1.1.1. 客户需求
1. 安全设备有原来的串接方式更改为旁挂模式,当任意出口设备出现故障,不影响正常业务;
2. 当设备异常时能快速定位出异常设备,快速定位和排查;
3. 安全设备原本的连线方式、保护策略等相关配置不能做变更。
1.1.2. 需求实现方式
RG-ONC结合N18K,部署SDN ServiceChain引流方案,下发流表针对相关业务数据引流,并且开启bypass功能,当安全设备异常时,流量将不会引流至安全设备,业务流量可直接由交换机正常转发。
RG-ONC上可以通过SC拓扑实时监测引流交换机与安全设备连接的链路状态与流量大小状态。任何一个安全设备链路出现故障时,通过登陆Web就能够一目了然地看到出现故障的设备。
将原先的安全设备旁挂连接到N18K上由N18K进行引流,针对安全设备原先的流量上下行方向不会发生改变,相关安全策略也不会发生改变。之前安全设备是透明模式,所以引流的模式也选择透明模式(no switchport no ip)。
1.1.3. 信息收集
在项目实施之前,需要收集如下信息,以便作为后续的方案设计。收集的信息如下:
1. 收集当前业务信息,了解客户内网有哪些业务分类,相关业务互访或访问网络资源,是否需要引流到安全设备,或者引导到哪些安全设备,以便进行RG-ONC进行业务流规划,明确配置思路;该案例中,收集的信息如下:
2. 了解安全设备的部署位置、部署模式(路由模式还是透传模式)、最大吞吐、接口类型等相关信息,用于规划引流策略,确认设备接口是否能够满足;
名称 | 网段 | 用途 | 哪种数据需要引流 | 备注 |
用户段 | 10.30.0.1/24 | 用户ip地址 | 访问外网引流 | NA |
10.30.1.1/24 | 用户ip地址 | 访问外网引流 | NA | |
控制器RG-ONC | 172.18.149.45 | SDN控制器IP | 控制器的IP不引流 | NA |
出口 | 120.35.11.140 | 出口IP | NA | NA |
互联网 | any | 互联网地址段 | NA | NA |
防火墙RG-WALL 1600-M5100 | 172.18.149.46 | 防火墙带外管理IP | 防火墙的IP不引流 | 最大吞吐为4Gbps,包转发率为6M |
1.1.4. 方案规划设计
1. 有线、无线终端的网关上收到核心N18K;
2. 新增RG-ONC部署在服务器区域,与N18K路由可达;
3. 安全设备直连双臂旁挂在N18K旁边;
4. 接入和汇聚交换机,划分好相应的VLAN实现透传;
1.1.5. 设备清单
设备类型 | 产品型号 | 产品说明 | 数量 | 其他注意项 |
核心设备 | S18K、S86E、S78C、S57H | 核心交换机,包含: (主机)1×RG-N18007 (引擎)2×M18007-CM II (电源)2×RG-PA1600I (线卡)1xM18000-24GT20SFP4XS-ED | 1-2 | 必配,双机可组VSU 线卡按需单独配置 不同引擎,线卡组合带机数不同,请参考传统极简 |
SDN控制器&通用授权 | RG-ONC-AIO-E | SDN控制器软硬件,包含: RG-ONC-AIO-E:1台 RG-ONC-AIO-CTL:1张 RG-ONC:1个 RG-ONC-DEVICE-100:1个 RG-ONC-DEVICE-200:1个 | 1-3 | 必配,每张CTL节点标配 2 个 2TB 7200 转 3.5 寸企业级硬盘,默认组RAID1,同一节点卡与硬盘必须配套使用 集群环境必须CTL节点3张以上,还需单独购买集群授权 |
方案授权 | RG-ONC-SCHAIN | 锐捷SDN ,SC引流方案授权,与终端数无关 | 1 | 用于SC引流方案 |
安全设备 | RG-WALL 1600-M5100 | 全新NGFW防火墙 | 1 | 透明模式部署 |
汇聚设备 | S57H | 无特殊要求 | 按需 | NA |
接入设备 | S29EV3/XS系列 | 无特殊要求 | 按需 | NA |
1.1.6. 注意事项
核心设备需要升级重启断网,建议部署SC方案前,至少提前一个工作日升级好核心设备,但ONC环境以及ONC上的方案部署配置,如果可以先准备好,并且先设置为传统转发,对现网都不会产生影响;
开启SC引流建议分区域试点进行,即选择风险较小的业务vlan,开启引流,测试各种类型业务访问是否都能正常(HTTP\HTTPS\远程桌面等等),逐步整网开启;
网络中,各种设备(防火墙、ONC等等)的管理地址不能引流,需要使用高优先级的传统转发规避。
1.1.7. 配置详解
1.1.7.1. 交换机配置
协议 | 配置 |
SNMP | N18K(config)#snmp-server if-index persist //固定snmp端口索引值 N18K(config)#snmp-server community (key) rw //配置snmp团体字 |
Netconf | N18K(config)#enable service ssh-server //全局使能ssh server N18K(config)#username key password key //配置ssh用的账号密码 N18K(config)#crypto key generate dsa //加密方式选择DSA或者RSA均可 % You already have DSA keys. % Do you really want to replace them? [yes/no]:y Choose the size of the rsa key modulus in the range of 512 to 2048 and the size of the dsa key modulus in the range of 360 to 2048 for your Signature Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: //直接回车 % Generating 512 bit DSA keys ...[ok] N18K(config)#line vty 0 4 N18K(config-line)#login local //注意:如果ONC是3台以上的集群,由于集群ONC的SSH连接,默认就占用了3个以上的vty线路,因此为了不影响普通网管登入,vty建议配置0 6 |
Openflow | N18K(config)#of controller-ip (onc-ip) port 6653 interface (loopback 0) //指定onc的ip地址及本端的出接口,SDN控制器为三台集群时候,需要配置of 命令3条,指定3个onc ip |
引流口、回流口配置 | N18K(config)#interface gigabitEthernet 1/11 N18K(config-if-GigabitEthernet 1/11)#no switchport N18K(config-if-GigabitEthernet 1/11)#no lldp enable(必配) N18K(config)#interface gigabitEthernet 1/12 N18K(config-if-GigabitEthernet 1/12)#no switchport N18K(config-if-GigabitEthernet 1/12)#no lldp enable(必配) |
1.1.7.2. 安全设备接口及路由配置
防火墙上配置透明模式(仅举例,安全设备其他配置不做详细描述):
然后去防火墙设备端配置:
1.1.7.3. 设备纳管
先配置好公共属性,包括netconf、snmpv2、telnet,netconf用户名密码就是SSH的用户名密码。三个协议的“端口”都不要修改。
点击“承载网络”——“网络资源”——“新增”——“单个新增”,填写SDN交换机的IP地址,与设备类型,该案例中选择“业务网关”,点击确定即可添加SDN交换机。
1.1.7.4. 添加服务节点
控制器上添加安全设备防火墙,双臂透明模式,并且指定“引流端口”和“回流端口”,这两个口就是SDN交换机与安全设备双臂互联的接口,“连接设备”这里要选择当前SDN交换机(如果ONC纳管了多台交换机,这里可能会选错)。
服务节点配置完成后,具体结果如下所示,状态是“已就绪”说明添加成功。
1.1.7.5. 新增服务链
可设置多条服务链,形成主备链路关系,具体配置如下。同样需要注意的是“链路起点”要选择当前引流的SDN交换机。然后点击起点与终点之间的加号,可以添加服务节点进去,从上到下,代表数据依次需要经过的安全设备,下图中,数据先经过FW,再经过WAF,最后转发回SDN交换机进行传统转发。
添加完成之后,效果如下图,如果有多条服务链,可以多次添加。状态为“已就绪”说明添加成功。另外,同一个服务节点可以同时存在在多个服务链中,如下图所示的FW。
1.1.7.6. 新增业务编排
在ONC用户界面下,点击“网络服务“-->”服务链管理“—>”业务编排”-->”新增“,弹出”新增业务编排“界面。根据业务需求进行相关业务编排,业务编排操作都一样。具体操作如下所示:
注意:该模式下,一定要勾选“桥模式”,否则会出现来回路径不一致,导致业务不通的情况。
编排完成之后,状态显示为“已就绪”说明编排成功。
1.1.7.7. 流表查看
服务链都就绪之后,可以到SDN交换机上面使用show of flow 查看流表下发情况,如果相应的count字段的数值有不断增加,说明引流成功;另外,也可以到安全设备上面去查看是否有数据流存在。
