锐捷网络极简X SDN——ServiceChain方案 部署指导:方案部署案例二-程序员宅基地

技术标签: 网络  锐捷网络  前端  服务器  

目录

案例二:引流交换机在网关与出口之间(servicechain透明模式)

1.1.1.        客户需求

1.1.2.        需求实现方式

1.1.3.        信息收集

1.1.4.        方案规划设计

1.1.5.        设备清单

1.1.6.        注意事项

1.1.7.        配置详解

1.1.7.1.  交换机配置

1.1.7.2.  安全设备接口及路由配置

1.1.7.3.  设备纳管

1.1.7.4.  添加服务节点

1.1.7.5.  新增服务链

1.1.7.6.  新增业务编排

1.1.7.7.  流表查看

方案维护

一、INC-PRO信息查看方式介绍

二、SDN交换机命令查看介绍


 

案例二:引流交换机在网关与出口之间(servicechain透明模式)

1.1.1.        客户需求

1.     安全设备有原来的串接方式更改为旁挂模式,当任意出口设备出现故障,不影响正常业务;

2.     当设备异常时能快速定位出异常设备,快速定位和排查;

3.     安全设备原本的连线方式、保护策略等相关配置不能做变更。

 

1.1.2.        需求实现方式

RG-INC-PRO结合SDN交换机,部署SDN ServiceChain引流方案,下发流表针对相关业务数据引流,并且开启bypass功能,当安全设备异常时,流量将不会引流至安全设备,业务流量可直接由SDN交换机正常转发。

SDN交换机部署在出口与N18K网关之间,SDN交换机上联口和下联口都是二层口。针对安全设备原先的流量上下行方向不会发生改变,相关安全策略也不会发生改变。之前安全设备是透明模式,所以引流的模式也选择透明模式(使用servicechain透明模式)。

RG-INC-PRO上可以通过SC拓扑实时监测引流交换机与安全设备连接的链路状态与流量大小状态。任何一个安全设备链路出现故障时,通过登陆Web就能够一目了然地看到出现故障的设备。

1.1.3.        信息收集

在项目实施之前,需要收集如下信息,以便作为后续的方案设计。收集的信息如下:

1.     收集当前业务信息,了解客户内网有哪些业务分类,相关业务互访或访问网络资源,是否需要引流到安全设备,或者引导到哪些安全设备,以便进行RG-INC-PRO进行业务流规划,明确配置思路;该案例中,收集的信息如下:

2.     了解安全设备的部署位置、部署模式(路由模式还是透传模式)、最大吞吐、接口类型等相关信息,用于规划引流策略,确认设备接口是否能够满足;

 

名称

网段

用途

哪种数据需要引流

备注

用户段

10.30.0.1/24

用户ip地址

访问外网引流

NA

10.30.1.1/24

用户ip地址

访问外网引流

NA

控制器RG-INC-PRO

172.18.149.45

SDN控制器IP

控制器的IP不引流

NA

出口

120.35.11.140

出口IP

NA

NA

互联网

 any

互联网地址段

NA

NA

防火墙RG-WALL 1600-M5100

172.18.149.46

防火墙带外管理IP

防火墙的IP不引流

最大吞吐为4Gbps,包转发率为6M

 

 

1.1.4.        方案规划设计

1.     有线、无线终端的网关上收到核心N18K;

2.     新增RG-INC-PRO部署在服务器区域,与SDN交换机路由可达;

3.     安全设备直连双臂旁挂在SDN交换机旁边;

4.     接入和汇聚交换机,划分好相应的VLAN实现透传;

1.1.5.        设备清单

 

设备类型

产品型号

产品说明

数量

其他注意项

核心设备

S18K、S86E、S78C、S57H

核心交换机,包含:

(主机)1×RG-N18007

(引擎)2×M18007-CM II

(电源)2×RG-PA1600I

(线卡)1xM18000-24GT20SFP4XS-ED

1-2

必配,双机可组VSU

线卡按需单独配置

不同引擎,线卡组合带机数不同,请参考传统极简

SDN控制器&通用授权

RG-ONC-AIO-E

SDN控制器软硬件,包含:

RG-ONC-AIO-E:1台

RG-ONC-AIO-CTL:1张

RG-INC-PRO:1个

RG-INC-PRO-SW-NMC:1个

RG-INC-PRO-SW-DEVICE-100:1个

RG-INC-PRO-SW-DEVICE-200:1个

1-3

必配,每张CTL节点标配 2 个 2TB 7200 转   3.5 寸企业级硬盘,默认组RAID1,同一节点卡与硬盘必须配套使用

集群环境必须CTL节点3张以上,还需单独购买集群授权

方案授权

RG-INC-PRO-SW-SCHAIN

锐捷SDN ,SC引流方案授权,与终端数无关

1

用于SC引流方案

安全设备

RG-WALL 1600-S3100

全新NGFW防火墙

1

透明模式部署

汇聚设备

S57H

无特殊要求

按需

NA

接入设备

S29EV3/XS系列

无特殊要求

按需

NA

 

 

1.1.6.        注意事项

核心设备需要升级重启断网,建议部署SC方案前,至少提前一个工作日升级好核心设备,但INC-PRO环境以及INC-PRO上的方案部署配置,如果可以先准备好,并且先设置为传统转发,对现网都不会产生影响;

开启SC引流建议分区域试点进行,即选择风险较小的业务vlan,开启引流,测试各种类型业务访问是否都能正常(HTTP\HTTPS\远程桌面等等),逐步整网开启;

网络中,各种设备(防火墙、INC-PRO等等)的管理地址不能引流,需要使用高优先级的传统转发规避。

 

1.1.7.        配置详解

1.1.7.1.  交换机配置

协议

配置

SNMP

N18K(config)#snmp-server   if-index persist    //固定snmp端口索引值

N18K(config)#snmp-server   community (key) rw   //配置snmp团体字

Netconf

N18K(config)#enable service   ssh-server      //全局使能ssh server

N18K(config)#username key   password key     //配置ssh用的账号密码

N18K(config)#crypto key   generate dsa       //加密方式选择DSA或者RSA均可

% You already have DSA keys.

% Do you really want to   replace them? [yes/no]:y

Choose the size of the rsa   key modulus in the range of 512 to 2048

and the size of the dsa key   modulus in the range of 360 to 2048 for your

Signature Keys. Choosing a   key modulus greater than 512 may take

a few minutes.

How many bits in the modulus   [512]:   //直接回车

% Generating 512 bit DSA   keys ...[ok]

N18K(config)#line vty 0 4

N18K(config-line)#login   local    //注意:如果INC-PRO是3台以上的集群,由于集群INC-PRO的SSH连接,默认就占用了3个以上的vty线路,因此为了不影响普通网管登入,vty建议配置0 6

Openflow

N18K(config)#of   controller-ip (INC-PRO-ip)  port 6653   interface (loopback 0)    //指定INC-PRO的ip地址及本端的出接口,SDN控制器为三台集群时候,需要配置of 命令3条,指定3个INC-PRO ip

引流口、回流口配置

N18K(config)#interface gigabitEthernet   1/11

N18K(config-if-GigabitEthernet   1/11)# switchport mode servicechain

N18K(config-if-GigabitEthernet   1/11)#no lldp enable(必配)

N18K(config)#interface   gigabitEthernet 1/12

N18K(config-if-GigabitEthernet   1/12)# switchport mode servicechain

N18K(config-if-GigabitEthernet   1/12)#no lldp enable(必配)

 

1.1.7.2.  安全设备接口及路由配置

防火墙上配置透明模式(仅举例,不同安全产品的配置方法不一样,其他配置请查询对应安全产品的实施一本通):

1.1.7.3.  设备纳管

与“案例一”类似,不再赘述。

1.1.7.4.  添加服务节点

与“案例一”类似,不再赘述。

1.1.7.5.  新增服务链

与“案例一”类似,不再赘述。

1.1.7.6.  新增业务编排

与“案例一”类似,不再赘述。

1.1.7.7.  流表查看

与“案例一”类似,不再赘述。

方案维护

一、INC-PRO信息查看方式介绍

查看服务节点,服务节点配置完成后,具体结果如下所示,状态是“已就绪”说明添加成功。

查看服务链:添加完成之后,效果如下图,如果有多条服务链,可以多次添加。状态为“已就绪”说明添加成功。另外,同一个服务节点可以同时存在在多个服务链中,如下图所示的FW。

业务编排查看:编排完成之后,状态显示为“已就绪”说明编排成功。

二、SDN交换机命令查看介绍

Show of查看openflow链接状态,显示为connected,则代表控制器与SDN交换机openflow协议链接正常。

Show of flowtable查看当前交换机所有流表,流表各个字段的含义,请参考“技术原理“章节。
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/135058434

智能推荐

海康威视网络摄像头开发流程(五)------- 直播页面测试_ezuikit 测试的url-程序员宅基地

文章浏览阅读3.8k次。1、将下载好的萤石js插件,添加到SoringBoot项目中。位置可参考下图所示。(容易出错的地方,在将js插件在html页面引入时,发生路径错误的问题)所以如果对页面中引入js的路径不清楚,可参考下图所示存放路径。2、将ezuikit.js引入到demo-live.html中。(可直接将如下代码复制到你创建的html页面中)<!DOCTYPE html><html lan..._ezuikit 测试的url

如何确定组态王与多动能RTU的通信方式_组态王ua-程序员宅基地

文章浏览阅读322次。第二步,在弹出的对话框选择,设备驱动—>PLC—>莫迪康—>ModbusRTU—>COM,根据配置软件选择的协议选期期,这里以此为例,然后点击“下一步”。第四步,把使用虚拟串口打勾(GPRS设备),根据需要选择要生成虚拟口,这里以选择KVCOM1为例,然后点击“下一步”设备ID即Modbus地址(1-255) 使用DTU时,为下485接口上的设备地址。第六步,Modbus的从机地址,与配置软件相同,这里以1为例,点击“下一步“第五步,Modbus的从机地址,与配置软件相同,这里以1为例,点击“下一步“_组态王ua

npm超详细安装(包括配置环境变量)!!!npm安装教程(node.js安装教程)_npm安装配置-程序员宅基地

文章浏览阅读9.4k次,点赞22次,收藏19次。安装npm相当于安装node.js,Node.js已自带npm,安装Node.js时会一起安装,npm的作用就是对Node.js依赖的包进行管理,也可以理解为用来安装/卸载Node.js需要装的东西_npm安装配置

火车头采集器AI伪原创【php源码】-程序员宅基地

文章浏览阅读748次,点赞21次,收藏26次。大家好,小编来为大家解答以下问题,python基础训练100题,python入门100例题,现在让我们一起来看看吧!宝子们还在新手村练级的时候,不单要吸入基础知识,夯实自己的理论基础,还要去实际操作练练手啊!由于文章篇幅限制,不可能将100道题全部呈现在此除了这些,下面还有我整理好的基础入门学习资料,视频和讲解文案都很齐全,用来入门绝对靠谱,需要的自提。保证100%免费这不,贴心的我爆肝给大家整理了这份今天给大家分享100道Python练习题。大家一定要给我三连啊~

Linux Ubuntu 安装 Sublime Text (无法使用 wget 命令,使用安装包下载)_ubuntu 安装sumlime text打不开-程序员宅基地

文章浏览阅读1k次。 为了在 Linux ( Ubuntu) 上安装sublime,一般大家都会选择常见的教程或是 sublime 官网教程,然而在国内这种方法可能失效。为此,需要用安装包安装。以下就是使用官网安装包安装的教程。打开 sublime 官网后,点击右上角 download, 或是直接访问点击打开链接,即可看到各个平台上的安装包。选择 Linux 64 位版并下载。下载后,打开终端,进入安装..._ubuntu 安装sumlime text打不开

CrossOver for Mac 2024无需安装 Windows 即可以在 Mac 上运行游戏 Mac运行exe程序和游戏 CrossOver虚拟机 crossover运行免安装游戏包-程序员宅基地

文章浏览阅读563次,点赞13次,收藏6次。CrossOver24是一款类虚拟机软件,专为macOS和Linux用户设计。它的核心技术是Wine,这是一种在Linux和macOS等非Windows操作系统上运行Windows应用程序的开源软件。通过CrossOver24,用户可以在不购买Windows授权或使用传统虚拟机的情况下,直接在Mac或Linux系统上运行Windows软件和游戏。该软件还提供了丰富的功能,如自动配置、无缝集成和实时传输等,以实现高效的跨平台操作体验。

随便推点

一个用聊天的方式让ChatGPT写的线程安全的环形List_为什么gpt一写list就卡-程序员宅基地

文章浏览阅读1.7k次。一个用聊天的方式让ChatGPT帮我写的线程安全的环形List_为什么gpt一写list就卡

Tomcat自带的设置编码Filter-程序员宅基地

文章浏览阅读336次。我们在前面的文章里曾写过Web应用中乱码产生的原因和处理方式,旧文回顾:深度揭秘乱码问题背后的原因及解决方式其中我们提到可以通过Filter的方式来设置请求和响应的encoding,来解..._filterconfig selectencoding

javascript中encodeURI和decodeURI方法使用介绍_js encodeur decodeurl-程序员宅基地

文章浏览阅读651次。转自:http://www.jb51.net/article/36480.htmencodeURI和decodeURI是成对来使用的,因为浏览器的地址栏有中文字符的话,可以会出现不可预期的错误,所以可以encodeURI把非英文字符转化为英文编码,decodeURI可以用来把字符还原回来_js encodeur decodeurl

Android开发——打包apk遇到The destination folder does not exist or is not writeable-程序员宅基地

文章浏览阅读1.9w次,点赞6次,收藏3次。前言在日常的Android开发当中,我们肯定要打包apk。但是今天我打包的时候遇到一个很奇怪的问题Android The destination folder does not exist or is not writeable,大意是目标文件夹不存在或不可写。出现问题的原因以及解决办法上面有说报错的中文大意是:目标文件夹不存在或不可写。其实问题就在我们的打包界面当中图中标红的Desti..._the destination folder does not exist or is not writeable

Eclipse配置高大上环境-程序员宅基地

文章浏览阅读94次。一、配置代码编辑区的样式 <1>打开Eclipse,Help —> Install NewSoftware,界面如下: <2>点击add...,按下图所示操作: name:随意填写,Location:http://eclipse-color-th..._ecplise高大上设置

Linux安装MySQL-5.6.24-1.linux_glibc2.5.x86_64.rpm-bundle.tar_linux mysql 安装 mysql-5.6.24-1.linux_glibc2.5.x86_6-程序员宅基地

文章浏览阅读2.8k次。一,下载mysql:http://dev.mysql.com/downloads/mysql/; 打开页面之后,在Select Platform:下选择linux Generic,如果没有出现Linux的选项,请换一个浏览器试试。我用的谷歌版本不可以,换一个别的浏览器就行了,如果还是不行,需要换一个翻墙的浏览器。 二,下载完后解压缩并放到安装文件夹下: 1、MySQL-client-5.6.2_linux mysql 安装 mysql-5.6.24-1.linux_glibc2.5.x86_64.rpm-bundle

推荐文章

热门文章

相关标签