目录
2、需要对核心交换机、汇聚、接入交换机的所有Trunk接口进行vlan裁剪
3、需要将核心交换机下联接口配置为路由协议被动口,避免广播洪泛
4、N18K上NFPP功能保持默认开启,不要随意修改,调整参数,特定情况下可在部分端口关闭。
5、不能将只有单层VLAN的数据VLAN-ID 与 PE-VLAN配置一样
6、N18K上开启DHCP SNOOPING TRUST端口不能与认证端口同时配置
10、核心N18K下联端口开启二层隔离保护口(switchport protected),或者是基于vlan的隔离保护(vlan protected)
14、开启dhcp snooping对dhcp relay报文的兼容性处理
15、DB系列线卡仅支持60个CE-VLAN,QINQ隔离场景如果接入集联过多则无法支持
4、QinQ隔离解决方案场景下,需要在接入设备上配置STP+rldp防环
1、全局开启AC的arp代理功能(之前要求必须关闭,需修正)
3、在AC上开启NFPP的信任列表,把N18K网关的MAC地址加入到ARP-GUARD和DHCP-GUARD的信任列表中
5、无线用户的arp欺骗和私设IP地址问题,在AC上配置dhcp snp+ip source guard+arp-check解决。
6、为避免广播域过大,要求极简网络大二层方案中,ap-group中AP的数量需要控制
7、极简网络方案中,如果有开启三层漫游,需要在AP管理VLAN下开启本地代理
8、极简网络方案中,AP的管理VLAN在N18K上应配置为普通VLAN,而所有有线和无线用户的VLAN,要求配置成Subvlan
9、极简网络方案中,针对认证配置在AC上的用户,有如下两种建议
Ⅰ N18K配置风险及注意点
1、如存在用户迁移情况,核心交换机上要开启认证迁移功能
认证上收核心交换机以后,如用户在某个地区未主动下线,到另一个地方接入网络,则在无流量下线时间内会导致用户无法再次认证上网。如,无线用户在两个信号或同一信号范围内来回切换时,则会无法正常认证。因此需要开启认证迁移。
station-move permit
web-auth station-move auto
web-auth station-move info-update
no web-auth station-move arp-detect //建议关闭WEB认证迁移时的ARP探测
no dot1x station-move arp-detect //建议关闭802.1x认证迁移时的ARP探测
2、需要对核心交换机、汇聚、接入交换机的所有Trunk接口进行vlan裁剪
大二层网络下核心交换机存在一个风险点,由核心交换机的supvlan发出的协议类报文会在所有subvlan内泛洪,尤其是qinq方案可能会造成pevlan*cevlan个数的协议报文泛洪量,对核心交换机的CPU消耗和下联的汇聚和接入设备链路带宽都带来很大影响。因此需要在核心交换机下联口尽量裁剪掉没有使用的vlan,减少vlan范围避免这种非必要的消耗。
switchport trunk allowed vlan only 100-103,900,3501-3550,4201-4204
3、需要将核心交换机下联接口配置为路由协议被动口,避免广播洪泛
需要将下联用户,以及其他无需建立OSPF邻居的三层口配置为被动接口,否则可能出现核心交换机往下方supervlan的所有subvlan发送OSPF的组播报文,消耗核心交换机的CPU资源和链路带宽,影响网络正常使用。
router ospf 110
passive-interface vlan 3001 //OSPFv2 配置被动接口
ipv6 router ospf 110
passive-interface vlan 3001 //OSPFv3 配置被动接口
4、N18K上NFPP功能保持默认开启,不要随意修改,调整参数,特定情况下可在部分端口关闭。
NFPP必须全局开启,否则存在攻击时极有可能导致N18K的资源消耗而影响网络的正常使用。
如存在类似以下两种情况,在全局开启NFPP以后,需将相关接口的dhcp-guard关闭。
情况1:N18K作为DHCP RELAY,则将N18K上去往DHCP SERVER接口的dhcp-guard关闭;
情况2:N18K作为DHCP SERVER,有无线终端网关位于AC上,并且AC作为DHCP RELAY,则需要将N18K上通往AC相应的端口的dhcp-guard关闭。
interface GigabitEthernet 1/20 //进入上方描述的接口
no nfpp dhcp-guard enable //接口关闭dhcp-guard
5、不能将只有单层VLAN的数据VLAN-ID 与 PE-VLAN配置一样
高校中部署QINQ方案时,有可能存在部分终端的流量无需被QINQ打上双层标签,如AC直接接在N18K上,没有被汇聚交换机QINQ打上双层VLAN,或者汇聚交换机有些下联口直接连接了某些终端没有被QINQ打上双层VLAN。
注意不能将这些单层VLAN数据的VLAN-ID与PE-VLAN重叠,否则数据收发异常。
6、N18K上开启DHCP SNOOPING TRUST端口不能与认证端口同时配置
如存在该情况,需要提前准备链路将相关流量进行分流,割接时需特别注意。
7、直通vlan个数限制/ARP主动打通vlan个数限制
全局配置:direct-vlan xxx,xxx-xxx (show direct-vlan判断)
全局配置:arp resovle vlan xxx (show run | in arp resovle判断
a.直通VLAN配置过多(超过100个),广播/组播报文复制会导致线卡CPU高,引发故障。直通VLAN个数以不超过100为宜。超过时,用安全通道或直通站点功能。
建议:业务及终端的放行使用安全通道(免认证子网)或直通站点功能,接入设备和AP的放行可以使用直通vlan放行。
b.ARP主动打通vlan配置过多(超过50个),广播/组播报文复制会导致线卡CPU高,引发故障。ARP主动VLAN个数以不超过100为宜。极简X方案部署时,有线接入建议一个楼栋部署一个VLAN。
注意:配置了ARP主动打通vlan的情况下,直通vlan的主动打通功能不再生效,需要主动打通的vlan以ARP主动打通vlan为准。
8、打印机哑终端部署
打印机哑终端不会主动发ARP报文,在supervlan大二层扁平化网络下设备可能会因为哑终端不主动发ARP报文,设备无法学习到哑终端的ARP,导致哑终端接入网络不通
部署时需要将打印机规划一个IP网段(建议使用24位掩码网段即可),然后配置为主动打通IP范围,arp resovle ip 10.10.10.0 10.10.10.254,或者由SDN控制器定义这个打印机业务子网为主动打通。
如果在割接改造场景下,哑终端部署在多个IP网段且无法知道IP多少,那么可以使用ARP主动打通VLAN部署。
DSW-18KX_LX(config-router)#arp resovle ip x.x.x.x
DSW-18KX_LX(config-router)#arp resovle vlan xxx
QINQ场景下,哑终端的部署建议使用ARP主动打通IP网段的形式部署。将哑终端配置在同一个IP网段内进行ARP打通。
9、组播部署问题
部署组播时,组播客户端推荐单独划VLAN部署,和supervlan业务网区分开
如果组播客户端必须部署在supervlan内,则需要对组播部署配置进行相关优化。具体配置见组播场景规划章节。防止组播报文在supervlan内泛洪,该场景下需要同步二线评估部署风险。
QINQ网络不支持部署组播业务。
10、核心N18K下联端口开启二层隔离保护口(switchport protected),或者是基于vlan的隔离保护(vlan protected)
11、接口索引唯一性
N18K每个物理端口的接口索引值都是唯一的,可以通过show interface查看(Index字段),当有多张线卡和AP口时(先插入1张,配置AP口,再插入1张),设备重启后,可能会导致设备接口索引发生变化,导致SAM上的区域划分功能失效。必须开启接口索引唯一功能。
Ruijie(config)#snmp-server if-index persist
12、避免SAM上出现全0地址的用户
802.1x和无感知认证,都需要通过su客户端或者N18K的dhcp snooping表获取认证用户的IP地址,当以下配置漏配时,就会导致N18K拿不到认证用户的IP地址,将全0地址传给SAM服务器。如果SAM服务器又配置了相同IP用户的抢占策略时,就会导致用户被异常踢下线。为了解决这个问题,需要配置以下命令:
Ruijie (config)# ip dhcp snooping //开启IP dhcp snooping
Ruijie (config)# aaa authorization ip-auth-mode mixed//配置认证用户的IP授权模式为混合模式
Ruijie (config)# dot1x mac-auth-bypass valid-ip-auth//配置mac无感知认证需要获取IP地址后才允许认证
Ruijie (config)# dot1x valid-ip-acct enable//dot1x认证和无感知认证的用户,未获取IP会在5分钟后被踢下线
13、SAM和N18K在线用户准确性
为了防止SAM和N18K在线用户信息不一致导致的异常,SAM每天凌晨2点会自动与N18K上核对在线用户信息,删除SAM上假在线用户信息。
N18K必须开启snmp-server命令,用于跟SAM同步信息:
Ruijie(config)# snmp-server host 172.18.18.18 informs version 2c ruijie //ip 为SAM的ip地址。
14、开启dhcp snooping对dhcp relay报文的兼容性处理
默认情况下N18K开启dhcp snooping会默认丢弃由汇聚设备Dhcp relay上来的地址申请报文,需要通过以下命令配置协议兼容。
DSW-18KX_LX(config)#ip dhcp snooping check-giaddr //dhcp snooping和relay的兼容命令,防止有relay过的dhcp报文到了N18K被dhcp snooping模块丢弃
15、DB系列线卡仅支持60个CE-VLAN,QINQ隔离场景如果接入集联过多则无法支持
QINQ隔离场景接入集联时,CE-VLAN需要递增部署。当集联的交换机接口数量大于60个时,则DB卡无法支持。
建议首先尝试修改集联拓扑,无法解决时则建议申请更换DB线卡为ED线卡(支持511个CE-vlan)
Ⅱ 汇聚及接入设备配置优化及注意点
1、极简场景接入、汇聚设备需要关闭安全功能
接入、汇聚设备需要关闭NAS认证相关功能(包含aaa、web认证、802.1x认证等配置),以及接口安全、防欺骗类安全功能(dhcp snooping、arp-check、ip source-guard)等等,这类功能在极简网络中已经无需在接入、汇聚设备开启。如果未关闭,可能会造成安全功能和极简方案存在冲突或者未知的BUG,影响现网业务。
如:S21设备开启1X命令,会导致1X报文无法透传到N18K设备
2、接入设备配置开启功能
1)开启RLDP防环功能;
Ruijie(config-if- FasterEthernet 0/1)#rldp port loop-detect shutdown-port
2)如果接口属于相同VLAN的话,需要开启端口保护功能;
Ruijie(config-if-FasterEthernet 0/1)# switchport protected
3)开启风暴抑制功能,组播广播接入建议限制30PPS,如不满足根据实际情况进行调整
Ruijie(config-if-FasterEthernet 0/1)# storm-control multicast pps 30
Ruijie(config-if-FasterEthernet 0/1)# storm-control broadcast pps 30
3、汇聚设备开启功能如下
1)进行VLAN裁剪;
2)如果接口属于相同VLAN的话,需要开启端口保护功能switchport protected;
3)开启风暴抑制功能,组播广播接入建议限制1000PPS,如不满足根据实际情况进行调整;
注:该汇聚设备属于楼层汇聚,如果是区域汇聚只需做VLAN裁剪以及端口保护。
4、QinQ隔离解决方案场景下,需要在接入设备上配置STP+rldp防环
每台接入设备配置全局开启STP配置,在上联口开启bpdu fillter,下联口开启bpdu guard同时也开启rldp相关配置。接入设备通过上联口配置BPDU fillter,保证STP生成树只在单台设备上,不进行拓扑学习和根桥选举。在下联口配置BPDU guard,当收到bpdu报文时就shutdown端口保证环路避免。
注意:接入隔离方案可以无需开启stp防环,qinq隔离方案则必须开启stp防环,因为rldp环路检测在qinq方案的接入设备每端口一个vlan的场景下,存在部分环路场景无法检测的缺陷
Ⅲ 无线设备配置注意点
1、全局开启AC的arp代理功能(之前要求必须关闭,需修正)
因用户迁移过程中,如果N18K配置了迁移探测,会往源VLAN发送单播的 ARP探测报文,11.1(5)B9P5之前的版本如果AC开启了代理,会代理回应ARP报文,导致迁移失败。要求:
(1)AC上的arp代理功能需要开启(默认开启)
(2)因此如果AC版本是11.1(5)B9P5之前的版本,需要升级到最新版本,然后确保开启本地代理
(3)AC版本是11.1(5)B9P5及以后版本,确保开启即可
2、AC上需要开启无线用户二层隔离的功能,避免广播域过大
AC(config-wids)#user-isolation ac enable
AC(config-wids)#user-isolation ap enable
3、在AC上开启NFPP的信任列表,把N18K网关的MAC地址加入到ARP-GUARD和DHCP-GUARD的信任列表中
极简下用户的网关都在N18K上,会因为AC和N18K报文交互太频繁。导致N18K网关的MAC被AC上NFPP的ARP-GUARD和DHCP-GUARD加入到隔离列表。在AC上开启NFPP的信任列表,把N18K网关的MAC地址加入到ARP-GUARD和DHCP-GUARD的信任列表中。
nfpp
arp-guard trusted-host 10.51.0.1 5869.6ca2.9ec
dhcp-guard trusted-host 10.51.0.1 5869.6ca2.9ec
4、无线WEB认证的NAS设备需要统一
如果出现部分无线用户NAS为N18K,部分无线用户NAS为AC,则无感知认证跨区域漫游会失效,需要重新认证。严重会出现用户信息在两个NAS上,导致计费异常。
5、无线用户的arp欺骗和私设IP地址问题,在AC上配置dhcp snp+ip source guard+arp-check解决。
1X认证在AC上,需在AC上开启:dhcp snooping + ip verify source port-security + arp-check
WEB认证在N18K上,默认支持认证后绑定静态ARP防止ARP欺骗。防止IP私设功能则在设备上开启web-auth dhcp-check功能
6、为避免广播域过大,要求极简网络大二层方案中,ap-group中AP的数量需要控制
智分加主机一个ap-group(注:不同ap-group对应的用户vlan映射不同)不超过10台
放装AP一个ap-group(注:不同ap-group对应的用户vlan映射不同)下不超过100台AP
7、极简网络方案中,如果有开启三层漫游,需要在AP管理VLAN下开启本地代理
在分布式升级和AP三层漫游中,会需要AP之间能够互相通信,由于极简网络中会配置隔离,而普通VLAN下默认是没有开启代理的,则会导致AP之间无法通信。因此需要在AP的网关SVI接口下开启本地代理local-proxy-arp。
8、极简网络方案中,AP的管理VLAN在N18K上应配置为普通VLAN,而所有有线和无线用户的VLAN,要求配置成Subvlan
N18K上针对AP管理VLAN需要配置免认证VLAN,而免认证VLAN情况下N18K具有主动往该VLAN发送ARP广播报文的功能,未避免将AP划入subvlan关联到supervlan以后,出现广播报文被复制成多份,发送给所有subvlan而导致设备运行异常,因此要求将AP的管理VLAN配置为普通VLAN,每个VLAN单独配置网关。
9、极简网络方案中,针对认证配置在AC上的用户,有如下两种建议
建议1:对应用户根据传统无线网络部署,将用户划到到一个个普通vlan中,针对对应的普通vlan配置免认证vlan;
建议2:N18K上建议将该用户所在vlan配置为subvlan关联supervlan,并且配置免认证vlan,然后配置arp resolve vlan 放通其他需要主动发送arp广播报文的vlan,详细解释如下
N18K(config)#arp resolve vlan XX //开启N18K主动往对应VLAN发送ARP请求的功能
注:极简方案版本,除非针对对应subvlan配置免认证vlan,否则N18K不会主动往对应的subvlan发送ARP请求。
1、以上命令仅针对supervlan下的subvlan生效,针对普通VLAN不生效,不会有任何影响;
2、配置以上命令后,除了以上指定的vlan,其他所有supervlan下的subvlan即使配置了免认证vlan,N18K也无法往对应vlan主动发送arp报文(只能被动回应)
综上,如果配置了以上命令,需要加上所有需要N18K主动发送ARP广播请求的vlan,比如AP管理vlan,交换机管理vlan
Ⅳ ONC配置风险及注意点
1、ARP打通
打印机等不会发ARP报文的哑终端必须规划为同一个IP网段,ONC上开启ARP打通,否则哑终端无法入网成功
2、免认证子网/安全通道
在做割接改造时,通过ONC上面开启免认证子网,免认证终端等各类免认证功能时,一定要确认原来N18K上面是否有配置全局安全通道,如果有则会被ONC下发的安全通道命令覆盖(全局调用ONC下发的ACL RG-ONC-FREE而不是此前N18K已经配置的安全通道ACL,N18K全局仅能调用一条安全通道ACL,后配置的覆盖旧的),此时可能导致原理免认证的功能失效,则,规避方法有如下几种:
保留ONC下发的安全通道(推荐)
- 将N18K原先配置的安全通道删除no security global access-group
- ONC上开启免认证子网,免认证终端等功能,相关配置下发到N18K上,包括对应的acl和安全通道,如开启192.168.1.0/24业务子网为免认证子网,下发到N18K的命令如下:
expert access-list extended RG-ONC-FREE
1 permit ip 192.168.1.0 0.255.255.255 any any any
8001 permit arp any any
security global access-group RG-ONC-FREE
- 将N18K原先配置的安全通道对应的acl里面的ace,复制粘贴到RG-ONC-FREE这个acl底下
- 保留N18K原先的安全通道
- ONC开启免认证子网,免认证终端等功能,相关配置下发到N18K上,此时,由于N18K已配置了全局安全通道,因此,仅RG-ONC-FREE这个acl(包括对应的ace)能正常下发到N18K上,security global access-group RG-ONC-FREE该命令无法正常应用
- 将RG-ONC-FREE这个acl对应的ace,复制粘贴到N18K上所配置的安全通道对应的acl下
注:【2】的一个缺点是,后续如果在ONC上继续添加一些免认证子网,免认证终端的操作,都需要在CLI上将控制器下发的ace复制粘贴到N18K原先配置的安全通道acl底下,太过麻烦且容易遗忘,因此,我们更推荐【1】的部署方式
3、免认证vlan
免认证vlan不允许同时在N18K和ONC上混合配置,如N18K上配置direct-vlan 111,222,ONC上配置免认证vlan 333,则ONC会有相应告警提示该免认证vlan333下发失败。
对应的解决办法是:要在ONC上配置免认证vlan时,需要将N18K上旧的免认证vlan列表复制到ONC web页面
,如上述,ONC要添加vlan 333为免认证vlan,需要同时添加vlan 111,222,333方可配置成功。
建议免认证vlan仅在唯一的一个设备配置,N18K或者ONC上
Ⅴ QINQ场景规划及注意点
一、场景拓扑
场景介绍:某些办公区域或其它区域的用户设备直接连接在汇聚设备下。
二、部署说明
1、在汇聚上与用户直连的下联端口设置成ACCESS口,该设备的上联口设置为TRUNK口并加入该用户的VLAN;
2、需确定N18K上这类单tag vlan的用户,vlan id不能和QinQ终结命令中配置的PE-VLAN(外层vlan)相重叠。
案例:
N18K配置qinq终结的外层vlan范围为:qinq termination pe-vlan 100-101
若此时终端直连汇聚错误配置为vlan id =100的单tag用户,终端报文到达N18K后进行报文识别:
1、判断vlan id为100则进入qinq处理逻辑
2、解析报文后发现无内层vid,则将报文丢弃。最终结果导致vlan id=100的单tag终端无法进行数据转发,所以部署规划的时候,需要将vlan id规划为非pe-vlan的vlan来部署,这样避免
1276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
