交换机校园配置.docx

交换机校园配置.docx

《交换机校园配置.docx》由会员分享，可在线阅读，更多相关《交换机校园配置.docx（28页珍藏版）》请在冰豆网上搜索。

交换机校园配置

【交换机在江湖】实战案例三十三校园敏捷网络配置综合案例

发表于:

2015-10-815:

16:

07最新回复：

2015-11-2409:

47:

02

934716

1.1方案简介

校园网发展到现在，承载的业务越发多种多样：

智能移动终端在校园的普及带来访问用户位置多变和无线访问量倍速增长；云计算带来的业务实时性、服务虚拟化；高清视频；社交网络等等，这些都给现有网络部署带来了挑战。

为了解决以上挑战，华为基于SDN思想，把敏捷概念引入园区网络，实现高性能校园核心以及高效无线接入，让网络更敏捷地为业务服务。

敏捷网络中，“灵活+快速”的敏捷交换机替代了传统交换机。

例如，管理员可以“灵活+快速”地配置、管理和维护设备，业务更改时不再需要逐一对单台设备进行配置更改，不再为网络故障而花费长时间定位。

接入用户在敏捷网络中可以“灵活+快速”访问网络，从任意地点使用任意接入方式都可获得相同的网络体验。

下面以某高校校园的敏捷网络部署为例，一起看下敏捷网络给高校园区带来的改变。

1.2组网需求

某高校本部原有网络如图1-1所示，通过核心交换机管理有线用户，通过独立AC管理无线用户。

l  本部园区网络为本部不同区域的用户提供接入及访问Internet的服务，有线采用802.1x认证，无线采用WEB认证。

图中只列出了教学区和办公区的网络规划，其他区域与之相似，未列出。

l  网络中有VOIP电话业务，同时提供网络打印机、多媒体等服务。

l  分校区用户通过Intranet内部网络访问本部园区网络。

l  外部用户通过Internet访问本部园区网络的服务器。

图1-1高校本部园区基本网络（未部署敏捷网络）

目前在现有网络基础上部署业务时遇到以下问题：

l  学校人数逐年增多，庞大的无线终端用户对无线业务需求迫切，由于学校将有线网络和无线网络分开部署，管理困难。

学校希望有线网络和无线网络能够统一部署，简化管理，提升效率。

l  随着学校各类网络业务的发展，接入用户具有高移动性的特点，网络信息安全显得尤其重要。

学校希望实现对接入用户进行角色划分，各类角色用户在自由移动、任意接入的大背景下，业务策略和网络体验能够保持一致。

l  当前学校网络设备众多，业务调整也较为频繁，网络管理员调整业务时需要对每台设备进行配置更改或者版本升级，工作量巨大且繁琐。

学校迫切希望能够对网络接入设备进行集中配置、管理和维护。

l  当网络出现故障时，网络管理员无法快速感知，造成网络故障无法快速解决，给用户体验造成很大影响。

学校希望能实时监控网络质量，降低网络故障的影响。

 学校希望通过部署敏捷网络，从简化部署配置、提高用户体验和提高管理员维护效率这三个角度来解决以上问题。

1.3业务规划

1.3.1网络规划

部署敏捷网络后的组网图如图1-2所示，本部园区的核心层网络由两台敏捷交换机S12708集群组成，下接的汇聚层和接入层交换机S5700LI（原先的核心交换机S7700现在可以替换到汇聚层）都只启用二层转发，同时在校园内因地制宜部署适合数量的AP，由接入层S5700LI连接和管理有线用户和AP，实现校园有线和无线覆盖。

图1-2高校敏捷园区部署组网图

组网图中敏捷园区的各网元角色如图1-2所示，要求如下：

l  核心交换机

敏捷交换机，如果选择框式交换机需要安装X1E单板用于实现有线无线深度融合。

l  汇聚、接入交换机

需要支持敏捷特性SVF（SuperVirtualFabric）时，请参考对应产品手册中的“SVF硬件和软件要求”。

l  AgileController

集成了RADIUS服务器、Portal服务器和业务随行控制服务器功能，可以方便业务调整。

比如用户从不同地点接入时，业务随行控制器可以统一下发权限使用户网络访问权限保持一致。

l  eSight网管系统

提供网络设备管理图形化界面，能够实现界面化配置，使管理更加直观简易。

1.3.2特性规划

敏捷交换机S12708在园区中部署后，可以通过以下敏捷特性，来实现1.2组网需求中学校部署业务时遇到的问题，使网络能快速、灵活地为业务服务。

l  有线无线深度融合——对有线和无线用户进行统一管理，敏捷维护

敏捷交换机作为核心交换机后，由于敏捷交换机业务板内置AC功能，可融合实现AC能力，园区中无线网络的部署不再需要独立的集中控制设备AC或在核心交换机上单独插卡（如ACU2单板），管理员也不需要分别在有线网络和无线网络上，对用户的接入业务进行配置和部署。

管理有线无线两张网络就像管理一台设备一样简单，同时敏捷交换机的交换能力和可扩展性也完全消除了AC设备或AC插卡集中转发的流量瓶颈。

l  业务随行——业务控制如影随行，接入用户体验随身

如1.2组网需求中所示，李老师在一天之中分别从办公区、教学区、图书馆、家属区等区域接入校园网络，在原有网络中获得的访问权限可能不一致，如访问学校的论文数据资源库只能在教学区、办公区和图书馆内进行，在公共区域无法访问。

为了使用户在不同地点接入时获取相同的网络访问权限，敏捷交换机的业务随行方案通过业务随行控制器AgileController，为接入用户集中部署统一的网络访问策略，然后将其下发到所有关联的接入设备，这样不论用户的物理位置以及IP地址如何变化，用户认证通过后均可获得相同的访问策略，在任何地方的网络访问体验一致。

如表1-1所示，以访客、学生和教师三类人群校园的部分用户群为例，在AgileController上部署并下发如下访问策略。

表1-1业务随行策略部署

经过以上配置部署，用户包括李老师在内只要认证通过，符合接入条件，接入网络后权限不变。

l  SVF——“大鱼”（敏捷交换机）喂“小鱼”（汇聚层、接入层设备），汇聚层和接入层配置由敏捷交换机统一下发

敏捷园区网络中的SVF方案体现了网络设备虚拟化的思想，可以同时将核心、汇聚、接入设备全部虚拟为一台交换机，由核心交换机对汇聚、接入设备统一进行管理。

并且，核心交换机通过模板化配置实现对汇聚、接入设备的批量配置，不再需要逐一配置每一台设备。

SVF部署时各角色如表1-2所示，敏捷交换机作为Parent，统一管理所有的接入交换机（AS）和无线接入设备AP，SVF实现了有线、无线用户统一在Parent上进行管理。

表1-2SVF部署

AS设备上的业务全部通过Parent配置，AS和AP设备上的关键状态通过Parent维护。

管理员只需要接入空配置的交换机，即可完成对汇聚、接入交换机的业务配置。

汇聚层和接入层实现了零配置、自动升级和即插即用，简化了管理员的配置、管理和维护工作。

SVF系统最多支持两级AS+一级AP，配合eSight网管的图形化界面使用时，简化管理效果更好。

l  iPCA——网络故障自我质量感知，实时给敏捷网络把脉

部署了iPCA特性的敏捷交换机可以对网络丢包率进行实时监测，丢包统计方式如表1-3所示。

在链路质量出现问题时系统能快速感知故障，并第一时间通过告警等方式告知管理员。

iPCA让网络感知业务质量，能够减少网络故障造成的影响，同时配合eSight网管系统还可以实现图形化智能显示网络丢包，方便管理员监控网络质量。

表1-3iPCA部署

在园区中部署敏捷特性时，需要注意设备的版本支持情况，如表1-4所示。

表1-4适用版本与注意事项

1.3.3数据规划

敏捷园区基本组网

我们通过简化后的基本配置组网来代替之前高校敏捷园区部署的组网图，来介绍敏捷特性的部署，这里仅列出教学区1区和图书馆两个区域的组网，如图1-3所示。

图1-3校园敏捷园区基本组网

根据以上组网，相关数据规划如表1-5和表1-6所示。

表1-5设备数据规划

表1-6VLAN数据规划

1.4配置步骤

以下配置中只介绍与敏捷特性相关的配置，其他基本配置如路由互通等业务在此不作介绍。

SVF配置步骤

配置AS连接Parent。

1.        配置Parent中的两台交换机组成集群系统。

相关配置请参考产品文档。

2.        登录集群系统并使能SVF功能。

system-view

[HUAWEI]vlanbatch11

[HUAWEI]dhcpenable //通过DHCPServer功能使AS从Parent获取IP地址

[HUAWEI]interfacevlanif11

[HUAWEI-Vlanif11]ipaddress192.168.11.124

[HUAWEI-Vlanif11]dhcpselectinterface

[HUAWEI-Vlanif11]dhcpserveroption43ip-address192.168.11.1 //将Parent的IP地址发送给AS，使AS只会与指定的IP地址建立CAPWAP链路

[HUAWEI-Vlanif11]quit

[HUAWEI]capwapsourceinterfacevlanif11 //Parent和AS之间建立CAPWAP链路

[HUAWEI]authenticationunified-mode //将NAC配置模式切换成统一模式

HUAWEI]stpmoderstp //在使能SVF功能时，工作模式必须为STP或RSTP模式

[HUAWEI]uni-mng //使能SVF功能并进入uni-mng视图

Warning:

Thisoperationwillenabletheuni-mngmodeanddisconnectallASs.STPcalculationmaybetriggeredandservicetrafficwillbeaffected.Continue?

[Y/N]:

y

在使能SVF功能时，系统当前及下次启动生效的NAC配置模式必须为统一模式。

用户可以通过命令displayauthenticationmode查看当前及下次启动生效的NAC配置模式，如果不是统一模式，则需要配置为统一模式。

传统模式与统一模式相互切换后，必须重启设备，新配置模式的各项功能才能生效。

缺省情况下，NAC配置模式为统一模式。

3.        配置AS的接入参数。

#配置各AS的名称，指定其设备型号和管理MAC。

[HUAWEI-um]asnameas1modelS5700-52X-PWR-LI-ACmac-address0200-0000-0011

[HUAWEI-um-as-as1]quit

[HUAWEI-um]asnameas2modelS5700-52X-PWR-LI-ACmac-address0200-0000-0022

[HUAWEI-um-as-as2]quit

[HUAWEI-um]asnameas3modelS5700-28X-PWR-LI-ACmac-address0200-0000-0033

[HUAWEI-um-as-as3]quit

#配置Parent连接一级AS（AS_1和AS_2）的Fabric-port。

此处以配置Parent连接AS_1的Fabric-port为例，Parent连接AS_2的过程略。

[HUAWEI-um]interfacefabric-port1

[HUAWEI-um-fabric-port-1]portmember-groupinterfaceeth-trunk1

[HUAWEI-um-fabric-port-1]quit

[HUAWEI-um]quit

[HUAWEI]interfacegigabitethernet1/1/0/1

[HUAWEI-GigabitEthernet1/1/0/1]eth-trunk1

[HUAWEI-GigabitEthernet1/1/0/1]quit

[HUAWEI]interfacegigabitethernet2/1/0/1

[HUAWEI-GigabitEthernet2/1/0/1]eth-trunk1

[HUAWEI-GigabitEthernet2/1/0/1]quit

#配置一级AS（AS_1）连接二级AS（AS_3）的Fabric-port。

[HUAWEI]uni-mng

[HUAWEI-um]asnameas1

[HUAWEI-um-as-as1]down-directionfabric-port4member-groupinterfaceeth-trunk4

[HUAWEI-um-as-as1]porteth-trunk4trunkmemberinterfacegigabitethernet0/0/23to0/0/24

[HUAWEI-um-as-as1]quit

[HUAWEI-um]quit

#配置AS上线接入时进行白名单认证。

[HUAWEI]as-auth

[HUAWEI-as-auth]undoauth-mode

[HUAWEI-as-auth]whitelistmac-address0200-0000-0011

[HUAWEI-as-auth]whitelistmac-address0200-0000-0022

[HUAWEI-as-auth]whitelistmac-address0200-0000-0033

[HUAWEI-as-auth]quit

[HUAWEI]quit

4.        清空AS的配置并重启AS，然后连接AS与Parent之间的线缆，SVF即可建立。

AS连接Parent时要求必须为空配置（无启动配置文件）且Console口无输入。

#清空AS的配置并重启（此过程持续5分钟，保证Console口不能有输入。

如果AS为空配置时可不用重启，直接连接即可。

）

resetsaved-configuration

Warning:

Theactionwilldeletethesavedconfigurationinthedevice.

Theconfigurationwillbeerasedtoreconfigure.Continue?

[Y/N]:

y

#连接线缆后，执行命令displayasall查看各AS是否成功上线接入。

displayasall

------------------------------------------------------------------------------

No.  Type      Mac           IP             State           Name

------------------------------------------------------------------------------

0    S5700-52X-PWR-LI-AC0200-0000-0011192.168.11.254 normal         as1

1    S5700-52X-PWR-LI-AC0200-0000-0022192.168.11.253 normal         as2

2    S5700-28X-PWR-LI-AC0200-0000-0033192.168.11.252 normal         as3

------------------------------------------------------------------------------

Total:

3

配置AP连接AS。

此处以AP_1连接AS_3为例。

AP_2连接AS_2不做介绍。

1.        创建网络基础模板，其中pass-vlan供AP下挂的移动终端使用。

system-view

[HUAWEI]uni-mng

[HUAWEI-um]network-basic-profilenameprofile_ap

[HUAWEI-um-net-basic-profile_ap]pass-vlan202

[HUAWEI-um-net-basic-profile_ap]quit

2.        配置AS连接AP的端口加入APPortGroup。

[HUAWEI-um]port-groupconnect-apnamegroup_ap

[HUAWEI-um-portgroup-group_ap]network-basic-profileprofile_ap

[HUAWEI-um-portgroup-group_ap]asnameas3interfacegigabitethernet0/0/24

[HUAWEI-um-portgroup-group_ap]quit

[HUAWEI-um]commitasall

Warning:

Committingtheconfigurationwilltakealongtime.Continue?

[Y/N]:

y

[HUAWEI-um]quit

3.        配置AP接入参数。

#配置AP的ID。

[HUAWEI]wlan

[HUAWEI-wlan-view]apid1ap-typeap5010dn-agnmacac85-3da6-a420

[HUAWEI-wlan-ap-1]quit

#配置对AP上线接入时不需要进行认证。

[HUAWEI-wlan-view]ap-auth-modeno-auth

[HUAWEI-wlan-view]quit

4.        将AP上电并连接AP与AS之间的线缆。

#连接线缆后，执行命令displayapall查看AP是否成功上线接入。

[HUAWEI]displayapall

AllAP（s）information:

Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]

Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]

------------------------------------------------------------------------------

AP   AP              AP             Profile  AP             AP

                                      /Region

ID   Type            MAC            ID       State          Sysname

------------------------------------------------------------------------------

1    AP5010DN-AGN    ac85-3da6-a420   0/0    normal        ap-1

------------------------------------------------------------------------------

Totalnumber:

1,printed:

1

配置PC接入AS。

此处以PC_1接入AS_3为例，PC_2接入AS_2不做介绍。

1.        创建网络基础模板和用户接入模板。

[HUAWEI]uni-mng

[HUAWEI-um]network-basic-profilenameprofile_1

[HUAWEI-um-net-basic-profile_1]user-vlan100

[HUAWEI-um-net-basic-profile_1]quit

[HUAWEI-um]user-access-profilenamepro1

[HUAWEI-um-user-access-pro1]authenticationdot1x

[HUAWEI-um-user-access-pro1]quit

2.        创建Group并绑定之前创建的模板。

[HUAWEI-um]port-groupnamegroup1

[HUAWEI-um-portgroup-group1]network-basic-profileprofile_1

[HUAWEI-um-portgroup-group1]user-access-profilepro1

[HUAWEI-um-portgroup-group1]asnameas3interfaceGigabitEthernet0/0/23

[HUAWEI-um]commitasnameas3

[HUAWEI-um]quit

3.        配置PC接入配置。

[HUAWEI]aaa

[HUAWEI-aaa]authentication-schemesch1

[HUAWEI-aaa-authen-shc1]authentication-modenone

[HUAWEI-aaa-authen-shc1]quit

[HUAWEI-aaa]domainpc

[HUAWEI-aaa-domain-pc]authentication-schemesch1

[HUAWEI-aaa-domain-pc]quit

[HUAWEI-aaa]quit

4.        用户上线后查看用户上线情况

若动态配置，最好让业务端口shutdown再undoshutdown一下，以让有线用户重新上一下线。

用户上线后可以通过执行displayaccess-user命令查看用户是否上线。

[HUAWEI]uni-mng

[HUAWEI-um]asnameas3

[HUAWEI-um-as-as3]shutdowninterfacegigabitethernet0/0/23

[HUAWEI-um-as-as3]undoshutdowninterfacegigabitethernet0/0/23

[HUAWEI-um-as-as3]quit

[HUAWEI-um]quit

业务随行配置步骤

1.        创建并配置RADIUS服