华为高教校园网络办理方案 方案规划

方案规划
高教校园虚拟化网络主要是基于iMaster NCE-Campus部署，按照iMaster NCE-Campus的业务设置模型进行部署规划，详细规划如表4-1所示。
表4-1 园区虚拟化网络新建方案规划
规划项
    
详细部署思路
管理网络部署方案
    
高教校园网络的管理网络保举采用带内管理，BRAS、防火墙、WAC、汇聚层装备、以及接入层装备的管理网关规划在核心互换机上。
    iMaster NCE-Campus与园区内网对接
    网络管理区网关与核心互换机之间通过三层路由互通。建议在网络管理区网关规划2条静态路由，一条用于iMaster NCE-Campus南向、iMaster NCE-CampusInsight南向与管理子网互通；一条用于iMaster NCE-Campus南向、DHCP服务器与用户子网互通。
    装备开局上线方式
        核心互换机和WAC采用手动设置上线，汇聚层和接入层网络装备即插即用上线。
        核心互换机、汇聚互换机和接入互换机之间的互连端口、Eth-Trunk信息需提前规划好，然后通过网络规划模板导入到iMaster NCE-Campus
        汇聚互换机和接入互换机通过自协商管理VLAN打通管理网络，通过DHCP Option 148获取iMaster NCE-Campus的地址信息。
        AP通过自协商管理VLAN打通管理网络，通过DHCP Option 43获取WAC的地址，然后在WAC上线。
Underlay部署方案
    
    Underlay路由规划
        Underlay物理网络中任意两台装备的三层连通，是部署虚拟网络的前提条件。可以选择手动设置或者通过iMaster NCE-Campus自动编排路由。保举使用iMaster NCE-Campus自动编排。
        思量路由表可以或许根据网络拓扑变革而动态刷新，建议规划IGP动态路由协议，如OSPF。iMaster NCE-Campus支持OSPF路由自动编排。
    Underlay防环规划
    整网采用树形布局，核心层与汇聚层、汇聚层与接入层装备间为点到点毗连，物理拓扑天然无环。为防止由于误连线等造成的环路，互换机须使能MSTP。三层组网保举将核心层和汇聚层之间的互联链路去使能MSTP，并将每个汇聚互换机及其所下属的接入层互换机规划成一棵独立的MSTP树，汇聚互换机做根桥。
Overlay部署方案
    
    Fabric规划
        VXLAN控制面采用BGP EVPN，差异Border/Edge间需建立BGP EVPN毗连，以Loopback接口作为建立BGP毗连和VXLAN隧道封装的源接口。
        保举将Border装备（通常CPU处理惩罚能力最强）设置为路由反射器，Edge间不必要再建立BGP EVPN毗连，从而减小CPU性能斲丧。
        外部网络出口采用L2范例，与BRAS装备对接互联。
        有线用户和无线用户的认证在BRAS上设置，不在Fabric中设置。
    VN规划
        建议部署一个VN，部署VN时选择网关在Fabric外部，并手工指定VLAN。
WLAN部署方案
    
    目前，在部署集中式网关的虚拟化方案中，无线网络采用WAC+Fit AP架构，本案例使用独立WAC纳管AP。
    无线业务保举采用隧道转发，AP到核心之间管理VLAN必要手工打通。
    Fit AP的无线业务设置通过WAC的Web网管或者命令行方式进行集中设置。
    AP上线方式
    AP上线主要包罗管理网络打通、WAC的IP地址信息获取、iMaster NCE-Campus上的AP ESN校验。其中，管理网络打通、WAC的IP地址信息获取可参考“管理网络部署方案 - 装备开局上线方式”规划；对于iMaster NCE-Campus上的AP ESN校验，支持以下两种方式，实际部署时请根据需求选择对应的上线方式：
        提前导入AP信息：该方式必要在AP硬装时收罗AP ESN信息，在网络规划模板中填写ESN、AP名称，连同其他信息（如Eth-Trunk等）一起，一次性导入iMaster NCE-Campus。
        AP上线后手动修复：该方式不必要提前收罗AP的ESN信息，必要现场施工时逐个安装AP并反馈AP ESN和位置信息，网络管理员可以同步在iMaster NCE-Campus纳管AP并根据AP位置修改AP名称。
    SSID和业务VLAN规划
    园区内仅规划一个SSID，无线用户权限在BRAS上通过认证进行控制。用户VLAN根据楼栋进行分别，每栋楼规划一个业务VLAN、
    WLAN网络准入规划
    在WAC部署的无线用户接入的安全策略统一设置为OPEN，无线用户接入后同有线用户一样在BRAS上进行认证和权限控制。
出口网络部署方案
    
    Fabric与BRAS之间建立L2范例出口。
    用户流量到达BRAS之后，经过认证，将用户流量根据用户属于哪个运营商，或者用户访问目的地址是否为教诲网对用户流量进行区分。
    在核心互换机上根据用户流量的分类创建相应的VPN实例，同BRAS创建差异的三层接口并绑定对应的VPN实例，区分后的流量分别通过差异的三层接口送回核心互换机。送回核心互换机的北向流量通过差异的接口接入防火墙上对应的虚拟体系，通过防火墙上差异虚拟体系毗连差异的外部网络。
认证部署方案
    
    有线和无线用户的认证统一在BRAS装备上进行。
    认证方式为IPOE的MAC优先的Portal认证。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。