01-23業(yè)務隨行和編排典型配置

1、S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置23 業(yè)務隨行和業(yè)務編排典型配置關于本章通過業(yè)務編排完成對指定數(shù)據(jù)流的引導（框式交換機）配置在用戶物理位置變化時部署業(yè)務隨行示例（V200R006C00、V200R007C00、V200R008C00）配置在用戶物理位置變化時部署業(yè)務隨行示例（V200R009及之后版本）文檔版本 14 (2017-02-14)專有和信息技術1843S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編

2、排典型配置23.1 通過業(yè)務編排完成對指定數(shù)據(jù)流的引導（框式交換機）業(yè)務編排簡介在典型的園區(qū)網(wǎng)中，客戶通常在重要業(yè)務部門、半信任區(qū)DMZ（DemilitarizedZone）、園區(qū)出口和數(shù)據(jù)中心等邊界處部署、反系統(tǒng)和應用安全網(wǎng)關等網(wǎng)絡增值業(yè)務設備。這種為每個有需求的網(wǎng)絡區(qū)域部署獨立的網(wǎng)絡增值業(yè)務設備的方案有以下幾個缺點：ll需要部署的網(wǎng)絡增值業(yè)務設備過多從而造成投資成本大。獨立為每個有需求的網(wǎng)絡部署網(wǎng)絡增值業(yè)務設備會導致網(wǎng)絡增值業(yè)務設備的利用率不高，從而造成資源的浪費。l在部署和過程中，需要在每臺網(wǎng)絡增值業(yè)務設備上配置各自的業(yè)務處理策略，這樣會導致部署和不便。針對以上問題， 公司推出了業(yè)務編排

3、解決方案。如圖23-1所示，該方案主要由策略控制器、編排設備和安全資源池組成。其中，安全資源池中部署的網(wǎng)絡增值業(yè)務設備可以是一臺設備擁有多個網(wǎng)絡增值業(yè)務能力，也可以是多個具有獨立網(wǎng)絡增值業(yè)務能力的設備。通過在園區(qū)網(wǎng)部署業(yè)務編排方案，可以將網(wǎng)絡增值業(yè)務設備全部集中在一個物理區(qū)域。由于不需要再為每個有需求的網(wǎng)絡部署獨立的網(wǎng)絡增值業(yè)務設備，不僅降低了成本，而且還提高了網(wǎng)絡增值業(yè)務設備的利用率。同時在整個園區(qū)網(wǎng)中，哪些業(yè)務流量需要網(wǎng)絡增值業(yè)務設備進行處理由策略控制器下發(fā)策略來控制，這樣也提高了部署和的效率。圖 23-1 業(yè)務編排方案園區(qū)組網(wǎng)圖園區(qū)出口半 信 任 區(qū)安 全 資 源 池. . .層數(shù) 據(jù)

4、中 心策 略 控 制 器公司內(nèi)部區(qū)域訪客接入?yún)^(qū)配置注意事項l目前業(yè)務編排解決方案中支持的網(wǎng)絡增值業(yè)務設備有應用安全網(wǎng)關。、防系統(tǒng)和文檔版本 14 (2017-02-14)專有和信息技術1844S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置l業(yè)務編排解決方案中各產(chǎn)品的版本配套關系如下表所示。組網(wǎng)需求如圖23-2所示，M公司的機有一臺FTP服務器，公司研發(fā)部門的重要數(shù)據(jù)。管導致關鍵數(shù)據(jù)外泄。希望能理員需要保證這臺FTP服務器的安全，防止被通過業(yè)務編排完成以下任務：l ll研發(fā)部門員工能FTP服務器，市場部門

5、的員工不能FTP服務器。研發(fā)部門員工FTP服務器的數(shù)據(jù)流必須先經(jīng)過進行安全檢測。FTP服務器。如果設備發(fā)生故障，研發(fā)部門員工不能圖 23-2 M 公司組網(wǎng)F T P 服 務 器IP : 1 0 . 8 5 . 1 0 . 2S w itc h AIP : 1 0 . 8 5 . 1 0 . 3IP : 1 0 . 8 5 . 1 0 . 5IP : 1 0 . 8 5 . 1 0 . 6C o n tro lle rNS w itc hS w itc h市 場 部研 發(fā) 部員 工 A員 工 B員 工 C員 工 D員 工 E員 工 F員 工 G數(shù)據(jù)規(guī)劃表 23-1 用戶和資源的 IP 地址規(guī)劃文

6、檔版本 14 (2017-02-14)專有和信息技術1845用戶和資源IP地址研發(fā)部門員工A1功能名稱交換機版本Agile Controller- Campus的版本業(yè)務編排1.0V200R006C00、 V200R007C00V100R001業(yè)務編排2.0V200R008C00及以后版本V100R002、V100R003S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置表 23-2 業(yè)務流規(guī)劃表 23-3 設備參數(shù)規(guī)劃文檔版本 14 (2017-02-14)專有和信息技術1846設備配置交換機與直連的接口

7、：l 接口名稱：GigabitEthernet 1/0/1l Vlan：Vlan100l IP地址：/24Loack 100：l IP地址：/32Loack 101：l IP地址：/32XMPP連接：Admin123序號協(xié)議源IP/掩碼長度源端口目的IP/掩碼長度目的端1TCP1/3222/32212TCP2/323TCP3/324TCP4/325TCP5/32口用戶和資源IP地址研發(fā)部門員工B2研發(fā)部門員工C3研發(fā)部門員工D4研發(fā)部門員工E5FTP服務器ControllerSwitchANS1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉

8、例23 業(yè)務隨行和業(yè)務編排典型配置配置思路具體配置思路如下：1.在交換機和 在交換機和上配置基本參數(shù)。上配置XMPP協(xié)議參數(shù)，以便在Controller上添加交換機和設備。 在交換機和能夠互通。上配置各接口的地址和靜態(tài)路由，實現(xiàn)網(wǎng)絡中各設備之間說明需要保證配置的Loack在設備中是最大的，本文使用的是100和101。2.3.4.在Controller上通過XMPP協(xié)議添加交換機和設備。在Controller上配置業(yè)務流，通過ACL規(guī)則實現(xiàn)僅研發(fā)部門員工FTP服務器。在Controller上配置IP地址池和業(yè)務鏈資源，實現(xiàn)交換機和建立。之間GRE隧道的說明IP地址池不能包含網(wǎng)絡中正在使用的IP地

9、址。在Controller上編排并部署業(yè)務鏈，實現(xiàn)對5.FTP服務器的數(shù)據(jù)的重定向，先經(jīng)過，再FTP服務器。操作步驟步驟1在交換機上配置各接口地址，靜態(tài)路由和XMPP連接參數(shù)等基本參數(shù)。文檔版本 14 (2017-02-14)專有和信息技術1847 system-view sysname SwitchA SwitchA vlan batch 100SwitchAerface gigabitethernet 1/0/1SwitchA-GigabitEthernet1/0/1 port link-type trunkSwitchA-GigabitEthernet1/0/1 port trunk a

10、lloss vlan 100 SwitchA-GigabitEthernet1/0/1 quitSwitchAerface vlanif 100Switclanif100 ip address 24 Switclanif100 quitSwitchAerface Loack 100設備配置與交換機直連的接口：l 接口名稱：GigabitEthernet 1/0/1l 安全區(qū)域：trustl IP地址：/24Loack 100：l IP地址：/32Loack 101：l IP地址：/32XMPP連接：Admin123 Radius共享密鑰：Radius123S1720&S2700&S3700&S

11、5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置步驟2在1.上配置各接口地址，靜態(tài)路由和XMPP連接參數(shù)等基本參數(shù)。配置接口IP地址和安全區(qū)域，完成網(wǎng)絡基本參數(shù)配置。a.選擇“網(wǎng)絡 接口”。b.單擊GE1/0/1對應的，按如下參數(shù)配置。2.配置RADIUS服務器。a.選擇“對象 認證服務器 RADIUS”。單擊“新建”，按如下參數(shù)配置。此處設置的參數(shù)必須與RADIUS服務器的參數(shù)保持一致，共享密鑰為 “Radius123”。b.開啟a.b.c.單擊“確定”。的敏捷網(wǎng)絡功能。3.選擇“系統(tǒng) 敏捷網(wǎng)絡配置”。勾選“敏捷網(wǎng)絡功能”對應的“啟用”。配

12、置與Controller的對接參數(shù)?！癈ontroller主服務器IP”參數(shù)后面的狀態(tài)顯示為“已連接”，表示防護墻與Agile Controller對接成功。說明在業(yè)務編排場景中，由于須選擇為“手工配置”。要配置內(nèi)容安全檢測功能，因此“安全策略配置”必文檔版本 14 (2017-02-14)專有和信息技術1848安全區(qū)域trustIPv4IP地址/24SwitchALoack100 ip address 55 SwitchALoack100 quitSwitchAerface Loack 101SwitchALoack101 ip address 55 SwitchALoack101 quit

13、SwitchA ioute-sic 55 SwitchA ioute-sic 55 SwitchA group-policy controller password Admin123 src-ip S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置4.在上配置兩個Loack接口。說明您需要登錄設備CLI控制臺來完成該配置步驟。a.b.c.單擊界面右下方的。在“CLI控制臺（未連接）”框中單擊鼠標左鍵，連接設備CLI控制臺。連接成功后，配置如下命令。步驟3在Controller上添加交換機和設備。1.2.3.

14、在主菜單中選擇“資源 設備 設備管理”。單擊“增加”。設置添加設備的參數(shù)。添加交換機和的參數(shù)設置如圖23-3和圖23-4所示?！啊睘樵谠O備上配置的通信“Admin123”。文檔版本 14 (2017-02-14)專有和信息技術1849 sysname Nack 100Nerface LoN-Loack100 ip address 55 ack100 quitN-LoNerface Loack 101N-Loack101 ip address 55 ack101 quitN-LoN ioute-s oute-sic 55 ic 55 N iS1720&S2700&S3700&S5700&S670

15、0&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置圖 23-3 添加交換機設備的參數(shù)設置圖 23-4 添加設備的參數(shù)設置步驟4配置業(yè)務流。1.2.3.在主菜單中選擇“策略 業(yè)務鏈編排單擊“增加”。設置業(yè)務流參數(shù)。 業(yè)務流定義”。參數(shù)設置如圖23-5所示。文檔版本 14 (2017-02-14)專有和信息技術1850S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置圖 23-5 業(yè)務流參數(shù)設置步驟5配置IP地址池。1.2.3.在主菜單中選擇“策略 業(yè)務鏈編排單擊“增加”。 IP

16、地址池”。名稱設置為“”，IP地址設置為“”，掩碼長度設置為 “24”。圖 23-6 IP 地址池參數(shù)設置4.單擊“確定”。步驟6配置業(yè)務鏈資源。1.在主菜單中選擇“策略 業(yè)務鏈編排 業(yè)務鏈資源”。文檔版本 14 (2017-02-14)專有和信息技術1851S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置.單擊“增加”。在左側(cè)“編排設備”區(qū)域選擇“SwitchA”，拖拽至右側(cè)的“編排設備”節(jié)點上。在左側(cè)“業(yè)務設備”區(qū)域選擇“N”，拖拽至右側(cè)的“”節(jié)點上。在左側(cè)“地址池”區(qū)域選擇“”。圖 2

17、3-7 業(yè)務鏈資源參數(shù)設置6.單擊“保存”，在彈出的提示框中單擊“是”。步驟7編排并部署業(yè)務鏈。1.2.3.在主菜單中選擇“策略 業(yè)務鏈編排 業(yè)務鏈編排”。單擊“增加”。在左側(cè)“業(yè)務流”區(qū)域選擇“User_to_D點上。enter”，拖拽至右側(cè)的“業(yè)務流”節(jié)4.5.6.在左側(cè)“編排設備”區(qū)域選擇“SwitchA”，拖拽至右側(cè)的“編排設備”節(jié)點上。將“N”設備拖拽至上方的節(jié)點上。在左側(cè)“鏈異常處理方式”區(qū)域選擇“阻斷”。圖 23-8 業(yè)務鏈編排參數(shù)設置文檔版本 14 (2017-02-14)專有和信息技術1852S1720&S2700&S3700&S5700&S6700&S7700&S9700

18、系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置7.單擊“保存”，在彈出的提示框中單擊“是”。步驟8驗證配置結果。# 在Controller上查看交換機和之間的隧道是否建立成功。業(yè)務鏈資源下發(fā)后的隧道信息如圖23-9所示。圖 23-9 隧道部署結果詳情# 在交換機上通過命令display acl all能夠看到業(yè)務流規(guī)則成功下發(fā)。# 在交換機上通過命令display current-configuration | include traffic-redirect能夠看到業(yè)務編排配置成功下發(fā)。文檔版本 14 (2017-02-14)專有和信息技術1853SwitchA display cu

19、rrent-configuration | include traffic-redirecttraffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998erface Tunnel16370 SwitchAerface Tunnel 16370SwitchA-Tunnel16370 display this #erface Tunnel16370description Controller_S_from_SwitchA display acl allTotal nonempty ACL number is 1Advanced A

20、CL S_ACL_20140401153202_B3E0 3998, 5 rules Acls sts 5rule 5 permit tcp source 1 0 source-port eq 22 destination 0 destination-port eq 21 (match-counter 0)rule 10 permit tcp source 2 0 source-port eq 22 destination 0 destination-port eq 21 (match-counter 0)rule 15 permit tcp sou

21、rce 3 0 source-port eq 22 destination 0 destination-port eq 21 (match-counter 0)rule 20 permit tcp source 4 0 source-port eq 22 destination 0 destination-port eq 21 (match-counter 0)rule 25 permit tcp source 5 0 source-port eq 22 destination 0 destination-port eq 21

22、(match-counter 0)S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置-結束配置文件lSwitchA的配置文件23.2 配置在用戶物理位置變化時部署業(yè)務隨行示例（V200R006C00、V200R007C00、V200R008C00）業(yè)務隨行簡介在企業(yè)網(wǎng)絡中，為實現(xiàn)用戶不同的網(wǎng)絡需求，可在接入設備上為用戶部署不同的網(wǎng)絡策略。但隨著企業(yè)網(wǎng)絡移動化、BYOD等技術的應用，用戶的物理位置以及IP地址變化愈加頻繁，這就使得原有基于物理端口、IP地址的網(wǎng)絡控制方案很難滿足用戶網(wǎng)絡體驗一致（譬如網(wǎng)絡權限不

23、隨用戶物理位置變化而變化）。業(yè)務隨行是敏捷網(wǎng)絡中一種能夠滿足不管用戶身處何地、使用哪個IP地址，都可以保證該用戶獲得相同的網(wǎng)絡策略的解決方案。業(yè)務隨行解決方案需要交換機設備和Agile Controller-Campus配合使用。管理員僅需在Agile Controller-Campus上為用戶部署網(wǎng)絡策略，然后將其下發(fā)到所有關聯(lián)的交換機設備即可滿足不管用戶的物理位置以及IP地址如何變化，都可以使其獲得相同的策略。配置注意事項ll業(yè)務隨行僅在NAC配置模式下支持。適用的產(chǎn)品和版本如下表所示：文檔版本 14 (2017-02-14)專有和信息技術1854#sysname SwitchA #vla

24、n batch 100 #group-policy controller password %#%#FG9.7h,|j$2c2$LRG%N#lBU;3_;AVo,7)f%M%#%# src-ip #erface Vlanif100ip address #erface Loack100ip address 55#erface Loack101ip address 55#erface GigabitEthernet1/0/1 port link-type trunkport trunk alloss vlan 100#returnip address tunnel- otocol gre keep

25、alive period 1source destination traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998#returnS1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置表 23-4 適用的產(chǎn)品和版本l如交換機曾經(jīng)與其他Agile Controller-Campus配置過業(yè)務隨行，請執(zhí)行如下步驟清除歷史數(shù)據(jù)后再重新配置。a.在系統(tǒng)視圖執(zhí)行undo group-policy controller命令，去使能業(yè)務隨行功能，斷開與

26、Agile Controller-Campus的聯(lián)動。b.c.d.e.執(zhí)行undo acl all命令清除權限控制策略。執(zhí)行undo ucl-group ip all命令清除安全組綁定的IP地址信息。執(zhí)行undo ucl-group all命令清除安全組。退出到用戶視圖執(zhí)行save命令保存，自動清除之前部署的版本號。組網(wǎng)需求企業(yè)員工采用有線和無線方式接入，以802.1x或者Portal方式認證。由于員工辦公地點不固定，希望無論在何處認證通過后獲取同樣的權限。文檔版本 14 (2017-02-14)專有和信息技術1855軟件版本產(chǎn)品形態(tài)V200R006C00、V200R007C00、 V200R

27、008C00版本S5720HI、S7700、S9700支持，其余形不支持。S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置圖 23-10 組網(wǎng)圖Agile Controller IP:/24DNS服務器 IP:00/24郵件服務器1 IP:00/24郵件服務器2 IP:01/24VLAN 11GE1/0/11coreswitchGE1/0/12GE0/0/1l2switchGE0/0/3GE0/0/5管理VLAN:12業(yè)務VLAN:13APVLAN 14有線802.1X/有線Portal無線802.1X/

28、無線Portal需求分析如圖23-10所示，認證點為支持敏捷特性的交換機為普通交換機。交換機coreswitch（帶隨板AC），接入在交換機上配置802.1x認證和Portal認證，有線用戶和無線用戶在交換機認證通過后可以接入網(wǎng)絡。通過配置業(yè)務隨行功能，無論用戶在哪里接入都將獲得同樣的權限和體驗，實現(xiàn)權限隨行和體驗隨行。文檔版本 14 (2017-02-14)專有和信息技術1856移動終端固定PCS1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置數(shù)據(jù)規(guī)劃表 23-5 網(wǎng)絡數(shù)據(jù)規(guī)劃文檔版本 14 (2017-

29、02-14)專有和信息技術1857項目數(shù)據(jù)說明VLAN規(guī)劃ID：11IP地址：54/24與Agile Controller-Campus通信 VLAN。ID：12IP地址：54/24與AP之間的業(yè)務管理VLAN。ID：13IP地址：54/24無線接入業(yè)務VLAN。ID：14IP地址：54/24有線接入業(yè)務VLAN。交換機（coreswitch）接口：GE1/0/11 允許通過VLAN ID：11允許已規(guī)劃的VLAN通過。接口：GE1/0/12允許通過VLAN ID：12、14允許有線接入的業(yè)務VLAN和AP的管理VLAN通過。接入交換機接口：GE0/0/1允許通過VLAN ID：12、14與交

30、換機coreswitch的GE1/0/12接口連接。接口：GE0/0/3允許通過VLAN ID：14有線接入接口，允許有線接入的業(yè)務VLAN通過。接口：GE0/0/5允許通過VLAN ID：12無線接入接口，允許AP的管理VLAN通過。服務器Agile Controller-Campus： SM和SC安裝在同一臺服務 器。RADIUS服務器和Portal服務器包含在SC。郵件服務器1：00郵件服務器2：01-DNS服務器：00S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置表 23-6 業(yè)務數(shù)據(jù)規(guī)劃文檔版

31、本 14 (2017-02-14)專有和信息技術1858項目數(shù)據(jù)說明交換機（coreswitch）RADIUS認證服務器：l IP地址：l 端：1812l RADIUS共享密鑰： Admin123l Agile Controller-Campus的業(yè)務控制器集成了RADIUS服務器和Portal服務器，所以認證服務器、計費服務器和 Portal服務器的IP地址都為業(yè)務控制器的IP地址。l 配置RADIUS計費服務器，以便獲取終端用戶的上下線信息。認證服務器和計費服務器的端必須與 RADIUS服務器的認證端口和計費端口一致。在Agile Controller-Campus中RADIUS認證和計費

32、端口固定為1812和1813，Portal服務器端口固定為50200。RADIUS計費服務器：l IP地址：l 端：1813l RADIUS共享密鑰： Admin123l 計費周期：15分鐘Portal服務器：l IP地址：l 端：50200l 共享密鑰：Admin123XMPP：Admin123與Agile Controller-Campus配置一致。Agile Controller- Campus交換機IP地址：54VLANIF 11的IP地址。RADIUS參數(shù)：l 設備系列：Quidway系列l(wèi) RADIUS認證密鑰： Admin123l RADIUS計費密鑰： Admin123l 實時

33、計費周期(分鐘)：15與交換機上配置的一致。Portal參數(shù)：l 端口：2000l Portal密鑰：Admin123l 接入終端IP地址列表無線：/24有線：/24XMPP：Admin123與交換機配置一致。部門：員工假設ROOT下面已存在“員工”部門，本舉例對“員工”部門配置業(yè)務隨行。S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置配置思路交換機配置..切換為模式。配置接口和VLAN，并啟用DHCP服務器功能。配置與RADIUS服務器對接參數(shù)。配置與Portal服務器對接參

34、數(shù)。配置固定PC的接入認證點。 配置免認證規(guī)則。配置AC系統(tǒng)參數(shù)，實現(xiàn)無線接入。配置與Agile Controller-Campus對接的XMPP參數(shù)，使能業(yè)務隨行功能。接入交換機配置1.2.配置接口和VLAN，實現(xiàn)網(wǎng)絡互通。配置802.1x報文透說明能。本舉例中，由于接入交換機與用戶之間存在透傳交換機LAN Switch，為保證用戶能夠通過802.1x認證，則務必在LAN Switch上配置EAP報文透能：l在LAN Switch系統(tǒng)視圖下執(zhí)行命令l2 otocol-tunnel user-defined- otocol 802.1xotocol- mac 0180-c200-0003 gr

35、oup-mac 0100-0000-0002定義二層透明傳輸EAP報文。在LAN Switch的下行與用戶連接的接口以及上行與Switch連接的接口上執(zhí)行命令l2 otocol-tunnel user-defined- otocol 802.1x enable以使能接口的二層協(xié)議透明傳輸功能。lAgile Controller-Campus配置1.2.3.設置RADIUS參數(shù)、Portal參數(shù)和XMPP參數(shù)，添加交換機。配置“員工組”和“郵件服務器”安全組，分別代表用戶和資源。通過快速組”。將“員工組”給員工部門，員工認證通過后被到“員工4.配置控制權限策略，允許“員工組”“郵件服務器”。文檔

36、版本 14 (2017-02-14)專有和信息技術1859項目數(shù)據(jù)說明安全組：員工組郵件服務器：l 郵件服務器1：00l 郵件服務器2：01在中將員工部門給員工組。認證后域郵件服務器員工認證通過后可以郵件服務器。認證前域DNS服務器員工認證通過前能夠?qū)l(fā)往DNS服務器做。S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置操作步驟步驟1交換機配置。將配置模式切換為1.模式。說明使用業(yè)務隨行功能的交換機必須切換為模式，切換為模式后需重啟交換機方能生效。2.配置接口和VLAN，并啟用DHCP服務器功能。3.配置與

37、RADIUS服務器對接參數(shù)。文檔版本 14 (2017-02-14)專有和信息技術1860coreswitch radius-server template policy/創(chuàng)建RADIUS服務器模板“policy” coreswitch-radius-policy radius-server authentication 1812/配置RADIUS認證服務器的IP地址和認證端口1812coreswitch-radius-policy radius-server accounting 1813/配置計費服務器的IP地址和認證端口1813coreswitch-radius-policy radiu

38、s-server shared-key cipher Admin123/配置RADIUS共享密鑰coreswitch-radius-policy quit coreswitch aaacoreswitch-aaa authentication-scheme auth/創(chuàng)建認證方案auth coreswitch-aaa-authen-auth authentication-mode radius/認證方式RADIUS coreswitch-aaa-authen-auth quitcoreswitch-aaa accounting-scheme acco/創(chuàng)建計費方案accocoreswitch-

39、aaa-accounting-acco accounting-mode radius/計費方式RADIUS coreswitch-aaa-accounting-acco accounting realtime 15/計費周期15分鐘 coreswitch-aaa-accounting-acco quitcoreswitch-aaadefault/進入default域，綁定RADIUS服務器模板、認證方案和計費方案coreswitch-aaa-default radius-servolicy coreswitch-aaa-default authentication-scheme auth co

40、reswitch-aaa-default accounting-scheme acco coreswitch-aaa-default quitcoreswitch-aaa quitcoreswitch vlan batch 11 to 14coreswitcherface vlanif 11/作為源接口與Agile Controller-Campus通信coreswitch-Vlanif11 ip address 54 coreswitch-Vlanif11 quitcoreswitch dhcp enable/使能DHCP服務coreswitcherface vlanif 12/AP管理VL

41、ANcoreswitch-Vlanif12 ip address 54 coreswitch-Vlanif12 dhcp selecterface/使能DHCP服務器功能，為AP分配IP地址coreswitch-Vlanif12 quitcoreswitcherface vlanif 13/無線接入業(yè)務VLANcoreswitch-Vlanif13 ip address 54 coreswitch-Vlanif13 dhcp selecterface/使能DHCP服務器功能，為移動終端分配IP地址coreswitch-Vlanif13 dhcp server dns-list 00 cores

42、witch-Vlanif13 quitcoreswitcherface vlanif 14/有線接入業(yè)務VLANcoreswitch-Vlanif14 ip address 54 coreswitch-Vlanif14 dhcp selecterface/使能DHCP服務器功能，為固定PC分配IP地址coreswitch-Vlanif14 dhcp server dns-list 00 coreswitch-Vlanif14 quitcoreswitcherface gigabitEthernet 1/0/11 coreswitch-GigabitEthernet1/0/11 port lin

43、k-type trunkcoreswitch-GigabitEthernet1/0/11 port trunk alloss vlan 11 coreswitch-GigabitEthernet1/0/11 quitcoreswitcherface gigabitEthernet 1/0/12 coreswitch-GigabitEthernet1/0/12 port link-type trunkcoreswitch-GigabitEthernet1/0/12 port trunk alloss vlan 12 14 coreswitch-GigabitEthernet1/0/12 quit

44、 system-view sysname coreswitchcoreswitch authentication unified-mode coreswitch quit saveS1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置4.配置與Portal服務器對接參數(shù)。coreswitch url-template name/創(chuàng)建URL模板coreswitch-url-template-的URLcoreswitch-url-template- url/指定Portal認證推送 quitcoreswitch w

45、eb-auth-servolicy/創(chuàng)建Portal服務器模板“policy”coreswitch-web-auth-servolicy server-ip /指定Portal服務器IP地址coreswitch-web-auth-servolicy port 50200/指定Portal服務器使用的端，AgileController-Campus作為Portal服務器時使用固定端口50200coreswitch-web-auth-servolicy shared-key cipher Admin123/配置Portal共享密鑰coreswitch-web-auth-servolicy url-

46、template/綁定URL模板coreswitch-web-auth-servolicy quit5.配置接口GE1/0/12為固定PC的接入認證點。6.配置免認證規(guī)則，使AP能夠上線、客戶端能夠DNS服務器。7.配置AC（即本舉例中的coreswitch）系統(tǒng)參數(shù)，實現(xiàn)無線接入。a.配置AC的國家碼、ID和運營商標識。b.配置管理VLAN 12的VLANIF接口作為AC的源接口。coreswitch capwap sourceerface vlanif 12說明n V200R006及更低版本，請在wlan視圖下執(zhí)行wlan ac sourceerface vlanif 12命令。n V20

47、0R007及更高版本，請在系統(tǒng)視圖下執(zhí)行capwap sourceerface vlanif 12命令。在AC上管理AP，AP7110DN-AGN屬于的類型ID，現(xiàn)場獲取AP的MAC地址為dcd2-fc04-b4c0。c.文檔版本 14 (2017-02-14)專有和信息技術1861coreswitch display ap-type all/查看支持的AP類型 All AP types information:IDType17AP6010SN-GN19AP6010DN-AGN21AP6310SN-GN23AP6510DN-AGN25AP6610DN-AGNAP7110SN-GNAP7110D

48、N-AGNAP5010SN-GNAP5010DN-AGNAP3010DN-AGNAP6510DN-AGN-USAP6610DN-AGN-USAP5030DNAP5130DNAP7030DEAP2010DNAP8130DNAP8030DN42AP9330DNTotal number: 19coreswitch wlan ac-global country-code cn coreswitch wlan ac-global ac id 1 carrier id othercoreswitch authentication free-rule 1 destination ip 00 mask 24

49、source ip any coreswitch authentication free-rule 2 source vlan 12coreswitcherface gigabitEthernet 1/0/12coreswitch-GigabitEthernet1/0/12 authentication dot1x portal/配置802.1x和Portal混合認證coreswitch-GigabitEthernet1/0/12 dot1x authentication-method eap/配置802.1x認證采用 EAP方式coreswitch-GigabitEthernet1/0/12

50、 web-auth-servolicy direct/配置采用二層Portal認證 coreswitch-GigabitEthernet1/0/12name default force/配置域default為該接口上線用戶的強制認證域coreswitch-GigabitEthernet1/0/12 quitS1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置說明如果調(diào)整某個AP的信道功率參數(shù)，可能會導致另一個AP的參數(shù)被調(diào)整，形成多米諾骨牌效應。為了盡量減少參數(shù)調(diào)整的持續(xù)時間和影響范圍，建議用戶在網(wǎng)絡規(guī)劃時把

51、同一AC下的所有AP（暫不考慮跨AC的情況）劃分成若干個域，每次調(diào)整時骨牌效應只限定在域這個局部范圍內(nèi)，同時也減輕了調(diào)整算法的負荷。配置WLAN業(yè)務參數(shù)。d.文檔版本 14 (2017-02-14)專有和信息技術1862coreswitch-wlan-view wmm- ofile name wmm id 1/創(chuàng)建WMM模板“wmm”coreswitch-wlan-wmm- of-wmm quitcoreswitch-wlan-view radio- ofile name radio id 31/創(chuàng)建射頻模板“radio” coreswitch-wlan-radio- of-radio wmm

52、- ofile name wmm/綁定WMM模板 coreswitch-wlan-radio- of-radio quitcoreswitch-wlan-view quitcoreswitcherface wlan-ess 32/創(chuàng)建WLAN-ESS接口32，用于Portal認證coreswitch-Wlan-Ess32 port trunk alloss vlan 13 coreswitch-Wlan-Ess32 quitcoreswitcherface wlan-ess 33/創(chuàng)建WLAN-ESS接口33，用于802.1x認證coreswitch-Wlan-Ess33 port trunk

53、 alloss vlan 13 coreswitch-Wlan-Ess33 quitcoreswitch wlancoreswitch-wlan-view security- ofile name portal_security id 32/創(chuàng)建安全模板 portal_securitycoreswitch-wlan-sec- of-portal_security quitcoreswitch-wlan-view security- ofile name dot1x_security id 33/創(chuàng)建安全模板 dot1x_security，并設置安全參數(shù)coreswitch-wlan-sec-

54、of-dot1x_security security-policycoreswitch-wlan-sec- of-dot1x_securityauthentication-method dot1x encryption- method ccmpcoreswitch-wlan-sec- of-dot1x_security quitcoreswitch-wlan-view traffic- ofile name traffic id 1/創(chuàng)建流量模板trafficcoreswitch-wlan-traffic- of-traffic quitcoreswitch-wlan-view serviet

55、 name portal_test id 32/創(chuàng)建服務集 portal_test，并綁定WLAN-ESS接口、安全模板和流量模板coreswitch-wlan-serviet-portal_testportal_test coreswitch-wlan-serviet-portal_test wlan-ess 32 coreswitch-wlan-serviet-portal_test security- ofile id 32coreswitch-wlan-serviet-portal_test traffic- ofile name traffic coreswitch-wlan-ser

56、viet-portal_test service-vlan 13/無線接入業(yè)務VLANcoreswitch-wlan-serviet-portal_test forward-mode tunnel/配置服務器的數(shù)據(jù)轉(zhuǎn)發(fā)模式為隧道轉(zhuǎn)發(fā)coreswitch-wlan-serviet-portal_test quitcoreswitch-wlan-view serviet name dot1x_test id 33/創(chuàng)建服務集 “dot1x_test”，并綁定WLAN-ESS接口、安全模板和流量模板coreswitch-wlan-serviet-dot1x_testdot1x_test coresw

57、itch-wlan-serviet-dot1x_test wlan-ess 33coreswitch wlancoreswitch-wlan-view ap-auth-mode mac-auth/配置AP以MAC認證方式在AC上認證 coreswitch-wlan-view a1 type-id 28 mac dcd2-fc04-b4c0/根據(jù)AP類型ID和AP MAC地址將AP添加到ACcoreswitch-wlan-ap-1 quitcoreswitch-wlan-view aegion id 10/創(chuàng)建AP域coreswitch-wlan-aegion-10 quit coreswitc

58、h-wlan-view a1coreswitch-wlan-ap-1 region-id 10/將AP加入AP域coreswitch-wlan-ap-1 quitcoreswitch-wlan-view display ap all/AP上電后，可以查看到AP的“AP Se”字段為 “normal”All AP(s) information:Normal1,Fault0,Commit-failed0,Committing0,Config0,Download0 Config-failed0,Standby0,Type-not-match0,Ver-mismatch0APAPAPofileAPAP

59、/RegionIDTypeMACIDSeSysname1AP7110DN-AGNdcd2-fc04-b4c00/10normalap-1 Total number: 1,ed: 1S1720&S2700&S3700&S5700&S6700&S7700&S9700 系列交換機典型配置舉例23 業(yè)務隨行和業(yè)務編排典型配置e.配置WLAN-ESS接口的Portal認證和802.1x認證。f.配置VAP，提供Portal和802.1x方式接入認證。8.配置與Agile Controller-Campus對接的XMPP參數(shù)，使能業(yè)務隨行功能。步驟2接入交換機配置。說明本舉例中，由于認證點交換機與用戶之間

60、存在透傳的接入交換機，為保證用戶能夠通過802.1x認證，則需要在接入交換機上配置802.1x報文（本舉例中采用EAP方式，即EAP報文）透能。步驟3Agile Controller-Campus配置。文檔版本 14 (2017-02-14)專有和信息技術1863 system-view sysname l2switchl2switch l2 otocol-tunnel user-defined- otocol 802.1xotocol-mac 0180-c200-0003 group-mac 0100-0000-0002l2switch vlan batch 12 14l2switcherf