CloudCampus解决方案FAQ.docx
《CloudCampus解决方案FAQ.docx》由会员分享,可在线阅读,更多相关《CloudCampus解决方案FAQ.docx(15页珍藏版)》请在冰豆网上搜索。
![CloudCampus解决方案FAQ.docx](https://file1.bdocx.com/fileroot1/2022-10/24/7ae85362-e620-43ff-9d3e-24bb28dcc4b8/7ae85362-e620-43ff-9d3e-24bb28dcc4b81.gif)
CloudCampus解决方案FAQ
CloudCampus解决方案FAQ
【业务随行相关问题】
1.业务随行功能对交换机板卡有要求吗?
答复:
上一代ENP芯和新一代Solar芯的交换机,可支持业务随行能力。
2.控制器和交换机产品间IP-Group同步机制是什么?
答复:
具体流程查看下图:
什么是IP-Group同步?
IP-Group同步将交换机的认证和策略执行分离。
通过NCE-Campus的IP-Group同步机制,将整网的用户策略(IP地址与安全组的对应关系)推送到策略执行点,从而让用户可以在网络中任意位置认证,也可以在任意位置执行同样的访问控制策略。
尤其是可以在第三方交换机上实现认证接入,在华为的园区交换机上实现策略执行,这样实现混合组网下的统一用户组策略执行。
IP-Group同步的步骤是:
NCE-Campus通过http2.0协议向交换机同步IP地址和安全组的映射信息。
每一条IP-Group信息包括:
IP地址和安全组关联关系。
3.业务随行支持IP-Group能力后,策略执行点在哪个设备上?
答复:
整个网络中凡是支持业务随行的交换机,均可作为策略执行点,比较灵活。
推荐将策略执行点设置在能够控制住所有流量访问的关键节点。
具体策略执行点在哪个设备,需要基于项目的组网设计。
●如果采用独立AC,核心交换机需作为策略执行点,实现有线无线业务随行。
●如果采用“随板AC”,具备“随板AC”功能的交换机可作为策略执行点。
这可以是接入、汇聚或核心交换机。
如果采用接入交换机做用户网关,建议选择S57XX-H系列的交换机款型。
4.业务随行支持IP-Group后,策略执行点可以放在非核心交换机上,那规格上面是否有限制?
答复:
业务随行支持IP-Group同步后,NCE-Campus会实时向配置了IP-Group同步的交换机同步IP-Group信息。
交换机的IP-Group将会占用FIB的规格。
S57-H/S67-H的FIB表项最少192K最多512K,如果它是接入交换机,这个规格将足够IP-Group使用,因为接入交换机的FIB不会占用太多表项。
5.业务随行是否依赖VXLAN网络?
答复:
不依赖。
无论是否采用VXLAN组网,都可以支持业务随行。
非VXLAN组网,通过IP-Group同步机制让非网关交换机作为策略执行点,从而实现跨L3用户网关组网的整网业务随行。
6.第三方交换机混合组网时的业务随行,流程是如何的?
策略执行点在哪里?
答复:
第三方交换机混合组网时,第三方交换机作为用户认证网关,NCE-Campus是Radius服务器,两者可对接认证功能。
华为交换机开启IP-Group同步,从NCE-Campus获取IP-Group信息,并作为策略执行点。
7.没有独立AC或随板AC的多分支云管理场景,是否支持业务随行?
有什么要求?
场景说明:
有总部和多分支,多分支的无线AP通过iMasterNCE-Campus云管理,本地没有独立AC或随板AC。
客户需要跨总部和分支间访问的业务随行。
答复:
支持。
要求分支有支持业务随行特性的交换机。
此交换机作为分支用户的网关,转发所有有线、无线用户的流量,同时订阅IP-Group同步服务,可以实现此分支与总部、其它分支之间的业务随行。
如果分支没有交换机,只有AP,将无法使能分支用户的业务随行功能。
【认证接入相关问题】
8.控制器是否支持与第三方厂商设备的混合认证?
答复:
支持。
和第三方厂商的混合认证,功能继承自AgileController-CampusV100R003,支持和第三方产商的设备认证对接,支持802.1x认证、CMCCPortal认证,TACACS认证,其中和思科设备对接这块的能力较1.0进行了增强,支持DACL、CWAPortal认证。
9.NCE-Campus对接多个AD域,限制条件是什么?
答复:
限制条件:
●NCE-Campus中需配置DNS服务器的地址,然后页面上直接增加多个AD域
●DNS服务器能和多个AD域联通
●DNS服务器中配置多个AD域的srv记录及域名解析
●多个AD域之间不需要联通关系
备注:
(1)SRV记录是DNS服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了哪个服务的信息。
(2)DNS服务器可以使用其中一个AD域中的DNS服务器替代,条件不变,仍然是需要配置多个AD域的srv记录、域名解析及网络联通
10.NCE-Campus的终端安全功能如何?
答复:
iMasterNCE-CampusV300R020C00版本已支持和其他厂家配合完成终端安全检查,目前已对接的第三方厂家为:
IVANTI(海外)、奇安信(国内),其他厂家可通过通用接口对接(华为侧提供接口文档,第三方厂家根据文档提供对应接口对接即可)。
11.终端识别支持哪些方式?
和第三方设备对接情况如何?
答复:
终端识别有如下6种识别技术。
详细信息后续在技术主打胶片中阐述。
类型
识别技术
技术说明
适用场景
信息上报
MACOUI
MAC地址前三字节用于表示厂商
各种设备
HTTPUserAgent
浏览器UserAgent信息中包含厂商、终端类型、操作系统、浏览器等信息
手机、平板、工作站
音视频智能终端,如电视棒
DHCPOption
终端DHCP报文的部分属性可用于终端分类,常用属性有55、60、12
手机、平板型号、工作站、哑终端
LLDP
链路层设备发现协议,可上报设备型号
IP电话、摄像头、网络设备等
mDNS
mDNS报文含有终端型号信息和业务信息
苹果终端、打印机等
主动扫描
SNMPQuery
通过查询SNMPmib节点中的设备信息相关的节点获取识别信息
网络设备、打印机
对于第三方厂家设备,目前只能做到Portal认证的时候通过HTTPUser-Agent识别,其它技术不支持,识别准确度会下降。
12.AC3.0(CloudCampus@AC-Campus)是否可以升级到NCE-Campus?
答复:
CloudCampus@AC-CampusV300R019C00的所有场景都可以直接升级到iMasterNCE-CampusV300R019C10。
有一种场景需特别注意:
项目之前使用AC3.0(物理网络和虚拟网络管理)+AC1.0(认证)组合的场景下,AC3.0可以升级到NCE-Campus,但是AC1.0不能被NCE-Campus替换,升级后是NCE-Campus(物理网络和虚拟网络管理)+AC1.0(认证)组合。
13.在中大型园区中是否需要种子节点做即插即用?
答复:
是的。
核心交换机提供类似思科称为“种子节点”的作用,通过LLDP发现汇聚、接入交换机和AP,再通过DHCPOption开局方式实现汇聚、接入交换机和AP的即插即用。
核心交换机需要手工配置进行开局。
【VXLAN虚拟网络相关问题】
14.VXLAN网络的单园区多Border组网,多个Border是否可以接相同的外部网络?
答复:
支持。
iMasterNCE-CampusV300R020C00版本已对多Border组网进行加强,已支持全部场景;包括单园区多Border接相同网络、单园区多Border接不同网络、多园区多Border接不同出口网络。
15.多园区互联场景下的VXLAN虚拟网络,支持程度如何?
对WAN网络的要求是什么?
是否有时延指标?
答复:
对于有总部和分支网络的跨WAN的VXLAN互联场景,支持单Fabric组网,不支持多Fabric组网。
采用单Fabric组网,分支必须有唯一出口与总部互联,分支不能有单独的internet出口。
WAN网络推荐采用运营商专线或裸光纤互联,此时没有特别的时延要求。
采用公网的场景,由于丢包导致稳定性不满足要求,不推荐。
请访问智简园区规格清单(请点击访问)的版本场景规格文档,该文档提供给出了基线场景以及各场景的详细功能支持情况。
16.多分支组网中多Fabric(即每个分支一个VxLANFabric),是否支持?
答复:
交换机支持,但是控制器不支持。
多Fabric之间的VxLAN隧道不支持通过控制器配置,需在设备上用命令行手工配置。
17.VXLAN的Fabric是否支持第三方设备混合组网?
答复:
部分节点支持第三方设备。
●Fabric的Edge节点和Border节点不支持第三方设备。
●透传节点支持采用第三方设备。
●接入交换机(非Edge节点)可以采用第三方厂商的交换机,且建议配置端口隔离。
●第三方WLAN设备,在基线场景中不支持。
18.新的AirEngineAP是否支持VXLAN?
答复:
不支持。
但AP作为Fabric的扩展接入节点,加入到虚拟网络中,可以实现有线无线网络的统一Fabric和虚拟网络管理,并且业务发放都是在NCE-Campus中进行。
【智能运维相关问题】
19.智能无线射频调优的仿真反馈功能里的无线点位信息,是不是可以从控制器中同步到NCE-CampusInsight?
答复:
支持。
V1R20C00版本可以从控制器中实时或定期同步无线点位信息到NCE-CampusInsight。
20.同一交换机下有不同认证方式的用户,协议回放中是否支持这种混合认证方式?
答:
部分支持。
支持:
同一交换机的不同端口有不同认证方式的用户。
不支持:
同一交换机的同一端口有不同认证方式的用户。
V1R20C00版本将支持。
R20C00版本更新答复:
V1R20C00版本已经支持这种混合认证方式——同一交换机的同一端口有不同认证方式的用户。
21.NCE-Campus是否支持无线定位功能?
答复:
不支持。
NCE-CampusInsightV1R20C10版本将会支持RSSI无线定位功能。
22.协议回放功能问题:
之前项目测试有线用户认证失败5分钟后,数据才显示出来。
是否有优化?
答复:
有优化。
从有线用户认证失败到协议回放数据显示的时间提升至约为1分钟,具体项目测试视现场网络情况而定。
23.NCE-CampusInsight是否支持第三方设备的智能运维?
答复:
不支持第三方设备的智能运维。
目前业界智能运维都还不支持第三方设备。
NCE-CampusInsightV1R20C10版本规划适配一款第三方的设备,目前还在调研选型中。
24.智能无线射频调优功能是否是自动的,网络管理员是否有感知?
答复:
在NCE-CampusInsight上打开功能开关后,就将自动进行智能无线射频调优,网络管理员无感知。
具体调优是实时调,还是定时调,是在WLAN设备上设置的。
25.东风4S店案例中,调优的数据是否有报告?
答复:
本案例的调优对比测试数据还没有获得客户授权,所以没有可对外的测试报告。
但是我们请权威机构Tolly以华为深圳研究所H2楼栋为例进行了智能无线射频调优的第三方测试,已经在官网发布。
请访问下载:
中文版Tolly报告英文版Tolly报告
26.智能调优中发现的问题,是否都能展示出来,调优过程是否也能展示出来?
答复:
在NCE-CampusInsight中开启大数据调优时,可以在系统中看到识别出的边缘AP,同时根据历史7天数据系统可预测的高负载AP。
调优过程也是可视的,通过CampusInsight可以看具体调优前后的对比,包括:
调优AP的信道、功率、频宽调整前和调整后的数值。
27.是否支持导出有线健康度的检查报告?
答复:
支持。
“有线健康度”页面右上角有“报告导出”按钮。
28.是否支持协议级的状态异常检测?
比如:
OSPF、BGP建联失败。
若不支持,后续版本规划情况?
答复:
不支持。
V1R20C00