请详细阅读操作文档,结合实际情况进行配置:

        若操作不当将可能导致网络卡顿甚至断网等异常情况。

        若网络中存在业务的情况下,请同步客户风险并征得客户同意后再操作。

        若您不清楚造成的影响或对操作不熟练,请不要操作,请联系专业的锐捷售后工程师进行评估后再决定是否操作。


1、如存在用户迁移情况,核心交换机上要开启认证迁移功能  

       认证上收核心交换机以后,如用户在某个地区未主动下线,到另一个地方接入网络,则在无流量下线时间内会导致用户无法再次认证上网。如,无线用户在两个信号或同一信号范围内来回切换时,则会无法正常认证。因此需要开启认证迁移。

station-move permit

web-auth station-move auto

web-auth station-move info-update

no web-auth station-move arp-detect   //建议关闭WEB认证迁移时的ARP探测

no dot1x station-move arp-detect    //建议关闭802.1x认证迁移时的ARP探测


2、需要对核心交换机、汇聚、接入交换机的所有Trunk接口进行vlan裁剪

      大二层网络下核心交换机存在一个风险点,由核心交换机的supvlan发出的协议类报文会在所有subvlan内泛洪,尤其是qinq方案可能会造成pevlan*cevlan个数的协议报文泛洪量,对核心交换机的CPU消耗和下联的汇聚和接入设备链路带宽都带来很大影响。因此需要在核心交换机下联口尽量裁剪掉没有使用的vlan,减少vlan范围避免这种非必要的消耗。

  switchport trunk allowed vlan only 100-103,900,3501-3550,4201-4204


3、需要将核心交换机下联接口配置为路由协议被动口,避免广播洪泛

       需要将下联用户,以及其他无需建立OSPF邻居的三层口配置为被动接口,否则可能出现核心交换机往下方supervlan的所有subvlan发送OSPF的组播报文,消耗核心交换机的CPU资源和链路带宽,影响网络正常使用。

router ospf 110

  passive-interface vlan 3001  //OSPFv2 配置被动接口

ipv6 router ospf 110

  passive-interface vlan 3001  //OSPFv3 配置被动接口



4、N18K上NFPP功能保持默认开启,不要随意修改,调整参数,特定情况下可在部分端口关闭。

       NFPP必须全局开启,否则存在攻击时极有可能导致N18K的资源消耗而影响网络的正常使用。

       如存在类似以下两种情况,在全局开启NFPP以后,需将相关接口的dhcp-guard关闭。

       情况1:N18K作为DHCP RELAY,则将N18K上去往DHCP SERVER接口的dhcp-guard关闭;

       情况2:N18K作为DHCP SERVER,有无线终端网关位于AC上,并且AC作为DHCP RELAY,则需要将N18K上通往AC相应的端口的dhcp-guard关闭。

interface GigabitEthernet 1/20     //进入上方描述的接口

  no nfpp dhcp-guard enable  //接口关闭dhcp-guard


5、不能将只有单层VLAN的数据VLAN-ID 与 PE-VLAN配置一样

       高校中部署QINQ方案时,有可能存在部分终端的流量无需被QINQ打上双层标签,如AC直接接在N18K上,没有被汇聚交换机QINQ打上双层VLAN,或者汇聚交换机有些下联口直接连接了某些终端没有被QINQ打上双层VLAN。

       注意不能将这些单层VLAN数据的VLAN-ID与PE-VLAN重叠,否则数据收发异常。


6、N18K上开启DHCP SNOOPING TRUST端口不能与认证端口同时配置

如存在该情况,需要提前准备链路将相关流量进行分流,割接时需特别注意。


   

7、直通vlan个数限制/ARP主动打通vlan个数限制      

       全局配置:direct-vlan  xxx,xxx-xxx  (show direct-vlan判断)

       全局配置:arp resovle vlan xxx  (show run | in arp resovle判断

 

     a.直通VLAN配置过多(超过100个),广播/组播报文复制会导致线卡CPU高,引发故障。直通VLAN个数以不超过100为宜。超过时,用安全通道或直通站点功能。        

     建议:业务及终端的放行使用安全通道(免认证子网)或直通站点功能,接入设备和AP的放行可以使用直通vlan放行。

 

     b.ARP主动打通vlan配置过多(超过50个),广播/组播报文复制会导致线卡CPU高,引发故障。ARP主动VLAN个数以不超过100为宜。极简X方案部署时,有线接入建议一个楼栋部署一个VLAN。

     注意:配置了ARP主动打通vlan的情况下,直通vlan的主动打通功能不再生效,需要主动打通的vlan以ARP主动打通vlan为准。


         

8、打印机哑终端部署

     打印机哑终端不会主动发ARP报文,在supervlan大二层扁平化网络下设备可能会因为哑终端不主动发ARP报文,设备无法学习到哑终端的ARP,导致哑终端接入网络不通

     部署时需要将打印机规划一个IP网段(建议使用24位掩码网段即可),然后配置为主动打通IP范围,arp resovle ip 10.10.10.0 10.10.10.254,或者由SDN控制器定义这个打印机业务子网为主动打通。

     如果在割接改造场景下,哑终端部署在多个IP网段且无法知道IP多少,那么可以使用ARP主动打通VLAN部署。

     DSW-18KX_LX(config-router)#arp resovle ip x.x.x.x

     DSW-18KX_LX(config-router)#arp resovle vlan xxx

 

     QINQ场景下,哑终端的部署建议使用ARP主动打通IP网段的形式部署。将哑终端配置在同一个IP网段内进行ARP打通。


9、组播部署问题

     部署组播时,组播客户端推荐单独划VLAN部署,和supervlan业务网区分开

     如果组播客户端必须部署在supervlan内,则需要对组播部署配置进行相关优化。具体配置见组播场景规划章节。防止组播报文在supervlan内泛洪,该场景下需要同步二线评估部署风险。

     QINQ网络不支持部署组播业务。

       

10、核心N18K下联端口开启二层隔离保护口(switchport protected),或者是基于vlan的隔离保护(vlan protected)          


11、接口索引唯一性                      

N18K每个物理端口的接口索引值都是唯一的,可以通过show interface查看(Index字段),当有多张线卡和AP口时(先插入1张,配置AP口,再插入1张),设备重启后,可能会导致设备接口索引发生变化,导致SAM上的区域划分功能失效。必须开启接口索引唯一功能。

Ruijie(config)#snmp-server if-index persist


12、避免SAM上出现全0地址的用户
          802.1x和无感知认证,都需要通过su客户端或者N18K的dhcp snooping表获取认证用户的IP地址,当以下配置漏配时,就会导致N18K拿不到认证用户的IP地址,将全0地址传给SAM服务器。如果SAM服务器又配置了相同IP用户的抢占策略时,就会导致用户被异常踢下线。为了解决这个问题,需要配置以下命令:
          Ruijie (config)# ip dhcp snooping                        //开启IP dhcp snooping
          Ruijie (config)# aaa authorization ip-auth-mode mixed//配置认证用户的IP授权模式为混合模式
          Ruijie (config)# dot1x mac-auth-bypass valid-ip-auth//配置mac无感知认证需要获取IP地址后才允许认证
          Ruijie (config)# dot1x valid-ip-acct enable//dot1x认证和无感知认证的用户,未获取IP会在5分钟后被踢下线
           
13、SAM和N18K在线用户准确性
          为了防止SAM和N18K在线用户信息不一致导致的异常,SAM每天凌晨2点会自动与N18K上核对在线用户信息,删除SAM上假在线用户信息。
          N18K必须开启snmp-server命令,用于跟SAM同步信息:
          Ruijie(config)# snmp-server host 172.18.18.18 informs version 2c ruijie    //ip 为SAM的ip地址。
           
14、开启dhcp snooping对dhcp relay报文的兼容性处理
          默认情况下N18K开启dhcp snooping会默认丢弃由汇聚设备Dhcp relay上来的地址申请报文,需要通过以下命令配置协议兼容。
          DSW-18KX_LX(config)#ip dhcp snooping check-giaddr          //dhcp snooping和relay的兼容命令,防止有relay过的dhcp报文到了N18K被dhcp snooping模块丢弃          

 

15、DB系列线卡仅支持60个CE-VLAN,QINQ隔离场景如果接入集联过多则无法支持        

          QINQ隔离场景接入集联时,CE-VLAN需要递增部署。当集联的交换机接口数量大于60个时,则DB卡无法支持。

          建议首先尝试修改集联拓扑,无法解决时则建议申请更换DB线卡为ED线卡(支持511个CE-vlan)