收藏
下载资源 加入VIP免费专享

huawei01-23业务随行和业务编排典型配置.docx

上传人:小飞机 文档编号:2011614 上传时间:2022-12-31 格式:DOCX 页数:66 大小:1.01MB
返回 下载 相关 举报
huawei01-23业务随行和业务编排典型配置.docx_第1页
第1页 / 共66页
huawei01-23业务随行和业务编排典型配置.docx_第2页
第2页 / 共66页
huawei01-23业务随行和业务编排典型配置.docx_第3页
第3页 / 共66页
huawei01-23业务随行和业务编排典型配置.docx_第4页
第4页 / 共66页
huawei01-23业务随行和业务编排典型配置.docx_第5页
第5页 / 共66页
点击查看更多>>
资源描述

《huawei01-23业务随行和业务编排典型配置.docx》由会员分享,可在线阅读,更多相关《huawei01-23业务随行和业务编排典型配置.docx(66页珍藏版)》请在三一办公上搜索。

1、23 业务随行和业务编排典型配置23.1 通过业务编排完成对指定数据流的引导(框式交换机)23.2 配置在用户物理位置变化时部署业务随行示例(V200R006C00、V200R007C00、V200R008C00)23.3 配置在用户物理位置变化时部署业务随行示例(V200R009及之后版本)23业务随行和业务编排典型配置23.1 通过业务编排完成对指定数据流的引导(框式交换机)23.2 配置在用户物理位置变化时部署业务随行示例(V200R006C00、V200R007C00、V200R008C00)23.3 配置在用户物理位置变化时部署业务随行示例(V200R009及之后版本)23.1通过业

2、务编排完成对指定数据流的引导(框式交换机)业务编排简介在典型的园区网中,客户通常在重要业务部门、半信任区DMZ(Demilitarized Zone)、园区出口和数据中心等边界处部署防火墙、反病毒专家系统和应用安全网关等网络增值业务设备。这种为每个有需求的网络区域部署独立的网络增值业务设备的方案有以下几个缺点:需要部署的网络增值业务设备过多从而造成投资成本大。独立为每个有需求的网络部署网络增值业务设备会导致网络增值业务设备的利用率不高,从而造成资源的浪费。在部署和维护过程中,需要在每台网络增值业务设备上配置各自的业务处理策略,这样会导致部署和维护不便。针对以上问题,华为公司推出了业务编排解决方

3、案。如图23-1所示,该方案主要由策略控制器、编排设备和安全资源池组成。其中,安全资源池中部署的网络增值业务设备可以是一台设备拥有多个网络增值业务能力,也可以是多个具有独立网络增值业务能力的设备。通过在园区网部署业务编排方案,可以将网络增值业务设备全部集中在一个物理区域。由于不需要再为每个有需求的网络部署独立的网络增值业务设备,不仅降低了成本,而且还提高了网络增值业务设备的利用率。同时在整个园区网中,哪些业务流量需要网络增值业务设备进行处理由策略控制器下发策略来控制,这样也提高了部署和维护的效率。图23-1业务编排方案园区组网图配置注意事项目前业务编排解决方案中支持的网络增值业务设备有防火墙、

4、防病毒专家系统和应用安全网关。业务编排解决方案中各产品的版本配套关系如下表所示。功能名称交换机版本Agile Controller-Campus的版本业务编排1.0V200R006C00、V200R007C00V100R001业务编排2.0V200R008C00及以后版本V100R002、V100R003组网需求如图23-2所示,M公司的机房中有一台FTP服务器,存储公司研发部门的重要数据。管理员小王需要保证这台FTP服务器的安全,防止被攻击导致关键数据外泄。小王希望能通过业务编排完成以下任务:研发部门员工能访问FTP服务器,市场部门的员工不能访问FTP服务器。研发部门员工访问FTP服务器的数

5、据流必须先经过防火墙进行安全检测。如果防火墙设备发生故障,研发部门员工不能访问FTP服务器。图23-2M公司组网数据规划表23-1用户和资源的IP地址规划用户和资源IP地址研发部门员工A10.85.100.11研发部门员工B10.85.100.12研发部门员工C10.85.100.13研发部门员工D10.85.100.14研发部门员工E10.85.100.15FTP服务器10.85.10.2Controller10.85.10.3SwitchA10.85.10.5NGFW10.85.10.6表23-2业务流规划序号协议源IP/掩码长度源端口目的IP/掩码长度目的端口1TCP10.85.100.

6、11/322210.85.10.2/32212TCP10.85.100.12/323TCP10.85.100.13/324TCP10.85.100.14/325TCP10.85.100.15/32表23-3设备参数规划设备配置交换机与防火墙直连的接口:接口名称:GigabitEthernet 1/0/1Vlan:Vlan100IP地址:10.85.10.5/24LoopBack 100:IP地址:10.7.2.1/32LoopBack 101:IP地址:10.7.2.2/32XMPP连接密码:Admin123防火墙与交换机直连的接口:接口名称:GigabitEthernet 1/0/1安全区域

7、:trustIP地址:10.85.10.6/24LoopBack 100:IP地址:10.6.2.1/32LoopBack 101:IP地址:10.6.2.2/32XMPP连接密码:Admin123Radius共享密钥:Radius123配置思路具体配置思路如下:在交换机和防火墙上配置基本参数。在交换机和防火墙上配置XMPP协议参数,以便在Controller上添加交换机和防火墙设备。在交换机和防火墙上配置各接口的地址和静态路由,实现网络中各设备之间能够互通。说明:需要保证配置的Loopback编号在设备中是最大的,本文使用的是100和101。在Controller上通过XMPP协议添加交换机

8、和防火墙设备。在Controller上配置业务流,通过ACL规则实现仅研发部门员工访问FTP服务器。在Controller上配置IP地址池和业务链资源,实现交换机和防火墙之间GRE隧道的建立。说明:IP地址池不能包含网络中正在使用的IP地址。在Controller上编排并部署业务链,实现对访问FTP服务器的数据的重定向,先经过防火墙,再访问FTP服务器。操作步骤在交换机上配置各接口地址,静态路由和XMPP连接参数等基本参数。 system-viewHUAWEI sysname SwitchASwitchA vlan batch 100 SwitchA interface gigabitethe

9、rnet 1/0/1SwitchA-GigabitEthernet1/0/1 port link-type trunkSwitchA-GigabitEthernet1/0/1 port trunk allow-pass vlan 100SwitchA-GigabitEthernet1/0/1 quitSwitchA interface vlanif 100SwitchA-Vlanif100 ip address 10.85.10.5 24SwitchA-Vlanif100 quitSwitchA interface LoopBack 100SwitchALoopBack100 ip addre

10、ss 10.7.2.1 255.255.255.255SwitchALoopBack100 quitSwitchA interface LoopBack 101SwitchALoopBack101 ip address 10.7.2.2 255.255.255.255SwitchALoopBack101 quitSwitchA ip route-static 10.6.2.1 255.255.255.255 10.85.10.6SwitchA ip route-static 10.6.2.2 255.255.255.255 10.85.10.6SwitchA group-policy cont

11、roller 10.85.10.3 password Admin123 src-ip 10.85.10.5在防火墙上配置各接口地址,静态路由和XMPP连接参数等基本参数。配置接口IP地址和安全区域,完成网络基本参数配置。选择“网络接口”。单击GE1/0/1对应的,按如下参数配置。安全区域trustIPv4IP地址10.85.10.6/24配置RADIUS服务器。选择“对象认证服务器RADIUS”。单击“新建”,按如下参数配置。此处设置的参数必须与RADIUS服务器的参数保持一致,共享密钥为“Radius123”。单击“确定”。开启防火墙的敏捷网络功能。选择“系统敏捷网络配置”。勾选“敏捷网络功

12、能”对应的“启用”。配置与Controller的对接参数。“Controller主服务器IP”参数后面的状态显示为“已连接”,表示防护墙与Agile Controller对接成功。说明:在业务编排场景中,由于防火墙要配置内容安全检测功能,因此“安全策略配置”必须选择为“手工配置”。在防火墙上配置两个Loopback接口。说明:您需要登录设备CLI控制台来完成该配置步骤。单击界面右下方的。在“CLI控制台(未连接)”对话框中单击鼠标左键,连接设备CLI控制台。连接成功后,配置如下命令。 sysname NGFWNGFW interface LoopBack 100NGFW-LoopBack100

13、 ip address 10.6.2.1 255.255.255.255NGFW-LoopBack100 quitNGFW interface LoopBack 101NGFW-LoopBack101 ip address 10.6.2.2 255.255.255.255NGFW-LoopBack101 quitNGFW ip route-static 10.7.2.1 255.255.255.255 10.85.10.5NGFW ip route-static 10.7.2.2 255.255.255.255 10.85.10.5在Controller上添加交换机和防火墙设备。在主菜单中选择

14、“资源设备设备管理”。单击“增加”。设置添加设备的参数。添加交换机和防火墙的参数设置如图23-3和图23-4所示。“密码”为在设备上配置的通信密码“Admin123”。图23-3添加交换机设备的参数设置图23-4添加防火墙设备的参数设置配置业务流。在主菜单中选择“策略业务链编排业务流定义”。单击“增加”。设置业务流参数。参数设置如图23-5所示。图23-5业务流参数设置配置IP地址池。在主菜单中选择“策略业务链编排IP地址池”。单击“增加”。名称设置为“10.10.192.0”,IP地址设置为“10.10.192.0”,掩码长度设置为“24”。图23-6IP地址池参数设置单击“确定”。配置业务

15、链资源。在主菜单中选择“策略业务链编排业务链资源”。单击“增加”。在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。在左侧“业务设备”区域选择“NGFW”,拖拽至右侧的“防火墙”节点上。在左侧“地址池”区域选择“10.10.192.0”。图23-7业务链资源参数设置单击“保存”,在弹出的提示框中单击“是”。编排并部署业务链。在主菜单中选择“策略业务链编排业务链编排”。单击“增加”。在左侧“业务流”区域选择“User_to_Datacenter”,拖拽至右侧的“业务流”节点上。在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。将“NGFW”

16、设备拖拽至上方的防火墙节点上。在左侧“链异常处理方式”区域选择“阻断”。图23-8业务链编排参数设置单击“保存”,在弹出的提示框中单击“是”。验证配置结果。# 在Controller上查看交换机和防火墙之间的隧道是否建立成功。业务链资源下发后的隧道信息如图23-9所示。图23-9隧道部署结果详情# 在交换机上通过命令display acl all能够看到业务流规则成功下发。SwitchA display acl all Total nonempty ACL number is 1 Advanced ACL S_ACL_20140401153202_B3E0 3998, 5 rulesAcls

17、step is 5 rule 5 permit tcp source 10.85.100.11 0 source-port eq 22 destination 10.85.10.2 0 destination-port eq 21 (match-counter 0) rule 10 permit tcp source 10.85.100.12 0 source-port eq 22 destination 10.85.10.2 0 destination-port eq 21 (match-counter 0) rule 15 permit tcp source 10.85.100.13 0

18、source-port eq 22 destination 10.85.10.2 0 destination-port eq 21 (match-counter 0) rule 20 permit tcp source 10.85.100.14 0 source-port eq 22 destination 10.85.10.2 0 destination-port eq 21 (match-counter 0) rule 25 permit tcp source 10.85.100.15 0 source-port eq 22 destination 10.85.10.2 0 destina

19、tion-port eq 21 (match-counter 0)# 在交换机上通过命令display current-configuration | include traffic-redirect能够看到业务编排配置成功下发。SwitchA display current-configuration | include traffic-redirecttraffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998 interface Tunnel16370 SwitchA interface Tunnel 16370Swit

20、chA-Tunnel16370 display this#interface Tunnel16370 description Controller_S_from_10.6.2.1 ip address 10.10.192.5 255.255.255.0 tunnel-protocol gre keepalive period 1 source 10.7.2.1 destination 10.6.2.1 traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998#return配置文件SwitchA的配置文件#sysname Swi

21、tchA#vlan batch 100#group-policy controller 10.85.10.3 password %#%#FG9.7h,|j$2c2$LRG%N#lBU;3_;AVo,7)f%M%#%# src-ip 10.85.10.5#interface Vlanif100 ip address 10.85.10.5 255.255.255.0#interface LoopBack100 ip address 10.7.2.1 255.255.255.255#interface LoopBack101 ip address 10.7.2.2 255.255.255.255#i

22、nterface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 100#return23.2配置在用户物理位置变化时部署业务随行示例(V200R006C00、V200R007C00、V200R008C00)业务随行简介在企业网络中,为实现用户不同的网络访问需求,可在接入设备上为用户部署不同的网络访问策略。但随着企业网络移动化、BYOD等技术的应用,用户的物理位置以及IP地址变化愈加频繁,这就使得原有基于物理端口、IP地址的网络控制方案很难满足用户网络访问体验一致性的需求(譬如网络访问权限不随用户物理位置

23、变化而变化)。业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个IP地址,都可以保证该用户获得相同的网络访问策略的解决方案。业务随行解决方案需要交换机设备和Agile Controller-Campus配合使用。管理员仅需在Agile Controller-Campus上统一为用户部署网络访问策略,然后将其下发到所有关联的交换机设备即可满足不管用户的物理位置以及IP地址如何变化,都可以使其获得相同的访问策略。配置注意事项业务随行仅在NAC统一配置模式下支持。适用的产品和版本如下表所示:表23-4适用的产品和版本软件版本产品形态V200R006C00、V200R007C00、V200R0

24、08C00版本S5720HI、S7700、S9700支持,其余形态均不支持。如核心交换机曾经与其他Agile Controller-Campus配置过业务随行,请执行如下步骤清除历史数据后再重新配置。在系统视图执行undo group-policy controller命令,去使能业务随行功能,断开与Agile Controller-Campus的联动。执行undo acl all命令清除访问权限控制策略。执行undo ucl-group ip all命令清除安全组绑定的IP地址信息。执行undo ucl-group all命令清除安全组。退出到用户视图执行save命令保存,自动清除之前部署的

25、版本号。组网需求企业员工采用有线和无线方式接入,以802.1x或者Portal方式认证。由于员工办公地点不固定,希望无论在何处认证通过后获取同样的权限。图23-10组网图需求分析如图23-10所示,认证点为支持敏捷特性的核心交换机coreswitch(带随板AC),接入交换机为普通交换机。在核心交换机上配置802.1x认证和Portal认证,有线用户和无线用户在核心交换机认证通过后可以接入网络。通过配置业务随行功能,无论用户在哪里接入都将获得同样的权限和体验,实现权限随行和体验随行。数据规划表23-5网络数据规划项目数据说明VLAN规划ID:11IP地址:192.168.11.254/24与A

26、gile Controller-Campus通信VLAN。ID:12IP地址:192.168.12.254/24与AP之间的业务管理VLAN。ID:13IP地址:192.168.13.254/24无线接入业务VLAN。ID:14IP地址:192.168.14.254/24有线接入业务VLAN。核心交换机(coreswitch)接口编号:GE1/0/11允许通过VLAN ID:11允许已规划的VLAN通过。接口编号:GE1/0/12允许通过VLAN ID:12、14允许有线接入的业务VLAN和AP的管理VLAN通过。接入交换机接口编号:GE0/0/1允许通过VLAN ID:12、14与核心交换机

27、coreswitch的GE1/0/12接口连接。接口编号:GE0/0/3允许通过VLAN ID:14有线接入接口,允许有线接入的业务VLAN通过。接口编号:GE0/0/5允许通过VLAN ID:12无线接入接口,允许AP的管理VLAN通过。服务器Agile Controller-Campus:192.168.11.1SM和SC安装在同一台服务器。RADIUS服务器和Portal服务器包含在SC。邮件服务器1:192.168.11.100邮件服务器2:192.168.11.101-DNS服务器:192.168.11.200表23-6业务数据规划项目数据说明核心交换机(coreswitch)RAD

28、IUS认证服务器:IP地址:192.168.11.1端口号:1812RADIUS共享密钥:Admin123Agile Controller-Campus的业务控制器集成了RADIUS服务器和Portal服务器,所以认证服务器、计费服务器和Portal服务器的IP地址都为业务控制器的IP地址。配置RADIUS计费服务器,以便获取终端用户的上下线信息。认证服务器和计费服务器的端口号必须与RADIUS服务器的认证端口和计费端口一致。在Agile Controller-Campus中RADIUS认证和计费端口固定为1812和1813,Portal服务器端口固定为50200。RADIUS计费服务器:IP

29、地址:192.168.11.1端口号:1813RADIUS共享密钥:Admin123计费周期:15分钟Portal服务器:IP地址:192.168.11.1端口号:50200共享密钥:Admin123XMPP密码:Admin123与Agile Controller-Campus配置一致。Agile Controller-Campus核心交换机IP地址:192.168.11.254VLANIF 11的IP地址。RADIUS参数:设备系列:华为Quidway系列RADIUS认证密钥:Admin123RADIUS计费密钥:Admin123实时计费周期(分钟):15与核心交换机上配置的一致。Porta

30、l参数:端口:2000Portal密钥:Admin123接入终端IP地址列表无线:192.168.13.0/24有线:192.168.14.0/24XMPP密码:Admin123与核心交换机配置一致。部门:员工假设ROOT下面已存在“员工”部门,本举例对“员工”部门配置业务随行。安全组:员工组邮件服务器:邮件服务器1:192.168.11.100邮件服务器2:192.168.11.101在授权中将员工部门授权给员工组。认证后域邮件服务器员工认证通过后可以访问邮件服务器。认证前域DNS服务器员工认证通过前能够将域名发往DNS服务器做解析。配置思路核心交换机配置切换为统一模式。配置接口和VLAN,

31、并启用DHCP服务器功能。配置与RADIUS服务器对接参数。配置与Portal服务器对接参数。配置固定PC的接入认证点。配置免认证规则。配置AC系统参数,实现无线接入。配置与Agile Controller-Campus对接的XMPP参数,使能业务随行功能。接入交换机配置配置接口和VLAN,实现网络互通。配置802.1x报文透传功能。说明:本举例中,由于接入交换机与用户之间存在透传交换机LAN Switch,为保证用户能够通过802.1x认证,则务必在LAN Switch上配置EAP报文透传功能:在LAN Switch系统视图下执行命令l2protocol-tunnel user-define

32、d-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002定义二层透明传输EAP报文。在LAN Switch的下行与用户连接的接口以及上行与Switch连接的接口上执行命令l2protocol-tunnel user-defined-protocol 802.1x enable以使能接口的二层协议透明传输功能。Agile Controller-Campus配置设置RADIUS参数、Portal参数和XMPP参数,添加核心交换机。配置“员工组”和“邮件服务器”安全组,分别代表用户和资源。通过快速授权将“员工组”授权

33、给员工部门,员工认证通过后被映射到“员工组”。配置访问控制权限策略,允许“员工组”访问“邮件服务器”。操作步骤核心交换机配置。将配置模式切换为统一模式。说明:使用业务随行功能的交换机必须切换为统一模式,切换为统一模式后需重启交换机方能生效。 system-viewHUAWEI sysname coreswitchcoreswitch authentication unified-modecoreswitch quit save配置接口和VLAN,并启用DHCP服务器功能。coreswitch vlan batch 11 to 14coreswitch interface vlanif 11 /

34、作为源接口与Agile Controller-Campus通信coreswitch-Vlanif11 ip address 192.168.11.254 255.255.255.0coreswitch-Vlanif11 quitcoreswitch dhcp enable /使能DHCP服务coreswitch interface vlanif 12 /AP管理VLANcoreswitch-Vlanif12 ip address 192.168.12.254 255.255.255.0coreswitch-Vlanif12 dhcp select interface /使能DHCP服务器功能,

35、为AP分配IP地址coreswitch-Vlanif12 quitcoreswitch interface vlanif 13 /无线接入业务VLANcoreswitch-Vlanif13 ip address 192.168.13.254 255.255.255.0coreswitch-Vlanif13 dhcp select interface /使能DHCP服务器功能,为移动终端分配IP地址coreswitch-Vlanif13 dhcp server dns-list 192.168.11.200coreswitch-Vlanif13 quitcoreswitch interface

36、vlanif 14 /有线接入业务VLANcoreswitch-Vlanif14 ip address 192.168.14.254 255.255.255.0coreswitch-Vlanif14 dhcp select interface /使能DHCP服务器功能,为固定PC分配IP地址coreswitch-Vlanif14 dhcp server dns-list 192.168.11.200coreswitch-Vlanif14 quitcoreswitch interface gigabitEthernet 1/0/11coreswitch-GigabitEthernet1/0/11

37、 port link-type trunkcoreswitch-GigabitEthernet1/0/11 port trunk allow-pass vlan 11coreswitch-GigabitEthernet1/0/11 quitcoreswitch interface gigabitEthernet 1/0/12coreswitch-GigabitEthernet1/0/12 port link-type trunkcoreswitch-GigabitEthernet1/0/12 port trunk allow-pass vlan 12 14coreswitch-GigabitE

38、thernet1/0/12 quit配置与RADIUS服务器对接参数。coreswitch radius-server template policy /创建RADIUS服务器模板“policy”coreswitch-radius-policy radius-server authentication 192.168.11.1 1812 /配置RADIUS认证服务器的IP地址和认证端口1812coreswitch-radius-policy radius-server accounting 192.168.11.1 1813 /配置计费服务器的IP地址和认证端口1813coreswitch-r

39、adius-policy radius-server shared-key cipher Admin123 /配置RADIUS共享密钥coreswitch-radius-policy quitcoreswitch aaacoreswitch-aaa authentication-scheme auth /创建认证方案authcoreswitch-aaa-authen-auth authentication-mode radius /认证方式RADIUScoreswitch-aaa-authen-auth quitcoreswitch-aaa accounting-scheme acco /创建

40、计费方案accocoreswitch-aaa-accounting-acco accounting-mode radius /计费方式RADIUScoreswitch-aaa-accounting-acco accounting realtime 15 /计费周期15分钟coreswitch-aaa-accounting-acco quitcoreswitch-aaa domain default /进入default域,绑定RADIUS服务器模板、认证方案和计费方案coreswitch-aaa-domain-default radius-server policycoreswitch-aaa

41、-domain-default authentication-scheme authcoreswitch-aaa-domain-default accounting-scheme accocoreswitch-aaa-domain-default quitcoreswitch-aaa quit配置与Portal服务器对接参数。coreswitch url-template name huawei /创建URL模板coreswitch-url-template-huawei url http:/192.168.11.1:8080/portal /指定Portal认证推送的URLcoreswitc

42、h-url-template-huawei quitcoreswitch web-auth-server policy /创建Portal服务器模板“policy”coreswitch-web-auth-server-policy server-ip 192.168.11.1 /指定Portal服务器IP地址coreswitch-web-auth-server-policy port 50200 /指定Portal服务器使用的端口号,Agile Controller-Campus作为Portal服务器时使用固定端口50200coreswitch-web-auth-server-policy s

43、hared-key cipher Admin123 /配置Portal共享密钥coreswitch-web-auth-server-policy url-template huawei /绑定URL模板coreswitch-web-auth-server-policy quit配置接口GE1/0/12为固定PC的接入认证点。coreswitch interface gigabitEthernet 1/0/12coreswitch-GigabitEthernet1/0/12 authentication dot1x portal /配置802.1x和Portal混合认证coreswitch-Gi

44、gabitEthernet1/0/12 dot1x authentication-method eap /配置802.1x认证采用EAP方式coreswitch-GigabitEthernet1/0/12 web-auth-server policy direct /配置采用二层Portal认证coreswitch-GigabitEthernet1/0/12 domain name default force /配置域default为该接口上线用户的强制认证域coreswitch-GigabitEthernet1/0/12 quit配置免认证规则,使AP能够上线、客户端能够访问DNS服务器。coreswitch authentication free-rule 1 destination ip 192.168.11.200 mask 24 source ip anycoreswitch authen

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号