- 1四、Flink使用广播状态和定时器实现word_join_count有效时间1分钟_flink 定时器
- 2大模型的模型参数定义方法_大模型的参数数量是如何定义的
- 3优雅的实现EasyPoi动态导出列的两种方式_easypoi动态设置导出字段
- 4【源码+文档+调试讲解】微信小程序家政项目小程序
- 5Python—基本数据类型
- 6Git clone远程分支_git 克隆远程分支
- 7intellij idea web项目 目录结构解释,以及配置目录。解决导入eclipse项目,后无法跑起来。_ideaweb项目结构
- 8MySql监控工具断网部署Percona Monitoring and Management ,Perocona的官方监控工具Docker安装教程_mysql monitoring and managment
- 9进程调度_先来先服务进程调度
- 10有那些项目适合程序员业余时间做,并且短期内能赚点小钱?_短期it 开发
锐捷极简X SDN产品——场景介绍及规划:无线场景_锐捷 ap group
赞
踩
目录
Ⅰ 重点注意事项
一、传统极简/极简X方案中的无线相关的优化配置如下,要求必做
1、无线用户的转发模式推荐是集中转发;
2、无线用户的web认证在核心上开启,1x认证在AC上开启;
3、arp-guard优化配置,需要将所有STA网段的网关ARP表项加入到arp-guard的信任列表中,原因和配置方法如下:
集中转发模式下,STA网关不在AC上的情况下,由于网关发送或响应的ARP报文的源MAC地址都是STA网关的地址,且报文都需要经过AC,所以在AC上很容易达到NFPP的限定阀值,从而导致网关发送或响应的ARP报文被丢弃,STA学习网关ARP表项慢甚至学习不到。建议将所有STA网段的网关ARP表项加入到arp-guard的信任列表中。
集中转发arp-guard优化配置命令如下:
nfpp
arp-guard trusted-host 网关IP 网关MAC
4、dhcp-gurad优化配置,需要将所有dhcp server的mac地址加入信任表项,原因和配置方法如下:
集中转发,sta的dhcp server在核心上的模型中。由于dhcp server响应的dhcp报文源mac地址都是核心设备的mac地址,且报文都需要经过AC,所以在AC上很容易就会达到nfpp限制的阀值。而导致sta获取IP地址慢。为避免出现这种情况,需要将所有dhcp server的mac地址加入信任表项。
集中转发dhp-guard优化配置命令如下:
nfpp
dhcp-guard trusted-host dhcp服务器mac地址
5、AC全局上不要关闭arp代理功能(no proxy_arp enable),保持默认配置即可。
原传统极简要求关闭AC的ARP代理功能,这一限制已经在无线新版本中得到解决,并且机制存在差异,反而要求保持默认的arp代理开启状态。
1)AC版本AC_RGOS11.1(5)B9P5之前版本(2017年8月发布)+极简方案,要求AC版本升级到最新,同时开启arp代理(默认开启,如果原先关闭需要重新CLI开启)
2) AC版本 AC_RGOS11.1(5)B9P5之后版本(含)+极简方案,要求不要关闭ARP代理,保持默认配置即可。
6、部署隔离配置:
wids
user-isolation ap enable
user-isolation ac enable
7、无线部署为本地转发模式时,请开启无线三层漫游功能(默认开启)+AP管理VLAN开启arp代理:
AP vlan要求是常规普通vlan,且接入和汇聚交换机一般都开启了端口保护,而极简场景无线用户一般是属于不同的subvlan,一个supervlan。当用户在不同的 subvlan下接入的时候,就会发生三层漫游。
本地转发情况下,漫出ap会跟漫入ap建立漫游通道,由于交换机开启了端口保护,ap间无法通信会导致漫游通道无法建议,导致上网异常,此时需要在N18K上面针对有三层漫游需求的AP管理vlan开启ARP代理
如果不开代理,会造成用户在同一个管理vlan下的AP间进行三层漫游后断流,且AP在升级的时候也无法进行分布式升级,严重影响升级效率 。
N18007(config)#int vlan 40
N18007(config-if-VLAN 40)#local-proxy-arp
N18007(config-if-VLAN 40)#show this
Building configuration...
!
local-proxy-arp
ip address 10.1.0.254 255.255.255.0
二、注意事项如下:
1、极简方案场景中,本地转发场景中,AC上配置的无线用户的隔离(基于AC的用户隔离和基于AC-SSID的用户隔离)不生效,需要在18K上另外部署隔离方案;
2、supper vlan场景中,ap-group组下关联的无线用户vlan是对应的sub vlan id;
3、极简方案中ipv6不支持直接认证,但能够通过配置IPV6认证模式为兼容模式,来实现IPV4认证通过后IPV6可以访问网络;
4、AC和核心互联口必须vlan裁剪,不需要使用的vlan进行裁剪操作,特别是有线vlan;
5、 vlan范围规划不可过大:
a、 对于AP vlan和无线用户vlan,每个vlan建议ip数量在500以内 (一个子网不要超过2个c类网段);
b、 对于同一个无线用户vlan关联的ap数量,建议在100个以内;
c、智分加主机一个ap-group(注:不同ap-group对应的用户vlan映射不同)不超过10台;
d、放装AP一个ap-group(注:不同ap-group对应的用户vlan映射不同)下不超过100台AP。
e、满足上面条件下,建议一栋楼一个ap-group来规划
原因: 从AC有 线口收到的未知广播会往相同无线用户vlan所属ap的cti复制广播,如果同一个无线用户vlan关联的ap数量太多,当广播报文过多时会导致AC设备no buffer,影响业 务 。
极简方案中涉及无线的故障类问题,除极简的认证之外,其他的无线终端关联的故障类问题,和常规方案中的无线故障定位方式相同。
常见问题:
1、AP的管理VALN广播域如果过大,会出现广播泛洪的问题。一个VLAN下的AP的数量不要超过512个;
2、本地转发场景时,同一个VLAN下的无线用户不要超过512个,因为AP的MAC和ARP硬件表项最多是1K;
3、无线用户的arp欺骗和私设ip地址问题,在AC上配置dhcp snooping+ip source guard+arp-check解决。1X认证下开启dhcp snooping+ip verify source port-security+arp-check,WEB认证下开启:dhcp snooping+arp-check,不能在接入交换机上开启,会导致无线用户漫游后无法上网,需要用户下线之后再重新获取地址;
4、接入交换机上,如果开启端口隔离,AP间无法通信,会导致AP的分布式升级失效,可以在AP对应的网关上开启arp代理功能解决,极简的AP的网关在核心上;
5、接入交换机上,如果开启端口隔离,会导致本地转发场景下无线用户漫游失败,在AP对应的网关上开启arp代理功能可解决;
6、无线用户的1x认证只能开启在AC上,但是用户的网关在核心上,如果核心上1x用户vlan属于supper vlan的某个sub vlan,会产生大量的广播报文,导致线卡cpu高,通过在核心上将1x用户设置成普通vlan即可解决;
7、极简方案中用户的网关在核心上,因为AC和核心的报文交互频繁,导致核心的网关的MAC会被AC上的nfpp的arp-gurad和dhcp-guard加入到隔离列表中,需要将核心的网关的MAC地址加入到信任列表中;
8、WALL-AP的有线口没有隔离功能,需要在上层接入交换机的端口上开启端口隔离来实现隔离;
9、WALL-AP的管理VALN和用户VLAN不能相同,因为核心上需要放行AP的管理VLAN,如果相同,会导致用户无线认证即可上网;
10、极简改造中,无线认证的NAS要统一,如果出现部分无线用户NAS是核心,部分无线用户NAS是AC,会导致无感知认证跨区域漫游失败,需要重新认证,严重情况下出现用户信息在两个NAS上,导致计费异常;
11、极简方案中,如果使用集中转发,那么在AC上部署的认证方案只有1x认证,AC的11.x的版本,wlansec下默认是15分钟无流量下线。
Ⅱ 无线集中转发+有线接入隔离
拓扑:
说明:
1、无线采用集中转发,部署简单,管理统一。对AC性能压力大,需要针对无线终端数+带宽流量等综合选择合适的AC型号
2、18k作为全网认证的NAS设备(有线1X/WEB,无线WEB),那么全网仅需规划一个supervlan,有线无线共用。无线AP的管理vlan,1X/WEB认证用户subvlan都以一栋楼为粒度进行规划,同时兼顾无线型号性能。
3、无线用户的vlan不建议与AM规则共用,因为无线漫游要求用户的IP地址不能发生变化,若AM规则匹配的vlan发生变化,会导致用户IP变化,从而导致漫游失效、终端掉线等情况。
4、无线接入层POE交换机要求独立部署,下联AP端口都划分相同管理vlan,同时开启端口隔离
5、无线楼栋汇聚交换机可以独立部署,也可以跟有线的楼栋汇聚共用。要求trunk口精确裁剪vlan,所有下联无线端口开启端口隔离
6、无线AP+用户网关+DHCPpool都在N18K上。AC按无线产品线规范独立部署需要的功能,也可以组成VSU+VAC
7、无线AC关闭arp代理功能,开启AP+用户的二层隔离功能
8、若存在无线1X认证(AC作为无线1X的NAS设备)的情况,那么无线AP的管理vlan、无线用户的vlan都要使用普通vlan部署,与supervlan分开,并且要配置成免认证vlan,避免无线1X认证的的广播报文在supervlan中泛洪。
l 关于极简 X 重点针对多业务承载,弱化 vlan 绑定限制,同时做到自动化模板化配置,因此全网仅需一个 supervlan ,无线 subvlan 规划均以楼栋为粒度单元考虑,在不影响无线性能转发的前提下,尽量减少 vlan 的使用数量,简化运维 。
方式一:传统极简AM规则按区域(vlan+port)分配无线用户IP
| 传统极简AM规则按区域(vlan+port)分配无线用户IP——无线业务IP&VLAN规划 | ||||||
| 区域 | supervlan | Web-subvlan | IP地址 | 802.1X-subvlan | IP地址 | 认证属性 |
| 教学区域无线 | 2000 | 1001-1100 | 10.87.0.0/16 | 1101-1200 | 10.88.0.0/16 | 1X/WEB认证 |
| 宿舍区域无线 | 2000 | 1201-1300 | 10.89.0.0/16 | 1301-1400 | 10.90.0.0/16 | 1X/WEB认证 |
注意:考虑到无线漫游场景,若需要部署AM规则,那么无线 subvlan 规划均以楼栋为粒度单元考虑,例如一栋楼一个vlan,避免vlan发生变化而引起用户IP地址变化,最终导致的漫游失败。
方式二:极简X按照用户组属性分配IP地址
| 极简X按照用户组属性分配IP地址——无线业务IP&VLAN规划 | ||||||
| 区域 | supervlan | Web-subvlan | 802.1X-subvlan | ip地址 | IP属性 | 认证属性 |
| 网络管理员认证 | 2000 | 1001-1100 1201-1300 | 1101-1200 1301-1400 | 10.21.0.0/16 | 动态用户组 | 1X/WEB/MAB 策略随行 |
| 老师用户认证 | 2000 | 10.31.0.0/16 | 动态用户组 | |||
| 学生用户认证 | 2000 | 10.41.0.0/16 | 动态用户组 | |||
| 临时用户认证 | 2000 | 10.51.0.0/16 | 临时地址池 | 1X/WEB认证 | ||
拓扑:
无线WEB认证在N18K直连AC的端口上开启
2、MAB认证:
如果按照传统极简AM规则划分区域(vlan+port)则可以基于vlan开启MAB;
如果是极简X策略随行方式,则无法定义比如老师启用MAB,学生不启用MAB;
除非是细化SSID,区分老师,学生,通过SAM校验控制角色认证
3、1X免认证:
如果按照传统极简AM规则划分区域(vlan+port)分配IP则推荐基于IP地址段将无线1X用户在N18K上做源IP的免认证;
如果是极简X策略随行方式,则无法区别出1X认证的IP段,则需要通过direct-vlan将1X的subvlan免认证,但是需要注意数量控制在50以内;
或者1X集中转发,WEB采用本地转发,则N18K互联AC接口不开WEB认证而在下联汇聚开可规划该问题
但是即使这样由于无线1X的认证NAS不在18K上,故1X用户还是无法根据用户组分配地址,这样1X用户肯定会获取到临时IP,并且不可控,因此建议在一定要用户组的策略随行时,无线1X用户的规划按照传统极简的supervlan+subvlan单独规划,并且ONC配合做DHCP与策略的控制
| 无线SSID及IP规划 | ||||
| 区域 | SSID | 转发模式 | 业务说明 | IP地址 |
| 全校无线用户 | 1X | 集中转发 | 全校师生1X认证 | 10.21.0.0/16 10.31.0.0/16 10.41.0.0/16 10.51.0.0/16 |
| WEB | 集中转发 | 全校师生WEB认证 | ||
Ⅲ 无线集中转发+有线QINQ隔离
拓扑:
说明:
1、 无线采用集中转发时,如果有线接入汇聚是 QINQ 组网,由于集中模式下无线用户对 QINQ 的双层模式的隔离,定位均无法实现,因此无线的规划没必要采用 QINQ 徒增复杂度。
2、 无线接入层 POE 交换机要求独立部署,下联 AP 端口都划分相同管理 vlan ,同时开启端口隔离。
3、 无线楼栋汇聚交换机如果独立部署,或者是跟有线的楼栋汇聚共用但是有独立下联无线端口,不需要与有线共用 QINQ 口,则汇聚上下行配置为 trunk ,正常透传单 tag AP vlan 即可。
4、 如果无线接入交换机是 跟有线 的接入共用楼栋汇聚的一个 QINQ 口, 则需要通过 QINQ 的特定单 tag 透传配置,将无线 AP vlan 上传。
5、 除上述区别外,该场景的无线规划与有线接入 + 无线集中转发一模一样,可直接参考。
Ⅳ 无线本地转发+有线接入隔离
拓扑:
说明:
1、无线采用本地转发,运维管理分散,但对AC性能压力小,特别适合AP数量多,终端多,流量大的场景。有线规划做好无线用户的隔离
2、全网仅规划一个supervlan,给有线使用。无线的AP管理vlan,1X/WEB认证用户subvlan都以一栋楼为粒度进行规划,同时兼顾无线型号性能
3、无线接入层POE交换机要求独立部署,下联AP端口配置为trunk或hybrid属性,nativevlan为AP管理vlan,透传无线用户vlan,同时开启端口隔离
4、无线楼栋汇聚交换机可以独立部署,也可以跟有线的楼栋汇聚共用。要求trunk口透传无线用户vlan,并且精确裁剪,所有下联无线端口开启端口隔离
5、无线AP+用户网关+DHCPpool都在N18K上。AC按无线产品线规范独立部署需要的功能,也可以组成VSU+VAC
6、无线AC关闭arp代理功能,开启AP+用户的二层隔离功能
7、若存在无线1X认证(AC作为无线1X的NAS设备,认证报文走无线隧道转发,用户认证后,业务数据走本地转发)的情况,那么无线AP的管理vlan、无线用户的vlan都要使用普通vlan部署,并且要配置成免认证vlan,与supervlan分开,避免无线1X认证的的广播报文在supervlan中泛洪。
8、无线用户的vlan不建议与AM规则共用,因为无线漫游要求用户的IP地址不能发生变化,若AM规则匹配的vlan或者port发生变化,会导致用户vlan、IP变化,从而导致漫游失效、终端掉线等情况。
无线本地转发模式下,IP,VLAN,SSID,认证等规划及注意事项与集中转发下的原则是完全一样的,直接参考有线接入+无线集中转发章节即可
重点可以检查以下几点:
1、vlan范围规划不可过大:
a、对于APvlan和无线用户vlan,每个vlan建议ip数量在500以内(一个子网不要超过2个c类网段);
b、对于同一个无线用户vlan关联的ap数量,建议在100个以内;(可以通过规划多个ap-group,每个ap-group关联不同的vlan来避免此问题)
c、智分加主机一个ap-group(注:不同ap-group对应的用户vlan映射不同)不超过10台;
d、放装AP一个ap-group(注:不同ap-group对应的用户vlan映射不同)下不超过100台AP。
e、满足上面条件下,建议一栋楼一个ap-group来规划
2、本地转发下,AC和核心的互联口需裁剪掉除互联vlan外的其他不相关的vlan。
Ⅴ 无线本地转发+有线QINQ隔离
无线用户数据单TAG透传:
无线用户QINQ双TAG:
由于有线QINQ+无线本地转发组网较为复杂,建议非必要不使用
本组合下,IP,VLAN,SSID,认证等规划及注意事项可先参考有线接入+无线集中转发章节的介绍。
