huawei 0123业务随行和业务编排典型配置Word格式.docx
《huawei 0123业务随行和业务编排典型配置Word格式.docx》由会员分享,可在线阅读,更多相关《huawei 0123业务随行和业务编排典型配置Word格式.docx(61页珍藏版)》请在冰豆网上搜索。
研发部门员工访问FTP服务器的数据流必须先经过防火墙进行安全检测。
如果防火墙设备发生故障,研发部门员工不能访问FTP服务器。
图23-2
M公司组网
数据规划
表23-1
用户和资源的IP地址规划
用户和资源
IP地址
研发部门员工A
10.85.100.11
研发部门员工B
10.85.100.12
研发部门员工C
10.85.100.13
研发部门员工D
10.85.100.14
研发部门员工E
10.85.100.15
FTP服务器
10.85.10.2
Controller
10.85.10.3
SwitchA
10.85.10.5
NGFW
10.85.10.6
表23-2
业务流规划
序号
协议
源IP/掩码长度
源端口
目的IP/掩码长度
目的端口
1
TCP
10.85.100.11/32
22
10.85.10.2/32
21
2
10.85.100.12/32
3
10.85.100.13/32
4
10.85.100.14/32
5
10.85.100.15/32
表23-3
设备参数规划
设备
配置
交换机
与防火墙直连的接口:
接口名称:
GigabitEthernet1/0/1
Vlan:
Vlan100
IP地址:
10.85.10.5/24
LoopBack100:
10.7.2.1/32
LoopBack101:
10.7.2.2/32
XMPP连接密码:
Admin@123
防火墙
与交换机直连的接口:
安全区域:
trust
10.85.10.6/24
10.6.2.1/32
10.6.2.2/32
Radius共享密钥:
Radius@123
配置思路
具体配置思路如下:
在交换机和防火墙上配置基本参数。
在交换机和防火墙上配置XMPP协议参数,以便在Controller上添加交换机和防火墙设备。
在交换机和防火墙上配置各接口的地址和静态路由,实现网络中各设备之间能够互通。
说明:
需要保证配置的Loopback编号在设备中是最大的,本文使用的是100和101。
在Controller上通过XMPP协议添加交换机和防火墙设备。
在Controller上配置业务流,通过ACL规则实现仅研发部门员工访问FTP服务器。
在Controller上配置IP地址池和业务链资源,实现交换机和防火墙之间GRE隧道的建立。
IP地址池不能包含网络中正在使用的IP地址。
在Controller上编排并部署业务链,实现对访问FTP服务器的数据的重定向,先经过防火墙,再访问FTP服务器。
操作步骤
在交换机上配置各接口地址,静态路由和XMPP连接参数等基本参数。
<
HUAWEI>
system-view
[HUAWEI]sysnameSwitchA
[SwitchA]vlanbatch100
[SwitchA]interfacegigabitethernet1/0/1
[SwitchA-GigabitEthernet1/0/1]portlink-typetrunk
[SwitchA-GigabitEthernet1/0/1]porttrunkallow-passvlan100
[SwitchA-GigabitEthernet1/0/1]quit
[SwitchA]interfacevlanif100
[SwitchA-Vlanif100]ipaddress10.85.10.524
[SwitchA-Vlanif100]quit
[SwitchA]interfaceLoopBack100
[SwitchA–LoopBack100]ipaddress10.7.2.1255.255.255.255
[SwitchA–LoopBack100]quit
[SwitchA]interfaceLoopBack101
[SwitchA–LoopBack101]ipaddress10.7.2.2255.255.255.255
[SwitchA–LoopBack101]quit
[SwitchA]iproute-static10.6.2.1255.255.255.25510.85.10.6
[SwitchA]iproute-static10.6.2.2255.255.255.25510.85.10.6
[SwitchA]group-policycontroller10.85.10.3passwordAdmin@123src-ip10.85.10.5
在防火墙上配置各接口地址,静态路由和XMPP连接参数等基本参数。
配置接口IP地址和安全区域,完成网络基本参数配置。
选择“网络
>
接口”。
单击GE1/0/1对应的,按如下参数配置。
安全区域
IPv4
配置RADIUS服务器。
选择“对象
认证服务器
RADIUS”。
单击“新建”,按如下参数配置。
此处设置的参数必须与RADIUS服务器的参数保持一致,共享密钥为“Radius@123”。
单击“确定”。
开启防火墙的敏捷网络功能。
选择“系统
敏捷网络配置”。
勾选“敏捷网络功能”对应的“启用”。
配置与Controller的对接参数。
“Controller主服务器IP”参数后面的状态显示为“已连接”,表示防护墙与AgileController对接成功。
在业务编排场景中,由于防火墙要配置内容安全检测功能,因此“安全策略配置”必须选择为“手工配置”。
在防火墙上配置两个Loopback接口。
您需要登录设备CLI控制台来完成该配置步骤。
单击界面右下方的。
在“CLI控制台(未连接)”对话框中单击鼠标左键,连接设备CLI控制台。
连接成功后,配置如下命令。
sysname>
sysnameNGFW
[NGFW]interfaceLoopBack100
[NGFW-LoopBack100]ipaddress10.6.2.1255.255.255.255
[NGFW-LoopBack100]quit
[NGFW]interfaceLoopBack101
[NGFW-LoopBack101]ipaddress10.6.2.2255.255.255.255
[NGFW-LoopBack101]quit
[NGFW]iproute-static10.7.2.1255.255.255.25510.85.10.5
[NGFW]iproute-static10.7.2.2255.255.255.25510.85.10.5
在Controller上添加交换机和防火墙设备。
在主菜单中选择“资源
设备
设备管理”。
单击“增加”。
设置添加设备的参数。
添加交换机和防火墙的参数设置如图23-3和图23-4所示。
“密码”为在设备上配置的通信密码“Admin@123”。
图23-3
添加交换机设备的参数设置
图23-4
添加防火墙设备的参数设置
配置业务流。
在主菜单中选择“策略
业务链编排
业务流定义”。
设置业务流参数。
参数设置如图23-5所示。
图23-5
业务流参数设置
配置IP地址池。
IP地址池”。
名称设置为“10.10.192.0”,IP地址设置为“10.10.192.0”,掩码长度设置为“24”。
图23-6
IP地址池参数设置
配置业务链资源。
业务链资源”。
在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。
在左侧“业务设备”区域选择“NGFW”,拖拽至右侧的“防火墙”节点上。
在左侧“地址池”区域选择“10.10.192.0”。
图23-7
业务链资源参数设置
单击“保存”,在弹出的提示框中单击“是”。
编排并部署业务链。
业务链编排”。
在左侧“业务流”区域选择“User_to_Datacenter”,拖拽至右侧的“业务流”节点上。
将“NGFW”设备拖拽至上方的防火墙节点上。
在左侧“链异常处理方式”区域选择“阻断”。
图23-8
业务链编排参数设置
验证配置结果。
#在Controller上查看交换机和防火墙之间的隧道是否建立成功。
业务链资源下发后的隧道信息如图23-9所示。
图23-9
隧道部署结果详情
#在交换机上通过命令displayaclall能够看到业务流规则成功下发。
[SwitchA]displayaclall
TotalnonemptyACLnumberis1
AdvancedACLS_ACL_20140401153202_B3E03998,5rules
Acl'
sstepis5
rule5permittcpsource10.85.100.110source-porteq22destination10.85.1
0.20destination-porteq21(match-counter0)
rule10permittcpsource10.85.100.120source-porteq22destination10.85.
10.20destination-porteq21(match-counter0)
rule15permittcpsource10.85.100.130source-porteq22destination10.85.
rule20permittcpsource10.85.100.140source-porteq22destination10.85.
rule25permittcpsource10.85.100.150source-porteq22destination10.85.
#在交换机上通过命令displaycurrent-configuration|includetraffic-redirect能够看到业务编排配置成功下发。
[SwitchA]displaycurrent-configuration|includetraffic-redirect
traffic-redirectinboundaclnameS_ACL_20140401153202_B3E03998interfaceTunnel16370
[SwitchA]interfaceTunnel16370
[SwitchA-Tunnel16370]displaythis
#
interfaceTunnel16370
descriptionController_S_from_10.6.2.1
ipaddress10.10.192.5255.255.255.0
tunnel-protocolgre
keepaliveperiod1
source10.7.2.1
destination10.6.2.1
traffic-filterinboundaclnameS_ACL_20140401153202_B3E03998
return
配置文件
SwitchA的配置文件
sysnameSwitchA
vlanbatch100
group-policycontroller10.85.10.3password%#%#FG9.7h,|j$2'
c2$LRG%N#lBU;
3_^;
AVo,7)"
f%^M%#%#src-ip10.85.10.5
interfaceVlanif100
ipaddress10.85.10.5255.255.255.0
interfaceLoopBack100
ipaddress10.7.2.1255.255.255.255
interfaceLoopBack101
ipaddress10.7.2.2255.255.255.255
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkallow-passvlan100
23.2
配置在用户物理位置变化时部署业务随行示例(V200R006C00、V200R007C00、V200R008C00)
业务随行简介
在企业网络中,为实现用户不同的网络访问需求,可在接入设备上为用户部署不同的网络访问策略。
但随着企业网络移动化、BYOD等技术的应用,用户的物理位置以及IP地址变化愈加频繁,这就使得原有基于物理端口、IP地址的网络控制方案很难满足用户网络访问体验一致性的需求(譬如网络访问权限不随用户物理位置变化而变化)。
业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。
业务随行解决方案需要交换机设备和AgileController-Campus配合使用。
管理员仅需在AgileController-Campus上统一为用户部署网络访问策略,然后将其下发到所有关联的交换机设备即可满足不管用户的物理位置以及IP地址如何变化,都可以使其获得相同的访问策略。
业务随行仅在NAC统一配置模式下支持。
适用的产品和版本如下表所示:
表23-4
适用的产品和版本
软件版本
产品形态
V200R006C00、V200R007C00、V200R008C00版本
S5720HI、S7700、S9700支持,其余形态均不支持。
如核心交换机曾经与其他AgileController-Campus配置过业务随行,请执行如下步骤清除历史数据后再重新配置。
在系统视图执行undogroup-policycontroller命令,去使能业务随行功能,断开与AgileController-Campus的联动。
执行undoaclall命令清除访问权限控制策略。
执行undoucl-groupipall命令清除安全组绑定的IP地址信息。
执行undoucl-groupall命令清除安全组。
退出到用户视图执行save命令保存,自动清除之前部署的版本号。
企业员工采用有线和无线方式接入,以802.1x或者Portal方式认证。
由于员工办公地点不固定,希望无论在何处认证通过后获取同样的权限。
图23-10
组网图
需求分析
如图23-10所示,认证点为支持敏捷特性的核心交换机coreswitch(带随板AC),接入交换机为普通交换机。
在核心交换机上配置802.1x认证和Portal认证,有线用户和无线用户在核心交换机认证通过后可以接入网络。
通过配置业务随行功能,无论用户在哪里接入都将获得同样的权限和体验,实现权限随行和体验随行。
表23-5
网络数据规划
项目
数据
说明
VLAN规划
ID:
11
192.168.11.254/24
与AgileController-Campus通信VLAN。
12
192.168.12.254/24
与AP之间的业务管理VLAN。
13
192.168.13.254/24
无线接入业务VLAN。
14
192.168.14.254/24
有线接入业务VLAN。
核心交换机(coreswitch)
接口编号:
GE1/0/11
允许通过VLANID:
允许已规划的VLAN通过。
GE1/0/12
12、14
允许有线接入的业务VLAN和AP的管理VLAN通过。
接入交换机
GE0/0/1
与核心交换机coreswitch的GE1/0/12接口连接。
GE0/0/3
有线接入接口,允许有线接入的业务VLAN通过。
GE0/0/5
无线接入接口,允许AP的管理VLAN通过。
服务器
AgileController-Campus:
192.168.11.1
SM和SC安装在同一台服务器。
RADIUS服务器和Portal服务器包含在SC。
邮件服务器1:
192.168.11.100
邮件服务器2:
192.168.11.101
-
DNS服务器:
192.168.11.200
–
表23-6
业务数据规划
RADIUS认证服务器:
端口号:
1812
RADIUS共享密钥:
AgileController-Campus的业务控制器集成了RADIUS服务器和Portal服务器,所以认证服务器、计费服务器和Portal服务器的IP地址都为业务控制器的IP地址。
配置RADIUS计费服务器,以便获取终端用户的上下线信息。
认证服务器和计费服务器的端口号必须与RADIUS服务器的认证端口和计费端口一致。
在AgileController-Campus中RADIUS认证和计费端口固定为1812和1813,Portal服务器端口固定为50200。
RADIUS计费服务器:
1813
计费周期:
15分钟
Portal服务器:
50200
共享密钥:
XMPP密码:
与AgileController-Campus配置一致。
AgileController-Campus
核心交换机IP地址:
192.168.11.254
VLANIF11的IP地址。
RADIUS参数:
设备系列:
华为Quidway系列
RADIUS认证密钥:
RADIUS计费密钥:
实时计费周期(分钟):
15
与核心交换机上配置的一致。
Portal参数:
端口:
2000
Portal密钥:
接入终端IP地址列表
无线:
192.168.13.0/24
有线:
192.168.14.0/24
与核心交换机配置一致。
部门:
员工
假设ROOT下面已存在“员工”部门,本举例对“员工”部门配置业务随行。
安全组:
员工组
邮件服务器:
在授权中将员工部门授权给员工组。
认证后域
邮件服务器
员工认证通过后可以访问邮件服务器。
认证前域
DNS服务器
员工认证通过前能够
升级会员 