锐捷极简X 大二层扁平化网络部署指导——场景介绍及规划

目录

Ⅰ  企业网+SMP+AD域认证场景

01  总部单园区场景

Ⅱ  搭配极简出口

网关方案

01  核心极简X+极简出口方案

02  核心极简X+出口BRA方案

03  出口网关方案+核心旁挂N18K部署极简X

Ⅲ  多校区组网场景

多校区多核心组网

Ⅳ  搭配深澜SRUN

城市热点RD认证场景

---

 

Ⅰ  企业网+SMP+AD域认证场景

01  总部单园区场景

拓扑：

说明：

1、企业网核心为N18K，汇聚接入为S57H，S29XS/Ev3设备

2、 企业SMP作为RADIUS和PORTAL服务器  ， 实现1X+WEB认证，同时多数拥有自己的AD域服务器，统一管理内部员工账号。 SMP服务器除了传统的认证功能外还需要将用户的分组信息同步给N18K，如果在企业场景需要从AD域获取用户信息和分组信息。

3、企业用户中重点实施策略随行功能，访问权限控制，哑终端准入管控，自动化运维功能

4、AD域服务器多为windows 2008R2 server active directory

5、总部单园区仅需一套N18K+SDN+SMP+AD域服务器即可。

6、SMP与AD域的对接认证，是测试的难点，特别是部分金融客户需要实现windows系统不带客户端的1X认证

---

Ⅱ  搭配极简出口

网关方案

01  核心极简X+极简出口方案

拓扑：

说明：

1、校园网核心采用N18K，部署极简X方案，完成终端的准入管控，用户的统一认证等功能。SAM+与N18K根据需求可选配置策略随行，由SAM+下发class 25用户组属性给N18K用于用户IP地址固化，仅本地有效，不影响RSR77X的选路工作

2、出口采用RSR77X，部署极简出口方案，基于SAM+的出口联动策略名同步usergroup属性给RSR77X实现不同认证终端的出口选路，流控等功能

3、在这个模型中，N18K，SAM+，RSR77X没有新增联动功能，与传统极简完全一样，N18K--SAM+，RSR77X--SAM+彼此两个独立过程，互不影响

---

02  核心极简X+出口BRA方案

拓扑：

说明：

1、校园网核心采用N18K，部署极简X方案，完成终端的准入管控，用户的统一认证等功能。

2、SAM+与N18K根据需求可选配置策略随行，由SAM+下发class 25用户组属性给N18K用于用户IP地址固化，仅本地有效，不影响RSR77X的选路工作。N18K基于usergroup固化的IP地址，配置对应的关联ACL，用于PBR策略路由，实现老师用户固定走EG的cernet专线出口，学生用户统一走RSR77X出口，采用BRAC方案，由RSR77X 代理PPPOE拨号实现用户上网

3、出口采用RSR77X，部署BRAC方案，基于SAM+的出口联动策略名同步usergroup属性给RSR77X实现不同认证终端不同用户套餐的代理运营商PPPOE拨号上网，流控等功能

4、在这个模型中，N18K，SAM+，RSR77X没有新增联动功能，与传统极简完全一样，N18K--SAM+，RSR77X--SAM+彼此两个独立过程，互不影响

---

03  出口网关方案+核心旁挂N18K部署极简X

拓扑：

说明：

1、校园网核心非N18K大二层偏平化，原有网络已经在出口部署极简出口/网关认证方案

2、出口采用RSR77X，部署网关方案实现统一认证，根据实际基础网络情况，用户可以采用二层PPPOE server拨号认证，也可以是三层准出的IPOE认证。基于SAM+的出口联动策略名同步usergroup属性给RSR77X实现基于用户组，角色的运营商出口选路，流控等功能

3、新增N18K旁挂核心，配合SDN控制器，作为全网物联网终端的大二层网关，实现准入管控，IP地址可视化，分级分权管理等功能

4、在这个模型中，N18K，SAM+，RSR77X没有新增联动功能，与传统极简完全一样，N18K--SDN（不认证），RSR77X--SAM+（实现认证）彼此两个独立过程，互不影响

---

Ⅲ  多校区组网场景

多校区多核心组网

拓扑：

说明：

一个业务如果属于多个校区一般就会部署在不同的N18K上见上图整体部署拓扑，那么就无法划分在一个super vlan内，需要在不同的校区配置成不同的super vlan，不同的supervlan内配置的子网网段也是不同的，例如学生终端组在校区A分配到10.0.0.0/24的IP，在校区B分配到的是20.0.0.0/24的IP，但由于这两个网段可以关联到同一个认证终端组，因此可以配置一样的权限，这样跨校区迁移权限也能保持一致。

但由于不同校区是不同的N18K来存储用户mac和终端组的关联关系，因此在认证终端泛接入的场景下，在一个校区完成两次认证入网后（纯WEB认证），迁移到另外一个校区还是需要做两次认证入网（纯WEB认证)。

      如果是两个校区共用同一台N18K核心，配置两个不同的supervlan。同一台N18K，多super vlan部署和多校区类似也是需要同一个业务在不同supervlan内分不同的网段，也可以达到权限随行的效果，且认证终端泛接入的场景只需要首次接入做两次认证，跨super vlan迁移也不需要再做两次认证。多super vlan部署也可能一个super vlan是qinq部署，一个不是，这种情况下也能保证正常的迁移，只是终端的VLAN信息变化。

---

Ⅳ  搭配深澜SRUN

城市热点RD认证场景

拓扑：

说明：

方式一：

1、N18K作为全网大二层网关，主要实现多业务承载网，哑终端的准入管控功能，深澜SRUN（软硬件一体机）作为准出网关，由深澜完成用户的WEB/IPOE认证。或者是HW/H3C认证NAS+RD/srun radius server实现用户的1X/WEB/MAB认证。

2、该方式下SRUN/RD与N18K间不需要任何对接联调，功能界面分担清晰。

方式二：

1、N18K作为全网大二层网关及认证NAS，认证radius则为SRUN或者RD（可串接也可以旁路）

2、极简X本身需要SAM上定制配合的为通过class属性（radius属性25）来下发用户组信息，主要是支持终端组策略随行，这个属性目前设备端还支持通过filterid（radius属性11）来下发，城市热点\深澜只需要进行简单的适配就可以对接上。

3、如果和城市热点\深澜无法与我们进行用户组属性下发的对接，那么除了人认证终端组绑定IP以外，非认证终端泛接入，全场景扁平化等价值点也能够正常部署。客户无需IP地址固化及策略随行需求，则认证采用传统极简标准化的radius，portal对接即可。