huawei0123业务随行和业务编排典型配置.docx
《huawei0123业务随行和业务编排典型配置.docx》由会员分享,可在线阅读,更多相关《huawei0123业务随行和业务编排典型配置.docx(79页珍藏版)》请在冰豆网上搜索。
huawei0123业务随行和业务编排典型配置
huawei01-23业务随行和业务编排典型配置
23.1 通过业务编排完成对指定数据流的引导(框式交换机)
业务编排简介
在典型的园区网中,客户通常在重要业务部门、半信任区DMZ(DemilitarizedZone)、园区出口和数据中心等边界处部署防火墙、反病毒专家系统和应用安全网关等网络增值业务设备。
这种为每个有需求的网络区域部署独立的网络增值业务设备的方案有以下几个缺点:
需要部署的网络增值业务设备过多从而造成投资成本大。
独立为每个有需求的网络部署网络增值业务设备会导致网络增值业务设备的利用率不高,从而造成资源的浪费。
在部署和维护过程中,需要在每台网络增值业务设备上配置各自的业务处理策略,这样会导致部署和维护不便。
图23-1 业务编排方案园区组网图
配置注意事项
目前业务编排解决方案中支持的网络增值业务设备有防火墙、防病毒专家系统和应用安全网关。
业务编排解决方案中各产品的版本配套关系如下表所示。
功能名称
交换机版本
AgileController-Campus的版本
业务编排1.0
V200R006C00、V200R007C00
V100R001
业务编排2.0
V200R008C00及以后版本
V100R002、V100R003
组网需求
研发部门员工能访问FTP服务器,市场部门的员工不能访问FTP服务器。
研发部门员工访问FTP服务器的数据流必须先经过防火墙进行安全检测。
如果防火墙设备发生故障,研发部门员工不能访问FTP服务器。
图23-2 M公司组网
数据规划
表23-1 用户和资源的IP地址规划
用户和资源
IP地址
研发部门员工A
10.85.100.11
研发部门员工B
10.85.100.12
研发部门员工C
10.85.100.13
研发部门员工D
10.85.100.14
研发部门员工E
10.85.100.15
FTP服务器
10.85.10.2
Controller
10.85.10.3
SwitchA
10.85.10.5
NGFW
10.85.10.6
表23-2 业务流规划
序号
协议
源IP/掩码长度
源端口
目的IP/掩码长度
目的端口
1
TCP
10.85.100.11/32
22
10.85.10.2/32
21
2
TCP
10.85.100.12/32
3
TCP
10.85.100.13/32
4
TCP
10.85.100.14/32
5
TCP
10.85.100.15/32
表23-3 设备参数规划
设备
配置
交换机
与防火墙直连的接口:
接口名称:
GigabitEthernet1/0/1
Vlan:
Vlan100
IP地址:
10.85.10.5/24
LoopBack100:
IP地址:
10.7.2.1/32
LoopBack101:
IP地址:
10.7.2.2/32
XMPP连接密码:
Admin@123
防火墙
与交换机直连的接口:
接口名称:
GigabitEthernet1/0/1
安全区域:
trust
IP地址:
10.85.10.6/24
LoopBack100:
IP地址:
10.6.2.1/32
LoopBack101:
IP地址:
10.6.2.2/32
XMPP连接密码:
Admin@123
Radius共享密钥:
Radius@123
配置思路
具体配置思路如下:
在交换机和防火墙上配置基本参数。
在交换机和防火墙上配置XMPP协议参数,以便在Controller上添加交换机和防火墙设备。
在交换机和防火墙上配置各接口的地址和静态路由,实现网络中各设备之间能够互通。
说明:
需要保证配置的Loopback编号在设备中是最大的,本文使用的是100和101。
在Controller上通过XMPP协议添加交换机和防火墙设备。
在Controller上配置业务流,通过ACL规则实现仅研发部门员工访问FTP服务器。
在Controller上配置IP地址池和业务链资源,实现交换机和防火墙之间GRE隧道的建立。
说明:
IP地址池不能包含网络中正在使用的IP地址。
在Controller上编排并部署业务链,实现对访问FTP服务器的数据的重定向,先经过防火墙,再访问FTP服务器。
操作步骤
在交换机上配置各接口地址,静态路由和XMPP连接参数等基本参数。
system-view
[HUAWEI]sysnameSwitchA
[SwitchA]vlanbatch100
[SwitchA]interfacegigabitethernet1/0/1
[SwitchA-GigabitEthernet1/0/1]portlink-typetrunk
[SwitchA-GigabitEthernet1/0/1]porttrunkallow-passvlan100
[SwitchA-GigabitEthernet1/0/1]quit
[SwitchA]interfacevlanif100
[SwitchA-Vlanif100]ipaddress10.85.10.524
[SwitchA-Vlanif100]quit
[SwitchA]interfaceLoopBack100
[SwitchA–LoopBack100]ipaddress10.7.2.1255.255.255.255
[SwitchA–LoopBack100]quit
[SwitchA]interfaceLoopBack101
[SwitchA–LoopBack101]ipaddress10.7.2.2255.255.255.255
[SwitchA–LoopBack101]quit
[SwitchA]iproute-static10.6.2.1255.255.255.25510.85.10.6
[SwitchA]iproute-static10.6.2.2255.255.255.25510.85.10.6
[SwitchA]group-policycontroller10.85.10.3passwordAdmin@123src-ip10.85.10.5
在防火墙上配置各接口地址,静态路由和XMPP连接参数等基本参数。
配置接口IP地址和安全区域,完成网络基本参数配置。
选择“网络 > 接口”。
单击GE1/0/1对应的
,按如下参数配置。
安全区域
trust
IPv4
IP地址
10.85.10.6/24
配置RADIUS服务器。
选择“对象 > 认证服务器 > RADIUS”。
单击“新建”,按如下参数配置。
此处设置的参数必须与RADIUS服务器的参数保持一致,共享密钥为“Radius@123”。
单击“确定”。
开启防火墙的敏捷网络功能。
选择“系统 > 敏捷网络配置”。
勾选“敏捷网络功能”对应的“启用”。
配置与Controller的对接参数。
“Controller主服务器IP”参数后面的状态显示为“已连接”,表示防护墙与AgileController对接成功。
说明:
在业务编排场景中,由于防火墙要配置内容安全检测功能,因此“安全策略配置”必须选择为“手工配置”。
在防火墙上配置两个Loopback接口。
说明:
您需要登录设备CLI控制台来完成该配置步骤。
单击界面右下方的
。
在“CLI控制台(未连接)”对话框中单击鼠标左键,连接设备CLI控制台。
连接成功后,配置如下命令。
sysnameNGFW
[NGFW]interfaceLoopBack100
[NGFW-LoopBack100]ipaddress10.6.2.1255.255.255.255
[NGFW-LoopBack100]quit
[NGFW]interfaceLoopBack101
[NGFW-LoopBack101]ipaddress10.6.2.2255.255.255.255
[NGFW-LoopBack101]quit
[NGFW]iproute-static10.7.2.1255.255.255.25510.85.10.5
[NGFW]iproute-static10.7.2.2255.255.255.25510.85.10.5
在Controller上添加交换机和防火墙设备。
在主菜单中选择“资源 > 设备 > 设备管理”。
单击“增加”。
设置添加设备的参数。
“密码”为在设备上配置的通信密码“Admin@123”。
图23-3 添加交换机设备的参数设置
图23-4 添加防火墙设备的参数设置
配置业务流。
在主菜单中选择“策略 > 业务链编排 > 业务流定义”。
单击“增加”。
设置业务流参数。
图23-5 业务流参数设置
配置IP地址池。
在主菜单中选择“策略 > 业务链编排 > IP地址池”。
单击“增加”。
名称设置为“10.10.192.0”,IP地址设置为“10.10.192.0”,掩码长度设置为“24”。
图23-6 IP地址池参数设置
单击“确定”。
配置业务链资源。
在主菜单中选择“策略 > 业务链编排 > 业务链资源”。
单击“增加”。
在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。
在左侧“业务设备”区域选择“NGFW”,拖拽至右侧的“防火墙”节点上。
在左侧“地址池”区域选择“10.10.192.0”。
图23-7 业务链资源参数设置
单击“保存”,在弹出的提示框中单击“是”。
编排并部署业务链。
在主菜单中选择“策略 > 业务链编排 > 业务链编排”。
单击“增加”。
在左侧“业务流”区域选择“User_to_Datacenter”,拖拽至右侧的“业务流”节点上。
在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。
将“NGFW”设备拖拽至上方的防火墙节点上。
在左侧“链异常处理方式”区域选择“阻断”。
图23-8 业务链编排参数设置
单击“保存”,在弹出的提示框中单击“是”。
验证配置结果。
#在Controller上查看交换机和防火墙之间的隧道是否建立成功。
图23-9 隧道部署结果详情
#在交换机上通过命令displayaclall能够看到业务流规则成功下发。
[SwitchA]displayaclall
TotalnonemptyACLnumberis1
AdvancedACLS_ACL_20140401153202_B3E03998,5rules
Acl'sstepis5
rule5permittcpsource10.85.100.110source-porteq22destination10.85.1
0.20destination-porteq21(match-counter0)
rule10permittcpsource10.85.100.120source-porteq22destination10.85.
10.20destination-porteq21(match-counter0)
rule15permittcpsource10.85.100.130source-porteq22destination10.85.
10.20destination-porteq21(match-counter0)
rule20permittcpsource10.85.100.140source-porteq22destination10.85.
10.20destination-porteq21(match-counter0)
rule25permittcpsource10.85.100.150source-porteq22destination10.85.
10.20destination-porteq21(match-counter0)
#在交换机上通过命令displaycurrent-configuration|includetraffic-redirect能够看到业务编排配置成功下发。
[SwitchA]displaycurrent-configuration|includetraffic-redirect
traffic-redirectinboundaclnameS_ACL_20140401153202_B3E03998interfaceTunnel16370
[SwitchA]interfaceTunnel16370
[SwitchA-Tunnel16370]displaythis
#
interfaceTunnel16370
descriptionController_S_from_10.6.2.1
ipaddress10.10.192.5255.255.255.0
tunnel-protocolgre
keepaliveperiod1
source10.7.2.1
destination10.6.2.1
traffic-filterinboundaclnameS_ACL_20140401153202_B3E03998
#
return
配置文件
SwitchA的配置文件
#
sysnameSwitchA
#
vlanbatch100
#
group-policycontroller10.85.10.3password%#%#FG9.7h,|j$2'c2$LRG%N#lBU;3_^;AVo,7)"f%^M%#%#src-ip10.85.10.5
#
interfaceVlanif100
ipaddress10.85.10.5255.255.255.0
#
interfaceLoopBack100
ipaddress10.7.2.1255.255.255.255
#
interfaceLoopBack101
ipaddress10.7.2.2255.255.255.255
#
interfaceGigabitEthernet1/0/1
portlink-typetrunk
porttrunkallow-passvlan100
#
return
23.2 配置在用户物理位置变化时部署业务随行示例(V200R006C00、V200R007C00、V200R008C00)
业务随行简介
在企业网络中,为实现用户不同的网络访问需求,可在接入设备上为用户部署不同的网络访问策略。
但随着企业网络移动化、BYOD等技术的应用,用户的物理位置以及IP地址变化愈加频繁,这就使得原有基于物理端口、IP地址的网络控制方案很难满足用户网络访问体验一致性的需求(譬如网络访问权限不随用户物理位置变化而变化)。
业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。
业务随行解决方案需要交换机设备和AgileController-Campus配合使用。
管理员仅需在AgileController-Campus上统一为用户部署网络访问策略,然后将其下发到所有关联的交换机设备即可满足不管用户的物理位置以及IP地址如何变化,都可以使其获得相同的访问策略。
配置注意事项
业务随行仅在NAC统一配置模式下支持。
适用的产品和版本如下表所示:
表23-4 适用的产品和版本
软件版本
产品形态
V200R006C00、V200R007C00、V200R008C00版本
S5720HI、S7700、S9700支持,其余形态均不支持。
如核心交换机曾经与其他AgileController-Campus配置过业务随行,请执行如下步骤清除历史数据后再重新配置。
在系统视图执行undogroup-policycontroller命令,去使能业务随行功能,断开与AgileController-Campus的联动。
执行undoaclall命令清除访问权限控制策略。
执行undoucl-groupipall命令清除安全组绑定的IP地址信息。
执行undoucl-groupall命令清除安全组。
退出到用户视图执行save命令保存,自动清除之前部署的版本号。
组网需求
企业员工采用有线和无线方式接入,以802.1x或者Portal方式认证。
由于员工办公地点不固定,希望无论在何处认证通过后获取同样的权限。
图23-10 组网图
需求分析
在核心交换机上配置802.1x认证和Portal认证,有线用户和无线用户在核心交换机认证通过后可以接入网络。
通过配置业务随行功能,无论用户在哪里接入都将获得同样的权限和体验,实现权限随行和体验随行。
数据规划
表23-5 网络数据规划
项目
数据
说明
VLAN规划
ID:
11
IP地址:
192.168.11.254/24
与AgileController-Campus通信VLAN。
ID:
12
IP地址:
192.168.12.254/24
与AP之间的业务管理VLAN。
ID:
13
IP地址:
192.168.13.254/24
无线接入业务VLAN。
ID:
14
IP地址:
192.168.14.254/24
有线接入业务VLAN。
核心交换机(coreswitch)
接口编号:
GE1/0/11
允许通过VLANID:
11
允许已规划的VLAN通过。
接口编号:
GE1/0/12
允许通过VLANID:
12、14
允许有线接入的业务VLAN和AP的管理VLAN通过。
接入交换机
接口编号:
GE0/0/1
允许通过VLANID:
12、14
与核心交换机coreswitch的GE1/0/12接口连接。
接口编号:
GE0/0/3
允许通过VLANID:
14
有线接入接口,允许有线接入的业务VLAN通过。
接口编号:
GE0/0/5
允许通过VLANID:
12
无线接入接口,允许AP的管理VLAN通过。
服务器
AgileController-Campus:
192.168.11.1
SM和SC安装在同一台服务器。
RADIUS服务器和Portal服务器包含在SC。
邮件服务器1:
192.168.11.100
邮件服务器2:
192.168.11.101
-
DNS服务器:
192.168.11.200
–
表23-6 业务数据规划
项目
数据
说明
核心交换机(coreswitch)
RADIUS认证服务器:
IP地址:
192.168.11.1
端口号:
1812
RADIUS共享密钥:
Admin@123
AgileController-Campus的业务控制器集成了RADIUS服务器和Portal服务器,所以认证服务器、计费服务器和Portal服务器的IP地址都为业务控制器的IP地址。
配置RADIUS计费服务器,以便获取终端用户的上下线信息。
认证服务器和计费服务器的端口号必须与RADIUS服务器的认证端口和计费端口一致。
在AgileController-Campus中RADIUS认证和计费端口固定为1812和1813,Portal服务器端口固定为50200。
RADIUS计费服务器:
IP地址:
192.168.11.1
端口号:
1813
RADIUS共享密钥:
Admin@123
计费周期:
15分钟
Portal服务器:
IP地址:
192.168.11.1
端口号:
50200
共享密钥:
Admin@123
XMPP密码:
Admin@123
与AgileController-Campus配置一致。
AgileController-Campus
核心交换机IP地址:
192.168.11.254
VLANIF11的IP地址。
RADIUS参数:
设备系列:
华为Quidway系列
RADIUS认证密钥:
Admin@123
RADIUS计费密钥:
Admin@123
实时计费周期(分钟):
15
与核心交换机上配置的一致。
Portal参数:
端口:
2000
Portal密钥:
Admin@123
接入终端IP地址列表
无线:
192.168.13.0/24
有线:
192.168.14.0/24
XMPP密码:
Admin@123
与核心交换机配置一致。
部门:
员工
假设ROOT下面已存在“员工”部门,本举例对“员工”部门配置业务随行。
安全组:
员工组
邮件服务器:
邮件服务器1:
192.168.11.100
邮件服务器2:
192.168.11.101
在授权中将员工部门授权给员工组。
认证后域
邮件服务器
员工认证通过后可以访问邮件服务器。
认证前域
DNS服务器
员工认证通过前能够将域名发往DNS服务器做解析。
配置思路
核心交换机配置
切换为统一模式。
配置接口和VLAN,并启用DHCP服务器功能。
配置与RADIUS服务器对接参数。
配置与Portal服务器对接参数。
配置固定PC的接入认证点。
配置免认证规则。
配置AC系统参数,实现无线接入。
配置与AgileController-Campus对接的XMPP参数,使能业务随行功能。
接入交换机配置
配置接口和VLAN,实现网络互通。
配置802.1x报文透传功能。
说明:
本举例中,由于接入交换机与用户之间存在透传交换机LANSwitch,为保证用户能够通过802.1x认证,则务必在LANSwitch上配置EAP报文透传功能:
在LANSwitch系统视图下执行命令l2protocol-tunneluser-defined-protocol802.1xprotocol-mac0180-c200-0003group-mac0100-0000-0002定义二层透明传输EAP报文。
在LANSwitch的下行与用户连接的接口以及上行与Switch连接的接口上执行命令l2protocol-tunneluser-defined-protocol802.1xenable以使能接口的二层协议透明传输功能。
AgileController-Campus配置
设置RADIUS参数、Portal参数和XMPP参数,添加核心交换机。
配置“员工组”和“邮件服务器”安全组,分别代表用户和资源。
通过快速授权将“员工组”授权给员工部门,员工认证通过后被映射到“员工组”。
配置访问控制权限策略,允许“员工组”访问“邮件服务器”。