- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
AD-Campus
用户手册
资料版本:5W100-20230316
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
7.2.1 集群节点服务器硬件故障无法恢复,必须更换节点服务器
7.6.16 RSA只支持以下认证类型:PAP,EAP-MD5,PEAP-MD5,PEAP-GTC
H3C应用驱动园区网解决方案(AD-Campus)创新地引入了云原生架构,既实现了网络控制、编排、管理的入口统一,又实现了园区、数据中心和广域网场景的融合,同时通过精细化的数据采集及大数据、AI分析,为园区网络带来智能运维能力。在云原生架构之上,结合SDN+VXLAN的技术,通过构建基于VXLAN的新一代柔性园区基础网络,配合软件定义的相关技术,颠覆传统的园区网“人适应网”的现状,实现整个园区网范围内“网随人动”的效果,在不需要做任何网络配置调整、增加运维复杂度的基础上,让用户和终端可以在整个企业园区的任意角落移动,保持用户和终端始终处于既定的隔离网络、延续既定的网络策略,从而大大降低了园区运维的复杂度,满足智能化、移动化和物联网建设背景下对于园区网络的新诉求。
图1-1 园区网
AD-Campus提供园区全网、全流程自动化能力满足新建、改造、扩容、故障替换等多场景自动化部署需求。
图1-2 自动化部署
AD-Campus解决方案在引入云原生架构以后,可以支持多维融合,在多个维度解决传统园区存在的问题。
· 全场景融合:AD-Campus支持园区、数据中心、广域网多场景跨域融合,通过一套管理平台实现跨场景的网络控制、编排、管理的入口统一。
· 多园区融合:AD-Campus可以实现多园区场景下各园区网络自动部署、策略统一配置、业务随行,降低园区运维的复杂度;也可以实现各个园区本地认证、本地转发、区域自治,简化园区之间的互访复杂度,在员工跨园区出差时能够实现权限自动跟随,实现多园区统一管控、简化运维。
· 多网融合:AD-Campus支持对有线网络、无线网络、光网络融合管理,实现统一资源、统一拓扑、统一认证。
· IP智能光网:不止于光,在场景融合上,做到以太光,EPON,GPON的全场景全产品的丰富融合,支持利旧兼容和网络平滑升级扩容。
在园区网络中物联终端的数量和类型呈快速增长趋势,其管理成为园区网络运维的重要内容。AD-Campus基于主动扫描和被动感知等技术,可以实现物联终端快速感知识别、自动分拣上线,第一时间捕捉并隔离仿冒入网终端,实现端网一体化管控,维护园区网络边界并提升园区网络安全可信水平。
图1-3 端网一体化管控
AD-Campus颠覆了传统园区网络“人随网动”的现状,让网络接入不再拘泥于网络类型、入网方式、IP地址、接入位置等场景限制,跳脱出复杂的网络管理流程。当物理位置发生变化时,业务与用户对应的资源(如IP地址、安全资源、隔离通道等)和策略(如网络策略、安全策略等)可以动态跟随,从而实现了园区网络真正意义上的网随“人”动、业务随行。
图1-4 网随人动
AD-Campus通过智能分析引擎(SeerAnalyzer),结合Telemetry遥测等技术实现全息网络状态快速感知、园区网络可视化。基于大数据、AI学习算法等技术实现全网趋势预测及故障快速定位,从而提升运维管理的效率,让网络管理员从繁杂的网络运维工作中解脱出来,将更多的精力聚焦于业务本身。
图1-5 智能运维
应用驱动园区网解决方案(AD-Campus)通过全息网络数据感知、全场景自动化赋能、端网一体化管控、AI大数据分析等领先技术为企业构建高速智慧园区网络,紧扣各行各业、不同层次的用户需求,在园区业务部署、用户终端管控、数据可视化以及全智能运维等方面不断创新,大大降低了园区运维的复杂度,满足智能化、移动化和物联网建设背景下对于园区网络的新诉求,为用户创造新价值。
图1-6 产品价值
在一个城市里面,除了街道和个人家庭住所之外,都可以被称为是园区。园区网络是园区信息化、数字化的基础设施,在日常工作和生活中起着很重要的作用。应用驱动园区网AD-Campus以应用驱动、汇智联接、构建数字化新联接为宗旨,基于云原生架构打造极简、智能、融合、可信,超宽的智能园区网络。
AD-Campus全网设备自动化上线,将整网设备抽象成三类:Spine、Leaf、Access,仅需Spine、Leaf、Access三份配置文件,采用标准化的动态配置模板,实现各种类型设备的配置统一。各设备基于角色分类,下载动态配置文件,完成自动化上线。
在设备自动化上线的基础上,AD-Campus优化客户体验,提升易用性,由此推出了新自动化部署功能。原自动化和新自动化的差异主要体现在:原自动化需要依赖控制组件和设备共同实现,新自动化可以去除设备依赖,完全由控制组件实现。
新自动化部署的优点包括:
· 组网模型扩展:扩展可自动化的组网模型,对比当前的自动化模型,后期可增加其他设备节点及不同形式组网的自动化功能;
· 去除设备依赖:新的自动化完全由控制组件实现,不需要对设备强依赖,为以后控制组件上云奠定了基础;
· 控制管理清晰:新自动化的控制和配置下发都由控制组件完成,彻底解决了之前控制组件和设备同时自动化的时序差异导致自动化失败的问题;
· 自动化可视化:增加自动化过程的进度显示和正在进行的自动化任务内容日志,增强易用性。
AD-Campus全网设备自动化上线,还能够实现设置白名单功能,设备白名单中的合规设备自动化上线,不在设备白名单内的设备无法入网,保证全网设备合规。
网随人动,即用户移动导致物理位置改变,但用户所属安全组不变、IP网段不变、访问策略不变。例如:办公和财务安全组属于相同私网的不同安全组,终端上线后,自动归属到对应安全组,分配对应网段的IP,两个安全组之间禁止互访。当办公和财务终端发生移动,仍然可以归属到对应安全组,分配对应网段的IP,两个完全组之间仍然不能互访。
在组网中原有设备发生故障等场景,需要用新设备替换原有设备的情况下,可以使用AD-Campus的设备替换功能。设备替换类型可分两类:
· 精确替换:新设备与故障设备型号完全一致,且新设备版本与故障设备版本一致。
· 异构替换:新设备与故障设备型号可以不一样。
无论用户的物理位置、终端类型、接入场景如何改变,都可以实现用户所属安全组不变、IP地址不变、访问策略不变。
例如:办公和财务安全组属于相同私网的不同安全组,并开启名址绑定功能。终端上线后,自动归属到对应安全组,分配对应网段的IP,两个安全组之间禁止互访。当财务人员发生移动,仍然归属到对应的安全组,IP地址不变,两个安全组之间仍然不能互访。
AD-Campus方案中进行网络扩容,支持Underlay、Overlay以及互访策略配置自动扩散,无需手工配置。
虚拟专网随行即用户移动物理位置改变,但用户所属私网不变、安全组不变、IP网段不变、访问策略不变。
例如:办公和财务安全组分别属于不同的虚拟专网。办公和财务终端上线之后,自动归属到对应专网,分配对应网段的IP,两个安全组之间不能互访。办公和财务终端发生移动时,仍然可以归属到对应的安全组,分配对应网段的IP,两个安全组之间仍然不能互访。
AD-Campus方案中支持有线网络与光网络融合部署,支持设备自动化、支持网络部署、策略部署自动化。AD-Campus PON融合方案,即将PON本身当作和以太网交换机一样的物理设备,利用其组网简化的优点,同时AD-Campus保持上层的网随人动、网络自动化等SDN能力,满足用户业务升级、简化网络、降本增效的需求。
AD-Campus方案支持基于MAC地址段、基于IP地址段、基于指纹识别等多种能力,实现海量哑终端智能识别,自动开户、自动上线、自动隔离。例如:打印机和摄像头分别属于不同的逻辑专网VRF。打印机和摄像头被智能识别上线后,自动归属到对应安全组,获取对应网段的IP地址,两种类型哑终端之间不能互访。
AD-Campus方案支持多Fabric场景,设备自动化上线,Underlay网络自动部署,Overlay网络/策略自动部署,用户移动,业务随行。
AD-Campus支持与安全控制组件融合,自动部署安全产品的访问策略、NAT策略、带宽策略等,实现统一运维,提高用户网络的安全性。
AD-Campus支持有线、无线网络一体化融合部署,实现有线、无线网络统一运维、统一转发、统一策略。园区控制组件实现有线无线网络自动化部署,同一用户采用有线或无线终端访问网络,业务权限可保持一致。
AD-Campus方案采用微分段技术,实现用户角色和IP解耦,用户移动业务随行。
· 相同安全组的用户,基于策略矩阵,允许互访,用户移动业务随行。
· 不同安全组的用户,基于策略矩阵,禁止互访,用户移动业务随行。
AD-Campus方案支持IPv6单栈网络设备自动化上线,支持IPv6 Overlay网络、策略自动部署。IPv6网络中,用户任意位置接入,均可获取安全组对应IPv6地址,并可实现用户移动、业务随行。
园WAN融合场景,支持园WAN控制组件融合部署,支持园WAN各站点网络自动部署,支持园WAN业务网络自动拉通。
AD-Campus方案在传统网场景下,采取IP-SGT技术,将VLAN与用户业务解耦,通过设备订阅的方式,从AAA获取IP的角色(SGT)信息,从而实现传统网的大规模网络部署,以及策略随行特性。
AD-Campus解决方案中,可以实现硬件设备和AD-Campus系统软件自身的各项指标的监控,并可以自动产生告警,通过用户设置的告警转发方式通知给运维人员,方便运维人员及时发现网络和系统产生的故障并进行处理解决。通过两种方式进行运维监控:
· 使用统一数字底盘作为运维监控平台。
· 各设备和组件自行上报Syslog或Trap到第三方运维监控平台,由第三方运维监控平台实现监控功能。
同时AD-Campus方案的分析组件以用户体验保障为目的,通过Telemetry采集用户接入和使用网络的指标数据,使用大数据及AI技术分析用户体验健康度及体验问题,并结合网络设备健康度指标数据,关联分析影响用户体验的根因和处理建议。
AD-Campus(应用驱动园区网)方案典型组网中,用户认证成功后,才能加入规划的业务安全组、进行互访及访问外部网络。若认证服务器突然不可达或者状态异常,将导致新接入的终端用户不能正常接入AD-Campus网络,进而不能访问外部网络资源,甚至不能实现用户间互访。
为了避免上述场景下导致的新用户业务不可用,AD-Campus引入了用户逃生方案。当认证服务提供方失效或异常时(认证服务器不可达或服务器状态异常),认证设备进入该状态,允许用户不经过认证直接访问受限或特定的网络资源,从而避免给新用户带来并非自身原因产生的上线失败体验。
园区控制组件支持分权分域管理功能,操作员登录控制组件后,控制组件根据用户所带有的角色属性,为该用户呈现其具有的功能权限。分权管理是保证系统安全可靠运行的有效手段,其核心思想是特定的人只能管理特定的业务,既职责分明,也不会互相越权。分权分域涉及功能点较多,对其相关基本概念介绍如下。
· 权限列表:用户对某一资源类型的操作权限和数据权限,如包含新增、修改、删除和查看权限。
· 角色列表:角色是同一类用户权限的集合。系统采用基于角色的权限控制,可以对用户的权限进行细化分组,便于用户的角色管理。
· 用户分组:管理员根据需要,可以将某些具有相同属性(如:同一个年级、申请了相同的接入服务等)的用户划分为一个组,以便进行管理。
· 业务分组:管理员根据需要,可以将系统中的业务数据(如:接入服务、安全策略等)划分到不同的分组中,只有与分组相关联的管理员和操作员才能对相应分组下的业务数据进行操作。
SeerEngine-Campus是一款基于统一数字底盘开发的应用驱动园区网场景的SDN控制组件,支持有线、无线一体化;光、电网络管理统一化;实现网络简易部署;支持多Fabric,为用户面向模块化建设园区网络提供有效手段;支持名址绑定,策略随行;支持IPv6,助力用户落实IPv6国家行动计划;支持配合SeerAnalyzer等组件使用机器学习等手段提供网络数据分析和业务保障,提高智能运维能力。
终端智能接入(EIA,Endpoint Intelligent Access)用于终端用户的认证上线与接入策略的集中管理。EIA可以实现用户的AAA(Authentication、Authorization、Accounting,认证、授权、计费)功能,作为认证系统。可以按照用户角色、设备类型、接入时间、接入地点等条件自由定义不同的接入场景,对网络访问权限做精细化控制。满足企业多种接入形式、多种终端类型、多种用户角色的统一运维管理需求,确保终端安全策略在整个网络无缝地执行。
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)用来为网络设备动态地分配IP地址等网络配置参数。DHCP采用客户端/服务器通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等相应的配置信息,以实现IP地址等信息的动态配置。
Fabric是一个虚拟的物理连通域,其中包含Spine设备、Leaf设备、物理接入设备和设备组,域内的所有设备均相互可达。
以VXLAN二层网络域为扩展边界的网络设备的集合,一个隔离域可以包含多个Fabric。
添加需纳管的设备,以及设备自动发现。
在园区的网络架构中,设备在不同层次的网络中承担不同的角色,设备角色主要包含以下几类:Spine、Leaf、Aggregation、Access。
作为核心节点角色,南向和Leaf设备建立连接,北向可与外部网络连接实现外网通信。Spine对所有Leaf设备承担RR路由反射器的角色。Spine与Leaf会创建IBGP邻居。
接入层设备,一般用于接入用户的服务器,也是EVPN网络中的VTEP端点的承载角色。
作为Spine和Leaf的中间层,主要用于一些特殊场景。用于拉通Spine和Leaf,扩充Spine接口。
二层设备,工作在Leaf和Server之间,主要用于二层拉通Leaf和Server。Access没有Overlay层业务也不涉及Underlay协议。
该设备在部署EVPN协议的Overlay网络中承担边界网关的功能,设备在组网中作为边界设备。
网络中所需的各类设备资源,包括交换设备、无线设备、安全设备、边界设备组、通用策略组等。
交换设备是指被控制组件纳管的物理网络设备。
无线设备是指无线业务管理平台纳管的无线设备,用于对无线设备进行监视和配置。
PON:Passive Optical Network,无源光网络
· OLT设备(Optical Line Terminal,光线路终端):EPON系统的核心设备,一般放置在中心机房,用于统一管理ONU,并将接入业务汇聚和传递到IP网
· ONU设备(Optical Network Unit,光网络单元):PON系统的用户端设备,用于连接用户PC、机顶盒、交换机等,通常放置在用户家中、楼道或道路两侧,负责响应OLT发出的管理命令,并将用户数据转发到OLT。
· 分光器(Optical Splitter,无源光纤分支器):用于将上行数据汇聚到一根光纤上,并将下行数据分发到各个ONU。
安全设备是指安全业务管理平台纳管的物理和虚拟防火墙设备。
通过将控制组件与安全服务器建立连接,为控制组件提供防火墙等安全服务。
BRAS设备是指被控制组件纳管的宽带远程接入服务器。
边界设备组主要用于选择边界设备和配置出口网络资源池,然后应用于出口网关、园WAN互联、Fabric间互联、隔离域互联等业务配置。
通用策略组用于将组网中业务配置相同的设备和接口加入一个组内,然后绑定相应的策略,同步下发配置。
隔离域主要用于隔离用户网络。配置隔离域时需指定Fabric以确定网络范围,该Fabric上线的设备将属于该隔离域。每个隔离域拥有独立的DHCP系统、认证系统、无线AC控制器。
该功能通过连接多个隔离域间的BGP路由,实现用户跨隔离域互通。
策略模式包括IP策略和组策略,IP策略即基于网段进行流量控制的策略,组策略即基于安全组进行流量控制的策略。
私有网络用于对各虚拟子网间流量进行转发,以及负责虚拟网络到物理网络的流量转发。当虚拟网络和物理网络之间需要互相通信时,必须通过私有网络下配置的网关来实现。在配置私有网络时,需指定私有网络所属隔离域。
用于定义用户和哑终端设备上线时使用的共享网络。
· 二层网络域的策略模式继承所选私有网络的策略模式,且隔离域与私有网络的策略模式需保持一致。
· 二层网络域使用方法包括独享、共享和静态接入,共享模式的二层网络域可以被多个安全组引用;独享模式仅可以被一个安全组引用;静态接入模式的二层网络域可以给指定私网内所有安全组使用,且无需手工绑定,仅普通类型二层网络域才允许配置静态接入。仅策略模式选择为组策略时支持。
用于用户网络和外部网络之间的互通。
防火墙服务应用用于控制组件和安全服务器侧创建策略下发任务,可以基于策略下发任务对防火墙资源下发安全策略。仅Fabric网络类型为VXLAN时支持。
用于实现园区网络和WAN网络之间的连接互通。仅IP策略(即基于网段进行流量控制的策略)的私有网络才可以配置园WAN互联,且园WAN互联仅支持IPv4业务。
路由策略是为了改变网络流量所经过的途径而修改路由信息的技术,主要通过改变路由属性(包括可达性)来实现。路由策略可以用来控制路由的发布、控制路由的接收、管理引入的路由和设置路由的属性。仅VXLAN网络支持。
NQA(Network Quality Analyzer,网络质量分析)是通过发送探测报文,对链路状态、网络性能、网络提供的服务及服务质量进行分析,并为用户提供标识当前网络性能和服务质量的参数,如时延、抖动时间、TCP连接建立时间、FTP连接建立时间和文件传输速率等。利用NQA的分析结果,用户可以及时了解网络的性能状况,针对不同的网络性能进行相应处理并对网络故障进行诊断和定位。
· 普通安全组:主要用于普通用户上线。
· BYOD安全组:主要在MAC Portal认证中使用。仅网络类型为VXLAN时支持。
· 逃生安全组:当认证服务器异常且暂时无法恢复时,上线用户进行逃生处理。当园区的认证设备自动切换到逃生模式时,用户不经过认证过程,可直接进入逃生安全组。
· 外网安全组:表示外部网络的安全组。
· Guest安全组:表示允许用户在未认证的情况下,访问某一特定的资源,通常放置一些用于用户下载客户端软件或其他升级程序的服务器。
· 认证失败安全组:表示允许用户在认证失败的情况下访问某一特定的资源,这里的认证失败是认证服务器因某种原因明确拒绝用户认证通过,比如用户密码错误,而不是认证超时或网络连接等原因造成的认证失败。
· 逃生&认证失败安全组:承载逃生安全组和认证失败安全组的功能。仅网络类型为VXLAN时支持。
· 免认证安全组:主要用于免认证用户上线。仅网络类型为VLAN时支持。
· 无线安全组:用于绑定使用场景为AC管理网的二层网络域。仅支持IP策略。
IT资源组主要用于网络设备资源接入时使用的资源组。VXLAN网络类型的IT资源组需指定所属私有网络。IT资源组需指定允许加入设备的IP地址范围,属于该地址范围的设备才允许加入该资源组。
各安全组间策略,通过相应的网络组间策略对安全组间的流量进行过滤,主要包括允许、拒绝以及重定向等操作。
服务链(Service Chain)是一种引导网络业务报文按次序通过服务节点(Service Node)的转发技术。服务链基于Overlay技术,结合SDN(Software Defined Network,软件定义网络)集中控制理论,可以通过控制组件进行配置。
此处用于创建并管理服务链。仅VXLAN网络类型支持。当组间策略规则中的动作为“重定向”时,需指定服务链(表示匹配规则的流量将被导向相应的服务链)。
作为一种与单播(Unicast)和广播(Broadcast)并列的通信方式,组播(Multicast)技术能够有效地解决单点发送、多点接收的问题,从而实现了网络中点到多点的高效数据传送,能够节约大量网络带宽、降低网络负载。
配置L2组播可以实现组播网络二层互通,配置L3组播、组播策略和SSM映射可以实现组播网络三层互通。
可以对组播报文进行过滤的策略。
通过创建SSM映射,并配置SSM静态映射规则,可以实现运行IGMPv1或IGMPv2的接收主机支持SSM模型。
QoS即服务质量。对于网络业务,影响服务质量的因素包括传输的带宽、传送的时延、数据的丢包率等。在网络中可以通过保证传输的带宽、降低传送的时延、降低数据的丢包率以及时延抖动等措施来提高服务质量。网络资源总是有限的,在保证某类业务的服务质量的同时,可能就是在损害其它业务的服务质量。因此,网络管理者需要根据各种业务的特点来对网络资源进行合理的规划和分配,从而使网络资源得到高效利用。
应用策略作用是在交换设备上采用QoS应用策略指定的流量策略,用于提高报文本地优先级队列,从而保证流量服务质量。
应用分类是将数据报文划分为多个优先级或多个服务类,基于输入接口、源IP地址、目的IP地址、MAC地址、IP协议或应用程序的端口号等创建应用的过滤规则,然后用于应用策略。
用于展示支持动态流量保障的所有应用,即在应用策略中开启动态匹配后,对应配置的流量策略可以选择的应用分类。支持“SKYPE-MEETING”和“CYBER-THREAT”。“SKYPE-MEETING”是对Skype服务器的Skype对话做流量保障,CYBER-THREAT是根据接收到的态势感知系统内容要求做流量保障。
为方便用户快速地接入和退出网络、提高IP地址资源的利用率,IETF设计了一种自动机制来进行IP地址的分配。即DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)。
通过指定DHCP服务器的IP地址,可将控制组件与DHCP服务器建立连接并使用DHCP功能。
AAA(Authentication、Authorization、Accounting,认证、授权、计费)是网络安全的一种管理机制,提供了认证、授权、计费三种安全功能。
· 认证:确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。
· 授权:对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。
· 计费:记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。
通过指定AAA服务器的IP地址,可将控制组件与AAA服务器建立连接并使用AAA功能。
服务是最终用户使用网络的一个途径,它由预先定义的一组网络使用特性组成,其中具体包括基本信息和接入策略信息两部分。服务为用户提供了完善的接入策略,用户申请了特定的服务后,即可按照服务设定的属性访问网络。
接入策略是最终用户使用网络必须符合的要求。其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置等。配置完的接入策略可以被服务引用。用户申请服务并接入网络时,受到服务中接入策略的限制。
为了让同一个接入用户在不同接入条件接入网络时使用不同的接入策略,同时对用户的访问权限进行控制,EIA推出了接入条件管理的功能。
· 如果用户接入的条件与服务中的某个接入条件匹配,则用户认证时使用该条件对应的接入策略。
· 如果用户接入的条件与服务中的多个接入条件匹配,则用户认证时使用优先级高的条件对应的接入策略。
· 如果用户接入的条件与服务中的任何接入条件都不匹配,使用缺省的、安全策略和下发缺省的私有属性,私有属性下发策略。
接入用户中可以快速查询申请了接入帐号的用户。管理员查询接入用户时,查询出的用户均为该管理员所能管理/查看的用户。
访客用户可以显示了已经通过注册的访客。访客的简单查询功能可以让操作员快速找到特定的访客。
IP地址管理提供全生命周期地址管理能力,包括IP地址规划、分配、回收、统计。IP地址管理是对网络资源管理功能的完善,其作用是统一管理认证终端的IP地址,解决人工维护管理成本高以及缺乏有力的IP地址管控手段,造成大量的在网问题。
Portal是一种认证客户端和BAS设备之间的信息交互协议,主要应用于基于WEB的宽带接入认证系统中,完成用户的认证和授权。
Portal服务器通过实现Portal协议来控制Portal客户端与设备之间的交互来完成用户认证过程,用户只有认证通过后才能在运营商的管理下访问网络资源。
LDAP服务器是一种以目录树结构存储用户信息的服务器。LDAP服务器中存储的用户称为LDAP用户。
EIA组件可以将本系统中的接入用户和LDAP用户相关联。当接入用户发起认证请求时,本系统确认存在此用户后,根据配置执行本地LDAP用户的验证或将验证工作转交给LDAP服务器。实现此功能后,在相对稳定的网络中引入本系统时,不需要重建用户信息数据库,节省了大量的维护成本。
无论用户的物理位置、终端类型、接入场景如何改变,都可以实现用户所属安全组不变、IP地址不变、访问策略不变。该功能用于为帐号绑定IP地址。
对分级服务的节点进行管理,包含上级节点、下级节点、当前节点。
(1) 上级节点:包含上级节点的基本信息,并提供对用户同步、全量同步等基本功能。
(2) 下级节点:包含所有直系下级节点信息,并提供增加下级节点、查看下级节点详细信息、策略同步配置、用户同步配置、查看同步用户、查看用户同步历史、修改下级节点、删除下级节点等功能。
(3) 当前节点:包含当前节点的基本信息,可进行节点名称和协议类型的配置。
如果当前节点拥有上级节点或者下级节点且连接正常,修改当前节点时,当前节点信息也会同步到该节点的上级和下级节点。
上级节点有权限修改当前节点的配置项。上级节点添加当前节点为下级节点或者修改当前节点时,当前节点信息会跟随更新。
EVPN(Ethernet Virtual Private Network,以太网虚拟专用网络)是一种基于Overlay技术的二层网络互联技术,具有部署简单、扩展性强等优点。EVPN采用MP-BGP协议通告MAC/IP的可达性和组播等信息,通过生成的MAC表项和路由表项进行二/三层报文转发,以实现二层网络互联。
VXLAN(Virtual eXtensible LAN,可扩展虚拟局域网络)是基于IP网络、采用“MAC in UDP”封装形式的二层VPN技术。VXLAN可以基于已有的服务提供商或企业IP网络,为分散的物理站点提供二层互联,并能够为不同的租户提供业务隔离。VXLAN主要应用于园区和数据中心网络接入网络。
· 虚拟机迁移IP、MAC不变:采用了MAC in UDP的封装方式,实现原始二层报文在IP网络中的透明传输,保证虚拟机迁移前后的IP和MAC不变。
· 易于维护:基于IP网络组建大二层网络,使得网络部署和维护更加容易,并且可以充分地利用现有的IP网络技术,例如利用等价路由进行负载分担等;只有IP核心网络的边缘设备需要进行VXLAN处理,网络中间设备只需根据IP头转发报文,降低了网络部署的难度和费用。
图2-1 VXLAN网络模型示意图
如图2-1所示,VXLAN的典型网络模型中包括如下几部分:
· 用户终端(Terminal):用户终端设备可以是PC机、无线终端设备、服务器上创建的VM(Virtual Machine,虚拟机)等。不同的用户终端可以属于不同的VXLAN。属于相同VXLAN的用户终端处于同一个逻辑二层网络,彼此之间二层互通;属于不同VXLAN的用户终端之间二层隔离。
本文档中如无特殊说明,均以VM为例介绍VXLAN工作机制。采用其他类型用户终端时,VXLAN工作机制与VM相同,不再赘述。
· VTEP(VXLAN Tunnel End Point,VXLAN隧道端点):VXLAN的边缘设备。VXLAN的相关处理都在VTEP上进行,例如识别以太网数据帧所属的VXLAN、基于VXLAN对数据帧进行二层转发、封装和解封装报文等。VTEP可以是一台独立的物理设备,也可以是虚拟机所在的服务器。VTEP可以划分为VTEP和GW两种角色:
¡ VTEP:只支持VXLAN二层转发功能的设备,即只能在相同VXLAN内进行二层转发。
¡ GW:可以进行跨VXLAN或者访问外部IP网络等三层转发的设备。根据部署方式,GW可以分为集中式网关和分布式网关两种。
· VXLAN隧道:两个VTEP之间的点到点逻辑隧道。VTEP为数据帧封装VXLAN头、UDP头和IP头后,通过VXLAN隧道将封装后的报文转发给远端VTEP,远端VTEP对其进行解封装。
· 核心设备:IP核心网络中的设备(如图2-1中的P设备)。核心设备不参与EVPN处理,仅需要根据封装后报文的外层目的IP地址对报文进行三层转发。
· VXLAN网络:用户网络可能包括分布在不同地理位置的多个站点内的用户终端。在骨干网上可以利用VXLAN隧道将这些站点连接起来,为用户提供一个逻辑的二层VPN。这个二层VPN称为一个VXLAN网络。VXLAN网络通过VXLAN ID来标识,VXLAN ID又称VNI(VXLAN Network Identifier,VXLAN网络标识符),其长度为24比特。不同VXLAN网络中的用户终端不能二层互通。
· VSI(Virtual Switch Instance,虚拟交换实例):VTEP上为一个VXLAN提供二层交换服务的虚拟交换实例。VSI可以看作是VTEP上的一台基于VXLAN进行二层转发的虚拟交换机。它具有传统以太网交换机的所有功能,包括源MAC地址学习,MAC地址老化,泛洪等。VSI与VXLAN一一对应。
· VSI-Interface(VSI的虚拟三层接口):作为VXLAN内虚拟机的网关,用于处理跨VXLAN网络的报文转发。一个VXLAN网络对应一个VSI-Interface。
IRF(Intelligent Resilient Framework,智能弹性架构)是H3C自主研发的软件虚拟化技术。它的核心思想是将多台设备连接在一起,进行必要的配置后,虚拟化成一台设备。使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力,实现多台设备的协同工作、统一管理和不间断维护。
IRF主要具有以下优点:
· 简化管理:IRF形成之后,用户通过任意成员设备的任意端口都可以登录IRF系统,对IRF内所有成员设备进行统一管理。
· 1:N备份:IRF由多台成员设备组成,其中,主设备负责IRF的运行、管理和维护,从设备在作为备份的同时也可以处理业务。一旦主设备故障,系统会迅速自动选举新的主设备,以保证业务不中断,从而实现了设备的1:N备份。
· 跨成员设备的链路聚合:IRF和上、下层设备之间的物理链路支持聚合功能,并且不同成员设备上的物理链路可以聚合成一个逻辑链路,多条物理链路之间可以互为备份也可以进行负载分担,当某个成员设备离开IRF,其它成员设备上的链路仍能收发报文,从而提高了聚合链路的可靠性。
· 强大的网络扩展能力:通过增加成员设备,可以轻松自如地扩展IRF的端口数、带宽。因为各成员设备都有CPU,能够独立处理协议报文、进行报文转发,所以IRF还能轻松自如的扩展处理能力。
如图2-2所示,两台设备组成IRF,对上、下层设备来说,它们就是一台设备——IRF。所有成员设备上的资源归该虚拟设备IRF拥有并由主设备统一管理。
图2-2 IRF组网应用示意图
如图2-3所示,Device A和Device B组成IRF后,IRF拥有四块主控板(一块主用主控板,三块备用主控板),两块接口板。IRF统一管理Device A和Device B的物理资源和软件资源。(分布式)
图2-3 IRF虚拟化示意图
如图2-4所示,普通聚合的链路只能够在一台设备上,只能提供链路级的保护,当设备故障以后,普通聚合将无法工作,所以需要设备级保护的技术。M-LAG(Multichassis link aggregation,跨设备链路聚合)是基于IEEE P802.1AX协议的跨设备链路聚合技术。M-LAG将两台物理设备虚拟成一台设备来实现跨设备链路聚合,从而提供设备级冗余保护和流量负载分担。
图2-4 链路聚合和M-LAG对比示意图
M-LAG作为一种跨设备链路聚合的技术,除了具备增加带宽、提高链路可靠性、负载分担的优势外,还具备以下优势:
· 无环拓扑
M-LAG提供无环拓扑,即使在M-LAG组网中部署STP,M-LAG组网中的接口也不会被STP阻塞。
· 更高的可靠性
把链路可靠性从单板级提高到了设备级。
· 双归接入
允许设备双归接入,将两台设备的链路进行聚合,实现流量负载分担。
· 用户流量不中断
M-LAG组网中的接口、链路或者设备发生故障时,可将用户流量快速切换到正常设备/链路转发,确保用户业务不中断。
· 简化组网及配置
提供了一个没有环路的二层拓扑,同时实现冗余备份,不再需要繁琐的防环协议配置,极大地简化了组网及配置。
· 独立升级
两台设备可以分别进行升级,保证有一台设备正常工作即可,对正在运行的业务几乎没有影响。
如图2-5所示,Device D接入到Device A和Device B组成的M-LAG系统,通过Device A和Device B共同进行流量转发,保证网络的可靠性。
图2-5 M-LAG组网示意图
M-LAG涉及的相关概念如下:
· M-LAG主设备:部署M-LAG且状态为Primary的设备。
· M-LAG备设备:部署M-LAG且状态为Secondary的设备。
· peer-link链路:M-LAG设备间的交互M-LAG协议报文及传输数据流量的链路。peer-link可以是聚合链路,也可以是Tunnel隧道,管理员需要根据不同组网环境选择peer-link链路。当采用聚合链路作为peer-link链路时,建议将多条链路进行聚合。一个M-LAG系统只有一条peer-link链路。
· peer-link接口:peer-link链路对应的接口,可以是聚合接口,也可以是Tunnel接口。每台M-LAG设备只有一个peer-link接口。
· Keepalive链路:M-LAG主备设备间的一条三层互通链路,用于M-LAG主备设备间检测邻居状态,即通过交互Keepalive报文来进行peer-link链路故障时的双主检测。
· M-LAG组:用于部署M-LAG设备之间的配对,M-LAG设备上相同编号的M-LAG接口属于同一M-LAG组。
· M-LAG接口:M-LAG主备设备与外部设备相连的二层聚合接口。为了提高可靠性,需要使用动态聚合。M-LAG设备上相同编号的M-LAG接口属于同一M-LAG组。M-LAG组ID为M-LAG接口编号。
M-LAG的角色区分为主和备,正常情况下,主设备和备设备同时进行业务流量的转发,转发行为没有区别,仅在故障场景下,主备设备的行为会有差别。
· 双归接入M-LAG网络模型
如图2-6所示,Device D设备和Server分别双归接入Device A与Device B组成的M-LAG系统。Device A与Device B形成负载分担,共同进行流量转发,当其中一台设备发生故障时,流量可以快速切换到另一台设备,保证业务的正常运行。
图2-6 双归接入M-LAG网络模型示意图
· 单归接入M-LAG网络模型
单归接入是指一台外部设备仅接入M-LAG系统的其中一台M-LAG设备。该外部设备称为单挂设备。
根据接入接口的不同,单归接入分为:
¡ M-LAG单归接入:通过M-LAG接口接入M-LAG系统的其中一台M-LAG设备。
¡ 非M-LAG单归接入:通过非M-LAG接口接入M-LAG系统的其中一台M-LAG设备。
如图2-7所示,Device D设备以M-LAG单归接入方式接入M-LAG系统,Device E设备以非M-LAG单归接入方式接入M-LAG系统。Device D和Device E以单归方式接入M-LAG系统,Device D和Device E的MAC地址、ARP/ND等表项会M-LAG系统间进行备份,为南北向流量提供备份路径,提高可靠性。
图2-7 单归接入M-LAG网络模型示意图
设备角色:在园区的网络架构中,设备在不同层次的网络中承担不同的角色,设备角色主要包含以下几类:
· Spine:作为核心节点角色,南向和Leaf设备建立连接,北向可与外部网络连接实现外网通信。Spine对所有Leaf设备承担RR路由反射器的角色。Spine与Leaf会创建IBGP邻居。
· Leaf:接入层设备,一般用于接入用户的服务器,也是EVPN网络中的VTEP端点的承载角色。
· Aggregation:作为Spine和Leaf的中间层,主要用于一些特殊场景。用于拉通Spine和Leaf,扩充Spine接口。
· Access:二层设备,工作在Leaf和终端之间,主要用于二层拉通Leaf和终端。Access没有Overlay层业务也不涉及Underlay协议。
NETCONF(Network Configuration Protocol,网络配置协议)是一种基于XML的网络管理协议,它提供了一种可编程的、对网络设备进行配置和管理的方法。用户可以通过该协议设置属性、获取属性值、获取统计信息等。这使得它在第三方软件的开发上非常便利,很容易开发出在混合不同厂商、不同设备的环境下的特殊定制的网管软件。
NETCONF协议采用分层结构,分为内容层(Content)、操作层(Operations)、RPC(Remote Procedure Call,远程调用)层和通信协议层(Transport Protocol)等。
表2-1 XML分层与NETCONF分层模型对应关系
|
NETCONF分层 |
XML分层 |
说明 |
|
内容层 |
配置数据、状态数据、统计信息等 |
被管理对象的集合,可以是配置数据、状态数据、统计信息等 |
|
操作层 |
<get>,<get-config>,<edit-config> |
在RPC中应用的基本的原语操作集,这些操作组成NETCONF的基本能力 NETCONF全面地定义了对被管理设备的各种基础操作 |
|
RPC层 |
<rpc>,<rpc-reply> |
为RPC模块的编码提供了简单的、传输协议无关的机制。通过使用<rpc>和<rpc-reply>元素分别对NETCONF请求和响应数据(即操作层和内容层的内容)进行封装 |
|
通信协议层 |
非FIPS模式下:Console/Telnet/SSH/HTTP/HTTPS/TLS FIPS模式下: Console/SSH/HTTPS/TLS |
为NETCONF提供面向连接的、可靠的、顺序的数据链路。 非FIPS模式下: · NETCONF支持Telnet、SSH和Console等CLI登录方式/协议,即NETCONF over SSH、NETCONF over Telnet和NETCONF over Console · NETCONF支持HTTP和HTTPS协议,即NETCONF over HTTP和NETCONF over HTTPS · NETCONF支持封装成SOAP(Simple Object Access Protocol,简单对象访问协议)报文后通过HTTP或HTTPS协议传输,即NETCONF over SOAP over HTTP和NETCONF over SOAP over HTTPS FIPS模式下: · NETCONF支持SSH和Console等CLI方式/协议,即NETCONF over SSH和NETCONF over Console · NETCONF支持HTTPS登录协议,即NETCONF over HTTPS · NETCONF支持封装成SOAP报文后通过HTTPS协议传输,即NETCONF over SOAP over HTTPS |
SNMP(Simple Network Management Protocol,简单网络管理协议)广泛用于网络设备的远程管理和操作。SNMP允许管理员通过NMS对网络上不同厂商、不同物理特性、采用不同互联技术的设备进行管理,包括状态监控、数据采集和故障处理。
SNMP网络架构由三部分组成:NMS、Agent和MIB。NMS、Agent和MIB之间的关系如图2-8所示。
· NMS(Network Management System,网络管理系统)是SNMP网络的管理者,能够提供友好的人机交互界面,来获取、设置Agent上参数的值,方便网络管理员完成大多数的网络管理工作。
· Agent是SNMP网络的被管理者,负责接收、处理来自NMS的SNMP报文。在某些情况下,如接口状态发生改变时,Agent也会主动向NMS发送告警信息。
· MIB(Management Information Base,管理信息库)是被管理对象的集合。NMS管理设备的时候,通常会关注设备的一些参数,比如接口状态、CPU利用率等,这些参数就是被管理对象,在MIB中称为节点。每个Agent都有自己的MIB。MIB定义了节点之间的层次关系以及对象的一系列属性,比如对象的名称、访问权限和数据类型等。被管理设备都有自己的MIB文件,在NMS上编译这些MIB文件,就能生成该设备的MIB。NMS根据访问权限对MIB节点进行读/写操作,从而实现对Agent的管理。
图2-8 NMS、Agent和MIB关系图
MIB以树状结构进行存储。树的每个节点都是一个被管理对象,它用从根开始的一条路径唯一地识别(OID)。如图2-9所示,被管理对象B可以用一串数字{1.2.1.1}唯一确定,这串数字是被管理对象的OID(Object Identifier,对象标识符)。
MIB视图是MIB的子集合,将团体名/用户名与MIB视图绑定,可以限制NMS能够访问的MIB对象。当用户配置MIB视图包含某个MIB子树时,NMS可以访问该子树的所有节点;当用户配置MIB视图不包含某个MIB子树时,NMS不能访问该子树的所有节点。
图2-9 MIB树结构
目前,设备运行于非FIPS(Federal Information Processing Standards,联邦信息处理标准模式时,支持SNMPv1、SNMPv2c和SNMPv3三种版本;设备运行于FIPS模式时,只支持SNMPv3版本。只有NMS和Agent使用的SNMP版本相同时,NMS才能和Agent建立连接。
· SNMPv1采用团体名(Community Name)认证机制。团体名类似于密码,用来限制NMS和Agent之间的通信。如果NMS配置的团体名和被管理设备上配置的团体名不同,则NMS和Agent不能建立SNMP连接,从而导致NMS无法访问Agent,Agent发送的告警信息也会被NMS丢弃。
· SNMPv2c也采用团体名认证机制。SNMPv2c对SNMPv1的功能进行了扩展:提供了更多的操作类型;支持更多的数据类型;提供了更丰富的错误代码,能够更细致地区分错误。
· SNMPv3采用USM(User-Based Security Model,基于用户的安全模型)认证机制。网络管理员可以配置认证和加密功能。认证用于验证报文发送方的合法性,避免非法用户的访问;加密则是对NMS和Agent之间的传输报文进行加密,以免被窃听。采用认证和加密功能可以为NMS和Agent之间的通信提供更高的安全性。
SSH是Secure Shell(安全外壳)的简称,是一种在不安全的网络环境中,通过加密机制和认证机制,实现安全的远程访问以及文件传输等业务的网络安全协议。
SSH协议采用了典型的客户端/服务器模式,并基于TCP协议协商建立用于保护数据传输的会话通道。SSH协议有两个版本,SSH1.x和SSH2.0(本文简称SSH1和SSH2),两者互不兼容。SSH2在性能和安全性方面比SSH1有所提高。
设备既可以支持SSH服务器功能,接受多个SSH客户端的连接,也可以支持SSH客户端功能,允许用户通过设备与远程SSH服务器建立SSH连接。
目前,设备支持以下几种SSH应用。
· Secure Telnet:简称Stelnet,可提供安全可靠的网络终端访问服务,使得用户可以安全登录到远程设备,且能保护远程设备不受诸如IP地址欺诈、明文密码截取等攻击。设备可支持Stelnet服务器、Stelnet客户端功能。
· Secure FTP:简称SFTP,基于SSH2,可提供安全可靠的网络文件传输服务,使得用户可以安全登录到远程设备上进行文件管理操作,且能保证文件传输的安全性。设备可支持SFTP服务器、SFTP客户端功能。
· Secure Copy:简称SCP,基于SSH2,可提供安全的文件复制功能。设备可支持SCP服务器、SCP客户端功能。
· NETCONF over SSH:基于SSH2,提供通过SSH连接给设备下发NETCONF指令的功能,使得用户可以安全登录到远程设备并直接进入到设备的NETCONF系统中进行配置和管理操作。设备仅支持作为NETCONF over SSH连接的服务器端。关于NETCONF系统的详细介绍,请参见“网络管理和监控配置指导”中的“NETCONF”。
目前,设备作为Stelnet服务器、SFTP服务器、SCP服务器时,非FIPS模式下支持SSH2和SSH1两个版本,FIPS模式下只支持SSH2版本;设备作为SSH客户端时,只支持SSH2版本;设备作为NETCONF over SSH服务器端时,只支持SSH2版本。
以SSH2为例介绍SSH工作的过程,具体分为表2-2所述的几个阶段。
表2-2 SSH工作过程
|
阶段 |
说明 |
|
|
连接建立 |
SSH服务器在22号端口侦听客户端的连接请求,在客户端向服务器端发起连接请求后,双方建立一个TCP连接 |
|
|
版本协商 |
双方通过版本协商确定最终使用的SSH版本号 |
|
|
算法协商 |
SSH支持多种算法,双方根据本端和对端支持的算法,协商出最终用于产生会话密钥的密钥交换算法、用于数据信息加密的加密算法、用于进行数字签名和认证的公钥算法,以及用于数据完整性保护的HMAC算法 |
|
|
密钥交换 |
双方通过DH(Diffie-Hellman Exchange)交换,动态地生成用于保护数据传输的会话密钥和用来标识该SSH连接的会话ID,并完成客户端对服务器端的身份认证 |
|
|
用户认证 |
SSH客户端向服务器端发起认证请求,服务器端对客户端进行认证 |
|
|
会话请求 |
认证通过后,SSH客户端向服务器端发送会话请求,请求服务器提供某种类型的服务(目前支持Stelnet、SFTP、SCP、NETCONF),即请求与服务器建立相应的会话 |
|
|
会话交互 |
会话建立后,SSH服务器端和客户端在该会话上进行数据信息的交互 该阶段,用户在客户端可以通过粘贴文本内容的方式执行命令,但文本会话不能超过2000字节,且粘贴的命令最好是同一视图下的命令,否则服务器可能无法正确执行该命令。如果粘贴的文本会话超过2000字节,可以采用将配置文件通过SFTP方式上传到服务器,利用新的配置文件重新启动的方式执行这些命令 |
|
设备作为SSH服务器可提供以下几种对客户端的认证方式。
(1) password认证
利用AAA(Authentication、Authorization、Accounting,认证、授权和计费)对客户端身份进行认证。客户端向服务器发出password认证请求,将用户名和密码加密后发送给服务器;服务器将认证请求解密后得到用户名和密码的明文,通过本地认证或远程认证验证用户名和密码的合法性,并返回认证成功或失败的消息。
客户端进行password认证时,如果远程认证服务器要求用户进行二次密码认证,则会在发送给服务器端的认证回应消息中携带一个提示信息,该提示信息被服务器端透传给客户端,由客户端输出并要求用户再次输入一个指定类型的密码,当用户提交正确的密码并成功通过认证服务器的验证后,服务器端才会返回认证成功的消息。
SSH1版本的SSH客户端不支持AAA服务器发起的二次密码认证。
(2) keyboard-interactive认证
该认证方式与password认证方式类似,相较于password认证,该认证方式提供了可变的交互信息。客户端进行keyboard-interactive认证时,如果远程认证服务器要求用户进行交互认证,则远程认证服务器会在发送给服务器端的认证回应消息中携带一个提示信息,该提示信息被服务器端透传给客户端,在客户端终端上显示并要求用户输入指定的信息。当用户提交正确的信息后,若远程认证服务器继续要求用户输入其它的信息,则重复以上过程,直到用户输入了所有远程认证服务器要求的信息后,远程认证服务器才会返回认证成功的消息。
(3) publickey认证
采用数字签名的方式来认证客户端。目前,设备上可以利用DSA、ECDSA、RSA三种公钥算法实现数字签名。客户端发送包含用户名、公钥和公钥算法或者携带公钥信息的数字证书的publickey认证请求给服务器端。服务器对公钥进行合法性检查,如果合法,则发送消息请求客户端的数字签名;如果不合法,则直接发送失败消息;服务器收到客户端的数字签名之后,使用客户端的公钥对其进行解密,并根据计算结果返回认证成功或失败的消息。
(4) password-publickey认证
对于SSH2版本的客户端,要求同时进行password和publickey两种方式的认证,且只有两种认证均通过的情况下,才认为客户端身份认证通过;对于SSH1版本的客户端,只要通过其中任意一种认证即可。
(5) any认证
不指定客户端的认证方式,客户端可采用keyboard-interactive认证、password认证或publickey认证,且只要通过其中任何一种认证即可。
gRPC(Google Remote Procedure Call,Google远程过程调用)是Google发布的基于HTTP 2.0协议承载的高性能开源软件框架,提供了支持多种编程语言的、对网络设备进行配置和管理的方法。通信双方可以基于该软件框架进行二次开发。
gRPC协议栈分层如图2-10所示。自下而上各层的含义为:
· TCP传输层:TCP提供面向连接的、可靠的数据链路。
· TLS(Transport Layer Security,传输层安全)传输层:该层是可选的,设备和采集器可以基于TLS协议进行通道加密和双向证书认证,实现安全通信。
· HTTP 2.0应用层:gRPC承载在HTTP 2.0协议上,利用了该协议的首部数据压缩、单TCP连接支持多路请求、流量控制等性能增强特性。
· gRPC层:定义了RPC(Remote Procedure Call,远程过程调用)的协议交互格式。公共RPC方法定义在公共proto文件中,例如grpc_dialout.proto。
· 内容层:用于承载编码后的业务数据。业务数据的编码格式包括:
¡ GPB(Google Protocol Buffer):高效的二进制编码格式,通过proto文件描述编码使用的数据结构。在设备和采集器之间传输数据时,该编码格式的数据比其他格式(如JSON)的数据具有更高的信息负载能力。业务数据使用GPB格式编码时,需要配合对应的业务模块proto文件才能解码。
¡ JSON(JavaScript Object Notation):轻量级的数据交换格式,采用独立于编程语言的文本格式来存储和表示数据,易于阅读和编写。业务数据使用JSON格式编码时,通过公共proto文件即可解码,无需对应的业务模块proto文件。
图2-10 gRPC协议栈分层
如图2-11所示,gRPC网络采用客户端/服务器模型,使用HTTP 2.0协议传输报文。
图2-11 gRPC网络架构
gRPC网络的工作机制如下:
(1) 服务器通过监听指定服务端口来等待客户端的连接请求。
(2) 用户通过执行客户端程序登录到服务器。
(3) 客户端调用.proto文件提供的gRPC方法发送请求消息。
(4) 服务器回复应答消息。
H3C设备支持作为gRPC服务器或者gRPC客户端。
.proto文件使用protocol buffers语言编写。protocol buffers是Google开发的数据描述语言,用于自定义数据结构并生成基于各种语言的代码,在序列化和结构化数据方面比XML语言更简单、解析更快。
WebSocket是一种在单个TCP连接上进行全双工通信的协议。WebSocket通信协议于2011年被
IETF定为标准RFC 6455,并由RFC7936补充规范。WebSocket API也被W3C定为标准。
WebSocket使得客户端和服务器之间的数据交换变得更加简单,允许服务端主动向客户端推送数
据。在WebSocket API中,浏览器和服务器只需要完成一次握手,两者之间就直接可以创建持久
性的连接,并进行双向数据传输。
具有如下特征:
· 一种应用层协议,基于TCP传输协议,复用HTTP的握手通道
· 支持双向通信
· 一次握手,创建持久性的连接
相对于HTTP协议的优势:
· 较少的控制开销。连接创建后,ws客户端、服务端进行数据交换时,协议控制的数据包头部较小。在不包含头部的情况下,服务端到客户端的包头只有2~10字节(取决于数据包长度),客户端到服务端的的话,需要加上额外的4字节的掩码。而HTTP协议每次通信都需要携带完整的头部。
· 更强的实时性。由于协议是全双工的,所以服务器可以随时主动给客户端下发数据。相对于HTTP请求需要等待客户端发起请求服务端才能响应,延迟明显更少;即使是和Comet等类似的长轮询比较,其也能在短时间内更多次地传递数据。
· 保持连接状态。与HTTP不同的是,WebSocket需要先创建连接,这就使得其成为一种有状态的协议,之后通信时可以省略部分状态信息。而HTTP请求可能需要在每个请求都携带状态信息(如身份认证等)。
· 更好的二进制支持。WebSocket定义了二进制帧,相对HTTP,可以更轻松地处理二进制内容。可以支持扩展。ws协议定义了扩展,用户可以扩展协议,或者实现自定义的子协议。(比如支持自定义压缩算法等)
· 更好的压缩效果。相对于HTTP压缩,WebSocket在适当的扩展支持下,可以沿用之前内容的上下文,在传递类似的数据时,可以显著地提高压缩率。
(1) 登录SeerEngine-Campus,进入[自动化>园区网络>Fabrics]页面,单击<增加>按钮,进入Fabric配置页面进行创建Fabric。
(2) 在Fabric配置页面指定名称、AS号、业务自动化和业务随行开关等配置。
(3) 单击<确定>按钮,完成配置
图3-1 Fabric配置
表3-1 Fabric参数配置
|
参数 |
说明 |
|
网络类型 |
包括VLAN和VXLAN两种网络类型。网络类型为VXLAN模式时纳管的Spine、Leaf设备若占用设备系列授权也需要同步占用虚拟网络自动化和业务随行授权,网络类型为VLAN模式时纳管的交换设备若占用设备系列授权也需要同步占用业务随行授权,授权不足会导致设备纳管失败 |
|
AS号 |
本地AS号,如需使用Fabric连接和自动化上线功能,则必须配置该参数 |
|
业务自动化 |
业务自动化授权。若为关闭状态,Fabric无法加入隔离域,若为开启状态,需要选择需要加入的隔离域 |
|
组播网络 |
组播功能开关。默认关闭 |
|
业务随行 |
业务随行授权。若为关闭状态,无法在该Fabirc下创建安全组 |
|
Underlay网络固化 |
默认为关闭。开启状态下,控制组件不允许纳管新设备和删除设备,不允许自动化上线等操作,当网络处于非稳态时,比如有设备在纳管中、上线中、配置恢复中,不允许开启和关闭固化 |
|
延迟配置Access接口PVID |
控制组件在Access设备激活时自动下发PVID,若选择“开启”,则设备激活时不下发PVID,激活后可以手动配置PVID |
|
DHCP Snooping Enable Vlan范围 |
默认2-4094,用于配置DHCP Snooping的作用范围 |
|
Voice VLAN |
Fabirc下的所有Access设备默认是否使能Voice VLAN功能开关,开启则此Fabric下的Access设备的默认接口VLAN包含Voice VLAN,关闭则此Fabric下的Access设备的默认接口VLAN不包含Voice VLAN |
(1) 进入[自动化>园区网络>网络参数>DHCP]页面,单击<增加>按钮,进入增加DHCP服务器页面。
(2) 在增加DHCP服务器页面配置管理方式、IPv4地址等配置。
(3) 单击<确定>按钮,完成配置。
图3-2 DHCP服务器
表3-2 DHCP服务器
|
参数 |
说明 |
|
管理方式 |
包括紧耦合和松耦合: · 紧耦合:控制组件对该DHCP服务器进行配置下发和管理 · 松耦合:仅满足基本的DHCP功能,控制组件不对该DHCP服务器进行配置下发和管理 |
|
IPv4地址1 |
第一台DHCP服务器的IPv4地址 |
|
IPv4地址2 |
第二台DHCP服务器的IPv4地址 |
|
厂商 |
DHCP服务器的类型,必选,无缺省值,支持三种DHCP服务器类型,分别为H3C、Microsoft、Infoblox |
|
使能高可用 |
集群环境时必须勾选;若是单机环境,则不需要勾选 |
|
启用双栈 |
涉及IPv6自动化或者用户IPv6业务时开启 |
园区VLAN1地址池:用于在自动化上线时分配管理IP,当控制组件在IPv6环境部署时,支持IPv6地址。对于IPv4地址池,支持是否绑定企业码的功能。如果选择绑定,企业码信息会随地址池一并下发到DHCP服务器上,如果终端具有优先从对应企业码获取IP的能力,则优先从该DHCP服务器获取地址。
园区VLAN4094地址池:此类型的IP地址池为业务使用。支持IPv4和IPv6地址。
(1) 进入[自动化>园区网络>网络设备>IP地址池]页面,单击<增加>按钮,进入增加IP地址池页面。
(2) 在增加IP地址池页面配置地址池类型、地址池、网关地址等配置。
(3) 创建VLAN1地址池,类型选择“园区VLAN1网络”,地址池填写在L3 Switch设备中设置的VLAN 1(88.88.88.0/24)网段的IP地址。“网关地址”是L3 Switch设置的VLAN 1的IP地址。
(4) 单击<确定>按钮,完成配置。
图3-3 IP地址池
(5) 创建VLAN4094地址池,类型选择“园区VLAN4094网络”,地址池填写在L3 Switch设备中设置的VLAN 4094(211.0.0.0/24)网段的IP地址。“网关地址”是L3 Switch设置的VLAN 4094的IP地址。
图3-4 新建VLAN4094地址池
(6) 单击<确定>按钮,完成配置。
(1) 进入[向导>园区向导>设备上线规划]页面,进入基础配置页面。
(2) 选择3.1.1 增加Fabric创建的Fabric,本例中“是否使用新自动化”选项选择“否”,填写RR MAC。
若“是否使用新自动化”选项选择“是”,则为新自动化设备上线配置过程。
图3-5 基础配置
(1) 单击<下一步>按钮,进入地址池配置页面。
(2) DHCP服务器选择3.1.2 增加DHCP服务器创建的DHCP服务器器。
(3) VLAN1地址池和VLAN4094地址池分别选择3.1.3 增加IP地址池创建的VlAN1和VLAN4094两个地址池。
图3-6 地址池设置
(1) 单击<下一步>按钮,进入设备配置模板页面,基于设备角色,配置设备模板,即自动化模板配置:
图3-7 新建设备角色模板
表3-3 设备角色模板
|
参数 |
说明 |
|
本地用户名和密码 |
如果与页面下方“设备控制协议模板”中NETCONF协议配置的用户名相同,则密码必须一致;本地用户名和密码可以和“设备控制协议模板”中NETCONF协议配置的用户名不一致。“设备控制协议模板”中NETCONF协议配置的用户名和密码用于控制组件访问设备,本地用户名和密码用于Spine设备访问Leaf设备 |
|
NTP服务器 |
若部署统一数字底盘时配置了内置NTP服务器,此处推荐配置NTP服务器IP为统一数字底盘的集群北向业务IP。可以填写客户组网中的NTP时间服务器地址,保证网络互通 |
|
设备控制协议模板 |
选择默认的设备控制协议模板。默认的设备控制协议模板内的用户名和密码为空,用户可以去[自动化>园区网络>Fabrics>自动化部署>设备控制协议模板]处修改 |
(2) 若为三层架构组网,模板角色区域需勾选“Spine模板”、“Leaf模板/Single Leaf模板”和“Access模板”,且“Leaf模板/Single Leaf模板”中勾选Leaf模板。
(3) 模板角色区域中各模板参数说明配置如下,结果如下图所示。
图3-8 Spine模板
图3-9 修改设备控制协议模板
表3-4 模板参数
|
参数 |
说明 |
|
支持版本升级 |
默认“否”,不支持自动化时升级软件版本。若用户有需求则可以修改为“是”,可以在自动化过程中升级版本,可以选择根据不同方式升级 |
|
软件版本 |
设备需要升级的版本,目前只支持同型号设备一起升级 |
|
设备控制协议模板 |
初始的设备控制协议模板里未设置密码,故需要单击模板修改配置密码,如果“设备控制协议模板”中NETCONF协议配置的用户名与页面上方本地的用户名相同,则密码必须一致 |
|
Master Spine MAC |
指定Master Spine设备的桥MAC地址。用于分配Underlay IP地址和Underlay VLAN。(如果Spine是堆叠设备,则Spine模板中填写的桥MAC对应的Spine为主设备) |
|
Underlay IP范围 |
指定地址范围。用于Loopback 0接口地址的分配 |
|
自动分配Underlay IP |
· 是:根据模板中设置的“Underlay IP范围”的地址段,自动分配Spine和Leaf设备的Loopback 0接口IP · 否:手动分配Spine和Leaf设备的Loopback 0接口的IP。设置为“否”时,Spine、Leaf模板需要使能白名单,且必须在设备清单中填写指定设备的Underlay IP |
|
Underlay VLAN范围 |
指定可用的VLAN范围,用于建立Underlay OSPF邻居,建议使用默认值 |
|
上行口 |
需要指定Spine的上行口全称(即与L3 Switch设备直连的端口),在控制组件处理设备自动化过程中,需要向该接口下发VLAN4094-VXLAN4094的AC配置信息。用于设备与控制组件的业务的交互。若为堆叠设备双上行,这里需要将上行口填写为聚合口 |
|
使能IRF堆叠 |
使能后设备检测到两台设备之间有联系且设备类型角色均一致则会自动堆叠 |
|
是否使能白名单 |
· 若开关关闭:指定设备的序列号在设备清单中,以设备清单中指定信息为准进行自动化部署,并以指定的标签被控制组件纳管;指定设备的序列号不在设备清单中,以设备的默认角色为准完成自动化部署,缺省的标签为角色名+4094 IP地址 · 若开关开启:指定设备的序列号在设备清单中,以设备清单中指定信息为准进行自动化部署,并以指定的标签被控制组件纳管;指定设备的序列号不在设备清单中,则自动化上线失败 |
|
使能Olt |
Leaf模板中的配置项,涉及EPON组网时才需使用 |
|
使能自动聚合 |
Leaf模板中的配置项,默认配置为“是”,当组网使用M-LAG功能时必须关闭自动聚合 |
|
使能上行口自动聚合 |
Access模板中的配置项,默认配置为“是”,当组网使用M-LAG功能时必须关闭自动聚合 |
图3-10 Spine模板
图3-11 Leaf模板
图3-12 Access模板
(4) 单击<下一步>按钮,进入设备上线清单页面。
(1) 设备清单用于设备白名单的设置。设备序列号是每台设备的唯一标识符,设备清单中设置设备序列号和设备角色的对应关系,可以规划每台设备在组网中的角色信息。注意每个设备清单对应一台设备,不能写入多台设备序列号信息。
¡ 在设备自动化过程中使用,如果模板使能白名单,设备自动化过程中会检查设备白名单。
- 若设备序列号在设备清单内,设备可以通过白名单检查后获取到自动化模板,完成自动化上线。
- 若设备序列号不在设备清单内且设备模板中开启了白名单功能,设备将无法通过白名单检查获取自动化模板,无法完成自动化上线。
¡ 在设备自动化过程中使用,模板未使能白名单,但设备序列号在设备清单内,设备优先按白名单设置的角色进行上线;若设备序列号不在设备清单内,则设备按照设备默认角色进行上线。
图3-13 设备上线清单
(2) 增加设备序列号,可通过单击<增加>按钮,在页面中手动配置;也可以单击<导入>按钮下载导入模板,批量导入。此处以手动增加为例进行介绍。
图3-14 增加设备清单
表3-5 设备清单
|
参数 |
说明 |
|
网络类型 |
默认VXLAN |
|
支持WebSocket |
默认“是”,表示支持设备与控制组件使用websocket方式通信。新自动化必须选择“是”。本文使用的是原自动化方式,可以选择“否”,也可不修改 |
|
设备序列号 |
填写设备的唯一标识符,可通过以下命令查看。具体设备属于哪个系列请与相关技术人员核对: · 框式设备:请填入机框序列号和各主控板序列号,多个序列号以“;”分隔 · S10500X/S10500系列读取机框和主控板信息:display device manuinfo chassis * slot * · S7500E系列读取各主控板信息:display device manuinfo chassis * slot * · 盒式设备(S6550XE/ S6525XE/6520X/ S5560X系列):display license device-id slot 1 · S7500X系列读取各主控板信息:display device manuinfo chassis * slot * · 盒式设备(S51系列)display device manuinfo slot 1 |
|
设备角色 |
可选设备角色为Spine/Leaf/Access/Aggregation,设备自动化上线时会根据设备清单中配置的角色信息修改设备角色 |
|
设备标签 |
默认不配置时以角色名_IPv4/IPv6管理地址作为设备标签 |
|
设备系统名称 |
设备的sysname,设备自动化上线后根据配置的设备系统名称自动修改 |
|
管理IP地址 |
指定设备自动化上线后的VSI/VLAN 4094的IP地址,可不配置: · 若配置了管理IP地址,则设备自动化上线后SeerEngine-Campus控制组件根据设置的IP地址分配给设备 · 若不配置管理IP地址,则SeerEngine-Campus控制组件根据VLAN4094的地址池自动分配 |
|
Underlay IP地址 |
指定设备自动化上线后的LoopBack 0的IP地址,可不配置 · 若配置了Underlay IP地址,则设备自动化上线后SeerEngine-Campus控制组件根据设置的IP地址分配给设备 · 若不配置Underlay IP地址,则SeerEngine-Campus控制组件根据Underlay IP范围的地址池自动分配 |
|
站点名称 |
选择设备属于哪个站点,按需配置,需要使用大屏功能时必须配置 |
· 当设备标签填写而设备系统名称不填写时,设备自动化上线后的设备系统名称将使用设备标签的值;
· 当设备标签不填写时,设备自动化上线后的设备标签以“角色名_IPv4/IPv6管理地址”格式自动生成;
· 当设备标签和设备系统名称都没填写时,设备自动化上线后的设备系统名称还是使用自动生成的设备标签的值。
(1) 进入[自动化>园区网络>Fabrics]页面,单击右上角的<自动化部署>按钮,进入增加自动化模板页面。
(2) 选择[自动化任务运行信息]页签,可查看设备上线任务。
图3-15 自动化任务运行信息
(3) 进入[自动化>园区网络>Fabrics]页面,单击Fabric操作列的设置按钮,进入交换设备页面,可查看已纳管的设备。
图3-16 交换设备
(1) 进入[向导>园区向导>设备上线规划>基础配置]页面,单击“选择Fabric”下拉框,选择“创建Fabric”,打开“创建Fabric”页面,配置以下参数后,单击<确定>按钮,完成配置。
图3-17 创建Fabric
表3-6 Fabric参数配置
|
参数 |
说明 |
|
网络类型 |
包括VLAN和VXLAN两种网络类型。网络类型为VXLAN模式时纳管的Spine、Leaf设备若占用设备系列授权也需要同步占用虚拟网络自动化和业务随行授权,网络类型为VLAN模式时纳管的交换设备若占用设备系列授权也需要同步占用业务随行授权,授权不足会导致设备纳管失败 |
|
AS号 |
本地AS号,如需使用Fabric连接和自动化上线功能,则必须配置该参数 |
|
业务自动化 |
业务自动化授权。若为关闭状态,Fabric无法加入隔离域,若为开启状态,需要选择需要加入的隔离域 |
|
组播网络 |
组播功能开关。默认关闭 |
|
业务随行 |
业务随行授权。若为关闭状态,无法在该Fabirc下创建安全组 |
|
Underlay网络固化 |
默认为关闭。开启状态下,控制组件不允许纳管新设备和删除设备,不允许自动化上线等操作,当网络处于非稳态时,比如有设备在纳管中、上线中、配置恢复中,不允许开启和关闭固化 |
|
延迟配置Access接口PVID |
控制组件在Access设备激活时自动下发PVID,若选择“开启”,则设备激活时不下发PVID,激活后可以手动配置PVID |
|
DHCP Snooping Enable Vlan范围 |
默认2-4094,用于配置DHCP Snooping的作用范围 |
|
Voice VLAN |
Fabirc下的所有Access设备默认是否使能Voice VLAN功能开关,开启则此Fabric下的Access设备的默认接口VLAN包含Voice VLAN,关闭则此Fabric下的Access设备的默认接口VLAN不包含Voice VLAN |
|
Access端口隔离 |
Fabirc下的所有Access设备是否使能端口隔离功能开关,默认“开启” |
(1) 地址池配置,首先要绑定DHCP服务器。单击“DHCP服务器”下拉框,选择“新建DHCP服务器”,打开“增加DHCP服务器”页面,输入vDHCP相关的参数。
图3-18 增加DHCP服务器配置
表3-7 DHCP服务器
|
参数 |
说明 |
|
管理方式 |
包括紧耦合和松耦合: · 紧耦合:控制组件对该DHCP服务器进行配置下发和管理 · 松耦合:仅满足基本的DHCP功能,控制组件不对该DHCP服务器进行配置下发和管理 |
|
IPv4地址1 |
第一台DHCP服务器的IPv4地址 |
|
IPv4地址2 |
第二台DHCP服务器的IPv4地址 |
|
厂商 |
DHCP服务器的类型,必选,无缺省值,支持三种DHCP服务器类型,分别为H3C、Microsoft、Infoblox |
|
使能高可用 |
集群环境时必须勾选;若是单机环境,则不需要勾选 |
|
启用双栈 |
涉及IPv6自动化或者用户IPv6业务时开启 |
设备自动化使用的DHCP必须为AD-Campus方案版本配套的vDHCP。
(2) 新建VLAN 1地址池:单击“VLAN1地址池”下拉框,选择“新建VLAN1地址池”,打开“增加IP地址池”页面,如图3-19所示。
图3-19 VLAN1地址池
表3-8 VLAN1地址池
|
参数 |
说明 |
|
地址池 |
填写在L3 Switch设备中设置的VLAN 1(120.1.0.0/24)网段的IP地址 |
|
网关地址 |
L3 Switch设置的VLAN1的IP地址 |
|
是否绑定企业码 |
默认“否”,有需求可开启,用以防止设备获取到非我司vDHCP服务器的IP地址 |
(3) 新建VLAN 4094地址池:单击“VLAN4094地址池”下拉框,选择“新建VLAN4094地址池”,打开“增加IP地址池”页面。
图3-20 VLAN 4094地址池
表3-9 VLAN1地址池
|
参数 |
说明 |
|
地址池 |
填写在L3 Switch设备中设置的VLAN 4094(130.1.0.0/24)网段的IP地址 |
|
网关地址 |
L3 Switch设置的VLAN 4094的IP地址 |
(4) 服务器IPv4管理网段:设备自动化上线时,SeerEngine-Campus控制组件会向设备下发配置的IP地址段的静态路由,选择在L3 Switch设备中设置的控制组件所在的VLAN1010网段(110.1.0.0/24)和统一数字底盘所在的VLAN 30网段(100.1.0.0/24)(支持多个网段添加,中间用英文“,”隔开)。
图3-21 服务器IPv4管理网段
(1) 单击<下一步>按钮,进入设备配置模板页面,基于设备角色,配置设备模板,即自动化模板配置,在页面上面可以选择组网模型:分为三层组网、二层组网、单Leaf组网、AGGR 二层和AGGR三层组网。
图3-22 设备配置模板
表3-10 设备配置模板
|
参数 |
说明 |
|
双Spine模式 |
默认为“否”,配置双Spine组网需开启双Spine模式 |
|
Seed模式 |
默认为“否”,采用Seed组网需启用 |
|
半自动化上线 |
Spine、Leaf、Aggr手工纳管,Access自动纳管时启用,默认关闭 |
|
单链路互联默认聚合 |
默认为“否”,表示单链路不聚合。启用后,Leaf设备以下的单链路自动化部署时会自动聚合 |
|
自动分配Underlay IP |
默认为“是” · 是:根据模板中设置的“Underlay IP范围”的地址段,自动分配Spine、 Leaf和Aggr设备的Loopback0接口IP · 否:手动指定Spine、Leaf和Aggr设备的Loopbakc0接口的IP。设置为“否”时,必须在设备清单中填写指定设备的Underlay IP |
|
Underlay IP范围 |
指定地址范围。用于Loopback0接口地址的分配 |
|
Underlay VLAN范围 |
指定可用的VLAN范围,用于Spine、 Leaf和Aggr设备每链路每VLAN分配,建议使用默认值。单Leaf组网无需配置 |
|
NTP服务器 |
可以填写客户组网中的NTP时间服务器地址,需保证网络互通 |
|
设备控制协议模板 |
初始的设备控制协议模板里未设置密码,需要单击模板修改配置密码。协议模板中包含了SNMP参数和NETCONF参数,用于控制组件纳管自动化设备时使用。若所有设备模板的控制协议模板一致,可以通过此处一键配置。若不一致,该处无需配置,需在不同设备模板中分别指定 |
(2) 三层组网需要配置Spine、Leaf、Access模板,二层组网需要配置Spine、Leaf模板,单Leaf组网需要配置Leaf、Access模板,AGGR三层组网需要配置Spine、Leaf、Access、Aggregation模板,AGGR二层组网需要配置Spine、Leaf、Aggregation模板。
表3-11 设备配置模板
|
参数 |
说明 |
|
使能IRF |
默认为“否”,使能M-LAG功能时必须选否 |
|
使能Olt |
默认为“是”,开启后支持的Leaf设备会下发ONU自动绑定配置 |
图3-23 三层组网配置模板
· 若采用双Spine模式组网,双Spine模式开关需选择“是”。支持三层组网、二层组网、Aggr三层组网以及Aggr二层组网配置双Spine模式。
· 开启双Spine模式后会展示叠加M-LAG组网开关,开关默认值为“是”,若无Spine部署M-LAG需求请选择“否”,模板一经确定无法再次修改。
图3-24 二层组网配置模板
图3-25 单Leaf组网配置模板
若采用双Leaf模式组网,双Leaf模式开关需选择“是”,自动分配Underlay IP选择“是”,并配置Underlay IP范围。
图3-26 AGGR 三层组网配置模板
图3-27 AGGR 二层组网配置模板
· 若无设备版本升级需求,可跳过此章节。
· 若有设备版本升级需求,请确保先进行设备版本升级配置,再空配置上线设备。
设备版本升级配置页面通过针对设备角色和型号指定版本升级文件以实现自动化上线过程中的版本自动升级功能。配置此项之前需要先在软件库上传版本文件。
(1) 进入[自动化>配置部署>软件库]菜单项,单击左上角<导入>按钮,进入导入软件页面,该页面可导入用于设备升级的版本文件。导入来源可选从文件导入和从设备导入,从文件导入的软件类型可选复合软件包套件(IPE包)、软件包组和补丁文件。
图3-28 IPE包导入
¡ 软件包组导入方式需要同时选择boot和system文件,导入完成后需要指定适用设备型号。
图3-29 软件包组导入
¡ 补丁文件方式导入完成后需要指定适用设备型号,Feature包也以补丁文件方式导入。
图3-30 补丁文件导入
¡ 从设备导入功能为直接读取设备启动文件,需要[监控>监控列表>网络]中设备在线。
图3-31 从设备导入
导入完成后,在软件库查看。
图3-32 软件库查看
· 若IPE包、BIN包上传之后适用设备栏为空,则需要手工添加适用设备的型号。
· UNIS设备仅支持IPE包方式升级,不支持软件包组、补丁文件方式升级。
· 请确保IPE包或者BIN包与手工添加的设备型号相匹配,否则会升级失败。
适用设备添加示例
图3-33 单击修改按钮
图3-34 选择型号
图3-35 增加设备型号
图3-36 确定提交
图3-37 适用设备查看
(2) 进入[自动化>配置部署>部署参数]菜单项,单击<文件传输方式>按钮,进入文件传输配置页,该页面可选择文件传输的协议。缺省为TFTP,推荐修改为FTP传输方式。
图3-38 文件传输方式
(3) 进入[向导>园区向导>设备上线规划>设备版本升级配置]页面,进行版本升级配置。
图3-39 设备版本升级配置
单击<增加>按钮,配置设备角色、型号以及版本文件,根据型号自动显示匹配的版本文件。
图3-40 配置设备角色、型号以及版本文件
· 适用设备以设备型号方式进行添加,若同系列存在不同型号,需要将所有型号都进行添加。
· 相同设备角色和设备型号的版本升级配置只能有一个。
图3-41 选择型号
图3-42 根据型号自动显示匹配的版本文件
图3-43 IPE方式升级配置完成
· 设备获取到VLAN 1地址后通过Websocket注册上线,若配置了版本升级任务则会自动执行版本升级,升级完成后会在拓扑中展示。
· 若升级失败则不会在拓扑中展示,请至版本升级状态页签查看设备的详细升级记录。
新自动化上线要求必须添加设备清单,否则设备无法上线。设备清单的主要作用包括:
· 指定设备角色,为设备开始自动化预配置角色信息。
· 设备注册Websocket。若指定序列号不在设备设备清单内,设备将无法建立Websocket连接,无法完成自动化上线;若指定序列号在设备清单内,设备可以通过设备清单注册Websocket,完成自动化上线。
上面设备版本升级配置完成后,进入设备上线清单配置步骤。在[向导>园区向导>设备上线规划>设备上线清单]页面,增加/导入设备清单。
图3-44 增加设备清单
表3-12 设备清单
|
参数 |
说明 |
|
网络类型 |
默认VXLAN |
|
支持WebSocket |
默认“是”,表示支持设备与控制组件使用websocket方式通信。新自动化必须选择“是”。本文使用的是原自动化方式,可以选择“否”,也可不修改 |
|
设备序列号 |
填写设备的唯一标识符,可通过以下命令查看。具体设备属于哪个系列请与相关技术人员核对 |
|
设备角色 |
可选设备角色为Spine/Leaf/Access/Aggregation,设备自动化上线时会根据设备清单中配置的角色信息修改设备角色 |
|
设备标签 |
默认不配置时以角色名_IPv4/IPv6管理地址作为设备标签 |
|
设备系统名称 |
设备的sysname,设备自动化上线后根据配置的设备系统名称自动修改 |
|
管理IP地址 |
指定设备自动化上线后的VSI/VLAN 4094的IP地址,可不配置 · 若配置了管理IP地址,则设备自动化上线后SeerEngine-Campus控制组件根据设置的IP地址分配给设备 · 若不配置管理IP地址,则SeerEngine-Campus控制组件根据VLAN4094的地址池自动分配 |
|
Underlay IP地址 |
指定设备自动化上线后的LoopBack 0的IP地址,可不配置 · 若配置了Underlay IP地址,则设备自动化上线后SeerEngine-Campus控制组件根据设置的IP地址分配给设备 · 若不配置Underlay IP地址,则SeerEngine-Campus控制组件根据Underlay IP范围的地址池自动分配 |
|
站点名称 |
选择设备属于哪个站点,按需配置,需要使用大屏功能时必须配置 |
图3-45 设备清单查看
手工纳管设备有如下两种方式:手工增加、自动发现。
进入[向导>增加设备]页面,填写设备名称等信息。
· 增加Spine/Leaf设备:
图3-46 增加交换设备
表3-13 交换设备
|
参数 |
说明 |
|
所属Fabric |
选择对应的Fabric |
|
设备角色 |
有Spine、Leaf、Access、Aggregation四种角色,请务必保证与对应设备上配置的角色一致。其中Aggregation角色应用于Aggr组网模型,相较于原有标准三层/二层组网在Spine和Leaf之间增加了Aggr三层交换机,其无需支持VXLAN/EVPN,若需手工纳管AGGR,请和研发确认 |
|
管理IP |
设备VXLAN4094/VLAN4094接口的IP地址(Spine/Leaf使用VSI 4094的接口IP,Access使用VLAN 4094的接口IP) |
|
Underlay IP |
设备LoopBack口的IP地址 |
|
设备系列 |
选择设备型号对应的产品系列 |
|
设备控制协议模板 |
请选择与对应设备上的配置完全一致的模板,否则会导致设备无法激活 |
|
其他参数 |
默认配置即可 |
设备增加完成后,“在线状态”初始为“未激活”,需一段时间进行数据同步,同步完成后,单击<刷新>按钮,状态更新为“激活”,表示设备已连接。
图3-47 查看交换设备
· 增加Access设备:
图3-48 设备角色
表3-14 Access设备
|
参数 |
说明 |
|
所属Fabric |
选择对应的Fabric |
|
设备角色 |
选择access |
|
管理IP |
设备VLAN4094接口的IP地址 |
|
Underlay IP |
Access设备无需设置 |
|
设备系列 |
选择设备型号对应的产品系列 |
|
延迟配置接口PVID |
默认“关闭”,控制组件在Access设备激活时自动下发PVID,若选择“开启”,则设备激活时不下发PVID,激活后可以手动配置PVID |
|
是否为第三方设备 |
默认“否”,若设备为第三方设备则选择“是” |
|
设备控制协议模板 |
请选择与对应设备上的配置完全一致的模板,否则会导致设备无法激活 |
|
其他参数 |
默认配置即可 |
Access设备不是通过openflow连接纳管,无法在Access设备查询openflow连接信息。
· 增加Aggr设备:
¡ Aggr设备作为Spine和Leaf之间连接的中间设备,设备纳管前需要做基础配置用于控制组件纳管。
¡ Aggr连接的Leaf设备的基础配置与AD-Campus方案标准组网的基础配置相同。
图3-49 设备角色
表3-15 Aggr设备
|
参数 |
说明 |
|
设备角色 |
选择aggregation,手工纳管Aggr设备时控制组件不检查设备实际角色信息 |
|
管理IP |
设备VLAN1接口的IP地址 |
|
Underlay IP |
设备LoopBack口的IP地址 |
|
设备系列 |
选择设备型号对应的产品系列 |
|
设备控制协议模板 |
新建或选择默认的协议模板 |
Aggr设备纳管成功后,设备状态为“激活”,设备角色为“aggregation”。
图3-50 查看设备信息
进入[监控>拓扑视图>网络拓扑]页面,可以查看到aggr连接拓扑视图。
图3-51 查看aggr连接拓扑视图
进入[向导>自动发现]页面,输入IP地址范围和SNMP参数,单击<创建设备扫描任务>按钮,会创建一个扫描任务,自动执行扫描。在“设备列表中”列出所有扫描到的未纳管的设备,如下图所示。
图3-52 创建设备扫描任务
若SNMP和NETCONF参数都配置,先扫描NETCONF信息再扫描SNMP信息。在“设备列表”中选择设备,单击“设备纳管”按钮
,进入“添加交换设备”页面;参数设置请参考3.1.6 1. 手动增加。
选择[向导>园区向导>接入网络规划]菜单项进入接入网络规划配置向导页面。
(1) 在隔离域页面,选择网络类型,单击<增加>按钮,进入增加隔离域页面。
图3-53 增加隔离域(VXLAN)
表3-16 增加隔离域
|
参数 |
说明 |
|
名称 |
新增时定义的隔离域名称,最长62个字符,区分大小写。 |
|
VXLAN范围 |
VXLAN范围为隔离域中可用的所有VXLAN ID |
|
DHCPv4服务器 |
配置DHCPv4服务器ID,DHCPv4服务器为隔离域下的二层网络域默认的DHCPv4服务器,以便用户认证上线 |
|
DHCPv6服务器 |
配置DHCPv6服务器ID,DHCPv6服务器为隔离域下的二层网络域默认的DHCPv6服务器,以便用户认证上线 |
|
认证服务器 |
认证服务器为隔离域关联的认证服务器,分为主认证服务器和备认证服务器,隔离域相关业务推送至该认证服务器上,以便用户认证上线。隔离域可以同时绑定主认证服务器和备认证服务器,用户上线会优先在主认证服务器上进行认证,当主认证服务器出现故障时,在备认证服务器上进行认证。仅主认证服务器支持名址绑定 |
|
策略模式 |
策略模式包括IP策略和组策略,IP策略即基于网段进行流量控制的策略,组策略即基于安全组进行流量控制的策略 |
(2) 单击[Fabrics]页签,可选择相应的Fabric与隔离域绑定,同时可配置Fabric连接功能。Fabric连接用于连接两个Fabric间的BGP路由,实现用户跨Fabric互通。Fabric连接分为全互联、自定义和路由服务器三种方式。其中,自定义连接方式的Fabirc连接需手动指定互联的源和目的Fabric相关配置,路由服务器连接方式的Fabric连接需要指定路由服务器和路由服务器客户端。Fabric下授权开关为关闭状态时不允许加入隔离域。
图3-54 增加Fabric连接
表3-17 增加Fabric连接
|
参数 |
说明 |
|
名称 |
隔离域绑定的fabric之间建立连接时指定的名称 |
|
默认连接 |
增加Fabric连接时是否为默认的Fabric连接 |
|
连接方式 |
Fabric连接时的连接方式;可选方式:全互联、自定义、路由服务器。 其中,自定义连接方式的Fabirc连接需手动指定互联的源和目的Fabric相关配置,路由服务器连接方式的Fabric连接需要指定路由服务器和路由服务器客户端 |
|
源Fabric |
增加Fabric连接时指定的源Fabric信息 |
|
源边界设备组 |
增加Fabric连接时指定的源Fabric下的边界设备组 |
|
源边界设备 |
增加Fabric连接时指定的源Fabric下的边界设备组绑定的边界成员设备 |
|
目的Fabric |
增加Fabric连接时指定的目的Fabric信息 |
|
目的边界设备组 |
增加Fabric连接时指定的目的Fabric下的边界设备组 |
|
目的边界设备 |
增加Fabric连接时指定的目的Fabric下的边界设备组绑定的边界成员设备 |
(3) 单击[DNS]页签,可以为隔离域配置DNS模板。DNS IP地址支持IPv4和IPv6版本,且每个版本最多支持配置8个DNS服务器的IP地址。
(4) 单击[高级]页签,可以配置无线转发模式、主机路由抑制开关、IP安全组信息订阅开关、ARP扫描探测速率、ND扫描探测速率、VXLAN按需下发、环路检测上报控制组件和二级DHCP中继。
图3-55 高级
表3-18 高级
|
参数 |
说明 |
|
无线转发模式 |
无线转发模式包含AC集中转发和AP本地转发两种,默认为AP本地转发 |
|
主机路由抑制 |
用于支持跨隔离域主机路由仅在边界设备上建立路由表项,主机路由抑制开关开启时可以限制隔离域互连场景中只有边界设备可以学习到其他隔离域的主机路由 |
|
ARP扫描探测速率(pps) |
ARP扫描探测速率,缺省值为48,取值范围为10-1000,取值必须是10的整数倍 |
|
ND扫描探测速率(pps) |
ND扫描探测速率,缺省值为48,取值范围为10-1000,取值必须是10的整数倍 |
|
VXLAN按需下发 |
策略模式为IP策略时,VXLAN按需下发可以开启,开启时,创建该隔离域的二层网络域时,需要指定网关设备列表,二层网络域配置仅在指定的网关设备上下发, 安全组的组间策略配置仅在安全组绑定的二层网络域的网关设备上下发,关闭时,二层网络域配置下发在该隔离域的所有Spine、Leaf设备上, 安全组的组间策略配置下发在安全组绑定的二层网络域所属隔离域的所有Spine、Leaf设备 |
|
环路检测上报控制组件 |
环路检测上报控制组件开启时,可以订阅设备环路检测上报事件 |
|
二级DHCP中继 |
在二级DHCP中继中,打开IPv4或者IPv6开关,则隔离域下的普通、逃生、Guest、认证失败和逃生&认证失败类型的二层网络域会通过BRAS的Fabric互联IPv4地址或者Fabric互联IPv6地址二级中继到DHCPv4或者DHCPv6服务器 |
· DHCPv4服务器为该隔离域下的二层网络域默认的DHCPv4服务器。
· 认证服务器为隔离域关联的认证服务器,分为主认证服务器和备认证服务器,隔离域相关业务推送至该认证服务器上,以便用户认证上线。隔离域可以同时绑定主认证服务器和备认证服务器,用户上线会优先在主认证服务器上进行认证,当主认证服务器出现故障时,在备认证服务器上进行认证。仅主认证服务器支持名址绑定。
· 策略模式仅支持组策略模式。
(1) 单击[Fabrics]页签,可选择相应的Fabric与隔离域绑定。Fabric下授权开关为关闭状态时不允许加入隔离域。
(2) 单击[DNS]页签,可以为隔离域配置DNS模板。DNS IP地址支持IPv4版本,最多支持配置8个DNS服务器的IP地址
(3) 单击[高级]页签,可以配置无线转发模式。无线转发模式包含AC集中转发和AP本地转发两种,默认为AP本地转发。
(1) 单击<下一步>按钮,进入私有网络页面。
(2) 单击<增加>按钮,增加私有网络。
图3-56 私有网络
表3-19 私有网络
|
参数 |
说明 |
|
名称 |
新增时定义的私有网络名称 |
|
描述 |
新增或修改时定义的私有网络描述信息 |
|
VRF名称 |
私有网络下发到设备上的VPN实例名称 |
|
共享VRF |
指定私有网络为共享出口网关使用 |
|
VXLAN ID |
指定私有网络在三层VXLAN组网中的VXLAN ID信息,支持自动分配和手工指定 |
|
默认组间策略 |
指定私有网络默认组间策略动作,默认为允许 |
|
出口网关 |
私有网络绑定的出口网关资源,私有网络下用户可通过绑定的出口网关访问外网 |
|
组播网络 |
私有网络开启组播网络后就具备了组播能力,可以承载组播业务。开启组播网络前,需确保该私有网络关联Fabric的组播网络已开启 |
|
策略模式 |
新增时的策略模式,缺省值为IP,选择后无法修改 |
|
策略生效范围 |
控制组件支持可下发IPv4和IPv6类型的组间策略 |
(1) 私有网络创建完成后,选择[二层网络域]页签,进入二层网络域配置界面。
图3-57 二层网络域
(2) 单击<增加>按钮,进入增加二层网络域页面,创建用户私网的二层网络域。
表3-20 二层网络域
|
参数 |
说明 |
|
名称 |
新增时定义的二层网络域名称 |
|
隔离域 |
二层网络域绑定的隔离域范围,指定用户所属的网络范围 |
|
私有网络 |
选择手动创建的私网。创建二层网络域后,私网的配置会下发到指定隔离域所属的设备上 |
|
类型 |
二层网络域类型,IP策略场景下支持普通、BYOD、无线、逃生;组策略场景下支持普通、逃生、Guest、认证失败、逃生&认证失败 |
|
使用方法 |
使用方法包括独享、共享和静态接入,共享模式的二层网络域可以被多个安全组引用;独享模式仅可以被一个安全组引用;静态接入模式的二层网络域可以给指定私网内所有安全组使用 |
|
VXLAN ID |
配置二层网络域的VXLAN ID,默认“自动分配”系统自动分配VXLAN ID,选择“手动指定”,支持手动配置VXLAN ID |
|
VSI MAC |
二层网络域下发到设备上VSI Interface接口下的MAC地址 |
|
IPv4地址获取方式 |
“自动”表示向DHCP Server创建地址池,用户可动态获取IP地址;“手动”表示不创建DHCP地址池,用户通过配置静态IP地址的方式认证上线 IPv4地址获取方式“自动”时,若用户部分终端想通过配置静态IP地址的方式认证上线,则需手动去[网络参数>DHCP服务器>IP禁止分配地址]中增加用户配置的静态IP地址 |
|
IPv6地址获取方式 |
可选择“手动”、“SLACC”、“有状态DHCPv6”或“无状态DHCPv6” |
|
IPv4地址租约有效期 |
使用DHCPv4服务器份分配的IP地址可用租约时间,BYOD类型的IPv4地址租约有效期为10s-86400s,其他类型的范围为分钟~365天23小时59分钟 |
|
IPv6地址首选生命期 |
使用DHCPv6服务器份分配的IPv6地址首选的可用租约时间,范围为1分钟~999天23小时59分钟 |
|
IPv6地址有效生命期 |
使用DHCPv6服务器份分配的IPv6地址有效的租约时间,范围为1分钟~999天23小时59分钟,且IPv6地址首选生命期 <= IPv6地址有效生命期 |
图3-58 增加二层网络域
(3) 配置[子网]页签,单击<增加>按钮,进入增加子网页面,在该页面可以指定子网的名称、子网段的和网关IP、IP版本,并需要指定该子网是否为从网段。选择是,则该子网为从网段,不支持配置DNS信息;选择否,则该子网为主网段,并支持配置DNS信息。DNS IP地址支持IPv4和IPv6版本。
表3-21 子网
|
参数 |
说明 |
|
子网名称 |
新增子网时定义的子网名称 |
|
IP版本 |
新增子网时指定的子网IP版本号 |
|
子网网段 |
新增子网时指定的子网网段信息,当子网IP版本为IPv4时,格式为IP地址/掩码长度,当子网IP版本为IPv6时,格式为IPv6地址/前缀位数 |
|
网段IP |
指定子网网段对应的网段IP地址 |
|
从网段 |
子网IP版本为IPv4时允许指定是否为从网段,从网段子网不支持配置DNS信息 · 否:表示“主网段”;若“IPv4地址获取方式”选择“自动”,创建的子网会在DHCP服务器上创建相应的地址池,用于用户地址分配 · 是:表示“从网段”;创建的子网不会在DHCP服务器上创建地址池,适用于终端设备IP地址为静态IP的情况。在创建“从网段”前,必须创建“主网段”。另外,使用“从网段”时,接入策略中不可以使用“绑定用户IP地址”功能 |
|
DNS 信息 |
主网段子网支持配置DNS信息,DNS IP地址支持IPv4和IPv6版本。若不指定该参数,默认继承子网所属隔离域的DNS |
· 一个安全组可以配置多个“从网段”,但是只能配置一个“主网段”,IP地址根据实际方案的IP规划设置,不同安全组需要配置不同的IP地址段;
· 创建“从网段”前,必须创建“主网段”;
· 使用“从网段”时,接入策略中不可以使用“绑定用户IP地址”功能;
· “从网段”不能配置与“主网段”有包含关系的网段。该特性主要用于实现旧网改造场景中终端(打印机)的地址保持不变,将多个终端的网段划分为一个安全组,节省设备上组间策略的ACL。
图3-59 增加子网
(4) 增加子网页面中“DNS”配置,可指定二层网络域的DNS服务器IP地址。
图3-60 配置DNS
(5) 子网配置完成后,单击<确定>按钮,返回增加二层网络域页面。在该页面中切换至[高级]页签,可根据实际组网按需进行参数配置,本文档以默认配置为例进行介绍。
表3-22 高级
|
参数 |
说明 |
|
ARP代理 |
标记是否使能ARP代理 |
|
ARP检测 |
标记是否使能ARP检测,当IPv4地址获取方式为手动时,不允许勾选ARP检测功能。默认“否”,一般应用于接入设备上,通过检测并丢弃非法用户的ARP报文来防止仿冒用户、仿冒网关的攻击 |
|
ARP Snooping |
标记是否使能Arp Snooping。通过侦听ARP报文建立ARP Snooping表项,从而实现ARP快速应答,保证“宽带物联终端不下线”时需开启 |
|
允许二层应用 |
标记是否允许二层网络域内的广播、未知组播、未知单播报文进行二层泛洪 |
|
ARP扫描探测 |
标记是否使能ARP扫描探测。默认“是”。表示ARP广播不在整网泛洪,ARP学习依赖Leaf本地扫描,表项通过EVPN同步,交换机不转发ARP报文 |
|
IPv6 ND检测 |
标记是否使能IPv6 ND检测,当IPv6地址获取方式为手动时,不允许勾选IPv6 ND检测功能 |
|
IPv6 ND Snooping |
标记是否使能IPv6 ND Snooping。设备通过侦听ND或者数据报文来创建ND Snooping表项,没有IPv6业务时请勿开启 |
|
ND扫描探测 |
标记是否使能ND扫描探测。默认“是”。表示ND广播不在整网泛洪,ND学习依赖Leaf本地扫描,表项通过EVPN同步,交换机不转发ND报文 |
|
DHCPv6 Snooping |
标记是否使能DHCPv6 Snooping。默认“否”,用来保证客户端从合法的服务器获取IPv6地址或IPv6前缀,并可以记录DHCPv6客户端IPv6地址或IPv6前缀与MAC地址的对应关系 |
|
DHCPv6中继支持添加Option 79选项 |
标记是否使能DHCPv6中继支持添加Option 79选项。默认“是”,用来保证DHCPv6服务器可以获取到客户端的MAC地址 |
|
环路检测 |
默认“否”。配置无线管理网VLAN4093时,需设置为“是” |
图3-61 高级配置
图3-62 DHCPv6及环路检测配置
(1) 单击<下一步>按钮进入安全组页面。
(2) 单击<增加>按钮,进入增加安全组页面。
¡ 网络类型为VXLAN时,在该页面可指定名称、类型、标签等配置,安全组的策略模式直接继承所选私网的策略模式。
- 当策略模式为IP策略时,为安全组分配VLAN ID。分配方式分为自动分配和手动指定,若为手动指定,需指定VLAN ID;
- 当策略模式为组策略时,为安全组分配SGT。增加安全组时,SGT为自动分配,页面不显示。修改安全组时,可以看到已分配的SGT。可以根据需求选择是否启用安全子组,若启用安全子组,需选择子组容量,即一个安全组下允许有多少个安全子组。在该模式下,安全组需要关联隔离域,主要是为了安全组下的用户可以在选择的隔离域中上线。
- 在[二层网络域]页签下,可增加二层网络域。单击<增加>按钮,在弹出的对话框中可指定二层网络域。
- 启用安全子组后,页面将会出现[安全子组]页签,在该页签下,单击<增加>按钮,在弹出的对话框中可指定安全子组的名称。
- 在[免认证]页签下,单击<增加>按钮,可以指定安全组、二层网络域,并可以勾选需要绑定在指定安全组下的免认证接口组,绑定成功后,当用户从免认证接口组中的接口上线时不需要进行认证。ARP检测信任默认为开启。开启时会在免认证业务下发的服务实例下,下发ARP Detection Trust配置。
¡ 网络类型为VLAN时,在该页面可指定名称、类型、SGT等配置,安全组的策略模式直接继承所选隔离域范围的策略模式,目前仅支持组策略模式。
- 增加安全组时,SGT支持自动分配和手动指定。修改安全组时,可以看到已分配的SGT。可以根据需求选择是否启用安全子组,若启用安全子组,需选择子组容量,即一个安全组下允许有多少个安全子组。安全组需要关联隔离域,主要是为了安全组下的用户可以在选择的隔离域中上线。
- 启用安全子组后,页面将会出现[安全子组]页签,在该页签下,单击<增加>按钮,在弹出的对话框中可指定安全子组的名称。
- 在[策略执行设备组]页签下,选择策略执行设备组,配置安全组的组间策略生效的设备列表。
- 如果需要更改绑定本隔离域的策略执行组,需要先解绑定,再绑定。
图3-63 增加安全组
表3-23 用户安全组
|
参数 |
说明 |
|
名称 |
创建时指定的安全组名称 |
|
私有网络 |
创建安全组时绑定的私有网络信息 |
|
类型 |
安全组类型,IP策略下,支持普通、逃生、BYOD、外网;组策略场景下,支持普通、逃生、外网、Guest、认证失败、逃生&认证失败 |
|
VLAN ID |
IP策略模式下的安全组VLAN ID,支持自动分配和手工指定 |
|
启用安全子组 |
组策略模式下支持安全组配置安全子组,即支持一个安全组下配置多个安全子组 |
|
子组容量 |
启用安全子组,需要指定子组容量,值可选0,1,3,7,15 |
|
隔离域范围 |
组策略模式下安全组指定隔离域范围,用于安全组中的用户在指定隔离域中进行上线 |
|
二层网络域信息 |
指定安全组关联的用户网络信息 |
|
免认证 |
免认证可以指定安全组、二层网络域,并可以勾选需要绑定在指定安全组下的免认证接口组,绑定成功后,当用户从免认证接口组中的接口上线时不需要进行认证 |
|
安全子组 |
组策略模式下支持安全组配置安全子组,指定安全子组名称,控制组件自动为安全子组分配SGT |
单击<下一步>按钮,进入组间策略页面。
选择“时间范围”页签,进行时间范围的配置。“时间范围”为非必配项,可按需进行设置。
单击<增加>按钮,进入增加时间范围页面,在该页面中设置时间范围,设置完成后,单击
图标保存配置,并单击<确定>按钮保存。
图3-64 增加时间范围
(1) 选择“策略模板”页签,进行策略模板的配置。其中,系统默认已有两个模板,全部允许和全部拒绝,如下图所示。
图3-65 策略模板
(2) 单击<增加>按钮,进入增加策略模板页面。
¡ 内网策略:用户安全组的组间策略以及东西向服务链,选择“内网策略”;
¡ 外网策略:南北向服务链,选择“外网策略”。
图3-66 增加策略模板
(3) 单击<增加规则>按钮,进入增加规则页面。设置参数,单击<确定>按钮保存配置。
表3-24 增加规则
|
参数 |
说明 |
|
协议类型 |
配置例外策略支持的协议类型,支持IP、UDP、ICMP、TCP |
|
时间范围 |
默认“none”,表示所有时间都有效,根据实际需求设置 |
|
动作 |
“允许”、“拒绝”和“重定向”3个选项,组间策略请选择“允许”或“拒绝”,“重定向”应用于服务链业务 |
图3-67 增加规则
(4) 策略模板增加完成后,单击<确定>按钮,保存策略模板。
选择“组间策略”页签,进入组间策略页面。在该页面“访问策略”区域“默认”项(以下简称默认访问策略)的下拉框中,可设置私网内用户的访问权限。设置组间策略时,需先选择“私网”,再设置默认访问策略。
组间策略页面中设置的默认访问策略与私有网络页面中设置的“默认组间策略”相同,选择其中一个页面设置即可。
· 允许:表示私网内所有用户之间默认可以互相访问;
· 拒绝:表示私网内所有用户之间都不能互相访问,同一私网下的安全组和同一安全组下的不同用户之间默认不可互相访问。
图3-68 选择默认访问策略
(1) 选择“组间策略”页签,进入组间策略页面。先选择“私网”,自动切换到私网的矩阵中,如下图所示。
图3-69 组间策略
(2) 选择右侧的“访问策略”拖拽到需要设置的相应位置,弹出“策略方向”对话框,根据实际业务选择。选择完成后,单击<确定>按钮,保存配置。其中,“策略方向”分为“单向”和“双向”。
¡ 单向:表示设置源到目的的访问策略;单向可以节省ACL资源,但若要配置安全组之间的用户互访,需要配置双向。
¡ 双向:表示设置源到目的和目的到源的访问策略。
图3-70 策略方向
(3) 本案例设置了源为“学生安全组”、目的为“教师安全组”的“全部拒绝”配置,如下图所示。组间策略配置完成后,单击页面左上角<确定>按钮,保存配置。
图3-71 配置互访策略
组间策略中还可进行“例外”配置,“例外”顾名思义就是特殊处理。通过设置例外策略,让特定流量做特殊处理。
(1) 把鼠标移到安全组中间,会显示“+”,单击“+”,进入编辑组间策略页面。
图3-72 例外
(2) 若安全组间已存在访问策略,则需要单击
图标进入组间策略编辑页面。
图3-73 组间策略编辑页面
(3) 切换至“例外策略”页签,单击<增加>按钮,进入增加规则页面,在该页面中设置规则,配置“协议”、“源网段”、“目的网段”、“动作”等配参数后,单击<确定>按钮,保存配置。
图3-74 增加例外策略
表3-25 增加规则
|
参数 |
说明 |
|
协议类型 |
配置例外策略支持的协议类型,支持IP、UDP、ICMP、TCP |
|
序号 |
配置例外策略规则的序号 |
|
源端口 |
例外策略规则匹配的源端口 |
|
目的端口 |
例外策略规则匹配的目的端口 |
|
源网段 |
例外策略规则匹配的源网段 |
|
目的网段 |
例外策略规则匹配的目的网段 |
|
动作 |
例外策略规则支持的动作,仅支持允许、拒绝 |
|
时间范围 |
例外策略规则匹配的时间范围 |
(4) 例外配置完成后,在组间策略矩阵中,会显示例外策略图标。
图3-75 查看例外策略
二层组播需要全局使能组播,Fabric的组播网络勾选“开启”。
单击[自动化>园区网络>Fabrics]菜单项,单击列表中Fabric名称对应操作列的设置图标
,进入对应Fabric页面。切换至“设置”页签,将“组播网络”项置为“开启”,单击右上角<确定>按钮,保存配置。
图3-76 开启组播网络
进入[自动化>园区网络>应用策略>组播>L2组播],单击<增加>按钮,进入增加二层组播页面,进行参数配置。
图3-77 增加L2组播
表3-26 L2组播
|
参数 |
说明 |
|
私有网络 |
选择需要开启组播的私有网络 |
|
二层网络域 |
选择需要开启组播的二层网络域,开启后会自动在二层网络域对应的VSI实例使能igmp-snooping |
|
IGMP Snooping版本 |
控制组件支持IGMP Snooping版本的选择 |
|
IGMP Snooping查询器 |
开启该功能,自动在Spine设备对应二层网络域的VSI实例配置查询器功能。如果实际环境有单独的三层组播设备或者查询器,可不配置 |
|
IGMP Snooping代理 |
开启IGMP Snooping代理,自动在Leaf上配置IGMP Snooping Proxy,使其能够代理下游主机向上游设备发送报告报文和离开报文,减少上游设备收到的IGMP报告报文和离开报文的数量 |
|
丢弃未知组播数据报文 |
开启了丢弃未知组播数据报文功能时,二层设备只向其路由器端口转发未知组播数据报文,不在VXLAN内广播;如果二层设备没有路由器端口,未知组播数据报文会被丢弃,不再转发 |
(1) 单击[自动化>园区网络>应用策略>组播>组播策略]菜单项,进入组播策略页面。
图3-78 组播策略
(2) 在该页面单击<增加>按钮,进入增加组播策略页面。在该页面可以指定名称、类型和描述信息等。
图3-79 增加组播策略
表3-27 增加组播策略
|
参数 |
说明 |
|
名称 |
组播策略名称 |
|
类型 |
组播策略类型,支持基础、高级 |
|
描述 |
组播策略描述信息 |
(3) 单击<增加ACL规则>按钮,在弹出的对话框中指定源IP地址、目的IP地址和动作。
图3-80 增加ACL规则
表3-28 增加ACL规则
|
参数 |
说明 |
|
源IP地址 |
ACL规则匹配的源IP地址 |
|
目的IP地址 |
ACL规则匹配的目的IP地址 |
|
动作 |
ACL规则的动作,支持允许、禁止 |
(4) 配置完成后,单击<确定>按钮完成配置组播策略的操作。
通过创建SSM映射,并配置SSM静态映射规则,实现运行IGMPv1或IGMPv2的接收主机支持SSM模型。
(1) 单击[自动化>园区网络>应用策略>组播>SSM映射]菜单项,进入SSM映射页面。
图3-81 SSM映射
(2) 在该页面单击<增加>按钮,进入增加SSM映射页面,以指定名称、类型和描述信息等。
图3-82 增加SSM映射
表3-29 增加SSM映射
|
参数 |
说明 |
|
名称 |
SSM映射名称 |
|
描述 |
SSM映射描述信息 |
(3) 单击<增加SSM映射规则>按钮,在弹出的对话框中指定组播组IP、组播源IP地址。
图3-83 增加SSM映射规则
表3-30 增加SSM映射规则
|
参数 |
说明 |
|
组播组地址 |
SSM映射规则的组播组地址IP |
|
组播源地址 |
SSM映射规则的组播源IP地址 |
(4) 配置完成后,单击<确定>按钮完成配置SSM映射的操作。
通过为L3组播绑定私有网络、配置RP地址、MDT、PIM协议和策略、IGMP协议和策略,实现相同VPN下的三层组播流量互通。
三层组播在二层组播的基础上,还需要进行如下配置。
进入[自动化>园区网络>应用策略>组播>L3组播]菜单项,单击<增加>按钮,进入增加L3组播页面,配置如下参数:
图3-84 增加L3组播
表3-31 L3组播
|
参数 |
说明 |
|
名称 |
指定L3组播的名称 |
|
分布式RP |
在EVPN VXLAN组网下,当组播采用PIM-SM模式时,组网中的每台Leaf设备都作为私网的RP,进行组播数据的转发 |
|
私有网络 |
绑定私有网络,在指定的私有网络下下发配置 |
MDT页签中可以指定默认组、源端口和数据组等参数。其中,数据组掩码的取值范围因不同的设备而不同,具体取值范围以设备为准。
图3-85 MDT
表3-32 MDT
|
参数 |
说明 |
|
默认组 |
默认组是组播VPN在公网上分配的一个独立的组播组,用于实现私网组播数据在公网的传输 |
|
源端口 |
指定MVXLAN源接口,MVXLAN源接口必须与建立BGP对等体时所使用的源接口相同,否则将无法获取正确的路由信息,目前只支持LoopBack口 |
|
数据组 |
当配置了该参数后,设备将会从数据组中选取一个被引用最少的地址来替换默认组,实现该私网组播数据在公网的传输 |
|
组播策略 |
在配置了数据组的前提下才可配置,当配置了组播策略以后,只有符合该策略的流量才会使用数据组在公网进行传输。不匹配该策略的流量仍然使用默认组在公网进行传输 |
|
切换延时(秒) |
从默认组切换至数据组的延迟时间,在配置了数据组的前提下才可配置 |
选择[PIM协议]页签,配置PIM协议。
图3-86 PIM协议
表3-33 PIM协议
|
参数 |
说明 |
|
协议类型 |
协议类型支持PIM-SM和PIM-SSM两种 |
|
PIM消极模式 |
是否开启PIM消极模式,默认否 |
|
SSM组播组范围 |
PIM协议绑定的组播策略的SSM组播组范围 |
|
Hello报文发送频率(毫秒) |
PIM协议配置Hello报文的发送频率。配置该参数后,设备上每个运行了PIM协议的接口通过定期向本网段的所有PIM设备发送Hello报文以发现PIM邻居,维护各设备之间的PIM邻居关系 |
|
Hello报文保持时间(秒) |
用来全局配置保持PIM邻居可达状态的时间 |
|
传输延时时间(毫秒) |
PIM协议配置传输延时时间 |
|
剪枝否决时间(毫秒) |
PIM协议配置剪枝否决时间 |
|
Join/Prune报文保持时间(秒) |
PIM协议配置Join/Prune报文保持时间 |
|
Prune报文发送时间(毫秒) |
PIM协议配置Prune报文发送时间 |
选择PIM策略页签,配置PIM策略。
图3-87 PIM策略
表3-34 PIM策略
|
参数 |
说明 |
|
邻居过滤策略 |
协议类型支持PIM-SM和PIM-SSM两种 |
|
Join信息过滤策略 |
通过配置Join信息过滤策略,可以防止非法设备加入PIM域中 |
选择IGMP协议页签,配置IGMP协议。
图3-88 IGMP协议
表3-35 PIM策略
|
参数 |
说明 |
|
IGMP版本 |
IGMP协议有3个版本:IGMPv1、IGMPv2和IGMPv3 |
|
SSM映射 |
当选择了PIM-SSM模式搭配IGMPv1、IGMPv2时,由于IGMPv1、IGMPv2不支持组播接收者指定组播源加入组播组,所以需要通过在设备上配置SSM静态映射规则,来实现完整的PIM-SSM模式组播转发 |
|
查询器健壮系数 |
查询器的健壮系数是为了弥补可能发生的网络丢包而设置的报文重传次数 |
|
普通组查询报文发送频率(秒) |
IGMP协议指定的普通组查询报文发送频率 |
|
普通组查询报文最大响应时间(秒) |
IGMP协议指定的普通组查询报文最大响应时间 |
|
其他IGMP查询器的存活时间(秒) |
IGMP协议指定的其他IGMP查询器的存活时间 |
|
IGMP特定组/源组查询报文的发送时间间隔(秒) |
IGMP协议指定的IGMP特定组/源组查询报文的发送时间间隔 |
选择IGMP策略页签,配置IGMP策略
图3-89 IGMP策略
表3-36 IGMP策略
|
参数 |
说明 |
|
组播组过滤策略 |
用于在接口上配置组播组过滤器,以限定该接口下的主机所能加入的组播组 |
以上配置均完成后,可以实现同一VPN实例下的三层组播流量传输。
一个L3组播仅允许绑定一个私有网络。
(1) 在统一数字底盘中纳管AC,进入[监控>监控列表>网络>SNMP设备]菜单项,单击<增加>按钮添加无线AC设备。将AC纳管到数字底盘中,如下图所示。
图3-90 添加无线AC设备
图3-91 配置无线AC设备
表3-37 AC设备
|
参数 |
说明 |
|
IP地址 |
设备的IPv4地址(点分十进制格式)或IPv6地址(冒分十六进制格式) |
|
设备标签 |
该设备在系统中的显示名称,该项为空时系统会自动读取设备的Sysname作为设备标签 |
|
将设备的Trap发送到本网管系统 |
勾选该项后,系统会自动将Trap主机配置到该设备上,以便设备将产生的Trap发送到本系统 |
|
设备支持Ping操作 |
勾选该项后,系统会先Ping设备,如果设备Ping不通或不支持Ping操作,则无法将设备加入系统。若不勾选,则会直接将设备加入到系统中 |
|
Ping不通也加入 |
勾选该项后,如果Ping不通设备,也会增加此设备 |
(2) AC纳管后,选中AC设备,单击<同步>按钮。
图3-92 同步无线AC设备
(3) AC纳管成功后,进入[自动化>园区网络>网络设备>无线设备]菜单项,如下图所示。
图3-93 查看无线设备
(4) 单击设备标签,跳转至AC设备详情界面。
图3-94 单击设备标签
(5) 进入AC设备详情界面,单击<配置>按钮,然后再单击<修改NETCONF参数>按钮,进入修改NETCONF页面,填写如下参数:
图3-95 修改NETCONF参数
表3-38 修改NETCONF参数
|
参数 |
说明 |
|
用户名 |
填写无线AC设备上配置的Local-User用户名 |
|
密码 |
填写无线AC设备上配置的Local-User对应的密码 |
(6) 单击<确定>按钮配置完成。
(1) 进入[自动化>园区网络>网络设备>无线设备>相关链接>配置管理]页面,单击“AP模板配置”链接创建AP模板,如下图所示。
图3-96 创建AP模板
(2) 进入AP模板列表页面,单击<增加>按钮,进入增加AP模板页面,进行参数配置。
表3-39 AP模板
|
参数 |
说明 |
|
AP名称 |
当AP未上线时,此时仅为AP模板状态。通过设定AP名称标识各个AP模板 |
|
序列号 |
输入随AP所带的产品序列号 |
|
型号 |
设定添加AP的产品型号,从下拉框中选择当前无线控制组件所支持的AP型号 |
|
终端空闲超时时长 |
表示AP和移动终端之间相互发送请求的空闲时间间隔 |
|
终端保活时间间隔 |
表示AP和移动终端之间相互发送请求的活动时间间隔 |
|
同步主备AC |
将增加/修改Fit AP模板同步下发到所选AC分组中所有无线控制上 |
|
主备AC分组 |
需要同步下发的AC分组 |
|
主备AC分组中其它AC连接优先级 |
设定同一主备AC分组中其它AC上AP的连接优先级别,默认级别为4,在“同步主备AC”选中时可用 |
(3) 配置完成后,单击<确定>按钮,返回Fit AP列表,AP上线并注册成功后,状态会变为在线。
图3-98 AP上线
(4) AP上线并注册成功后,在[监控>监控列表>网络]>SNMP设备]界面选中AC,单击<同步>按钮,再去[自动化>园区网络>网络设备>无线设备]页面查看,AP状态会变为在线,如下图所示。
图3-99 查看状态
若此处不显示AP信息,可以进入[监控>监控列表>网络]页面勾选AC设备,然后单击<同步>按钮。
AP注册成功后,需要将Radio的状态改为Up,如下所示:
(1) 进入[自动化>园区网络>网络设备>无线设备>相关链接>配置管理]页面。
(2) 单击<Radio批量配置>按钮,进入Radio批量配置界面。
(3) 配置参数管理状态设置为Up,单击<增加>按钮,选中需要增加的Radio,最后单击<确定>按钮完成配置。
图3-100 配置Radio
AC设备上的无线服务模板(对应WSM页面的无线服务策略)即一类无线服务属性的集合,如无线网络的SSID、认证方式等。需要通过WSM组件进行配置,如下所示:
进入[自动化>园区网络>网络设备>无线设备>相关链接>配置管理]菜单项,单击“服务策略配置”链接进行配置。
图3-101 配置服务策略
无线服务策略参数说明:
· 对于802.1X认证方式:
图3-102 配置服务策略
表3-40 802.1X认证方式
|
参数 |
说明 |
|
AKM模式 |
需要选择dot1x |
|
安全信元和加密套件 |
建议使用RSN+CCMP组合 |
|
VLAN |
是指无线内部使用的VLAN,与用户的业务VLAN无关,填写一个1~3500之间的空闲VLAN即可,需要避开用户的业务VLAN |
· 对于MAC/MAC Portal认证方式:
图3-103 配置服务策略
表3-41 MAC/MAC Portal认证方式
|
参数 |
说明 |
|
AKM模式 |
需要选择psk |
|
认证模式 |
需要选择MAC |
|
安全信元和加密套件 |
建议使用RSN+CCMP组合 |
|
VLAN |
是指无线内部使用的VLAN,与用户的业务VLAN无关,填写一个1~3500之间的空闲VLAN即可,需要避开用户的业务VLAN |
不能只选择wpa和tkip,加密算法的限制会导致无线终端协商速率最大到54M,建议使用RSN+CCMP组合。
服务策略创建之后,需要跟Radio绑定,进入[自动化>园区网络>无线>AC配置>服务策略管理]页面,首先勾选模板,然后增加Radio,最后单击<绑定服务策略>按钮即可,如下图所示。
图3-104 绑定服务策略
· OLT设备(Optical Line Terminal,光线路终端):PON系统的核心设备,一般放置在中心机房,用于统一管理ONU,并将接入业务汇聚和传递到IP网。
· ONU设备(Optical Network Unit,光网络单元):PON系统的用户端设备,用于连接用户PC、机顶盒、交换机等,通常放置在用户家中、楼道或道路两侧,负责响应OLT发出的管理命令,并将用户数据转发到OLT。
· 分光器(Optical Splitter,无源光纤分支器):用于将上行数据汇聚到一根光纤上,并将下行数据分发到各个ONU。
(1) 单击[自动化>园区网络>网络设备>交换设备]菜单项,单击<增加>按钮,进入增加网络设备页面。
图3-105 增加交换设备
表3-42 增加交换设备
|
参数 |
说明 |
|
所属Fabric |
选择设备所属Fabric |
|
设备角色 |
有Spine,Leaf,Access、Aggregation四种角色,请务必保证与设备上配置的角色一致。其中Aggregation角色应用于 Aggr组网模型,相较于原有标准三层/二层组网在Spine和Leaf之间增加了Aggr三层交换机,其无需支持VXLAN/EVPN |
|
管理IP |
OLT设备VXLAN4094/VLAN4094接口的IP地址 |
|
Underlay IP |
OLT设备LoopBack口的IP地址 |
|
设备系列 |
选择OLT设备型号对应的产品系列 |
|
设备控制协议模板 |
请选择与OLT设备上的配置完全一致的模板,否则会导致设备无法激活 |
(2) 配置完成后,单击<确定>按钮,选择[PON设备]页签,然后选择[OLT]页签,进入OLT设备页面。在该页面可查看OLT接口列表、ONU列表、分光器、OLT单板列表等信息。
图3-106 OLT设备
(3) 单击列表中OLT设备的<OLT接口列表>链接进入当前OLT设备的OLT接口列表页面,可查看OLT设备的接口列表,包括冗余口和物理口。其中冗余口可进行增加、修改和查看详情等操作。当OLT口在Leaf下行口组或者OLT接口组时,如果要把此接口加入到冗余口中,则控制组件会自动把OLT口从接口组移除,之后再加到冗余口,且会把生成的冗余口自动加到OLT接口组。单击OLT接口列表页面操作栏的修改按钮,可以配置接口的最大往返时间。
图3-107 OLT接口
表3-43 OLT接口
|
参数 |
说明 |
|
最大往返时间 |
本配置可设置PON系统的覆盖范围。最大往返时间取值范围为2000-32000,单位为TQ。1TQ=16ns 冗余口不支持配置最大往返时间 设备上手动配置冗余口时,如果未配置主用成员口或备用成员口,则控制组件不会管理该冗余口 |
(4) 单击列表中的<OLT单板列表>链接进入OLT单板列表页面,展示当前OLT设备的所有OLT单板,单击OLT单板列表中的<OAM配置信息>链接,可以配置单板的OAM配置,单击OLT单板列表中的<单板配置>链接,可以配置单板的单板配置信息。
图3-108 OAM配置信息
图3-109 单板配置
表3-44 OLT单板列表配置
|
参数 |
说明 |
|
OAM发现超时时间 |
本配置为扩展OAM发现过程中OLT与ONU之间交互的扩展OAM消息的超时时间, 单位为100毫秒 |
|
无回应超时时间 |
OLT和ONU之间的秘钥报文通信超时时间,单位为100毫秒 |
|
加密更新时间 |
此命令用来配置LLID密钥的更新周期,单位为秒 |
(5) 在OLT列表操作栏可完成查看详情、修改和同步操作。
(1) 选择[ONU设备]页签进入ONU设备页面。在该页面可对ONU设备进行移动、批量删除、批量同步和查看UNI列表等操作。在ONU列表操作栏可完成查看详情、修改、删除和重启操作。
图3-110 ONU设备
(2) 单击<刷新>按钮,可刷新ONU设备列表信息。控制组件会自动识别连接在OLT设备的ONU并添加到列表中,无需手动配置。
(3) 勾选列表中多个ONU,单击<批量删除>按钮即可批量删除ONU。
图3-111 批量删除
(4) 勾选列表中多个ONU,单击<移动>按钮,之后选择对应的源分光器,可以把ONU移动到某分光器下。如果选择的ONU不属于同一个设备下的同一个OLT接口,则不允许移动。
图3-112 移动
(5) 单击列表中ONU设备的<UNI列表>链接,可查看ONU对应的UNI列表信息。单击UNI列表操作栏的修改按钮可修改UNI接口配置。
图3-113 UNI信息
表3-45 UNI信息
|
参数 |
说明 |
|
接口管理状态 |
打开或关闭ONU的下行口 |
|
自协商功能 |
启用后可使物理链路两端的设备自动调整参数,达到双方都支持的传输速率最大值。协商若失败,接口将转为down状态 |
|
接口流控功能 |
当UNI端口与对端设备都开启了流量控制功能后,如果ONU发生拥塞,它将向对端设备发送消息,通知对端设备暂时停止发送报文,对端设备接收到该消息后将暂时停止向本端发送报文,从而避免了报文丢失现象的发生 |
|
上行限速 |
UNI端口报文上行传送速率。取值范围为64~16777152,必须是64的整数倍,单位为Kbps |
|
下行限速 |
UNI端口报文下行传送速率。取值范围为64~16777152,必须是64的整数倍,单位为Kbps |
|
突发缓存 |
最大突发带宽,取值范围为1522~65535,单位为字节 |
|
额外突发缓存 |
超过最大突发带宽时可利用的额外的带宽,取值范围为0~1522,单位为字节 |
(6) 单击操作栏的修改按钮,在修改页面可修改ONU基础配置和ONU DBA配置。
¡ ONU基础配置页面支持修改站点、描述、ONU FEC功能、ONU下行加密。
图3-114 OUN基础配置
表3-46 ONU基础配置
|
参数 |
说明 |
|
名称 |
ONU接口名称 |
|
站点 |
ONU具体站点信息 |
|
描述 |
ONU描述信息 |
|
MAC地址 |
ONU MAC地址 |
|
UNI个数 |
ONU下行口的个数 |
|
状态 |
ONU的状态,包括上线和下线 |
|
ONU FEC功能 |
前向错误纠错,减小误码率,增加光信号传输距离 |
|
ONU下行加密 |
下行流量加密功能 |
¡ 在ONU DBA配置页面可配置ONU上行带宽范围。
图3-115 ONU DBA配置
表3-47 ONU DBA配置
|
参数 |
说明 |
|
上行最大带宽 |
上行最大带宽有效范围是512-10000000的整数,并且是64的倍数,单位为Kbps |
|
上行最小带宽 |
上行最小带宽有效范围是512-8689984的整数,并且是64的倍数,单位为Kbps。最小带宽不能大于最大带宽 |
(1) 选择[分光器]页签进入分光器页面。在该页面可对分光器进行增加、修改、删除和查看详情等操作。
(2) 单击<增加>按钮,进入增加分光器页面。在该页面配置分光器的名称、备注、插损值、厂商等信息。
图3-116 增加分光器
表3-48 增加分光器
|
参数 |
说明 |
|
名称 |
分光器名称 |
|
备注 |
用户对分光器的备注信息 |
|
分光比 |
分光器的分光比。分光器各输出端口的输出功率比值,如1:2、1:64 |
|
插损值 |
分光器产生的信号损耗 |
|
传输距离 |
分光器的信号传输距离 |
|
厂商 |
分光器的厂商。如H3C等 |
|
源分光器 |
当前分光器的上级分光器 |
|
下级设备 |
分光器下挂的下级设备。目前仅支持ONU |
(3) 增加分光器页面单击源分光器后面的<选择>按钮选择源分光器,进入选择源分光器页面,选择列表中的分光器作为源分光器。
(4) 增加分光器页面单击下级设备的<增加>按钮,可以添加分光器的下级设备,目前分光器可选的下级设备只包含ONU。
(5) 单击<确定>按钮,配置成功。
图3-117 分光器
(6) 单击“ONU列表”图标,可以查看该分光器下直连的ONU。
图3-118 OUN列表
(7) 单击“拓扑”图标,可以跳转至该分光器的拓扑页面。
图3-119 拓扑
单击[批量配置]链接进入批量配置页面。在该页面配置OLT单板配置、OLT接口配置、ONU配置、UNI口配置。
图3-120 批量配置
· OLT单板配置:可批量修改OAM配置或单板配置,单击<批量修改>按钮批量修改。
图3-121 OAM配置
图3-122 单板配置
· OLT接口配置:可批量修改最大往返时间,单击<批量修改>按钮批量修改。
图3-123 最大往返时间
· ONU配置:可批量修改ONU基础配置或ONU DBA配置,单击<批量修改>按钮批量修改。
图3-124 ONU基础配置
图3-125 ONU DBA配置
· UNI口配置:可批量修改UNI接口配置,单击<批量修改>按钮批量修改。
图3-126 UNI接口
该功能通过连接多个隔离域间的BGP路由,实现用户跨隔离域互通。配置隔离域互联时成员至少配置2个,多个成员之间为全互联。
(1) 进入[自动化>园区网络>网络设备]菜单项,选择[边界设备组]页签,单击<增加>按钮,进入增加边界设备页面。
图3-127 边界设备组
(2) 增加边界设备组页面中,在网络位置区域勾选“Fabric间互联”。
图3-128 增加边界设备组
表3-49 边界设备组
|
参数 |
说明 |
|
设备组名称 |
边界设备组名称 |
|
描述 |
边界设备组描述 |
|
网络位置 |
网络位置。包括:出口网关、Fabric间互联、园WAN互联 |
|
HA部署模式 |
HA部署模式。可以选择IRF或DRNI选项 |
|
成员 |
展示了设备列表成员,可以对设备列表成员进行增删 |
|
园区出口地址池 |
园区出口地址池。可以选择新建园区出口地址池或园区出口地址选项 |
|
园区出口VLAN池 |
园区出口VLAN池。可以选择新建园区出口VLAN池或园区出口VLAN池选项 |
|
安全外网出口地址池 |
安全外网出口地址池。可以选择新建安全外网出口地址池或安全外网出口地址池选项 |
|
安全外网出口VLAN池 |
安全外网出口VLAN池。可以选择新建安全外网出口VLAN池或安全外网出口VLAN池选项 |
|
防火墙管理地址池 |
防火墙管理地址池。可以选择新建防火墙管理地址池或防火墙管理地址池选项 |
多园区多Fabric或者单园区多Fabric都是选择Fabric间互联。
(3) 参考上述步骤再新增一个边界设备组。
(1) 单击[自动化>园区网络>隔离域]菜单项,选择[隔离域互联]页签,进入隔离域互联页面。
(2) 单击<增加>按钮,进入增加隔离域互联页面。在该页面可以配置隔离域互联的名称、描述信息和连接方式等。其中,连接方式分为自定义和路由服务器。
(3) 当连接方式为自定义时,在隔离域互联成员区域,单击<增加>按钮,弹出增加隔离域互联成员页面。其中,隔离域互联成员至少配置2个,多个成员之间为全互联。
图3-129 完成多园区多Fabric增加隔离域互联
(4) 当连接方式为路由服务器时,在路由服务器区域,选择隔离域的名称和边界设备,在路由服务器客户端区域,单击<增加>按钮,在弹出的对话框中选择隔离域的名称和边界设备。
图3-130 增加隔离域互联
(5) 配置完成后,单击<确定>按钮完成增加隔离域互联的操作。
表3-50 隔离域互联
|
参数 |
说明 |
|
名称 |
隔离域互联名称 |
|
描述 |
隔离域互联描述信息 |
|
连接方式 |
隔离域互联时成员之间的连接方式,可选方式:自定义、路由服务器 |
|
隔离域 |
隔离域互联时成员的隔离域名称 |
|
Fabric |
隔离域互联时边界设备所属的Fabric |
|
边界设备组 |
隔离域互联时边界设备所属的边界设备组 |
|
边界设备 |
隔离域互联时成员的边界设备 |
本页面主要用于配置安全服务器。通过将控制组件与安全服务器建立连接,可为控制组件提供防火墙等安全服务。
(1) 选择[自动化>园区网络>网络设备>安全设备]菜单项,单击右上方链接,进入安全服务页面。
(2) 单击<增加>按钮,在弹出的对话框中配置服务器地址、端口等参数,单击<确定>按钮完成安全服务器配置。
图3-131 增加安全服务
表3-51 增加安全服务
|
参数 |
说明 |
|
服务器地址 |
安全服务器的IP地址 |
|
协议 |
控制组件和安全服务器进行接口访问的协议类型,目前仅支持https |
|
端口 |
控制组件和安全服务器进行接口访问的端口,默认31999 |
(3) 控制组件与安全服务器连接成功后,单击“数据同步状态”中
图标可将安全服务器侧的安全资产同步到控制组件。同步完成后单击
图标,弹出安全资产列表窗口,在该页面可查看资产相关信息,包括资产名称、IP地址、单个物理资产同步状态等信息。
图3-132 安全资产列表
(4) 在安全资产列表中,单击单个资产的同步按钮,可将安全服务器侧和控制组件侧单个资产信息进行数据同步。
进入[自动化>园区网络>Fabrics]菜单项开启全局QoS策略,单击列表中Fabric名称对应操作列的设置图标
,进入对应Fabric页面。切换至“设置”页签,将“QoS策略”项置为“开启”,单击右上角<确定>按钮,保存配置。
(1) 单击[自动化>园区网络>应用策略>QoS]菜单项,单击[端对端保障]页签,进入应用分类展示页面。端到端保障用于Fabric内纳管的所有设备互联口队列设置以及接口报文默认优先级设置。
图3-133 开启端到端保障
(2) 单击<修改>按钮,进入修改端对端保障页面,将“端到端保障”项设置为“开启”,
图3-134 修改端对端保障
(3) 设置完成之后,单击<确认>按钮。开启端到端保障后,该Fabric内纳管的所有设备互联口队列都会下发QoS相关配置,用于保障特定流量的优先级。
(1) 单击[自动化>园区网络>应用策略>QoS]菜单项,单击[应用分类]页签,进入应用分类展示页面。
(2) 单击<增加>按钮进入增加应用分类页面,该页面分为基本设置和规则信息两个区域。
(3) 在基本设置区域可以配置应用名称、描述信息。
表3-52 增加应用分类
|
参数 |
说明 |
|
名称 |
新增时定义的应用分类名称 |
|
描述 |
新增时定义的应用分类描述 |
(4) 在规则信息区域,单击<增加>按钮,在弹出的对话框中配置规则的名称,并选择协议类型。可根据需求配置源IP地址、目的IP地址、源端口、目的端口。配置完成后单击<确定>按钮,完成增加规则的操作。
图3-135 增加应用分类
表3-53 增加规则
|
参数 |
说明 |
|
名称 |
新增时定义的规则名称 |
|
协议 |
新增时定义的规则协议,包含TCP、UDP、ICMP三种协议和ALL |
|
源IP地址 |
新增时定义的规则源IP地址,可以为空,说明指定所有源IP地址 |
|
目的IP地址 |
新增时定义的规则目的IP地址,可以为空,说明指定所有目的IP地址 |
|
源端口 |
新增时定义的规则源端口,默认0:65535,说明指定所有源端口 |
|
目的端口 |
新增时定义的规则目的端口,默认0:65535,说明指定所有目的端口 |
(5) 规则增加完成后,单击增加应用分类页面的<确定>按钮,完成增加应用分类的操作。
(6) 本文以下图的规则为例,所有匹配“源IP网段”为20.0.0.0/16和“目的IP网段”为225.0.0.1/32的报文都符合这个规则,将自动被归为一类。
图3-136 增加规则
(7) 单击<确定>按钮,返回增加应用分类页面。单击<确定>按钮,保存配置,返回应用分类列表中可以看到刚刚配置的应用分类,该应用分类未被引用时的状态是Ready状态,并且可以对该应用分类进行详情查看、修改或删除操作。
图3-137 应用分类
(1) 单击[自动化>园区网络>应用策略>QoS]菜单项,单击[应用策略]页签,进入应用策略展示页面。
图3-138 应用策略
(2) 单击<增加>按钮进入增加应用策略页面,输入名称和描述。
(3) 选择开启动态匹配或关闭动态匹配,开启后不需要配置[网络范围],动态识别应用集对应应用的报文,并执行流量保障策略。
图3-139 网络范围
表3-54 增加应用策略
|
参数 |
说明 |
|
名称 |
新增时定义的应用策略名称 |
|
描述 |
新增时定义的应用策略描述 |
|
动态匹配 |
新增时定义的应用策略匹配模式,选择开启动态匹配,开启后不需要配置[网络范围],动态识别应用集对应应用的报文,并执行流量保障策略。选择关闭动态匹配,需要配置[网络范围] |
(4) 单击[网络范围]页签,设置采用流量策略的交换设备信息。
(5) 单击<增加>按钮,选择设备或接口选项。进入设备或端口选择页面,用户可以根据实际需求选择选该应用策略下发到哪些设备或端口上。只有应用了策略的设备或端口才会匹配应用分类后执行策略动作。
(6) 在左侧设备列表中选择设备,单击
图标,在右侧显示已选择的设备或接口。
图3-140 选择设备
(7) 单击<确定>按钮,网络范围增加完成。
(8) 单击[流量策略]页签,将应用分类和优先级进行关联形成全局流量策略,然后应用到设备或者接口上。
图3-141 流量策略
(9) 单击<增加>按钮,进入增加流量策略页面。
图3-142 应用优先级
表3-55 增加流量策略
|
参数 |
说明 |
|
名称 |
与当前现有的流量策略名称不重复即可 |
|
应用分类 |
配置的一套ACL规则,流量会按此规则进行过滤 |
|
方向 |
可选填“IN”、“OUT”及“BOTH”,分别为在报文的入接口方向、报文的出接口方向、报文的入和出接口方向应用策略,建议使用“IN”,在报文的入方向可以识别应用分类后执行流量策略里配置的动作 |
|
应用优先级 |
优先级用于标识应用报文传输的优先程度,指定这个应用分类的报文本地优先级队列 |
|
流量限速 |
开启或关闭流量限速 |
|
CIR |
承诺信息速率。流量的平均速率,单位为kbps |
|
PIR |
峰值速率,单位为kbps,PIR和CIR速率单位必须保持一致 |
|
CBS |
承诺突发尺寸,单位为byte |
|
EBS |
超出突发尺寸,单位为byte |
|
流量阻断 |
开启或关闭流量阻断。开启流量阻断功能,即阻断匹配的应用分类报文流量,开启阻断功能后应用优先级和流量限速则无法配置 |
应用优先级:不同的应用对应不同的优先级,设备根据报文的优先级将报文上送至不同的队列中,一般有0-7共8个队列。SP方式下数值越大,优先级越高,设备严格按照优先级从高到低的次序优先发送较高优先级队列中的报文,当较高优先级队列为空时,再发送较低优先级队列中的报文。WRR方式会给每个优先级的队列分配一个权重,设备按照权重在各个队列中进行轮询调度。
下表为不同的应用对应的不同队列值。其中,队列6-7为系统预留,不会给用户使用。
表3-56 应用优先级
|
应用名称 |
队列 |
|
网络控制(网络控制平面) |
5 |
|
电话(IP电话业务) |
5 |
|
信令(广播电视,视频监控) |
5 |
|
多媒体会议(桌面多媒体会议) |
4 |
|
实时互动(视频会议和高清视频) |
4 |
|
多媒体流(VOD流媒体业务) |
3 |
|
广播视频(IP语音和视频业务) |
3 |
|
低延迟数据(客户/服务器应用程序) |
1 |
|
OAM(网络运营、维护和管理类业务) |
1 |
|
高通量数据(文件传输业务) |
0 |
|
标准(其他应用) |
2 |
|
低优先级数据(无需带宽保证的业务) |
0 |
流量限速:默认关闭,可根据需求开启,进行流量的速度限制配置。开启流量限速后,需配置流量监管参数。配置参数包括:
¡ CIR:承诺信息速率。流量的平均速率,单位为kbps。
¡ PIR:峰值速率,单位为kbps,PIR和CIR速率单位必须保持一致。
¡ CBS:承诺突发尺寸,单位为byte。
¡ EBS:超出突发尺寸,单位为byte。
图3-143 流量限速
(10) 单击<确定>按钮,返回增加应用策略页面。单击<确定>按钮,返回应用策略页面,在列表中可以查看添加的应用策略,可对该策略进行详情查看、修改或删除操作。
图3-144 查看应用策略
(11) 切换至[应用分类]页签,可以看到在应用策略中引用的应用分类的状态会切换成“In use”,处于“In use”状态的应用分类不允许被删除。
图3-145 应用分类
(1) 进入[自动化>园区网络>网络设备>BRAS设备]菜单项,单击<增加>按钮,进入增加BRAS设备。
图3-146 BRAS设备
表3-57 BRAS设备
|
参数 |
说明 |
|
设备IP |
填写管理口IP |
|
设备系列 |
选择设备系列 |
|
设备控制协议模板 |
选择设备控制协议模板 |
(2) 纳管后,BRAS设备状态显示为“激活”,表示纳管成功。
图3-147 纳管成功
(3) 单击操作列的<详情>图标,可以查看BRAS设备的详情、接口列表、告警、监控等信息。
图3-148 查看详情
图3-149 查看BRAS设备详细信息
进入[监控>拓扑视图>园区拓扑]菜单项,单击BRAS设备连接的Border的fabric,可以查看拓扑信息。
图3-150 BRAS设备拓扑信息
进入[自动化>配置部署>配置库]菜单项,进入配置库页面,根据实际业务需求,联系控制组件研发获取最新的配套ICC脚本,然后上传到配置库。
图3-151 上传ICC脚本
(1) 进入[自动化>配置部署>设备配置]菜单项,单击<部署设备配置>按钮,创建部署任务,通过ICC脚本给BRAS设备下发业务配置。
图3-152 部署设备配置
图3-153 选择部署设备
表3-58 部署设备
|
参数 |
说明 |
|
模板名称 |
选择上传的ICC脚本 |
|
选择部署设备 |
选择BRAS设备 |
(2) 进入[自动化>配置部署>部署任务]菜单项,查看部署任务执行情况,“完成-成功”表示任务执行成功。
图3-154 部署完成
该功能用于配置园WAN互联参数,实现园区网络和WAN网络之间的连接互通。仅IP策略的私有网络才可以配置园WAN互联,且园WAN互联仅支持IPv4业务。
(1) 单击[自动化>园区网络>私有网络]菜单项,单击[园WAN互联]页签进入园WAN互联页面。
(2) 单击<增加>按钮,进入增加园WAN互联页面。在该页面可以配置园WNN互联的名称、描述、私有网络和站点间VPN流量访问模型信息。站点间VPN流量访问模型分为HUB-SPOKE和FULL-MESH两种。
图3-155 增加园WAN互联
表3-59 增加园WAN互联
|
参数 |
说明 |
|
名称 |
园WAN互联名称 |
|
描述 |
园WAN互联描述信息 |
|
私有网络 |
园WAN互联指定的园区VPN信息 |
|
站点间VPN流量访问模型 |
指定园区和WAN网络站点间VPN流量访问模型 |
(3) 单击<增加园WAN互联成员>按钮,进入公共配置页面。在该页面可以配置成员的名称、隔离域和资源分配模式信息。资源分配模式分为自动分配和手动指定两种。
图3-156 公共配置
表3-60 增加园WAN互联成员
|
参数 |
说明 |
|
成员名称 |
园WAN互联成员名称 |
|
隔离域 |
园WAN互联成员所属隔离域信息 |
|
资源分配模式 |
园WAN互联成员对应IP、VLAN分配模式,支持自动分配和手工指定 |
(4) 单击<下一步>按钮,进入园区互联口页面。若资源分配模式为手动指定,在该页面需要指定Fabric、边界设备组、VLAN接口IPv4地址、互联VLAN、边界设备和接口 。互联VLAN范围为101-4089。若资源分配模式为自动分配,在该页面需要指定Fabric、边界设备组、边界设备和接口,VLAN接口IPv4地址和互联VLAN不在该页面进行展示,由系统自动进行分配,分配完成后,可以在园WAN互联成员页面单击<修改>按钮进行查看。
图3-157 增加园区互联口(自动分配)
图3-158 增加园区互联口(手动指定)
图3-159 增加接口
表3-61 增加园区互联口
|
参数 |
说明 |
|
Fabric |
园WAN互联园区侧成员所属Fabric |
|
边界设备组 |
园WAN互联成员园区侧所属边界设备组 |
|
边界设备 |
园WAN互联成员园区侧的边界设备 |
|
出接口 |
园WAN互联成员园区侧边界设备的出接口 |
|
VLAN接口IPv4地址 |
园WAN互联成员园区侧边界设备出口VLAN接口的IPv4地址 |
|
互联VLAN |
园WAN互联成员园区侧边界设备出口VLAN |
(5) 单击<下一步>按钮,进入WAN互联口页面。若资源分配模式为手动指定,在该页面需要指定站点、互联VLAN、网关设备、接口和接口IPv4地址。互联VLAN无需指定,直接继承园区互联VLAN的值。若资源分配模式为自动分配,在该页面需要指定站点、网关设备和接口,互联VLAN和接口IPv4地址不在该页面进行展示,由系统自动进行分配,分配完成后,可以在园WAN互联成员页面单击<修改>按钮进行查看。
图3-160 增加WAN互联口(自动分配)
图3-161 增加WAN互联口(手动指定)
表3-62 增加WAN互联口
|
参数 |
说明 |
|
站点 |
园WAN互联WAN侧站点信息 |
|
网关设备 |
园WAN互联成员WAN侧的网关设备 |
|
出接口 |
园WAN互联成员WAN侧网关设备的出接口 |
|
接口IPv4地址 |
园WAN互联成员WAN侧网关设备出口VLAN接口的IPv4地址 |
|
互联VLAN |
园WAN互联成员WAN侧网关设备出口VLAN,自动继承园区的互联VLAN |
(6) 单击<下一步>按钮,进入路由协议页面。在该页面可以配置路由协议、进程号ID、区域ID、园区引入路由、WAN引入路由、园区接口配置和WAN接口配置信息。当前路由协议仅支持OSPF。
图3-162 路由协议
表3-63 路由协议
|
参数 |
说明 |
|
路由协议 |
园WAN互联成员之间互联使用的路由协议,目前仅支持OSPF |
|
进程号ID |
OSPF进程号ID |
|
区域ID |
OSPF区域ID |
(7) 在该页面单击园区引入路由下的<增加>按钮,在弹出的对话框中可以指定路由协议、路由开销、引入IBGP和AS号。园区引入路由协议支持直连、静态和BGP三种。
图3-163 增加园区引入路由
表3-64 增加园区引入路由
|
参数 |
说明 |
|
路由类型 |
园区引入路由协议,支持直连、静态和BGP三种 |
|
路由开销 |
园区引入路由的路由开销 |
|
引入BGP |
园区引入路由的BGP信息 |
|
AS号 |
园区引入路由的AS号 |
|
引入明细路由 |
园区引入明细路由,缺省值为否 |
(8) 在该页面单击WAN引入路由下的<增加>按钮,在弹出的对话框中可以指定路由协议、路由开销和AS号。WAN引入路由支持直连、静态和BGP三种。
图3-164 增加WAN引入路由
表3-65 增加WAN引入路由
|
参数 |
说明 |
|
路由协议 |
WAN网络引入路由协议,支持直连、静态和BGP三种 |
|
路由开销 |
WAN网络引入路由的路由开销 |
|
AS号 |
WAN网络引入路由的AS号 |
(9) 在该页面单击WAN接口配置或园区接口配置下的<修改>按钮,可以配置路由开销和BFD使能。
图3-165 接口配置
表3-66 接口配置
|
参数 |
说明 |
|
边界设备 |
园区接口配置的边界设备,从园区互联口自动继承 |
|
网关设备 |
WAN接口配置的边界设备,从WAN互联口自动继承 |
|
接口 |
园区接口从园区互联口自动继承,WAN接口从WAn互联口自动继承 |
|
路由开销 |
接口下的路由开销 |
|
BFD使能 |
标记接口是否使能BFD |
(10) 单击<完成>按钮,跳转到增加园WAN互联页面。在该页面单击<确定>按钮,完成增加园WAN互联的操作。
图3-166 园WAN互联
(1) 单击[自动化>园区网络>网络设备]菜单项,单击[通用策略组]页签进入通用策略组页面。
图3-167 通用策略组
(2) 单击<策略模板>按钮,进入策略模板页面。
图3-168 策略模板
(3) 单击<增加>按钮,选择“设备策略模板”选项。
图3-169 设备策略模板
(4) 进入增加设备策略模板界面,填写模板名称、模板类型和认证方式。
图3-170 增加设备策略模板
|
参数 |
说明 |
|
模板名称 |
园区接口配置的边界设备,从园区互联口自动继承 |
|
模板类型 |
本文以选择“802.1X认证”为例 |
|
认证方式 |
支持EAP/CHAP/PAP三种认证,有线认证推荐使用“CHAP”认证方式;无线认证必须选择“EAP”认证方式。本文选择“CHAP”认证方式 |
(5) 配置完成后,单击<确定>按钮返回策略模板页面。
图3-171 新增策略模板
(1) 配置完策略模板后,单击<返回>按钮,返回通用策略组页面。
图3-172 通用策略组
(2) 单击<增加>按钮,进入增加通用策略组页面。
图3-173 增加通用策略组
表3-68 通用策略组
|
参数 |
说明 |
|
名称 |
最长255字符,区分大小写,仅支持中文、字母、数字、下划线和连字符 |
|
描述 |
最长255字符,区分大小写 |
|
Fabric |
所属Fabric |
|
类型 |
包括接口组和设备组,本文选择“设备组” |
|
子类型 |
根据父类型(接口组或设备组)选择对应的子类型,本文选择“认证设备组” |
(3) 在[成员]页签,单击<增加>按钮,进入增加设备成员页面。
图3-174 增加设备成员
(4) 在设备列表区域勾选要选择的设备,单击中间
按钮,将选择的设备移动到已选设备区域。
图3-175 选择设备
(5) 配置完成后,单击<确定>按钮,返回增加通用策略组页面,然后选择[策略]页签。
图3-176 策略
(6) 单击<增加>按钮,进入增加设备组策略页面。
图3-177 增加设备组策略
(7) 在可选策略模板区域勾选802.1X认证模板,在可选可选802.1x认证策略区域选择3.11.1 增加策略模板增加的策略模板“aa”。
图3-178 选择策略模板
(8) 单击<增加>按钮,将选择的策略增加到已选策略中。
图3-179 已选策略
(9) 单击<确定>按钮,返回增加通用策略组页面。
图3-180 策略
(10) 单击<确定>按钮,完成通用设备策略组的配置。
图3-181 通用策略组
为方便您快速体验该业务功能,以配置不进行任何接入控制的接入策略为例,增加接入策略的方法如下:
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入服务]菜单项,进入接入服务页面。选择“接入策略”页签,如图3-182所示。
(2) 单击<增加>按钮,进入增加接入策略页面,如图3-183所示。由于不需要任何接入控制,所以只需输入接入策略名,其他参数保持默认即可。
表3-69 接入策略
|
参数 |
说明 |
|
接入时段 |
选择了某一接入时段策略后,使用此规则的用户只能在接入时段策略中定制的时间段内允许接入 |
|
分配IP地址 |
是否下发用户IP地址 |
|
上行、下行速率 |
根据设定的上下行速率来限制用户使用该规则上网时的上传、下载速率 |
|
优先级 |
其决定在网络拥塞时转发报文的优先顺序,此参数应从设备支持的优先级中选取,数值越小优先级越高。配置错误可能导致用户无法上线 |
|
首选EAP类型/子类型 |
进行EAP认证时,RADIUS服务器优先下发给客户端的EAP类型。包括:EAP-MD5、EAP-TLS、EAP-TTLS和EAP-PEAP。当首选EAP类型为EAP-TTLS和EAP-PEAP时,还需要首选EAP-MSCHAPv2,EAP-MD5和EAP-GTC其中的一种子类型 |
|
EAP自协商 |
当客户端配置的EAP类型与EIA中配置的首选EAP类型不同时的处理方式。配置为“启用”时,EIA完全适应由客户端中配置的EAP认证方式,即无论客户端中配置什么类型的EAP认证,EIA都允许客户端继续认证。配置为“禁用”时,如果客户端配置的EAP类型与EIA中配置的首选EAP类型不同,则EIA拒绝其认证 |
|
单次最大在线时长(分钟) |
使用该策略的接入帐号认证成功后可在线的最长时间,单位为分钟。该参数默认值为空,表示不限制;最小值为1,最大值为1440。如果帐号在线时间超过该参数值,EIA则强制该用户下线 |
|
下发VLAN |
设置向用户下发的VLAN,当接入设备类型为H3C(General)、Huawei(General)、HP(Comware)、3Com(General)时,如果配置的VLAN为1~4094,接入业务以整型的VLAN ID下发给设备,设备上的VLAN分配模式应为整型;所有其他值都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型。其他设备类型都以字符型VLAN NAME下发给设备,设备上VLAN分配模式应为字符型,用户认证通过后将只能访问该VLAN的内部资源 |
|
下发地址池 |
输入地址池名称。EIA将地址池名称下发给接入设备,接入设备根据下发的地址池名称寻找设备上对应的地址池,然后给用户分配该地址池中的IP地址。只有下发设备上配置了对应的地址池,该功能才生效 |
|
下发User Profile |
将用户配置文件名称下发给设备,实现基于用户的QoS功能。只有下发设备上已经配置完成了User Profile,User Profile才生效 |
|
下发用户组 |
用户认证通过后向设备下发该用户所属的用户组,可以输入多个组,每个组以分号分隔。与ACG1000联动或与SSL VPN设备配合时,该属性才有效 |
|
下发ACL |
设置向用户下发的访问控制列表 |
|
离线检查时长(小时) |
哑终端认证通过后向设备下发该参数,设备以该参数作为时间间隔,周期性检测哑终端是否已离线。该参数为空时,表示不检测;时长必须为整数,范围为[0,596523]。该参数只适用于哑终端 |
|
认证绑定信息 |
目前接入策略管理与接入设备配合可对接入设备IP地址、端口、VLAN、QinQ双VLAN、接入设备序列号、用户IP地址、MAC地址、IMSI、IMEI、无线用户SSID和硬盘序列号进行绑定检查。iNode客户端与策略服务器配合可对用户IP地址、MAC地址、计算机名称、计算机域、用户登录域和硬盘序列号进行绑定检查。其中MAC地址绑定和IMSI绑定只能同时选择一个。当帐号用户申请具有绑定策略的服务时,可以设置相关的绑定信息,如果不设置,绑定时将采用自学习策略。所谓自学习就是绑定用户首次上网时所使用的相关参数,比如用户使用的服务采用自学习绑定用户IP地址,用户首次使用该业务上网时的IP地址为10.100.10.10,则今后用户只能通过使用这个IP地址才能通过认证 |
授权下发需要设备支持对应属性,认证绑定需要设备在RADIUS属性中上传对应信息。本例不对设备进行任何下发,因此保持默认。
(3) 单击<确定>按钮,接入策略增加完毕。返回接入策略管理页面,可在接入策略列表中查看新增的接入策略,如图3-184所示。
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入服务]菜单项,进入接入服务页面,如图3-185所示。
(2) 单击<增加>按钮,进入增加接入服务页面,配置接入服务的基本信息,如图3-186所示。
各参数介绍请参见表3-70,表格外的其他参数在配置过程中可保持缺省值。
|
参数 |
说明 |
|
服务名 |
特定服务在接入业务中的唯一标识 |
|
服务后缀 |
服务后缀、认证连接的用户名、设备的Domain和设备Radius scheme中的命令这四个要素密切相关,具体的搭配关系请参见表3-71 |
|
缺省接入策略 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省接入策略的控制 |
|
缺省私有属性下发策略 |
不受接入位置分组限制的用户上网时,EIA会根据本参数指定的策略将私有属性下发到此用户连接的接入设备上 |
|
缺省单帐号最大绑定终端数 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号最大绑定终端数的控制,该参数只有在部署了EIP组件后才会显示 |
|
缺省单帐号在线数量限制 |
接入用户的接入场景与服务中的接入场景均不匹配时,用户受到缺省单帐号在线数量限制的控制 |
|
单日累计在线最长时间(分钟) |
每天允许帐号使用该服务接入网络的总时长,达到该时长后,帐号将被强制下线,且当日不能再次接入。若一个帐号对应多个终端,则多个终端时长累计,累计时长达到该时长后,帐号将被强制下线,且当日不能再次接入。该参数单位是分钟,只支持输入整数,最小值是0,表示不限制每天在线时长,最大值是1440 |
|
业务分组 |
接入服务所属分组,按需选择之前增加的业务分组 |
|
接入场景列表 |
如果用户接入的场景与接入策略列表中的某个接入场景完全匹配,则用户认证时会根据接入位置分组策略的配置决定应用哪个安全策略、私有属性下发策略与接入策略。否则,用户使用服务中的缺省安全策略、缺省私有属性下发策略和缺省接入策略。“安全策略”只有在安装了EAD安全策略组件后才会出现 |
表3-71 EIA中服务后缀的选择
|
认证连接用户名 |
设备用于认证的Domain |
设备Radius scheme中的命令 |
EIA中服务的后缀 |
|
X@Y |
Y |
user-name-format with-domain |
Y |
|
user-name-format without-domain |
无后缀 |
||
|
X |
[Default Domain] 设备上指定的缺省域 |
user-name-format with-domain |
[Default Domain] |
|
user-name-format without-domain |
无后缀 |
(3) 单击<确定>按钮,完成增加接入服务操作,返回接入服务页面。可在接入服务列表中查看新增的接入服务,如图3-187所示。
(1) 选择“自动化”页签,单击导航树中的[用户业务>接入用户]菜单项,进入接入用户页面,如图3-188所示。
(2) 单击<增加>按钮,进入增加接入用户页面,配置接入用户的基本信息、接入信息,选择接入服务,如图3-189所示。
各参数介绍请参见表3-72,表格外的其他参数在配置过程中可保持缺省值。
|
参数 |
说明 |
|
用户姓名 |
用户的姓名 |
|
证件号码 |
用户的证件号码 |
|
用户分组 |
接入用户所属分组,按需选择之前增加的用户分组 |
|
帐号名 |
唯一标识帐号用户的名称,用户使用该名称申请和使用服务,该名称不能与已有名称相同 |
|
密码/密码确认 |
密码用于身份验证,不可为空,最长32个字符 |
|
接入服务 |
由预先定义的一组网络使用特性组成,此处可选择已存在的接入服务 |
(3) 单击<确定>按钮,完成增加接入用户操作,返回接入用户页面。可在接入用户列表中查看新增的接入用户,如图3-190所示。
· 若使用我司的iNode作为DOT1X的认证软件,不需要进行证书安装。
· 若使用非我司的DOT1X认证软件,则需要在EIA认证服务器上安装证书,证书安装完成后,使用Windows自带的802.1X客户端,手机客户端的无线Wifi都能够认证成功。
(1) 路径:[自动化>用户业务>业务参数>接入参数>证书配置],单击<导入预置证书>按钮,会自动导入我司预置的证书,如下图所示。
(2) 配置完成后,非我司iNode作为客户端的802.1X认证能够成功认证。
(3) 若客户需要使用自己的证书,则可以通过下述两种方式导入:
¡ 选择该页面“根证书配置”页签,单击<导入EAP根证书>按钮进行证书导入。
¡ 选择该页面“服务器证书配置”页签,单击<导入EAP服务器证书>按钮进行证书导入。
图3-191 导入证书
上述配置过程完成后,用户就可以通过iNode客户端进行认证上线。
(1) 打开iNode客户端,输入接入用户中创建/导入的帐号、密码。
图3-192 输入用户名密码
(2) 设置“属性”。单击“连接”右侧向下箭头会显示“属性”。“属性设置”页面默认如下:
可以使用“单播”或者“多播”报文触发认证。配置静态IP时,勾选“上传IPv4地址”。建议勾选上“连接断开后自动更新IP地址”。
图3-193 iNode属性设置
(3) 单击<连接>按钮,终端PC上可以看到用户已成功上线。路径:[监控>监控列表>在线用户>本地在线用户]也可以查看在线用户信息。
图3-194 用户上线
图3-195 查看在线用户
(1) 设备策略模板-802.1X认证,认证方式:选择“EAP”认证方式。
(2) Leaf下行口配置关闭握手功能。
#
interface Bridge-Aggregation1024
port link-type trunk
port trunk permit vlan1 101 to 3000 4094
link-aggregation mode dynamic
mac-based ac
dot1x
undo dot1x handshake //关闭握手功能
undo dot1x multicast-trigger
#
(3) 客户端配置,在[服务]中启动Wired Autoconfig服务。
图3-196 启动Wired Autoconfig服务
(4) 在[网卡>属性>身份验证]页面,启用802.1X身份验证,勾选回滚到未经授权的网络访问。
(5) 在[网卡>属性>身份验证>设置]页面,去勾选验证服务器证书,其他默认即可。
(6) 在[网卡>属性>身份验证>其他设置]页面,勾选指定身份验证模式,在下拉框选择用户身份验证,在保存凭据页面输入认证用户名和密码。
图3-197 802.1X设置
图3-198 保存凭据
(7) 确定之后,用户可以认证成功。
(8) 某些终端认证时,会带前缀信息,导致认证不成功,提示用户不存在,解决办法:AAA认证配置,增加带后缀的域名,或者修改用户名前缀转换方式为去除。(路径:[自动化>用户业务>业务参数>接入参数>系统参数配置])
图3-199 系统配置
终端需要使用Chrome浏览器访问Portal页面。
MAC Portal认证,主要针对没有客户端的用户,不能直接输入用户名和密码进行认证。通过用户接入时推送一个Portal页面,用户在页面中输入用户名、密码进行认证。
当终端设备接入到交换机端口UP后,会发送携带MAC地址的报文从而触发MAC地址认证,作为BYOD匿名用户先进入到BYOD的安全组,并获取该网段的IP地址,可以理解为第一次认证。当用户上网打开网页时,会重定向到MAC Portal的推送页面,输入用户名和密码,登录成功后进入到用户安全组,再获取用户安全组对应的IP地址,可理解为第二次认证。
BYOD安全组在DHCP Server上的默认租约时间为1分钟,终端设备第一次认证获取的IP地址租约为1分钟,当用户通过Web页面输入用户名/密码登录时,进入到对应的用户安全组,等待BYOD租约到期,重新申请IP地址,此时设备会获取到用户安全组的IP地址段地址,终端设备的IP地址从BYOD安全组切换到用户安全组。
在SeerEngine-Campus上配置:
(1) 路径:[自动化>园区网络>私有网络>二层网络域],单击<增加>按钮,进入增加二层网络域页面。其中,“私有网络”必须选择“vpn-default”,“类型”选择“BYOD”,BYOD地址池租约默认为1分钟,建议不要低于30s,可根据实际需求进行修改,BYOD安全组必须选择我司的DHCP服务器vDHCP
图3-200 二层网络域
(2) 其他未介绍的参数说明参考2.2.5 2. 二层网络域。
图3-201 增加二层网络域
(3) 切换至“子网”页签,单击<增加>按钮,填写名称、IP版本、网段和网关后,单击<确定>按钮。
图3-202 增加子网
(4) 返回到二层网络域后再次单击<确定>按钮,便可以在二层网络域页面看到增加的BYOD二层网络域。
图3-203 查看二层网络域
(5) 增加完BYOD二层网络域后,在路径:[自动化>园区网络>安全组>用户安全组],单击<增加>按钮,进入增加安全组页面。其中,“类型”选择“BYOD”,“私有网络”必须选择“vpn-default”,单击“二层网络域”页签中的<增加>按钮,选择刚刚添加的BYOD对应的二层网络域,单击确定后便可在安全组列表看到BYOD安全组。
图3-204 增加安全组
图3-205 查看用户安全组
ACL3001的详细信息请参见3.2.4 2. 策略模板章节。
设备策略模板配置中的“免认证IP”填写的是EIA服务器的IP地址,设备策略模板应用到“设备组”中时,会向设备下发ACL3001。增加、修改、删除“免认证IP”,会向设备下发相应的操作。
图3-206 免认证IP
按照设备组策略配置下发ACL策略
#
<Leaf1>display acl all
Advanced IPv4 ACL 3001, 2 rules,
SDN_ACL_AUTH
ACL's step is 5, start ID is 0
rule 0 permit udp destination-port eq dns
rule 1 permit ip destination 100.1.0.100 0
#
(1) EIA上配置路径:[自动化>用户业务>业务参数>接入参数>系统配置],在该页面列表单击模板名称为“终端管理参数配置”相应配置列的图标
,页面上有一个“MAC Portal认证”,选择“启用”,打开“MAC Portal快速配置”页面(若默认已“启用,则需要先设置为“禁用”,再“启用”),同时需要启用无感知认证。
图3-207 启用MAC Portal认证
(2) 在“MAC Portal快速配置”页面,单击<确定>按钮。
系统会自动创建如下一整套配置,包括:BYOD接入策略、BYOD接入服务关联接入策略和BYOD安全组,创建BYOD用户并绑定BYOD接入服务等一系列操作。
图3-208 MAC Portal快速配置
系统自动创建的接入策略:
图3-209 系统创建BYOD安全组接入策略
系统自动创建的接入服务,接入服务关联接入策略和安全组:
图3-210 自动关联
系统自动创建的BYOD用户:
图3-211 系统创建BYOD用户
(1) 当终端设备端口UP时,会触发MAC地址认证,先进行BYOD认证过程,首先使用匿名账号byodanonymous进行登录上线,上线成功后加入到BYOD安全组,并获取BYOD网段对应的IP地址。
图3-212 查看在线用户
接入认证交换机上可以看到MAC地址认证的信息如下:
<Leaf1>display mac-authentication connection
Total connections: 1
Slot ID: 1
User MAC address: 000c-29b2-2f11
Access interface: Bridge-Aggregation1024
Username: 000c29b22f11
User access state: Successful
Authentication domain: isp
IPv4 address: 50.0.0.2
IPv4 address source: IP Source Guard
Initial VLAN: 111
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: vsi5
Authorization ACL number/name: 3001
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: http://100.1.0.100:30004/byod/index.html?usermac=%m&userip=
%c&userurl=%o&original=%o
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: 86400 sec
Online from: 2020/10/20 11:38:07
Online duration: 0h 19m 53s
Port-down keep online: Disabled (offline)
(2) 在用户PC上,打开网页输入任何一个IP地址如:1.1.1.1,用户PC上会自动跳转到如下BYOD URL重定向页面。若用户使用域名访问网络来实现重定向跳转认证页面功能(对于DHCP方式获取IP地址的用户,需要在隔离域或二层网络域设置DNS服务器IP;对于静态配置IP地址的用户,则需要手工配置DNS服务器IP),并且Spine/Leaf设备需要保证到DNS服务器路由可达。
图3-213 重定向页面
(3) 输入用户名及密码,单击<上线>按钮,认证通过后客户端页面显示如下,表示用户已认证上线。
图3-214 用户上线
(4) EIA上可以看到用户上线信息,进入对应的接入服务,获取接入服务对应的IP地址。
图3-215 查看在线用户
接入设备上可以看到对应的MAC地址认证信息:
<leaf10510> dis mac-authentication connection user-name 000c29b22f11
Total connections: 1
Chassis ID: 2
Slot ID: 10
User MAC address: 000c-29b2-2f11
Access interface: Bridge-Aggregation1024
Username: 000c29b22f11
User access state: Successful
Authentication domain: hz1
IPv4 address: 20.0.0.7
IPv6 address: FE80::18AD:C0E3:497B:84BA
IPv4 address source: IP Source Guard
IPv6 address source: User packet
Initial VLAN: 120
Authorization untagged VLAN: N/A
Authorization tagged VLAN: N/A
Authorization VSI: vsi3
Authorization microsegment ID: N/A
Authorization ACL number/name: N/A
Authorization dynamic ACL name: N/A
Authorization user profile: N/A
Authorization CAR: N/A
Authorization URL: N/A
Authorization IPv6 URL: N/A
Start accounting: Successful
Real-time accounting-update failures: 0
Termination action: Default
Session timeout period: 86400 sec
Online from: 2021/08/24 10:36:48
Online duration: 0h 2m 5s
Port-down keep online: Disabled (offline)
MAC认证主要用于用户没有客户端,想直接通过终端MAC地址触发认证上线的场景。
配置路径:[自动化>用户业务>接入用户],单击<增加>按钮,增加接入用户,支持手动增加及批量导入两种方式。
(1) 单击<增加>按钮,进入增加接入用户页面。在“接入信息”区域,输入帐号名,并勾选“MAC地址认证用户”选项,服务器会自动配置该用户的密码。其中,帐号名为xxxxxxxxxxxx格式的MAC地址,如下图所示。
图3-216 接入用户
(2) 在该页面“接入服务”区域勾选接入服务后,单击<确定>按钮,成功新增MAC地址用户。
图3-217 查看新增用户信息
(1) 单击<批量导入>按钮,进入批量导入接入用户页面。可通过单击“提示”区域中的“帐号导入文件模板”链接,下载导入模板。可根据模板填写相关信息。
(2) 单击<上传>按钮,选择批量导入的文件。其中,文件中的用户名和密码应该都填写为MAC地址,格式为xxxxxxxxxxxx,如下图所示。
图3-218 导入模板
(3) 文件上传完成,并选择文件中列分隔符,单击<下一步>按钮,进入接入用户信息配置页面,在“接入信息”区域中的帐号名和密码需确保均为MAC地址。
图3-219 配置接入信息
(4) 选择接入服务后单击<确认>按钮,可以看到成功导入新增的用户。
图3-220 查看接入用户
当PC接入到交换机端口UP后,会发送携带MAC地址的报文从而触发MAC地址认证,认证成功后可以在[监控>监控列表>用户>本地在线用户]查看到成功上线的MAC地址认证用户。
图3-221 查看在线用户
配置路径:[自动化>用户业务>接入用户>哑终端用户配置],进入哑终端用户配置页面。
当前支持三种配置方式,分别为:
· 基于MAC段:设置MAC地址段,认证上线时若匹配设置的MAC地址段,则自动创建帐号,认证上线进入设置的用户安全组,获取用户安全组对应的IP地址。
· 基于IP段:设置IP地址段,需要在Leaf设备下行接口配置mac-authentication carry user-ip exclude-ip acl ***命令。
· 基于终端识别:设置终端设备参数信息,客户端认证上线时会携带终端指纹信息,若客户端携带的终端指纹信息匹配设置的终端设备参数信息,则自动创建帐号,认证上线进入设置的用户安全组,获取用户安全组对应的IP地址。
· 哑终端用户配置中,“基于MAC段”与“基于IP段”配置共用优先级,不能设置为相同优先级。若有认证上线的客户端既匹配“MAC地址段”又匹配“IP地址段”,则根据设置的优先级,匹配优先级高的,进入对应的接入组。优先级设置,从0-n,数值越小,优先级越高。
· mac-authentication carry user-ip命令使用限制:除“基于IP段”的认证和接入策略配置了“IP地址绑定”的认证外,其他情况下的用户认证请不要配置mac-authentication carry user-ip命令。若在其他情况下,终端设备需配置静态IP认证上线,则通过园区控制组件下发Arp Snooping命令,把静态IP地址传给EIA。
该章节以配置基于MAC段为例,其余配置方式请参见“AD-Campus 6.4组策略基础配置指导”的“7 宽带物联业务配置”章节。基于OUI MAC段,支持手动“增加”和“批量导入”两种方式。
如图3-222所示,单击<增加>按钮,在弹出的下拉框中选择“基于MAC段”,进入基于MAC段页面,如图3-223所示。
图3-223 基于MAC段增加哑终端用户
该页面“基本信息”区域中的参数“优先级”,默认为“0”,有效范围为[0-999],数值越小优先级越高。
在该页面“MAC地址段”区域支持手动增加和批量导入两种方式。
单击<增加>按钮,进入增加MAC地址段页面,输入MAC地址段,单击<确定>按钮,完成配置。其中,MAC地址段可以增加多个,每一个地址段都可以根据需求进行配置。
图3-224 增加MAC地址段
该页面参数说明如下:
· 自动开户:可选择“允许”和“禁止”。
¡ 允许:终端设备认证时匹配MAC地址段,会自动创建帐号,进入对应的安全组,获取用户IP地址。
¡ 禁止:不会自动创建帐号,认证用户会触发MAC Portal认证进入BYOD安全组。管理员通过路径[监控>监控列表>终端>接入终端],单击列表操作列的“开户”图标,进行开户。
图3-225 接入终端
· 老化:可选择“允许”和“禁止”。
¡ 允许:在终端无流量、NAS重启、NAS-Port-down等情况下,EIA允许已认证的哑终端超时后老化下线。
¡ 禁止:在终端无流量、NAS重启、NAS-Port-down等情况下,EIA不会让哑终端老化下线,EIA上哑终端一直保持在线状态。当Leaf设备恢复正常,Leaf主动向EIA请求在线信息,以恢复哑终端的在线状态,以防止哑终端一直不发流量而无法恢复上线状态。
(1) 单击<批量导入>按钮,打开批量导入哑终端MAC地址段页面。批量导入时,支持模板下载。单击“哑终端MAC地址段导入模板”链接,下载模板。根据下载的模板填写要导入的MAC地址段。模板格式如下:
图3-226 批量导入
(2) 单击<上传>按钮导入文件,并选择文件中列分隔符,单击<下一步>按钮,进入批量导入哑终端MAC地址段配置页面,配置完成后单击<确定>按钮完成配置。
(3) 在“接入服务”区域勾选接入服务,单击<确定>按钮,保存配置。
图3-227 接入服务
(4) 配置完成后,需要勾选增加的MAC地址段,单击<立即生效>按钮,创建的MAC地址段才能起作用。若不单击<立即生效>按钮,则需要等系统轮询时间(10分钟内)到了才会生效。
图3-228 立即生效
MAC地址段配置成功后,终端设备通过流量触发认证上线,匹配设置的MAC地址段,自动创建用户帐号,进入用户对应的安全组获取IP地址。
手动单击<立即生效>按钮,每次批量生效2000个左右的MAC,若设置的MAC数量较大,请多单击几次<立即生效>按钮。
AD-Campus六期自动化,目前支持设备的精确替换和异构替换。
· 精确替换就是根据替换设备的配置文件进行精准的替换。支持Master Spine设备的替换以及其他设备的替换,必须保证替换设备和被替换设备是同一类型设备,并且必须保证端口的连接与替换设备相同。
· 异构替换,不要求替换设备必须和被替换设备类型相同。目前故障替换页面中没有提供模糊替换的功能,通过手动配置可支持。由于模糊替换不进行配置文件替换,只替换设备的名称,因此当原设备故障以后,替换设备连线后用原设备的名称进行上线即可。若替换设备自动化上线,则在“设备清单”中设置名称时设置成与故障设备相同的名称;若替换设备手动配置上线,则把设备的Sysname配置成故障设备的Sysname;替换完成后,把故障设备手动删除即可。
进入[自动化>园区网络>网络设备>其他>设备替换]菜单项进行设备替换。
图4-1 设备替换
通过控制组件进行设备版本升级仅支持软件版本(ipe文件)升级,不支持补丁包升级。
设备版本升级有2种升级途径:
· 自动化过程中升级设备版本(自动化+新自动化):通过设备配置模板升级
· 自动化完成后,升级设备版本:通过软件库升级
在自动化模板中指定版本,设备自动化上线过程中进行升级。通过自动化模板升级设备版本,目前只支持同型号设备一起升级,不同型号需要重新选择软件版本进行升级;
图4-2 Spine模板
设备纳管后,通过[自动化>配置部署>软件库]路径,指定设备进行升级。
(1) 上传版本前需要在[自动化>配置部署>部署参数>VPN实例]中添加vpn-default实例。
图4-3 添加实例
(2) 在[自动化>配置部署>软件库]页面,单击<导入>按钮,上传需要升级的版本文件。
图4-4 导入软件
(3) 单击<部署>按钮,进入部署设备软件页面进行升级操作。
图4-5 部署
(4) 第一步:选择部署设备和软件,单击<增加设备>按钮,增加需要升级的设备,再选择部署软件区域单击设备软件后面的“选择”链接,选择设备软件。
图4-6 部署设备和软件
(5) 第二步:检查设备空间。
图4-7 检查设备空间
(6) 第三步:设置任务属性,调度时间按需选择立即执行或定时执行。
图4-8 设置任务属性
(7) 第四步:摘要,确定相关部署信息,单击<完成>按钮,开始升级任务。
图4-9 摘要
图4-10 升级任务
(8) 返回软件库列表页面,单击“执行结果”链接,进入查看任务执行结果页面,再单击“详细步骤”图标可以查看具体步骤的信息。
图4-11 执行结果
图4-12 查看详情步骤
图4-13 详情步骤
对于已开启网络固化的Fabric,如需扩容Leaf或Access设备上线,针对不同的场景需要进行不同的操作,具体如下:
· 自动化上线场景:需关闭Spine、Aggregation和Fabric的网络固化功能,完成扩容后,再开启Spine、Aggregation、扩容Leaf和Fabric的网络固化功能。
· 手工纳管上线场景:需关闭Fabric全局网络固化,完成扩容后,再开启扩容Leaf和Fabric的网络固化功能。
(1) 关闭Fabric全局网络固化,不要勾选“同步关闭当前Fabric下的Spine/Aggregation/Leaf设备Underlay网络固化”。
图4-14 关闭Fabric全局网络固化
(2) 关闭Spine和Aggregation设备网络固化,以Spine为例,手工纳管上线场景请跳过该步骤。
图4-15 闭Spine和Aggregation设备网络固化
(3) 参考3.1.5 设备上线配置(新自动化)章节中的设备上线配置,进行设备自动上线操作。
(4) 完成扩容之后,开启Spine、Aggregation、扩容Leaf和Fabric的网络固化功能。
自动化上线或手工纳管场景均需关闭Fabric全局网络固化,并将此一级Access互联的Leaf下行口加入到固化例外接口中,Access设备完成上线后,删除Leaf固化例外接口的Leaf下行口,并开启Fabric全局网络固化功能,具体步骤如下:
(1) 关闭Fabric全局网络固化,不要勾选“同步关闭当前Fabric下的Spine/Aggregation/Leaf设备Underlay网络固化”。
图4-16 关闭Fabric全局网络固化
(2) 将扩容的Access对应的互联Leaf的下行接口加入到固化例外接口中。
图4-17 增加固化例外接口
(3) 参考3.1.5 设备上线配置(新自动化)章节中的设备上线配置,进行设备自动上线操作。
(4) 完成扩容之后,再开启Fabric的网络固化功能,删除互联Leaf的固化例外接口。
自动化上线或手工纳管场景均需关闭Fabric全局网络固化,并将此二级/三级Access上联的一级Access互联的Leaf下行口配置为例外接口。完成设备自动化上线后,删除Leaf固化例外接口的Leaf下行口,并开启Fabric全局网络固化功能。
(1) 关闭Fabric全局网络固化,不要勾选“同步关闭当前Fabric下的Spine/Aggregation/Leaf设备Underlay网络固化”。
图4-18 关闭Fabric全局网络固化
(2) 将二级/三级Access上联的一级Access互联Leaf的下行接口加入到固化例外接口中。
图4-19 增加固化例外接口
(3) 参考3.1.5 设备上线配置(新自动化)章节中的设备上线配置,进行设备自动上线操作。
(4) 完成扩容之后,再开启Fabric的网络固化功能,删除互联Leaf的固化例外接口。
(1) 进入[自动化>园区网络>网络参数>参数]页面。操作开启DHCP和AAA服务器实时状态检测和物理设备实时状态检测开关。在一键巡检时,即可对相关业务进行实时审计。
图5-1 参数
(2) 对于新部署的环境以及E6204之前版本升级到E6205版本的环境,控制组件与设备的SNMP、NETCONF连通性检测,DHCP和AAA服务器实时状态检测,物理设备实时状态检测开关默认开启。对于从E6204及之后版本升级到E6205版本,控制组件与设备的SNMP、NETCONF连通性检测开关与升级前保持一致。DHCP和AAA服务器实时状态检测,物理设备实时状态检测开关默认开启。
(3) 进入[系统>系统维护>健康检查]页面,选择SeerEngine-Campus组件以及相关的组件如WSM等组件进行一键巡检。
图5-2 选择组件
在历史记录页面,查看报告。可以查看到AAA服务器状态、DHCP服务器状态和物理设备状态的实时审计检测结果。
图5-3 检测结果1
(4) 在[自动化>园区网络>网络参数>参数]页面。操作关闭DHCP和AAA服务器实时状态检测和物理设备实时状态检测开关。在一键巡检时,进对 DHCP和AAA服务器以及物理设备的当前状态进行检测,而非实时状态。且在检查报告中的检测项名称中显示*号。
图5-4 检测结果2
(5) 在[系统统>系统维护>健康检查>检查配置]页面。可配置SeerEngine-Campus的巡检超时时间。对于默认超时时间,在[自动化>园区网络>网络参数>参数]页面,控制组件与设备的SNMP、NETCONF连通性检测,DHCP和AAA服务器实时状态检测,物理设备实时状态检测三个开关中的任意一个为开启,则SeerEngine-Campus超时时间为360分钟。若全部关闭,则SeerEngine-Campus的超时时间为30分钟。超时时间在用户未自定义配置的情况下,与默认超时时间保持一致。
图5-5 检查配置
(6) 特殊说明:建议使用平台E0707配套版本OCC组件。因为在开启控制组件与设备的SNMP、NETCONF连通性检测,DHCP和AAA服务器实时状态检测,物理设备实时状态检测开关时,一键巡检比较耗时,在0707之前的OCC默认超时时间为30分钟,可能导致任务未完成被认定超时情况。
一键巡检报告包括4部分,分别为:本次巡检的基本信息、检查结果汇总、检查结果详情、控制组件历史内存信息。
图5-6 检查结果报告
主要:为本次检查的开始时间、结束时间、总耗时、节点IP等信息。
图5-7 检查结果报告
包含2大部分:根据检查结果进行汇总的信息、以及根据检查项归类的汇总信息。检查结果分为:检查失败、异常、存在风险、人工确认、正常。
【检查失败】表示本次检查没能成功检查,并不表示该检查项存在异常。【异常】表示该检查项不正常,无法提供服务。【存在风险】表示该检查项存在出现异常的风险。【人工确认】表示无法确认该检查项是否正常,需要人工确认。检查项分为系统型、基础服务型、业务数据型。
· 系统型
主要包含系统CPU和内存检查。
图5-8 系统型
· 基础服务型
主要包含各个服务的状态、控制组件关键进程的状态、端口的状态、license状态,设备的SNMP连通性、设备的NETCONF连通性。
图5-9 基础服务型
· 业务数据型
主要检查物理网元的状态,以及L2/L3业务数量。
图5-10 业务数据型
对每个检查项进行说明,并描述检查原理,单击【检查结果汇总】部分的每个检查项后面链接,将跳转到检查结果详情对应的位置。
图5-11 检查结果报告页面
图5-12 历史内存信息
(1) 进入[监控>告警管理>活动告警]页面,进入活动告警界面。
(2) 单击“查询条件”链接,状态选择“全选”,可查看全部状态告警,如图5-13所示。或者按需选择需要查看的告警。
经确认告警已恢复,管理员可单击“未确认”链接确认告警,如图5-14所示。
图5-14 告警恢复
(1) 单击页面右上角的
图标,展开高级搜索区域,可通过设置状态、资源、资源组、告警分类将符合条件的告警显示在列表中。其中,将查询条件中的“状态”项置为“全选”,即可在下方列表中查看所有产生告警的告警源及告警产生的时间、修复的时间等信息,并对勾选的告警执行恢复、确认、删除等操作,如图5-15所示。
(2) 单击列表中的标题,可按升序或者降序方式对列表中的告警进行排序。排序方式有:级别、告警源、最近时间、恢复时间及重复次数。
历史告警包含:除当天已恢复的全部已恢复告警数据。如图3-83所示。
单击“告警中心”页签,在左导航树中选择“历史告警”菜单项,进入历史告警页面。
历史告警列表中参数说明如下:
· 级别:告警的级别,分为通知、警告、次要、重要和紧急。
· 告警源:显示产生告警的设备名称和设备IP。
· 告警信息:告警的具体现象说明。
· 恢复状态:显示为$SYSTEM(告警已被系统恢复)或用户名称(告警已被该用户恢复)。
· 确认状态:告警是否被确认,分为未确认、用户名称(告警已被该用户确认)。
· 首次时间:系统首次收到告警事件的时间。
· 恢复时间:告警被恢复的时间。
· 重复次数:当前告警在未恢复前的重复次数。
· 持续时间:告警从产生到被恢复之前持续的时长。
· 操作:可对告警进行删除操作。
图5-16 高级搜索区域
针对被SeerEngine-Campus纳管的设备,单击告警源上的设备名称,可以查看单台设备的监控信息。
图5-17 告警源
图5-18 单台设备被监控信息
统一数字底盘支持全局数据总览统计功能,可以监控到环境所有交换设备数量、VLAN、VXLAN等数据。
进入[自动化>园区网络>网络设备>监控>网络监控]页面,查看资源容量,可以看到在线设备的状态统计以及事件统计.
图5-19 网络监控
图5-20 资源容量
进入[自动化>园区网络>网络设备>监控>网络监控],切换到物理设备页面,查看物理设备。
图5-21 物理设备
进入[自动化>园区网络>网络设备>监控>事件统计]页面,查看事件统计。
图5-22 事件统计
图5-23 事件统计详情
进入[自动化>园区网络>网络设备>监控>事件统计]页面,切换到接口事件页面,查看接口事件统计。
图5-24 接口事件统计
支持将系统中的网络设备加入监控,从而可以及时了解和分析网络的性能信息,为提高网络的性能提供依据。
(1) 进入[监控>监控列表>网络]页面,查看被监控列表。
网元监控内容如下:
¡ 设备标签:网络设备监控的名称,缺省格式为“资源类型_管理IP”,用户可以根据需要修改。
¡ 设备IP:网络设备的IP地址。
¡ 设备型号:网络设备的型号。
¡ 监控模板:监控网络设备使用的模板。
¡ CPU利用率(%):网络设备的CPU利用率。
¡ 内存利用率(%):网络设备的内存利用率。
¡ 响应时间(ms):网络设备的响应时间,单位ms。
¡ 不可达性比例:网络设备的当日不可达性比例。
¡ 挂牌状态:资源的挂牌状态,当业务中某一资源需要检修、停机等操作时,可申请挂牌。操作员根据业务需要实现对挂牌任务的管理。
¡ 操作:可对资源进行如下操作:
¡ 监视实例:该项在设备被监视后才会显示。单击监视实例图标
,可在弹出窗口中查看监控详细信息。
¡ 接口数据:单击接口数据图标
,可在弹出窗口中查看资源的接口详细信息。
¡ 性能数据:单击性能数据图标
,可在弹出窗口中查看资源的性能数据信息。
¡ 修改:单击修改监控图标
,可修改资源的监控信息。
¡ 同步:单击同步图标
,可同步资源的信息。
¡ 删除:单击删除图标
,在弹出的确认窗口中单击<确定>按钮,可删除该资源。
(1) 当资源处于挂牌中状态时,单击取消挂牌图标
后,系统将不再对该资源挂牌。
(2) 当资源处于未挂牌状态时,勾选资源,单击<新增挂牌>按钮,配置挂牌信息后单击<确定>按钮,系统将在设置时间内对该资源进行挂牌。
(1) 当资源处于已监控状态时,单击取消监控图标
后,系统将不再采集该资源的性能数据。
(2) 当资源处于未监控状态时,单击启用监控图标
后,系统会开始采集该资源的性能数据。
图5-25 监控
该功能用于增加一个设备至系统中管理和监控,增加前请确保该设备与统一数字底盘节点服务器之间的网络通信正常。
增加单个设备的操作方法如下:
(1) 进入[监控>监控列表>网络]页面。
(2) 单击<增加>按钮,进入增加设备页面。
a. 输入设备基本信息:
¡ IP地址:输入设备的管理IP地址。
¡ 掩码:输入设备管理IP地址的子网掩码。
¡ 设备标签:指该设备在统一数字底盘系统中显示的名称。
¡ 将设备的Trap发送到本网管系统:设置是否将设备上的Trap发到当前网管系统。
¡ 设备支持Ping操作:过滤或不回应系统发出Ping报文的设备被认为不支持Ping操作,比如防火墙设备。
¡ Ping不通也加入:如果Ping不通设备,也增加此设备。
b. 配置设备的SNMP参数及Telnet和SSH参数。
图5-26 SNMP参数
c. 在选择监控模板区域,单击<选择>按钮,在弹出窗口中选择监控模板。
图5-27 选择监控模板
(3) 单击<确定>按钮完成增加设备操作。
进入[系统>日志管理>系统日志列表]页面,在该页面中可查看统一数字底盘所有组件的系统日志信息。
可以通过组织机构实现对用户的层级划分。
机构管理页面左侧显示机构树形列表(默认展开第一级),页面右侧显示选中的机构信息以及该机构下的操作员列表,如图6-1所示。
在页面左侧的机构树形列表中,单击想要查看的机构名称,页面右侧会显示对应的机构信息。
(1) 页面左侧的机构树形列表中,单击某机构名称右侧的“增加”图标,页面右侧显示增加机构页面。该机构会作为新增机构的上级机构。
(2) 配置参数。
(3) 单击<确定>按钮,完成增加机构操作。
(1) 单击<导入>按钮,弹出导入机构窗口。
(2) 单击“下载模板”链接,可将机构模板.xls文件保存至本地。根据实际需要以层级架构配置机构信息。
(3) 单击<选择>按钮,选择修改后的机构模板.xls文件。
(4) 单击<确定>按钮,完成导入机构操作。
(1) 页面左侧的机构树形列表中,单击某机构名称右侧的“修改”,页面右侧显示修改机构页面。
(2) 单击<确定>按钮,完成修改机构操作。
(1) 页面左侧的机构树形列表中,单击某机构名称右侧的“排序” ,页面右侧显示机构排序页面。
(2) 只能对同一层级的机构进行排序,排序范围仅限同一层级机构内。
(1) 页面左侧的机构树形列表中,单击某机构名称右侧的“移动” ,页面右侧显示移动机构页面。
(2) 移动范围仅限于当前登录操作员所属机构的下属机构,若被移动的机构下有子机构,则子机构一起迁移。
(1) 页面左侧的机构树形列表中,单击某机构名称右侧的“增加操作员” ,页面中央弹出增加用户页面。
(1) 页面左侧的机构树形列表中,单击某机构名称右侧的“删除”图标 ,弹出确认对话框。
(2) 单击<确定>按钮,完成删除机构操作。
如下情况的机构无法删除:
· 顶级机构。
· 存在子机构的机构。
· 已经被用户绑定的机构。
表6-1 参数说明
|
参数 |
说明 |
|
上级机构名称 |
选中的机构会默认作为新增机构的上级机构,无法修改。 |
|
机构名称 |
该值不能空格开头或结尾,不能包含特殊字符“<”和“&”,不能超过255位,不同层级的机构名称允许相同,相同层级不允许同名增加。 |
|
机构编码 |
该值只能包含字母、数字、特殊字符和空格,不能空格开头或结尾,不能超过256位。 |
|
机构位置 |
不能空格开头或结尾,不能超过256位。 |
|
机构类型 |
机构类型支持IT部门和其他部门两种选择,只作为机构标示,无特殊含义。 |
|
描述 |
长度不能超过128位。 |
|
负责人 |
只能选择当前操作员所属机构以及其子机构下的操作员。 |
|
邮箱 |
长度不能超过128位。 |
|
联系方式 |
只能输入11位符合规则的电话号码。 |
日志管理提供了查看、导出、删除日志等功能,并支持对日志存储、日志服务器等进行配置。
(1) 在操作日志页面,可查看所有操作日志,也可使用搜索功能(含高级搜索)对操作日志进行筛选查看。页面最多显示 5 万条日志。
(2) 勾选指定操作日志复选框后单击<导出>按钮,可以导出指定的操作日志;单击<导出>按钮,可导出所有操作日志,也可导出使用搜索功能(含高级搜索)筛选出的操作日志。
(3) 单击<删除>按钮,可以删除所有操作日志,也可以删除使用搜索功能(含高级搜索)筛选出的操作日志。
(1) 在系统日志页面,可查看所有系统日志,也可使用搜索功能(含高级搜索)对系统日志进行筛选查看。页面最多显示5万条日志。
(2) 勾选指定系统日志复选框后单击 < 导出 > 按钮,可以导出指定的系统日志;单击 < 导出 > 按钮,可导出所有系统日志,也可导出使用搜索功能(含高级搜索)筛选出的系统日志。
(3) 勾选表头第一列的复选框,可选择本页面所有的系统日志并对其进行标记操作。
(4) 单击<删除>按钮,可以删除所有系统日志,也可以删除使用搜索功能(含高级搜索)筛选出的系统日志。
运行日志分为全局日志和节点日志,通过全局日志可实现查看所有节点的指定目录和指定日期区间内的全局日志信息,通过节点日志可查看具体某个指定节点上指定目录和日期区间内的节点日志信息。全局日志中所有日志信息全部存储在共享存储中,节点日志中的日志信息存储在该节点中。
(1) 在运行日志页面,单击[全局日志]页签,在全局日志页面可查看指定目录和日期区间的全局日志文件信息。在搜索栏输入指定的文件或者目录名称,可搜索相应的全局日志。
(2) 勾选“全选”复选框,单击<导出>按钮,可导出指定目录和日期段内符合搜索条件的所有全局日志。
(3) 勾选指定日志,单击<导出>按钮,可导出指定的全局日志。
(1) 在运行日志页面,单击[节点日志]页签,在节点日志页面可查看指定节点上指定目录和日期区间内的节点日志文件信息。在搜索栏输入指定的文件或者目录名称,可搜索相应的节点日志。
(2) 勾选“全选”复选框,单击<导出>按钮,可导出该节点指定目录和日期段内符合搜索条件的所有日志。
(3) 勾选指定日志,单击<导出>按钮,可导出指定的节点日志。
(1) 操作日志页面分为日志存储配置和日志服务器配置两个区域:
¡ 日志存储配置区域可配置日志存储天数和过期日志清理时间。
¡ 日志服务器配置区域可配置发送级别、日志服务器的 IP 地址和端口号。其中,日志发送级别从低到高依次为:调试、提示、关注、警告、错误、严重、告警、致命,设置发送级别后,高于或等于该级别的日志将会发送到日志服务器。
(1) 系统日志页面分为日志存储配置和日志服务器配置两个区域:
¡ 日志存储配置区域可配置日志存储天数和过期日志清理时间。
¡ 日志服务器配置区域可配置日志服务器的 IP 地址和端口号。单击 < 增加日志匹配规则 > 按钮,在弹出的对话框中可以配置节点名称、级别等信息。匹配规则配置完成后,后续产生的日志将按顺序匹配规则,匹配成功的日志将会发送到日志服务器。
满足下列所有匹配条件的日志才会匹配成功:
¡ 除级别、描述信息外的其他信息都为完全匹配,即日志的对应信息和匹配规则完全一致。
¡ 日志的描述信息需包含规则中的描述信息。
¡ 日志级别高于或等于规则中的级别。
(1) 运行日志页面分为全局日志配置和节点日志配置两个区域,这两个区域均需配置下列参数:
¡ 日志存储天数:系统会每天清除超过存储天数的日志。
¡ 占用的最大磁盘空间和自动清除时保留的百分比:系统会每小时检测全局日志 / 节点日志占用的磁盘空间,如果全局日志 / 节点日志占用的磁盘空间超过页面设置的“占用最大磁盘空间”,则会自动清除全局日志 / 节点日志。当配置的最大磁盘空间值超过全局日志 / 节点日志所在磁盘分区大小的 80% 时,则按全局日志 / 节点日志所在磁盘分区大小的 80% 作为占用的最大磁盘空间,进行全局日志 / 节点日志自动清除。
License即授权,指新华三技术有限公司授予用户使用特定软件功能的合法权限。
产品需要通过License授权的软件功能以及License授权的相关属性,请参见产品配套的《H3C AD-NET&U-Center 2.0方案License支持情况说明》。
H3C网站提供License的激活申请、设备授权迁移申请等功能:http://www.h3c.com/cn/License
有关License申请、激活文件安装、License迁移等操作的使用指导及详细信息,请参见《H3C 软件产品远程授权 License使用指南》。
通过远程授权方式安装License时,需要先下载并安装H3C License Server软件:
· 单击如下链接可获取H3C License Server的软件包:
· 单击如下链接可获取H3C License Server的配套资料:
在License Server上安装产品的授权后,只需在产品的License管理页面与License Server建立连接即可获取授权,操作步骤如下:
(1) 登录统一数字底盘,单击[系统>License管理>License信息]菜单项,进入License信息管理页面。
(2) 在页面中配置License Server信息的参数。各参数介绍请参见图6-2。
表6-2 配置参数说明
|
参数 |
说明 |
|
IP地址 |
安装License Server的服务器上用于数据中心控制组件集群内各节点之间通信的IP地址 |
|
端口号 |
此处缺省值为“5555”,与License Server授权服务端口号保持一致 |
|
客户端名称 |
License Server中设置的客户端名称 |
|
客户端密码 |
License Server中设置的客户端名称对应的密码 |
(1) 配置完成后,单击<连接>按钮与License Server建立连接,连接成功后数据中心控制组件可自动获取授权信息。
集群中所有控制组件全部重启后,与License server成功建立连接,并且在License server上显示License已安装,但控制组件或集群获取不到远端License的授权信息。
造成故障的原因可能为控制组件或集群重启后,与License server的连接中断,而License server上会等待老化时间结束后再回收授权数据。在老化时间结束前,即使与License server成功建立连接也不会获取到授权信息。
故障处理步骤如下:
(1) 登录License server的管理界面,在客户端管理的连接管理页面中将对应的客户端强制下线。
(2) 登录统一数字底盘,然后单击[系统>License管理>License信息]菜单项,进入License信息页面,在远端License页面断开与License server的连接,并重新建立连接。
(3) 如果上述操作完成后故障仍无法排除,请联系H3C技术支持工程师。
Matrix集群中的某个节点因为硬件故障无法恢复,需要更换新的节点服务器。
造成故障的原因可能为Matrix集群节点服务器的硬件出现故障,导致节点服务器运行异常,且无法恢复。
故障处理步骤如下:
(1) 在正常运行的Master节点服务器上,通过手动执行脚本来释放故障节点上容器所占用的IP地址。故障节点的主机名以matrix02为例,命令如下:
[root@matrix01 ~]# sh /opt/matrix/k8s/disaster-recovery/recovery.sh matrix02
(2) 更换新节点服务器,并确保新节点服务器的IP地址、用户名及密码与故障节点相同。
(3) 请从当前集群的主用Master节点中将/opt/matrix/app/install文件夹拷贝至新服务器的对应目录下。
(4) 在新节点服务器中安装Matrix软件安装包,安装过程请参见《H3C Matrix容器化应用部署平台安装指导》。
(5) 登录Matrix集群Master界面,在[部署/集群]页面下单击故障节点右上角的
按钮,选择[禁用]菜单项禁用节点,等待节点禁用完成后,再单击[启用]菜单项启用该节点,等待节点启用完成后,即可完成更换服务器的操作。
上层应用下发NETCONF配置失败,例如添加物理网元后,新增的物理网元状态为Inactive,并提示“OpenFlow连接失败”或“NETCONF连接失败”。
(1) 确认网络设备与控制组件端物理连接是否中断。分别登录控制组件和网络设备,查看物理端口的网线连接是否正常,链路状态是否UP。
(2) 确认网络设备和控制组件的NETCONF相关配置是否一致。如网络设备是否开启了基于HTTPS的NETCONF over SOAP功能;控制组件使用的NETCONF用户名和密码与网络设备上的NETCONF用户名和密码是否一致。若不一致,请修改网络设备或控制组件的NETCONF配置。
(3) 确认网络设备和其它设备建立的NETCONF会话数是否已达上限。因为网络设备能够建立的NETCONF会话数有限,如果网络设备和其它设备建立的NETCONF会话已达上限,就无法再和控制组件建立NETCONF会话,此时需要删除网络设备和其它设备建立的NETCONF会话或调整网络设备的NETCONF会话上限。
(4) 如果上述操作完成后故障仍无法排除,请联系H3C技术支持工程师。
Access设备应用下发配置失败,例如添加Access物理网元后,新增的物理网元状态为Inactive,并提示“配置未下发完成”。
(1) Access设备应用下发配置失败,例如添加Access物理网元后,新增的物理网元状态为Inactive,并提示“配置未下发完成”确认网络设备与控制组件端物理连接是否中断。分别登录控制组件和网络设备,查看物理端口的网线连接是否正常,链路状态是否UP。
(2) 确认网络设备和控制组件的SNMP相关配置是否一致。如网络设备是否开启了基于SNMP的功能;控制组件使用的SNMP读写团体字与网络设备上的SNMP的读写团体字是否一致。若不一致,请修改网络设备或控制组件的SNMP配置。
(3) 以上步骤需要在Leaf和Access上都做排查。
(4) 如果上述操作完成后故障仍无法排除,请联系H3C技术支持工程师。
Access设备应用下发配置失败,例如添加Access物理网元后,新增的物理网元状态为Inactive,并提示“配置未下发完成”。
(1) Access设备应用下发配置失败,例如添加Access物理网元后,新增的物理网元状态为Inactive,并提示“配置未下发完成”确认网络设备与控制组件端物理连接是否中断。分别登录控制组件和网络设备,查看物理端口的网线连接是否正常,链路状态是否UP。
(2) 确认网络设备和其直连Leaf/Access的LLDP相关配置是否正确。如网络设备是否开启了全局LLDP的功能;和其直连的Leaf/Access设备的接口下LLDP配置是否已开启。若没有启用,请打开上述功能。
(3) 以上步骤需要在网络设备和其直连的Leaf和Access上都做排查。
(4) 如果上述操作完成后故障仍无法排除,请联系H3C技术支持工程师。
用户不存在。(英文提示:User does not exist.)
EIA中未配置该用户。
在EIA的接入用户中增加该用户。
该用户有其它连接正在认证,请稍后重试。(英文提示:The server is processing your last authentication request, please try again later.)
EIA正在处理该用户上次认证请求。
需要间隔一段时间再进行认证。
用户已被加入黑名单。(英文提示:User is already in the blacklist.)
用户已经被加入黑名单的常见原因有:操作员锁定用户、恶意登录尝试、欠费超过指定账期、充值失败超过阈值、无效客户端等。
· 对于操作员锁定用户的情况需要由操作员手工将用户从黑名单中解除;
· 对于因为欠费超过指定账期被加入黑名单的情况,在缴纳相关费用后可立即解除;
· 对于恶意登录尝试、充值失败达到阈值、无效客户端的情况,有下述两种方式解除:
¡ 方式一:等待次日凌晨系统会自动解除。可在“自动化 > 用户业务 > 业务参数 > 接入参数 > 系统配置 > 系统参数配置”页面设置“按加入时长解除黑名单”参数,勾选后可以设置黑名单解除时间,若不启用该参数表示系统每天凌晨三点半定时解除黑名单。
图7-1 按接入时长解除黑名单
¡ 方式二:联系管理员手工解除。
用户状态非法。(英文提示:User state is invalid.)
用户要求进行设备管理用户认证,但设备进行的是普通用户认证,两者不一致。
需要查看在设备和EIA上的认证类型是否一致。对于设备管理用户,在设备上需要配置scheme方式对其进行认证。
用户已失效。(英文提示:User is out of date.)
用户认证时已到设置的失效时间。
在[自动化>用户业务>接入用户>接入用户]页面,单击该用户对应修改列的“修改”图标,进入修改信息页面,修改该用户的失效时间。
用户状态为注销。(英文提示:User is already written off.)
该帐号已经被注销。
在[自动化>用户业务>接入用户>接入用户]页面中增加该用户。
用户状态为停用。(英文提示:User is forbidden.)
在系统参数中启用了预注册用户二级确认,使得操作员进行预注册用户正式或批量注册成功后,用户状态为未激活。
由操作员激活该用户。
用户不存在或者用户没有申请该服务。(英文提示:The user does not exist or has not subscribed to this service.)
EIA中未配置该用户或者该用户未申请认证时使用的服务。设备侧domain服务后缀的配置可能也会引发该现象。
检查EIA中是否配置了该用户或者申请的服务是否正确,若没有该用户则增加用户,若服务不正确则修改服务。
服务状态无效。(英文提示:Service is state is invalid.)
正在进行认证的用户处于非正常状态,如哑终端预生成账户处于注销状态。
在[自动化>用户业务>接入用户]页面中增加该用户。
在线用户数量限制。(英文提示:The online number reaches the upper limit.)
使用该帐号的已在线用户数量达到配置的在线数量限制。
可在[自动化>用户业务>接入用户]页面中修改在线数量限制,或在[自动化>用户业务>接入服务]中配置单帐号在线数量限制。其中,接入用户中的在线数量限制及接入服务场景中的在线数量限制分别对应不同的提示信息,可根据提示信息进行判断。
用户密码错误。(英文提示:Incorrect password.)
该用户认证时输入的密码不正确。
在认证时使用正确的用户密码。
用户密码错误,您已经被加入黑名单。(英文提示:Incorrect password. You have been added into blacklist.)
用户连续用错误密码认证的次数达到设置值。
· 有下述两种方式解除:
¡ 方式一:等待次日凌晨系统会自动解除。可在“自动化 > 用户业务 > 业务参数 > 接入参数 > 系统配置 > 系统参数配置”页面设置“按加入时长解除黑名单”参数,勾选后可以设置黑名单解除时间,若不启用该参数表示系统每天凌晨三点半定时解除黑名单。
图7-2 按接入时长解除黑名单
¡ 方式二:联系管理员手工解除。
密码错误,您还可以重试#Count次。(英文提示:Incorrect password. You can retry #Count times.)
用户密码错误,提示还剩余几次会加入黑名单 。
使用正确的密码进行认证。
认证用户名为空。(英文提示:User name is null.)
用户认证时未在认证报文中携带用户名信息。
需要设备侧检查发送认证报文中是否携带用户名信息。
用户认证类型错误。(英文提示:Invalid authentication type.)
EIA中配置的认证类型和用户认证时使用的设备中配置的认证类型不一致。
确保在EIA、设备以及客户端上配置的认证类型保证一致。
RSA只支持以下认证类型:PAP,EAP-MD5,PEAP-MD5,PEAP-GTC。(英文提示:RSA supports only the following authentication types: PAP, EAP-MD5, PEAP-MD5, and PEAP-GTC.)
用户认证时使用的认证类型不是RSA认证所支持的认证方式。
使用PAP、EAP-MD5、PEAP-MD5或PEAP-GTC认证方式进行认证。
缺少相应的哑终端配置。(英文提示:No MAC address information is available for the mute terminal.)
用户进行哑终端认证,但在哑终端配置中没有配置MAC地址信息。
在[自动化>用户业务>接入用户>哑终端用户配置]页面中增加MAC地址信息。
您的帐号未生效,请15分钟后重试。(英文提示:The user account has not been generated. Please retry 15 minutes later.)
LDAP按需同步用户在按需同步时或者配置完第三方认证时会生成一些预帐号,该用户在认证时预帐号还没有生成完。
等15分钟后再进行认证。
没有可用的哑终端预生成用户,请联系管理员。(英文提示:No predefined account is available for the mute terminal user. Please contact the administrator.)
配置哑终端用户配置时会生成一些预生成用户,但在认证时未找到预生成用户信息。
单击[自动化>用户业务>接入用户>哑终端用户配置]页面中<立即生效>按钮,或者稍等一段时间后再进行认证。
静态IPv6地址绑定检查失败。(英文提示:Failed to check IPv6 address binding.)
接入策略中勾选了“绑定用户IPv6地址”项,并且用户认证时未获取到IPv6地址,或者和接入用户中已经绑定的用户IPv6地址不一致。
· 方案一:确保认证时获取到用户IPv6地址。
· 方案二:确保用户认证时上传的IPv6地址和接入策略中设置的绑定用户IPv6地址保持一致。
· 方案三:取消接入策略中勾选的“绑定用户IPv6地址”项。
由于您已经连续%d次认证失败,这次认证被服务器丢弃,请过%d分钟后重试。(英文提示:The request is dropped by UAM because of %d consecutive authentication failures. Please try again %d minutes later.)
在系统参数中启用了认证防攻击功能,用户由于连续认证失败,导致认证失败次数达到系统参数中设置的认证失败阈值。
(1) 关闭认证防攻击功能。
(2) 修改系统参数中的认证失败阈值或者等待一段时间(失败提示信息中提示的时间)后再认证。
访客密码过期,请找回密码。(英文提示:The password of the guest is expired. Click Forget Password to obtain a new password.)
访客认证时输入的密码已过了有效期,密码有效时长是在访客策略中配置的。
可以由管理员在访客策略页面重置访客密码有效时长或者用户登录自助进行重置。
用户未生效。(英文提示:The user is not validated.)
在如下图所示[用户业务>接入用户>增加接入用户]页面设置了生效日期,在用户认证时,接入信息还未到达生效日期。
图7-3 生效日期参数配置
修改接入用户中该用户的生效日期。
BYOD匿名用户禁止认证。(英文提示:An anonymous BYOD user cannot perform MAC portal authentication.)
终端已经做过802.1x或者Portal认证,后续无法进行MAC Portal认证。
在终端设备管理页面删除对应终端记录。
预开户用户不允许上线。(英文提示:A trial account is not allowed to log in.)
该用户还没有转正,不是正式用户。
需要对该用户进行转正,管理员可以在接入用户中对预开户用户进行转正操作。
预注销用户不允许上线。(英文提示:A temporarily canceled account is not allowed to log in.)
该用户已经被预注销。
该用户已被预注销,管理员可以在接入用户中进行恢复预注销操作。
设备已丢失,禁止上线。(英文提示:The device cannot access the network because it has been marked as "lost".)
用户在自助页面设备标记为丢失。
在自助页面的终端设备管理处将终端状态从丢失改为正常。
接入用户无法使用当前终端上线。(英文提示:The user cannot access the network from the current endpoint.)
服务器安装了EIP组件,在终端设备管理中对某个终端绑定了接入用户,若上线的用户不在绑定用户中,则提示该信息。
在绑定的接入用户中增加该用户。
本章节目的为指导用户正确关闭和启动AD-Campus。在关闭AD-Campus服务器前,请确保当前无其他正在执行的业务流程,同时建议在关机前进行数据备份。
(1) 登录AD-Campus页面,选择“系统”页签,单击[备份恢复]菜单项进入备份恢复页面。
(2) 单击<开始备份>按钮,将SYSTEM及其他所有组件备份,并将最新备份的数据下载到本地。
如您发现在开机后,AD-Campus部分业务或数据异常,可通过以下步骤进行恢复:
(1) 登录AD-Campus页面,选择“系统”页签,单击[备份恢复]菜单项进入备份恢复页面。
(2) 单击备份历史区域中待恢复文件操作区段的“恢复”链接,进行数据恢复。或单击<上传>按钮将之前已下载在本地备份数据文件进行上传,上传后单击<开始恢复>按钮进行恢复。
OLT(Optical Line Terminal,光线路终端):EPON系统的核心设备,一般放置在中心机房,用于统一管理ONU,并将接入业务汇聚和传递到IP网。
ONU(Optical Network Unit,光网络单元):EPON系统的用户端设备,用于连接用户PC、机顶盒、交换机等,通常放置在用户家中、楼道或道路两侧,负责响应OLT发出的管理命令,并将用户数据转发到OLT。
ODN(Optical Distribution Network,光分配网络):由光纤和一到多个POS(Passive Optical Splitter,无源光纤分支器)等无源光器件组成,在OLT和ONU间提供光信号传输通道。其中,POS用于将上行数据汇聚到一根光纤上,并将下行数据分发到各个ONU。
SDN(Software Defined Network,软件定义网络):是一种新型网络架构,其核心思想是通过分离网络设备的控制层面与转发层面,来实现对网络流量的集中和灵活控制,从而为核心网络及应用创新提供良好的平台。
802.1X协议:是一种基于端口的网络接入控制协议(Port based networkaccess control protocol)。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级验证用户身份并控制其访问权限。802.1X系统为典型的Client/Server结构,包括三个实体:客户端、接入设备和认证服务器。
服务链(Service Chain)是一种引导网络业务报文按次序通过服务节点(Service Node)的转发技术。服务链基于Overlay技术,结合SDN(Software Defined Network,软件定义网络)集中控制理论,可以通过控制组件进行配置。
服务链具有如下功能:
· 实现租户逻辑组网与物理组网的解耦,控制平面和网络转发平面的分离。
· 实现业务资源池化,即将不同物理位置的资源进行整合,根据租户网络需求进行分配和部署,突破物理拓扑的限制,为每个租户提供个性化的业务。
· 实现NFV(Network Function Virtualisation,网络功能虚拟化)资源池的动态创建和自动化部署。
· 实现租户业务的灵活编排和修改,而不会影响物理拓扑和其他租户。
组播是指在IP网络中将数据包以尽力传送的形式发送到某个确定的节点集合(即组播组),其基本思想是:源主机(即组播源)只发送一份数据,其目的地址为组播组地址;组播中的所有接受者都可收到同样的数据拷贝,并且只有组播组内的主机可以接收该数据,其他主机无法接收。
作为一种与单播(Unicast)和广播(Broadcast)并列的通信方式,组播(Multicast)技术能够有效地解决单点发送、多点接收的问题,从而实现了网络中点到多点的高效数据传送,能够节约大量网络带宽、降低网络负载。
利用组播技术可以方便地提供一些新的增值业务,包括在线直播、网络电视、远程教育、远程医疗、网络电台、实时视频会议等对带宽和数据交互的实时性要求较高的信息服务。
SSM(Source-Specific Multicast,指定信源组播)模型为用户提供了一种能够在客户端指定组播源的传输服务。
连接到Internet 的计算机需要在发送或接收数据报前知道其IP 地址和其他信息,如网关地址、使用的子网掩码和域名服务器的地址。计算机可以通过BOOTP 协议获取这些信息。
BOOTP 协议(Bootstrap Protocol)是一种较早出现的远程启动的协议,通过与远程服务器通信以
获取通信所需的必要信息,主要用于无磁盘的客户端从服务器得到自己的IP 地址、服务器的IP 地
址、启动映像文件名、网关IP 地址等等。
BOOTP 设计用于相对静态的环境,每台主机都有一个永久的网络连接。管理人员创建一个BOOTP
配置文件,该文件定义了每台主机的一组BOOTP 参数。由于配置通常保持不变,该文件不会经常
改变。一般情况下,配置将保持数星期不变。
随着网络规模的不断扩大、网络复杂度的不断提高,网络配置也变得越来越复杂,在计算机经常移
动(如便携机或无线网络)和计算机的数量超过可分配的IP 地址等情况下,原有针对静态主机配置的BOOTP 协议已经越来越不能满足实际需求。为方便用户快速地接入和退出网络、提高IP 地址资源的利用率,需要在BOOTP 基础上制定一种自动机制来进行IP 地址的分配。为此,IETF 设计了一个新的协议,即DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)。
## Please note:The following variable names are used by the internal system,please do not use
## _underlayIntfUp _underlayIntfDown _all_leaf _master_spine
## _master_spine_mac _underlayIPRange
##
##NEW_VERSION
#USERDEF
##Template version
template_version = 5.0
##BACKUP_SERVER
##Local user: Username
_username = admin
##Local user: Password
_password = ******
## User roles
_rbacUserRole = network-admin
##ntp_server_begin_var
##IP address of the NTP server
_ntp_server_0 = 100.1.0.100
##ntp_server_end_var
##MAC address of the master spine device
_master_spine_mac = 586a-b1e5-2600
##MAC address of the master spine device and address range of loopback interfaces
##Format: 1122-3344-5566:10.100.0.0/16, AABB-CCDD-EEFF:10.101.0.0/16
_underlayIPRange = 586a-b1e5-2600:200.1.1.0/24
##MAC address and VLAN ID range of the spine device
##Format: 1122-3344-5566:2-100 ,AABB-CCDD-EEFF:101-200
_underlayVLANRange = 586a-b1e5-2600:3001-3500
##IP address of the log host
_loghost_ip = 110.1.0.100
##is_ipv6_begin_var
##Device is automatically online by ipv6
_is_ipv6 = false
##is_ipv6_end_var
##Out of band
_OOB = False
##SSH enabled
_SSH = True
##Disable automatic IRF setup
_irf_disable = false
##Enabling whitelist filtering (False by default)
_white_list_check = true
##Disabling automatic allocation of an underlay IP (False by default)
_ip_disable = false
##Enabling automatic IRF mode switching
_irf_mode_auto_convert = True
##MAD BFD
_mad_vlan = 100
_mad_ip = 192.168.100.1, 192.168.100.2
##BGP AS number
bgp_as_campus = 100
## OSPF router ID is the IP address of loopback 0
_ad_loopback0_routerid = True
[H3CS5560X]
driver = 5560X
_switch_mode = 1
[H3CS6520X]
driver = 6520X
_switch_mode = 1
[H3CS125??G-AF]
driver = 125GAF
_tcam_resource = arp
_vxlan_resource = l3gw
_routing_mode_resource = ipv6-128
##
#STATICCFG
#
clock timezone beijing add 08:00:00
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 both
##address_family_evpn_begin
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
##address_family_evpn_end
##address_family_ipv6_begin
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
##address_family_ipv6_end
#
lldp global enable
#
interface Vlan-interface1
ip address dhcp-alloc
#
ospf 1
non-stop-routing
fast-reroute lfa
area 0.0.0.0
#
##loopback0_begin_all
interface LoopBack0
##loopback0_end_all
#
interface $$_underlayIntfDown
ip address unnumbered interface LoopBack0
ospf 1 area 0.0.0.0
ospf network-type p2p
#
netconf soap https enable
netconf ssh server enable
restful https enable
#
ssh server enable
#
info-center loghost $$_loghost_ip
#
stp mode pvst
stp vlan 1 enable
undo stp vlan 2 to 4094 enable
stp global enable
stp vlan 1 priority 0
#
local-user $$_username
password simple $$_password
service-type http https ssh
authorization-attribute user-role $$_rbacUserRole
#
line vty 0 63
authentication-mode scheme
user-role $$_rbacUserRole
#
bgp $$bgp_as_campus
non-stop-routing
address-family l2vpn evpn
ip vpn-instance vpn-default
##address_family_ipv4_unicast_begin
address-family ipv4 unicast
import-route static
##address_family_ipv4_unicast_end
##address_family_ipv6_unicast_begin
address-family ipv6 unicast
import-route static
##address_family_ipv6_unicast_end
#
l2vpn enable
#
vlan 4094
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
local-proxy-arp enable
##local-proxy-nd_enable_begin
local-proxy-nd enable
##local-proxy-nd_enable_end
arp proxy-send enable
arp send-gratuitous-arp interval 30000
#
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
##ipv6_address_auto_link_local_begin
ipv6 address auto link-local
##ipv6_address_auto_link_local_end
l3-vni 4092
description SDN_VRF_VSI_Interface_4092
#
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
nd mac-learning disable
arp mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
##ipv6_dhcp_snooping_trust_tunnel_begin
ipv6 dhcp snooping trust tunnel
##ipv6_dhcp_snooping_trust_tunnel_end
loopback-detection action block
loopback-detection enable vlan 4094
#
vxlan tunnel mac-learning disable
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable
#
vcf-fabric topology enable
#
vxlan default-decapsulation source interface LoopBack 0
#
snmp-agent
snmp-agent community read ******
snmp-agent community write ******
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
telnet server enable
#
netconf soap https enable
netconf soap http enable
local-user admin
password simple ******
service-type telnet ssh http https
authorization-attribute user-role network-admin
#
##l3_static_route_begin_all
ip route-static 110.1.0.0 24 120.1.0.1
ip route-static vpn vpn-default 110.1.0.0 24 130.1.0.1
ip route-static 100.1.0.0 24 120.1.0.1
ip route-static vpn vpn-default 100.1.0.0 24 130.1.0.1
ip route-static 101.0.143.0 24 120.1.0.1
ip route-static vpn vpn-default 101.0.143.0 24 130.1.0.1
ip route-static 192.168.2.0 24 120.1.0.1
ip route-static vpn vpn-default 192.168.2.0 24 130.1.0.1
#
##l3_static_route_end_all
##ipv6_static_route_begin_all
ipv6 route-static vpn vpn-default 2020:130A:0:0:0:0:0:0 64 2020:1:0:0:0:0:0:1
ipv6 route-static vpn vpn-default 190:0:0:0:0:0:0:0 64 2020:1:0:0:0:0:0:1
#
##ipv6_static_route_end_all
#
##ntp_server_begin_cmd
ntp-service enable
ntp-service unicast-server $$_ntp_server_0 vpn-instance vpn-default
#
##ntp_server_end_cmd
##
## Please note:The following variable names are used by the internal system,please do not use
## _underlayIntfUp _underlayIntfDown _all_leaf _master_spine _backup_spine
## _master_spine_mac
##
##NEW_VERSION
#USERDEF
##Template version
template_version = 5.0
##Local user: Username
_username = admin
##Local user: Password
_password = ******
## User roles
_rbacUserRole = network-admin
##ntp_server_begin_var
##IP address of the NTP server
_ntp_server_0 = 100.1.0.100
##ntp_server_end_var
##master_leaf_mac_begin_var
##MAC address of the master leaf device
_master_leaf_mac =${master_leaf_mac}
##master_leaf_mac_end_var
##IP address of the log host
_loghost_ip = 110.1.0.100
##is_ipv6_begin_var
##Device is automatically online by ipv6
_is_ipv6 = false
##is_ipv6_end_var
##Out of band
_OOB = False
##Supporting aggregation (True by default)
_lagg_enable = True
##Enforcing aggregation
_lagg_force = True
##Do not delete aggregation group
_lagg_fake_delete = True
##SSH enabled
_SSH = True
##Disable automatic IRF setup
_irf_disable = false
##Enabling whitelist filtering (False by default)
_white_list_check = true
##Enabling automatic IRF mode switching
## Enable OLT interface
_olt = true
## OSPF router ID is the IP address of loopback 0
_ad_loopback0_routerid = True
## auto IRF mode convert
_irf_mode_auto_convert = True
##MAD BFD
_mad_vlan = 100
_mad_ip = 192.168.100.1, 192.168.100.2
##BGP AS number
bgp_as_campus = 100
##Disable lldp function when MAD BFD
_mad_undo_lldp=True
[H3CS5560X]
driver = 5560X
_switch_mode = 1
[H3CS6520X]
driver = 6520X
_switch_mode = 1
[H3CS125??G-AF]
driver = 125GAF
_tcam_resource = mix
_vxlan_resource = l3gw
_routing_mode_resource = ipv6-128
[UNISS5600X]
driver = 5560X
_switch_mode = 1
[UNISS6600X]
driver = 6520X
_switch_mode = 1
##
#STATICCFG
#
clock timezone beijing add 08:00:00
#
ip vpn-instance vpn-default
route-distinguisher 1:1
vpn-target 1:1 both
##address_family_evpn_begin
address-family evpn
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
##address_family_evpn_end
##address_family_ipv6_begin
address-family ipv6
vpn-target 1:1 import-extcommunity
vpn-target 1:1 export-extcommunity
##address_family_ipv6_end
#
lldp global enable
#
dhcp snooping enable vlan 2 to 4094
#
interface Vlan-interface1
ip address dhcp-alloc
#
ospf 1
non-stop-routing
fast-reroute lfa
area 0.0.0.0
#
##loopback0_begin_all
interface LoopBack0
##loopback0_end_all
#
stp mode pvst
stp vlan 1 enable
undo stp vlan 2 to 4094 enable
stp global enable
stp vlan 1 priority 8192
#
netconf soap https enable
netconf ssh server enable
restful https enable
#
ssh server enable
#
info-center loghost $$_loghost_ip
#
local-user $$_username
password simple $$_password
service-type http https ssh
authorization-attribute user-role $$_rbacUserRole
#
line vty 0 63
authentication-mode scheme
user-role $$_rbacUserRole
#
bgp $$bgp_as_campus
non-stop-routing
address-family l2vpn evpn
ip vpn-instance vpn-default
##address_family_ipv4_unicast_begin
address-family ipv4 unicast
##address_family_ipv4_unicast_end
##address_family_ipv6_unicast_begin
address-family ipv6 unicast
##address_family_ipv6_unicast_end
#
interface $$_underlayIntfUp
ip address unnumbered interface LoopBack0
ospf 1 area 0.0.0.0
ospf network-type p2p
#
interface $$_underlayIntfDown
port link-type trunk
port trunk permit vlan 1 4094
##_underlayIntfDown_undo_port_trunk_permit_vlan_mad_position
undo port trunk permit vlan $$_mad_vlan
stp tc-restriction
service-instance 4094
encapsulation s-vid 4094
xconnect vsi vxlan4094
#
interface $$_underlayIntfGe
poe enable
#
interface $$_underlayIntfONU
port link-type trunk
port trunk permit vlan all
undo port trunk permit vlan $$_mad_vlan
#
interface $$_underlayIntfRONU
port link-type trunk
port trunk permit vlan all
undo port trunk permit vlan $$_mad_vlan
#
l2vpn enable
#
vlan 4094
#
interface Vsi-interface4094
ip binding vpn-instance vpn-default
local-proxy-arp enable
##local-proxy-nd_enable_begin
local-proxy-nd enable
##local-proxy-nd_enable_end
arp proxy-send enable
#
interface Vsi-interface4092
ip binding vpn-instance vpn-default
ip address unnumbered interface Vsi-interface4094
##ipv6_address_auto_link_local_begin
ipv6 address auto link-local
##ipv6_address_auto_link_local_end
l3-vni 4092
description SDN_VRF_VSI_Interface_4092
#
vsi vxlan4094
gateway vsi-interface 4094
vxlan 4094
evpn encapsulation vxlan
mac-advertising disable
nd mac-learning disable
arp mac-learning disable
route-distinguisher auto
vpn-target auto export-extcommunity
vpn-target auto import-extcommunity
##ipv6_dhcp_snooping_trust_tunnel_begin
ipv6 dhcp snooping trust tunnel
##ipv6_dhcp_snooping_trust_tunnel_end
dhcp snooping trust tunnel
loopback-detection action block
loopback-detection enable vlan 4094
#
ip verify source exclude vlan 1
ip verify source exclude vlan 4094
#
vxlan tunnel mac-learning disable
vxlan tunnel arp-learning disable
vxlan tunnel nd-learning disable
#
vcf-fabric topology enable
#
vxlan default-decapsulation source interface LoopBack 0
#
#
snmp-agent
snmp-agent community read ******
snmp-agent community write ******
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
telnet server enable
#
netconf soap https enable
netconf soap http enable
local-user admin
password simple ******
service-type telnet ssh http https
authorization-attribute user-role network-admin
#
##l3_static_route_begin_all
ip route-static 110.1.0.0 24 120.1.0.1
ip route-static vpn vpn-default 110.1.0.0 24 130.1.0.1
ip route-static 100.1.0.0 24 120.1.0.1
ip route-static vpn vpn-default 100.1.0.0 24 130.1.0.1
ip route-static 101.0.143.0 24 120.1.0.1
ip route-static vpn vpn-default 101.0.143.0 24 130.1.0.1
ip route-static 192.168.2.0 24 120.1.0.1
ip route-static vpn vpn-default 192.168.2.0 24 130.1.0.1
#
##l3_static_route_end_all
##ipv6_static_route_begin_all
ipv6 route-static vpn vpn-default 2020:130A:0:0:0:0:0:0 64 2020:1:0:0:0:0:0:1
ipv6 route-static vpn vpn-default 190:0:0:0:0:0:0:0 64 2020:1:0:0:0:0:0:1
#
##ipv6_static_route_end_all
#
##ipv6_dhcp_snooping_enable_begin
ipv6 dhcp snooping enable vlan 2 to 4094
#
##ipv6_dhcp_snooping_enable_end
##ntp_server_begin_cmd
ntp-service enable
ntp-service unicast-server $$_ntp_server_0 vpn-instance vpn-default
#
##ntp_server_end_cmd
##
## Please note:The following variable names are used by the internal system,please do not use
## _underlayIntfUp _underlayIntfDown _all_leaf _master_spine _backup_spine
## _master_spine_mac
##
#USERDEF
##Template version
template_version = 5.0
## User roles
_rbacUserRole = network-admin
##ntp_server_begin_var
##IP address of the NTP server
_ntp_server_0 = 100.1.0.100
##ntp_server_end_var
##IP address of the log host
_loghost_ip = 110.1.0.100
##is_ipv6_begin_var
##Device is automatically online by ipv6
_is_ipv6 = false
##is_ipv6_end_var
##Out of band
_OOB = False
##Supporting aggregation (True by default)
_lagg_enable = True
##Enforcing aggregation
_lagg_force = True
##Do not delete aggregation group
_lagg_fake_delete = True
##lagg role limits
_lagg_role_limits = leaf,access
##SSH enabled
_SSH = True
##Disable automatic IRF setup
_irf_disable = false
##Enabling whitelist matching (False by default)
_white_list_check = true
##Disable lldp function when MAD BFD
_mad_undo_lldp=True
#STATICCFG
#
clock timezone beijing add 08:00:00
#
lldp global enable
#
stp global enable
#
netconf soap https enable
netconf ssh server enable
restful https enable
#
interface Vlan-interface1
ip address dhcp-alloc
#
ssh server enable
#
info-center loghost $$_loghost_ip
#
line vty 0 63
authentication-mode scheme
user-role $$_rbacUserRole
#
interface $$_underlayIntfUp
port link-type trunk
port trunk permit vlan all
#
interface $$_underlayIntfDown
port link-type trunk
undo port trunk permit vlan 1
port trunk pvid vlan 4093
port trunk permit vlan 2 to 4093
#
interface $$_underlayIntfGe
poe enable
#
vlan 4093
#
vlan 4094
#
interface Vlan-interface4094
#
#
vcf-fabric topology enable
#
#
snmp-agent
snmp-agent community read ******
snmp-agent community write ******
snmp-agent sys-info version all
snmp-agent packet max-size 4096
#
telnet server enable
#
netconf soap https enable
netconf soap http enable
local-user admin
password simple ******
service-type telnet ssh http https
authorization-attribute user-role network-admin
#
##l3_static_route_begin_all
ip route-static 110.1.0.0 24 130.1.0.1 preference 50
ip route-static 110.1.0.0 24 120.1.0.1
ip route-static 100.1.0.0 24 130.1.0.1 preference 50
ip route-static 100.1.0.0 24 120.1.0.1
ip route-static 101.0.143.0 24 130.1.0.1 preference 50
ip route-static 101.0.143.0 24 120.1.0.1
ip route-static 192.168.2.0 24 130.1.0.1 preference 50
ip route-static 192.168.2.0 24 120.1.0.1
#
##l3_static_route_end_all
##ipv6_static_route_begin_all
ipv6 route-static 2020:130A:0:0:0:0:0:0 64 2020:1:0:0:0:0:0:1
ipv6 route-static 190:0:0:0:0:0:0:0 64 2020:1:0:0:0:0:0:1
#
##ipv6_static_route_end_all
#
##ntp_server_begin_cmd
ntp-service enable
ntp-service unicast-server $$_ntp_server_0
#
##ntp_server_end_cmd
AD-Campus 用户手册-5W109-整本手册.pdf (21.59 MB)
支持
