目录
Ⅰ 实施前必读
1、若网络为完全新建的网络,或者需要部署INC,并且通过INC新增业务,请按照正常的部署流程去操作即可
2、若网络为新增INC,需要新增INC控制器到网络中(原网络已经有业务),若要部署准入管控或者策略随行方案,请注意以下几点:
2.1以下步骤可以先行完成,不会影响现网业务
2.1.1 INC上区域的创建、设备凭证的添加、网络模板的创建,如下图几个模块
2.1.2 交换机可以先纳管到INC中,如下模块
2.2 以下步骤涉及到割接断网,请在业务低峰期操作
【风险】以下页面红框的配置操作属于实施阶段的操作,若在运维阶段要进行相关配置操作,请评估风险影响且征得客户同意后再操作。若您不清楚造成的影响,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。
1)方案需要交换机的版本必须是配套版本,请参考“方案组件及参数指标”章节,将交换机升级至对应版本,该过程会断网,请在业务低峰期操作
2)若需要通过INC把现网已经在跑的业务纳管进来,那么需要删除现网SVI网关、DHCP相关配置,然后再通过控制器去下发这些配置,该过程会断网,请在业务低峰期操作,即下图模块中的操作:
3)以下配置涉及到ACL策略以及流表策略的下发,也请在业务低峰期操作,确认测试的业务正常后,再进行全面的部署配置即可
Ⅱ 确认设备硬盘与时间是否正确
一、确认硬盘状态是否正确
由于硬盘需要配对部署,因此,在实际部署中容易出错。并且,后续的配置以及license绑定等操作都和硬盘强相关,所以需要先保证硬盘的可用性。查看方式如下:
登录“控制器部署配置“界面,点击”控制器系统信息“,在该窗口下查看”硬件规格“下的磁盘信息,如没有错误信息,则硬盘状态正常。
如发现硬盘状态异常,可先查看硬盘是否插紧。或者先关闭控制器电源,将硬盘进行重新插拔后再查看硬盘状态。如果依然状态异常,可直接提“硬件故障“。
二、明确控制器时间(需注意)
【目的】:确保控制器时间与正常时间一致。
由于方案涉及用户报表、日志等功能,均是与时间为强相关。一旦时间错误,将会导致客户管控行为与用户行为出现严重的偏差。因此,需要明确控制器时间是否与正常时间一致。(正常出厂前时间已调节,但依然有可能出现部分异常设备)
Ⅲ 设备版本升级
一、SDN控制器节点版本升级
注意:应升级所有INC节点版本。
笔记本直连SDN控制器 eth1 网卡,笔记本IP配置成与SDN控制器默认IP同网段(默认IP写在SDN控制器上贴的标签:192.168.1.2)。
Web访问https://192.168.1.2:8089/config,进入“控制器配置界面”页面,,默认账号密码:admin/rgsdn。
备注:升级时,应先关闭控制器,然后先升级“WEB版本”,最后再升级“方案组件版本”(升级完成后应记住开启控制器);
备注:详细升级流程可参考“4.2 软件升级”章节。
二、网络交换机设备版本升级
项目实施前,需到RTR系统上申请最新的“策略随行”方案版本,然后将所有需要管控的核心交换机升级为此方案版本。如核心交换机版本(以下只是示例,请以实施时最新版本为准):
如果方案设计时,也对“汇聚/接入交换机”进行管控,那也需将汇聚接入交换机升级为最新方案版本(如果不进行管控,则无需升级汇聚/接入交换机)。
备注:交换机升级方式即使普通设备版本升级方式。
Ⅳ INC环境准备
一、修改INC节点网口IP
【目的】:使控制器与设备端网络IP可达。(针对所有节点进行IP地址修改)
进入“控制器部署界面”下修改INC IP地址。(每个节点需操作一遍,IP地址按照部署前设计进行配置)
备注:修改完IP地址后,需设定一个接口地址为“控制器IP”,如上。
二、配置集群
不管是单机还是集群,都得配置“集群IP”。
单机下,只需配置自己的控制器IP为“集群IP”。
多机集群下,需要填写所有的集群成员控制器IP为“集群IP”。操作方式如下:
三、配置NTP服务器(集群模式下必配)
【目的】:确保个节点时间一致。
选中最小IP(控制器IP)做NTP服务器。IP最小的成员无需配置NTP IP,其它成员需配置。
备注:如果仅是单节点,可无需配置NTP服务器。
部署完后,注意要开启所有成员的控制器开关
Ⅴ INC策略随行方案授权
INC环境部署完成后,即完成了INC的初始化配置。接下来的配置则需要到“INC配置界面“进行配置,使用https://IP(正式分配的IP):8089/onc链接进行登录。
授权INC组件包含:
RG-INC-PRO-SW-NMC、RG-INC-PRO-BASE、 RG-INC-PRO-SW-DEVICE-XXX 、RG-INC-PRO-SW-PFOL(该授权包含的主要功能:策略随行+准入管控+IP地址管理+终端检测)
RG-INC-PRO-CLUSTER(集群需要,每个成员需单独申请该授权,例如三个节点的集群,需要三个集群授权)
集群场景下,除IP最小的集群成员需要导入所有授权外,其余成员只需要导入RG-INC-PRO-CLUSTER授权,集群建立后,可共享彼此授权。
Ⅵ INC与交换机设备对接
一、核心设备与INC对接
策略随行中,N18k核心设备需要与INC进行对接,其中信息的交互需要使用到三种协议(openflow、netconf、SNMP),其中,netconf需要借助ssh(telnet不行)进行对接。
因此,在核心设备上需要配置OF、SSH、SNMP。
备注:建议要单独配置一个用户名与密码,并且密码要加密,专门用来做sdn管控用的。 不跟系统现有的重复(避免后面CLI密码泄漏改密码、网络整改更换用户名密码,还得相应更改SDN上每台设备的连接配置(目前不支持批量修改))。SNMP 也建议新建一个团体字。
l 配置OF(如有多个节点,引流交换机上需指定多个ONC地址):
| Ruijie(config)#of controller-ip 172.18.31.16 interface VLAN 225 Ruijie(config)#of controller-ip 172.18.31.17 interface VLAN 225 Ruijie(config)#of controller-ip 172.18.31.18 interface VLAN 225 |
其中,172.18.31.16为控制器ip,interface vlan 225为设备管理vlan,设备通过该svi与控制器对接。(因此需确保该VLAN IP与控制器IP三层可达)
l 设备配置ssh,控制器与设备通过netconf协议互联,下发配置:
(1)开启ssh服务
| Ruijie(config)#enable service ssh-server |
(2)配置加密方式:加密方式有两种:DSA和RSA,可以随意选择
| Ruijie (config)#crypto key generate dsa % You already have DSA keys. % Do you really want to replace them? [yes/no]:y(选择y) Choose the size of the rsa key modulus in the range of 512 to 2048 and the size of the dsa key modulus in the range of 360 to 2048 for your Signature Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: (直接敲回车) % Generating 512 bit DSA keys ...[ok] |
(3)SSH登录用户名配置(有两种方法)
方法1:可通过配置aaa方法列表,本地登录方式
| Ruijie(config)#aaa new-model Ruijie(config)#aaa authentication login default local Ruijie(config)#username ruijie password ruijie |
方法2:也可通过如下方式,配置SSH登录,
| Ruijie(config)#line vty 0 4 Ruijie(config-line)#login local Ruijie(config)#username ruijie password ruijie (用户名和密码为ruijie) |
备注:
1、建议设置单独的SSH密码,专门用于做SDN管控使用。
2、集群情况下,vty建议多开启几个,三个节点的集群,就会占用三个vty,vty占用满会导致设备无法登陆,导致控制器无法登陆到交换机,无法与交换机进行正常通信,从而导致配置下发失败。
l 设备配置SNMP
| Ruijie(config)#snmp-server community ruijie rw |
备注:建议新建一个团体字,专门用于SDN连接。
二、汇聚/接入设备与INC对接
汇聚/接入设备根据实际设计需求,如果也进行管控,则参考“核心设备与INC对接”配置相同的配置;如果仅是用于拓扑发现,则只需配置SNMP团体字即可(建议与核心配置相同的团体字);如果没有与INC对接,则不需要配置。
三、INC添加设备
1) 配置公共属性
登录至“INC配置界面”,点击“设计”—>“网络设置”-->“设备凭证”,依次配置如下内容:
1、 telent配置,点击telnet端的新增开始配置(即配置与交换机设备相同的用户名/密码,端口23无需修改)
新增 telnet 配置后,将出现如下的配置参数,选择不同的认证模式,参数的个数会不一样
认证模式:用户名密码、只有用户名、只有密码、没有用户名密码。
用户名:设备 telnet 用户名。
密码:设备 telnet 密码。
端口:设备 telnet 登录端口,不需要更改
特权模式密码:设备 telnet 特权模式密码,如果有enable密码,则配置
2、 SNMP配置,点击snmp旁边的新增开始配置(根据交换机设备上配置的SNMP版本进行对应的配置,通常配置SNMPv2版本,配置与交换配置的团体字一致)
新增 snmpv2 配置后,将出现模板名、团体名必填字段、端口非必填字段。
团体名:snmp v2 协议版本定义的用户名。
端口:snmp v2 协议版本定义的 tcp 监听端口。使用默认的即可,不需要更改。
3、 ssh配置,点击ssh旁边的新增开始配置(与设备ssh配置保持一致)
新增 ssh 默置后,将出现模板名、用户名、密码必填字段、超级用户密码非必填。
用户名:设备上 ssh 配置的用户名。
密码:设备上 ssh 配置的密码信息,当首次配置时,输入框右侧可以通过眼睛图标来选择查看输入的
密码内容。
端口:设备上 netconf 协议通信的 TCP 监听端口。使用默认的即可,不需要更改。
超级用户密码:设备上 ssh 配置的超级密码信息。
4、 netconf配置,点击netconf旁边的新增开始配置(即配置与交换机设备相同的SSH用户名/密码,端口830无需修改)
新增 netconf 默置后,将出现模板名、用户名、密码必填字段、端口非必填字段。
用户名:设备上 netconf 配置的用户名。
密码:设备上 netconf 配置的密码信息,当首次配置时,输入框右侧可以通过眼睛图标来选择查看输入的密码内容。
端口:设备上 netconf 协议通信的 TCP 监听端口。 使用默认的即可,不需要更改。
5、配置完成以后如下图:
2) 配置IP地址资源池
该地址池实际上就是整网会使用的地址大段,本案例使用的是:10.0.0.0/8、172.18.0.0/16这两个大段(将INC可能会纳管到的地址段都包含进去,若无法包含,添加多个也可以)。地址池也有继承的关系,继承的逻辑与设备凭证一样。
注意:
1、如果在配置业务子网的时候提示以下信息:无法根据给定的高级配置参数,从业务网关联的地址池中解析出可用的子网网段,请检查【设计】->【网络设置】->【IP地址池设置】地址池是否满足,那么就是该出配置没有包含我们的子网网段,或者地址资源池不够用了。
2、该地址池,并非DHCP地址池,只是INC为了做地址管理而设定的一个地址资源池,该资源池仅针对INC生效,该操作不会下发任何配置到核心交换机。
3、如果配置了“DHCP服务器”,那么就代表这个地址资源段的IP地址是由网络中其他的DHCP server下发的,所以这种情况,在后续配置业务子网的时候,不会下发DHCP pool给核心交换机,也不会下发dhcp relay的配置给交换机。
3) 创建网络模板
点击“设计”-->”网络模板“页面,点击”新增“按钮,可以选择单个新增或是批量导入。
区域关联到事先创建好的“工厂区域”
4) 添加设备
点击“部署”-->”设备管理“页面,点击”新增“按钮,可以选择单个新增或是批量导入。
备注:如果在项目实施前,设备信息已收集完成,则可根据“5.2.5 部署前准备“中的”业务网关设备清单”进行直接导入。
如果选择单个新增,则可根据如下图示进行配置。
【新增】对话框页面默认分为:设备名称、 管理 IP 地址、业务角色、关联区域、厂商、设备类型、物理角色、 设备 MAC、 SN 等字段。
设备名称:设备名称,可不填写,当不填写时,系统会采用设备的主机名作为设备名称。(按照实际设备名称填写即可)【后续添加设备后,INC会自动识别设备名称】
设备 IP:(必填)设备连接控制器时使用的管理 IP,不能重复。(填写设备与INC实际可达地址,即为设备端配置OF对接配置时的源接口地址)
关联区域:(必填)设备所属的区域,注意:一个设备只能属于一个区域。
业务角色:(必填)表示设备的业务角色类型,当前支持【业务接入】【业务网关】【VXLAN 综合网关】【通用网络设备】【通用接入设备】【通用网关设备】【业务汇聚】【通用汇聚设备】【外部网关】【无线控制器】【通用无线接入点】【防火墙】。
隧道端点 IP:当选择【VXLAN 综合网关】,会出现隧道端点 IP,表示建立 VXLAN 隧道的源 IP 地址。
MAC 地址: 显示设备的 MAC 地址。
SN: 显示设备的 SN 号。
厂商:显示设备所属的生产制造商。
物理角色:显示设备所属的物理角色。
设备类型:显示设备的类型,包括交换、路由、无线、安全和其他。
备注:1、仅部署准入管控功能,不要勾选“自动化运维“;
2、如果需要单个添加“汇聚/接入设备“,如果仅是用于拓扑发现,则只需”通用汇聚/接入“即可;
5) 验证设备添加情况
设备添加完成后,设备连接状态指示灯为蓝色,且点到指示灯的时候这4种协议( snmp、ssh、netconf、openflow)连接成功,则设备与控制器对接完成。
设备类型为“通用**“的,只需snmp和连接成功即可。
924
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
