配置Fabric
创建Fabric
虽然Fabric的最大特点是资源池化,但仍然是个网络。Fabric首先需要进行创建,完成Fabric基本组网的配置;然后VN才可以构建,并使用Fabric全局资源池中规划的网络资源。园区网络虚拟化方案中外部网络资源等也是在Fabric创建完成基础之上设计的资源模型。如图4-6所示,集中式网关方案中,创建Fabric的建议如下:
- 如果是新建园区网络,推荐采用VXLAN到接入的Fabric组网。Fabric创建时需选取核心交换机作为Border节点,接入交换机作为Edge节点。汇聚交换机无需选取,仅作为中间透传设备。
- 如果是改造园区网络,需要利旧不支持VXLAN的接入交换机,推荐采用VXLAN到汇聚的Fabric组网。Fabric创建时需选取核心交换机作为Border节点,汇聚交换机作为Edge节点。推荐接入交换机选取作为Fabric扩展节点,后续可以在汇聚交换机与接入交换机部署策略联动功能。
- 推荐配置Fabric网络风暴抑制并设置阈值,降低广播风暴风险。风暴抑制阈值通常设置为端口速率的1%,Fabric网络中为Edge上行隧道侧物理端口。实际设置时仍需根据网络情况选取数值,比如在一个BD广播域下用户接入情况、接入的端口容量等。
- 不同的Border/Edge需要间建立BGP EVPN对等体。推荐将Border设备(通常CPU处理能力最强)配置为路由反射器,这样,Edge间可以不需建立对等体连接,从而减小CPU性能消耗。
创建外部网络
在Fabric网络的资源模型设计中,通过在Border节点创建外部网络,使得园区内部终端能够访问外部Internet等。Border上创建的每个外部网络资源都会被分配一个VRF,VN构建过程中选取了一个外部网络资源后,通过其VRF与VN的VRF间进行路由互引,实现VN内业务子网与外部网络的互通,如图4-7所示。
Fabric通过iMaster NCE-Campus在Border创建外部网络资源时,需要配置:
- 外部网络资源类型。
- 互联的物理接口。
- 互联的VLAN和IP地址。
- 互联的路由协议。
其中,外部网络资源类型和路由协议的选择是创建外部网络资源的要点,下面展开介绍这两个要点的配置建议。
外部网络资源类型选择
外部网络资源定义了三种类型,如果用户网关位于Fabric内,主要采用L3共享出口或者L3独占出口两种类型,如图4-8所示。
- L3共享出口:Fabric网络的多个VN共享L3出口,与出口设备互通。由于VN与外部互访必须要在防火墙上配置到达业务子网的回程路由,这也间接导致不同VN间业务子网在防火墙上是可以互通的。如果不同VN间在防火墙仍需隔离,需基于VN内的业务网段配置策略。
如果VN间互访安全要求低,推荐采用L3共享出口,可以节省VLAN和IP等用于互联的资源。
- L3独占出口:Fabric网络的每个VN独占一个L3出口,与出口设备互通。此时,防火墙可以创建多个安全区域,安全区域与L3独占出口一一对应,到达防火墙的不同VN间业务子网流量是隔离的。如果不同VN间需要在防火墙实现互访,可以在不同安全区域间配置安全策略,配置的安全策略还能够控制互访的应用端口、限制带宽等。
如果VN间互访安全要求高,需要对互访流量进行策略控制,推荐采用L3独占出口。
外部网络的路由规划
VN与外部网络互通有两个关键点:在Border上,VN与外部网络资源的VRF间通过VPN Target实现路由互引;Border与防火墙间通过配置路由协议互通。如图4-9所示,Border与防火墙间的路由设计推荐遵循如下原则:
- Border侧园区内网去往外部网络的路由:考虑需要访问的外部网络数量多、稳定性相对较低,推荐采用缺省路由。
- 防火墙侧外部网络向园区内网的回程路由:一般采用明细路由。
Border在创建外部网络资源过程中,与防火墙互通的路由协议有3种可以选择。遵循前面讲述的路由设计原则,不同路由协议的推荐配置思路如表4-6所示。
路由协议 |
Border侧VN向外部网络的缺省路由 |
防火墙侧外部网络向VN的回程路由 |
Border与防火墙间互联示意图 |
|---|---|---|---|
静态路由 |
|
|
|
OSPF路由 |
|
|
|
BGP路由 |
|
|
防火墙通常会部署双机热备来保证设备可靠性,在主备倒换场景下如何实现业务流量路径的切换,是路由协议选择的主要考虑因素之一:
- 如果防火墙基于VRRP实现主备备份的双机热备,此时推荐采用静态路由。
如图4-10所示,核心交换机上配置缺省的静态路由,下一跳地址为VRRP备份组的虚拟IP地址。主用防火墙的VRRP备份组状态为主用状态时,会响应核心交换机包含虚拟IP地址的ARP请求,使得核心交换机上的业务流量都被引导到主用防火墙处理。
当主用防火墙发生故障时,备用防火墙的VRRP备份组状态会切换成主用状态,而且会广播免费ARP报文,报文中携带VRRP备份组的虚拟IP地址和接口的MAC地址(开启接口虚MAC地址功能时,携带虚MAC地址)。核心交换机收到免费ARP报文后会刷新ARP缓存表。这样,业务流量路径会切换到备用防火墙上。
- 如果防火墙不部署VRRP,也可以通过动态路由来实现业务流量路径的自动切换,此时需要在备用防火墙上配置hrp standby-device命令,将其指定为备机。如图4-11所示,以OSPF路由协议为例,主备防火墙都正常工作时,主用防火墙按照OSPF配置正常发布路由,而备用防火墙发布的OSPF路由开销值则被调整为65500(缺省值,可修改为其他数值)。核心交换机在转发流量时会选择开销更小的路径,业务流量都被引导到主用防火墙上转发。
当主用防火墙发生故障时,备用防火墙会切换成主用状态,而且VGMP组(VRRP Group Management Protocol,用于双机热备的主备状态管理)会对OSPF开销值进行调整:主用防火墙发布的OSPF路由开销值被调整为65500,备用防火墙发布的OSPF路由开销值被调整为1。路由完成收敛后,业务流量路径会切换到备用防火墙上。
Border侧路由是通过iMaster NCE-Campus创建外部网络资源时配置,防火墙侧路由需要登录其Web网管或者命令行界面配置。
创建网络服务资源
在Fabric网络的资源模型设计中,通过在Border节点创建网络服务资源,使得园区内部业务终端能够访问网络管理区的服务资源,比如DHCP服务器、准入服务器等。Border上创建的每个网络服务资源都会被分配一个VRF,VN构建过程中选取了一个网络服务资源后,通过其VRF与VN的VRF间进行路由互引,实现VN内业务子网与服务资源的互通,如图4-12所示。
在Fabric通过iMaster NCE-Campus创建网络服务资源时,需要配置:
- 服务资源的访问地址,如DHCP服务地址、iMaster NCE-Campus的南向地址。
- 互联场景,包括与服务器直连、与交换机直连两种。Border一般采用与交换机直连场景,不与服务器直连。
- 互联的物理接口。
- 互联的VLAN和IP地址。
相较于外部网络资源的路由设计,网络服务资源的路由设计相对简单。网络服务资源是基于服务资源的访问地址,在Border上创建相应的静态路由。网络服务资源可以创建多个,也可以一个网络服务器资源模型包含多个服务资源的访问地址。如果网络管理区需要访问的服务资源较少,推荐这些服务资源都规划在一个网络服务资源模型中。这样,可以节省互联的VLAN和IP地址资源,简化网络管理区侧的路由配置,如图4-13所示。
配置接入管理
Fabric的接入管理主要是对用户接入的认证控制点进行规划,配置接入点资源,供VN创建时选用。
Fabric接入端口连接类型介绍
Fabric接入管理中,对交换机的接入端口定义了3种连接类型,如图4-14所示。
- Fabric扩展AP:下挂设备为华为AP,运行在Fit AP模式。主要在配置策略联动时使用。
- Fabric扩展交换机:下挂设备为华为交换机。主要在配置策略联动时使用。
- 终端(PC、话机、哑终端、非Fabric扩展接入交换机/AP):下挂设备是终端。可以根据终端类型,绑定相应的认证模板,对终端进行接入控制。
“Fabric扩展AP”和“Fabric扩展交换机”主要在配置策略联动时,实现认证控制点与认证执行点间的策略联动管理VLAN互通,而且“Fabirc扩展交换机”作为认证执行点,还可以下挂“Fabric扩展AP”和“终端”。
策略联动是指将认证控制点上移到汇聚层/核心层,而且汇聚层/核心层与接入层设备通过CAPWAP隧道能够进行策略的联动,从而在减少认证控制点配置数量的同时,终端接入仍可在接入层进行控制。
策略联动借鉴了传统WAC+Fit AP接入控制思路。传统WAC+Fit AP架构中,WAC就是认证控制点,而AP是认证执行点,WAC与AP间通过CAPWAP隧道同步用户认证信息。因此,在汇聚/核心层设备作为有线无线统一认证控制点的场景中,适合部署策略联动功能。
集中式网关方案的Fabric接入管理配置推荐
集中式网关方案中,通常有线无线认证控制点不统一,在配置Fabric接入管理时:
- 如果Fabric采用推荐的VXLAN到接入组网,一般不部署策略联动功能。
- 如果Fabric采用VXLAN到汇聚组网,推荐在Edge与接入交换机间部署策略联动功能,有线认证执行点可以下移到接入交换机。
注意,接入交换机连接AP的端口不要选择“Fabric扩展AP”类型,否则会影响AP通过自协商管理VLAN与Border互通。
