所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

S7700, S9700 V200R011C10 配置指南-业务随行和业务编排

本文档介绍了设备支持的业务随行和业务编排相关配置。主要内容包括业务随行的基本原理和配置过程,业务编排基本原理和配置过程,并提供相关的配置案例。
评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置通过VXLAN隧道携带用户组信息的业务随行示例

配置通过VXLAN隧道携带用户组信息的业务随行示例

组网需求

用户从认证设备Switch1接入时,会授权一个安全组,用来标识用户;当用户访问其他设备上的资源时,不用再次认证授权。该解决方案中的一项关键技术是把用户与安全组的关联信息带到其他设备上,因而在其他设备上不需要再次认证授权,节省了资源。例如,访客从Switch1接入并认证成功后,通过VXLAN隧道携带用户组信息不允许访客访问Switch2上关联的邮件服务器。

图1-8  配置通过VXLAN隧道携带用户组信息的业务随行组网图

数据准备

表1-5  部署VXLAN隧道相关数据

设备

VXLAN隧道

BD

VNI

Source IP

Peer IP

Switch1

Switch1—>Switch3

10 2010

10.1.1.2

10.3.3.2

Switch2

Switch2—>Switch3

20 2020

10.2.2.2

10.3.3.2

Switch3

Switch3—>Switch1

10 2010

10.3.3.2

10.1.1.2

Switch3—>Switch2

20 2020

10.3.3.2

10.2.2.2

表1-6  业务数据规划

项目

数据

说明

Switch1

RADIUS认证服务器:
  • IP地址:192.168.11.10
  • 端口号:1812
  • RADIUS共享密钥:Admin@123

配置RADIUS计费服务器,以便获取终端用户的上下线信息。认证服务器和计费服务器的端口号必须与RADIUS服务器的认证端口和计费端口一致。在Agile Controller-Campus中RADIUS认证和计费端口固定为1812和1813。

RADIUS计费服务器:
  • IP地址:192.168.11.10
  • 端口号:1813
  • RADIUS共享密钥:Admin@123
  • 计费周期:15分钟

XMPP密码:Admin@123

Agile Controller-Campus配置一致。

Agile Controller-Campus

交换机IP地址:192.168.2.1

Switch1上GE0/0/1的IP地址。

RADIUS参数:
  • 设备系列:华为S系列
  • RADIUS认证密钥:Admin@123
  • RADIUS计费密钥:Admin@123
  • RADIUS授权密钥:Admin@123
  • 实时计费周期(分钟):15

与Switch1上配置的一致。

XMPP密码:Admin@123

与Switch1上配置一致。

账户:

访客:
  • 用户名:guest
  • 密码:Huawei@123

在授权中将guest授权给访客组。

安全组:

访客组

邮件服务器:192.168.21.100

-
认证前域 DNS服务器 访客认证通过前能够将域名发往DNS服务器进行解析。
Switch1上PC的网关地址 192.168.60.1 -

配置思路

  1. 配置路由协议,保证网络三层互通。
  2. 配置VXLAN隧道和VXLAN三层网关。
  3. 在Switch1上配置接入认证功能。
  4. 在Switch2上配置访问控制功能。
  5. 配置Agile Controller-Campus。
说明:
Switch1,Switch2和Switch3需支持VXLAN特性。

操作步骤

  1. 将配置模式切换为统一模式。

    说明:

    使用业务随行功能的设备必须切换为统一模式,切换时设备会自动重启。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch1
    [Switch1] authentication unified-mode
    

  2. 配置路由协议。

    # 配置Switch1各接口IP地址。配置OSPF时,注意需要配置设备上的32位Loopback接口地址。

    <Switch1> system-view
    [Switch1] interface loopback 1
    [Switch1-LoopBack1] ip address 10.1.1.2 32
    [Switch1-LoopBack1] quit
    [Switch1] interface gigabitethernet 0/0/1
    [Switch1-GigabitEthernet0/0/1] undo portswitch
    [Switch1-GigabitEthernet0/0/1] ip address 192.168.2.1 24
    [Switch1-GigabitEthernet0/0/1] quit
    [Switch1] vlan batch 101
    [Switch1] interface gigabitethernet 0/0/2    
    [Switch1-GigabitEthernet0/0/2] port link-type access
    [Switch1-GigabitEthernet0/0/2] port default vlan 101 
    [Switch1-GigabitEthernet0/0/2] quit
    [Switch1] interface vlanif 101
    [Switch1-Vlanif101] ip address 192.168.60.1 255.255.255.0    
    [Switch1-Vlanif101] quit
    [Switch1] ospf
    [Switch1-ospf-1] area 0
    [Switch1-ospf-1-area-0.0.0.0] network 10.1.1.2 0.0.0.0
    [Switch1-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
    [Switch1-ospf-1-area-0.0.0.0] quit
    [Switch1-ospf-1] quit
    

    # 配置Switch2各接口IP地址。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch2
    [Switch2] interface loopback 1
    [Switch2-LoopBack1] ip address 10.2.2.2 32
    [Switch2-LoopBack1] quit
    [Switch2] interface gigabitethernet 0/0/1
    [Switch2-GigabitEthernet0/0/1] undo portswitch
    [Switch2-GigabitEthernet0/0/1] ip address 192.168.3.1 24
    [Switch2-GigabitEthernet0/0/1] quit
    [Switch2] vlan batch 201
    [Switch2] interface gigabitethernet 0/0/2    
    [Switch2-GigabitEthernet0/0/2] port link-type access
    [Switch2-GigabitEthernet0/0/2] port default vlan 201 
    [Switch2-GigabitEthernet0/0/2] quit
    [Switch2] interface vlanif 201
    [Switch2-Vlanif201] ip address 192.168.21.1 255.255.255.0    
    [Switch2-Vlanif201] quit
    [Switch2] ospf
    [Switch2-ospf-1] area 0
    [Switch2-ospf-1-area-0.0.0.0] network 10.2.2.2 0.0.0.0
    [Switch2-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
    [Switch2-ospf-1-area-0.0.0.0] quit
    [Switch2-ospf-1] quit
    

    # 配置Switch3各接口IP地址。

    <HUAWEI> system-view
    [HUAWEI] sysname Switch3
    [Switch3] interface loopback 1
    [Switch3-LoopBack1] ip address 10.3.3.2 32
    [Switch3-LoopBack1] quit
    [Switch3] interface gigabitethernet 1/0/1
    [Switch3-GigabitEthernet1/0/1] undo portswitch
    [Switch3-GigabitEthernet1/0/1] ip address 192.168.2.2 24
    [Switch3-GigabitEthernet1/0/1] quit
    [Switch3] interface gigabitethernet 1/0/2
    [Switch3-GigabitEthernet1/0/2] undo portswitch
    [Switch3-GigabitEthernet1/0/2] ip address 192.168.3.2 24
    [Switch3-GigabitEthernet1/0/2] quit
    [Switch3] interface gigabitethernet 1/0/3
    [Switch3-GigabitEthernet1/0/3] undo portswitch
    [Switch3-GigabitEthernet1/0/3] ip address 192.168.11.1 24
    [Switch3-GigabitEthernet1/0/3] quit
    [Switch3] ospf
    [Switch3-ospf-1] area 0
    [Switch3-ospf-1-area-0.0.0.0] network 10.3.3.2 0.0.0.0
    [Switch3-ospf-1-area-0.0.0.0] network 192.168.2.0 0.0.0.255
    [Switch3-ospf-1-area-0.0.0.0] network 192.168.3.0 0.0.0.255
    [Switch3-ospf-1-area-0.0.0.0] network 192.168.11.0 0.0.0.255
    [Switch3-ospf-1-area-0.0.0.0] quit
    [Switch3-ospf-1] quit
    

    # OSPF成功配置后,Switch之间可通过OSPF协议发现对方的Loopback接口的IP地址,并能互相ping通。以Switch1 ping Switch2的显示为例。

    [Switch1] ping 10.2.2.2
      PING 10.2.2.2: 56  data bytes, press CTRL_C to break                           
        Reply from 10.2.2.2: bytes=56 Sequence=1 ttl=255 time=240 ms                 
        Reply from 10.2.2.2: bytes=56 Sequence=2 ttl=255 time=5 ms                   
        Reply from 10.2.2.2: bytes=56 Sequence=3 ttl=255 time=5 ms                   
        Reply from 10.2.2.2: bytes=56 Sequence=4 ttl=255 time=14 ms                  
        Reply from 10.2.2.2: bytes=56 Sequence=5 ttl=255 time=5 ms                   
                                                                                    
      --- 10.2.2.2 ping statistics ---                                               
        5 packet(s) transmitted                                                     
        5 packet(s) received                                                        
        0.00% packet loss                                                           
        round-trip min/avg/max = 5/53/240 ms  
    

  3. 配置VXLAN隧道和VXLAN三层网关。

    # 配置Switch3。

    [Switch3] bridge-domain 10
    [Switch3-bd10] vxlan vni 2010
    [Switch3-bd10] quit
    [Switch3] interface nve 1
    [Switch3-Nve1] source 10.3.3.2
    [Switch3-Nve1] vni 2010 head-end peer-list 10.1.1.2
    [Switch3-Nve1] quit
    [Switch3] bridge-domain 20
    [Switch3-bd20] vxlan vni 2020
    [Switch3-bd20] quit
    [Switch3] interface nve 1
    [Switch3-Nve1] source 10.3.3.2
    [Switch3-Nve1] vni 2020 head-end peer-list 10.2.2.2
    [Switch3-Nve1] quit
    

    # 在Switch3上配置VXLAN三层网关。

    [Switch3] interface vbdif 10
    [Switch3-Vbdif10] ip address 192.168.10.10 24
    [Switch3-Vbdif10] quit
    [Switch3] interface vbdif 20
    [Switch3-Vbdif20] ip address 192.168.20.10 24
    [Switch3-Vbdif20] quit
    [Switch3] ip route-static 192.168.21.0 255.255.255.0 192.168.20.11
    [Switch3] ip route-static 192.168.60.0 255.255.255.0 192.168.10.11
    

    # 配置Switch1。

    [Switch1] bridge-domain 10
    [Switch1-bd10] vxlan vni 2010
    [Switch1-bd10] quit
    [Switch1] interface nve 1
    [Switch1-Nve1] source 10.1.1.2
    [Switch1-Nve1] vni 2010 head-end peer-list 10.3.3.2
    [Switch1-Nve1] quit
    [Switch1] interface vbdif 10
    [Switch1-Vbdif10] ip address 192.168.10.11 24
    [Switch1-Vbdif10] quit
    [Switch1] ip route-static 192.168.21.0 255.255.255.0 192.168.10.10
    

    # 配置Switch2。

    [Switch2] bridge-domain 20
    [Switch2-bd20] vxlan vni 2020
    [Switch2-bd20] quit
    [Switch2] interface nve 1
    [Switch2-Nve1] source 10.2.2.2
    [Switch2-Nve1] vni 2020 head-end peer-list 10.3.3.2
    [Switch2-Nve1] quit
    [Switch2] interface vbdif 20
    [Switch2-Vbdif20] ip address 192.168.20.11 24
    [Switch2-Vbdif20] quit
    [Switch2] ip route-static 192.168.60.0 255.255.255.0 192.168.20.10

  4. Switch1交换机上配置NAC。

    # 配置与RADIUS服务器对接参数。

    [Switch1] radius-server template policy    //创建RADIUS服务器模板“policy”
    [Switch1-radius-policy] radius-server authentication 192.168.11.10 1812    //配置RADIUS认证服务器的IP地址和认证端口1812
    [Switch1-radius-policy] radius-server accounting 192.168.11.10 1813    //配置计费服务器的IP地址和认证端口1813
    [Switch1-radius-policy] radius-server shared-key cipher Admin@123        //配置RADIUS共享密钥
    [Switch1-radius-policy] quit
    [Switch1] radius-server authorization 192.168.11.10 shared-key cipher Admin@123    //配置授权服务器的IP地址和密钥
    [Switch1] aaa
    [Switch1-aaa] authentication-scheme auth    //创建认证方案auth
    [Switch1-aaa-authen-auth] authentication-mode radius    //认证方式RADIUS
    [Switch1-aaa-authen-auth] quit
    [Switch1-aaa] accounting-scheme acco    //创建计费方案acco
    [Switch1-aaa-accounting-acco] accounting-mode radius    //计费方式RADIUS
    [Switch1-aaa-accounting-acco] accounting realtime 15    //计费周期15分钟
    [Switch1-aaa-accounting-acco] quit
    [Switch1-aaa] domain default    //进入default域,绑定RADIUS服务器模板、认证方案和计费方案
    [Switch1-aaa-domain-default] radius-server policy
    [Switch1-aaa-domain-default] authentication-scheme auth
    [Switch1-aaa-domain-default] accounting-scheme acco
    [Switch1-aaa-domain-default] quit
    [Switch1-aaa] quit
    

    # 配置NAC功能。

    说明:

    802.1X接入模板默认采用EAP认证方式。请确保RADIUS服务器支持EAP协议,否则无法处理802.1X认证请求。

    [Switch1] dot1x-access-profile name d1
    [Switch1-dot1x-access-profile-d1] quit
    [Switch1] free-rule-template name default_free_rule
    [Switch1-free-rule-default_free_rule] free-rule 1 destination ip 192.168.11.20 mask 24 source ip any    //确保终端用户认证前能访问DNS服务器
    [Switch1-free-rule-default_free_rule] quit
    [Switch1] authentication-profile name p1
    [Switch1-authen-profile-p1] dot1x-access-profile d1    
    [Switch1-authen-profile-p1] access-domain default    
    [Switch1-authen-profile-p1] quit
    [Switch1] interface gigabitethernet 0/0/2
    [Switch1-GigabitEthernet0/0/2] authentication-profile p1
    [Switch1-GigabitEthernet0/0/2] quit

  5. Switch2交换机上配置ACL。

    [Switch2] acl 6000
    [Switch2-acl-ucl-6000] rule 10 deny ip source ucl-group 1 destination 192.168.21.100 0
    [Switch2-acl-ucl-6000] quit
    [Switch2] traffic-filter inbound acl 6000
    

  6. 配置与Agile Controller-Campus对接的XMPP参数,使能业务随行功能。

    [Switch1] group-policy controller 192.168.11.10 password Admin@123 src-ip 192.168.2.1    
    [Switch1] quit
    <Switch1> save

  7. Agile Controller-Campus配置。
    1. 添加交换机。

      1. 选择资源 > 设备 > 设备管理,单击“增加”

      2. 选择“XMPP”页签。

      3. 单击“确定”后设备的“通信状态”“同步状态”“同步成功”
      4. 在Switch1上查看其与Agile Controller-Campus通信状态。
        <Switch1> display group-policy status
        Controller IP address: 192.168.11.10
        Controller port: 5222
        Backup controller IP address: -
        Backup controller port: -
        Source IP address: 192.168.2.1
        State: working
        Connected controller: master
        Device protocol version: 1
        Controller protocol version: 1  

    2. 创建“guest”账户。

      1. 选择资源 > 用户管理
      2. 单击“增加”,创建“guest”

    3. 配置“访客组”来代表用户。

      1. 选择策略 > 准入控制 > 安全组 > 动态安全组管理
      2. 单击“增加”,创建“访客组”

      3. 单击“全网部署”,全网部署安全组。

    4. 将“访客组”授权给访客,访客认证通过后加入到“访客组”。

      1. 选择策略 > 认证授权 > 授权结果
      2. 单击“增加”,增加授权结果“guest”

      3. 选择策略 > 认证授权 > 授权规则
      4. 单击“增加”,增加授权规则“guest”

    5. 为Switch1手工指定动态安全组。

      1. 选择策略 > 准入控制 > 安全组 > 动态安全组管理 > 手工指定
      2. 单击“手工指定”,选择“访客组”

  8. 验证配置结果。

    # 上述配置成功后,在Switch1、Switch2和Switch3上执行命令display vxlan vni可查看到VNI的状态是Up;执行命令display vxlan tunnel可查看到VXLAN隧道的信息。以Switch3显示为例。

    [Switch3] display vxlan vni
     VNI               BD-ID             State                                      
     -----------------------------------------                                      
     2010              10                up                                         
     2020              20                up                                         
     -----------------------------------------                                      
     Number of vxlan vni bound to BD is : 2    
    [Switch3] display vxlan tunnel
     Tunnel ID       Source              Destination         State     Type         
     ----------------------------------------------------------------------------   
     4026531842      10.3.3.2             10.1.1.2             up        static       
     4026531841      10.3.3.2             10.2.2.2             up        static       
     ----------------------------------------------------------------------------   
     Number of vxlan tunnel : 2  

    # 配置完成后,不同网段用户通过VXLAN网关可以互通。

    # 用户从Switch1接入并完成认证后,不可以访问邮件服务器。

配置文件

  • Switch1的配置文件

    #
    sysname Switch1
    #
    vlan batch 101
    #
    authentication-profile name p1
     dot1x-access-profile d1
     access-domain default
    #
    group-policy controller 192.168.11.10 password %^%#(K2]5P#C6'97.pR(gFv$K$KbGYN}R1Y76~K^;AP&%^%# src-ip 192.168.2.1
    #
    radius-server template policy
     radius-server shared-key cipher %^%#teXm2B&.1O0:cj$OWPq7@!Y\!%}dC3Br>p,}l\L.%^%#
     radius-server authentication 192.168.11.10 1812 weight 80
     radius-server accounting 192.168.11.10 1813 weight 80
    #
    radius-server authorization 192.168.11.10 shared-key cipher %^%#FKIlCKv=f(AgM-G~W"}G.C\%;b'3A/zz-EJV;vi*%^%#  
    #
    free-rule-template name default_free_rule
     free-rule 1 destination ip 192.168.11.20 mask 255.255.255.0 source ip any
    #
    aaa
     authentication-scheme auth
      authentication-mode radius
     accounting-scheme acco
      accounting-mode radius
      accounting realtime 15
     domain default
      authentication-scheme auth
      accounting-scheme acco
      radius-server policy
    #
    bridge-domain 10                                                                
     vxlan vni 2010
    #                                                                               
    interface Vlanif101
     ip address 192.168.60.1 255.255.255.0
    #
    interface GigabitEthernet0/0/1                                                         
     undo portswitch                                                                
     ip address 192.168.2.1 255.255.255.0                                           
    #                                                                               
    interface GigabitEthernet0/0/2                                                
     port link-type access
     port default vlan 101
     authentication-profile p1
    #                                                                               
    interface LoopBack1                                                             
     ip address 10.1.1.2 255.255.255.255  
    #                                                                               
    interface Vbdif10
     ip address 192.168.10.11 255.255.255.0
    #
    interface Nve1                                                                  
     source 10.1.1.2                                                                 
     vni 2010 head-end peer-list 10.3.3.2                                            
    #  
    ospf 1                                                                          
     area 0.0.0.0                                                                   
      network 10.1.1.2 0.0.0.0                                                       
      network 192.168.2.0 0.0.0.255 
    #                                                                               
    ip route-static 192.168.21.0 255.255.255.0 192.168.10.10
    #
    dot1x-access-profile name d1
    #
    return 
    
  • Switch2的配置文件

    #
    sysname Switch2
    #
    vlan batch 201
    #
    acl number 6000
     rule 10 deny ip source ucl-group 1 destination 192.168.21.100 0
    #
    bridge-domain 20                                                                
     vxlan vni 2020
    #                                                                               
    interface Vlanif201
     ip address 192.168.21.1 255.255.255.0
    #                                                                               
    interface GigabitEthernet0/0/1                                                         
     undo portswitch                                                                
     ip address 192.168.3.1 255.255.255.0                                           
    #                                                                               
    interface GigabitEthernet0/0/2                                                
     port link-type access
     port default vlan 201
    #                                                                               
    interface LoopBack1                                                             
     ip address 10.2.2.2 255.255.255.255  
    #                                                                               
    interface Vbdif20
     ip address 192.168.20.11 255.255.255.0
    #
    interface Nve1                                                                  
     source 10.2.2.2                                                                 
     vni 2020 head-end peer-list 10.3.3.2                                            
    #  
    ospf 1                                                                          
     area 0.0.0.0                                                                   
      network 10.2.2.2 0.0.0.0                                                       
      network 192.168.3.0 0.0.0.255 
    #                                                                               
    ip route-static 192.168.60.0 255.255.255.0 192.168.20.10
    #
    traffic-filter inbound acl 6000
    #
    return 
  • Switch3的配置文件

    #
    sysname Switch3
    #
    bridge-domain 10                                                                
     vxlan vni 2010
    bridge-domain 20                                                                
     vxlan vni 2020
    #                                                                               
    interface GigabitEthernet1/0/1                                                         
     undo portswitch                                                                
     ip address 192.168.2.2 255.255.255.0                                           
    #                                                                               
    interface GigabitEthernet1/0/2                                                         
     undo portswitch                                                                
     ip address 192.168.3.2 255.255.255.0                                           
    #                                                                               
    interface GigabitEthernet1/0/3                                                         
     undo portswitch                                                                
     ip address 192.168.11.1 255.255.255.0                                           
    #                                                                               
    interface LoopBack1                                                             
     ip address 10.3.3.2 255.255.255.255  
    #
    interface Vbdif10
     ip address 192.168.10.10 255.255.255.0
    #
    interface Vbdif20
     ip address 192.168.20.10 255.255.255.0
    #
    interface Nve1
     source 10.3.3.2
     vni 2010 head-end peer-list 10.1.1.2
     vni 2020 head-end peer-list 10.2.2.2
    #  
    ospf 1                                                                          
     area 0.0.0.0                                                                   
      network 10.3.3.2 0.0.0.0                                                       
      network 192.168.2.0 0.0.0.255 
      network 192.168.3.0 0.0.0.255 
      network 192.168.11.0 0.0.0.255 
    #                                                                               
    ip route-static 192.168.21.0 255.255.255.0 192.168.20.11
    ip route-static 192.168.60.0 255.255.255.0 192.168.10.11
    #
    return 
翻译
下载文档
更新时间:2019-03-28

文档编号:EDOC1000178283

浏览量:1791

下载量:218

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页