- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
02-AD-WAN分支6.6 MSP场景业务部署-整本手册.pdf 
(6.68 MB)
AD-WAN分支6.6
MSP场景WAN业务配置指导
资料版本:5W103-20240930
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
AD-WAN分支6.6方案控制组件支持MSP场景(运营商场景组网)自动化部署和WAN业务部署下发,本文档主要介绍如何完成MSP业务配置,具体WAN业务配置请参考《AD-WAN分支6.6 WAN业务配置指导》。MSP业务部署主要包括:
· MSP租户业务部署
· 租户资源规划
· 普通租户业务部署
图2-1 Underlay组网图
图2-2 Overlay拓扑
· CPE1.1、CPE1.2双活接入DC1、DC2,通过路由控制分流,生产流量通过DC1转发;办公流量通过DC2转发。
· CPE2.1、CPE2.2双活接入DC1、DC2,通过路由控制分流,生产流量通过DC1转发;办公流量通过DC2转发。
· CPE3.1主接入POP3,备接入POP4。
· CPE4.1主接入POP4,备接入POP3。
· 所有POP在三层专线MPLS上full-mesh组网。
· 各CPE通过三层专线MPLS和互联网Internet接入POP设备,hub-spoke组网。
· POP1-1,POP1-2站点双网关DC1,POP2-1,POP2-2站点双网关DC2。
骨干网RR必须单独部署。
MSP业务场景需要在融合部署页面开启MSP场景开关,具体安装部署指导参考《AD-WAN分支6.6 统一数字底盘及组件部署指导》。
控制组件需要使用融合部署并开启MSP场景,创建MSP租户纳管POP设备。
(1) 使用缺省系统管理员(admin)登录统一数字底盘,进入[系统>租户管理>租户管理]页面,如图3-1所示。
(2) 单击“System”租户后面的
按钮,增加一个新的租户,租户类型选择MSP租户。如图3-2所示,单击<确定>按钮完成配置。
(3) 进入[系统>操作员管理>操作员列表]页面,如图3-3所示,可以查看当前租户的操作员列表。
(4) 单击<增加>按钮,配置相关参数,如图3-4所示,单击<确定>按钮完成配置。
图3-4 增加MSP租户操作员
(1) 使用MSP系统管理员(MSP)登录统一数字底盘,进入[系统>租户管理>租户管理]页面,如图3-5所示。
(2) 单击“MSP”租户后面的
按钮,增加一个新的租户,租户类型选择普通租户。如图3-6所示,单击<确定>按钮完成配置。
(3) 进入[系统>操作员管理>操作员列表]页面,如图3-7所示,可以查看当前租户的操作员列表。
(4) 单击<增加>按钮,配置相关参数,如图3-8所示,单击<确定>按钮完成配置。
使用MSP租户操作员登录控制组件。
MSP租户纳管RR设备和POP设备,具体参数说明和配置步骤参考《AD-WAN分支6.6 WAN业务部署指导》。
图4-1 配置流程图
进入[向导>分支网络向导>设备上线规划>全局配置>基础配置]页面,配置BGP AS号和管理LoopBack口编号,如图4-2所示,单击<确定>按钮保存配置。
进入[向导>分支网络向导>设备上线规划>全局配置>IP地址池]页面,在System IP地址池列表中单击<增加>按钮,可以增加对应Syetem IP地址池,如图4-3所示,单击<确定>按钮保存配置。
图4-3 System IP地址池配置
进入[向导>分支网络向导>设备上线规划>全局配置>IPsec配置]页面,进行IPsec配置,如图4-4所示,单击<确定>按钮保存配置。
进入[向导>分支网络向导>设备上线规划>全局配置>运维配置]页面,选择质量探测和流量采集配置精度,如图4-5所示全局BFD配置周期需要比隧道BFD模版的周期大。
进入[向导>分支网络向导>设备上线规划>全局配置>WebSocket模板]页面,配置WebSocket模板。WebSocket模板主要用于生成U盘/URL开局的配置文件,如果不需要使用U盘/URL开局,此配置可以不进行修改。默认全局模板的地址是北向虚IP地址,根据网络规划需要通过公网上线,增加对应公网地址,如图4-6所示,单击<确定>按钮保存配置。
进入[向导>分支网络向导>设备上线规划>全局配置>SNMP模板]页面,配置SNMP模板。控制组件并不需要通过SNMP管理设备,如果网管或分析组件需要通过SNMP管理设备,控制组件也支持下发SNMP配置。单击<增加>按钮可增加SNMP模板,本例中选择使用的SNMP版本号“v2c”,只读团体字为“public”,写团体字为“private”,如图4-7所示。
进入[向导>分支网络向导>设备上线规划>全局配置>隧道BFD模板]页面,进行隧道BFD模板配置,单击<增加>按钮,增加隧道BFD模板,如图4-8所示。
创建三层专线MPLS和互联网Internet的WAN业务网络,如图4-9所示。
图4-9 WAN业务网络配置
业务平面划分主要分为两类,一个是POP间的平面,所有POP点在该平面上建立overlay链接,一个是POP和CPE的平面,各CPE需要接入哪个POP设备就选择哪个POP和CPE的平面。
三层专线(MPLS)平面:本例POP间需要再三层专线建立overlay链接,CPE也需要和接入的POP建立overlay链接,如图4-10所示。
互联网(Internet)平面:本例POP间不需要建立互联网的overlay链接,CPE需要和接入的POP建立overlay链接,如图4-11所示。
为了减少POP站点间隧道数量且方便POP站点调度,要求每个POP站点单独划分平面用于CPE接入。不同POP站点针对CPE接入需要划分不同的平面,防止POP站点之间使用这些平面建立TTE隧道。
导入站点和设备模版,MSP租户纳管的POP点站点角色选择RR和CPE,如图4-12所示。
关键参数说明:
· 站点角色:目前方案暂不推荐使用NAT Transfer,不建议配置NAT Transfer角色。
¡ RR:只用于路由反射器。
¡ CPE:用户提供的网络边缘,三个分支站点配置为此角色。
¡ RR_CPE:路由反射器、用户提供的网络边缘。总部站点配置为此角色。
· 使能POP:开启使能POP的站点可以给其他租户纳管的设备接入,未开启的站点只能由MSP账户纳管的设备接入。
MSP租户纳管的POP设备都需要固定公网地址,CPE需要使用STUN server可以在此处配置后分配给普通租户用,如图4-13所示。
关键参数说明:
· IP地址:STUN服务器的IP地址,127.0.0.1,目前方案要求地址配置为127.0.0.1,其他选项不需要添加。
MSP租户配置动态QoS服务,具体参数说明和操作步骤参考《AD-WAN分支6.6 WAN业务部署指导》。
根据平面规格,给设备接口选择对应的业务平面,导入WAN详情模版如图4-14所示。
图4-14 WAN业务网络详情
MSP账户纳管的POP设备一般使用手工开局方式。使用U盘/邮件开局需要配置邮件服务器。
MSP租户配置POP设备区域拓扑、VPN等配置,具体参数说明和配置步骤参考《AD-WAN分支6.6 WAN业务部署指导》。
图4-15 配置流程图
进入[向导>分支网络向导>分支网络规划>接入区管理]页面或者[自动化>分支网络>虚拟网络>接入区管理]页面。<增加>按钮创建接入区,如图4-16所示,配置接入区需要指定RR角色并且RR站点已经增加了WAN详情,阻断策略需要选择开启;BFD功能如果涉及主备POP场景建议开启。
关键参数说明:
· 租户接入站点能力:接入区分配给租户,预计租户在该接入区接入的站点数量。未配置的接入区不能分配给租户使用。
· 阻断策略:MSP场景需要分配的接入区必须开启,开启后默认阻断,需要配置区域拓扑后才能正常反射路由。该参数暂不支持修改。
· BFD:涉及主备POP的组网建议开启接入区的BFD,本例选择开启。该参数暂不支持修改。
本例所有POP在一个接入区,每个POP单独创建一个接入区用于分给普通租户,如图4-17所示。普通租户的CPE设备按需接入MSP分配的接入区。
单击操作列中
按钮,如图4-18所示,在所有POP点的接入区中选择客户机接入,MSP场景建议均使用客户机接入。
增加设备的运维参数,如图4-19所示。本例MSP场景使用全局采集配置,暂不配置。
进入[向导>分支网络向导>分支网络规划>VPN管理]或者[自动化>分支网络>虚拟网络>VPN管理]页面,单击<增加>按钮,如图4-20所示,单击<确定>按钮保存配置. 由MSP租户创建VPN后分配给普通租户使用。
关键参数说明:
· VPN名称:控制组件存储的VPN名称。
· VPN实例名称:下发到设备上的VPN实例配置。
· 租户接入站点能力:若VPN需要分配给租户使用,需要填写该值。未配置则无法分配给普通租户使用。
进入[向导>分支网络向导>分支网络规划>区域拓扑],单击<增加>按钮,如图4-21所示,创建POP间FULL-MESH 的区域拓扑,单击<确定>按钮保存配置。区域本地优先级越高会使该站点的路由被优选,POP间的流量转发不涉及主备,所以本例不配置区域本地优先级。
在拓扑区域的基础上,为区域的部分分支站点定义详细互通规则,本例暂不配置。
进入[向导>分支网络向导>分支网络规划>区域互联]页面,根据组网需求配置,配置区域间的边界站点,各CPE设备均通过POP点互通,所以POP为边界设备。
区域互联配置需要先参考5.2.5 区域拓扑章节,完成普通租户的区域拓扑,然后在MSP租户配置区域互联,如图4-22 图4-23所示。
参考《AD-WAN分支6.6 WAN业务部署指导》完成POP站点LAN业务网络详情配置。
可以参考《AD-WAN分支6.6WAN业务部署指导》完成POP双网关站点的双网关路由同步配置。
MSP租户将资源授权后可以给普通租户使用,划分的RR、WAN业务网络、VPN等资源,普通租户的设备可以直接使用无需重新创建。
(1) 租户授权
进入[向导>分支网络向导>分支网络规划>租户资源规划>租户授权],如图4-24、图4-25所示单击<增加>按钮增加租户,经过MSP租户授权后才可使用MSP租户分配的网络资源。
(2) System IP地址池服务
进入[向导>分支网络向导>分支网络规划>租户资源规划>System IP地址池服务] ,单击<增加>按钮增加地址池,为保障System IP的唯一性,普通租户分配给设备的System IP地址池必须由MSP租户创建后分配给普通租户使用,如图4-26、图4-27所示。
(3) RR服务
进入[向导>分支网络向导>分支网络规划>租户资源规划>RR服务]页面,如图4-28所示,RR接入区接入统计会列出MSP所有接入区,和使用情况。
图4-28 RR服务
单击租户接入操作栏的
按钮,进入RR接入区分配页面,单机<增加>按钮,增加RR接入区分配,如图4-29图4-30所示,选择给该租户分配的接入区,该租户纳管的设备可选择接入分配的接入区。本例分配4个POP站点。
图4-30 已分配RR接入区
(4) VPN服务
进入[向导>分支网络向导>分支网络规划>租户资源规划>VPN服务]页面,单击租户接入操作栏的
按钮,进入VPN分配页面,单击<增加>按钮,给普通租户分配VPN,如图4-31图4-32所示。普通租户接入POP的设备需要使用MSP分配的VPN。
授权租户需要在分配的VPN配置应用上网时,需要同步配置分配VPN的地址池;单击<增加>按钮,在弹出的对话框中配置VPN名称、起始IP、终止IP、掩码长度,单击<确定>按钮,完成分配VPN下创建地址池的操作,如图4-33所示。
(5) POP服务
进入[向导>分支网络向导>分支网络规划>租户资源规划>POP服务]页面,如图4-34所示,POP接入统计会列出所有可分配站点。只有已分配的POP站点,普通租户在配置区域拓扑时才可选择到该站点。
单击租户接入操作栏的
按钮,进入POP分配页面,单机<增加>按钮,增加POP分配,如图4-35、图4-36所示。
(6) WAN业务网络服务
进入[向导>分支网络向导>分支网络规划>租户资源规划>WAN服务]页面,单击<增加>按钮,分配WAN业务网络,如图4-37、图4-38所示。普通租户创建wan业务网络详情可以使用MSP租户分配的WAN业务网络、传输网络和业务平面。
图4-37 增加WAN业务网络分配
图4-38 已分配WAN业务网络
(7) STUN服务
进入[向导>分支网络向导>分支网络规划>租户资源规划>STUN服务]页面,根据组网需求增加分配STUN服务,如图4-39所示。若租户组网中分支到POP的Internet链路存在动态NAT变换时(分支出口的NAT变换或运营商NAT变换),需要使用STUN,不存在此情况时,可跳过此步骤,本例暂不配置。
(8) 动态QoS服务
进入[自动化>参数配置>全局配置>租户资源规划>动态QoS服务]页面,根据组网需求增加分配动态QoS服务,如图4-40所示.
图4-40 增加动态QoS分配
基础配置完成后可以进行路由引流、流量调度和QoS业务部署,配置步骤参考《AD-WAN分支6.6 WAN业务部署指导》。
用户完成本租户设备相关配置。
· MSP租户只能配置MSP纳管设备的应用组和QoS策略,应用路径只能看到租户纳管设备出方向的路径。
· 由于每个POP站点需要单独划分平面用于CPE接入,因此跨POP的应用流量可选路径非常多,可以同一个Flow ID为每个POP站点单独配置一个应用组。
MSP租户配置大屏,基础运维,告警等,具体参数说明和配置步骤参考《AD-WAN分支6.6 WAN业务部署指导》。
使用MSP租户的管理员登陆,可以查看租户首页信息,如图4-41所示,首页提供两个默认的Widget窗口,管理员登陆可以编辑租户首页的Widget窗口。
参数说明:
· 租户概览:展示当前MSP租户的运维统计信息。统计的租户对象包括授权的租户、代维的租户和正在申请代维的租户;统计的信息包括租户数量、站点数量、设备数量和设备告警状态信息。
· 租户列表:展示当前MSP租户下授权的租户、代维的租户和正在申请代维的租户的运维统计信息。统计的信息包括租户名称、站点数量、租户描述信息、设备数量、设备告警状态信息、授权状态和代维状态。支持的操作如下:
¡ 单击创建按钮可以创建被当前MSP代维的子租户。
¡ 单击代维租户的租户名称可以对代维租户进行代维操作。
¡ 单击授权状态信息可以跳转到租户授权页面进行授权操作,当前仅有MSP部署模式支持租户授权操作。
¡ 单击操作列中的修改按钮可以修改租户的描述信息。
¡ 单击操作列的撤销代维租户可以撤销当前租户的代维。
¡ 单击操作列的同意或拒绝代维按钮可以同意或拒绝当前租户的代维申请。
使用普通租户操作登录控制组件,具体参数说明和配置步骤参考《AD-WAN分支6.6 WAN业务部署指导》。
部分配置参数由MSP租户分配,普通租户无需再次配置。
图5-1 配置流程图
参数全由MSP租户配置,普通租户无需再配置且不可修改,如图5-2所示。
普通租户的资源池只能由MSP租户分配,如图5-3所示。
IPsec加密方案由MSP租户配置,普通租户和MSP租户保持一致不可更改,如图5-4所示。
普通租户使用MSP租户选择的运维参数配置,如图5-5所示,全局参数和MSP租户一致不可修改。
如果普通租户纳管的CPE设备需要使用U盘/邮件开局可以自定义WebSocket模版,如图5-6所示,本例暂不更改。
普通租户纳管设备的SNMP模版由普通租户创建,如图5-7所示。
普通租户使用MSP租户创建的隧道BFD模版,如图5-8所示。普通租户不可更改。
MSP租户在4.2.10 (6)分配WAN业务网络给普通租户,如图5-9所示。
图5-9 WAN业务网络配置
导入普通租户纳管的CPE设备,如图5-10所示。设备的System IP可以控制器自动分配,当用户手动指定时,地址必须在MSP租户分配的System IP地址池内。
普通租户如果需要使用STUN需要MSP租户分配STUN server。
根据平面规格,给设备接口选择对应的业务平面,导入WAN详情模版,如图5-11所示。
图5-11 WAN业务网络详情
选择U盘/邮件开局的CPE可以下载或发送开局文件,如图5-12所示。
图5-12 U盘/邮件开局
图5-13 配置流程图
进入[向导>分支网络向导>分支网络规划>接入区管理]页面,普通租户可以查看到MSP租户在4.2.10 (3)RR服务章节分配的接入区,如图5-14所示,单击
按钮,普通租户纳管设备选择客户机接入,如图5-15所示,MSP场景建议均使用客户机接入并开启阻断策略。普通租户也可创建本租户自用的接入区。
进入[向导>分支网络向导>分支网络规划>运维配置],页面单机<增加>按钮,配置设备的运维参数,如图5-16所示。本例使用全局采集配置,暂不配置。
进入[向导>分支网络向导>分支网络规划>VPN管理]页面,可以查看到由MSP租户创建资源划分给普通租户使用的VPN,如图5-17所示。
普通租户单击
站点绑定按钮,选择需要绑定的站点即可,如图5-18所示。普通租户可以新建本租户自己的VPN实例,只有普通租户纳管设备使用,其他租户和MSP无法使用。
进入[向导>分支网络向导>分支网络规划>区域拓扑],单击<增加>按钮,如图5-19所示,创建POP和CPE的HUB-SPOKE区域拓扑,单击<确定>按钮保存配置。本例中CPE1.1、CPE1.2、CPE2.1、CPE2.1双活接入POP1、POP2,不涉及主备所以未配置区域本地优先级。需要MSP租户完成4.2.10 (5)POP服务章节POP服务分配后。普通租户创建区域拓扑才可选择到POP设备。
图5-19 增加POP1区域拓扑
CPE3.1主接入POP3,备接入POP4。CPE4主接入POP4,备接入POP3。涉及主备POP,区域本地优先级值越大越被优选。所以在POP3的区域拓扑中,CPE3.1配置的区域本地优先级为200,CPE4.1区域本地优先级100。同理在POP4的区域拓扑中,CPE4.1的区域本地优先级为200。CPE3.1的区域本地优先级100。
在拓扑区域的基础上,为区域的部分分支站点定义详细互通规则,如本例暂不配置。
根据组网需求配置,配置区域间的边界站点。边界设备在哪个租户纳管就在该租户配置区域互联
各CPE设备通过POP站点互通,所以POP设备作为边界站点,由MSP租户配置区域互联。普通租户内如果存在三级租户,也可在普通租户内创建区域互联,本例暂不在普通租户配置。
请参考《AD-WAN分支6.6 WAN业务部署指导》完成LAN业务网络配置。
基础配置完成后可以进行路由引流、流量调度和Qos业务部署,配置步骤参考《AD-WAN分支6.6 WAN业务部署指导》。
用户完成本租户设备相关配置。
· 普通租户只能配置纳管设备的应用组和Qos策略,应用路径只能看到租户纳管设备出方向的路径。
· 由于CPE站点接入不同POP站点的平面不同,因此CPE跨多个POP转发应用流量时可选路径非常多,可以同一个Flow ID为每个POP下的CPE站点单独配置一个应用组。
支持
