锐捷网络极简X SDN——ServiceChain方案 部署指导:方案部署案例二-程序员宅基地
目录
案例二:引流交换机在网关与出口之间(servicechain透明模式)
案例二:引流交换机在网关与出口之间(servicechain透明模式)
1.1.1. 客户需求
1. 安全设备有原来的串接方式更改为旁挂模式,当任意出口设备出现故障,不影响正常业务;
2. 当设备异常时能快速定位出异常设备,快速定位和排查;
3. 安全设备原本的连线方式、保护策略等相关配置不能做变更。
1.1.2. 需求实现方式
RG-INC-PRO结合SDN交换机,部署SDN ServiceChain引流方案,下发流表针对相关业务数据引流,并且开启bypass功能,当安全设备异常时,流量将不会引流至安全设备,业务流量可直接由SDN交换机正常转发。
SDN交换机部署在出口与N18K网关之间,SDN交换机上联口和下联口都是二层口。针对安全设备原先的流量上下行方向不会发生改变,相关安全策略也不会发生改变。之前安全设备是透明模式,所以引流的模式也选择透明模式(使用servicechain透明模式)。
RG-INC-PRO上可以通过SC拓扑实时监测引流交换机与安全设备连接的链路状态与流量大小状态。任何一个安全设备链路出现故障时,通过登陆Web就能够一目了然地看到出现故障的设备。
1.1.3. 信息收集
在项目实施之前,需要收集如下信息,以便作为后续的方案设计。收集的信息如下:
1. 收集当前业务信息,了解客户内网有哪些业务分类,相关业务互访或访问网络资源,是否需要引流到安全设备,或者引导到哪些安全设备,以便进行RG-INC-PRO进行业务流规划,明确配置思路;该案例中,收集的信息如下:
2. 了解安全设备的部署位置、部署模式(路由模式还是透传模式)、最大吞吐、接口类型等相关信息,用于规划引流策略,确认设备接口是否能够满足;
| 名称 |
网段 |
用途 |
哪种数据需要引流 |
备注 |
| 用户段 |
10.30.0.1/24 |
用户ip地址 |
访问外网引流 |
NA |
| 10.30.1.1/24 |
用户ip地址 |
访问外网引流 |
NA |
|
| 控制器RG-INC-PRO |
172.18.149.45 |
SDN控制器IP |
控制器的IP不引流 |
NA |
| 出口 |
120.35.11.140 |
出口IP |
NA |
NA |
| 互联网 |
any |
互联网地址段 |
NA |
NA |
| 防火墙RG-WALL 1600-M5100 |
172.18.149.46 |
防火墙带外管理IP |
防火墙的IP不引流 |
最大吞吐为4Gbps,包转发率为6M |
1.1.4. 方案规划设计
1. 有线、无线终端的网关上收到核心N18K;
2. 新增RG-INC-PRO部署在服务器区域,与SDN交换机路由可达;
3. 安全设备直连双臂旁挂在SDN交换机旁边;
4. 接入和汇聚交换机,划分好相应的VLAN实现透传;
1.1.5. 设备清单
| 设备类型 |
产品型号 |
产品说明 |
数量 |
其他注意项 |
| 核心设备 |
S18K、S86E、S78C、S57H |
核心交换机,包含: (主机)1×RG-N18007 (引擎)2×M18007-CM II (电源)2×RG-PA1600I (线卡)1xM18000-24GT20SFP4XS-ED |
1-2 |
必配,双机可组VSU 线卡按需单独配置 不同引擎,线卡组合带机数不同,请参考传统极简 |
| SDN控制器&通用授权 |
RG-ONC-AIO-E |
SDN控制器软硬件,包含: RG-ONC-AIO-E:1台 RG-ONC-AIO-CTL:1张 RG-INC-PRO:1个 RG-INC-PRO-SW-NMC:1个 RG-INC-PRO-SW-DEVICE-100:1个 RG-INC-PRO-SW-DEVICE-200:1个 |
1-3 |
必配,每张CTL节点标配 2 个 2TB 7200 转 3.5 寸企业级硬盘,默认组RAID1,同一节点卡与硬盘必须配套使用 集群环境必须CTL节点3张以上,还需单独购买集群授权 |
| 方案授权 |
RG-INC-PRO-SW-SCHAIN |
锐捷SDN ,SC引流方案授权,与终端数无关 |
1 |
用于SC引流方案 |
| 安全设备 |
RG-WALL 1600-S3100 |
全新NGFW防火墙 |
1 |
透明模式部署 |
| 汇聚设备 |
S57H |
无特殊要求 |
按需 |
NA |
| 接入设备 |
S29EV3/XS系列 |
无特殊要求 |
按需 |
NA |
1.1.6. 注意事项
核心设备需要升级重启断网,建议部署SC方案前,至少提前一个工作日升级好核心设备,但INC-PRO环境以及INC-PRO上的方案部署配置,如果可以先准备好,并且先设置为传统转发,对现网都不会产生影响;
开启SC引流建议分区域试点进行,即选择风险较小的业务vlan,开启引流,测试各种类型业务访问是否都能正常(HTTP\HTTPS\远程桌面等等),逐步整网开启;
网络中,各种设备(防火墙、INC-PRO等等)的管理地址不能引流,需要使用高优先级的传统转发规避。
1.1.7. 配置详解
1.1.7.1. 交换机配置
| 协议 |
配置 |
| SNMP |
N18K(config)#snmp-server if-index persist //固定snmp端口索引值 N18K(config)#snmp-server community (key) rw //配置snmp团体字 |
| Netconf |
N18K(config)#enable service ssh-server //全局使能ssh server N18K(config)#username key password key //配置ssh用的账号密码 N18K(config)#crypto key generate dsa //加密方式选择DSA或者RSA均可 % You already have DSA keys. % Do you really want to replace them? [yes/no]:y Choose the size of the rsa key modulus in the range of 512 to 2048 and the size of the dsa key modulus in the range of 360 to 2048 for your Signature Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: //直接回车 % Generating 512 bit DSA keys ...[ok] N18K(config)#line vty 0 4 N18K(config-line)#login local //注意:如果INC-PRO是3台以上的集群,由于集群INC-PRO的SSH连接,默认就占用了3个以上的vty线路,因此为了不影响普通网管登入,vty建议配置0 6 |
| Openflow |
N18K(config)#of controller-ip (INC-PRO-ip) port 6653 interface (loopback 0) //指定INC-PRO的ip地址及本端的出接口,SDN控制器为三台集群时候,需要配置of 命令3条,指定3个INC-PRO ip |
| 引流口、回流口配置 |
N18K(config)#interface gigabitEthernet 1/11 N18K(config-if-GigabitEthernet 1/11)# switchport mode servicechain N18K(config-if-GigabitEthernet 1/11)#no lldp enable(必配) N18K(config)#interface gigabitEthernet 1/12 N18K(config-if-GigabitEthernet 1/12)# switchport mode servicechain N18K(config-if-GigabitEthernet 1/12)#no lldp enable(必配) |
1.1.7.2. 安全设备接口及路由配置
防火墙上配置透明模式(仅举例,不同安全产品的配置方法不一样,其他配置请查询对应安全产品的实施一本通):
1.1.7.3. 设备纳管
与“案例一”类似,不再赘述。
1.1.7.4. 添加服务节点
与“案例一”类似,不再赘述。
1.1.7.5. 新增服务链
与“案例一”类似,不再赘述。
1.1.7.6. 新增业务编排
与“案例一”类似,不再赘述。
1.1.7.7. 流表查看
与“案例一”类似,不再赘述。
方案维护
一、INC-PRO信息查看方式介绍
查看服务节点,服务节点配置完成后,具体结果如下所示,状态是“已就绪”说明添加成功。
查看服务链:添加完成之后,效果如下图,如果有多条服务链,可以多次添加。状态为“已就绪”说明添加成功。另外,同一个服务节点可以同时存在在多个服务链中,如下图所示的FW。
业务编排查看:编排完成之后,状态显示为“已就绪”说明编排成功。
二、SDN交换机命令查看介绍
Show of查看openflow链接状态,显示为connected,则代表控制器与SDN交换机openflow协议链接正常。
Show of flowtable查看当前交换机所有流表,流表各个字段的含义,请参考“技术原理“章节。
智能推荐
hdu 1229 还是A+B(水)-程序员宅基地
文章浏览阅读122次。还是A+BTime Limit: 2000/1000 MS (Java/Others)Memory Limit: 65536/32768 K (Java/Others)Total Submission(s): 24568Accepted Submission(s): 11729Problem Description读入两个小于10000的正整数A和B,计算A+B。...
http客户端Feign——日志配置_feign 日志设置-程序员宅基地
文章浏览阅读419次。HEADERS:在BASIC的基础上,额外记录了请求和响应的头信息。FULL:记录所有请求和响应的明细,包括头信息、请求体、元数据。BASIC:仅记录请求的方法,URL以及响应状态码和执行时间。NONE:不记录任何日志信息,这是默认值。配置Feign日志有两种方式;方式二:java代码实现。注解中声明则代表某服务。方式一:配置文件方式。_feign 日志设置
[转载]将容器管理的持久性 Bean 用于面向服务的体系结构-程序员宅基地
文章浏览阅读155次。将容器管理的持久性 Bean 用于面向服务的体系结构本文将介绍如何使用 IBM WebSphere Process Server 对容器管理的持久性 (CMP) Bean的连接和持久性逻辑加以控制,使其可以存储在非关系数据库..._javax.ejb.objectnotfoundexception: no such entity!
基础java练习题(递归)_java 递归例题-程序员宅基地
文章浏览阅读1.5k次。基础java练习题一、递归实现跳台阶从第一级跳到第n级,有多少种跳法一次可跳一级,也可跳两级。还能跳三级import java.math.BigDecimal;import java.util.Scanner;public class Main{ public static void main(String[]args){ Scanner reader=new Scanner(System.in); while(reader.hasNext()){ _java 递归例题
面向对象程序设计(荣誉)实验一 String_对存储在string数组内的所有以字符‘a’开始并以字符‘e’结尾的单词做加密处理。-程序员宅基地
文章浏览阅读1.5k次,点赞6次,收藏6次。目录1.串应用- 计算一个串的最长的真前后缀题目描述输入输出样例输入样例输出题解2.字符串替换(string)题目描述输入输出样例输入样例输出题解3.可重叠子串 (Ver. I)题目描述输入输出样例输入样例输出题解4.字符串操作(string)题目描述输入输出样例输入样例输出题解1.串应用- 计算一个串的最长的真前后缀题目描述给定一个串,如ABCDAB,则ABCDAB的真前缀有:{ A, AB,ABC, ABCD, ABCDA }ABCDAB的真后缀有:{ B, AB,DAB, CDAB, BCDAB_对存储在string数组内的所有以字符‘a’开始并以字符‘e’结尾的单词做加密处理。
算法设计与问题求解/西安交通大学本科课程MOOC/C_算法设计与问题求解西安交通大学-程序员宅基地
文章浏览阅读68次。西安交通大学/算法设计与问题求解/树与二叉树/MOOC_算法设计与问题求解西安交通大学
随便推点
[Vue warn]: Computed property “totalPrice“ was assigned to but it has no setter._computed property "totalprice" was assigned to but-程序员宅基地
文章浏览阅读1.6k次。问题:在Vue项目中出现如下错误提示:[Vue warn]: Computed property "totalPrice" was assigned to but it has no setter. (found in <Anonymous>)代码:<input v-model="totalPrice"/>原因:v-model命令,因Vue 的双向数据绑定原理 , 会自动操作 totalPrice, 对其进行set 操作而 totalPrice 作为计..._computed property "totalprice" was assigned to but it has no setter.
basic1003-我要通过!13行搞定:也许是全网最奇葩解法_basic 1003 case 1-程序员宅基地
文章浏览阅读60次。十分暴力而简洁的解决方式:读取P和T的位置并自动生成唯一正确答案,将题给测点与之对比,不一样就给我爬!_basic 1003 case 1
服务器浏览war文件,详解将Web项目War包部署到Tomcat服务器基本步骤-程序员宅基地
文章浏览阅读422次。原标题:详解将Web项目War包部署到Tomcat服务器基本步骤详解将Web项目War包部署到Tomcat服务器基本步骤1 War包War包一般是在进行Web开发时,通常是一个网站Project下的所有源码的集合,里面包含前台HTML/CSS/JS的代码,也包含Java的代码。当开发人员在自己的开发机器上调试所有代码并通过后,为了交给测试人员测试和未来进行产品发布,都需要将开发人员的源码打包成Wa..._/opt/bosssoft/war/medical-web.war/web-inf/web.xml of module medical-web.war.
python组成三位无重复数字_python组合无重复三位数的实例-程序员宅基地
文章浏览阅读3k次,点赞3次,收藏13次。# -*- coding: utf-8 -*-# 简述:这里有四个数字,分别是:1、2、3、4#提问:能组成多少个互不相同且无重复数字的三位数?各是多少?def f(n):list=[]count=0for i in range(1,n+1):for j in range(1, n+1):for k in range(1, n+1):if i!=j and j!=k and i!=k:list.a..._python求从0到9任意组合成三位数数字不能重复并输出
ElementUl中的el-table怎样吧0和1改变为男和女_elementui table 性别-程序员宅基地
文章浏览阅读1k次,点赞3次,收藏2次。<el-table-column prop="studentSex" label="性别" :formatter="sex"></el-table-column>然后就在vue的methods中写方法就OK了methods: { sex(row,index){ if(row.studentSex == 1){ return '男'; }else{ return '女'; }..._elementui table 性别
java文件操作之移动文件到指定的目录_java中怎么将pro.txt移动到design_mode_code根目录下-程序员宅基地
文章浏览阅读1.1k次。java文件操作之移动文件到指定的目录_java中怎么将pro.txt移动到design_mode_code根目录下