请详细阅读操作文档,结合实际情况进行配置:
若操作不当将可能导致网络卡顿甚至断网等异常情况。
若网络中存在业务的情况下,请同步客户风险并征得客户同意后再操作。
若您不清楚造成的影响或对操作不熟练,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。
1、如存在用户迁移情况,核心交换机上要开启认证迁移功能
认证上收核心交换机以后,如用户在某个地区未主动下线,到另一个地方接入网络,则在无流量下线时间内会导致用户无法再次认证上网。如,无线用户在两个信号或同一信号范围内来回切换时,则会无法正常认证。因此需要开启认证迁移。
station-move permit
web-auth station-move auto
web-auth station-move info-update
no web-auth station-move arp-detect //建议关闭WEB认证迁移时的ARP探测
no dot1x station-move arp-detect //建议关闭802.1x认证迁移时的ARP探测
2、需要对核心交换机、汇聚、接入交换机的所有Trunk接口进行vlan裁剪
大二层网络下核心交换机存在一个风险点,由核心交换机的supvlan发出的协议类报文会在所有subvlan内泛洪,尤其是qinq方案可能会造成pevlan*cevlan个数的协议报文泛洪量,对核心交换机的CPU消耗和下联的汇聚和接入设备链路带宽都带来很大影响。因此需要在核心交换机下联口尽量裁剪掉没有使用的vlan,减少vlan范围避免这种非必要的消耗。
switchport trunk allowed vlan only 100-103,900,3501-3550,4201-4204
3、需要将核心交换机下联接口配置为路由协议被动口,避免广播洪泛
需要将下联用户,以及其他无需建立OSPF邻居的三层口配置为被动接口,否则可能出现核心交换机往下方supervlan的所有subvlan发送OSPF的组播报文,消耗核心交换机的CPU资源和链路带宽,影响网络正常使用。
router ospf 110
passive-interface vlan 3001 //OSPFv2 配置被动接口
ipv6 router ospf 110
passive-interface vlan 3001 //OSPFv3 配置被动接口
4、N18K上NFPP功能保持默认开启,不要随意修改,调整参数,特定情况下可在部分端口关闭。
NFPP必须全局开启,否则存在攻击时极有可能导致N18K的资源消耗而影响网络的正常使用。
如存在类似以下两种情况,在全局开启NFPP以后,需将相关接口的dhcp-guard关闭。
情况1:N18K作为DHCP RELAY,则将N18K上去往DHCP SERVER接口的dhcp-guard关闭;
情况2:N18K作为DHCP SERVER,有无线终端网关位于AC上,并且AC作为DHCP RELAY,则需要将N18K上通往AC相应的端口的dhcp-guard关闭。
interface GigabitEthernet 1/20 //进入上方描述的接口
no nfpp dhcp-guard enable //接口关闭dhcp-guard
5、不能将只有单层VLAN的数据VLAN-ID 与 PE-VLAN配置一样
高校中部署QINQ方案时,有可能存在部分终端的流量无需被QINQ打上双层标签,如AC直接接在N18K上,没有被汇聚交换机QINQ打上双层VLAN,或者汇聚交换机有些下联口直接连接了某些终端没有被QINQ打上双层VLAN。
注意不能将这些单层VLAN数据的VLAN-ID与PE-VLAN重叠,否则数据收发异常。
6、N18K上开启DHCP SNOOPING TRUST端口不能与认证端口同时配置
如存在该情况,需要提前准备链路将相关流量进行分流,割接时需特别注意。
7、直通vlan个数限制/ARP主动打通vlan个数限制
全局配置:direct-vlan xxx,xxx-xxx (show direct-vlan判断)
全局配置:arp resovle vlan xxx (show run | in arp resovle判断
a.直通VLAN配置过多(超过100个),广播/组播报文复制会导致线卡CPU高,引发故障。直通VLAN个数以不超过100为宜。超过时,用安全通道或直通站点功能。
建议:业务及终端的放行使用安全通道(免认证子网)或直通站点功能,接入设备和AP的放行可以使用直通vlan放行。
b.ARP主动打通vlan配置过多(超过50个),广播/组播报文复制会导致线卡CPU高,引发故障。ARP主动VLAN个数以不超过100为宜。极简X方案部署时,有线接入建议一个楼栋部署一个VLAN。
注意:配置了ARP主动打通vlan的情况下,直通vlan的主动打通功能不再生效,需要主动打通的vlan以ARP主动打通vlan为准。
8、打印机哑终端部署
打印机哑终端不会主动发ARP报文,在supervlan大二层扁平化网络下设备可能会因为哑终端不主动发ARP报文,设备无法学习到哑终端的ARP,导致哑终端接入网络不通
部署时需要将打印机规划一个IP网段(建议使用24位掩码网段即可),然后配置为主动打通IP范围,arp resovle ip 10.10.10.0 10.10.10.254,或者由SDN控制器定义这个打印机业务子网为主动打通。
如果在割接改造场景下,哑终端部署在多个IP网段且无法知道IP多少,那么可以使用ARP主动打通VLAN部署。
DSW-18KX_LX(config-router)#arp resovle ip x.x.x.x
DSW-18KX_LX(config-router)#arp resovle vlan xxx
QINQ场景下,哑终端的部署建议使用ARP主动打通IP网段的形式部署。将哑终端配置在同一个IP网段内进行ARP打通。
9、组播部署问题
部署组播时,组播客户端推荐单独划VLAN部署,和supervlan业务网区分开
如果组播客户端必须部署在supervlan内,则需要对组播部署配置进行相关优化。具体配置见组播场景规划章节。防止组播报文在supervlan内泛洪,该场景下需要同步二线评估部署风险。
QINQ网络不支持部署组播业务。
10、核心N18K下联端口开启二层隔离保护口(switchport protected),或者是基于vlan的隔离保护(vlan protected)
11、接口索引唯一性
N18K每个物理端口的接口索引值都是唯一的,可以通过show interface查看(Index字段),当有多张线卡和AP口时(先插入1张,配置AP口,再插入1张),设备重启后,可能会导致设备接口索引发生变化,导致SAM上的区域划分功能失效。必须开启接口索引唯一功能。
Ruijie(config)#snmp-server if-index persist
12、避免SAM上出现全0地址的用户
802.1x和无感知认证,都需要通过su客户端或者N18K的dhcp snooping表获取认证用户的IP地址,当以下配置漏配时,就会导致N18K拿不到认证用户的IP地址,将全0地址传给SAM服务器。如果SAM服务器又配置了相同IP用户的抢占策略时,就会导致用户被异常踢下线。为了解决这个问题,需要配置以下命令:
Ruijie (config)# ip dhcp snooping //开启IP dhcp snooping
Ruijie (config)# aaa authorization ip-auth-mode mixed//配置认证用户的IP授权模式为混合模式
Ruijie (config)# dot1x mac-auth-bypass valid-ip-auth//配置mac无感知认证需要获取IP地址后才允许认证
Ruijie (config)# dot1x valid-ip-acct enable//dot1x认证和无感知认证的用户,未获取IP会在5分钟后被踢下线
13、SAM和N18K在线用户准确性
为了防止SAM和N18K在线用户信息不一致导致的异常,SAM每天凌晨2点会自动与N18K上核对在线用户信息,删除SAM上假在线用户信息。
N18K必须开启snmp-server命令,用于跟SAM同步信息:
Ruijie(config)# snmp-server host 172.18.18.18 informs version 2c ruijie //ip 为SAM的ip地址。
14、开启dhcp snooping对dhcp relay报文的兼容性处理
默认情况下N18K开启dhcp snooping会默认丢弃由汇聚设备Dhcp relay上来的地址申请报文,需要通过以下命令配置协议兼容。
DSW-18KX_LX(config)#ip dhcp snooping check-giaddr //dhcp snooping和relay的兼容命令,防止有relay过的dhcp报文到了N18K被dhcp snooping模块丢弃
15、DB系列线卡仅支持60个CE-VLAN,QINQ隔离场景如果接入集联过多则无法支持
QINQ隔离场景接入集联时,CE-VLAN需要递增部署。当集联的交换机接口数量大于60个时,则DB卡无法支持。
建议首先尝试修改集联拓扑,无法解决时则建议申请更换DB线卡为ED线卡(支持511个CE-vlan)