汇聚接入设备配置优化(汇聚+接入)


1、极简场景接入、汇聚设备需要关闭安全功能

     接入、汇聚设备需要关闭NAS认证相关功能(包含aaa、web认证、802.1x认证等配置),以及接口安全、防欺骗类安全功能(dhcp snooping、arp-check、ip source-guard)等等,这类功能在极简网络中已经无需在接入、汇聚设备开启。如果未关闭,可能会造成安全功能和极简方案存在冲突或者未知的BUG,影响现网业务。

     如:S21设备开启1X命令,会导致1X报文无法透传到N18K设备


2、接入设备配置开启功能如下

1)开启RLDP防环功能;

Ruijie(config-if- FasterEthernet 0/1)#rldp port loop-detect shutdown-port

2)如果接口属于相同VLAN的话,需要开启端口保护功能;

Ruijie(config-if-FasterEthernet 0/1)# switchport protected

3)开启风暴抑制功能,组播广播接入建议限制30PPS,如不满足根据实际情况进行调整

Ruijie(config-if-FasterEthernet 0/1)# storm-control multicast pps 30

Ruijie(config-if-FasterEthernet 0/1)# storm-control broadcast pps 30


3、汇聚设备开启功能如下:

1)进行VLAN裁剪;

2)如果接口属于相同VLAN的话,需要开启端口保护功能;

3)开启风暴抑制功能,组播广播接入建议限制1000PPS,如不满足根据实际情况进行调整;

注:该汇聚设备属于楼层汇聚,如果是区域汇聚只需做VLAN裁剪以及端口保护。


4、接入隔离方案若接入设备需支持端口保护,否则可能会存在dhcp欺骗
接入隔离方案中接入设备所有接口为相同vlan,必须开启端口保护。否则接入设备下当存在私设小路由器作为dhcp-server时,dhcp报文在相同的vlan内进行泛洪,导致dhcp欺骗。项目若存在不支持开启端口保护的接入交换机,建议进行设备更换。

5、接入设备需要支持rldp防环,否则可能导致N18K cpp被砸满,全网1x,web无法认证
由于可能存在私接hub导致环路的情况,接入端必须要开启rldp防环,否则可能会导致环路后web认证或者1x认证的协议报文被放大数百倍,将N18K的CPP砸满。导致全网用户都无法使用1x,web认证。项目若存在不支持RLDP的接入交换机,建议进行设备更换。

6、QinQ隔离解决方案场景下,需要在接入设备上配置STP+rldp防环
每台接入设备配置全局开启STP配置,在上联口开启bpdu fillter,下联口开启bpdu guard同时也开启rldp相关配置。接入设备通过上联口配置BPDU fillter,保证STP生成树只在单台设备上,不进行拓扑学习和根桥选举。在下联口配置BPDU guard,当收到bpdu报文时就shutdown端口保证环路避免。
注意:接入隔离方案可以无需开启stp防环,qinq隔离方案则必须开启stp防环,因为rldp环路检测在qinq方案的接入设备每端口一个vlan的场景下,存在部分环路场景无法检测的缺