锐捷极简X 大二层扁平化网络部署指导——方案规划及实施注意点_锐捷 开启arp打通功能

1、如存在用户迁移情况，核心交换机上要开启认证迁移功能  
 

       认证上收核心交换机以后，如用户在某个地区未主动下线，到另一个地方接入网络，则在无流量下线时间内会导致用户无法再次认证上网。如，无线用户在两个信号或同一信号范围内来回切换时，则会无法正常认证。因此需要开启认证迁移。

station-move permit

web-auth station-move auto

web-auth station-move info-update

no web-auth station-move arp-detect   //建议关闭WEB认证迁移时的ARP探测

no dot1x station-move arp-detect    //建议关闭802.1x认证迁移时的ARP探测

2、需要对核心交换机、汇聚、接入交换机的所有Trunk接口进行vlan裁剪

      大二层网络下核心交换机存在一个风险点，由核心交换机的supvlan发出的协议类报文会在所有subvlan内泛洪，尤其是qinq方案可能会造成pevlan*cevlan个数的协议报文泛洪量，对核心交换机的CPU消耗和下联的汇聚和接入设备链路带宽都带来很大影响。因此需要在核心交换机下联口尽量裁剪掉没有使用的vlan，减少vlan范围避免这种非必要的消耗。

  switchport trunk allowed vlan only 100-103,900,3501-3550,4201-4204

3、需要将核心交换机下联接口配置为路由协议被动口，避免广播洪泛

       需要将下联用户，以及其他无需建立OSPF邻居的三层口配置为被动接口，否则可能出现核心交换机往下方supervlan的所有subvlan发送OSPF的组播报文，消耗核心交换机的CPU资源和链路带宽，影响网络正常使用。

router ospf 110

  passive-interface vlan 3001  //OSPFv2 配置被动接口

ipv6 router ospf 110

  passive-interface vlan 3001  //OSPFv3 配置被动接口

4、N18K上NFPP功能保持默认开启，不要随意修改，调整参数，特定情况下可在部分端口关闭。

       NFPP必须全局开启，否则存在攻击时极有可能导致N18K的资源消耗而影响网络的正常使用。

       如存在类似以下两种情况，在全局开启NFPP以后，需将相关接口的dhcp-guard关闭。

       情况1：N18K作为DHCP RELAY，则将N18K上去往DHCP SERVER接口的dhcp-guard关闭；

       情况2：N18K作为DHCP SERVER，有无线终端网关位于AC上，并且AC作为DHCP RELAY，则需要将N18K上通往AC相应的端口的dhcp-guard关闭。

interface GigabitEthernet 1/20     //进入上方描述的接口

  no nfpp dhcp-guard enable  //接口关闭dhcp-guard

5、不能将只有单层VLAN的数据VLAN-ID 与 PE-VLAN配置一样

       高校中部署QINQ方案时，有可能存在部分终端的流量无需被QINQ打上双层标签，如AC直接接在N18K上，没有被汇聚交换机QINQ打上双层VLAN，或者汇聚交换机有些下联口直接连接了某些终端没有被QINQ打上双层VLAN。

       注意不能将这些单层VLAN数据的VLAN-ID与PE-VLAN重叠，否则数据收发异常。

6、N18K上开启DHCP SNOOPING TRUST端口不能与认证端口同时配置

如存在该情况，需要提前准备链路将相关流量进行分流，割接时需特别注意。

7、直通vlan个数限制/ARP主动打通vlan个数限制      

       全局配置：direct-vlan  xxx,xxx-xxx  （show direct-vlan判断）

       全局配置：arp resovle vlan xxx  （show run | in arp resovle判断

     a.直通VLAN配置过多（超过100个），广播/组播报文复制会导致线卡CPU高，引发故障。直通VLAN个数以不超过100为宜。超过时，用安全通道或直通站点功能。        

     建议：业务及终端的放行使用安全通道（免认证子网）或直通站点功能，接入设备和AP的放行可以使用直通vlan放行。

     b.ARP主动打通vlan配置过多（超过50个），广播/组播报文复制会导致线卡CPU高，引发故障。ARP主动VLAN个数以不超过100为宜。极简X方案部署时，有线接入建议一个楼栋部署一个VLAN。

     注意：配置了ARP主动打通vlan的情况下，直通vlan的主动打通功能不再生效，需要主动打通的vlan以ARP主动打通vlan为准。

8、打印机哑终端部署

     打印机哑终端不会主动发ARP报文，在supervlan大二层扁平化网络下设备可能会因为哑终端不主动发ARP报文，设备无法学习到哑终端的ARP，导致哑终端接入网络不通

     部署时需要将打印机规划一个IP网段（建议使用24位掩码网段即可），然后配置为主动打通IP范围，arp resovle ip 10.10.10.0 10.10.10.254，或者由SDN控制器定义这个打印机业务子网为主动打通。

     如果在割接改造场景下，哑终端部署在多个IP网段且无法知道IP多少，那么可以使用ARP主动打通VLAN部署。

     DSW-18KX_LX(config-router)#arp resovle ip x.x.x.x

     DSW-18KX_LX(config-router)#arp resovle vlan xxx

     QINQ场景下，哑终端的部署建议使用ARP主动打通IP网段的形式部署。将哑终端配置在同一个IP网段内进行ARP打通。

9、组播部署问题

     部署组播时，组播客户端推荐单独划VLAN部署，和supervlan业务网区分开

     如果组播客户端必须部署在supervlan内，则需要对组播部署配置进行相关优化。具体配置见组播场景规划章节。防止组播报文在supervlan内泛洪，该场景下需要同步二线评估部署风险。

     QINQ网络不支持部署组播业务。

10、核心N18K下联端口开启二层隔离保护口（switchport protected），或者是基于vlan的隔离保护（vlan protected）          

11、接口索引唯一性                      

N18K每个物理端口的接口索引值都是唯一的，可以通过show interface查看（Index字段），当有多张线卡和AP口时（先插入1张，配置AP口，再插入1张），设备重启后，可能会导致设备接口索引发生变化，导致SAM上的区域划分功能失效。必须开启接口索引唯一功能。

Ruijie(config)#snmp-server if-index persist

12、避免SAM上出现全0地址的用户
          

802.1x和无感知认证，都需要通过su客户端或者N18K的dhcp snooping表获取认证用户的IP地址，当以下配置漏配时，就会导致N18K拿不到认证用户的IP地址，将全0地址传给SAM服务器。如果SAM服务器又配置了相同IP用户的抢占策略时，就会导致用户被异常踢下线。为了解决这个问题，需要配置以下命令：
          Ruijie (config)# ip dhcp snooping                        //开启IP dhcp snooping
          Ruijie (config)# aaa authorization ip-auth-mode mixed//配置认证用户的IP授权模式为混合模式
          Ruijie (config)# dot1x mac-auth-bypass valid-ip-auth//配置mac无感知认证需要获取IP地址后才允许认证
          Ruijie (config)# dot1x valid-ip-acct enable//dot1x认证和无感知认证的用户，未获取IP会在5分钟后被踢下线
           

13、SAM和N18K在线用户准确性
         

        为了防止SAM和N18K在线用户信息不一致导致的异常，SAM每天凌晨2点会自动与N18K上核对在线用户信息，删除SAM上假在线用户信息。
          N18K必须开启snmp-server命令，用于跟SAM同步信息：
          Ruijie(config)# snmp-server host 172.18.18.18 informs version 2c ruijie    //ip 为SAM的ip地址。
         

 
14、开启dhcp snooping对dhcp relay报文的兼容性处理
       

  默认情况下N18K开启dhcp snooping会默认丢弃由汇聚设备Dhcp relay上来的地址申请报文，需要通过以下命令配置协议兼容。
          DSW-18KX_LX(config)#ip dhcp snooping check-giaddr          //dhcp snooping和relay的兼容命令，防止有relay过的dhcp报文到了N18K被dhcp snooping模块丢弃          

15、DB系列线卡仅支持60个CE-VLAN，QINQ隔离场景如果接入集联过多则无法支持        

          QINQ隔离场景接入集联时，CE-VLAN需要递增部署。当集联的交换机接口数量大于60个时，则DB卡无法支持。

          建议首先尝试修改集联拓扑，无法解决时则建议申请更换DB线卡为ED线卡(支持511个CE-vlan)

1、ARP打通

打印机等不会发ARP报文的哑终端必须规划为同一个IP网段，ONC上开启ARP打通，否则哑终端无法入网成功

2、免认证子网/安全通道

在做割接改造时，通过ONC上面开启免认证子网，免认证终端等各类免认证功能时，一定要确认原来N18K上面是否有配置全局安全通道，如果有则会被ONC下发的安全通道命令覆盖（全局调用ONC下发的ACL RG-ONC-FREE而不是此前N18K已经配置的安全通道ACL，N18K全局仅能调用一条安全通道ACL，后配置的覆盖旧的），此时可能导致原理免认证的功能失效，则，规避方法有如下几种：

保留ONC下发的安全通道（推荐）    

1. 将N18K原先配置的安全通道删除no security global access-group    
2. ONC上开启免认证子网，免认证终端等功能，相关配置下发到N18K上，包括对应的acl和安全通道，如开启192.168.1.0/24业务子网为免认证子网，下发到N18K的命令如下：    

expert access-list extended RG-ONC-FREE    

 1 permit ip 192.168.1.0 0.255.255.255 any any any    

 8001 permit arp any any    

security global access-group RG-ONC-FREE    

1. 将N18K原先配置的安全通道对应的acl里面的ace，复制粘贴到RG-ONC-FREE这个acl底下    

1. 保留N18K原先的安全通道    

1. ONC开启免认证子网，免认证终端等功能，相关配置下发到N18K上，此时，由于N18K已配置了全局安全通道，因此，仅RG-ONC-FREE这个acl（包括对应的ace）能正常下发到N18K上，security global access-group RG-ONC-FREE该命令无法正常应用    
2. 将RG-ONC-FREE这个acl对应的ace，复制粘贴到N18K上所配置的安全通道对应的acl下    

注：【2】的一个缺点是，后续如果在ONC上继续添加一些免认证子网，免认证终端的操作，都需要在CLI上将控制器下发的ace复制粘贴到N18K原先配置的安全通道acl底下，太过麻烦且容易遗忘，因此，我们更推荐【1】的部署方式    

3、免认证vlan

      免认证vlan不允许同时在N18K和ONC上混合配置，如N18K上配置direct-vlan 111,222，ONC上配置免认证vlan 333，则ONC会有相应告警提示该免认证vlan333下发失败。    

       对应的解决办法是：要在ONC上配置免认证vlan时，需要将N18K上旧的免认证vlan列表复制到ONC web页面    

，如上述，ONC要添加vlan 333为免认证vlan，需要同时添加vlan 111,222,333方可配置成功。    

        建议免认证vlan仅在唯一的一个设备配置，N18K或者ONC上