A:方案兼容主流厂商的第三方认证计费系统,锐捷优先推荐客户使用SAM认证计费系统,因为首先能帮助客户实现一体化的运营,部署和维护一家厂商就能完成;其次能提供二维码扫描、无感知认证等差异化的价值点;最后SAM认证计费系统是业内最成熟的软件,能够满足友商软件的常用功能。当然,如果客户仍想沿用现在的认证计费软件,我们可以提供方案的对接测试,让高校客户满意。
A:这2条命令的含义是:应用default规则列表到1x计费服务和1x认证服务,如果在1x配置的基本环境中,使用的是default列表规则,那么上述这2条命令,可以不再配置,默认就已经使能了,如果使用的是自定义的规则列表,那么就需要手动配置应用的列表名称,否则是无法进行1x的基本认证计费场景。
A: 极简网络解决方案是依托ACE设备和SAM认证计费系统联动实现对用户按流量进行计费的,保证计费的准确性。
A:原先的接入设备进行认证受控的方案,是用接入设备做NAS,每个楼层,每个接入设备的接口都需要进行认证受控,配置、管理维护的工作量巨大,现有的极简网络方案,将这些认证NAS设备全部上收至核心层,只要在核心上管理维护即可,实现认证受控,并且后续管理和维护的工作也相对轻松。
A:配置的变化不大,1x认证的配置沿用之前的方案,二代Web认证认证需要进行认证模板的配置,然后应用此认证模板即可,配置过程不复杂,具体的命令如下:
aaa new-model
aaa accounting update
aaa accounting network default start-stop group radius
aaa authentication web-auth default group radius
ip radius source-interface Loopback 1
radius-server host 210.34.48.10
radius-server key ruijie
snmp-server community ruijie rw
web-auth portal key ruijie
web-auth template eportalv2
ip 210.34.48.40
url http://210.34.48.40:80/eportal/index.jsp
interface GigabitEthernet 5/8
web-auth enable eportalv2
A:Newton系列交换机的二代Web认证支持配置认证模板,因此可以针对不同的Portal页面,制定不同的认证模板,在认证接口上使能不同的Web认证模板即可,但是如果要基于区域进行不同认证页面的跳转,那就需要结合ACE设备,单个Potal,配置多个认证页面,并且基于用户VLAN,实现不同VLAN的用户,跳转不同的认证页面。
A:性能容量不增加,仍为单机设备容量;VSU技术可以部署在同系列不同产品间,VSU为用户带来的可靠性,可以在设备出现故障时,无感知的切换到丛机设备上,保证业务运行,数据转发流50ms内不断流。
A:SNC网管软件能够帮助极简网络方案在配置阶段简化工作量,做到对现网的实时监控,目前SNC网管软件已经能兼容部分主流的华为、H3C的网络设备。
A:出口设备主要包括Power Cache、EG2000XE、ACE5000,它们在方案中具有不同的功能,是根据客户的网络场景需求决定是否采购的,我们在方案中是不进行强制绑定的。
A:终端发出的HTTP报文,首先由Newton系列交换机作为NAS进行处理,NAS对终端重定向时,推送的内容中包含脚本(只有标准浏览器可以识别并被重定向,QQ/迅雷等终端不会响应),避免QQ/迅雷等软件发送的大量HTTP请求对服务器照成的压力,标准浏览器终端会被重定向同eProtal服务交互。友商BRAS方案目前还没有对该项功能支持的技术说明。
A:极简网络方案部署中分为三种隔离方案,分别是:VLAN隔离方案、接入隔离方案和汇聚隔离方案。对于VLAN隔离方案来说,各个用户间通过VLAN隔离,所有报文送交网关处理,用户认证后,锁定IP+MAC+VLAN+物理端口的对应关系,然后结合网络规划表即可精确的定位用户所在的具体位置,但是对于接入隔离方案来说,只能定位到用户所在的接入层,对于汇聚隔离方案来说,只能定位到用户所在的汇聚区域。
A:目前N18000交换机有ED、DB和EF三类线卡,这些线卡的交换芯片均采用UFT(Unified
Forwarding Table)技术实现,通过该技术,可以灵活配比MAC、ARP、ND表项的容量,解决了传统交换芯片表项容量固定,无法按照用户需求提供灵活的容量定制。为了便于用户配置,N18000把UFT转换成3种模式给用户配置,这些模式可以确保对应的应用容量最大,模式分别是缺省模式,网关单栈IPv4模式,网关双栈模式,这些模式下除了MAC地址是固定占用容量数的,ARP、ND、IPv4组播、IPv6组播都采用先配置先占用表项的方式。以下分别描述三类线卡的UFT机制(单位k为1024):
ED线卡
UFT表项共有512k,MAC、ARP、ND、IPv4组播、IPv6组播等共享这些表项,以8k为最小单位分配。具体表项容量如下:
表项最大容量 | 缺省模式 | 网关单栈IPv4模式 | 网关双栈模式 | |||
UFT容量 | 表项容量 | UFT容量 | 表项容量 | UFT容量 | 表项容量 | |
Mac | 128k | 128000 | 192k | 192000 | 96k | 96000 |
ARP | 共享360k | 128000 | 共享304k | 182000 | 共享408k | 96000 |
ND | 120000 | 76000 | 96000 | |||
ARP/ND双栈 | NA | 80000 | NA | 60000 | NA | 90000 |
其他资源预留 | 24k | NA | 16k | NA | 8K | NA |
MPLS | NA | 8000 | NA | 8000 | NA | 0 |
QinQ | NA | 10000 | NA | 2000 | NA | 2000 |
组播 | 与ARP/ND共享 | NA | NA | |||
DB线卡
DB线卡只支持缺省模式,UFT表项共有256k,MAC、ARP、ND、IPv4组播、IPv6组播等共享这些表项,以64k为最小单位分配:
表项最大容量 | 缺省模式(双栈) | |
UFT容量 | 表项容量 | |
Mac | 96k | 96000 |
ARP | 共享192k | 96000 |
ND | 70000 | |
ARP/ND | NA | 46000 |
其他资源预留 | 24k | NA |
MPLS | NA | 16000 |
QinQ | NA | 17000 |
组播 | 与ARP/ND共享 | |
EF线卡
EF线卡和ED线卡容量相同。
A:在网络规划过程中,不配置default-router这个命令,那么设备就会默认把接口的地址作为网关地址下发给客户端,例如,配置的DHCP的网段地址是10.0.0.0/24,VLAN100的接口IP是10.0.0.1/24,那么如果在不配置default-router命令的情况下,设备会默认把SVI100的IP地址作为网关地址下发给客户端。不过,在部署过程中,建议还是配置,这样对于配置命令规划更清晰,后续查看也比较容易。
A:DHCP
Snooping在极简网络中属于标准配置,是必须存在的基本配置,原因如下:
? 1x认证中IP授权模式分为四种,分别是:Su授权,Radius授权,DHCP授权和Mixed授权。其中DHCP授权就是需要根据DHCP
snooping表项中的信息来给用户进行授权。
? MAB认证过程中,无法携带设备的IP地址,因此也需要根据DHCP
snooping中的对应表项信息,把认证客户端的IP地址上传给Radius服务器,并生成相应的认证在线的表项信息。
A:DHCP方案的变动如下:
? CLI变动,除了原有的DHCP pool相关的配置外,增加如下配置命令:
address-manage
match ip default 1.1.0.0
255.255.254.0---------------------------------------全局配置
match ip 1.1.1.1 255.255.255.255 Gi0/1 vlan
1,11-20----------------------接口+vlan配置
match ip 1.1.1.2 255.255.255.255
Gi0/1-----------------------------路由口配置(暂不支持)
? 实现方面变动如下:
1、11.x之前版本有基于subvlan-address-range
区间范围的地址分配如下,取消DHCP与其联动,不关注这些消息,地址分配不受配置影响,原有的配置命令如下:
vlan 2
supervlan
subvlan 21-29
vlan 24
subvlan-address-range 20.1.1.1 20.1.1.100
2、没有配置新增命令address-manage时,DHCP分配方案按照原有的DHCP
pool的流程进行
3、如果只配置新增命令address-manage中的default,则所有接口按defaulte规则分配,配置该命令时不删除已有地址,删除该配置命令时不删除已有地址,在下次用户请求时按规则操作
4、如果只配置新增命令address-manage中的基于接口+vlan的配置,则从指定接口VLAN上来的用户分配区间地址,其余接口VLAN不分配地址,配置该命令时不删除区间内地址,删除该配置命令时不删除已有地址,在下次用户请求时按规则操作
5、如果配置default和接口+vlan配置,匹配接口+VLAN的就按照规则分配地址,其余从default中取地址,其余接口VLAN不分配地址,配置该命令时不删除区间内地址,删除该配置命令时不删除已有地址,在下次用户请求时按规则操作
? 硬件限制:
假设有以下2条配置信息:
match ip 1.1.1.0 255.255.255.0 Gi0/1 vlan 2-10
match ip 2.1.1.0 255.255.255.0 Gi0/1 vlan 11-20
假设PC1属于VLAN11,那么如果静态配置IP地址是1.1.1.0/24,那么这台PC是无法正常通信的,设备上一旦配置了address-manage后,就相当于启用了过滤表项,接口会按照对应的规则来过滤报文,因此,在部署过程中,要注意这个硬件限制。
A:软件版本的升级方式没有变化,还是保持以前的两种:U盘或者TFTP;升级命令稍微有些不同,具体如下:
1. 通过U盘升级版本
? 把软件版本copy到U盘,并且把U盘插入到设备管理板上的USB接口上
? 然后配置如下命令进行版本升级
? Upgrade
usb0:/xxxxx 线卡文件名称
? Show
upgrade status 查看软件版本升级状态
? Upgrade
usb0:/xxxxx 管理板文件名称
? Show
upgrade status
? 软件版本升级成功后,保存配置重启设备
2. 通过TFTP升级版本
? MGMT口配置IP地址,并接入到网络,保证TFTP
Server与MGMT口能通
? 进入系统Shell,并进入临时目录
? N18K#run-system-shell
? #cd
/tmp/vsd/0*** 该目录对应系统的tmp目录,可以通过N18K#dir tmp查看
? Tftp
-g 200.1.1.1 -m -r lc.bin:文件名不能包含括号
? 然后再退出Shell模式,输入下面配置命令
? Ruijie#upgrade
flash:lc.bin force 升级线卡版本
? Ruijie#upgrade
flash:cm.bin force 升级管理板版本
? 软件版本升级成功后,保存配置重启设备
A:原校园网络升级到园区网3.0的过程中,需要对接入设备进行VLAN重新划分。通过结合使用Vlan自动配置工具,可以减少网络中心的工作量。
? Vlan自动配置工具用途说明
1. 批量下发配置:VLAN配置是通过规划好的VLAN模版进行导入,批量自动下发配置命令
2. 备份配置:VLAN自动配置工具有备份的功能,该工具通过TELNET的方式自动把设备的配置备份成config.bak+当天日期
3. 展现命令下发的执行结果:体现执行结构,将执行成功的和执行失败的记录数体现出来,并可导出未执行成功的EXCEL记录,便于用户差错
? 扁平化解决方案的特点和优势
1. 原来的设备配置工作,需要手工进行,比较耗时。使用VLAN自动配置工具,可以减轻工作量(配置备份与恢复的功能)
2. 当从原网络升级到园区网3.0,接入交换机需要变更配置时,网管人员可将原来设备的配置命令导入这台接入交换机
3. 可灵活适用于各校园的VLAN划分情况
4. 对于配置出错的情况可以进行提示或配置回滚
A:现在设备有版本回退功能,可以对上述问题进行规避,需要注意的是,补丁文件是属于系统版本的一部门,那么在版本回退后,补丁文件也会被回退,配置命令如下:
upgrade rollback slot
all
A:例如现在需要给设备进行OSPF进行进行热补丁升级,那具体的操作说明如下:
? Ruijie#copy
usb0:xxx tmp:----------------------------把优盘中的文件COPY到tmp目录下
? Ruijie#run-system-shell--------------------------------进入SHELL配置模式下
? ~
# cd /sbin------------------------------------------------进入sbin文件
? /sbin
# ls -la | grep ospf.elf------------------------------查看当前OSPF进程
? /sbin
# mv /sbin/ospf.elf /sbin/ospf.elf.bak-----------备份OSPF进程
? /sbin
# mv ospf.elf /tmp/vsd/0/ospf.elf.new----------COPY使用新的OSPF文件进行替换
? /sbin
# chmod 777 ospf.elf------------------------------授权
? /sbin
# sync------------------------------------------------同步
? /sbin
# ls -la | grep ospf.elf------------------------------查看当前OSPF进程
? /sbin
# pgrep ospf.elf-------------------------------------查看当前OSPF进程号
? /sbin
# pkill -9 ospf.elf-----------------------------------重启OSPF进程
? 重启OSPF进程后,设备会打印如下LOG信息:
? /sbin
# *Mar 5 18:42:39:
%HA-5-HA_SCRIPT_RESTART: Process: /sbin/ospf.elf Pid: 3743 receives error_signal[9] and
quits, Process: /sbin/ospf.elf is
restarting ...
? *Mar 5 18:42:39: %HA-5-HA_SCRIPT_RESTART:
Process: /sbin/ospf.elf restarts 2
times newpid is 3864 and restarts successfully
A:Super VLAN是VLAN划分的一种方式。Super
VLAN又称为VLAN聚合,是一种专门优化IP地址的管理技术。其原理是将一个网段的IP分给不同的子VLAN(Sub VLAN),这些Sub VLAN同属于一个Super
VLAN。而每一个Sub VLAN都是独立的广播域,不同Sub VLAN 之间二层相互隔离。当Sub VLAN 内的用户需要进行三层通信时,将使用Super
VLAN 的虚接口的IP 地址作为网关地址,这样多个VLAN 共享一个IP 地址,从而节省了IP 地址资源。同时,为了实现不同Sub VLAN 间的三层互通及Sub
VLAN 与其他网络的互通,需要利用ARP 代理功能。通过ARP 代理可以进行ARP 请求和响应报文的转发与处理,从而实现了二层隔离端口间的三层互通。缺省状态下,Super
VLAN和Sub VLAN的ARP 代理功能是打开的。
A:一个AP划分一个VLAN,这种部署方式也是受到了VLAN隔离方案的限制,这样在接入端最多只能接入4094个AP,但是在实际场景中,远远不能满足高校园区网的AP无线信号覆盖,并且在这种部署场景下,用户从一个VLAN漫游到另外一个VLAN后,如果处于信号覆盖的交接点,那么就会出现重关联现象,这样使得用户的VLAN发生了变化,触发用户进行重认证;当然如果无线部署方案中启用Web无感知认证的话,就可以避免上述出现的这种问题;多个AP划分到一个VLAN的部署方式下,不会受到4094个VLAN的数量限制,可以根据实际用户的AP信号覆盖情况增/减实际部署的AP,另外,同一个VLAN中部署多个AP,这样用户在进行漫游的过程中,即使出现了信号弱重关联的情况,也不需要用户再进行重认证。具体采用哪种部署方式,这个需要结合实际的用户场景进行具体细分。
A:Web无感知认证是基于Web认证基础上,客户端在首次接入网络后,是需要进行Web认证的,一旦认证通过后,后续再接入网络后,就无需再进行Web认证,N18K会在用户首次Web认证的时候就记录下客户端的Mac地址,待后续认证的时候,就直接使用客户端的Mac地址进行MAB认证了。
A:三种隔离方案分别是:VLAN隔离方案、接入隔离方案、汇聚隔离方案;主要的区别有2点:首先,是用户数量的限制,在VLAN隔离方案,一台汇聚设备下联的接入设备中是一个接口一个VLAN,对应一个用户,因此就受到了VLAN数量的限制,也就是在某一个区域内接入用户数不能超过4094个,但是在接入隔离方案中是一台接入设备一个VLAN,就不会受到VLAN数量的限制,汇聚隔离方案也不会受到VLAN数量的限制。其次,是用户定位精确性的区别,VLAN隔离方案中是一个用户一个VLAN,因此可以精确定位到用户所在的具体位置,但是对于接入隔离方案,是一台接入设备一个VLAN,因此只能定位到具体的接入层;对于汇聚隔离方案,就只能定位到具体的区域,而不能精确的用户的具体位置。
A:DHCP Realy属于基本功能,Newton设备支持,但是对于Address-manage的IP地址基于VLAN和端口的划分规则,这个是不支持DHCP
Relay的。
A:无法通过搜索网络打印机的方式来发现打印机,可以基于IP地址来发现打印机。即:二层没法用,三层可以用。不用二层搜索打印机,使用基于IP地址搜索打印机。要跟用户说一下基于IP地址搜索打印机的使用操作。
组网方案 | 组网配置说明 | 使用说明 | 方案存在问题/限制 |
VLAN隔离 | 用户PC与打印机划分不同的VLAN,通过VLAN隔离 | VLAN隔离后,广播、组播报文都无法互通,只能通过三层互通。即,N18K做ARP代理的三层互通方案 | 1)打印机搜索功能不可用; 2)基于IP地址搜索可用; 3)打印业务可用; |
接入隔离 | 一台接入交换机一个VLAN,用户PC的端口开启保护口,打印机接入端口不开启保护口 | 与打印机同一台接入交换机下的用户PC都可以访问打印机。 其他用户在其他接入交换机下,需要通过基于IP来搜索打印机业务 | 1)打印机搜索功能有限制; 2)基于IP地址搜索可用; 3)打印业务可用; |
汇聚隔离 | 一个区域的接入交换机的VLAN可以重复,并在汇聚设备上开启保护口 | 类似VLAN隔离方案,广播、组播报文都无法互通,只能通过三层互通。即,N18K做ARP代理的三层互通方案 | 1)打印机搜索功能不可用; 2)基于IP地址搜索可用; 3)打印业务可用; |
A:旧网中已经存在的OSPF的路由信息需要进行修订配置,OSPF路由协议的基本配置都是通过network
x.x.x.x area x来向网络上的所有设备广播发送OSPF hello报文,向邻居设备通告自己的网段信息,如果直接沿用旧有的OSPF的配置信息,由于N18K设备上SuperVLAN的IP地址是各网段的网关地址,OSPF
hello报文就会向所有的SubVLAN广播OSPF hello报文,因此,如果采用network动态通告OSPF路由的方式,那么就需要在N18K设备上启用OSPF协议的被动接口,passive-interface
xxx,把所有的SuperVLAN的SVI接口(网关)全部设置成OSPF被动接口,这样就可以保证设备在通告网段地址的同时,不会在二层网络中广播大量的OSPF
hello报文,以此来减轻网络的压力;另外一种部署方式是,不使用network进行动态路由的通告,采用路由重分发的方式进行通告,在OSPF路由模式下,配置redistribute
connected subnets,这样设备就不会向所有的SubVLAN发送OSPF hello报文,而只是对直连的三层物理口进行路由通告。
A:对于扁平化方案的无线部署来说,1x认证是受控于AC设备的,Web认证和Mac认证则是受控于N18K设备,在N18K上配置direct-vlan
xxx,放行1x认证的对应的VLAN报文,AC上使能用户间隔离功能(在wids模式下配置user-isolation ap enable)。在这种部署环境下,方案存在如下的安全限制:
由于1x和Web在不同的VLAN上,并且受控于不同的NAS设备,这样在AC就不能实现过滤,所以就会导致如下2个问题:
1. 同一个AP内Web认证与1x认证可以互访
2. 同一个AP内Mac认证与1x认证可以互访
可以采用的规避方法是:采用给不同的Sub VLAN申请不同的IP段地址,通过ACL实现sta间的隔离。
A:目前,方案对于VSU热备切换存在如下2个方案限制:
3、双管部署环境下,主从管理板切换(从开始切换,到进入新管理板的CLI合计时间3-4分钟),热备切换前1分钟过程中,用户无法进行1x认证;1x热备主从切换可以保证已经在线的用户不断流,切换期间,由于1x所依赖的模块需要初始化,因此,就算1x很快报告可以认证了,但是系统的其他部分,比如底层,相关通路等,都还没有就绪,因此会出现上述说的热备切换前1分钟内无法进行1x认证,此限制计划后续方案再做修订,目前,方案做限制说明;