Underlay网络设计
网络管理区设计
大中型园区场景,如果园区已部署独立的数据中心机房,iMaster NCE-Campus等软件系统可直接安装到机房的服务器上,然后保证出口网关和园区内网能够路由互通即可。本章节主要介绍实现iMaster NCE-Campus等软件系统与园区内网互通的最基本服务器组网设计。如图2-12所示:
- 采用堆叠方式的三层交换机作为服务器网关与服务器、核心交换机直连。
- iMaster NCE-Campus、iMaster NCE-CampusInsight、CIS均采用最小集群规格,2网络平面。
- 三层交换机上通过VLAN隔离所有网络平面,对应的VLANIF接口,即为每个网络平面的网关接口。
服务器与网关对接设计
为了保证网络可靠性,服务器侧一般会将多网卡绑定,通过一个bond接口与服务器网关对接。网卡绑定模式常用的包含active-backup和load balancing两种模式,两种模式下,服务器与网关的对接配置也略有差异。
active-backup模式
该模式下,服务器的双网卡端口一个处于主状态,一个处于从状态,所有数据都通过主状态的端口传输。当主状态端口对应链路出现故障时,数据通过从状态端口传输。此时,作为网关的三层交换机通过两个物理端口与双网卡端口对接,物理端口无需聚合,而且建议两个物理端口以access方式加入到对应网络平面的VLAN中。如图2-13所示组网,交换机上端口加入VLAN的配置如下。
<Switch> system-view [Switch] vlan batch 100 [Switch] interface gigabitethernet 1/0/1 [Switch-GigabitEthernet1/0/1] port link-type access [Switch-GigabitEthernet1/0/1] port default vlan 100 [Switch-GigabitEthernet1/0/1] quit [Switch] interface gigabitethernet 2/0/1 [Switch-GigabitEthernet2/0/1] port link-type access [Switch-GigabitEthernet2/0/1] port default vlan 100 [Switch-GigabitEthernet2/0/1] quit
load balancing模式
该种模式下,服务器的多网卡基于指定的HASH策略传输数据包。此时,作为网关的三层交换机需要配置手工模式的链路聚合口与服务器的bond口对接,然后链路聚合口再以access方式加入到对应网络平面的VLAN中。如图2-14所示组网,交换机上端口加入VLAN的配置如下。
网络管理区与园区内网互通设计
大中型园区网络虚拟化方案中,网络管理区需要与Underlay的设备管理子网、Overlay的用户子网互通,主要保证各软件系统能够对园区内网设备进行管理,或者与用户子网互通、完成某个业务功能。表2-10列出了大中型园区网络虚拟化方案中需要与园区内网互通的常用软件系统。
互通项 |
软件系统 |
说明 |
|---|---|---|
与Underlay的设备管理子网互通 |
iMaster NCE-Campus |
对园区内网设备纳管,进行业务配置发放等。设备需要与iMaster NCE-Campus南向对接。 |
iMaster NCE-CampusInsight |
对园区内网进行智能运维。设备需要与iMaster NCE-CampusInsight南向对接,并向其上报性能数据等。 |
|
CIS |
实现园区内网智能安全协防。设备需要与CIS系统中的流探针服务器等组件对接,并向其上报报文摘要信息等。 |
|
与Overlay的用户子网互通 |
iMaster NCE-Campus |
作为用户接入认证的准入服务器。用户子网需要能够与iMaster NCE-Campus南向互通。 |
DHCP服务器 |
为用户终端动态分配IP地址。用户子网需要能够与DHCP服务器互通。 |
如果网络管理区仅为最基本的组网设计,而且网络管理区网关与核心交换机之间拓扑比较稳定,涉及互通的网段条目较少,此时推荐在网络管理区网关与核心交换机间配置静态路由来实现互通。如图2-15所示,采用静态路由实现互通的规划如下:
- 网络管理区网关与核心交换机上各规划两个VLANIF接口对接,分别用于网络管理区与Underlay的设备管理子网、Overlay的用户子网互通,如图中的VLANIF500、VLANIF600。
- 网络管理区与Underlay的设备管理子网互通:
- 核心交换机侧:配置去往网络管理区的静态路由,目的网段为需要与设备管理子网互通的软件系统所在网段,如图中iMaster NCE-Campus南向、iMaster NCE-CampusInsight南向、CIS系统中的流探针服务器,下一跳为网络管理区网关的VLANIF500接口IP地址。
- 网络管理区网关侧:配置去往Underlay的设备管理子网路由,目的网段为设备管理网段,下一跳为核心交换机的VLANIF500接口IP地址。
- 网络管理区与Overlay的用户子网互通:
- 核心交换机侧:在创建Fabric的网络服务资源时,作为Border节点的核心交换机上,可配置对接的网络服务资源地址、与网络管理区网关互联的VLAN和IP地址等。配置完成后,核心交换机上将会在代表网络服务资源的VRF与代表VN的VRF上进行路由互引;同时,还会在代表网络服务资源的VRF内,创建一条去往网络管理区的私网静态路由,目的网段为需要与用户子网互通的软件系统所在网段,如图中iMaster NCE-Campus南向、DHCP服务器。
- 网络管理区网关侧:配置去往Overlay用户子网的静态路由,目的网段为用户网段,下一跳为核心交换机的VLANIF600接口地址。
开局设计
开局配置方式规划
大中型园区网络虚拟化方案中主要涉及的网络设备,以及推荐的开局配置方式如表2-11所示。
区域 |
设备 |
推荐开局配置方式 |
说明 |
|---|---|---|---|
网络管理区 |
交换机(作为网络管理区网关) |
本地命令行或者Web网管配置 |
通常需要在网络管理区软件系统安装前,完成设备配置。 |
出口网络 |
防火墙 |
本地命令行或者Web网管配置 |
通常部署在核心机房,地理位置集中,且配置的业务复杂,建议本地配置。 |
核心层 |
核心交换机 |
首先通过命令行在iMaster NCE-Campus上线,然后通过iMaster NCE-Campus集中配置 |
通常部署在核心机房,地理位置集中,建议通过命令行在iMaster NCE-Campus上线后,可作为核心层以下管理子网的根设备,实现核心层以下设备即插即用。 |
|
本地命令行或者Web网管配置 |
通常部署在核心机房,地理位置集中,由于WAC需要集中管理AP,建议通过命令行在iMaster NCE-Campus上线后,跳转到WAC的命令行或者Web界面配置。 |
|
汇聚层 |
汇聚交换机 |
通过iMaster NCE-Campus集中配置 |
数量众多,部署位置分散,建议通过DHCP方式在iMaster NCE-Campus上线,实现即插即用开局。 |
接入层 |
接入交换机 |
通过iMaster NCE-Campus集中配置 |
数量众多,部署位置分散,建议通过DHCP方式在iMaster NCE-Campus上线,实现即插即用开局。 |
AP |
通过WAC集中配置 |
大中型园区网络,WLAN一般采用WAC+Fit AP架构,通过WAC集中管理AP。由于AP数量众多,部署位置分散,建议通过DHCP方式在WAC上线,实现即插即用开局。 |
核心层以下设备管理VLAN互通设计
首次即插即用上线时的管理VLAN互通设计
大中型园区网络中,核心层以下设备推荐通过DHCP方式即插即用开局,汇聚、接入交换机需要在iMaster NCE-Campus上线;AP需要在WAC上线。核心层以下设备能够上线的关键在于如何实现管理VLAN的互通,主要有两种方式供选择。
- 管理VLAN采用默认VLAN 1,如图2-16所示
- 核心交换机通过命令行在iMaster NCE-Campus上线。如果WAC采用独立WAC,也是通过命令行在iMaster NCE-Campus上线。
- 通过iMaster NCE-Campus在核心交换机上配置VLANIF1作为管理子网网关接口,配置DHCP地址池,Option 148携带iMaster NCE-Campus南向地址,Option 43携带WAC地址。
- 由于设备出厂时默认所有端口加入了VLAN,所以核心到汇聚、接入在VLAN 1内可以互通。
- 汇聚/接入交换机通过VLAN 1获取了iMaster NCE-Campus南向地址,在iMaster NCE-Campus上线。
- AP通过Option 43获取了WAC地址,在WAC关联了AP、并设置CAPWAP源接口后,AP在WAC上线。
- 管理VLAN采用自协商管理VLAN,如图2-17所示
由于VLAN 1存在广播风暴的风险较大,也可以通过自协商管理VLAN功能,采用其他VLAN作为管理VLAN。假设VLAN 100作为自协商管理VLAN,核心层以下设备即插即用上线的流程如下:
- 核心交换机通过命令行在iMaster NCE-Campus上线。如果WAC采用独立WAC,也是通过命令行在iMaster NCE-Campus上线。
- 通过iMaster NCE-Campus在核心交换机上配置VLANIF100作为管理子网网关接口,配置DHCP地址池,Option 148携带iMaster NCE-Campus南向地址,Option 43携带WAC地址。
- 以核心交换机为根设备,通过管理VLAN自协商功能,实现核心层以下设备管理VLAN互通,过程如下:
- 通过iMaster NCE-Campus在核心交换机启用自协商管理VLAN功能,配置VLAN 100为自协商管理VLAN。
- 核心交换机配置完成后,通过自协商的协议报文,汇聚交换机将自动完成端口加入VLAN。
- 核心交换机到汇聚交换机的管理通道打通后,通过自协商的协议报文,接入交换机将自动完成端口加入VLAN。
- 汇聚/接入交换机通过VLAN 100获取了iMaster NCE-Campus南向地址,在iMaster NCE-Campus上线。
- AP通过Option 43获取了WAC地址,在WAC关联了AP、并将VLANIF100配置为CAPWAP源接口后,AP在WAC上线。
上线完成后的管理VLAN切换设计
首次即插即用上线的设备端口都会加入一个管理VLAN内,如果园区网络设备数量较多,即使通过自协商管理VLAN,也仍然存在一定的广播风暴风险。建议园区网络设备较多情况下,规划多个管理VLAN,在首次即插即用上线后,进行管理VLAN切换,隔离设备的广播域。
注意,切换管理VLAN前,首先需要配置核心交换机到核心层以下设备的端口加入新的管理VLAN,避免核心层以下设备由于核心交换机到核心层以下设备在新的管理VLAN无法互通,而导致上线失败。
基于iMaster NCE-Campus的开局流程设计
在大中型园区网络中,交换机和AP由于数量多、规模大,因此iMaster NCE-Campus提供了两种开局思路,如图2-19所示。优先推荐管理员先规划网络,将规划信息导入到iMaster NCE-Campus中,再部署设备上线的方式开局,这样,可以简化开局工作量。当管理员不具备预先规划网络的条件时,可采用先部署设备上线、再确定网络拓扑的开局部署方式。
先部署设备上线,再确定网络拓扑
该方式下,管理员需要先将设备ESN等信息录入到iMaster NCE-Campus中,完成设备上线,然后再配置物理链路,如果设备间需要聚合链路互联,则进行手工创建。交换机和AP通过此种方式开局流程如下:
- 创建代表园区网络的站点。
- 在站点中添加设备,录入设备的ESN。AP的ESN也需要录入,WAC在iMaster NCE-Campus与需要上线的AP进行关联。
- 配置设备纳管,完成设备上线。
- 核心交换机通过命令行与iMaster NCE-Campus南向对接。
- 汇聚/接入交换机通过DHCP方式实现即插即用,在iMaster NCE-Campus上线。
- AP通过DHCP方式实现即插即用,在WAC上线。
如果交换机需要堆叠,堆叠系统需要提前组建好,然后在站点中添加堆叠系统,同步堆叠ID、优先级等信息。堆叠系统可以在纳管前手工添加,也可以在纳管后通过iMaster NCE-Campus主动探测添加到站点。
- 设备上线后,如果设备间需要通过聚合链路互联,在设备上手工创建Eth-Trunk接口。
先导入网络规划,再部署设备上线
该方式下,管理员可以先规划网络,然后将规划好的基本网络信息,包括设备ESN、堆叠信息、聚合链路信息,通过模板批量导入到iMaster NCE-Campus中,可以同时完成网络拓扑预配置,简化开局工作量。交换机和AP通过此种方式开局流程如下:
- 创建代表园区网络的站点。
- 填写网络规划模板,然后可以一次性批量将设备信息、堆叠信息、链路信息导入到站点中。
- 交换机和AP的设备信息:包括设备的ESN、型号、角色等。
- 交换机堆叠信息:包括堆叠系统名称、堆叠ID和优先级等。
- 交换机间聚合链路信息:包括上游/下游设备名称、上游/下游物理成员端口编号、上游/下游Eth-Trunk接口名称等。
- 配置设备纳管,完成设备上线。
- 核心交换机通过命令行与iMaster NCE-Campus南向对接。
- 汇聚/接入交换机通过DHCP方式实现即插即用,在iMaster NCE-Campus上线。
- AP通过DHCP方式实现即插即用,在WAC上线。
交换机上线后,iMaster NCE-Campus会将导入的交换机间聚合链路预配置自动下发到交换机上。
内网路由自动编排设计
大中型园区网络虚拟化方案中,支持Underlay路由自动编排功能,iMaster NCE-Campus可以根据规划配置导入或者协议自动学习的物理网络拓扑,对接入层到核心层进行OSPF路由自动化配置,包括自动划域、自动接口配置下发等。
Underlay路由编排功能可选择单域和多域两种编排场景,如图2-20所示。
当Underlay需要部署路由的网络区域小于100台交换机,此时推荐单域编排:
- OSPF路由编排域覆盖Fabric组网中Border与Edge间的所有交换机。如果Fabric采用VXLAN到汇聚,即为所有的汇聚和核心交换机;如果Fabric采用VXLAN到接入,即为所有的核心、汇聚和接入交换机。
- 所有交换机都会规划到Area 0。
- 所有交换机之间规划不同的VLANIF接口实现OSPF互联,互联的二层链路接口放通相应的VLAN。
- 在配置Fabric网络时,作为Border和Edge节点的交换机需要创建LoopBack接口,用于建立BGP EVPN对等体。LoopBack接口IP地址所属网段路由也会发布到Area 0中。
- 如果Border与Edge间需要通过一台二层交换机互联,此时二层透传交换机不能选取为核心或者汇聚角色(iMaster NCE-Campus在站点中添加交换机时,会选取交换机角色)。启用OSPF路由自动编排功能后,二层透传交换机的链路接口会放通相应VLAN。
当Underlay需要部署路由的网络区域大于100台交换机,此时推荐多域编排:
- OSPF路由编排域覆盖Fabric组网中Border与Edge间的所有交换机。如果Fabric采用VXLAN到汇聚,即为所有的汇聚和核心交换机;如果Fabric采用VXLAN到接入,即为所有的核心、汇聚和接入交换机。
- 核心交换机规划到Area 0;核心交换机每个下行VLANIF接口,及其级联的汇聚交换机、接入交换机,规划到一个Area。
- 所有交换机之间规划不同的VLANIF接口实现OSPF互联,互联的二层链路接口以trunk方式添加相应的VLAN。
- 作为Border节点的核心交换机,其LoopBack接口IP地址所属网段发布到Area 0;Edge节点上LoopBack接口IP地址所属网段发布到相应Area中。
- 如果Border与Edge间需要通过一台二层交换机互联,此时二层透传交换机不能选取为核心或者汇聚角色(iMaster NCE-Campus在站点中添加交换机时,会选取交换机角色)。启用OSPF路由自动编排功能后,二层透传交换机的链路接口会放通相应VLAN。
