Fabric网络管理

前提条件

• 设备已经在iMaster NCE-Campus上线并且属于当前租户管理范围。
• 系统中已经导入虚拟网络类型的License。

背景信息

• 集中式Fabric：
  • Fabric中网关设备是集中的，访问外网和内网的流量都经过集中式的网关。此时，只有Border设备可以作网关。
  • 支持L3 VXLAN、L2 VXLAN、L3 VLAN、L2 VLAN类型的虚拟网络（VN）。
• 分布式Fabric：
  • Fabric中网关设备是分布式的，访问外网和内网的流量经过不同的网关。此时，Border、Edge设备都可以作网关。
  • 支持L3 VXLAN、L2 VXLAN类型的虚拟网络（VN），不支持L3 VLAN、L2 VLAN类型的虚拟网络。

操作步骤

1. 选择“配置 > 虚拟网络 > Fabric管理 ”。单击左侧的“创建”。
2. 设置Fabric的名称，并添加设备。根据规划，设置相关参数。为了提高网络的可靠性，或者对于需要连接不同外部网络的组网可以配置双Border组网，即添加两个角色为边界网关节点的设备。仅组网类型为分布式时支持配置双Border组网。

   升级场景下，例如V300R019C00版本升级到当前版本，创建Fabric时开启“上报终端识别信息”开关后提示配置冲突，请选择“配置 > 物理网络 > 站点配置”，然后选择“交换机 > 接口 > 物理接口”，设置“DHCP snooping选项”为snooping。

3. 设置物理网络参数。开启自动配置路由域开关之前，需要配置Underlay自动化资源池。设置自动配置路由域之后，可以选择“配置 > 物理网络 > 站点配置”，单击“路由域编排”页签查看OSPF路由域配置。
4. 如果Fabric网络中存在多个路由反射器（一个Fabric内最多配置两个路由反射器），如双Border组网中配置了两个路由反射器，此时需要配置反射器集群ID。

   如果物理链路发生变化，可以点击左上角的显示Fabric列表，并点击链路发生变化的Fabric名称右侧的更新路由域，也可以在拓扑模式下单击更新路由域。

5. 单击“应用”。
   • 如果待添加的交换机之前已经通过netconf模式注册到iMaster NCE-Campus，并且交换机已经在iMaster NCE-Campus上删除，当需要重新添加到iMaster NCE-Campus时，此时需要先在设备上执行“undo netconf”命令清除交换机NAAS数据库中存在的残留数据。如果不清除，可能会导致iMaster NCE-Campus业务下发失败，甚至导致设备托管。
   • 配置“自动配置路由域”之后，如果站点中存在汇聚设备，且该汇聚设备未在Fabric网络中纳管，underlay网络打通之后，不允许删除该汇聚设备，否则，会导致该汇聚设备下连接的接入设备与核心设备之间的ospf通道中断，导致业务不通。
   • 双Border组网可能会导致网络中出现环路，需要用户通过命令行配置破环协议，具体破环协议请根据实际情况选择。
   • 设备间互联时，端口默认状态为trunk类型。当删除Fabric业务配置后，端口的trunk类型仍然保留。如果清除，可能会导致手工配置为trunk类型设备托管。

相关操作

• 查看Fabric。

  将鼠标悬于已创建的Fabric名称上并单击，查看Fabric信息。

• 查看配置状态

  选择需要修改的Fabric，单击Fabric下面的，查看配置状态，如果存在“配置状态”为“失败”的情况，请参见异常处理。

• 更新路由域

  选择需要修改的Fabric，单击Fabric下面的，更新路由域。

• 修改Fabric。

  选择需要修改的Fabric，单击Fabric下面的，修改Fabric信息。

• 删除Fabric。

  选择需要删除的Fabric，单击Fabric下面的，删除Fabric。

参数说明

背景信息

拓扑图中，可以在右侧查看图标含义说明。另外，补充说明如下：

• 设备图标右下角带有的设备，为“当前页设备”。如果Fabric中设备数量较多，拓扑图展示时会进行分页，每页最大展示10台“当前页设备”及其对应的上级设备。
• 当设备下直连有AP时，设备图标左上角会显示如标识，圆圈中的数字表示AP的数量。
• Fabric内可管理的交换机，除了物理交换机，还包括堆叠交换机。堆叠是指将多台支持堆叠特性的交换机设备组合在一起，从逻辑上组合成一台交换机。通过交换机堆叠，可以实现网络高可靠性和网络大数据量转发，同时简化网络管理。
• 用户可以根据需要调整拓扑图的结构，调整完成后可以点击右侧的图标保存。

前提条件

已完成Fabric创建。

操作步骤

1. 选择“配置 > 虚拟网络 > Fabric管理 ”，单击Fabric名称进入指定Fabric，选择“网络管理”页签。
2. 点击右上角图标，进入拓扑模式。
3. 单击“添加设备”。根据规划，选择待添加的设备并设置相关参数。
4. 查看AP或者堆叠成员信息。

   右键选中需要配置的设备，选择“查看AP”或者“查看堆叠成员”选项。

   只有扩展节点和边缘节点角色的设备支持查看AP操作。

5. 调整设备角色。

   右键选中需要配置的设备，选择“设为边界网关节点”、“设为扩展节点”或者“设为边缘节点”选项。

6. 配置外部网关

   当租户需要访问外部网络时，需要配置边界网关节点设备与外部网络的连接信息和外部网关设备信息，供业务发放时使用。需要满足以下前提条件

   • 外部网关设备侧已完成预配置：与边界网关节点设备互联的端口IP和VLAN。
   • 已完成Fabric创建并配置边界网关节点设备。
   • 已确定租户网络是L3还是L2类型的LAN网络。
     • 当租户网络是L3类型的LAN网络，网关设备需要以三层口连接出口网络设备，此时需要创建L3类型的外部网关来打通网关与出口网络设备之间的网络。
     • 当租户网络是L2类型的LAN网络，网关设备需要以二层口连接出口网络设备，此时需要创建L2类型的外部网关来打通网关与出口网络设备之间的网络。

   单击外部网络图标，在右侧“配置外部网络”页签单击“创建”。设置边界网关通过静态路由或者BGP或者OSPF与外部网络互联。创建完毕后单击“确定”。外部网关参数说明如表6-367所示。

   • 如果是双Border组网，配置L3共享出口类型的外部网络支持选择多设备，L3独占出口类型的外部网络需要通过配置多个外部网络来实现。配置L3独占出口的外部网络时，如果需要通过静态路由方式实现双Border的负载分担功能，需要手动创建静态路由，不支持通过配置“外部服务IP地址”实现。
   • 如果要实现Border主备功能，可以配置L3独占出口类型的外部网络，并配置动态路由，通过Fabric外部网络设备发布给Border的路由开销不同来实现。
   • 双Border组网可能会导致网络中出现环路，需要用户通过命令行配置破环协议，具体破环协议请根据实际情况选择。
   • 单击外部网络后面的，修改外部网络信息。

   • 单击外部网络后面的，删除外部网络。
   • 单击外部网络后面的，查看外部网络的详细配置。

7. 配置网络服务资源

   DHCP服务器旁挂在边界网关角色设备上为租户网络提供DHCP服务，负责处理来自客户端或中继的地址分配、地址续租、地址释放等请求，为客户端分配IP地址和其他网络配置信息。对于网络类型为L3的VN，当三层VN子网网关需要使用DHCP服务时，根据配置的DHCP服务器信息自动下发相关配置。对于网络类型为L2的VN，不需要配置DHCP组。

   终端用户通过边界网关设备访问Portal、Radius、DNS等服务器，需要预配置边界网关设备与服务器的互联信息，供业务发放时使用。

   配置网络服务资源时需要完成以下配置：

   • 已完成Fabric创建并配置边界网关设备。

   单击网络服务资源，在右侧“配置网络服务资源”页签单击“创建”。设置相关参数。设置完成后单击“确定”。

8. 查看对接网络服务资源的设备源IP地址。

   单击网络服务资源，在右侧“配置网络服务资源”页签中选择要查看的网络服务资源，单击，查看对接网络服务资源的设备源IP地址。

   • 单击网络服务资源后面的，修改网络服务资源信息。
   • 单击网络服务资源后面的，删除网络服务资源。

9. 配置路由监控

   网络中存在双出口或者多出口时可以实现网络的备份功能，即当主用出口出现故障时，所有流量走优先级较低的备出口。此时可以通过路由联动NQA以及路由监控组实现链路故障的快速检测。NQA测试例检测到链路故障后，会把与其绑定的路由从IP路由表中删除，使业务流量切换到无链路故障的路由，避免业务的长时间中断。

   单击路由监控，在右侧“路由监控”页签选择“NQA”并单击“创建”。设置相关参数。设置完成后单击“确定”。

   单击路由监控，在右侧“路由监控”页签选择“路由监控组”并单击“创建”。设置相关参数。设置完成后单击“确定”。

参数说明

前提条件

已完成Fabric创建。

背景信息

Fabric内可管理的交换机，除了物理交换机，还包括堆叠交换机。堆叠是指将多台支持堆叠特性的交换机设备组合在一起，从逻辑上组合成一台交换设备。通过交换机堆叠，可以实现网络高可靠性和网络大数据量转发，同时简化网络管理。

操作步骤

1. 选择“配置 > 虚拟网络 > Fabric管理 ”。单击“网络管理”页签。
2. 点击右上角图标，进入列表模式。

   单击“添加设备”。根据规划，选择待添加的设备并设置相关参数。

   • 如果待添加的交换机之前已经通过netconf模式注册到iMaster NCE-Campus，并且交换机已经在iMaster NCE-Campus上删除，当需要重新添加到iMaster NCE-Campus时，此时需要先在设备上执行“undo netconf”命令清除交换机NAAS数据库中存在的残留数据。如果不清除，可能会导致iMaster NCE-Campus业务下发失败，甚至导致设备托管。
   • 配置“自动配置路由域”之后，如果站点中存在汇聚设备，且该汇聚设备未在Fabric网络中纳管，underlay网络打通之后，不允许删除该汇聚设备，否则，会导致该汇聚设备下连接的接入设备与核心设备之间的ospf通道中断，导致业务不通。
   • 双Border组网可能会导致网络中出现环路，需要用户通过命令行配置破环协议，具体破环协议请根据实际情况选择。
   • 设备间互联时，端口默认状态为trunk类型。当删除Fabric业务配置后，端口的trunk类型仍然保留。如果清除，可能会导致手工配置为trunk类型设备托管。

   对已上线设备，可以通过点击对应的设备名称，查看设备上线后的状态信息，同时还可以“重启设备”、“命令行”等。

   • 不同设备，界面显示有差异。
   • “设备配置”功能支持打开设备的web网管，只支持FW、AR和WAC款型的设备，iMaster NCE-Campus最大只支持同时打开20台设备的web网管功能。
   • 单个用户如果已经通过本功能打开了一个设备的web网管窗口，再打开另外一个时，因为不同设备使用同一个IP地址通过SSH服务进行会话转发，导致打开第二个设备的web网管时，第一个设备的会话信息被覆盖，web网管退出登录。如果确实需要同时打开两个设备的web网管，可以通过打开一个无痕页面或使用其他浏览器登录iMaster NCE-Campus，再执行设备web网管页面跳转。

3. 删除设备。

   选择一台或多台待删除的设备后，单击“删除设备”。或者直接单击设备对应的。

   当设备已部署业务时不允许删除设备。包括扩展接入、DHCP、外部网关和VN业务。如果需要删除设备时，请先删除部署在设备上的网络业务，删除顺序依次为：VN互通 > VN > 网络服务资源 > 外部网络 > 接入管理业务。

4. 修改设备角色，可以设置为“边界网关节点”、“扩展节点”或者“边缘节点”。

   选择一台或多台待修改的设备后，单击“设置角色”，在弹出的下拉菜单中进行选择。

   当设备已部署业务时不允许修改设备角色。包括扩展接入、DHCP组、外部网关和VN业务。

   一个集中式Fabric中，最多只能有一个“边界网关节点”设备，可以有多个“扩展节点”、"边缘节点"设备。一个分布式Fabric，在双Border场景下可以有两个“边界网关节点”设备，可以有多个“扩展节点”、"边缘节点"设备。

5. 设置BGP源接口。

   选择一台或多台待修改的设备后，单击“设置BGP源接口”。在弹出窗口中，选择连接口的类型，并输入接口编号，单击“确定”。

   开启路由域自动编排后，不支持设置BGP源接口。

   当设备已部署业务时不允许修改连接口。包括扩展接入、DHCP组、外部网关和VN业务。

6. 修改路由反射器。

   单击设备对应的路由反射器开关，打开或关闭路由反射器功能。

   • 一个集中式Fabric只能有一台设备设置为路由反射器，一个分布式Fabric最多只能有2台设备设置为路由反射器，并且该设备的角色不能是接入角色。
   • 如果关闭路由反射器，会删除设备上所有BGP基础配置，需要用户使用命令行重新配置。

7. 重下发配置。

   对于“BGP预配置状态”和“终端识别通道配置状态”没有成功的设备，可以选择设备后，单击“重下发”。重新配置。

8. 更新路由域

   当Fabric的物理链路发生变化时，单击“更新路由域”，更新网络的underlay网络。

前提条件

• 完成扩展节点接入到虚拟网络的认证模板设计、配置。认证模板指定RADIUS服务器和Portal服务器时，支持使用内置服务器，即使用iMaster NCE-Campus为RADIUS服务器和Portal服务器。也可以指定第三方认证服务器，使用第三方认证服务器时，需要保证已经在Fabric中完成网络服务资源的对接。
• 完成准入管理配置，配置用户管理录入用户，配置认证规则，授权规则，授权结果。
• 对于分布式Fabric，Fabric网络中已配置边缘节点。对于集中式Farbric，Fabric网络中已配置边缘节点、边界网关节点。

操作步骤

1. 选择“配置 > 虚拟网络 > Fabric管理 ”。单击“接入管理”页签。
2. 选中左侧需要配置的Fabric，选择控制点设备，根据规划配置控制点扩展参数。

3. 配置控制点设备端口。

   在端口列表中单击，设置端口的“对端连接类型”、“认证模板”等参数，完成后单击。认证模板的配置请参见 网络设计-配置策略模板。

   • 认证控制点和执行点设备之间不能存在未加入Fabric的透传设备，否则，认证控制点设备无法识别到透传设备下行的接入交换机为执行点设备。

   • 如果需要批量配置端口，可以选择多个端口后，使用端口列表顶部的设置按钮进行配置。
   • 认证控制点的接口配置认证模板时，只支持配置一种IPv4或IPv6类型的Portal服务器，不支持同时配置。
   • 认证控制点选择边界网关节点设备且对端连接类型配置为“Fabric扩展AP”时，需要配置边界网关节点到边缘节点的路由，以便打通AP管理网与iMaster NCE-Campus之间的网络。路由可以通过动态路由协议自动学习，也可以通过静态路由指定。在设备上通过命令行配置或者通过iMaster NCE-Campus的站点配置下发静态路由时，静态路由的目的地址需要配置为策略联动管理IP，下一跳配置为边缘节点的VTEP IP。

4. （可选）设置控制点下的执行点设备各端口策略。

   在配置前，请先点击“刷新执行点设备列表”，刷新执行点设备状态。

5. （可选）设置无线认证SSID与指定的认证模板关联。如果使用iMaster NCE-Campus作为认证服务器，需要配置此功能。仅支持随板WAC功能的交换机支持无线接入配置。SSID需要通过交换机的Web界面进行配置，且SSID名称需要与vap-profile名称保持一致。

   SSID绑定认证模板类型不能同时包含portal认证和802.1x模板，即认证模板中不支持同时配置两种类型。

6. 单击“应用”。
7. （可选）添加第三方设备为准入设备或者Fabric场景下，需要配置Portal免认证时，在主菜单中选择“准入 > 准入策略 > 用户在线控制 > 用户控制策略”。
   1. 选择“Portal免认证管控策略”页签，单击“创建”，新建Portal免认证管控策略。Portal免认证管控策略仅当准入设备作为认证点或者Fabric场景时生效。

   2. 创建完成后，单击将已创建的Portal免认证管控策略分配给用户组或者分配给用户，单击增加选择需要分配的用户组或用户。一个用户组或用户只能绑定一个Portal免认证管控策略。当菜单“准入 > 准入策略 > 准入设置”中的“高级参数”页签中的“支持登录顺延Portal免认证有效期”开关打开时，对Portal免认证管控策略生效，顺延时间为策略中配置的Portal免认证时间。

相关操作

• 修改接入管理。

  在控制点设备列表中选择待修改的控制点设备，修改相关参数。单击“应用”使修改生效，单击“取消”放弃修改。

• 删除接入管理。

  如果需要删除已配置的所有扩展接入内容，单击“重置”。

参数说明

配套的设备款型

控制点和执行点支持的设备型号参见下表。

前提条件

• 管理默认VN前，管理员帐号需要具有相应的管理权限。可以在租户管理员创建时分配或通过修改的方式增加权限。
  • 租户管理员具有系统内所有站点的权限。
  • 已经按虚拟网络给租户管理员分配了特定的虚拟网络的管理权限。

  默认租户管理员，即系统中创建的第一个租户管理员，具有管理所有VN的权限。

• 已完成Fabric创建及相关配置。

背景信息

• 一个Fabric中只支持一个默认VN。
• 默认VN支持的网络类型包括：
  • 集中式Fabric：虚拟化VXLAN、传统VLAN。
  • 分布式Fabric：虚拟化VXLAN。
• 当用户认证前需要使用二层虚拟网络时，此时需要将默认VN的业务网关设置为Fabric外。
• 当用户认证前需要使用三层虚拟网络时，此时需要将默认VN的业务网关设置为Fabric内。

操作步骤

1. 选择“配置 > 虚拟网络 > 逻辑网络”。
2. 在左侧选择Fabric，将鼠标悬于“Default VN”上并单击，在修改界面进行VN参数修改。
3. 设置默认VN的网络类型。
   图6-67 集中式Fabirc的默认VN配置
   
   图6-68 分布式Fabirc的默认VN配置
   

4. （可选）选择“外部网络”。也可以单击进行创建、修改、删除操作。
5. （可选）选择“网络服务资源”。也可以单击进行创建、修改、删除操作。
6. 配置用户网关。

   单击“创建”，输入子网相关参数。单击。

   • 默认VN的VLAN类型只支持静态VLAN类型。
   • 默认VN的配置会下发到已经在“接入管理”界面上配置了认证的接入接口及其上行的认证控制点设备。

7. 单击“应用”。

参数说明

前提条件

• 管理VN前，管理员帐号需要具有相应的管理权限。可以在租户管理员创建时分配或通过修改的方式增加权限。
  • 租户管理员具有系统内所有站点的权限。
  • 已经按虚拟网络给租户管理员分配了特定的虚拟网络的管理权限。

  默认租户管理员，即系统中创建的第一个租户管理员，具有管理所有VN的权限。

• 已完成Fabric创建及相关配置。
• 在配置Fabric扩展时，如果Fabric中存在一个设备端口的认证模板中包含了Portal认证方式时，或者允许客户认证前访问网络资源时，需要先配置默认VN。

背景信息

• VN支持的网络类型包括：
  • 集中式Fabric：虚拟化VXLAN、传统VLAN。
  • 分布式Fabric：虚拟化VXLAN。
• 当用户认证前需要使用二层虚拟网络时，此时需要将默认VN的业务网关设置为Fabric外。
• 当用户认证前需要使用三层虚拟网络时，此时需要将默认VN的业务网关设置为Fabric内。

操作步骤

1. 选择“配置 > 虚拟网络 > 逻辑网络”。
2. 在左侧选择Fabric，然后单击“创建VN”。
3. 在“创建VN”区域中，输入VN名称。
4. 设置VN的网络类型。
   图6-69 集中式Fabirc的VN配置
   
   图6-70 分布式Fabirc的VN配置
   

5. （可选）选择“外部网络”。也可以单击进行创建、修改、删除操作。

   对于双Border组网，如果外部网络类型为L3独占出口类型时，需要配置两个VN分别绑定两个外部网关来实现。

6. （可选）选择“网络服务资源”。也可以单击进行创建、修改、删除操作。
7. 配置“用户网关”。
   • 自动创建：单击“自动创建”，输入子网数目和单个子网IP数。单击“确定”。

     仅VN子网支持自动创建。

     如果创建子网的VLAN类型是语音VLAN时，会默认开启CDP功能，如果加入为语音VLAN的接口要继续进行站点下的接口配置，需要在“配置 > 物理网络 > 站点配置”菜单下，选择“交换机 > 接口 > 物理接口”，打开CDP开关。

   • 手工创建：单击“手动创建”，输入子网相关参数。单击。

8. 配置有线客户端接入。
   1. 单击“创建”。
   2. 配置业务名称、业务接入类型并选择业务涉及的站点。
   3. 在端口列表区域，设置业务接入的端口的授权方式。
   4. 单击“确认”。

9. 配置无线客户端接入。
   1. 单击“创建”。
   2. 选择业务涉及的站点。
   3. 在端口列表区域，勾选需要加入VN的设备。
   4. 单击“确认”。

   Fabric业务配置和站点配置中的设备配置冲突会导致Fabric部署失败，冲突的设备和具体冲突的原因，请参见提示信息中的冲突设备和冲突路径。

10. 单击“应用”。

相关操作

• 修改VN。

  将鼠标移动到待修改的VN图标上，单击右上角的，在修改界面进行VN参数修改。

• 删除VN。

  将鼠标移动到待删除的VN图标上，单击右上角的进行删除操作。

参数说明