1.1.1.        客户需求

1.     安全设备有原来的串接方式更改为旁挂模式,当任意出口设备出现故障,不影响正常业务;

2.     当设备异常时能快速定位出异常设备,快速定位和排查;

3.     安全设备原本的连线方式、保护策略等相关配置不能做变更。

 

                                             

 

1.1.2.        需求实现方式

RG-ONC结合SDN交换机,部署SDN ServiceChain引流方案,下发流表针对相关业务数据引流,并且开启bypass功能,当安全设备异常时,流量将不会引流至安全设备,业务流量可直接由SDN交换机正常转发。

SDN交换机部署在出口与N18K网关之间,SDN交换机上联口和下联口都是二层口。针对安全设备原先的流量上下行方向不会发生改变,相关安全策略也不会发生改变。之前安全设备是透明模式,所以引流的模式也选择透明模式(使用servicechain透明模式)。

RG-ONC上可以通过SC拓扑实时监测引流交换机与安全设备连接的链路状态与流量大小状态。任何一个安全设备链路出现故障时,通过登陆Web就能够一目了然地看到出现故障的设备。

1.1.3.        信息收集

在项目实施之前,需要收集如下信息,以便作为后续的方案设计。收集的信息如下:

1.     收集当前业务信息,了解客户内网有哪些业务分类,相关业务互访或访问网络资源,是否需要引流到安全设备,或者引导到哪些安全设备,以便进行RG-ONC进行业务流规划,明确配置思路;该案例中,收集的信息如下:

2.     了解安全设备的部署位置、部署模式(路由模式还是透传模式)、最大吞吐、接口类型等相关信息,用于规划引流策略,确认设备接口是否能够满足;

 

名称

网段

用途

哪种数据需要引流

备注

用户段

10.30.0.1/24

用户ip地址

访问外网引流

NA

10.30.1.1/24

用户ip地址

访问外网引流

NA

控制器RG-ONC

172.18.149.45

SDN控制器IP

控制器的IP不引流

NA

出口

120.35.11.140

出口IP

NA

NA

互联网

 any

互联网地址段

NA

NA

防火墙RG-WALL 1600-M5100

172.18.149.46

防火墙带外管理IP

防火墙的IP不引流

最大吞吐为4Gbps,包转发率为6M

 

 

1.1.4.        方案规划设计

1.     有线、无线终端的网关上收到核心N18K;

2.     新增RG-ONC部署在服务器区域,与SDN交换机路由可达;

3.     安全设备直连双臂旁挂在SDN交换机旁边;

4.     接入和汇聚交换机,划分好相应的VLAN实现透传;

1.1.5.        设备清单

 

设备类型

产品型号

产品说明

数量

其他注意项

核心设备

S18K、S86E、S78C、S57H

核心交换机,包含:

(主机)1×RG-N18007

(引擎)2×M18007-CM II

(电源)2×RG-PA1600I

(线卡)1xM18000-24GT20SFP4XS-ED

1-2

必配,双机可组VSU

线卡按需单独配置

不同引擎,线卡组合带机数不同,请参考传统极简

SDN控制器&通用授权

RG-ONC-AIO-E

SDN控制器软硬件,包含:

RG-ONC-AIO-E:1台

RG-ONC-AIO-CTL:1张

RG-ONC:1个

RG-ONC-DEVICE-100:1个

RG-ONC-DEVICE-200:1个

1-3

必配,每张CTL节点标配 2 个 2TB 7200 转   3.5 寸企业级硬盘,默认组RAID1,同一节点卡与硬盘必须配套使用

集群环境必须CTL节点3张以上,还需单独购买集群授权

方案授权

RG-ONC-SCHAIN

锐捷SDN ,SC引流方案授权,与终端数无关

1

用于SC引流方案

安全设备

RG-WALL 1600-S3100

全新NGFW防火墙

1

透明模式部署

汇聚设备

S57H

无特殊要求

按需

NA

接入设备

S29EV3/XS系列

无特殊要求

按需

NA

 

 

1.1.6.        注意事项

核心设备需要升级重启断网,建议部署SC方案前,至少提前一个工作日升级好核心设备,但ONC环境以及ONC上的方案部署配置,如果可以先准备好,并且先设置为传统转发,对现网都不会产生影响;

开启SC引流建议分区域试点进行,即选择风险较小的业务vlan,开启引流,测试各种类型业务访问是否都能正常(HTTP\HTTPS\远程桌面等等),逐步整网开启;

网络中,各种设备(防火墙、ONC等等)的管理地址不能引流,需要使用高优先级的传统转发规避。

 

1.1.7.        配置详解

1.1.7.1.  交换机配置

协议

配置

SNMP

N18K(config)#snmp-server   if-index persist    //固定snmp端口索引值

N18K(config)#snmp-server   community (key) rw   //配置snmp团体字

Netconf

N18K(config)#enable service   ssh-server      //全局使能ssh server

N18K(config)#username key   password key     //配置ssh用的账号密码

N18K(config)#crypto key   generate dsa       //加密方式选择DSA或者RSA均可

% You already have DSA keys.

% Do you really want to   replace them? [yes/no]:y

Choose the size of the rsa   key modulus in the range of 512 to 2048

and the size of the dsa key   modulus in the range of 360 to 2048 for your

Signature Keys. Choosing a   key modulus greater than 512 may take

a few minutes.

How many bits in the modulus   [512]:   //直接回车

% Generating 512 bit DSA   keys ...[ok]

N18K(config)#line vty 0 4

N18K(config-line)#login   local    //注意:如果ONC是3台以上的集群,由于集群ONC的SSH连接,默认就占用了3个以上的vty线路,因此为了不影响普通网管登入,vty建议配置0 6

Openflow

N18K(config)#of   controller-ip (onc-ip)  port 6653   interface (loopback 0)    //指定onc的ip地址及本端的出接口,SDN控制器为三台集群时候,需要配置of 命令3条,指定3个onc ip

引流口、回流口配置

N18K(config)#interface gigabitEthernet   1/11

N18K(config-if-GigabitEthernet   1/11)# switchport mode servicechain

N18K(config-if-GigabitEthernet   1/11)#no lldp enable(必配)

N18K(config)#interface   gigabitEthernet 1/12

N18K(config-if-GigabitEthernet   1/12)# switchport mode servicechain

N18K(config-if-GigabitEthernet   1/12)#no lldp enable(必配)

 

1.1.7.2.  安全设备接口及路由配置

防火墙上配置透明模式(仅举例,安全设备其他配置不做详细描述):

 

然后去防火墙设备端配置,有用到哪些vlan就配置哪些vlan:

 

1.1.7.3.  设备纳管

点击“承载网络”——“网络资源”——“新增”,填写SDN交换机的IP地址,与设备类型,该案例中选择“业务汇聚”,点击确定即可添加SDN交换机。

 

 

1.1.7.4.  添加服务节点

与“案例一”类似,不再赘述。

1.1.7.5.  新增服务链

与“案例一”类似,不再赘述。

1.1.7.6.  新增业务编排

与“案例一”类似,不再赘述。

1.1.7.7.  流表查看

与“案例一”类似,不再赘述。