j'ai compris

Agile controller: Planification des paramètres réseau du serveur

publié il y a  2021-2-17 14:59:22 145 0 0 0 0

Planification des paramètres réseau du serveur

Cette section décrit les contraintes lors de la planification des ports réseau SM à nœud unique et à deux nœuds, la planification des adresses IP, la planification de la bande passante, la planification des itinéraires et la planification du réseau.

Planification des adresses IP dans les scénarios sans HA

Les principes de planification des adresses IP sont les suivants:

  • Les adresses IP doivent être uniques sur le réseau.

  • Le serveur et les périphériques gérés peuvent communiquer correctement.

  • Le serveur et les clients peuvent communiquer correctement.

  • Une seule adresse IP peut être planifiée pour un port réseau. Ne planifiez ni ne configurez plusieurs adresses IP pour le même port réseau.

  • Si le serveur possède plusieurs ports réseau et que le multiacheminement réseau IP (IPMP) n'est pas configuré, les adresses IP configurées pour les ports réseau doivent se trouver sur des segments de réseau différents.

Tableau 1 Planification des adresses IP dans les scénarios sans HA

Scénario de mise en réseau

Planification d'adresse IP

Réseau centralisé / distribué

  • Planification d'adresse IP pour le serveur SM

    S'il n'y a qu'un seul SC et que le SC est déployé sur le même serveur que le SM, prévoyez une adresse IP pour le serveur SM.

    Si le SC et le SM sont déployés sur des serveurs différents, il est recommandé de planifier deux adresses IP pour deux cartes réseau. Une adresse IP est utilisée par l'administrateur pour se connecter au SM et l'autre pour la communication avec le SC.

  • Planification d'adresse IP pour le serveur SC

    Planifiez une adresse IP pour le serveur SC.

Planification des adresses IP dans les scénarios HA (bases de données GaussDB actives et en veille SM à deux nœuds +)

note_3.0-en-us.png

Le scénario de fiabilité du cluster SM à deux nœuds + des bases de données GaussDB actives et de secours s'applique uniquement aux plates-formes Euler et SUSE. Seule la V100R003C60SPC205 et les versions ultérieures de Agile Controller-Campus la prennent en charge.

Tous les serveurs doivent être configurés avec le même segment de réseau sur un réseau de couche 2.

Dans le réseau recommandé illustré dans la figure 1 , deux serveurs fonctionnent comme des serveurs actifs et de secours pour améliorer la fiabilité. Le commutateur est connecté à un intranet ou à Internet et les utilisateurs accèdent aux serveurs via le commutateur.

Figure 1 Planification des bases de données GaussDB actives et en veille SM + à deux nœuds
controller_ig_sw_013_fig05.png
Tableau 2 Planification d'adresse IP par défaut

Placer

Adaptateur de réseau

Adresse IP physique

Adresse IP Heartbeat

Base de données VIP

SM VIP

Description

Serveur A

Nœud actif

Eth 0

192.168.1.100/16

192.168.1.100/16

192.168.1.103/16

192.168.1.103/16

  • Interface de service.

  • Le VIP est utilisé pour la communication avec l' Agile Controller-Campus . L'adresse IP de la base de données saisie lors de l'installation de l' Agile Controller-Campus est l'adresse IP virtuelle.

REMARQUE:
Le masque de sous-réseau de l'adresse IP doit contenir 24 bits.

Serveur B

Nœud de veille

Eth 0

192.168.1.101/16

192.168.1.101/16

  • Interface de service.

  • Le VIP est utilisé pour la communication avec l' Agile Controller-Campus . L'adresse IP de la base de données saisie lors de l'installation de l' Agile Controller-Campus est l'adresse IP virtuelle.

REMARQUE:
Le masque de sous-réseau de l'adresse IP doit contenir 24 bits.
note_3.0-en-us.png
  • L'adresse IP physique est l'adresse IP réelle d'une interface réseau Eth. Il est utilisé pour la communication avec le commutateur.

  • Database VIP est l'adresse IP utilisée pour chaque base de données SQL pour fournir le service de base de données aux utilisateurs externes. La base de données VIP est utilisée pour la communication avec Agile Controller-Campus .

  • SM VIP est l'adresse IP virtuelle des serveurs SM actifs et de secours. L'administrateur peut utiliser cette adresse IP pour se connecter à la page de gestion des SM actifs et en veille. Dans la solution actuelle, le SM VIP est le même que le VIP de la base de données et utilise la même adresse virtuelle.

  • L'adresse IP de pulsation est utilisée pour vérifier si les nœuds actifs et en veille fonctionnent correctement. Dans la solution actuelle, l'adresse IP de pulsation doit être la même que l'adresse IP physique.

Planification des adresses IP dans les scénarios HA (SM à deux nœuds + AlwaysOn)

note_3.0-en-us.png

Le scénario de cluster à deux nœuds SM + fiabilité AlwaysOn s'applique uniquement à la plate-forme Windows. Seule la V100R003C60 et les versions ultérieures de Agile Controller-Campus la prennent en charge.

Tous les serveurs doivent être configurés avec le même segment de réseau sur un réseau de couche 2.

Dans le réseau recommandé illustré à la figure 2 , trois serveurs fonctionnent comme des serveurs actifs et de secours et comme serveur de quorum pour améliorer la fiabilité. Le commutateur est connecté à un intranet ou à Internet et les utilisateurs accèdent aux serveurs via le commutateur.

Figure 2 Planification SM + AlwaysOn à deux nœuds
controller_ig_sw_013_fig04.png
Tableau 3 Planification des adresses IP par défaut

Placer

Adaptateur de réseau

Adresse IP physique

Base de données VIP

SM VIPVIP du cluster de basculement

Description

Serveur A

Nœud actif

Eth 0

192.168.1.100/16

192.168.1.103/16

192.168.1.104/16

192.168.1.105/16

  • Interface de service.

  • Le VIP est utilisé pour la communication avec l' Agile Controller-Campus . L'adresse IP de la base de données saisie lors de l'installation de l' Agile Controller-Campus est l'adresse IP virtuelle.

REMARQUE:
Le masque de sous-réseau de l'adresse IP doit contenir 24 bits.

Serveur B

Nœud de veille

Eth 0

192.168.1.101/16

  • Interface de service.

  • Le VIP est utilisé pour la communication avec l' Agile Controller-Campus . L'adresse IP de la base de données saisie lors de l'installation de l' Agile Controller-Campus est l'adresse IP virtuelle.

REMARQUE:
Le masque de sous-réseau de l'adresse IP doit contenir 24 bits.

Serveur C

Nœud de quorum

Eth 0

192.168.1.102/16

N / A

N / A

N / A

N / A

note_3.0-en-us.png
  • L'adresse IP physique est l'adresse IP réelle d'une interface réseau Eth. Il est utilisé pour la communication avec le commutateur.

  • Database VIP est l'adresse IP utilisée pour chaque base de données SQL pour fournir le service de base de données aux utilisateurs externes. La base de données VIP est utilisée pour la communication avec Agile Controller-Campus .

  • SM VIP est l'adresse IP virtuelle des serveurs SM actifs et de secours. L'administrateur peut utiliser cette adresse IP pour se connecter à la page de gestion des SM actifs et en veille.

  • Le VIP du cluster de basculement est utilisé lors du basculement du cluster de basculement. Il n'est pas utilisé lorsque le SM est installé.

Planification de la bande passante

Tableau 4 Exigences de bande passante entre le client et le serveur

Nombre de terminaux

Bande passante moyenne EasyAccess (kbit / s)

Bande passante de crête EasyAccess (kbit / s)

Bande passante moyenne de l'agent Web (kbit / s)

Bande passante maximale de l'agent Web (kbit / s)

Bande passante moyenne Web (kbit / s)

Bande passante Web Peak (kbit / s)

100

25,87

103,47

185,33

741,33

268,00

1072,00

200

51,73

206,93

370,67

1482,67

536,00

2144,00

500

129,33

517,33

926,67

3706,67

1340,00

5360,00

1000

258,67

1034,67

1853,33

7413,33

2680,00

10720,00

2000

517,33

2069,33

3706,67

14826,67

5360,00

21440,00

5000

646,67

2586,67

4633,33

18533,33

6700,00

26800,00

10 000

1293,33

5173,33

9266,67

37066,67

13400,00

53600,00

20000

2586,67

10346,67

18533,33

74133,33

26800,00

107200,00

Planification portuaire

Le tableau 5 décrit les ports communs requis par Agile Controller-Campus . Pour plus de détails, voir Matrice de communication .

notice_3.0-en-us.png

Pour éviter que les services ne soient affectés par des problèmes tels que les conflits de port et la préemption des performances, désactivez les services et composants non planifiés sur le contrôleur (par exemple, service DNS, service DHCP, composant AD / LDAP, composant serveur de certification et composant serveur de messagerie) et n'installez pas de logiciel non recommandé par Huawei.

Tableau 5 Planification portuaire
Composant

Port

Description

SM

21

Port d'écoute du serveur de transfert de fichiers

80

Port de service Web

873

Port de service Rsync

8088

Port de service Web, utilisé par l'administrateur pour se connecter à la page de gestion via HTTP

8443

Port du service de sécurité Web, utilisé par l'administrateur pour se connecter à la page de gestion via HTTPS

8543

Port du service de sécurité du démon

30021

Port d'écoute du serveur de transfert de fichiers

32212

Port de Tomcat

SC

50200

Port d'authentification du portail

50100

Port d'authentification du portail

39 000

Port de communication entre le serveur d'authentification et le serveur de portail

32215

Port utilisé pour désactiver le service du serveur réseau

32214

Port utilisé pour désactiver le service du serveur de portail

32213

Port utilisé pour désactiver le service du serveur d'authentification

30049

Port pour communiquer avec le périphérique d'accès

30021

Port d'écoute du serveur de transfert de fichiers

17889

Port de communication entre le serveur d'authentification et EasyAccess

8547

Port du service de sécurité du démon du serveur d'authentification

8546

Port du service de sécurité du démon du serveur réseau

8545

Port du service de sécurité du démon du serveur Portal

8544

Port du service de sécurité du démon du serveur RADIUS

8447

Port du service de sécurité Web du serveur d'authentification

8445

Port du service de sécurité Web du serveur Portal

8444

Port de communication sécurisé entre le SC et le SM

8085Port de communication entre le serveur RADIUS et le SM
8084Port de service Web du serveur d'authentification
8083Port de communication entre le serveur réseau et le SM

8080

Port de service Web du serveur Portal

8006

Port utilisé pour désactiver le service serveur RADIUS

5222

Port d'écoute du service XMPP

3799

Port COA du serveur RADIUS

3288

Port SACG pour la communication entre le serveur d'authentification et le pare-feu.

3289

Port SACG pour la communication entre le serveur Portal et le pare-feu.

1820

Port de communication du dispositif de gestion du comportement en ligne

1819

Port de communication du dispositif de gestion du comportement en ligne

1818

Port de communication du dispositif de gestion du comportement en ligne

1813

Port comptable du serveur RADIUS

1812

Port d'authentification du serveur RADIUS

873

Port de service Rsync

80

Port de service Web

49

Port pour communiquer avec le périphérique d'accès

21

Port d'écoute du serveur de transfert de fichiers

Planification d'itinéraire

Suivez ces règles pour planifier des itinéraires. Obtenez les informations sur l'itinéraire auprès du client.

Principe général : il existe des routes accessibles entre le serveur Agile Controller-Campus , le périphérique réseau et le client. Le serveur Agile Controller-Campus peut envoyer une requête ping à l'interface en amont du périphérique réseau et le client peut envoyer une requête ping à l'interface en aval du périphérique réseau.

Planification d'itinéraire dans des scénarios spéciaux : lorsque vous souhaitez utiliser le SACG en mode contournement ou la fonction de chaîne de service, la planification d'itinéraire décrite dans le tableau 6 est nécessaire en plus des principes généraux.

Tableau 6 Planification d'itinéraire dans des scénarios spéciaux

Scénario

Planification d'itinéraire

SACG en mode bypass

Comme le montre la figure 3 :

  • Planifier sur le logiciel / routeur: planifiez un itinéraire basé sur des règles pour détourner le trafic de service des utilisateurs finaux vers le SACG. Dans la route basée sur des règles, l'adresse source est l'adresse IP des utilisateurs finaux, l'adresse de destination est 0.0.0.0 et le saut suivant est l'interface (2) sur le SACG.

  • Planifier sur le logiciel / routeur: planifiez une route par défaut , dans laquelle l'adresse de destination est 0.0.0.0 et le saut suivant est l'interface (5) sur le routeur. La route par défaut a une priorité inférieure à la route basée sur des règles. Le trafic est transféré en fonction de la route basée sur la stratégie de préférence, puis transféré en fonction de la route par défaut lorsque le SACG devient défectueux. Cela garantit la continuité du service.

  • Planifiez sur le SACG: planifiez une route statique pour envoyer le trafic de service traité par le SACG au SW / routeur. Dans la route statique, l'adresse de destination est 0.0.0.0 et le prochain saut est l'interface (4) sur le SW / routeur.

Chaîne de service

Comme le montre la figure 4 :

  • Planifiez une route statique sur le périphérique d'orchestration SW: Dans la route statique, les adresses de destination sont LoopBack 100 et LoopBack 101 sur le FW, et le saut suivant est l'interface physique (2) sur le FW.

  • Planifiez une route statique sur le FW du périphérique de service: Dans la route statique, les adresses de destination sont LoopBack 100 et LoopBack 101 sur le SW, et le saut suivant est l'interface physique (1) sur le SW.

Figure 3 Planification de l'itinéraire du SACG en mode bypass
c_plan_0015_fig04.png
Figure 4 Planification d'itinéraire lorsque la fonction de chaîne de service est utilisée
c_plan_0015_fig05.png

Contraintes de planification

Dans tous les scénarios de mise en réseau, le périphérique NAT ne peut pas être déployé entre le périphérique réseau recevant les configurations du Agile Controller-Campus et du Agile Controller-Campus . Par exemple, le périphérique NAT ne peut pas être déployé lorsque l'AC ou le commutateur fonctionne comme périphérique d'authentification, le commutateur fonctionne comme périphérique d'orchestration de service ou le pare-feu comme SACG pour exécuter les stratégies QoS.

Contraintes NAT entre le client et le serveur:

note_3.0-en-us.png

La Figure 5 , la Figure 6 et la Figure 7 montrent uniquement les emplacements du client, du périphérique NAT et du Agile Controller-Campus , et ne représentent pas le réseau réel.

  • Authentification SACG

    Comme le montre la figure 5 , si vous utilisez le client EasyAccess ou l'agent Web, le périphérique NAT peut être déployé entre le client et le SACG mais pas entre le SACG et le contrôleur Agile-Campus . Si vous utilisez le client Web, le périphérique NAT ne peut pas être déployé entre le client et l' Agile Controller-Campus .

    Figure 5 Contraintes de planification NAT pour l'authentification SACG
    c_plan_0015_fig01.png
  • Authentification du portail

    Comme le montre la figure 6 , lorsqu'un AR est utilisé pour fournir le service d'authentification du portail, vous pouvez configurer NAT sur l'AR. Le périphérique NAT ne peut pas être déployé entre le client et l' Agile Controller-Campus lorsqu'un SW ou un AC doit fournir le service d'authentification du portail.

    Figure 6 Contraintes de planification NAT pour l'authentification du portail
    c_plan_0015_fig02.png
  • Authentification 802.1X

    Comme le montre la figure 7 , NAT ne peut pas être déployé entre le dispositif de contrôle d'accès (SW ou AC) et le contrôleur Agile-Campus lorsque vous utilisez l'authentification 802.1X.

    Figure 7 Contraintes de planification NAT pour l'authentification 802.1X
    c_plan_0015_fig03.png


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.