- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
10-AD-Campus 6.5 多园区多Fabric配置指导-整本手册.pdf 
(3.81 MB)
AD-Campus 6.5
多园区多Fabric配置指导
资料版本:5W104-20240911
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
(1) 多Fabric之间,如果相同VCF角色设备互联,会因自动堆叠导致一方重启,影响业务。规避方法:先上线Fabric的设备,纳管完成后,手动在设备上关闭互联端口的LLDP功能,然后再去直连另一Fabric的设备。所有设备自动化纳管完成后,关闭设备的原自动化功能。
¡ 关闭端口LLDP功能:
interface Ten-GigabitEthernet1/2/21
undo lldp enable
¡ 关闭设备自动化功能:
vcf-fabric underlay pause
(2) 本文档组网所有的控制流量和业务流量都通过总部Spine(ED)核心交换机进行转发,总部Spine选择较高性能的交换机。
(3) 每个Fabric的核心Spine(ED)直连出口路由器,Spine设备VLAN1和VLAN4094直连在出口路由器上,出口路由器通过配置二层接口或三层子接口的方式来配置VLAN1和VLAN4094的网关,如果不支持二层接口或三层子接口,需要在Spine(ED)和出口路由器串接一台支持配置VLAN1和VLAN4094网关的设备。
(4) 组网中其他Fabric需要通过总部园区Fabric1中Spine(ED)连接管理区,因此Fabric1的Spine(ED)先自动化上线,两个Fabric的设备依次自动化上线。
(5) 多园区业务的相关配置请参考《AD-Campus 6.5 基础配置指导》。
(6) S5560X和S6520X当前版本,不支持作为ED。
(7) 单园区多Fabric场景,VXLAN需要拉通,用户在不同Fabric移动时,网段不变,所以外网回程流量可能会出现绕行的问题。为了避免流量绕行,推荐多园区多Fabric场景。
(8) 双Spine非M-LAG组网,控制组件暂不支持配置多Fabric。
· Fabric是基础网络,由Spine/Leaf/Access或者Leaf/Access等标准三层或二层架构模型构成的网络。园区,对应AD-Campus控制组件隔离域概念,是一套自治网络区域,必须包含Fabric+DHCP+EIA,一个园区可以包含一个或多个Fabric。多园区多个Fabric之间可通过WAN互联或其他方式互联。
· 单园区多Fabric场景,VXLAN需要拉通,用户在不同Fabric移动时,网段不变,所以外网回程流量可能会出现绕行的问题。
· 多园区多Fabric场景,VXLAN不需要拉通,用户在不同Fabric移动时,网段变化,不会出现流量绕行问题,推荐多园区多Fabric场景。
· 目前多园区多Fabric建议场景是总部部署SeerEngine-Campus、vDHCP、逃生DHCP和EIA V9,各个园区分别部署本地业务DHCP、分级EIA和逃生DHCP。
该组网所有的控制流量和业务流量都通过总部Spine(ED)核心交换机进行转发,总部Spine选择较高性能的交换机。每个Fabric的核心Spine(ED)直连出口路由器,Spine设备VLAN1和VLAN4094直连在出口路由器上,出口路由器通过配置VLAN虚接口或三层路由子接口的方式来配置VLAN1和VLAN4094的网关,如果不支持VLAN虚接口或三层路由子接口,需要在Spine(ED)和出口路由器串接一台支持配置VLAN1和VLAN4094网关的设备。
多园区M-LAG组网,双Spine连接L3交换机使用ECMP方式,双Spine连接出口路由器使用ECMP方式,双Spine连接无线AC控制器使用M-LAG接口。
单Fabric多Border出口,请参见《AD-Campus 6.5 基础配置指导》,多Fabric分别配置各自的多Border出口。
图2-1 多园区堆叠组网模型
图2-2 多园区M-LAG组网模型
本文档主要详细介绍多园区多Fabric配置,单园区多Fabric的配置与之类似,本文只介绍与多园区多Fabric配置有差别的地方。多园区多Fabric配置主要包括配置多园区与总部园区管理区互通、配置多园区自动化、以及配置多园区多Fabric互联。
下面以两个园区两个Fabric为例介绍多园区多Fabric的配置。组网中Spine作为Fabric的ED。
· 配置多园区与总部园区管理区互通:首先要配置其他园区Fabric与总部园区的管理区连通,组网中通过Fabric1出口路由器连通其他Fabric,为了其他园区设备自动化,Fabric1出口路由器和Fabric1的Spine(ED)建立OSPF,并且把Fabric1管理区的SeerEngine-Campus/DHCP的IP地址发布到其他Fabric,在管理交换机配置到Fabric2的静态路由,下一跳是总部园区的Spine(ED)。
· 配置多园区自动化:自动化配置请参考文档《AD-Campus 6.5 自动化配置指导》和《AD-Campus 6.5 新自动化配置指导》。组网中其他Fabric需要通过总部园区Fabric1中Spine(ED)连接管理区,因此Fabric1的Spine(ED)先自动化上线。两个Fabric的设备依次自动化上线。
· 配置多园区多Fabric互联:将Fabric中Spine(ED)的环回口地址发布到其他Fabric的Spine(ED),用于多Fabric中Spine(ED)之间建立BGP EVPN邻居,在控制组件页面配置多Fabric连接,可以自动下发Spine(ED)的BGP配置,建立BGP EVPN邻居,自动建立Fabric之间的VXLAN-DCI隧道。
图2-3 业务配置流程图
本节以两个Fabric建立互联为例进行介绍,多Fabric互联配置类似。Spine M-LAG或者Single-Leaf M-LAG组网,参见如下规划和步骤,类比增加另一台设备的配置即可,本文不再赘述,只介绍M-LAG组网特殊的配置和注意事项。
表3-1 组网地址IP列表1
|
规划项 |
数据示例 |
说明 |
|
Underlay IP网段 |
200.1.1.0/24 20.0.0.0/24 |
Spine与Leaf环回口地址网段 |
|
统一数字底盘北向业务IP |
100.1.0.100 |
登录统一数字底盘的地址 |
|
EIA |
100.1.0.100 |
EIA服务器的地址 |
|
EIA2 |
100.1.0.120 |
3.7 多园区EIA、DHCP和AC部署章节中多EIA配置时,另一台EIA服务器的地址 |
|
SeerEngine-Campus集群IP |
110.1.0.100 |
SeerEngine-Campus的集群地址 |
|
SeerEngine-Campus节点IP |
Node1:110.1.0.101 Node2:110.1.0.102 Node3:110.1.0.103 |
SeerEngine-Campus集群包含的三个节点地址 |
|
vDHCP集群IP |
110.1.0.104 |
vDHCP服务器的集群地址,实际不使用 |
|
vDHCP节点IP |
Node1:110.1.0.105 Node2:110.1.0.106 |
vDHCP服务器使用的两个节点地址 |
表3-2 组网地址IP列表2
|
园区1 Fabric1 |
园区2 Fabric2 |
||
|
设备 |
接口和IP地址 |
设备 |
接口和IP地址 |
|
出口路由器 |
· Vlan-interface16:16.16.0.1(Fabric1和Fabric2互联) · Vlan-interface11:11.11.0.1(ED和出口路由器互联) |
出口路由器 |
· Vlan-interface1:111.0.0.11(手动配置) · Vlan-interface4094:111.0.9.11(手动配置) · Vlan-interface16:16.16.0.2(Fabric1和Fabric2互联) · Vlan-interface12:12.12.0.1(ED和出口路由器互联) |
|
管理交换机 |
· VLAN 1 网段(网关):120.1.0.0/24(120.1.0.1)(手动配置) · VLAN 4094网段(网关):130.1.0.0/24(130.1.0.1)(手动配置) · VLAN30网段(网关):100.1.0.0/24(100.1.0.1)(统一数字底盘) · VLAN1010网段(网关):100.1.0.0/24(100.1.0.1) (SeerEngine-Campus&vDHCP使用的网段) |
-- |
-- |
|
Spine(ED) |
· Vlan-interface11:11.11.0.2(手动配置) · LoopBack0:200.1.1.254(自动化下发或者手动配置) · 4094地址:130.1.0.2(自动获取或手动配置) |
Spine(ED) |
· Vlan-interface12:12.12.0.2(手动配置) · LoopBack0:20.0.0.254(自动化下发或者手动配置) |
|
Leaf |
LoopBack0:200.1.1.252(自动化下发或者手动配置) |
Leaf |
LoopBack0:20.0.0.252(自动化下发或者手动配置) |
表格中的VLAN和IP地址说明:
· 园区1 Fabric1出口路由器的Vlan-interface16与园区2 Fabric2出口路由器的Vlan-interface16用于配置路由协议,本文以OSPF路由协议为例。VLAN16按需配置,没有特殊要求。
· 园区1 Fabric1出口路由器的Vlan-interface11与Spine(ED)的Vlan-interface11用于建立OSPF邻居关系。VLAN11按需配置,没有特殊要求,保证不要有重复VLAN。Spine M-LAG组网,不同Spine(ED)使用不同VLAN与出口路由器互联。
· 园区1 Fabric1管理交换机的Vlan-interface1和Vlan-interface4094用于园区1设备自动化。Spine M-LAG组网只需要Vlan-interface1,不需要Vlan-interface4094,双spine或者Single-Leaf(双Leaf)自动化配置参考《AD-Campus 6.5 新自动化配置指导》。
· 园区2 Fabric2出口路由器的Vlan-interface1和Vlan-interface4094用于园区2设备自动化。Spine M-LAG组网只需要Vlan-interface1,不需要Vlan-interface4094,双spine或者 Single-Leaf(双Leaf)自动化配置参考《AD-Campus 6.5 新自动化配置指导》。
· 园区2 Fabric2出口路由器的Vlan-interface12与Spine(ED)的Vlan-interface12用于建立OSPF。VLAN12按需配置,没有特殊要求,保证不要有重复VLAN。
在控制组件[自动化>园区网络>Fabrics]页面上创建Fabric1,AS号为100。关于Fabric的具体配置请参见《AD-Campus 6.5 基础配置指导》中的“设备上线规划”章节。
图3-2 创建Fabric
完成自动化配置,以实现自动化上线。自动化配置请参见文档《AD-Campus 6.5 自动化配置指导》或《AD-Campus 6.5 新自动化配置指导》。
配置VLAN-interface11,用于和Spine(ED)建立OSPF。Spine M-LAG组网,出口路由器与两台Spine互联的配置逻辑一样,分别使用不同vlan互联即可,以与一台Spine互联的配置为例介绍
#
vlan 11
#
interface Ten-GigabitEthernet5/0/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 11 //与ED连接端口配置为Trunk口,允许VLAN11通过
#
interface Vlan-interface11
ip address 11.11.0.1 255.255.255.0 //VLAN11网段IP
ospf 1 area 0.0.0.0
#
stp ignored vlan 11 //Spine M-LAG组网需要配置
#
配置VLAN-interface11,用于和Fabric1出口路由器建立OSPF ,Spine M-LAG组网,两台Spine的配置逻辑一样,分别使用不同vlan互联即可,以一台Spine的配置为例介绍。
#
vlan 11
#
interface Vlan-interface11
ip address 11.11.0.2 255.255.255.0
ospf cost 30
ospf 1 area 0.0.0.0
#
interface Ten-GigabitEthernet1/1/0/3 //ED与出口路由器的接口
port link-mode bridge
port link-type trunk
port trunk permit vlan 11
#
ospf 1
area 0.0.0.0
import-route static //用于发布到控制组件和vDHCP的路由
#
stp ignored vlan 11 //Spine M-LAG组网需要配置
#
配置Fabric2出口路由器,用于Fabric2设备自动化上线:
(1) Fabric2出口路由器,作为本Fabric的DHCP relay。需要全局使能dhcp enable。
dhcp enable
(2) 配置VLAN-interface1,需要配置DHCP relay。
interface Vlan-interface1
ip address 111.0.0.11 255.255.255.0 //Fabric2的VLAN1网段
dhcp select relay
dhcp relay server-address 110.1.0.105 //vDHCP Server地址
dhcp relay server-address 110.1.0.106
(3) 配置VLAN-interface4094(Spine M-LAG组网无需该配置)。
interface Vlan-interface4094
ip address 111.0.9.11 255.255.255.0 //Fabric2的VLAN4094网段
(4) Spine M-LAG组网,Fabric2的出口路由器不需要配置VLAN-interface4094,但是需要增加到Fabric2 VxLAN4094网段的路由,下一跳指向Fabric 2出口路由器与Fabric2 Spine互联的地址,Spine M-LAG需要配置两条静态路由,指向两个Spine的互联地址,具体路由配置参考《AD-Campus 6.5 新自动化配置指导》。
#
ip route-static 111.0.9.0 24 x.x.x.x
ip route-static 111.0.9.0 24 y.y.y.y
#
通过Fabric1的出口路由器和Fabric2的出口路由器之间配置OSPF实现,实际环境中两个Fabric之间通过WAN或者其他网络连接,只要保证Fabric2的设备可以和总部的控制组件互通。
#
interface Ten-GigabitEthernet5/0/5 //Fabric1出口路由器连接Fabric2出口路由器的接口
port link-mode bridge
port access vlan 16
#
interface Vlan-interface16
ip address 16.16.0.1 255.255.255.0
ospf 1 area 0.0.0.0
#
#
interface GigabitEthernet1/0/1 //Fabric2出口路由器连接Fabric1出口路由的接口
port link-mode bridge
port access vlan 16
#
interface Vlan-interface16
ip address 16.16.0.2 255.255.255.0
ospf 1 area 0.0.0.0
#
ospf 1
import-route direct
area 0.0.0.0
#
Spine M-LAG组网,需要增加引入静态的配置:
#
ospf 1
import-route static
area 0.0.0.0
#
(1) 配置到Fabric2的VLAN1的静态路由,Spine M-LAG组网需要配置两条静态路由
#
ip route-static 111.0.0.0 24 120.1.0.2 //下一跳指向Spine VLAN 1的IP地址
ip route-static 111.0.0.0 24 120.1.0.x //Spine M-LAG组网,需要增加下一跳到另一台Spine VLAN 1的IP地址
#
(2) 配置到Fabric2的VLAN4094的静态路由,Spine M-LAG组网需要配置两条静态路由
#
ip route-static 111.0.9.0 24 120.1.0.2 //下一跳指向Spine VLAN 1的IP地址
ip route-static 111.0.9.0 24 120.1.0.x //Spine M-LAG组网,需要增加下一跳到另一台Spine VLAN 1的IP地址
#
在控制组件[自动化>园区网络>Fabrics]页面上创建fabric2,AS号为200。关于Fabric的具体配置请参考《AD-Campus 6.5 基础配置指导》中的“设备上线规划”章节。
图3-3 创建Fabric
完成自动化配置,以实现自动化上线。自动化配置请参见文档《AD-Campus 6.5 自动化配置指导》或《AD-Campus 6.5 新自动化配置指导》。
ED发布LookBack0,Spine M-LAG组网,两台Spine的配置逻辑一样,以一台Spine的配置为例介绍
#
ospf 1
area 0.0.0.0
import-route static
network 200.1.1.254 0.0.0.0 //发布LoopBack0的地址
#
interface LoopBack2 //Spine M-LAG组网控制组件会自动下发LoopBack2虚地址
description SDN_LOOPBACK2
ip address x.x.x.x 255.255.255.255
ospf 1 area 0.0.0.0
ospf track 1024 adjust-cost max
#
ED配置OSPF,Spine M-LAG组网,两台Spine的配置逻辑一样,分别使用不同vlan即可,以一台Spine的配置为例介绍
#
vlan 12
#
interface Vlan-interface12
ip address 12.12.0.2 255.255.255.0
ospf cost 30
ospf 1 area 0.0.0.0
#
ospf 1
area 0.0.0.0
network 20.0.0.254 0.0.0.0
#
#
stp ignored vlan 12 //Spine M-LAG组网需要配置
#
#
interface LoopBack2 //Spine M-LAG组网控制组件会自动下发Loopback2虚地址
description SDN_LOOPBACK2
ip address x.x.x.x 255.255.255.255
ospf 1 area 0.0.0.0
ospf track 1024 adjust-cost max
#
interface Ten-GigabitEthernet1/2/0/32 //ED与出口路由器的接口,设备老自动化会自动下发
port link-mode bridge
port link-type trunk
port trunk permit vlan all
#
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
interface Ten-GigabitEthernet1/2/0/32 //ED与出口路由器的接口,Spine M-LAG组网,新自动化后,需要手动放通VLAN12
port link-mode bridge
port link-type trunk
port trunk permit vlan 12
#
Spine M-LAG组网,与两台Spine互联的配置逻辑一样,分别使用不同vlan互联即可,以与一台Spine互联的配置为例介绍
#
interface Ten-GigabitEthernet1/0/52 //ED与出口路由器的接口,Spine M-LAG组网不需要放通4094
port link-type trunk
port trunk permit vlan 1 12 4094
#
interface Vlan-interface12
ip address 12.12.0.1 255.255.255.0
ospf 1 area 0.0.0.0
#
多个隔离域之间支持两种方式进行互联:自定义和路由服务器。自定义是指用户选择需要建立互联的隔离域和ED设备,通过建立EBGP邻居的方式拉通多隔离域间的用户路由,从而达到隔离域之间用户互访的目的。路由服务器的方式是指用户选取某个隔离域的ED设备作为路由服务器,其它隔离域的ED设备作为路由服务器客户端,客户端只需与路由服务器建立EBGP邻居即可拉通多隔离域间的用户路由。
单隔离域多Fabric之间支持三种方式进行互联:自定义、全互联和路由服务器。自定义和全互联方式是指用户通过在Fabric的ED之间两两建立EBGP邻居的方式拉通多Fabric间的用户路由,从而达到Fabric间的用户互访的目的。路由服务器的方式是用户选取某个Fabric的ED设备作为路由服务器,其它Fabric的ED设备作为路由服务器客户端,客户端只需与路由服务器建立EBGP邻居即可拉通多Fabric间的用户路由。
自定义可以按需建立互联,拉通用户路由;全互联是ED两两之间都建立互联,全连接关系,当ED数目很多时,全连接对网络资源和设备性能的消耗很大;路由服务器选取某个ED作为路由服务器,其他ED作为路由服务器客户端,客户端只需与路由服务器建立EBGP邻居,客户机之间不需要建立EBGP全连接也能学习到彼此的路由,当ED数目很多,又需要全部互通,可以使用路由服务器方式。
Spine M-LAG组网,目前支持自定义互联和路由服务器互联。
本节以Spine之间互联为例介绍,Single Leaf组网互联参见3.5.3 Single Leaf配置Fabric连接。
(1) 修改交换设备(Fabric1和Fabric2的ED设备)。其中,修改方式有下述两种:
¡ 方式一:在控制组件[自动化>园区网络>Fabrics]页面,单击Fabric列表中操作列的“设置”图标,进入设备资源页面。选择“交换设备”页签,单击列表中设备名称对应操作列的“修改”图标,进入修改交换设备页面。
图3-4 设备资源
¡ 方式二:在[自动化>园区网络>网络设备>交换设备]页面,单击列表中Spine设备的<修改>按钮,进入修改交换设备页面。
图3-5 物理设备
(2) 在修改交换设备页面,填写域互联IP(建议与页面中已有的Underlay IP保持一致),如下图所示。修改完成后,单击<确定>按钮,保存配置。
单隔离域多Fabric不需要配置域互联IP,多隔离域多Fabric必须配置域互联IP。
域互联IP用于Fabric ED设备建立EBGP连接
图3-6 修改交换设备(Fabric1 和Fabric2 的ED)
(3) 切换至“边界设备组”页签,单击<增加>按钮,进入增加边界设备页面。
图3-7 边界设备组
(4) 增加边界设备组页面中,在网络位置区域勾选“Fabric间互联”,非M-LAG组网,无需勾选“M-LAG”,单击“增加”按钮,将ED设备增加到边界设备组成员列表中。如果是Spine M-LAG组网,需要勾选“M-LAG”,把两台ED设备都加入到成员列表中。
图3-8 增加边界设备组1
图3-9 增加边界设备组2
多园区多Fabric或者单园区多Fabric都是选择Fabric间互联。
(5) 参考上述步骤(1)~(4),修改Fabric2的Spine设备,填写域互联IP、配置“Fabric间互联”,并增加Fabric2的边界设备组成员列表。
(6) 在[自动化>园区网络>隔离域]页面,分别把Fabric1和Fabric2增加到各自隔离域中。单击<修改>按钮进入修改隔离域页面,在Fabrics列表单击<增加Fabric>按钮,在弹出的窗口中选择各自Fabric。
图3-10 修改隔离域
图3-11 Fabric1增加至相应隔离域
图3-12 Fabric2增加至相应隔离域
(1) 如果是多园区多Fabric,在[自动化>园区网络>隔离域>隔离域互联]页面,增加隔离域互联,单击<增加>按钮,进入增加隔离域互联页面。填写隔离域互联名称,连接方式选择“自定义”,成员之间为全互联。
图3-13 多园区多Fabric增加隔离域互联成员
单击<增加>按钮,增加隔离域互联成员,选择对应的隔离域和边界设备。
图3-14 增加隔离域互联成员
图3-15 完成多园区多Fabric增加隔离域互联
增加隔离域互联后,在设备下发BGP配置,多Fabric的ED之间建立BGP EVPN邻居和VXLAN隧道。
当前手工上线或者新自动化上线的Spine/RR作为ED时,建立Fabric互联时,需要手工配置next-hop-local的命令。控制器E6502之后的版本,新自动化上线支持自动下发该命令。
Fabric1的ED上的配置:
bgp 100
non-stop-routing
router-id 200.1.1.254
group SDN_NI_CONNECTION external //多园区互联
peer SDN_NI_CONNECTION connect-interface LoopBack0 //多园区互联
peer SDN_NI_CONNECTION ebgp-max-hop 64 //多园区互联
peer 200.1.1.252 as-number 100
peer 200.1.1.252 connect-interface LoopBack0
peer 20.0.0.254 as-number 200 //多园区互联
peer 20.0.0.254 group SDN_NI_CONNECTION //多园区互联
#
address-family l2vpn evpn
peer SDN_NI_CONNECTION enable //多园区互联
peer SDN_NI_CONNECTION router-mac-local dci //多园区互联,从Fabric2接收路由并发布时修改Router MAC
peer 200.1.1.252 enable
peer 200.1.1.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 200.1.1.252 reflect-client
#
多园区Fabric2的ED上的配置:
bgp 200
non-stop-routing
router-id 20.0.0.254
group SDN_NI_CONNECTION external
peer SDN_NI_CONNECTION connect-interface LoopBack0
peer SDN_NI_CONNECTION ebgp-max-hop 64
peer 20.0.0.252 as-number 200
peer 20.0.0.252 connect-interface LoopBack0
peer 200.1.1.254 as-number 100
peer 200.1.1.254 group SDN_NI_CONNECTION
#
address-family l2vpn evpn
peer SDN_NI_CONNECTION enable
peer SDN_NI_CONNECTION router-mac-local dci //从Fabric1接收路由并发布时修改Router MAC
peer 20.0.0.252 enable
peer 20.0.0.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 20.0.0.252 reflect-client
(2) 如果是单园区多Fabric,在[自动化>园区网络>隔离域>隔离域]页面,在隔离域内增加Fabric连接,填写名称,连接方式选择“全互联”,其他保持默认即可。
图3-16 单园区多Fabric增加Fabric连接
图3-17 单园区多Fabric增加Fabric连接参数
增加Fabric连接后,在设备下发BGP配置,多Fabric的ED之间建立BGP EVPN邻居和VXLAN隧道。
当前手工上线或者新自动化上线的Spine/RR作为ED时,建立Fabric互联时,需要手工配置next-hop-local的命令。控制器E6502之后的版本,新自动化上线支持自动下发该命令。
Fabric1的ED上的配置:
bgp 100
non-stop-routing
router-id 200.1.1.254
peer 200.1.1.252 as-number 100
peer 200.1.1.252 connect-interface LoopBack0
peer 20.0.0.254 as-number 200 //单园区多Fabric互联
peer 20.0.0.254 description SDN_FABRIC //单园区多Fabric互联
peer 20.0.0.254 connect-interface LoopBack0 //单园区多Fabric互联
peer 20.0.0.254 ebgp-max-hop 64 //单园区多Fabric互联
#
address-family l2vpn evpn
peer 200.1.1.252 enable
peer 200.1.1.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 200.1.1.252 reflect-client
peer 20.0.0.254 enable
peer 20.0.0.254 router-mac-local dci //单园区多Fabric互联,从Fabric2接收路由并发布时修改Router MAC
#
单园区Fabric2的ED上的配置:
bgp 200
non-stop-routing
router-id 20.0.0.254
peer 20.0.0.252 as-number 200
peer 20.0.0.252 connect-interface LoopBack0
peer 200.1.1.254 as-number 100
peer 200.1.1.254 description SDN_FABRIC
peer 200.1.1.254 connect-interface LoopBack0
peer 200.1.1.254 ebgp-max-hop 64
#
address-family l2vpn evpn
peer 20.0.0.252 enable
peer 20.0.0.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 20.0.0.252 reflect-client
peer 200.1.1.254 enable
peer 200.1.1.254 router-mac-local dci //单园区多Fabric互联,从Fabric2接收路由并发布时修改Router MAC
路由服务器的方式是选取某个Fabric的ED设备作为路由服务器,其它Fabric的ED设备作为路由服务器客户端,客户端只需与路由服务器建立EBGP邻居即可拉通多Fabric间的用户路由。
(1) 如果是多园区多Fabric,在[自动化>园区网络>隔离域>隔离域互联]页面,增加隔离域互联,填写隔离域互联名称,连接方式选择“路由服务器”。
图3-18 选择连接方式
选择其中一个隔离域的ED设备作为路由服务器,其他隔离域的ED设备作为路由服务器客户端。(根据实际网络规划选择路由服务器和路由服务器客户端,没有特别要求)。其中路由服务器只能选择一个,路由服务器客户端可以多个。
图3-19 增加隔离域互联
增加隔离域互联后,在设备下发BGP配置,多Fabric的ED之间建立BGP EVPN邻居和VXLAN隧道。
当前手工上线或者新自动化上线的Spine/RR作为ED时,建立Fabric互联时,需要手工配置next-hop-local的命令。控制器E6502之后的版本,新自动化上线支持自动下发该命令。
Fabric1的ED上的配置:
bgp 100
non-stop-routing
router-id 200.1.1.254
group SDN_NI_CONNECTION external //多园区互联
peer SDN_NI_CONNECTION connect-interface LoopBack0 //多园区互联
peer SDN_NI_CONNECTION ebgp-max-hop 64 //多园区互联
peer 200.1.1.252 as-number 100
peer 200.1.1.252 connect-interface LoopBack0
peer 20.0.0.254 as-number 200 //多园区互联
peer 20.0.0.254 group SDN_NI_CONNECTION //多园区互联
#
address-family l2vpn evpn
peer SDN_NI_CONNECTION enable //多园区互联
peer SDN_NI_CONNECTION router-mac-local dci //多园区互联,从Fabric2接收路由并发布时修改Router MAC
peer SDN_NI_CONNECTION route-server-client external //多园区路由服务器方式新增命令
peer 200.1.1.252 enable
peer 200.1.1.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 200.1.1.252 reflect-client
#
多园区Fabric2的ED上的配置:
bgp 200
non-stop-routing
router-id 20.0.0.254
group SDN_NI_CONNECTION external
peer SDN_NI_CONNECTION connect-interface LoopBack0
peer SDN_NI_CONNECTION ebgp-max-hop 64
peer SDN_NI_CONNECTION ignore-first-as //路由服务器方式新增命令
peer 20.0.0.252 as-number 200
peer 20.0.0.252 connect-interface LoopBack0
peer 200.1.1.254 as-number 100
peer 200.1.1.254 group SDN_NI_CONNECTION
#
address-family l2vpn evpn
peer SDN_NI_CONNECTION enable
peer SDN_NI_CONNECTION router-mac-local dci //从Fabric1接收路由并发布时修改Router MAC
peer 20.0.0.252 enable
peer 20.0.0.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 20.0.0.252 reflect-client
(2) 如果是单园区多Fabric,在[自动化>园区网络>隔离域>隔离域]页面,在隔离域内增加Fabric连接,填写名称,连接方式选择<路由服务器>,选择其中一个Fabric的ED设备作为路由服务器,其他Fabric 的ED设备作为路由服务器客户端。(根据实际网络规划选择路由服务器和路由服务器客户端,没有特别要求)。其中路由服务器只能选择一个,路由服务器客户端可以多个。
图3-20 增加Fabric连接
图3-21 配置Fabric连接参数
增加Fabric连接后,在设备下发BGP配置,多Fabric的ED之间建立BGP EVPN邻居和VXLAN隧道。
当前手工上线或者新自动化上线的Spine/RR作为ED时,建立Fabric互联时,需要手工配置next-hop-local的命令。控制器E6502之后的版本,新自动化上线支持自动下发该命令。
Fabric1的ED上的配置:
bgp 100
non-stop-routing
router-id 200.1.1.254
peer 200.1.1.252 as-number 100
peer 200.1.1.252 connect-interface LoopBack0
peer 20.0.0.254 as-number 200 //单园区多Fabric互联
peer 20.0.0.254 description SDN_FABRIC //单园区多Fabric互联
peer 20.0.0.254 connect-interface LoopBack0 //单园区多Fabric互联
peer 20.0.0.254 ebgp-max-hop 64 //单园区多Fabric互联
#
address-family l2vpn evpn
peer 200.1.1.252 enable
peer 200.1.1.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 200.1.1.252 reflect-client
peer 20.0.0.254 enable
peer 20.0.0.254 route-server-client external //单园区多Fabric路由服务器方式新增命令
peer 20.0.0.254 router-mac-local dci //单园区多Fabric互联,从Fabric2接收路由并发布时修改Router MAC
#
单园区Fabric2的ED上的配置:
bgp 200
non-stop-routing
router-id 20.0.0.254
peer 20.0.0.252 as-number 200
peer 20.0.0.252 connect-interface LoopBack0
peer 200.1.1.254 as-number 100
peer 200.1.1.254 description SDN_FABRIC //单园区多Fabric互联
peer 200.1.1.254 connect-interface LoopBack0 //单园区多Fabric互联
peer 200.1.1.254 ebgp-max-hop 64 //单园区多Fabric互联
peer 200.1.1.254 ignore-first-as //路由服务器方式新增命令
#
address-family l2vpn evpn
peer 200.1.1.254 enable
peer 200.1.1.254 router-mac-local dci //从Fabric1接收路由并发布时修改Router MAC
peer 20.0.0.252 enable
peer 20.0.0.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 20.0.0.252 reflect-client
(1) 如果是多园区多Fabric,在[自动化>园区网络>隔离域>隔离域互联]页面,增加隔离域互联,填写隔离域互联名称,连接方式选择“自定义”,单击<增加>按钮,增加隔离域互联成员,选择对应的隔离域和边界设备,Fabric1和Fabric2的ED一对一分别建立连接,构成全互联。比如:Fabric1的ED1和Fabric2的ED1互联,Fabric1的ED1和Fabric2的ED2互联,Fabric1的ED2和Fabric2的ED1互联,Fabric1的ED2和Fabric2的ED2互联。
图3-22 多园区多Fabric增加隔离域互联成员
图3-23 增加隔离域互联成员
图3-24 增加隔离域互联1(杭州滨江ED1-北京ED1)
图3-25 增加隔离域互联2(杭州滨江ED1-北京ED2)
图3-26 增加隔离域互联3(杭州滨江ED2-北京ED1)
图3-27 增加隔离域互联4(杭州滨江ED2-北京ED2)
增加隔离域互联后,在设备下发BGP配置,多Fabric的ED之间建立BGP EVPN邻居和VXLAN隧道。
当前手工上线或者新自动化上线的Spine/RR作为ED时,建立Fabric互联时,需要手工配置next-hop-local的命令。控制器E6502之后的版本,新自动化上线支持自动下发该命令。
Fabric1的ED上的配置:
bgp 100
non-stop-routing
router-id 200.1.1.254
group SDN_NI_CONNECTION external //多园区互联
peer SDN_NI_CONNECTION connect-interface LoopBack0 //多园区互联
peer SDN_NI_CONNECTION ebgp-max-hop 64 //多园区互联
peer 200.1.1.252 as-number 100
peer 200.1.1.252 connect-interface LoopBack0
peer 20.0.0.254 as-number 200 //多园区互联
peer 20.0.0.254 group SDN_NI_CONNECTION //多园区互联
peer 20.0.0.253 as-number 200 //多园区互联
peer 20.0.0.253 group SDN_NI_CONNECTION //多园区互联
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer SDN_NI_CONNECTION enable //多园区互联
peer SDN_NI_CONNECTION router-mac-local dci //多园区互联,从Fabric2接收路由并发布时修改Router MAC
peer 200.1.1.252 enable
peer 200.1.1.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 200.1.1.252 reflect-client
#
多园区Fabric2的ED上的配置:
bgp 200
non-stop-routing
router-id 20.0.0.254
group SDN_NI_CONNECTION external
peer SDN_NI_CONNECTION connect-interface LoopBack0
peer SDN_NI_CONNECTION ebgp-max-hop 64
peer 200.1.1.254 as-number 100
peer 200.1.1.254 group SDN_NI_CONNECTION
peer 200.1.1.253 as-number 100
peer 200.1.1.253 group SDN_NI_CONNECTION
peer 20.0.0.252 as-number 200
peer 20.0.0.252 connect-interface LoopBack0
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer SDN_NI_CONNECTION enable
peer SDN_NI_CONNECTION router-mac-local dci //从Fabric1接收路由并发布时修改Router MAC
peer 20.0.0.252 enable
peer 20.0.0.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 20.0.0.252 reflect-client
(2) 如果是单园区多Fabric,在[自动化>园区网络>隔离域>隔离域]页面,在隔离域内增加Fabric连接,填写名称,连接方式选择“自定义”,两个Fabric的ED一对一分别建立连接,构成全互联。比如:Fabric1的ED1和Fabric2的ED1互联,Fabric1的ED1和Fabric2的ED2互联, Fabric1的ED2和Fabric2的ED1互联, Fabric1的ED2和Fabric2的ED2互联。
图3-28 单园区多Fabric增加Fabric连接
图3-29 单园区多Fabric增加Fabric连接参数
图3-30 Fabric边界设备四对互联
增加隔离域互联后,在设备下发BGP配置,多Fabric的ED之间建立BGP EVPN邻居和VXLAN隧道。
当前手工上线或者新自动化上线的Spine/RR作为ED时,建立Fabric互联时,需要手工配置next-hop-local的命令。控制器E6502之后的版本,新自动化上线支持自动下发该命令。
Fabric1的ED上的配置:
bgp 100
non-stop-routing
router-id 200.1.1.254
peer 200.1.1.252 as-number 100
peer 200.1.1.252 connect-interface LoopBack0
peer 20.0.0.254 as-number 200 //单园区多Fabric互联
peer 20.0.0.254 description SDN_FABRIC //单园区多Fabric互联
peer 20.0.0.254 connect-interface LoopBack0 //单园区多Fabric互联
peer 20.0.0.254 ebgp-max-hop 64 //单园区多Fabric互联
peer 20.0.0.253 as-number 200 //单园区多Fabric互联
peer 20.0.0.253 description SDN_FABRIC //单园区多Fabric互联
peer 20.0.0.253 connect-interface LoopBack0 //单园区多Fabric互联
peer 20.0.0.253 ebgp-max-hop 64 //单园区多Fabric互联
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer 20.0.0.254 enable //单园区多Fabric互联
peer 20.0.0.254 router-mac-local dci //单园区多Fabric互联,从Fabric2接收路由并发布时修改Router MAC
peer 20.0.0.253 enable //单园区多Fabric互联
peer 20.0.0.253 router-mac-local dci //单园区多Fabric互联,从Fabric2接收路由并发布时修改Router MAC
peer 200.1.1.252 enable
peer 200.1.1.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 200.1.1.252 reflect-client
#
多园区Fabric2的ED上的配置:
bgp 200
non-stop-routing
router-id 20.0.0.254
peer 20.0.0.252 as-number 200
peer 20.0.0.252 connect-interface LoopBack0
peer 200.1.1.254 as-number 100 //单园区多Fabric互联
peer 200.1.1.254 description SDN_FABRIC //单园区多Fabric互联
peer 200.1.1.254 connect-interface LoopBack0 //单园区多Fabric互联
peer 200.1.1.254 ebgp-max-hop 64 //单园区多Fabric互联
peer 200.1.1.253 as-number 100 //单园区多Fabric互联
peer 200.1.1.253 description SDN_FABRIC //单园区多Fabric互联
peer 200.1.1.253 connect-interface LoopBack0 //单园区多Fabric互联
peer 200.1.1.253 ebgp-max-hop 64 //单园区多Fabric互联
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer 200.1.1.254 enable
peer 200.1.1.254 router-mac-local dci //从Fabric1接收路由并发布时修改Router MAC
peer 200.1.1.253 enable
peer 200.1.1.253 router-mac-local dci //从Fabric1接收路由并发布时修改Router MAC
peer 20.0.0.252 enable
peer 20.0.0.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 20.0.0.252 reflect-client
路由服务器的方式是选取某个Fabric的边界设备作为路由服务器,其它Fabric的边界设备作为路由服务器客户端,客户端只需与路由服务器建立EBGP邻居即可拉通多Fabric间的用户路由。
(1) 如果是多园区多Fabric,在[自动化>园区网络>隔离域>隔离域互联]页面,增加隔离域互联,填写隔离域互联名称,连接方式选择“路由服务器”。
图3-31 选择连接方式
选择其中一个隔离域的边界设备组作为路由服务器,其他隔离域的ED设备作为路由服务器客户端。(根据实际网络规划选择路由服务器和路由服务器客户端,没有特别要求)。其中路由服务器只能选择一个,路由服务器客户端可以多个。
图3-32 增加隔离域互联
增加隔离域互联后,在设备下发BGP配置,多Fabric的ED之间建立BGP EVPN邻居和VXLAN隧道。
当前手工上线或者新自动化上线的Spine/RR作为ED时,建立Fabric互联时,需要手工配置next-hop-local的命令。控制器E6502之后的版本,新自动化上线支持自动下发该命令。
Fabric1的ED上的配置:
bgp 100
non-stop-routing
router-id 200.1.1.254
group SDN_NI_CONNECTION external //多园区互联
peer SDN_NI_CONNECTION connect-interface LoopBack0 //多园区互联
peer SDN_NI_CONNECTION ebgp-max-hop 64 //多园区互联
peer 200.1.1.252 as-number 100
peer 200.1.1.252 connect-interface LoopBack0
peer 20.0.0.254 as-number 200 //多园区互联
peer 20.0.0.254 group SDN_NI_CONNECTION //多园区互联
peer 20.0.0.253 as-number 200 //多园区互联
peer 20.0.0.253 group SDN_NI_CONNECTION //多园区互联
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer SDN_NI_CONNECTION enable //多园区互联
peer SDN_NI_CONNECTION route-server-client external //多园区路由服务器方式新增命令
peer SDN_NI_CONNECTION router-mac-local dci //多园区互联,从Fabric2接收路由并发布时修改Router MAC
peer 200.1.1.252 enable
peer 200.1.1.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 200.1.1.252 reflect-client
#
多园区Fabric2的ED上的配置:
bgp 200
non-stop-routing
router-id 20.0.0.254
group SDN_NI_CONNECTION external
peer SDN_NI_CONNECTION connect-interface LoopBack0
peer SDN_NI_CONNECTION ebgp-max-hop 64
peer SDN_NI_CONNECTION ignore-first-as //路由服务器方式新增命令
peer 200.1.1.254 as-number 100
peer 200.1.1.254 group SDN_NI_CONNECTION
peer 200.1.1.253 as-number 100
peer 200.1.1.253 group SDN_NI_CONNECTION
peer 20.0.0.252 as-number 200
peer 20.0.0.252 connect-interface LoopBack0
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer SDN_NI_CONNECTION enable
peer SDN_NI_CONNECTION router-mac-local dci //从Fabric1接收路由并发布时修改Router MAC
peer 20.0.0.252 enable
peer 20.0.0.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 20.0.0.252 reflect-client
#
(2) 如果是单园区多Fabric,在[自动化>园区网络>隔离域>隔离域]页面,在隔离域内增加Fabric连接,填写名称,连接方式选择<路由服务器>,选择其中一个Fabric的边界设备组作为路由服务器,其他Fabric 的边界设备组作为路由服务器客户端。(根据实际网络规划选择路由服务器和路由服务器客户端,没有特别要求)。其中路由服务器只能选择一个,路由服务器客户端可以多个。
图3-33 增加Fabric连接
图3-34 配置Fabric连接参数
增加Fabric连接后,在设备下发BGP配置,多Fabric的ED之间建立BGP EVPN邻居和VXLAN隧道。
当前手工上线或者新自动化上线的Spine/RR作为ED时,建立Fabric互联时,需要手工配置next-hop-local的命令。控制器E6502之后的版本,新自动化上线支持自动下发该命令。
Fabric1的ED上的配置:
bgp 100
non-stop-routing
router-id 200.1.1.254
peer 200.1.1.252 as-number 100
peer 200.1.1.252 connect-interface LoopBack0
peer 20.0.0.254 as-number 200 //单园区多Fabric互联
peer 20.0.0.254 description SDN_FABRIC //单园区多Fabric互联
peer 20.0.0.254 connect-interface LoopBack0 //单园区多Fabric互联
peer 20.0.0.254 ebgp-max-hop 64 //单园区多Fabric互联
peer 20.0.0.253 as-number 200 //单园区多Fabric互联
peer 20.0.0.253 description SDN_FABRIC //单园区多Fabric互联
peer 20.0.0.253 connect-interface LoopBack0 //单园区多Fabric互联
peer 20.0.0.253 ebgp-max-hop 64 //单园区多Fabric互联
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer 200.1.1.252 enable
peer 200.1.1.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 200.1.1.252 reflect-client
peer 20.0.0.254 enable
peer 20.0.0.254 route-server-client external //单园区多Fabric路由服务器方式新增命令
peer 20.0.0.254 router-mac-local dci //单园区多Fabric互联,从Fabric2接收路由并发布时修改Router MAC
peer 20.0.0.253 enable
peer 20.0.0.253 route-server-client external //单园区多Fabric路由服务器方式新增命令
peer 20.0.0.253 router-mac-local dci //单园区多Fabric互联,从Fabric2接收路由并发布时修改Router MAC
#
单园区Fabric2的ED上的配置:
bgp 200
non-stop-routing
router-id 20.0.0.254
peer 20.0.0.252 as-number 200
peer 20.0.0.252 connect-interface LoopBack0
peer 200.1.1.254 as-number 100
peer 200.1.1.254 description SDN_FABRIC
peer 200.1.1.254 connect-interface LoopBack0
peer 200.1.1.254 ebgp-max-hop 64
peer 200.1.1.254 ignore-first-as
peer 200.1.1.253 as-number 100
peer 200.1.1.253 description SDN_FABRIC
peer 200.1.1.253 connect-interface LoopBack0
peer 200.1.1.253 ebgp-max-hop 64
peer 200.1.1.253 ignore-first-as
#
address-family l2vpn evpn
nexthop evpn-m-lag group-address
peer 200.1.1.254 enable
peer 200.1.1.254 router-mac-local dci
peer 200.1.1.253 enable
peer 200.1.1.253 router-mac-local dci //从Fabric1接收路由并发布时修改Router MAC
peer 20.0.0.252 enable
peer 20.0.0.252 next-hop-local //向同Fabric的BGP邻居发布路由时将路由下一跳修改为自身的地址
peer 20.0.0.252 reflect-client
Single Leaf作为ED配置Fabric连接,与3.5.2 在控制组件中配置Fabric连接基本相同,本节只介绍特殊的配置。
(1) 修改交换设备(Fabric的ED设备)。其中,修改方式有下述两种:
¡ 方式一:在控制组件[自动化>园区网络>Fabrics]页面,在Fabric列表中单击操作列的“设置”图标,进入设备资源页面。选择“交换设备”页签,单击列表中设备名称对应操作列的“修改”图标,进入修改交换设备页面。
图3-35 设备资源
¡ 方式二:在[自动化>园区网络>网络设备>交换设备]页面,单击列表中Leaf设备的“修改”图标,进入修改交换设备页面。
(2) 填写Underlay IP(配置该IP后,会向Single Leaf下发LoopBack地址,用于建立EBGP),填写域互联IP(建议与页面中已有Underlay IP保持一致)。
单隔离域多Fabric可以不配置域互联IP,多隔离域多Fabric必须配置域互联IP。
图3-36 修改交换设备(Fabric的ED设备)
<fabric1-ED>dis bgp peer l2vpn evpn
BGP local router ID: 200.1.1.254
Local AS number: 100
Total number of peers: 3 Peers in established state: 3
* - Dynamically created peer
Peer AS MsgRcvd MsgSent OutQ PrefRcv Up/Down State
200.1.1.251 100 251 281 0 13 02:59:04 Established
200.1.1.252 100 257 238 0 12 02:59:58 Established
20.0.0.254 200 241 242 0 15 02:59:00 Established
20.0.0.253 200 240 241 0 15 02:59:00 Established
<fabric1-ED>dis int Tunnel 3
Tunnel3
Current state: UP
Line protocol state: UP
Description: Tunnel3 Interface
Bandwidth: 64 kbps
Maximum transmission unit: 64000
Internet protocol processing: Disabled
Last clearing of counters: Never
Tunnel source 200.1.1.254, destination 20.0.0.254
Tunnel protocol/transport UDP_VXLAN_DCI/IP
Last 300 seconds input rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Last 300 seconds output rate: 0 bytes/sec, 0 bits/sec, 0 packets/sec
Input: 0 packets, 0 bytes, 0 drops
Output: 3 packets, 325 bytes, 0 drops
<fabric1-ED>
· 目前多园区多Fabric建议的场景是总部部署SeerEngine-Campus、vDHCP和EIA V9,各个园区分别部署本地业务DHCP、分级EIA和逃生DHCP。
· 多园区EIA,建议总部部署上级EIA,其他园区部署下级EIA,具体配置请参考《EIA分级节点管理特性说明》,联系产品获取对应文档。
· 业务DHCP服务器各园区需要独立部署,具体配置请参考《AD-Campus 6.5 微软DHCP紧耦合方案配置指导》。
· 考虑到园区之间链路的中断,建议各个园区部署逃生方案,具体配置步骤参考《AD-Campus 6.5 基础配置指导》。
· BYOD和自动化相关业务,建议总部部署vDHCP来提供。
· 多园区,EIA、业务DHCP和BYOD DHCP可以复用,但是业务DHCP不推荐复用。
· 多园区多Fabric场景,推荐每个隔离域一套AC,每个隔离域分别创建无线类型二层网络域,AC地址填对应隔离域的AC地址,和单园区部署AC控制组件没有区别,具体配置请参考《AD-Campus 6.5 无线配置指导》。单园区多Fabric,支持共用一套AC控制组件;如果每个Fabric使用各自的AC,只能配置一个无线二层网络域,同时添加多个AC控制组件,各自的AC控制组件配置各自的AP模板,AC控制组件需要关闭自动注册undo wlan auto-ap enable,具体配置参考《AD-Campus 6.5 无线配置指导》。
单园区多Fabric部署DHCP之后,需要手动增加不同Fabric的4094网段作用域,具体请参考《AD-Campus 6.5 微软DHCP紧耦合方案配置指导》中“创建4094网段作用域”章节内容。
目前仅多园区多Fabric场景支持多EIA配置,单园区多Fabric只能用同一个EIA服务器进行认证。多园区多Fabric场景下,通过在隔离域中配置认证服务器,实现不同园区使用不同的EIA服务器进行认证的功能,如下图所示,三个不同的园区使用不同的认证服务器进行用户认证。
图3-37 查看认证服务器
(1) 进入[自动化>园区网络>网络参数>AAA]页面,单击<增加>按钮可以添加多个EIA服务器来实现认证功能。参数配置如下:
¡ 名称:与当前环境中已有的AAA服务器名称不重复即可。
¡ 服务器类型:
- EIA V9:基于统一数字底盘部署的EIA服务器,不支持分级部署。
- EIA V7:基于iMC PLAT平台部署的EIA服务器,支持分级部署。
- 第三方认证:第三方认证用于Web Portal认证业务。
¡ 协议:登录EIA服务器时使用的协议,默认HTTP,可选HTTPS,根据实际情况选择。
¡ IPv4地址:EIA服务器的地址。
¡ IPv6地址:EIA服务器的IPv6地址
¡ GUI端口:根据选择的服务器类型系统自动填充。
¡ 用户名:登录EIA服务器时使用的用户名。
¡ 密码:登录EIA服务器时使用的密码。
图3-38 增加认证服务器
(2) 单击<确定>按钮后,可以在AAA列表中看到新增的EIA服务器信息,连接状态为成功。
图3-39 查看新增EIA服务器信息
(3) 单击“同步状态”图标,可以进入AAA服务器数据同步详情页面,查看控制组件与EIA服务器之间是否存在数据差异并进行数据同步操作。
图3-40 AAA服务器数据同步详情
只有使用了该AAA服务器的园区下存在的安全组、接入设备等数据才可以在此处进行审计与同步,例如:隔离域“isolate_domain1”下绑定的Fabric数据,只会在Default EIA服务器下进行审计和同步,而隔离域“北京”下绑定的Fabric数据,只会在EIA2服务器下进行审计和同步。
进入[自动化>园区网络>隔离域>隔离域]页面,新增或修改隔离域,可以配置该隔离域使用的认证服务器,单击<确定>按钮后,该隔离域内绑定的Fabric1下存在的私网、二层网络域、安全组、接入设备、链路关系、绑定信息以及DHCP服务器等信息都将同步至EIA2服务器。
图3-41 配置隔离域中认证服务器
隔离域中配置完认证服务器后,需保证认证模板中配置的认证服务器与隔离域中配置的一致,下文以绑定了“Fabric1”的隔离域“北京”为例。
进入[自动化>园区网络>网络设备>通用策略组>策略模板]页面增加设备AAA模板,在Radius方案设置参数中配置认证服务器,与隔离域“北京”保持一致,选择EIA2作为主认证服务器。
图3-42 AAA模板中增加Radius方案
配置其他参数后单击<确定>按钮。
图3-43 AAA模板中其他参数配置
进入[自动化>园区网络>网络设备>通用策略组>策略模板]页面增加设备MAC/MAC Portal认证模板,在免认证信息中增加EIA2服务器的IP地址。
图3-44 免认证IP
进入[自动化>园区网络>网络设备>通用策略组]页面,找到“Fabric1”中对应的Leaf设备组,单击“修改”图标,进入配置页面,在页面下方切到策略页签,单击<增加>按钮,选择需要下发的设备的认证模板。
图3-45 修改通用策略组
此处只介绍需要特殊配置的认证模板,其他用户上线所需配置请参见《AD-Campus 6.5 基础配置指导》,所有配置完成后,不同隔离域内的用户便可以使用不同的EIA服务器进行认证上线。
· 多隔离域场景推荐使用分级EIA部署。
· 多隔离域场景的用户业务DHCP服务器推荐独立部署,即每个隔离域单独部署一套DHCP服务器。
本章节只介绍多园区共用一个EIA场景下IP策略BYOD业务的配置流程。具体BYOD参数配置介绍请参考《AD-Campus 6.5 基础配置指导》的“MAC Portal认证”章节。
配置流程是:
(1) 多园区创建各自园区的BYOD二层网络域和BYOD安全组。
(2) 创建各自园区的BYOD接入策略和接入位置。
(3) BYOD接入服务根据多园区的接入位置关联各自园区的接入策略和安全组。
(4) BYOD用户关联自园区的对应的BYOD接入服务。
· 本节介绍IP策略多园区BYOD业务配置。
· 多园区组策略BYOD业务和单园区BYOD业务配置没有区别,授权统一的微分段ID,具体请参考《AD-Campus 6.5 基础配置指导》。
多隔离域分别创建各自的BYOD二层网络域,具体配置步骤请参考《AD-Campus 6.5 基础配置指导》创建BYOD二层网络域。
图3-46 创建BYOD二层网络域
多隔离域分别创建各自的BYOD安全组,具体配置步骤请参见《AD-Campus 6.5 基础配置指导》创建BYOD安全组。
图3-47 创建BYOD安全组
多园区分别创建各自的BYOD接入策略,接入位置,具体配置请参见《AD-Campus 6.5 基础配置指导》。
创建BYOD接入服务,BYOD接入服务根据多园区的接入位置关联各自的接入策略和安全组。
图3-48 创建接入服务
图3-49 增加接入场景1
图3-50 增加接入场景2
创建BYOD用户,关联BYOD接入服务。
图3-51 关联BYOD接入服务
图3-52 查看BYOD用户
创建BYOD接入服务,BYOD接入服务默认设置为禁止接入,根据多园区的接入位置关联接入策略和安全组来开启BYOD。
图3-53 创建接入服务
图3-54 增加接入场景1
图3-55 增加接入场景2
不同接入场景的配置方法与上文一样,不再赘述。
该组网多Fabric之间通过一个L3管理交换机互联,管理交换机可以通过路由子接口和每个Fabric的Spine(ED)互联;也可以通过划分不同VLAN和各个Fabric的Spine(ED)互联。该组网同一个隔离域内所有业务流量都通过总部Spine(ED)核心交换机进行转发,总部Spine选择较高性能的交换机。
多园区M-LAG组网,双Spine连接L3交换机使用ECMP方式,只支持路由子接口互联,且需要研发评估。
图4-1 L3管理交换机互联组网图
图4-2 M-LAG组网L3管理交换机互联组网图
表4-1 IP和VLAN资源表
|
规划项 |
数据示例 |
说明 |
|
Fabric1 VLAN 1 网段(网关) |
120.1.0.0/24(120.1.0.1) |
VLAN 1的网络,用于自动化上线 |
|
Fabric2 VLAN 1 网段(网关) |
111.0.0.0/24(111.0.0.11) |
VLAN 1的网络,用于自动化上线 |
|
Fabric3 VLAN 1 网段(网关) |
122.0.0.0/24(122.0.0.50) |
VLAN 1的网络,用于自动化上线 |
|
Fabric1 VLAN 4094网段(网关) |
130.1.0.0/24(130.1.0.1) |
VLAN 4094的网络,用于控制组件和设备通信 |
|
Fabric2 VLAN 4094网段(网关) |
111.0.9.0/24(111.0.9.11) |
VLAN 4094的网络,用于控制组件和设备通信 |
|
Fabric3 VLAN 4094网段(网关) |
122.0.1.0/24(122.0.1.50) |
VLAN 4094的网络,用于控制组件和设备通信 |
|
VLAN70网段(网关) |
120.1.0.0/24(120.1.0.1) |
不同VLAN方式Fabirc1的VLAN1网关,用于自动化上线 |
|
VLAN71网段(网关) |
111.0.0.0/24(111.0.0.11) |
不同VLAN方式Fabirc2的VLAN1网关,用于自动化上线 |
|
VLAN72网段(网关) |
122.0.0.0/24(122.0.0.50) |
不同VLAN方式Fabirc3的VLAN1网关,用于自动化上线 |
|
Fabric1 Underlay IP网段 |
200.1.1.0/24 |
Spine与Leaf环回口地址网段 |
|
Fabric2 Underlay IP网段 |
20.0.0.0/24 |
Spine与Leaf环回口地址网段 |
|
Fabric3 Underlay IP网段 |
12.0.0.0/24 |
Spine与Leaf环回口地址网段 |
|
Fabric1 VLAN 11 |
11.11.0.0/24 |
ED和L3管理交换机互联 |
|
Fabric1 VLAN 12 |
12.12.0.0/24 |
ED和L3管理交换机互联 |
|
Fabric1 VLAN 13 |
11.13.0.0/24 |
ED和L3管理交换机互联 |
|
vDHCP节点IP |
Node1:110.1.0.105 Node2:110.1.0.106 |
vDHCP服务器使用的两个节点地址 |
互联的L3管理交换机,仅作为控制组件管理设备用,Fabric之间互联以及互访问的流量需要使用单独的出口路由器。
本章只介绍多Fabric之间通过一个L3管理机互联的不同配置,主要是L3管理交换机和Spine(ED)的不同配置,控制组件的相关配置和前面没有区别。
当前自动化在vsi vxlan4094上会下发环路检测,非M-LAG组网需要在互联L3管理交换机的spine或者Leaf上,删除vsi vxlan4094的环路检测loopback-detection action block 和loopback-detection enable vlan 4094。
L3交换机上VLAN4094配置,仅单Spine自动化上线需要,Spine M-LAG组网不需要,双spine自动化配置参考《AD-Campus 6.5 新自动化配置指导》。
· 管理交换机连接Fabric1的Spine的路由接口。
#
dhcp enable
#
interface Ten-GigabitEthernet1/4/22
port link-mode route //和Fabric1的VLAN1互通的路由口
ip address 120.1.0.1 255.255.255.0 //Fabirc1的VLAN1网关
dhcp select relay //DHCP relay相关配置
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
#
interface Ten-GigabitEthernet1/4/22.4094 //和Fabric1的VLAN4094互通的路由口
ip address 130.1.0.1 255.255.255.0 //Fabric1的VLAN4094网关
#
· 管理交换机连接Fabric2的Spine的路由接口。
#
interface Ten-GigabitEthernet1/4/23
port link-mode route //和Fabric2的VLAN1互通的路由口
ip address 111.0.0.11 255.255.255.0 //Fabirc2的VLAN1网关
dhcp select relay //DHCP relay相关配置
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
#
interface Ten-GigabitEthernet1/4/23.4094 //和Fabric2的VLAN4094互通的路由口
ip address 111.0.9.11 255.255.255.0 //Fabric2的VLAN4094网关
#
· 管理交换机连接Fabric3的Spine的路由接口。
#
interface Ten-GigabitEthernet1/4/24
port link-mode route //和Fabric3的VLAN1互通的路由口
ip address 122.0.0.50 255.255.255.0 //Fabirc3的VLAN1网关
dhcp select relay //DHCP relay相关配置
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
#
interface Ten-GigabitEthernet1/4/24.4094 //和Fabric3的VLAN4094互通的路由口
ip address 122.0.1.50 255.255.255.0 //Fabric3的VLAN4094网关
#
· Spine M-LAG组网管理交换机连接Fabric1的Spine的路由接口。
#
dhcp enable
#
interface Ten-GigabitEthernet1/4/22 //连接spine1的路由口
port link-mode route //和Fabric1的VLAN1互通的路由口
ip address 120.1.0.1 255.255.255.0 //Fabirc1的VLAN1网关
dhcp select relay //DHCP relay相关配置
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
interface Ten-GigabitEthernet1/4/32 //连接spine2的路由口
port link-mode route
#
interface Ten-GigabitEthernet1/4/22.4080 //双spine新自动化需要
ip address 10.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/4/32.4081 //双spine新自动化需要
ip address 10.0.0.9 255.255.255.0
#
track 1 interface Ten-GigabitEthernet1/4/22 physical //配置track关联物理链路
track 2 interface Ten-GigabitEthernet1/4/32 physical
#
ip route-static 0.0.0.0 0 10.0.0.2 track 1 //缺省路由至Spine1的4080地址
ip route-static 0.0.0.0 0 10.0.0.10 track 2 //缺省路由至Spine2的4081地址
ip route-static 130.1.0.2 32 10.0.0.2 track 1 //配置到Spine1 4094的32位路由,下一跳至Spine1的4080地址
ip route-static 130.1.0.3 32 10.0.0.10 track 2 //配置到Spine2 4094的32位路由,下一跳至Spine2的4081地址
ip route-static 130.1.0.0 24 10.0.0.2 track 1 //配置到4094的网段路由,下一跳至Spine1的4080地址
ip route-static 130.1.0.0 24 10.0.0.10 track 2 //配置到4094的网段路由,下一跳至Spine2的4081地址
#
· Spine M-LAG组网管理交换机连接Fabric2的Spine的路由接口。
#
dhcp enable
#
interface Ten-GigabitEthernet1/4/23 //连接spine1的路由口
port link-mode route //和Fabric2的VLAN1互通的路由口
ip address 111.0.0.11 255.255.255.0 //Fabirc2的VLAN1网关
dhcp select relay //DHCP relay相关配置
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
interface Ten-GigabitEthernet1/4/33 //连接spine2的路由口
port link-mode route
#
interface Ten-GigabitEthernet1/4/23.4082 //双spine新自动化需要
ip address 20.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/4/33.4083 //双spine新自动化需要
ip address 20.0.0.9 255.255.255.0
#
track 1 interface Ten-GigabitEthernet1/4/23 physical //配置track关联物理链路
track 2 interface Ten-GigabitEthernet1/4/33 physical
#
ip route-static 111.0.9.2 32 20.0.0.2 track 1 //配置到Spine1 4094的32位路由,下一跳至Spine1的4082地址
ip route-static 111.0.9.3 32 20.0.0.10 track 2 //配置到Spine2 4094的32位路由,下一跳至Spine2的4083地址
ip route-static 111.0.9.0 24 20.0.0.2 track 1 //配置到4094的网段路由,下一跳至Spine1的4082地址
ip route-static 111.0.9.0 24 20.0.0.10 track 2 //配置到4094的网段路由,下一跳至Spine2的4083地址
#
· Spine M-LAG组网管理交换机连接Fabric3的Spine的路由接口。
#
dhcp enable
#
interface Ten-GigabitEthernet1/4/24 //连接spine1的路由口
port link-mode route //和Fabric3的VLAN1互通的路由口
ip address 122.0.0.50 255.255.255.0 //Fabirc3的VLAN1网关
dhcp select relay //DHCP relay相关配置
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
interface Ten-GigabitEthernet1/4/34 //连接spine2的路由口
port link-mode route
#
interface Ten-GigabitEthernet1/4/24.4084 //双spine新自动化需要
ip address 30.0.0.1 255.255.255.0
#
interface Ten-GigabitEthernet1/4/34.4085 //双spine新自动化需要
ip address 30.0.0.9 255.255.255.0
#
track 1 interface Ten-GigabitEthernet1/4/24 physical //配置track关联物理链路
track 2 interface Ten-GigabitEthernet1/4/34 physical
#
ip route-static 122.0.1.2 32 30.0.0.2 track 1 //配置到Spine1 4094的32位路由,下一跳至Spine1的4084地址
ip route-static 122.0.1.3 32 30.0.0.10 track 2 //配置到Spine2 4094的32位路由,下一跳至Spine2的4085地址
ip route-static 122.0.1.0 24 30.0.0.2 track 1 //配置到4094的网段路由,下一跳至Spine1的4084地址
ip route-static 122.0.1.0 24 30.0.0.10 track 2 //配置到4094的网段路由,下一跳至Spine2的4085地址
#
Spine M-LAG组网VLAN接口互联方式会出现STP抢根,某个Fabric拓扑变化会影响其他Faric的STP变化,所以不支持该方式。
#
Vlan 70
Vlan 71
Vlan 72
#
管理交换机连接Spine的接口。
#
interface Ten-GigabitEthernet1/4/22 //连接Fabric1的Spine
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 11 70 4094
port trunk pvid vlan 70
#
#
interface Ten-GigabitEthernet1/4/23 //连接Fabric2的Spine
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 12 71 4094
port trunk pvid vlan 71
#
#
interface Ten-GigabitEthernet1/4/25 //连接Fabric3的Spine
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 13 72 4094
port trunk pvid vlan 72
#
#
interface Vlan-interface70 //Fabirc1的VLAN1网关
ip address 120.1.0.1 255.255.255.0
dhcp select relay
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
#
interface Vlan-interface71 //Fabirc2的VLAN1网关
ip address 111.0.0.11 255.255.255.0
dhcp select relay
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
#
interface Vlan-interface72 //Fabirc3的VLAN1网关
ip address 122.0.0.50 255.255.255.0
dhcp select relay
dhcp relay server-address 110.1.0.105
dhcp relay server-address 110.1.0.106
#
#
interface Vlan-interface4094 //Vlan-interface4094配置sub IP
ip address 130.1.0.1 255.255.255.0 //Fabirc1的VLAN4094网关
ip address 111.0.9.11 255.255.255.0 sub //Fabirc2的VLAN4094网关
ip address 122.0.1.50 255.255.255.0 sub //Fabirc3的VLAN4094网关
#
自动化配置请参见文档《AD-Campus 6.5 自动化配置指导》。
Spine M-LAG组网两台Spine类似的配置,本章节不再赘述,类比如下配置即可。
· ED(Spine)配置OSPF
#
ospf 1 //Spine与Leaf的ospf进程号保持一致
area 0.0.0.0
network 200.1.1.254 0.0.0.0 //发布LoopBack0的地址
#
vlan 11
#
interface Vlan-interface11
ip address 11.11.0.2 255.255.255.0
ospf 1 area 0.0.0.0
#
· 管理交换机配置OSPF
¡ 路由子接口的方式:
#
interface Ten-GigabitEthernet1/4/22.11 //和Fabric1的ED互通的路由口
ip address 11.11.0.1 255.255.255.0
ospf 1 area 0.0.0.0
#
¡ 不同VLAN的方式:
#
vlan 11
#
interface Ten-GigabitEthernet1/4/22 //ED与管理交换机的接口
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 11 70 4094
port trunk pvid vlan 70
#
interface Vlan-interface11
ip address 11.11.0.1 255.255.255.0
ospf 1 area 0.0.0.0
#
· ED(spine)配置OSPF
#
ospf 1
area 0.0.0.0
network 20.0.0.254 0.0.0.0 //发布LoopBack0的地址
#
vlan 12
#
interface Vlan-interface12
ip address 12.12.0.2 255.255.255.0
ospf 1 area 0.0.0.0
#
· 管理交换机配置OSPF
¡ 路由子接口的方式:
#
interface Ten-GigabitEthernet1/4/23.12 //和Fabric1的ED互通的路由口
ip address 12.12.0.1 255.255.255.0
ospf 1 area 0.0.0.0
#
¡ 不同VLAN的方式:
#
vlan 12
#
interface Ten-GigabitEthernet1/4/23 //ED与管理交换机的接口
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 12 71 4094
port trunk pvid vlan 71
#
interface Vlan-interface12
ip address 12.12.0.1 255.255.255.0
ospf 1 area 0.0.0.0
#
· ED(spine)配置OSPF
#
ospf 1
area 0.0.0.0
network 12.0.0.254 0.0.0.0 //发布LoopBack0的地址
#
vlan 13
#
interface Vlan-interface13
ip address 11.13.0.2 255.255.255.0
ospf 1 area 0.0.0.0
#
· 管理交换机配置OSPF
¡ 路由子接口的方式:
#
interface Ten-GigabitEthernet1/4/24.13 //和Fabric1的ED互通的路由口
ip address 11.13.0.1 255.255.255.0
ospf 1 area 0.0.0.0
#
¡ 不同VLAN的方式:
#
vlan 13
#
interface Ten-GigabitEthernet1/4/24 //ED与管理交换机的接口
port link-mode bridge
port link-type trunk
port trunk permit vlan 1 13 72 4094
port trunk pvid vlan 72
#
interface Vlan-interface13
ip address 11.13.0.1 255.255.255.0
ospf 1 area 0.0.0.0
#
与3.5.2 在控制组件中配置Fabric连接一样,不再赘述,配置之后,验证配置。
支持
