目录
一、传统极简网络基础限制
QINQ | N18K设备做二层交换时,同时开启DHCP Snooping和QINQ终结后,对于双层Tag的DHCP报文,如果其外层Tag不在PE-VLAN中,可以转发透传;如果其外层Tag在PE-VLAN中但内层Tag不在CE-VLAN中,则无法透传 | |
CE-VLAN必须连续配置,ED卡最多支持511个CE-VLAN,DB/DC卡最多支持60个CE-VLAN,DB/DC与ED混插按DB卡容量,即60个。当配置CE-VLAN的个数超过60个时,插入DB/DC卡,线卡起不来。 | 未解 | |
单层VLAN与(QinQ)双层VLAN可以共存(包括同一个端口、同一个Supervlan),但单层VLAN与QinQ的PE、CE-VLAN规划不能冲突 | 未解 | |
不同汇聚设备的PE VLAN规划建议不要重复(1个PE VLAN泛洪的范围是PE * CE VLAN数),并进行端口VLAN裁剪,减少广播复制的范围。广播报文过多时(超过1w PPS),可能会导致正常的协议无法外网广播,如:ND报文,导致客户端无法获取到IPv6前缀。 | ||
QinQ环境下不建议配置免认证VLAN(也称直通VLAN),这会导致广播泛洪的PE VLAN数变多,会影响设备性能,建议配置安全通道解决。单层VLAN或管理VLAN业务,可以使用免认证VLAN,总量建议不超过100个。 | 未解 | |
终端位置识别 | 无感知认证场景下,设备无法获取认证终端用户名,这时控制器只能从设备获取MAC地址作为用户名显示 | 未解 |
认证管理 | 免认证访问资源属于接入管控,业务子网策略和终端组策略属于网络安全,只有接入管控和网络安全都放行了才能放行。 | 未解 |
免认证vlan数量不能超过50个,否则18k可能会出现硬件表项不足的情况 | 未解 | |
防火墙卡 | 防火墙卡只支持透明模式;防火墙卡不支持对super vlan和subvlan的保护;防火墙卡不支持对QinQ报文的处理。 | 未解 |
MSC卡 | MSC和SC共用的时候都将MSC卡作为一个路由模式的安全节点来处理 | 未解 |
VLAN | 当配置的vlan与路由口或L3AP口内部分配的vlan冲突,则路由口或L3AP口会分配新的空闲vlan,但原vlan的三层属性依然开启,可能导致原vlan目的mac是本机的报文走路由转发。如入口镜像三层报文到某个回环口,该回环口的vlan之前是路由口使用的,可能导致报文又走路由转发,可以配置该vlan的svi口后删除来规避。当前路由口和L3AP口的vlan分配从4000以上开始,建议尽量配置4000以下的vlan。 | 未解 |
ACL | 安全ACL同时应用在物理口(属于SVI的成员)与SVI口时的优先级,目前软件实现上并没有对其进行明确约束。通常先配置的优先级高,例如先在SVI上配置,后在物理口上配置,结果为SVI上的优先级较高。启机刷配置的时候先刷端口上的配置,后刷SVI上的配置,所以重启后端口上ACL的优先级比SVI上的高。 | 未解 |
作用于物理端口的输出方向安全ACL对于交换机CPU发出的组播报文、广播报文失效。 | 未解 | |
IPv6 acl 可以支持匹配的区域为: Protocol, sip, l4_src,dip, l4_dst, dip, dscp, flow_label. 在一个ipv6的acl内,只支持以下两种匹配域组合中的任意一种: protocol, sip, l4_src, l4_dst, dscp, flow_label protocol, dip, l4_src, l4_dst, dscp, flow_label 不支持在一个acl内匹配上述所有区域。此外,ipv6 acl不支持匹配fragment;ipv6 acl出口方向不支持flowlabel。 此外,当ipv6的acl应用到虚拟机时,由于默认要匹配smac,这会导致ipv6的acl只能支持如下几种匹配域组合: protocol, l4_src, l4_dst, dscp, flow_label protocol, dip, dscp, flow_label protocol, sip, dscp, flow_label | 未解 | |
应用于安全通道的访问控制列表的 deny 行为不生效,并且不存在末尾隐含着一条“拒绝所有数据流”规则的语句,如果报文不符合安全通道的匹配条件,将按流程进行接入控制的检查; | 未解 | |
负载均衡 | 配置二层AP口或三层AP口时,字段(源目的MAC、源目的IP、及其组合)相同的报文,只会走一个AP成员口,并不会流量均衡到其他AP成员口; | 未解 |
VSU环境中,广播/未知名单播/多播/组播报文是通过VLAN进行均衡,根据当前系统的VSL端口数目将4095个VLAN分配到不通的VSL端口,通过VLAN控制广播报文从哪个端口进行转发。影响是1个VLAN的报文只会走1条VSL链路,如果用户网络中的流量都集中部分VLAN,均衡效果不佳 在跨线卡VSL链路存在的情况下,VSL均衡基于线卡,出口为同一张线卡的单播报文仅会选择其中一张线卡VSL链路进行转发。影响是如果1个线卡上有多个VSL口,而对端的VSL又在不同线卡上,就会存在所有到该线卡的单播流量只从1个VSL链路转发。 卡内的VSL链路根据报文的源IP进行卡内端口均衡。 建议:如果用户有带宽需求,并且要求VSL链路要均衡效果好的话,建议尽量让VSL链路集中在相同线卡上。 | 未解 |
二、策略随行基础限制
策略随行 | 普通acl(包含端口acl、svi acl、全局acl)放行且子网acl放行才能放行,被普通acl和控制器acl任意一个deny就会deny | 未解 |
策略随行首次入网终端因地址获取两次,需要认证两次; | ||
策略修行地址续租为终端行为,因此首次认证通过或者切换用户组以后,需要等到租约到期终端续租IP时才能切换IP地址。 | ||
认证终端信息显示的场景下认证服务器需要开启mac唯一性检查 | 未解 | |
MAB认证的场景,SAM不支持直接指定MAC认证的终端组下发 | 未解 | |
一个MAC在同一时刻只能归属一个终端组,终端组变化待下次续租后重新分配IP地址 | 未解 | |
设备重启后24小时之前的IP地址历史记录会丢失 | 未解 | |
如果认证的终端组为空不覆盖原来的已经获取的终端组 | 未解 | |
一个业务网子网不能属于多个终端组 | 未解 | |
控制器导入的终端组和终端的绑定关系优先级大于认证获取的动态终端组 | 未解 | |
策略随行DHCP服务器必须配置在核心交换机上 | 未解 | |
不支持用任意账号都进行认证的公共PC | 未解 | |
18k进程重启和主从切换的情况下,15分钟后的用户数据可能会丢失 | 未解 | |
终端组策略和用户组创建的配置不建议用户通过CLI配置 | 未解 | |
终端管理页面中,如果一个子网已经与“管理员审批”关联了,那么就不能再关联"1x/web认证",否则报错。 | 未解 |
三、控制器固有限制
控制器基础 | 1、控制器部署时不要对控制器IP在出口做NAT,防止控制器受到外部攻击导致控制器异常 | 未解 |
2、不允许将控制器和设备通信的网段纳管到控制器的业务子网,防止删除该网段时,交换机的ip地址也会被删除,从而出现控制器与交换机通信异常。 | 未解 | |
3、config页面中,控制器虚拟IP不能与控制器IP配置成一样,否则会导致控制器无法启动 | 未解 | |
4、INC控制器不支持降级,否则会导致业务异常 | 未解 |
四、公共终端场景限制
1、 DHCP的机制的一个特点就是IP地址的释放和申请的主动权在终端,因此当终端切换账号或者用户被管理员切换上另外的终端组后设备无法通知终端释放IP地址,导致终端在下一次续约之前IP地址和权限还是使用旧的。
2、 如果用户有公共机且需要认证的场景,例如企业的会议室和学校的图书馆的公共机需要账号认证才能上网则不能开启 MAC 校验。公共机可以采用只部署 1x 认证 ,通过 SU 客户端功能, 来触发 ip 地址的重新申请来切换权限。
3、 还可以将其部署在非策略随行区域 ,这样不管用什么账号认证都获取到非策略随行区域的ip和权限(如果公共权限足够满足用户需求,这样更安全),部署了公 共pc进行权限切换的场景不应该要求ip地址不变,只应该部署ip权限不变。
4、 或者公共终端采用静态 IP 地址方式部署,权限固定,不存在终端切换需要 IP 地址切换的情况。
五、无线802.1X认证限制
1、无线1X用户,由于认证NAS非N18K,故无法实现基于用户终端组分配IP,也无法实现策略随行,因此在做无线1X规划的时候,重点考虑无线1X的免认证以及是否需要策略随行。
2、可以考虑将无线1X用户按照传统极简的方式另外规划supervlan+subvlan,在INC上面控制DHCP与访问策略,划分到非策略随行区域对待。