【交换机在江湖】实战案例十七 SVF配置案例

[复制链接]
发表于 : 2015-4-16 10:01:01 最新回复:2019-01-13 20:12:01
10673 9
交换机在江湖
交换机在江湖 官方号

1 SVF使用前须知

1.1 SVF技术特征

传统的园区网具有以下特点:

l   核心/汇聚设备业务相对固定。

l   接入设备数量多且位置分布广。

l   接入设备配置简单、配置归一化程度高。

l   接入设备接口数量多。

l   接入设备有线接入、无线接入相融合的趋势明显。

以上特点使得园区网接入层设备的管理与配置较为复杂和繁琐。而通过虚拟化技术SVFSuper Virtual Fabric),可以有效地简化接入层设备的管理与配置。

图1-1 SVF组网图

103530f1jxj5eae1h6dfng.png

 

1-1所示,SVF是简化园区网络管理和维护的技术。基于园区网络当前的特点,SVF技术通过统一配置接入设备、统一管理接入用户、统一维护接入设备状态来简化园区网络的管理和维护。

SVF中,Parent作为SVF中的管理角色,负责整个系统的管理和配置。Client是接入层设备的统称,包括有线接入设备AS和无线接入设备AP

SVF有如下技术特征:

l   SVF实现有线、无线用户统一在Parent上进行管理。

l   AS设备上的业务全部通过Parent配置。支持配置的业务以及对应的配置方式参见1.1.3 SVF业务部署限制

l   AS&AP设备上的关键状态通过Parent维护,如所有AS&AP的设备注册状态及心跳维持、所有AS&AP的版本及补丁状态、所有AS&AP上的重要告警、所有AS&AP的端口状态、所有AS&AP上的用户状态等。

l   SVF系统最多支持两级AS+一级AP,配合eSight网管的图形化界面使用时,简化管理效果更好。

SVF硬件和软件要求:

选择AP时,其类型和版本需要在Parent设备配套的AP范围内,请查看Parent设备形态对应版本的版本配套说明书。

表1-1 ParentAS配套说明

Parent的版本

可以作为Parent的设备

AS的版本要求

可以作为AS的设备

V200R007C00

l  S7703S7706S7712

l  S9703S9706S9712

V200R007C00

S2750EIS5700LIS5700S-LIS5720EI

V200R008C00

l  S7703S7706S7712

l  S9703S9706S9712

V200R008C00

l  S2750EIS5700LIS5700S-LIS5710-X-LIS5720SIS5720S-SIS5720EI

l  E600

V200R009C00

l  S7703S7706S7712

l  S9703S9706S9712

V200R009C00

l  S2720EIS2750EIS5700LIS5700S-LIS5710-X-LIS5720SIS5720S-SIS5720EIS6720EIS6720S-EI

l  E600

V200R010C00

l  S7703S7706S7710S7712

l  S9703S9706S9712

V200R010C00

l  S2720EIS2750EIS5700LIS5700S-LIS5710-X-LIS5720LIS5720S-LIS5720SIS5720S-SIS5720EIS6720EIS6720S-EI

l  E600

l  S600-E

V200R011C10

l  S7703S7706S7710S7712

l  S7905S7908

l  S9703S9706S9712

V200R011C10

l  S2720EIS2750EIS5700LIS5700S-LIS5710-X-LIS5720LIS5720S-LIS5720SIS5720S-SIS5720EIS5730SIS5730S-EIS6720EIS6720S-EIS6720LIS6720S-LIS6720SIS6720S-SI

l  E600

l  S600-E

V200R012C00

l  S7703S7706S7710S7712

l  S7905S7908

l  S9703S9706S9712

V200R011C10

V200R012C00

l  S2720EIS2750EIS5700LIS5700S-LIS5710-X-LIS5720LIS5720S-LIS5720SIS5720S-SIS5720I-SIS5720EIS5730SIS5730S-EIS5730HIS6720EIS6720S-EIS6720LIS6720S-LIS6720SIS6720S-SI

l  E600(仅V200R011C10版本支持)

l  S600-E

V200R012C10

l  S7905S7908

V200R011C10

V200R012C00

l  S2720EIS2750EIS5700LIS5700S-LIS5710-X-LIS5720LIS5720S-LIS5720SIS5720S-SIS5720I-SIS5720EIS5730SIS5730S-EIS5730HIS6720EIS6720S-EIS6720LIS6720S-LIS6720SIS6720S-SI

l  E600(仅V200R011C10版本支持)

l  S600-E

V200R013C00

l  S7703S7703 PoES7706S7706 PoES7710S7712

l  S7905S7908

l  S9703S9706S9712

V200R011C10

V200R012C00

V200R013C00

l  S2720EIS5720LIS5720S-LIS5720SIS5720S-SIS5720I-SIS5720EIS5730SIS5730S-EIS5730HIS6720EIS6720S-EIS6720LIS6720S-LIS6720SIS6720S-SI

l  S2750EIS5700LIS5700S-LIS5710-X-LI(仅V200R011C10V200R012C00版本支持)

l  E600(仅V200R011C10版本支持)

l  S600-E

V200R013C02

l  S7703S7706S7712

V200R011C10

V200R012C00

V200R013C00

V200R013C02

l  S2720EIS5720LIS5720S-LIS5720SIS5720S-SIS5720I-SIS5720EIS5730SIS5730S-EIS5730HIS5731HS6720EIS6720S-EIS6720LIS6720S-LIS6720SIS6720S-SI

l  S2750EIS5700LIS5700S-LIS5710-X-LI(仅V200R011C10V200R012C00版本支持)

l  E600(仅V200R011C10版本支持)

l  S600-E

V200R019C00

l  S7703S7703 PoES7706S7706 PoES7710S7712

l  S7905S7908

V200R012C00

V200R013C00

V200R019C00

l  S2720EIS5720LIS5720S-LIS5720SIS5720S-SIS5720I-SIS5720EIS5730SIS5730S-EIS5730HIS5731HS6720EIS6720S-EIS6720LIS6720S-LIS6720SIS6720S-SI

l  S2750EIS5700LIS5700S-LIS5710-X-LI(仅V200R012C00版本)

l  S600-E

 

1.2 SVF适用的场景

基于SVF的技术特征,要求在SVF场景下,ParentAS&AP之间一定是二层组网,并且AS应处于园区的接入层,最好用于直连用户,不要将AS作为园区的汇聚层设备使用。V200R011C10之前版本,AS上用户侧端口不支持配置Eth-TrunkV200R011C10及之后版本,AS上用户侧端口支持配置Eth-Trunk。基于以上SVF场景限制,SVF主要适用于以下场景。如果不满足以下场景,则无法部署SVF,建议采用传统的逐台配置的模式进行部署。

场景一 纯有线园区接入场景

纯有线园区接入场景,指的是用户终端全部通过有线方式接入网络。该场景中,用户终端直接连接到AS接入网络,Parent作为用户的接入网关。根据ParentAS之间是否跨非SVF系统的设备(跨越某中间网络),SVF支持两种类型组网:

l   ParentAS直连的组网,如1-2所示。

a.         Parent可以是单台设备,也可以是由两台框式设备组成的集群或多台盒式设备组成的堆叠。

b.         AS最多支持两级接入交换机。每个AS可以是单台设备,也可以是由多台设备组成的堆叠,V200R008C00及之前的版本,每个AS节点最多可以由3台设备组成堆叠,组成堆叠时所有的成员必须是相同端口数量的同款型设备。从V200R009C00版本开始,每个AS节点最多可以由5台设备组成堆叠,组成堆叠时所有的成员可以是相同端口数量的同款型设备,也可以是端口数量不同的同款型设备。

c.         用户终端可以从一级或二级AS接入网络,Parent作为用户的接入网关。

如果是新建园区,所有园区设备都是新购置设备,则建议优先采用该组网。

图1-2 纯有线园区接入场景,ParentAS直连组网

103530wnwr5faqqalzm7am.png

 

l   ParentAS之间跨中间网络的组网,如1-3所示。

a.         Parent可以是单台设备,也可以是由两台框式设备组成的集群或多台盒式设备组成的堆叠。

b.         AS最多支持一级接入交换机。每个AS可以是单台设备,也可以是由多台设备组成的堆叠,V200R008C00及之前的版本,每个AS节点最多可以由3台设备组成堆叠,组成堆叠时所有的成员必须是相同端口数量的同款型设备。从V200R009C00版本开始,每个AS节点最多可以由5台设备组成堆叠,组成堆叠时所有的成员可以是相同端口数量的同款型设备,也可以是端口数量不同的同款型设备。

c.         用户终端可以从AS接入网络,Parent作为用户的接入网关。

如果是改造园区,园区设备中存在其他厂商设备,则建议采用该组网。

图1-3 纯有线园区接入场景,ParentAS之间跨中间网络的组网

103531rv4xgghjjzrvaehj.png

 

场景二 有线/无线融合园区接入场景

有线/无线融合园区接入场景,指的是用户终端部分通过有线方式接入网络、部分通过无线方式接入网络。该场景中,Parent作为用户的接入网关。根据ParentAS&AP之间是否跨非SVF系统的设备(跨越某中间网络),SVF支持两种类型组网:

l   ParentAS&AP直连的组网,如1-4所示。

a.         Parent可以是单台设备,也可以是由两台框式设备组成的集群或多台盒式设备组成的堆叠。

b.         AS最多支持两级接入交换机。每个AS可以是单台设备,也可以是由多台设备组成的堆叠,V200R008C00及之前的版本,每个AS节点最多可以由3台设备组成堆叠,组成堆叠时所有的成员必须是相同端口数量的同款型设备。从V200R009C00版本开始,每个AS节点最多可以由5台设备组成堆叠,组成堆叠时所有的成员可以是相同端口数量的同款型设备,也可以是端口数量不同的同款型设备。

c.         AP可以连接到一级或二级AS

d.         有线用户终端从一级或二级AS接入网络。无线用户终端从AP接入网络。Parent作为用户的接入网关。

如果是新建园区,所有园区设备都是新购置设备,则建议优先采用该组网。

图1-4 有线/无线融合园区接入场景,ParentAS&AP直连组网

103531nd77dvdddd9ff7od.png

 

l   ParentAS&AP之间跨中间网络的组网,如1-5所示。

a.         Parent可以是单台设备,也可以是由两台框式设备组成的集群或多台盒式设备组成的堆叠。

b.         AS最多支持一级接入交换机。每个AS可以是单台设备,也可以是由多台设备组成的堆叠,V200R008C00及之前的版本,每个AS节点最多可以由3台设备组成堆叠,组成堆叠时所有的成员必须是相同端口数量的同款型设备。从V200R009C00版本开始,每个AS节点最多可以由5台设备组成堆叠,组成堆叠时所有的成员可以是相同端口数量的同款型设备,也可以是端口数量不同的同款型设备。

c.         AP连接到AS上。

d.         有线用户终端从AS接入网络。无线用户终端从AP接入网络。Parent作为用户的接入网关。

如果是改造园区,园区设备中存在其他厂商设备,则建议采用该组网。

图1-5 有线/无线融合园区接入场景,ParentAS&AP之间跨中间网络的组网

103531w18an0k82l08l88e.png

 

场景三 多个SVF系统组成的园区网

对于大型园区(接入设备超过200台),可以通过组建多套SVF系统来简化园区网络的管理,如1-6所示。

图1-6 多个SVF系统组成的园区网

103532u10ozmc2qzcy4b5h.png

 

1.3 SVF业务部署限制

SVF支持集中配置模式和独立配置模式两种。

l   集中配置模式是指AS上的所有业务都通过Parent进行配置,因此AS支持的业务受限于Parent支持配置的业务范围,而不是等同于接入交换机单机运行时支持的业务范围。AS支持的业务范围适用于大部分接入交换机场景。

集中配置模式既支持通过模板或者全局批量配置业务向AS下发,也支持向AS进行单个直接配置。

l   独立配置模式是指AS上的业务配置不通过Parent集中下发,而是登录AS通过命令行进行单独配置,从V200R010版本开始支持。

独立配置模式支持更多的业务配置,相当于集中配置模式的补充。当AS需要配置的业务通过Parent批量配置不了时,可以登录AS再进行独立配置。而且AS从集中配置模式切换到独立配置模式后,切换前通过模板配置或者直接配置生成的配置文件均会被保留。

不同业务配置方式可支持配置的功能不同,具体参见产品文档中的详细描述。

2 SVF系统规划

2.1 规划SVF系统的组网

SVF系统最多支持两级AS+一级AP。组建SVF系统前,首先需要分析以下要素,根据实际需求选择合适的组网。

确定园区场景

确定园区场景时,应综合考虑园区终端数量、终端类型、是否需要设备利旧以及Parent设备的CPU/内存能力等因素:

1.         评估有线终端的数量,推导出AS的数量。

2.         评估无线终端的数量,推导出AP的数量。

3.         确定是否需要设备利旧,需要利旧的设备可以作为ParentAS之间的透传设备,但不建议在利旧设备上接终端用户,否则可能影响SVF系统建立。

4.         由于整个SVF系统的配置和状态维护都在Parent上完成,因此,AS&AP数量越多,可接入的终端数量越多,对ParentCPU/内存能力要求越高。从ParentCPU/内存能力考虑,一个SVF系统的AS&AP规模以及接入终端规模的建议值如1-4所示。

表2-1 AS&AP规模以及接入终端个数建议值

Parent设备形态

建议最大AS节点数

建议最大AP个数

S9712/S9706

48

800

S7712SRUE/SRUHA1/SRUHX1/SRUH主控)/S7710/S7706/S7706 PoESRUE/SRUHA1/SRUHX1/SRUH主控)S7703MCUD主控)

256

1000

S7712SRUA/SRUB主控)/S7706/S7706 PoESRUA/SRUB主控)

32

300

S7908

256

1000

S7905

4

0

S5720HI

32

600

S5730HI/S5731H

32

600

S6720HI/S6730H

32

600

S9703/S7703MCUA主控)/S7703 PoE

4

0

S6720EI/S6720S-EI

32

0

 

5.         选择满足需求的组网场景,推荐场景如1-5所示。

表2-2 推荐组网场景

终端数量

终端类型

推荐组网场景

终端数量未超过Parent建议值

仅存在有线终端,无需设备利旧

场景一 纯有线园区接入场景中ParentAS直连的组网

仅存在有线终端,需要设备利旧

场景一 纯有线园区接入场景中ParentAS之间跨中间网络的组网

同时存在有线/无线终端,无需设备利旧

场景二 有线/无线融合园区接入场景中ParentAS&AP直连的组网

同时存在有线/无线终端,需要设备利旧

场景二 有线/无线融合园区接入场景中ParentAS&AP之间跨中间网络的组网

终端数量超过Parent建议值

在系统规划时,建议将园区网络划分为多个SVF系统,组网场景参见场景三 多个SVF系统组成的园区网。每个SVF系统中,终端数量未超过Parent建议值,根据终端类型选择“终端数量未超过Parent建议值”中的推荐场景。

 

组网部署建议

图2-1 理想的SVF组网

103532hgwz4kh4vkwkwgge.png

 

1-7所示,理想的SVF组网有如下特征:

1.         Parent由两台设备组成集群。

2.         一级AS上行连接到Parent的两台设备上,即AS跨板双归到Parent的两台设备上。

3.         AS设备是多台设备堆叠时,每台设备上都至少有一条链路连接到上一级设备。

4.         AS通过上行光口或者上行Combo口连接到上一级设备。

5.         AP单上行连接到AS设备上。

SVF组网的优点是:

1.         交换机之间任意一条链路故障时,只影响带宽,不影响业务。

2.         AS本地做MAD检测,其上游设备作为MAD代理,当AS堆叠**时,可在上游设备配合下进行多主冲突处理,不影响整个系统稳定。

网络实际部署时,可能因为设备间距离、布线困难等原因,存在一些组网限制,无法实现理想的SVF组网。用户需要提前识别这些组网限制,根据情况采取适当的规避和保障措施:

1.         Parent只有一台设备时:

a.         建议Parent上部署双主控板确保可靠性。

b.         建议ASParent间至少有两条可用链路,并且链路至少分布到Parent的两块业务板上,即AS跨板双归到Parent上。

2.         一级AS无法跨板双归到Parent时:

           建议该AS不要配置堆叠。如果一定配置堆叠,则堆叠成员设备部署在同一物理位置,并保证堆叠线的可靠性,否则该AS堆叠**后可能无法解决设备冲突问题,影响系统可靠性。

3.         AS为多台设备堆叠,无法保证每台设备都至少有一条链路连接到上一级设备时:

           建议该AS的堆叠成员设备部署在同一物理位置,并保证堆叠线的可靠性,否则该AS堆叠**后可能无法解决设备冲突问题,影响系统可靠性。

4.         AS与上级设备之间的Fabric-port的链路连线只有双绞线时:

           如果AS是上行接口为GE类型端口的设备,则可以使用光电转换模块进行转换。

           选择上行接口是Combo口的AS设备,如S2750EI有部分款型的上行接口为Combo口。

提高系统可靠性

1.         可通过以下方式提高Parent的可靠性:

a.         组建两台设备集群。

b.         部署MAD多主检测,当Parent集群**时,自动进行冲突处理和故障恢复。

2.         可通过以下方式提高AS的可靠性:

a.         Parent是两台设备组成的集群时,一级AS跨板双归到Parent的两台设备上。

b.         如果AS是多台设备组成的堆叠,则每台设备上都至少有一条链路连接到上一级设备。

c.         如果AS是多台设备组成的堆叠,则组建环形拓扑的堆叠。

d.         如果AS是多台设备组成的堆叠,则尽量将AS各成员部署在同一物理位置,以减少因为链路故障导致堆叠**的风险。

2.2 规划SVF系统的成员设备

确定SVF系统的组网后,需要为系统选择合适的成员设备。

确定Parent设备

1.         确定Parent的设备类型

Parent设备类型的选择由园区规模决定,可参考确定园区场景

2.         确定Parent的台数

a.         Parent负责整个SVF系统的管理和维护,因此,建议将Parent部署为由两台框式设备组建的集群系统,以保证SVF系统的可靠性。

b.         S9703/S7905/S7703/S7703 PoE不支持组建集群,V200R008C00及之前版本的S5720HI不支持组建堆叠,因此,如果园区对可靠性要求比较高,建议不要选取这几款作为Parent

3.         确定Parent上的单板类型

a.         有线/无线融合园区接入场景,需要在Parent上部署X系列单板。

b.         同一个AS连接到Parent上的两块业务板时,建议这两块业务板的类型相同。

c.         纯有线园区接入场景,如果接入终端不需要认证,则Parent上可以不部署X系列单板;如果接入终端需要认证,则建议在Parent上部署X系列单板,原因是X系列单板支持的用户表项较大,用户控制策略更灵活。

d.         由于大部分类型的AS设备的上行接口都是光口,因此Parent连接AS的业务板需要选取光口板。如果AS的上行接口是10GE光口、Parent连接AS的端口是GE光口,那么选取时需要AS设备支持10GE光口上行接口自适应为GE光口速率。

e.         如果ParentAS之间的连线只有双绞线,则建议选择上行接口有Combo口的AS设备与Parent上的电口板连接,否则需要借助光电转换模块来保证连接。

确定AS设备

一级AS和二级AS所在的位置对设备有如下要求:

1.         AS只支持用上行接口连接Parent,大部分AS设备的上行接口都是光口,因此当SVF系统中存在两级AS时,需要选取下行接口是光口的设备作为一级AS,否则需要借助光电转换模块来保证连接。

2.         同一个SVF系统中业务类似时,AS设备尽量选取相同的设备类型,以便在AS发生故障时进行替换。

根据AS设备的特征,针对不同的组网场景,建议按照下表所示选择设备类型。

表2-3 不同组网下建议选择的AS设备类型

组网

设备位置

建议设备类型

两级AS直连组网

一级AS

S6720EIS6720S-EIS6720SIS6720S-SIS5730HIS5731HS5720EI(下行接口为光口的设备)

二级AS

S6720LIS6720S-LIS6720SIS6720S-SIS5700LI(上行接口为GE光口的设备)、S5700S-LIS5730SIS5730S-EIS5720LIS5720S-LIS2750EIS2720EIS5720SIS5720S-SIS5720I-SIS5710-X-LIE600S600-E

一级AS直连组网

AS

S6720LIS6720S-LIS6720SIS6720S-SIS6720EIS6720S-EIS5720EIS5700LIS5700S-LIS5730HIS5731HS5730SIS5730S-EIS5720LIS5720S-LIS2750EIS2720EIS5720SIS5720S-SIS5720I-SIS5710-X-LIE600S600-E

跨中间网络组网

AS

S6720LIS6720S-LIS6720SIS6720S-SIS6720EIS6720S-EIS5720EIS5700LIS5700S-LIS5730HIS5731HS5730SIS5730S-EIS5720LIS5720S-LIS2750EIS2720EIS5720SIS5720S-SIS5720I-SIS5710-X-LIE600S600-E

SVF系统的设备(中间网络设备)

下行接口是光口的设备,并且需要支持Eth-Trunk

 

确定AP设备

选择AP时,需要在Parent配套的AP范围内,可以通过以下方式确定选择的AP类型是否在Parent配套的AP范围内:

l   (推荐)在Parent上通过执行display ap-type all命令查看当前支持的AP类型。

l   查看Parent设备形态对应版本的版本配套说明书。

3 AS业务配置

3.1 AS业务配置方法和思路

配置方法

SVF系统中,AS上的业务配置支持集中配置模式和独立配置模式,这两种配置模式不能在同一台AS上同时使用。

集中配置模式是指AS上的所有业务都通过Parent进行配置,因此AS支持的业务受限于Parent支持配置的业务范围,而不是等同于接入交换机单机运行时支持的业务范围。

表3-1 集中配置模式的配置方式

方法

说明

全局配置

Parentuni-mng视图下配置业务功能(Free-rule功能是在系统视图下配置),然后执行命令commit as { name as-name | all }实现AS的业务配置下发。此种方式支持配置的功能很少。

模板配置

Parent上创建业务模板和特定的设备及端口分组,再将业务模板绑定至特定的设备及端口分组,然后执行命令commit as { name as-name | all }实现AS的业务配置下发。在一个SVF中会存在多个AS或端口配置相同的情况,而通过将这些配置相同的AS或端口加入同一个分组,可以实现批量配置,减少重复配置工作。

直接配置

Parent上通过direct-command命令直接向AS下发配置命令,该配置直接下发至AS生效。

 

独立配置模式是指直接登录AS,然后通过命令行在相应AS上配置业务。配置完成后,AS可通过upload config将配置文件保存并上传到Parent。独立配置模式支持更多的业务配置,相当于集中配置模式的补充。当AS需要配置的业务通过Parent批量配置不了时,可以登录AS再进行配置。AS从集中配置模式切换到独立配置模式后,切换前通过模板配置或者直接配置下发的业务配置均会被保留。

配置思路

1.         确定需要在AS上配置的业务。

2.         根据“1.1.3 SVF业务部署限制”中的描述,确定配置方法。例如:需要在AS上配置SNMP功能。通过查看“AS支持配置的业务范围”,可以确定只能通过独立配置模式配置SNMP功能。

3.         根据配置方法进行配置。在Parent上通过模板给AS端口下发配置的流程如1-8所示。

图3-1 Parent上通过模板给AS端口下发配置

103533huvzn993k4kjnuo4.png

 

主要包括以下几个阶段:

a.         创建端口组,将AS的端口加入端口组,每个端口组是一个端口集合,该端口集合内的端口连接的是一类相同业务特征的用户。

b.         创建业务模板,每个业务模板是一个业务集合,将需要下发的业务在业务模板下进行配置。

c.         将业务模板绑定到端口组,即将业务集合绑定到端口集合下。

d.         ParentCommit提交配置将业务自动下发到AS上。

通过端口组对AS配置业务时,仅需要关注AS上的用户端口,而Fabric-port上的业务配置在不同的组网场景下要求不同:

           ParentAS直连时,ParentAS上的Fabric-port的业务配置会根据用户端口的业务配置自动生成,无需用户进行手动配置。

           ParentAS之间跨中间网络时,需要用户手动对Parent上的Fabric-port进行业务配置。

3.2 AS接入用户网络划分配置

接入用户网络划分主要指为用户端口划分VLAN

在园区场景中,通常可以根据部门将用户划分为几类,对同一类用户进行相同的业务配置。由于AS端口直连接入用户,在SVF系统中,可以将连接同一类用户的AS的端口加入到端口组中,通过配置端口组的方式来配置用户端口,以达到简化配置的目的。端口组配置相对于逐个端口配置可以大大节省配置工作量,配置时需注意以下事项:

l   端口组划分时需要满足1-8所示的端口组规格。

表3-2 端口组规格

端口组类型

SVF系统支持创建的端口组数量

AS上的端口与端口组的约束

直连用户端口组

256

l  V200R009版本及以前版本:同一个AS上的端口最多支持加入到6个直连用户端口组

l  V200R010版本及以后版本:同一个AS上的端口最多支持加入到16个直连用户端口组

连接AP端口组

1

同一个AS上的端口最多支持加入到1个连接AP端口组

 

l   V200R009版本及以前版本,每个AS上的用户端口最多允许配置1个默认VLAN、一个语音VLAN16个透传VLANV200R010版本及以后版本,每个AS上的用户端口最多允许配置1个默认VLAN、一个语音VLAN32个透传VLAN

l   V200R011C10之前版本,AS上的用户端口不支持配置为Eth-Trunk成员端口。V200R011C10及之后版本,AS上的用户端口支持配置为Eth-Trunk成员端口。

3.3 AS接入用户认证配置

说明

如果接入用户不需要认证,则无需关注本节内容。

1-9所示,SVF系统中,所有用户的接入控制认证点部署在Parent上,认证服务器相关的业务只需要在Parent上配置一次,部署更简单。所有用户的接入控制执行点部署在AS设备上,用户未认证通过时,无法接入AS,安全性更好。

图3-2 接入控制认证点和执行点

103533st44xrn1kurmks60.png

 

SVF系统支持三种接入用户认证方式:MAC802.1XPortal,三种认证方式的特征和适用场景如1-9所示。

表3-3 各种认证方式的特征和适用场景

认证方式

认证特征

适用场景

MAC

l  不需要安装特殊的客户端软件。

l  用户每次登录网络不需要输入用户名、密码。

l  需要根据MAC配置用户,配置复杂。

打印机、传真机等哑终端接入认证的场景。

802.1X

l  需要安装特殊的客户端软件。

l  可以配置用户易记的用户名。

l  用户每次登录网络需要输用户名、密码。

新建网络、用户集中、信息安全要求严格的场景。

Portal

l  不需要安装特殊的客户端软件。

l  可以配置用户容易记住的用户名。

l  用户每次登录网络需要输用户名、密码。

用户分散、用户流动性大的场景。

 

同一个SVF系统内只支持配置一种认证组合。根据实际场景的需求,这种组合可以是MAC802.1XPortal中的一种或多种。

l   有线接入终端认证场景

a.         有线接入终端认证方式

表3-4 有线接入终端认证场景建议的认证方式

场景分类

场景特点

典型终端

建议认证方式组合

备注

园区办公

l  网络封闭,人员固定,安全性要求高。

l  部分笔记本电脑可能会更换位置,如:从办公位置到会议室、从一个部门出差到另外一个部门的办公区。

l  存在少量哑终端,如:打印机。

笔记本电脑、打印机

802.1X

l  打印机等哑终端直接在Parent上配置静态用户。

l  所有接入终端的AS端口配置802.1X认证。

l  部门间用户隔离通过用户流量集中式转发+UCL控制。

教育院校

l  网络封闭,终端位置密集。

l  有线终端位置相对固定,一般不限制本地用户互访。

笔记本电脑

Portal

如果需要限制本地用户互访,则采用集中式转发;否则可采用分布式转发,带宽转发效率更高。

 

b.         有线接入终端认证配置注意事项

i.          建议不要配置MAC802.1X/Portal的组合,因为认证方式组合后,会先尝试MAC认证,对于802.1X认证的终端并发接入性能会下降。

ii.        配置Portal认证时,不支持内置Portal服务器。

iii.      不支持DHCPv6ND触发认证。

iv.       当在Parent上配置Free-rule时,Parent会将满足范围条件的Free-rule自动下发到所有AS上(支持下发到S5720EIFree-rule范围为0127,下发至其他形态ASFree-rule范围为031)。下发到ASFree-rule中不会携带接口信息。

v.         SVF系统中,NAC认证用户认证成功前的网络访问权限支持通过Free-rule授权,不支持通过UCL组授权。

c.         有线接入终端接入授权注意事项

n   SVF系统中,V200R011C10之前版本不支持对有线用户下发授权VLANV200R011C10及之后版本支持对有线用户下发授权VLAN

l   无线接入终端认证场景

a.         无线接入终端认证方式

表3-5 无线接入终端认证场景建议的认证方式

场景分类

场景特点

典型终端

建议认证方式组合

备注

园区BYODBring Your Own Device)办公

l  网络封闭,人员固定,安全性要求高。

l  特定时刻高并发漫游(上下班、午餐时间)

笔记本电脑、PAD、手机

802.1X

l  高并发漫游期间,非漫游用户不掉线,漫游用户无法保证。

l  非高并发漫游时,漫游用户不掉线。

l  采用隧道转发。

教育院校

l  网络封闭,终端位置密集。

l  特定时刻高并发漫游(课间)。

笔记本电脑

MAC+Portal

l  高并发漫游期间,非漫游用户不掉线,漫游用户无法保证。

l  采用隧道转发。

 

b.         无线接入终端认证配置注意事项

建议配置隧道转发。

3.4 AS的安全配置

园区常见的攻击场景

安全相关的配置主要用于防护各种可能的攻击场景。在园区网络中,常见的攻击有:控制面攻击和转发面攻击,各攻击类型不是在所有园区场景都存在,攻击分类及影响如1-12所示。

表3-6 攻击分类及对应场景

攻击大类

攻击小类

影响

控制面攻击

MAC地址固定的ARP报文攻击

ParentCPU占用率高,部分用户流量中断。

IP地址固定的ARP报文攻击

ARP仿冒网关攻击

Parent上会出现大量网关冲突告警。

ARP欺骗网关攻击

用户不能正常访问网络。

ARP泛洪攻击

用户不能正常学习ARP甚至无法上网。

仿冒DHCP服务器攻击

终端不认证时,用户无法正常获取到规划的地址。

DHCP泛洪攻击

用户无法获取到地址。

转发面攻击

IP地址固定的ARP Miss攻击

ParentCPU占用率高,ARP无法正常学习。

目的IP是设备地址的IP报文攻击

ParentCPU占用率高,Ping网关出现丢包和不通的现象,Telnet很慢,严重情况下会导致BGPLDP等协议单播IP报文无法及时处理,协议异常。

DDoS攻击

上行接口拥塞,正常用户流量中断。

 

抑制攻击的方法和建议

由于SVF系统将AS明确定位为连接终端的设备,AS的端口直连终端,因此SVF系统缺省情况下已经部署了部分设备安全保障相关的措施,如在AS端口入方向或出方向上进行报文限速等。同时SVF还支持通过命令行对终端接入端口进行安全配置。

抑制各种攻击的方法和建议如1-13所示。

表3-7 抑制攻击的方法和建议

攻击大类

攻击小类

终端认证场景抑制手段

终端不认证场景抑制手段

有线终端接入

无线终端接入

有线终端接入

无线终端接入

控制面攻击

MAC地址固定的ARP报文攻击

已支持自动抑制ARP报文攻击。

AP上配置防攻击策略。

AS的端口上配置ARP报文限速。

AP上配置防攻击策略。

IP地址固定的ARP报文攻击

ARP仿冒网关攻击

Parent上配置防网关冲突。

ARP欺骗网关攻击

配置转发模型为集中式转发。

ARP泛洪攻击

当前AS出方向自动开启防ARP泛洪攻击,因此攻击只能影响到所在的AS。识别到攻击点后,在对应的终端接入端口配置入方向ARP限速。

仿冒DHCP服务器攻击

AS上配置DHCP Snooping

AP上配置DHCP Snooping

DHCP泛洪攻击

当前AS出方向自动开启防DHCP泛洪攻击,因此攻击只能影响到所在的AS。识别到攻击点后,在对应的终端接入端口配置入方向DHCP限速。

转发面攻击

IP地址固定的ARP Miss攻击

Parent上配置ARP Miss限速,针对源IP进行限速。

目的IP是设备地址的IP报文攻击

Parent上配置黑名单。

DDoS攻击

端口配置限速,配置广播流量抑制、组播流量抑制、未知单播流量抑制。

 

4 SVF特性配置示例

使用注意事项

l   Parent上使能SVF功能需通过License控制。License仅用于控制SVF功能使能,不控制SVF的业务规格。仅需在Parent上加载License

l   在使能SVF功能后,系统将不支持ISSU功能。

l   Parent版本为V200R011C10之前版本时,AS的版本必须和Parent的版本相同,否则AS不能正常上线。例如:Parent的版本为V200R010C00,则AS的版本也必须为V200R010C00

l   Parent版本为V200R011C10及之后版本时,ParentAS的版本可以不一致,但Parent的版本必须要高于或等于AS的版本,并且AS的版本也必须为V200R011C10及之后版本。

l   一级ASParent之间、二级AS与一级AS之间使用GE光口与XGE光口对接时,需要使用GE光模块,不可以使用XGE光模块。

l   当某AS连接AP时,要求在Parent上,与该AS相连的Fabric-port绑定的Eth-Trunk的成员端口,要么均为X系列单板的端口,要么均为非X系列单板的端口,否则AP无法上线。

l   如果AS是业务口堆叠系统,则需要在AS本地配置堆叠后再加入SVF系统,使用堆叠卡堆叠时无此限制。

l   作为Parent的集群系统出现故障时:

           如果是集群系统中的一台交换机故障,则不会影响SVF的功能。

           如果是堆叠系统**,两个交换机都正常的,则会导致SVF功能异常,因为AS不知道哪个是真正的Parent。此时建议配置集群双主检测功能。

组网需求

在新建的园区网中既存在有线接入设备也存在无线接入设备,由于有线、无线接入设备较多且分布较广,使得接入设备的管理、配置较为复杂。用户希望可以对有线、无线接入设备做统一的管理与配置,以减少管理成本。

本举例中接入设备有如下业务需求:

l   需要为接入设备配置管理员用户名及密码

l   为接入设备的端口划分所属的VLAN

l   配置用户接入认证方式为802.1X认证

1-10所示,为提高系统可靠性,汇聚层由两台交换机组成集群系统,作为Parent连接多台ASAPParent上配置直连方式多主检测,以避免集群**时产生系统冲突。

ParentS7700为例,一级ASS5700-28P-PWR-LI为例,二级ASS2750-28TP-EI为例,APAP5010DN-AGN为例。

图4-1 SVF组网图

103534tx41s4skhobk1xh9.png

 

数据规划

准备项

数据

说明

Parent

SwitchASwitchB两台S7700设备组建的集群

集群方式为集群卡集群

Parent直连多主检测接口

GE1/2/0/1GE2/2/0/1

Parent连接AS的单板

1/12/1单板均为X1E单板,并且单板类型相同

Parentas1as5以及apMAC地址

Parent00e0-0001-1100

as100e0-0001-0011

as200e0-0001-0022

as300e0-0001-0033

as400e0-0001-0044

as500e0-0001-0055

ap00e0-0001-0005

SVF管理VLAN

VLAN 11

管理VLANIFIP

192.168.11.1

Parent上连接as1的端口

GE1/1/0/1GE2/1/0/1

端口加入Eth-Trunk 1并绑定至Fabric-port 1

Parent上连接as2的端口

GE1/1/0/2GE2/1/0/2

端口加入Eth-Trunk 2并绑定至Fabric-port 2

Parent上连接as3的端口

GE1/1/0/3GE2/1/0/3

端口加入Eth-Trunk 3并绑定至Fabric-port 3

as1连接as4的端口

GE0/0/23GE0/0/24

端口加入Eth-Trunk 4并绑定至Fabric-port 4

as3连接as5的端口

GE0/0/23GE0/0/24

端口加入Eth-Trunk 5并绑定至Fabric-port 5

as2连接ap的端口

GE0/0/24

端口加入AP Port Group

AS认证方式

白名单认证

AS管理员模板业务配置

管理员模板admin_profile,配置管理员用户名和密码

AS Groupadmin_group,包含所有as设备

admin_profile绑定至admin_group

AS网络基础模板业务配置

网络基础模板basic_profile_1,配置默认VLAN 10

网络基础模板basic_profile_2,配置默认VLAN 20

端口组port_group_1,包含as1as4的所有端口,as2(除GigabitEthernet 0/0/24端口,该端口用于连接AP)的所有端口

端口组port_group_2,包含as3as5的所有端口

basic_profile_1绑定至port_group_1

basic_profile_2绑定至port_group_2

AS用户接入模板业务配置

用户接入模板access_profile,配置用户接入认证方式为802.1X

access_profile绑定至port_group_1port_group_2

 

配置思路

1.         配置Parent组成集群卡集群,并配置直连方式多主检测,以保证SVF系统的高可靠性。

2.         使能ParentSVF功能。

3.         配置AS的接入参数,包括AS的名称(可选)、Parent连接一级ASFabric-port、一级AS连接二级ASFabric-port、认证方式。

4.         连接一级ASParent、二级AS与一级AS之间的线缆。

5.         配置业务模板并将其绑定至各AS

6.         配置AS下行连接AP的端口和AP的接入参数,将AP上电并连接APAS之间的线缆,使无线接入设备可以成功接入SVF

7.         登录AS,检查AS的业务配置。

 


本帖被以下专题推荐:

  • x
  • 常规:

点评 回复

跳转到指定楼层
交换机在江湖
交换机在江湖 官方号 发表于 2015-4-16 10:03:36 已赞(0) 赞(0)

SVF操作步骤

                                步骤 1      配置Parent中的两台交换机组成集群系统。

# 配置SwitchA的集群连接方式为集群卡集群,集群ID1,集群优先级为100

<HUAWEI> system-view
[HUAWEI] sysname SwitchA
[SwitchA] set css mode css-card
[SwitchA] set css id 1
[SwitchA] set css priority 100

# 配置SwitchB的集群连接方式为集群卡集群,集群ID2,集群优先级为10

<HUAWEI> system-view
[HUAWEI] sysname SwitchB
[SwitchB] set css mode css-card
[SwitchB] set css id 2
[SwitchB] set css priority 10

# 使能SwitchA的集群功能并重新启动SwitchA

[SwitchA] css enable

# 使能SwitchB的集群功能并重新启动SwitchB

[SwitchB] css enable

# 登录集群系统,配置直连方式多主检测。

<SwitchA> system-view
[SwitchA] interface gigabitethernet 1/2/0/1
[SwitchA-GigabitEthernet1/2/0/1] mad detect mode direct
[SwitchA-GigabitEthernet1/2/0/1] quit
[SwitchA] interface gigabitethernet 2/2/0/1
[SwitchA-GigabitEthernet2/2/0/1] mad detect mode direct
[SwitchA-GigabitEthernet2/2/0/1] quit

                                步骤 2      配置SVF的管理VLAN并使能ParentSVF功能。

[SwitchA] vlan batch 11
[SwitchA] dhcp enable
[SwitchA] interface vlanif 11
[SwitchA-Vlanif11] ip address 192.168.11.1 24
[SwitchA-Vlanif11] dhcp select interface
[SwitchA-Vlanif11] dhcp server option 43 ip-address 192.168.11.1
[SwitchA-Vlanif11] quit
[SwitchA] capwap source interface vlanif 11
[SwitchA] stp mode rstp
[SwitchA] uni-mng
Warning: This operation will enable the uni-mng mode and disconnect all ASs. STP calculation may be triggered and service traffic will be affected. Continue? [Y/N]:y

                                步骤 3      配置AS的接入参数。

# (可选)配置各AS的名称。

说明

l  如果不执行此步骤,则系统会在AS上线时自动生成AS设备信息的相关配置,其中AS名称为“系统默认名称-系统MAC地址”。

l  如果要执行此步骤,请确保配置的model以及mac-address参数与设备实际信息一致,其中mac-address一定要是AS的管理MAC或系统MAC(在AS上执行命令display as access configuration查看管理MAC地址,如果管理MAC显示为“--”,mac-address就使用系统MAC地址),配置与实际接入的AS信息不符将导致AS无法上线。

[SwitchA-um] as name as1 model S5700-28P-PWR-LI-AC mac-address 00e0-0001-0011
[SwitchA-um-as-as1] quit
[SwitchA-um] as name as2 model S5700-28P-PWR-LI-AC mac-address 00e0-0001-0022
[SwitchA-um-as-as2] quit
[SwitchA-um] as name as3 model S5700-28P-PWR-LI-AC mac-address 00e0-0001-0033
[SwitchA-um-as-as3] quit
[SwitchA-um] as name as4 model S2750-28TP-EI-AC mac-address 00e0-0001-0044
[SwitchA-um-as-as4] quit
[SwitchA-um] as name as5 model S2750-28TP-EI-AC mac-address 00e0-0001-0055
[SwitchA-um-as-as5] quit

# 配置Parent连接as1Fabric-port

[SwitchA-um] interface fabric-port 1
[SwitchA-um-fabric-port-1] port member-group interface eth-trunk 1
[SwitchA-um-fabric-port-1] quit
[SwitchA-um] quit
[SwitchA] interface gigabitethernet 1/1/0/1
[SwitchA-GigabitEthernet1/1/0/1] eth-trunk 1
[SwitchA-GigabitEthernet1/1/0/1] quit
[SwitchA] interface gigabitethernet 2/1/0/1
[SwitchA-GigabitEthernet2/1/0/1] eth-trunk 1
[SwitchA-GigabitEthernet2/1/0/1] quit

# 配置Parent连接as2Fabric-port

[SwitchA] uni-mng
[SwitchA-um] interface fabric-port 2
[SwitchA-um-fabric-port-2] port member-group interface eth-trunk 2
[SwitchA-um-fabric-port-2] quit
[SwitchA-um] quit
[SwitchA] interface gigabitethernet 1/1/0/2
[SwitchA-GigabitEthernet1/1/0/2] eth-trunk 2
[SwitchA-GigabitEthernet1/1/0/2] quit
[SwitchA] interface gigabitethernet 2/1/0/2
[SwitchA-GigabitEthernet2/1/0/2] eth-trunk 2
[SwitchA-GigabitEthernet2/1/0/2] quit

# 配置Parent连接as3Fabric-port

[SwitchA] uni-mng
[SwitchA-um] interface fabric-port 3
[SwitchA-um-fabric-port-3] port member-group interface eth-trunk 3
[SwitchA-um-fabric-port-3] quit
[SwitchA-um] quit
[SwitchA] interface gigabitethernet 1/1/0/3
[SwitchA-GigabitEthernet1/1/0/3] eth-trunk 3
[SwitchA-GigabitEthernet1/1/0/3] quit
[SwitchA] interface gigabitethernet 2/1/0/3
[SwitchA-GigabitEthernet2/1/0/3] eth-trunk 3
[SwitchA-GigabitEthernet2/1/0/3] quit

# 配置as1连接as4as3连接as5Fabric-port

[SwitchA] uni-mng
[SwitchA-um] as name as1
[SwitchA-um-as-as1] down-direction fabric-port 4 member-group interface eth-trunk 4
[SwitchA-um-as-as1] port eth-trunk 4 trunkmember interface gigabitethernet 0/0/23 to 0/0/24
[SwitchA-um-as-as1] quit
[SwitchA-um] as name as3
[SwitchA-um-as-as3] down-direction fabric-port 5 member-group interface eth-trunk 5
[SwitchA-um-as-as3] port eth-trunk 5 trunkmember interface gigabitethernet 0/0/23 to 0/0/24
[SwitchA-um-as-as3] quit
[SwitchA-um] quit

# 配置AS上线接入时进行白名单认证。

AS上执行命令display as access configuration查看AS的管理MAC,如果管理MAC显示为“--”,白名单中配置的MAC就是AS的系统MAC,否则就是管理MAC

[SwitchA] as-auth
[SwitchA-as-auth] undo auth-mode
[SwitchA-as-auth] whitelist mac-address 00e0-0001-0011
[SwitchA-as-auth] whitelist mac-address 00e0-0001-0022
[SwitchA-as-auth] whitelist mac-address 00e0-0001-0033
[SwitchA-as-auth] whitelist mac-address 00e0-0001-0044
[SwitchA-as-auth] whitelist mac-address 00e0-0001-0055
[SwitchA-as-auth] quit

                                步骤 4      执行命令reset saved-configuration清空AS的配置并重新启动后,连接一级ASParent、二级AS与一级AS之间的线缆,SVF即可建立。

说明

l  在重启AS前,请先判断ASParent相连的接口是否是下行接口(可执行命令display port connection-type access all查看设备上所有的下行接口)。若ASParent相连的接口是下行接口,请在AS重启前执行命令uni-mng up-direction fabric-port设置该接口为上行接口(可执行命令display uni-mng up-direction fabric-port查看接口是否成功设置为上行接口),否则会导致AS无法正常上线。

l  AS连接Parent时要求必须为空配置(无启动配置文件)且Console口无输入。

# 连接线缆后,执行命令display as all查看各AS是否成功上线接入。

[SwitchA] display as all
Total: 5, Normal: 5, Fault: 0, Idle: 0, Version mismatch: 0
--------------------------------------------------------------------------------
No.  Type           MAC            IP              State        Name
--------------------------------------------------------------------------------
0    S5700-P-LI     00e0-0001-0011 192.168.11.254  normal      as1
1    S5700-P-LI     00e0-0001-0022 192.168.11.253  normal      as2
2    S5700-P-LI     00e0-0001-0033 192.168.11.252  normal      as3
3    S2750-EI       00e0-0001-0044 192.168.11.251  normal      as4
4    S2750-EI       00e0-0001-0055 192.168.11.250  normal      as5
--------------------------------------------------------------------------------

当“State”的状态为“normal”时表示AS已成功上线接入。

# 执行命令display uni-mng topology information查看SVF拓扑信息。

[SwitchA] display uni-mng topology information
The topology information of uni-mng network:
<-->: direct link        <??>: indirect link
T: Trunk ID              *: independent AS
------------------------------------------------------------------------------
 Local MAC       Hop  Local Port      T  ||  T   Peer Port      Peer MAC
------------------------------------------------------------------------------
 00e0-0001-1100  0    GE1/1/0/1       1  <-->0   GE0/0/27       00e0-0001-0011
 00e0-0001-1100  0    GE2/1/0/1       1  <-->0   GE0/0/28       00e0-0001-0011
 00e0-0001-1100  0    GE1/1/0/2       2  <-->0   GE0/0/27       00e0-0001-0022
 00e0-0001-1100  0    GE2/1/0/2       2  <-->0   GE0/0/28       00e0-0001-0022
 00e0-0001-1100  0    GE1/1/0/3       3  <-->0   GE0/0/27       00e0-0001-0033
 00e0-0001-1100  0    GE2/1/0/3       3  <-->0   GE0/0/28       00e0-0001-0033
 00e0-0001-0011  1    GE0/0/23        4  <-->0   GE0/0/1        00e0-0001-0044
 00e0-0001-0011  1    GE0/0/24        4  <-->0   GE0/0/2        00e0-0001-0044
 00e0-0001-0033  1    GE0/0/23        5  <-->0   GE0/0/1        00e0-0001-0055
 00e0-0001-0033  1    GE0/0/24        5  <-->0   GE0/0/2        00e0-0001-0055
------------------------------------------------------------------------------
Total items displayed : 10

# 执行命令display uni-mng upgrade-info verbose查看所有AS的版本信息。

[SwitchA] display uni-mng upgrade-info verbose
The total number of AS is : 5
----------------------------------------------------------------------------
 AS name                       : as1
 Work status                   : NO-UPGRADE
 Startup system-software       : flash:/s5700-p-li.cc
 Startup version               : V200R008C00
 Startup patch                 : --
 Next startup system-software  : --
 Next startup patch            : --
 Download system-software      : --
 Download version              : --
 Download patch                : --
 Method                        : --
 Upgrading phase               : --
 Last operation result         : --
 Error reason                  : --
 Last operation time           : --
----------------------------------------------------------------------------
 AS name                       : as2
 Work status                   : NO-UPGRADE
 Startup system-software       : flash:/s5700-p-li.cc
 Startup version               : V200R008C00
 Startup patch                 : --
 Next startup system-software  : --
 Next startup patch            : --
 Download system-software      : --
 Download version              : --
 Download patch                : --
 Method                        : --
 Upgrading phase               : --
 Last operation result         : --
 Error reason                  : --
 Last operation time           : --
----------------------------------------------------------------------------
 AS name                       : as3
 Work status                   : NO-UPGRADE
 Startup system-software       : flash:/s5700-p-li.cc
 Startup version               : V200R008C00
 Startup patch                 : --
 Next startup system-software  : --
 Next startup patch            : --
 Download system-software      : --
 Download version              : --
 Download patch                : --
 Method                        : --
 Upgrading phase               : --
 Last operation result         : --
 Error reason                  : --
 Last operation time           : --
----------------------------------------------------------------------------
 AS name                       : as4
 Work status                   : NO-UPGRADE
 Startup system-software       : flash:/s2750-ei.cc
 Startup version               : V200R008C00
 Startup patch                 : --
 Next startup system-software  : --
 Next startup patch            : --
 Download system-software      : --
 Download version              : --
 Download patch                : --
 Method                        : --
 Upgrading phase               : --
 Last operation result         : --
 Error reason                  : --
 Last operation time           : --
----------------------------------------------------------------------------
 AS name                       : as5
 Work status                   : NO-UPGRADE
 Startup system-software       : flash:/s2750-ei.cc
 Startup version               : V200R008C00
 Startup patch                 : --
 Next startup system-software  : --
 Next startup patch            : --
 Download system-software      : --
 Download version              : --
 Download patch                : --
 Method                        : --
 Upgrading phase               : --
 Last operation result         : --
 Error reason                  : --
 Last operation time           : --
----------------------------------------------------------------------------  

                                步骤 5      配置业务模板并绑定至AS

# 配置AS管理员模板并绑定至所有的AS

[SwitchA] uni-mng
[SwitchA-um] as-admin-profile name admin_profile
[SwitchA-um-as-admin-admin_profile] user asuser password hello@123
[SwitchA-um-as-admin-admin_profile] quit
[SwitchA-um] as-group name admin_group
[SwitchA-um-as-group-admin_group] as name-include as
[SwitchA-um-as-group-admin_group] as-admin-profile admin_profile
[SwitchA-um-as-group-admin_group] quit

# 配置网络基础模板并绑定至AS的端口。

[SwitchA-um] network-basic-profile name basic_profile_1
[SwitchA-um-net-basic-basic_profile_1] user-vlan 10
[SwitchA-um-net-basic-basic_profile_1] quit
[SwitchA-um] network-basic-profile name basic_profile_2
[SwitchA-um-net-basic-basic_profile_2] user-vlan 20
[SwitchA-um-net-basic-basic_profile_2] quit
[SwitchA-um] port-group name port_group_1
[SwitchA-um-portgroup-port_group_1] as name as1 interface all
[SwitchA-um-portgroup-port_group_1] as name as2 interface gigabitethernet 0/0/1 to 0/0/23     //GigabitEthernet 0/0/24
用于连接AP
[SwitchA-um-portgroup-port_group_1] as name as4 interface all
[SwitchA-um-portgroup-port_group_1] network-basic-profile basic_profile_1
[SwitchA-um-portgroup-port_group_1] quit
[SwitchA-um] port-group name port_group_2
[SwitchA-um-portgroup-port_group_2] as name as3 interface all
[SwitchA-um-portgroup-port_group_2] as name as5 interface all
[SwitchA-um-portgroup-port_group_2] network-basic-profile basic_profile_2
[SwitchA-um-portgroup-port_group_2] quit
[SwitchA-um] quit

# 配置用户接入模板并绑定至所有AS的端口。

V200R007C00V200R008C00版本配置方法如下:

[SwitchA] uni-mng
[SwitchA-um] user-access-profile name access_profile
[SwitchA-um-user-access-access_profile] authentication dot1x
[SwitchA-um-user-access-access_profile] quit
[SwitchA-um] port-group name port_group_1
[SwitchA-um-portgroup-port_group_1] user-access-profile access_profile
[SwitchA-um-portgroup-port_group_1] quit
[SwitchA-um] port-group name port_group_2
[SwitchA-um-portgroup-port_group_2] user-access-profile access_profile
[SwitchA-um-portgroup-port_group_2] quit

V200R009C00及以后版本配置方法如下:

[SwitchA] dot1x-access-profile name 1
[SwitchA-dot1x-access-profile-1] quit
[SwitchA] authentication-profile name dot1x_auth
[SwitchA-authen-profile-dot1x_auth] dot1x-access-profile 1
[SwitchA-authen-profile-dot1x_auth] quit
[SwitchA] uni-mng
[SwitchA-um] user-access-profile name access_profile
[SwitchA-um-user-access-access_profile] authentication-profile dot1x_auth
[SwitchA-um-user-access-access_profile] quit
[SwitchA-um] port-group name port_group_1
[SwitchA-um-portgroup-port_group_1] user-access-profile access_profile
[SwitchA-um-portgroup-port_group_1] quit
[SwitchA-um] port-group name port_group_2
[SwitchA-um-portgroup-port_group_2] user-access-profile access_profile
[SwitchA-um-portgroup-port_group_2] quit

# 提交配置,使业务模板中的配置下发至AS

[SwitchA-um] commit as all
Warning: Committing the configuration will take a long time. Continue?[Y/N]: y

# 执行命令display uni-mng commit-result profile查看业务模板中的配置是否已成功下发至AS

[SwitchA-um] display uni-mng commit-result profile
Result of profile:
--------------------------------------------------------------------------------
 AS Name                         Commit Time               Commit/Execute Result
--------------------------------------------------------------------------------
 as1                             2014-08-25 22:29       Success/Success
 as2                             2014-08-25 22:29       Success/Success
 as3                             2014-08-25 22:29       Success/Success
 as4                             2014-08-25 22:29       Success/Success
 as5                             2014-08-25 22:29       Success/Success
--------------------------------------------------------------------------------

当“Commit/Execute Result”的状态为“Success/Success”时表示业务模板中的配置已成功下发至AS

                                步骤 6      配置AP连接AS

# 配置AS连接AP的端口加入AP Port Group

[SwitchA] uni-mng
[SwitchA-um] port-group connect-ap name ap
[SwitchA-um-portgroup-ap-ap] as name as2 interface gigabitethernet 0/0/24
[SwitchA-um-portgroup-ap-ap] quit
[SwitchA-um] commit as all
Warning: Committing the configuration will take a long time. Continue?[Y/N]: y
[SwitchA-um] quit

# 配置APID

V200R007C00V200R008C00版本配置方法如下:

[SwitchA] wlan
[SwitchA-wlan-view] ap id 1 ap-type ap5010dn-agn mac 00e0-0001-0005
[SwitchA-wlan-ap-1] quit

V200R009C00及以后版本配置方法如下:

[SwitchA] wlan
[SwitchA-wlan-view] ap-id 1 ap-type ap5010dn-agn ap-mac 00e0-0001-0005
[SwitchA-wlan-ap-1] ap-name ap-1
[SwitchA-wlan-ap-1] quit

# 配置对AP上线接入时不需要进行认证。

V200R007C00V200R008C00版本配置方法如下:

[SwitchA-wlan-view] ap-auth-mode no-auth
[SwitchA-wlan-view] quit

V200R009C00及以后版本配置方法如下:

[SwitchA-wlan-view] ap auth-mode no-auth
[SwitchA-wlan-view] quit

# AP上电并连接APAS之间的线缆。连接线缆后,执行命令display ap all查看各AP是否成功上线接入。

V200R007C00V200R008C00版本显示信息如下:

[SwitchA] display ap all
  All AP(s) information:
  Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]
  Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]
  ------------------------------------------------------------------------------
  AP    AP               AP              Profile   AP              AP
                                         /Region
  ID    Type             MAC             ID        State           Sysname
  ------------------------------------------------------------------------------
  1     AP5010DN-AGN     00e0-0001-0005    0/0     normal         ap-1
  ------------------------------------------------------------------------------
  Total number: 1,printed: 1

V200R009C00及以后版本显示信息如下:

[SwitchA] display ap all
Total AP information:
nor  : normal          [1]
-----------------------------------------------------------------------------------------
ID   MAC            Name   Group     IP              Type            State STA Uptime
-----------------------------------------------------------------------------------------
1    00e0-0001-0005 ap-1   default   192.168.11.249  AP5010DN-AGN    nor   0   6H:3M:40S
-----------------------------------------------------------------------------------------
Total: 1

                                步骤 7      登录AS,检查AS业务配置。以登录as1为例。

# Parent上,通过attach as name as-name命令登录as1,检查配置的登录用户名和密码是否正确。

[SwitchA] uni-mng
[SwitchA-um] attach as name as1
Info: Connecting to the remote AS now. Use the quit command to return to the user view.
Trying 192.168.11.254 ...
Press CTRL+K to abort
Connected to 192.168.11.254 ...
 
Info: The max number of VTY users is 10, and the number
      of current VTY users on line is 1.
      The current login time is 2014-08-25 22:29+00:00.
<HUAWEI>

# 检查AS接口下的业务配置是否生成。

说明

V200R009C00及之后版本接入认证的配置,需要在AS上通过命令行display authentication interface interface-type interface-number查看。

<HUAWEI> display current-configuration
......
#
interface Eth-Trunk0
 port link-type hybrid
 port hybrid tagged vlan 1 11
 stp instance 0 cost 200
 traffic-filter outbound acl 4998
 traffic-limit outbound acl 3999 cir 128 pir 128 cbs 16000 pbs 16000
 traffic-statistic outbound acl 3999
 traffic-limit outbound acl 4999 cir 32 pir 32 cbs 4000 pbs 4000
 traffic-statistic outbound acl 4999
 mode lacp
 mad detect mode relay
#
interface GigabitEthernet0/0/1
 stp root-protection
 authentication access-point
 authentication dot1x
#
interface GigabitEthernet0/0/26
 eth-trunk 0
 broadcast-suppression 100
#
......

----结束

配置小结

1.         Parent组建集群时,请根据实际组网需求,选择集群卡方式集群或者业务口方式集群。本例仅以集群卡集群配置进行举例。

2.         配置业务模板并将其绑定至AS的操作,可以在AS上线之前执行,也可以在AS上线之后执行。按照执行的时间,分预配置方式和非预配置方式。无论使用哪种方式,请务必在配置后执行commit as { name as-name | all }提交配置。

           预配置方式:在AS上线接入前预先配置好业务模板并绑定至AS,然后保存Parent的配置,并手动执行命令commit as { name as-name | all }提交配置。这样,在AS上线接入时,业务模板中的配置将自动下发至AS

           非预配置方式:在AS上线接入后再配置业务模板并绑定至AS,然后手动执行命令commit as { name as-name | all }提交配置,使业务模板中的配置下发至AS

3.         在使能SVF功能后,系统会自动开启Parent上的全局STPLLDP功能。SVF系统中STPLLDP功能使用中有如下注意事项:

           全局STPLLDP功能无法关闭,端口的STPLLDP功能可以配置关闭。

           Fabric-port的成员端口、连接AP的端口、AP的上行端口,这三类端口上的LLDP功能不能关闭,否则将导致SVF拓扑异常。

4.         在使能SVF功能后,Parent会自动修改生成树协议为RSTP并配置“stp instance 0 priority 28672”,即生成树实例0的优先级为28672;去使能SVF功能后,实例0的优先级会恢复为缺省值。使能或去使能SVF功能时,生成树协议会重新计算端口的角色并进行状态迁移。此时,端口流量会暂时中断。

5.         SVF中下行Fabric-port绑定的Eth-Trunk会自动配置MAD Relay功能,上行Fabric-port绑定的Eth-Trunk会自动配置MAD检测功能,以实现对堆叠状态的AS进行多主检测。当AS中的从交换机单独**出去时,由于从交换机会自动重启且不保存配置,此时无法检测到多主。

6.         避免通过MIB操作对SVF中自动生成的配置进行修改,例如Fabric-port绑定的Eth-TrunkSTPLLDP配置,以免影响SVF功能。

7.         若在使能SVF功能之前已有AP上线接入了Parent,那么在执行命令uni-mng使能一致性管理功能后Parent将无法收集该AP的拓扑信息。此时需要用户在WLAN视图下执行命令commit { all | ap ap-id }提交AP的配置,这样Parent就可以收集到该AP的拓扑信息。从V200R011C10版本开始,WLAN配置会自动下发,不需要再执行命令commit all提交配置。

8.         AS侧执行部分命令(如patch delete allpatch load filename all [ active | run ])的结果在Parent侧查看时可能会有一定的延时。

9.         SVFAS不支持配置接口允许通过的最大帧长,因此AS上接口最大允许转发的帧长为缺省值9216(包含CRC)。

10.     管理VLAN内部攻击会导致AS下线,需识别攻击源后关闭被攻击的端口或将端口退出管理VLAN

11.     AS下线后,在V200R012C00之前版本,AS设备的下行接口将全部被error down,在V200R012C00及之后版本,为了保证AS设备下行网络可以互通,AS设备的下行接口不再被error down

12.     配置的CAPWAP协商参数会同时应用于SVF系统,为保证SVF系统的CAPWAP通道正常,建议保持CAPWAP的协商参数为默认值。

13.     ASS5700-10P-LIS5700-10P-PWR-LI-ACS2720EI(V200R009C00V200R010C00版本)或者S2750EI设备时,如果设备加入SVF前在系统视图下通过命令assign forward-mode ipv4-hardware使能了IPv4报文三层硬件转发功能,则:

           AS直连Parent的情况下,无法通过协商上线。

           AS跨网络连接Parent的情况下,不允许配置管理VLAN

此时需将设备以单机模式启动后,系统视图下执行命令undo assign forward-mode去使能IPv4报文三层硬件转发功能。

14.     SVF场景下,NAC认证用户认证成功前的网络访问权限支持通过免认证规则授权(authentication free-rule),不支持通过UCL组授权。

15.     SVF不支持内置Portal服务器。

Parent的配置文件(以V200R008C00版本为例)

#
sysname SwitchA
#
vlan batch 11
#
stp mode rstp
stp instance 0 priority 28672
#
lldp enable
#
dhcp enable
#
interface Vlanif11
 ip address 192.168.11.1 255.255.255.0
 dhcp select interface
 dhcp server option 43 ip-address 192.168.11.1
#
interface Eth-Trunk1
 port link-type hybrid
 port hybrid tagged vlan 1 10 to 11
 stp root-protection
 authentication control-point open
 authentication dot1x
 mode lacp
 loop-detection disable
 mad relay
#
interface Eth-Trunk2
 port link-type hybrid
 port hybrid tagged vlan 1 10 to 11
 stp root-protection
 authentication control-point open
 authentication dot1x
 mode lacp
 loop-detection disable
 mad relay
#
interface Eth-Trunk3
 port link-type hybrid
 port hybrid tagged vlan 1 11 20
 stp root-protection
 authentication control-point open
 authentication dot1x
 mode lacp
 loop-detection disable
 mad relay
#
interface GigabitEthernet1/1/0/1
 eth-trunk 1
#
interface GigabitEthernet1/1/0/2
 eth-trunk 2
#
interface GigabitEthernet1/1/0/3
 eth-trunk 3
#
interface GigabitEthernet1/2/0/1
 mad detect mode direct
#
interface GigabitEthernet2/1/0/1
 eth-trunk 1
#
interface GigabitEthernet2/1/0/2
 eth-trunk 2
#
interface GigabitEthernet2/1/0/3
 eth-trunk 3
#
interface GigabitEthernet2/2/0/1
 mad detect mode direct
#
capwap source interface vlanif11
#
wlan
 wlan ap lldp enable
 ap-auth-mode no-auth
 ap id 1 type-id 30 mac 00e0-0001-0005 sn 2102355547W0E3000316
 wlan work-group default
#
as-auth
 whitelist mac-address 00e0-0001-0011
 whitelist mac-address 00e0-0001-0022
 whitelist mac-address 00e0-0001-0033
 whitelist mac-address 00e0-0001-0044
 whitelist mac-address 00e0-0001-0055
#
uni-mng
 as name as1 model S5700-28P-PWR-LI-AC mac-address 00e0-0001-0011    //
检查AS配置以及连接AS的端口配置是否正确
  down-direction fabric-port 4 member-group interface Eth-Trunk 4
  port Eth-Trunk 4 trunkmember interface GigabitEthernet 0/0/23
  port Eth-Trunk 4 trunkmember interface GigabitEthernet 0/0/24
 as name as2 model S5700-28P-PWR-LI-AC mac-address 00e0-0001-0022
 as name as3 model S5700-28P-PWR-LI-AC mac-address 00e0-0001-0033
  down-direction fabric-port 5 member-group interface Eth-Trunk 5
  port Eth-Trunk 5 trunkmember interface GigabitEthernet 0/0/23
  port Eth-Trunk 5 trunkmember interface GigabitEthernet 0/0/24
 as name as4 model S2750-28TP-EI-AC mac-address 00e0-0001-0044
 as name as5 model S2750-28TP-EI-AC mac-address 00e0-0001-0055
 interface fabric-port 1
  port member-group interface Eth-Trunk 1
 interface fabric-port 2
  port member-group interface Eth-Trunk 2
 interface fabric-port 3
  port member-group interface Eth-Trunk 3
 as-admin-profile name admin_profile                //
查看管理员模板配置
  user asuser password %^%#Ky,WNqWh_DZ[(V96yvSEph)VLMc/+U}>]i2:"9n:%^%#
 network-basic-profile name basic_profile_1         //
查看网络基础模板配置
  user-vlan 10
 network-basic-profile name basic_profile_2
  user-vlan 20
 user-access-profile name access_profile            //
查看用户接入模板配置
  authentication dot1x
 as-group name admin_group                //
检查是否创建AS group并与AS管理员模板绑定
  as-admin-profile admin_profile
  as name as1
  as name as2
  as name as3
  as name as4
  as name as5
 port-group name port_group_1              //
检查port-group是否与业务模板绑定,AS对应业务端口是否加入group
  network-basic-profile basic_profile_1
  user-access-profile access_profile
  as name as1 interface GigabitEthernet 0/0/1 to 0/0/24
  as name as2 interface GigabitEthernet 0/0/1 to 0/0/23
  as name as4 interface Ethernet 0/0/1 to 0/0/24
 port-group name port_group_2             //
检查port-group是否与业务模板绑定,AS对应业务端口是否加入group
  network-basic-profile basic_profile_2
  user-access-profile access_profile
  as name as3 interface GigabitEthernet 0/0/1 to 0/0/24
  as name as5 interface Ethernet 0/0/1 to 0/0/24
 port-group connect-ap name ap
  as name as2 interface GigabitEthernet 0/0/24
#
return

 


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
  • x
  • 常规:

点评 回复

小胖子
小胖子  新锐 发表于 2015-4-16 11:11:13 已赞(0) 赞(0)

好好学习一下~~

  • x
  • 常规:

点评 回复

boat_zhang
boat_zhang   发表于 2015-6-2 21:37:29 已赞(0) 赞(0)

谢谢楼主分享!

  • x
  • 常规:

点评 回复

ibm_titan
ibm_titan  新锐 发表于 2015-12-9 10:35:52 已赞(0) 赞(0)

不错,不过为什么要使用STP协议呢?两台Parent已经做了CSS,就没必要起STP了吧。对下联的交换机全部使用ETH-TRUNK口也不需要起STP吧!不明白,请楼主解释!!

  • x
  • 常规:

点评 回复

john_yd
john_yd   发表于 2015-12-9 18:51:14 已赞(0) 赞(0)

了解一下,谢谢分享!

  • x
  • 常规:

点评 回复

交换机在江湖
交换机在江湖 官方号 发表于 2015-12-11 14:11:39 已赞(0) 赞(0)

回复 6 楼

在使能SVF功能后,系统会自动开启Parent上的全局STP功能,并且Parent会自动修改生成树协议为RSTP并配置“stp instance 0 priority 28672”,即生成树实例0的优先级为28672。这样做主要是为了防止Parent下面控制的网络成环。

  • x
  • 常规:

点评 回复

小喆
小喆   发表于 2015-12-4 15:56:04 已赞(0) 赞(0)

好好学习 天天向上

  • x
  • 常规:

点评 回复

北溟鱼
北溟鱼   发表于 2017-10-9 00:16:31 已赞(0) 赞(0)

交换机在江湖 发表于 2015-04-16 10:03 SVF配置操作步骤 1.         配置Parent中的两台交换机组成集群 ...
感谢楼主分享
  • x
  • 常规:

点评 回复

flanker173___
flanker173___   发表于 2019-1-13 20:12:01 已赞(0) 赞(0)

一级AS与Parent之间、二级AS与一级AS之间使用GE光口与XGE光口对接时,需要使用GE光模块,不可以使用XGE光模块。

GE光模块和XGE光模块有什么区别,仅仅是速率的区别嘛?
  • x
  • 常规:

点评 回复

发表回复
您需要登录后才可以回帖 登录 | 注册

警告 内容安全提示:尊敬的用户您好,为了保障您、社区及第三方的合法权益,请勿发布可能给各方带来法律风险的内容,包括但不限于政治敏感内容,涉黄赌毒内容,泄露、侵犯他人商业秘密的内容,侵犯他人商标、版本、专利等知识产权的内容,侵犯个人隐私的内容等。也请勿向他人共享您的账号及密码,通过您的账号执行的所有操作,将视同您本人的行为,由您本人承担操作后果。详情请参看“隐私声明
如果附件按钮无法使用,请将Adobe Flash Player 更新到最新版本!
登录参与交流分享

登录参与交流分享

登录