- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
02-AD-Campus 6.5 基础配置指导(IP策略)-整本手册.pdf 
(29.00 MB)
AD-Campus 6.5
IP策略基础配置指导
资料版本:5W104-20240911
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
11.2.5 AAA故障时,静态IP终端进入逃生,仍然获得正常业务授权
13.4 Leaf设备/Single-Leaf 配置M-LAG
14.2.8 与Border设备相连的Router设备上手动配置
16.3 单Fabric组网,组播源或接收者从外网接入Spine时组播业务配置
16.3.3 组播源或接收者以VLAN方式接入Spine设备
(1) S5560X-EI/S5560X-HI/S6520X-EI/S6520X-HI设备不支持做ED。
(2) S5560X-HI/S6520X-HI设备作为Border,共享网关方式时,需要在回程流量的接口手动配置放通流量的PBR。
(3) S5560X/S6520X系列的硬件转发资源有限,建议开启报文转发时下发主机路由FIB表项功能(IPv4、IPv6),命令如下:
¡ ip forwarding-conversational-learning
¡ ipv6 forwarding-conversational-learning(存在IPv6业务场景)
(4) BYOD安全组必须使用vDHCP服务器。
(5) IP策略模式下,不支持配置IPv6的IT资源组,且不支持安全组之间配置IPv6的组间策略。
(6) Single Leaf场景下,控制组件不会自动下发LoopBack口的地址;若涉及到Fabric互联业务可通过在页面中修改Fabric的Underlay IP进行配置。
(7) Access下接路由器时,禁止使用WAN口,需要使用LAN口,并且在路由器上关闭DHCP和NAT功能。
(8) 公共机场景下,IP地址名址绑定功能仅支持802.1x+iNode认证方式;不支持在多用户账户共用的公共机上使用MAC Portal认证。
(9) 微软DHCP Server仅支持单机模式下的松耦合方式分配IPv6地址。
(10) 微软DHCP Server单地址池的绑定数量需要小于2000。
(11) 微软DHCP主机故障之后,备机只能分配地址,不能生成绑定表项。故障恢复后,需要终端下线,重新认证上线后才能完成绑定。
(12) 当“组间策略”配置“默认策略”为拒绝的情况下,建议把“IT资源组”的物理服务器通过Spine连接,并且部署在vpn-default私网内。“IT资源组”部署在vpn-default私网内时,所有的私网默认允许访问所有“IT资源组”,通过在每个私网内配置不允许访问的IT资源组,然后通过下发Deny组间策略的方式,禁止资源的访问;
(13) 与服务器相连的三层交换机上,STP模式不能使用PVST,需要使用MSTP。
(14) SeerBlade板卡的网口与Spine之间必须连接交换机。
(15) 如果使用非标准组网,特别是涉及防火墙的组网场景,请参考方案的端口矩阵文档,放通对应端口。
(16) 二层网络域使用从网段时,接入策略中不可以使用“绑定用户IP地址”功能。
(17) 用户认证支持802.1X认证和MAC/MAC Portal认证,实际组网中配置其中一种认证方式即可,请根据实际需求选择认证方式。非必须场景下不建议两种认证方式同时配置,但园区网也支持两种方式同时配置。
(18) 手动配置的Spine/Leaf/Access/AC堆叠环境,需下发irf mac-address persistent always命令,确保主备倒换时堆叠设备的桥MAC保持不变。
(19) 组播源以VLAN方式从设备接入时,目前仅支持S12500G-AF、S10500/S10500X系列的*SH板卡、 S6550XE、S6525XE设备。
(20) 有用户在线情况下,不允许DHCP Server的换绑。
(21) 同一组设备不允许被多套控制组件同时纳管。
(22) 同一套DHCP Server不允许被多套控制组件同时纳管。
(23) 存在ARP泛洪场景下,可参考《AD-Campus 6.5 维护手册》。
(24) 当环境中安全组较多时建议设备开启AC按需下发功能,具体请参考5.3.4 静态服务实例按需生效。
(25) Leaf作为M-LAG组网时,Spine的VSI 4094接口下需配置arp send-gratuitous-arp interval ,时间建议30s以上。
(26) 针对[自动化>园区网络>网络参数>vDHCP]的DDI界面的终端IP冲突检测功能需要依赖syslog功能,对于手动上线的Leaf设备,增加info-center loghost vpn-instance vpn-default 100.1.0.100。
(27) 若同一Fabric内既有手工上线的设备又有原自动化上线的设备(不推荐此种混合上线设备场景),请确保两种方式上线的VLAN1的IPVSI/VLAN 4094的IP不重复且手工上线设备的Underlay IP和Undelay VLAN不在自动化模板的Underlay IP和Undelay VLAN范围内。
(28) 控制组件增加、删除跨设备聚合组时,Leaf设备会短暂失连,可以通过配置管理网段非对称IRB转发功能(evpn irb asymmetric)来避免该问题,同时在稳定情况下,需要去使能非对称IRB转发功能(undo evpn irb asymmetric)。
(29) 名址绑定不能和IP Source Guard(即IPv4接口绑定)或arp detection(即ARP检测)共存。
(30) M-LAG组网下,M-LAG设备需要手工指定router id,保证全网唯一,避免冲突。
(31) M-LAG组网需要全局下发VLAN1-VLAN4094。
(32) 微软DHCP Server硬件配置要求:方案推荐微软DHCP使用HA双机部署,如不考虑可靠性,也可单机部署。硬件配置要求如下所示:
|
在线终端数量 |
Windows DHCP Server硬件资源 |
|
≤1 万 |
· CPU:8核,2.0GHz · 内存:16GB · 硬盘:2* 300GB RAID1 · RAID卡:256MB Cache |
|
1万~4万 |
· CPU:16核,2.0GHz · 内存:16GB · 硬盘:2* 300GB RAID1 · RAID卡:256MB Cach |
|
4万~6万 |
· CPU:24核,2.0GHz · 内存:32GB · 硬盘:2* 500GB RAID1 · RAID卡:1GB Cache |
|
6万~10万 |
· CPU:24核,2.0GHz · 内存:64GB · 硬盘:2* 500GB RAID1 · RAID卡:1GB Cache |
(33) 双Spine组网/双Leaf组网,服务器和设备之间连接的L3交换机,需支持ECMP功能和STP Ignored vlan命令,推荐使用S5560X-EI及以上款型以及方案配套版本
(34) 双Spine/双Leaf场景下,若要删除M-LAG组,需要先删除QoS模块、AP非直连Leaf接口组或其他相关应用场景下手工添加的聚合口,否则接口信息会残留,并导致设备审计亮红灯。
(35) 使用EVPN三层组播,请一定要使能二层组播,即在对应的VSI实例下使能igmp-snooping。
(36) CAMPUS:E6701及之后&网管:E0711H04/E0713及之后版本,除spine\leaf外其他Campus纳管的设备(Access、Aggr、Bras)不会下发snmpv2 trap命令,请手动增加。若用户需配置snmpv3 trap,请根据实际情况进行配置。
Access/Aggr/Bras设备snmpv2 trap配置如下(xx.xx.xx.xx是北向IP):
snmp-agent target-host trap address udp-domain xx.xx.xx.xx params securityname public v2c
snmpv3 trap配置如下(xx.xx.xx.xx指北向IP,wk3为snmpv3中配置的用户名):
¡ 认证模式可选择:(1)不认证(2)MD5(3)SHA
¡ 加密模式可选择:(1)不加密(2)DES56(3)AES128(4)AES192(5)AES256
- Spine/Leaf设备:
认证模式:不认证,加密模式:不加密
snmp-agent target-host trap address udp-domain xx.xx.xx.xx vpn-instance vpn-default params securityname wk3 v3
认证模式:MD5或SHA,加密模式:不加密
snmp-agent target-host trap address udp-domain xx.xx.xx.xx vpn-instance vpn-default params securityname wk3 v3 authentication
认证模式:MD5或SHA,加密模式:DES56、AES128、AES192、AES256任意一种
snmp-agent target-host trap address udp-domain 192.169.231.45 vpn-instance vpn-default params securityname wk3 v3 privacy
- Access/Aggr/Bras设备:
认证模式:不认证,加密模式:不加密:
snmp-agent target-host trap address udp-domain 192.169.231.45 params securityname wk3 v3
认证模式:MD5或SHA,加密模式:不加密
snmp-agent target-host trap address udp-domain 192.169.231.45 params securityname wk3 v3 authentication
认证模式:MD5或SHA,加密模式:DES56、AES128、AES192、AES256任意一种
snmp-agent target-host trap address udp-domain 192.169.231.45 params securityname wk3 v3 privacy
(37) 方案不推荐使用vpn-default部署用户业务,请新增私网配置相关业务。当用户业务部署在vpn-default下,设置vpn-default策略为默认拒绝时,会存在北向流程不通等问题。如若需vpn-default部署用户业务,请联系研发沟通。
(38) AD-Campus方案推荐Spine、Leaf通过控制组件页面配置M-LAG,不推荐Leaf设备手动配置M-LAG。若Spine设备手动配置M-LAG,会出现审计差异,并且手动配置的M-LAG拓扑展示为非M-LAG形式,此为正常现象。
(39) 对于M-LAG组网结构,其中Leaf和Spine节点之间通过口字型(矩形)拓扑连接的网络环境,应特别注意逃生VLAN接口的cost值配置。避免在Spine节点和Leaf节点上设置相同的cost值,以防止形成等价路由、设备报错。需要注意的是,控制组件默认下发的cost值为20。
本文主要用于指导AD-Campus 6.5园区网方案的基础部署配置。包括:配套软件的安装部署、Underlay的手动配置、物理设备的手动纳管、SeerEngine-Campus园区控制组件的基础业务配置和用户配置,以及有线用户的认证上线等。
不同业务特性都有相应的文档,相关特性的配置请参考具体的配置文档,具体如下表。
表2-1 特性配置参考文档
|
业务特性 |
业务说明 |
参考文档 |
|
自动化 |
设备自动化上线 |
《AD-Campus 6.5 自动化配置指导》 《AD-Campus 6.5 新自动化配置指导》 |
|
半自动化 |
Spine/Leaf手工纳管,Access自动化纳管 |
《AD-Campus 6.5 基础配置指导》 《AD-Campus 6.5 自动化配置指导》 《AD-Campus 6.5 新自动化配置指导》 |
|
无线 |
AC纳管、无线用户认证上线 |
《AD-Campus 6.5 无线配置指导》 |
|
IPv6 |
设备IPv6纳管、用户获取IPv6地址 |
《AD-Campus 6.5 IPv6业务配置指导》 |
|
多园区互联 |
隔离域互联、单隔离域多Fabric互联 |
《AD-Campus 6.5 多园区多Fabric配置指导》 |
|
微软DHCP |
微软DHCP紧耦合环境搭建及配置 |
《AD-Campus 6.5 微软DHCP紧耦合方案配置指导》 |
|
EPON |
EPON组网搭建及业务配置 |
《AD-Campus 6.5 EPON组网配置指导》 |
|
故障替换 |
设备故障后的精准替换、异构替换 |
《AD-Campus 6.5 设备故障替换配置指导》 |
|
安全纳管 |
用户安全纳管、南北向和跨私网流量过防火墙 |
《AD-Campus 6.5 安全融合配置指导》 |
|
传统网IP-SGT |
传统网设备上线、用户认证、IP-SGT业务配置 |
《AD-Campus 6.5 传统网IP-SGT配置指导》 |
|
传统网BRAS |
传统网大二层BRAS业务配置 |
《AD-Campus 6.5 传统网Bras大二层配置指导》 |
AD-Campus园区网方案支持的组网模型:双Spine组网以及IRF组网。双Spine组网是指两台Spine设备之间组成M-LAG系统或两台Spine双上行,实现设备的冗余保护和流量负载分担。IRF组网则是指将两台设备虚拟化成一台设备,实现多台设备的协同工作、统一管理和不间断维护。这两种模型下根据设备架构又可以分为三层架构组网模型、二层架构组网模型以及单Leaf组网模型。
· 三层架构组网模型:指Spine->Leaf->Access三级设备的组网,是园区网中的典型组网。其中,Spine支持单台、两台双上行、两台组成M-LAG或两台堆叠,Leaf支持组成M-LAG或堆叠,Access支持堆叠并且支持多级级联。
· 二层架构组网模型:指Spine->Leaf二级设备的组网,没有Access接入设备。无线AP、有线用户直接从Leaf接入。
· 单Leaf组网模型:指Leaf->Access连接的组网,没有Spine设备,主要应用于一些小型网络。其中,Leaf可为两台组成M-LAG或两台堆叠,Access支持堆叠以及多级级联。
本文中介绍的三层架构组网模型、二层架构组网模型以及单Leaf组网模型都指单Fabric的网络组网连接,多个Fabric网络连接的多Fabric组网配置请参考《AD-Campus 6.5 多园区多Fabric配置指导》。
图2-1 三层架构组网模型
三层架构组网模型包括Spine、Leaf、Access三层设备,是AD-Campus园区网方案的典型组网。
Spine设备需要支持VXLAN,主要作为路由反射器RR和路由转发设备,用于转发不同Leaf设备之间的路由,以及作为Border设备与各类服务器之间的互通;双Spine又可以分为M-LAG组网和非M-LAG组网,有线场景下,双Spine可根据用户需求选择是否配置M-LAG。若环境中有AC旁挂Spine设备,则两台Spine必须组成M-LAG,并且使用M-LAG接口与AC设备通信。Leaf设备需要支持VXLAN,用于用户认证和路由转发;Access设备作为接入设备,连接AP、终端设备,Access设备可支持多级Access的级联。
图2-2 二层架构组网模型
二层架构组网模型是AD-Campus园区网方案的一种特殊组网,只有Spine、Leaf二层设备,没有Access接入设备。无线AP和有线用户直连Leaf设备,Leaf设备与AP、用户的连接接口需要手动加入对应接口组。
Spine设备需要支持VXLAN,主要作为路由反射器RR和路由转发设备,用于转发不同Leaf设备之间的路由,以及作为Border设备与各类服务器之间的互通。双Spine又可以分为M-LAG组网和非M-LAG组网,有线场景下,双Spine可根据用户需求选择是否配置M-LAG。若环境中有AC旁挂Spine设备,则两台Spine必须组成M-LAG,并且使用M-LAG接口与AC设备通信。
图2-3 单Leaf组网(双Leaf)模型
单Leaf组网模型,没有Spine设备,Leaf设备下连接多台Access设备。网络部署非常简单,主要应用于小型网络。Leaf设备作为Border设备与各类服务器之间的互通。双Leaf必须配置M-LAG,否则可能出现Access无法激活的情况。若环境中有AC旁挂Leaf设备,则两台Leaf必须组成M-LAG,并且使用M-LAG接口与AC设备通信。
图2-4 三层架构组网模型
三层架构组网模型包括Spine、Leaf、Access三层设备,是AD-Campus园区网方案的典型组网。
Spine设备需要支持VXLAN,主要作为路由反射器RR和路由转发设备,用于转发不同Leaf设备之间的路由,以及作为Border设备与各类服务器之间的互通;Spine支持单机或堆叠。
Leaf设备需要支持VXLAN,用于用户认证和路由转发。
Access设备作为接入设备,连接AP、终端设备,Access设备需支持多级Access的级联。
图2-5 二层架构组网模型
二层架构组网模型是AD-Campus园区网方案的一种特殊组网,只有Spine、Leaf二层设备,没有Access接入设备。无线AP和有线用户直连Leaf设备,Leaf设备与AP、用户的连接接口需要手动加入对应接口组。
Spine设备需要支持VXLAN,主要作为路由反射器RR和路由转发设备,用于转发不同Leaf设备之间的路由,以及作为Border设备与各类服务器之间的互通,Spine支持单机或堆叠。
图2-6 单Leaf组网模型
单Leaf组网模型,只有一台Leaf(或Leaf堆叠)设备,Leaf设备下连接多台Access设备,没有Spine设备。网络部署非常简单,主要应用于小型网络。Leaf设备作为Border设备与各类服务器之间的互通,Leaf支持单机或堆叠。
图2-7 Aggr组网图
Aggr组网说明:
· Aggr组网模型相较于原有标准三层/二层组网在Spine和Leaf之间增加了Aggr三层交换机,其无需支持VXLAN/EVPN。
· Spine/Leaf/Access均支持单机或堆叠。
· Spine/Leaf和Aggr之间连接多根连线构成ECMP(等价路由)。
· Leaf和Access连接多根连线形成聚合。
前面介绍的三种组网模型是基于交换机设备角色Spine、Leaf、Access的组网连接方式,是目前AD-Campus园区网络的单个Fabric内基本的组网方式。
下面介绍统一数字底盘及组件(包含SeerEngine-Campus、vDHCP Server、EIA等)与交换机设备的连接方式:三层网络连接。
· 三层网络连接:指控制组件的管理IP与交换机设备的管理IP不是同一个网段,通过三层路由互通,控制组件可以部署在远端,主要应用于远程或本地。部署时使用一张、两张网卡均可。若使用一张网卡部署,SeerEngine-Campus和统一数字底盘共用该网卡;若使用两张网卡部署,则SeerEngine-Campus部署和统一数字底盘各使用一张网卡。
双Spine组网/双Leaf组网,服务器和设备之间连接的L3交换机,需支持ECMP功能和STP Ignored vlan命令,推荐使用S5560X-EI及以上款型以及方案配套版本。
图2-8 双Spine时服务器与设备的连接方式组网图
图2-9 Spine堆叠时服务器与设备的连接方式组网图
(1) AD-Campus组网中,SeerEngine-Campus、DHCP服务器和网络设备之间三层互联,若Spine为堆叠模式,则Spine设备的上行链路需要配置port trunk permit vlan 1 4094;
(2) Spine设备需要支持VXLAN,主要作为路由反射器RR和路由转发设备,用于转发不同Leaf设备之间的路由,以及作为Border设备与各类服务器之间的互通。Spine设备与Leaf设备之间连接的链路为Underlay链路,配置Spine和Leaf设备之间路由可达即可;
(3) Leaf与Access设备连接的接口为Leaf下行接口。Leaf下行接口配置为认证接口,用于用户认证。当用户上线时,Leaf设备通过“下行接口+VLAN ID”来识别不同的Access接口,并且根据不同的登录帐号进入到不同的用户安全组内;
(4) Access设备作为二层接入设备,主要用于连接终端设备。Access与Leaf设备连接的链路为Access上行接口,配置为port trunk permit vlan all即可。Access设备之间支持级联,最多支持三级级联;
(5) SeerEngine-Campus控制组件会为Access设备的每个下行接口分配一个VLAN ID,来标记每个终端的位置;从VLAN 101开始,多级级联的Access,接口VLAN分配依次递增。例如有二级Access,第一级从VLAN 101-VLAN 152,第二级则从VLAN 153开始分配,依次增加;同一台Leaf下不同下行接口连接的Access设备,每台Access设备的VLAN都是从VLAN 101开始分配;
(6) Access设备连接用户的接口(与用户终端相连的接口)下发stp edged-port命令,设置成边缘端口。
#
interface GigabitEthernet1/0/31
port link-mode bridge
port access vlan 130
stp edged-port
#
由于Access设备纳管后连接终端的接口会下发stp edged-port命令,若后续增加Access与Leaf设备的连接链路,原先接口上已下发的stp edged-port命令不会自动删除,需手动删除。
AD-Campus 6.5园区网解决方案,需要进行Underlay配置、设备纳管、Overlay配置和用户认证相关的配置。
· Underlay配置为园区控制组件纳管设备之前的基础配置,主要是设备之间的物理连接相关的配置,通过设备自动化上线或者手动配置设备上线;
· Overlay配置为用户业务相关配置,包括私网、二层网络域、安全组的创建,以及组间策略、服务链等配置;
· 用户认证相关的配置,包括用户管理、接入策略以及接入服务等用户认证相关的配置。用户认证相关配置通过EIA认证服务器实现。
图2-10 业务配置流程图
SeerEngine-Campus和EIA环境均支持单机部署和集群部署,具体参考《AD-Campus 6.5统一数字底盘及组件部署指导》。
Underlay配置有两种方式,设备自动化部署和手动配置。
表3-1 配套应用
|
名称 |
功能说明 |
说明 |
|
|
统一数字底盘(E0711) |
GlusterFS |
提供产品内本地共享存储功能 |
必选 |
|
Portal |
门户、统一认证、用户管理、服务网关、帮助中心 |
必选 |
|
|
Kernel |
权限、资源身份、License、配置中心、资源组、日志服务 |
必选 |
|
|
Kernel-base |
告警、访问参数模板、监控模板、报表、邮件短信转发服务 |
必选 |
|
|
Network |
基础网管(网络资源、网络性能、网络拓扑、iCC) |
必选 |
|
|
Dashboard |
提供大屏框架 |
必选 |
|
|
Widget |
提供平台大屏功能 |
必选 |
|
|
Websocket |
提供传统设备自动化、新自动化功能 |
必选 |
|
|
oneclickcheck |
提供一键巡检功能 |
必选 |
|
|
Syslog |
Syslog相关功能,日志中心 |
可选 |
|
|
Netconf |
提供YANG能力集 |
可选 |
|
|
统一数字底盘(E0714)+基础网络管理 |
UDTP_Middle |
中间件镜像库 |
必选 |
|
UDTP_GlusterFS |
提供产品内本地共享存储功能 |
必选 |
|
|
UDTP_Core |
门户、统一认证、用 户管理、服务网关、 帮助中心、权限、资源身份、License、配置中心、资源组、日 志服务 |
必选 |
|
|
UDTP_IMonitor |
提供自监控服务 |
必选 |
|
|
BMP_Report |
提供报表服务 |
必选 |
|
|
BMP_QuickReport |
提供快速报表服务 |
必选 |
|
|
BMP_Alarm |
提供告警服务 |
必选 |
|
|
BMP_Dashboard |
提供大屏框架 |
必选 |
|
|
BMP_Widget |
提供平台大屏Widget |
必选 |
|
|
BMP_OneClickCheck |
提供一键巡检功能 |
必选 |
|
|
BMP_Subscription |
提供订阅服务 |
必选 |
|
|
BMP_Template |
访问参数模板、监控 模板 |
必选 |
|
|
BMP_WebSocket |
南向Websocket功能,实现新自动化 |
必选 |
|
|
NSM_FCAPS-Res |
网络设备的发现、纳管和基本信息管理 |
必选 |
|
|
NSM_FCAPS-Perf |
网络设备性能监控和展示 |
必选 |
|
|
NSM_FCAPS-ICC |
网络设备配置和软件部署、配置备份、配置审计 |
必选 |
|
|
NSM_FCAPS-Topo |
自定义拓扑、IP拓扑 |
必选 |
|
|
NSM_FCAPS-Asset |
网管资产管理 |
必选 |
|
|
园区场景所需的业务组件 |
SeerEngine-Campus |
园区网管理园区控制组件—园区基础业务配置 |
必选 |
|
vDHCP |
DHCP服务器—自动化上线设备地址及终端用户地址分配 |
必选 |
|
|
EIA |
终端智能接入—用户认证业务配置 |
必选 |
|
|
WSM |
无线管理平台—提供无线接入网络服务 |
可选 |
|
|
EAD |
终端准入控制平台—控制终端受限接入 |
可选 |
|
|
EPS |
端点探测系统—主动识别终端、终端接入检测 |
可选 |
|
|
SeerAnalyzer |
先知分析器—网络数据采集、分析 |
可选 |
|
|
SMP |
提供防火墙管理功能 |
可选 |
|
|
支持紧耦合的DHCP服务器 |
vDHCP Server |
H3C自研DHCP Server |
必选 |
|
微软DHCP Server |
支持紧耦合、松耦合 |
/ |
表3-2 支持的设备型号及角色
|
默认角色 |
支持的非默认角色 |
|
|
S12500G-AF(T系列) |
Spine |
Leaf/Access/Aggr |
|
S12500G-AF(S系列,信创款型) |
Spine |
Leaf/Access/Aggr |
|
H3C S12500G-EF系列交换机(信创款型) |
Spine |
Leaf/Access/Aggr |
|
S12600-G(信创款型) |
Spine |
Leaf/Access/Aggr |
|
S10500X-G(信创款型) |
Spine |
Leaf/Access/Aggr |
|
S10600X-G(信创款型) |
Spine |
Leaf/Access/Aggr |
|
S10500X |
Leaf |
Spine/Access/Aggr |
|
S7500X |
Leaf |
Spine/Access/Aggr |
|
S7500X-G(信创款型) |
Leaf |
Spine/Access/Aggr |
|
S8600X-G(信创款型) |
Leaf |
Spine/Access/Aggr |
|
S9800-G(信创款型) S6800-G(信创款型) |
Leaf |
Spine/Access/Aggr |
|
S9600XP-G(信创款型) S7800XP-G(信创款型) |
Leaf |
Spine/Access/Aggr |
|
S6800-G(信创款型) S9800-G(信创款型) |
Leaf |
Spine/Access/Aggr |
|
S6530X |
Leaf |
Spine/Access/Aggr |
|
S6550XE-HI S6525XE-HI |
Leaf |
Access/Aggr |
|
S6520X-HI |
Leaf |
Access/Aggr |
|
S5560X-HI |
Leaf |
Access/Aggr |
|
S6520X-EI(不支持微分段) |
Leaf |
Access/Aggr |
|
S5560X-EI(不支持微分段) |
Leaf |
Access/Aggr |
|
S5590-HI(信创款型) S5590-EI(信创款型) |
Leaf |
Access/Aggr |
|
S5590XP-G(信创款型) |
Leaf |
Access/Aggr |
|
S5800X-G(信创款型) S5800XP-G(信创款型) |
Leaf |
Access/Aggr |
|
FS5500 |
Leaf |
Access |
|
FS5300 |
Access |
无 |
|
S6520X-SI(含S6520X-MC-SI) |
Access |
无 |
|
S5170-EI |
Access |
无 |
|
S5570S-EI |
Access |
无 |
|
S5130S-EI S5130S-HI |
Access |
无 |
|
S5130S-HI-G(信创款型) S5130S-EI-G(信创款型) |
Access |
无 |
|
S5560-G(信创款型) |
Access |
无 |
|
S5600-G(信创款型) |
Access |
无 |
|
S6520X-G(信创款型) |
Access |
无 |
|
S6600X-G(信创款型) |
Access |
无 |
|
S5200-HI-G S5200-EI-G |
Access |
无 |
服务器与设备之间连接的中间交换机称为L3交换机。无论是设备是自动化部署还是手动配置纳管,中间连接的L3交换机上都需要进行手动配置,保证设备和控制组件之间的连通。
配置之前需先规划好网络,SeerEngine-Campus控制组件和统一数字底盘可以共用一张网卡,也可以分别使用不同网卡。
建议EIA与VLAN 4094业务使用不同网段IP。
图4-1 SeerEngine-Campus控制组件和统一数字底盘共用网卡
表4-1 服务器IP列表&L3-Switch网段规划
|
规划项 |
数据示例 |
说明 |
|
VLAN 1 网段(网关) |
120.1.0.0/24(120.1.0.1) |
VLAN 1的网络,用于自动化上线 |
|
VLAN 4094 网段(网关) |
130.1.0.0/24(130.1.0.1) |
VLAN 4094的网络,用于控制组件和设备通信 |
|
VLAN 10 网段(网关) |
10.0.0.0/24(10.0.0.1) |
VLAN10用于与Spine三层互通 |
|
VLAN 11 网段(网关) |
11.0.0.0/24(11.0.0.1) |
VLAN11用于与Spine三层互通 |
|
VLAN 30 网段(网关) |
100.1.0.0/24(100.1.0.1) |
统一数字底盘&SeerEngine-Campus&vDHCP使用的网段 |
|
Underlay IP 网段 |
200.1.1.0/24 |
Spine与Leaf环回口地址网段 |
|
统一数字底盘北向业务IP |
100.1.0.100 |
登录统一数字底盘的地址 |
|
EIA |
100.1.0.100 |
EIA服务器的地址,融合部署时EIA复用统一数字底盘的北向业务IP |
|
SeerEngine-Campus集群IP |
100.1.0.200 |
SeerEngine-Campus的集群地址 |
|
SeerEngine-Campus节点IP |
Node1:100.1.0.201 Node2:100.1.0.202 Node3:100.1.0.203 |
SeerEngine-Campus集群包含的三个节点地址 |
|
vDHCP集群IP |
100.1.0.204 |
vDHCP服务器的集群地址,实际不使用 |
|
vDHCP节点IP |
Node1:100.1.0.205 Node2:100.1.0.206 |
vDHCP服务器使用的两个节点地址 |
|
微软DHCP的IP |
8.0.1.171 |
微软DHCP服务器使用地址 |
图4-2 SeerEngine-Campus控制组件和统一数字底盘分别使用网卡
本例以SeerEngine-Campus控制组件和统一数字底盘各使用一张网卡为例,做如下地址规划:
表4-2 服务器IP列表&L3-Switch网段规划
|
规划项 |
数据示例 |
说明 |
|
VLAN 1 网段(网关) |
120.1.0.0/24(120.1.0.1) |
VLAN 1的网络,用于自动化上线 |
|
VLAN 4094网段(网关) |
130.1.0.0/24(130.1.0.1) |
VLAN 4094的网络,用于控制组件和设备通信 |
|
VLAN 10 网段(网关) |
10.0.0.0/24(10.0.0.1) |
VLAN10用于与Spine三层互通 |
|
VLAN 11网段(网关) |
11.0.0.0/24(11.0.0.1) |
VLAN11用于与Spine三层互通 |
|
VLAN30网段(网关) |
100.1.0.0/24(100.1.0.1) |
统一数字底盘使用的网段,用于PC和统一数字底盘的通信 |
|
VLAN 1010(网关) |
110.1.0.0/24(110.1.0.1) |
SeerEngine-Campus&vDHCP使用的网段,用于设备和控制组件的通信(SeerEngine-Campus使用独立网卡时配置) |
|
Underlay IP网段 |
200.1.1.0/24 |
Spine与Leaf环回口地址网段 |
|
统一数字底盘北向业务IP |
100.1.0.100 |
登录统一数字底盘的地址 |
|
EIA |
100.1.0.100 |
EIA服务器的地址 |
|
SeerEngine-Campus集群IP |
110.1.0.100 |
SeerEngine-Campus的集群地址 |
|
SeerEngine-Campus节点IP |
Node1:110.1.0.101 Node2:110.1.0.102 Node3:110.1.0.103 |
SeerEngine-Campus集群包含的三个节点地址 |
|
vDHCP集群IP |
110.1.0.104 |
vDHCP服务器的集群地址,实际不使用 |
|
vDHCP节点IP |
Node1:110.1.0.105 Node2:110.1.0.106 |
vDHCP服务器使用的两个节点地址 |
|
微软DHCP的IP |
8.0.1.171 |
微软DHCP服务器使用地址 |
SeerEngine-Campus控制组件和统一数字底盘可以共用一张网卡,此时统一数字底盘、SeerEngine-Campus、vDHCP、EIA使用相同网段的IP地址。
图4-3 SeerEngine-Campus控制组件和统一数字底盘共用网卡
表4-3 服务器IP列表
|
规划项 |
数据示例 |
说明 |
|
VLAN 1 网段(网关) |
120.1.0.0/24(120.1.0.1) |
VLAN 1的网络,用于自动化上线 |
|
VLAN 4094网段(网关) |
130.1.0.0/24(130.1.0.1) |
VLAN 4094的网络,用于控制组件和设备通信 |
|
VLAN30网段(网关) |
100.1.0.0/24(100.1.0.1) |
统一数字底盘&SeerEngine-Campus&vDHCP使用的网段 |
|
VLAN 91 网段 |
91.1.0.0/24 |
手工纳管时Spine与Leaf通信使用的VLAN |
|
Underlay IP网段 |
200.1.1.0/24 |
Spine与Leaf环回口地址网段 |
|
统一数字底盘北向业务IP |
100.1.0.100 |
登录统一数字底盘的地址 |
|
EIA |
100.1.0.100 |
EIA服务器的地址,融合部署时EIA复用统一数字底盘的北向业务IP |
|
SeerEngine-Campus集群IP |
100.1.0.200 |
SeerEngine-Campus的集群地址 |
|
SeerEngine-Campus节点IP |
Node1:100.1.0.201 Node2:100.1.0.202 Node3:100.1.0.203 |
SeerEngine-Campus集群包含的三个节点地址 |
|
vDHCP集群IP |
100.1.0.204 |
vDHCP服务器的集群地址,实际不使用 |
|
vDHCP节点IP |
Node1:100.1.0.205 Node2:100.1.0.206 |
vDHCP服务器使用的两个节点地址 |
|
微软DHCP的IP |
8.0.1.171 |
微软DHCP服务器使用地址 |
SeerEngine-Campus控制组件和统一数字底盘可以使用不同网卡,使用两个网段的IP地址,此时EIA和统一数字底盘集群使用一个网段,SeerEngine-Campus、vDHCP使用一个网段。
图4-4 SeerEngine-Campus控制组件和统一数字底盘分别使用网卡
本例以SeerEngine-Campus控制组件和统一数字底盘各使用一张网卡为例,做如下地址规划:
表4-4 服务器IP列表
|
规划项 |
数据示例 |
说明 |
|
VLAN 1 网段(网关) |
120.1.0.0/24(120.1.0.1) |
VLAN 1的网络,用于自动化上线 |
|
VLAN 4094 网段(网关) |
130.1.0.0/24(130.1.0.1) |
VLAN 4094的网络,用于控制组件和设备通信 |
|
VLAN 30 网段(网关) |
100.1.0.0/24(100.1.0.1) |
统一数字底盘使用的网段,用于PC和统一数字底盘的通信 |
|
VLAN 1010 网段(网关) |
110.1.0.0/24(110.1.0.1) |
SeerEngine-Campus&vDHCP使用的网段,用于设备和控制组件的通信(SeerEngine-Campus使用独立网卡时配置) |
|
VLAN 91 网段 |
91.1.0.0/24 |
手工纳管时Spine与Leaf通信使用的VLAN |
|
Underlay IP网段 |
200.1.1.0/24 201.1.1.0/24 |
Spine与Leaf环回口地址网段 |
|
统一数字底盘北向业务IP |
100.1.0.100 |
登录统一数字底盘的地址 |
|
EIA |
100.1.0.100 |
EIA服务器的地址 |
|
SeerEngine-Campus集群IP |
110.1.0.100 |
SeerEngine-Campus的集群地址 |
|
SeerEngine-Campus节点IP |
Node1:110.1.0.101 Node2:110.1.0.102 Node3:110.1.0.103 |
SeerEngine-Campus集群包含的三个节点地址 |
|
vDHCP集群IP |
110.1.0.104 |
vDHCP服务器的集群地址,实际不使用 |
|
vDHCP节点IP |
Node1:110.1.0.105 Node2:110.1.0.106 |
vDHCP服务器使用的两个节点地址 |
|
微软DHCP的IP |
8.0.1.171 |
微软DHCP服务器使用地址 |
本文中用户业务的资源规划如下表所示。
表4-5 用户业务资源规划
|
规划项 |
数据示例 |
说明 |
|
教师安全组网段(网关) |
20.0.0.0/16(20.0.0.1) |
教师安全组用户使用的网络 |
|
BYOD安全组网段(网关) |
50.0.0.0/16(50.0.0.1) |
BYOD用户使用的网络 |
|
Guest网段(网关) |
22.2.2.0/24(22.2.2.1) |
Guest用户使用的网络 |
|
认证失败网段(网关) |
33.3.3.0/24(33.3.3.1) |
认证失败用户使用的网络 |
|
逃生网段(网关) |
40.0.0.0/16(40.0.0.1) |
逃生用户使用的网络 |
SeerEngine-Campus预置了部分VLAN池,路径:[自动化>园区网络>网络设备],单击右上角“VNID池”链接,进入VNID池配置页面,单击“VLAN”页签进入VLAN池页面,在该页面可查看系统当前所有VLAN池信息。
系统默认创建了8个资源池:无线管理网VLAN池(default_wireless_manage)、环网控制VLAN池(default_circle_control)、无线业务VLAN池(default_wireless)、有线业务VLAN池(default_wired)、安全组VLAN池(default_security_group)、QinQ VLAN池(default_qinq)、园区Access VLAN池(default_access)和M-LAG VLAN池(default_mlag)。这8个资源池名称不允许修改。
支持手动创建的VLAN池类型:园区出口VLAN池、安全外网出口VLAN池、园区静态接入VLAN池、园区免认证VLAN池、管理网出口VLAN池、园WAN互联VLAN池。
表4-6 资源池列表
|
VLAN池 |
取值范围 |
网络类型 |
说明 |
|
无线管理网VLAN池 |
默认值4093 |
VLAN |
用于无线AC、AP的管理通道 |
|
无线业务VLAN池 |
默认值3501-3600 |
VLAN |
用于为VLAN网络类型的隔离域下的无线用户分配VLAN ID |
|
有线业务VLAN池 |
默认值101-3000 |
VLAN |
用于为VLAN网络类型的隔离域下的有线用户分配VLAN ID |
|
环网控制VLAN池 |
默认值98-99 |
VXLAN/VLAN |
用户Access环网配置 |
|
QinQ VLAN池 |
默认值 20 |
VLAN |
用户QinQ配置 |
|
安全组VLAN池 |
默认值3501-4000 |
VLAN |
用于安全组VLANID分配 |
|
园区Access VLAN池 |
默认值101-3000 |
VXLAN |
给接入设备Access与终端连接接口分配VLAN ID |
|
M-LAG VLAN池 |
默认值 2 |
VXLAN |
M-LAG的逃生VLAN,用于2台设备之间Underlay互通 |
|
默认Underlay VLAN(非VNID池) |
VLAN3001-3500 |
VXLAN |
用于设备自动化上线Spine-Leaf间互联的,系统默认值,不可修改 |
|
园区出口VLAN池 |
手动配置 |
VXLAN |
园区出口业务,Border与外网连接使用 |
|
安全外网出口VLAN池 |
手动配置 |
VXLAN |
园区安全出口业务,与FW连接使用 |
|
园区静态接入VLAN池 |
手动配置 |
VXLAN |
静态AC认证配置使用 |
|
园区免认证VLAN池 |
手动配置 |
VXLAN |
免认证业务使用 |
|
管理网出口VLAN池 |
手动配置 |
VXLAN |
双Spine/双Leaf与L3交换机连接使用 |
|
园WAN互联VLAN池 |
手动配置 |
VXLAN |
园数融合业务使用 |
· VLAN池被引用后不允许修改,包括增删新VLAN范围和保留VLAN范围,用户需要提前规划。
· 不同VLAN池不能互相覆盖。
· 无线业务VLAN池(3501-3600)仅VLAN组网下使用。
· Access VLAN池支持配置保留VLAN范围。
· SeerEngine-Campus默认分配VLAN 100用于设备自动化堆叠的BFD检测,VLAN 4090-VLAN 4094为保留VLAN。
· 配置M-LAG的情况下,控制组件会默认下发VLAN 2,用于M-LAG的2台设备之间Underlay的路由同步。
· 若用户环境是从之前的版本升级到AD-Campus 6.3配套及以上版本,可能会存在VLAN的审计差异,用户可根据实际情况选择是否进行数据平滑。
图4-5 VLAN池信息
若用户需调整各资源的VLAN池范围,单击上图列表操作列的修改图标
,进入VLAN池编辑页面。在“VLAN范围”区域,单击列表操作列的修改图标
,进入修改VLAN范围页面,根据用户规划修改VLAN范围。
图4-6 修改VLAN范围
(1) 安装部署完成后,在浏览器地址栏中输入AD-Campus控制组件登录地址,进入AD-Campus控制组件登录页面,如下图所示。其中,登录地址格式为:http://100.1.0.100:30000/central,登录IP为“统一数字底盘的集群北向业务虚IP”,默认登录的用户名/密码:admin/Pwd@12345。
图5-1 登录界面
(2) 用户名、密码输入完成后,单击<登录>按钮,进入AD-Campus控制组件配置页面,如下图所示。
图5-2 首页
(3) 单击页面左上角AD-Campus图标,可查看所有菜单,如下图所示。
图5-3 所有菜单项
(4) 自动化功能模块用于园区网业务的配置。单击页面中“自动化”页签,展开左侧导航树中菜单项,如下图所示。
¡ 配置部署:用于设备备份、配置恢复以及软件库等相关业务的配置;
¡ 园区网络:主要用于SeerEngine-Campus控制组件业务相关的配置菜单,包括设备上线的自动化模板创建、隔离域、Fabric、安全组、用户组间策略及服务链等业务的配置;
¡ 用户业务:EIA认证服务器的业务配置菜单,包括接入服务、接入策略以及接入用户的配置。
图5-4 自动化菜单
· 在控制组件安装部署完后,SeerEngine-Campus、EIA、vDHCP与统一数字底盘融合,需要进行License注册。License注册前需要搭建License Server并且申请(购买)License。
· 当前版本可注册License或直接使用试用License。
· 本文只介绍在AD-Campus页面上的License注册,License Server的搭建请参考相关的文档,不再赘述。
(1) 路径:[系统>License管理>License信息]。
(2) 系统安装部署后,默认提供一个试用License,可临时使用,如下图所示。
图5-5 License server
(3) 在该页面License server信息区域配置License server信息,具体参数说明如下:
¡ IP地址:License server的IP地址,需确保集群的北向IP和License server互通;
¡ 端口号:本例为5555;
¡ 客户端名称:License server中配置的客户端名称,本例为admin;
¡ 客户端密码:License server中配置的客户端密码,本例为admin@123。
(4) License server配置完成后,单击<连接>按钮,连接License server服务器。License注册完成后,在License信息区域会列出注册的授权信息,如下图所示:
图5-6 License信息
在使用配置向导配置业务之前,需对终端管理参数、认证服务器及DHCP服务器进行配置。
此章节按需配置,若EIA融合部署于控制组件,则此处无需配置。
若需配置终端管理参数,以启用用户认证服务器上的VXLAN组网功能,具体配置步骤如下:
(1) 路径:[自动化>用户业务>业务参数>接入参数>系统配置],如下图所示。
图5-7 终端管理参数配置
(2) 在列表中找到模板名称为“终端管理参数配置”的模板,单击相应配置列的修改图标
,进入终端管理参数配置页面,如下图所示。在该页面中需配置“终端管理参数配置”区域及“控制组件配置”区域的参数。
终端管理参数配置区域的参数说明如下:
¡ VXLAN组网:选择“是”;
¡ MAC Portal认证:选择“启用”;
¡ 无感知认证:选择“启用”;
¡ 同名账号强制解除IP绑定:默认为“否”。
- 否:选择“否”表示IP地址不抢占,已生成的IP绑定不会被复用。
- 是:选择“是”表示IP绑定可进行IP地址抢占,IP绑定的终端下线时,其他终端上线会复用已下线终端的IP绑定IP地址。
¡ 单帐号最大绑定终端数:用于限制一个帐号最多能支持的认证终端数量,默认为10。例如,设置“单帐号最大绑定终端数”10,则最多可以有10个终端使用该帐号认证上线。
图5-8 终端管理参数配置
控制组件配置区域的参数说明如下:
¡ 内置控制器:默认选择“是”,指的是SeerEngine-Campus和EIA部署在同一平台上,此时不需要手工填写参数;若选择“否”,则需要填写如下参数:
¡ IP地址:登录SeerEngine-Campus控制组件的地址;
¡ 端口:30000(登录统一数字底盘的端口号);
¡ 用户名/密码:默认为“admin”/“Pwd@12345”;
¡ 通信协议:HTTP或HTTPS(默认为HTTP,根据部署统一数字底盘时设置的协议填写)。
图5-9 控制组件配置
AAA服务器支持H3C的EIA V9(容器化EIA)和第三方认证服务器。
路径:[自动化>园区网络>网络参数>AAA],单击<增加>按钮,增加EIA服务器。
· 名称:与当前环境中已有的AAA服务器名称不重复即可;
· 服务器类型:
¡ EIA V9:基于统一数字底盘平台部署的EIA服务器;
¡ 第三方认证:用于Web Portal的认证接口业务;
· 协议:登录EIA服务器时使用的协议,默认HTTP;
· IPv4地址:EIA服务器的地址;
· GUI端口:根据选择的服务器类型系统自动填充;
· 用户名:登录EIA服务器时使用的用户名;
· 密码:登录EIA服务器时使用的密码。
图5-10 增加认证服务器
EIA V9容器化部署,在统一数字底盘集群环境中若勾选了“融合EIA”,则此处默认添加“Default EIA”。
第三方认证用于Web Portal认证业务,SeerEngine-Campus控制组件只添加第三方服务器的IP地址,不做任何数据同步,需保证第三方认证服务器与设备互通。
图5-11 增加第三方认证服务器
路径:[自动化>园区网络>网络参数>DHCP]。
单击<增加>按钮,进入增加DHCP服务器页面。
图5-12 增加DHCP服务器
增加DHCP服务器页面中,增加DHCP服务器的“管理方式”支持“紧耦合”和“松耦合”两种方式。
图5-13 选择管理方式
· 支持紧耦合的DHCP Server:H3C自研的vDHCP Server和Microsoft DHCP Server。
· 紧耦合连接的DHCP Server,SeerEngine-Campus控制组件会根据页面配置的IP地址段,向DHCP Server申请创建IP地址池,并且支持IP地址绑定等功能。
· 设备自动化部署,DHCP Server必须使用H3C自研的vDHCP Server。
(1) 在增加DHCP服务器页面中,填写参数如下所示,单击<确定>按钮完成配置。
¡ 管理方式:选择“紧耦合”,vDHCP Server只支持紧耦合。
¡ 使用高可用:集群环境时需勾选;若是单机环境,则不需要勾选。
¡ 启用双栈:涉及IPv6自动化或者用户IPv6业务时开启,具体配置请参考《AD-Campus 6.5 IPv6业务配置指导》
¡ IP地址:填写的是部署vDHCP时分配的IP,可在部署vDHCP的页面查看,查看路径:[系统>部署管理],在列表中展开“公共服务”项,单击
查看详情。集群IP默认不使用。
图5-14 查看详情
¡ 厂商:选择“H3C”。
图5-15 增加DHCP服务器
(2) 增加DHCP Server后,需在DHCP列表页面中单击
按钮同步DHCP Server,同步完成后“审计状态”会显示“审计成功”。
图5-16 同步
(3) 单击名称(上图中的vDHCP),可以查看DHCP服务器的地址池以及IP地址分配等情况。
图5-17 查看DHCP服务器信息
微软DHCP Server的硬件配置,请参考表1-1硬件配置要求。
1. 增加DHCP Server。
a. 在增加DHCP服务器页面中,“厂商”选择“Microsoft”,具体参数如下所示,单击<确定>按钮完成配置。
- 管理方式:选择“紧耦合”。
- 使用高可用:微软DHCP HA主备环境时需勾选;若是单机环境,则不需要勾选。
- IPv4地址:微软DHCP的IP地址。若HA环境,则需要分别填写两台微软DHCP Server的IP地址。
- 厂商:选择“Microsoft”。
图5-18 增加微软DHCP服务器
b. 增加DHCP Server后,在增加中单击
按钮,会同步DHCP Server,并且在“审计状态”会显示“审计成功”。
c. DHCP列表页面右上角的
按钮,用于监控微软DHCP HA的状态,缺省“开启”。SeerEngine-Campus控制组件会定期监测DHCP HA的状态,若检测到微软DHCP备作用域状态故障,则控制组件会自动拉起微软DHCP备作用域。
图5-19 微软DHCP服务器
(4) 配置VXLAN4094地址池。
微软DHCP Server增加后,需要手动通过SeerEngine-Campus控制组件创建一个地址池,配置地址池的网段与设备的VXLAN4094的网段地址相同;若不配置,则微软DHCP Server无法响应Leaf发过来的用户的DHCP请求。
在DHCP列表中单击微软DHCP名称链接,进入DHCP服务器信息页面。
图5-20 DHCP服务器信息
切换至“地址池”页签,单击<增加>按钮,增加地址池。
¡ 子网网段:与设备的VXLAN4094的网段一致,该地址池不用于用户实际业务。
¡ 网关地址:设置与VXLAN4094同网段IP即可。
¡ 其他参数使用默认值。
图5-21 增加地址池
创建完成,部署成功后,在微软的DHCP Server上可以查看到创建的作用域,如下图所示。
图5-22 查看作用域
· 支持松耦合的DHCP Server:微软DHCP Server、网瑞达DHCP Server等支持配置Option82参数的DHCP Server服务器。
· 第三方DHCP Server需要确保与设备、控制组件路由可达。
· 松耦合情况下,SeerEngine-Campus园区控制组件不会向DHCP Server创建任何地址池,也不同步DHCP Server的地址池信息。
· DHCP Server上所有的地址池以及地址池中用于匹配Leaf设备DHCP Relay报文中携带的Option82信息的策略都需要用户手动创建。
· 微软DHCP Server的硬件配置,请参考本文表1-1硬件配置要求。
· 若现网需配置无线业务,则需要第三方DHCP Server支持option 43参数。
不同DHCP Server的配置方式不同,微软DHCP Server的配置请参考11.1.6 逃生DHCP Server配置。
松耦合的DHCP
Server,不能进行同步,没有
按钮,审计状态为“--”。
图5-23 松耦合的DHCP Server
在DHCP配置页面,单击DHCP服务器名称的链接,打开“DHCP服务器信息”页面。
“DHCP服务器信息”页面可支持地址池信息、已分配地址等信息的查看,以及支持手动配置地址池、增加保留IP地址、禁止分配IP地址等配置。
图5-24 DHCP链接
图5-25 DHCP服务器信息页面
IP地址冲突检测,有2种方式:
vDHCP Server,有一个“服务器配置”页面,默认已勾选“开启IP地址冲突探测”。
勾选“开启IP地址冲突探测”,控制组件会向vDHCP Server下发如下命令:
#
dhcp server ping timeout 501 //配置DHCP服务器等待ICMP回显响应报文的超时时间
dhcp server ping packet 2 //配置DHCP服务器发送ICMP回显请求报文的最大数目
#
上述命令实现如下功能:
DHCP服务器为客户端分配地址前,需要先对该地址进行探测,以防止IP地址重复分配导致地址冲突。
DHCP服务器的地址探测是通过ping功能实现的,通过检测是否能在指定时间内得到ping响应来判断是否存在地址冲突。DHCP服务器从地址池中选择IP地址,如果在指定时间内收到ICMP回显响应报文,则认为存在地址冲突;如果未收到ICMP回显响应报文,则将地址分配给客户端,从而确保客户端获得的IP地址唯一。
图5-26 服务器配置
设备纳管后控制组件会向设备下发如下命令,开启IP地址冲突订阅功能:
info-center loghost vpn-instance vpn-default IP (Spine/Leaf设备)
info-center loghost IP (Access设备)
当组网中出现IP冲突后,设备会向控制组件上报冲突信息,在DHCP地址分配展示页面中显示冲突信息。
图5-27 地址池信息
如果组网中有S6520X系列或S5560X系列设备,则建议在路径[自动化>园区网络>网络参数>参数]的全局配置页签下开启静态服务实例按需生效功能,节省硬件资源。
图5-28 全局配置
开启后,只有当静态服务实例接收到业务流量时,设备才会将服务实例的转发信息下发到驱动资源,使配置生效。Leaf接口对应的静态服务实例下下发如下配置:
#
interface Bridge-Aggregation1024
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
link-aggregation mode dynamic
stp tc-restriction
mac-based ac
dot1x
undo dot1x multicast-trigger
dot1x unicast-trigger
dot1x critical vsi vsi9
dot1x critical eapol
mac-authentication
mac-authentication domain
port-security free-vlan 1 3501 to 3505 4094
#
service-instance 3501
encapsulation s-vid 3501
xconnect vsi vsi3 on-demand //按需下发
arp detection trust
#
VXLAN按需下发功能支持用户灵活组网,用户VXLAN网关支持按需指定生效设备,三层VPN流量自动打通,安全组间的策略按需下发,减少对设备资源的消耗。用户需要在配置二层网络域之前确认是否开启此功能,配置了二层网络域以后无法再次修改。以下仅介绍差异项,隔离域配置和二层网络域配置请参考7.2 接入网络。VXLAN按需下发功能目前仅支持IP策略,暂不支持组策略。
在隔离域下下开启VXLAN按需下发的路径:[自动化>园区网络>隔离域],单击
,进入修改隔离域页面,单击进入<高级>页面,开启VXLAN按需下发功能。
图5-29 开启VXLAN按需下发功能
隔离域开启VXLAN按需下发后,该隔离域内二层网络域页面会增加网关设备配置选项
图5-30 网关设备
单击<增加>按钮,选择需要下发该二层网络域的设备,配置完成后,控制组件仅在指定的设备上下发VXLAN网关,属于该二层网络域的用户,仅能在对应的网关设备上线。二层网络域所属的私有网络,即用户VPN也会按需下发在对应的网关设备,以及本Fabric的Spine设备上,控制组件自动打通跨VXLAN的三层路由。通过以上操作,避免设备上VSI和VPN相关资源的浪费。
图5-31 增加网关设备
如果二层网络域网关设备仅选择单台设备,用户可以选择在高级参数页面关闭该二层网络域的ARP通告或ND通告,减少占用设备的路由资源。
Underlay网络固化默认为关闭。开启状态下,控制组件不允许纳管新设备和删除设备(含无线设备),不允许自动化上线等操作,当网络处于非稳态时,比如有设备在纳管中、上线中、配置恢复中,不允许开启/关闭固化。
路径:[向导>园区网络 >Fabrics],单击
进入Fabric修改页面,切换到[设置]页签。
图5-32 开启Underlay网络固化
若此处勾选了“同步开启当前Fabric下的Spine/Aggregation/Leaf设备Underlay网络固化”,则此Fabric下的Spine/Aggregation/Leaf设备都会自动开启Underlay网络固化功能,若此处未勾选,则可以在[向导>园区网络>网络设备]下,选择具体的设备,单击
进入设备修改页面,开启该设备的Underlay网络固化功能。
图5-33 开启设备Underlay网络固化
针对Leaf设备,可以配置固化外例外接口,配置了该接口以后,该接口的自动化功能仍然可用。
图5-34 固化例外接口
对于已开启网络固化的Fabric,后续如需扩容Leaf或Access设备上线,需打开扩容设备互联的设备的自动化进程,并且针对不同的场景需要进行不同的操作,具体如下:
自动化上线场景:需关闭Spine、Aggregation和Fabric的网络固化功能,完成扩容后,再开启Spine、Aggregation、扩容Leaf和Fabric的网络固化功能。
手工纳管上线场景:需关闭Fabric全局网络固化,完成扩容后,再开启扩容Leaf和Fabric的网络固化功能。
(1) 关闭Fabric全局网络固化,不要勾选“同步关闭当前Fabric下的Spine/Aggregation/Leaf设备Underlay网络固化”。
图5-35 关闭Fabric全局网络固化
(2) 关闭Spine和Aggregation设备网络固化,以Spine为例,手工纳管上线场景请跳过该步骤。
图5-36 关闭Spine和Aggregation设备网络固化
(3) 完成扩容之后,开启Spine、Aggregation、扩容Leaf和Fabric的网络固化功能。
自动化上线或手工纳管场景均需关闭Fabric全局网络固化。
Leaf自动化上线,扩容一级Access设备自动化上线:需要关闭Leaf设备的网络固化功能。(Leaf设备会开启自动化进程)
Leaf自动化上线,扩容一级Access设备手动纳管:关闭Leaf设备的网络固化功能(Leaf设备会开启自动化进程),扩容的一级Access使能自动化拓扑功能。Leaf下行口会自动下发4094服务实例以及trunk permit vlan的配置。
Leaf自动化上线,扩容一级Access设备手动纳管:开启Leaf设备网络固化功能,Leaf下行口添加到固化例外接口,Leaf设备需要手动配置Leaf下行口4094服务实例以及trunk permit vlan all的配置。
Leaf设备手动纳管,扩容一级Access设备自动化上线,开启Leaf设备网络固化功能,Leaf下行口添加到固化例外接口。Leaf设备需要手动将自动化拓扑使能并手动配置Leaf下行口4094服务实例以及trunk permit vlan all的配置。
Access设备完成上线后,删除Leaf固化例外接口的Leaf下行口,并开启Fabric全局网络固化功能,以及Leaf设备网络固化功能。
具体步骤如下截图:
1. 关闭Fabric全局网络固化,不要勾选“同步关闭当前Fabric下的Spine/Leaf设备Underlay网络固化”。
图5-37 关闭Fabric全局网络固化
2. 将扩容的Access对应的互联Leaf的下行接口加入到固化例外接口中。
图5-38 增加固化例外接口
3. 完成扩容之后,再开启Fabric的网络固化功能,删除互联Leaf的固化例外接口。
新自动化上线场景下需关闭Fabric全局网络固化,并将此一级Access互联的Leaf下行口加入到固化例外接口中,Access设备完成上线后,删除Leaf固化例外接口的Leaf下行口,并开启Fabric全局网络固化功能,具体步骤如下截图:
1. 关闭Fabric全局网络固化,不要勾选“同步关闭当前Fabric下的Spine/Aggregation/Leaf设备Underlay网络固化”。
图5-39 关闭Fabric全局网络固化
(4) 将扩容的Access对应的互联Leaf的下行接口加入到固化例外接口中。
图5-40 增加固化例外接口
(5) 完成扩容之后,再开启Fabric的网络固化功能,删除互联Leaf的固化例外接口。
自动化上线或手工纳管场景均需关闭Fabric全局网络固化,并将此二级/三级Access上联的一级Access互联的Leaf下行口配置为例外接口。完成设备自动化上线后,删除Leaf固化例外接口的Leaf下行口,并开启Fabric全局网络固化功能。
1. 关闭Fabric全局网络固化,不要勾选“同步关闭当前Fabric下的Spine/Aggregation/Leaf设备Underlay网络固化”。
图5-41 关闭Fabric全局网络固化
(6) 将二级/三级Access上联的一级Access互联Leaf的下行接口加入到固化例外接口中。
图5-42 增加固化例外接口
(7) 完成扩容之后,再开启Fabric的网络固化功能,删除互联Leaf的固化例外接口。
环路检测优化作为STP的补充,与STP并存部署。主要用于解决组网中连接了一些无法透传STP或LLDP报文的设备(HUB或第三方设备),STP无法阻塞环路的场景,如下图所示:
图5-43 STP环路使用场景
当前仅信创设备和5130S设备支持环路检测优化特性。
STP黑洞探测主要用于解决组网中连接的设备无法透传STP场景下的环路问题。设备启用黑洞探测后端口会定时发送环路探测报文,当端口收到发送的环路探测报文时block端口。
(1) 路径:[自动化>园区网络>Fabric>设置],在Fabric设置页面,STP黑洞探测设置为“开启”。发包周期和超时时间推荐保持默认值。
图5-44 开启STP黑洞探测
(2) 开启STP黑洞探测后,控制组件会向Spine、Leaf和Access下发全局的STP黑洞探测命令。
#
stp global timer blackhole-detection-interval 2
stp global timer rx-blackhole-timeout 16
stp global blackhole-detection enable
#
(3) 当端口探测到环路时,通过命令可查看block端口信息。
[Access-28S1]display stp blackhole-detection blocked-port
Blocked port: GigabitEthernet1/0/1
GigabitEthernet1/0/2
[Access-28S1]
LLDP跨域检测,通过扩展LLDP协议,在LLDP协议中携带区域ID进行链路连接的检测。以Leaf为单位划分区域,不同Leaf的区域ID值不同,当端口接收到不同区域的LLDP报文时,则认为端口连接为错误连接进行阻塞。
(1) 路径:[自动化>园区网络>Fabric>设置],在Fabric设置页面,LLDP跨域检测设置为“开启”。
图5-45 开启LLDP跨域探测
(2) 开启LLDP跨域检测后,控制组件会在通用策略组页面增加一个“LLDP跨域接口组”的通用策略组,并将Leaf下行物理接口自动加入到该组中。
图5-46 LLDP跨域接口组
(3) 开启LLDP跨域检测后,控制组件会向Leaf和Access 设备下发LLDP跨域探测命令。
Leaf设备:
Leaf与Access连接的物理接口下发lldp cross-domain-detection的命令。
#
interface Ten-GigabitEthernet0/0/2
port link-mode bridge
description SDN_LAGG_MLAG
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
stp instance 0 port priority 16
stp instance 0 cost 1
stp tc-restriction
lldp cross-domain-detection enable
lldp cross-domain-detection domain-id 2 //区域ID,同一台Leaf的不同下行接口下发的domain-id 相同,不同Leaf下发的domain-id不同。(M-LAG设备,2台Leaf下发的domain-id相同)
port link-aggregation group 3
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
Access设备:
Access设备,下发全局的lldp cross-domain-detection的命令
#
lldp global cross-domain-detection enable
#
当端口检测到环路时,通过命令可查看端口是否block。
[Access-28S1]display lldp status interface GigabitEthernet 1/0/5
LLDP status information of port 5 [GigabitEthernet1/0/5]:
LLDP agent nearest-bridge:
Port status of LLDP : Enable
Admin status : TX_RX
Trap flag : No
MED trap flag : No
Polling interval : 0s
Number of LLDP neighbors : 1
Number of MED neighbors : 0
Number of CDP neighbors : 0
Number of sent optional TLV : 12
Number of received unknown TLV : 0
Neighbor protection status : Port blocked (diffrent domain)
RRPP环网下,建议关闭Fabric中的Access端口隔离,此时若配置了静态接入业务或免认证业务,需要在Access上配置ACL允许网关MAC实现网络隔离。
全局配置:
#
traffic classifier 1 operator and
if-match source-mac 0000-0000-0001 //网关MAC
#
traffic classifier 2 operator and
if-match any
#
traffic behavior 1
filter permit
#
traffic behavior 2
filter deny
#
qos policy 1
classifier 1 behavior 1
classifier 2 behavior 2
Access连接用户终端的接口上配置:
#
interface GigabitEthernet1/0/22
qos apply policy 1 outbound
#
原自动化上线指的是由控制组件和设备配合完成自动化的过程,详细配置请参见《AD-Campus 6.5自动化配置指导》。
新自动化上线是指自动化完全由控制组件实现,不需要对设备强依赖,详细配置请参见《AD-Campus 6.5 新自动化配置指导》。
本章节介绍Spine、Leaf、Aceess、Aggr不进行自动化部署时需要手动配置的基础配置部分。下面的配置只基于设备角色最基础的Underlay部分配置,以及设备园区控制组件纳管设备所需的配置,配置完该部分配置后,SeerEngine-Campus园区控制组件可以纳管设备。
· 本文只介绍Underlay的手动部署部分,Underlay的自动化配置请参考《AD-Campus 6.5 自动化配置指导》或《AD-Campus 6.5 新自动化配置指导》。
· 在没有L3 Switch或者是VLAN 4094网段的网关在Spine设备上时,无需在Leaf上配置到园区控制组件网段的静态路由。
· 手工纳管的设备在配置完成Underlay相关配置后请手工在设备侧save下保存配置,避免用户配置丢失。
· 本章节IPv6相关的配置用于IPv4&IPv6双栈业务,只有IPv4单栈业务时,不需要配置。
· 本章节的L3 Switch配置为单台或Spine堆叠组网下的配置;若组网中Spine双上行,则L3 Switch的配置请参考6.3.2 双Spine非M-LAG组网手工配置;双Spine配置M-LAG组网,L3 Switch与Spine的连接配置请参考6.3.3 双Spine场景下M-LAG组网手工配置。
在L3 Switch上的配置如下:
(1) 全局使能DHCP、STP。
#使能DHCP,若整个组网所有设备都为手工纳管,则不需要配置;若有部分设备需自动化上线,则需配置。
dhcp enable
#
#使能STP
stp global enable
#
(2) 创建VLAN4094接口。
#
vlan 4094
#
#
interface Vlan-interface4094
ip address 130.1.0.1 255.255.255.0
ipv6 address 130:1::1/64 //ipv6业务配置
#
(3) VLAN1接口配置。
#vlan1用于设备自动化上线,若整个组网设备都为手动配置上线,则可不配置
interface Vlan-interface1
ip address 120.1.0.1 255.255.255.0
dhcp select relay //DHCP Relay相关的配置,用于设备自动化上线,若Spine/Leaf/Access都为手动配置纳管,则DHCP Relay相关配置可以不配
dhcp relay server-address 110.1.0.105 //vDHCP服务器节点的IP地址,请勿配置成集群IP
dhcp relay server-address 110.1.0.106
#
(4) 与统一数字底盘连接的接口配置。
#
vlan 30
vlan 1010
#
#
interface Vlan-interface 30
ip address 100.1.0.1 255.255.255.0
#
#
interface Vlan-interface 1010
ip address 110.1.0.1 255.255.255.0
ipv6 address 110:1::1/64 //ipv6业务配置
#
#
interface GigabitEthernet1/0/7
port access vlan 30
stp edged-port //L3交换机与服务器相连的端口,配置为STP边缘端口
#
与SeerEngine-Campus,vDHCP连接的接口加入VLAN1010
#
interface GigabitEthernet1/0/3
port access vlan 1010
stp edged-port //L3交换机与服务器相连的端口,配置为STP边缘端口。
#
(5) 与Spine相连的接口配置。
#
interface Ten-GigabitEthernet1/0/6
description to_spine
port link-type trunk
port trunk permit vlan 1 4094 //若组网中所有的Spine/Leaf/Access设备都手工配置上线,则可undo permit vlan 1,另由于若园区控制组件通过VLAN1纳管Aggr设备,若有Aggr设备需Permit vlan 1.
#
(6) 增加默认路由。
#配置默认路由下一跳为Spine VSI4094接口地址,用于认证用户与EIA的互通的
ip route-static 0.0.0.0 0 130.1.0.2 //默认路由下一跳为Spine vsi4094接口地址
ipv6 route-static :: 0 130:1::2 //ipv6的默认路由下一跳为Spine vsi4094接口地址,双栈业务需要配置
#
下述配置中,如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模式
ENHANCE-IPv6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam ARP
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
Spine设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
(1) 设备Spine角色和Sysname配置。
#默认是Spine角色的不用再配置,非默认Spine角色的需要配置后重启生效
vcf-fabric role spine
#
sysname spine
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp global enable
stp instance 0 priority 0
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#配置NETCONF
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable //ssh必须配置,建长连接,用于配置下发
restful http enable
#
#配置ssh
ssh server enable //设备自动化上线会下发该配置,同步自动化配置
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094。
#创建 Vlan 4094
vlan 4094
#
(7) 配置OSPF。
#
ospf 1 router-id 200.1.1.254
non-stop-routing //从SP2510版本开始, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.254 255.255.255.255
ospf 1 area 0.0.0.0 //配置OSPF
#
(9) 配置Spine与Leaf连接的Underlay链路。配置Spine下行接口可通过VLAN接口连接或者通过路由口连接,根据实际情况选择其中一种配置即可。通过VLAN接口连接,有2种配置方法。
方法一:Underlay IP借用LoopBack0地址当Spine和Leaf之间的多条链路,支持ECMP方式
#创建VLAN ,有多个下行接口时创建多个VLAN
vlan 91
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口, Underlay IP借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface91
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine下行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
stp root-protection
stp tc-restriction
port trunk permit vlan 1 91 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 91
lldp management-address arp-learning vlan 91
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
方法二:Underlay IP手动配置,当Spine和Leaf之间的多条链路,支持ECMP方式或LACP聚合组方式。
a. ECMP方式:
#创建VLAN,有多个下行接口时创建多个VLAN
vlan 91
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine下行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
stp root-protection
stp tc-restriction
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
#
b. LACP聚合链路方式:
#创建VLAN
vlan 91
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#创建聚合组
interface Bridge-Aggregation501
link-aggregation mode dynamic
#
#Spine与Leaf连接的接口加入聚合组
interface Ten-GigabitEthernet2/0/7
port link-mode bridge
port link-aggregation group 501
#
interface Ten-GigabitEthernet3/0/30
port link-mode bridge
port link-aggregation group 501
#
#聚合组配置 port trunk permit
#
interface Bridge-Aggregation501
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
link-aggregation mode dynamic
stp root-protection
stp tc-restriction
#
· SeerEngine-Campus默认自动下发的VLAN:VLAN 2用于M-LAG的2台设备之间Underlay的路由同步;分配VLAN100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN3000用于Access交换机以及有线业务使用;VLAN3501-VLAN3600用于无线业务;VLAN3501-VLAN4000用于安全组使用;VLAN3001-VLAN3500用于设备自动化上线Spine-Leaf间互联的Underlay VLAN,VLAN 4090-VLAN4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4089不会自动分配。因此,建议在路由发布的VLAN接口时选择使用VLAN 3-99、VLAN 4001-4089间的VLAN。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
· 从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
通过路由口连接:
#
interface Ten-GigabitEthernet3/0/16
port link-mode route
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
lldp management-address arp-learning
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
1. 组网Access半自动化上线时,不推荐Spine和Leaf的链路使用路由口,相关限制请参考《AD-Campus 6.5 新自化配置指导》的5.2章节。
· 采用路由口互联后,Spine和Leaf间将不支持二层VLAN透传,若网络中要有二层VLAN透传需求,不可采用此方式部署。
(10) 使能L2VPN。
#
l2vpn enable
#
(11) 配置vpn-target,VSI VXLAN4094、Vsi-interface虚接口IP地址以及L3VNI,用以控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6 //ipv6业务配置
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置Vsi-interface 4094的IP地址
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.2 255.255.255.0
local-proxy-arp enable
arp proxy-send enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
ipv6 address 130:1::2/64 // ipv6业务配置
local-proxy-nd enable
#
# 配置三层转发用的Vsi-interface接口以及L3 VNI
# ip address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为Vsi-interface 4094的接口IP
#创建VSI接口4092用于配置vpn-default的L3VNI
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
l3-vni 4092
#
(12) 配置VSI VXLAN4094实例。
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable //ipv6业务配置
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
loopback-detection action block
loopback-detection enable vlan 4094
#
(13) 配置BGP EVPN。
# 配置BGP,如果有多个Leaf,就需要配置多个peer。
# 手动配置的BGP AS号必须保证与SeerEngine-Campus中Fabric设置的AS号相同
#
bgp 100
non-stop-routing
router-id 200.1.1.254 //注意每台设备的router-id不能相同
peer 200.1.1.252 as-number 100 //配置BGP peer,IP地址为Leaf设备的LoopBack口地址
peer 200.1.1.252 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 200.1.1.252 enable //多个Leaf配置多条
peer 200.1.1.252 reflect-client //配置路由反射器, 用于转发不同Leaf之间的路由
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
import-route direct //引入直连路由,Leaf设备上如果开启IPv4按需下发功能时需要配置
import-route static //引入静态路由
#
#
address-family ipv6 unicast //ipv6业务配置
import-route direct
import-route static
#
(14) 将Spine上行口(连接到L3Switch的接口)配置为AC口,绑定VSI VXLAN4094。
# 下面为单Spine连接L3Switch的配置。
#双Spine组网,Spine上行口的配置请参考6.3.2 双Spine非M-LAG组网手工配置。Spine配置M-LAG组网,Spine上行口的配置请参考6.3.3 双Spine场景下M-LAG组网手工配置。
#
interface Ten-GigabitEthernet3/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094 //若组网中所有的Spine/Leaf/Access设备都手工配置上线,则可undo permit vlan1
service-instance 4094 //创建服务实例4094
encapsulation s-vid 4094 //匹配VLAN标签4094
xconnect vsi vxlan4094 //绑定VSI VXLAN4094
#
(15) 配置静态路由。
# 单机或堆叠Spine和SeerEngine-Campus、EIA等服务器的连接为三层接入时,需配置到服务器的静态路由,下一跳为三层交换机VLAN4094的IP地址
#双Spine组网,静态路由的配置请参考6.3.2 双Spine非M-LAG组网手工配置。Spine配置M-LAG组网,静态路由的的配置请参考6.3.3 双Spine场景下M-LAG组网手工配置。
ip route-static vpn-instance vpn-default 110.1.0.0 24 130.1.0.1 //目的IP为园区控制组件的网段IP
#
ipv6 route-static vpn-instance vpn-default 110:1:: 64 130:1::1 //配置到vdhcp ipv6 server的路由
#
#
ip route-static vpn-instance vpn-default 100.1.0.0 24 130.1.0.1 //目的IP为服务器的网段IP
#
# 若DHCP Server为其他网段IP,则需要增加到DHCP Server的静态路由
ip route-static vpn-instance vpn-default 132.0.0.0 24 130.1.0.1 //DHCP Server网段IP
#
ipv6 route-static vpn-instance vpn-default 132:: 64 130.1.0.1 //DHCPv6 Server网段IP
(16) 关闭VXLAN Tunnel的MAC地址学习和ARP/ND学习。
#关闭VXLAN Tunnel的ARP学习,禁止远端报文的ARP学习
vxlan tunnel arp-learning disable
#
#若需配置IPv6业务,则需要配置禁止ND学习
vxlan tunnel nd-learning disable
#
# 关闭VXLAN Tunnel的MAC地址学习,禁止远端报文的MAC地址学习
vxlan tunnel mac-learning disable
#
(17) 配置NTP。
#
clock timezone beijing add 08:00:00
#
# IP地址为NTP服务器IP,统一数字底盘默认内置NTP服务器,IP地址为集群北向IP
ntp-service enable
ntp-service unicast-server 100.1.0.100 vpn-instance vpn-default maxpoll 10
#
(18) Spine堆叠环境配置桥MAC保持不变,若Spine为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
(19) Spine为M-LAG环境,配置VXLAN隧道解封装指定LoopBack0接口。
#
vxlan default-decapsulation source interface LoopBack0
#
· 下述配置中,如果设备是S5560X或者S6520X,则需要设置switch-mode为VXLAN模式,重启后生效。
· 如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
· 如果设备是S5590或者S5590XP,需要设置system-working-mode为expert模式,重启后生效。
每一台Leaf设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
S5560X/S6520X配置命令如下:
#查看switch-mode,若不是VXLAN MODE,则修改成VXLAN MODE。
dis switch-mode status
Switch-mode in use: VXLAN MODE.
Switch-mode for next reboot: VXLAN MODE.
#
#查看switch-mode的命令
switch-mode ?
0 NORMAL MODE(default)
1 VXLAN MODE
2 802.1BR MODE
3 MPLS MODE
4 MPLS-IRF MODE
#
#设置成VXLAN MODE模式,执行完后需重启才能配置生效
switch-mode 1
#
S12500G-AF配置命令如下:
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模
ENHANCE-IPv6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam MIX
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
S5590或者S5590XP配置命令如下:
#工作模式设置成expert模式,执行完后需重启才能配置生效
system-working-mode expert
#
(1) 设备Leaf角色和Sysname配置。
#默认是Leaf角色的不用再配置,默认非Leaf角色的需要配置后重启生效。
#vcf-fabric role leaf
#
#配置sysname
sysname leaf1
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp instance 0 priority 8192
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
stp global enable
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#NETCONF配置
#
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
#
#配置ssh
ssh server enable
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置为长密码。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094。
# 创建VLAN 4094
vlan 4094
#
(7) 配置OSPF。
#
ospf 1 router-id 200.1.1.252
non-stop-routing //从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.252 255.255.255.255 //用于与Spine建立BGP邻居
ospf 1 area 0.0.0.0
#
(9) 配置Leaf与Spine连接的Underlay链路。配置Leaf上行接口可通过VLAN接口连接或者通过路由口连接,根据实际情况选择其中一种配置即可。通过VLAN接口连接,有2种配置方式。
方法一:Underlay IP借用LoopBack0地址当Spine和Leaf之间的多条链路,支持ECMP方式。
#创建VLAN ,有多个上行接口时创建多个VLAN
vlan 91
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface91
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Leaf上行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 91 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 91
lldp management-address arp-learning vlan 91
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
方法二:Underlay IP手动配置,当Spine和Leaf之间的多条链路,支持ECMP方式或LACP聚合组方式。
a. ECMP方式:
#创建VLAN,有多个上行接口时创建多个VLAN
vlan 91
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.2 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Leaf上行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
#
b. LACP聚合链路方式。
#创建VLAN
vlan 91
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.2 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#创建聚合组
interface Bridge-Aggregation501
link-aggregation mode dynamic
#
#Leaf与Spine连接的接口加入聚合组
interface Ten-GigabitEthernet2/0/7
port link-mode bridge
port link-aggregation group 501
#
interface Ten-GigabitEthernet3/0/30
port link-mode bridge
port link-aggregation group 501
#
#聚合组配置 port trunk permit
#
interface Bridge-Aggregation501
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
link-aggregation mode dynamic
#
· SeerEngine-Campus默认自动下发的VLAN:VLAN 2用于M-LAG的2台设备之间Underlay的路由同步;分配VLAN100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN3000用于Access交换机以及有线业务使用;VLAN3501-VLAN3600用于无线业务;VLAN3501-VLAN4000用于安全组使用;VLAN3001-VLAN3500用于设备自动化上线Spine-Leaf间互联的Underlay VLAN,VLAN 4090-VLAN4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4089不会自动分配。因此,建议在路由发布的VLAN接口时选择使用VLAN 3-99、VLAN 4001-4089间的VLAN。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
· 从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
通过路由口连接:
#
interface Ten-GigabitEthernet3/0/16
port link-mode route
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
lldp management-address arp-learning
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
2. 组网Access半自动化上线时,不推荐Spine和Leaf的链路使用路由口,相关限制请参考《AD-Campus 6.5 新自化配置指导》的5.2章节。
· 采用路由口互联后,spine和leaf间将不支持二层vlan透传,若网络中要有二层vlan透传需求,不可采用此方式部署。
(10) 使能L2VPN。
#使能L2VPN
l2vpn enable
#
(11) 配置vpn-default、VSI VXLAN4094、VSI虚接口IP地址以及L3 VNI,并在下行AC口(连接Access设备的接口)上配置服务实例(绑定VXLAN4094),用完成控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6 //ipv6业务配置
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置Vsi-interface 4094的IP地址。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.3 255.255.255.0
local-proxy-arp enable
arp proxy-send enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
ipv6 address 130:1::3/64 //ipv6业务配置
local-proxy-nd enable
#
# 配置三层转发用的Vsi-interface接口以及L3 VNI
# IP address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为Vsi-interface 4094的接口IP。
#
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
l3-vni 4092
#
# 配置VSI VXLAN4094实例
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable //ipv6业务配置
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
dhcp snooping trust tunnel
ipv6 dhcp snooping trust tunnel //ipv6业务配置
loopback-detection action block
loopback-detection enable vlan 4094
#
#Leaf与Access连接的Leaf下行接口配置成AC口
interface Ten-GigabitEthernet1/2/0/9
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
stp cost 1
stp port priority 16
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
(12) 配置BGP EVPN。
#配置BGP 100,只需要指定Spine做peer。双Spine、Spine为M-LAG组网时需要配两个peer,指向两个Spine。
#
bgp 100
non-stop-routing
router-id 200.1.1.252 //注意每台设备的router-id 不能相同,建议配置为环回口地址
peer 200.1.1.254 as-number 100
peer 200.1.1.254 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 200.1.1.254 enable
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
#
#
address-family ipv6 unicast
#
(13) 配置静态路由(非必配)。
# Leaf到服务器的静态路由为非必配项,通过BGP从Spine会自动同步
#Spine和服务器的连接为三层接入时,需配置到服务器的静态路由,下一跳为三层交换机VLAN4094的IP地址
#双Spine组网,静态路由的配置请参考6.3.2 双Spine非M-LAG组网手工配置。Spine配置M-LAG组网,静态路由的的配置请参考6.3.3 双Spine场景下M-LAG组网手工配置
ip route-static vpn-instance vpn-default 110.1.0.0 24 130.1.0.1 //目的IP为园区控制组件的网段IP
ipv6 route-static vpn-instance vpn-default 110:1:: 64 130:1::1 ////配置到vdhcp ipv6 server的路由
#
ip route-static vpn-instance vpn-default 100.1.0.0 24 130.1.0.1 //目的IP为服务器的网段IP
#
# 若DHCP Server为其他网段IP,则需要增加到DHCP Server的静态路由
ip route-static vpn-instance vpn-default 132.0.0.0 24 130.1.0.1 //DHCP Server网段IP
#
(14) 配置DHCP Snooping。
#
dhcp enable
dhcp snooping enable vlan 2 to 4094
ipv6 dhcp snooping enable vlan 2 to 4094 //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
#
(15) 配置VLAN 1和VLAN 4094的IP Source Guard免过滤。
#当Leaf下行接口配置IP Source Guard的时候需要配置,不配IP Source Guard时不影响业务
ip verify source exclude vlan 1
ip verify source exclude vlan 4094
#
(16) 关闭VXLAN Tunnel的MAC地址学习和ARP学习。
#关闭VXLAN Tunnel的ARP学习
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable // ipv6业务配置
#
# 关闭VXLAN Tunnel的MAC地址学习
vxlan tunnel mac-learning disable
#
(17) 开启按需下发功能(可选,该功能默认关闭,可根据需求开启)。如果Leaf开启了按需下发,则Spine上需要在BGP vpn-default下引入直连路由,将终端所有私网网段路由引入到Leaf和Spine,保证终端和服务器以及外网的互通。
#为节约硬件资源,通过EVPN同步的远端ARP表项默认不下驱动硬件,有流量请求时才下发。
ip forwarding-conversational-learning //开启ipv4按需下发功能
ipv6 forwarding-conversational-learning //开启ipv6按需下发功能
#流量停止,硬件表项老化删除的默认老化时间为60分钟,通过以下命令可以进行设置
[leaf1]ip forwarding-conversational-learning aging ?
INTEGER<60-1440> Aging time in (minutes)
#
· S5560X/S6520X系列设备建议配置按需下发。
· Leaf设备同时做Border时不建议配置按需下发。
(18) 配置NTP。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 100.1.0.100 vpn-instance vpn-default
#
(19) 检验配置成功情况。
上述配置完成后,分别检查配置成功情况。Spine、Leaf设备上都可以查看到:
[leaf1] display interface Vsi-interface brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Vsi4092 UP UP 130.1.0.3 //vsi4094,4092接口创建成功
Vsi4094 UP UP 130.1.0.3
[leaf1]
[leaf1]dis l2vpn vsi
Total number of VSIs: 2, 1 up, 1 down, 0 admin down
VSI Name VSI Index MTU State
Auto_L3VNI4092_4092 0 1500 Down //自动生成
vxlan4094 1 1500 Up
[leaf1]
[leaf1] display interface Tunnel brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Tun1 UP UP -- //隧道UP
[leaf1]
[leaf1] display interface Tunnel
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 1464
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 200.1.1.252, destination 200.1.1.254
Tunnel protocol/transport UDP_VXLAN/IP
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 29 packets, 2064 bytes, 0 drops
Output: 8 packets, 720 bytes, 0 drops
[leaf1]
[leaf1]ping -vpn-instance vpn-default 100.1.0.100 //Ping通服务器
Ping 100.1.0.100 (100.1.0.100): 56 data bytes, press CTRL+C to break
56 bytes from 100.1.0.100: icmp_seq=0 ttl=63 time=3.646 ms
56 bytes from 100.1.0.100: icmp_seq=1 ttl=63 time=1.699 ms
56 bytes from 100.1.0.100: icmp_seq=2 ttl=63 time=2.058 ms
56 bytes from 100.1.0.100: icmp_seq=3 ttl=63 time=7.078 ms
56 bytes from 100.1.0.100: icmp_seq=4 ttl=63 time=1.680 ms
--- Ping statistics for 100.1.0.100 in VPN instance vpn-default ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.483/1.620/1.991/0.189 ms
[leaf1]
(20) Leaf下行接口配置STP。
int Ten-GigabitEthernet1/3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
stp instance 0 port priority 16
stp instance 0 cost 1
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
Leaf的下行口需使能stp tc-restriction;若直连终端,则需在直连终端的接口上手动配置stp edged-port。
(21) Leaf堆叠环境配置桥MAC保持不变。
若Leaf为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
(22) Leaf为M-LAG环境,配置vxlan隧道解封装指定LoopBack0接口。
#
vxlan default-decapsulation source interface LoopBack0
#
Access作为接入设备,需要手动配置如下:
(1) 设备Access角色和Sysname配置。
#默认是Access角色的不用再配置,非默认Access角色的需要配置后重启生效。
#
vcf-fabric role access
#
#
sysname access1
#
(2) 配置LLDP,以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp global enable
#
(4) 配置SNMP、NETCONF、TELNET、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
#
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#NETCONF配置
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable //Access为非第三方设备时,ssh必须配置,建长连接用于配置下发。
restful http enable
#
#配置telnet
telnet server enable //使用telnet功能时配置。Access为第三方设备时,必须在telnet和ssh中选择一种连接方式,请根据实际情况设置
#
#配置ssh
ssh server enable //使用ssh功能时配置。Access为第三方设备时,必须在telnet和ssh中选择一种连接方式,请根据实际情况设置;
#
(5) 配置Telnet/SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置为长密码。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type telnet http https ssh \\ Access为第三方设备时,telnet为可选,若全局使用telent连接方式,则需配置telnet
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme //不使用用户名密码则配置为none
user-role network-admin
user-role network-operator
#
(6) 配置Access设备与Leaf设备连接的上行口permit vlan all,并配置STP。
# Access的上行口配置permit vlan all
interface Ten-GigabitEthernet1/0/52
port link-mode bridge
port link-type trunk
port trunk permit vlan all
stp cost 1
stp port priority 16
#
(7) 创建VLAN。
#
vlan 4093 to 4094
#
(8) VLAN1配置三层接口,可不配置。
# Access设备的vlan1建议不配置
interface Vlan-interface1
ip address 120.1.0.4 255.255.255.0
#
(9) 配置VLAN4094三层接口,SeerEngine-Campus通过该地址纳管Access。
#
interface Vlan-interface4094
ip address 130.1.0.4 255.255.255.0
#
(10) 配置VLAN4094的静态路由。
# Spine和服务器的连接为3层接入时,需配置到服务器的静态路由,下一跳为三层交换机VLAN4094的IP地址
ip route-static 110.1.0.0 24 130.1.0.1 //目的IP为园区控制组件的网段IP
ip route-static 100.1.0.0 24 130.1.0.1 //目的IP为服务器的网段IP
(11) 配置NTP服务器。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 100.1.0.100
#
(12) STP边缘端口。SeerEngine-Campus园区控制组件纳管Access设备后,自动会对Access设备用于连接用户的接口配置成STP边缘端口并给每个接口分配VLAN ID,该配置是园区控制组件自动完成,无需手动配置。 若园区控制组件未下发配置,可手动设置。
#
interface GigabitEthernet1/0/22
port access vlan 115
stp edged-port
#
(13) Access堆叠环境配置桥MAC保持不变。若Access为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
(14) Access级联的端口配置。若Access下级联了其他Access,则在级联的接口下配置stp。
# Access的下行口配置stp
interface Ten-GigabitEthernet1/0/52
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 to 99 101 to 4094
stp cost 1
stp port priority 16
#
Aggr设备作为Spine与Leaf之间连接的设备,手动纳管Aggr设备时不判断设备角色信息,因此不需要配置设备角色。Aggr设备手动配置如下:
(1) 设备Sysname配置。
#手动纳管Aggr设备时不判断设备角色信息,因此不需要配置设备角色
#
sysname aggr1
#
(2) 配置LLDP,以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp global enable
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
#
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#NETCONF配置
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
#
#配置ssh
ssh server enable
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置为长密码。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme //不使用用户名密码则配置为none
user-role network-admin
user-role network-operator
#
(6) 配置OSPF。
#
ospf 1
non-stop-routing
area 0.0.0.0
#
(7) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.200 255.255.255.255
ospf 1 area 0.0.0.0
#
(8) 配置VLAN三层虚接口,用于和Spine互通。
#创建VLAN
vlan 92 //Spine也需增加相应的VLAN配置,此处VLAN与Spine保持一致
#
#Aggr与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口
interface Vlan-interface92
ip address 91.2.0.2 255.255.255.0 //与Spine上的ip对应
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#Aggr上行接口配置 port trunk permit vlan
#
interface Ten-GigabitEthernet1/1/1
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 92
#
(9) 配置VLAN三层虚接口,用于和Leaf互通。
#创建VLAN
vlan 93 // Leaf也需增加相应的VLAN配置,此处VLAN与Leaf保持一致#
#Aggr与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 93
#
#创建VLAN虚接口
interface Vlan-interface93
ip address 91.3.0.2 255.255.255.0 //与Leaf上的ip对应
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#Aggr上行接口配置 port trunk permit vlan
#
interface Ten-GigabitEthernet1/1/2
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 93
#
(10) VLAN1配置三层接口,园区控制组件通过VLAN1纳管Aggr设备,请确保VLAN1与服务器可达。
#
interface Vlan-interface1
ip address 120.1.0.20 255.255.255.0
#
配置到服务器的静态路由
#
ip route-static 100.1.0.0 24 120.1.0.1
ip route-static 110.1.0.0 24 120.1.0.1
#
(11) 配置NTP服务器。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 100.1.0.100
#
AD-Campus解决方案支持双Spine上行连接,通过双Spine上行实现Spine设备的冗余保护和流量负载分担。Spine自动化上线时,SeerEngine-Campus园区控制组件已支持自动下发Spine的配置,具体操作请参考自动化相关文档。下面介绍的配置,为Spine手动纳管情况下的配置举例。
组网如下图所示:
图6-1 双Spine组网
表6-1 Spine和L3设备连接接口IP规划
|
设备类型 |
连接接口 |
IP地址 |
连接设备 |
连接接口 |
IP地址 |
|
Spine1 |
TE2/0/31 |
Ipv4: 10.0.0.11 |
L3 Switch |
TE1/0/49 |
Ipv4:10.0.0.1 |
|
Ipv6: 10::11 |
Ipv6: 10::1 |
||||
|
Spine2 |
TE2/0/31 |
Ipv4: 11.0.0.12 |
L3 Switch |
TE1/0/50 |
Ipv4:11.0.0.1 |
|
Ipv4: 11::12 |
Ipv6: 11::1 |
||||
|
Spine1 |
Aggr1(Vlan10 、Vlan11) |
Ipv4:10.0.0.11 Ipv4:11.0.0.11 |
Spine2 |
Aggr1(Vlan10 、Vlan11) |
Ipv4:10.0.0.12 Ipv4:11.0.0.12 |
|
Ipv6:10::11 Ipv6:11::11 |
Ipv6:10::12 Ipv6:11::12 |
Spine双上行与L3 Switch连接,通过在L3 Switch上配置到两个Spine的等价默认路由实现ECMP。本章节只介绍双Spine上行组网需要特殊配置的部分,其他部分的配置请参考本文中的6.3.1 Spine单机或堆叠组网手工配置。
(1) 全局使能DHCP,STP。
#使能DHCP,若整个组网所有设备都为手工纳管,则不需要配置;若有部分设备需自动化上线,则需配置。
dhcp enable
#
(2) 配置STP。
#
stp global enable
#
# 与两台Spine连接的vlan10 和 vlan11 配置为ignored vlan
stp ignored vlan 10 to 11
#
(3) VLAN1接口配置。
#vlan1用于设备自动化上线,若整个组网设备都为手动配置上线,则可不配置。
interface Vlan-interface1
ip address 120.1.0.1 255.255.255.0
dhcp select relay //DHCP Relay相关的配置,用于设备自动化上线,若Spine/Leaf/Access都为手动配置纳管,则DHCP Relay相关配置可以不配。
dhcp relay server-address 110.1.0.105 //vDHCP服务器节点的IP地址,请勿配置成集群IP
dhcp relay server-address 110.1.0.106
#
(4) 与统一数字底盘连接、SeerEngine-Campus的接口配置。
#
vlan 30
vlan 1010
#
#
interface Vlan-interface 30
ip address 100.1.0.1 255.255.255.0
#
#
interface Vlan-interface 1010
ip address 110.1.0.1 255.255.255.0
ipv6 address 110:1::1/64 //ipv6业务配置
#
#
interface GigabitEthernet1/0/7
port access vlan 30
stp edged-port //L3交换机与服务器相连的端口,配置为STP边缘端口。
#
与SeerEngine-Campus,vDHCP连接的接口加入VLAN1010
#
interface GigabitEthernet1/0/3
port access vlan 1010
stp edged-port //L3交换机与服务器相连的端口,配置为STP边缘端口。
#
(5) 创建VLAN 10,VLAN 11。
#
vlan 10 to 11
#
(6) 配置VLAN10、11虚接口。
#
interface Vlan-interface10
ip address 10.0.0.1 255.255.255.0
ipv6 address 10::1/64 //ipv6业务配置
#
interface Vlan-interface11
ip address 11.0.0.1 255.255.255.0
ipv6 address 11::1/64 //ipv6业务配置
#
(7) 配置与Spine1连接的接口permit vlan10。
#
interface Ten-GigabitEthernet1/0/49
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 10 //permit vlan1请根据实际组网设置
#
(8) 配置与Spine2连接的接口permit vlan11。
#
interface Ten-GigabitEthernet1/0/50
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 11 //permit vlan1请根据实际组网设置
#
(9) 配置track。
#
track 1 interface Ten-GigabitEthernet1/0/49 physical
track 2 interface Ten-GigabitEthernet1/0/50 physical
#
(10) 配置两条默认路由,next-hop为Spine1和Spine2的IP。
ipv4静态路由配置
#
ip route-static 0.0.0.0 0 10.0.0.11 track 1
ip route-static 0.0.0.0 0 11.0.0.12 track 2
#
ipv6静态路由配置
#
ipv6 route-static :: 0 10::11 track 1
ipv6 route-static :: 0 11::12 track 2
#
(11) 增加到Spine的32位主机路由,避免Spine之间链路down,Spine1或者Spine2与服务器断开连接。
#
ip route-static 130.1.0.2 32 10.0.0.11 track 1 //130.1.0.2为Spine1的vsi4094地址
ip route-static 130.1.0.3 32 11.0.0.12 track 2 //130.1.0.3为Spine2的vsi4094地址
#
下述配置中,如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模
ENHANCE-IPv6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam ARP
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
Spine设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
(1) 设备Spine角色和Sysname配置。
#默认是Spine角色的不用再配置,非默认Spine角色的需要配置后重启生效
vcf-fabric role spine
#
sysname spine1
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
stp global enable
stp instance 0 root primary //Spine为主根时配置,本文以spine1为主根,spine2为副根为例介绍
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#配置NETCONF
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
restful http enable
#
#配置ssh
ssh server enable
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094。
#创建 Vlan 4094
vlan 4094
#
(7) 配置OSPF。
#
ospf 1 router-id 200.1.1.254
non-stop-routing //从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.254 255.255.255.255
ospf 1 area 0.0.0.0 //配置OSPF
#
(9) 配置Spine1与Leaf连接的Underlay链路。配置Spine下行接口可通过VLAN接口连接或者通过路由口连接,根据实际情况选择其中一种配置即可。通过VLAN接口连接,有2种配置方式。
方法一:Underlay IP借用LoopBack0地址。当Spine和Leaf之间的多条链路,支持ECMP方式。
#创建VLAN,有多个下行接口时创建多个VLAN
vlan 91
#
#Spine1与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface91
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine下行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
#下面2条stp命令 双Spine非M-LAG模式时仅需在Spine做主根的设备上配置
stp root-protection
stp tc-restriction
port link-type trunk
port trunk permit vlan 1 91 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 91
lldp management-address arp-learning vlan 91
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
方法二:Underlay IP手动配置,当Spine和Leaf之间的多条链路,支持ECMP方式或LACP聚合组方式。
a. ECMP方式。
#创建VLAN,有多个下行接口时创建多个VLAN
vlan 91
#
#Spine1与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine下行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
#下面2条stp命令 双Spine非M-LAG模式时仅需在Spine做主根的设备上配置
stp root-protection
stp tc-restriction
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
#
b. LACP聚合组方式。
#创建VLAN
vlan 91
#
#
#Spine1与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#创建聚合组
interface Bridge-Aggregation501
link-aggregation mode dynamic
#
#Spine与Leaf连接的接口加入聚合组
interface Ten-GigabitEthernet2/0/7
port link-mode bridge
port link-aggregation group 501
#
interface Ten-GigabitEthernet3/0/30
port link-mode bridge
port link-aggregation group 501
#
#聚合组配置 port trunk permit
#
interface Bridge-Aggregation501
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
link-aggregation mode dynamic
# stp命令,双Spine非M-LAG模式时仅需在Spine做主根的设备上配置
stp root-protection
stp tc-restriction
#
· SeerEngine-Campus默认自动下发的VLAN:VLAN 2用于M-LAG的2台设备之间Underlay的路由同步;分配VLAN100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN3000用于Access交换机以及有线业务使用;VLAN3501-VLAN3600用于无线业务;VLAN3501-VLAN4000用于安全组使用;VLAN3001-VLAN3500用于设备自动化上线Spine-Leaf间互联的Underlay VLAN,VLAN 4090-VLAN4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4089不会自动分配。因此,建议在路由发布的VLAN接口时选择使用VLAN 3-99、VLAN 4001-4089间的VLAN。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
· 从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
通过路由口连接:
#
interface Ten-GigabitEthernet3/0/16
port link-mode route
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
lldp management-address arp-learning
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
3. 组网Access半自动化上线时,不推荐Spine和Leaf的链路使用路由口,相关限制请参考《AD-Campus 6.5 新自化配置指导》的5.2章节。
· 采用路由口互联后,Spine和Leaf间将不支持二层VLAN透传,若网络中要有二层VLAN透传需求,不可采用此方式部署。
(10) 使能L2VPN。
#
l2vpn enable
#
(11) 配置vpn-target,VSI VXLAN4094、Vsi-interface虚接口IP地址以及L3VNI,用以控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1。
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6 //ipv6业务配置
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置Vsi-interface 4094的IP地址。
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.2 255.255.255.0
local-proxy-arp enable
arp proxy-send enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
ipv6 address 130:1::2/64 // ipv6业务配置
local-proxy-nd enable
#
# 配置三层转发用的Vsi-interface接口以及L3 VNI
# ip address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为Vsi-interface 4094的接口IP。
#创建VSI接口4092用于配置vpn-default的L3VNI
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
l3-vni 4092
#
(12) 配置VSI VXLAN4094实例。
#
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable //ipv6业务配置
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
loopback-detection action block
loopback-detection enable vlan 4094
#
(13) 配置BGP EVPN。
# 配置BGP,如果有多个Leaf,就需要配置多个peer。
# 手动配置的BGP AS号必须保证与SeerEngine-Campus中Fabric设置的AS号相同
#
bgp 100
non-stop-routing
router-id 200.1.1.254 //注意每台设备的router-id不能相同
peer 200.1.1.252 as-number 100 //配置BGP peer,IP地址为Leaf设备的LoopBack0口地址
peer 200.1.1.252 connect-interface LoopBack0
#
address-family l2vpn evpn
reflector cluster-id 200.1.1.254 //非必配,设备自动化上线控制组件不会下发该命令。双Spine环境下可配置,2台Spine配置cluster-id值需相同;Spine为M-LAG时不需要配置
peer 200.1.1.252 enable //多个Leaf配置多条
peer 200.1.1.252 reflect-client //配置路由反射器, 用于转发不同Leaf之间的路由
#
ip vpn-instance vpn-default
#
address-family ipv4 unicas
preference 240 240 130
import-route direct //引入直连路由,Leaf设备上如果开启IPv4按需下发功能时需要配置
import-route static //引入静态路由
#
#
address-family ipv6 unicast //ipv6业务配置
preference 240 240 130
import-route direct
import-route static
#
(14) 创建VLAN10,用于与L3互联。
#
vlan 10
#
stp ignored vlan 10
#
(15) 配置VLAN10虚接口,绑定vpn-default。
#
interface Vlan-interface10
ip binding vpn-instance vpn-default
ip address 10.0.0.11 255.255.255.0
ipv6 address 10::11/64
#
(16) 与L3 Switch连接的接口permit vlan 10。
#
interface Ten-GigabitEthernet2/0/31
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 10 // permit vlan 1 请根据实际组网需求配置
#
(17) 配置到服务器的路由,下一跳指向L3 Switch的VLAN 10对应的IP地址。
ipv4静态路由配置,配置服务器的路由
#
ip route-static vpn-instance vpn-default 100.1.0.0 24 10.0.0.1
ip route-static vpn-instance vpn-default 110.1.0.0 24 10.0.0.1
#
ipv6静态路由配置,配置到DHCPv6 Server的路由
#
ipv6 route-static vpn-instance vpn-default 110:1:: 64 10::1
#
(18) 关闭VXLAN Tunnel的MAC地址学习和ARP/ND学习。
#关闭VXLAN Tunnel的ARP学习,禁止远端报文的ARP学习
vxlan tunnel arp-learning disable
#
#若需配置IPv6业务,则需要配置禁止ND学习
vxlan tunnel nd-learning disable
#
# 关闭VXLAN Tunnel的MAC地址学习,禁止远端报文的MAC地址学习
vxlan tunnel mac-learning disable
#
(19) 配置NTP。
#
clock timezone beijing add 08:00:00
#
# IP地址为NTP服务器IP,统一数字底盘默认内置NTP服务器,IP地址为集群北向IP
ntp-service enable
ntp-service unicast-server 100.1.0.100 vpn-instance vpn-default maxpoll 10
#
下述配置中,如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模
ENHANCE-IPV6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam ARP
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
Spine设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
(1) 设备Spine角色和Sysname配置。
#默认是Spine角色的不用再配置,非默认Spine角色的需要配置后重启生效
vcf-fabric role spine
#
sysname spine2
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
stp global enable
stp instance 0 root secondary //Spine为副根时配置,本文以spine1为主根,spine2为副根为例介绍
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#配置NETCONF
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
restful http enable
#
#配置ssh
ssh server enable
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094。
#创建 Vlan 4094
vlan 4094
#
(7) 配置OSPF。
#
ospf 1 router-id 200.1.1.253
non-stop-routing //从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.253 255.255.255.255
ospf 1 area 0.0.0.0 //配置OSPF
#
(9) 配置Spine2与Leaf连接的Underlay链路。配置Spine下行接口可通过VLAN接口连接或者通过路由口连接,根据实际情况选择其中一种配置即可。通过VLAN接口连接,有2种配置方式。
方法一:Underlay IP借用LoopBack0地址。当Spine和Leaf之间的多条链路,支持ECMP方式。
#创建VLAN ,有多个下行接口时创建多个VLAN
vlan 92
#
#Spine2与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface92
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine2下行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 92 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 92
lldp management-address arp-learning vlan 92
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
方法二:Underlay IP手动配置。当Spine和Leaf之间的多条链路,支持ECMP方式或LACP聚合组方式。
a. ECMP方式。
#创建VLAN,有多个下行接口时创建多个VLAN
vlan 92
#
#Spine2与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface92
ip address 92.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine2下行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 92 // permit vlan 1 请根据实际组网需求配置
#
b. LACP聚合组方式。
#创建VLAN
vlan 92
#
#Spine2与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface92
ip address 92.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#创建聚合组
interface Bridge-Aggregation501
link-aggregation mode dynamic
#
#Spine2与Leaf连接的接口加入聚合组
interface Ten-GigabitEthernet2/0/7
port link-mode bridge
port link-aggregation group 501
#
interface Ten-GigabitEthernet3/0/30
port link-mode bridge
port link-aggregation group 501
#
#聚合组配置 port trunk permit
#
interface Bridge-Aggregation501
port link-type trunk
port trunk permit vlan 1 92 // permit vlan 1 请根据实际组网需求配置
link-aggregation mode dynamic
#
· SeerEngine-Campus默认自动下发的VLAN:VLAN 2用于M-LAG的2台设备之间Underlay的路由同步;分配VLAN100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN3000用于Access交换机以及有线业务使用;VLAN3501-VLAN3600用于无线业务;VLAN3501-VLAN4000用于安全组使用;VLAN3001-VLAN3500用于设备自动化上线Spine-Leaf间互联的Underlay VLAN,VLAN 4090-VLAN4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4089不会自动分配。因此,建议在路由发布的VLAN接口时选择使用VLAN 3-99、VLAN 4001-4089间的VLAN。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
· 从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
通过路由口连接:
#
interface Ten-GigabitEthernet3/0/16
port link-mode route
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
lldp management-address arp-learning
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
4. 组网Access半自动化上线时,不推荐Spine和Leaf的链路使用路由口,相关限制请参考《AD-Campus 6.5 新自化配置指导》的5.2章节。
· 采用路由口互联后,Spine和Leaf间将不支持二层VLAN透传,若网络中要有二层VLAN透传需求,不可采用此方式部署。
(10) 使能L2VPN。
#
l2vpn enable
#
(11) 配置vpn-target,VSI VXLAN4094、Vsi-interface虚接口IP地址以及L3VNI,用以控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1。
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6 //ipv6业务配置
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置Vsi-interface 4094的IP地址。
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.3 255.255.255.0
local-proxy-arp enable
arp proxy-send enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
ipv6 address 130:1::3/64 // ipv6业务配置
local-proxy-nd enable
#
# 配置三层转发用的Vsi-interface接口以及L3 VNI
# ip address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为Vsi-interface 4094的接口IP。
#创建VSI接口4092用于配置vpn-default的L3VNI
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
l3-vni 4092
#
(12) 配置VSI VXLAN4094实例。
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable //ipv6业务配置
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
loopback-detection action block
loopback-detection enable vlan 4094
#
(13) 配置BGP EVPN。
# 配置BGP,如果有多个Leaf,就需要配置多个peer。
# 手动配置的BGP AS号必须保证与SeerEngine-Campus中Fabric设置的AS号相同
#
bgp 100
non-stop-routing
router-id 200.1.1.253 //注意每台设备的router-id不能相同
peer 200.1.1.252 as-number 100 //配置BGP peer,IP地址为Leaf设备的LoopBack口地址
peer 200.1.1.252 connect-interface LoopBack0
#
address-family l2vpn evpn
reflector cluster-id 200.1.1.254 //非必配,设备自动化上线控制组件不会下发该命令。双Spine环境下可配置,2台Spine配置cluster-id值需相同;Spine为M-LAG时不需要配置
peer 200.1.1.252 enable //多个Leaf配置多条
peer 200.1.1.252 reflect-client //配置路由反射器, 用于转发不同Leaf之间的路由
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
import-route direct //引入直连路由,Leaf设备上如果开启IPv4按需下发功能时需要配置
import-route static //引入静态路由
#
#
address-family ipv6 unicast //ipv6业务配置
import-route direct
import-route static
#
(14) 创建VLAN11。
#
vlan 11
#
stp ignored vlan 11
#
(15) 配置VLAN11虚接口,绑定vpn-default。
#
interface Vlan-interface11
ip binding vpn-instance vpn-default
ip address 11.0.0.12 255.255.255.0
#
(16) 与L3 Switch连接的接口permit vlan 11。
#
interface Ten-GigabitEthernet2/0/31
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 11 //permit vlan1请根据实际组网配置
#
(17) 配置到服务器的路由,下一跳指向L3 Switch的对应VLAN11的IP地址。
ipv4静态路由配置,配置服务器的路由
#
ip route-static vpn-instance vpn-default 100.1.0.0 24 11.0.0.1
ip route-static vpn-instance vpn-default 110.1.0.0 24 11.0.0.1
#
ipv6静态路由配置,配置到DHCPv6 Server的路由
#
ipv6 route-static vpn-instance vpn-default 110:1:: 64 11::1
#
(18) 关闭VXLAN Tunnel的MAC地址学习和ARP/ND学习。
#关闭VXLAN Tunnel的ARP学习,禁止远端报文的ARP学习
vxlan tunnel arp-learning disable
#
#若需配置IPv6业务,则需要配置禁止ND学习
vxlan tunnel nd-learning disable
#
# 关闭VXLAN Tunnel的MAC地址学习,禁止远端报文的MAC地址学习
vxlan tunnel mac-learning disable
#
(19) 配置NTP。
#
clock timezone beijing add 08:00:00
#
# IP地址为NTP服务器IP,统一数字底盘默认内置NTP服务器,IP地址为集群北向IP
ntp-service enable
ntp-service unicast-server 100.1.0.100 vpn-instance vpn-default maxpoll 10
#
下面配置为双Spine非M-LAG组网时使用的配置。
(1) 配置快速重路由。
#
ip route-static fast-reroute auto
#
(2) 创建VLAN11。
#
vlan 11
#
stp ignored vlan 11
#
(3) 创建VLAN11虚接口。
#
interface Vlan-interface11
ip binding vpn-instance vpn-default
ip address 11.0.0.11 255.255.255.0
ipv6 address 11::11/64 //ipv6业务配置
#
(4) 创建VLAN3,用于Underlay网络互通。
#
vlan 3
#
(5) 创建VLAN3虚接口。
#
interface Vlan-interface3
ip address 3.0.0.1 255.255.255.0
ospf network-type p2p
ospf 1 area 0.0.0.0
#
(6) 创建聚合组。
#
interface Bridge-Aggregation511
link-aggregation mode dynamic
#
(7) 端口加入聚合组。
#
interface Ten-GigabitEthernet1/0/30
port link-mode bridge
port link-aggregation group 511
#
interface Ten-GigabitEthernet2/0/30
port link-mode bridge
port link-aggregation group 511
#
(8) 配置聚合组,permit vlan 10、VLAN11、VLAN3。
#
interface Bridge-Aggregation511
port link-type trunk
port trunk permit vlan 1 3 10 to 11
link-aggregation mode dynamic
#
(9) 配置track,Spine之间物理链路down时快速切换路由。
#手动配置track ID避开控制组件使用的ID,建议使用101-512
#
track 512 interface Bridge-Aggregation511 physical
#
(10) 配置到Spine2 vxlan4094的静态路由(nexthop为VLAN10,VLAN11都可)。
#
ip route-static vpn-instance vpn-default 130.1.0.3 32 11.0.0.12 track 512
#
(11) 配置nqa+track,配置到服务器集群的静态路由,下一跳为L3上VLAN10和VLAN11的网关IP联动track。
ipv4业务的nqa+track配置:
#
nqa entry admin server1
type icmp-echo
destination ip 10.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa entry admin server2
type icmp-echo
destination ip 11.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin server1 start-time now lifetime forever
nqa schedule admin server2 start-time now lifetime forever
#
手动配置track ID避开控制组件使用的ID,建议使用101-512:
#
track 101 nqa entry admin server1 reaction 1
track 102 nqa entry admin server2 reaction 1
#
ipv6业务的nqa+track配置:
#
nqa entry admin ipv6_server1
type icmp-echo
destination ipv6 10::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa entry admin ipv6_server2
type icmp-echo
destination ip 11::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin ipv6_server1 start-time now lifetime forever
nqa schedule admin ipv6_server2 start-time now lifetime forever
#
手动配置track ID避开控制组件使用的ID,建议使用101-512:
#
track 103 nqa entry admin ipv6_server1 reaction 1
track 104 nqa entry admin ipv6_server2 reaction 1
#
(12) 配置Spine1到服务器的主备路由,并且nqa+track联动静态路由。
到服务器的ipv4的静态路由
#
ip route-static vpn-instance vpn-default 100.1.0.0 24 10.0.0.1 track 101
ip route-static vpn-instance vpn-default 100.1.0.0 24 11.0.0.1 track 102 preference 61
ip route-static vpn-instance vpn-default 110.1.0.0 24 10.0.0.1 track 101
ip route-static vpn-instance vpn-default 110.1.0.0 24 11.0.0.1 track 102 preference 61
#
到DHCPv6 Server的ipv6的静态路由
#
ipv6 route-static vpn-instance vpn-default 110:1:: 64 10::1 track 103
ipv6 route-static vpn-instance vpn-default 110:1:: 64 11::1 track 104 preference 61
#
(13) 配置bgp vpn-default导入静态路由。
#
bgp 100
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
import-route direct
import-route static
#
address-family ipv6 unicast //ipv6业务配置
import-route direct
import-route static
#
1. 配置快速重路由。
#
ip route-static fast-reroute auto
#
(14) 创建VLAN10。
#
vlan 10
#
stp ignored vlan 10
#
(15) 创建VLAN10虚接口。
#
interface Vlan-interface10
ip binding vpn-instance vpn-default
ip address 10.0.0.12 255.255.255.0
ipv6 address 10::12/64 //ipv6业务配置
#
(16) 创建VLAN3,用于Underlay网络互通。
#
vlan 3
#
(17) 创建VLAN3虚接口。
#
interface Vlan-interface3
ip address 3.0.0.2 255.255.255.0
ospf network-type p2p
ospf 1 area 0.0.0.0
#
(18) 创建聚合组。
#
interface Bridge-Aggregation511
link-aggregation mode dynamic
#
(19) 端口加入聚合组。
#
interface Ten-GigabitEthernet1/0/30
port link-mode bridge
port link-aggregation group 511
#
interface Ten-GigabitEthernet2/0/30
port link-mode bridge
port link-aggregation group 511
#
(20) 配置聚合组,permit vlan 10、VLAN11、VLAN3。
#
interface Bridge-Aggregation511
port link-type trunk
port trunk permit vlan 1 3 10 to 11
link-aggregation mode dynamic
#
(21) 配置track,Spine之间物理链路down时快速切换路由。
#手动配置track ID避开控制组件使用的ID,建议使用101-512
#
track 512 interface Bridge-Aggregation511 physical
#
(22) 配置到Spine1 vxlan4094的静态路由(nexthop为VLAN10,VLAN11都可)。
#
ip route-static vpn-instance vpn-default 130.1.0.2 32 11.0.0.11 track 512
#
(23) 配置nqa+track,配置到服务器集群的静态路由,下一跳为L3上VLAN10和VLAN11的网关IP联动track。
ipv4业务的nqa+track配置:
#
nqa entry admin server1
type icmp-echo
destination ip 11.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa entry admin server2
type icmp-echo
destination ip 10.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin server1 start-time now lifetime forever
nqa schedule admin server2 start-time now lifetime forever
#
#手动配置track ID避开控制组件使用的ID,建议使用101-512
track 101 nqa entry admin server1 reaction 1
track 102 nqa entry admin server2 reaction 1
#
ipv6业务的nqa+track配置:
#
nqa entry admin ipv6_server1
type icmp-echo
destination ipv6 11::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa entry admin ipv6_server2
type icmp-echo
destination ip 10::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin ipv6_server1 start-time now lifetime forever
nqa schedule admin ipv6_server2 start-time now lifetime forever
#
手动配置track ID避开控制组件使用的ID,建议使用101-512
#
track 103 nqa entry admin ipv6_server1 reaction 1
track 104 nqa entry admin ipv6_server2 reaction 1
#
(24) 配置Spine1到服务器的主备路由,并且nqa+track联动静态路由。
到服务器的ipv4的静态路由
#
ip route-static vpn-instance vpn-default 100.1.0.0 24 11.0.0.1 track 101
ip route-static vpn-instance vpn-default 100.1.0.0 24 10.0.0.1 track 102 preference 61
ip route-static vpn-instance vpn-default 110.1.0.0 24 11.0.0.1 track 101
ip route-static vpn-instance vpn-default 110.1.0.0 24 10.0.0.1 track 102 preference 61
#
到DHCPv6 Server的ipv6的静态路由
#
ipv6 route-static vpn-instance vpn-default 110:1:: 64 11::1 track 103
ipv6 route-static vpn-instance vpn-default 110:1:: 64 10::1 track 104 preference 61
#
(25) 配置bgp vpn-default导入静态路由。
#
bgp 100
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
import-route direct
import-route static
#
address-family ipv6 unicast //ipv6业务配置
import-route direct
import-route static
#
· 下述配置中,如果设备是S5560X或者S6520X,则需要设置switch-mode为VXLAN模式,重启后生效。
· 如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
· 如果设备是S5590或者S5590XP,需要设置system-working-mode为expert模式,重启后生效。
每一台Leaf设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
S5560X/S6520X配置命令如下:
#查看switch-mode,若不是VXLAN MODE,则修改成VXLAN MODE。
dis switch-mode status
Switch-mode in use: VXLAN MODE.
Switch-mode for next reboot: VXLAN MODE.
#
#查看switch-mode的命令
switch-mode ?
0 NORMAL MODE(default)
1 VXLAN MODE
2 802.1BR MODE
3 MPLS MODE
4 MPLS-IRF MODE
#
#设置成VXLAN MODE模式,执行完后需重启才能配置生效
switch-mode 1
#
S12500G-AF配置命令如下:
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模
ENHANCE-IPV6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam MIX
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
S5590或者S5590XP配置命令如下:
#工作模式设置成expert模式,执行完后需重启才能配置生效
system-working-mode expert
#
(1) 设备Leaf角色和Sysname配置。
#默认是Leaf角色的不用再配置,默认非Leaf角色的需要配置后重启生效。
#vcf-fabric role leaf
#
#配置sysname
sysname leaf1
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp instance 0 priority 8192
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
stp global enable
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#NETCONF配置
#
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
restful http enable
#
#配置ssh
ssh server enable
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置为长密码。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094。
# 创建VLAN 4094
vlan 4094
#
(7) 配置OSPF。
#
ospf 1 router-id 200.1.1.252
non-stop-routing //从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.252 255.255.255.255 //用于与Spine建立BGP邻居
ospf 1 area 0.0.0.0
#
(9) 配置Leaf与Spine连接的Underlay链路,双Spine组网下,Leaf需要同时配置与两台Spine互联的链路。配置Leaf上行接口可通过VLAN接口连接或者通过路由口连接,根据实际情况选择其中一种配置即可。通过VLAN接口连接,有2种配置方式:
方法一:Underlay IP借用LoopBack0地址。当Spine和Leaf之间的多条链路,支持ECMP方式。
#创建VLAN ,有多个上行接口时创建多个VLAN
vlan 91 //与Spine1互联使用的VLAN
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface91
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
vlan 92 //与Spine2互联使用的VLAN
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface92
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# 与Spine1连接的上行接口配置 port trunk permit vlan 91
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 91 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 91
lldp management-address arp-learning vlan 91
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
# 与Spine2连接的上行接口配置 port trunk permit vlan 92
#
interface Ten-GigabitEthernet3/0/17
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 92 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 92
lldp management-address arp-learning vlan 92
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
方法二:Underlay ip手动配置。当Spine和Leaf之间的多条链路,支持ECMP方式或LACP聚合组方式。此处以与Spine1互联的配置为例,与Spine2配置类似。
a. ECMP方式:
#创建VLAN,有多个下行接口时创建多个VLAN
vlan 91
#
# Leaf与spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.2 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# 与Spine互联的上行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
#
b. LACP聚合组方式。
#创建VLAN
vlan 91
#
#Leaf与spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.2 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#创建聚合组
interface Bridge-Aggregation501
link-aggregation mode dynamic
#
#Spine与Leaf连接的接口加入聚合组
interface Ten-GigabitEthernet2/0/7
port link-mode bridge
port link-aggregation group 501
#
interface Ten-GigabitEthernet3/0/30
port link-mode bridge
port link-aggregation group 501
#
#聚合组配置 port trunk permit
#
interface Bridge-Aggregation501
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
link-aggregation mode dynamic
#
· SeerEngine-Campus默认自动下发的VLAN:VLAN 2用于M-LAG的2台设备之间Underlay的路由同步;分配VLAN100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN3000用于Access交换机以及有线业务使用;VLAN3501-VLAN3600用于无线业务;VLAN3501-VLAN4000用于安全组使用;VLAN3001-VLAN3500用于设备自动化上线Spine-Leaf间互联的Underlay VLAN,VLAN 4090-VLAN4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4089不会自动分配。因此,建议在路由发布的VLAN接口时选择使用VLAN 3-99、VLAN 4001-4089间的VLAN。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
· 从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
通过路由口连接:
#
interface Ten-GigabitEthernet3/0/16
port link-mode route
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
lldp management-address arp-learning
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
5. 组网Access半自动化上线时,不推荐Spine和Leaf的链路使用路由口,相关限制请参考《AD-Campus 6.5 新自化配置指导》的5.2章节。
· 采用路由口互联后,Spine和Leaf间将不支持二层vlan透传,若网络中要有二层vlan透传需求,不可采用此方式部署。
(10) 使能L2VPN。
#使能L2VPN
l2vpn enable
#
(11) 配置vpn-default、VSI VXLAN4094、VSI虚接口IP地址以及L3 VNI,并在下行AC口(连接Access设备的接口)上配置服务实例(绑定VXLAN4094),用完成控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6 //ipv6业务配置
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置Vsi-interface 4094的IP地址。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.4 255.255.255.0
local-proxy-arp enable
arp proxy-send enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
ipv6 address 130:1::4/64 //ipv6业务配置
local-proxy-nd enable
#
# 配置三层转发用的Vsi-interface接口以及L3 VNI
# IP address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为Vsi-interface 4094的接口IP。
#
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
l3-vni 4092
#
# 配置VSI VXLAN4094实例
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable //ipv6业务配置
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
dhcp snooping trust tunnel
ipv6 dhcp snooping trust tunnel //ipv6业务配置
loopback-detection action block
loopback-detection enable vlan 4094
#
#Leaf与Access连接的Leaf下行接口配置成AC口
interface Ten-GigabitEthernet1/2/0/9
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
stp cost 1
stp port priority 16
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
(12) 配置BGP EVPN。
#配置BGP 100,只需要指定Spine做peer。双Spine、Spine为M-LAG组网时需要配两个peer,指向两个Spine。
#
bgp 100
non-stop-routing
router-id 200.1.1.252 //注意每台设备的router-id 不能相同,建议配置为环回口地址
peer 200.1.1.254 as-number 100 //指向Spine1
peer 200.1.1.254 connect-interface LoopBack0
peer 200.1.1.253 as-number 100 //指向Spine2
peer 200.1.1.253 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 200.1.1.254 enable
peer 200.1.1.253 enable
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
preference 240 240 130
#
#
address-family ipv6 unicast
preference 240 240 130
#
(13) 配置DHCP Snooping。
#
dhcp enable
dhcp snooping enable vlan 2 to 4094
ipv6 dhcp snooping enable vlan 2 to 4094 //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
#
(14) 配置VLAN 1和VLAN 4094的IP Source Guard免过滤。
#当Leaf下行接口配置IP Source Guard的时候需要配置,不配IP Source Guard时不影响业务
ip verify source exclude vlan 1
ip verify source exclude vlan 4094
#
(15) 关闭VXLAN Tunnel的MAC地址学习和ARP学习。
#关闭VXLAN Tunnel的ARP学习
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable // ipv6业务配置
#
# 关闭VXLAN Tunnel的MAC地址学习
vxlan tunnel mac-learning disable
#
(16) 开启按需下发功能(可选,该功能默认关闭,可根据需求开启)。如果Leaf开启了按需下发,则Spine上需要在BGP vpn-default下引入直连路由,将终端所有私网网段路由引入到Leaf和Spine,保证终端和服务器以及外网的互通。
#为节约硬件资源,通过EVPN同步的远端ARP表项默认不下驱动硬件,有流量请求时才下发。
ip forwarding-conversational-learning //开启ipv4按需下发功能
ipv6 forwarding-conversational-learning //开启ipv6按需下发功能
#流量停止,硬件表项老化删除的默认老化时间为60分钟,通过以下命令可以进行设置
[leaf1]ip forwarding-conversational-learning aging ?
INTEGER<60-1440> Aging time in (minutes)
#
· S5560X/S6520X系列设备建议配置按需下发。
· Leaf设备同时做Border时不建议配置按需下发。
(17) 配置NTP。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 100.1.0.100 vpn-instance vpn-default maxpoll 10
#
(18) 检验配置成功情况。上述配置完成后,分别检查配置成功情况。Spine、Leaf设备上都可以查看到:
[leaf1] display interface Vsi-interface brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Vsi4092 UP UP 130.1.0.4 //vsi4094,4092接口创建成功
Vsi4094 UP UP 130.1.0.4
[leaf1]
[leaf1]dis l2vpn vsi
Total number of VSIs: 2, 1 up, 1 down, 0 admin down
VSI Name VSI Index MTU State
Auto_L3VNI4092_4092 0 1500 Down //自动生成
vxlan4094 1 1500 Up
[leaf1]
[leaf1] display interface Tunnel brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Tun1 UP UP -- //隧道UP
[leaf1]
[leaf1] display interface Tunnel
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 1464
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 200.1.1.252, destination 200.1.1.254
Tunnel protocol/transport UDP_VXLAN/IP
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 29 packets, 2064 bytes, 0 drops
Output: 8 packets, 720 bytes, 0 drops
[leaf1]
[leaf1]ping -vpn-instance vpn-default 100.1.0.100 //Ping通服务器
Ping 100.1.0.100 (100.1.0.100): 56 data bytes, press CTRL+C to break
56 bytes from 100.1.0.100: icmp_seq=0 ttl=63 time=3.646 ms
56 bytes from 100.1.0.100: icmp_seq=1 ttl=63 time=1.699 ms
56 bytes from 100.1.0.100: icmp_seq=2 ttl=63 time=2.058 ms
56 bytes from 100.1.0.100: icmp_seq=3 ttl=63 time=7.078 ms
56 bytes from 100.1.0.100: icmp_seq=4 ttl=63 time=1.680 ms
--- Ping statistics for 100.1.0.100 in VPN instance vpn-default ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.483/1.620/1.991/0.189 ms
[leaf1]
(19) Leaf下行接口配置
int Ten-GigabitEthernet1/3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
stp instance 0 port priority 16
stp instance 0 cost 1
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
Leaf的下行口需使能stp tc-restriction;若直连终端,则需使能stp edged-port。
(20) Leaf堆叠环境配置桥MAC保持不变。若Leaf为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
(21) Leaf为M-LAG环境,配置vxlan隧道解封装指定LoopBack0接口。
#
vxlan default-decapsulation source interface LoopBack0
#
Access作为接入设备,需要手动配置如下:
(1) 设备Access角色和Sysname配置。
#默认是Access角色的不用再配置,非默认Access角色的需要配置后重启生效。
#
vcf-fabric role access
#
#
sysname access1
#
(2) 配置LLDP,以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp global enable
#
(4) 配置SNMP、NETCONF、TELNET、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
#
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#NETCONF配置
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
#
#配置telnet
telnet server enable //使用telnet功能时配置。Access为第三方设备时,必须在telnet和ssh中选择一种连接方式,请根据实际情况设置
#
#配置ssh
ssh server enable //使用ssh功能时配置。Access为第三方设备时,必须在telnet和ssh中选择一种连接方式,请根据实际情况设置
#
(5) 配置Telnet/SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置为长密码。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type telnet http https ssh \\ Access为第三方设备时,telnet为可选,若全局使用telent连接方式,则需配置telnet
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme //不使用用户名密码则配置为none
user-role network-admin
user-role network-operator
#
(6) 配置Access设备与Leaf设备连接的上行口permit vlan all,并配置stp。
# Access的上行口配置permit vlan all
interface Ten-GigabitEthernet1/0/52
port link-mode bridge
port link-type trunk
port trunk permit vlan all
stp cost 1
stp port priority 16
#
(7) 创建VLAN。
#
vlan 4093 to 4094
#
(8) VLAN1配置三层接口,可不配置。
# Access设备的vlan1建议不配置
interface Vlan-interface1
ip address 120.1.0.4 255.255.255.0
#
(9) 配置VLAN4094三层接口,SeerEngine-Campus通过该地址纳管Access。
#
interface Vlan-interface4094
ip address 130.1.0.5 255.255.255.0
#
(10) 配置VLAN4094的静态路由。
Access上配置到服务器的静态路由,指定网关为Spine1和Spine2的vsi4094地址。
#
ip route-static 100.1.0.0 24 130.1.0.2 //130.1.0.2为Spine1的vsi4094地址
ip route-static 110.1.0.0 24 130.1.0.2
ip route-static 100.1.0.0 24 130.1.0.3 //130.1.0.3为Spine2的vsi4094地址
ip route-static 110.1.0.0 24 130.1.0.3
#
(11) 配置NTP服务器。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 100.1.0.100
#
(12) STP边缘端口。SeerEngine-Campus园区控制组件纳管Access设备后,自动会对Access设备用于连接用户的接口配置成STP边缘端口并给每个接口分配VLAN ID,该配置是园区控制组件自动完成,无需手动配置。 若园区控制组件未下发配置,可手动设置。
#
interface GigabitEthernet1/0/22
port access vlan 115
stp edged-port
#
(13) Access堆叠环境配置桥MAC保持不变。若Access为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
(14) Access级联的端口配置。若Access下级联了其他Access,则在级联的接口下配置stp
# Access的下行口配置stp
interface Ten-GigabitEthernet1/0/30
stp cost 1
stp port priority 16
#
SeerEngine-Campus园区控制组件已支持双Spine的M-LAG配置,具体请参见13 M-LAG跨设备聚合组配置。本章节为手动配置M-LAG的介绍。手工配置M-LAG后,设备被控制组件纳管时会出现M-LAG相关配置的审计差异,此为正常现象。
在L3 Switch上的配置如下:
(1) 全局使能DHCP,STP。
#使能DHCP,若整个组网所有设备都为手工纳管,则不需要配置;若有部分设备需自动化上线,则需配置。
dhcp enable
#
#使能STP
stp global enable
(2) VLAN1接口配置。
#vlan1用于设备自动化上线,若整个组网设备都为手动配置上线,则可不配置。
interface Vlan-interface1
ip address 120.1.0.1 255.255.255.0
dhcp select relay //DHCP Relay相关的配置,用于设备自动化上线,若Spine/Leaf/Access都为手动配置纳管,则DHCP Relay相关配置可以不配。
dhcp relay server-address 110.1.0.105 //vDHCP服务器节点的IP地址, 请勿配置成集群IP
dhcp relay server-address 110.1.0.106
#
(3) 与统一数字底盘连接、SeerEngine-Campus的接口配置。
#
vlan 30
vlan 1010
#
#
interface Vlan-interface 30
ip address 100.1.0.1 255.255.255.0
#
#
interface Vlan-interface 1010
ip address 110.1.0.1 255.255.255.0
ipv6 address 110:1::1/64 //ipv6业务配置
#
#
interface GigabitEthernet1/0/7
port access vlan 30
stp edged-port //L3交换机与服务器相连的端口,配置为STP边缘端口。
#
与SeerEngine-Campus,vDHCP连接的接口加入VLAN1010
#
interface GigabitEthernet1/0/3
port access vlan 1010
stp edged-port //L3交换机与服务器相连的端口,配置为STP边缘端口。
#
(4) 创建VLAN10,VLAN11。
#
vlan 10 to 11
#
# 与Spine连接的vlan10 和 vlan11 配置为ignored vlan
stp ignored vlan 10 to 11
#
(5) 配置VLAN10、11虚接口。
#
interface Vlan-interface10
ip address 10.0.0.1 255.255.255.0
ipv6 address 10::1/64 //ipv6业务配置
#
interface Vlan-interface11
ip address 11.0.0.1 255.255.255.0
ipv6 address 11::1/64 //ipv6业务配置
#
(6) 与Spine1连接的接口放通VLAN10。
#
interface Ten-GigabitEthernet1/0/25
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 10 //permit vlan1请根据实际组网设置,若不需要则执行undo permit vlan1
#
(7) 与Spine2连接的接口放通VLAN11。
#
interface Ten-GigabitEthernet1/0/26
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 11 //permit vlan1请根据实际组网设置,若不需要则执行undo permit vlan1
#
(8) 配置track。
#
track 1 interface Ten-GigabitEthernet1/0/25 physical
track 2 interface Ten-GigabitEthernet1/0/26 physical
#
(9) 配置两条默认路由,next-hop为Spine1和Spine2的IP。
ipv4静态路由配置
#
ip route-static 0.0.0.0 0 10.0.0.11 track 1
ip route-static 0.0.0.0 0 11.0.0.12 track 2
#
ipv6静态路由配置
#
ipv6 route-static :: 0 10::11 track 1
ipv6 route-static :: 0 11::12 track 2
#
(10) 增加到Spine的32位主机路由,避免Spine之间链路down,Spine1或者Spine2托管。
#
ip route-static 130.1.0.2 32 10.0.0.11 track 1 //130.1.0.2为Spine1的vsi4094地址
ip route-static 130.1.0.3 32 11.0.0.12 track 2 //130.1.0.3为Spine2的vsi4094地址
#
下述配置中,如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模
ENHANCE-IPV6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam ARP
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
Spine设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
(1) 设备Spine角色和Sysname配置。
#默认是Spine角色的不用再配置,非默认Spine角色的需要配置后重启生效
vcf-fabric role spine
#
sysname spine1
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp global enable
stp instance 0 priority 0
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#配置NETCONF
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
restful http enable
#
#配置ssh
ssh server enable
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094。
#创建 Vlan 4094
vlan 4094
#
(7) 配置OSPF。
#
ospf 1 router-id 200.1.1.254
non-stop-routing //从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.254 255.255.255.255
ospf 1 area 0.0.0.0 //配置OSPF
#
(9) 配置Spine与Leaf连接的Underlay链路。配置Spine下行接口可通过VLAN接口连接或者通过路由口连接,根据实际情况选择其中一种配置即可。通过VLAN接口连接,有2种配置方式。
方法一:Underlay IP借用LoopBack0地址。当Spine和Leaf之间的多条链路,支持ECMP方式。
#创建VLAN ,有多个下行接口时创建多个VLAN
vlan 91
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface91
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine下行接口配置stp和 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
stp root-protection
port trunk permit vlan 1 91 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 91
lldp management-address arp-learning vlan 91
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
方法二:Underlay IP手动配置。当Spine和Leaf之间的多条链路,支持ECMP方式或LACP聚合组方式。
a. ECMP方式:
#创建VLAN,有多个下行接口时创建多个VLAN
vlan 91
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine下行接口配置 stp、port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
stp root-protection
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
#
b. LACP聚合组方式。
#创建VLAN
vlan 91
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#创建聚合组
interface Bridge-Aggregation501
link-aggregation mode dynamic
#
#Spine与Leaf连接的接口加入聚合组
interface Ten-GigabitEthernet2/0/7
port link-mode bridge
port link-aggregation group 501
#
interface Ten-GigabitEthernet3/0/30
port link-mode bridge
port link-aggregation group 501
#
#聚合组配置 stp,port trunk permit
#
interface Bridge-Aggregation501
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
link-aggregation mode dynamic
stp root-protection
#
· SeerEngine-Campus默认自动下发的VLAN:VLAN 2用于M-LAG的2台设备之间Underlay的路由同步;分配VLAN100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN3000用于Access交换机以及有线业务使用;VLAN3501-VLAN3600用于无线业务;VLAN3501-VLAN4000用于安全组使用;VLAN3001-VLAN3500用于设备自动化上线Spine-Leaf间互联的Underlay VLAN,VLAN 4090-VLAN4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4089不会自动分配。因此,建议在路由发布的VLAN接口时选择使用VLAN 3-99、VLAN 4001-4089间的VLAN。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
· 从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
通过路由口连接:
#
interface Ten-GigabitEthernet3/0/16
port link-mode route
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
lldp management-address arp-learning
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
6. 组网Access半自动化上线时,不推荐Spine和Leaf的链路使用路由口,相关限制请参考《AD-Campus 6.5 新自化配置指导》的5.2章节。
· 采用路由口互联后,Spine和Leaf间将不支持二层VLAN透传,若网络中要有二层VLAN透传需求,不可采用此方式部署。
(10) 使能L2VPN。
#
l2vpn enable
#
(11) 配置vpn-target,VSI VXLAN4094、Vsi-interface虚接口IP地址以及L3VNI,用以控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1。
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6 //ipv6业务配置
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置Vsi-interface 4094的IP地址。
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.2 255.255.255.0
local-proxy-arp enable
arp proxy-send enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
ipv6 address 130:1::2/64 // ipv6业务配置
local-proxy-nd enable
#
# 配置三层转发用的Vsi-interface接口以及L3 VNI
# ip address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为Vsi-interface 4094的接口IP。
#创建VSI接口4092用于配置vpn-default的L3VNI
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
l3-vni 4092
#
(12) 配置VSI VXLAN4094实例。
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable //ipv6业务配置
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
loopback-detection action block
loopback-detection enable vlan 4094
#
(13) 配置BGP EVPN。
# 配置BGP,如果有多个Leaf,就需要配置多个peer。
# 手动配置的BGP AS号必须保证与SeerEngine-Campus中Fabric设置的AS号相同
#
bgp 100
non-stop-routing
router-id 200.1.1.254 //注意每台设备的router-id不能相同
peer 200.1.1.252 as-number 100 //配置BGP peer,IP地址为Leaf设备的LoopBack口地址
peer 200.1.1.252 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 200.1.1.252 enable //多个Leaf配置多条
peer 200.1.1.252 reflect-client //配置路由反射器, 用于转发不同Leaf之间的路由
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
preference 240 240 130
import-route direct //引入直连路由,Leaf设备上如果开启IPv4按需下发功能时需要配置
import-route static //引入静态路由
#
#
address-family ipv6 unicast //ipv6业务配置
import-route direct
import-route static
#
(14) 创建VLAN10和VLAN11。
#
vlan 10 to 11
#
#Spine与L3连接的上行行接口vlan配置stp ignored
stp ignored vlan 10 11
#
(15) 配置VLAN10和VLAN11虚接口,绑定vpn-default。
#
interface Vlan-interface10
ip binding vpn-instance vpn-default
ip address 10.0.0.11 255.255.255.0
ipv6 address 10::11/64 //ipv6业务配置
#
#
interface Vlan-interface11
ip binding vpn-instance vpn-default
ip address 11.0.0.11 255.255.255.0
ipv6 address 11::11/64 //ipv6业务配置
#
(16) 与L3 Switch连接的接口放通VLAN10。
#
interface Ten-GigabitEthernet2/0/31
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 10 //permit vlan1请根据实际组网配置
#
(17) 配置nqa+track,联动到服务器集群的静态路由,下一跳为L3上vlan10和vlan11的网关IP联动track。
#Spine1到服务器的路由,直连L3链路的路由nqa+track配置
nqa entry admin server1
type icmp-echo
destination ip 10.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
#Spine1到服务器的备份路由nqa+track配置
nqa entry admin server2
type icmp-echo
destination ip 11.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin server1 start-time now lifetime forever
nqa schedule admin server2 start-time now lifetime forever
#
#手动配置track ID避开控制组件使用的ID,建议使用101-512
track 101 nqa entry admin server1 reaction 1
track 102 nqa entry admin server2 reaction 1
#
nqa+track联动静态路由
#
ip route-static vpn-instance vpn-default 100.1.0.0 24 10.0.0.1 track 101
ip route-static vpn-instance vpn-default 100.1.0.0 24 11.0.0.1 track 102 preference 61
ip route-static vpn-instance vpn-default 110.1.0.0 24 10.0.0.1 track 101
ip route-static vpn-instance vpn-default 110.1.0.0 24 11.0.0.1 track 102 preference 61
#
ipv6业务的nqa+track联动静态路由配置:
#
nqa entry admin ipv6_server1
type icmp-echo
destination ipv6 10::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa entry admin ipv6_server2
type icmp-echo
destination ip 11::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin ipv6_server1 start-time now lifetime forever
nqa schedule admin ipv6_server2 start-time now lifetime forever
#
手动配置track ID避开控制组件使用的ID,建议使用101-512
#
track 103 nqa entry admin ipv6_server1 reaction 1
track 104 nqa entry admin ipv6_server2 reaction 1
#
到DHCPv6 Server的ipv6的静态路由,NQA+TRACK联动
#
ipv6 route-static vpn-instance vpn-default 110:1:: 64 10::1 track 103
ipv6 route-static vpn-instance vpn-default 110:1:: 64 11::1 track 104 preference 61
#
(18) 关闭VXLAN Tunnel的MAC地址学习和ARP/ND学习。
#关闭VXLAN Tunnel的ARP学习,禁止远端报文的ARP学习
vxlan tunnel arp-learning disable
#
#若需配置IPv6业务,则需要配置禁止ND学习
vxlan tunnel nd-learning disable
#
# 关闭VXLAN Tunnel的MAC地址学习,禁止远端报文的MAC地址学习
vxlan tunnel mac-learning disable
#
(19) 配置NTP。
#
clock timezone beijing add 08:00:00
#
# IP地址为NTP服务器IP,统一数字底盘默认内置NTP服务器,IP地址为集群北向IP
ntp-service enable
ntp-service unicast-server 100.1.0.100 vpn-instance vpn-default maxpoll 10
#
(20) Spine为M-LAG环境,配置VXLAN隧道解封装指定LoopBack0接口。
#
vxlan default-decapsulation source interface LoopBack0
#
下述配置中,如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模
ENHANCE-IPv6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam ARP
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
Spine设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
(1) 设备Spine角色和Sysname配置。
#默认是Spine角色的不用再配置,非默认Spine角色的需要配置后重启生效
vcf-fabric role spine
#
sysname spine2
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp global enable
stp instance 0 priority 0
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#配置NETCONF
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
restful http enable
#
#配置ssh
ssh server enable
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置密码符合等级保护要求。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094。
#创建 Vlan 4094
vlan 4094
#
(7) 配置OSPF。
#
ospf 1 router-id 200.1.1.253
non-stop-routing //从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.253 255.255.255.255
ospf 1 area 0.0.0.0 //配置OSPF
#
(9) 配置Spine2与Leaf连接的Underlay链路。配置Spine下行接口可通过VLAN接口连接或者通过路由口连接,根据实际情况选择其中一种配置即可。通过VLAN接口连接,有2种配置方式。
方法一:Underlay IP借用LoopBack0地址。当Spine和Leaf之间的多条链路,支持ECMP方式。
#创建VLAN ,有多个下行接口时创建多个VLAN
vlan 92
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface92
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine2下行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
stp root-protection
port trunk permit vlan 1 92 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 92
lldp management-address arp-learning vlan 92
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
方法二:Underlay IP手动配置。当Spine和Leaf之间的多条链路,支持ECMP方式或LACP聚合组方式。
a. ECMP方式:
#创建VLAN,有多个下行接口时创建多个VLAN
vlan 92
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface92
ip address 92.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# Spine2下行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
stp root-protection
port trunk permit vlan 1 92
#
b. LACP聚合组方式:
#创建VLAN
vlan 92
#
#Spine与Leaf连接的下行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface92
ip address 92.1.0.1 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#创建聚合组
interface Bridge-Aggregation501
link-aggregation mode dynamic
#
#Spine与Leaf连接的接口加入聚合组
interface Ten-GigabitEthernet2/0/7
port link-mode bridge
port link-aggregation group 501
#
interface Ten-GigabitEthernet3/0/30
port link-mode bridge
port link-aggregation group 501
#
#聚合组配置 port trunk permit
#
interface Bridge-Aggregation501
port link-type trunk
stp root-protection
port trunk permit vlan 1 92 // permit vlan 1 请根据实际组网需求配置
link-aggregation mode dynamic
#
· SeerEngine-Campus默认自动下发的VLAN:VLAN 2用于M-LAG的2台设备之间Underlay的路由同步;分配VLAN100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN3000用于Access交换机以及有线业务使用;VLAN3501-VLAN3600用于无线业务;VLAN3501-VLAN4000用于安全组使用;VLAN3001-VLAN3500用于设备自动化上线Spine-Leaf间互联的Underlay VLAN,VLAN 4090-VLAN4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4089不会自动分配。因此,建议在路由发布的VLAN接口时选择使用VLAN 3-99、VLAN 4001-4089间的VLAN。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
· 从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
通过路由口连接:
#
interface Ten-GigabitEthernet3/0/16
port link-mode route
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
lldp management-address arp-learning
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
7. 组网Access半自动化上线时,不推荐Spine和Leaf的链路使用路由口,相关限制请参考《AD-Campus 6.5 新自化配置指导》的5.2章节。
· 采用路由口互联后,spine和leaf间将不支持二层vlan透传,若网络中要有二层vlan透传需求,不可采用此方式部署。
(10) 使能L2VPN。
#
l2vpn enable
#
(11) 配置vpn-target,VSI VXLAN4094、Vsi-interface虚接口IP地址以及L3VNI,用以控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1。
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6 //ipv6业务配置
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置Vsi-interface 4094的IP地址。
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.3 255.255.255.0
local-proxy-arp enable
arp proxy-send enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
ipv6 address 130:1::3/64 // ipv6业务配置
local-proxy-nd enable
#
# 配置三层转发用的Vsi-interface接口以及L3 VNI
# ip address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为Vsi-interface 4094的接口IP。
#创建VSI接口4092用于配置vpn-default的L3VNI
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
l3-vni 4092
#
(12) 配置VSI VXLAN4094实例。
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable //ipv6业务配置
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
loopback-detection action block
loopback-detection enable vlan 4094
#
(13) 配置BGP EVPN。
# 配置BGP,如果有多个Leaf,就需要配置多个peer。
# 手动配置的BGP AS号必须保证与SeerEngine-Campus中Fabric设置的AS号相同
#
bgp 100
non-stop-routing
router-id 200.1.1.253 //注意每台设备的router-id不能相同
peer 200.1.1.252 as-number 100 //配置BGP peer,IP地址为Leaf设备的LoopBack口地址
peer 200.1.1.252 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 200.1.1.252 enable //多个Leaf配置多条
peer 200.1.1.252 reflect-client //配置路由反射器, 用于转发不同Leaf之间的路由
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
preference 240 240 130
import-route direct //引入直连路由,Leaf设备上如果开启IPv4按需下发功能时需要配置
import-route static //引入静态路由
#
#
address-family ipv6 unicast //ipv6业务配置
import-route direct
import-route static
#
(14) 创建VLAN10和VLAN11。
#
vlan 10 to 11
#
#Spine与L3连接的上行行接口vlan配置stp ignored
stp ignored vlan 10 11
#
(15) 配置VLAN10和VLAN11虚接口,绑定vpn-default。
#
interface Vlan-interface10
ip binding vpn-instance vpn-default
ip address 10.0.0.12 255.255.255.0
ipv6 address 10::12/64 //ipv6业务配置
#
#
interface Vlan-interface11
ip binding vpn-instance vpn-default
ip address 11.0.0.12 255.255.255.0
ipv6 address 11::11/64 //ipv6业务配置
#
(16) 与L3 Switch连接的接口放通VLAN11。
#
interface Ten-GigabitEthernet2/0/31
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 11 //permit vlan1请根据实际组网配置
#
(17) 配置nqa+track,配置到服务器集群的静态路由,下一跳为L3上VLAN10和VLAN11的网关IP联动track。
# Spine2到服务器的路由,直连L3链路的路由nqa+track配置
nqa entry admin server1
type icmp-echo
destination ip 11.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
# Spine2到服务器的备份路由nqa+track配置
nqa entry admin server2
type icmp-echo
destination ip 10.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin server1 start-time now lifetime forever
nqa schedule admin server2 start-time now lifetime forever
#
手动配置track ID避开控制组件使用的ID,建议使用101-512
#
track 101 nqa entry admin server1 reaction 1
track 102 nqa entry admin server2 reaction 1
#
ip route-static vpn-instance vpn-default 100.1.0.0 24 11.0.0.1 track 101
ip route-static vpn-instance vpn-default 100.1.0.0 24 10.0.0.1 track 102 preference 61
ip route-static vpn-instance vpn-default 110.1.0.0 24 11.0.0.1 track 101
ip route-static vpn-instance vpn-default 110.1.0.0 24 10.0.0.1 track 102 preference 61
#
ipv6业务的nqa+track配置:
#
nqa entry admin ipv6_server1
type icmp-echo
destination ipv6 10::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa entry admin ipv6_server2
type icmp-echo
destination ip 11::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin ipv6_server1 start-time now lifetime forever
nqa schedule admin ipv6_server2 start-time now lifetime forever
#
手动配置track ID避开控制组件使用的ID,建议使用101-512
#
track 103 nqa entry admin ipv6_server1 reaction 1
track 104 nqa entry admin ipv6_server2 reaction 1
#
到DHCPv6 Server的ipv6的静态路由,NQA+TRACK联动
#
ipv6 route-static vpn-instance vpn-default 110:1:: 64 10::1 track 103
ipv6 route-static vpn-instance vpn-default 110:1:: 64 11::1 track 104 preference 61
#
ipv6业务的nqa+track联动静态路由配置:
#
nqa entry admin ipv6_server1
type icmp-echo
destination ipv6 11::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa entry admin ipv6_server2
type icmp-echo
destination ip 10::1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn-default
#
nqa schedule admin ipv6_server1 start-time now lifetime forever
nqa schedule admin ipv6_server2 start-time now lifetime forever
#
手动配置track ID避开控制组件使用的ID,建议使用101-512
#
track 103 nqa entry admin ipv6_server1 reaction 1
track 104 nqa entry admin ipv6_server2 reaction 1
#
到DHCPv6 Server的ipv6的静态路由,NQA+TRACK联动
#
ipv6 route-static vpn-instance vpn-default 110:1:: 64 11::1 track 103
ipv6 route-static vpn-instance vpn-default 110:1:: 64 10::1 track 104 preference 61
#
(18) 关闭VXLAN Tunnel的MAC地址学习和ARP/ND学习。
#关闭VXLAN Tunnel的ARP学习,禁止远端报文的ARP学习
vxlan tunnel arp-learning disable
#
#若需配置IPv6业务,则需要配置禁止ND学习
vxlan tunnel nd-learning disable
#
# 关闭VXLAN Tunnel的MAC地址学习,禁止远端报文的MAC地址学习
vxlan tunnel mac-learning disable
#
(19) 配置NTP。
#
clock timezone beijing add 08:00:00
#
# IP地址为NTP服务器IP,统一数字底盘默认内置NTP服务器,IP地址为集群北向IP
ntp-service enable
ntp-service unicast-server 100.1.0.100 vpn-instance vpn-default maxpoll 10
#
(20) Spine为M-LAG环境,配置VXLAN隧道解封装指定LoopBack0接口。
#
vxlan default-decapsulation source interface LoopBack0
#
(1) 配置快速重路由。
#
ip route-static fast-reroute auto
#
(2) 配置OSPF 快速重路由。
#
ospf 1 router-id 200.1.1.254 //指定router-id全网唯一,不能冲突,借用LoopBack0的地址
non-stop-routing
fast-reroute lfa
area 0.0.0.0
#
(3) 配置LoopBack2,Spine1和Spine2的IP地址相同。
#
interface LoopBack2
ip address 99.99.0.10 255.255.255.255
ospf 1 area 0.0.0.0
#
(4) 创建LAN2,配置VLAN2虚接口,Spine1和Spine2的IP地址不同,VLAN2用于M-LAG 2台设备之间同步Underlay路由。
#
vlan 2
#
interface Vlan-interface2
ip address 99.99.0.11 255.255.255.0
ospf network-type p2p
ospf 1 area 0.0.0.0
#
(5) 配置VSI4094 mac-address,Spine1和Spine2配置相同的mac-adress。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.2 255.255.255.0
mac-address 0001-0001-0005
local-proxy-arp enable
#
(6) 配置EVPN的分布式聚合模式,Spine1和Spine2的配置相同。
#
l2vpn m-lag peer-link ac-match-rule vxlan-mapping
evpn m-lag group 99.99.0.10 //指定虚拟VTEP地址为loopback2接口IP,设备会重新激活
evpn global-mac 0001-0001-0004 //Spine1和Spine2的mac相同
#
#
vxlan default-decapsulation source interface LoopBack0
#
(7) 配置BGP的发布MAC为M-LAG group-address。
#可不配,当前控制组件在出口网关配置时会自动下发。
#
bgp 100
address-family l2vpn evpn
nexthop evpn-m-lag group-address
#
(8) 配置keepalive接口(3层接口,可以使用逻辑口、物理口)。
#
ip vpn-instance M-LAG_KeepAlive //配置keepalive 专属VPN实例
#
#
interface FortyGigE3/0/33
port link-mode route
ip binding vpn-instance M-LAG_KeepAlive //绑定vpn
ip address 192.168.0.1 255.255.255.252 //配置地址掩码30,spine1和spine2的IP地址不同
#
(9) 配置keepalive 本端、远端地址。
#
m-kag keepalive ip destination 192.168.0.2 source 192.168.0.1 vpn-instance M-LAG_KeepAlive
#
(10) 配置M-LAG系统参数。
M-LAG组内设备要配置相同的system-mac,不同的system-number
#
m-lag restore-delay 180
m-lag system-mac 542b-de08-8200
m-lag system-number 1
m-lag system-priority 10
#
(11) 配置Peer-link接口(必须为二层聚合口)。
#
创建VLAN1-VLAN4094
Peer-link上的AC报文匹配规则将由VXLAN ID映射生成,若缺少VLAN,会导致通过Peer-link链路的流量异常
在VTEP上创建VXLAN后,Peer-link上会自动生成AC,该AC与VXLAN对应的VSI关联,该AC的报文匹配规则为:
¡ 外层VLAN标签(s-vid)为VXLAN ID除以4094,取整后加1,即VXLAN ID/4094+1。
¡ 内层VLAN标签(c-vid)为VXLAN ID除以4094,取余后加1,即VXLAN ID%4094+1。
¡ 如果计算出来的外层VLAN标签为Peer-link接口的PVID,则s-vid变更为VXLAN ID%4094+1、无c-vid。
#
VLAN 1 to 4094
#
#
interface Bridge-Aggregation1
port link-type trunk
#
interface Ten-GigabitEthernet2/0/1
port link-mode bridge
port link-aggregation group 1
#
#
interface Ten-GigabitEthernet2/0/15
port link-mode bridge
port link-aggregation group 1
#
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 4094 //必须配置为pvid 4094
link-aggregation mode dynamic
port m-lag peer-link 1 //配置Peer-link接口
undo mac-address static source-check enable //关闭源MAC检查
#
(12) 配置M-LAG MAD。
#
m-lag mad default-action none
#
track 1024 mlag-mad-status
#
#
interface LoopBack2
ip address 99.99.0.10 255.255.255.255
ospf 1 area 0.0.0.0
ospf track 1024 adjust-cost max
#
(13) 配置mac-address老化时间不低于20分钟。
#
mac-address timer aging 1560
#
(14) 配置Spine1连接Leaf的接口关闭源MAC检查。
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 91
lldp source-mac vlan 91
lldp management-address arp-learning vlan 91
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
undo mac-address static source-check enable
#
(15) 配置设备重启后的自动恢复时间。
# 请配置本定时器的值大于整机重启时间,避免m-lag设备间出现角色抢占。
m-lag auto-recovery reload-delay 600
#
(1) 配置快速重路由。
#
ip route-static fast-reroute auto
#
(2) 配置OSPF 快速重路由。
#
ospf 1 router-id 200.1.1.253 //指定router-id全网唯一,不能冲突,借用LoopBack0的地址
non-stop-routing
fast-reroute lfa
area 0.0.0.0
#
(3) 配置LoopBack2,Spine1和Spine2的IP地址相同。
#
interface LoopBack2
ip address 99.99.0.10 255.255.255.255
ospf 1 area 0.0.0.0
#
(4) 创建VLAN2,配置VLAN2虚接口,Spine1和Spine2的IP地址不同。
#
vlan 2
#
interface Vlan-interface2
ip address 99.99.0.12 255.255.255.0
ospf network-type p2p
ospf 1 area 0.0.0.0
#
(5) VSI4094配置mac-address,Spine1和Spine2配置相同的mac-adress。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.3 255.255.255.0
mac-address 0001-0001-0005
local-proxy-arp enable
#
(6) 配置EVPN的分布式聚合模式,Spine1和Spine2的配置相同。
#
l2vpn m-lag peer-link ac-match-rule vxlan-mapping
evpn m-lag group 99.99.0.10 //指定虚拟VTEP地址为loopback2接口IP,设备会重新激活
evpn global-mac 0001-0001-0004 //Spine1和Spine2的mac相同
#
#
vxlan default-decapsulation source interface LoopBack0
#
(7) 配置bgp的发布mac为M-LAG group-address。
#可不配,当前控制组件在出口网关配置时会自动下发。
#
bgp 100
address-family l2vpn evpn
nexthop evpn-m-lag group-address
#
(8) 配置keepalive接口(3层接口,可以使用逻辑口、物理口)。
#
ip vpn-instance M-LAG_KeepAlive //配置keepalive 专属VPN实例
#
#
interface FortyGigE3/0/33
port link-mode route
ip binding vpn-instance M-LAG_KeepAlive //绑定vpn
ip address 192.168.0.2 255.255.255.252 //配置地址掩码30,spine1和spine2的IP地址不同
#
(9) 配置keepalive 本端、远端地址。
#
m-lag keepalive ip destination 192.168.0.1 source 192.168.0.2 vpn-instance M-LAG_KeepAlive
#
(10) 配置M-LAG系统参数,M-LAG组内设备要配置相同的system-mac,不同的system-number。
#
m-lag restore-delay 180
m-lag system-mac 542b-de08-8200
m-lag system-number 2
m-lag system-priority 10
#
(11) 配置Peer-link接口(必须为二层聚合口)。
#
创建VLAN1-VLAN4094
Peer-link上的AC报文匹配规则将由VXLAN ID映射生成,若缺少VLAN,会导致通过Peer-link链路的流量异常
在VTEP上创建VXLAN后,Peer-link上会自动生成AC,该AC与VXLAN对应的VSI关联,该AC的报文匹配规则为:
外层VLAN标签(s-vid)为VXLAN ID除以4094,取整后加1,即VXLAN ID/4094+1。
内层VLAN标签(c-vid)为VXLAN ID除以4094,取余后加1,即VXLAN ID%4094+1。
如果计算出来的外层VLAN标签为Peer-link接口的PVID,则s-vid变更为VXLAN ID%4094+1、无c-vid。
#
VLAN 1 to 4094
#
#
interface Bridge-Aggregation1
#
#
interface Ten-GigabitEthernet3/0/15
port link-mode bridge
port link-aggregation group 1
#
#
interface Ten-GigabitEthernet3/0/22
port link-mode bridge
port link-aggregation group 1
#
#
#
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
port trunk pvid vlan 4094 //必须配置为pvid 4094
link-aggregation mode dynamic
port m-lag peer-link 1 //配置Peer-link接口
undo mac-address static source-check enable //并关闭源MAC检查
#
(12) 配置M-LAG MAD。
#
m-lag mad default-action none
#
track 1024 mlag-mad-status
#
#
interface LoopBack2
ip address 99.99.0.10 255.255.255.255
ospf 1 area 0.0.0.0
ospf track 1024 adjust-cost max
#
(13) 配置mac-address老化时间不低于20分钟。
#
mac-address timer aging 1560
#
(14) 配置Spine2连接Leaf的接口关闭源MAC检查。
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 92
lldp source-mac vlan 92
lldp management-address arp-learning vlan 92
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
undo mac-address static source-check enable
#
(15) 配置设备重启后的自动恢复时间。
# 请配置本定时器的值大于整机重启时间,避免m-lag设备间出现角色抢占。
m-lag auto-recovery reload-delay 600
#
· 下述配置中,如果设备是S5560X或者S6520X,则需要设置switch-mode为VXLAN模式,重启后生效。
· 如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
· 如果设备是S5590或者S5590XP,需要设置system-working-mode为expert模式,重启后生效。
· Leaf设备M-LAG的配置需要通过控制组件进行配置,不推荐手动配置M-LAG。
每一台Leaf设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
S5560X/S6520X配置命令如下:
#查看switch-mode,若不是VXLAN MODE,则修改成VXLAN MODE。
dis switch-mode status
Switch-mode in use: VXLAN MODE.
Switch-mode for next reboot: VXLAN MODE.
#
#查看switch-mode的命令
switch-mode ?
0 NORMAL MODE(default)
1 VXLAN MODE
2 802.1BR MODE
3 MPLS MODE
4 MPLS-IRF MODE
#
#设置成VXLAN MODE模式,执行完后需重启才能配置生效
switch-mode 1
#
S12500G-AF配置命令如下:
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模
ENHANCE-IPV6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam MIX
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
S5590或者S5590XP配置命令如下:
#工作模式设置成expert模式,执行完后需重启才能配置生效
system-working-mode expert
#
(1) 设备Leaf角色和Sysname配置。
#默认是Leaf角色的不用再配置,默认非Leaf角色的需要配置后重启生效。
#vcf-fabric role leaf
#
#配置sysname
sysname leaf1
#
(2) 配置LLDP,用以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp instance 0 priority 8192
stp ignored vlan 3001 to 3500 //请根据实际组网ignored underlay链路的permit vlan
stp global enable
#
单Leaf组网双Leaf模型,2台Leaf的STP配置如下:
#
stp mode mstp
stp instance 0 priority 0
stp global enable
#
(4) 配置SNMP、NETCONF、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#NETCONF配置
#
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
restful http enable
#
#配置ssh
ssh server enable
#
(5) 配置SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置为长密码。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type http https ssh
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme
user-role network-admin
user-role network-operator
#
(6) 创建VLAN 4094。
# 创建VLAN 4094
vlan 4094
#
(7) 配置OSPF。
#
ospf 1 router-id 200.1.1.252
non-stop-routing //从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
area 0.0.0.0
#
(8) 配置LoopBack接口。
#
interface LoopBack0
ip address 200.1.1.252 255.255.255.255 //用于与Spine建立BGP邻居
ospf 1 area 0.0.0.0
#
(9) 配置Leaf与Spine连接的Underlay链路,双Spine场景下需要分别配置与2台设备互联的链路。配置Leaf上行接口可通过VLAN接口连接或者通过路由口连接,根据实际情况选择其中一种配置即可。通过VLAN接口连接,有2种配置方式。
方法一:Underlay ip借用LoopBack0地址。当Spine和Leaf之间的多条链路,支持ECMP方式
#创建VLAN ,有多个上行接口时创建多个VLAN
vlan 91 //与Spine1互联使用的VLAN
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface91
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
vlan 92 //与Spine2互联使用的VLAN
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 92
#
#创建VLAN虚接口, Underlay ip借用LoopBack0地址。使用借用LoopBack0地址的方式时,Spine和Leaf之间的多条链路,必须使用ECMP方式,不能使用聚合组方式。
interface Vlan-interface92
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# 与Spine1连接的上行接口配置 port trunk permit vlan 91
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 91 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 91
lldp management-address arp-learning vlan 91
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
# 与Spine2连接的上行接口配置 port trunk permit vlan 92
#
interface Ten-GigabitEthernet3/0/17
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 92 //permit vlan 1 请根据实际组网需求配置
lldp source-mac vlan 92
lldp management-address arp-learning vlan 92
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
方法二:Underlay IP手动配置。当Spine和Leaf之间的多条链路,支持ECMP方式或LACP聚合组方式。此处以与Spine1互联的配置为例,与Spine2配置类似。
a. ECMP方式。
#创建VLAN,有多个下行接口时创建多个VLAN
vlan 91
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.2 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
# 与Spine互联的上行接口配置 port trunk permit
#
interface Ten-GigabitEthernet3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
#
b. LACP聚合组方式。
#创建VLAN
vlan 91
#
#Leaf与Spine连接的上行接口vlan配置stp ignored
stp ignored vlan 91
#
#创建VLAN虚接口,Underlay ip请根据实际规划配置。
interface Vlan-interface91
ip address 91.1.0.2 24 //根据实际规划,使用未用过的网段地址即可
ospf network-type p2p
ospf 1 area 0.0.0.0
#
#创建聚合组
interface Bridge-Aggregation501
link-aggregation mode dynamic
#
#Spine与Leaf连接的接口加入聚合组
interface Ten-GigabitEthernet2/0/7
port link-mode bridge
port link-aggregation group 501
#
interface Ten-GigabitEthernet3/0/30
port link-mode bridge
port link-aggregation group 501
#
#聚合组配置 port trunk permit
#
interface Bridge-Aggregation501
port link-type trunk
port trunk permit vlan 1 91 // permit vlan 1 请根据实际组网需求配置
link-aggregation mode dynamic
#
· SeerEngine-Campus默认自动下发的VLAN:VLAN 2用于M-LAG的2台设备之间Underlay的路由同步;分配VLAN100用于设备自动化堆叠的BFD检测,VLAN 101-VLAN3000用于Access交换机以及有线业务使用;VLAN3501-VLAN3600用于无线业务;VLAN3501-VLAN4000用于安全组使用;VLAN3001-VLAN3500用于设备自动化上线Spine-Leaf间互联的Underlay VLAN,VLAN 4090-VLAN4094为保留VLAN;剩余VLAN 1-VLAN99、VLAN 4001-VLAN 4089不会自动分配。因此,建议在路由发布的VLAN接口时选择使用VLAN 3-99、VLAN 4001-4089间的VLAN。
· Spine和Leaf之间有多条链路连接时,Spine和Leaf多条链路为ECMP链路。由于VLAN1使能STP,Spine和Leaf之间链路Discarding状态为正常现象。
· 从SP2510版本开启时, 部分交换机如S12500G-AF默认开启了OSPF的NSR功能,不需要手工配置。若设备命令行不支持,请忽略。如果当前版本默认设置为关闭ospf的NSR功能,建议在升级版本时取消该设置。
通过路由口连接:
#
interface Ten-GigabitEthernet3/0/16
port link-mode route
ip address unnumbered interface LoopBack0 //借用LoopBack0地址
ospf network-type p2p
ospf 1 area 0.0.0.0
lldp management-address arp-learning
lldp tlv-enable basic-tlv management-address-tlv interface LoopBack0
#
8. 组网Access半自动化上线时,不推荐Spine和Leaf的链路使用路由口,相关限制请参考《AD-Campus 6.5 新自化配置指导》的5.2章节。
· 采用路由口互联后,Spine和Leaf间将不支持二层VLAN透传,若网络中要有二层VLAN透传需求,不可采用此方式部署。
(10) 使能L2VPN。
#使能L2VPN
l2vpn enable
#
(11) 配置vpn-default、VSI VXLAN4094、VSI虚接口IP地址以及L3 VNI,并在下行AC口(连接Access设备的接口)上配置服务实例(绑定VXLAN4094),用完成控制通道的连通。
#创建vpn-default,手动配置RD、RT,整网中规定RD,RT都配置为1:1
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv6 //ipv6业务配置
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
#
# 配置Vsi-interface 4094的IP地址。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.4 255.255.255.0
local-proxy-arp enable
arp proxy-send enable //开启ARP请求代理发送功能,解决由于网络异常连接超时等导致的设备上没有服务器ARP的情况下,终端设备与服务器连接不通的问题
ipv6 address 130:1::4/64 //ipv6业务配置
local-proxy-nd enable
#
# 配置三层转发用的Vsi-interface接口以及L3 VNI
# IP address unnumbered 命令用来配置本接口借用指定接口的IP地址,当vpn-default下创建安全组时,三层转发指定发送报文的源IP为Vsi-interface 4094的接口IP。
#
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
ipv6 address auto link-local //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
l3-vni 4092
#
# 配置VSI VXLAN4094实例
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable //ipv6业务配置
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
dhcp snooping trust tunnel
ipv6 dhcp snooping trust tunnel //ipv6业务配置
loopback-detection action block
loopback-detection enable vlan 4094
#
#Leaf与Access连接的Leaf下行接口配置成AC口
interface Ten-GigabitEthernet1/2/0/9
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
stp cost 1
stp port priority 16
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
(12) 配置BGP EVPN。
#配置BGP 100,只需要指定Spine做peer。双Spine、Spine为M-LAG组网时需要配两个peer,指向两个Spine。
#
bgp 100
non-stop-routing
router-id 200.1.1.252 //注意每台设备的router-id 不能相同,建议配置为环回口地址
peer 200.1.1.254 as-number 100 //指向Spine1
peer 200.1.1.254 connect-interface LoopBack0
peer 200.1.1.253 as-number 100 //指向Spine2
peer 200.1.1.253 connect-interface LoopBack0
#
address-family l2vpn evpn
peer 200.1.1.254 enable
peer 200.1.1.253 enable
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
preference 240 240 130
#
#
address-family ipv6 unicast
preference 240 240 130
#
(13) 配置DHCP Snooping。
#
dhcp enable
dhcp snooping enable vlan 2 to 4094
ipv6 dhcp snooping enable vlan 2 to 4094 //ipv6业务配置,若控制组件未开启IPv6,设备纳管后可能出现审计差异,不影响业务
#
(14) 配置VLAN 1和VLAN 4094的IP Source Guard免过滤。
#当Leaf下行接口配置IP Source Guard的时候需要配置,不配IP Source Guard时不影响业务
ip verify source exclude vlan 1
ip verify source exclude vlan 4094
#
(15) 关闭VXLAN Tunnel的MAC地址学习和ARP学习。
#关闭VXLAN Tunnel的ARP学习
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable // ipv6业务配置
#
# 关闭VXLAN Tunnel的MAC地址学习
vxlan tunnel mac-learning disable
#
(16) 开启按需下发功能(可选,该功能默认关闭,可根据需求开启)。如果Leaf开启了按需下发,则Spine上需要在BGP vpn-default下引入直连路由,将终端所有私网网段路由引入到Leaf和Spine,保证终端和服务器以及外网的互通。
#为节约硬件资源,通过EVPN同步的远端ARP表项默认不下驱动硬件,有流量请求时才下发。
ip forwarding-conversational-learning //开启ipv4按需下发功能
ipv6 forwarding-conversational-learning //开启ipv6按需下发功能
#流量停止,硬件表项老化删除的默认老化时间为60分钟,通过以下命令可以进行设置
[leaf1]ip forwarding-conversational-learning aging ?
INTEGER<60-1440> Aging time in (minutes)
#
· S5560X/S6520X系列设备建议配置按需下发。
· Leaf设备同时做Border时不建议配置按需下发。
(17) 配置NTP。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 100.1.0.100 vpn-instance vpn-default maxpoll 10
#
(18) Leaf与Access连接的下行接口配置。
int Ten-GigabitEthernet1/3/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
stp instance 0 port priority 16
stp instance 0 cost 1
stp tc-restriction
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
Leaf的下行口需使能stp tc-restriction;若直连终端,则需使能stp edged-port。
(19) Leaf堆叠环境配置桥MAC保持不变。若Leaf为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
(20) Leaf为M-LAG环境,配置vxlan隧道解封装指定LoopBack0接口。
#
vxlan default-decapsulation source interface LoopBack0
#
(21) 检验配置成功情况。
上述配置完成后,分别检查配置成功情况。Spine、Leaf设备上都可以查看到:
[leaf1] display interface Vsi-interface brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Vsi4092 UP UP 130.1.0.4 //vsi4094,4092接口创建成功
Vsi4094 UP UP 130.1.0.4
[leaf1]
[leaf1]dis l2vpn vsi
Total number of VSIs: 2, 1 up, 1 down, 0 admin down
VSI Name VSI Index MTU State
Auto_L3VNI4092_4092 0 1500 Down //自动生成
vxlan4094 1 1500 Up
[leaf1]
[leaf1] display interface Tunnel brief
Brief information on interfaces in route mode:
Link: ADM - administratively down; Stby - standby
Protocol: (s) - spoofing
Interface Link Protocol Primary IP Description
Tun1 UP UP -- //隧道UP
[leaf1]
[leaf1] display interface Tunnel
Tunnel1
Current state: UP
Line protocol state: UP
Description: Tunnel1 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 1464
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 200.1.1.252, destination 200.1.1.254
Tunnel protocol/transport UDP_VXLAN/IP
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 29 packets, 2064 bytes, 0 drops
Output: 8 packets, 720 bytes, 0 drops
[leaf1]
[leaf1]ping -vpn-instance vpn-default 100.1.0.100 //Ping通服务器
Ping 100.1.0.100 (100.1.0.100): 56 data bytes, press CTRL+C to break
56 bytes from 100.1.0.100: icmp_seq=0 ttl=63 time=3.646 ms
56 bytes from 100.1.0.100: icmp_seq=1 ttl=63 time=1.699 ms
56 bytes from 100.1.0.100: icmp_seq=2 ttl=63 time=2.058 ms
56 bytes from 100.1.0.100: icmp_seq=3 ttl=63 time=7.078 ms
56 bytes from 100.1.0.100: icmp_seq=4 ttl=63 time=1.680 ms
--- Ping statistics for 100.1.0.100 in VPN instance vpn-default ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 1.483/1.620/1.991/0.189 ms
(22) Leaf设备的认证配置:
分布式认证下发的配置:
leaf1
#
port-security m-lag load-sharing-mode distributed odd-mac //odd-mac:分布处理奇MAC用户,本端和对端M-LAG接口上报的源MAC地址为奇数的用户报文在本端M-LAG设备处理。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.6 255.255.255.0
port m-lag virtual-ip 130.1.0.20 255.255.255.0 active
port m-lag virtual-ip 130.1.0.21 255.255.255.0 standby
mac-address 0001-0001-0002
local-proxy-arp enable
arp proxy-send enable
ipv6 address 130:1::5/64
ipv6 nd unsolicited-na-learning enable
local-proxy-nd enable
ipv6 nd proxy-send enable
#
radius scheme hz1
primary authentication 100.1.0.100 vpn-instance vpn-default
primary accounting 100.1.0.100 vpn-instance vpn-default
accounting-on enable send 255 interval 15
key authentication cipher $c$3$XBoQ+2/7Znk4fG99AgKTPhDIYhnnwakOIQ==
key accounting cipher $c$3$RymNc9rdgkzFqPAJmArHSoJyaIleF1ed0g==
timer realtime-accounting 15
user-name-format without-domain
nas-ip m-lag local 130.1.0.20
nas-ip m-lag peer 130.1.0.21
vpn-instance vpn-default
stop-accounting-packet send-force
#
leaf2
#
port-security m-lag load-sharing-mode distributed even-mac //even-mac:分布处理偶MAC用户,本端和对端M-LAG接口上报的源MAC地址为偶数的用户报文在本端M-LAG设备处理。
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.15 255.255.255.0
port m-lag virtual-ip 130.1.0.21 255.255.255.0 standby
port m-lag virtual-ip 130.1.0.20 255.255.255.0 active
mac-address 0001-0001-0002
local-proxy-arp enable
arp proxy-send enable
ipv6 address 130:1::6/64
ipv6 nd unsolicited-na-learning enable
local-proxy-nd enable
ipv6 nd proxy-send enable
#
radius scheme hz1
primary authentication 100.1.0.100 vpn-instance vpn-default
primary accounting 100.1.0.100 vpn-instance vpn-default
accounting-on enable send 255 interval 15
key authentication cipher $c$3$PphTLz7L3040G9aUrDcdbp6qoRytIPB2Wg==
key accounting cipher $c$3$kyLNtcMHsv0eBSuXT4WxlcH1fZs+yuJLFg==
timer realtime-accounting 15
user-name-format without-domain
nas-ip m-lag local 130.1.0.21
nas-ip m-lag peer 130.1.0.20
vpn-instance vpn-default
stop-accounting-packet send-force
#
集中式认证配置下发:
leaf1
#
port-security m-lag load-sharing-mode centralized //有的设备不显示此配置
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.6 255.255.255.0
port m-lag virtual-ip 130.1.0.20 255.255.255.0
mac-address 0001-0001-0002
local-proxy-arp enable
arp proxy-send enable
ipv6 address 130:1::5/64
ipv6 nd unsolicited-na-learning enable
local-proxy-nd enable
ipv6 nd proxy-send enable
#
radius scheme hz1
primary authentication 100.1.0.100 vpn-instance vpn-default
primary accounting 100.1.0.100 vpn-instance vpn-default
accounting-on enable send 255 interval 15
key authentication cipher $c$3$zcnxBKv+dUStX73ecBFHexUftTi06qJZqw==
key accounting cipher $c$3$MJ0XaIbpR3MHQincgd/wh4HFI7LvQ/kZgw==
timer realtime-accounting 15
user-name-format without-domain
nas-ip m-lag local 130.1.0.20
vpn-instance vpn-default
stop-accounting-packet send-force
#
leaf2
#
port-security m-lag load-sharing-mode centralized
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
ip address 130.1.0.15 255.255.255.0
port m-lag virtual-ip 130.1.0.20 255.255.255.0
mac-address 0001-0001-0002
local-proxy-arp enable
arp proxy-send enable
ipv6 address 130:1::6/64
ipv6 nd unsolicited-na-learning enable
local-proxy-nd enable
ipv6 nd proxy-send enable
#
radius scheme hz1
primary authentication 100.1.0.100 vpn-instance vpn-default
primary accounting 100.1.0.100 vpn-instance vpn-default
accounting-on enable send 255 interval 15
key authentication cipher $c$3$PphTLz7L3040G9aUrDcdbp6qoRytIPB2Wg==
key accounting cipher $c$3$kyLNtcMHsv0eBSuXT4WxlcH1fZs+yuJLFg==
timer realtime-accounting 15
user-name-format without-domain
nas-ip m-lag local 130.1.0.20
vpn-instance vpn-default
#
Access作为接入设备,需要手动配置如下:
(1) 设备Access角色和Sysname配置。
#默认是Access角色的不用再配置,非默认Access角色的需要配置后重启生效。
#
vcf-fabric role access
#
#
sysname access1
#
(2) 配置LLDP,以确定拓扑关系。
#
lldp global enable
#
(3) 配置STP。
#
stp mode mstp
stp global enable
#
(4) 配置SNMP、NETCONF、TELNET、SSH。
# 配置SNMP,下面的配置为默认配置,SNMP团体字根据实际情况配置
#
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 8192
#
#NETCONF配置
netconf soap https enable //https协议用于更新设备信息
netconf ssh server enable
#
#配置telnet
telnet server enable //使用telnet功能时配置。Access为第三方设备时,必须在telnet和ssh中选择一种连接方式,请根据实际情况设置
#
#配置ssh
ssh server enable //使用ssh功能时配置。Access为第三方设备时,必须在telnet和ssh中选择一种连接方式,请根据实际情况设置
#
(5) 配置Telnet/SSH用户名、密码。
#设置用户名、密码为admin、H3C1234567
local-user admin class manage
password simple H3C1234567 //需设置为长密码。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type telnet http https ssh \\ Access为第三方设备时,telnet为可选,若全局使用telent连接方式,则需配置telnet
authorization-attribute user-role network-admin
authorization-attribute user-role network-operator
#
#
line vty 0 63
authentication-mode scheme //不使用用户名密码则配置为none
user-role network-admin
user-role network-operator
#
(6) 配置Access设备与Leaf设备连接的上行口permit vlan all,并配置stp。
# Access的上行口配置permit vlan all
interface Ten-GigabitEthernet1/0/52
port link-mode bridge
port link-type trunk
port trunk permit vlan all
stp port priority 16
stp cost 1
#
(7) 创建VLAN。
#
vlan 4093 to 4094
#
(8) VLAN1配置三层接口,可不配置。
# Access设备的vlan1建议不配置
interface Vlan-interface1
ip address 120.1.0.4 255.255.255.0
#
(9) 配置VLAN4094三层接口,SeerEngine-Campus通过该地址纳管Access。
#
interface Vlan-interface4094
ip address 130.1.0.5 255.255.255.0
#
(10) 配置VLAN4094的静态路由。
Access上配置到服务器的静态路由,指定网关为Spine1和Spine2的vsi4094地址。
#
ip route-static 100.1.0.0 24 130.1.0.2 //130.1.0.2为Spine1的vsi4094地址
ip route-static 110.1.0.0 24 130.1.0.2
ip route-static 100.1.0.0 24 130.1.0.3 //130.1.0.3为Spine2的vsi4094地址
ip route-static 110.1.0.0 24 130.1.0.3
#
(11) 配置NTP服务器。
#
clock timezone beijing add 08:00:00
#
#IP地址为NTP服务器IP
ntp-service enable
ntp-service unicast-server 100.1.0.100
#
(12) STP边缘端口。
SeerEngine-Campus园区控制组件纳管Access设备后,自动会对Access设备用于连接用户的接口配置成STP边缘端口并给每个接口分配VLAN ID,该配置是园区控制组件自动完成,无需手动配置。 若园区控制组件未下发配置,可手动设置。
#
interface GigabitEthernet1/0/22
port access vlan 115
stp edged-port
#
(13) Access堆叠环境配置桥MAC保持不变。
若Access为堆叠设备,需配置如下命令,确保主备倒换时设备桥MAC保持不变。
#
irf mac-address persistent always
#
(14) Access级联的端口配置。
若Access下级联了其他Access,则在级联的接口下配置stp
# Access的下行口配置stp
interface Ten-GigabitEthernet1/0/30
stp cost 1
stp port priority 16
#
单Leaf组网,整网只存在一台Leaf设备,所有终端全部通过Access交换机接入这台Leaf,SeerEngine-Campus、DHCP Server等服务器也直接连到这台Leaf。该Leaf设备需要加入到Leaf设备组,同时该Leaf配置与传统Leaf配置存在差异,此处只说明存在差异的配置,其他配置请参考前文标准组网下的配置。
· 配置一:由于Leaf设备会开启DHCP Snooping(Spine设备不会开启),需要在连接DHCP服务器的服务实例下增加DHCP Snooping信任端口。
#
interface Ten-GigabitEthernet2/2/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
dhcp snooping trust
ipv6 dhcp snooping trust //IPv6业务时需配置
#
· 配置二:由于组网中只存在一台Leaf,无需建立BGP邻居,此时如果存在自定义私网,需要配置VPN间路由互引,具体配置如下:
¡ 方式一:
#
bgp 100
non-stop-routing
address-family l2vpn evpn
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
import-route static
import-route direct
#
#
ip vpn-instance Teach
#
address-family ipv4 unicast
import-route static
import-route direct
#
#
¡ 方式二:
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 1:4 import-extcommunity
vpn-target 1:1 export-extcommunity
#
address-family ipv4
route-replicate from vpn-instance vpn1 protocol direct //将vpn1实例下的直连路由引入到vpn-default实例下,多个VPN时需要配置多条
#
address-family evpn
vpn-target 1:1 1:4 import-extcommunity
vpn-target 1:1 export-extcommunity
#
ip vpn-instance Teach
route-distinguisher 1:4
vpn-target 1:1 1:4 import-extcommunity
vpn-target 1:4 export-extcommunity
#
address-family ipv4
route-replicate from vpn-instance vpn-default protocol direct
//只需要引入vpn-default的直连路由,如果还有特殊需求和其他VPN互通可以采用类似配置
#
address-family evpn
vpn-target 1:1 1:4 import-extcommunity
vpn-target 1:4 export-extcommunity
#
· 配置三:Leaf上STP需要如下配置。
#
stp ignored vlan 2 to 4094
stp global enable
stp root primary
#
#Leaf下行口stp配置
stp tc-restriction
stp root-protection
#
多Leaf组网应用于跨园区的网络,此时连接SeerEngine-Campus等服务器的核心设备(仍然是路由反射器)也需要加入到Leaf设备组中,配置保持和其他Leaf设备配置一致。
同时需增加额外配置以保证此特殊组网下功能正常,此处只说明需要额外增加的配置,其他配置请参考前文标准组网下的配置。
图6-2 多Leaf组网
· 额外配置一:由于Leaf设备会开启DHCP Snooping(Spine设备不会开启),需要连在接DHCP服务器的服务实例下增加DHCP Snooping 信任端口。
#
interface Ten-GigabitEthernet2/2/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4094
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
dhcp snooping trust
ipv6 dhcp snooping trust //IPv6业务时需配置
#
· 额外配置二:由于连接服务器的核心设备(作为RR的Leaf)上存在终端(自定义VPN)需要和vpn-default中的服务器或外网互通,需要在连接服务器的核心设备BGP的VPN实例中配置引入直连路由。
#
bgp 100
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
import-route direct
#
ip vpn-instance vpn1
#
address-family ipv4 unicast
import-route direct
#
· 额外配置三:多Leaf上每台Leaf上都需要配置如下:
#
stp ignored vlan 2 to 4094
stp global enable
stp root primary
#
#Leaf下行口stp配置
stp tc-restriction
stp root-protection
#
双Leaf组网,两台Leaf之间必须配置M-LAG,控制组件配置M-LAG请参考13 M-LAG跨设备聚合组配置。
图6-3 双Leaf组网
双Leaf组网,由于Leaf设备会开启DHCP Snooping(Spine设备不会开启),需要需要在Leaf与三层交换机之间的链路配置dhcp snooping trust,2台Leaf设备都需要配置。
#
interface Ten-GigabitEthernet2/2/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4001
dhcp snooping trust
ipv6 dhcp snooping trust //IPv6业务时需配置
#
· Single Leaf双Leaf组网,若Leaf为手动纳管,需要手动配置vpn-default的bgp路由导入,2台Leaf设备都需要配置。
#
bgp 100
non-stop-routing
address-family l2vpn evpn
#
ip vpn-instance vpn-default
#
address-family ipv4 unicast
import-route static //导入静态路由
import-route direct //导入直连路由
#
Single Leaf双Leaf组网,若Leaf为手动纳管,需要手动配置stp
单Leaf组网双Leaf模型,2台Leaf的STP配置如下:
#
stp mode mstp
stp instance 0 priority 0
stp global enable
#
#Leaf下行口stp配置
stp tc-restriction
stp root-protection
#
下述配置中,如果设备是S5560X或者S6520X,则需要设置switch-mode为VXLAN模式,重启后生效。
每一台Leaf设备在纳入到SeerEngine-Campus管理之前,需要手动进行如下配置:
S5560X/S6520X配置命令如下:
#查看switch-mode,若不是VXLAN MODE,则修改成VXLAN MODE。
dis switch-mode status
Switch-mode in use: VXLAN MODE.
Switch-mode for next reboot: VXLAN MODE.
#
#查看switch-mode的命令
switch-mode ?
0 NORMAL MODE(default)
1 VXLAN MODE
2 802.1BR MODE
3 MPLS MODE
4 MPLS-IRF MODE
#
#设置成VXLAN MODE模式,执行完后需重启才能配置生效
switch-mode 1
#
下述配置中,如果设备是S12500G-AF设备,系统默认tcam模式为Normal,需修改tcam模式。Spine角色为ARP 模式,Leaf角色为mix模式,修改后保存配置重启。
[H3C]dis hardware-resource
Tcam resource(tcam), all supported modes:
NORMAL The normal mode //系统默认模式
MAC The mac mode
ROUTING The routing mode
ARP The arp mode //Spine角色的模式
DUAL-STACK The dual-stack mode
MIX The mix bridging routing mode //Leaf角色的模式
ENHANCE-IPV6 The enhance ipv6 mode
ENHANCE-ARPND The enhance arpnd mode
ACL The acl mode
NAT The nat mode
-----------------------------------------------
Default Current Next
NORMAL NORMAL NORMAL
[H3C]hardware-resource tcam ARP
Do you want to change the specified hardware resource working mode? [Y/N]:y
The hardware resource working mode is changed, please save the configuration and reboot the system to make it effective.
[H3C]
(1) 路径:[自动化>园区网络>Fabrics],单击<增加>按钮,进入Fabric配置页面。
图6-4 Fabrics
(2) 在Fabric配置页面中,配置Fabric,参数说明如下:
¡ 名称:根据实际需求输入,最长255字符,区分大小写,不支持空格。
¡ AS号:取值范围为1~4294967295的整数。设备手工部署纳管时,请务必保证Fabric中设置的AS号与设备侧手动配置的BGP AS号相同。
¡ Underlay网络固化:默认选择“关闭”,增加Fabric时不可修改,设备自动化需要关闭,自动化结束后,有需求可开启,具体请参考5.3.6 网络固化。
¡ 业务自动化:请阅读该配置的提示信息后再操作,配置后无法更改。有“开启”和“关闭”2个选项,必须选择其中一项。
- 开启:选择“开启”,会有一个“隔离域”的选项。选择“开启”后,加入该Fabric的设备可进行用户认证以及业务随行等业务。
- 关闭:选择“关闭”,则该Fabric不能加入隔离域,不能做用户认证、业务随行等业务。
¡ 业务随行:控制VXLAN组网和组间策略的授权,有“开启”和“关闭”2个选项,必须选择其中一项。若为“关闭”状态,无法在该Fabric下创建安全组。
¡ 隔离域:选择该Fabric属于的隔离域。
¡ STP黑洞探测:默认“关闭”,环路检测优化功能,用于连接HUB情况下的环路探测。具体请参考5.3.7 环路检测优化。
¡ LLDP跨域检测:默认“关闭”,环路检测优化功能,用于跨Leaf的环路探测。具体请参考5.3.7 环路检测优化。
¡ 组播网络:默认“关闭”,有需求可开启。
¡ 延迟配置Access接口PVID:默认“关闭”,园区控制组件在设备激活时自动下发PVID,若选择“开启”,则设备激活时不下发PVID,激活后可以手动配置PVID。
¡ DHCP Snooping Enable Vlan范围:默认2-4094,用于配置DHCP Snooping的作用范围。
¡ Voice VLAN:默认“关闭”,此参数是指Fabirc下的所有Access设备默认是否使能Voice VLAN功能开关,开启则此Fabric下的Access设备的默认接口VLAN包含Voice VLAN,关闭则此Fabric下的Access设备的默认接口VLAN不包含Voice VLAN。
¡ Access端口隔离:Fabirc下的所有Access设备是否使能端口隔离功能开关,开启则此Fabric下的Access设备接口下发端口隔离,关闭则此Fabric下的Access设备接口不下发端口隔离。从开启到关闭会回收Fabric下所有Access设备的端口隔离配置,从关闭到开启会补发Fabric下所有Access设备的端口隔离配置。
若Access设备组成RRPP环网时需要实现快速收敛,建议关闭Access的端口隔离,若存在静态接入业务或免认证业务,则可参考5.3.8 RRPP环网下配置ACL实现网络隔离。
¡ ONU端口隔离:当前Fabirc下ONU设备的UNI口是否使能端口隔离功能开关;开启则此Fabric下ONU设备的UNI口使能端口隔离功能,关闭则此Fabric下ONU设备的UNI口去使能端口隔离功能。
¡ IP Source Guard:Fabric下Leaf设备是否下发IP Source Guard配置的开关,默认关闭。
¡ 延迟分配UNI接口VLAN:默认“关闭”,园区控制组件在ONU上线时自动下发UNI接口PVID,若选择“开启”,则ONU上线时不下发PVID,上线后可以手动配置PVID。
图6-5 Fabric配置
(3) 单击<确定>按钮,完成Fabric创建。在Fabric页面中显示增加的Fabric。系统会给每个Fabric默认创建11个“通用策略组”。
手工纳管设备,有如下两种方式:手工增加、自动发现。
路径:[向导>增加设备]。
修改设备标签、系统名称可能会引入AAA 审计差异。
Spine/Leaf设备:
· 设备标签:控制组件用来识别设备的标签。
图6-6 设备标签
· 所属Fabric:Fabric的“策略模式”必须为“IP策略”。
· 设备角色:有Spine、Leaf、Access、Aggregation四种角色,除Aggregation角色外,其他请务必保证与设备上配置的角色一致。
· 管理IP:设备VLAN4094/VXLAN4094接口的IP地址。
· Underlay IP:设备LoopBack口的IP地址。
· 系统名称:可选,系统名称对应设备侧的sysname,配置后控制组件会给设备同步下发sysname。
· 设备系列:选择增加的设备类型。
· 设备控制协议模板:新建或选择默认的协议模板。
图6-7 增加交换设备
单击<模板修改>,可修改模板。若当前模板已被设备或自动化模板使用,再次修改控制协议模板时会更新设备或自动化模板配置,可能会导致设备去激活。
· “设备控制协议”页签:
¡ SNMP写团体名:根据Underlay配置中设置的SNMP参数,本例为private。
¡ SNMP读团体名:根据Underlay配置中设置的SNMP参数,本例为public。
¡ 用户名:根据Underlay配置中设置的local-user,本例为admin。
¡ 密码:根据Underlay配置中设置的local-user的密码,密码长度不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
图6-8 修改设备控制协议模板
设备增加完成后,“在线状态”初始为“未激活”,需一段时间进行数据同步,同步完成后,单击<刷新>按钮,状态更新为“激活”,表示设备已连接。
图6-9 交换设备
设备纳管后,Spine和Leaf设备可通过dis openflow instance 1 controller命令查看SeerEngine-Campus园区控制组件连接设备的详细信息。
#
[SpineA]dis openflow instance 1 controller
Instance 1 controller information:
Reconnect interval: 60 (s)
Echo interval : 5 (s)
Controller ID : 1
Controller IP address : 110.1.0.101
Controller port : 6633
Local IP address : 130.1.0.101
Controller role : Slave
Connect type : TCP
Connect state : Established
Packets sent : 76
Packets received : 182
SSL policy : --
Control SSL policy : --
VRF name : vpn-default
Controller ID : 2
Controller IP address : 110.1.0.102
Controller port : 6633
Local IP address : 130.1.0.101
Controller role : Master
Connect type : TCP
Connect state : Established
Packets sent : 18
Packets received : 115
SSL policy : --
Control SSL policy : --
VRF name : vpn-default
[SpineA]
#
Access设备:
· 设备标签:设备的标识
· 所属Fabric:Fabric的“策略模式”必须为“IP策略”。
· 设备角色:有Spine、Leaf、Access、Aggregation四种角色,请务必保证与设备上配置的角色一致。
· 管理IP:设备VLAN4094接口的IP地址。
· 设备系列:选择增加的设备类型。
· 延迟分配接口VLAN:默认“关闭”,在设备激活时自动下发VLAN,若选择“开启”,则设备激活时不下发VLAN,激活后可以手动配置VLAN。若此处配置与Fabric的配置不同,此处优先级更高。
· Voice VLAN:默认“关闭”,Access设备的默认接口VLAN不包含Voice VLAN,若修改为“开启”则此Fabric下的Access设备的默认接口VLAN包含Voice VLAN。若此处配置与Fabric的配置不同,此处优先级更高。
· 设备控制协议模板:新建或选择默认的协议模板。
图6-10 Access设备
Acces设备纳管,“是否为第三方设备”选项,默认为“否”。若设备系列选择为“第三方设备”,则此参数将自动修改为“是”,选择登录协议并配置设备控制协议模板,第三方设备包含H3C不支持设备角色功能的设备和其他厂商设备。
园区网方案中支持作为Access角色的设备型号请参看3.2 设备型号及角色中的设备型号。
图6-11 是否第三方设备
Access设备不是通过openflow连接纳管,无法通过dis openflow instance 1 controller命令在Access设备查询连接信息。
Aggr设备:
Aggr设备作为Spine和Leaf之间连接的中间设备,设备纳管前需要做基础配置用于园区控制组件纳管,Aggr的基础配置请参考6.3.1 5. Aggr设备。
Aggr连接的Leaf设备的基础配置与AD-Campus方案标准组网的基础配置相同,相关配置请参考6.3.1 3. Leaf设备。
设备增加页面设置如下:
· 设备角色:选择aggregation,手工纳管Aggr设备时园区控制组件不检查设备实际角色信息。
· 管理IP:设备VLAN1接口的IP地址。
· Underlay IP:设备LoopBack口的IP地址。
· 设备系列:选择增加的设备类型。
· 设备控制协议模板:新建或选择默认的协议模板。
图6-12 设备角色
Aggr设备纳管成功后,设备状态为“激活”,设备角色为“aggregation”。
图6-13 Aggregation设备
在路径:[监控>拓扑视图>网络拓扑]中,可以查看到aggr连接拓扑视图。
图6-14 拓扑
路径:[向导>自动发现]。
输入IP地址范围和SNMP参数,单击<创建设备扫描任务>,会创建一个扫描任务,自动执行扫描。在“设备列表中”列出所有扫描到的未纳管的设备,如下图所示。
图6-15 扫描任务
若SNMP和NETCONF参数都配置,先扫描NETCONF信息再扫描SNMP信息。在“设备列表”中选择设备,单击设备列表操作列图标
,打开添加交换设备页面;参数设置请参考1. 手工增加。
策略模板配置方式有如下两种,本文档以使用园区向导方式为例进行配置介绍。
园区向导方式。路径:[向导>园区向导>设备上线规划]第五步“策略配置模板”中进行配置。
非园区向导方式。路径:[自动化>园区网络>网络设备>通用策略组],单击通用策略组页面右上角<策略模板>按钮,进入策略模板页面,在该页面进行配置。
(1) 在策略配置模板页面,单击右上角的<策略模板>按钮,打开“策略模板”配置页面,如下图所示。
图7-1 策略模板
(2) 在“策略模板”配置页面,系统已经预设定模板名称为“interface_ipv4_binding”、“mac_migrating_enable”及“snmp_trap_configuration”的默认策略,如下图所示。
¡ interface_ipv4_binding:配置应用于Leaf接口组,应用于端口安全,配置策略后会下发ip verify soure ip-address mac-address,该策略模板只支持IP策略,不支持组策略。
¡ mac_migrating_enable:配置应用于Leaf设备组,应用于MAC迁移,用户在同一个Leaf相同下行口或者不同下行口之间迁移:即一个终端在同一台Access,不同端口的迁移(不同VLAN),或者在不同Access下的迁移时需配置,配置策略后会下发port-security mac-move permit,当前方案需配置。
¡ snmp_trap_configuration:配置应用于Leaf设备组,应用于设备Trap上报,当前方案需配置。
图7-2 增加策略模板
SNMP的trap命令如下:
图7-3 SNMP策略模板
(3) 单击<增加>按钮,在弹出的下拉选项中选择“设备策略模板”或“接口策略模板”选项,以增加策略模板类型。
¡ 设备策略模板:配置应用于设备组,包括AAA认证、802.1X认证、MAC认证、MAC迁移使能等。
¡ 接口策略模板:配置应用于接口组,主要用于Leaf下行接口,包括接口使能802.1X认证、MAC认证等。
图7-4 选择策略模板类型
设备策略模板及接口策略模板的配置、自定义及查看方式如下:
(1) 配置模板名称、模板类型、认证服务器密钥,参数说明如下:
¡ 模板名称:标记模板名称,各模板名称不重复即可。
¡ 模板类型:选择“AAA”,打开AAA模板的配置页面。
¡ 认证服务器密钥:没有限制。密钥信息会下发设备和同步EIA,用于设备和EIA交互。输入框最长64字符,区分大小写,不支持中文、空格、<>&?字符。
图7-5 增加AAA策略模板
(2) Radius方案设置
单击“Radius方案设置”区域中的<增加>按钮,进入增加Radius方案页面,参数说明如下:
¡ 主认证服务器IP:用户认证与之交互的EIA服务器的地址,可以用EIA V9,也可以用EIA V7,具体参数介绍请参见5.3.2 AAA。
¡ 计费时间间隔:默认15分钟。
¡ 是否携带ISP域名:默认选择“否”。
- “否”表示和EIA交互的Radius的认证报文里使用的用户名不带域名,EIA缺省不带域名后缀。
- “是”则表示Leaf设备会在与EIA进行交互的Radius报文中携带用户名@域名,若设置为“开启”,则用户上线时用户名后面也需要带上@域名。
¡ 客户端下线后强制停止计费:“是”表示客户端下线以后立即停止计费,“否”表示客户端下线后并不立即停止计费。
¡ 开启无线Radius探测模板:无线AC设备的配置,用于无线radius探测。
图7-6 增加Radius方案
(3) ISP域设置
单击“ISP域设置”区域中的<增加>按钮,进入增加ISP域页面,参数说明如下:
¡ 所属Radius方案:通过下拉框选择,前面“Radius方案”中增加的Radius域名会在这里显示。
¡ 是否为默认域名:选择“是”。
¡ 是否用于ONU认证:选择“否”,仅EPON场景下会使用,具体请参考《AD-Campus 6.5 EPON组网配置指导》,配置后将无法修改。
图7-7 增加ISP域
每个AAA模板都必须有一个默认域名且只能有一个默认域名。方案支持增加多个ISP域名,但一般情况增加一个Radius域名和一个ISP域名即可。
AAA模板配置完后,页面显示如下:
图7-8 设备策略模板-AAA
· 模板类型:选择“802.1X认证”;
· 认证方式:支持EAP/CHAP/PAP三种认证,有线认证推荐使用“CHAP”认证方式;无线认证必须选择“EAP”认证方式。
图7-9 设备策略模板-802.1X认证
· 模板类型:选择“MAC/MAC-Portal认证”;
· Portal认证功能:选择“是”,开启MAC-Portal认证;
· 重定向端口号:用于手工指定HTTPS报文重定向的内部侦听端口,需确保该端口号没有被其他服务占用,且不能与知名协议使用的端口号配置一致,否则会发生冲突导致服务不能正常使用。也可以不配置,则设备采用缺省端口号6654。(可通过display tcp命令查看已被占用的TCP端口号);
· 免认证IP:开启“Portal认证功能认证”后必须填写,填写EIA服务器的IP地址。
当配置AAA模板时设置了主认证服务器和备认证服务器,则需要配置主和备的免认证IP地址。
图7-10 设备策略模板-MAC/MAC Portal认证
· 模板类型:选择“802.1X认证”;
· 使能逃生功能:默认“是”,开启逃生功能;若不启用逃生功能,选择“否”;
· 是否开启单播触发:默认“是”,选择默认即可;
· 使能Guest功能:默认“否”,具体需求可参考8.6 Guest或认证失败上线;
· 使能认证失败:默认“是”,具体需求可参考8.6 Guest或认证失败上线。认证失败功能与Mac Portal功能互斥,若用户有MAC Portal认证需求则此处需配置为“否”。
· 使能握手协议:默认“是”,关闭握手协议后设备不检测客户终端在线状态,建议开启。
图7-11 接口策略模板-802.1X认证
· 模板类型:选择“MAC/MAC-Portal认证”;
· 域名:前面AAA配置中的“域名”会在“域名”下拉框中显示。如果不设置则采用AAA中设置的全局默认域名;
· 使能逃生功能:默认“是”,开启逃生功能;若不启用逃生功能,选择“否”;
· 是否开启并行处理功能:默认即可;
· 携带用户IP地址:默认“否”,若选择“是”,则会向接口下发mac-authentication carry user-ip,用于终端配置为静态IP的用户认证。
· 默认情况下,建议用户根据实际场景按需配置802.1X或MAC认证其中一种。若两者需要同时配置,则请确保MAC/MAC-Portal认证模板中“是否开启并行处理功能”选择“是”。
· mac-authentication carry user-ip命令使用限制: 除“基于IP段”的认证和接入策略配置了“绑定用户IP地址”的认证外,其他情况下的用户认证请不要配置mac-authentication carry user-ip命令。若在其他情况下,终端设备需配置静态IP认证上线,则通过控制组件下发ARP Snooping命令,把静态IP地址传给EIA。
· mac-authentication carry user-ip命令的使用有特殊的限制,具体限制请参考8.4.3 基于IP快速上线中的注意事项。
图7-12 接口策略模板-MAC/MAC-Portal认证
策略模板除了系统默认设置外,还支持自定义,“设备策略模板”和“接口策略模板”中都支持自定义。下面以接口组配置自定义模板为例:
· 模板类型:选择“用户自定义”;
· 接口添加策略时下发的命令:填写向设备下发的命令;
· 接口删除策略时下发的配置:填写删除策略时恢复配置的命令。该项必须填写,否则删除策略时下发的策略无法删除。
图7-13 自定义策略模板
策略模板配置完成后,在“策略模板”列表页面中,通过单击列表操作列中
图标查看配置详情,单击
图标进行配置修改。模板类型为“系统默认创建”的策略模板,不支持修改。
图7-14 查看策略模板
配置策略模板不会向设备侧下发配置,需将策略模板应用到“通用策略组”的“IP策略”中才会向设备下发配置。
“策略模板”配置完后,在设备组中配置“组策略”。AD-Campus方案目前只需要配置“Leaf设备组”和“Leaf下行接口组”的组策略。
图7-15 组策略
(1) “Leaf设备组”中,配置AAA、802.1X认证、MAC认证,以及“mac_migrating_enable”MAC迁移的设备策略模板,也可配置用户的自定义策略模板。
单击列表中名称为“Leaf设备组”相应操作列的修改图标
,进入配置页面。切换至策略页签,单击<增加>按钮,打开“增加设备组策略”页面。
图7-16 增加设备组策略
(2) 在“可选策略模板”区域选择模板类型,模板类型选择完成后,右侧“可选AAA策略”区域中会显示创建的策略模板,选中策略模板,单击<增加>按钮,增加策略。
图7-17 选择策略模板
(3) 相同方式添加“802.1X认证”、“MAC/MAC-Portal认证”、“使能MAC迁移”。单击<确定>按钮,保存配置。
图7-18 保存配置
与设备组组策略相同操作,“Leaf下行接口组”的组策略,配置“802.1x认证”、“MAC/MAC-Portal认证”、自定义策略等。单击<确定>按钮保存配置。
Leaf下行口802.1X和MAC认证建议按需配置。此处以终端使用MAC认证为例,只需下发MAC/MAC Portal认证模板,若终端需要使用802.1X认证,请在Leaf下行接口组中增加802.1X认证策略模板。
图7-19 增加接口组策略
本文档接入网络以使用园区向导进行配置为例进行介绍。路径:[向导>园区向导>接入网络规划]。“接入网络规划”用于设备Overlay相关配置,包括隔离域、私网、二层网络域和安全组的相关配置。
“隔离域”用于隔离用户网络。每个“隔离域”拥有独立的DHCP系统、认证系统、无线AC控制组件。
一个“隔离域”可包含多个“Fabric”,但是一个“Fabric”只能属于一个“隔离域”,“隔离域”和“Fabric”是一对多的关系。
图7-20 组网图
隔离域配置方式有如下两种,本文档以使用园区向导方式为例进行配置介绍。
园区向导方式。路径:[向导>园区向导>接入网络规划],第一步“隔离域”步骤中,切换至“隔离域”页签进行配置。
非园区向导方式。路径:[自动化>园区网络>隔离域>隔离域]中进行配置。
系统默认存在名称为“isolate_domain1”的隔离域,默认的策略模式为“IP策略”,无需修改。本文中仅介绍单隔离域单Fabric场景下的配置,隔离域互联的配置请参考《AD-Campus 6.5多园区多Fabric配置指导》。
图7-21 隔离域
隔离域的配置步骤如下:
1. 单击该隔离域操作列的修改图标
,进入修改隔离域页面,设置指定“DHCP服务器”、指定“认证服务器”
¡ DHCP服务器:指定隔离域使用的DHCP服务器。DHCP服务器包括DHCPv4服务器和DHCPv6服务器,请根据实际组网设置。
- 目前DHCPv4支持紧耦合和松耦合,紧耦合时配置的安全组地址池会自动下发DHCP服务器;松耦合时安全组的地址池不会自动下发DHCP服务器,需到DHCP服务器上手动创建。
- DHCPv6服务器设置只有涉及IPv6业务时才需配置,具体请参考《AD-Campus 6.5 IPv6业务配置指导》。
¡ 主认证服务器:指定隔离域内用户上线时需要与之交互的主认证服务器。
¡ 备认证服务器:指定隔离域内用户上线时需要与之交互的备认证服务器。
¡ 策略模式:默认为“IP策略”。
¡ Fabric:绑定了隔离域的Fabric均会显示在此。隔离域的“策略模式”需要和Fabric的“策略模式”相同,“增加Fabric”页面的列表中只列出相同模式的Fabric。
¡ 增加Fabric连接:应用于多Fabric组网,多个Fabric之间建立EBGP使用,单Fabric网络不需要配置。
¡ DNS:指定隔离域使用的DNS服务器IP地址。
图7-22 修改隔离域
¡ IP安全组订阅信息:IP-SGT开关,默认为“关闭”。当隔离域下存在二层网络域的配置时,无法“开启”/“关闭”IP-SGT功能。“开启”/“关闭”IP-SGT功能的配置前,需确保隔离域下没有二层网络域,,需要开启IP-SGT订阅功能时可开启。
图7-23 IP安全组订阅信息
私有网络配置方式有如下两种,本文档以使用园区向导方式为例进行配置介绍。
园区向导方式。路径:[向导>园区向导>接入网络规划],第二步“私有网络”步骤中,切换至“私有网络”页签进行配置。
非园区向导方式。路径:[自动化>园区网络>私有网络>私有网络]中进行配置。
(1) 配置完“隔离域”后,单击<下一步>按钮,进入“私有网络”配置页面。单击<增加>按钮,进入增加私有网络页面。
(2) 在增加私有网络页面中的输入框输入配置参数,单击<确定>按钮保存配置。
¡ 共享VRF:默认“否”,若配置为“是”时,私有网络即为共享出口网关使用,仅可在创建共享出口网关和创建共享网关接入的IT资源组时使用;
¡ VXLAN ID:私网VPN的L3VNI接口ID值,默认“自动分配”;
¡ 策略模式:选择“IP策略”;
¡ 默认组间策略:“允许”和“拒绝”两个选项;
- “允许”:指私网内所有用户默认可以互相访问;
- “拒绝”:指私网内的所有用户都不能互相访问;
¡ 最大等价路由数:可不配置,若要配置请参考设备支持情况;
¡ 组播网络:默认选择“关闭”,有需求可开启。
¡ 引入路由策略:默认可不配置。若用户私有网络和vpn-default同时绑定了具有相同外部网络的出口网关,需配置用户私有网络和vpn-default的路由策略,禁止引入对端私有网络的同网段路由,避免私有网络访问外网的路由冲突。
图7-24 增加私有网络
私网可跨隔离域,私网和隔离域通过二层网络域绑定,若私网未与隔离域进行绑定,则私网的配置不会下发到未绑定的隔离域的设备上。
二层网络域配置方式有如下两种,本文档以使用园区向导方式为例进行配置介绍。
园区向导方式。路径:[向导>园区向导>接入网络规划],第二步“私有网络”步骤中,切换至“二层网络域”页签进行配置。
非园区向导方式。路径:[自动化>园区网络>私有网络>二层网络域]中进行配置。
(1) 私有网络创建完成后,单击“二层网络域”页签,打开二层网络域配置页面。
图7-25 二层网络域
(2) 单击<增加>按钮,打开增加二层网络域页面,创建用户私网的二层网络域。
¡ 隔离域:选择私网所在隔离域;
¡ 私有网络:选择手动创建的私网。创建二层网络域后,私网的配置会下发到指定隔离域所属的设备上;
¡ 类型:
- 普通:用户业务选择“普通”。
- 逃生:配置逃生业务时选择“逃生”。
- Guest:配置Guest业务时选择“Guest”,具体可参考8.6 Guest或认证失败上线。
- 认证失败:配置认证失败业务时选择“认证失败”,具体可参考8.6 Guest或认证失败上线。
¡ 使用方法:IP策略下只能选择独享,表示一个二层网络域只能分配给一个安全组;
¡ VXLAN ID:配置二层网络域的VXLAN ID,默认“自动分配”系统自动分配VXLAN ID,选择“手动指定”,支持手动配置VXLAN ID;
¡ VSI MAC:默认是0000-0000-0001,请根据实际情况修改,其他参数默认即可;
¡ IPv4地址获取方式:“自动”表示向DHCP Server创建地址池,用户可动态获取IP地址;“手动”表示不创建DHCP地址池,用户通过配置静态IP地址的方式认证上线;
· IPv4地址获取方式“自动”时,若用户部分终端想通过配置静态IP地址的方式认证上线,则需手动去[网络参数>DHCP服务器>IP禁止分配地址]中增加用户配置的静态IP地址。
· 二层网络域的VSI MAC、VXLAN ID是一次性下发,后续不能修改。因此需先确定好再配置
¡ IPv6地址获取方式:可选择“手动”、“SLACC”、“有状态DHCPv6”或“无状态DHCPv6”,具体IPv6配置参见《AD-Campus 6.5 IPv6业务配置指导》;
¡ IPv4地址租约有效期:配置IPv4地址的默认租约时间。
图7-26 增加二层网络域
(3) 配置“子网”页签,单击<增加>按钮,打开增加子网页面,填写输入框后,选择IP类型,此处选择“IPv4”,“IPv6”配置请参考《AD-Campus 6.5 IPv6业务配置指导》。单击<确定>按钮,保存配置。其中,“增加子网”页面中的“从网段”选项,可选择“是”或“否”。
¡ 否:表示“主网段”;若“IPv4地址获取方式”选择“自动”,创建的子网会在DHCP服务器上创建相应的地址池,用于用户地址分配。
¡ 是:表示“从网段”;创建的子网不会在DHCP服务器上创建地址池,适用于终端设备IP地址为静态IP的情况。在创建“从网段”前,必须创建“主网段”。另外,使用“从网段”时,接入策略中不可以使用“绑定用户IP地址”功能。
· 一个安全组可以配置多个“从网段”,但是只能配置一个“主网段”,IP地址根据实际方案的IP规划设置,不同安全组需要配置不同的IP地址段;
· 创建“从网段”前,必须创建“主网段”;
· 使用“从网段”时,接入策略中不可以使用“绑定用户IP地址”功能;
· “从网段”不能配置与“主网段”有包含关系的网段。该特性主要用于实现旧网改造场景中终端(打印机)的地址保持不变,将多个终端的网段划分为一个安全组,节省设备上组间策略的ACL。
图7-27 增加子网
“增加子网”页面中“DNS”配置,可指定二层网络域的DNS服务器IP地址。
图7-28 配置DNS
(4) 子网配置完成后,单击<确定>按钮,返回增加二层网络域页面。在该页面中切换至“高级”页签,可根据实际组网按需进行参数配置,本文档以默认配置为例进行介绍:
¡ ARP代理:默认“是”,实现ARP代理功能。若切换为“否”,则代表使用ARP代答功能。
¡ ARP检测:默认“否”,一般应用于接入设备上,通过检测并丢弃非法用户的ARP报文来防止仿冒用户、仿冒网关的攻击。当IPv4地址获取方式为“手动”时不允许开启。
¡ ARP Snooping:通过侦听ARP报文建立ARP Snooping表项,从而实现ARP快速应答,保证“宽带物联终端不下线”时需开启。
¡ 允许二层应用:默认“否”,若选择“是”,表示创建的安全组“支持二层应用”,允许安全组内二层互通。二层应用需要配合ARP代答使用。
¡ ARP扫描探测:默认“是”。表示ARP广播不在整网泛洪,ARP学习依赖Leaf本地扫描,表项通过EVPN同步,交换机不转发ARP报文。
¡ IPv6 ND检测:与ARP检测功能类似,用于检查用户的合法性。
¡ IPv6 ND Snooping:设备通过侦听ND或者数据报文来创建ND Snooping表项,没有IPv6业务时请勿开启。
¡ ND扫描探测:默认“是”。表示ND广播不在整网泛洪,ND学习依赖Leaf本地扫描,表项通过EVPN同步,交换机不转发ND报文。
¡ DHCPv6 Snooping:默认“否”,用来保证客户端从合法的服务器获取IPv6地址或IPv6前缀,并可以记录DHCPv6客户端IPv6地址或IPv6前缀与MAC地址的对应关系。
¡ DHCPv6中继支持Option79: 默认“是”,用来保证DHCPv6服务器可以获取到客户端的MAC地址。
¡ 环路检测:默认“否”。配置无线管理网VLAN4093时,需设置为“是”。
AD-Campus 6.5已支持ARP代理/ARP代答的修改。有业务情况下ARP代理开启和关闭请谨慎操作,具体请参考下控制组件的提示信息
图7-29 高级配置
图7-30 DHCPv6及环路检测配置
· 使能“允许二层应用”后,安全组允许广播、未知组播、未知单播报文向AC口及Tunnel口泛洪,以及允许VXLAN内的MAC通过EVPN同步。即SeerEngine-Campus控制组件下发设备的VSI配置中不下发flooding disable all all-direction和mac-advertising disable、arp mac-learning disable命令。
· 使能“允许二层应用”后,需要关闭“ARP代理”,配合ARP代答使用。
· 使能“允许二层应用”后,需要在有二层应用业务的终端的Leaf下行口(包括访问端和被访问端)配置广播风暴抑制,入方向生效,具体阈值需根据设备款型及现场报文数量确定,建议咨询对应产品研发。
· 当S5560X/S6520X设备,“ARP代理“选“否”即ARP代答时,同一聚合口不同AC的服务实例之间流量无法转发。
在使能“允许二层应用”的情况下,风暴抑制只支持物理接口下发,不支持聚合口下发。若Leaf下行口为聚合口,配置方式如下:
a. 配置自定义策略模板
路径:[自动化>园区网络>网络设备>通用策略组],单击右上角<策略模板>按钮,进入策略模板页面。单击<增加>按钮,在弹出的下拉选项中选择“接口策略模板”选项,选择模板类型项为“用户自定义”,并将下述命令增加至相应文本框中,如下图所示。
接口添加策略时下发的配置:
#
broadcast-suppression pps 100 //具体阈值需根据设备款型及现场报文数量确定,建议咨询对应产品研发。
multicast-suppression pps 100
unicast-suppression pps 100
#
接口删除策略时下发的配置:
#
undo broadcast-suppression
undo multicast-suppression
undo unicast-suppression
#
图7-31 增加自定义接口策略模板
b. 配置自定义接口组
路径:[自动化>园区网络>网络设备>通用策略组],单击<增加>按钮,进入增加通用策略组页面。选择类型为“接口组”,子类型为“二层物理接口组”,如下图所示。
图7-32 增加接口组
在该页面中,选择“成员”页签,单击<增加>按钮,进入增加接口页面。选择需要配置风暴抑制的Leaf下行聚合口所包含的成员端口,选择完成单击<增加>按钮,将所选接口增加至已选接口列表中,如下图所示。
图7-33 增加接口
成员选择后,单击<确定>按钮,返回增加通用策略组页面。切换到“策略”页签,单击<增加>按钮,进入增加接口组策略页面,增加上述配置的自定义风暴抑制策略,配置完成后单击<确定>按钮完成配置。
图7-34 增加策略
配置完成后可以在成员接口下查看到下发的风暴抑制相关配置:
#
interface Ten-GigabitEthernet1/0/8
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
broadcast-suppression pps 100
multicast-suppression pps 100
unicast-suppression pps 100
port link-aggregation group 1024
安全组配置方式有如下两种,本文档以使用园区向导方式为例进行配置介绍。
园区向导方式。路径:[向导>园区向导>接入网络规划],第三步“安全组”步骤中,切换至“用户安全组”页签进行配置。
非园区向导方式。路径:[自动化>园区网络>安全组>用户安全组]中进行配置。
(1) 完成“私有网络”创建后,单击<下一步>按钮,进入安全组配置页面。选择“用户安全组”页签,单击<增加>按钮,进入增加安全组页面。输入安全组名称,选择创建的私有网络,“安全组类型”选择为“普通”,使用场景根据用户需求选择,可选“有线+无线”、“有线”、“无线”。
安全组类型支持:BYOD、普通、逃生、外网、Guest及认证失败六种类型:
¡ BYOD:BYOD安全组应用于MAC Portal认证,用户触发MAC地址认证会先进入BYOD安全组。在“用户安全组”页面中,全局只允许创建一个,私有网络必须配置为vpn-default私网;
¡ 普通:应用于用户业务的安全组,基本业务的安全组都使用普通类型;
¡ 逃生:应用于逃生方案。主要用于当EIA服务器故障无法连接到EIA服务器时,新用户上线能访问某一特定安全组中的资源,一个“隔离域”只允许配置一个逃生安全组;
¡ 外网:应用于南北向服务链业务,请参考《AD-Campus 6.5安全融合配置指导》;
¡ Guest:表示允许用户在未认证的情况下,访问某一特定的资源,通常放置一些用于用户下载客户端软件或其他升级程序的服务器;
¡ 认证失败:表示允许用户在认证失败的情况下访问某一特定的资源,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败;
¡ VLAN ID:代表安全组对应的VLAN ID。需选择标签的分配方式,若为手动指定,需指定标签。
图7-35 增加安全组
(2) 选择“二层网络域信息”页签,单击<增加>按钮,进入增加二层网络域页面,在“可选二层网络域区域”勾选二层网络域,并单击
图标,将选中的二层网络域增加至“已选二层网络域区域”,增加完成后,单击<确定>按钮,返回增加安全组页面。
图7-36 选择二层网络域
(3) 单击<确定>按钮,在用户安全组页面上可看到创建的安全组,如下图所示。
图7-37 查看用户安全组
网络策略配置方式有如下两种,本文档以使用园区向导方式为例进行配置介绍。
· 园区向导方式。路径:[向导>园区向导>接入网络规划],第四步“网络策略”步骤中进行配置。
· 非园区向导方式。路径:[自动化>园区网络>网络策略]中进行配置。
组间策略通过在矩阵页面拖拽“组间策略模板”的方式设置用户安全组之间、用户安全组和资源组之间的访问关系,直观、易用,简化用户操作。
例如“教师安全组”和“学生安全组”之间下发私网默认存在的“全部拒绝”的策略模板,设置学生和教师不能互相访问。右键鼠标选中“全部拒绝”拖拉到相应位置,单击页面左上角<确定>按钮,即可把相应配置下发到设备上。
图7-38 组间策略
单击“时间范围”页签,进行时间范围的配置。“时间范围”为非必配项,可按需进行设置。
单击<增加>按钮,进入增加时间范围页面,在该页面中设置时间范围,设置完成后,单击
图标保存配置,并单击<确定>按钮保存。
图7-39 增加时间范围
(1) 单击“策略模板”页签,进行策略模板的配置。其中,系统默认已有两个模板,全部允许和全部拒绝,如下图所示。
图7-40 策略模板
(2) 单击<增加>按钮,进入增加策略模板页面。输入“名称”,“模板类型”选择“内网策略”。
¡ 内网策略:用户安全组的组间策略以及东西向服务链,选择“内网策略”;
¡ 外网策略:南北向服务链,选择“外网策略”。
图7-41 增加策略模板
(3) 单击<增加规则>按钮,进入增加规则页面。设置参数,单击<确定>按钮保存配置,参数说明如下:
¡ 协议类型:可选IP、UDP、TCP、ICMP;
¡ 时间范围:默认“none”,表示所有时间都有效,根据实际需求设置;
¡ 动作:“允许”、“拒绝”和“重定向”3个选项,组间策略请选择“允许”或“拒绝”,“重定向”应用于服务链业务。
图7-42 增加规则
(4) 策略模板增加完成后,单击<确定>按钮,保存策略模板。
单击“组间策略”页签,进入组间策略页面。在该页面“访问策略”区域“默认”项(以下简称默认访问策略)的下拉框中,可设置私网内用户的访问权限。设置组间策略时,需先选择“私网”,再设置默认访问策略。
组间策略页面中设置的默认访问策略与私有网络页面中设置的“默认组间策略”相同,选择其中一个页面设置即可。
· 允许:表示私网内所有用户之间默认可以互相访问;
· 拒绝:表示私网内所有用户之间都不能互相访问,同一私网下的安全组和同一安全组下的不同用户之间默认不可互相访问。
图7-43 选择默认访问策略
若默认访问策略设置为拒绝,则SeerEngine-Campus会向Spine及Leaf设备下发全局Deny的PBR,并且在私网的L3VNI接口下发Permit IP策略,允许用户与外网或IT资源组通信。
Spine和Leaf设备上私网的L3VNI接口下配置Permit IP
#
acl advanced name SDN_ACL_SC_PERMIT_ALL
description SDN_ACL_SC_PERMIT_ALL
rule 0 permit ip
#
#
policy-based-route SDN_GLOBAL_SC2 permit node 0
if-match acl name SDN_ACL_SC_PERMIT_ALL
#
#
interface Vsi-interface2 //L3VNI接口//
description SDN_VRF_VSI_Interface_2
ip binding vpn-instance Teach
ip policy-based-route SDN_GLOBAL_SC2 //绑定pbr
l3-vni 2
#
Spine和Leaf设备上下发全局Deny
#
acl advanced name SDN_ACL_GLOBAL_SC_6ee86fb4-6139-4db6-8eee-b114ad328cc1
description SDN_ACL_GLOBAL_SC_6ee86fb4-6139-4db6-8eee-b114ad328cc1
rule 0 permit ip destination 20.0.0.0 0.0.255.255
rule 1 permit ip destination 30.0.0.0 0 0.0.255.255
#
#
policy-based-route SDN_GLOBAL_SC permit node 0
if-match acl name SDN_ACL_GLOBAL_SC_6ee86fb4-6139-4db6-8eee-b114ad328cc1
apply output-interface NULL0
#
#
ip global policy-based-route SDN_GLOBAL_SC //全局下发//
#
(1) 单击“组间策略”页签,进入组间策略页面。先选择“私网”,自动切换到私网的矩阵中,如图7-44所示。
(2) 选择右侧的“访问策略”拖拽到需要设置的相应位置,弹出“策略方向”对话框,根据实际业务选择。选择完成后,单击<确定>按钮,保存配置。其中,“策略方向”分为“单向”和“双向”。
¡ 单向:表示设置报文从源到目的的访问策略。
- 单向允许:报文可以从源端发送到目的端,但不能从目的端发送到源端。
- 单向拒绝:报文不能从源端发送到目的端,但可以从目的端发送到源端。缺省访问策略为允许时,如果禁止安全组间用户互访,只需在安全组间配置一个单向拒绝,同时可以节省ACL资源。
¡ 双向:表示设置报文从源到目的和目的到源的访问策略。
- 双向允许:报文可以从源端发送到目的端,也可以从目的端发送到源端。如果要实现安全组之间用户互访,需要配置访问策略为双向允许。
- 双向拒绝:报文不能从源端发送到目的端,也不能从目的端发送到源端。
图7-45 策略方向
(3) 本案例设置了源为“学生安全组”、目的为“教师安全组”的“全部拒绝”配置,如图7-46所示。组间策略配置完成后,单击页面左上角<确定>按钮,保存配置。
(4) 控制组件向Spine和Leaf设备上下发PBR,命令如下:
#
acl advanced name SDN_ACL_SC_000002_4_3
description SDN_ACL_SC_000002_4_3
rule 0 permit ip destination 20.0.0.0 0.0.255.255
#
#
policy-based-route SDN_SC_4 permit node 0
if-match acl name SDN_ACL_SC_000002_4_3
apply output-interface NULL0
#
#
interface Vsi-interface4 //学生安全组对应的l2vni接口//
description SDN_VSI_Interface_4
ip binding vpn-instance Teach
ip address 30.0.0.1 255.255.0.0
mac-address 0000-0000-0001
local-proxy-arp enable
ip policy-based-route SDN_SC_4
local-proxy-nd enable
distributed-gateway local
#
组间策略中还可进行“例外”配置,“例外”顾名思义就是特殊处理。通过设置例外策略,让特定流量做特殊处理。
(1) 把鼠标移到安全组中间,会显示“+”,单击“+”,进入编辑组间策略页面。
图7-47 例外
(2) 若安全组间已存在访问策略,则需要单击
图标进入组间策略编辑页面。
图7-48 组间策略编辑页面
(3) 切换至“例外策略”页签,单击<增加>按钮,进入增加规则页面,在该页面中设置规则,配置“协议”、“源网段”、“目的网段”、“动作”等配参数后,单击<确定>按钮,保存配置。
图7-49 增加例外策略
(4) 例外配置完成后,在组间策略矩阵中,会显示例外策略图标。
图7-50 查看例外策略
在leaf设备上查看下发的配置:
[leaf]display ip policy-based-route
Policy name: SDN_SC_3
node 0 permit:
if-match acl name SDN_ACL_SC_100005_3_4
[leaf]acl name SDN_ACL_SC_100005_3_4
[leaf-acl-ipv4-adv-SDN_ACL_SC_100005_3_4]dis th
#
acl advanced name SDN_ACL_SC_100005_3_4
description SDN_ACL_SC_100005_3_4
rule 0 permit ip source 20.0.0.0 0.0.0.255 destination 50.0.0.0 0.0.0.255
#
return
[leaf10510-acl-ipv4-adv-SDN_ACL_SC_100005_3_4]
“用户上线规划”是对EIA认证服务器进行配置,包括接入服务管理、接入设备管理和接入用户管理三部分。配置完接入服务管理后,用户便可以进行认证上线。
接入服务管理配置方式有如下两种,本文档以使用园区向导方式为例进行配置介绍。
园区向导方式。路径:[向导>园区向导>用户上线规划],第一步“接入服务管理”步骤中进行配置。
非园区向导方式。路径:[自动化>用户业务>接入服务>接入服务]中进行配置。
(1) 单击<增加>按钮,打开接入服务配置页面。
图7-51 接入服务管理
(2) 接入服务配置页面,包括“基本信息”和“接入场景列表”两部分。填写“服务名”,设置“缺省接入策略”和“安全组”配置项,其他参数默认即可,单击<确定>按钮保存配置。
缺省接入策略:默认“禁止接入”,表示不允许用户上线,认证上线会失败。若要用户认证成功,则必须配置“缺省接入策略”。
此处需“增加”接入策略。单击<增加>按钮,进入接入策略配置页面,接入策略的配置页面包括基本信息、授权信息、认证绑定信息和用户客户端配置四个方面的配置项,接入策略具体说明如下:
¡ 基本信息:输入“接入策略名称”即可;业务分组默认未分组。
图7-52 增加接入策略
若用户有分组需求,可打开[自动化>用户业务>接入用户]页面,单击页面右上角“用户分组”链接,进入用户分组页面,在该页面中自行增加。
图7-53 用户分组
图7-54 增加用户分组
¡ 授权信息:一般情况下默认即可;
几个需要注意的输入框:
- 分配IP地址:是否下发用户IP地址,默认“否”,园区网方案使用默认值“否”。
- 离线检查时长(小时):主要用于不主动发包的一些哑终端(如打印机),避免交换机在下线检测周期内检测不到其发送的报文而将其下线。交换机上MAC认证默认的下线检测周期为5分钟,超过5分钟检测不到终端发包时就会认证下线。设备设置离线检查时长与Arp Snooping联动,认证上线的终端用户可保持终端一直在线。该值范围为[0-596523]之间的整数,该参数为0时,表示永不下线;参数为空时,不修改设备的离线检测时长,离线检测时长为设备默认的5分钟。
- 终端信息不一致时处理方式:
记录差异日志后允许认证:MAC相同终端信息不一致的用户认证上线时,记录日志并且允许用户认证上线;
拒绝认证:MAC相同终端信息不一致的用户认证上线时,拒绝用户认证上线;
下发黑洞MAC:用于防MAC仿冒。下发黑洞MAC是指MAC相同终端信息不一致的用户认证上线时,禁止该用户MAC认证上线,把该MAC下发到MAC认证的静默MAC中。
图7-55 授权信息
若配置离线检测时长为1小时,会给设备下发下线检测时长命令:
<leaf-1>display mac-au connection
Total connections: 1
Chassis ID: 1
Slot ID: 4
User MAC address: 0000-0000-0010
Access interface: Ten-GigabitEthernet1/4/0/2
Username: 000000000010
User access state: Successful
Authentication domain: hz1
IPv4 address: 20.0.0.2
Initial VLAN: 149
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: vsi4
Authorization ACL ID: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Termination action: Default
Session timeout period: 86400 sec
Offline detection: 3600 sec (server-assigned) //下发的下线检测时长
Online from: 2019/06/03 10:56:15
Online duration: 0h 0m 5s
¡ 认证绑定信息:
几个需要注意的选项:
- 绑定用户IP地址:终端设备的IP地址为手动配置的静态IP地址时,进行IP绑定需勾选该选项。若勾选,终端设备上线后会在用户详细信息中记录绑定的静态IP地址;
- 绑定动态分配的IP地址:终端设备通过DHCP服务器动态获取IP地址时选择该项。若勾选,当终端设备第一次上线后,会把终端MAC、通过DHCP获取的IP地址以及帐号进行绑定,后续终端登录时能获取到相同的IP地址,即保证该终端每次获取的IP一致。
“绑定用户IP地址”和“绑定动态分配的IP地址”不可同时配置。
¡ 用户客户端配置:默认即可。
图7-56 用户客户端配置
(3) 参数配置完成后,单击<确定>按钮,返回接入服务配置页面,接入策略选择刚配置的策略,进行接入服务管理的配置。
¡ 安全组:必须设置,用户上线需要选择对应的安全组,7.2 接入网络中创建的“安全组”会在下拉框中显示;
¡ 安全子组:IP策略下默认“不使用”即可;
¡ MAC Portal认证和无感知认证:默认勾选,若有MAC Portal认证用户,“MAC Portal认证”必选,“无感知认证”可选(首次认证弹出重定向页面,后续无感知上线则勾选;每次认证均弹出重定向页面则不勾选)。
图7-57 接入服务配置
¡ 接入场景列表:可选项,具体配置参见7.3.4 接入场景管理(可选)。
(4) 完成接入服务配置后,可查看到增加的接入服务。
若有多个接入服务需要配置,则再次单击<增加>按钮进行配置。
图7-58 查看接入服务
(5) 接入服务配置完后,单击<下一步>按钮,进行接入用户管理页面。
接入设备管理配置有如下两种,本文档以使用园区向导方式为例进行配置介绍。
· 园区向导方式。路径:[向导>园区向导>用户上线规划],第二步“接入设备管理”步骤中进行配置。
· 非园区向导方式。路径:[自动化>用户业务>接入服务>接入设备]中进行配置。
· 接入设备管理页面,主要用来配置接入设备,一般园区方案场景下,会自动从控制组件同步过来,无需手动配置。
图7-59 接入设备管理
接入用户管理配置方式有如下两种,本文档以使用园区向导方式为例进行配置介绍。
· 园区向导方式。路径:[向导>园区向导>用户上线规划],第三步“接入用户管理”步骤中进行配置。
· 非园区向导方式。路径:[自动化>用户业务>接入用户]中进行配置。
接入用户管理页面,支持手动增加用户和批量导入用户两种方式。接入用户配置完后,认证服务器上相关配置都已配置完成,待设备上线后便可以进行用户认证。
图7-60 接入用户管理
(1) 单击<增加>按钮,进入增加接入用户页面。“增加接入用户”页面包括“基本信息”、“接入信息”、“接入服务”、“接入设备绑定信息”、“终端绑定信息”几个方面。
¡ 基本信息:填写“用户姓名”、“证件号码”,其他信息可默认不设置;
图7-61 基本信息
¡ 接入信息:填写“帐号名”、“密码”,其他信息保持默认即可;
- 最大闲置时长:默认为空,则表示不会闲置超时。
- 在线数量限制:默认为1,最大可设置255。“在线数量限制”用于限制用户使用同一个账号同时认证上线的终端数,该参数具体说明请参见7.3.5 在线数量限制。
图7-62 接入信息
默认可以允许用户修改密码,若用户需要提高密码的安全级别,则可以勾选“启用用户密码控制策略”以及“下次登录需修改密码”等选项,则此用户在下次登录前都会进行一次修改密码的操作,提高用户的安全性。
此处勾选的“下次登录需修改密码”只能单次生效,若用户上线修改了密码成功登录后,此选项会自动去勾选,若需要再次使用,则在接入用户中再次手动勾选即可。
图7-63 提高密码安全级别
此处勾选了“下次登录需修改密码”后,用户单击上线会进入如下图所示的密码修改页面,密码修改成功后,后续需要使用新密码进行登录。
图7-64 修改密码
¡ 接入服务:每个“接入用户”都需要绑定一个“接入服务”。配置“接入用户”后,用户认证成功,就能访问到“接入服务”对应的“安全组”相应的网络资源。
图7-65 选择接入服务
¡ 绑定信息:可选项,默认为空,默认即可。
“绑定信息”输入框支持手动配置,手动设置时各值之间的用户换行分隔。
除手动设置外,系统会根据用户对应“接入服务”的“接入策略”配置,在用户上线后自动填入绑定信息。
图7-66 接入设备绑定信息
图7-67 终端绑定信息
(2) 单击<确定>按钮完成配置,在“接入用户”页面中能查看到创建成功的用户。
图7-68 查看接入用户
(1) 单击<批量导入>按钮,进入批量导入页面。单击“帐号导入文件模板”链接进行下载。模板格式可以使用“TAB”键分隔,也可以使用“,”等支持的其他分隔符。
图7-69 帐号导入文件模板
本例中批量导入的文件格式使用“,”隔开,如下图所示。
图7-70 修改模板信息
(2) 单击<上传>按钮,选择要上传的文件,并选择文件中列分隔符,勾选“正常”选项,如下图所示。
图7-71 上传文件
(3) 单击<下一步>按钮,进入批量导入配置页面。
¡ 在“基本信息”区域中设置用户信息、证件号。
图7-72 设置用户基本信息
¡ 用户分组可以根据用户需求进行选择,默认为“未分组”。
¡ 在“接入信息”区域设置帐号名、密码。密码可从文件中选择,也可直接输入密码,若直接输入密码,则所有用户使用相同密码。
图7-73 设置用户接入信息
¡ 在“接入服务”区域勾选接入服务,该项为必选项。
图7-74 选择接入服务
(4) 配置完成后,单击<确定>按钮,进行用户批量导入。
图7-75 批量导入
(5) 用户导入成功后,在“接入用户”页面中,能查看到导入的用户。
(1) 路径:[自动化>用户业务>接入服务],接入场景可以在如下两个页面里增加:
¡ 单击<增加>按钮,进入增加接入服务页面。在“接入场景列表”区域中,单击<增加>按钮,进入接入场景页面,在该页面中对接入场景进行增加。
¡ 单击列表中服务名后相应的修改图标
,进入修改接入服务页面。在“接入场景列表”区域中,单击<增加>按钮,进入接入场景页面,在该页面中对接入场景进行增加。
如果配置了“接入场景”,则用户认证上线时,会先匹配接入场景,若符合“接入场景”条件,则进入“接入场景”对应的安全组,并且有多条“接入场景”时会逐一匹配;当用户均不符合“接入场景”时才会进入到“缺省接入策略”设置的安全组。
图7-76 接入场景列表
(2) 在“接入场景”配置页面,配置5W1H,如下图所示。
基于5W1H的用户认证接入,根据Who(谁)、Whose(谁的设备)、What(什么设备)、When(什么时间)、Where(什么地点)、How(什么方式)多个维度覆盖各种接入场景。用户可根据自己的需求,灵活定制场景,满足自己个性化的需求。
例如:设定接入条件为“接入位置分组(where,how)”,通过单击“接入位置分组(where,how)”项后的<增加>按钮,进入增加接入位置分组页面。需要选择从哪里的交换机接入,也就是5W1H的Where。
图7-77 增加接入场景
(3) 在增加接入位置分组页面,选择接入设备或者选择接入端口。配置完成后,单击<确定>按钮,保存配置,返回接入场景配置页面。
图7-78 增加接入位置分组
接入设备及接入端口的具体配置说明如下:
¡ 接入设备:可以选择Leaf设备或Access设备或Access多级级联设备。若Leaf设备为M-LAG组网(分布式认证),则此时Leaf设备需要选择两台虚拟成员设备。若选择了Leaf接入设备,则可以配置是否包含级联设备,若配置为是,则该Leaf下所有的Access设备都被默认选中;若选择为否,则不包括该Leaf下级联的Access设备。
图7-79 接入设备
¡ 接入端口:选择Leaf设备、Access设备的具体接口,匹配到具体的指定接口。同一个设备,若选择了“接入设备”,则不能设置同一台设备的接入端口;反之,若设置了设备的接口,则不能再选择已设置为接入端口的设备加入到接入设备列表中,保证唯一性。
(4) 在“接入场景”配置页面,配置“接入策略”,单击<确定>按钮,保存配置。接入策略配置完成后,在接入场景列表中可查看增加的接入场景。
图7-80 查看接入场景
“在线数量限制”用于限制单账号同时在线的终端数,在路径:[自动化>用户业务>接入用户>接入用户]页面可进行配置,如下图所示,a01账户最多可以同时保持3个终端在线。
图7-81 在线数量限制
与“在线数量限制”相关的还有一个参数:“同名账号强制下线”,路径:[自动化>用户业务>业务参数>接入参数>系统配置],单击列表模板名称为“系统参数配置”相应配置列的图标
,进入系统配置页面,如下图所示。
图7-82 同名帐号强制下线
“同名帐号强制下线”参数有2个选项“启用”、“禁用”,默认为“启用”,“同名帐号强制下线”功能只有在用户帐号的“在线数量限制”设置为“1”时起作用。
· “同名帐号强制下线”设置为“启用”:
¡ 当“在线数量限制”为1时,若有2个终端设备使用相同帐号上线,系统会强制下线第一个认证上线的终端设备;
¡ 当“在线数量限制”值>1时,“同名帐号强制下线”即使设置为“启用”,也不会起作用,若有2个终端设备使用相同帐号上线,第二个终端设备也可以认证上线。
· “同名帐号强制下线”设置为“禁用”:
当“在线数量限制”为1时,若有2个终端设备使用相同帐号上线,第二个终端设备无法认证上线。
(1) 路径:[监控>监控列表>在线用户>本地在线用户],用户认证上线后,可以在“在线用户”列表中查询。本地在线用户页面包括消息下发、强制下线、清除在线信息、重认证、定制界面、批量导出等功能。并能够针对任一在线用户进行“操作”,包括查看详细信息、日志搜集以及加入黑名单功能。
图7-83 本地在线用户
(2) 在线用户的信息界面可以根据用户需求进行定制,显示用户需要的内容。
单击<定制页面>按钮,进入定制页面页面。在“可选择项列表”中勾选需要显示的项,单击
按钮,将选中项增加至“输出列表”中。也可单击
按钮,将“输出列表”中不需要的选项,从“输出列表”中删除,被删除的选项重新回到“可选择项列表”中。
图7-84 定制页面
终端用户认证上线之前,需要根据前面的5 AD-Campus基础配置、6 设备上线和7 AD-Campus业务配置完成基础配置,包括配置设备策略模板(AAA、MAC认证、802.1X认证、MAC迁移)、接口组模板(MAC认证、802.1X认证),并下发Leaf设备组和Leaf下行接口组,以及私网、二层网络域、安全组、接入策略、接入用户的配置。
· 若使用H3C的iNode作为DOT1X的认证软件,不需要进行证书安装。
· 若使用非H3C的DOT1X认证软件,则需要在EIA认证服务器上安装证书,证书安装完成后,使用Windows自带的802.1X客户端,手机客户端的无线Wifi都能够认证成功。
(1) 路径:[自动化>用户业务>业务参数>接入参数>证书配置],单击<导入预置证书>按钮,会自动导入H3C预置的证书,如下图所示。
(2) 配置完成后,非H3CiNode作为客户端的802.1X认证能够成功认证。
(3) 若客户需要使用自己的证书,则可以通过下述两种方式导入:
¡ 选择该页面“根证书配置”页签,单击<导入EAP根证书>按钮进行证书导入。
¡ 选择该页面“服务器证书配置”页签,单击<导入EAP服务器证书>按钮进行证书导入。
图8-1 导入证书
上述配置过程完成后,用户就可以通过iNode客户端进行认证上线。
(1) 打开iNode客户端,输入接入用户中创建/导入的帐号、密码。
图8-2 输入用户名密码
(2) 设置“属性”。单击“连接”右侧向下箭头会显示“属性”。“属性设置”页面默认如下:
可以使用“单播”或者“多播”报文触发认证。配置静态IP时,勾选“上传IPv4地址”。建议勾选上“连接断开后自动更新IP地址”。
图8-3 iNode属性设置
(3) 单击连接,终端PC上可以看到用户已成功上线。路径:[监控>监控列表>在线用户>本地在线用户]也可以查看在线用户信息。
图8-4 用户上线
图8-5 查看在线用户
使用inode客户端进行dot1x认证时,若有不定时掉线的问题,可以通过Leaf设备全局增加如下命令进行优化:
#
dot1x timer handshake-period 60 //握手定时器的值,默认15秒,请根据实际组网调整值。
dot1x retry 6 //设备向接入用户发送认证请求报文的最大次数,默认2次,请根据实际组网调整值。
#
该参数调整会影响用户认证时认证失败的尝试时间,请根据实际情况酌情调整。
(1) 设备策略模板-802.1X认证,认证方式:选择“EAP”认证方式。参考7.1.3 设备策略模板-802.1X认证。
(2) Leaf下行口配置关闭握手功能,参考7.1.7 自定义策略模板。
#
interface Bridge-Aggregation1024
port link-type trunk
port trunk permit vlan1 101 to 3000 4094
link-aggregation mode dynamic
mac-based ac
dot1x
undo dot1x handshake //关闭握手功能
undo dot1x multicast-trigger
#
(3) 客户端配置,在[服务]中启动Wired Autoconfig服务。
图8-6 启动Wired Autoconfig服务
(4) 在[网卡>属性>身份验证]页面,启用802.1X身份验证,勾选回滚到未经授权的网络访问。
(5) 在[网卡>属性>身份验证>设置]页面,去勾选验证服务器证书,其他默认即可。
(6) 在[网卡>属性>身份验证>其他设置]页面,勾选指定身份验证模式,在下拉框选择用户身份验证,在保存凭据页面输入认证用户名和密码。
图8-7 802.1X设置
图8-8 保存凭据
(7) 确定之后,用户可以认证成功
(8) 某些终端认证时,会带前缀信息,导致认证不成功,提示用户不存在,解决办法:AAA认证配置,增加带后缀的域名,参考7.1.2 设备策略模板-AAA;
终端需要使用Chrome浏览器访问Portal页面。
MAC Portal认证,主要针对没有客户端的用户,不能直接输入用户名和密码进行认证。通过用户接入时推送一个Portal页面,用户在页面中输入用户名、密码进行认证。
当终端设备接入到交换机端口UP后,会发送携带MAC地址的报文从而触发MAC地址认证,作为BYOD匿名用户先进入到BYOD的安全组,并获取该网段的IP地址,可以理解为第一次认证。当用户上网打开网页时,会重定向到MAC Portal的推送页面,输入用户名和密码,登录成功后进入到用户安全组,再获取用户安全组对应的IP地址,可理解为第二次认证。
BYOD安全组在DHCP Server上的默认租约时间为1分钟,终端设备第一次认证获取的IP地址租约为1分钟,当用户通过Web页面输入用户名/密码登录时,进入到对应的用户安全组,等待BYOD租约到期,重新申请IP地址,此时设备会获取到用户安全组的IP地址段地址,终端设备的IP地址从BYOD安全组切换到用户安全组。
在SeerEngine-Campus上配置:
(1) 路径:[自动化>园区网络>私有网络>二层网络域],单击<增加>按钮,进入增加二层网络域页面。其中,“私有网络”必须选择“vpn-default”,“类型”选择“BYOD”,BYOD地址池租约默认为1分钟,建议不要低于30s,可根据实际需求进行修改,BYOD安全组必须选择H3C的DHCP服务器vDHCP
图8-9 二层网络域
(2) 其他未介绍的参数说明请参见7.2.2 2. 创建二层网络域。
图8-10 增加二层网络域
(3) 切换至“子网”页签,单击<增加>按钮,填写名称、IP版本、网段和网关后,单击<确定>按钮。
图8-11 增加子网
(4) 返回到二层网络域后再次单击<确定>按钮,便可以在二层网络域页面看到增加的BYOD二层网络域。
图8-12 查看二层网络域
(5) 增加完BYOD二层网络域后,在路径:[自动化>园区网络>安全组>用户安全组],单击<增加>按钮,进入增加安全组页面。其中,“类型”选择“BYOD”,“私有网络”必须选择“vpn-default”,单击“二层网络域”页签中的<增加>按钮,选择刚刚添加的BYOD对应的二层网络域,单击确定后便可在安全组列表看到BYOD安全组。
图8-13 增加安全组
图8-14 查看用户安全组
设备策略模板配置中的“免认证IP”填写的是EIA服务器的IP地址,设备策略模板应用到“设备组”中时,会向设备下发ACL3001。增加、修改、删除“免认证IP”,会向设备下发相应的操作。
图8-15 免认证IP
按照设备组策略配置下发ACL策略
#
<Leaf1>display acl all
Advanced IPv4 ACL 3001, 2 rules,
SDN_ACL_AUTH
ACL's step is 5, start ID is 0
rule 0 permit udp destination-port eq dns
rule 1 permit ip destination 100.1.0.100 0
#
(1) EIA上配置路径:[自动化>用户业务>业务参数>接入参数>系统配置],在该页面列表单击模板名称为“终端管理参数配置”相应配置列的图标
,页面上有一个“MAC Portal认证”,选择“启用”,打开“MAC Portal快速配置”页面(若默认已“启用,则需要先设置为“禁用”,再切换为“启用”),同时需要启用无感知认证。
图8-16 启用MAC Portal认证
(2) 在“MAC Portal快速配置”页面,单击<确定>按钮。
系统会自动创建如下一整套配置,包括:BYOD接入策略、BYOD接入服务关联接入策略和BYOD安全组,创建BYOD用户并绑定BYOD接入服务等一系列操作。
图8-17 MAC Portal快速配置
系统自动创建的接入策略:
图8-18 系统创建BYOD安全组接入策略
系统自动创建的接入服务,接入服务关联接入策略和安全组:
图8-19 自动关联
系统自动创建的BYOD用户:
图8-20 系统创建BYOD用户
(1) 当终端设备端口UP时,会触发MAC地址认证,先进行BYOD认证过程,首先使用匿名账号byodanonymous进行登录上线,上线成功后加入到BYOD安全组,并获取BYOD网段对应的IP地址。
图8-21 查看在线用户
接入认证交换机上可以看到MAC地址认证的信息如下:
<Leaf1>display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 000c-29b2-2f11
Access interface: Bridge-Aggregation1024
Username: 000c29b22f11
User access state: Successful
Authentication domain: isp
IPv4 address: 50.0.0.2 //获取BYOD安全组对应的网段地址
IPv4 address source: IP Source Guard
Initial VLAN: 111
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: vsi5
Authorization ACL number/name: 3001 //授权ACL 3001
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: http://100.1.0.100:30004/byod/index.html?usermac=%m&userip=
%c&userurl=%o&original=%o //授权URL
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: 86400 sec
Online from: 2020/10/20 11:38:07
Online duration: 0h 19m 53s
Port-down keep online: Disabled (offline)
(2) 在用户PC上,打开网页输入任何一个IP地址如:1.1.1.1,用户PC上会自动跳转到如下BYOD URL重定向页面。若用户使用域名访问网络来实现重定向跳转认证页面功能(对于DHCP方式获取IP地址的用户,需要在隔离域或二层网络域设置DNS服务器IP;对于静态配置IP地址的用户,则需要手工配置DNS服务器IP ),并且,Spine/Leaf设备需要保证到DNS服务器路由可达。
图8-22 重定向页面
(3) 输入用户名及密码,单击<上线>按钮,认证通过后客户端页面显示如下,表示用户已认证上线。
图8-23 用户上线
(4) EIA上可以看到用户上线信息,进入对应的接入服务,获取接入服务对应的IP地址。
图8-24 查看在线用户
接入设备上可以看到对应的MAC地址认证信息:
<leaf10510> dis mac-authentication connection user-name 000c29b22f11
Total connections: 1
Chassis ID: 2
Slot ID: 10
User MAC address: 000c-29b2-2f11
Access interface: Bridge-Aggregation1024
Username: 000c29b22f11
User access state: Successful
Authentication domain: hz1
IPv4 address: 20.0.0.7
IPv6 address: FE80::18AD:C0E3:497B:84BA
IPv4 address source: IP Source Guard
IPv6 address source: User packet
Initial VLAN: 120
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: vsi3
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: 86400 sec
Online from: 2021/08/24 10:36:48
Online duration: 0h 2m 5s
Port-down keep online: Disabled (offline)
MAC认证主要用于用户没有客户端,想直接通过终端MAC地址触发认证上线的场景。
配置路径:[自动化>用户业务>接入用户],单击<增加>按钮,增加接入用户,支持手动增加及批量导入两种方式。
(1) 单击<增加>按钮,进入增加接入用户页面。在“接入信息”区域,输入帐号名,并勾选“MAC地址认证用户”选项,服务器会自动配置该用户的密码。其中,帐号名为xxxxxxxxxxxx格式的MAC地址,如下图所示。
图8-25 接入用户
(2) 在该页面“接入服务”区域勾选接入服务后,单击<确定>按钮,成功新增MAC地址用户。
图8-26 查看新增用户信息
(1) 单击<批量导入>按钮,进入批量导入接入用户页面。可通过单击“提示”区域中的“帐号导入文件模板”链接,下载导入模板。可根据模板填写相关信息。
(2) 单击<上传>按钮,选择批量导入的文件。其中,文件中的用户名和密码应该都填写为MAC地址,格式为xxxxxxxxxxxx,如下图所示。
图8-27 导入模板
(3) 文件上传完成,并选择文件中列分隔符,单击<下一步>按钮,进入接入用户信息配置页面,在“接入信息”区域中的帐号名和密码需确保均为MAC地址。
图8-28 配置接入信息
(4) 选择接入服务后单击<确认>按钮,可以看到成功导入新增的用户。
图8-29 查看接入用户
当PC接入到交换机端口UP后,会发送携带MAC地址的报文从而触发MAC地址认证,认证成功后可以在[监控>监控列表>用户>本地在线用户]查看到成功上线的MAC地址认证用户。
图8-30 查看在线用户
AD-Campus方案中的“宽带物联业务”是通过MAC认证的方式进行认证。用户通过流量触发认证,EIA识别认证用户并匹配“宽带物联业务”配置的规则,会根据认证用户的MAC地址自动创建帐号、密码,不需要用户输入帐号、密码直接认证上线。
目前支持三种配置方式:基于MAC段、基于IP段、基于终端识别。
配置路径:[自动化>用户业务>接入用户>哑终端用户配置],进入哑终端用户配置页面。
图8-31 哑终端用户配置
· 基于MAC段:设置MAC地址段,认证上线时若匹配设置的MAC地址段,则自动创建帐号,认证上线进入设置的用户安全组,获取用户安全组对应的IP地址。
· 基于IP段:设置IP地址段,需要在Leaf设备下行接口配置mac-authentication carry user-ip exclude-ip acl ***命令,可参考7.1.6 接口策略模板-MAC/MAC-Portal认证进行配置,在接口策略模板中开启携带用户IP地址功能。
· 基于终端识别:设置终端设备参数信息,客户端认证上线时会携带终端指纹信息,若客户端携带的终端指纹信息匹配设置的终端设备参数信息,则自动创建帐号,认证上线进入设置的用户安全组,获取用户安全组对应的IP地址。
哑终端用户配置中,基于MAC段与基于IP段不能设置为相同优先级。若有认证上线的客户端既匹配MAC地址段又匹配IP地址段,则根据设置的优先级,匹配优先级高的,进入对应的接入组。优先级设置,从0-n,数值越小,优先级越高。
单击<增加>按钮,在弹出的下拉框中选择“基于MAC段”,进入基于MAC段页面,填写“配置名称”和“用户姓名前缀”。其中,该页面“基本信息”区域中的参数“优先级”,默认为“0”,有效范围为[0-999],数值越小优先级越高。
在该页面“MAC地址段”区域支持手动增加和批量导入两种方式。
单击<增加>按钮,进入增加MAC地址段页面,输入MAC地址段,单击<确定>按钮,完成配置。其中,MAC地址段可以增加多个,每一个地址段都可以根据需求进行配置。
图8-32 增加MAC地址段
该页面参数说明如下:
· 自动开户:可选择“允许”和“禁止”。
¡ 允许:终端设备认证时匹配MAC地址段,会自动创建帐号,进入对应的安全组,获取用户IP地址。
¡ 禁止:不会自动创建帐号,认证用户会触发MAC Portal认证进入BYOD安全组。管理员通过路径[监控>监控列表>终端>接入终端]进行开户。
图8-33 自动开户
· 老化:可选择“允许”和“禁止”。
¡ 允许:在终端无流量、NAS重启、NAS-Port-down等情况下,EIA允许已认证的哑终端超时后老化下线。
¡ 禁止:在终端无流量、NAS重启、NAS-Port-down等情况下,EIA不会让哑终端老化下线,EIA上哑终端一直保持在线状态。当Leaf设备恢复正常,Leaf主动向EIA请求在线信息,以恢复哑终端的在线状态,以防止哑终端一直不发流量而无法恢复上线状态。
(1) 单击<批量导入>按钮,进入批量导入哑终端MAC地址段页面。批量导入时,支持模板下载。单击“哑终端MAC地址段导入模板”的链接,下载模板。根据下载的模板填写要导入的MAC地址段,模板格式如下:
图8-34 导入模板
(2) 单击<上传>按钮导入文件,并选择文件中列分隔符,单击<下一步>按钮,进入批量导入哑终端MAC地址段配置页面,配置完成后单击<确定>按钮完成配置。该页面中的参数说明请参见8.4.2 1. 手动增加。
(3) 在“接入服务”区域勾选接入服务,单击<确定>按钮,保存配置。
图8-35 选择接入服务
(4) 配置完成后,需要勾选增加的MAC地址段,单击<立即生效>按钮,创建的MAC地址段才能起作用。若不单击<立即生效>按钮,则需要等到系统轮询时间(10分钟内)到了才会生效。
图8-36 立即生效
MAC地址段配置成功后,终端设备通过流量触发认证上线,匹配设置的MAC地址段,自动创建用户帐号,进入用户对应的安全组获取IP地址。
手动单击<立即生效>按钮,每次批量生效2000个左右的MAC,若设置的MAC数量较大,请多单击几次<立即生效>按钮。
单击<增加>按钮,在弹出的下拉框中选择“基于IP段”,进入基于IP段页面。其中,该页面“基本信息”区域中的参数“优先级”,默认为“0”,有效范围为[0-999],数值越小优先级越高。基于MAC段和基于IP段的优先级会进行比较判断,不能设置为相同优先级。
在该页面“IP地址段”区域支持手动增加和批量导入两种方式。
在IP地址段区域,单击<增加>按钮,进入增加IP地址段页面。配置完成后,单击<确定>按钮完成配置。
图8-37 增加IP地址段
· 输入的IP范围必须和所选“接入服务”中设置的安全组的“子网”网段一致。安全组的“子网”网段,可通过SeerEngine-Campus的路径[自动化>园区网络>私有网络>二层网络域],单击列表中子网列的子网链接进行查看。
· IP地址段可增加多个,每一个IP地址段参数都可以根据需求设置。
(1) 单击<批量导入>按钮,支持模板下载。单击“哑终端IP地址段导入模板”的链接下载模板。根据下载的模板填写要导入的IP地址段。模板格式如下:
图8-38 导入模板
(2) 单击<上传>按钮导入文件,并选择文件中列分隔符,单击<下一步>按钮,进入批量导入哑终端MAC地址段配置页面,配置完成后单击<确定>按钮完成配置。该页面中的参数说明请参见8.4.2 1. 手动增加。
(3) 在该页面接入服务区域勾选“接入服务”,单击<确定>按钮,保存配置。
图8-39 选择接入服务
(4) 配置完成后,需要勾选增加的IP地址段,单击<立即生效>按钮,创建的IP地址段才能起作用。若不单击<立即生效>按钮,则需要等到系统轮询时间(10分钟内)到了才会生效。
图8-40 立即生效
配置成功后,终端设备通过流量触发认证上线,获取终端IP匹配设置的IP地址段,自动创建用户帐号,用户进入对应的安全组。
(5) 7.1.6 接口策略模板-MAC/MAC-Portal认证中配置携带用户IP地址为“是”,则控制组件会自动向Leaf设备下发配置。下发完成后客户端设置静态IP地址,认证上线时若匹配设置的IP地址段,则自动创建帐号,认证上线进入设置的接入组。其中,mac-authentication carry user-ip exclude-ip acl ***命令说明如下:
¡ mac-authentication carry user-ip:用户认证时获取终端设备静态IP地址上送给EIA服务器,触发终端认证上线。
¡ exclude-ip acl参数:ACL中指定网段的用户报文不触发MAC认证。
Leaf设备配置下发的命令如下:
#创建acl,匹配fe80的地址
acl ipv6 basic 2000
rule deny source fe80:0::0:0 16
#
#Leaf下行接口下发mac-authentication carry user-ip命令
interface gigabitethernet 1/0/1
mac-authentication carry user-ip exclude-ip acl 2000
#
· 当前AD-Campus方案中必须mac-authentication carry user-ip exclude-ip acl ***命令,过滤fe80开头的IPv6链路本地地址。
· 终端用户采用静态IP地址接入时,实际组网应用中会出现用户报文中携带的IP地址并非用户实际IP地址的情况,例如在IPv4静态地址组网中,用户报文携带的IP地址为以fe80开头的IPv6链路本地地址。配置mac-authentication carry user-ip命令后,设备会携带非用户实际的IP地址向服务器发起MAC地址认证请求,此种情况会导致服务器为用户绑定错误的IP地址或IP地址与MAC地址匹配失败。为避免上述情况发生,可以指定exclude-ip acl参数,不允许ACL中指定网段的用户进行MAC地址认证。
单击<增加>按钮,在弹出的下拉框中选择“基于终端识别”,进入基于终端识别页面。
在该页面“终端识别”区域支持手动增加和批量导入两种方式。下述内容只介绍需特别注意的内容,其他配置请同时参考8.4.2 基于MAC快速上线。
· 手动增加过程中,单击<增加>按钮,进入增加终端识别页面,增加终端类型(可自由选择操作系统、终端类型、厂商三个参数)。
图8-41 增加终端识别
· 批量导入终端类型中,可以使用链接中的导入模板。其中导入模板格式如下:
图8-42 导入模板
· 配置完成后,勾选增加项,单击<立即生效>按钮。若不单击<立即生效>按钮,则需要等到系统轮询时间(10分钟内)到了才会生效。
图8-43 立即生效
终端设备通过流量触发认证上线,匹配终端指纹信息后,会自动创建用户帐号,用户进入设置的接入组对应的安全组。
物联终端长期保持在线的功能,通过离线检测时长联动ARP/ND Snooping,在ARP/ND老化前30s触发更新保活,实现宽带物联终端保持长期在线。保持宽带物联终端1-2个离线检查周期内不下线,则只需要在EIA的接入策略中设置“离线检测时长”即可。具体配置如下:
路径:[自动化>用户业务>接入服务>接入策略],进入接入策略页面,单击列表接入策略名对应的修改列的修改图标
,进入修改接入策略页面,修改“授权信息”区域的“离线检测时长(小时)”,推荐设置为24小时。
图8-44 离线检查时长
若需要保持宽带物联终端永不下线,有下述两种方式:
· 方式1:离线检测时长配置成0,关闭离线检测,保证终端长时间无流量也不会老化,实现永不下线。
· 方式2:在配置了离线检测时长不为0的基础下,还需要在SeerEngine-Campus中设置ARP Snooping并且在设备上配置离线检测时长的联动。通常适用于保证某些特定的宽带物联终端永不下线。
a. 在SeerEngine-Campus的[自动化>园区网络>私有网络>二层网络域],单击列表中对应项的修改图标
,进入修改二层网络域页面。
b. 在该页面的“高级”页签中,将“ARP Snooping”选项置为“是”,单击<确定>按钮下发配置。
图8-45 高级配置
Leaf设备上下发的ARP snooping enable的命令:
#
vsi vsi3
description SDN_VSI_3
gateway vsi-interface 3
statistics enable
arp snooping enable //控制组件下发的命令
flooding disable all all-direction
vxlan 3
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
dhcp snooping binding record
#
除进行前面的离线时长和ARP Snooping配置外,还需要手动配置mac-authentication offline-detect mac-address xxxx-xxxx-xxxx timer xxxx check-arp-or-nd-snooping命令,实现离线检查时长与ARP/ND Snooping的联动,在ARP/ND老化前30s触发更新保活。
命令配置如下:
timer指离线检测时长时间,建议设置成比ARP的老化时间长,例如3600s;
#
mac-authentication offline-detect mac-address 0001-0002-0003 timer 3600 check-arp-or-nd-snooping
#
mac-authentication offline-detect mac-address xxxx-xxxx-xxxx timer xxxx check-arp-or-nd-snooping命令,每一个认证的终端设备需要配置一条,mac-address填写的是终端的MAC地址。若不配置该命令,只配置离线检测时长,则无法实现ARP Snooping和离线检测时长的联动,超过离线检查时长无流量触发则终端下线。
有些哑终端不会主动发送ARP,当这些哑终端的IP地址为静态IP时,哑终端认证上线Leaf设备学不到哑终端的ARP。可通过如下方法解决:
(1) EIA上设置接入策略的“离线检测时长”为0。
图8-46 离线检查时长
(2) 在Leaf设备上手动配置arp scan ip范围的命令获取,命令如下:
#
arp scan 192.20.31.193(扫描起始地址) to 192.20.61.200(扫描结束地址)
#
(3) 配置完该命令后,设备会主动对该接口下指定地址范围内的邻居进行扫描,对于已存在ARP表项的IP地址不进行扫描。
控制组件上可以配置免认证接口,用户从免认证的接口上线时,不需要认证直接进入设置的安全组获取安全组对应的网段地址,并可以访问该安全组对应的网络资源。
设置免认证时,需要先创建免认证接口组,系统默认不创建免认证接口组。
路径:[自动化>园区网络>网络设备>VNID池],配置免认证VLAN池。
配置的VLAN范围确保未被使用的VLAN。
图8-47 园区免认证VLAN池
安全组中设置免认证时,需要配置免认证接口组,系统默认不创建免认证接口组,需要手动创建。
(1) 路径:[自动化>园区网络>网络设备>通用策略组],单击<增加>按钮,进入增加通用策略组页面。
图8-48 通用策略组
(2) 创建免认证接口组,选择加入该免认证接口组的成员,如下图所示。
¡ 类型:选择“接口组”;
¡ 子类型:选择“免认证接口组”;
¡ 成员:选择“交换设备接口”或“ONU设备接口”。
图8-49 免认证接口组
(3) 在该页面“成员”页签下,单击<增加>按钮,进入增加接口页面。选择设备及接口,单击<增加>按钮,将所选接口增加至已选接口列表中,单击<确定>按钮,返回增加通用策略组页面。
图8-50 增加接口
(4) 单击<确定>按钮保存配置,在“通用策略组列表”中查看到创建免认证接口组。
图8-51 查看免认证接口组
若配置免认证的安全组对应的隔离域开启了VXLAN按需下发功能,请注意为该安全组绑定的二层网络域添加对应的网关设备。
(1) 路径:[自动化>园区网络>安全组],单击安全组列表右上角的“免认证”链接,用于配置用户免认证。
图8-52 修改安全组
(2) 配置免认证,选择“免认证接口组”。
¡ ARP检测信任:默认开启。开启后会在免认证业务下发的服务实例下,下发ARP Detetion Trust配置。
图8-53 增加免认证
安全组绑定了免认证接口组后,设备上下发配置如下:
(1) 免认证接口组的成员为Access上的接口。
#连接该Access的Leaf下行接口增加service-instance 4051的配置
#
interface Ten-GigabitEthernet1/2/0/13
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
port-security free-vlan 1 4051 4094
#
service-instance 4051
encapsulation s-vid 4051
xconnect vsi vsi3
arp detection trust
#
return
#
# Access上加入免认证的接口增加静态VLAN的配置
interface GigabitEthernet1/0/49
port access vlan 4051
stp edged-port
#
(2) 免认证接口组的成员为Leaf上的接口。
# Leaf上加入免认证的接口增加service-instance 4051的配置
interface Ten-GigabitEthernet1/2/0/14
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 4051
port trunk pvid vlan 4051
port-security free-vlan 4051
#
service-instance 4051
encapsulation untagged
xconnect vsi vsi3
arp detection trust
#
return
#
· 仅802.1X支持Guest和认证失败上线功能。
· 使能Guest时必须要开启单播触发。
· Guest功能与Mac Portal功能互斥。
路径:[自动化>园区网络>私有网络>二层网络域]。
(1) 单击<增加>按钮,进入增加二层网络域页面,参数配置如下:
¡ 私有网络:建议选择用户私网;
¡ 类型:选择“Guest”;
¡ IPv4地址获取方式:选择“自动”;
¡ DHCPv4服务器:选择DHCPv4服务器;
¡ IPv4地址租约有效期:默认30分钟。
图8-54 增加二层网络域
(2) 切换到“子网”页签,单击<增加>按钮,选择IP版本,配置子网网段以及网关IP。
图8-55 增加子网
(3) 配置完成,单击<确定>按钮,返回增加二层网络域页面。单击<确定>按钮,完成配置。
路径:[自动化>安全组>用户安全组],单击<增加>按钮,进入增加安全组页面。
一个隔离域内只能配置一个Guest安全组,若一个隔离域内有多个Fabric,则所有Fabric共用一个Guest安全组。类型选择“Guest”,选择“二层网络域信息”页签,单击<增加>按钮,进入增加二层网络域页面,选择之前配置的“Guest”类型的二层网络域。
图8-56 增加安全组
在7.1.5 接口策略模板-802.1X认证中使能Guest功能。
图8-57 使能Guest功能
将该策略模板应用到Leaf下行接口组时,会下发如下配置:
[leaf105102-Ten-GigabitEthernet1/0/0/14]dis th
#
interface Ten-GigabitEthernet1/0/0/14
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
stp tc-restriction
mac-based ac
dot1x
undo dot1x multicast-trigger
dot1x unicast-trigger
dot1x guest-vsi vsi10 //Guest对应的vsi
port-security free-vlan 1 4094
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
Return
终端PC接入到网络中,用户会直接获取到Guest的授权并获取地址,访问Guest安全组特定的网络资源。
图8-58 网络连接详细信息
认证失败上线主要用于用户802.1X认证失败后仍能接入网络后,访问某一特定安全组中的资源,该特定安全组为“认证失败”类型的安全组。
路径:[自动化>园区网络>私有网络>二层网络域]。
(1) 单击<增加>按钮,进入增加二层网络域页面,参数配置如下:
¡ 私有网络:建议选择用户私网;
¡ 类型:选择“认证失败”;
¡ IPv4地址获取方式:选择“自动”;
¡ DHCPv4服务器:选择DHCPv4服务器;
¡ IPv4地址租约有效期:默认1天。
图8-59 增加二层网络域
(2) 切换到“子网”页签,单击<增加>按钮,增加子网网段。
图8-60 增加子网
(3) 配置完成,单击<确定>按钮,返回增加二层网络域页面。单击<确定>按钮,完成配置。
路径:[自动化>安全组>用户安全组],单击<增加>按钮,进入增加安全组页面。
一个隔离域内只能配置一个认证失败安全组,若一个隔离域内有多个Fabric,则所有Fabric共用一个认证失败安全组。类型选择“认证失败”,单击增加二层网络域信息,选择之前配置的“认证失败”类型的二层网络域。
图8-61 增加安全组
在7.1.5 接口策略模板-802.1X认证中使能认证失败功能。
· 若用户使用802.1X客户端的认证失败功能,则需在Leaf下行口配置dot1x auth-fail eapol命令,保证用户认认证失败后可以通过DHCP获取到IP地址。
· dot1x auth-fail eapol命令可在Leaf下行接口手工配置,或通过自定义策略模板进行配置下发。自定义策略模板配置请参考:7.1.7 自定义策略模板。
图8-62 使能认证失败
将该策略模板应用到Leaf下行接口组中,可以看到下发了如下配置:
[leaf105102-Ten-GigabitEthernet1/0/0/14]dis th
#
interface Ten-GigabitEthernet1/0/0/14
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
stp tc-restriction
mac-based ac
dot1x
undo dot1x multicast-trigger
dot1x unicast-trigger
dot1x auth-fail eapol //手工配置或通过自定义模板下发
dot1x guest-vsi vsi10
dot1x auth-fail vsi vsi12 //认证失败的vsi
dot1x critical vsi vsi11
dot1x critical eapol
port-security free-vlan 1 4094
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
终端PC进行802.1X认证,当认证失败以后,用户将获取到认证失败的授权,访问认证失败安全组特定的网络资源。802.1X认证的配置请参考8.1 802.1X认证。
图8-63 认证失败
图8-64 网络连接详细信息
访客用户也是MAC Portal用户,访客针对的是外来临时用户,访问权限会受到限制。同时因为临时用户没有账号,EIA上需要配合“页面推送策略”和“BYOD安全组”来实现该功能,同时还需要提供访客注册功能,包括在页面上提交注册信息自动注册并登录。
针对访客,目前有六种页面推送方式,如下图所示。
· 针对PC:有“缺省PC账号认证”、“缺省PC二维码认证”、“缺省PC短信认证”三种方式;
· 针对PHONE:有“缺省Phone账号认证”、“缺省Phone二维码认证”、“缺省Phone短信认证”三种方式;
· 如果是通过“短信认证页面”完成用户预注册,则需要配合短信猫或者短信网关来完成,当打开页面输入手机号,然后通过短信猫获取密码,开户成功并登录;
· 如果是通过“二维码开户与认证方式”,则打开网页时会看到一个二维码,管理员扫描该二维码,打开URL进行审批用户,开户成功后用户直接登录。
· 如果是通过“二维码开户与认证方式”,则打开网页时会看到一个二维码,管理员扫描该二维码,打开URL进行审批用户,开户成功后用户直接登录。
· 如果是“扫二维码登录”,则指管理员设置一个访客登录的二维码,用户只需要通过扫描二维码即可登录网络,访问访客用户的网络资源。
图8-65 页面推送方式
下面介绍“PC-缺省PC账号认证”的方式,并且将访客配置成“预注册完成后自动转正”,即不需要通过管理员手动审批的方式,预注册完成后就能自动上线成功。
路径:[自动化>用户业务>访客用户],切换至“访客管理员”页签,进入访客管理员页面。
(1) 单击<增加>按钮,进入增加访客管理员页面,单击<选择接入用户>按钮,弹出选择接入用户页面,可以看到所有的接入用户信息。其中,管理员是从“接入用户”中选取一个,一个访客必须有一个访客管理员。同时可设置为默认访客管理员。
图8-66 增加访客管理员
(2) 选择一个接入用户,单击<确定>按钮,返回增加访客管理员页面。继续单击<确定>按钮,返回至访客管理员页面。可在列表中查看增加的接入用户,对应的最后一列“默认访客管理员”中默认为“否”,单击<否>切换到<是>,即将该接入用户设置为默认管理员,如下图所示。
图8-67 设置默认管理员
增加访客服务之前,需要先创建访客服务对应的二层网络域、安全组以及接入策略、接入服务,具体配置请参见7.2.2 2. 创建二层网络域、7.2.3 安全组、7.3.1 接入服务管理例如,先配置“访客安全组”并设置相应的访问策略,再配置“访客接入服务”关联“访客安全组”。
增加访客服务的配置步骤如下:
(1) 在路径[自动化>用户业务>访客用户>访客策略>服务]页面,单击<增加>按钮,进入增加访客服务页面。
图8-68 增加访客服务
(2) 在“访客服务”页面按需勾选一个或多个配置的访客服务,单击<确定>按钮,进入增加访客服务结果页面,单击<返回>按钮,返回访客服务页面。通过单击列表中“默认访客服务”列的<是>或<否>链接,切换默认访客服务,注意访客服务中必须有一个“默认访客服务”。
图8-69 设置默认访客服务
路径:[自动化>用户业务>访客用户>访客策略>策略],进入访客策略页面。
(1) 系统默认有一个“缺省访客策略”,如下图所示。
图8-70 修改访客策略
(2) 单击列表对应修改列的修改图标
,修改策略。
修改“预注册访客自动转正”为“允许”,即表示用户完成预注册后能自动完成上线,否则需要通过访客管理员进行手动操作。
在设置“预注册访客自动转正”为“允许”后,若勾选对“二维码开户与认证”有效的选项,则表示在8.7.3 页面推送策略配置中设置为“二维码开户与认证”时,通过扫描二维码登录的用户自动转正,不需要管理员审核转正。
图8-71 访客参数配置
(3) 修改完成后,单击<确定>按钮,完成配置。
路径:[自动化>用户业务>访客用户>访客策略>业务参数配置],进入访客业务参数配置页面。
页面参数使用默认参数即可,也可根据实际需求修改相应参数。设置完成后,访客用户就可以认证上线。具体上线操作,请参见8.7.4 访客上线。
(1) 路径:[自动化>用户业务>接入服务>页面推送策略],进入页面推送策略页面。
图8-72 页面推送策略
(2) 单击<增加>按钮,进入增加页面推送策略页面。
¡ 选择“认证方式”为“MAC Portal”,指的是MAC Portal认证方式。
¡ “缺省认证页面”默认是“PC-缺省PC账号认证”,是指通过Web页面登录的方式。根据实际业务需求设置认证方式。
设置完后,单击<确定>按钮,保存配置,在页面推送策略列表中看到新增的推送策略。
图8-73 增加页面推送策略
(1) 当有认证设备端口UP时,会触发MAC地址认证,都将作为匿名账号进行登录上线,byodanonymous上线成功,路径为[监控>监控列表>在线用户>本地在线用户],显示如下,IP地址获取的为BYOD安全组对应的网段地址。
图8-74 查看在线用户
(2) 客户端打开网页后,输入一个IP地址(任意网址),如1.1.1.1。
图8-75 输入任意网址
(1) 默认页面推送策略是“缺省WEB页面”,即用户PC上会自动跳转到如下BYOD缺省页面: http://100.1.0.100:30004/byod/view/byod/byodLogin.html,如下图所示。
图8-76 BYOD缺省页面
(2) 单击页面中“访客预注册”链接,打开如下页面,输入*必填项,包括“帐号名”、“证件号码”、“验证码”、“管理者”等,单击<确定>按钮,完成预注册。
其中“管理者”默认为前面设置的默认管理员;“密码”若不设置则为随机,也可以自己设置密码。
图8-77 访客预注册
(3) 注册成功会显示注册结果信息,单击<登录>按钮,会直接登录成功,单击返回则会进入BYOD登录页面,输入刚刚注册的帐号和密码fa1/123456也可登录成功。
图8-78 访客预注册成功
图8-79 用户上线
(4) 路径:[监控>监控列表>在线用户>本地在线用户],可以看到访客fa1成功获取到“访客安全组”的地址。
图8-80 查看在线用户
(5) 路径:[自动化>用户业务>访客用户>访客用户],显示了刚注册的访客信息。单击帐号名链接,可以查看到注册的访客用户的详细信息。
图8-81 查看访客用户信息
(1) 若在8.7.3 页面推送策略配置的页面推送策略中选择“PC-缺省PC二维码认证”,则用户PC上会自动跳转到二维码页面。
图8-82 PC-缺省PC二维码认证
(2) 修改8.7.2 3. 配置访客策略中的“缺省访客策略”,修改“预注册访客自动转正”为禁用,设置访客用户必须由管理员通过审批才能认证上线。
图8-83 访客参数配置
(3) 客户端PC认证端口UP,认证上线进入BYOD安全组后,在客户端PC的谷歌浏览器上输入任意的IP地址,跳转到二维码页面,如下图所示:
图8-84 二维码页面
(4) 由访客管理员可通过手机扫描该访客PC上的二维码后,显示如下:
图8-85 手机扫描二维码
如果手机没有连入同一网络,则将手机上显示的URL网页在PC上手动输入,回车后页面显示如下图所示,使用访客管理员帐号(g01/123456)登录。
图8-86 访客管理自助平台
(5) 登录后显示如下:下面显示的账号即给该访客的账号,管理员单击<去审批>按钮,进入审批页面。
图8-87 访客审批
(6) 单击<通过>按钮即可将访客帐号转正,操作后,用户网页会自动跳转到注册成功页面。
图8-88 访客帐号转正
图8-89 注册成功
(7) 等待一段时间(二三十秒左右)后,访客可以自动登录成功。EIA上可以分别看到注册成功的访客信息。路径[自动化>用户业务>访客用户>访客用户]可以看到用户登录到了“访客接入组”并获取到了访客接入组所在的IP网段地址。
图8-90 查看访客用户
(1) 若在8.7.3 页面推送策略配置页面推送策略中选择“PC-缺省PC短信认证”,则用户PC上会自动跳转到缺省短信页面。
图8-91 PC-缺省PC短信认证
(2) 客户端PC认证端口UP,认证上线进入BYOD接入组后,在客户端PC的谷歌浏览器上输入任意的IP地址,跳转到如下图所示:
如果有对应的短信猫或者短信网关,则可通过输入手机号,单击获取密码,进行登录。
图8-92 重定向页面
“扫二维码登录”是指管理员设置一个访客登录的二维码,用户只需要通过扫描二维码即可登录网络,访问访客用户的网络资源。
(1) 访客管理员在浏览器中输入EIA服务器的IP地址http://100.1.0.100:9066/ssvui/login.html登录“用户自助平台”页面,输入访客管理员的帐号/密码,登录。
图8-93 用户自助服务平台
(2) 登录“用户自助服务”页面后,选择[访客管理>所有访客],会显示的访客信息。
图8-94 访客管理
(3) 通过单击<增加>按钮,增加一个访客,或者选择访客列表中的一个访客,单击“修改信息”的图标
,修改“在线数量限制”,根据实际需求设置允许二维码扫描的用户数量,最大可设置为999。
图8-95 修改接入信息
(4) 在线数量设置完成后,单击“Portal认证二维码”的
图标,会弹出二维码页面,若用户连接的为内网,则用户扫描二维码即可登录成功。
图8-96 打开Portal认证二维码
(5) 若有使用微信扫描访客二维码完成登录的需求,在BYOD安全组地址无法联通外网的情况下,可以通过如下方式实现:
访客手机在连接外网的情况下,使用微信扫描管理员生成的二维码,微信会弹出如下提示信息,即获取到二维码中URL,将手机上显示的URL网页在PC上手动输入后即可完成登录。
图8-97 Portal认证二维码
当8.7.2 3. 配置访客策略中设置“预注册访客自动转正”为“禁止”时,通过访客注册申请的访客用户,需要访客管理员进行审批,审批通过后才能成为正式访客用户。
(1) 访客管理员在浏览器中输入EIA服务器的IP地址http://100.1.0.100:9066/ssvui/login.html登录“用户自助平台”页面,输入访客管理员的帐号/密码,登录。
(2) 进入[访客管理>所有预注册访客],可以查询所有等待审批的访客用户。单击
图标,进行审批。
图8-98 所有预注册访客
审批时,可以修改访客的接入服务,在8.7.2 2. 配置访客服务中配置的所有接入服务,都会在这里列出来。单击<通过>按钮,审批通过。
图8-99 访客接入服务
图8-100 审批通过
(3) 审批通过后,在[自动化>用户业务>访客用户>访客用户]中能查询到审批通过的访客用户。
图8-101 查看访客用户
园区控制组件支持分权分域管理功能。主要指操作员登录控制组件后,控制组件根据用户所带有的角色属性,来为该用户呈现他具有的功能权限。涉及的功能点较多,本文主要介绍不同隔离域、Fabric相关的配置。
组织是将操作员划分到一个组织机构,以便进行管理。支持为组织配置操作员角色,进而实现对操作员的权限控制。系统预置下述四个缺省组织,用户也可根据需要自定义组织。
· 系统管理组:具有操作员角色管理员角色。
· 系统查看组:具有操作员权限查看员角色。
· 业务管理组:具有管理网络设备和告警权限的角色。
· 业务查看组:具有查看网络设备和告警权限的角色。
路径:[系统>角色管理>角色组列表]。
图9-1 角色组列表
· 不能删除正在被操作员使用的组织。
· 修改组织时不能修改组织的名称。
· 不能增加一个已经存在的组织。
· 最多可以创建10层子组织。
· 由于性能问题,导入时最多支持导入7级组织。
角色是对同一类用户权限的集合。系统采用基于角色的权限控制,可以对用户的权限进行细化分组,便于用户的角色管理。系统提供缺省的一系列角色,园区网主要涉及下述六种角色,用户也可根据需要自定义角色。
· 园区业务查看员:具有查看园区网络业务信息权限的角色。
· 园区业务管理员:具有管理园区网络业务信息权限的角色。
· 园区区域查看员:具有查看特定园区网络信息权限的角色。
· 园区区域管理员:具有管理特定园区网络信息权限的角色。
· 园区系统查看员:具有查看园区网络信息权限的角色。
· 园区系统管理员:具有管理园区网络信息权限的角色。
路径:[系统>角色管理>角色列表]。
图9-2 角色列表
· 园区区域角色默认没有添加隔离域/Fabric权限,需要管理员手工添加特定的区域权限。
· 不能增加一个已经存在的角色。
· 删除角色后,可以重新增加与被删除角色相同名称的角色。
· 谨慎删除,删除用户的角色意味着拥有该角色的用户不再具有该角色下的权限。
权限指用户对某一资源类型的操作权限和数据权限的配置。该功能支持新增、修改、删除和查看权限。系统提供缺省的一系列权限,用户也可根据需要自定义权限。新增的用户、组织、用户角色权限默认具有该权限下所有的数据资源。
系统也支持配置权限对应的数据资源,例如区域管理员通过配置指定,选择其对应区域的隔离域、Fabric资源数据作为该权限的资源数据,该权限的对应的操作则只能处理权限指定的资源数据。
路径:[系统>角色管理>权限列表]。
图9-3 权限列表
· admin操作员是超级管理员,默认具有全部权限。
· 修改权限时不能修改权限的名称。
· 不能增加一个已经存在的权限。
· 如果有修改、删除等权限但是没有查看权限,页面上不会显示相关数据。
· 如果指定部分资源数据,则该权限不具有其他数据的查看,修改和删除权限。
· 谨慎删除,删除权限意味着拥有该权限的用户不再具有对应的操作权限和数据权限。
(1) 路径:[系统>角色管理>权限列表],单击<增加>按钮。输入权限名称,权限组选择“CAMPUS”,资源类型选择“隔离域”,当资源类型较多时,支持手动输入资源名称筛选。
图9-4 输入基本信息
(2) 在“选择动作”区域,勾选操作类型选择为“读写隔离域”(区域管理员)、“只读隔离域”(区域查看员),勾选完成后单击
图标增加至包含操作列表中。
图9-5 选择动作
(3) 在“选择作用范围”区域中,选择“全部”或“指定”,本文档以选择“指定”为例进行介绍。选择“选择资源”,在弹出的对话框中,勾选对应的隔离域,单击<选择>按钮,完成选择。
图9-6 选择作用范围
(4) 单击<确定>按钮,路径:[系统>权限列表>CAMPUS>隔离域]下新增了该区域管理员的子权限。
图9-7 查看增加权限
(1) 路径:[系统>角色管理>权限列表],单击<增加>按钮。输入权限名称,权限组选择“CAMPUS”,资源类型选择“Fabrics”。
图9-8 输入基本信息
如果同时部署了Campus和DC控制组件,会有两个Fabrics权限,其中有作用范围的为Campus下的Fabrics权限。
(2) 在“选择动作”区域,勾选操作类型选择为“读写Fabrics”(区域管理员)、“只读Fabrics”(区域查看员),勾选完成后单击
图标增加至包含操作列表中。
图9-9 选择动作
(3) 在“选择作用范围”区域中,选择“全部”或“指定”,本文档以选择“指定”为例进行介绍。选择“选择资源”,在弹出的对话框中,勾选对应的Fabrics,单击<选择>按钮,完成选择。
图9-10 选择作用范围
(4) 单击<确定>按钮,路径:[系统>权限列表>CAMPUS>Fabrics]下新增了该区域管理员的子权限。
图9-11 查看增加权限
(1) 路径:[系统>角色管理>角色列表],单击<增加>按钮,输入角色名称。单击<选择权限>按钮(权限类型较多,支持输入权限名称筛选),进入选择权限页面。
图9-12 输入角色基本信息
(2) 输入9.3.1 新增特定区域权限中新增的特定区域权限名称,单击搜索图标
,勾选列表汇总的权限名称,单击<确定>按钮,返回选择权限页面。
图9-13 选择权限
(3) 单击<确定>按钮,完成自定义区域角色的增加。可在[系统>角色管理>角色列表]中进行查看。
图9-14 查看自定义区域角色
(1) 路径:[系统>角色管理>角色组列表],单击<增加>按钮,输入组织名称、邮箱及联系方式。
(2) 选择9.3.2 新增自定义区域角色中新增的自定义区域角色以及缺省的“园区区域管理员角色”(保证该管理员拥有园区网其他基础模块的必要权限)。
图9-15 输入基本信息
(3) 单击“确定”,完成自定义组织的增加,可在[系统>角色管理>角色组列表]中进行查看。
图9-16 查看自定义组织
(1) 路径:[系统>操作员管理>操作员列表],单击<增加>按钮,进入增加操作员页面。
图9-17 操作员列表
(2) 输入“操作员名称”,“租户”选择“System”,“所属组织”选择9.3.3 新增自定义组织中新增的自定义组织,“认证方式”选择“简单密码认证”,输入“登录密码”(注意复杂度要求“必须包含数字、大写字母、小写字母、特殊字符!"#$%&'()*+,-./:;^`<=>?@[]{}_|~和空格。不能包含操作员名及其倒序,不能以空格开头和结尾。有效长度为8~30个字符”)。
图9-18 增加操作员
(3) 单击<确定>按钮,完成自定义操作员的增加。
图9-19 查看操作员
使用9.3.4 新增操作员中新增的操作员登录控制组件管理页面,查看对应的权限是否正常。
图9-20 使用新增操作员登录系统
Fabric绑定隔离域后,需要同时添加该Fabric和对应隔离域的权限,否则相关页面均不予展示。
设备自动化上线只能选择到本Fabric,且可以查看对应的地址池配置,角色模板等。无法选择及查看不具有权限的Fabric相关信息。
图9-21 设备上线规划
可以查看本Fabric的拓扑及设备信息,无法查看其他不具有权限的Fabric拓扑信息。
图9-22 园区拓扑
可以查看及修改本Fabric信息,无法查看其他不具有权限的Fabric信息。
图9-23 查看Fabric信息
可以查看及修改拥有Fabric权限下的设备组信息,无法查看其他不具有权限的Fabric下的设备组信息。
图9-24 查看交换设备
所有隔离域区域管员默认均可查看。
图9-25 查看隔离域
但是只有添加了权限的隔离域可以查看其绑定的Fabric。
图9-26 查看绑定Fabric
没有权限的隔离域无法查看其绑定的Fabric。
图9-27 无查看权限
部分公共资源的约定策略不做分域操作,区域管理员默认均只拥有查看权限,不拥有修改权限。所有修改操作需要系统管理员操作。主要涉及如下界面:
· 路径:[自动化>园区网络>网络设备>通用策略组],单击右上角<策略模板>按钮,进入策略模板页面。
图9-28 策略模板
· 路径:[自动化>园区网络>网络参数]中DHCP、AAA、参数等页签。
图9-29 网络参数
· 路径:[自动化>园区网络>网络策略]中组间策略、服务链、策略模板、时间范围等页签。
图9-30 网络策略
· 路径:[自动化>园区网络>网络设备],页面右上角的IP地址池、VNID池、监控等全局参数。
图9-31 网络设备
Leaf接口除了连接Access设备外,也可以直接终端设备,终端设备通过直连的Leaf接口进行认证上线。
(1) 路径:[自动化>园区网络>网络设备>通用策略组],单击列表中名称为“用户直连-Leaf接口组”对应操作列的修改图标
,进入修改通用策略组页面。
图10-1 通用策略组
(2) 切换至“成员”页签,单击<增加>按钮,进入增加接口页面。选择Leaf上与终端连接的接口,单击<增加>按钮,将接口增加至已选接口列表,单击<确定>按钮,完成增加,结果如下图所示。
图10-2 增加成员
(3) 单击<确定>按钮,完成成员增加。
(1) 路径:[自动化>园区网络>网络设备>通用策略组],单击新增策略,选择7.1 策略模板配置的策略模添加到组策略中,根据实际情况选择下发802.1X认证模板或MAC/MAC Portal认证模板,方案建议选择其中一种认证方式,不推荐一个物理接口同时配置802.1X认证和MAC Portal认证。
图10-3 接口组下发策略
(2) Leaf设备下发配置如下:
接口下发802.1X认证还是MAC/MAC Portal认证,请根据实际情况配置,两者只能选择其中一种方式,本例以下发MAC/MAC Portal认证为例。
[Leaf11-Ten-GigabitEthernet5/0/22]dispaly this //直连leaf终端的接口
#
interface Ten-GigabitEthernet5/0/22
port link-mode bridge
port link-type trunk
port trunk permit vlan 1
mac-based ac
mac-authentication
mac-authentication domain isp
mac-authentication parallel-with-dot1x
mac-authentication critical vsi vsi167 url-user-logoff
#
(3) 配置完成后,Leaf设备连接的终端就可以进行认证上线。
逃生方案主要用于EIA服务器故障,用户认证无法连接到EIA服务器时,允许用户访问某一特定安全组中的资源,该特定安全组为逃生安全组。
配置逃生业务时,需搭建一个DHCP服务器用于逃生业务,逃生安全组对应的子网会下发到逃生DHCP服务器上,可以使用H3C DHCP Server也可以使用第三方DHCP Server。
EIA发送故障后,设备会定期向EIA服务器发送探测报文,若探测到EIA故障恢复,则用户的认证会从逃生安全组切换为用户的普通安全组,用户的IP地址将会从逃生业务网段切换为普通业务网段,详细业务过程可咨询研发。
· 一个隔离域只允许配置一个逃生安全组;
· 逃生安全组必须配置在用户私网内,不支持在vpn-default内配置逃生安全组;
· 园区网六期方案,要求逃生必须配置逃生DHCP服务器。
· 建议逃生DHCP服务器与EIA服务器、BYOD DHCP服务器、业务DHCP服务器搭建在不同的服务器上,必须确保逃生DHCP Server与设备互通。推荐选用微软DHCP Server。
· 微软DHCP Server的硬件配置,请参考本文1.1 (32)微软DHCP Server硬件配置要求:。
· 如果未使用EAD功能,建议不勾选“启用策略服务器”,系统缺省勾选。否则逃生时间超过3个心跳间隔后,在线的iNode客户端的802.1X认证用户会自动下线。路径:[自动化>用户业务>接入参数>策略服务器参数配置]
· 如果未使用EAD功能,建议不勾选“启用策略服务器”,系统缺省勾选。否则逃生时间超过3个心跳间隔后,在线的iNode客户端的802.1X认证用户会自动下线。
· 路径:[自动化>用户业务>接入参数>策略服务器参数配置]
路径:[自动化>园区网络>私有网络>二层网络域]。
(1) 单击<增加>按钮,进入增加二层网络域页面,参数配置如下:
¡ 私有网络:选择用户私网,不能选择vpn-default
¡ 类型:选择“逃生”;
¡ IPv4地址获取方式:选择“自动”;
¡ DHCP服务器:选择用于逃生的DHCP Server,逃生DHCP Server请参考11.1.6 逃生DHCP Server配置;
¡ IPv4地址租约有效期:默认10分钟。
图11-1 增加逃生二层网络域
(2) 切换至“子网”页签,单击<增加>按钮,进入增加子网页面。填写“名称”和“网段”信息后单击<确定>按钮,返回增加二层网络域页面。
图11-2 增加子网
(3) 单击<确定>按钮,可在二层网络域页面查看新增的逃生二层网络域。
图11-3 查看二层网络域
下发Leaf设备的配置:
#下发Leaf设备VSI虚接口的DHCP服务器IP地址为逃生服务器IP地址
#
interface Vsi-interface167 //vsi接口编号对应二层网络域中的Vxlan ID
description SDN_VSI_Interface_167
dhcp select relay proxy
dhcp relay information circuit-id vxlan-port
dhcp relay information enable
dhcp relay server-address 192.168.2.210 //逃生DHCP服务器地址
dhcp relay source-address interface Vsi-interface4094
dhcp relay request-from-tunnel discard
#
一个隔离域内只能配置一个逃生安全组,若一个隔离域内有多个Fabric,则所有Fabric共用一个逃生安全组。
路径:[自动化>园区网络>安全组>用户安全组]。
(1) 单击<增加>按钮,进入增加安全组页面。
¡ 私有网络:选择私网;
¡ 类型:选择“逃生”。
图11-4 增加逃生安全组
(2) 切换至“二层网络域信息”页签,单击<增加>按钮,勾选配置的逃生二层网络域,单击
图标,将选择的二层网络域增加至“已选二层网络域”列表中,单击<确定>按钮,保存配置。
图11-5 绑定逃生二层网络域
图11-6 绑定完成
(3) 单击<确定>按钮,可在用户安全组页面查看新增的逃生安全组。
图11-7 查看用户安全组
逃生功能需要在策略模板中配置逃生功能,并且把策略模板应用于Leaf设备的接口组后,逃生功能才能生效。具体配置请参见7.1.5 接口策略模板-802.1X认证和7.1.6 接口策略模板-MAC/MAC-Portal认证。
路径:[自动化>园区网络>网络设备>通用策略组],单击页面右侧<策略模板>按钮,进入策略模板页面。
图11-8 使能逃生功能1
图11-9 使能逃生功能2
Leaf下行接口组配置策略模板后,在Leaf下行接口中下发critical vsi相关配置:
#
interface Bridge-Aggregation1023
port link-type trunk
port trunk permit vlan 1 101 to 3000 4094
link-aggregation mode dynamic
stp tc-restriction
mac-based ac
dot1x
undo dot1x handshake
undo dot1x multicast-trigger
dot1x unicast-trigger
dot1x critical vsi vsi4
dot1x critical eapol
mac-authentication
mac-authentication domain isp
mac-authentication parallel-with-dot1x
mac-authentication critical vsi vsi4 url-user-logoff
port-security free-vlan 1 4094
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
由于“逃生安全组”不能在vpn-default中设置,并且“不同隔离域”配置的“逃生安全组”不同,建议把一些多个私网都要访问的“IT资源组”部署在vpn-default私网内。然后在私网内配置“逃生安全组”,设置“逃生安全组”和“IT资源组”的访问权限。
由于私网与vpn-default默认互通,不论私网的“默认访问策略”为“允许”或“拒绝”,“私网”都能访问挂载到vpn-default的“IT资源组”。因此,需要在私网内配置“IT资源组”,然后设置“逃生安全组”不允许访问的“IT资源组”的访问策略,对不允许访问“IT资源组”下发Deny的组间策略的方式,禁止用于对资源的访问。
在配置逃生安全组时,需要指定逃生DHCP Server,逃生DHCP Server的设置分以下几种情况:
· 若隔离域中配置的DHCP服务器为微软DHCP Server,则必须部署逃生DHCP Server;
· 若隔离域中配置的DHCP服务器为H3C vDHCP Server,则需要新搭建一个DHCP Server,
· 逃生DHCP服务器的配置,有以下几种情况:
· 若逃生DHCP服务器选择H3C 的vDHCP Server,则不需要进行认证配置,直接在11.1.2 创建逃生二层网络域时选择vDHCP即可;
· 若逃生DHCP服务器选择微软DHCP Server,则需要配置VXLAN4094地址池。
· 逃生DHCP Server选择微软DHCP Server,则需要配置VXLAN4094地址池。当设置DHCP Server为微软紧耦合的情况下,VXLAN4094地址池的配置请参见Microsoft DHCP Server。
· 逃生安全组创建后,会在选择的逃生DHCP Server上创建逃生的地址池,如下图所示。
图11-10 地址池
若一个隔离域内有多个Fabric,则需要配置多个Fabric的VXLAN4094的地址池。
松耦合情况下SeerEngine-Campus控制组件不向DHCP Server下任何配置,需要手动在DHCP Server上创建逃生安全组中的子网网段地址池。
在微软DHCP服务器上,手动配置VLAN4094的作用域。
(1) 配置该地址作用域的目的是为了用户能够从后续创建的逃生安全组IP地址池中获取IP地址。请务必配置VLAN4094作用域,若不配置,用户无法获取其他安全组创建的作用域的IP地址。
若一个隔离域内有多个Fabric,则需要配置多个Fabric的VXLAN4094的地址池。
(2) 右键选择“新建作用域”,打开新建作用域向导页面,单击<下一步>输入名称。
图11-11 新建作用域
图11-12 新建作用域向导
(3) 单击<下一步>按钮,进入IP地址范围页面。输入分配地址的IP地址段,这里需要输入的地址段,必须与设备上VXLAN4094/VLAN4094的IP地址段相同。
图11-13 IP地址范围
(4) 单击<下一步>按钮,进入添加排除和延迟页面。输入要排除的IP地址范围,可不设置,也可以只设置网关IP。单击<添加>按钮,添加到列表中。
图11-14 添加排除和延迟
(5) 单击<下一步>按钮,默认往下走,设置租约为1天。
图11-15 租用期限
(6) 继续单击<下一步>按钮。进入“配置DHCP选项”页面,选择“是,我想现在配置这些项”,单击<下一步>按钮,在此页面输入此作用域的网关地址,单击<添加>按钮,添加作用域的默认网关后,继续单击<下一步>按钮。
图11-16 配置DHCP选项
(7) 其中,未说明的内容直接单击<下一步>按钮即可。在激活作用域页面时选择“是,我想现在激活此作用域”。
图11-17 激活作用域
(8) 单击<下一步>按钮,单击<完成>按钮,完成配置。VLAN4094作用域的配置如下所示。
图11-18 查看作用域
1. 在微软DHCP服务器上右键选择“新建作用域”,打开新建作用域向导页面。
图11-19 新建作用域
(2) 输入名称,创建逃生安全组。
图11-20 输入作用域名称
(3) 单击<下一步>按钮,进入IP地址范围页面。输入IP地址范围,需要与11.1.3 创建逃生安全组中的子网段相同。
图11-21 IP地址范围
(4) 单击<下一步>按钮,进入租用期限页面。设置租约为10分钟,逃生安全组租约需设置为10分钟。
图11-22 租用期限
(5) 继续单击<下一步>按钮,其他配置与VLAN4094的作用域策略配置相同,不再赘述,直到最后完成配置。
图11-23 作用域配置完成
(6) 接着配置作用域的策略。
图11-24 配置作用域策略
(7) 右键单击策略,选择“新建策略”,输入策略名称。单击<下一步>按钮,进入为策略配置条件页面。
图11-25 为策略配置条件
(8) 单击<添加>按钮,进入添加/编辑条件页面,配置策略条件。选择“中继代理信息”,运算符选择“等于”,中继代理的值为ASCII码,以30303030开头,后面的30313637为VXLANID,表示VXLANID为167,后面的*为通配符,可以匹配任何值。VXLANID值为逃生安全组的VXLANID值。
图11-26 添加/编辑条件
(9) 单击<确定>按钮保存配置,单击<下一步>按钮,进入为策略配置设置页面。置“是否要为策略配置IP地址范围:”项为“是”。
图11-27 为策略配置设置
(10) 单击<下一步>按钮,进入摘要页面。单击<完成>按钮,完成配置,如下图所示。
图11-28 逃生策略配置完成
1. 首先右键选择“新建超级作用域”,打开新建超级作用域向导页面。
图11-29 新建超级作用域
(2) 单击<下一步>按钮,进入超级作用域名页面。输入名称。
图11-30 输入超级作用域名称
(3) 单击<下一步>按钮,进入选择作用域页面。鼠标选择创建的“逃生安全组”作用域和“VLAN4094”作用域。
图11-31 选择作用域
(4) 单击<下一步>按钮,完成超级作用域配置,可以看到超级作用域已包含前面创建的“逃生安全组”作用域和“VLAN4094”作用域。
图11-32 超级作用域配置完成
(5) 配置完成后,完成逃生方案的所有配置。后续EIA服务器出现故障,用户上线时会自动进入逃生安全组,并且获取逃生安全组的IP地址。
AAA故障时,认证点会将新上线终端授权到逃生VXLAN中,即新终端会进入逃生网段。
对于静态IP终端,由于之前已经配置了业务网段的IP和网关,逃生时授权进入逃生VXLAN(即逃生网段)后,会导致终端的IP和逃生VXLAN网段不一致,流量不通。为了解决该问题,方案支持通过配置“静态用户”的方式实现静态IP终端的逃生,逃生时新终端可以进入对应的业务VXLAN(即业务网段)。具体配置方法如下。
(1) 路径:[自动化>园区网络>Fabrics>通用策略组>策略模板],单击<增加>按钮,创建设备策略模板,如下所示。
图11-33 创建设备策略模板1
图11-34 绑定用户IP地址段2
图11-35 静态用户MAC地址段
参数说明:
其中,“静态IP用户账号格式”和“静态IP用户账号密钥”两个参数为全局参数。即静态用户终端流量触发认证时,RADIUS报文中的username为IP,password为用户填写的密钥。
¡ 模板类型:选择“静态IP用户认证”。
¡ 静态IP用户账号格式:选择“IP”。
¡ 静态IP用户账号密钥:自定义即可。
¡ 静态IP用户认证信息:可以创建多条记录,每个静态IP业务网段都需要创建1条。
- 认证ISP域:自定义名称,填写后,逃生ISP域的名称会自动生成。
- 认证Radius方案:选择Leaf设备当前使用的Radius方案即可。
- 二层网络域、安全组:选择静态IP业务网段对应的二层网络域和安全组即可。逃生时,该网段的静态IP终端会进入对应的业务VXLAN。
- 起始IP地址/终止IP地址:填写该静态IP业务网段的终端的地址范围。
- 安全MAC地址:不支持全零MAC地址。静态IP用户认证信息中配置安全MAC地址会自动同步到静态IP用户MAC地址段中,默认MAC掩码为ff-ff-ff-ff-ff-ff;静态IP用户认证信息中的安全MAC发生变化时不会影响已同步数据。
- VLAN ID:终端直连接口PVID,可不填,保持端口默认值
- 保持在线:默认“否”,若需要用户总是保持静态用户在线,即使长时间无流量也不会老化下线,则可以修改“是”。
¡ 静态IP用户MAC地址段:填写该静态IP业务网段的终端的MAC地址。支持掩码匹配,请提前收集MAC信息,添加到MAC地址段的终端只会触发静态用户认证,不会触发其他方式认证(802.1X、MAC等)。
(2) 将上述创建的模板应用到Leaf设备组或者自定义的设备组。(确保静态IP用户的所在认证点设备都应用该模板)
图11-36 Leaf设备组
图11-37 修改通用策略组
配置完成Leaf设备上会下发相关配置,如下(仅供参考,请以实际环境为准)。
#
port-security static-user password cipher $c$3$dLQTrLlQgFR //全局密码
port-security static-user user-name-format ip-address //用户名根据IP自动生成
port-security static-user match-mac acl 4500 //关联ACL 4500,匹配MAC
port-security static-user ip 20.0.0.150 20.0.0.200 domain static //该网段用户的认证域
#
#
domain static //认证域
authen-radius-unavailable online domain static-critical//认证域中指定逃生域
authen-radius-recover re-authen
authentication lan-access radius-scheme hz1 //认证时使用的RADIUS方案
authorization lan-access radius-scheme hz1
accounting lan-access radius-scheme hz1
#
#
domain static-critical //逃生域
authorization-attribute vsi vsi3 // 逃生域中指定逃生时使用的业务VXLAN
authorization-attribute microsegment 1013 // 逃生域中指定逃生时使用的业务微分段(仅组策略支持)
accounting lan-access none
#
#
acl mac 4500 //静态用户的MAC名单,该名单的MAC只会触发静态用户认证,不会触发其他方式认证。
description SDN_STATIC_USER_MAC_ACL
rule 0 permit source-mac 3a3b-0000-0001 ffff-ffff-0000 //支持基于掩码匹配
#
EIA上创建接入帐号,帐号名使用静态IP用户的IP。密码使用上一步静态用户设置的全局密钥。
接入服务使用该网段的业务安全组即可。
图11-38 配置接入帐号
完成上述配置之后,终端配置正确的静态IP,有流量后即可正常访问网络。认证设备上会话如下:
[fab3-leaf-6525xe-1]dis port-security static-user connection //查看静态用户的会话信息
Total connections: 1
Slot ID: 1
User MAC address: 3a3b-0000-0001 //静态用户的MAC信息
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Bridge-Aggregation2
Username: 20.0.0.151
User access state: Successful //Successful表示AAA正常,终端正常认证通过。
Authentication domain: static //静态用户的认证域
IPv4 address: 20.0.0.151 //静态用户的IP地址信息
IPv4 address source: User packet
Initial VLAN: 200
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: vsi3 //静态用户授权业务VXLAN
Authorization microsegment ID: 1013 //静态用户授权业务微分段(仅组策略支持)
略
Offline detection: 300 sec (command-configured) //静态用户的流量老化时间,缺省300秒
Online from: 2022/07/21 18:52:38
Online duration: 0h 6m 54s
Port-down keep online: Disabled (offline).
当AAA故障时,静态IP终端仍然可以正常接入网络,获得业务VXLAN授权,流量正常。
查看认证点设备会话如下所示:
[fab3-leaf-6525xe-1]dis port-security static-user connection //查看静态用户会话信息
Total connections: 1
Slot ID: 1
User MAC address: 3a3b-0000-0001 //静态用户MAC信息
M-LAG NAS-IP type: Local
M-LAG user state: Active
Access interface: Bridge-Aggregation2
Username: 20.0.0.151
User access state: critical domain //critical domain表示逃生用户类型
Authentication domain: static //静态用户对应的认证域
IPv4 address: 20.0.0.151 //静态用户IP
IPv4 address source: User packet
Initial VLAN: 200
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: vsi3 //逃生时仍然可以获得业务VXLAN授权
Authorization microsegment ID: 1013 //逃生时仍然可以获得业务微分段授权(仅组策略支持)
Authorization ACL number/name: N/A
略
Offline detection: 300 sec (command-configured)
Online from: 2022/07/21 19:06:21
Online duration: 0h 0m 36s
Port-down keep online: Disabled (offline)
(1) 静态用户是一种全新的认证方式,配置静态用户后,对应的终端不支持802.1X认证、MAC认证。终端配置正确的静态IP后,接入网络即可正常使用,不需要客户端输入用户名密码。
(2) 每个静态IP网段均需要在静态IP用户认证信息创建一条记录。
(3) 删除静态用户配置后,之前已在线的静态用户会话会保持在线,请等待其无流量后自然老化(缺省300秒老化),或者在EIA页面强制踢下线。
(4) 使用静态用户的Leaf设备和Leaf下行口需要使能802.1X或MAC认证。
IT资源组用于安全组用户的网络资源访问,通过下发访问策略,设置安全组用户对于服务器资源的访问权限。
“资源组”的IP地址条目建议不要超过20条,需要在方案规格范围内进行配置。如果需要超规格使用请联系研发评估。
(1) 路径:[自动化>园区网络>安全组>IT资源组]。
图12-1 IT资源组
(2) 单击<增加>按钮,进入增加资源组页面。输入“名称”,选择资源组所属的“私有网络”,单击“增加地址信息”,通过设置子网网段方式增加资源条目。
图12-2 增加资源组
(3) 单击<确定>按钮,返回增加资源组页面。单击<确定>按钮,保存配置。在“IT资源组”页面中,可查看配置的IT资源组。
图12-3 查看IT资源组
建议IT资源组的服务器挂载在Spine设备上,不建议挂载在Leaf设备上。当网络中有多台Leaf设备时,挂载在Spine上能减少流量的绕行如下图所示。
图12-4 组网图
路径:[自动化>园区网络>网络策略>组间策略],在组间策略中私网的“默认访问策略”有“允许”或“拒绝”两个选项。
图12-5 组间策略
若设置为“允许”,则私网内不下发组间策略,默认用户之间可互相访问;若设置为“拒绝”,则会给私网内所有安全组之间下发Deny策略。不论“私网”的“默认访问策略”配置为“允许”或“拒绝”,用户默认都是可以访问IT资源组。若要禁止用户访问IT资源组,则需在安全组与IT资源组之间配置Deny策略。
建议一些公共的“IT资源组”的物理服务器通过Spine连接,以减少流量的绕行。配置IT资源组访问有2种方法:
· 配置出口网关,通过访问外网的方式访问IT资源组。多个私网公共访问的IT资源,需通过共享网关的方式进行配置。具体配置请参考14 Border与外部路由设备对接配置。
· 手动配置,Spine的出接口Vlan绑定vpn-default,通过vpn-default与其他私网互通。
例如,IT资源组地址段为121.1.0.0/24,Spine上通过vlan20访问IT资源组。
Spine出接口配置如下:
#
interface Vlan-interface20
ip binding vpn-instance vpn-default
ip address 20.0.0.10 255.255.255.0
#
interface Ten-GigabitEthernet2/0/20
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 20
#
配置静态路由
#
ip route-static vpn-instance vpn-default 121.1.0.0 24 20.0.0.11 //访问IT资源组,下一跳为与Spine连接的路由器接口IP。
#
“IT资源组”部署在vpn-default私网内时,不管私网的“默认访问策略”设置为“允许”或“拒绝”,“私网”的“安全组”与“IT资源组”的访问默认都是互通的。通过在每个私网内配置不允许访问的“IT资源组”,对“IT资源组”下发Deny的组间策略的方式,用于禁止对资源的访问。
当S6520X/S5560X设备作为Border(单Leaf组网),此时若“IT资源组”部署在vpn-default私网内,并且组间策略配置缺省拒绝,则业务私网和IT资源组会出现不通的情况,这种场景下需要手工在Border的出接口上配置允许:
#
acl advanced name SDN_ACL_SC_PERMIT_ALL
description SDN_ACL_SC_PERMIT_ALL
rule 0 permit ip
#
#
policy-based-route SDN_GLOBAL_SC permit node 0
if-match acl name SDN_ACL_SC_PERMIT_ACLL
#
#
int Ten-GigabitEthernet2/0/18 //与IT资源组外联的物理接口
ip policy-based-route SDN_GLOBAL_SC
M-LAG(Multichassis link aggregation)是一种跨设备链路聚合技术,将两台物理设备在聚合层面虚拟成一台设备来实现跨设备链路聚合,从而提供设备级冗余保护和流量负载分担。
AD-Campus解决方案支持设备配置M-LAG,组成M-LAG系统,实现设备的冗余保护和流量负载分担,组网如下图所示。
图13-1 M-LAG组网
· 开启M-LAG的Fabric需要先在Fabric内绑定VLAN4094地址池,便于M-LAG虚拟IP自动分配时进行校验。
· 双Spine和Leaf需要分别建立bgp peer,具体配置可以参考6.3 手工纳管。
· KeepAlive链路和Peer-link链路,支持使用不同速率端口,必须确保Peer-link链路速率一致。
· 不要同时部署多组跨设备聚合组,请确认每组跨设备聚合组下发完成再进行下一组的部署。
· M-LAG组网需要全局下发VLAN1 – VLAN 4094。
· Leaf M-LAG组网,Access堆叠,Access配置BFD MAD检测,需要把Access上行口undo BFD MAD vlan。
· Leaf M-LAG组网,请确认M-LAG环境搭建完成后再进行用户上线,以确保用户业务流量的正常访问。
· Peer-link口和M-LAG接口扩容,单击修改Peer-link口或者M-LAG接口,然后增加对应的物理口。
· Single-Leaf组网,2台Leaf设备必须配置M-LAG,否则可能出现Access无法激活的情况。
· 设备运行模式为IRF模式时不允许配置M-LAG,须将设备的运行模式从IRF模式切换到独立运行模式。
· M-LAG场景下 ,如果需要增加手动纳管的Access,需要先在跨设备聚合组中配置Leaf下行口M-LAG 聚合,再去将Access加入到设备列表中。不要手动在Leaf设备上配置M-LAG聚合口。
· 双Spine/双Leaf场景下,若要删除M-LAG组,需要先删除QoS模块、AP非直连Leaf接口组或其他相关应用场景下手工添加的聚合口,否则接口信息会残留,并导致设备审计亮红灯。
在配置跨设备聚合组之前,需要先配置参数,有2个路径可以配置:
(1) 路径:[自动化>园区网络>网络设备>跨设备聚合],进入“跨设备聚合”页面,单击“跨设备聚合参数”页签。
图13-2 跨设备聚合
图13-3 跨设备聚合参数
(2) 在“跨设备聚合参数”页面中,单击“
”图标,打开“修改跨设备聚合参数”页面。
¡ 使能M-LAG:选择“是”
¡ M-LAG认证模式:有三个选项“分布式”、“集中式”、“免认证”。建议选择“分布式”,不推荐“集中式”。若整个Fabric网络只用于流量转发不做用户认证,则可选择“免认证”。
¡ M-LAG地址池:下拉框单击“新建M-LAG地址池”或者通过路径:[自动化>园区网络>网络设备>IP地址池],增加M-LAG类型的IP地址池。M-LAG的IP地址池用于配置M-LAG地址,每个M-LAG聚合组需要分配三个地址:
- LoopBack2的环回口地址(两台设备的LoopBack2地址相同):用于指定M-LAG的evpn M-LAG group的IP地址
- 逃生VLAN地址(每台设备一个IP地址):用于两台M-LAG设备之间同步Underlay路由
- 必须确保IP地址池足够分配,若指定的地址池不够分配,则在配置M-LAG时会有如下提示。
图13-4 提示信息
图13-5 修改跨设备聚合参数
图13-6 添加地址段
(1) 路径:[自动化>园区网络>网络设备>VNID池]。
图13-7 VNID池
(2) 系统已默认创建M-LAG VLAN池,VLAN范围默认配置为VLAN 2,可修改。建议使用系统默认VLAN,若需修改,请根据实际组网进行修改。
图13-8 M-LAG VLAN池
设备通过原自动化上线时,配置M-LAG之前需要进行如下配置(手动纳管和新自动化上线的设备不需要下面配置)。
(1) 进入[自动化>园区网络>网络设备>通用策略组]菜单项,单击<策略模板>按钮,进入策略模板页面,单击<增加>按钮,选择接口策略模板,创建自定义接口策略。下发port trunk permit vlan 101 to 3000。
图13-9 增加自定义接口策略
(2) 增加完成,单击<返回>按钮,进入通用策略组页面,单击Leaf下行接口组操作列的
图标,使Leaf 下行口接口组绑定自定义接口策略。
图13-10 绑定自定义接口策略
(1) 配置路径:[自动化>园区网络>网络设备>跨设备聚合],打开“跨设备聚合”页面。单击<增加>按钮,进入“增加M-LAG系统”页面。
(2) 双Spine配置,若2台Spine设备是新自动化上线,则需要确保该Fabric自动化模板中“Spine部署模式”选择“M-LAG模式”。
(3) 若2台Spine设备为手动纳管,则不需要这个配置。
图13-11 Fabric自动化模板
(4) 在“增加M-LAG系统”页面,参数填写:
¡ 名称:根据实际需求输入,最长支持63字符,区分大小写,支持中文、字母、数字、下划线、连字符、点号、冒号;
¡ Fabric:选择开启M-LAG的“HJYQ”。
¡ 设备A标签/设备B标签:选择组成M-LAG的两台Spine设备。选择的是Spine设备时,页面会显示“MAD DOWN接口列表”配置,以下几种情况需配置接口为MAD DOWN接口:
- L3SW互连的端口需配置MAD DOWN
- 外部路由器互连的端口需配置MAD DOWN
- Spine-Leaf之间口字型连接时,Spine与Leaf连接的接口需配置MAD DOWN
图13-12 增加M-LAG系统
¡ KeepAlive接口信息:默认“自动分配”,可选择“手动指定”,一般情况默认即可。
手动指定时,请确保KeepAlive的接口为2台设备的互联接口;
图13-13 接口信息
¡ 虚拟VTEP信息:默认“自动分配”,可选择“手动指定”,一般情况默认即可。
手动指定时,请确保填写的IP地址在前面配置的M-LAG地址池的IP范围内,并且确保IP地址没有被使用。
图13-14 虚拟VTEP信息
¡ 逃生VLAN分配方式:默认“自动分配”,可选择“手动指定”,一般情况默认即可。逃生VLAN配置VLAN IP以及OSPF协议,用于Underlay网络互通,确保Leaf与2个Spine之间链路互通。
- 自动分配:园区控制组件默认配置的VLAN为2,园区控制组件分配的地址为前面M-LAG地址池中的地址。
- 手动指定:手动配置的逃生VLAN和逃生VLAN IP,都必须在M-LAG VLAN池和M-LAG地址池中指定的VLAN和IP地址,并且确保IP地址没有被使用。
图13-15 逃生信息
(5) 单击<确定>按钮,会弹出确认对话框,单击<确定>按钮完成配置。
图13-16 确认对话框
(6) 配置完成后,跨设备聚合页面显示如下。园区控制组件会自动生成M-LAG的Peer-link链路,根据M-LAG地址池,分配逃生IP。
图13-17 跨设备聚合
(7) 单击“
”图标,可以查看到配置详情。
图13-18 查看跨设备聚合信息
(8) 单击“
”图标,进入“修改M-LAG系统”页面。可进行MAD DOWN接口和Peer-link接口的增加和修改。
图13-19 MAD DOWN接口和Peer-link接口的增加和修改
(9) 在“修改M-LAG系统”页面,单击“M-LAG组”页签,进入到“M-LAG组”配置页面。
图13-20 M-LAG组
(10) 单击<增加>按钮,进入到“增加M-LAG组”页面。
(11) AD-Campus方案中,如下几种情况,推荐配置M-LAG组:
¡ Spine与无线AC连接的接口需配置M-LAG组,并勾选“接入层”选项。
¡ Spine与FW连接的接口需配置M-LAG组,不勾选“接入层”选项。
¡ Spine/Leaf与Access连接的接口,需配置M-LAG组,并勾选“接入层”选项。
图13-21 增加M-LAG组
(12) 单击“
”图标,用于配置接口加入“增加M-LAG组”,两台Spine都需要选择接口,组成M-LAG组。
图13-22 选择接口
(13) 在“增加M-LAG组”页面页面中有一个“接入层”选项,默认为勾选,可去勾选:
¡ 勾选:园区控制组件会向M-LAG组下发service-instance 4094的静态AC。
¡ 去勾选:园区控制组件只配置M-LAG组,不下发service-instance 4094的静态AC。
图13-23 接入层
¡ 单击<确定>按钮,完成M-LAG组配置。
图13-24 查看M-LAG组配置
(14) 单击<返回>按钮,返回跨设备聚合组页面,跨设备聚合组已经创建成功。
图13-25 跨设备聚合组
(15) 配置完成后,可查看设备组成M-LAG状态。
[SpineA]dis m-lag summary
Flags: A -- Aggregate interface down, B -- No peer M-LAG interface configured
C -- Configuration consistency check failed
Peer-link interface: BAGG1
Peer-link interface state (cause): UP
Keepalive link state (cause): UP
[SpineA]
(1) 配置路径:[自动化>园区网络>网络设备>跨设备聚合],进入“跨设备聚合”页面。单击<增加>按钮,进入“增加M-LAG系统”页面。
图13-26 增加跨设备聚合
(2) 在“增加M-LAG系统”页面,参数填写:
¡ 名称:根据实际需求输入,最长支持63字符,区分大小写,支持中文、字母、数字、下划线、连字符、点号、冒号;
¡ Fabric:选择开启M-LAG的“HJYQ”。
¡ 设备A标签/设备B标签:选择组成M-LAG的两台Leaf设备。
¡ 边界设备:默认不勾选。Single-Leaf组网时需要勾选,其他组网不需要勾选。
Single-Leaf组网时勾选“边界设备”,页面会显示“MAD DOWN接口列表”配置,以下几种情况必须配置接口为MAD DOWN接口:
- L3SW互连的端口需配置MAD DOWN。
- 外部路由器互连的端口需配置MAD DOWN。
- Spine-Leaf之间口字型连接时,Spine与Leaf连接的接口需配置MAD DOWN。
图13-27 M-LAG系统
¡ 认证模式:
- 当13.2.1 跨设备聚合参数配置中选择模式为“分布式”时,有“基础认证”和“免认证”选项。对于需要在M-LAG设备上进行认证的场景,选择默认的“基础认证”;对于无需用户认证的场景,选择“免认证”。
- 当13.2.1 跨设备聚合参数配置中选择模式为“免认证”时,只有“免认证”选项。
¡ 认证地址协议:选择IPv4。
¡ M-LAG认证虚拟IP地址分配:默认“自动分配”,从设备管理地址池自动分配;手动指定,需要与设备管理地址在同一网段内,且IP地址不能冲突。
若Fabric没有配置自动化模板,选择“自动分配”时,需在路径:[自动化>园区网络>Fabrics],配置自动化模板中的“地址池设置”页面,VLAN4094地址池需设置成设备VXLAN4094同网段的地址。若已配置自动化模板,则不需要再次配置。
图13-28 地址池设置
图13-29 认证信息
¡ KeepAlive接口信息:默认“自动分配”,可选择“手动指定”,一般情况默认即可。
手动指定时,请确保KeepAlive的接口为2台设备的互联接口;
图13-30 接口信息
¡ 虚拟VTEP信息:默认“自动分配”,可选择“手动指定”,一般情况默认即可。
¡ 手动指定时,请确保填写的IP地址在前面配置的M-LAG地址池的IP范围内,并且确保IP地址没有被使用。
图13-31 虚拟VTEP信息
¡ 逃生VLAN分配方式:默认“自动分配”,可选择“手动指定”,一般情况默认即可。逃生VLAN配置VLAN IP以及OSPF协议,用于Underlay网络互通,确保Leaf与2个Spine之间链路互通。
- 自动分配:园区控制组件默认配置的VLAN为2,园区控制组件分配的地址为前面M-LAG地址池中的地址。
- 手动指定:手动配置的逃生VLAN和逃生VLAN IP,都必须在M-LAG VLAN池和M-LAG地址池中指定的VLAN和IP地址,并且确保IP地址没有被使用。
图13-32 逃生信息
(3) 单击<确定>按钮,会弹出确认对话框,单击<确定>按钮完成配置。
图13-33 确认对话框
(4) 配置完成后,跨设备聚合页面显示如下。园区控制组件会自动生成M-LAG的Peer-link链路,根据M-LAG地址池,分配逃生IP。
图13-34 跨设备聚合
(5) 单击“
”图标按钮,会弹出可配置M-LAG组的预览列表,选择要配置的M-LAG组,园区控制组件会自动创建Leaf和Access之间的M-LAG组。
· 配置M-LAG组前,需在路径:[监控>拓扑视图>园区拓扑],查看Leaf拓扑链路,需保证Leaf已激活,并且拓扑正常。
· 若此处选择的Access设备之前在新自动化过程中已经自动聚合,需要在操作栏单击
将其解绑后才可以成功配置M-LAG组。
· Leaf部署M-LAG之后,由于Access学习到的VLAN 4094网关ARP未刷新,可能导致Access去激活,需要重置一下Access上的ARP表项或等20分钟ARP表项自动刷新规避。
自动配置M-LAG组,可以分多次配置,园区控制组件能自动识别未配置M-LAG的链路。若Leaf下增加一台Access设备,可以再次单击“
”图标按钮进行M-LAG组的配置。
图13-35 确认对话框
图13-36 自动配置M-LAG组预览
(6) 单击“
”图标,可以查看到配置详情。
图13-37 跨设备聚合详情
(7) 单击“
”图标,进入“修改M-LAG系统”页面。可进行Peer-link接口的增加和修改。
图13-38 Peer-link接口
Single-Leaf的M-LAG,可进行MAD DOWN接口和Peer-link接口的增加和修改。
图13-39 增加/修改MAD DOWN接口和Peer-link接口
(8) 在“修改M-LAG系统”页面,单击“M-LAG组”页签,切换到“M-LAG组”配置页面,列出自动创建的M-LAG组,
图13-40 查看自动创建的M-LAG组
(9) 在“M-LAG组”配置页面,选择一个M-LAG组,单击“
”图标,可修改M-LAG组的配置。
图13-41 修改M-LAG组配置
图13-42 选择接口
(10) 在“M-LAG组”配置页面,支持手动增加M-LAG组,单击<增加>按钮,可手动增加M-LAG组。
图13-43 M-LAG组
图13-44 增加M-LAG组
(11) 配置之后,可查看设备组成M-LAG状态。
[S105A]dis m-lag summary
Flags: A -- Aggregate interface down, B -- No peer M-LAG interface configured
C -- Configuration consistency check failed
Peer-link interface: BAGG1
Peer-link interface state (cause): UP
Keepalive link state (cause): UP
M-LAG interface information
M-LAG IF M-LAG group Local state (cause) Peer state Remaining down time(s)
BAGG2 1 UP UP -
BAGG3 2 UP UP -
[S105A]
出口网关配置流程如下图所示:
图14-1 配置流程图
为了满足上线用户基于VPN与外部网络进行通信,需要有一个Border设备,通过Border设备上引入外部路由。当前支持指定Spine或者任意一台Leaf设备作为Border设备。
以下图中的Spine设备为Border设备,进行配置举例。
私网内部可以存在一个或者多个VRF,以私网中的教育网举例,在该私网中的用户PC(IP为20.0.0.3)要访问外部网络Internet(IP为20.1.1.0/24),在该场景下介绍如何通过使用园区控制组件进行出口路由的配置下发过程。
图14-2 单Border组网图
设备连接L3(用于纳管)的物理链路与出口不能使用同一个物理口
(1) 边界设备组配置有2个路径:
¡ 路径1:[自动化>园区网络>Fabrics],在“Fabrics”页面,单击“
”图标,打开Fabric配置页面;
图14-3 Fabric配置
图14-4 配置边界设备组
¡ 路径2:[自动化>园区网络>网络设备>边界设备组],打开“边界设备组”配置页面;
图14-5 边界设备组
图14-6 配置边界设备组
(2) 单击<增加>按钮,打开“增加边界设备组”配置页面,参数说明如下:
¡ 设备组名称:根据实际需求输入,最长支持63字符,区分大小写,仅支持中文、字母、数字、下划线。
¡ Fabric:选择“HJYQ”。
¡ 网络位置:默认已勾选 “出口网关”,边界设备只做出口时,勾选“出口网关”即可。
- 出口网关:用于Fabric访问外网资源。
- Fabric间互联:用户隔离域内Fabric互联以及隔离域之间Fabric互联。
- 园WAN互联:用于园区和WAN场景之间的互联。
¡ M-LAG:选择“关闭”。
图14-7 增加边界设备组
(3) 选择“成员”标签,单击<增加>按钮,成员可以选择Spine/Leaf设备作为Border,此处以Spine为例进行配置。
图14-8 选择设备
(4) 切换到“出口网络资源”页签,进行出口网络资源的相关配置,出口网络资源可以指定地址池和VLAN池,用于出口网关自动分配网络资源。其中,园区出口地址池和VLAN池必须要成对配置,用于园区与外部进行通信时的资源分配。
若此处未配置,则在14.2.4 添加出口网关中增加出口网关成员时需配置资源模式为“手动”。安全外网出口地址池、安全外网出口VLAN池以及防火墙管理地址池用于配置防火墙网络资源分配,此处只介绍园区出口网关资源配置。
图14-9 出口网络资源
(5) 单击选择“园区出口地址池”,可以从已有的地址池列表中选择,也可以选择“新增园区出口地址池”选项。当选择“新增园区出口地址池”选项,此类型地址池为出口网络资源分配本端和远端IP,支持IPv4和IPv6地址,如下图所示。
图14-10 添加地址段
(6) 选择“园区出口VLAN池”,可以从已有的VLAN池列表中选择,也可以选择“新增园区出口VLAN池”项。当选择“新建园区出口VLAN池”选项时,此类型VLAN池为出口网络资源分配本端和远端通信的VLAN,请确保填写的VLAN范围未被分配。
图14-11 增加VLAN范围
(7) 出口网络资源配置完成后单击<确定>按钮,可以在边界设备组列表中看到新增的边界设备组。
图14-12 出口网络资源
图14-13 边界设备组
NQA策略配置非必配项,为可选配置。用于设备链路故障时快速链路感知并进行路由切换。
(1) 路径:[自动化>私有网络],单击“NQA策略”链接,打开NQA配置页面。
图14-14 私有网络
图14-15 NQA策略
(2) 单击“增加”按钮,进行NQA配置。NQA策略配置可以手动或自动。
¡ 自动:当出口网关引用NQA策略并应用于私网后,控制组件会自动下发NQA、track配置以及出口静态路由引用配置的track id值,不需要手动干预。
¡ 页面配置:默认“探测失败次数”为5,“探测时间间隔”为6000ms,默认情况下链路故障需要3分钟才能感知链路故障,具体参数设置请根据实际组网需求。
图14-16 增加NQA策略配置-自动
配置完成后,系统会自动生成测试组管理员和测试组标签。
图14-17 配置完成
¡ 手动:须填写“Track项序列号”,填写范围101-512的整数。当出口网关引用NQA策略并应用于私网,控制组件只下发出口静态路由引用配置的track id值,不下发NQA以及Track配置,需手动配置。
图14-18 增加NQA策略配置-手动
完成配置后,如下图所示。
图14-19 配置完成
(1) 路径:[自动化>园区网络>私有网络>出口网关],选择“出口网关”页签,单击<增加>按钮,进入增加出口网关页面。
图14-20 出口网关
(2) 在增加出口网关页面,配置“出口网关模式”。
(3) “出口网关模式”有两个选项:共享网关和独立网关,请根据实际需求选择。
¡ 共享网关:共享网关可以被多个私有网络使用,多个私网共用一个出口网关。
¡ 独享网关:独享网关指每个私网使用一个出口网关,不需要单独创建。
图14-21 出口网关模式
(4) 若选择“共享网关”模式,需要在私网中先创建创建一个私网VPN,作为出口网关绑定的私网。
(5) 创建共享VRF,路径:[自动化>园区网络>私有网络>私有],“共享VRF”选择“是”。
图14-22 共享VRF
图14-23 出口网关模式
(6) 若选择“独享网关”模式,则不需要配置共享VRF。
图14-24 独享网关
(7) 单击<增加出口网关成员>按钮,打开“增加出口网关成员”配置页面。选择隔离域、Fabric、边界设备组、IP版本。
(8) 逃生:设置为“关闭”,单Border没有逃生。
图14-25 出口网络资源分配模式
¡ 外部网络资源:“默认外网”和“新增IT资源组”2个选项。“新增IT资源组”用于配置IT资源的访问,“默认外网”配置与外网的访问。
¡ 出口网络资源分配模式:
- 选择“自动分配”模式后,园区控制组件会根据14.2.2 创建边界设备组中配置的出口网络资源自动分配VLAN、出口网段以及远端网段等配置到Border设备。
- 选择“手动指定”模式后,需要手动配置出口VLAN、出口网段以及远端网段,远端网段必须和出口网段在同一网段内。
- IPv4NQA策略/IPv6NQA策略:可选配。用于NQA检测网络链路,选择前面已配置的NQA。
图14-26 出口网络资源
¡ 接口列表:指定边界设备跟外部Router互连的端口,指定端口后控制组件会自动向端口下发trunk VLAN配置。
设备连接L3(用于纳管)的物理链路与出口不能使用同一个物理口。
图14-27 接口列表
(9) 单击<确定>按钮,返回增加出口网关页面,单击出口网关成员列表中操作列的详情图标
,可以看到Border和外部设备通信的VLAN以及网段信息。
图14-28 增加出口网关
图14-29 出口网关成员详请
(10) 单击<确定>按钮,可以在出口网关列表中看到新增的出口网关信息。
图14-30 出口网关
(1) 路径:[自动化>园区网络>私有网络],单击私网的出口网关连接,打开“出口网关”配置页面。
图14-31 修改私有网络
(2) 在出口网关配置页面,通过“出口网关”下拉框,选择出口网关,完成配置。
图14-32 出口网关配置
图14-33 添加成功
当配置的出口网关为共享网关,SeerEngine-Campus园区控制组件会向设备创建一个私网VPN,用户使用新建的VPN作为出口网关实例,用于与外网进行互通。
在Spine设备上可以查到园区控制组件下发的出口网关相关配置。
· 下发VLAN
#
vlan 4011
#
· 创建VPN实例:
#
ip vpn-instance sharevpn
description SDN_VRF_fc248f21-f522-42b0-9882-f784159531ae
#
address-family ipv4
route-replicate from vpn-instance vpn1 protocol direct //复制vpn1的私网路由
route-replicate from vpn-instance vpn1 protocol bgp 100
#
· 下发VLAN 虚接口:
#
interface Vlan-interface4011
description SDN_VLAN_Interface_4011
ip binding vpn-instance sharevpn //绑定共享网关
ip address 192.168.10.10 255.255.255.254
#
· BGP导入默认路由:
#
bgp 100
#
ip vpn-instance vpn1
#
address-family ipv4 unicast
default-route imported //导入默认路由
preference 240 240 130
import-route static
network 20.0.0.0 255.255.0.0
network 20.0.0.1 255.255.255.255
network 30.0.0.0 255.255.0.0
network 30.0.0.1 255.255.255.255
#
address-family ipv6 unicast
#
· 下发默认静态路由:
#
ip route-static vpn-instance vpn1 0.0.0.0 0 vpn-instance vpna 192.168.10.11 description SDN_ROUTE
#
在Spine设备上可以查到园区控制组件下发的出口网关相关配置。
· 下发VLAN
#
vlan 4011
#
· 下发VLAN虚接口:
#
interface Vlan-interface4031
description SDN_VLAN_Interface_4031
ip binding vpn-instance vpn1 //绑定私网VPN1
ip address 192.168.10.10 255.255.255.254
ip policy-based-route SDN_SC_VLAN_4031 //PBR策略Campus控制组件组件下发,不需要手动配置
#
#
policy-based-route SDN_SC_VLAN_4001 permit node 65535
if-match acl name SDN_ACL_SC_PERMIT_ALL
#
#
acl advanced name SDN_ACL_SC_PERMIT_ALL
description SDN_ACL_SC_PERMIT_ALL
rule 0 permit ip
#
· BGP导入默认路由:
#
bgp 100
#
ip vpn-instance vpn1
#
address-family ipv4 unicast
default-route imported //导入默认路由
preference 240 240 130
import-route static
network 20.0.0.0 255.255.0.0
network 20.0.0.1 255.255.255.255
network 30.0.0.0 255.255.0.0
network 30.0.0.1 255.255.255.255
#
address-family ipv6 unicast
#
· 配置到外网的默认路由
#
ip route-static vpn-instance vpn1 0.0.0.0 0 192.168.10.11 description SDN_ROUTE
#
· NQA策略为“自动”,控制组件下发的配置:
NQA配置:
#
nqa entry auto_admin_iqfffkzk auto_tag_pgqswjiu
type icmp-echo
description SDN_auto_admin_iqfffkzk_auto_tag_pgqswjiu
destination ip 192.168.10.11
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpn1
#
#
nqa schedule auto_admin_iqfffkzk auto_tag_pgqswjiu start-time now lifetime forever
#
Track配置:
#
track 1023 nqa entry auto_admin_iqfffkzk auto_tag_pgqswjiu reaction 1
#
静态路由引用Track
#
ip route-static vpn-instance vpn1 0.0.0.0 0 192.168.10.11 track 1023 description SDN_ROUTE
#
· NQA策略为“手动”,控制组件只下发静态路由引用Track的配置:
#
ip route-static vpn-instance vpn1 0.0.0.0 0 192.168.10.11 track 101 description SDN_ROUTE
#
若“出口网关成员”没有指定接口,此处需要手动配置;若已指定,则园区控制组件会自动下发,不需要手动配置;
#
interface Ten-GigabitEthernet 3/0/17
port link-mode bridge
port link-type trunk
port trunk permit vlan 4011
#
#
vlan 4011 //出口网关详情中的VLAN
#
interface Ten-GigabitEthernet1/0/9
port link-type trunk
port trunk permit vlan 4011
#
配置IP地址用于与Border设备互通 //出口网关详情中远端IPv4的地址
interface Vlan-interface 4011
ip address 192.168.10.11 255.255.0.0
#
配置到公网的默认路由,下一跳为外网的网关地址
ip route-static 0.0.0.0 0 20.1.1.1
#
从公网到私网的路由,与公网互通的每个网段都需要配置,下一跳为Border
#
ip route-static 20.0.0.0 16 192.168.10.10
ip route-static 30.0.0.0 16 192.168.10.10
#
单个私网的多出口网关配置和单出口网关配置区别不大,创建多个出口网关,每个出口网关指定不同的出口即可。
一个私网绑定多个出口网关时,只能有一个出口是默认路由,其它出口绑定IT资源组,对应明细网段路由。
本例配置两个出口网关,其中一个是共享网关,“外部网络”配置“默认外网”;另一个是独享网关,“外部网络”配置“IT资源组”。
(1) 在Border设备上指定2个物理出口,分别与出口路由器连接。
(2) 根据14.2.4 添加出口网关的步骤创建出口网关,出口网关模式根据需求选择“共享网关”或“独享网关”。
¡ 共享网关
图14-34 增加出口网关成员-默认外网
图14-35 增加出口网关成员1完成
¡ 独享网关:
通过“外部网络资源”中选择“新增IT资源组”,进行IT资源组的配置。
图14-36 增加出口网关成员-新增IT资源组
配置IT资源组时,子网的地址配置需要与[出口网关成员配置]页面中“IP版本”的设置对应,若“IP版本”的IPv4 和IPv6都勾选了,那么IT资源配置时需要同时配置IPv4地址和IPv6地址,配置完成后单击<确认>按钮。
图14-37 配置IT资源组
配置出口网关的“外部网络”引用配置的IT资源组。
图14-38 增加出口网关成员-IT资源组
图14-39 增加出口网关成员2完成
¡ 完成2个出口网关的配置。
图14-40 出口网关配置完成
(3) 配置私网关联出口网关,需要和外网通信的私网,绑定出口网关。
路径:[自动化>园区网络>私有网络],单击私网的“出口网关”链接,打开“出口网关”配置页面。配置vpn1的出口网关,增加2个出口网关。
图14-41 私有网络
图14-42 增加2个出口网关
图14-43 增加出口网关完成
控制组件向Border设备下发的配置如下:
共享网关出接口绑定出口vlan 4011
#
interface Vlan-interface4011
description SDN_VLAN_Interface_4011
ip binding vpn-instance sharevpn
ip address 140.1.0.1 255.255.255.248
ipv6 address 140:1::E/125
#
接口permit vlan
#
interface Ten-GigabitEthernet3/0/5
port link-mode bridge
port link-type trunk
port trunk permit vlan 4011
#
绑定共享网关下发默认路由的出口路由
#
ip route-static vpn-instance vpn1 0.0.0.0 0 vpn-instance sharevpn 140.1.0.2 description SDN_ROUTE
ipv6 route-static vpn-instance vpn1 :: 0 vpn-instance sharevpn 140:1::D description SDN_ROUTE
#
独享网关出接口绑定出口vlan4012
#
interface Vlan-interface4012
description SDN_VLAN_Interface_4012
ip binding vpn-instance vpn1
ip address 140.1.0.9 255.255.255.248
ip policy-based-route SDN_SC_VLAN_4012
ipv6 policy-based-route SDN_SC_VLAN_4012
ipv6 address 140:1::16/125
#
ipv4 PBR、ipv6 PBR策略
#
policy-based-route SDN_SC_VLAN_4012 permit node 65535
if-match acl name SDN_ACL_SC_PERMIT_ALL
#
acl advanced name SDN_ACL_SC_PERMIT_ALL
description SDN_ACL_SC_PERMIT_ALL
rule 0 permit ip
#
#
ipv6 policy-based-route SDN_SC_VLAN_4012 permit node 65535
if-match acl name SDN_ACL_SC_PERMIT_ALL
#
acl ipv6 advanced name SDN_ACL_SC_PERMIT_ALL
description SDN_ACL_SC_PERMIT_ALL
rule 0 permit ipv6
#
接口permit vlan
#
interface Ten-GigabitEthernet3/0/6
port link-mode bridge
port link-type trunk
port trunk permit vlan 4012
#
绑定独享网关下发目的IP为IT资源组的出口路由,
#
ip route-static vpn-instance vpn1 81.1.0.0 27 140.1.0.10 description SDN_ROUTE
ipv6 route-static vpn-instance vpn1 81:1:: 120 140:1::15 description SDN_ROUTE
#
为了满足上线用户基于VPN与外部网络进行通信,需要有一个Border设备,通过Border设备上引入外部路由。AD-Campus 6.5的推荐组网为双Spine组网、Spine配置M-LAG组网以及单Leaf配置M-LAG的组网,在这些组网中出口Border都为双Border。
当前园区控制组件仅支持Spine配置M-LAG、单Leaf配置M-LAG的双Border出口配置,双Spine组网的双Border配置,请参考手动双Border配置。
图14-44 双Border配置图
(1) 边界设备组配置有两个路径:
¡ 路径1:[自动化>园区网络>Fabrics],在“Fabrics”页面,单击“
”图标,打开Fabric配置页面;
图14-45 Fabrics
单击“边界设备组”页签,打开“边界设备组”配置页面;
图14-46 边界设备组
¡ 路径2:[自动化>园区网络>网络设备>边界设备组],打开“边界设备组”配置页面;
图14-47 边界设备组
图14-48 边界设备组
(2) 单击<增加>按钮,打开“增加边界设备组”配置页面,参数说明如下:
¡ 设备组名称:根据实际需求输入,最长支持63字符,区分大小写,仅支持中文、字母、数字、下划线
¡ Fabric:选择“HJYQ”
¡ 网络位置:默认已勾选 “出口网关”,边界设备只做出口时,勾选“出口网关”即可
- 出口网关:用于Fabric访问外网资源
- Fabric间互联:用户隔离域内Fabric互联以及隔离域之间Fabric互联
- 园WAN互联:用于园区和WAN场景之间的互联
¡ M-LAG:选择“开启”。开启M-LAG之前请确保Spine/Leaf设备已配置M-LAG。
¡ MAC地址:没有限制,确保全网唯一即可。用于配置园区出口VLAN接口的MAC。
¡ 成员:用于出口网关的Spine/Leaf设备,M-LAG组网请选择组成M-LAG的两台Spine/Leaf设备。
图14-49 增加边界设备组
(3) 选择“成员”标签,单击<增加>按钮。选择组成M-LAG的两台Spine/Leaf设备。
图14-50 增加成员
图14-51 增加成员完成
(4) 切换到“出口网络资源”页签,进行出口网络资源的相关配置,出口网络资源可以指定地址池和VLAN池,用于出口网关自动分配网络资源。其中,园区出口地址池和VLAN池必须要成对配置,用于园区与外部进行通信时的资源分配。
若此处未配置,则需要先新建园区出口地址池和园区出口VLAN池,再选择。安全外网出口地址池、安全外网出口VLAN池以及防火墙管理地址池用于配置防火墙网络资源分配,此处只介绍园区出口网关资源配置。
图14-52 出口网络资源
(5) 单击选择“园区出口地址池”,可以从已有的地址池列表中选择,也可以选择“新增园区出口地址池”选项。当选择“新增园区出口地址池”选项,此类型地址池为出口网络资源分配本端和远端IP,支持IPv4和IPv6地址,如下图所示。
图14-53 添加地址段
注意:出口使用双栈场景下,园区出口地址池要同时配置IPv4地址段和IPv6地址段。
(6) 选择“园区出口VLAN池”,可以从已有的VLAN池列表中选择,也可以选择“新增园区出口VLAN池”项。当选择“新建园区出口VLAN池”选项时,此类型VLAN池为出口网络资源分配本端和远端通信的VLAN,当前控制组件上园区出口VLAN池取值范围是101~4089,请确保填写的VLAN范围未被分配。
图14-54 增加VLAN范围
(7) 出口网络资源配置完成后,单击<确定>按钮,可以在边界设备组列表中看到新增的边界设备组。
图14-55 查看新增的边界设备组
图14-56 边界设备组
双Border组网下,当在14.3.4 添加出口网关中出口网络模式选择ECMP时,建议配置NQA策略,便于设备链路故障时快速链路感知并进行路由切换。
(1) 创建NQA策略,路径:[自动化>私有网络],单击“NQA策略”链接,打开NQA配置页面
图14-57 私有网络
图14-58 NQA策略
(2) 单击“增加”按钮,进行NQA配置。NQA策略配置可以手动或自动。
¡ 自动:当出口网关引用NQA策略并应用于私网后,控制组件会自动下发NQA、track配置以及出口静态路由引用配置的track id值,不需要手动干预。
¡ 页面配置:默认“探测失败次数”为5,“探测时间间隔”为6000ms,默认情况下,链路故障需要30s才能感知链路故障,具体参数设置请根据实际组网需求。
图14-59 增加NQA策略(自动)
配置完成后,系统会自动生成测试组管理员和测试组标签。
图14-60 NQA策略
¡ 手动:须填写“Track项序列号”,填写范围101-512的整数。当出口网关引用NQA策略并应用于私网,控制组件只下发出口静态路由引用配置的track id值,不下发NQA以及Track配置,需手动配置。
图14-61 手动
¡ 完成配置后,如下图所示。
图14-62 配置完成
(1) 路径:[自动化>园区网络>私有网络>出口网关],选择“出口网关”页签,单击<增加>按钮,进入增加出口网关页面。
图14-63 出口网关
(2) 在增加出口网关页面,配置“出口网关模式”,“出口网关模式”有两个选项:共享网关和独立网关,请根据实际需求选择。
¡ 共享网关:共享网关可以被多个私有网络使用,多个私网共用一个出口网关。
¡ 独享网关:独享网关指每个私网使用一个出口网关,不需要单独创建。
图14-64 出口网关模式
(3) 若选择“共享网关”模式,需要在私网中先创建创建一个私网VPN,作为出口网关绑定的私网。
(4) 创建共享VRF,路径:[自动化>园区网络>私有网络>私有网络],“共享VRF”选择“是”。
图14-65 共享VRF
图14-66 出口网关模式
若选择“独享网关”模式,则不需要配置共享VRF。
图14-67 独享网关
(5) 单击<增加出口网关成员>按钮,打开“增加出口网关成员”配置页面。选择隔离域、Fabric、边界设备组、IP版本、逃生模式等参数。
出口网络模式有两种:
¡ ECMP模式:该模式下,逃生默认开启。选择ECMP模式时,建议配置NQA。
¡ M-LAG模式:该模式下,Border设备跟外部Router之间通过M-LAG口互连,逃生关闭。选择M-LAG模式时,需要提前把双Border与Router连接的接口配置为M-LAG端口,具体配置请参考13 M-LAG跨设备聚合组配置。
图14-68 出口网络模式
图14-69 外部网络资源
¡ 外部网络资源:“默认外网”和“新增IT资源组”2个选项。“新增IT资源组”用于配置IT资源的访问,“默认外网”配置与外网的访问。
¡ “出口网络资源分配模式”:
- 选择“自动分配”模式后,控制组件会根据14.2.2 创建边界设备组中配置的出口网络资源自动分配VLAN、出口网段以及远端网段等配置到Border设备。
- 选择“手动指定”模式后,需要手动配置出口VLAN、出口网段以及远端网段,远端网段必须和出口网段在同一网段内。手动指定的出口VLAN要在园区出口VLAN池的范围内,如:12.2.1节,创建的出口VLAN池是4011~4020,手动指定的出口VLAN要在该范围内。出口网络模式为ECMP方式时,需要给2台Border设备分别指定不同的出口VLAN。出口网络模式为M-LAG方式时,仅需要指定一个出口VLAN。
- IPv4NQA策略/ IPv6NQA策略:用于NQA检测网络链路,选择前面已配置的NQA。
¡ 接口列表:边界设备跟外部Router互连的端口,指定端口后,控制组件会自动向端口下发trunk VLAN配置。
- 出口网络模式为ECMP模式时,接口选择Border与Router连接的物理接口;
- 出口网络模式为M-LAG模式时,接口选择Border与Router连接的M-LAG接口。
设备连接L3(用于纳管)的物理链路与出口不能使用同一个物理口
(6) 单击<确定>按钮,返回增加出口网关页面。
图14-70 增加出口网关
图14-71 出口网关
(7) 单击出口网关成员列表中操作列的详情图标
,可以看到Border和外部设备通信的VLAN以及网段信息。
图14-72 详情
图14-73 出口网关成员详请
(8) 配置逃生。单击<增加>按钮,进入逃生配置页面,指定本端和对端成员信息。对于Border做M-LAG,逃生接口选择Peer-link接口。
图14-74 逃生页面
图14-75 增加逃生页面
¡ 网关成员:选择该Fabric已创建的出口网关成员。
¡ 边界设备:选择该Fabric已创建的边界设备。
¡ 逃生接口:Border做M-LAG时,选择Peer-link接口作为逃生接口;独立双Border时,选择2台Border互连的接口作为逃生接口。
图14-76 配置逃生
¡ 逃生IPv4地址:该地址如果不填,则控制组件自动分配;如果手工指定,需要保证该地址在指定的地址范围内。如前文配置,设备A与出口Router对接的VLAN是4011,该虚接口的IP地址是192.168.10.20/29;设备B与出口Router对接的VLAN是4012,该虚接口的IP地址是192.168.10.28/29;,设置设备A的逃生VLAN是4012,逃生VLAN的IP地址跟192.168.10.28/29在同一网段范围内,且不能跟远端IPv4地址重复;设备B的逃生VLAN是4011,逃生VLAN的IP地址跟192.168.10.20/29在同一网段范围内,且不能跟远端IPv4地址重复。
(9) 单击<确定>按钮,可以在出口网关列表中看到新增的出口网关信息。
图14-77 出口网关
路径:[自动化>园区网络>私有网络>私有网络],单击列表中私有网络名称对应操作列的出口网关。对需要和外网通信的私网,绑定出口网关。
图14-78 私有网络
图14-79 出口网关
创建成功后,对应私网的出口网关操作列显示为:出口网关(1)。
图14-80 出口网关(1)
当配置的出口网关为共享网关,控制组件会向设备创建一个私网VPN,用户使用新建的VPN作为出口网关实例,用于与外网进行互通。
在Border设备上可以查到控制组件下发的出口网关相关配置,这里以Border1的配置为例:
· 下发的出口VLAN
#
vlan 4011
description SDN_VLAN_4011
#
vlan 4012
description SDN_VLAN_4012
#
· 跟对端Router互连端口的配置
#
interface Bridge-Aggregation 100
port link-mode bridge
port link-type trunk
port trunk permit vlan 4011
#
· 创建VPN实例:
#
ip vpn-instance sharevpn
description SDN_VRF_a1138b47-e9a4-408f-ae7b-eb2fa338d350
#
address-family ipv4
route-replicate from vpn-instance Teach protocol direct //复制私网Teach的路由
route-replicate from vpn-instance Teach protocol bgp 100
#
· 下发VLAN 虚接口:
#
interface Vlan-interface4011
description SDN_VLAN_Interface_4011
ip binding vpn-instance sharevpn //绑定共享网关sharevpn
ip address 192.168.10.20 255.255.255.248
#
interface Vlan-interface4012
description SDN_VLAN_Interface_4012
ip binding vpn-instance sharevpn
ip address 192.168.10.29 255.255.255.248
#
· BGP引入默认路由:
#
bgp 100
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address //Border做M-LAG,发布EVPN路由时,将下一跳地址修改为分布式聚合的虚拟ED地址
#
ip vpn-instance Teach
#
address-family ipv4 unicast
default-route imported //引入默认路由
balance 4
preference 240 240 130
import-route static
network 20.0.0.0 255.255.0.0
network 20.0.0.1 255.255.255.255
network 30.0.0.0 255.255.0.0
network 30.0.0.1 255.255.255.255
#
· 下发的NQA和track的配置
#
nqa entry auto_admin_sczoupqy auto_tag_tnayvqhd
type icmp-echo
description SDN_auto_admin_sczoupqy_auto_tag_tnayvqhd
destination ip 192.168.10.19 //探测的是对端Router上VLAN 4011的IP地址
frequency 1000 //探测频率可以根据实际需求调整
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpna //共享私网
#
nqa schedule auto_admin_sczoupqy auto_tag_tnayvqhd start-time now lifetime forever
#
track 1021 nqa entry auto_admin_sczoupqy auto_tag_tnayvqhd reaction 1
#
· 默认静态路由,形成主备路由:
#
ip route-static vpn-instance Teach 0.0.0.0 0 vpn-instance sharevpne 192.168.10.19 track 1021 description SDN_ROUTE //默认路由跟track联动
ip route-static vpn-instance Teach 0.0.0.0 0 vpn-instance sharevpne 192.168.10.27 preference 70 description SDN_ROUTE
#
在Border设备上可以查到控制组件下发的出口网关相关配置,这里以Border1为例。
· 下发VLAN
vlan 4011 //出口VLAN
description SDN_VLAN_4011
#
vlan 4012 //逃生VLAN
description SDN_VLAN_4012
#
· 下发VLAN 虚接口:
interface Vlan-interface4011
description SDN_VLAN_Interface_4011
ip binding vpn-instance Teach //绑定用户私网
ip address 192.168.10.20 255.255.255.248
ip policy-based-route SDN_SC_VLAN_4011 //应用PBR
#
interface Vlan-interface4012
description SDN_VLAN_Interface_4012
ip binding vpn-instance Teach //绑定用户私网
ip address 192.168.10.29 255.255.255.248
#
policy-based-route SDN_SC_VLAN_4011 permit node 65535 //下发全局PBR
if-match acl name SDN_ACL_SC_PERMIT_ALL
#
acl advanced name SDN_ACL_SC_PERMIT_ALL
description SDN_ACL_SC_PERMIT_ALL
rule 0 permit ip
#
· 配置NQA
#
nqa entry auto_admin_sczoupqy auto_tag_tnayvqhd
type icmp-echo
description SDN_auto_admin_sczoupqy_auto_tag_tnayvqhd
destination ip 192.168.10.18
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance Teach //用户私网
#
#
nqa schedule auto_admin_sczoupqy auto_tag_tnayvqhd start-time now lifetime forever
#
track 1021 nqa entry auto_admin_sczoupqy auto_tag_tnayvqhd reaction 1
#
· BGP导入默认路由:
#
bgp 100
#
ip vpn-instance vpn1
#
address-family ipv4 unicast
default-route imported //导入默认路由
preference 240 240 130
import-route static
network 20.0.0.0 255.255.0.0
network 20.0.0.1 255.255.255.255
network 30.0.0.0 255.255.0.0
network 30.0.0.1 255.255.255.255
#
address-family ipv6 unicast
#
· 配置到外网的默认路由
#
ip route-static vpn-instance Teach 0.0.0.0 0 192.168.10.19 track 1021 description SDN_ROUTE
ip route-static vpn-instance Teach 0.0.0.0 0 192.168.10.27 preference 70 description SDN_ROUTE
#
若“出口网关成员”没有指定接口,此处需要手动配置;若已指定,则控制组件会自动下发,不需要手动配置;
#
interface Bridge-Aggregation 100
port link-mode bridge
port link-type trunk
port trunk permit vlan 4011
#
#
interface Bridge-Aggregation 200
port link-mode bridge
port link-type trunk
port trunk permit vlan 4012
#
建议出口路由器使用路由子接口跟Border对接。
· 路由子接口配置
#
interface Route-Aggregation 100.4011 //跟Border1互连端口
ip address 192.168.10.19 255.255.255.248 //出口网关详情中远端IPv4的地址
vlan-type dot1q vid 4011
#
interface Route-Aggregation 200.4012 //跟Border2互连端口
ip address 192.168.10.27 255.255.255.248
vlan-type dot1q vid 4012
#
· 配置到公网的默认路由,下一跳为外网的网关地址
ip route-static 0.0.0.0 0 20.1.1.1
#
· 从公网到用户私网的路由,与公网互通的每个网段都需要配置,下一跳为2台Border
#
ip route-static 20.0.0.0 16 192.168.10.20
ip route-static 20.0.0.0 16 192.168.10.28
ip route-static 30.0.0.0 16 192.168.10.20
ip route-static 30.0.0.0 16 192.168.10.28
#
单个私网的多出口网关配置和单出口网关的配置区别不大,创建多个出口网关,每个出口网关指定不同的出口即可。
一个私网绑定多个出口网关时,只能有一个出口是默认路由,其它出口绑定IT资源组,对应明细网段路由。
本例配置两个出口网关,其中一个是共享网关,“外部网络”配置“默认外网”;另一个是独享网关,“外部网络”配置“IT资源组”。
(1) 在Border设备上提前创建2个物理出口,本例以出口模式为M-LAG为例,创建2个M-LAG组。
图14-81 创建M-LAG组
图14-82 创建完成
(2) 根据14.2.4 添加出口网关_添加出口网关的步骤创建出口网关,出口网关模式根据需求选择“共享网关”或“独享网关”。
¡ 共享网关
图14-83 增加出口网关成员-默认外网
图14-84 增加出口网关成员1完成
¡ 独享网关:
通过“外部网络资源”中选择“新增IT资源组”,进行IT资源组的配置。
图14-85 增加出口网关成员-新增IT资源组
配置IT资源组时,子网的地址配置需要与[增加出口网关成员]页面中“IP版本”的设置对应,若“IP版本”的IPv4 和IPv6都勾选了,那么IT资源配置时需要同时配置IPv4地址和IPv6地址。
图14-86 配置IT资源组
配置出口网关的“外部网络”引用配置的IT资源组。
图14-87 增加出口网关成员-IT资源组
图14-88 增加出口网关成员2完成
完成2个出口网关的配置。
图14-89 出口网关配置完成
(3) 配置私网关联出口网关,需要和外网通信的私网,绑定出口网关。
(4) 路径:[自动化>园区网络>私有网络],单击私网的“出口网关”链接,打开“出口网关”配置页面。配置vpn1的出口网关,增加2个出口网关。
图14-90 私有网络
图14-91 增加2个出口网关
图14-92 增加出口网关完成
控制组件向2台Border设备下发的配置如下:
共享网关出接口绑定出口vlan4011
#
interface Vlan-interface4011
description SDN_VLAN_Interface_4011
ip binding vpn-instance sharevpn
ip address 140.1.0.2 255.255.255.254
mac-address 3c8c-404e-dd46
ipv6 address 140:1::3/127
#
接口permit vlan
#
interface Bridge-Aggregation2
description SDN_LAGG_MLAG
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 4011
link-aggregation mode dynamic
lacp edge-port
port m-lag group 2 allow-single-member
stp instance 0 port priority 16
stp instance 0 cost 1
stp root-protection
stp tc-restriction
#
绑定共享网关下发默认路由的出口路由
#
ip route-static vpn-instance vpn1 0.0.0.0 0 vpn-instance sharevpn 140.1.0.3 description SDN_ROUTE
ipv6 route-static vpn-instance vpn1 :: 0 vpn-instance sharevpn 140:1::2 description SDN_ROUTE
#
独享网关出接口绑定出口vlan4012
#
interface Vlan-interface4012
description SDN_VLAN_Interface_4012
ip binding vpn-instance vpn1
ip address 140.1.0.4 255.255.255.254
mac-address 3c8c-404e-dd46
ip policy-based-route SDN_SC_VLAN_4012
ipv6 policy-based-route SDN_SC_VLAN_4012
ipv6 address 140:1::5/127
#
ipv4 PBR、ipv6 PBR策略
#
policy-based-route SDN_SC_VLAN_4012 permit node 65535
if-match acl name SDN_ACL_SC_PERMIT_ALL
#
acl advanced name SDN_ACL_SC_PERMIT_ALL
description SDN_ACL_SC_PERMIT_ALL
rule 0 permit ip
#
#
ipv6 policy-based-route SDN_SC_VLAN_4012 permit node 65535
if-match acl name SDN_ACL_SC_PERMIT_ALL
#
acl ipv6 advanced name SDN_ACL_SC_PERMIT_ALL
description SDN_ACL_SC_PERMIT_ALL
rule 0 permit ipv6
#
接口permit vlan
#
interface Bridge-Aggregation3
description SDN_LAGG_MLAG
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 4012
link-aggregation mode dynamic
lacp edge-port
port m-lag group 3 allow-single-member
stp instance 0 port priority 16
stp instance 0 cost 1
stp root-protection
stp tc-restriction
#
绑定独享网关下发目的IP为IT资源组的出口路由,
#
ip route-static vpn-instance vpn1 81.1.0.0 27 140.1.0.5 description SDN_ROUTE
ipv6 route-static vpn-instance vpn1 81:1:: 120 140:1::4 description SDN_ROUTE
#
本章介绍双Border出口的手工配置。
设备连接L3(用于纳管)的物理链路与出口不能使用同一个物理口
· 创建公共出口私网VPN
#
ip vpn-instance VPNa
description SDN_VRF_GW
#
address-family ipv4
route-replicate from vpn-instance vpn1 protocol direct //复制vpn的私网路由,有多个私网时需要配置多个私网的路由复制
route-replicate from vpn-instance vpn1 protocol bgp 100
#
· 创建VLAN 虚接口
#vlan4001用于border与外网出口的连接
vlan 4001
#
#
interface Vlan-interface4001
description SDN_VLAN_Interface_4001
ip binding vpn-instance VPNa //绑定共享网关VPNa
ip address 192.168.10.10 255.255.255.250
#
· Border与外网路由器连接的接口 permit vlan
#
interface Ten-GigabitEthernet2/0/1
port link-type trunk
port trunk permit vlan 4001
#
· BGP导入默认路由
#
bgp 100
#
ip vpn-instance vpn1
#
address-family ipv4 unicast
default-route imported //导入默认路由
preference 240 240 130
import-route static //导入静态路由
network 20.0.0.0 255.255.0.0
network 20.0.0.1 255.255.255.255
network 30.0.0.0 255.255.0.0
network 30.0.0.1 255.255.255.255
#
address-family ipv6 unicast
#
· 配置Vlan4002虚接口,用于Border之间的连接
#
interface Vlan-interface4002
description to_border2_Interface_4002
ip binding vpn-instance VPNa //绑定共享网关VPNa
ip address 192.168.11.12 255.255.255.250
#
· Border之间的连接接口permit vlan 4002
#
interface Ten-GigabitEthernet2/0/2
port link-type trunk
port trunk permit vlan 4002
#
· 配置nqa + track
#配置nqa 联动Border上行链路
nqa entry admin border1 //admin为用户名,请配置与local-user相同
type icmp-echo
destination ip 192.168.10.11 //目的IP为L3的vlan4001接口IP
frequency 100
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpna //vlan4001接口绑定的vpn
#
#启动nqa
nqa schedule admin border1 start-time now lifetime forever
#
#配置nqa 联动Border之间的链路
nqa entry admin border2 //admin为用户名,请配置与local-user相同
type icmp-echo
destination ip 192.168.11.11 //目的IP为L3的vlan4002接口IP
frequency 100
reaction 2 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpna //vlan4002接口绑定的vpn
#
#启动nqa
nqa schedule admin border2 start-time now lifetime forever
#
#配置track联动nqa
Track 1 nqa entry admin border1 reaction 1
#
#
Track 2 nqa entry admin spine1 reaction 2
#
· 配置静态路由
#vpn1到公网的路由,配置track
ip route-static vpn-instance vpn1 0.0.0.0 0 vpn-instance vpna 192.168.10.11 track 1
#
#vpn1到公网的路由备份路由,下一跳为Border2
ip route-static vpn-instance vpn1 0.0.0.0 0 vpn-instance vpna 192.168.11.11 track 2 preference 61
#
#
#从border1转发到border2的报文转发到公网
ip route-static vpn-instance vpna 0.0.0.0 0 192.168.11.11
#
· 创建VPN实例
#
ip vpn-instance VPNa
description SDN_VRF_GW
#
address-family ipv4
route-replicate from vpn-instance vpn1 protocol direct //复制vpn1的私网路由
route-replicate from vpn-instance vpn1 protocol bgp 100
#
· 创建VLAN 虚接口
#
vlan 4002
#
#
interface Vlan-interface4002
description SDN_VLAN_Interface_4002
ip binding vpn-instance VPNa //绑定共享网关VPNa
ip address 192.168.11.10 255.255.255.250
#
· Border与外网路由器连接的接口 permit vlan
#
interface Ten-GigabitEthernet2/0/1
port link-type trunk
port trunk permit vlan 4002
#
· BGP导入默认路由
#
bgp 100
#
ip vpn-instance vpn1
#
address-family ipv4 unicast
default-route imported //导入默认路由
preference 240 240 130
import-route static //导入静态路由
network 20.0.0.0 255.255.0.0
network 20.0.0.1 255.255.255.255
network 30.0.0.0 255.255.0.0
network 30.0.0.1 255.255.255.255
#
address-family ipv6 unicast
#
· 配置Vlan4001虚接口,用于Border之间的连接
#
interface Vlan-interface4001
description to_border1_Interface_4001
ip binding vpn-instance VPNa //绑定共享网关VPNa
ip address 192.168.10.12 255.255.255.250
#
· Border之间的连接接口permit vlan
#
interface Ten-GigabitEthernet2/0/2
port link-type trunk
port trunk permit vlan 4001
#
· 配置nqa + track
#配置nqa 联动Border上行链路
nqa entry admin border2 //admin为用户名,请配置与local-user相同
type icmp-echo
destination ip 192.168.11.11 //目的IP为L3的vlan4002接口IP
frequency 100
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpna //vlan4002接口绑定的vpn
#
#启动nqa
nqa schedule admin border2 start-time now lifetime forever
#
#配置nqa 联动Border之间的链路
nqa entry admin border1 //admin为用户名,请配置与local-user相同
type icmp-echo
destination ip 192.168.10.11 //目的IP为L3的vlan4001接口IP
frequency 100
reaction 2 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
vpn-instance vpna //vlan4001接口绑定的vpn
#
#启动nqa
nqa schedule admin border1 start-time now lifetime forever
#
#配置track联动nqa
Track 1 nqa entry admin border2 reaction 1
#
#
Track 2 nqa entry admin border1 reaction 2
#
· 配置静态路由:
#vpn1到公网的路由,配置track
ip route-static vpn-instance vpn1 0.0.0.0 0 vpn-instance vpna 192.168.11.11 track 1
#
#vpn1到公网的路由备份路由,下一跳为Border2
ip route-static vpn-instance vpn1 0.0.0.0 0 vpn-instance vpna 192.168.10.11 track 2 preference 61
#从border2转发到border1的报文转发到公网
ip route-static vpn-instance vpna 0.0.0.0 0 192.168.10.11
#
建议出口路由器使用路由子接口跟Border对接。
· 路由子接口配置
#
vlan 4011
vlan 4012
#
#
interface Ten-GigabitEthernet2/0/1.4011 //跟Border1互连端口
description SDN_VLAN_Interface_4011
ip address 192.168.10.19 255.255.255.248 //出口网关详情中远端IPv4的地址
vlan-type dot1q vid 4011
#
#
interface Ten-GigabitEthernet2/0/2.4012 //跟Border2互连端口
description SDN_VLAN_Interface_4012
ip address 192.168.10.27 255.255.255.250
vlan-type dot1q vid 4012
#
· 配置静态路由:
#Router到公网的路由,下一跳为公网网关
#
ip route-static 0.0.0.0 0 21.1.0.1
#
#从公网到私网的路由,与公网互通的每个网段都需要配置,下一跳为Border1 和 Border2
#
ip route-static 20.0.0.0 16 192.168.10.20
ip route-static 20.0.0.0 16 192.168.11.28
#
ip route-static 30.0.0.0 16 192.168.10.20
ip route-static 30.0.0.0 16 192.168.11.28
#
当前控制组件及设备均支持配置二层组播以及三层组播,通过组播实现单点到多点的流量传输。
如果Spine和Leaf设备手工上线,纳管Spine和Leaf设备时,请填写Underlay VLAN范围,这样控制组件开启组播网络后,会自动向Spine和Leaf设备的Underlay VLAN虚接口下发pim sm。Underlay VLAN范围不支持动态修改,故请合理规划Underlay VLAN范围。如需修改Underlay VLAN范围,需要在控制组件上,删除设备再重新纳管,重新纳管时填上新的Underlay VLAN范围。Underlay VLAN范围填写后,后续如有新的Spine或Leaf设备上线,这些设备的Underlay VLAN要在已创建的Underlay VLAN范围内。
如果Spine和Leaf设备自动化上线,则无需手动填Underlay VLAN范围。
图16-1 配置Underlay VLAN范围
根据组播源和接收者的分布,组播场景可以分为单Fabric组播和多Fabric组播,其中多Fabric可以是单隔离域多Fabric,也可以是多隔离域多Fabric。单Fabric组播场景指的是组播源和接收者在同一个Fabric且在同一个私网内;多Fabric组播场景指的是组播源和接收者位于不同的Fabric,但都在同一个私网内。
单Fabric组网,组播需要配置二层组播和三层组播。多Fabric组网,除了要配置二层组播和三层组播外,还要配置Fabric互连,该部分配置请参考《AD-Campus 6.5 多园区多Fabric配置指导》,此外,还涉及少量手工配置,具体请参考16.4 多Fabric组网场景下组播业务配置。
· 单Fabric组网下,组播源和接收者可以从Access接入,也可以从Border设备接入。
· 当组播报文经过组播VXLAN隧道时,有部分类型单板(SG/FD/FE类型)要求经过组播VXLAN隧道的接口和以VLAN方式连接的接口不能在同一块单板上,需要跨板转发。
· 多Fabric组网下,组播源和接收者仅支持从Access接入。M-LAG组网下,每个Fabric的两台ED之间要配置IBGP邻居,只发送10类路由,用于解决接收者会收到双份流问题,这部分配置当前要手配。
· 跨Fabric组播,不支持组播源和接收者从ED设备接入,并且每个Fabric不能是单Leaf组网。
· M-LAG组网下,组播源和接收者不支持单挂接入。
· 不支持Spine/Aggr/Leaf组网下的组播。
· 5560X/6520X不支持M-LAG组网下的组播。
· S12600-G/S10500X-G/S8600X-G等所有信创款型交换机不支持组播。
· S12500G-AF(T系列)/S10500X/S7500X/S6550XE-HI/S6525XE-HI的所有单板,对于同一个物理端口,组播不能同时从AC接入和VLAN接入;即同一个物理端口,只能使用AC接入,或者VLAN接入,不能混杂使用。
· 要求先配置二层组播,再配置三层组播。
二层组播需要全局使能组播,Fabric的组播网络和私有网络的组播网络都要勾选“开启”。
路径:[自动化>园区网络>Fabrics],单击列表中Fabric名称对应操作列的设置图标
,进入对应Fabric页面。切换至“设置”页签,将“组播网络”项置为“开启”,单击右上角<确定>按钮,保存配置。开启后会在该Fabric下对应的Spine、Leaf设备上全局下发igmp-snooping配置。
图16-2 Fabric开启组播网络
路径:[自动化>园区网络>私有网络],单击列表中私有网络名称对应操作列的操作图标
,进入对应私有网络页面,将“组播网络”项置为“开启”。
图16-3 私有网络开启组播网络
配置二层组播业务。路径:[自动化>园区网络>应用策略>组播>L2组播],单击<增加>按钮,保存配置。
图16-4 增加L2组播
参数说明:
· 私有网络:选择需要开启组播的私有网络。
· 二层网络域:选择需要开启组播的二层网络域,开启后会自动在二层网络域对应的VSI实例使能igmp-snooping。
· IGMP Snooping版本:控制组件支持IGMP Snooping版本的选择。
· IGMP Snooping查询器:开启该功能,自动在Spine设备对应二层网络域的VSI实例配置查询器功能。如果实际环境有单独的三层组播设备或者查询器,可不配置。
· IGMP Snooping代理:开启IGMP Snooping代理,自动在Spine和Leaf上配置IGMP Snooping Proxy,使其能够代理下游主机向上游设备发送报告报文和离开报文,减少上游设备收到的IGMP报告报文和离开报文的数量。
· 丢弃未知组播数据报文:开启了丢弃未知组播数据报文功能时,二层设备只向其路由器端口转发未知组播数据报文,不在VXLAN内广播;如果二层设备没有路由器端口,未知组播数据报文会被丢弃,不再转发。
可以在VSI下查看到下发的配置:
[Leaf7503-vsi-vsi3]display this
#
vsi vsi3
description SDN_VSI_3
gateway vsi-interface 3
statistics enable
ipv6 nd snooping enable global
ipv6 nd snooping enable link-local
flooding disable all all-direction
vxlan 3
evpn encapsulation vxlan
mac-advertising disable
arp mac-learning disable
nd mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
igmp-snooping enable
igmp-snooping drop-unknown //丢弃未知组播报文
igmp-snooping proxy enable
dhcp snooping binding record
ipv6 dhcp snooping binding record
#
通过为L3组播绑定私有网络、配置RP地址、MDT、PIM协议和策略、IGMP协议和策略,实现相同VPN下的三层组播流量互通。使用EVPN三层组播,请一定要使能二层组播,即在对应的VSI实例下使能igmp-snooping。
三层组播在二层组播的基础上,还需要进行如下配置。
路径:[自动化>园区网络>应用策略>组播>L3组播],点击<增加>按钮,进入增加L3组播页面,配置如下参数:
· 名称:指定L3组播的名称。
· 分布式RP:在EVPN VXLAN组网下,当组播采用PIM-SM模式时,组网中的每台Spine和Leaf设备都作为私网的RP,进行组播数据的转发。
· 私有网络:绑定私有网络,在指定的私有网络下下发配置。
图16-5 增加L3组播
可以在Spine和Leaf设备上查看到下发了如下配置:
#
pim vpn-instance Teach //对应的私网实例下
c-bsr 7.7.7.7
c-rp 7.7.7.7
#
interface LoopBack1000
description SDN_LOOPBACKIF_LOGICMULTICAST_RP_8000bba2-7381-49c3-87d6-5e5d0d7359e4
ip binding vpn-instance Teach
ip address 7.7.7.7 255.255.255.255
pim sm
#
MDT页签中可以指定默认组、源端口和数据组等参数。其中,数据组掩码的取值范围因不同的设备而不同,具体取值范围以设备为准。
· 默认组:默认组是用于给每个开启组播业务的私有网络在公网上分配的一个独立的组播组,用于实现私网组播数据在公网的传输。
· 源端口:指定MVXLAN源接口,目前只支持LoopBack口。非M-LAG源端口用于Spine或Leaf是单机或堆叠的场景,该值默认填0;M-LAG源端口用于Spine或Leaf是M-LAG的场景,该值默认填2 。
· 数据组:当配置了该参数后,设备将会从数据组中选取一个被引用最少的地址来替换默认组,实现该私网组播数据在公网的传输。
· 组播策略:在配置了数据组的前提下才可配置,当配置了组播策略以后,只有符合该策略的流量才会使用数据组在公网进行传输。不匹配该策略的流量仍然使用默认组在公网进行传输。
· 切换延时(秒):从默认组切换至数据组的延迟时间,在配置了数据组的前提下才可配置,建议配成20秒。
图16-6 MDT
Spine是单机或堆叠场景下,设备上查看到下发如下配置:
[Spine10510]multicast-vpn vxlan vpn-instance Teach mode mdt
[Spine10510-mvxlan-vpn-instance-Teach]dis this
#
multicast-vpn vxlan vpn-instance Teach mode mdt
address-family ipv4
source LoopBack0 //源端口是Loopback0
default-group 225.1.0.1 //默认组地址
data-group 230.1.0.0 255.255.255.252 name SDN_ACL_MULTICAST_test //配置数据组和组播策略时才会下发
data-delay 20
s-pmsi advertise source-active
#
Spine是M-LAG场景下,设备上查看到下发如下配置:
multicast-vpn vxlan vpn-instance Teach mode mdt
address-family ipv4
source LoopBack2 evpn-mlag-group //源端口是Loopback2
default-group 230.0.0.1
m-lag local 2.1.1.51 remote 2.1.1.52 //Local地址是本Spine的LB0的地址,remote地址是本fabric的另一台Spine的LB0的地址。Leaf设备无该条命令
data-group 230.1.0.0 255.255.255.252 name SDN_ACL_MULTICAST_test
data-delay 20
s-pmsi advertise source-active
#
· 协议类型:协议类型支持PIM-SM和PIM-SSM两种。
· Hello报文发送频率:配置该参数后,设备上每个运行了PIM协议的接口通过定期向本网段的所有PIM设备发送Hello报文以发现PIM邻居,维护各设备之间的PIM邻居关系。
图16-7 PIM协议
可以在设备上查看到下发如下配置
[Leaf7503]int Vsi-interface 3 //在二层网络域下开启的接口
[Leaf7503-Vsi-interface3]dis th
#
interface Vsi-interface3
description SDN_VSI_Interface_3
ip binding vpn-instance Teach
ip address 20.0.0.1 255.255.0.0
pim sm //协议模式
pim hello-option holdtime 105
pim hello-option lan-delay 500
pim hello-option override-interval 2500
pim holdtime join-prune 210
pim timer hello 30 //hello报文发送频率
pim timer join-prune 60
pim distributed-dr
#
· 邻居过滤策略:通过配置邻居过滤策略,保证PIM域的安全和畅通。
· Join信息过滤策略:通过配置Join信息过滤策略,可以防止非法设备加入PIM域中。
图16-8 PIM策略
· IGMP版本:IGMP协议有3个版本:IGMPv1、IGMPv2和IGMPv3。
· SSM Mapping:当选择了PIM-SSM模式搭配IGMPv1、IGMPv2时,由于IGMPv1、IGMPv2不支持组播接收者指定组播源加入组播组,所以需要通过在设备上配置SSM静态映射规则,来实现完整的PIM-SSM模式组播转发。
· 查询器健壮系数:查询器的健壮系数是为了弥补可能发生的网络丢包而设置的报文重传次数。
图16-9 IGMP协议
可以在开启了组播网络的VSI接口下查看到如下配置:
[Leaf7503]int Vsi-interface 3 //在二层网络域下开启了组播的vsi接口
[Leaf7503-Vsi-interface3]display this
#
interface Vsi-interface3
description SDN_VSI_Interface_3
ip binding vpn-instance Teach
ip address 20.0.0.1 255.255.0.0
pim sm
pim hello-option holdtime 105
pim hello-option lan-delay 500
pim hello-option override-interval 2500
pim holdtime join-prune 210
pim timer hello 30
pim timer join-prune 60
pim distributed-dr
igmp enable
igmp other-querier-present-interval 255
igmp query-interval 125
igmp max-response-time 10
igmp robust-count 2
igmp last-member-query-interval 1
#
组播组过滤策略:用于在接口上配置组播组过滤器,以限定该接口下的主机所能加入的组播组。
图16-10 IGMP策略
为避免特定的协议组播报文对设备造成流量冲击,可以在设备上过滤掉特定的组播组地址
#
acl number 3000
rule 0 deny ip destination 239.255.255.250 0
rule 5 permit ip
#
#pim视图配置过滤
#
pim vpn-instance Teach
source-policy 3000
#
以上配置均完成后,可以实现单fabric组网下同一VPN实例下的三层组播流量传输。
一个L3组播仅允许绑定一个私有网络。
单fabric组网,当组播源或接收者以VLAN方式从Spine设备接入时,要在出口网关成员页面开启组播网络。
路径:[自动化>园区网络>私有网络>出口网关],点击对应出口网关的修改按钮
,进入出口网关成员页面。开启后,控制组件会向出口VLAN虚接口下发pim sm。
图16-11 组播网络
二层和三层组播配置完成后,Spine和Leaf设备下发的配置如下:
全局使能二层组播:
#
igmp-snooping
#
Spine和Leaf是M-LAG时,控制组件会在M-LAG逃生VLAN使能二层组播以及配置peer-link链路的保留VLAN;如果Spine和Leaf是堆叠或单机,则没有逃生VLAN配置。
#
vlan 2
m-lag peer-link reserved //peer-link链路的保留VLAN
igmp-snooping enable
pim-snooping enable
#
所有的Underlay VLAN使能igmp-snooping和pim-snooping:
#
vlan 3002
igmp-snooping enable
pim-snooping enable
#
M-LAG逃生VLAN虚接口及所有Underlay VLAN虚接口使能pim sm:
#
interface Vlan-interface2 //逃生VLAN虚接口
description SDN_MLAG_VLAN
ip address 3.1.1.4 255.255.255.254
ospf cost 20
ospf network-type p2p
ospf 1 area 0.0.0.0
pim sm
#
#
interface Vlan-interface3002 //Underlay VLAN虚接口
ip address unnumbered interface LoopBack0
ospf network-type p2p
ospf 1 area 0.0.0.0
pim sm
#
全局使能IP组播路由
#
multicast routing
#
开启L2组播的vsi实例下发二层组播:
#
vsi vsi13
igmp-snooping enable
igmp-snooping drop-unknown
igmp-snooping proxy enable
#
给每个开启组播网络的私网创建一个loopback接口,并使能pim sm。
interface LoopBack1000
description SDN_LOOPBACKIF_LOGICMULTICAST_RP_8000bba2-7381-49c3-87d6-5e5d0d7359e4
ip binding vpn-instance Teach
ip address 7.7.7.7 255.255.255.255
pim sm
#
每个私网的L3VNI接口使能pim sm
#
interface Vsi-interface12
description SDN_VRF_VSI_Interface_12
ip binding vpn-instance Teach
pim sm
l3-vni 12
#
开启L2组播的二层网络域对应的vsi虚接口使能pim和igmp:
#
interface Vsi-interface13
pim sm
pim hello-option holdtime 105
pim hello-option lan-delay 500
pim hello-option override-interval 2500
pim holdtime join-prune 210
pim timer hello 30
pim timer join-prune 60
igmp enable
igmp other-querier-present-interval 255
igmp query-interval 125
igmp max-response-time 10
igmp robust-count 2
igmp last-member-query-interval 1
#
开启组播网络的私网使能IP组播路由
#
multicast routing vpn-instance Teach
#
为每个开启组播网络的私网配置C-BSR和C-RP:
#
pim vpn-instance Teach
c-bsr 7.7.7.7
c-rp 7.7.7.7
#
给开启组播网络的私网下发MVXLAN配置:
#
multicast-vpn vxlan vpn-instance Teach mode mdt
address-family ipv4
source LoopBack2 evpn-mlag-group //Spine和Leaf是M-LAG时,源端口是LB2,;如果是非M-LAG,源端口是LB0
default-group 230.0.0.1
data-group 230.10.0.0 255.255.255.248
data-delay 20
s-pmsi advertise source-active
#
Spine除了有上述Leaf的下发配置外,Spine还需要下发的配置:
#
multicast-vpn vxlan vpn-instance Teach mode mdt
address-family ipv4
source LoopBack2 evpn-mlag-group
default-group 230.0.0.1
m-lag local 2.1.1.51 remote 2.1.1.52 //Spine做M-LAG时,Spine设备下发该命令。Local的IP地址是本Spine的Loopback0接口地址,remote的IP地址是该M-LAG系统的另一台Spine的Loopback0接口地址。如果Spine是非M-LAG,无需该配置。
data-group 230.10.0.0 255.255.255.248
data-delay 20
s-pmsi advertise source-active
#
当组播源或接收者从外网以VLAN方式从Spine接入时,出口VLAN虚接口要使能pim sm:
#
interface Vlan-interface4001
description SDN_VLAN_Interface_4001
ip binding vpn-instance Teach
ip address 192.168.10.10 255.255.255.254
pim sm //出口网关成员开启组播网络后,该命令自动下发
ip policy-based-route SDN_SC_VLAN_4001
#
若组播源或接收者通过外接路由器再与Spine相连,则需要在外接的路由器上配置三层组播相关配置才可实现三层组播流量的传输,组网如图所示:
图16-12 组网图
如果组播源或接收者从外部以AC方式接入Spine设备,需要将Spine设备连接出口路由器的接口配置静态AC,组播报文通过VLAN映射到VXLAN。
(1) 配置完二层网络域后,在路径:[自动化>园区网络>Fabrics],点击列表中Fabric名称对应操作列的设置图标
,进入对应Fabric页面。
(2) 切换至“通用策略组”页签,点击 “策略模板”,配置策略模板,点击增加“接口策略模板”,模板类型选择“用户自定义”。
(3) 接口添加策略时下发的配置如下:
port trunk permit vlan 3501 to 3503 //具体VLAN根据用户业务配置
#
service-instance 3501
encapsulation s-vid 3501 具体VLAN及VXLAN映射根据用户业务配置
xconnect vsi vsi3
arp detection trust
#
service-instance 3502
encapsulation s-vid 3502
xconnect vsi vsi4
arp detection trust
#
service-instance 3503
encapsulation s-vid 3503
xconnect vsi vsi6
arp detection trust
#
(4) 接口删除策略时下发的配置如下:
undo port trunk permit vlan 3501 to 3503
#
undo service-instance 3501
#
undo service-instance 3502
#
undo service-instance 3503
#
图16-13 增加策略模板
(5) 切换至“通用策略组”页签,单击 <增加>,增加接口组。绑定成员:选择Spine连接出口路由器的接口(若为M-LAG口,请绑定M-LAG聚合口)。成员增加完成后切换至“策略”页签,绑定接口策略,选择用户自定义策略。
图16-14 增加接口组以及绑定策略模板
图16-15 增加接口组策略
与Border设备互连的L3组播设备上手工配置如下:
配置VLAN:
Vlan 10
Vlan 3501-3503
和组播源或接收者对接的接口配置:
interface Vlan-interface10
ip address 10.1.0.1 255.255.255.0
pim sm //连组播源时,配置该命令
igmp enable//连接收者时,配置该命令
如果组播源或接收者从外部以VLAN方式接入Spine设备,在配置组播相关配置前,需要参见14.2 单Border出口配置中的14.2.1-14.2.5章节配置出口网关。此时L3组播设备作为与Border对接的外部路由设备。
· 组播场景下使用出口网关时要选择独享网关。
· 组播场景下,出口网络模式选择 M-LAG,关闭逃生。
· 组播场景下,出口网关成员要开启组播网络。
跟外网对接配置可以通过控制组件下发,这2台Border的配置是相同的,本章以Border1的配置为例:
2台Border通过M-LAG口跟外部L3组播设备对接。
#
interface Bridge-Aggregation2
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 4001
link-aggregation mode dynamic
lacp edge-port
port m-lag group 2 allow-single-member
stp instance 0 port priority 16
stp instance 0 cost 1
stp root-protection
stp tc-restriction
#
#
interface Ten-GigabitEthernet2/2/0/36
port link-mode bridge
description SDN_LAGG_MLAG
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 4001
port link-aggregation group 2
#
出口VLAN虚接口使能pim sm。
#
interface Vlan-interface4001
description SDN_VLAN_Interface_4001
ip binding vpn-instance Teach
ip address 192.168.10.10 255.255.255.254
pim sm //出口网关成员开启组播网络后,该命令自动下发
ip policy-based-route SDN_SC_VLAN_4001
与Border设备互连的L3组播设备上手工配置如下:
配置和Border设备对接的VLAN
#
vlan 4001 //出口网关详情中的VLAN
#
配置IP地址用于与Border设备互通 //出口网关详情中远端IPv4的地址
#
interface Vlan-interface 4001
ip address 192.168.10.11 255.255.255.254
pim sm
#
出口路由器(支持三层组播的设备)全局使能IP组播路由:
#
multicast routing
#
配置跟组播源或接收者对接的VLAN及三层接口
vlan 10
#
#
interface Vlan-interface10
ip address 10.1.0.1 255.255.255.0
pim sm //组播源从该VLAN虚接口接入时,要使能pim sm
igmp enable //接收者从该VLAN虚接口接入时,要使能igmp enable
#
指定RP地址:
#
pim
static-rp 7.7.7.7 //配置静态RP,RP是Spine设备Loopback1000的地址,该接口绑定私网Teach。
#
与Border互连端口的相关配置:
通过二层聚合口跟Border互连。
#
interface Bridge-Aggregation2
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 4001
link-aggregation mode dynamic
#
#
interface Ten-GigabitEthernet1/0/9
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 4001
port link-aggregation group 2
#
与组播源或接收者互连端口的配置:
interface Ten-GigabitEthernet1/0/10
port link-mode bridge
port access vlan 10
#
配置默认路由与私网互通
ip route-static 0.0.0.0 0 192.168.10.10 //下一跳为出口网关详情中出口本端IPv4的地址
注意:如果跟园区互访配置的是明细路由,需要增加到RP的静态路由,见如下:
ip route-static 7.7.7.7 32 192.168.10.10
多fabric组网,除了要配置二层组播和三层组播外,还要配置fabric互连,该部分配置请参考《AD-Campus 6.5 多园区多Fabric配置指导》。多Fabric的组播仅Spine设备有新增配置。
配置Fabric互连并且使能组播后,控制组件会向Spine设备上使能组播网络的私网MDT视图下发dci enable命令。
multicast-vpn vxlan vpn-instance Teach mode mdt
address-family ipv4
source LoopBack2 evpn-mlag-group
default-group 230.0.0.1
m-lag local 2.1.1.51 remote 2.1.1.52
data-group 230.1.0.0 255.255.255.252 name SDN_ACL_MULTICAST_test
data-delay 20
dci enable
s-pmsi advertise source-active
#
多fabric组网且Spine做M-LAG时,要指定本fabric的其他ED设备IP地址,该命令当前需要手工配。
multicast-vpn vxlan edge remote 2.1.1.52 //remote地址是本fabric的另一台ED设备的IP地址
多fabric组网且Spine是M-LAG时,本Fabric的两台Spine要建IBGP邻居,通过配置路由策略,仅发布10类路由,以解决跨fabric组播接收者会收到双份流的问题,该配置当前需要手工配。
#
route-policy policy1 permit node 0
if-match route-type bgp-evpn-s-pmsi
#
route-policy policy1 deny node 1
#
bgp 100
non-stop-routing
router-id 2.1.1.51
peer 2.1.1.52 as-number 100
peer 2.1.1.52 connect-interface LoopBack0
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer 2.1.1.52 enable
peer 2.1.1.52 route-policy policy1 import
QoS即Quality of Service,服务质量。网络资源总是有限的,在保证某类业务的服务质量的同时,可能就是在损害其他业务的服务质量。因此,网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。
用户可以通过配置QoS策略来控制网络资源的分配,QoS策略组成部分:
· 类:定义了对报文进行识别的规则。
· 流行为:定义了一组针对类识别后的报文所做的QoS动作。
通过将类和流行为关联起来,QoS策略可对符合分类规则的报文执行流行为中定义的动作。
· 目前S5560x/S6520x系列不支持QoS与组间策略同时使用。
· 部分信创款型设备(S5560-G, S5600-G,S6520X-G,S6600X-G)不支持qos wrr weight配置(QoS相关特性),控制组件会出现审计差异。
· S5130EI/HI不支持基于QoS设置DSCP值。
· 在VXLAN场景下QoS策略对Leaf设备上行口和Spine设备下行口不生效。
· 端到端保障数据比对只显示存在差异的设备互联口信息。
· 目前S5560x/6520x系列不支持物理接口下通过AC映射的报文匹配物理接口下的QoS策略。
路径:[自动化>园区网络>应用策略>QoS],切换至“端到端保障”页签,“端到端保障”用于Fabric内纳管的所有设备互联口队列设置以及接口报文默认优先级设置。单击<修改>按钮,将“端到端保障”项置为“开启”,单击右上角<确定>按钮,保存配置。开启了“端到端保障”后,该Fabric内纳管的所有设备互联口队列都会下发QoS相关配置,用于保障特定流量的优先级。
图17-1 开启端到端保障
图17-2 修改端对端保障
此时会在该Fabric所有设备上下发如下命令:
在spine,leaf设备全局下发
#
qos trust tunnel-dscp
#
在spine,leaf,access非互联口下发
#
qos priority dscp 0
#
在spine,leaf,access设备互联口下发
#
qos trust dscp
qos wrr weight
qos wrr af4 group sp
qos wrr ef group sp
qos wrr cs6 group sp
qos wrr cs7 group sp
#
(1) 配置应用分类,确定报文的所属的类,路径:[自动化>园区网络>应用策略>QoS>应用分类],单击<增加>按钮,进入增加应用分类页面。
(2) 填写应用分类的名称后单击<增加规则>按钮,弹出增加规则页面。配置应用分类对应的规则信息。填写“名称”、“协议”、“源IP地址”、“目的IP地址”、“源端口”、“目的端口”等参数,符合这个规则的所有报文将被自动归为一类。
图17-3 增加应用分类
(3) 本文以下图的规则为例,所有匹配“源IP网段”为20.0.0.0/16和“目的IP网段”为225.0.0.1/32的报文都符合这个规则,将自动被归为一类。
图17-4 增加规则
(4) 单击<确定>按钮,返回增加应用分类页面。单击<确定>按钮,保存配置,返回应用分类列表中可以看到刚刚配置的应用分类,该应用分类未被引用时的状态是Ready状态,并且可以对该应用分类进行详情查看、修改或删除操作。
图17-5 应用分类
(1) 配置完应用分类后需配置应用策略,确定对应用分类所执行的动作,路径:[自动化>园区网络>应用策略>QoS>应用策略],单击<增加>按钮,进入增加应用策略页面。
图17-6 应用策略
(2) 填写策略名称,在“网络范围”页签下,单击<增加>按钮,输入名称,可以选择开启动态匹配或关闭动态匹配,默认关闭,此时可以在弹出的下拉选项中选择增加设备或接口,选择策略下发的位置。若开启动态匹配,则无需配置[网络范围],控制组件会在该Fabric内的所有设备上下发对应配置的流量策略,下发到设备后,设备会动态识别流量策略里对应的应用集所匹配的报文并执行流量保障策略,此时应用分类只能配置特定的应用集。
图17-7 网络范围
(3) 进入设备或端口选择页面,用户可以根据实际需求选择选该应用策略下发到哪些设备或端口上。只有应用了策略的设备或端口才会匹配应用分类后执行策略动作。
图17-8 选择设备
(4) 设备选择确认后,切换到“流量策略”页签,单击<增加>按钮,进入增加流量策略页面。
图17-9 流量策略
页面中参数说明如下:
¡ 名称:与当前现有的流量策略名称不重复即可。
¡ 应用分类:选择需要执行该流量策略的应用分类。若应用策略开启了“动态匹配”,则此处只能选择[自动化>园区网络>应用策略>QoS>应用集]里的应用。
图17-10 应用分类
¡ 方向:可选填“IN”、“OUT”及“BOTH”,分别为在报文的入接口方向、报文的出接口方向、报文的入和出接口方向应用策略,建议使用“IN”,在报文的入方向可以识别应用分类后执行流量策略里配置的动作。
目前方案需在“IN”方向配置QoS策略用于匹配报文.
¡ 流量阻断:默认关闭,开启后则会阻断匹配的应用分类报文流量,开启后则应用优先级和流量限速无法配置。
¡ 应用优先级:不同的应用对应不同的优先级,设备根据报文的优先级将报文上送至不同的队列中,一般有0-7共8个队列。SP方式下数值越大,优先级越高,设备严格按照优先级从高到低的次序优先发送较高优先级队列中的报文,当较高优先级队列为空时,再发送较低优先级队列中的报文。WRR方式会给每个优先级的队列分配一个权重,设备按照权重在各个队列中进行轮询调度。
下表为不同的应用对应的不同队列值。其中,队列6-7为系统预留,不会给用户使用。
表17-1 应用优先级
|
应用名称 |
队列 |
|
网络控制(网络控制平面) |
5 |
|
电话(IP电话业务) |
5 |
|
信令(广播电视,视频监控) |
5 |
|
多媒体会议(桌面多媒体会议) |
4 |
|
实时互动(视频会议和高清视频) |
4 |
|
多媒体流(VOD流媒体业务) |
3 |
|
广播视频(IP语音和视频业务) |
3 |
|
低延迟数据(客户/服务器应用程序) |
2 |
|
OAM(网络运营、维护和管理类业务) |
2 |
|
高通量数据(文件传输业务) |
1 |
|
标准(其他应用) |
0 |
|
低优先级数据(无需带宽保证的业务) |
1 |
若用户需要保证某个流量优先调度,则可以参见下图配置:应用分类选择该流量对应的应用分类,方向选择“IN”,应用优先级选择“网络控制(网络控制平面)”。
图17-11 应用优先级
¡ 流量限速:默认关闭,可根据需求开启,进行流量的速度限制配置。开启流量限速后,需配置流量监管参数。配置参数包括:
- CIR:承诺信息速率。流量的平均速率,单位为kbps。
- PIR:峰值速率,单位为kbps,PIR和CIR速率单位必须保持一致。
- CBS:承诺突发尺寸,单位为byte。
- EBS:超出突发尺寸,单位为byte。
流量限速各个配置参数请参照各产品对应版本的参数要求正确填写,否则会导致下发失败。
图17-12 流量限速
(5) 单击<确定>按钮,返回增加应用策略页面。单击<确定>按钮,返回应用策略页面,在列表中可以查看添加的应用策略,可对该策略进行详情查看、修改或删除操作。
图17-13 查看应用策略
(6) 切换至“应用分类”页签,可以看到在应用策略中引用的应用分类的状态会切换成“In use”,处于“In use”状态的应用分类不允许被删除。
图17-14 应用分类
· 若选择下发到设备,则可以在设备上查看到如下命令:
<Leaf>dis current-configuration | begin traffic
traffic classifier SDN4_UEF4NPODIEGU5HZQU2XL4E2MGY operator and //流分类
if-match acl name SDN_SP_ACL_UEF4NPODIEGU5HZQU2XL4E2MGY
#
traffic behavior SDN_TOEWO6M6MOKCVBHITHF3TWSGPE //流行为
remark dscp ef
remark dot1p 5
car cir 800 cbs 50176 pir 800 ebs 50176 green pass red discard yellow pass //配置了限速才会下发
#
qos policy SDN_IN_qos //qos策略引用流分类
classifier SDN4_UEF4NPODIEGU5HZQU2XL4E2MGY behavior SDN_TOEWO6M6MOKCVBHITHF3TWS
GPE
#
· 若选择下发到接口,则可以在接口上查看到如下命令:
[Leaf]interface Ten-GigabitEthernet1/2/0/16
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 3504 3508 4002
qos apply policy SDN_OUT_test inbound (如果流量策略中方向为both会下发2条应用policy的配置)
#
return
[Leaf-Ten-GigabitEthernet1/2/0/16]
//符合规则的报文进入设备后打上标签,在报文出方向进入策略配置的队列//
<Leaf11>display qos queue-statistics interface Ten-GigabitEthernet 5/0/4 outband
Interface: Ten-GigabitEthernet5/0/4 //报文出接口
Direction: outbound
Queue 0
Forwarded: 0 packets, 0 bytes, 0 pps, 0 bps
M-LAGopped: 0 packets, 0 bytes
Current queue length: 0 packets
Queue 1
Forwarded: 0 packets, 0 bytes, 0 pps, 0 bps
M-LAGopped: 0 packets, 0 bytes
Current queue length: 0 packets
Queue 2
Forwarded: 189 packets, 56511 bytes, 0 pps, 0 bps
M-LAGopped: 0 packets, 0 bytes
Current queue length: 0 packets
Queue 3
Forwarded: 0 packets, 0 bytes, 0 pps, 0 bps
M-LAGopped: 0 packets, 0 bytes
Current queue length: 0 packets
Queue 4
Forwarded: 0 packets, 0 bytes, 0 pps, 0 bps
M-LAGopped: 0 packets, 0 bytes
Current queue length: 0 packets
Queue 5
Forwarded: 64728993 packets, 4265970097 bytes, 1503210 pps, 769643520 bps
M-LAGopped: 64671339 packets, 4261944441 bytes //命中的队列
Current queue length: 0 packets
---- More ----
Queue 6
Forwarded: 0 packets, 0 bytes, 0 pps, 0 bps
M-LAGopped: 0 packets, 0 bytes
Current queue length: 0 packets
Queue 7
Forwarded: 1 packets, 149 bytes, 0 pps, 0 bps
· 话机需要提前手工开户或者录入哑终端MAC自动开户,否则可能会触发MAC Portal认证进入BYOD,在一定场景下影响下挂PC机正常获取地址。
· Access接口untag不可以放通多个VLAN,否则会影响下挂PC机正常获取地址。
Voice VLAN一般用于Access终端连接IP话机的场景下,保证语音流的优先级。仅Access设备支持配置Voice VLAN特性,故相关配置一般都是下发到Access设备的终端接口上。组网图如下:
图18-1 IP话机组网
· S6520X-EI和S6520X-SI不支持Voice VLAN,如确需使用,请联系研发评估。
· Access开启Voice VLAN功能时,设备最多支持下发8个OUI MAC。设备缺省下发8个OUI MAC地址,如有新OUI MAC要配,请删除不用的OUI MAC。
· IP话机使用的业务安全组和IP话机连接的终端PC使用的业务安全组不能相同。
该开关仅对配置该项时未纳管的Access设备进行生效,对已经在线的Access设备不生效。
路径:[自动化>园区网络>Fabrics],切换到“设置”页签,Voice VLAN切换到“开启”状态,开启后,该Fabric内的所有的Access设备的默认接口VLAN将包含Voice VLAN配置。
图18-2 全局开启Voice VLAN
针对自动化上线的Access设备,可以在路径:[自动化>园区网络>Fabrics>自动化部署>设备清单]的设备清单中,选择开启单台设备的Voice VLAN。Voice VLAN选择“默认”时,设备与Fabric的Voice VLAN开关状态保持一致。当Fabric内的Voice VLAN配置和设备清单中的不一致时,设备清单中的配置优先级更高。
图18-3 开启单台设备的Voice VLAN
针对手工纳管的设备,纳管时在增加交换设备页面可以选择开启Voice VLAN。
图18-4 增加交换设备
开启了Voice VLAN的Access设备上线,Access的终端接口会下发2个VLAN,一个普通业务VLAN用于终端用户上线及流量,一个Voice VLAN用户IP话机的上线及流量,配置如下:
#
interface GigabitEthernet1/0/30
port link-type hybrid
undo port hybrid vlan 1
port hybrid vlan 157 untagged
port hybrid pvid vlan 157 //普通业务vlan
voice-vlan 158 enable //voice vlan
port-isolate enable group 1
stp edged-port
lldp tlv-enable med-tlv network-policy 158
qos priority dscp 0
qos trust dscp
poe enable
#
IP话机逃生的配置与普通终端的逃生配置一致,具体请参考11 逃生方案配置。但Vocie VLAN下挂用户终端需要逃生的时候,由于话机机制实现,会导致终端获取到逃生IP后会收到自己发送的免费ARP导致终端无法成功逃生。因此在开启Voice VLAN的场景,下挂的终端需要逃生时,需在11.1.2 创建逃生二层网络域的高级页面将“免费ARP报文转发”以及“IPv6 ND重复地址检测报文转发”两个参数设置为“是”。
图18-5 开启ARP及ND报文转发
开启后,设备vsi下将下发如下2条命令。
#
vsi vsi167
description SDN_VSI_167
gateway vsi-interface 167
statistics enable
arp snooping enable
undo arp local-proxy gratuitous-arp forward enable
undo ipv6 nd local-proxy dad forward enable
flooding disable all all-direction
BRAS设备配置基础的SNMP、SSH、NETCONF、Local user等参数后,可以手工纳管到控制组件,用于查看拓扑、设备状态监控和ICC模板下发。
BRAS一般位于园区出口位置,与VXLAN网络的Border设备三层互通即可,如下拓扑仅供参考,具体请以实际局点为准。
图19-1 组网图
(1) 管理口和路由配置,为节约BRAS业务口资源,建议使用BRAS的管理口进行纳管,管理口需要与控制组件三层互通,请根据实际组网进行连线并配置管理口的IP、路由等,具体配置本文不再赘述,确保BRAS设备通过管理口IP可以ping通控制组件即可。
(2) 配置telnet、SNMP、NETCONF等参数。
#配置telnet
telnet server enable
#
#配置SNMP
snmp-agent
snmp-agent community write private
snmp-agent community read public
snmp-agent sys-info version all
snmp-agent packet max-size 4094
#
#SSH、NETCONF配置等
ssh server enable
netconf soap http enable
netconf soap https enable
netconf ssh server enable (必须配置)
#
(3) 配置本地用户local-user t参数,用于后续控制组件连接BRAS时使用。
#
local-user h3c class manage
password simple iMC12345678 ———//需设置为长密码。不能少于10个字符,最长63个字符,至少包含数字、大写字母、小写字母和特殊字符中的两种类型,不支持中文,不能包含‘?’和空格,不允许包含用户名和用户名倒序。
service-type ftp
service-type ssh telnet terminal http https
authorization-attribute user-role network-admin
#
line vty 0 31
authentication-mode scheme (必须配置为scheme模式)
user-role network-admin
user-role network-operator
路径:[自动化>园区网络>网络设备>BRAS设备]。
单击<增加>按钮,纳管BRAS设备。
图19-2 修改BRAS设备
参数说明:
· 设备IP:填写管理口IP(请提前确保可以跟控制组件三层互通)。
· 设备系列:选择“H3C SR”。
· 设备控制协议模板:提前创建模板,模板的SNMP/telnet/local-user等参数需要与上一章的参数保持一致。
纳管后,BRAS设备状态显示为“激活”,表示纳管成功。
图19-3 纳管成功
路径:[自动化>园区网络>网络设备>BRAS设备]。
单击操作列的“详情”图标,可以查看BRAS设备的详情、接口列表、告警、监控等信息。
图19-4 查看详情
图19-5 查看BRAS设备详细信息
路径:[监控>拓扑视图>园区拓扑]。
单击BRAS设备连接的Border的fabric,可以查看拓扑信息。(下图仅供参考,请以实际环境为准)
图19-6 BRAS设备拓扑信息
路径:[自动化>配置部署>配置库]。
请根据实际业务需求,联系控制组件研发获取最新的配套ICC脚本,然后上传到配置库。
图19-7 上传ICC脚本
路径:[自动化>配置部署>设备配置],单击<部署设备配置>按钮,创建部署任务,通过ICC脚本给BRAS设备下发业务配置。
图19-8 部署设备配置
图19-9 选择部署设备
参数说明:
· 模板名称:选择前一步上传的ICC脚本。(根据实际业务选择对应脚本即可)
· 选择部署设备:选择BRAS设备。
路径:[自动化>配置部署>部署任务],查看部署任务执行情况,“完成-成功”表示任务执行成功。
图19-10 部署完成
支持
