方案规划
高教校园虚拟化网络主要是基于iMaster NCE-Campus部署,按照iMaster NCE-Campus的业务配置模型进行部署规划,具体规划如表4-1所示。
表4-1 园区虚拟化网络新建方案规划
规划项
详细部署思路
管理网络部署方案
高教校园网络的管理网络推荐采用带内管理,BRAS、防火墙、WAC、汇聚层设备、以及接入层设备的管理网关规划在核心交换机上。
iMaster NCE-Campus与园区内网对接
网络管理区网关与核心交换机之间通过三层路由互通。建议在网络管理区网关规划2条静态路由,一条用于iMaster NCE-Campus南向、iMaster NCE-CampusInsight南向与管理子网互通;一条用于iMaster NCE-Campus南向、DHCP服务器与用户子网互通。
设备开局上线方式
核心交换机和WAC采用手动配置上线,汇聚层和接入层网络设备即插即用上线。
核心交换机、汇聚交换机和接入交换机之间的互连端口、Eth-Trunk信息需提前规划好,然后通过网络规划模板导入到iMaster NCE-Campus
汇聚交换机和接入交换机通过自协商管理VLAN打通管理网络,通过DHCP Option 148获取iMaster NCE-Campus的地址信息。
AP通过自协商管理VLAN打通管理网络,通过DHCP Option 43获取WAC的地址,然后在WAC上线。
Underlay部署方案
Underlay路由规划
Underlay物理网络中任意两台设备的三层连通,是部署虚拟网络的前提条件。可以选择手动配置或者通过iMaster NCE-Campus自动编排路由。推荐使用iMaster NCE-Campus自动编排。
考虑路由表能够根据网络拓扑变化而动态刷新,建议规划IGP动态路由协议,如OSPF。iMaster NCE-Campus支持OSPF路由自动编排。
Underlay防环规划
整网采用树形结构,核心层与汇聚层、汇聚层与接入层设备间为点到点连接,物理拓扑天然无环。为防止由于误连线等造成的环路,交换机须使能MSTP。三层组网推荐将核心层和汇聚层之间的互联链路去使能MSTP,并将每个汇聚交换机及其所下属的接入层交换机规划成一棵独立的MSTP树,汇聚交换机做根桥。
Overlay部署方案
Fabric规划
VXLAN控制面采用BGP EVPN,不同Border/Edge间需建立BGP EVPN连接,以Loopback接口作为建立BGP连接和VXLAN隧道封装的源接口。
推荐将Border设备(通常CPU处理能力最强)配置为路由反射器,Edge间不需要再建立BGP EVPN连接,从而减小CPU性能消耗。
外部网络出口采用L2类型,与BRAS设备对接互联。
有线用户和无线用户的认证在BRAS上配置,不在Fabric中配置。
VN规划
建议部署一个VN,部署VN时选择网关在Fabric外部,并手工指定VLAN。
WLAN部署方案
目前,在部署集中式网关的虚拟化方案中,无线网络采用WAC+Fit AP架构,本案例使用独立WAC纳管AP。
无线业务推荐采用隧道转发,AP到核心之间管理VLAN需要手工打通。
Fit AP的无线业务配置通过WAC的Web网管或者命令行方式进行集中配置。
AP上线方式
AP上线主要包括管理网络打通、WAC的IP地址信息获取、iMaster NCE-Campus上的AP ESN校验。其中,管理网络打通、WAC的IP地址信息获取可参考"管理网络部署方案 - 设备开局上线方式"规划;对于iMaster NCE-Campus上的AP ESN校验,支持以下两种方式,实际部署时请根据需求选择对应的上线方式:
提前导入AP信息:该方式需要在AP硬装时采集AP ESN信息,在网络规划模板中填写ESN、AP名称,连同其他信息(如Eth-Trunk等)一起,一次性导入iMaster NCE-Campus。
AP上线后手动修复:该方式不需要提前采集AP的ESN信息,需要现场施工时逐个安装AP并反馈AP ESN和位置信息,网络管理员可以同步在iMaster NCE-Campus纳管AP并根据AP位置修改AP名称。
SSID和业务VLAN规划
园区内仅规划一个SSID,无线用户权限在BRAS上通过认证进行控制。用户VLAN根据楼栋进行划分,每栋楼规划一个业务VLAN、
WLAN网络准入规划
在WAC部署的无线用户接入的安全策略统一设置为OPEN,无线用户接入后同有线用户一样在BRAS上进行认证和权限控制。
出口网络部署方案
Fabric与BRAS之间建立L2类型出口。
用户流量到达BRAS之后,经过认证,将用户流量根据用户属于哪个运营商,或者用户访问目的地址是否为教育网对用户流量进行区分。
在核心交换机上根据用户流量的分类创建相应的VPN实例,同BRAS创建不同的三层接口并绑定对应的VPN实例,区分后的流量分别通过不同的三层接口送回核心交换机。送回核心交换机的北向流量通过不同的接口接入防火墙上对应的虚拟系统,通过防火墙上不同虚拟系统连接不同的外部网络。
认证部署方案
有线和无线用户的认证统一在BRAS设备上进行。
认证方式为IPOE的MAC优先的Portal认证。