目录
一、案例一:接入模式
1. 客户需求
1、 需保持现网网络扁平化大二层,有线、无线终端网关上收到核心设备,不能改变现有网络模式;
2、 内网用户电脑、网络打印机、摄像头等有线终端使用静态IP地址接入网络,这些终端入网需管理员审批同意后才能实现二层、三层互访;终端位置发生迁移、IP变化、IP冲突等入网事件需要管理员再次审批才能入网;
3、 在RG-INC-PRO上能识别终端接入位置、类型、统计数量、终端名称、在线状态等,用于资产盘点;
4、 实现IP可视化,能看到静态/动态分配IP的具体的使用情况。
1.2. 需求实现方式
1、 选择SDN准入管控方案的接入模式,直接在现有网络中部署,实现客户需求;
2、 配置接入模式静态IP准入管控,实现静态IP终端入网审批后才能进行二层、三层互访;配置接入模式动态IP准入管控,实现动态IP终端入网审批后才能进行二层、三层互访;
3、 SDN方案通过锐捷接入交换机SNMP Trap结合RG-INC-PRO,可实现终端接入位置识别;同时,通过业务网分类也能标识出终端的类型,并且会记录下数量、名称和在线状态;
4、 RG-INC-PRO会根据DHCP分配情况以及终端在线情况,统计出动静态IP分配情况,实现IP可视化。
1.3. 信息收集
在项目实施之前,需要收集如下信息,以便作为后续的方案设计。收集的信息如下:
1. 收集当前业务信息,了解客户内网有哪些业务分类,相关业务互访或访问网络资源,是否需要引流到安全设备,或者引导到哪些安全设备,以便进行RG-INC-PRO进行业务流规划,明确配置思路;该案例中,收集的信息如下:
2. 了解安全设备的部署位置、部署模式(路由模式还是透传模式)、最大吞吐、接口类型等相关信息,用于规划引流策略,确认设备接口是否能够满足;
名称 | 部门 | 网段 | 网关 | 备注 |
办公网 | 财务部 | 1.0.3.0/24 | 1.0.3.1 | 动态地址段 |
访客网络 | 1.0.20.0/22 | 1.0.20.1 | 动态地址段 | |
控制器RG-INC-PRO | NA | 172.18.149.45 | 172.18.149.1 | NA |
1.4. 方案规划设计
1、 该客户场景中用户网关均部属于核心N18k上,并且只要求二层、三层互访时进行管控,因此本案例选择准入管控——接入模式;
2、 针对静态IP终端每个VLAN创建相应的业务网,再创建相应的子网,开启准入管控;
3、 针对动态IP终端创建相应的业务网,终端入网以后直接对进行IP地址静态绑定。
1.5. 设备清单
设备类型 | 产品型号 | 产品说明 | 数量 | 其他注意项 |
核心设备 | N18K、S86E、S78C、S57H | 核心交换机,包含: (主机)1×RG-N18007 (引擎)2×M18007-CM II (电源)2×RG-PA1600I (线卡)1xM18000-24GT20SFP4XS-ED | 1-2 | 必配,双机可组VSU 线卡按需单独配置 不同引擎,线卡组合带机数不同,请参考传统极简 |
SDN控制器&通用授权 | RG-ONC-AIO-E或者RG-ONC-AIO-H | SDN控制器软硬件,包含: RG-ONC-AIO-E:1台 RG-ONC-AIO-CTL:1张 RG-INC-PRO-BASE:1个 RG-INC-PRO-SW-NMC:1个 RG-INC-PRO-SW-DEVICE-100:1个 RG-INC-PRO-SW-DEVICE-200:1个 | 1-3 | 必配,每张CTL节点标配 2 个 2TB 7200 转 3.5 寸企业级硬盘,默认组RAID1,同一节点卡与硬盘必须配套使用 集群环境必须CTL节点3张以上,还需单独购买集群授权 |
方案授权 | RG-INC-PRO-SW-ACTL | 锐捷SDN ,准入管控方案授权,与终端数无关 | 1 | 用于准入管控方案 |
汇聚设备 | S57H | 无特殊要求 | 按需 | NA |
接入设备 | S29EV3/XS系列 | 接入交换机版本需要使用方案指定的版本 | 按需 | NA |
1.6. 配置详解
1) 配置区域
参考“08方案部署”章节——《核心模式(普通vlan)》。
2) 配置公共属性
参考“08方案部署”章节——《核心模式(普通vlan)》。
3) 配置地址资源池
参考“08方案部署”章节——《核心模式(普通vlan)》。
4) 配置网络模板
参考“08方案部署”章节——《核心模式(普通vlan)》。使用传统网络模板
1.6.1. 交换机配置(接入交换机)
协议 | 配置 |
SNMP | S29(config)#snmp-server if-index persist //固定snmp端口索引值 S29(config)#snmp-server community (key) rw //配置snmp团体字 |
Netconf | S29(config)#enable service ssh-server //全局使能ssh server S29(config)#username key password key //配置ssh用的账号密码 S29(config)#crypto key generate dsa //加密方式选择DSA或者RSA均可 % You already have DSA keys. % Do you really want to replace them? [yes/no]:y Choose the size of the rsa key modulus in the range of 512 to 2048 and the size of the dsa key modulus in the range of 360 to 2048 for your Signature Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: //直接回车 % Generating 512 bit DSA keys ...[ok] S29(config)#line vty 0 4 S29(config-line)#login local //注意:如果RG-INC是3台以上的集群,由于集群RG-INC的SSH连接,默认就占用了3个以上的vty线路,因此为了不影响普通网管登入,vty建议配置0 6 |
Openflow | S29(config)#of controller-ip (RG-ONC-ip) port 6653 interface (loopback 0) //指定RG-INC的ip地址及本端的出接口,SDN控制器为三台集群时候,需要配置of 命令3条,指定3个RG-INC ip |
1.6.2. 设备纳管(添加设备)
在作这一步之前需要先完成创建区域、配置设备凭证然后再添加设备,这一步可参考接入模式。
点击“部署”-->"设备管理"-->"设备列表"页面,点击”新增“按钮,可以选择单个新增或是批量导入。
1.6.3. 创建业务网和业务子网,并关联SDN交换机
创建业务网:
添加业务子网:(注意,控制器不会下发service dhcp,该命令需要手工到交换机上面去开启)
添加完成之后,如下:
1.6.4. 开启准入管控
在创建好所有的业务网后,此时,RG-INC-PRO还未对所有需管控业务网(VLAN)进行管控(也未下发任何配置或者流表)。在保证现网业务完成正常的前提下,逐个业务网试点开启管控。
配置免管控端口(必配):接入模式下,接入交换机的上联接口需要配置成免管控端口。
配置终端免管控(可选),如果业务网内有无需管控的终端,则点击“终端管理》白名单》新增”填写其MAC,保存并确定即可,如下图。如果没有免管控终端,则忽略这一步。
1.6.5. 创建终端分组,并且关联业务网或者业务子网
根据业务类型进行终端分组。
1.6.6. 开启终端识别
如需手动修改终端信息,准入管控,有终端被管控之后的维护阶段,进行修改)。
如需手动修改终端信息,可点击操作->编辑按钮(在开启准入管控,有终端被管控之后的维护阶段,进行修改)。
1.6.7. 查看IP地址使用情况
ip地址监控可以看到IP使用的情况:
认证终端,准入终端:dhcp获取地址的——都可以看到
认证终端:静态地址——看不到
准入终端:静态地址——可以看到
1.6.8. 终端审批入网
对于刚部署时,如果有配置免管控时段,该阶段不用手动审批。过了免管控阶段后,新入网的终端就会出现在首页“待审批数”中,点击“待审批数”圆圈,进入“准入管控”页面,待审批列表审批终端。
业务网开启准入管控后,新终端入网,ARP报文会被packet in到控制器,控制器的待审批列表,有相应的表项,并提示原因为“首次接入”,首次入网终端MAC显示为黄色,点击绿色勾图标,“同意“即可上网。
1.6.9. 手动添加合法终端
管理员可根据实际需求,手动添加终端,将终端添加为合法用户后,该终端即可自由入网,不需要管理员再次审批。
终端添加时,仅需要添加MAC和业务网即可,如果所对应的业务网,已经创建了用户组,则直接在该用户组下添加终端MAC,否则,在未分组列表中,添加用户MAC和对应业务网。