1.1 方案简介
校园网发展到现在,承载的业务越发多种多样:智能移动终端在校园的普及带来访问用户位置多变和无线访问量倍速增长;云计算带来的业务实时性、服务虚拟化;高清视频;社交网络等等,这些都给现有网络部署带来了挑战。为了解决以上挑战,华为基于SDN思想,把敏捷概念引入园区网络,实现高性能校园核心以及高效无线接入,让网络更敏捷地为业务服务。
敏捷网络中,“灵活+快速”的敏捷交换机替代了传统交换机。例如,管理员可以“灵活+快速”地配置、管理和维护设备,业务更改时不再需要逐一对单台设备进行配置更改,不再为网络故障而花费长时间定位。接入用户在敏捷网络中可以“灵活+快速”访问网络,从任意地点使用任意接入方式都可获得相同的网络体验。
下面以某高校校园的敏捷网络部署为例,一起看下敏捷网络给高校园区带来的改变。
1.2 组网需求
某高校本部原有网络如图1-1所示,通过核心交换机管理有线用户,通过独立AC管理无线用户。
l 本部园区网络为本部不同区域的用户提供接入及访问Internet的服务,有线采用802.1x认证,无线采用WEB认证。
图中只列出了教学区和办公区的网络规划,其他区域与之相似,未列出。
l 网络中有VOIP电话业务,同时提供网络打印机、多媒体等服务。
l 分校区用户通过Intranet内部网络访问本部园区网络。
l 外部用户通过Internet访问本部园区网络的服务器。
图1-1 高校本部园区基本网络(未部署敏捷网络)
目前在现有网络基础上部署业务时遇到以下问题:
l 学校人数逐年增多,庞大的无线终端用户对无线业务需求迫切,由于学校将有线网络和无线网络分开部署,管理困难。学校希望有线网络和无线网络能够统一部署,简化管理,提升效率。
l 随着学校各类网络业务的发展,接入用户具有高移动性的特点,网络信息安全显得尤其重要。学校希望实现对接入用户进行角色划分,各类角色用户在自由移动、任意接入的大背景下,业务策略和网络体验能够保持一致。
l 当前学校网络设备众多,业务调整也较为频繁,网络管理员调整业务时需要对每台设备进行配置更改或者版本升级,工作量巨大且繁琐。学校迫切希望能够对网络接入设备进行集中配置、管理和维护。
l 当网络出现故障时,网络管理员无法快速感知,造成网络故障无法快速解决,给用户体验造成很大影响。学校希望能实时监控网络质量,降低网络故障的影响。
学校希望通过部署敏捷网络,从简化部署配置、提高用户体验和提高管理员维护效率这三个角度来解决以上问题。
1.3 业务规划
1.3.1 网络规划
部署敏捷网络后的组网图如图1-2所示,本部园区的核心层网络由两台敏捷交换机S12708集群组成,下接的汇聚层和接入层交换机S5700LI(原先的核心交换机S7700现在可以替换到汇聚层)都只启用二层转发,同时在校园内因地制宜部署适合数量的AP,由接入层S5700LI连接和管理有线用户和AP,实现校园有线和无线覆盖。
图1-2 高校敏捷园区部署组网图
组网图中敏捷园区的各网元角色如图1-2所示,要求如下:
l 核心交换机
敏捷交换机,如果选择框式交换机需要安装X1E单板用于实现有线无线深度融合。
l 汇聚、接入交换机
需要支持敏捷特性SVF(Super Virtual Fabric)时,请参考对应产品手册中的“SVF硬件和软件要求”。
l Agile Controller
集成了RADIUS服务器、Portal服务器和业务随行控制服务器功能,可以方便业务调整。比如用户从不同地点接入时,业务随行控制器可以统一下发权限使用户网络访问权限保持一致。
l eSight网管系统
提供网络设备管理图形化界面,能够实现界面化配置,使管理更加直观简易。
1.3.2 特性规划
敏捷交换机S12708在园区中部署后,可以通过以下敏捷特性,来实现1.2 组网需求中学校部署业务时遇到的问题,使网络能快速、灵活地为业务服务。
l 有线无线深度融合——对有线和无线用户进行统一管理,敏捷维护
敏捷交换机作为核心交换机后,由于敏捷交换机业务板内置AC功能,可融合实现AC能力,园区中无线网络的部署不再需要独立的集中控制设备AC或在核心交换机上单独插卡(如ACU2单板),管理员也不需要分别在有线网络和无线网络上,对用户的接入业务进行配置和部署。管理有线无线两张网络就像管理一台设备一样简单,同时敏捷交换机的交换能力和可扩展性也完全消除了AC设备或AC插卡集中转发的流量瓶颈。
l 业务随行——业务控制如影随行,接入用户体验随身
如1.2 组网需求中所示,李老师在一天之中分别从办公区、教学区、图书馆、家属区等区域接入校园网络,在原有网络中获得的访问权限可能不一致,如访问学校的论文数据资源库只能在教学区、办公区和图书馆内进行,在公共区域无法访问。
为了使用户在不同地点接入时获取相同的网络访问权限,敏捷交换机的业务随行方案通过业务随行控制器Agile Controller,为接入用户集中部署统一的网络访问策略,然后将其下发到所有关联的接入设备,这样不论用户的物理位置以及IP地址如何变化,用户认证通过后均可获得相同的访问策略,在任何地方的网络访问体验一致。
如表1-1所示,以访客、学生和教师三类人群校园的部分用户群为例,在Agile Controller上部署并下发如下访问策略。
表1-1 业务随行策略部署
经过以上配置部署,用户包括李老师在内只要认证通过,符合接入条件,接入网络后权限不变。
l SVF——“大鱼”(敏捷交换机)喂“小鱼”(汇聚层、接入层设备),汇聚层和接入层配置由敏捷交换机统一下发
敏捷园区网络中的SVF方案体现了网络设备虚拟化的思想,可以同时将核心、汇聚、接入设备全部虚拟为一台交换机,由核心交换机对汇聚、接入设备统一进行管理。并且,核心交换机通过模板化配置实现对汇聚、接入设备的批量配置,不再需要逐一配置每一台设备。
SVF部署时各角色如表1-2所示,敏捷交换机作为Parent,统一管理所有的接入交换机(AS)和无线接入设备AP,SVF实现了有线、无线用户统一在Parent上进行管理。
表1-2 SVF部署
AS设备上的业务全部通过Parent配置,AS和AP设备上的关键状态通过Parent维护。管理员只需要接入空配置的交换机,即可完成对汇聚、接入交换机的业务配置。汇聚层和接入层实现了零配置、自动升级和即插即用,简化了管理员的配置、管理和维护工作。
SVF系统最多支持两级AS+一级AP,配合eSight网管的图形化界面使用时,简化管理效果更好。
l iPCA——网络故障自我质量感知,实时给敏捷网络把脉
部署了iPCA特性的敏捷交换机可以对网络丢包率进行实时监测,丢包统计方式如表1-3所示。在链路质量出现问题时系统能快速感知故障,并第一时间通过告警等方式告知管理员。iPCA让网络感知业务质量,能够减少网络故障造成的影响,同时配合eSight网管系统还可以实现图形化智能显示网络丢包,方便管理员监控网络质量。
表1-3 iPCA部署
在园区中部署敏捷特性时,需要注意设备的版本支持情况,如表1-4所示。
表1-4 适用版本与注意事项
敏捷特性 | 最低支持版本 | 注意事项 |
SVF | V200R007(不包含V200R007C20版本) | Parent上使能SVF功能需通过License控制。 在使能SVF功能时,系统当前及下次启动生效的NAC配置模式必须为统一模式。 |
业务随行 | V200R006 | 需要业务随行控制器Agile Controller配合,并仅在NAC统一配置模式下支持。 |
iPCA | V200R006 | 如果选择框式交换机,需要部署X单板。 |
有线无线深度融合 | V200R005(不包含V200R007C20版本) | 如果选择框式交换机,需要部署X单板。 配套AP的形态和版本请参考产品文档。 |
1.3.3 数据规划
敏捷园区基本组网
我们通过简化后的基本配置组网来代替之前高校敏捷园区部署的组网图,来介绍敏捷特性的部署,这里仅列出教学区1区和图书馆两个区域的组网,如图1-3所示。
图1-3 校园敏捷园区基本组网
根据以上组网,相关数据规划如表1-5和表1-6所示。
表1-5 设备数据规划
表1-6 VLAN数据规划
1.4 配置步骤
以下配置中只介绍与敏捷特性相关的配置,其他基本配置如路由互通等业务在此不作介绍。
SVF配置步骤
配置AS连接Parent。
1. 配置Parent中的两台交换机组成集群系统。相关配置请参考产品文档。
2. 登录集群系统并使能SVF功能。
<HUAWEI> system-view
[HUAWEI] vlan batch 11
[HUAWEI] dhcp enable //通过DHCP Server功能使AS从Parent获取IP地址
[HUAWEI] interface vlanif 11
[HUAWEI-Vlanif11] ip address 192.168.11.1 24
[HUAWEI-Vlanif11] dhcp select interface
[HUAWEI-Vlanif11] dhcp server option 43 ip-address 192.168.11.1 //将Parent的IP地址发送给AS,使AS只会与指定的IP地址建立CAPWAP链路
[HUAWEI-Vlanif11] quit
[HUAWEI] capwap source interface vlanif 11 //Parent和AS之间建立CAPWAP链路
[HUAWEI] authentication unified-mode //将NAC配置模式切换成统一模式
HUAWEI] stp mode rstp //在使能SVF功能时,工作模式必须为STP或RSTP模式
[HUAWEI] uni-mng //使能SVF功能并进入uni-mng视图
Warning: This operation will enable the uni-mng mode and disconnect all ASs. STP calculation may be triggered and service traffic will be affected. Continue?[Y/N]: y
在使能SVF功能时,系统当前及下次启动生效的NAC配置模式必须为统一模式。
用户可以通过命令display authentication mode查看当前及下次启动生效的NAC配置模式,如果不是统一模式,则需要配置为统一模式。
传统模式与统一模式相互切换后,必须重启设备,新配置模式的各项功能才能生效。缺省情况下,NAC配置模式为统一模式。
3. 配置AS的接入参数。
# 配置各AS的名称,指定其设备型号和管理MAC。
[HUAWEI-um] as name as1 model S5700-52X-PWR-LI-AC mac-address 0200-0000-0011
[HUAWEI-um-as-as1] quit
[HUAWEI-um] as name as2 model S5700-52X-PWR-LI-AC mac-address 0200-0000-0022
[HUAWEI-um-as-as2] quit
[HUAWEI-um] as name as3 model S5700-28X-PWR-LI-AC mac-address 0200-0000-0033
[HUAWEI-um-as-as3] quit
# 配置Parent连接一级AS(AS_1和AS_2)的Fabric-port。此处以配置Parent连接AS_1的Fabric-port为例,Parent连接AS_2的过程略。
[HUAWEI-um] interface fabric-port 1
[HUAWEI-um-fabric-port-1] port member-group interface eth-trunk 1
[HUAWEI-um-fabric-port-1] quit
[HUAWEI-um] quit
[HUAWEI] interface gigabitethernet 1/1/0/1
[HUAWEI-GigabitEthernet1/1/0/1] eth-trunk 1
[HUAWEI-GigabitEthernet1/1/0/1] quit
[HUAWEI] interface gigabitethernet 2/1/0/1
[HUAWEI-GigabitEthernet2/1/0/1] eth-trunk 1
[HUAWEI-GigabitEthernet2/1/0/1] quit
# 配置一级AS(AS_1)连接二级AS(AS_3)的Fabric-port。
[HUAWEI] uni-mng
[HUAWEI-um] as name as1
[HUAWEI-um-as-as1] down-direction fabric-port 4 member-group interface eth-trunk 4
[HUAWEI-um-as-as1] port eth-trunk 4 trunkmember interface gigabitethernet 0/0/23 to 0/0/24
[HUAWEI-um-as-as1] quit
[HUAWEI-um] quit
# 配置AS上线接入时进行白名单认证。
[HUAWEI] as-auth
[HUAWEI-as-auth] undo auth-mode
[HUAWEI-as-auth] whitelist mac-address 0200-0000-0011
[HUAWEI-as-auth] whitelist mac-address 0200-0000-0022
[HUAWEI-as-auth] whitelist mac-address 0200-0000-0033
[HUAWEI-as-auth] quit
[HUAWEI] quit
4. 清空AS的配置并重启AS,然后连接AS与Parent之间的线缆,SVF即可建立。
AS连接Parent时要求必须为空配置(无启动配置文件)且Console口无输入。
# 清空AS的配置并重启(此过程持续5分钟,保证Console口不能有输入。如果AS为空配置时可不用重启,直接连接即可。)
<HUAWEI> reset saved-configuration
Warning: The action will delete the saved configuration in the device.
The configuration will be erased to reconfigure. Continue? [Y/N]:y
# 连接线缆后,执行命令display as all查看各AS是否成功上线接入。
<HUAWEI> display as all
------------------------------------------------------------------------------
No. Type Mac IP State Name
------------------------------------------------------------------------------
0 S5700-52X-PWR-LI-AC 0200-0000-0011 192.168.11.254 normal as1
1 S5700-52X-PWR-LI-AC 0200-0000-0022 192.168.11.253 normal as2
2 S5700-28X-PWR-LI-AC 0200-0000-0033 192.168.11.252 normal as3
------------------------------------------------------------------------------
Total: 3
配置AP连接AS。此处以AP_1连接AS_3为例。AP_2连接AS_2不做介绍。
1. 创建网络基础模板,其中pass-vlan供AP下挂的移动终端使用。
<HUAWEI> system-view
[HUAWEI] uni-mng
[HUAWEI-um] network-basic-profile name profile_ap
[HUAWEI-um-net-basic-profile_ap] pass-vlan 202
[HUAWEI-um-net-basic-profile_ap] quit
2. 配置AS连接AP的端口加入AP Port Group。
[HUAWEI-um] port-group connect-ap name group_ap
[HUAWEI-um-portgroup-group_ap] network-basic-profile profile_ap
[HUAWEI-um-portgroup-group_ap] as name as3 interface gigabitethernet 0/0/24
[HUAWEI-um-portgroup-group_ap] quit
[HUAWEI-um] commit as all
Warning: Committing the configuration will take a long time. Continue?[Y/N]:y
[HUAWEI-um] quit
3. 配置AP接入参数。
# 配置AP的ID。
[HUAWEI] wlan
[HUAWEI-wlan-view] ap id 1 ap-type ap5010dn-agn mac ac85-3da6-a420
[HUAWEI-wlan-ap-1] quit
# 配置对AP上线接入时不需要进行认证。
[HUAWEI-wlan-view] ap-auth-mode no-auth
[HUAWEI-wlan-view] quit
4. 将AP上电并连接AP与AS之间的线缆。
# 连接线缆后,执行命令display ap all查看AP是否成功上线接入。
[HUAWEI] display ap all
All AP(s) information:
Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]
Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]
------------------------------------------------------------------------------
AP AP AP Profile AP AP
/Region
ID Type MAC ID State Sysname
------------------------------------------------------------------------------
1 AP5010DN-AGN ac85-3da6-a420 0/0 normal ap-1
------------------------------------------------------------------------------
Total number: 1,printed: 1
配置PC接入AS。此处以PC_1接入AS_3为例,PC_2接入AS_2不做介绍。
1. 创建网络基础模板和用户接入模板。
[HUAWEI] uni-mng
[HUAWEI-um] network-basic-profile name profile_1
[HUAWEI-um-net-basic-profile_1] user-vlan 100
[HUAWEI-um-net-basic-profile_1] quit
[HUAWEI-um] user-access-profile name pro1
[HUAWEI-um-user-access-pro1] authentication dot1x
[HUAWEI-um-user-access-pro1] quit
2. 创建Group并绑定之前创建的模板。
[HUAWEI-um] port-group name group1
[HUAWEI-um-portgroup-group1] network-basic-profile profile_1
[HUAWEI-um-portgroup-group1] user-access-profile pro1
[HUAWEI-um-portgroup-group1] as name as3 interface GigabitEthernet 0/0/23
[HUAWEI-um] commit as name as3
[HUAWEI-um] quit
3. 配置PC接入配置。
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme sch1
[HUAWEI-aaa-authen-shc1] authentication-mode none
[HUAWEI-aaa-authen-shc1] quit
[HUAWEI-aaa] domain pc
[HUAWEI-aaa-domain-pc] authentication-scheme sch1
[HUAWEI-aaa-domain-pc] quit
[HUAWEI-aaa] quit
4. 用户上线后查看用户上线情况
若动态配置,最好让业务端口shutdown再undo shutdown一下,以让有线用户重新上一下线。用户上线后可以通过执行display access-user命令查看用户是否上线。
[HUAWEI] uni-mng
[HUAWEI-um] as name as3
[HUAWEI-um-as-as3] shutdown interface gigabitethernet 0/0/23
[HUAWEI-um-as-as3] undo shutdown interface gigabitethernet 0/0/23
[HUAWEI-um-as-as3] quit
[HUAWEI-um] quit
业务随行配置步骤
1. 创建并配置RADIUS服务器模板、AAA认证方案以及认证域。
# 创建并配置RADIUS服务器模板“rd1”。
[HUAWEI] radius-server template rd1
[HUAWEI-radius-rd1] radius-server authentication 192.168.2.31 1812
[HUAWEI-radius-rd1] radius-server shared-key cipher Huawei@123
[HUAWEI-radius-rd1] quit
# 创建AAA认证方案“abc”并配置认证方式为RADIUS。
[HUAWEI] aaa
[HUAWEI-aaa] authentication-scheme abc
[HUAWEI-aaa-authen-abc] authentication-mode radius
[HUAWEI-aaa-authen-abc] quit
# 创建认证域“isp1”,并在其上绑定AAA认证方案“abc”与RADIUS服务器模板“rd1”。
[HUAWEI-aaa] domain isp1
[HUAWEI-aaa-domain-isp1] authentication-scheme abc
[HUAWEI-aaa-domain-isp1] radius-server rd1
[HUAWEI-aaa-domain-isp1] quit
[HUAWEI-aaa] quit
# 配置全局默认域为“isp1”。用户进行接入认证时,如果用户名中不携带域名或携带的域名不存在,用户将会在默认域中进行认证。
[HUAWEI] domain isp1
2. 配置802.1x认证和WEB认证。
# 创建并配置Portal服务器模板“abc”。
[HUAWEI] web-auth-server abc
[HUAWEI-web-auth-server-abc] server-ip 192.168.2.31
[HUAWEI-web-auth-server-abc] url http://192.168.2.31:50200/webagent
[HUAWEI-web-auth-server-abc] shared-key cipher Huawei@123
[HUAWEI-web-auth-server-abc] quit
# 在接口GE1/1/0/1上使能802.1x和WEB认证。
[HUAWEI] interface gigabitethernet 1/1/0/1
[HUAWEI-GigabitEthernet1/1/0/1] authentication dot1x portal
[HUAWEI-GigabitEthernet1/1/0/1] web-auth-server abc direct //绑定Portal服务器模板
[HUAWEI-GigabitEthernet1/1/0/1] quit
# 使能业务随行功能,并配置指向Agile Controller控制器的IP地址以及对接密码。
[HUAWEI] group-policy controller 192.168.2.31 password Huawei@123
3. 在Agile Controller上进行配置。
Agile Controller上的配置涉及截图,相关配置请参考产品文档,这里仅列出主要配置思路。
a. 创建源安全组对应的用户账号,如普通访客、本科生、研究生和在职老师的用户名和密码及所属部门。
b. 设置RADIUS参数、Portal参数和XMPP协议参数,添加核心交换机,完成S交换机与Agile Controller的互通。
c. 配置源安全组和目的安全组,分别代表用户和资源,如学校公开资源服务器对应的IP地址为10.10.1.1/32。
d. 通过快速授权将源安全组授权给对应账户的部门,用户认证通过后被映射到源安全组。
e. 配置访问控制权限策略,确定源安全组是否有权限访问目的安全组,并部署到全网设备。如普通访客只能访问学校公开资源,而不能访问教育管理系统和校内FTP资源。
表1-7 Agile Controller上配置的安全组和访问控制策略
源安全组(用户) | 目的安全组(资源) | 访问控制权限策略 |
普通访客 | 学校公开资源(绑定IP地址:10.10.1.1/32) | 允许 |
教育管理系统(绑定IP地址:10.10.2.1/32) | 禁止 | |
FTP资源(绑定IP地址:10.10.3.1/32) | 禁止 | |
本科生&研究生 | 学校公开资源(绑定IP地址:10.10.1.1/32) | 允许 |
教育管理系统(绑定IP地址:10.10.2.1/32) | 禁止 | |
FTP资源(绑定IP地址:10.10.3.1/32) | 允许 | |
在职教师 | 学校公开资源(绑定IP地址:10.10.1.1/32) | 允许 |
教育管理系统(绑定IP地址:10.10.2.1/32) | 允许 | |
FTP资源(绑定IP地址:10.10.3.1/32) | 允许 |
有线无线深度融合配置步骤
敏捷交换机融合实现有线无线深度融合功能后,原先需要在交换机和独立AC或ACU2插卡上分别配置,现在只需要在交换机上直接配置即可。
1. 配置S12708为DHCP Server,分别为PC和STA分配IP地址,其中S12708将通过SVF配置下发IP地址给AP,此处不需要配置。此处仅以教学区1为例。
# 配置S12708通过全局地址池为PC_1分配IP地址。
<HUAWEI> system-view
[HUAWEI] dhcp enable
[HUAWEI] vlan batch 100 202
[HUAWEI] interface vlanif 100
[HUAWEI-Vlanif100] ip address 192.168.100.1 24
[HUAWEI-Vlanif100] dhcp select global
[HUAWEI-Vlanif100] quit
[HUAWEI] ip pool 100
[HUAWEI-ip-pool-100] gateway-list 192.168.100.1
[HUAWEI-ip-pool-100] network 192.168.100.0 mask 24
[HUAWEI-ip-pool-100] quit
# 配置S12708通过全局地址池为STA分配IP地址。地址池202为连接到AP_1的STA分配地址,地址池204为连接到AP_2的STA分配地址。此处以为连接到AP_1的STA分配地址为例。
[HUAWEI] interface vlanif 202
[HUAWEI-Vlanif202] ip address 192.168.202.1 24
[HUAWEI-Vlanif202] dhcp select global
[HUAWEI-Vlanif202] quit
[HUAWEI] ip pool 202
[HUAWEI-ip-pool-202] gateway-list 192.168.202.1
[HUAWEI-ip-pool-202] network 192.168.202.0 mask 24
[HUAWEI-ip-pool-202] quit
2. 配置AC的系统参数
# 配置AC的国家码。
[HUAWEI] wlan ac-global country-code cn
Warning: Modify the country code may delete configuration on those AP which use
the global country code and reset them, continue?[Y/N]:y
# 配置AC ID和运营商标识。
[HUAWEI] wlan ac-global ac id 1 carrier id other //AC ID缺省为0,这里修改为1
# 配置AC的源接口。
[HUAWEI] wlan
[HUAWEI-wlan-view] wlan ac source interface vlanif 11
3. 在AC上管理AP
# 现场获取AP的MAC地址后,查看AP的设备类型ID。
[HUAWEI-wlan-view] display ap-type all
All AP types information:
------------------------------------------------------------------------------
ID Type
------------------------------------------------------------------------------
1 AP5010DN-AGN
------------------------------------------------------------------------------
Total number: 1
# 配置AP认证模式为MAC地址认证(缺省值,不需配置)。根据查询到的AP设备类型ID,离线添加AP。SVF配置中已配置了AP的接入参数,这里不再重复。
# 配置AP域并将AP加入到AP域。
[HUAWEI-wlan-view] ap-region id 10
[HUAWEI-wlan-ap-region-10] quit
[HUAWEI-wlan-view] ap id 1
[HUAWEI-wlan-ap-1] region-id 10
[HUAWEI-wlan-ap-1] quit
[HUAWEI-wlan-view] ap id 2
[HUAWEI-wlan-ap-2] region-id 10
[HUAWEI-wlan-ap-2] quit
# 将AP上电后,可以查看到AP的“AP State”字段为“normal”。
[HUAWEI-wlan-view] display ap all
All AP information:
Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]
Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]
------------------------------------------------------------------------------
AP AP AP Profile AP AP
/Region
ID Type MAC ID State Sysname
------------------------------------------------------------------------------
0 AP6010DN-AGN 60de-4476-e360 0/10 normal ap-0
------------------------------------------------------------------------------
Total number: 1,printed: 1
4. 配置WLAN业务参数
# 创建名为“wmm”的WMM模板。
[HUAWEI-wlan-view] wmm-profile name wmm id 1
[HUAWEI-wlan-wmm-prof-wmm] quit
# 创建名为“radio”的射频模板,绑定WMM模板“wmm”。
[HUAWEI-wlan-view] radio-profile name radio id 1
[HUAWEI-wlan-radio-prof-radio] wmm-profile name wmm
[HUAWEI-wlan-radio-prof-radio] quit
[HUAWEI-wlan-view] quit
# 创建WLAN-ESS接口。
[HUAWEI] interface wlan-ess 1
[HUAWEI-Wlan-Ess1] port trunk allow-pass vlan 202
[HUAWEI-Wlan-Ess1] quit
# 创建名为“security”的安全模板。
[HUAWEI] wlan
[HUAWEI-wlan-view] security-profile name security id 1
[HUAWEI-wlan-sec-prof-security] security-policy wpa2 //配置安全策略为WPA2
[HUAWEI-wlan-sec-prof-security] wpa2 authentication-method psk pass-phrase cipher huawei123 encryption-method ccmp //配置加密方式为PSK+CCMP
[HUAWEI-wlan-sec-prof-security] quit
# 创建名为“traffic”的流量模板,配置单个STA上行报文的限制速率为2000kbit/s,下行报文的限制速率为2400kbit/s。
[HUAWEI-wlan-view] traffic-profile name traffic id 1
[HUAWEI-wlan-traffic-prof-traffic] rate-limit client up 2000
[HUAWEI-wlan-traffic-prof-traffic] rate-limit client down 2400
[HUAWEI-wlan-traffic-prof-traffic] quit
# 创建名为“area1”服务集并绑定WLAN-ESS接口、安全模板和流量模板,转发模式为直接转发(缺省值,不需配置)。
[HUAWEI-wlan-view] service-set name area1 id 1
[HUAWEI-wlan-service-set-area1] ssid area1
[HUAWEI-wlan-service-set-area1] wlan-ess 1
[HUAWEI-wlan-service-set-area1] security-profile name security
[HUAWEI-wlan-service-set-area1] traffic-profile name traffic
[HUAWEI-wlan-service-set-area1] service-vlan 202
[HUAWEI-wlan-service-set-area1] quit
5. 配置VAP(Virtual AP)并下发
# 配置VAP。
[HUAWEI-wlan-view] ap 1 radio 0
[HUAWEI-wlan-radio-1/0] radio-profile name radio
[HUAWEI-wlan-radio-1/0] service-set name area1
[HUAWEI-wlan-radio-1/0] quit
# 提交配置。
[HUAWEI-wlan-view] commit all
Warning: Committing configuration may cause service interruption, continue?[Y/N]:y
iPCA配置步骤
iPCA可以检测敏捷交换机设备之间和设备整体的丢包情况。如果检测校园本部与分部之间的网络丢包情况,需要同时在分部部署敏捷交换机。
配置设备整体丢包统计功能。
1. 在设备上分别使能设备整体丢包统计,为了使用户能够及时感知丢包情况,同时配置设备整体丢包超限告警功能。
[HUAWEI] iplpm global loss-measure alarm enable //使能设备整体丢包统计的丢包超限告警及其告警恢复功能
[HUAWEI] iplpm global loss-measure enable //使能设备整体丢包统计功能
2. 执行display iplpm loss-measure statistics global命令查看丢包统计结果。通过查看Loss Packets和LossRatio的值,即可判断设备存在丢包。
[HUAWEI] display iplpm loss-measure statistics global
Latest global loss statistics:
--------------------------------------------------------------------------------
StartTime(DST) Loss Packets LossRatio ErrorInfo
--------------------------------------------------------------------------------
2015-06-12 18:47:30 344127 4.513519% OK
2015-06-12 18:47:20 381085 4.513196% OK
2015-06-12 18:47:10 381192 4.513290% OK
2015-06-12 18:47:00 381339 4.513341% OK
2015-06-12 18:46:50 381465 4.513392% OK
2015-06-12 18:46:40 381444 4.513487% OK
2015-06-12 18:46:30 381129 4.513309% OK
--------------------------------------------------------------------------------
配置端到端网络的丢包统计功能。
1. 配置校园本部核心交换机。
[HUAWEI] nqa ipfpm dcp //使能全局的DCP功能
[HUAWEI-nqa-ipfpm-dcp] dcp id 1.1.1.1 //配置DCP ID
[HUAWEI-nqa-ipfpm-dcp] instance 1
[HUAWEI-nqa-ipfpm-dcp-instance-1] mcp 2.2.2.2
[HUAWEI-nqa-ipfpm-dcp-instance-1] flow bidirectional source 10.1.1.0 24 destination 10.2.1.0 24 //配置目标流为双向对称目标流
[HUAWEI-nqa-ipfpm-dcp-instance-1] tlp 1 in-point ingress //对进入的目标流进行染色操作
[HUAWEI-nqa-ipfpm-dcp-instance-1] quit
[HUAWEI-nqa-ipfpm-dcp] quit
[HUAWEI] interface gigabitethernet 3/1/0/1 //此接口为连接分校区核心交换机侧的接口
[HUAWEI-GigabitEthernet3/1/0/1] ipfpm tlp 1 //在接口上绑定TLP
[HUAWEI-GigabitEthernet3/1/0/1] quit
[HUAWEI] interface gigabitethernet 3/1/0/2 //此接口为连接分校区核心交换机侧的接口
[HUAWEI-GigabitEthernet3/1/0/2] ipfpm tlp 1 //在接口上绑定TLP
[HUAWEI-GigabitEthernet3/1/0/2] quit
[HUAWEI] nqa ipfpm dcp
[HUAWEI-nqa-ipfpm-dcp] instance 1
[HUAWEI-nqa-ipfpm-dcp-instance-1] loss-measure enable continual //使能DCP上统计实例的连续丢包统计功能
[HUAWEI-nqa-ipfpm-dcp-instance-1] quit
[HUAWEI-nqa-ipfpm-dcp] quit
2. 配置校园分校区核心交换机。
<HUAWEI> system-view
[HUAWEI] sysname Switch
[Switch] nqa ipfpm dcp
[Switch-nqa-ipfpm-dcp] dcp id 2.2.2.2
[Switch-nqa-ipfpm-dcp] instance 1
[Switch-nqa-ipfpm-dcp-instance-1] mcp 2.2.2.2
[Switch-nqa-ipfpm-dcp-instance-1] flow bidirectional source 10.1.1.0 24 destination 10.2.1.0 24
[Switch-nqa-ipfpm-dcp-instance-1] tlp 2 out-point egress
[Switch-nqa-ipfpm-dcp-instance-1] quit
[Switch-nqa-ipfpm-dcp] quit
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] ipfpm tlp 2
[Switch-GigabitEthernet1/0/1] quit
[Switch] nqa ipfpm dcp
[Switch-nqa-ipfpm-dcp] instance 1
[Switch-nqa-ipfpm-dcp-instance-1] loss-measure enable continual
[Switch-nqa-ipfpm-dcp-instance-1] quit
[Switch-nqa-ipfpm-dcp] quit
[Switch] nqa ipfpm mcp //使能全局的MCP功能
[Switch-nqa-ipfpm-mcp] mcp id 2.2.2.2 //创建MCP
[Switch-nqa-ipfpm-mcp] instance 1
[Switch-nqa-ipfpm-mcp-instance-1] dcp 1.1.1.1
[Switch-nqa-ipfpm-mcp-instance-1] dcp 2.2.2.2
[Switch-nqa-ipfpm-mcp-instance-1] loss-measure ratio-threshold upper-limit 7 lower-limit 5 //配置MCP统计实例的丢包超限告警阈值为7%,恢复告警的丢包率阈值为5%
[Switch-nqa-ipfpm-mcp-instance-1] quit
[Switch-nqa-ipfpm-mcp] quit
[Switch] quit
3. 检查配置结果。
# 在分校区核心交换机Switch上执行display ipfpm statistic-type loss instance 1命令查看丢包统计结果。
<Switch> display ipfpm statistic-type loss instance 1
Latest loss statistics of forward flow:
Unit: p - packet, b - byte
------------------------------------------------------------------------------------------
Period Loss(p) LossRatio(p) Loss(b) LossRatio(b)
------------------------------------------------------------------------------------------
127636768 381549 4.514649% 40444194 4.514649%
127636767 381528 4.514620% 40441968 4.514620%
127636766 381318 4.514996% 40419708 4.514996%
127636765 381192 4.514686% 40406352 4.514686%
127636764 381381 4.514679% 40426386 4.514679%
127636763 381402 4.514748% 40428612 4.514748%
127636762 381081 4.514797% 40394586 4.514797%
127636761 381324 4.514702% 40420344 4.514702%
127636760 381549 4.514870% 40444194 4.514870%
127636759 381066 4.514638% 40392996 4.514638%
127636758 381570 4.514836% 40446420 4.514836%
127636757 382452 4.514757% 40539912 4.514757%
Latest loss statistics of backward flow:
Unit: p - packet, b - byte
------------------------------------------------------------------------------------------
Period Loss(p) LossRatio(p) Loss(b) LossRatio(b)
------------------------------------------------------------------------------------------
127636768 381087 4.513306% 40395222 4.513306%
127636767 381129 4.513384% 40399674 4.513384%
127636766 381465 4.513444% 40435290 4.513444%
127636765 381087 4.513222% 40395222 4.513222%
127636764 381045 4.513272% 40390770 4.513272%
127636763 381381 4.513364% 40426386 4.513364%
127636762 381276 4.513435% 40415256 4.513435%
127636761 380961 4.513280% 40381866 4.513280%
127636760 381339 4.513574% 40421934 4.513574%
127636759 381045 4.513270% 40390770 4.513270%
127636758 381088 4.513226% 40395328 4.513226%
127636757 382409 4.513464% 40535354 4.513464%
1.5 总结与建议
本案例以S系列交换机敏捷网络在教育行业的实际应用为例,重点介绍了敏捷交换机的敏捷特性的应用和关键配置。
l 有线无线深度融合
敏捷交换机内置随板AC,将有线无线融合成一张网络,简化了管理员对有线网络和无线网络的配置和维护工作。同时敏捷交换机上的交换能力和可扩展性也完全消除了AC设备或AC插卡集中转发的流量瓶颈。
l 业务随行
业务随行实现了身份信息的全网统一,不管用户从哪里接入,用什么IP地址,都可以在网络中享受一致的权限和体验。
l 虚拟化技术SVF
SVF将核心、汇聚、接入三层交换机虚拟化为一台“超级交换机”,汇聚层和接入层交换机配置由核心交换机统一下发,由核心交换机来对汇聚、接入交换机进行统一管理。
l 质量感知iPCA
iPCA统计一条或多条流量经过的路径上每一台设备上的报文收***况,一旦出现丢包的情况,网管立即可以感知并定位。实现了网络业务的随流检测和实时检测。
S交换机的敏捷特性还在继续发展完善,后续我们可以看到S交换机在敏捷网络中更广泛的应用。