huawei01-23业务随行和业务编排典型配置.docx

23 业务随行和业务编排典型配置 23.1 通过业务编排完成对指定数据流的引导（框式交换机） 23.2 配置在用户物理位置变化时部署业务随行示例（V200R006C00、V200R007C00、V200R008C00） 23.3 配置在用户物理位置变化时部署业务随行示例（V200R009及之后版本） 23  业务随行和业务编排典型配置 23.1 通过业务编排完成对指定数据流的引导（框式交换机） 23.2 配置在用户物理位置变化时部署业务随行示例（V200R006C00、V200R007C00、V200R008C00） 23.3 配置在用户物理位置变化时部署业务随行示例（V200R009及之后版本） 23.1  通过业务编排完成对指定数据流的引导（框式交换机） 业务编排简介 在典型的园区网中，客户通常在重要业务部门、半信任区DMZ（Demilitarized Zone）、园区出口和数据中心等边界处部署防火墙、反病毒专家系统和应用安全网关等网络增值业务设备。这种为每个有需求的网络区域部署独立的网络增值业务设备的方案有以下几个缺点： 需要部署的网络增值业务设备过多从而造成投资成本大。 独立为每个有需求的网络部署网络增值业务设备会导致网络增值业务设备的利用率不高，从而造成资源的浪费。 在部署和维护过程中，需要在每台网络增值业务设备上配置各自的业务处理策略，这样会导致部署和维护不便。 针对以上问题，华为公司推出了业务编排解决方案。如图23-1所示，该方案主要由策略控制器、编排设备和安全资源池组成。其中，安全资源池中部署的网络增值业务设备可以是一台设备拥有多个网络增值业务能力，也可以是多个具有独立网络增值业务能力的设备。通过在园区网部署业务编排方案，可以将网络增值业务设备全部集中在一个物理区域。由于不需要再为每个有需求的网络部署独立的网络增值业务设备，不仅降低了成本，而且还提高了网络增值业务设备的利用率。同时在整个园区网中，哪些业务流量需要网络增值业务设备进行处理由策略控制器下发策略来控制，这样也提高了部署和维护的效率。 图23-1  业务编排方案园区组网图  配置注意事项 目前业务编排解决方案中支持的网络增值业务设备有防火墙、防病毒专家系统和应用安全网关。 业务编排解决方案中各产品的版本配套关系如下表所示。 功能名称 交换机版本 Agile Controller-Campus的版本 业务编排1.0 V200R006C00、V200R007C00 V100R001 业务编排2.0 V200R008C00及以后版本 V100R002、V100R003 组网需求 如图23-2所示，M公司的机房中有一台FTP服务器，存储公司研发部门的重要数据。管理员小王需要保证这台FTP服务器的安全，防止被攻击导致关键数据外泄。小王希望能通过业务编排完成以下任务： 研发部门员工能访问FTP服务器，市场部门的员工不能访问FTP服务器。 研发部门员工访问FTP服务器的数据流必须先经过防火墙进行安全检测。 如果防火墙设备发生故障，研发部门员工不能访问FTP服务器。 图23-2  M公司组网  数据规划 表23-1  用户和资源的IP地址规划 用户和资源 IP地址 研发部门员工A 10.85.100.11 研发部门员工B 10.85.100.12 研发部门员工C 10.85.100.13 研发部门员工D 10.85.100.14 研发部门员工E 10.85.100.15 FTP服务器 10.85.10.2 Controller 10.85.10.3 SwitchA 10.85.10.5 NGFW 10.85.10.6 表23-2  业务流规划 序号 协议 源IP/掩码长度 源端口 目的IP/掩码长度 目的端口 1 TCP 10.85.100.11/32 22 10.85.10.2/32 21 2 TCP 10.85.100.12/32 3 TCP 10.85.100.13/32 4 TCP 10.85.100.14/32 5 TCP 10.85.100.15/32 表23-3  设备参数规划 设备 配置 交换机 与防火墙直连的接口： 接口名称：GigabitEthernet 1/0/1 Vlan：Vlan100 IP地址：10.85.10.5/24 LoopBack 100： IP地址：10.7.2.1/32 LoopBack 101： IP地址：10.7.2.2/32 XMPP连接密码：Admin@123 防火墙 与交换机直连的接口： 接口名称：GigabitEthernet 1/0/1 安全区域：trust IP地址：10.85.10.6/24 LoopBack 100： IP地址：10.6.2.1/32 LoopBack 101： IP地址：10.6.2.2/32 XMPP连接密码：Admin@123 Radius共享密钥：Radius@123 配置思路 具体配置思路如下： 在交换机和防火墙上配置基本参数。 在交换机和防火墙上配置XMPP协议参数，以便在Controller上添加交换机和防火墙设备。 在交换机和防火墙上配置各接口的地址和静态路由，实现网络中各设备之间能够互通。  说明： 需要保证配置的Loopback编号在设备中是最大的，本文使用的是100和101。 在Controller上通过XMPP协议添加交换机和防火墙设备。 在Controller上配置业务流，通过ACL规则实现仅研发部门员工访问FTP服务器。 在Controller上配置IP地址池和业务链资源，实现交换机和防火墙之间GRE隧道的建立。  说明： IP地址池不能包含网络中正在使用的IP地址。 在Controller上编排并部署业务链，实现对访问FTP服务器的数据的重定向，先经过防火墙，再访问FTP服务器。 操作步骤 在交换机上配置各接口地址，静态路由和XMPP连接参数等基本参数。 <HUAWEI> system-view [HUAWEI] sysname SwitchA [SwitchA] vlan batch 100 [SwitchA] interface gigabitethernet 1/0/1 [SwitchA-GigabitEthernet1/0/1] port link-type trunk [SwitchA-GigabitEthernet1/0/1] port trunk allow-pass vlan 100 [SwitchA-GigabitEthernet1/0/1] quit [SwitchA] interface vlanif 100 [SwitchA-Vlanif100] ip address 10.85.10.5 24 [SwitchA-Vlanif100] quit [SwitchA] interface LoopBack 100 [SwitchA–LoopBack100] ip address 10.7.2.1 255.255.255.255 [SwitchA–LoopBack100] quit [SwitchA] interface LoopBack 101 [SwitchA–LoopBack101] ip address 10.7.2.2 255.255.255.255 [SwitchA–LoopBack101] quit [SwitchA] ip route-static 10.6.2.1 255.255.255.255 10.85.10.6 [SwitchA] ip route-static 10.6.2.2 255.255.255.255 10.85.10.6 [SwitchA] group-policy controller 10.85.10.3 password Admin@123 src-ip 10.85.10.5 在防火墙上配置各接口地址，静态路由和XMPP连接参数等基本参数。 配置接口IP地址和安全区域，完成网络基本参数配置。 选择“网络 > 接口”。 单击GE1/0/1对应的，按如下参数配置。 安全区域 trust IPv4 IP地址 10.85.10.6/24 配置RADIUS服务器。 选择“对象 > 认证服务器 > RADIUS”。单击“新建”，按如下参数配置。 此处设置的参数必须与RADIUS服务器的参数保持一致，共享密钥为“Radius@123”。 单击“确定”。 开启防火墙的敏捷网络功能。 选择“系统 > 敏捷网络配置”。 勾选“敏捷网络功能”对应的“启用”。 配置与Controller的对接参数。“Controller主服务器IP”参数后面的状态显示为“已连接”，表示防护墙与Agile Controller对接成功。  说明： 在业务编排场景中，由于防火墙要配置内容安全检测功能，因此“安全策略配置”必须选择为“手工配置”。 在防火墙上配置两个Loopback接口。  说明： 您需要登录设备CLI控制台来完成该配置步骤。 单击界面右下方的。 在“CLI控制台（未连接）”对话框中单击鼠标左键，连接设备CLI控制台。 连接成功后，配置如下命令。 <sysname> sysname NGFW [NGFW] interface LoopBack 100 [NGFW-LoopBack100] ip address 10.6.2.1 255.255.255.255 [NGFW-LoopBack100] quit [NGFW] interface LoopBack 101 [NGFW-LoopBack101] ip address 10.6.2.2 255.255.255.255 [NGFW-LoopBack101] quit [NGFW] ip route-static 10.7.2.1 255.255.255.255 10.85.10.5 [NGFW] ip route-static 10.7.2.2 255.255.255.255 10.85.10.5 在Controller上添加交换机和防火墙设备。 在主菜单中选择“资源 > 设备 > 设备管理”。 单击“增加”。 设置添加设备的参数。 添加交换机和防火墙的参数设置如图23-3和图23-4所示。 “密码”为在设备上配置的通信密码“Admin@123”。 图23-3  添加交换机设备的参数设置  图23-4  添加防火墙设备的参数设置  配置业务流。 在主菜单中选择“策略 > 业务链编排 > 业务流定义”。 单击“增加”。 设置业务流参数。 参数设置如图23-5所示。 图23-5  业务流参数设置  配置IP地址池。 在主菜单中选择“策略 > 业务链编排 > IP地址池”。 单击“增加”。 名称设置为“10.10.192.0”，IP地址设置为“10.10.192.0”，掩码长度设置为“24”。 图23-6  IP地址池参数设置  单击“确定”。 配置业务链资源。 在主菜单中选择“策略 > 业务链编排 > 业务链资源”。 单击“增加”。 在左侧“编排设备”区域选择“SwitchA”，拖拽至右侧的“编排设备”节点上。 在左侧“业务设备”区域选择“NGFW”，拖拽至右侧的“防火墙”节点上。 在左侧“地址池”区域选择“10.10.192.0”。 图23-7  业务链资源参数设置  单击“保存”，在弹出的提示框中单击“是”。 编排并部署业务链。 在主菜单中选择“策略 > 业务链编排 > 业务链编排”。 单击“增加”。 在左侧“业务流”区域选择“User_to_Datacenter”，拖拽至右侧的“业务流”节点上。 在左侧“编排设备”区域选择“SwitchA”，拖拽至右侧的“编排设备”节点上。 将“NGFW”设备拖拽至上方的防火墙节点上。 在左侧“链异常处理方式”区域选择“阻断”。 图23-8  业务链编排参数设置  单击“保存”，在弹出的提示框中单击“是”。 验证配置结果。 # 在Controller上查看交换机和防火墙之间的隧道是否建立成功。 业务链资源下发后的隧道信息如图23-9所示。 图23-9  隧道部署结果详情  # 在交换机上通过命令display acl all能够看到业务流规则成功下发。 [SwitchA] display acl all Total nonempty ACL number is 1 Advanced ACL S_ACL_20140401153202_B3E0 3998, 5 rules Acl's step is 5 rule 5 permit tcp source 10.85.100.11 0 source-port eq 22 destination 10.85.1 0.2 0 destination-port eq 21 (match-counter 0) rule 10 permit tcp source 10.85.100.12 0 source-port eq 22 destination 10.85. 10.2 0 destination-port eq 21 (match-counter 0) rule 15 permit tcp source 10.85.100.13 0 source-port eq 22 destination 10.85. 10.2 0 destination-port eq 21 (match-counter 0) rule 20 permit tcp source 10.85.100.14 0 source-port eq 22 destination 10.85. 10.2 0 destination-port eq 21 (match-counter 0) rule 25 permit tcp source 10.85.100.15 0 source-port eq 22 destination 10.85. 10.2 0 destination-port eq 21 (match-counter 0) # 在交换机上通过命令display current-configuration | include traffic-redirect能够看到业务编排配置成功下发。 [SwitchA] display current-configuration | include traffic-redirect traffic-redirect inbound acl name S_ACL_20140401153202_B3E0 3998 interface Tunnel16370 [SwitchA] interface Tunnel 16370 [SwitchA-Tunnel16370] display this # interface Tunnel16370 description Controller_S_from_10.6.2.1 ip address 10.10.192.5 255.255.255.0 tunnel-protocol gre keepalive period 1 source 10.7.2.1 destination 10.6.2.1 traffic-filter inbound acl name S_ACL_20140401153202_B3E0 3998 # return 配置文件 SwitchA的配置文件 # sysname SwitchA # vlan batch 100 # group-policy controller 10.85.10.3 password %#%#FG9.7h,|j$2'c2$LRG%N#lBU;3_^;AVo,7)"f%^M%#%# src-ip 10.85.10.5 # interface Vlanif100 ip address 10.85.10.5 255.255.255.0 # interface LoopBack100 ip address 10.7.2.1 255.255.255.255 # interface LoopBack101 ip address 10.7.2.2 255.255.255.255 # interface GigabitEthernet1/0/1 port link-type trunk port trunk allow-pass vlan 100 # return 23.2  配置在用户物理位置变化时部署业务随行示例（V200R006C00、V200R007C00、V200R008C00） 业务随行简介 在企业网络中，为实现用户不同的网络访问需求，可在接入设备上为用户部署不同的网络访问策略。但随着企业网络移动化、BYOD等技术的应用，用户的物理位置以及IP地址变化愈加频繁，这就使得原有基于物理端口、IP地址的网络控制方案很难满足用户网络访问体验一致性的需求（譬如网络访问权限不随用户物理位置变化而变化）。 业务随行是敏捷网络中一种能够满足不管用户身处何地、使用哪个IP地址，都可以保证该用户获得相同的网络访问策略的解决方案。 业务随行解决方案需要交换机设备和Agile Controller-Campus配合使用。管理员仅需在Agile Controller-Campus上统一为用户部署网络访问策略，然后将其下发到所有关联的交换机设备即可满足不管用户的物理位置以及IP地址如何变化，都可以使其获得相同的访问策略。 配置注意事项 业务随行仅在NAC统一配置模式下支持。 适用的产品和版本如下表所示： 表23-4  适用的产品和版本 软件版本 产品形态 V200R006C00、V200R007C00、V200R008C00版本 S5720HI、S7700、S9700支持，其余形态均不支持。 如核心交换机曾经与其他Agile Controller-Campus配置过业务随行，请执行如下步骤清除历史数据后再重新配置。 在系统视图执行undo group-policy controller命令，去使能业务随行功能，断开与Agile Controller-Campus的联动。 执行undo acl all命令清除访问权限控制策略。 执行undo ucl-group ip all命令清除安全组绑定的IP地址信息。 执行undo ucl-group all命令清除安全组。 退出到用户视图执行save命令保存，自动清除之前部署的版本号。 组网需求 企业员工采用有线和无线方式接入，以802.1x或者Portal方式认证。 由于员工办公地点不固定，希望无论在何处认证通过后获取同样的权限。 图23-10  组网图  需求分析 如图23-10所示，认证点为支持敏捷特性的核心交换机coreswitch（带随板AC），接入交换机为普通交换机。 在核心交换机上配置802.1x认证和Portal认证，有线用户和无线用户在核心交换机认证通过后可以接入网络。 通过配置业务随行功能，无论用户在哪里接入都将获得同样的权限和体验，实现权限随行和体验随行。 数据规划 表23-5  网络数据规划 项目 数据 说明 VLAN规划 ID：11 IP地址：192.168.11.254/24 与Agile Controller-Campus通信VLAN。 ID：12 IP地址：192.168.12.254/24 与AP之间的业务管理VLAN。 ID：13 IP地址：192.168.13.254/24 无线接入业务VLAN。 ID：14 IP地址：192.168.14.254/24 有线接入业务VLAN。 核心交换机（coreswitch） 接口编号：GE1/0/11 允许通过VLAN ID：11 允许已规划的VLAN通过。 接口编号：GE1/0/12 允许通过VLAN ID：12、14 允许有线接入的业务VLAN和AP的管理VLAN通过。 接入交换机 接口编号：GE0/0/1 允许通过VLAN ID：12、14 与核心交换机coreswitch的GE1/0/12接口连接。 接口编号：GE0/0/3 允许通过VLAN ID：14 有线接入接口，允许有线接入的业务VLAN通过。 接口编号：GE0/0/5 允许通过VLAN ID：12 无线接入接口，允许AP的管理VLAN通过。 服务器 Agile Controller-Campus：192.168.11.1 SM和SC安装在同一台服务器。RADIUS服务器和Portal服务器包含在SC。 邮件服务器1：192.168.11.100 邮件服务器2：192.168.11.101 - DNS服务器：192.168.11.200 – 表23-6  业务数据规划 项目 数据 说明 核心交换机（coreswitch） RADIUS认证服务器： IP地址：192.168.11.1 端口号：1812 RADIUS共享密钥：Admin@123 Agile Controller-Campus的业务控制器集成了RADIUS服务器和Portal服务器，所以认证服务器、计费服务器和Portal服务器的IP地址都为业务控制器的IP地址。 配置RADIUS计费服务器，以便获取终端用户的上下线信息。认证服务器和计费服务器的端口号必须与RADIUS服务器的认证端口和计费端口一致。在Agile Controller-Campus中RADIUS认证和计费端口固定为1812和1813，Portal服务器端口固定为50200。 RADIUS计费服务器： IP地址：192.168.11.1 端口号：1813 RADIUS共享密钥：Admin@123 计费周期：15分钟 Portal服务器： IP地址：192.168.11.1 端口号：50200 共享密钥：Admin@123 XMPP密码：Admin@123 与Agile Controller-Campus配置一致。 Agile Controller-Campus 核心交换机IP地址：192.168.11.254 VLANIF 11的IP地址。 RADIUS参数： 设备系列：华为Quidway系列 RADIUS认证密钥：Admin@123 RADIUS计费密钥：Admin@123 实时计费周期(分钟)：15 与核心交换机上配置的一致。 Portal参数： 端口：2000 Portal密钥：Admin@123 接入终端IP地址列表 无线：192.168.13.0/24 有线：192.168.14.0/24 XMPP密码：Admin@123 与核心交换机配置一致。 部门： 员工 假设ROOT下面已存在“员工”部门，本举例对“员工”部门配置业务随行。 安全组： 员工组 邮件服务器： 邮件服务器1：192.168.11.100 邮件服务器2：192.168.11.101 在授权中将员工部门授权给员工组。 认证后域 邮件服务器 员工认证通过后可以访问邮件服务器。 认证前域 DNS服务器 员工认证通过前能够将域名发往DNS服务器做解析。 配置思路 核心交换机配置 切换为统一模式。 配置接口和VLAN，并启用DHCP服务器功能。 配置与RADIUS服务器对接参数。 配置与Portal服务器对接参数。 配置固定PC的接入认证点。 配置免认证规则。 配置AC系统参数，实现无线接入。 配置与Agile Controller-Campus对接的XMPP参数，使能业务随行功能。 接入交换机配置 配置接口和VLAN，实现网络互通。 配置802.1x报文透传功能。  说明： 本举例中，由于接入交换机与用户之间存在透传交换机LAN Switch，为保证用户能够通过802.1x认证，则务必在LAN Switch上配置EAP报文透传功能： 在LAN Switch系统视图下执行命令l2protocol-tunnel user-defined-protocol 802.1x protocol-mac 0180-c200-0003 group-mac 0100-0000-0002定义二层透明传输EAP报文。 在LAN Switch的下行与用户连接的接口以及上行与Switch连接的接口上执行命令l2protocol-tunnel user-defined-protocol 802.1x enable以使能接口的二层协议透明传输功能。 Agile Controller-Campus配置 设置RADIUS参数、Portal参数和XMPP参数，添加核心交换机。 配置“员工组”和“邮件服务器”安全组，分别代表用户和资源。 通过快速授权将“员工组”授权给员工部门，员工认证通过后被映射到“员工组”。 配置访问控制权限策略，允许“员工组”访问“邮件服务器”。 操作步骤 核心交换机配置。 将配置模式切换为统一模式。  说明： 使用业务随行功能的交换机必须切换为统一模式，切换为统一模式后需重启交换机方能生效。 <HUAWEI> system-view [HUAWEI] sysname coreswitch [coreswitch] authentication unified-mode [coreswitch] quit <coreswitch> save 配置接口和VLAN，并启用DHCP服务器功能。 [coreswitch] vlan batch 11 to 14 [coreswitch] interface vlanif 11 //作为源接口与Agile Controller-Campus通信 [coreswitch-Vlanif11] ip address 192.168.11.254 255.255.255.0 [coreswitch-Vlanif11] quit [coreswitch] dhcp enable //使能DHCP服务 [coreswitch] interface vlanif 12 //AP管理VLAN [coreswitch-Vlanif12] ip address 192.168.12.254 255.255.255.0 [coreswitch-Vlanif12] dhcp select interface //使能DHCP服务器功能，为AP分配IP地址 [coreswitch-Vlanif12] quit [coreswitch] interface vlanif 13 //无线接入业务VLAN [coreswitch-Vlanif13] ip address 192.168.13.254 255.255.255.0 [coreswitch-Vlanif13] dhcp select interface //使能DHCP服务器功能，为移动终端分配IP地址 [coreswitch-Vlanif13] dhcp server dns-list 192.168.11.200 [coreswitch-Vlanif13] quit [coreswitch] interface vlanif 14 //有线接入业务VLAN [coreswitch-Vlanif14] ip address 192.168.14.254 255.255.255.0 [coreswitch-Vlanif14] dhcp select interface //使能DHCP服务器功能，为固定PC分配IP地址 [coreswitch-Vlanif14] dhcp server dns-list 192.168.11.200 [coreswitch-Vlanif14] quit [coreswitch] interface gigabitEthernet 1/0/11 [coreswitch-GigabitEthernet1/0/11] port link-type trunk [coreswitch-GigabitEthernet1/0/11] port trunk allow-pass vlan 11 [coreswitch-GigabitEthernet1/0/11] quit [coreswitch] interface gigabitEthernet 1/0/12 [coreswitch-GigabitEthernet1/0/12] port link-type trunk [coreswitch-GigabitEthernet1/0/12] port trunk allow-pass vlan 12 14 [coreswitch-GigabitEthernet1/0/12] quit 配置与RADIUS服务器对接参数。 [coreswitch] radius-server template policy //创建RADIUS服务器模板“policy” [coreswitch-radius-policy] radius-server authentication 192.168.11.1 1812 //配置RADIUS认证服务器的IP地址和认证端口1812 [coreswitch-radius-policy] radius-server accounting 192.168.11.1 1813 //配置计费服务器的IP地址和认证端口1813 [coreswitch-radius-policy] radius-server shared-key cipher Admin@123 //配置RADIUS共享密钥 [coreswitch-radius-policy] quit [coreswitch] aaa [coreswitch-aaa] authentication-scheme auth //创建认证方案auth [coreswitch-aaa-authen-auth] authentication-mode radius //认证方式RADIUS [coreswitch-aaa-authen-auth] quit [coreswitch-aaa] accounting-scheme acco //创建计费方案acco [coreswitch-aaa-accounting-acco] accounting-mode radius //计费方式RADIUS [coreswitch-aaa-accounting-acco] accounting realtime 15 //计费周期15分钟 [coreswitch-aaa-accounting-acco] quit [coreswitch-aaa] domain default //进入default域，绑定RADIUS服务器模板、认证方案和计费方案 [coreswitch-aaa-domain-default] radius-server policy [coreswitch-aaa-domain-default] authentication-scheme auth [coreswitch-aaa-domain-default] accounting-scheme acco [coreswitch-aaa-domain-default] quit [coreswitch-aaa] quit 配置与Portal服务器对接参数。 [coreswitch] url-template name huawei //创建URL模板 [coreswitch-url-template-huawei] url http://192.168.11.1:8080/portal //指定Portal认证推送的URL [coreswitch-url-template-huawei] quit [coreswitch] web-auth-server policy //创建Portal服务器模板“policy” [coreswitch-web-auth-server-policy] server-ip 192.168.11.1 //指定Portal服务器IP地址 [coreswitch-web-auth-server-policy] port 50200 //指定Portal服务器使用的端口号，Agile Controller-Campus作为Portal服务器时使用固定端口50200 [coreswitch-web-auth-server-policy] shared-key cipher Admin@123 //配置Portal共享密钥 [coreswitch-web-auth-server-policy] url-template huawei //绑定URL模板 [coreswitch-web-auth-server-policy] quit 配置接口GE1/0/12为固定PC的接入认证点。 [coreswitch] interface gigabitEthernet 1/0/12 [coreswitch-GigabitEthernet1/0/12] authentication dot1x portal //配置802.1x和Portal混合认证 [coreswitch-GigabitEthernet1/0/12] dot1x authentication-method eap //配置802.1x认证采用EAP方式 [coreswitch-GigabitEthernet1/0/12] web-auth-server policy direct //配置采用二层Portal认证 [coreswitch-GigabitEthernet1/0/12] domain name default force //配置域default为该接口上线用户的强制认证域 [coreswitch-GigabitEthernet1/0/12] quit 配置免认证规则，使AP能够上线、客户端能够访问DNS服务器。 [coreswitch] authentication free-rule 1 destination ip 192.168.11.200 mask 24 source ip any [coreswitch] authen