园区虚拟化网络主要是基于iMaster NCE-Campus新建,按照iMaster NCE-Campus的业务配置模型进行部署规划,具体规划如表3-1所示。
表3-1 园区虚拟化网络新建方案规划
规划项 | 详细部署思路 |
---|
管理网络部署方案 |
|
Underlay部署方案 |
|
Overlay部署方案 |
- Fabric规划
- VXLAN控制面采用BGP EVPN,不同Border/Edge间需建立BGP EVPN连接,以Loopback接口作为建立BGP连接和VXLAN隧道封装的源接口。
- 推荐将Border设备(通常CPU处理能力最强)配置为路由反射器,Edge间不需要再建立BGP EVPN连接,从而减小CPU性能消耗。
- 外部网络出口采用L3独占出口,与出口防火墙设备对接互联,即每个VN都有一个对应的三层接口接入防火墙的安全区域,并实现外部互访。
- 通过配置Fabric的网络服务资源完成:用户VN和DHCP服务器的互访;到达DHCP服务器路由的配置下发;后续用户网关接口上DHCP Relay的配置下发。
- 有线用户接入控制在Fabric的接入管理中配置。
- 无线用户接入控制通过WAC的Web页面配置,不在Fabric中配置。
- 用户网络部署IPV4/IPV6双栈,IPV6使用IPV6 over IPV4方式。
- VN规划
- 建议根据业务类型划分VN,VN和VN之间默认不允许互访。如果VN的互访诉求需要在Border上完成,可以在VN管理界面配置VN互访。
- 每个VN中又可以划分多个子网,包括静态VLAN用户、动态VLAN用户、静态语音VLAN用户和动态语音VLAN用户。
|
WLAN部署方案 |
- 目前,在部署分布式网关的大中型园区虚拟化方案中,无线网络采用WAC+Fit AP架构,本篇最佳实践以大企业园区网络虚拟化方案推荐组网介绍中的组网1举例,Border作为WAC角色纳管AP。
- 无线业务推荐采用隧道转发,无线网关在Border上,通过Border接入VN。
- Fit AP的无线业务配置除认证模板在NCE-Campus上配置外,其他主要通过WAC的Web网管或者命令行方式进行集中配置。
- AP上线方式
AP上线主要包括管理网络打通、WAC的IP地址信息获取、iMaster NCE-Campus上的AP ESN校验。其中,管理网络打通、WAC的IP地址信息获取可参考“管理网络部署方案 - 设备开局上线方式”规划;对于iMaster NCE-Campus上的AP ESN校验,支持以下两种方式,实际部署时请根据需求选择对应的上线方式:
- 提前导入AP信息:该方式需要在AP硬装时采集AP ESN信息,在网络规划模板中填写ESN、AP名称,连同其他信息(如Eth-Trunk等)一起,一次性导入iMaster NCE-Campus。
- AP上线后手动修复:该方式不需要提前采集AP的ESN信息,需要现场施工时逐个安装AP并反馈AP ESN和位置信息,网络管理员可以同步在iMaster NCE-Campus纳管AP并根据AP位置修改AP名称。
- SSID和业务VLAN规划
无线SSID可以规划为员工、哑终端、访客三个,其中员工SSID与研发、市场员工无线业务VLAN,哑终端SSID与研发、市场哑终端无线业务VLAN,分别是一对多的关系。实际现网中SSID与无线业务VLAN的对应关系,请根据具体业务需求进行规划。 - WLAN网络准入规划
无线准入可以规划为三种,员工SSID使用802.1x认证,访客SSID使用自注册和MAC优先的Portal认证,哑终端SSID采用MAC认证。
|
出口网络部署方案 | 与出口防火墙设备对接互联,即每个VN都有一个对应的三层接口接入防火墙的安全区域,并实现外部互访。 |
接入控制部署方案 |
- 认证控制点和认证执行点规划
为了实现用户接入能够通过不同认证方式进行认证,Fabric不仅需要与认证服务器实现互通,还需要选取认证控制点设备,并且在控制点上绑定相应的认证模板。在分布式网关场景中:
- VXLAN到汇聚(即Edge下有扩展节点),有线用户接入认证除了在Edge节点部署认证控制点之外,还需要通过控制器将扩展节点指定为认证执行点,以上配置都在Fabric接入管理中配置。
- 无线用户接入认证控制点部署在WAC,即核心交换机。
- 认证方式规划
有线用户接入、无线用户接入均基于用户类型规划,参考“•WLAN网络准入规划”,对于员工,采用802.1x认证;对于访客,采用自注册和MAC优先的Portal认证;对于哑终端,采用MAC认证。 - 业务随行规划
在传统园区网络中,控制用户网络访问权限主要是通过NAC技术结合VLAN和ACL技术来实现的,需要在大量的认证点交换机上提前配置,部署和维护工作量巨大。基于安全组的业务随行方案,实现了业务策略与IP地址的解耦,改变了访问控制策略的匹配机制,把原来的一步匹配改成了两步匹配:先用IP匹配安全组,再用安全组去匹配策略。IP与安全组的映射关系可以随着IP的分配情况动态刷新,从而实现了用户能够从园区网络中的任意位置、任意VLAN、任意IP网段接入,并可以始终控制其网络访问权限。
|
本篇最佳实践基于虚拟化分布式网关方案常用的三层组网介绍部署思路,其中,汇聚交换机做为Edge节点,核心交换机作为Border节点。用户网关采用分布式部署方式,选取汇聚交换机作为用户网关,如图3-1所示。具体组网说明如下:
网络管理区的物理服务器部署组网图