1) 设备Leaf角色和Sysname配置。
#默认是Leaf角色的不用再配置,默认非Leaf角色的需要配置后重启生效。
#vcf-fabric role leaf
#
#配置sysname
sysname leaf1
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
配置STP
#
undo stp vlan 2 to 4094 enable
stp mode pvst
stp global enable
stp vlan 1 priority 4096
#
Leaf下行接口使能stp tc-restriction
int GigabitEthernet1/0/13
#
stp tc-restriction #
Leaf的下行口需使能stp tc-restriction;若直连终端,则需使能stp edged-port。
(3) 配置SNMP、NETCONF,Telnet、SSH。
#配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
#NETCONF配置
#
netconf soap http enable
netconf soap https enable
netconf ssh server enable
restful https enable
#
#配置Telnet
telnet server enable
#
#配置ssh
ssh server enable
#
(4) 配置Telnet/SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需符合密码复杂度要求。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type telnet http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(5) 创建VLAN 4094;创建VLAN 1虚接口。
# 创建Vlan 4094
vlan 4094
#
# Vlan 1 虚接口创建
interface Vlan-interface1
ipv6 address 132::5/64
#
(6) 配置OSPF。
#
ospfv3 1
router-id 66.0.0.3
non-stop-routing
area 0.0.0.0
#
(7) 配置LoopBack接口。
#
interface LoopBack0
ipv6 address 51::2/128 //用于与Spine建立BGP邻居
ospfv3 1 area 0.0.0.0
#
(8) 配置VLAN三层虚接口,用于和Spine互通。
#创建VLAN
vlan 3496 //必须与Spine上VLAN相同,参见2.Spine设备(9)章节
#
#创建VLAN虚接口
interface Vlan-interface3496
ospfv3 1 area 0.0.0.0
ospfv3 network-type p2p
ipv6 address auto link-local
mtu 4094 // spine和Leaf建立IPv6隧道,需修改mtu为4094
#
#Leaf上行接口配置 port trunk permit vlan
#
interface GigabitEthernet5/0/19
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3496
#
· SeerEngine-Campus默认自动下发的VLAN:分配VLAN 100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN 2800用于Access交换机使用;VLAN 2801-VLAN 3000用于静态接入AC;VLAN 3501-VLAN 4000用于安全组使用;VLAN 3001-VLAN 3500用于设备自动化上线Spine-Leaf间的互联链路,VLAN 4092-VLAN 4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4091不会自动分配。VLAN 4051-VLAN 4060默认用于免认证VLAN。因此,建议在路由发布的VLAN接口时选择使用VLAN 2-99、VLAN 4001-4050、VLAN 4061-4091间的VLAN。目前园区VLAN支持自定义范围,可根据自定义场景进行规划。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
(9) 使能L2VPN。
#使能l2vpn
l2vpn enable
#
(10) 配置vpn-default、VSI VXLAN4094、VSI虚接口IP地址以及L3 VNI,并在下行AC口(连接Access设备的接口)上配置服务实例(绑定VXLAN4094),用完成控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置vsi-interface 4094的IP地址。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
local-proxy-arp enable
arp proxy-send enable //该命令为新增的命令,用于解决Leaf上没有Access ARP情况下控制组件连接不上Access的问题,Leaf设备的vsi4094接口必须配置。
ipv6 address 133::6/64
local-proxy-nd enable
mtu 4094 // spine和Leaf建立IPv6隧道,需修改mtu为4094
#
# 配置三层转发用的vsi-interface接口以及L3 VNI
# ip address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为vsi-interface 4094的接口IP。
#
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local
l3-vni 4092#
# 配置vsi VXLAN4094实例
#
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
dhcp snooping trust tunnel
ipv6 dhcp snooping trust tunnel
loopback-detection action block
loopback-detection enable vlan 4094
#
#Leaf与Access连接的Leaf下行接口配置成AC口
interface GigabitEthernet1/0/13
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
link-aggregation mode dynamic
stp tc-restriction
mac-based ac
#
service-instance 4094
encapsulation s-vid 4094
#
(11) 配置BGP EVPN。
#配置BGP 100,只需要指定Spine做peer。
#
bgp 100
non-stop-routing
router-id 66.0.0.3 //注意每台设备的router-id 不能相同,建议配置为环回口地址
peer 51::3 as-number 100
peer 51::3 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 51::3 enable
#
ip vpn-instance vpn-default
#
address-family ipv6 unicast
#
(12) 配置静态路由。
#Spine和统一数字底盘的连接为3层接入时,需配置到统一数字底盘、控制组件、EIA等业务相关服务器的静态路由,下一跳为三层交换机VLAN4094的IP地址
ipv6 route-static vpn-instance vpn-default 130:: 64 133::1 //目的IP为控制组件的网段IP
#
ipv6 route-static vpn-instance vpn-default 190:: 64 133::1 //目的IP为统一数字底盘的网段IP的网段IP
#
配置DHCP Snooping
#
ipv6 dhcp snooping enable vlan 2 to 4094
#
#
(13) 关闭VXLAN Tunnel的MAC地址学习和ARP/ND学习。
#关闭VXLAN Tunnel的ARP学习
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable
#
# 关闭VXLAN Tunnel的MAC地址学习
vxlan tunnel mac-learning disable
#
(14) 开启按需下发功能(可选,该功能默认关闭,可根据需求开启)。如果Leaf开启了按需下发,则Spine上需要在BGP vpn-default下引入直连路由,将终端所有私网网段路由引入到Leaf和Spine,保证终端和服务器以及外网的互通。
#为节约硬件资源,通过EVPN同步的远端ARP表项默认不下驱动硬件,有流量请求时才下发。
ip forwarding-conversational-learning //开启按需下发功能
#流量停止,硬件表项老化删除的默认老化时间为60分钟,通过以下命令可以进行设置
[leaf1]ip forwarding-conversational-learning aging ?
INTEGER<60-1440> Aging time in (minutes)
#
· S5560X-HI、S6520X-HI设备建议配置按需下发。
· Leaf设备同时做Border时不建议配置按需下发。
(15) 配置NTP。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 190::195 vpn-instance vpn-default
#
若部署统一数字底盘时配置了内置NTP服务器,此处推荐配置NTP服务器IP为统一数字底盘的集群北向业务IP。若为外置的NTP服务器,则需要确保该NTP服务器和控制组件以及统一数字底盘网络互通。
(16) 检验配置成功情况。上述配置完成后,分别检查配置成功情况。Spine、Leaf设备上都可以查看到:
[leaf1] display interface Vsi-interface brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Vsi4092 UP UP -- SDN_VRF_VSI_Interface_4092//4092接口创建成功
Vsi4094 UP UP --
[leaf1]
[leaf1]dis l2vpn vsi
Total number of VSIs: 2, 1 up, 1 down, 0 admin down
VSI Name VSI Index MTU State
Auto_L3VNI4092_4092 0 1500 Down //自动生成
vxlan4094 1 1500 Up
[leaf1]
[leaf1] display interface Tunnel brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Tun1 UP UP -- //隧道UP
[leaf1]
[leaf1] display interface Tunnel
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 4038
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 51::2, destination 51::3
Tunnel protocol/transport UDP_VXLAN/IPv6
Last 300 seconds input rate: 521 bytes/sec, 4168 bits/sec, 3 packets/sec
Last 300 seconds output rate: 1021 bytes/sec, 8168 bits/sec, 4 packets/sec
Input: 18304 packets, 2831888 bytes, 0 drops
Output: 21089 packets, 5695406 bytes, 0 drops
[leaf1]
[leaf1] ping ipv6 -vpn-instance vpn-default 130::AAAA //控制组件和DHCP的网关
Ping6(56 data bytes) 133::6 --> 130::AAAA, press CTRL+C to break
56 bytes from 130::AAAA, icmp_seq=0 hlim=63 time=3.276 ms
56 bytes from 130::AAAA, icmp_seq=1 hlim=63 time=2.374 ms
56 bytes from 130::AAAA, icmp_seq=2 hlim=63 time=2.327 ms
56 bytes from 130::AAAA, icmp_seq=3 hlim=63 time=2.455 ms
56 bytes from 130::AAAA, icmp_seq=4 hlim=63 time=2.296 ms
--- Ping6 statistics for 130::AAAA in VPN instance vpn-default ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 2.296/2.546/3.276/0.369 ms
[leaf~133::6]%Mar 5 07:23:21:372 2021 leaf~133::6 PING/6/PING_VPN_STATISTICS: Ping6 statistics for 130::AAAA in VPN instance vpn-default: 5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss, round-trip min/avg/max/std-dev = 2.296/2.546/3.276/0.369 ms.
[leaf1]
(17) Leaf堆叠环境配置桥MAC保持不变。若Leaf为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
Access作为接入设备,需要手动配置如下:
(1) 设备Access角色和sysname配置。
#默认是Access角色的不用再配置,非默认Access角色的需要配置后重启生效。
#
vcf-fabric role access
#
#
sysname access1
#
(2) 配置LLDP,以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp global enable
#
(4) 配置SNMP、NETCONF、TELNET、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
#
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
#NETCONF配置
netconf soap http enable
netconf soap https enable
netconf ssh server enable
restful https enable
#
#配置telnet
telnet server enable
#
#配置ssh
ssh server enable
#
(5) 配置Telnet/SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需符合密码复杂度要求。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type telnet http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 配置Access设备与Leaf设备连接的上行口permit vlan all。
# Access的上行口配置permit vlan all
interface Ten-GigabitEthernet1/0/52
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
(7) 创建VLAN。
#
vlan 4093 to 4094
#
(8) VLAN1配置三层接口,可不配置。
#
interface Vlan-interface1
ipv6 address 132::2/64
#
(9) 配置VLAN4094三层接口,SeerEngine-Campus通过该地址纳管Access。
#
interface Vlan-interface4094
ipv6 address 133::5/64
#
(10) 配置静态路由。
# Spine和统一数字底盘的连接为三层接入时,需配置到统一数字底盘、控制组件、EIA等业务相关服务器的静态路由,下一跳为三层交换机VLAN4094的IP地址
ipv6 route-static 130:: 64 133::1 //目的IP为控制组件的网段IP
ipv6 route-static 190:: 64 133::1 //目的IP为统一数字底盘的网段IP
(11) 配置NTP服务器。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 190::195
#
若部署统一数字底盘时配置了内置NTP服务器,此处推荐配置NTP服务器IP为统一数字底盘的集群北向业务IP。若为外置的NTP服务器,则需要确保该NTP服务器和控制组件以及统一数字底盘网络互通。
(12) Access堆叠环境配置桥MAC保持不变。
若Access为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
设备的Underlay手动配置完成后,控制制器上进行Fabric、DHCP等相关配置。
(1) Fabric路径:[自动化>园区网络>Fabrics],单击<增加>按钮,进入Fabric配置页面。在Fabric配置页面中,配置Fabric,参数说明如下:
¡ 名称:根据实际需求输入,没有限制。
¡ AS号:取值范围为1~4294967295的整数。设备手工部署纳管时,请务必保证Fabric中设置的AS号与设备侧手动配置的BGP AS号相同。
¡ 网络类型:默认VXLAN组网,默认即可。
¡ 虚拟网络自动化和业务随行:默认“开启”,控制VXLAN组网的授权和组间策略的授权。
¡ 隔离域:选择所属隔离域。
¡ 组播网络:不支持IPv6业务,此处配置为“关闭”。
¡ QoS策略:不支持IPv6业务,此处配置为“关闭”。
¡ Underlay网络固化:默认选择“关闭”,设备自动化需要关闭,自动化结束后,按需选择开启。
¡ 延迟配置Access接口PVID:默认“关闭”,控制组件在设备激活时自动下发PVID,若选择“开启”,则设备激活时不下发PVID,激活后可以手动配置PVID。
¡ DHCP Snooping Enable VLAN范围:默认使能2-4094。
¡ Access免费ARP学习:默认开启。
图4-12 Fabric
(2) 单击<确定>按钮,完成Fabric创建。在Fabric页面中显示增加的Fabric。
(3) 设备纳管。路径:[自动化>园区网络>网络设备>增加设备],填写“基本信息”区域、“设备控制协议”区域中的参数。
¡ “基本信息”区域:
- 所属Fabric:选择Fabric。
- 设备角色:有Spine、Leaf及Access三种角色,请根据设备实际组网中的角色进行选择,请务必保证与设备上配置的角色一致。
- 管理IP:设备VXLAN4094/VLAN4094接口的IP地址。
- Underlay IP:设备LoopBack口的IP地址。
- 设备系列:选择设备型号对应的产品系列。
- 其他参数:默认配置即可。
图4-13 纳管设备
¡ “设备控制协议模板”:支持修改默认模板或者新增模板。
- 只读团体字:根据上面设备配置中设置的SNMP参数,本例为public。
- 读写团体字:根据上面设备配置中设置的SNMP参数,本例为private。
- 用户名:根据上面设备配置中设置的local-user,本例为admin。
- 密码:根据上面设备配置中设置的local-user的密码,密码长度不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含空格和“?”,不允许包含用户名和用户名倒序。
图4-14 设备控制协议模板
图4-15 增加设备控制协议模板
设备增加完成后,“在线状态”初始为“Inactive”,需一段时间进行数据同步,同步完成后,单击<刷新>按钮,状态更新为“Active”,表示设备已连接。
图4-16 设备激活
设备纳管后,Spine和Leaf设备可通过display openflow instance 1 controller命令查看SeerEngine-Campus控制组件连接设备的详细信息。
[Leaf1]display openflow instance 1 controller
Instance 1 controller information:
Reconnect interval: 60 (s)
Echo interval : 5 (s)
Controller ID : 1
Controller IPv6 address : 130::191
Controller port : 6633
Local IPv6 address : 133::3
Controller role : Master
Connect type : TCP
Connect state : Established
Packets sent : 44
Packets received : 163
SSL policy : --
Control SSL policy : --
VRF name : vpn-default
Controller ID : 2
Controller IPv6 address : 130::192
Controller port : 6633
Local IPv6 address : 133::3
Controller role : Slave
Connect type : TCP
Connect state : Established
Packets sent : 42
Packets received : 161
SSL policy : --
Control SSL policy : --
VRF name : vpn-default
(4) 配置DHCPv6服务器。路径:[自动化>园区网络>网络参数>DHCP],单击<增加>按钮,弹出增加DHCP服务器页面。在该页面中纳管vDHCP,配置如下图所示。
¡ 名称:填写名称。
¡ 管理方式:选择“紧耦合”,vDHCP只支持紧耦合。
¡ 使用高可用性:集群环境时需勾选;若是单机环境,则不需要勾选。
¡ 启用双栈:勾选。
¡ IPv6地址:填写的是部署vDHCP时分配的IPv6地址,可在部署vDHCP的页面查看,如下:查看路径:[系统>部署管理],在列表中展开“公共服务”项,单击
图标查看详情。
¡ 厂商:选择“H3C”。
¡ 勾选使能高可用。
图4-17 增加DHCP服务器
配置完成后,单击<确定>按钮,可在列表中查看增加的DHCP服务器。
图4-18 查看DHCP服务器
请参见5 纯IPv6设备老自动化上线、6 纯IPv6设备新自动化上线章节。
· 支持设备款型:Spine\Leaf为XGS TD3芯片款型(105系列SH板卡、S6550XE/S6525XE)以及国芯款型,Access为5130S以及国芯款型(S5560X\S6520X也不支持作为access)。
· 仅支持单机或堆叠组网。
· 园区向导->设备上线规划中不再引导老自动化方案,如需配置,请从Fabric->自动化部署入口进入配置。
图5-1 老自动化流程图
纯IPv6设备老自动化流程与IPv4一致,基础配置内容可参考《AD-Campus 6.5 自动化配置指导》。本章节只介绍IPv6相关的特殊配置。
(1) 配置VLAN1和VLAN4094用于和设备通信。
#
vlan 1
#
vlan 4094
#
interface Vlan-interface1
ipv6 dhcp select relay
ipv6 dhcp relay server-address 130::6 //vDhcp主ip
ipv6 dhcp relay server-address 130::7 //vDhcp备ip
ipv6 address 132::1/64
undo ipv6 nd ra halt #
#
interface Vlan-interface4094 //设备管理地址为控制组件分配,此处不需要配DHCP relay
ipv6 address 133::1/64
undo ipv6 nd ra halt
#
(2) 配置VLAN 50用于SeerEngine-Campus和DHCP所在网段的网关地址。
#
vlan 50
#
interface Vlan-interface50
ipv6 address 130::AAAA/64
#
(3) 配置VLAN 150用于统一数字底盘、EIA北向业务网段的网关地址。
#
interface Vlan-interface150
ipv6 address 190::AAAA/64
#
(4) 与Spine相连的接口配置。
#
interface Ten-GigabitEthernet1/0/6
description to_spine
port link-type trunk
port trunk permit vlan all
ipv6 dhcp snooping trust
#
(5) 与服务器相连的外联设备(L3Switch)接口配置。
#
interface GigabitEthernet1/0/7 //与SeerEngine-Campus和vDHCP的管理网卡相连
port access vlan 50
#
interface GigabitEthernet1/0/37 //与统一数字底盘、EIA的管理网卡相连
description eth1-ipv6
port access vlan 150
#
(1) 进入[自动化>园区网络>网络参数>参数>全局配置]页面,启用IPv6功能,控制组件默认启用IPv6。
图5-2 启用IPv6
(2) 进入[自动化>园区网络>Fabrics]页面,单击<增加>按钮,完成Fabric配置。
图5-3 创建Fabric
¡ 名称:可以填写最长255个字符,区分大小写。
¡ 网络类型:默认VXLAN组网,默认即可。
¡ AS号:取值范围为1~4294967295的整数。在多Fabric组网中,每个Fabric的AS号必须不同。自动化部署时,SeerEngine-Campus控制组件根据Fabric中设置的AS号,向加入Fabric的设备下发设置的BGP AS。
¡ 业务自动化:选择“开启”,并选择对应的隔离域。
¡ 业务随行:选择“开启”,控制VXLAN组网的授权。
¡ 组播网络:不支持IPv6业务,此处配置为“关闭”。
¡ Underlay网络固化:默认选择“关闭”,设备自动化需要关闭,自动化结束后,按需选择开启。
¡ 延迟配置Access接口VLAN:默认“关闭”,控制组件在设备激活时自动下发PVID,若选择“开启”,则设备激活时不下发PVID,激活后可以手动配置PVID。
¡ DHCP Snooping Enable VLAN范围:默认使能2~4094。
¡ Voice VLAN:默认开启。
(3) 进入“设备纳管”界面,单击<自动纳管>按钮。
图5-4 自动纳管
(4) 选择“原自动化上线”。
图5-5 原自动化上线
(5) 进入<基础设置>页面,填写RR MAC。RR MAC框内填写Spine设备的桥MAC,若Fabric为Single Leaf架构,则RR MAC可不填。填写完毕后,单击<下一步>按钮,进行地址池设置。
图5-6 RR MAC
如果Spine为堆叠设备,RR MAC必须输入所有成员设备的主控板桥MAC地址,以英文逗号隔开。
Spine设备的桥MAC,可以在设备侧通过命令查看。
¡ 方法一:通过display device manuinfo命令查看:
[leaf~133::4]dis device manuinfo slot 1
Slot 1 CPU 0:
DEVICE_NAME : S5560X-54C-EI
DEVICE_SERIAL_NUMBER : 210235A1XCM195A000QK
MAC_ADDRESS : 4CE9-E498-16CB
MANUFACTURING_DATE : 2019-05-20
VENDOR_NAME : H3C
Fan 1:
DEVICE_SERIAL_NUMBER : NONE
Fan 2:
DEVICE_SERIAL_NUMBER : NONE
Power 1:
DEVICE_NAME : LSPM2150A
DEVICE_SERIAL_NUMBER : 210231A1U0H195001022
MANUFACTURING_DATE : 2019-05-07
VENDOR_NAME : H3C
¡ 方法二:Probe视图下通过debug stack show memberinfo命令查看:
[leaf~133::4-probe]debug stack show memberinfo slot 1
=============================================================
Member Information of STACK Module
=============================================================
MemID:1, LocalSlotID:1, Priority:1, Mode:90
MaxMemNum:10, MaxPortMemberPort:4, StackCapability:5
BridgeMac:4c:e9:e4:98:16:cb CpuMac:f0:10:90:db:74:02 DeviceInfo:S5560X-EI
Get the Wrong Packet Number :0.
(1) 地址池配置,首先要绑定DHCP服务器。单击“DHCP服务器”下拉框,选择“新建DHCP服务器”,进入增加DHCP服务器页面,输入H3C vDHCP相关的参数。
图5-7 增加DHCP服务器
图5-8 DHCP
¡ 名称:填写名称。
¡ 管理方式:选择“紧耦合”,vDHCP只支持紧耦合。
¡ 使能高可用:集群环境时需勾选;若是单机环境,则不需要勾选。
¡ 启用双栈:勾选。
¡ IPv6地址:填写的是部署vDHCP时分配的IPv6地址,可在部署vDHCP的页面查看,如下:查看路径:[系统>部署管理],在列表中展开“公共服务”项,单击
图标查看详情。
¡ 厂商:选择“H3C”。
· IP地址为部署公共网络分配的IP地址,路径:系统->部署管理->公共服务,单击详情查看vDHCP的IP地址。
· 设备自动化使用的DHCP必须为H3C vDHCP。
(2) 新建VLAN1地址池,地址池填写在L3 Switch设备中设置的VLAN1(132::/64)网段的IP地址。“网关地址”是L3Switch设置的VLAN1的IP地址。
图5-9 VLAN1
(3) 新建VLAN4094地址池,地址池填写在L3Switch设备中设置的VLAN4094(133::/64)网段的IP地址。“网关地址”是L3Switch设置的VLAN4094的IP地址。
图5-10 VLAN4094
(4) 服务器IPv6管理网段:设备自动化上线时,SeerEngine-Campus控制组件会向设备下发配置的IP地址段的静态路由,需要增加控制组件管理网段,控制组件IP网段130::/64,EIA所在的网段190::/64,支持多个网段添加,中间“,”隔开。
如果统一数字底盘、控制组件和EIA所在网段不同,需要添加多个网段。
图5-11 服务器IPv6管理网段
Underlay纯IPv6自动化无IPv4业务不需要配置VLAN4094 IPv4地址池和IPv4网段。若要使用IPv4地址,则需要增加一个IPv4的DHCP Server,IPv4业务相关的配置不在本文中介绍,IPv4自动化具体配置请参考《AD-Campus 6.5 自动化配置指导》。
设备角色模板配置即自动化模板配置。
· 本地用户名和密码:如果与“设备控制协议模板”中NETCONF协议配置的用户名相同,则密码必须一致;本地用户名和密码可以和“设备控制协议模板”中NETCONF协议配置的用户名不一致。“设备控制协议模板”中NETCONF协议配置的用户名和密码用于控制组件访问设备,本地用户名和密码用于Spine设备访问Leaf设备。“设备控制协议模板”可通过单击“模板修改”打开“修改设备控制协议模板”进行设置。
· NTP服务器:若部署统一数字底盘时配置了内置NTP服务器,此处推荐配置NTP服务器IP为统一数字底盘的集群北向业务IP。可以填写客户组网中的NTP时间服务器地址,保证网络互通。
· 软件版本:设备需要升级的版本,目前只支持同型号设备一起升级。
· Master Spine MAC:指定Master Spine设备的桥MAC地址。用于分配Underlay IP地址和Underlay VLAN。(如果Spine是堆叠设备,则此模板中填写的桥MAC对应的Spine为主设备)。
· 自动分配Underlay IP:默认“是”。
¡ 是:Spine根据模板中设置的 “Underlay IP范围”的地址段,自动分配Spine和Leaf设备的Loopback0接口IP。
¡ 否:手动分配Spine和Leaf设备的Loopbakc0接口的IP。设置为“否”时,Spine、Leaf模板需要使能白名单,且必须在设备清单中填写指定设备的Underlay IP。
· Underlay IP范围:指定地址范围。用于Loopback0接口地址的分配。
· Underlay VLAN范围:指定可用的VLAN范围,用于建立Underlay OSPF邻居,建议使用缺省值。
· 上行口:需要指定Spine的上行口全称(即与L3 Switch设备直连的端口),在控制组件处理设备自动化过程中,需要向该接口下发VLAN4094-VXLAN4094的AC配置信息。用于设备与控制组件的业务的交互。
· 是否使能白名单:
¡ 若开关关闭:
- 指定设备的序列号在设备清单中,以设备清单中指定信息为准进行自动化部署,并以指定的标签被控制组件纳管。
- 指定设备的序列号不在设备清单中,以设备的默认角色为准完成自动化部署,缺省的标签为角色~4094 IP地址。
¡ 若开关开启:
- 指定设备的序列号在设备清单中,以设备清单中指定信息为准进行自动化部署,并以指定的标签被控制组件纳管。
- 指定设备的序列号不在设备清单中,则自动化上线失败。
如果Spine是堆叠设备,则Spine模板Master Spine MAC是主设备的桥MAC。
图5-12 设备角色模板
图5-13 Spine模板
图5-14 Leaf模板
图5-15 Access模板
(1) 设备清单用于设备白名单的设置。设备序列号是每台设备的唯一标识符,设备清单中设置设备序列号和设备角色的对应关系,可以规划每台设备在组网中的角色信息。
¡ 设备自动化过程中使用:设备自动化过程中会检查设备白名单。
- 若设备序列号在设备清单内,设备可以通过白名单检查后获取到自动化模板,完成自动化上线。
- 若设备序列号不在设备清单内且设备模板中开启了白名单功能,设备将无法通过白名单检查获取自动化模板,无法完成自动化上线。
¡ 在设备自动化过程中使用,模板未使能白名单,但设备序列号在设备清单内,设备优先按白名单设置的角色进行上线;若设备序列号不在设备清单内,则设备按照设备默认角色进行上线。
¡ SeerEngine-Campus控制组件添加设备纳管时使用:控制组件纳管设备时需要匹配设备白名单,若没有匹配到白名单,则设备纳管不成功。
图5-16 设备清单
(2) 增加设备序列号,可通过单击<增加>按钮,通过页面手动配置;也可以单击<导入>按钮下载导入模板,批量导入。
¡ 网络类型:默认VXLAN。
¡ 支持WebSocket:选择“否”。
¡ 设备序列号:填写设备的唯一标识符,可通过以下命令查看。
具体设备属于哪个系列请与相关技术人员核对:
- 框式设备:请填入机框序列号和各主控板序列号,多个序列号以“;”分隔。
- S10500X/S10500系列读取机框和主控板信息:display device manuinfo chassis * slot *。
- S7500E系列读取各主控板信息:display device manuinfo chassis * slot *。
- 盒式设备(S6550XE/ S6525XE/6520X/ S5560X系列):display license device-id slot 1
- S7500X系列读取各主控板信息:display device manuinfo chassis * slot *。
- 盒式设备(S51系列)display device manuinfo slot 1。
¡ 设备角色:可选设备角色为Spine/Leaf/Access,设备自动化上线时会根据设备清单中配置的角色信息修改设备角色。
¡ 设备标签:设备的sysname,设备自动化上线后根据配置的设备标签自动修改。
¡ 设备系统名称:用于控制器识别的系统名称。
¡ 管理IP:指定设备自动化上线后的VSI/VLAN 4094的IP地址,可不配置。
- 若配置了管理IP地址,则设备自动化上线后SeerEngine-Campus控制组件根据设置的IP地址分配给设备。
- 若不配置管理IP地址,则SeerEngine-Campus控制组件根据VLAN4094的地址池自动分配。
¡ Underlay IP地址:如果在自动化配置模板中Spine设备模板配置手动分配Underlay IP,该字段必填。如果指定自动分配,该字段不必填。
¡ 站点名称:选择设备属于哪个站点,按需配置,需要使用大屏功能时必须配置。
图5-17 设备清单
策略配置模板不影响设备自动化,和用户业务相关,具体配置参见《AD-Campus 6.5 基础配置指导》。
Single-Leaf架构L3 Switch配置,请参考5.2.1 L3 Switch设备配置。下面仅介绍Single-Leaf的Leaf设备堆叠的配置内容。
(1) Leaf与三层交换机互联一根线,Leaf之间互联。
(2) Single-Leaf模板中将上行口填写成聚合口。
(3) 手工在L3 Switch上配置端口聚合。
#
interface Ten-GigabitEthernet0/0/48
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 102
#
interface Ten-GigabitEthernet0/0/47
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 102
#
interface Bridge-Aggregation102
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic
#
(4) Leaf设备获取到VLAN1,成功堆叠。
(5) Leaf与三层交换机互联第二根线,手工在Leaf上配置上行口聚合。
仅介绍Single-Leaf和三层组网差别配置。
(1) 在基础配置页面,无需设置RR MAC。
(2) 在设备角色模板页面:
¡ 设备角色取消“Spine模板”,仅勾选“Leaf模板/SingleLeaf模板”和“Access模板”,且“Leaf模板/Single Leaf模板”中勾选Single Leaf模板。
¡ 需要配置上行口为Leaf连接L3 Switch端口。
图5-18 设备角色模板1
图5-19 设备角色模板2
Spine设备空配置启动,自动获取IP地址后获取Spine配置模板。
Automatic configuration attempt: 3.
Interface used: Vlan-interface1.
Enable DHCP client on Vlan-interface1.
Set DHCP client identifier: 542bdead45f8-VLAN0001
Vlan-interface1 failed to obtain IP address.
Set DHCP6 client identifier: 542bdead45f8-VLAN0001
Obtained configuration file name h3c.template and TFTP server IPv6 address 130::195.//控制组件界面TFTP地址
Obtained an IPv6 address for Vlan-interface1: 132::8.
INFO: Get device tag file device_tag.csv success.
INFO: Read role spine from tag file.
Successfully downloaded file hefei_spine.template.//控制组件界面Spine模板名称
Executing the configuration file. Please wait...
Automatic configuration successfully completed.
Line aux0 is available.
Press ENTER to get started.
等待Spine设备自动配置,根据下载的模板hefei_spine.template,完成自动化配置,此时下发的自动化部署没有VSI4094的IP地址。查看自动化部署的配置:
[spine~133::3]dis vcf-fabric underlay autoconfigure
success command:
#
system
clock timezone beijing add 08:00:00
#
system
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 both
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
system
lldp global enable
#
system
interface Vlan-interface1
ip address dhcp-alloc
#
system
ospfv3 1
area 0.0.0.0
#
system
interface LoopBack0
#
system
netconf soap https enable
netconf ssh server enable
restful https enable
#
system
ssh server enable
#
system
stp mode pvst
stp vlan 1 enable
undo stp vlan 2 to 4094 enable
stp global enable
stp vlan 1 priority 0
#
自动化上线获取模板后,会自动将Spine设备连接服务器的物理端口配置成AC口。配置完AC口后,才可以获取到VSI4094的IP地址。
#
interface Ten-GigabitEthernet1/0/52
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
在设备自动化配置过程中可以在设备上查看相关命令,来关注设备的IP地址获取情况。如下,已经分别获取了Loopback0,VLAN1和VSI4094的IP地址。Spine设备和下行Leaf设备间存在一条链路,则创建了VLAN3500(该VLAN范围由自动化模板中Underlay VLAN范围决定)。
[spine~133::3]dis ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
LoopBack0 up up(s) 51::2
M-GigabitEthernet0/0/0 down down Unassigned
Tunnel0 up up Unassigned
Tunnel1 up up Unassigned
Vlan-interface1 up up 132::8
Vlan-interface3496 up up FE80::562B:DEFF:FEAD:460A
Vlan-interface3500 up up FE80::562B:DEFF:FEAD:460E
Vsi-interface4092 up up FE80::562B:DEFF:FEAD:461E
Vsi-interface4094 up up 133::3
控制组件页面上[自动化>园区网络>网络设备]可以查看Spine设备已切换到VSI 4094的IP 133::3并被系统纳管,同时也被自动加入到了Spine设备组。
图5-20 设备组
图5-21 通用设备组
按照上线顺序,单台Spine设备先自动化上线时,不会下发BGP配置。只有等待Leaf设备自动化上线,Leaf设备Underlay OSPF建立,且Loopback 0获取到地址以后,设备才会下发BGP的配置。这里下发的配置只针对BGP Peer这部分的动态配置,BGP的一些固定配置是随着自动化模板一起下发。可以在用户视图下dir查看名称为hefei_spine.template的模板文件,具体内容可以通过more hefei_spine.template命令查看。具体内容请参考12.1 Spine完整配置下发。
需要满足如下条件:
· 两台设备支持堆叠。
· 两台设备间检测到10GE及以上速率端口互连。
· 两台设备为相同角色。
两台设备自动化上线堆叠操作顺序:
(1) 主Spine通过L3 Switch和控制组件互连。
(2) Spine设备之间互连。
(3) 建议桥MAC大的设备先上线。
后增加的Spine设备不需要与L3 switch 相连,只需与已上线的Spine设备连接堆叠链路即可。若后增加的Spine堆叠与L3 switch 也相连,则需要手工在L3 switch上配置与两台Spine相连的端口聚合,Spine模板中上行口填写聚合口。
Spine1:
%Feb 19 08:09:58:256 2021 spine~133::8 VCF/4/VCF_FAILED_ADD_IRFPORT: In phase 2.0.10, device with MAC address 542b-dead-45f8 add IRF port GigabitEthernet1/0/7 has failed three times.
%Feb 19 08:10:40:251 2021 spine~133::8 VCF/5/VCF_IRF_START: In phase 2.0.2, device with MAC address 542b-dead-45f8 started IRF configuration: Current member ID 1, new member ID 1, priority 2, ['Ten-GigabitEthernet1/0/49'] bound to IRF-port 1, [None] bound to IRF-port 2.
%Feb 19 08:10:14:711 2021 spine~133::8 VCF/5/VCF_IRF_FINISH: In phase 2.0.3, device with MAC address 542b-dead-45f8 finished IRF configuration with peer 4ce9-e498-16cb. The result is 0.
Spine2:
<spine-132::4>%Feb 19 08:10:18:362 2021 spine-132::4 VCF/5/VCF_IRF_START: In phase 2.0.2, device with MAC address 4ce9-e498-16cb started IRF configuration: Current member ID 1, new member ID 5, priority 1, [None] bound to IRF-port 1, ['GigabitEthernet1/0/2', 'Ten-GigabitEthernet1/0/49'] bound to IRF-port 2.
%Feb 19 08:10:59:621 2021 spine-132::4 VCF/5/VCF_IRF_FOUND: In phase 2.0.1, device with MAC address 4ce9-e498-16cb found peer 542b-dead-45f8 with the same role spine. Availability of IRF configuration is 0.
%Feb 19 08:11:20:874 2021 spine-132::4 VCF/5/VCF_IRF_FINISH: In phase 2.0.3, device with MAC address 4ce9-e498-16cb finished IRF configuration with peer 542b-dead-45f8. The result is 0.
Standby设备重启之后,堆叠完成:
%Feb 19 08:11:25:241 2021 spine-132::4 VCF/5/VCF_REBOOT: Phase 2.0.4, Device 542b-dead-45f8 will reboot. Reason: IRF fabric setup success.
%Feb 19 08:11:27:488 2021 spine-132::4 SYSLOG/5/LOGFILE_USAGEHIGH: The usage of log-file flash:/logfile/logfile.log reaches 80%.
%Feb 19 08:11:28:371 2021 spine-132::4 DEV/5/SYSTEM_REBOOT: System is rebooting now.
%Feb 19 08:15:49:712 2021 spine~133::8 VCF/5/VCF_IRF_ALREADY: In phase 2.0.10, device with MAC address 542b-dead-45f8 has been irf successfully, standby Mac 4ce9-e498-16cb.
<spine~133::8>dis irf
MemberID Role Priority CPU-Mac Description
*+1 Master 2 f010-90db-7402 ---
5 Standby 1 f010-90db-7406 ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The bridge MAC of the IRF is: 542b-dead-45f8
Auto upgrade : yes
Mac persistent : always
Domain ID : 0
堆叠完成后,自动开始配置BFD检测:
%Feb 19 08:17:13:491 2021 spine~133::8 IFNET/3/PHY_UPDOWN: Physical state on the interface Vlan-interface100 changed to up.
%Feb 19 08:17:13:500 2021 spine~133::8 IFNET/5/LINK_UPDOWN: Line protocol state on the interface Vlan-interface100 changed to up.
%Feb 19 08:18:14:574 2021 spine~133::8 BFD/5/BFD_MAD_INTERFACE_CHANGE_STATE: BFD MAD function enabled on Vlan-interface100 changed to the normal state.
当设备上堆叠链路大于一条时,会将其中一条链路作为BFD检测链路,物理接口下发如下配置:
#
interface GigabitEthernet1/0/7
port link-mode bridge
port access vlan 100
undo stp enable
#
interface GigabitEthernet5/0/2
port link-mode bridge
port access vlan 100
undo stp enable
#
配置VLAN虚接口100,IRF中的所有成员设备配置MAD IP地址,并与成员编号绑定:
#
interface Vlan-interface100
mad bfd enable
mad ip address 192.168.100.1 255.255.255.0 member 1
mad ip address 192.168.100.2 255.255.255.0 member 5
#
设备上全局使能BFD MAD检测:
[spine~133::8]mad bfd enable
Spine和Leaf之间如有多链路,会自动设置ECMP,与时序无关。
[spine~133::8]dis ll n l | include leaf
GE5/0/29 b0f9-63b3-20fe GigabitEthernet5/0/20 leaf~133::C
GE5/0/37 b0f9-63b3-20fe GigabitEthernet5/0/33 leaf~133::C
[spine~133::8]display vcf-fabric underlay autoconfigure
Downlink interface:
GigabitEthernet5/0/29
GigabitEthernet5/0/37
IRF allocation:
Self Bridge Mac: 542b-dead-45f8
IRF Status: Yes
Member List: [5, 1]
BFD Mad-port pairs: GE1/0/7 , GE5/0/2
VLAN ID Allocation:
VLAN range: 3001-3500
VLAN exist and system reserved:
[1]
Interface VLAN ID
GigabitEthernet5/0/37 3497
GigabitEthernet5/0/29 3498
查看路由表,已生成等价路由:
[spine~133::8]dis ipv6 routing-table
Destinations : 10 Routes : 11
Destination: ::/0 Protocol : Direct
NextHop : FE80::562B:DEFF:FED6:BB83 Preference: 80
Interface : Vlan1 Cost : 0
Destination: ::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: 51::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: 51::2/128 Protocol : O_INTRA
NextHop : FE80::B2F9:63FF:FEB3:2111 Preference: 10
Interface : Vlan3497 Cost : 1
Destination: 51::2/128 Protocol : O_INTRA
NextHop : FE80::B2F9:63FF:FEB3:2112 Preference: 10
Interface : Vlan3498 Cost : 1
Leaf设备空配置启动,自动获取IP地址后获取Leaf配置模板。
Automatic configuration attempt: 1.
Interface used: Vlan-interface1.
Enable DHCP client on Vlan-interface1.
Set DHCP client identifier: 4ce9e49816cb-VLAN0001
Vlan-interface1 failed to obtain IP address.
Set DHCP6 client identifier: 4ce9e49816cb-VLAN0001
Obtained configuration file name hefei.template and TFTP server IPv6 address 130::195.//控制组件TFTP地址
Obtained an IPv6 address for Vlan-interface1: 132::A.
INFO: Get device tag file device_tag.csv success.
INFO: Read role leaf from tag file.
Successfully downloaded file hefei_leaf.template.//控制组件界面Leaf模板名称
Executing the configuration file. Please wait...
Automatic configuration successfully completed.
Line aux0 is available.
Press ENTER to get started.
等待Leaf设备自动配置,根据hefei_leaf.template模板,完成自动化配置的命令下发。可以在用户视图下dir查看名称为hefei_leaf.template的模板文件,具体内容可以通过more hefei_leaf.template命令查看。具体内容请参考12.2 Leaf完整配置下发。
根据动态识别到上、下行接口,分别给上下行接口下发对应的配置。
上行接口:配置为VLAN 3496。若有多个,则会配置ECMP等价链路。
#
interface GigabitEthernet1/0/7
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3496
#
下行接口:等Access设备自动化上线后,下发配置为Trunk口,且绑定服务实例4094。
#
interface GigabitEthernet1/0/29
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
设备自动化部署过程中,可查看相关命令关注设备的部署情况。最初,Leaf设备先获得VLAN1和Loopback IP。Leaf设备和Spine设备之间的链路自动分配VLAN,IP地址借用环回口IP。(该VLAN范围由自动化模板中Underlay VLAN范围决定)。
查看设备上的IP地址,均已获取成功:
[leaf~133::5]dis ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
LoopBack0 up up(s) 51::3
M-GigabitEthernet0/0/0 down down Unassigned
Tunnel0 up up Unassigned
Tunnel1 up up Unassigned
Vlan-interface1 up up 132::A
Vlan-interface3496 up up FE80::4EE9:E4FF:FE98:16DD
Vsi-interface4092 up up FE80::4EE9:E4FF:FE98:16F1
Vsi-interface4094 up up 133::5
自动化配置模板里下发OSPFv3的配置,查看Leaf和Spine之间邻居建立情况:
#
interface Vlan-interface3496
mtu 4094
ospfv3 1 area 0.0.0.0
ospfv3 network-type p2p
ipv6 address auto link-local
#
[leaf~133::5]dis ospfv3 peer
OSPFv3 Process 1 with Router ID 66.0.0.5
Area: 0.0.0.0
-------------------------------------------------------------------------
Router ID Pri State Dead-Time InstID Interface
66.0.0.1 1 Full/ - 00:00:36 0 Vlan3500
通过主RR设备(指定的Spine设备),发现Leaf设备后,会自动给Spine和Leaf设备下发BGP 100的配置,并建立BGP邻居。Leaf设备上对应下发BGP配置如下:
#
bgp 100
non-stop-routing
router-id 66.0.0.5
peer 51::2 as-number 100
peer 51::2 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 51::2 enable
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
#
address-family ipv6 unicast#
Leaf和Spine设备之间建立EVPN邻居:
[leaf~133::4]display bgp peer l2vpn evpn
BGP local router ID: 66.0.0.5
Local AS number: 100
Total number of peers: 1 Peers in established state: 1
* - Dynamically created peer
^ - Peer created through link-local address
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
51::2 100 20 17 0 14 00:09:54 Established
在EVPN邻居建立成功,VXLAN隧道UP后,VSI4094才能正确获取到DHCP的IP地址。最终查看设备上IP地址,均已获取成功。
在成功获取VSI4094的IP地址后,在控制组件上[自动化>园区网络>网络设备]可以看到Leaf设备已切换到VSI4094的IP并进行纳管。并将设备自动加入Leaf设备组,同时Leaf设备侧还会下发VLAN101-3000。
Leaf设备由VLAN1切换到VSI4094的IP进行纳管。
图5-22 设备
同时被自动加入到了Leaf设备组。
图5-23 Leaf设备组
图5-24 Leaf下行接口组
同时Leaf接口被自动加入到了Leaf下行接口组中。
图5-25 Leaf下行接口组
Leaf设备侧下发VLAN101-3000,3496:
[leaf~133::4]dis vlan
Total VLANs: 2903
The VLANs include:
1(default), 101-3000, 3496, 4094
多台Leaf设备上线后,需要注意的是BGP的配置下发情况。由于配置下发的过程对用户来说都是自动进行,因此用户只需要在控制组件侧查看设备被纳管情况。同时设备侧下发BGP配置后自动建立EVPN邻居和VXLAN隧道。
以下是2台Leaf设备上线后,Spine设备上查看EVPN邻居情况:
[spine~133::3]display bgp peer l2vpn evpn
BGP local router ID: 66.0.0.1
Local AS number: 100
Total number of peers: 2 Peers in established state: 2
* - Dynamically created peer
^ - Peer created through link-local address
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
51::1 100 47 55 0 3 00:39:03 Established
51::3 100 15 18 0 5 00:08:01 Established
Spine设备上查看VXLAN隧道情况:
[spine~133::3]dis interface Tunnel
Tunnel0
Current state: UP
Line protocol state: UP
Description: Tunnel0 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 4038
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 51::2, destination 51::1
Tunnel protocol/transport UDP_VXLAN/IPv6
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 134 packets, 11750 bytes, 0 drops
Output: 11 packets, 1278 bytes, 0 drops
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 4038
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 51::2, destination 51::3
Tunnel protocol/transport UDP_VXLAN/IPv6
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 0 packets, 0 bytes, 0 drops
需要满足如下条件:
· 两台设备支持堆叠。
· 两台设备间检测到10GE及以上速率端口互连。
· 两台设备为相同角色。
两台设备自动化上线堆叠操作顺序:
(1) 设备和Spine互连。
(2) 两台设备互连。
(3) 两台设备一起清空配置重启。
Leaf1发现与Leaf2有10GE或以上速率端口互连,且两端为相同角色,会进行自动堆叠。
Leaf1:
%Mar 5 09:57:12:753 2021 H3C VCF/5/VCF_IRF_FOUND: In phase 2.0.1, device with MAC address 4ce9-e498-1803 found peer b0f9-63b3-20fe with the same role leaf. Availability of IRF configuration is 0.
%Mar 5 09:57:40:810 2021 H3C VCF/5/VCF_IRF_START: In phase 2.0.2, device with MAC address 4ce9-e498-1803 started IRF configuration: Current member ID 1, new member ID 5, priority 1, [None] bound to IRF-port 1, ['GigabitEthernet1/0/43', 'Ten-GigabitEthernet1/0/49'] bound to IRF-port 2.priority 1, [None] bound to IRF-port 1, ['Ten-GigabitEthernet5/1/17'] bound to IRF-port 2.
%Mar 5 09:58:42:135 2021 leaf-132::9 VCF/5/VCF_IRF_FINISH: In phase 2.0.3, device with MAC address 4ce9-e498-1803 finished IRF configuration with peer b0f9-63b3-20fe. The result is 0.
Leaf2:
%Mar 5 09:56:14:280 2021 H3C VCF/5/VCF_IRF_FOUND: In phase 2.0.1, device with MAC address b0f9-63b3-20fe found peer 4ce9-e498-1803 with the same role leaf. Availability of IRF configuration is 0.
%Mar 5 09:56:54:556 2021 H3C VCF/5/VCF_IRF_START: In phase 2.0.2, device with MAC address b0f9-63b3-20fe started IRF configuration: Current member ID 1, new member ID 1, priority 2, ['GigabitEthernet1/0/13', 'Ten-GigabitEthernet1/0/49'] bound to IRF-port 1, [None] bound to IRF-port 2.
%Mar 5 09:57:55:845 2021 leaf-132::8 VCF/5/VCF_IRF_FINISH: In phase 2.0.3, device with MAC address b0f9-63b3-20fe finished IRF configuration with peer 4ce9-e498-1803. The result is 0.
standby设备重启之后堆叠完成:
%Mar 5 09:58:46:607 2021 leaf-132::9 VCF/5/VCF_REBOOT: Phase 2.0.4, Device b0f9-63b3-20fe will reboot. Reason: IRF fabric setup success.
%Mar 5 09:58:49:102 2021 leaf-132::9 SYSLOG/5/LOGFILE_USAGEHIGH: The usage of log-file flash:/logfile/logfile.log reaches 80%.
%Mar 5 09:58:50:428 2021 leaf-132::9 DEV/5/SYSTEM_REBOOT: System is rebooting now.
<leaf~133::C>dis irf
MemberID Role Priority CPU-Mac Description
*1 Master 2 f010-90db-7402 ---
+5 Standby 1 f010-90db-7406 ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The bridge MAC of the IRF is: b0f9-63b3-20fe
Auto upgrade : yes
Mac persistent : always
Domain ID : 0
堆叠完成后后,自动开始配置BFD检测:
%Mar 5 10:04:03:440 2021 leaf-132::8 LLDP/6/LLDP_CREATE_NEIGHBOR: -Slot=5; Nearest bridge agent neighbor created on port GigabitEthernet5/0/43 (IfIndex 295), neighbor's chassis ID is b0f9-63b3-20fe, port ID is GigabitEthernet1/0/13.
%Mar 5 10:04:03:497 2021 leaf-132::8 LLDP/6/LLDP_CREATE_NEIGHBOR: Nearest bridge agent neighbor created on port GigabitEthernet1/0/13 (IfIndex 13), neighbor's chassis ID is b0f9-63b3-20fe, port ID is GigabitEthernet5/0/43.
%Mar 5 10:04:16:401 2021 leaf-132::8 IFNET/3/PHY_UPDOWN: Physical state on the interface Vlan-interface100 changed to up.
%Mar 5 10:04:16:401 2021 leaf-132::8 IFNET/5/LINK_UPDOWN: Line protocol state on the interface Vlan-interface100 changed to up.
%Mar 5 10:05:17:211 2021 leaf-132::8 BFD/5/BFD_MAD_INTERFACE_CHANGE_STATE: BFD MAD function enabled on Vlan-interface100 changed to the normal state.
设备上堆叠链路其中一条链路作为BFD检测链路,物理接口下发如下配置:
#
interface GigabitEthernet1/0/13
port link-mode bridge
port access vlan 100
undo stp enable
undo lldp enable
#
interface GigabitEthernet5/0/43
port link-mode bridge
port access vlan 100
undo stp enable
undo lldp enable
#
配置三层VLAN虚接口100,IRF中的所有成员设备配置MAD IP地址,并与成员编号绑定:
#
interface Vlan-interface100
mad bfd enable
mad ip address 192.168.100.1 255.255.255.0 member 1
mad ip address 192.168.100.2 255.255.255.0 member 5
#
设备上全局使能BFD MAD检测:
[leaf~133::C]mad bfd enable
当Spine堆叠和Leaf堆叠完成后,设备之间再增加链路会自动ECMP。增加完成后,查看链路信息如下:
[leaf~133::C]dis ipv6 routing-table
Destinations : 10 Routes : 11
Destination: ::/0 Protocol : Direct
NextHop : FE80::562B:DEFF:FED6:BB83 Preference: 80
Interface : Vlan1 Cost : 0
Destination: ::1/128 Protocol : Direct
NextHop : ::1 Preference: 0
Interface : InLoop0 Cost : 0
Destination: 51::1/128 Protocol : O_INTRA
NextHop : FE80::562B:DEFF:FEAD:460B Preference: 10
Interface : Vlan3497 Cost : 1
Destination: 51::1/128 Protocol : O_INTRA
NextHop : FE80::562B:DEFF:FEAD:460C Preference: 10
Interface : Vlan3498 Cost : 1
[leaf~133::C]dis vlan
Total VLANs: 2905
The VLANs include:
1(default), 100-3000, 3497-3498, 4094
[leaf~133::C]dis vcf-fabric underlay autoconfigure
Uplink interface:
GigabitEthernet5/0/20
GigabitEthernet5/0/33
IRF allocation:
Self Bridge Mac: b0f9-63b3-20fe
IRF Status: Yes
Member List: [5, 1]
BFD Mad-port pairs: GE1/0/13 , GE5/0/43
VLAN ID Allocation:
Interface VLAN ID
GigabitEthernet5/0/33 3497
GigabitEthernet5/0/20 3498
增加Leaf和Access之间的链路,多链路自动聚合。
自动聚合链路限制为2条物理链路。
%Mar 5 12:58:55:405 2021 access-132::9 LAGG/6/LAGG_ACTIVE: Member port GE1/0/13 of aggregation group BAGG1024 changed to the active state.
%Mar 5 12:59:02:833 2021 access-132::9 IFNET/3/PHY_UPDOWN: Physical state on the interface Bridge-Aggregation1024 changed to up.
%Mar 5 12:59:02:842 2021 access-132::9 IFNET/5/LINK_UPDOWN: Line protocol state on the interface Bridge-Aggregation1024 changed to up.
%Mar 5 12:58:59:630 2021 access-132::9 VCF/6/VCF_AGGR_CREATE: In phase 2.0.5, device with MAC address b0f9-63b3-20fe created aggregation group 1024. The member port list is GigabitEthernet1/0/13,GigabitEthernet1/0/21.
[leaf~133::5]dis ll n l | include access
GE5/0/35 b0f9-63b3-20fe GigabitEthernet1/0/13 access~133::2
GE5/0/41 b0f9-63b3-20fe GigabitEthernet1/0/21 access~133::2
控制组件会自动将原来成员口的配置删除,并在聚合口下发Leaf下行口的配置。
#
interface GigabitEthernet5/0/35
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
port link-aggregation group 1024
#
interface GigabitEthernet5/0/41
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
port link-aggregation group 1024
#
interface Bridge-Aggregation1024
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
link-aggregation mode dynamic
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
· Access设备自动化上线前,其上行所连接的Leaf设备必须先自动化上线并激活完成。
· 如果手动纳管Access设备,其上行所连接的Leaf设备必须先纳管并激活完成。
· 如果出现设备自动化上线失败,请将设备清空配置重新尝试自动化上线。
Access设备空配置启动,通过Leaf设备获取了VLAN 1的IP,并获取自动化部署模板进行部署。
Automatic configuration attempt: 1.
Interface used: Vlan-interface1.
Enable DHCP client on Vlan-interface1.
Set DHCP client identifier: 4ce9e4981803-VLAN0001
Vlan-interface1 failed to obtain IP address.
Set DHCP6 client identifier: 4ce9e4981803-VLAN0001
Obtained configuration file name hefei.template and TFTP server IPv6 address 130::195.//控制组件TFTP地址
Obtained an IPv6 address for Vlan-interface1: 132::3.
INFO: Get device tag file device_tag.csv success.
INFO: Read role access from tag file.
Successfully downloaded file hefei_access.template.//设备模板
Executing the configuration file. Please wait...
Automatic configuration successfully completed.
Line aux0 is available.
Press ENTER to get started.
等待Access设备自动进行配置,根据hangzhou_access.template模板进行自动化配置的命令执行。自动化部署会给每个Access下行口配置不同的PVID。如果是支持POE的交换机,端口使能POE功能。可以在用户视图下dir查看名称为hefei_access.template的模板文件,具体内容可以通过more hefei_access.template命令查看。具体内容请参考12.3 Access完整配置下发。
等待Access设备自动化部署完成,成功获取VLAN1和VLAN4094 IP地址:
[access~133::8]dis ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
M-GigabitEthernet0/0/0 down down Unassigned
Vlan-interface1 up up 132::3
Vlan-interface4094 up up 133::8
Access上行口会配置为Trunk all:
#
interface GigabitEthernet1/0/20
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
支持POE的设备所有端口会使能POE。如果检测到有AP设备,还会配置VLAN4093,同时将Access下行端口配置为PVID4093:
#
interface GigabitEthernet1/0/20
port link-mode bridge
port link-type trunk
port trunk permit vlan all
poe enable
#
在控制组件上[自动化>园区网络>网络设备]查看设备资源,可看到已从VLAN1切换为VLAN4094 IP的Access设备被纳管。
图5-26 设备
同时也被自动加入到了Access设备组。
图5-27 Access设备组
两台设备自动化上线堆叠操作顺序:
(1) 设备和Leaf互连。
(2) 两台设备互连一根线。
(3) 两台设备一起清空配置重启。
增加一台Access设备自动化上线后,Access1发现与Access2有10GE端口互连,且两端为相同角色,会进行自动堆叠。
[access~133::7]dis irf
MemberID Role Priority CPU-Mac Description
*+1 Master 2 f010-90db-7402 ---
5 Standby 1 f010-90db-7406 ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The bridge MAC of the IRF is: b0f9-63b3-20fe
Auto upgrade : yes
Mac persistent : always
Domain ID : 0
目前Access堆叠不支持自动化配置BFD MAD检测,如果需要,需要手动增加BFD MAD检测。
手动配置BFD MAD步骤:
(1) 设备堆叠成功之后,保证BFD的物理口为down状态,Access堆叠设备在物理接口配置BFD。
#
vlan 100 //专用于BFD MAD检测
#
#
interface Ten-GigabitEthernet 1/0/49
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100
undo stp enable
stp edged-port //不配置该命令,控制组件会审计差异
undo lldp enable
#
#
interface Ten-GigabitEthernet 5/0/49
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 100
undo stp enable
stp edged-port //不配置该命令,控制组件会审计差异
undo lldp enable
#
#
interface Vlan-interface100
mad bfd enable
mad ip address 192.168.100.1 255.255.255.0 member 1
mad ip address 192.168.100.5 255.255.255.0 member 5
#
(2) 互联BFD物理线,查看BFD MAD状态正常。
[5130s-hi-down]disp mad verbose
Multi-active recovery state: No
Excluded ports (user-configured):
Excluded ports (system-configured):
IRF physical interfaces:
Ten-GigabitEthernet1/0/49
Ten-GigabitEthernet5/0/49
BFD MAD interfaces:
GigabitEthernet1/0/13
GigabitEthernet5/0/43
Vlan-interface100
MAD ARP disabled.
MAD ND disabled.
MAD LACP disabled.
MAD BFD enabled interface: Vlan-interface99
MAD status : Normal
Member ID MAD IP address Neighbor MAD status
1 192.168.100.1/24 5 Normal
5 192.168.100.5/24 1 Normal
[access~133::2]dis ll n l | include leaf
GE1/0/13 4ce9-e498-16cb GigabitEthernet5/0/35 leaf~133::5
GE1/0/21 4ce9-e498-16cb GigabitEthernet5/0/41 leaf~133::5
[access~133::2]dis vlan brief
Brief information about all VLANs:
Supported Minimum VLAN ID: 1
Supported Maximum VLAN ID: 4094
Default VLAN ID: 1
VLAN ID Name Port
1 VLAN 0001 BAGG1024(U) GE1/0/13(U)
GE1/0/21(U)
101 VLAN 0101 BAGG1024(U) GE1/0/1(D)
GE1/0/13(U) GE1/0/21(U)
102 VLAN 0102 BAGG1024(U) GE1/0/2(D)
GE1/0/13(U) GE1/0/21(U)
[access~133::2]dis link-aggregation verbose
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected, I -- Individual
Port: A -- Auto port, M -- Management port, R -- Reference port
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregate Interface: Bridge-Aggregation1024
Creation Mode: Manual
Aggregation Mode: Dynamic
Loadsharing Type: Shar
Management VLANs: None
System ID: 0x8000, b0f9-63b3-20fe
Local:
Port Status Priority Index Oper-Key Flag
GE1/0/13 S 32768 1 1 {ACDEF}
GE1/0/21 S 32768 2 1 {ACDEF}
Remote:
Actor Priority Index Oper-Key SystemID Flag
GE1/0/13(R) 32768 1 1 0x8000, 4ce9-e498-16cb {ACDEF}
GE1/0/21 32768 2 1 0x8000, 4ce9-e498-16cb {ACDEF}
自动聚合链路限制为两条物理链路。
如果Access有级联需求,必须使用GE口进行级联。与Leaf直连的Access叫一级Access,一级Access下级联二级Access设备,依次类推。目前版本最多支持三级级联。二级Access设备的自动化上线与一级Access设备上线过程类似。
· 一级Access设备上线时,由于下行接口已被自动配置了从101开始的PVID(101-3000),那么当有二级Access接入时,一级Access一旦发现下行口UP且为H3C交换机时,将接口PVID恢复为1,以保证二级Access设备能够自动化。如果是非H3C设备,需要手工将该接口的PVID配置为1。
· 级联Access自动聚合链路限制两条物理链路。
级联Access空配置启动,自动化上线过程如下:
Startup configuration file doesn't exist or is invalid.
Performing automatic configuration... Press CTRL_C or CTRL_D to break.
Automatic configuration attempt: 1.
Interface used: Vlan-interface1.
Enable DHCP client on Vlan-interface1.
Set DHCP client identifier: b0f963b320fe-VLAN0001
Vlan-interface1 failed to obtain IP address.
Set DHCP6 client identifier: b0f963b320fe-VLAN0001
Obtained configuration file name hefei.template and TFTP server IPv6 address 130::195.
Obtained an IPv6 address for Vlan-interface1: 132::7.
INFO: Get device tag file device_tag.csv success.
INFO: Read role access from tag file.
Successfully downloaded file hefei_access.template.
Executing the configuration file. Please wait...
Automatic configuration successfully completed.
Line aux0 is available.
Press ENTER to get started.
查看设备IP已经分别获取了VLAN1和VLAN4094的IP:
<access~133::9>dis ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
M-GigabitEthernet0/0/0 down down Unassigned
Vlan-interface1 up up 132::7
Vlan-interface4094 up up 133::9
在控制组件页面上[自动化>园区网络>网络设备]看到设备里已自动纳管了新加入的二级Access设备。
图5-28 设备
在Access设备组里,也能自动导入二级Access设备。
图5-29 Access设备组
· 支持设备款型:Spine\Leaf为XGS TD3芯片款型(105系列SH板卡、S6550XE/S6525XE)以及国芯款型,Access为5130S以及国芯款型。(S5560X\S6520X也不支持作为access)
· 仅支持单机或堆叠组网;暂不支持双Border/M-Lag。
· 暂不支持Seed场景。
· 暂不支持Aggr组网。
图6-1 新自动化流程图
纯IPv6设备新自动化流程与IPv4一致,基础配置内容请参见《AD-Campus 6.5 新自动化配置指导》。本章节只介绍IPv6相关的特殊配置。
(1) 配置VLAN1和VLAN4094用于和设备通信。
#
vlan 1
#
vlan 4094
#
interface Vlan-interface1
ipv6 dhcp select relay
ipv6 dhcp relay server-address 130::6 //vDhcp主ip
ipv6 dhcp relay server-address 130::7 //vDhcp备ip
ipv6 address 132::1/64
undo ipv6 nd ra halt #
#
interface Vlan-interface4094 //设备管理地址为控制组件分配,此处不需要配DHCP relay
ipv6 address 133::1/64
undo ipv6 nd ra halt
#
(2) 配置VLAN 50用于SeerEngine-Campus和DHCP所在网段的网关地址。
#
vlan 50
#
interface Vlan-interface50
ipv6 address 130::AAAA/64
#
(3) 配置VLAN 150用于统一数字底盘、EIA北向业务网段的网关地址。
#
interface Vlan-interface150
ipv6 address 190::AAAA/64
#
(4) 与Spine相连的接口配置。
#
interface Ten-GigabitEthernet1/0/6
description to_spine
port link-type trunk
port trunk permit vlan all
#
(5) 与服务器相连的外联设备(L3Switch)接口配置。
#
interface GigabitEthernet1/0/7 //与SeerEngine-Campus和vDHCP的管理网卡相连
port access vlan 50
#
interface GigabitEthernet1/0/37 //与统一数字底盘、EIA的管理网卡相连
description eth1-ipv6
port access vlan 150
#
(1) 进入[自动化>园区网络>网络参数>参数>全局配置]页面,启用IPv6功能,控制组件默认启用IPv6。
图6-2 启用IPv6
(2) 进入[向导>园区向导>设备上线规划>基础配置]页面,单击“选择Fabric”下拉框,选择“创建Fabric”,打开“创建Fabric”页面,配置以下参数后,单击<确定>按钮,完成配置。
图6-3 创建Fabric
各参数介绍请参见表6-1。
|
参数 |
说明 |
|
名称 |
最长255个字符,区分大小写 |
|
网络类型 |
默认VXLAN组网,选择默认即可 |
|
AS号 |
取值范围为1~4294967295的整数。在多Fabric组网中,每个Fabric的AS号必须不同。自动化部署时,SeerEngine-Campus控制组件根据Fabric中设置的AS号,向加入Fabric的设备下发设置的BGP AS |
|
业务自动化 |
选择“开启”,并选择对应的隔离域 |
|
业务随行 |
选择“开启”,控制VXLAN组网的授权 |
|
组播网络 |
不支持IPv6业务,此处配置为“关闭” |
|
Underlay网络固化 |
默认选择“关闭”,设备自动化需要关闭,自动化结束后,按需选择开启 |
|
延迟配置Access接口VLAN |
默认“关闭”,控制组件在设备激活时自动下发PVID,若选择“开启”,则设备激活时不下发PVID,激活后可以手动配置PVID |
|
DHCP Snooping Enable VLAN范围 |
默认使能2~4094 |
|
Voice VLAN |
默认开启 |
(1) 地址池配置,首先要绑定DHCP服务器。单击“DHCP服务器”下拉框,选择“新建DHCP服务器”,进入增加DHCP服务器页面,输入vDHCP相关的参数。
图6-4 增加DHCP服务器
图6-5 DHCP
各参数介绍请参见表6-2。
|
参数 |
说明 |
|
名称 |
DHCP服务器的名称 |
|
管理方式 |
选择“紧耦合”,vDHCP只支持紧耦合 |
|
使能高可用 |
集群环境时需勾选;若是单机环境,则不需要勾选 |
|
启用双栈 |
此处请勾选 |
|
IPv6地址 |
填写的是部署vDHCP时分配的IPv6地址,可在部署vDHCP的页面查看,如下:查看路径:[系统>部署管理],在列表中展开“公共服务”项,单击 |
|
厂商 |
选择“ H3C” |
· IPv4/IPv6地址为部署公共网络分配的IPv4/IPv6地址,路径:[系统>部署管理>公共服务],单击详情查看vDHCP的IPv4/IPv6地址。
· 设备自动化使用的DHCP必须为H3C vDHCP。
(2) 新建VLAN1地址池,地址池填写在L3 Switch设备中设置的VLAN1(132::/64)网段的IPv6地址。“网关地址”是L3Switch设置的VLAN1的IPv6地址。
图6-6 VLAN1
(3) 新建VLAN4094 IPv6地址池,地址池填写在L3Switch设备中设置的VLAN4094(133::/64)网段的IPv6地址。“网关地址”是L3Switch设置的VLAN4094的IP地址。
图6-7 VLAN4094
(4) 服务器IPv6管理网段:设备自动化上线时,SeerEngine-Campus控制组件会向设备下发配置的IPv6地址段的静态路由,需要增加控制组件管理网段,控制组件IPv6网段130::/64,EIA所在的网段190::/64,支持多个网段添加,中间“,”隔开。
如果统一数字底盘、控制组件和EIA所在网段不同,需要添加多个网段。
图6-8 服务器IPv6管理网段
Underlay纯IPv6自动化无IPv4业务不需要配置VLAN4094 IPv4地址池和IPv4网段。若要使用IPv4地址,则需要增加一个IPv4的DHCP Server,IPv4业务相关的配置不在本文中介绍,IPv4自动化具体配置请参考《AD-Campus 6.5 自动化配置指导》。
设备角色模板配置即自动化模板配置。
· 组网模型:按需选择。
· 半自动上线:“是”与“否”,按需选择。
· 模板名:按需填写。
· Underlay IP协议栈:选择“IPv6”。
· 自动分配Underlay IP:默认“是”。
¡ 是:根据模板中设置的 “Underlay IP范围”的地址段,自动分配Spine和Leaf设备的Loopback0接口IP。
¡ 否:手动分配Spine和Leaf设备的Loopbakc0接口的IP。设置为“否”时,Spine、Leaf模板需要使能白名单,且必须在设备清单中填写指定设备的Underlay IP。
· Underlay IP范围:指定IPv6地址范围。用于Loopback0接口地址的分配。
· Router ID池:用于为BGP协议和OSPFv3协议分配Router ID。
· Underlay VLAN范围:指定可用的VLAN范围,用于建立Underlay OSPF邻居,建议使用缺省值。
· NTP服务器:若部署统一数字底盘时配置了内置NTP服务器,此处推荐配置为统一数字底盘的集群北向业务IPv6地址。可以填写客户组网中的NTP时间服务器地址,保证网络互通。
· 设备控制协议模板:NETCONF协议配置的用户名和密码用于控制组件访问设备。可通过单击“模板修改”打开“修改设备控制协议模板”进行设置。
图6-9 设备角色模板
图6-10 Spine\Leaf\Access模板
按需配置,基础配置内容可参考《AD-Campus 6.5 自动化配置指导》。
(1) 设备清单用于设备白名单的设置。设备序列号是每台设备的唯一标识符,设备清单中设置设备序列号和设备角色的对应关系,可以规划每台设备在组网中的角色信息。
SeerEngine-Campus控制组件添加设备纳管时使用:控制组件纳管设备时需要匹配设备白名单,若没有匹配到白名单,则设备纳管不成功。
图6-11 设备清单
(2) 增加设备序列号,可通过单击<增加>按钮,通过页面手动配置;也可以单击<导入>按钮下载导入模板,批量导入。
¡ 网络类型:默认VXLAN。
¡ 支持WebSocket:选择“是”。
¡ 设备序列号:填写设备的唯一标识符,可通过以下命令查看。
具体设备属于哪个系列请与相关技术人员核对:
- 框式设备:请填入机框序列号和各主控板序列号,多个序列号以“;”分隔。
- S10500X/S10500系列读取机框和主控板信息:display device manuinfo chassis * slot *。
- S7500E系列读取各主控板信息:display device manuinfo chassis * slot *。
- 盒式设备(S6550XE/ S6525XE/6520X/ S5560X系列):display license device-id slot 1
- S7500X系列读取各主控板信息:display device manuinfo chassis * slot *。
- 盒式设备(S51系列)display device manuinfo slot 1。
¡ 设备角色:可选设备角色为Spine/Leaf/Access,设备自动化上线时会根据设备清单中配置的角色信息修改设备角色。
¡ 设备标签:设备的sysname,设备自动化上线后根据配置的设备标签自动修改。
¡ 设备系统名称:用于控制器识别的系统名称。
¡ 管理IP地址:指定设备自动化上线后的VSI/VLAN 4094的IP地址,可不配置。
- 若配置了管理IP地址,则设备自动化上线后SeerEngine-Campus控制组件根据设置的IP地址分配给设备。
- 若不配置管理IP地址,则SeerEngine-Campus控制组件根据VLAN4094的地址池自动分配。
¡ Underlay IP地址:如果在自动化模板中“自动分配Underlay IP”勾选“否”,该字段必填。如果勾选“是”,该字段不必填。
¡ 站点名称:选择设备属于哪个站点,按需配置,需要使用大屏功能时必须配置。
图6-12 设备清单
策略配置模板不影响设备自动化,和用户业务相关,具体配置参考《AD-Campus 6.5 基础配置指导》。
Single-Leaf架构L3 Switch配置,请参考5.2.1 L3 Switch设备配置。下面仅介绍Single-Leaf的Leaf设备堆叠的配置内容。
(1) 每台Leaf与三层交换机互联一根线,Leaf之间互联。
(2) Single-Leaf模板中将上行口填写成聚合口。
(3) 手工在L3 Switch上配置端口聚合。
#
interface Ten-GigabitEthernet0/0/48
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 102
#
interface Ten-GigabitEthernet0/0/47
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 102
#
interface Bridge-Aggregation102
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic
#
(4) Leaf设备获取到VLAN1,成功堆叠。
仅介绍Single-Leaf和三层组网差别配置。
(1) 设备角色模板中组网模型选择“单Leaf组网”。
(2) 配置Leaf模板以及Access模板。
图6-13 设备角色模板
纯IPv6设备自动化上线流程与IPv4一致,本章节仅以标准三层组网为例介绍上线流程。其余组网方式,例如设备堆叠、链路聚合、access级联等场景可参考《AD-Campus 6.5 自动化配置指导》。
用户需要保证设备恢复出厂配置并重启才能进行自动化上线,配置命令:restore factory-default
Spine/Leaf/Acces/Aggregation设备空配置启动,自动获取VLAN1 IPv6地址后,主动通过Websocket连接控制组件。
图6-14 恢复出厂配置
图6-15 重启设备
图6-16 获取Vlan1地址
查看设备上Websocket连接已创建:
<H3C>display cloud-management state
Cloud connection state : Established
Device state : Request_success
Cloud server address : 100::100
Cloud server domain name : 100::100
Cloud server port : 443
Connected at : Fri Dec 30 17:52:25 2022
Duration : 00d 01h 08m 19s
Process state : Message received
Failure reason : N/A
按需配置,基础配置内容可参考《AD-Campus 6.5 自动化配置指导》。
设备自动化上线获取到VLAN1地址并与控制组件建立Websocket连接,设备执行版本升级成功后,控制组件会自动创建对应的待纳管设备。进入[自动化>园区网络>网络设备]页面,查看设备信息如图6-17所示。
进入[自动化>园区网络>Fabrics>自动化拓扑]页面,可查看到设备的拓扑节点信息。
图6-18 自动化拓扑
图6-19 三层组网自动化拓扑
若Spine/Single-Leaf为双上行聚合口,需要先通过聚合配置功能为Spine/Single-Leaf交换机配置上行口聚合组,且在对端L3交换机的互联口需要手工配置聚合。具体配置方法请参考《AD-Campus 6.5 自动化配置指导》
(1) 进入[自动化>园区网络>Fabrics>自动化拓扑]页面,点击右上角<Spine上行配置>按钮选择Spine上行口。
图6-20 Spine上行配置
(2) 选中配置好的聚合组或者单上行链路,点击<确定>保存配置。
图6-21 选择Spine上行口
(3) 所有待纳管的设备获取VLAN1地址与控制组件建立Websocket连接并完成升级后,控制组件上可以展示整网拓扑结构,在用户开始自动化部署前,可以对拓扑进行调整:如从设备清单中更改设备角色,更改实际组网的链路等,以达到用户期望的拓扑模型。
待纳管设备可通过修改设备清单中的设备角色实现设备角色的修改,修改角色后设备会被清空配置重新启动,并以新的角色在拓扑中展示。
自动化拓扑页展示设备的拓扑,用于查看设备节点及链路信息,对当前自动化拓扑节点进行“启动自动化部署”、“停止自动化部署”、“Access RRPP环网配置”、“堆叠配置”及“换口配置”等操作。
进入[自动化>园区网络>Fabrics>查看拓扑]页面,使能<自动化开关>按钮,点击<全选>按钮选择所有设备,或Ctrl键+鼠标左键选中部分设备,点击<启动自动化部署>按钮,则被选中设备开始进行自动化部署。
图6-22 启动自动化部署
拓扑中的所有设备开始自动化部署后,可以通过<查看部署详情>及<历史部署记录>查看整体部署情况。
图6-23 查看部署详情
图6-24 部署记录
图6-25 部署列表
通过部署列表的查看部署详情功能可以查看每台设备的部署详情
图6-26 部署详情
鼠标双击具体的设备节点,也可以查看Spine/Leaf/Aggr/Access设备的详细部署过程。
图6-27 设备自动化部署详情
进入[自动化>园区网络>设备组]页面,查看设备信息,所有已经自动化上线完成的设备更新完成,在线状态为Active,管理状态为已纳管。
图6-28 三层双Spine组网设备组
进入[自动化>园区网络>Fabrics>查看拓扑]页面,可查看到设备的拓扑节点及链路已更新为已配置状态。
(1) 上行L3 Switch互联配置
Spine自动化上线完成后,指定的Spine设备连接L3交换机的物理接口会下发AC配置。
Spine上行口聚合口配置如下(双链路上行):
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
Spine上行口物理口配置如下(若单链路上行):
interface Ten-GigabitEthernet2/0/1
#
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
(2) 下行端口配置
在设备自动化配置过程中可以在设备上查看相关配置命令,来关注设备的IPv6地址获取情况。如下,Spine设备已经分别获取了Loopback0,VLAN 1和VSI4094的IPv6地址。Spine设备和下行设备间创建了Underlay VLAN3001(该VLAN范围由自动化模板中Underlay VLAN范围决定)。
<105X-G-1>display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address/Prefix VPN instance Description
Loop0 up up(s) 134::100/128 -- --
MGE1/0/0/0 down down Unassigned -- --
MGE1/0/0/1 down down Unassigned -- --
Tun1 up up Unassigned -- --
Vlan1 up up 132::2/64 -- --
Vlan3001 up up FE80::32C6:D7FF:FED -- --
9:4C01/10
Vsi2 up up 1::1/64 vpn-default SDN_VSI_...
Vsi4 up up 2::2/64 vpn-default SDN_VSI_...
Vsi4092 up up FE80::32C6:D7FF:FED vpn-default SDN_VRF_...
9:4C01/10
Vsi4094 up up 133::100/64 vpn-default --
Spine设备和下行设备互联端口配置(若Spine和下行设备之间如有多链路,会自动设置ECMP,与时序无关)
#
interface Twenty-FiveGigE1/0/18
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3002
lldp source-mac vlan 3002
lldp management-address arp-learning vlan 3002
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
#
interface Twenty-FiveGigE1/0/21
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3004
lldp source-mac vlan 3004
lldp management-address arp-learning vlan 3004
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
(3) OSPF、BGP配置
Spine设备和Leaf设备互相建立了OSPFv3以及BGP邻居
<105X-G-1>display ospfv3 peer
OSPFv3 Process 1 with Router ID 13.4.0.1
Area: 0.0.0.0
-------------------------------------------------------------------------
Router ID Pri State Dead-Time InstID Interface
13.4.0.2 1 Full/ - 00:00:35 0 Vlan3001
<105X-G-1>display bgp peer l2vpn evpn
BGP local router ID: 13.4.0.1
Local AS number: 100
Total number of peers: 1 Peers in established state: 1
* - Dynamically created peer
^ - Peer created through link-local address
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
134::110 100 106 124 0 10 01:24:59 Established
(1) 三层/二层组网模型
Leaf设备已经分别获取了Loopback0,VLAN 1和VSI4094的IPv6地址。与上行设备间创建了Underlay VLAN 3001,若有多条链路,会自动配置为ECMP等价链路(该VLAN范围由自动化模板中Underlay VLAN范围决定)。
<78XP-UP>display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address/Prefix VPN instance Description
Loop0 up up(s) 134::110/128 -- --
MGE0/0/0 down down Unassigned -- --
Tun1 up up Unassigned -- --
Vlan1 up up 132::3/64 -- --
Vlan3001 up up FE80::DE2D:CBFF:FEB -- --
A:60DA/10
Vsi2 up up 1::1/64 vpn-default SDN_VSI_...
Vsi4 up up 2::2/64 vpn-default SDN_VSI_...
Vsi4092 up up FE80::DE2D:CBFF:FEB vpn-default SDN_VRF_...
A:60DA/10
Vsi4094 up up 133::110/64 vpn-default --
Leaf设备和上行设备互联端口配置(Leaf与上行设备之间如有多链路,会自动设置ECMP,与时序无关)
<78XP-UP>display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address/Prefix VPN instance Description
Loop0 up up(s) 134::110/128 -- --
MGE0/0/0 down down Unassigned -- --
Tun1 up up Unassigned -- --
Vlan1 up up 132::3/64 -- --
Vlan3001 up up FE80::DE2D:CBFF:FEB -- --
A:60DA/10
Vsi2 up up 1::1/64 vpn-default SDN_VSI_...
Vsi4 up up 2::2/64 vpn-default SDN_VSI_...
Vsi4092 up up FE80::DE2D:CBFF:FEB vpn-default SDN_VRF_...
A:60DA/10
Vsi4094 up up 133::110/64 vpn-default --
Leaf设备和Spine设备互相建立了OSPFv3以及BGP邻居
<78XP-UP>display ospfv3 peer
OSPFv3 Process 1 with Router ID 13.4.0.2
Area: 0.0.0.0
-------------------------------------------------------------------------
Router ID Pri State Dead-Time InstID Interface
13.4.0.1 1 Full/ - 00:00:32 0 Vlan3001
<78XP-UP>display bgp peer l2vpn evpn
BGP local router ID: 13.4.0.2
Local AS number: 100
Total number of peers: 1 Peers in established state: 1
* - Dynamically created peer
^ - Peer created through link-local address
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
134::100 100 126 107 0 13 01:26:17 Established
(2) 单Leaf组网模型
Leaf自动化上线完成后,指定的Leaf设备连接L3交换机的接口会下发AC配置。Leaf上行口配置如下:
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
dhcp snooping trust
#
Leaf设备已经分别获取了VLAN1和VSI4094的IPv6地址。
<78XP-UP>display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address/Prefix VPN instance Description
Loop0 up up(s) 134::110/128 -- --
MGE0/0/0 down down Unassigned -- --
Tun1 up up Unassigned -- --
Vlan1 up up 132::3/64 -- --
Vlan3001 up up FE80::DE2D:CBFF:FEB -- --
A:60DA/10
Vsi2 up up 1::1/64 vpn-default SDN_VSI_...
Vsi4 up up 2::2/64 vpn-default SDN_VSI_...
Vsi4092 up up FE80::DE2D:CBFF:FEB vpn-default SDN_VRF_...
A:60DA/10
Vsi4094 up up 133::110/64 vpn-default --
Access设备自动化部署完成后,成功获取VLAN 1和VLAN 4094 IP地址。
<5130S-PWR-HI-2>display ipv6 interface brief
*down: administratively down
(s): spoofing
Interface Physical Protocol IPv6 Address
M-GigabitEthernet0/0/0 down down Unassigned
Vlan-interface1 up up 132::4
Vlan-interface4094 up up 133::120
Access上行口配置:
#
interface Ten-GigabitEthernet1/0/51
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
stp instance 0 port priority 16
stp instance 0 cost 1
#
#
支持POE的设备所有端口会使能POE。如果检测到有AP设备,还会配置VLAN4093,同时将Access下行端口配置为PVID4093:
#
interface GigabitEthernet1/0/2
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 4093
port-isolate enable group 1
stp edged-port
poe enable
#
Leaf和Access之间如有多链路,会自动形成聚合。Leaf设备和Access设备之间聚合口及互联口配置检查。
(1) Leaf设备配置
[leaf3-Bridge-Aggregation1024]dis this
#
interface Bridge-Aggregation1024
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
link-aggregation mode dynamic
stp instance 0 port priority 16
stp instance 0 cost 1
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
[leaf3-GigabitEthernet1/0/23]dis this
#
interface GigabitEthernet1/0/23
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
port link-aggregation group 1024
#
[leaf3-GigabitEthernet1/0/24]dis this
#
interface GigabitEthernet1/0/24
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
port link-aggregation group 1024
#
非聚合情况时,单物理口配置如下:
#
interface Ten-GigabitEthernet1/0/17
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
stp instance 0 port priority 16
stp instance 0 cost 1
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
(2) Access设备配置
[access7-Bridge-Aggregation1024]dis this
#
interface Bridge-Aggregation1024
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
link-aggregation mode dynamic
stp instance 0 port priority 16
stp instance 0 cost 1
#
[access7-GigabitEthernet1/0/37]dis this
#
interface GigabitEthernet1/0/37
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
poe enable
port link-aggregation group 1024
#
[access7-GigabitEthernet1/0/38]dis this
#
interface GigabitEthernet1/0/38
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
poe enable
port link-aggregation group 1024
#
非聚合情况时,单物理口上的配置如下:
[access6-Ten-GigabitEthernet2/0/15]dis this
#
interface Ten-GigabitEthernet2/0/15
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
stp instance 0 port priority 16
stp instance 0 cost 1
poe enable
#
路径:[自动化>园区网络>隔离域>隔离域],单击<增加>按钮,进入增加隔离域页面,或单击列表操作列的修改图标
,进入修改隔离域页面。本文档以修改隔离域为例进行介绍。
单击列表中名称为“isolate_domain1”对应操作列的修改图标
,进入修改隔离域页面。单击“DHCPv6服务器”下拉选项,选择配置的DHCPv6服务器名称,选择完成后,单击<确定>按钮,保存配置。
图7-1 隔离域绑定微软松耦合DHCP
图7-2 微软DHCPv6
图7-3 隔离域绑定vDHCP
图7-4 vDHCP
路径:[自动化>园区网络>私有网络>二层网络域],单击<增加>按钮,进入增加二层网络域页面,或单击列表操作列的修改图标
,进入修改二层网络页面。本文档以修改二层网络域为例进行介绍。
(1) 修改普通类型二层网络域,在页面下方“子网”列表页签中配置IPv6类型的子网,IPv6获取方式为SLAAC和无状态DHCPv6时,仅支持前缀为64位全球单播地址。
图7-5 配置子网
关于IPv6地址模式有如下四个选项:
¡ 手动:手动在用户终端配置静态IPv6地址。
¡ SLAAC:又称网关无状态地址自动配置,接口会根据接收到的RA报文中携带的地址前缀信息和接口ID,自动生成IPv6全球单播地址。
¡ 有状态DHCPv6:用户通过DHCPv6服务器获取IPv6地址,并根据DHCPv6服务器报文内容配置其他网络参数。用户如果接收到的RA报文中M标志位(被管理地址配置标志位)取值为1、O标志位(其他配置标志位)取值为1,则DHCPv6客户端会自动启动DHCPv6有状态配置功能。
¡ 无状态DHCPv6:DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数,该过程称为DHCPv6无状态配置。用户根据路由器发现/前缀发现所获取的信息自动配置IPv6地址后,如果接收到的RA报文中M标志位(被管理地址配置标志位)取值为0、O标志位(其他配置标志位)取值为1,则DHCPv6客户端会自动启动DHCPv6无状态配置功能,以获取除地址/前缀外的其他网络配置参数。
图7-6 IPv6地址获取方式
(2) 切换至“高级”页签可以开启DHCPv6 Snooping或IPv6 ND Snooping选项,DHCPv6 Snooping用来保证客户端从合法的服务器获取IPv6地址或IPv6前缀,并可以记录DHCPv6客户端IPv6地址或IPv6前缀与MAC地址的对应关系;开启ND Snooping表项,是一种安全监测技术,防止nd报文欺骗攻击。
图7-7 高级
(3) 配置完成后,单击<确定>按钮,保存配置。
路径:[自动化>园区网络>安全组>用户安全组],单击<增加>按钮,进入增加安全组页面,或单击列表操作列的修改图标
,进入修改安全组页面。本文档以修改安全组为例进行介绍。
(1) 切换至“二层网络域信息”页签,单击<增加>按钮,进入增加二层网络域页面。勾选“可选二层网络域”区域中的二层网络域,单击
图标,将二层网络域增加至“已选二层网络域”区域,单击<确定>按钮,保存配置,结果如下图所示。
图7-8 增加二层网络域
图7-9 二层网络域信息
(2) 配置完成后,单击<确定>按钮,保存配置。
若要使用IPv6认证,有两种方式:
· 底盘部署双栈,EIA组件借用底盘双栈地址
图8-1 底盘部署双栈
· 添加H3C EIA V7(IMC EIA),支持IPv6部署。
具体配置步骤如下:
(1) 在[自动化>园区网络>网络参数>AAA]页面上添加EIA Server。具体操作可参考《AD-Campus 6.5 基础配置指导》。融合EIA V9不显示地址,添加AAA策略时会自动读取。
图8-2 添加EIA V7 Server
图8-3 添加EIA V9 Server
(2) 创建AAA策略模板。
a. 在[自动化>园区网络>网络设备>通用设备组>]页面单击右上角<策略模板>按钮,进入策略模板页面。单击<增加>按钮,在弹出的下拉选项中选择“设备策略模板”选项,进入增加设备策略模板页面。
b. 模板类型选择“AAA”,单击“Radius方案设置”区域的<增加>按钮,弹出增加Radius方案页面。在该页面中中填写主备认证服务器的IPv6地址。
图8-4 增加Radius方案(EIA V7)
图8-5 增加Radius方案(EIA V9)
c. 配置完成后,单击<确定>按钮,保存配置,配置结果如下图所示。
图8-6 配置结果
d. 单击“ISP域设置”区域中的<增加>按钮,进入增加ISP域页面。选择“所属Radius方案”,将“是否为默认域名”项设置为“是”,单击<确定>按钮,返回增加设备模板页面。单击<确定>按钮,保存设备策略模板。
图8-7 增加ISP域
(3) 创建设备MAC/MAC Portal策略模板。
a. 在[自动化>园区网络>网络设备>通用设备组]页面,单击右上角<策略模板>按钮,进入策略模板页面。单击<增加>按钮,在弹出的下拉选项中选择“设备策略模板”选项,进入增加设备策略模板页面。
b. 模板类型选择“MAC/MAC Portal认证”,单击“免认证信息”区域的<增加>按钮,弹出增加名认证IP页面。在该页面中填写主备认证服务器的IPv6地址。
图8-8 免认证信息
c. 配置完成后,单击<确定>按钮,保存设备策略模板。
(4) 创建设备802.1X策略模板。
a. 在[自动化>园区网络>网络设备>通用设备组]页面,单击右上角<策略模板>按钮,进入策略模板页面。单击<增加>按钮,在弹出的下拉选项中选择“设备策略模板”选项,进入增加设备策略模板页面。
b. 模板类型选择“802.1X认证”,认证方式选择EAP。
图8-9 增加802.1X设备策略模板
c. 配置完成后,单击<确定>按钮,保存设备策略模板。
(5) 将新创建的IPv6 AAA策略模板和802.1X策略模板、MAC/MAC Portal策略模板添加到对应的设备组以及接口组。
a. 在[自动化>园区网络>网络设备>通用设备组]页面单击列表名称为“Leaf设备组”对应操作列的修改图标
,进入修改Leaf设备组页面。
b. 切换至“策略”页签,单击<增加>按钮,进入增加设备组策略页面。在“可选策略模板”区域选择模板类型为“AAA”,在“可选AAA策略”区域选择创建的IPv6 AAA策略模板,单击<增加>按钮,将策略模板增加至“已选策略”区域,重复上述操作增加802.1X、MAC/MAC Portal策略模板。选择完成后,单击<确定>按钮,在列表中可查看增加的策略。
图8-10 增加策略模板
图8-11 设备组添加策略
c. 配置完成后,单击<确定>按钮,保存配置。
(6) 有IPv6 MAC Portal认证需求的用户,需创建IPv6单栈的BYOD二层网络域及安全组。
BYOD二层网络域子网只能配IPv4或IPv6其中之一,不可同时配置。用户通过MAC-Portal方式认证上线时,若是IPv4管理网的EIA认证,则BYOD二层网络域配置IPv4子网;若是IPv6管理网的EIA认证,则BYOD二层网络域配置IPv6子网。
路径:[自动化>园区网络>私有网络>二层网络域],单击<增加>按钮,进入增加二层网络域页面。其中,“DHCPv6服务器”下拉选项选择配置的DHCPv6服务器。切换至“子网”页签,单击<增加>按钮,进入增加子网页面,配置子网,结果如下图所示。
图8-12 增加二层网络域
(7) (可选,EIA V7涉及)在EIA V7页面上,修改系统参数,启用IPv6,路径:[用户>接入策略管理>业务参数配置>系统配置>系统参数配置],其他配置与IPv4相同。
图8-13 EIA V7页面中启用IPv6
EIA V7需要在安装时就配置IPv6地址;若EIA配置完成后需要启用EIA的IPv6功能,则可修改EIA的配置文件(路径 C:\Program File\iMC\common\conf下的server-addr文件),将文件中的IPv6地址段改为190::204并重启IMC服务(不建议修改配置文件)。
图8-14 登录IPv6地址
(8) (可选,EIA V7涉及)当AAA策略模板绑定Leaf设备组后,控制组件会往EIA V7上推送接入设备。在EIA[用户>接入策略管理>接入设备管理>接入设备配置]页面可查看接入设备信息。
用户终端是Windows系统时,在无状态地址自动配置(包括无状态DHCPv6和SLAAC)获取IPv6地址时,Windows终端用户会自动生成两个IPv6地址:公共地址和临时地址。
· 公共地址:地址前缀采用RA报文携带的前缀,接口ID由MAC地址产生,接口ID始终不变。
· 临时地址:地址前缀采用RA报文携带的前缀,接口ID由系统根据MD5算法计算产生,接口ID不断变化。
如果在地址无状态自动配置时,自动生成接口ID不断变化的IPv6地址,就可以加大攻击的难度,从而保护网络。有临时IPv6地址时,用户对外交互报文使用临时IPv6地址。
图9-1 网络连接详细信息
开启或关闭Windows终端生成临时地址的方式是在Windows终端命令行输入:
netsh interface IPv6 set privacy state=enable
netsh interface IPv6 set privacy state=disable
有状态或无状态场景,终端的IPv6网关均是从RA报文学习的,不是DHCP分配的。
用户通过IPv6 MAC Portal方式认证上线时,需在没有配置DNS的环境中,用户PC上,打开网页需要输入任何一个合法的IPv6地址如:[2001:1::1] ,用户网页才能自动跳转到BYOD缺省页。
用户上线与IPv4业务一致,只是使用IPv6类型的子网,用户会获取到IPv6地址,具体操作请参见《AD-Campus 6.5 基础配置指导》中“用户认证上线”章节内容。
图10-1 网络连接详细信息
相关信息请参见《AD-Campus 6.5 运维监控部署指导书》。
##
## Please note:The following variable names are used by the internal system,please do not use
## _underlayIntfUp _underlayIntfDown _all_leaf _master_spine
## _master_spine_mac _underlayIPRange
##
##NEW_VERSION
#USERDEF
##Template version
template_version = 5.0
##BACKUP_SERVER
##Local user: Username
_username = h3c
##Local user: Password
_password = campus1234
## User roles
_rbacUserRole = network-admin
##MAC address of the master spine device
_master_spine_mac = 542b-dead-45f8
##MAC address of the master spine device and address range of loopback interfaces
##Format: 1122-3344-5566:10.100.0.0/16, AABB-CCDD-EEFF:10.101.0.0/16
##MAC address and VLAN ID range of the spine device
##Format: 1122-3344-5566:2-100 ,AABB-CCDD-EEFF:101-200
_underlayVLANRange = 542b-dead-45f8:3001-3500
##IP address of the log host
_loghost_ip = 130::195
##is_ipv6_begin_var
##Device is automatically online by ipv6
_is_ipv6 = true
##is_ipv6_end_var
##Out of band
_OOB = False
##SSH enabled
_SSH = True
##Disable automatic IRF setup
_irf_disable = false
##Enabling whitelist filtering (False by default)
_white_list_check = true
##Disabling automatic allocation of an underlay IP (False by default)
_ip_disable = false
##Enabling automatic IRF mode switching
_irf_mode_auto_convert = True
##MAD BFD
_mad_vlan = 100
_mad_ip = 192.168.100.1, 192.168.100.2
##BGP AS number
bgp_as_campus = 100
[H3CS5560X]
driver = 5560X
_switch_mode = 1
[H3CS6520X]
driver = 6520X
_switch_mode = 1
[H3CS125??G-AF]
driver = 125GAF
_tcam_resource = arp
_vxlan_resource = l3gw
_routing_mode_resource = ipv6-128
##
#STATICCFG
#
clock timezone beijing add 08:00:00
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 both
##address_family_evpn_begin
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
##address_family_evpn_end
##address_family_ipv6_begin
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
##address_family_ipv6_end
#
lldp global enable
#
interface Vlan-interface1
ip address dhcp-alloc
#
ospfv3 1
non-stop-routing
area 0.0.0.0
#
##loopback0_begin_all
interface LoopBack0
##loopback0_end_all
#
interface $$_underlayIntfDown
ipv6 address auto link-local
ospfv3 1 area 0.0.0.0
ospfv3 network-type p2p
mtu 4094
#
netconf soap https enable
netconf ssh server enable
restful https enable
#
ssh server enable
#
info-center loghost $$_loghost_ip
#
stp mode pvst
stp vlan 1 enable
undo stp vlan 2 to 4094 enable
stp global enable
stp vlan 1 priority 0
#
local-user $$_username
password simple $$_password
service-type http https ssh
authorization-attribute user-role $$_rbacUserRole
#
line vty 0 63
authentication-mode scheme
user-role $$_rbacUserRole
#
bgp $$bgp_as_campus
non-stop-routing
address-family l2vpn evpn
ip vpn-instance vpn-default
##address_family_ipv4_unicast_begin
address-family ipv4 unicast
import-route static
##address_family_ipv4_unicast_end
##address_family_ipv6_unicast_begin
address-family ipv6 unicast
import-route static
##address_family_ipv6_unicast_end
#
l2vpn enable
#
vlan 4094
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
local-proxy-arp enable
##local-proxy-nd_enable_begin
local-proxy-nd enable
##local-proxy-nd_enable_end
mtu 4094
#
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
##ipv6_address_auto_link_local_begin
ipv6 address auto link-local
##ipv6_address_auto_link_local_end
l3-vni 4092
description SDN_VRF_VSI_Interface_4092
#
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
nd mac-learning disable
arp mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
##ipv6_dhcp_snooping_trust_tunnel_begin
ipv6 dhcp snooping trust tunnel
##ipv6_dhcp_snooping_trust_tunnel_end
loopback-detection action block
loopback-detection enable vlan 4094
#
vxlan tunnel mac-learning disable
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable
#
vcf-fabric topology enable
#
vxlan default-decapsulation source interface LoopBack 0
#
##ipv6_static_route_begin_all
ipv6 route-static vpn vpn-default 130:0:0:0:0:0:0:0 64 133:0:0:0:0:0:0:1
ipv6 route-static vpn vpn-default 190:0:0:0:0:0:0:0 64 133:0:0:0:0:0:0:1
ipv6 route-static 130:0:0:0:0:0:0:0 64 132:0:0:0:0:0:0:1
ipv6 route-static 190:0:0:0:0:0:0:0 64 132:0:0:0:0:0:0:1
#
##ipv6_static_route_end_all
#
snmp-agent
snmp-agent community read public
snmp-agent community write private
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
telnet server enable
#
netconf soap https enable
netconf soap http enable
local-user h3c
password simple campus1234
service-type telnet ssh http https
authorization-attribute user-role network-admin
#
##
## Please note:The following variable names are used by the internal system,please do not use
## _underlayIntfUp _underlayIntfDown _all_leaf _master_spine _backup_spine
## _master_spine_mac
##
##NEW_VERSION
#USERDEF
##Template version
template_version = 5.0
##Local user: Username
_username = h3c
##Local user: Password
_password = campus1234
## User roles
_rbacUserRole = network-admin
##master_leaf_mac_begin_var
##MAC address of the master leaf device
_master_leaf_mac =${master_leaf_mac}
##master_leaf_mac_end_var
##IP address of the log host
_loghost_ip = 130::195
##is_ipv6_begin_var
##Device is automatically online by ipv6
_is_ipv6 = true
##is_ipv6_end_var
##Out of band
_OOB = False
##Supporting aggregation (True by default)
_lagg_enable = True
##Enforcing aggregation
_lagg_force = True
##Do not delete aggregation group
_lagg_fake_delete = True
##SSH enabled
_SSH = True
##Disable automatic IRF setup
_irf_disable = false
##Enabling whitelist filtering (False by default)
_white_list_check = true
##Enabling automatic IRF mode switching
## Enable OLT interface
_olt = true
## auto IRF mode convert
_irf_mode_auto_convert = True
##MAD BFD
_mad_vlan = 100
_mad_ip = 192.168.100.1, 192.168.100.2
##BGP AS number
bgp_as_campus = 100
##Disable lldp function when MAD BFD
_mad_undo_lldp=True
[H3CS5560X]
driver = 5560X
_switch_mode = 1
[H3CS6520X]
driver = 6520X
_switch_mode = 1
[H3CS125??G-AF]
driver = 125GAF
_tcam_resource = mix
_vxlan_resource = l3gw
_routing_mode_resource = ipv6-128
[UNISS5600X]
driver = 5560X
_switch_mode = 1
[UNISS6600X]
driver = 6520X
_switch_mode = 1
##
#STATICCFG
#
clock timezone beijing add 08:00:00
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 both
##address_family_evpn_begin
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
##address_family_evpn_end
##address_family_ipv6_begin
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
##address_family_ipv6_end
#
lldp global enable
#
dhcp snooping enable vlan 2 to 4094
#
interface Vlan-interface1
ip address dhcp-alloc
#
ospfv3 1
non-stop-routing
area 0.0.0.0
#
##loopback0_begin_all
interface LoopBack0
##loopback0_end_all
#
stp mode pvst
stp vlan 1 enable
undo stp vlan 2 to 4094 enable
stp global enable
stp vlan 1 priority 8192
#
netconf soap https enable
netconf ssh server enable
restful https enable
#
ssh server enable
#
info-center loghost $$_loghost_ip
#
local-user $$_username
password simple $$_password
service-type http https ssh
authorization-attribute user-role $$_rbacUserRole
#
line vty 0 63
authentication-mode scheme
user-role $$_rbacUserRole
#
bgp $$bgp_as_campus
non-stop-routing
address-family l2vpn evpn
ip vpn-instance vpn-default
##address_family_ipv4_unicast_begin
address-family ipv4 unicast
##address_family_ipv4_unicast_end
##address_family_ipv6_unicast_begin
address-family ipv6 unicast
##address_family_ipv6_unicast_end
#
interface $$_underlayIntfUp
ipv6 address auto link-local
ospfv3 1 area 0.0.0.0
ospfv3 network-type p2p
mtu 4094
#
interface $$_underlayIntfDown
port link-type trunk
port trunk permit vlan all
undo port trunk permit vlan $$_mad_vlan
stp tc-restriction
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
interface $$_underlayIntfGe
poe enable
#
interface $$_underlayIntfONU
port link-type trunk
port trunk permit vlan all
undo port trunk permit vlan $$_mad_vlan
#
interface $$_underlayIntfRONU
port link-type trunk
port trunk permit vlan all
undo port trunk permit vlan $$_mad_vlan
#
l2vpn enable
#
vlan 4094
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
local-proxy-arp enable
##local-proxy-nd_enable_begin
local-proxy-nd enable
##local-proxy-nd_enable_end
arp proxy-send enable
mtu 4094
#
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
##ipv6_address_auto_link_local_begin
ipv6 address auto link-local
##ipv6_address_auto_link_local_end
l3-vni 4092
description SDN_VRF_VSI_Interface_4092
#
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
nd mac-learning disable
arp mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
##ipv6_dhcp_snooping_trust_tunnel_begin
ipv6 dhcp snooping trust tunnel
##ipv6_dhcp_snooping_trust_tunnel_end
dhcp snooping trust tunnel
loopback-detection action block
loopback-detection enable vlan 4094
#
ip verify source exclude vlan 1
ip verify source exclude vlan 4094
#
vxlan tunnel mac-learning disable
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable
#
vcf-fabric topology enable
#
vxlan default-decapsulation source interface LoopBack 0
#
##ipv6_static_route_begin_all
ipv6 route-static vpn vpn-default 130:0:0:0:0:0:0:0 64 133:0:0:0:0:0:0:1
ipv6 route-static vpn vpn-default 190:0:0:0:0:0:0:0 64 133:0:0:0:0:0:0:1
ipv6 route-static 130:0:0:0:0:0:0:0 64 132:0:0:0:0:0:0:1
ipv6 route-static 190:0:0:0:0:0:0:0 64 132:0:0:0:0:0:0:1
#
##ipv6_static_route_end_all
#
##ipv6_dhcp_snooping_enable_begin
ipv6 dhcp snooping enable vlan 2 to 4094
#
##ipv6_dhcp_snooping_enable_end
snmp-agent
snmp-agent community read public
snmp-agent community write private
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
telnet server enable
#
netconf soap https enable
netconf soap http enable
local-user h3c
password simple campus1234
service-type telnet ssh http https
authorization-attribute user-role network-admin
#
##
## Please note:The following variable names are used by the internal system,please do not use
## _underlayIntfUp _underlayIntfDown _all_leaf _master_spine _backup_spine
## _master_spine_mac
##
#USERDEF
##Template version
template_version = 5.0
## User roles
_rbacUserRole = network-admin
##IP address of the log host
_loghost_ip = 130::195
##is_ipv6_begin_var
##Device is automatically online by ipv6
_is_ipv6 = true
##is_ipv6_end_var
##Out of band
_OOB = False
##Supporting aggregation (True by default)
_lagg_enable = True
##Enforcing aggregation
_lagg_force = True
##Do not delete aggregation group
_lagg_fake_delete = True
##SSH enabled
_SSH = True
##Disable automatic IRF setup
_irf_disable = false
##Enabling whitelist matching (False by default)
_white_list_check = true
##Disable lldp function when MAD BFD
_mad_undo_lldp=True
#STATICCFG
#
clock timezone beijing add 08:00:00
#
lldp global enable
#
stp global enable
#
netconf soap https enable
netconf ssh server enable
restful https enable
#
interface Vlan-interface1
ip address dhcp-alloc
#
ssh server enable
#
info-center loghost $$_loghost_ip
#
line vty 0 63
authentication-mode scheme
user-role $$_rbacUserRole
#
interface $$_underlayIntfUp
port link-type trunk
port trunk permit vlan all
port link-aggregation group auto 1
#
interface $$_underlayIntfDown
port link-type trunk
port trunk pvid vlan 4093
port trunk permit vlan all
#
interface $$_underlayIntfGe
poe enable
#
vlan 4093
#
vlan 4094
#
interface Vlan-interface4094
#
#
vcf-fabric topology enable
#
#
##ipv6_static_route_begin_all
ipv6 route-static 130:0:0:0:0:0:0:0 64 133:0:0:0:0:0:0:1
ipv6 route-static 190:0:0:0:0:0:0:0 64 133:0:0:0:0:0:0:1
ipv6 route-static 130:0:0:0:0:0:0:0 64 132:0:0:0:0:0:0:1
ipv6 route-static 190:0:0:0:0:0:0:0 64 132:0:0:0:0:0:0:1
#
##ipv6_static_route_end_all
#
snmp-agent
snmp-agent community read public
snmp-agent community write private
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
telnet server enable
#
netconf soap https enable
netconf soap http enable
local-user h3c
password simple campus1234
service-type telnet ssh http https
authorization-attribute user-role network-admin
#
支持
售前咨询
售后咨询
人工在线咨询
