huawei 0123业务随行和业务编排典型配置.docx

1、huawei 0123 业务随行和业务编排典型配置23 业务随行和业务编排典型配置23.1 通过业务编排完成对指定数据流的引导（框式交换机）23.2 配置在用户物理位置变化时部署业务随行示例（V200R006C00、V200R007C00、V200R008C00）23.3 配置在用户物理位置变化时部署业务随行示例（V200R009及之后版本）23业务随行和业务编排典型配置23.1 通过业务编排完成对指定数据流的引导（框式交换机）23.2 配置在用户物理位置变化时部署业务随行示例（V200R006C00、V200R007C00、V200R008C00）23.3 配置在用户物理位置变化时部署业务随

2、行示例（V200R009及之后版本）23.1通过业务编排完成对指定数据流的引导（框式交换机）业务编排简介在典型的园区网中，客户通常在重要业务部门、半信任区DMZ（Demilitarized Zone）、园区出口和数据中心等边界处部署防火墙、反病毒专家系统和应用安全网关等网络增值业务设备。这种为每个有需求的网络区域部署独立的网络增值业务设备的方案有以下几个缺点：需要部署的网络增值业务设备过多从而造成投资成本大。独立为每个有需求的网络部署网络增值业务设备会导致网络增值业务设备的利用率不高，从而造成资源的浪费。在部署和维护过程中，需要在每台网络增值业务设备上配置各自的业务处理策略，这样会导致部署和维

3、护不便。针对以上问题，华为公司推出了业务编排解决方案。如图23-1所示，该方案主要由策略控制器、编排设备和安全资源池组成。其中，安全资源池中部署的网络增值业务设备可以是一台设备拥有多个网络增值业务能力，也可以是多个具有独立网络增值业务能力的设备。通过在园区网部署业务编排方案，可以将网络增值业务设备全部集中在一个物理区域。由于不需要再为每个有需求的网络部署独立的网络增值业务设备，不仅降低了成本，而且还提高了网络增值业务设备的利用率。同时在整个园区网中，哪些业务流量需要网络增值业务设备进行处理由策略控制器下发策略来控制，这样也提高了部署和维护的效率。图23-1业务编排方案园区组网图配置注意事项目前

4、业务编排解决方案中支持的网络增值业务设备有防火墙、防病毒专家系统和应用安全网关。业务编排解决方案中各产品的版本配套关系如下表所示。功能名称交换机版本Agile Controller-Campus的版本业务编排1.0V200R006C00、V200R007C00V100R001业务编排2.0V200R008C00及以后版本V100R002、V100R003组网需求如图23-2所示，M公司的机房中有一台FTP服务器，存储公司研发部门的重要数据。管理员小王需要保证这台FTP服务器的安全，防止被攻击导致关键数据外泄。小王希望能通过业务编排完成以下任务：研发部门员工能访问FTP服务器，市场部门的员工不能

5、访问FTP服务器。研发部门员工访问FTP服务器的数据流必须先经过防火墙进行安全检测。如果防火墙设备发生故障，研发部门员工不能访问FTP服务器。图23-2M公司组网数据规划表23-1用户和资源的IP地址规划用户和资源IP地址研发部门员工A10.85.100.11研发部门员工B10.85.100.12研发部门员工C10.85.100.13研发部门员工D10.85.100.14研发部门员工E10.85.100.15FTP服务器10.85.10.2Controller10.85.10.3SwitchA10.85.10.5NGFW10.85.10.6表23-2业务流规划序号协议源IP/掩码长度源端口目的

6、IP/掩码长度目的端口1TCP10.85.100.11/322210.85.10.2/32212TCP10.85.100.12/323TCP10.85.100.13/324TCP10.85.100.14/325TCP10.85.100.15/32表23-3设备参数规划设备配置交换机与防火墙直连的接口：接口名称：GigabitEthernet 1/0/1Vlan：Vlan100IP地址：10.85.10.5/24LoopBack 100：IP地址：10.7.2.1/32LoopBack 101：IP地址：10.7.2.2/32XMPP连接密码：Admin123防火墙与交换机直连的接口：接口名称：

7、GigabitEthernet 1/0/1安全区域：trustIP地址：10.85.10.6/24LoopBack 100：IP地址：10.6.2.1/32LoopBack 101：IP地址：10.6.2.2/32XMPP连接密码：Admin123Radius共享密钥：Radius123配置思路具体配置思路如下：在交换机和防火墙上配置基本参数。在交换机和防火墙上配置XMPP协议参数，以便在Controller上添加交换机和防火墙设备。在交换机和防火墙上配置各接口的地址和静态路由，实现网络中各设备之间能够互通。说明：需要保证配置的Loopback编号在设备中是最大的，本文使用的是100和101。

8、在Controller上通过XMPP协议添加交换机和防火墙设备。在Controller上配置业务流，通过ACL规则实现仅研发部门员工访问FTP服务器。在Controller上配置IP地址池和业务链资源，实现交换机和防火墙之间GRE隧道的建立。说明：IP地址池不能包含网络中正在使用的IP地址。在Controller上编排并部署业务链，实现对访问FTP服务器的数据的重定向，先经过防火墙，再访问FTP服务器。操作步骤在交换机上配置各接口地址，静态路由和XMPP连接参数等基本参数。 system-viewHUAWEI sysname SwitchASwitchA vlan batch 100 Swit

9、chA interface gigabitethernet 1/0/1SwitchA-GigabitEthernet1/0/1 port link-type trunkSwitchA-GigabitEthernet1/0/1 port trunk allow-pass vlan 100SwitchA-GigabitEthernet1/0/1 quitSwitchA interface vlanif 100SwitchA-Vlanif100 ip address 10.85.10.5 24SwitchA-Vlanif100 quitSwitchA interface LoopBack 100Sw

10、itchALoopBack100 ip address 10.7.2.1 255.255.255.255SwitchALoopBack100 quitSwitchA interface LoopBack 101SwitchALoopBack101 ip address 10.7.2.2 255.255.255.255SwitchALoopBack101 quitSwitchA ip route-static 10.6.2.1 255.255.255.255 10.85.10.6SwitchA ip route-static 10.6.2.2 255.255.255.255 10.85.10.6

11、SwitchA group-policy controller 10.85.10.3 password Admin123 src-ip 10.85.10.5在防火墙上配置各接口地址，静态路由和XMPP连接参数等基本参数。配置接口IP地址和安全区域，完成网络基本参数配置。选择“网络接口”。单击GE1/0/1对应的，按如下参数配置。安全区域trustIPv4IP地址10.85.10.6/24配置RADIUS服务器。选择“对象认证服务器RADIUS”。单击“新建”，按如下参数配置。此处设置的参数必须与RADIUS服务器的参数保持一致，共享密钥为“Radius123”。单击“确定”。开启防火墙的敏捷网

12、络功能。选择“系统敏捷网络配置”。勾选“敏捷网络功能”对应的“启用”。配置与Controller的对接参数。“Controller主服务器IP”参数后面的状态显示为“已连接”，表示防护墙与Agile Controller对接成功。说明：在业务编排场景中，由于防火墙要配置内容安全检测功能，因此“安全策略配置”必须选择为“手工配置”。在防火墙上配置两个Loopback接口。说明：您需要登录设备CLI控制台来完成该配置步骤。单击界面右下方的。在“CLI控制台（未连接）”对话框中单击鼠标左键，连接设备CLI控制台。连接成功后，配置如下命令。 sysname NGFWNGFW interface Loo

13、pBack 100NGFW-LoopBack100 ip address 10.6.2.1 255.255.255.255NGFW-LoopBack100 quitNGFW interface LoopBack 101NGFW-LoopBack101 ip address 10.6.2.2 255.255.255.255NGFW-LoopBack101 quitNGFW ip route-static 10.7.2.1 255.255.255.255 10.85.10.5NGFW ip route-static 10.7.2.2 255.255.255.255 10.85.10.5在Contr

14、oller上添加交换机和防火墙设备。在主菜单中选择“资源设备设备管理”。单击“增加”。设置添加设备的参数。添加交换机和防火墙的参数设置如图23-3和图23-4所示。“密码”为在设备上配置的通信密码“Admin123”。图23-3添加交换机设备的参数设置图23-4添加防火墙设备的参数设置配置业务流。在主菜单中选择“策略业务链编排业务流定义”。单击“增加”。设置业务流参数。参数设置如图23-5所示。图23-5业务流参数设置配置IP地址池。在主菜单中选择“策略业务链编排IP地址池”。单击“增加”。名称设置为“10.10.192.0”，IP地址设置为“10.10.192.0”，掩码长度设置为“24”。

15、图23-6IP地址池参数设置单击“确定”。配置业务链资源。在主菜单中选择“策略业务链编排业务链资源”。单击“增加”。在左侧“编排设备”区域选择“SwitchA”，拖拽至右侧的“编排设备”节点上。在左侧“业务设备”区域选择“NGFW”，拖拽至右侧的“防火墙”节点上。在左侧“地址池”区域选择“10.10.192.0”。图23-7业务链资源参数设置单击“保存”，在弹出的提示框中单击“是”。编排并部署业务链。在主菜单中选择“策略业务链编排业务链编排”。单击“增加”。在左侧“业务流”区域选择“User_to_Datacenter”，拖拽至右侧的“业务流”节点上。在左侧“编排设备”区域选择“SwitchA

16、”，拖拽至右侧的“编排设备”节点上。将“NGFW”设备拖拽至上方的防火墙节点上。在左侧“链异常处理方式”区域选择“阻断”。图23-8业务链编排参数设置单击“保存”，在弹出的提示框中单击“是”。验证配置结果。# 在Controller上查看交换机和防火墙之间的隧道是否建立成功。业务链资源下发后的隧道信息如图23-9所示。图23-9隧道部署结果详情# 在交换机上通过命令display acl all能够看到业务流规则成功下发。SwitchA display acl all Total nonempty ACL number is 1 Advanced ACL S_ACL_2014040115320

17、2_B3E0 3998, 5 rulesAcls step is 5 rule 5 permit tcp source 10.85.100.11 0 source-port eq 22 destination 10.85.10.2 0 destination-port eq 21 (match-counter 0) rule 10 permit tcp source 10.85.100.12 0 source-port eq 22 destination 10.85.10.2 0 destination-port eq 21 (match-counter 0) rule 15 permit t

18、cp source 10.85.100.13 0 source-port eq 22 destination 10.85.10.2 0 destination-port eq 21 (match-counter 0) rule 20 permit tcp source 10.85.100.14 0 source-port eq 22 destination 10.85.10.2 0 destination-port eq 21 (match-counter 0) rule 25 permit tcp source 10.85.100.15 0 source-port eq 22 destina

19、tion 10.85.10.2 0 destination-port eq 21 (match-counter 0)# 在交换机上通过命令display current-configuration | include traffic-redirect能够看到业务编排配置成功下发。SwitchA display current-configuration | include traffic-redirecttraffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998 interface Tunnel16370 SwitchA i

20、nterface Tunnel 16370SwitchA-Tunnel16370 display this#interface Tunnel16370 description Controller_S_from_10.6.2.1 ip address 10.10.192.5 255.255.255.0 tunnel-protocol gre keepalive period 1 source 10.7.2.1 destination 10.6.2.1 traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998#return配置文

21、件SwitchA的配置文件#sysname SwitchA#vlan batch 100#group-policy controller 10.85.10.3 password %#%#FG9.7h,|j$2c2$LRG%N#lBU;3_;AVo,7)f%M%#%# src-ip 10.85.10.5#interface Vlanif100 ip address 10.85.10.5 255.255.255.0#interface LoopBack100 ip address 10.7.2.1 255.255.255.255#interface LoopBack101 ip address 1

22、0.7.2.2 255.255.255.255#interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 100#return23.2配置在用户物理位置变化时部署业务随行示例（V200R006C00、V200R007C00、V200R008C00）业务随行简介在企业网络中，为实现用户不同的网络访问需求，可在接入设备上为用户部署不同的网络访问策略。但随着企业网络移动化、BYOD等技术的应用，用户的物理位置以及IP地址变化愈加频繁，这就使得原有基于物理端口、IP地址的网络控制方案很难满足用户网络访问

23、体验一致性的需求（譬如网络访问权限不随用户物理位置变化而变化）。业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个IP地址，都可以保证该用户获得相同的网络访问策略的解决方案。业务随行解决方案需要交换机设备和Agile Controller-Campus配合使用。管理员仅需在Agile Controller-Campus上统一为用户部署网络访问策略，然后将其下发到所有关联的交换机设备即可满足不管用户的物理位置以及IP地址如何变化，都可以使其获得相同的访问策略。配置注意事项业务随行仅在NAC统一配置模式下支持。适用的产品和版本如下表所示：表23-4适用的产品和版本软件版本产品形态V200R

24、006C00、V200R007C00、V200R008C00版本S5720HI、S7700、S9700支持，其余形态均不支持。如核心交换机曾经与其他Agile Controller-Campus配置过业务随行，请执行如下步骤清除历史数据后再重新配置。在系统视图执行undo group-policy controller命令，去使能业务随行功能，断开与Agile Controller-Campus的联动。执行undo acl all命令清除访问权限控制策略。执行undo ucl-group ip all命令清除安全组绑定的IP地址信息。执行undo ucl-group all命令清除安全组。退出

25、到用户视图执行save命令保存，自动清除之前部署的版本号。组网需求企业员工采用有线和无线方式接入，以802.1x或者Portal方式认证。由于员工办公地点不固定，希望无论在何处认证通过后获取同样的权限。图23-10组网图需求分析如图23-10所示，认证点为支持敏捷特性的核心交换机coreswitch（带随板AC），接入交换机为普通交换机。在核心交换机上配置802.1x认证和Portal认证，有线用户和无线用户在核心交换机认证通过后可以接入网络。通过配置业务随行功能，无论用户在哪里接入都将获得同样的权限和体验，实现权限随行和体验随行。数据规划表23-5网络数据规划项目数据说明VLAN规划ID：1

26、1IP地址：192.168.11.254/24与Agile Controller-Campus通信VLAN。ID：12IP地址：192.168.12.254/24与AP之间的业务管理VLAN。ID：13IP地址：192.168.13.254/24无线接入业务VLAN。ID：14IP地址：192.168.14.254/24有线接入业务VLAN。核心交换机（coreswitch）接口编号：GE1/0/11允许通过VLAN ID：11允许已规划的VLAN通过。接口编号：GE1/0/12允许通过VLAN ID：12、14允许有线接入的业务VLAN和AP的管理VLAN通过。接入交换机接口编号：GE0/0

27、/1允许通过VLAN ID：12、14与核心交换机coreswitch的GE1/0/12接口连接。接口编号：GE0/0/3允许通过VLAN ID：14有线接入接口，允许有线接入的业务VLAN通过。接口编号：GE0/0/5允许通过VLAN ID：12无线接入接口，允许AP的管理VLAN通过。服务器Agile Controller-Campus：192.168.11.1SM和SC安装在同一台服务器。RADIUS服务器和Portal服务器包含在SC。邮件服务器1：192.168.11.100邮件服务器2：192.168.11.101-DNS服务器：192.168.11.200表23-6业务数据规划项

28、目数据说明核心交换机（coreswitch）RADIUS认证服务器：IP地址：192.168.11.1端口号：1812RADIUS共享密钥：Admin123Agile Controller-Campus的业务控制器集成了RADIUS服务器和Portal服务器，所以认证服务器、计费服务器和Portal服务器的IP地址都为业务控制器的IP地址。配置RADIUS计费服务器，以便获取终端用户的上下线信息。认证服务器和计费服务器的端口号必须与RADIUS服务器的认证端口和计费端口一致。在Agile Controller-Campus中RADIUS认证和计费端口固定为1812和1813，Portal服务器

29、端口固定为50200。RADIUS计费服务器：IP地址：192.168.11.1端口号：1813RADIUS共享密钥：Admin123计费周期：15分钟Portal服务器：IP地址：192.168.11.1端口号：50200共享密钥：Admin123XMPP密码：Admin123与Agile Controller-Campus配置一致。Agile Controller-Campus核心交换机IP地址：192.168.11.254VLANIF 11的IP地址。RADIUS参数：设备系列：华为Quidway系列RADIUS认证密钥：Admin123RADIUS计费密钥：Admin123实时计费周期(分钟)：15与核心交换机上配置的一致。Portal参数：端口：2000Portal密钥：Admin123接入终端IP地址列表无线：192.168.13.0/24有线：192.168.14.0/24XMPP密码：Admin123与核心交换机配置一致。部门：员工假设ROOT下面已存在“员工”部门，本举例对“员工”部门配置业务随行。安全组：员工组邮件服务器：邮件服务器1：192.168.11.100邮件服务器2：192.168.11.101在授权中将员工部门授权给员工组。认证后域邮件服务器员工认证通过后可以访问邮件服务器。认证前域DNS服务器员工认证通过前能够