華爲校園敏捷網絡配置綜合案例

1.1 方案簡介

校園網發展到現在，承載的業務越發多種多樣：智能移動終端在校園的普及帶來訪問用戶位置多變和無線訪問量倍速增長；雲計算帶來的業務實時性、服務虛擬化；高清視頻；社交網絡等等，這些都給現有網絡部署帶來了挑戰。為了解決以上挑戰，華為基於SDN思想，把敏捷概念引入園區網絡，實現高性能校園核心以及高效無線接入，讓網絡更敏捷地為業務服務。

敏捷網絡中，“靈活+快速”的敏捷交換機替代了傳統交換機。例如，管理員可以“靈活+快速”地配置、管理和維護設備，業務更改時不再需要逐一對單臺設備進行配置更改，不再為網絡故障而花費長時間定位。接入用戶在敏捷網絡中可以“靈活+快速”訪問網絡，從任意地點使用任意接入方式都可獲得相同的網絡體驗。

下面以某高校校園的敏捷網絡部署為例，一起看下敏捷網絡給高校園區帶來的改變。

1.2 組網需求

某高校本部原有網絡如圖1-1所示，通過核心交換機管理有線用戶，通過獨立AC管理無線用戶。

l 本部園區網絡為本部不同區域的用戶提供接入及訪問Internet的服務，有線採用802.1x認證，無線採用WEB認證。

圖中只列出了教學區和辦公區的網絡規劃，其他區域與之相似，未列出。

l 網絡中有VOIP電話業務，同時提供網絡打印機、多媒體等服務。

l 分校區用戶通過Intranet內部網絡訪問本部園區網絡。

l 外部用戶通過Internet訪問本部園區網絡的服務器。

圖1-1 高校本部園區基本網絡（未部署敏捷網絡）

目前在現有網絡基礎上部署業務時遇到以下問題：

l 學校人數逐年增多，龐大的無線終端用戶對無線業務需求迫切，由於學校將有線網絡和無線網絡分開部署，管理困難。學校希望有線網絡和無線網絡能夠統一部署，簡化管理，提升效率。

l 隨著學校各類網絡業務的發展，接入用戶具有高移動性的特點，網絡信息安全顯得尤其重要。學校希望實現對接入用戶進行角色劃分，各類角色用戶在自由移動、任意接入的大背景下，業務策略和網絡體驗能夠保持一致。

l 當前學校網絡設備眾多，業務調整也較為頻繁，網絡管理員調整業務時需要對每臺設備進行配置更改或者版本升級，工作量巨大且繁瑣。學校迫切希望能夠對網絡接入設備進行集中配置、管理和維護。

l 當網絡出現故障時，網絡管理員無法快速感知，造成網絡故障無法快速解決，給用戶體驗造成很大影響。學校希望能實時監控網絡質量，降低網絡故障的影響。

學校希望通過部署敏捷網絡，從簡化部署配置、提高用戶體驗和提高管理員維護效率這三個角度來解決以上問題。

1.3 業務規劃1.3.1 網絡規劃

部署敏捷網絡後的組網圖如圖1-2所示，本部園區的核心層網絡由兩臺敏捷交換機S12708集群組成，下接的匯聚層和接入層交換機S5700LI（原先的核心交換機S7700現在可以替換到匯聚層）都只啟用二層轉發，同時在校園內因地制宜部署適合數量的AP，由接入層S5700LI連接和管理有線用戶和AP，實現校園有線和無線覆蓋。

圖1-2 高校敏捷園區部署組網圖

組網圖中敏捷園區的各網元角色如圖1-2所示，要求如下：

l 核心交換機

敏捷交換機，如果選擇框式交換機需要安裝X1E單板用於實現有線無線深度融合。可以從以下形態中選擇：S12708/S12712/S9712/S9706/S7712/S7706/S5720HI。

l 匯聚、接入交換機

需要實現敏捷特性SVF（Super Virtual Fabric）時，可以從以下形態中選擇：（V200R007C00&V200R008C00版本）S2750EI/S5700LI/S5700S-LI/S5720EI；（V200R008C00版本）S5720SI/S5720S-SI/S5710-X-LI/E600。

l Agile Controller

集成了RADIUS服務器、Portal服務器和業務隨行控制服務器功能，可以方便業務調整。比如用戶從不同地點接入時，業務隨行控制器可以統一下發權限使用戶網絡訪問權限保持一致。

l eSight網管系統

提供網絡設備管理圖形化界面，能夠實現界面化配置，使管理更加直觀簡易。

1.3.2 特性規劃

敏捷交換機S12708在園區中部署後，可以通過以下敏捷特性，來實現1.2 組網需求中學校部署業務時遇到的問題，使網絡能快速、靈活地為業務服務。

l 有線無線深度融合——對有線和無線用戶進行統一管理，敏捷維護

敏捷交換機作為核心交換機後，由於敏捷交換機業務板內置AC功能，可融合實現AC能力，園區中無線網絡的部署不再需要獨立的集中控制設備AC或在核心交換機上單獨插卡（如ACU2單板），管理員也不需要分別在有線網絡和無線網絡上，對用戶的接入業務進行配置和部署。管理有線無線兩張網絡就像管理一臺設備一樣簡單，同時敏捷交換機的交換能力和可擴展性也完全消除了AC設備或AC插卡集中轉發的流量瓶頸。

l 業務隨行——業務控制如影隨行，接入用戶體驗隨身

如1.2 組網需求中所示，李老師在一天之中分別從辦公區、教學區、圖書館、家屬區等區域接入校園網絡，在原有網絡中獲得的訪問權限可能不一致，如訪問學校的論文數據資源庫只能在教學區、辦公區和圖書館內進行，在公共區域無法訪問。

為了使用戶在不同地點接入時獲取相同的網絡訪問權限，敏捷交換機的業務隨行方案通過業務隨行控制器Agile Controller，為接入用戶集中部署統一的網絡訪問策略，然後將其下發到所有關聯的接入設備，這樣不論用戶的物理位置以及IP地址如何變化，用戶認證通過後均可獲得相同的訪問策略，在任何地方的網絡訪問體驗一致。

如表1-1所示，以訪客、學生和教師三類人群校園的部分用戶群為例，在Agile Controller上部署並下發如下訪問策略。

表1-1 業務隨行策略部署

經過以上配置部署，用戶包括李老師在內只要認證通過，符合接入條件，接入網絡後權限不變。

l SVF——“大魚”（敏捷交換機）喂“小魚”（匯聚層、接入層設備），匯聚層和接入層配置由敏捷交換機統一下發

敏捷園區網絡中的SVF方案體現了網絡設備虛擬化的思想，可以同時將核心、匯聚、接入設備全部虛擬為一臺交換機，由核心交換機對匯聚、接入設備統一進行管理。並且，核心交換機通過模板化配置實現對匯聚、接入設備的批量配置，不再需要逐一配置每一臺設備。

SVF部署時各角色如表1-2所示，敏捷交換機作為Parent，統一管理所有的接入交換機（AS）和無線接入設備AP，SVF實現了有線、無線用戶統一在Parent上進行管理。

表1-2 SVF部署

AS設備上的業務全部通過Parent配置，AS和AP設備上的關鍵狀態通過Parent維護。管理員只需要接入空配置的交換機，即可完成對匯聚、接入交換機的業務配置。匯聚層和接入層實現了零配置、自動升級和即插即用，簡化了管理員的配置、管理和維護工作。

SVF系統最多支持兩級AS+一級AP，配合eSight網管的圖形化界面使用時，簡化管理效果更好。

l iPCA——網絡故障自我質量感知，實時給敏捷網絡把脈

部署了iPCA特性的敏捷交換機可以對網絡丟包率進行實時監測，丟包統計方式如表1-3所示。在鏈路質量出現問題時系統能快速感知故障，並第一時間通過告警等方式告知管理員。iPCA讓網絡感知業務質量，能夠減少網絡故障造成的影響，同時配合eSight網管系統還可以實現圖形化智能顯示網絡丟包，方便管理員監控網絡質量。

表1-3 iPCA部署

在園區中部署敏捷特性時，需要注意設備的版本支持情況，如表1-4所示。

表1-4 適用版本與注意事項

1.3.3 數據規劃

敏捷園區基本組網

我們通過簡化後的基本配置組網來代替之前高校敏捷園區部署的組網圖，來介紹敏捷特性的部署，這裡僅列出教學區1區和圖書館兩個區域的組網，如圖1-3所示。

圖1-3 校園敏捷園區基本組網

根據以上組網，相關數據規劃如表1-5和表1-6所示。

表1-5 設備數據規劃

表1-6 VLAN數據規劃

1.4 配置步驟

以下配置中只介紹與敏捷特性相關的配置，其他基本配置如路由互通等業務在此不作介紹。

SVF配置步驟

配置AS連接Parent。

1. 配置Parent中的兩臺交換機組成集群系統。相關配置請參考產品文檔。

2. 登錄集群系統並使能SVF功能。

system-view

[HUAWEI] vlan batch 11

[HUAWEI] dhcp enable //通過DHCP Server功能使AS從Parent獲取IP地址

[HUAWEI] interface vlanif 11

[HUAWEI-Vlanif11] ip address 192.168.11.1 24

[HUAWEI-Vlanif11] dhcp select interface

[HUAWEI-Vlanif11] dhcp server option 43 ip-address 192.168.11.1 //將Parent的IP地址發送給AS，使AS只會與指定的IP地址建立CAPWAP鏈路

[HUAWEI-Vlanif11] quit

[HUAWEI] capwap source interface vlanif 11 //Parent和AS之間建立CAPWAP鏈路

[HUAWEI] authentication unified-mode //將NAC配置模式切換成統一模式

HUAWEI] stp mode rstp //在使能SVF功能時，工作模式必須為STP或RSTP模式

[HUAWEI] uni-mng //使能SVF功能並進入uni-mng視圖

Warning: This operation will enable the uni-mng mode and disconnect all ASs. STP calculation may be triggered and service traffic will be affected. Continue?[Y/N]: y

在使能SVF功能時，系統當前及下次啟動生效的NAC配置模式必須為統一模式。

用戶可以通過命令display authentication mode查看當前及下次啟動生效的NAC配置模式，如果不是統一模式，則需要配置為統一模式。

傳統模式與統一模式相互切換後，必須重啟設備，新配置模式的各項功能才能生效。缺省情況下，NAC配置模式為統一模式。

3. 配置AS的接入參數。

# 配置各AS的名稱，指定其設備型號和管理MAC。

[HUAWEI-um] as name as1 model S5700-52X-PWR-LI-AC mac-address 0200-0000-0011

[HUAWEI-um-as-as1] quit

[HUAWEI-um] as name as2 model S5700-52X-PWR-LI-AC mac-address 0200-0000-0022

[HUAWEI-um-as-as2] quit

[HUAWEI-um] as name as3 model S5700-28X-PWR-LI-AC mac-address 0200-0000-0033

[HUAWEI-um-as-as3] quit

# 配置Parent連接一級AS（AS_1和AS_2）的Fabric-port。此處以配置Parent連接AS_1的Fabric-port為例，Parent連接AS_2的過程略。

[HUAWEI-um] interface fabric-port 1

[HUAWEI-um-fabric-port-1] port member-group interface eth-trunk 1

[HUAWEI-um-fabric-port-1] quit

[HUAWEI-um] quit

[HUAWEI] interface gigabitethernet 1/1/0/1

[HUAWEI-GigabitEthernet1/1/0/1] eth-trunk 1

[HUAWEI-GigabitEthernet1/1/0/1] quit

[HUAWEI] interface gigabitethernet 2/1/0/1

[HUAWEI-GigabitEthernet2/1/0/1] eth-trunk 1

[HUAWEI-GigabitEthernet2/1/0/1] quit

# 配置一級AS（AS_1）連接二級AS（AS_3）的Fabric-port。

[HUAWEI] uni-mng

[HUAWEI-um] as name as1

[HUAWEI-um-as-as1] down-direction fabric-port 4 member-group interface eth-trunk 4

[HUAWEI-um-as-as1] port eth-trunk 4 trunkmember interface gigabitethernet 0/0/23 to 0/0/24

[HUAWEI-um-as-as1] quit

[HUAWEI-um] quit

# 配置AS上線接入時進行白名單認證。

[HUAWEI] as-auth

[HUAWEI-as-auth] undo auth-mode

[HUAWEI-as-auth] whitelist mac-address 0200-0000-0011

[HUAWEI-as-auth] whitelist mac-address 0200-0000-0022

[HUAWEI-as-auth] whitelist mac-address 0200-0000-0033

[HUAWEI-as-auth] quit

[HUAWEI] quit

4. 清空AS的配置並重啟AS，然後連接AS與Parent之間的線纜，SVF即可建立。

AS連接Parent時要求必須為空配置（無啟動配置文件）且Console口無輸入。

# 清空AS的配置並重啟（此過程持續5分鐘，保證Console口不能有輸入。如果AS為空配置時可不用重啟，直接連接即可。）

reset saved-configuration

Warning: The action will delete the saved configuration in the device.

The configuration will be erased to reconfigure. Continue? [Y/N]:y

# 連接線纜後，執行命令display as all查看各AS是否成功上線接入。

display as all

------------------------------------------------------------------------------

No. Type Mac IP State Name

------------------------------------------------------------------------------

0 S5700-52X-PWR-LI-AC 0200-0000-0011 192.168.11.254 normal as1

1 S5700-52X-PWR-LI-AC 0200-0000-0022 192.168.11.253 normal as2

2 S5700-28X-PWR-LI-AC 0200-0000-0033 192.168.11.252 normal as3

------------------------------------------------------------------------------

Total: 3

配置AP連接AS。此處以AP_1連接AS_3為例。AP_2連接AS_2不做介紹。

1. 創建網絡基礎模板，其中pass-vlan供AP下掛的移動終端使用。

system-view

[HUAWEI] uni-mng

[HUAWEI-um] network-basic-profile name profile_ap

[HUAWEI-um-net-basic-profile_ap] pass-vlan 202

[HUAWEI-um-net-basic-profile_ap] quit

2. 配置AS連接AP的端口加入AP Port Group。

[HUAWEI-um] port-group connect-ap name group_ap

[HUAWEI-um-portgroup-group_ap] network-basic-profile profile_ap

[HUAWEI-um-portgroup-group_ap] as name as3 interface gigabitethernet 0/0/24

[HUAWEI-um-portgroup-group_ap] quit

[HUAWEI-um] commit as all

Warning: Committing the configuration will take a long time. Continue?[Y/N]:

[HUAWEI-um] quit

3. 配置AP接入參數。

# 配置AP的ID。

[HUAWEI] wlan

[HUAWEI-wlan-view] ap id 1 ap-type ap5010dn-agn mac ac85-3da6-a420

[HUAWEI-wlan-ap-1] quit

# 配置對AP上線接入時不需要進行認證。

[HUAWEI-wlan-view] ap-auth-mode no-auth

[HUAWEI-wlan-view] quit

4. 將AP上電並連接AP與AS之間的線纜。

# 連接線纜後，執行命令display ap all查看AP是否成功上線接入。

[HUAWEI] display ap all

All AP(s) information:

Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]

Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]

------------------------------------------------------------------------------

AP AP AP Profile AP AP

/Region

ID Type MAC ID State Sysname

------------------------------------------------------------------------------

1 AP5010DN-AGN ac85-3da6-a420 0/0 normal ap-1

------------------------------------------------------------------------------

Total number: 1,printed: 1

配置PC接入AS。此處以PC_1接入AS_3為例，PC_2接入AS_2不做介紹。

1. 創建網絡基礎模板和用戶接入模板。

[HUAWEI] uni-mng

[HUAWEI-um] network-basic-profile name profile_1

[HUAWEI-um-net-basic-profile_1] user-vlan 100

[HUAWEI-um-net-basic-profile_1] quit

[HUAWEI-um] user-access-profile name pro1

[HUAWEI-um-user-access-pro1] authentication dot1x

[HUAWEI-um-user-access-pro1] quit

2. 創建Group並綁定之前創建的模板。

[HUAWEI-um] port-group name group1

[HUAWEI-um-portgroup-group1] network-basic-profile profile_1

[HUAWEI-um-portgroup-group1] user-access-profile pro1

[HUAWEI-um-portgroup-group1] as name as3 interface GigabitEthernet 0/0/23

[HUAWEI-um] commit as name as3

[HUAWEI-um] quit

3. 配置PC接入配置。

[HUAWEI] aaa

[HUAWEI-aaa] authentication-scheme sch1

[HUAWEI-aaa-authen-shc1] authentication-mode none

[HUAWEI-aaa-authen-shc1] quit

[HUAWEI-aaa] domain pc

[HUAWEI-aaa-domain-pc] authentication-scheme sch1

[HUAWEI-aaa-domain-pc] quit

[HUAWEI-aaa] quit

4. 用戶上線後查看用戶上線情況

若動態配置，最好讓業務端口shutdown再undo shutdown一下，以讓有線用戶重新上一下線。用戶上線後可以通過執行display access-user命令查看用戶是否上線。

[HUAWEI] uni-mng

[HUAWEI-um] as name as3

[HUAWEI-um-as-as3] shutdown interface gigabitethernet 0/0/23

[HUAWEI-um-as-as3] undo shutdown interface gigabitethernet 0/0/23

[HUAWEI-um-as-as3] quit

[HUAWEI-um] quit

業務隨行配置步驟

1. 創建並配置RADIUS服務器模板、AAA認證方案以及認證域。

# 創建並配置RADIUS服務器模板“rd1”。

[HUAWEI] radius-server template rd1

[HUAWEI-radius-rd1] radius-server authentication 192.168.2.31 1812

[HUAWEI-radius-rd1] radius-server shared-key cipher Huawei@123

[HUAWEI-radius-rd1] quit

# 創建AAA認證方案“abc”並配置認證方式為RADIUS。

[HUAWEI] aaa

[HUAWEI-aaa] authentication-scheme abc

[HUAWEI-aaa-authen-abc] authentication-mode radius

[HUAWEI-aaa-authen-abc] quit

# 創建認證域“isp1”，並在其上綁定AAA認證方案“abc”與RADIUS服務器模板“rd1”。

[HUAWEI-aaa] domain isp1

[HUAWEI-aaa-domain-isp1] authentication-scheme abc

[HUAWEI-aaa-domain-isp1] radius-server rd1

[HUAWEI-aaa-domain-isp1] quit

[HUAWEI-aaa] quit

# 配置全局默認域為“isp1”。用戶進行接入認證時，如果用戶名中不攜帶域名或攜帶的域名不存在，用戶將會在默認域中進行認證。

[HUAWEI] domain isp1

2. 配置802.1x認證和WEB認證。

# 創建並配置Portal服務器模板“abc”。

[HUAWEI] web-auth-server abc

[HUAWEI-web-auth-server-abc] server-ip 192.168.2.31

[HUAWEI-web-auth-server-abc] url http://192.168.2.31:50200/webagent

[HUAWEI-web-auth-server-abc] shared-key cipher Huawei@123

[HUAWEI-web-auth-server-abc] quit

# 在接口GE1/1/0/1上使能802.1x和WEB認證。

[HUAWEI] interface gigabitethernet 1/1/0/1

[HUAWEI-GigabitEthernet1/1/0/1] authentication dot1x portal

[HUAWEI-GigabitEthernet1/1/0/1] web-auth-server abc direct //綁定Portal服務器模板

[HUAWEI-GigabitEthernet1/1/0/1] quit

# 使能業務隨行功能，並配置指向Agile Controller控制器的IP地址以及對接密碼。

[HUAWEI] group-policy controller 192.168.2.31 password Huawei@123

3. 在Agile Controller上進行配置。

Agile Controller上的配置涉及截圖，相關配置請參考產品文檔，這裡僅列出主要配置思路。

a. 創建源安全組對應的用戶賬號，如普通訪客、本科生、研究生和在職老師的用戶名和密碼及所屬部門。

b. 設置RADIUS參數、Portal參數和XMPP協議參數，添加核心交換機，完成S交換機與Agile Controller的互通。

c. 配置源安全組和目的安全組，分別代表用戶和資源，如學校公開資源服務器對應的IP地址為10.10.1.1/32。

d. 通過快速授權將源安全組授權給對應賬戶的部門，用戶認證通過後被映射到源安全組。

e. 配置訪問控制權限策略，確定源安全組是否有權限訪問目的安全組，並部署到全網設備。如普通訪客只能訪問學校公開資源，而不能訪問教育管理系統和校內FTP資源。

有線無線深度融合配置步驟

敏捷交換機融合實現有線無線深度融合功能後，原先需要在交換機和獨立AC或ACU2插卡上分別配置，現在只需要在交換機上直接配置即可。

1. 配置S12708為DHCP Server，分別為PC和STA分配IP地址，其中S12708將通過SVF配置下發IP地址給AP，此處不需要配置。此處僅以教學區1為例。

# 配置S12708通過全局地址池為PC_1分配IP地址。

system-view

[HUAWEI] dhcp enable

[HUAWEI] vlan batch 100 202

[HUAWEI] interface vlanif 100

[HUAWEI-Vlanif100] ip address 192.168.100.1 24

[HUAWEI-Vlanif100] dhcp select global

[HUAWEI-Vlanif100] quit

[HUAWEI] ip pool 100

[HUAWEI-ip-pool-100] gateway-list 192.168.100.1

[HUAWEI-ip-pool-100] network 192.168.100.0 mask 24

[HUAWEI-ip-pool-100] quit

# 配置S12708通過全局地址池為STA分配IP地址。地址池202為連接到AP_1的STA分配地址，地址池204為連接到AP_2的STA分配地址。此處以為連接到AP_1的STA分配地址為例。

[HUAWEI] interface vlanif 202

[HUAWEI-Vlanif202] ip address 192.168.202.1 24

[HUAWEI-Vlanif202] dhcp select global

[HUAWEI-Vlanif202] quit

[HUAWEI] ip pool 202

[HUAWEI-ip-pool-202] gateway-list 192.168.202.1

[HUAWEI-ip-pool-202] network 192.168.202.0 mask 24

[HUAWEI-ip-pool-202] quit

2. 配置AC的系統參數

# 配置AC的國家碼。

[HUAWEI] wlan ac-global country-code cn

Warning: Modify the country code may delete configuration on those AP which use

the global country code and reset them, continue?[Y/N]:y

# 配置AC ID和運營商標識。

[HUAWEI] wlan ac-global ac id 1 carrier id other //AC ID缺省為0，這裡修改為1

# 配置AC的源接口。

[HUAWEI] wlan

[HUAWEI-wlan-view] wlan ac source interface vlanif 11

3. 在AC上管理AP

# 現場獲取AP的MAC地址後，查看AP的設備類型ID。

[HUAWEI-wlan-view] display ap-type all

All AP types information:

------------------------------------------------------------------------------

ID Type

------------------------------------------------------------------------------

1 AP5010DN-AGN

------------------------------------------------------------------------------

Total number: 1

# 配置AP認證模式為MAC地址認證（缺省值，不需配置）。根據查詢到的AP設備類型ID，離線添加AP。SVF配置中已配置了AP的接入參數，這裡不再重複。

# 配置AP域並將AP加入到AP域。

[HUAWEI-wlan-view] ap-region id 10

[HUAWEI-wlan-ap-region-10] quit

[HUAWEI-wlan-view] ap id 1

[HUAWEI-wlan-ap-1] region-id 10

[HUAWEI-wlan-ap-1] quit

[HUAWEI-wlan-view] ap id 2

[HUAWEI-wlan-ap-2] region-id 10

[HUAWEI-wlan-ap-2] quit

# 將AP上電後，可以查看到AP的“AP State”字段為“normal”。

[HUAWEI-wlan-view] display ap all

All AP information:

Normal[1],Fault[0],Commit-failed[0],Committing[0],Config[0],Download[0]

Config-failed[0],Standby[0],Type-not-match[0],Ver-mismatch[0]

------------------------------------------------------------------------------

AP AP AP Profile AP AP

/Region

ID Type MAC ID State Sysname

------------------------------------------------------------------------------

0 AP6010DN-AGN 60de-4476-e360 0/10 normal ap-0

------------------------------------------------------------------------------

Total number: 1,printed: 1

4. 配置WLAN業務參數

# 創建名為“wmm”的WMM模板。

[HUAWEI-wlan-view] wmm-profile name wmm id 1

[HUAWEI-wlan-wmm-prof-wmm] quit

# 創建名為“radio”的射頻模板，綁定WMM模板“wmm”。

[HUAWEI-wlan-view] radio-profile name radio id 1

[HUAWEI-wlan-radio-prof-radio] wmm-profile name wmm

[HUAWEI-wlan-radio-prof-radio] quit

[HUAWEI-wlan-view] quit

# 創建WLAN-ESS接口。

[HUAWEI] interface wlan-ess 1

[HUAWEI-Wlan-Ess1] port trunk allow-pass vlan 202

[HUAWEI-Wlan-Ess1] quit

# 創建名為“security”的安全模板。

[HUAWEI] wlan

[HUAWEI-wlan-view] security-profile name security id 1

[HUAWEI-wlan-sec-prof-security] security-policy wpa2 //配置安全策略為WPA2

[HUAWEI-wlan-sec-prof-security] wpa2 authentication-method psk pass-phrase cipher huawei123 encryption-method ccmp //配置加密方式為PSK+CCMP

[HUAWEI-wlan-sec-prof-security] quit

# 創建名為“traffic”的流量模板，配置單個STA上行報文的限制速率為2000kbit/s，下行報文的限制速率為2400kbit/s。

[HUAWEI-wlan-view] traffic-profile name traffic id 1

[HUAWEI-wlan-traffic-prof-traffic] rate-limit client up 2000

[HUAWEI-wlan-traffic-prof-traffic] rate-limit client down 2400

[HUAWEI-wlan-traffic-prof-traffic] quit

# 創建名為“area1”服務集並綁定WLAN-ESS接口、安全模板和流量模板，轉發模式為直接轉發（缺省值，不需配置）。

[HUAWEI-wlan-view] service-set name area1 id 1

[HUAWEI-wlan-service-set-area1] ssid area1

[HUAWEI-wlan-service-set-area1] wlan-ess 1

[HUAWEI-wlan-service-set-area1] security-profile name security

[HUAWEI-wlan-service-set-area1] traffic-profile name traffic

[HUAWEI-wlan-service-set-area1] service-vlan 202

[HUAWEI-wlan-service-set-area1] quit

5. 配置VAP（Virtual AP）並下發

# 配置VAP。

[HUAWEI-wlan-view] ap 1 radio 0

[HUAWEI-wlan-radio-1/0]

[HUAWEI-wlan-radio-1/0] service-set name area1

[HUAWEI-wlan-radio-1/0] quit

# 提交配置。

[HUAWEI-wlan-view] commit all

Warning: Committing configuration may cause service interruption, continue?[Y/N]:y

iPCA配置步驟

iPCA可以檢測敏捷交換機設備之間和設備整體的丟包情況。如果檢測校園本部與分部之間的網絡丟包情況，需要同時在分部部署敏捷交換機。

配置設備整體丟包統計功能。

1. 在設備上分別使能設備整體丟包統計，為了使用戶能夠及時感知丟包情況，同時配置設備整體丟包超限告警功能。

[HUAWEI] iplpm global loss-measure alarm enable //使能設備整體丟包統計的丟包超限告警及其告警恢復功能

[HUAWEI] iplpm global loss-measure enable

2. 執行display iplpm loss-measure statistics global命令查看丟包統計結果。通過查看Loss Packets和LossRatio的值，即可判斷設備存在丟包。

[HUAWEI] display iplpm loss-measure statistics global

Latest global loss statistics:

--------------------------------------------------------------------------------

StartTime(DST) Loss Packets LossRatio ErrorInfo

--------------------------------------------------------------------------------

2015-06-12 18:47:30 344127 4.513519% OK

2015-06-12 18:47:20 381085 4.513196% OK

2015-06-12 18:47:10 381192 4.513290% OK

2015-06-12 18:47:00 381339 4.513341% OK

2015-06-12 18:46:50 381465 4.513392% OK

2015-06-12 18:46:40 381444 4.513487% OK

2015-06-12 18:46:30 381129 4.513309% OK

--------------------------------------------------------------------------------

配置端到端網絡的丟包統計功能。

1. 配置校園本部核心交換機。

[HUAWEI] nqa ipfpm dcp //使能全局的DCP功能

[HUAWEI-nqa-ipfpm-dcp]

[HUAWEI-nqa-ipfpm-dcp] instance 1

[HUAWEI-nqa-ipfpm-dcp-instance-1] mcp 2.2.2.2

[HUAWEI-nqa-ipfpm-dcp-instance-1] flow bidirectional source 10.1.1.0 24 destination 10.2.1.0 24 //配置目標流為雙向對稱目標流

[HUAWEI-nqa-ipfpm-dcp-instance-1] tlp 1 in-point ingress //對進入的目標流進行染色操作

[HUAWEI-nqa-ipfpm-dcp-instance-1] quit

[HUAWEI-nqa-ipfpm-dcp] quit

[HUAWEI] interface gigabitethernet 3/1/0/1 //此接口為連接分校區核心交換機側的接口

[HUAWEI-GigabitEthernet3/1/0/1] ipfpm tlp 1 //在接口上綁定TLP

[HUAWEI-GigabitEthernet3/1/0/1] quit

[HUAWEI] interface gigabitethernet 3/1/0/2 //此接口為連接分校區核心交換機側的接口

[HUAWEI-GigabitEthernet3/1/0/2] ipfpm tlp 1 //在接口上綁定TLP

[HUAWEI-GigabitEthernet3/1/0/2] quit

[HUAWEI] nqa ipfpm dcp

[HUAWEI-nqa-ipfpm-dcp] instance 1

[HUAWEI-nqa-ipfpm-dcp-instance-1] loss-measure enable continual //使能DCP上統計實例的連續丟包統計功能

[HUAWEI-nqa-ipfpm-dcp-instance-1] quit

[HUAWEI-nqa-ipfpm-dcp] quit

2. 配置校園分校區核心交換機。

system-view

[HUAWEI] sysname Switch

[Switch] nqa ipfpm dcp

[Switch-nqa-ipfpm-dcp] dcp id 2.2.2.2

[Switch-nqa-ipfpm-dcp] instance 1

[Switch-nqa-ipfpm-dcp-instance-1] mcp 2.2.2.2

[Switch-nqa-ipfpm-dcp-instance-1] flow bidirectional source 10.1.1.0 24 destination 10.2.1.0 24

[Switch-nqa-ipfpm-dcp-instance-1] tlp 2 out-point egress

[Switch-nqa-ipfpm-dcp-instance-1] quit

[Switch-nqa-ipfpm-dcp] quit

[Switch] interface gigabitethernet 1/0/1

[Switch-GigabitEthernet1/0/1] ipfpm tlp 2

[Switch-GigabitEthernet1/0/1] quit

[Switch] nqa ipfpm dcp

[Switch-nqa-ipfpm-dcp] instance 1

[Switch-nqa-ipfpm-dcp-instance-1] loss-measure enable continual

[Switch-nqa-ipfpm-dcp-instance-1]

[Switch-nqa-ipfpm-dcp] quit

[Switch] nqa ipfpm mcp //使能全局的MCP功能

[Switch-nqa-ipfpm-mcp] mcp id 2.2.2.2 //創建MCP

[Switch-nqa-ipfpm-mcp] instance 1

[Switch-nqa-ipfpm-mcp-instance-1] dcp 1.1.1.1

[Switch-nqa-ipfpm-mcp-instance-1] dcp 2.2.2.2

[Switch-nqa-ipfpm-mcp-instance-1] loss-measure ratio-threshold upper-limit 7 lower-limit 5 //配置MCP統計實例的丟包超限告警閾值為7%，恢復告警的丟包率閾值為5%

[Switch-nqa-ipfpm-mcp-instance-1] quit

[Switch-nqa-ipfpm-mcp] quit

[Switch] quit

3. 檢查配置結果。

# 在分校區核心交換機Switch上執行

display ipfpm statistic-type loss instance 1

Latest loss statistics of forward flow:

Unit: p - packet, b - byte

------------------------------------------------------------------------------------------

Period Loss(p) LossRatio(p) Loss(b) LossRatio(b)

------------------------------------------------------------------------------------------

127636768 381549 4.514649% 40444194 4.514649%

127636767 381528 4.514620% 40441968 4.514620%

127636766 381318 4.514996% 40419708 4.514996%

127636765 381192 4.514686% 40406352 4.514686%

127636764 381381 4.514679% 40426386 4.514679%

127636763 381402 4.514748% 40428612 4.514748%

127636762 381081 4.514797% 40394586 4.514797%

127636761 381324 4.514702% 40420344 4.514702%

127636760 381549 4.514870% 40444194 4.514870%

127636759 381066 4.514638% 40392996 4.514638%

127636758 381570 4.514836% 40446420 4.514836%

127636757 382452 4.514757% 40539912 4.514757%

Latest loss statistics of backward flow:

Unit: p - packet, b - byte

------------------------------------------------------------------------------------------

Period Loss(p) LossRatio(p) Loss(b) LossRatio(b)

------------------------------------------------------------------------------------------

127636768 381087 4.513306% 40395222 4.513306%

127636767 381129 4.513384% 40399674 4.513384%

127636766 381465 4.513444% 40435290 4.513444%

127636765 381087 4.513222% 40395222 4.513222%

127636764 381045 4.513272% 40390770 4.513272%

127636763 381381 4.513364% 40426386 4.513364%

127636762 381276 4.513435% 40415256 4.513435%

127636761 380961 4.513280% 40381866 4.513280%

127636760 381339 4.513574% 40421934 4.513574%

127636759 381045 4.513270% 40390770 4.513270%

127636758 381088 4.513226% 40395328 4.513226%

127636757 382409 4.513464% 40535354 4.513464%

1.5 總結與建議

本案例以S系列交換機敏捷網絡在教育行業的實際應用為例，重點介紹了敏捷交換機的敏捷特性的應用和關鍵配置。

l 有線無線深度融合

敏捷交換機內置隨板AC，將有線無線融合成一張網絡，簡化了管理員對有線網絡和無線網絡的配置和維護工作。同時敏捷交換機上的交換能力和可擴展性也完全消除了AC設備或AC插卡集中轉發的流量瓶頸。

l 業務隨行

業務隨行實現了身份信息的全網統一，不管用戶從哪裡接入，用什麼IP地址，都可以在網絡中享受一致的權限和體驗。

l 虛擬化技術SVF

SVF將核心、匯聚、接入三層交換機虛擬化為一臺“超級交換機”，匯聚層和接入層交換機配置由核心交換機統一下發，由核心交換機來對匯聚、接入交換機進行統一管理。

l 質量感知iPCA

iPCA統計一條或多條流量經過的路徑上每一臺設備上的報文收***況，一旦出現丟包的情況，網管立即可以感知並定位。實現了網絡業務的隨流檢測和實時檢測。

S交換機的敏捷特性還在繼續發展完善，後續我們可以看到S交換機在敏捷網絡中更廣泛的應用。

閱讀更多 王海軍老師 的文章

關鍵字: 敏捷 BASIC語言 FLOW