2024园区网络虚拟化部署最佳实践（分布式VXLAN网关独立ACVXLAN到汇聚）

VXLAN网关，独立AC，VXLAN到汇文档版 发布日 05-28园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立AC，VXLAN到汇聚）目录0303(2024-05-目录了解iMasterNCE-Campus配套产品与版 园区网络虚拟化方案介 园区网络虚拟化分布式网关方案的主要组网介绍和对 园区网络虚拟化分布式方案的详细部署思 组网介 方案规 园区网络虚拟化分布式组网部署最佳实 部署流 规划部署参 部署参数规划注意事 网络管理区部件数据规 整体数据规 iMasterNCE-Campus部署规 iMasterNCE-CampusInsight部署规 DHCP服务器部署规 物理链路数据规 设备纳管数据规 用户子网数据规 WLAN数据规 WLAN安全规 用户接入数据规 业务随行数据规 出口网络数据规 部署前准 安装网络管理区部 安装园区网络设 配置网络管理区网 License激 站点创 创建管理 创建站 导入网络规 配置核心交换机纳 配置汇聚和接入交换机纳管（设备和Eth-trunk信息批量导入场景 配置汇聚和接入交换机纳管（设备手工添加及Eth-Trunk自协商场景 配置汇聚和接入交换机纳管（设备手工添加及Eth-Trunk非自协商场景 配置WAC纳 配置FitAP在WAC上 配置物理链路（核心交换机与出口防火墙对接的聚合链路 Underlay防环配 预配置资源池和认证模 配置Fabric全局资源 配置Underlay自动化资源 用户接入认证模 创建 配置外部网 配置网络服务资 配置接入管理（认证控制点的配置 VN配 创建 配置VN互 WLAN配 配置WAC认证模 配置无线业 配置WLAN安 认证逃生配 有线认证逃 无线认证逃 无线MAC和Portal认证逃 无线802.1X认证逃 出口网络配 配置安全区域及接 配置智能选 配置双机热 配置安全策 配置路 配置NAT服 接入控制配 业务随行配 配置安全 配置安全组策 配置IP-Group同 用户接入认证配置（认证服务器侧 配置802.1x认证（员工 添加用户账 配置认证规 配置授权结果和授权规 配置MAC认证（哑终端，传统MAC认证方式 添加MAC账 配置认证规 配置授权结果和授权规 配置MAC认证（哑终端，MAC自动认证方式 开启终端识别和MAC自动认证功 配置认证规 配置授权结果和授权规 配置MAC优先Portal认证（长期驻厂访客 添加访客账 配置Portal免认证策 配置Portal页面推送策 配置认证规 配置授权结果和授权规 配置Portal自注册认证（临时访客 配置短信平台和短信服务 配置短信通知模板和访客账号策 配置访客自注册Portal页面和页面推送策 配置认证规 配置授权结果和授权规 园区WLAN网规网优建 网络规 网络规划交付流 网络规划准 网络规划设 信号覆 业务分 容量设 设备选 网络部署设 信道规 AP布放设 供电走线设 AP安装方式设 场景网规参 网络优 配置射频调 调优模式配 调优信道配 调优功率配 配置RTS-CTS的工作模式和阈 强制低信号强度用户下 配置智能漫 配置频谱导航（5GHz优先 配置用户限 调整EDCA参 调整Beacon周期并提升Beacon速 降低ProbeResponse报文重传次 配置GI模式为Short 降低STA老化时 降低有线侧下行组播/广播报文速 抑制用户侧上行组播/广播报文梳 开启用户隔离和端口隔 园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立AC，VXLAN到汇聚）1iMasterNCE-Campus0303(2024-05-1了解iMasterNCE-Campus本篇最佳实践是基于智简园区网络解决方案0版本介绍虚拟化分布式网关方案如何部署，所使用到的部件类型和版本如表1-所示。表1-1园区网络虚拟化（分布式网关）支持被iMasterNCE-Campu持通过iMasterNCE-Campu中不建议纳管。本案例中防火墙通过本身eb网管进行配置，未进行纳管产品文档链接：\hUSG支持被iMasterNCE-Campus\hS7700&S8700&S9700&S12700&S16700支持被iMasterNCE-Campus产品文档链接：\hS3700&S5700&S6700支持被iMasterNCE-Campus产品文档链接：\hS3700&S5700&S6700700-支持被iMasterNCE-Campus产品文档链接：\hAirEngine9700产品文档链接：\hAirEngine6700产品文档链接：\hiMasterNCE-产品文档链接：\hiMasterNCE-园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立AC，VXLAN到汇聚）20303(2024-05-区别于传统园区关注独立的单台设备，虚拟化网络关注全网的整体业务体验，通过iMasterNCE-Campu和VXLA技术，实现网络资源能够任意灵活调度。通过虚拟化技术，将物理网络资源进行池化处理，形成可供业务层任意调动的全网资源池，供iMasterNCE-Campu拟网络，分别承载多种不同的业务，拥有相对独立的网络资源，做到了业务与网络解耦，方便业务管理。虚拟化技术保留了网络设计中原有的层次结构、数据通道和所能提供的服务，使得最终用户的体验和独享物理网络一样。多个虚拟网络共享一个物理网络，还能提高网络资源利用率，降低网络运营成本。图2-1Overlay包括Fabric和VNFabric：对Underlay（VN）时，可以选取FabricFabric组网中，对VXLAN隧道端点VTEP（VXLANTunnelEndpoints）做了进一步Border：Fabric网络的边界网关节点，对应实体为物理网络设备，提供网络与外部网络间的数据转发。一般将支持VXLANBordere：abri从这里进入abri网络。一般将支持VXLAN的接入交换机或汇聚交换机作为e。虚拟网络（V）：Virtualtor，通过将abri实例化，能够构建逻辑上隔离的虚拟网络实例（图中的、）。一个VN对应一个隔离网络（业务网络），园区网络虚拟化部署最佳实践（分布式VXLAN园区网络虚拟化部署最佳实践（分布式VXLAN网关，3独立AC，VXLAN到汇聚0303(2024-05-2层或3VXLAN角色：核心交换机作为Border，接入交换机作为用户网关：有线用户网关在，即接入交换机；无线用户网关在Boder心交换机防火墙：CLI/本地Web交换机:CLI/iMasterNCE-Campus，优先采用iMasterNCE-CampusWAC：CLI/本地Web网管，本地Web网管通过iMasterNCE-Campus跳转登有线流量：从Edge入VN，业务随行策略在Edge无线流量：隧道转发，流量从Border（即随板WAC）入VNBorder组网2：分布式VXLAN网关，汇聚交换机作为随板WAC，VXLAN到汇聚-3VXLAN角色：核心交换机作为Bode，汇聚交换机作为e略联动用户网关：Edge防火墙：CLI/本地Web交换机:CLI/iMasterNCE-Campus，优先采用iMasterNCE-CampusWAC：CLI/本地Web网管，本地Web网管通过iMasterNCE-Campus跳转登有线流量：从Edge入VN，业务随行策略在Edge无线流量：隧道转发，流量从（即随板C）入VN，业务随行策略在执行组网3：分布式VXLAN网关，核心交换机随板WAC，VXLAN3VXLAN角色：核心交换机作为Border，汇聚交换机作为用户网关：有线用户网关在，即汇聚交换机；无线用户网关在Boder心交换机防火墙：CLI/本地Web交换机:CLI/iMasterNCE-Campus，优先采用iMasterNCE-CampusWAC：CLI/本地Web网管，本地Web网管通过iMasterNCE-Campus跳转登有线流量：从Edge入VN，业务随行策略在Edge无线流量：隧道转发，流量从Border（即随板WAC）入VNBorder组网4：分布式VXLAN网关，核心交换机旁挂独立WAC，VXLAN3VXLAN角色：核心交换机作为Bode，汇聚交换机作为e略联动用户网关：有线用户网关在，即汇聚交换机；无线用户网关在Boder心交换机WAC部署VRRP双机热备说明：由于独立WAC互联Border的端口会被NCE-Campu默认下发端口隔离配置，因此独立部署P独立之间部署直连心跳线防火墙：CLI/本地Web交换机:CLI/iMasterNCE-Campus，优先采用iMasterNCE-CampusWAC：CLI/本地Web网管，本地Web网管通过iMasterNCE-Campus跳转登有线流量：从Edge入VN，业务随行策略在Edge无线流量：采用隧道转发，流量从Border入VN（从独立WAC转发到Border放通无线用户业务VLAN，根据VLAN入VN），业务随行策略在Border（Border需订阅IP-Group表项园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立AC，VXLAN到汇聚）40303(2024-05-本篇最佳实践基于虚拟化分布式网关方案常用的三层组网介绍部署思路，其中，汇聚交换机做为节点，核心交换机作为Boder选取汇聚交换机作为用户网关，如图4-所示。具体组网说明如下：为了保证链路级可靠性，链路间采用Eth-Trunk无线业务的部署采用t独立C的架构，旁挂独立的设备，设备运行t模式。采用同形态同版本的两台WLAN做P热备或者双链路热备份。管理层部件主要涉及iMasterNCE-Campu、iMastert、P数量，请以各管理层部件产品手册中要求的规格为准，本案例中各部件部署的数据规划选取的是较小配置规格。图4-1大中型园区虚拟化方案分布式网关场景组网图（汇聚做Edge和用户网关，核心做Border）图4-2园区虚拟化网络主要是基于iMasterNCE-Campus新建，按照iMasterNCE-Campus的表4-1iMasterNCE-CampusiMasterNCE-Campus南向、DHCP服务器与用户子网互通。–核心交换机采用手动配置上线，汇聚层和接入层网络设备即插–核心交换机、汇聚交换机和接入交换机以及之间的互连端口、runk到iMasterNCE-Campu。–汇聚交换机和接入交换机以及WAC通过自协商管理VLAN打通管理网络，通过DHCPOption148获取iMasterNCE-Campus的地–AP通过无线自协商管理VLAN打通管理网络，通过DHCPOptionUnderlay–Underlay物理网络中任意两台设备的三层连通，是部署虚拟网络的前提条件。可以选择手动配置或者通过iMasterNCE-Campus自动编排路由。推荐使用iMasterNCE-Campus自动编–考虑路由表能够根据网络拓扑变化而动态刷新，建议规划态路由协议，如F。iMasterNCE-Campu支持F路由自动编排。Underlay交换机须使能P。三层组网推荐将核心层和汇聚层之间的互联链路去使能P，并将每个汇聚交换机及其所下属的接入层交换机规划成一棵独立的P树，汇聚交换机做根桥。–VXLAN控制面采用BGPEVPN，不同Border/Edge间需建立BGP–推荐将Border设备（通常CPU处理能力最强）配置为路由反射器，Edge间不需要再建立BGPEVPN连接，从而减小CPU性能消–外部网络出口采用L3独占出口，与出口防火墙设备对接互联，–通过配置Fabric的网络服务资源完成：用户VN和DHCP服务器的DHCPRelay的配置下发。–有线用户接入控制在Fabric–无线用户接入控制通过WAC的Web页面配置，不在Fabric中配VN–建议根据业务类型划分VN，VN和VN之间默认不允许互访。如–每个VN中又可以划分多个子网，包括静态VLANVLAN用户、静态语音VLAN用户和动态语音VLAN用WAC+FitAP架构，本篇最佳实践以3园区网络虚拟化分布式网无线业务推荐采用隧道转发，无线网关在Bode上，通过Boder入VN。FitAP的无线业务通过WAC的Web网管或者命令行方式进行集中配AP上线主要包括管理网络打通、C的地址信息获取、iMasterNCE-Campu上的PESN校验。其中，管理网络打通、C的地址信息获取可参考“管理网络部署方案-设备开局上线方式”规划；对于iMasterNCE-Campu上的PESN式，实际部署时请根据需求选择对应的上线方式：–提前导入AP信息：该方式需要在AP硬装时采集APESN信息，在Trunk等）一起，一次性导入iMasterNCE-Campus。–AP上线后手动修复：该方式不需要提前采集AP的ESN信息，需要现场施工时逐个安装AP并反馈APESN和位置信息，网络管理SSID和业务VLAN无线可以规划为员工、哑终端、访客三个，其中员工与研发、市场员工无线业务VLAN，哑终端与研发、市场哑终端无线业务VLAN，分别是一对多的关系。实际现网中与无线业务VLAN的对应关系，请根据具体业务需求进行规划。WLAN无线准入可以规划为三种，员工使用x认证，访客使用自注册和优先的ortal认证，哑终端D采用认证。为了实现用户接入能够通过不同认证方式进行认证，abri不仅需制点上绑定相应的认证模板。在分布式网关场景中：–如果VXLAN到接入（即Edge下没有扩展节点），有线用户接入–如果VXLAN到汇聚（即Edge下有扩展节点），有线用户接入认–无线用户接入认证控制点部署在独立WAC用自注册和MAC优先的Portal认证；对于哑终端，采用MAC园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立园区网络虚拟化部署最佳实践（分布式VXLAN网关，独立AC，VXLAN到汇聚）50303(2024-05-本篇最佳实践是基于3园区网络虚拟化分布式网关方案的主要组网介绍和对比中的常三层物理组网，Fabric采用VXLAN独立AC作为WACEdge设备作为有线用户网关；BorderLicenseUnderlayFabricVNWLAN图5-1大中型园区管理层组件涉及iMasterNCE-Campus、iMasterNCE-CampusInsight和网络管理区安装各部件的每台服务器均采用双网卡绑定，然后与堆叠的相连，各部件与核心交换机互通数据规划如图5-所示；部署时各部件的地址、VLAN等资源的整体规划如表5-其中：网络管理区部件的网关为Switch，与CoreVLAN用于iMasterNCE-Campu南向、iMastert南向与管理子网互通。VLAN4012用于iMasterNCE-Campus南向、DHCP服务器与用户子网互通。图5-2网络管理区部件与核心交换机互通数据规划表5-1网络管理区部件部署时IP地址、VLAN4（内部通信平面）VLAN4（业务、北向、南向共平面）VLAN/24（iBMC管理物理服务器VLANVLAN/24（iBMC管理物理服务器VLANDHCP/24（DHCP所用VLAN/24（iBMC管理物理服务器VLAN说明建议把业务面和管理网口的地址规划到同一个网段，如果确实需要业务面和C管理网口的地址不在同一个网段，则需要把两个网段互相打通，否则告警无法上报到控制器。iMasterNCE-CampusiMasterNCE-Campu采用图5-所示。图5-3iMasterNCE-Campus表5-2服务器物理网口配置的IPIPbond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出bond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出IPbond1（业务、北向、南向共平面网卡接口，绑定eth1、iBMC（服务器管理网口，图中未标出说明建议把接口和管理网口的地址规划到同一个网段，如果确实需要接口和管理网口的地址不在同一个网段，则需要把两个网段互相打通，否则告警无法上报到控制器。5-3iMasterNCE-CampusIPIPACA_Nginx浮动IP（bond0浮动IP地③ER浮动IP（bond1浮动IP地址1）：➃管理面负载均衡浮动⑤负载均衡DIP（bond1浮动IPFusionInsight管理浮动IP：通过该IPFusionInsight的管理⑦南向负载均衡虚安装iMasterNCE-Campus过程中，在填写负载南向访问流量；在非景下，iMasterNCE-Campu对外的南向地址，与网络设备侧互通⑧文件服务器负载均衡虚非NAT场景下，iMasterNCE-⑨北向负载均衡虚安装iMasterNCE-Campus过程中，在填写NAT场景下，iMasterNCE-IPFusionInsight数据库主备浮动5-4系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMCFusionInsightiMasterNCE-Campus系统管iMasterNCE-CampusMSP管\hiMasterNCE-Campus租户管\hiMasterNCE-CampusInsightiMastert采用机集群，网络规划采用单平面方式，通过系统本身实现负载均衡，组网如图5-所示。图5-4iMasterNCE-CampusInsight表5-5服务器物理网口配置的IPIPiBMC（服务器管理网口，图中未标出iBMC（服务器管理网口，图中未标出iBMC（服务器管理网口，图中未标出表5-6iMasterNCE-CampusInsight系统的IPIPFusionInsight登录浮动iMasterNCE-CampusInsight登录浮动FusionInsight数据库浮动FusionInsight管理浮动iMasterNCE-CampusInsight南向浮动5-7系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMCFusionInsightiMasterNCE-DHCP图5-5DHCP服务器部署组网图表5-8服务器物理网口配置的IPIP5-9系统登录账号规划（用户名、密码仅为示例，实际规划时请根据业务情况合理iBMC如图5-和表5-1机互通链路在图中未标出，可参考前面“网络管理区部件数据规划”中的整体数据规划。iMasterNCE-Campus纳管”、“配置网络管理区网关”。核心交换机与防火墙、独立C间的聚合链路：核心交换机侧通过iMasterCampu手工创建，防火墙和独立侧通过其eb网管或Cli工具手工创建，具体配置可分别参见“配置物理链路（核心交换机与出口防火墙、独立AC聚合链路）”、“配置安全区域及接口”。图5-65-10FW-Eth-FW-Eth-Aggre-Eth-Eth-Access-Eth-Eth-Eth-Eth-iMasterNCE-Campu汇聚接入交换机管理，一个用于管理。核心交换机与汇聚/接入交换机、核心交换机与间分别采用独立的自协商管理VLAN互通。有线自协商管理VLAN为VLAN，地址池接口为（地址为4），并且启用Ot148选项中携带iMasterNCE-Campus南向地址的功能（地址无需手工配置，自动协商获取）；无线自协商管理VLAN为VLAN4090，地址池接口为VLANIF4090（4），并且启用Otn3选项中携带地址，地址为3（上配置为P源接口），该地址后续在上通过Cli或网管配置，同时需要在核心和C之间打通和CP源接口的路由。图5-7从接入层到核心层的管理网络数据规划5-11NCE-Campus核心交换机对接IPiMasterNCE-Campus南向地址和端口号：iMasterNCE-Campus有线自协商管理VLAN：VLAN––网关接口IP–DHCP––无线自协商管理VLAN：VLAN––网关接口IP–DHCP–自动协商WAC地址功能：开启，WAC和WAC的CAPWAP互通VLAN：VLAN4070，IP无线CAPWAP源接口：VLANIFHSB互通：VLANIF00；WAC2CAPWAP虚拟IP地址：VLANIF4070管理VRRP备份组备份业务：DHCP、用户接入、–VLANIF4070接口IP––抢占时间：1200–HSB主备服务：VLAN4060；本端IP地址为对端端口号均为10241–恢复延迟时间：60–VLANIF4070接口IP–HSB主备服务：VLAN4060；本端IP地址为对端端口号均为10241–恢复延迟时间：60说明本案例中采用核心设备作为的管理网关。如果项目中的数量较多，也可以将汇聚设备作为的管理网关，不同汇聚下的网关放到各自的汇聚设备上，并可以基于不同汇聚配置不同的管理VLAN（可以在不同汇聚上分别配置不同的无线自协商管理VLAN）。当使用在汇聚的方案时，需要通过underla路由将各个汇聚和C的P接口路由打通。建VN（VirtualNetwork）相当于对Fabric进行实例化，一个VN实例可以代表一个业务abri网络的Boder节点和节点是V节点（VXLAN网络的隧道端点）。本案例中，采用分布式网关的abri网络，作为Boder作为e节点的汇聚交换机是有线用户网关。说明在该案例场景中，Boder设备是无线业务的网关。无线业务子网在NCE-Campus上通过VN建，在Boder上接入VN。无线业务数据采用隧道转发方式，通过隧道发送到C，并解封装P隧道头后，二层转发到Boder并在Bode上接入VN，从而可以基于绑定VN实例的路由表进行转发。5-8UnderlayFabricUnderla掩码默认是位。（3950、3951外VLAN：认证前域VLAN入认证通过前，访问ortal页面、下载X客户端等VLAN3001：研发部有线员工终端VLAN3002：研发部无线员工终端VLAN3003：研发部有线哑终端VLAN3004：研发部无线哑终端VLAN3005：市场部有线员工终端VLAN3006：市场部无线员工终端VLAN3007：市场部有线哑终端VLAN3008：市场部无线哑终端VLAN3009：访客无线终端Fabric与DHCP服务器、iMasterNCE-表5-13IPUnderlayUnderlay联UnderlayLoopback接口IP地址。Loopback回口VXLAN地址所在网段也会被自动加入到的OSPF面、下载802.1X/24/24/24/24/24/24/24/24/24Fabric与DHCP服务器、iMasterNCE-5-14RADIUS采用iMasterNCE-Campus内置的RADIUS服务器采用iMasterNCE-Campus内置的Portal服务器用模板内绑定了S、ortal，添加了x、ortal、C三种认证方式。该模板会在认证控制点设备绑定并应用。说明在本案例中，iMasterNCE-Campu上的用户认证模板主要用于有线侧的认证控制点（换机）端口绑定；无线侧需要登录的eb界面进行认证服务器、认证模板的配置，并需要在iMasterNCE-Campu的“站点配置”页签中配置相同的及认证模板。WLAN目前，在部署分布式网关的大中型园区虚拟化方案中，无线网络采用tP架构，tP通过传统方式上线；无线业务子网可接入V，VN中可统一配置有线无线业务子网的网关等；tP的无线业务配置主要通过的eb网管或者命令行方式进行集中配置，具体规划数据下表所示。5-15VAP802.1xMAC802.1xMACarea1-长期驻厂访客：MACPortal临时访客：自注册PortalWLAN5-16指定VAP内每个STA指定VAP内每个STA5-17表5-18指定除ARP/DHCP/DHCPv6/ND除PD报文之外的其他类型的广播报文P有线口下行非caa组播、广播、未知单播抑制，为了减小大量低速广播组播报文对无线网络造成的冲击，建议配置广播/是否有组播业务，如果有，请谨慎配置限速值。表5-19AP限速，单位包/AP有线口下行capwaparp、igmp、nd、other表5-20AP限速，单位ARPIGMPND指定除PD报文之外的其他类型的广播报文用户接入需要规划的数据包括不同类型用户的接入认证方式、以及不同类型用户授权的访问控制策略。本案例中，iMasterNCE-Campu对于每一个专网内的子网间访问控制，将采用基于安全组的业务随行方案进行访问控制，具体数据规划如表5-2、表5-2表5-2所示。对于研发部专网、市场部专网、访客专网，在网络层就已经通过虚拟化技术实现了隔离，如果要实现互通，推荐在防火墙上基于安全策略做访问控制，可以针对访问的应用、端口号等做更精细化的控另外，对于采用认证的园区话机、打印机、摄像头等哑终端设备，本案例列举了两种方式可供选择：传统认证和自动认证。如果采用C自动认证方式，通过开启终端识别和自动认证功能，实现账号。5-21802.1x802.1x00-01-00-传统MAC-MAC00-01-00-传统MAC802.1xMaret_Wiee_Goup（场部无线员工终端）802.1x00-01-00-传统MAC-MAC00-01-00-传统MACup（无线访客终端Portal5-22研发部基于安全组的访问控制策略规划（第一列为源安全组、第一行为目的安5-23市场部基于安全组的访问控制策略规划（第一列为源安全组、第一行为目的安表5-24RD_VN说明：iMasterNCE-Campus授权安全组信息的相应表5-25Market_VN说明：iMasterNCE-Campus授权安全组信息的相应表5-26Guest_VN说明：iMasterNCE-Campus授权安全组信息的相应图5-95-27IPFW-a连接ISP1-IPFW-a连接ISP2FW-a与RD_VNFW-a与FW-aFW-aFW-b连接ISP1-FW-b连接ISP2FW-b与RD_VNFW-b与FW-bFW-b5-28FW-FW-FW-FW-FW-FW-FW-FW-FW-FW-5-29iMasterNCE-\h\h\hiMasterNCE-\h\h\h园区网络设备的具体安装步骤可参考相应版本的产品手册，产品手册链接可参见5-30\hUSG\hS7700&S8700&S9700&S12700&S16700\hS3700&S5700&S6700S5735-\hS3700&S5700&S6700\hAirEngine9700\hAirEngine6700\h设备安装完成后，记录ESN，便于后续录入iMasterNCE-Campus5-10按照网络管理区部件数据规划，网络管理区网关Switch在Switch在完成VLAN、地址配置；同时，还需要按规划数据在各服务器部件后台配置作为三层网关。址。主要用于：iMasterNCE-Campus与管理子网互通，能够向设备进行配置发放；iMasterNCE-CampusInsight与管理子网互通，实现智能运维。址。主要用于：iMasterNCE-Campus与用户子网互通，能够进行用户接入认证；

步骤1在Switch上完成堆叠组建，具体操作请参见\h交换机堆叠助手步骤2按照网络管理区部件数据规划创建Eth-Trunk接口。以创建Eth-Trunk5为例，其他Eth-<Switch><Switch>[Switch]interfaceeth-trunk[Switch-Eth-Trunk5]trunkportxgigabitethernet1/0/31[Switch-Eth-Trunk5]步骤3按照网络管理区部件数据规划创建VLAN，配置runk接口加入VLAN。注意，与Co相连的run接口以runk方式加入VLAN，与服务器相连的物理接口以Aess方式加入VLAN。以创建VLAN、VLAN，加入VLAN、5加入VLAN为例，其他VLAN创建及接口加入VLAN过程略。[Switch][Switch]vlanbatch4001[Switch]interfacexgigabitethernet[Switch-XGigabitEthernet1/0/8]portlink-typeaccess[Switch-XGigabitEthernet1/0/8]portdefaultvlan4001[Switch-XGigabitEthernet1/0/8]quit[Switch]interfacexgigabitethernet[Switch-XGigabitEthernet1/0/9]portlink-typeaccess[Switch-XGigabitEthernet1/0/9]portdefaultvlan4001[Switch-XGigabitEthernet1/0/9]quit[Switch]interfaceeth-trunk[Switch-Eth-Trunk5]portlink-type[Switch-Eth-Trunk5]步骤4按照网络管理区部件数据规划创建VLANIF接口，在接口配置IP[Switch]interfacevlanif[Switch]interfacevlanif[Switch-Vlanif4001]ipaddress54[Switch-Vlanif4001]步骤5配置去往园区管理子网的静态路由，下一跳为Core的VLANIF4009 步骤6配置去往园区用户子网的静态路由，下一跳为Core的VLANIF4012[Switch]iproute-static16 ----

华为智简园区网络解决方案将多个产品部件的软件按照典型场景组合打包推出基于解决方案的时所对应的销售模式，进行相应的Li获取操作。对于商业模式，Li获取操作可参考本页面操作；对于非以根据按照对应产品的Li指导进行操作。说明本方案涉及相关软件采用企业私有云部署场景，iMasterNCE-Campus的License模式采用全N1商业模式仅支持私有云场景，且对应N1商业模式，iMasterNCE-Campus获得的为全局永久License对于模式的Lie应的Li。

本方案涉及软件产品对应的ESN对于iMasterNCE-Campus的ESN，可通过系统管理员账号登录iMasterNCE-Campus，然后选择“系统>用户管理>License管理”，在License管理页面选择如果iMasterNCE-Campus对接了iMasterNCE-CampusInsight，从iMasterNCE-Campus系统界面上获取的ESN会同时包含iMasterNCE-CampusInsight的ESN信息，可供iMasterNCE-CampusInsight的License获取时使用；同时，iMasterNCE-CampusInsight的License也可在iMasterNCE-Campus界面上加载，加载完成后，还需要手动向iMasterNCE-CampusInsight同步License数据。

以下用iMasterNCE-Campus的License获取为例进行介绍，iMasterNCE-CampusInsight的License获取方式跟iMasterNCE-Campus的License获取操作上相步骤1登录华为License系统\h/sdp/portal.html，选择菜单”License激活>在线批量激活>单网元激活（数通使用）”，在搜索框内输入合同号。步骤2勾选对应产品，并填写对应设备的“ESN步骤3单击“确认并激活License步骤4最后下载激活的License步骤5获取License文件后，通过系统管理员账号登录iMasterNCE-Campus，加载License文License管理”，选择“License文件”页签，单击“上传更多License加载的详细信息，可参考iMasterNCE-Campus产品文档中的“License管----iMasterNCE-Campu建主要就是在配置园区网络其他业务前，完成开局前期基础性工作，包括在站点中添加设备、配置iMasterNCE-Campu纳管设备等。在大中型园区网络中，核心/汇聚/接入交换机间通常采用runk换机一般通过命令行配置与iMasterNCE-Campu南向对接，然后完成上线；汇聚/接图5-1所示。（推荐）方式一：设备和runk信息通过模板预先批量导入，runk链路采用自协商批量导入所有交换机的设备信息、互联的Eth-Trunk设备的下行runk接口会默认预配置“runk自协商”功能。核心交换机完成上线后，以核心交换机作为汇聚/管理VLAN功能，最终实现汇聚/接入交换机的即插即用上线。方式二：手工添加设备信息，Eth-Trunk汇聚/接入交换机的管理子网网关，并启用自协商管理VLAN功能；在核心交换机创建与汇聚交换机互联的下行runk接口，并启用runk自协商功能。如果汇聚交换机下连有接入交换机，待汇聚交换机上线后，再采用同样方式进行runk自协商。方式三：手工添加设备信息，Eth-Trunk此种方式适用于少量设备上线场景，并且希望交换机间互联runk工创建。此时，仍以核心交换机作为汇聚/接入交换机的管理子网网关，并启用自协商管理VLAN功能；然后，汇聚/接入交换机通过单物理链路临时即插即用上线；最后，按顺序依次创建接入交换机、汇聚交换机、核心交换机的runk口，并且依次确保接入交换机、汇聚交换机通过runk链路重新上线成功。图5-11汇聚/接入交换机不同上线方式（假设核心交换机已通过命令行在iMasterNCE-Campus上线）

园区站点创建是需要通过租户管理员账号登录iMasterNCE-Campu的北向eb行配置。在创建园区网络站点前，需要先创建租户管理员账号。

通过系统管理员账号登录iMasterNCE-Campus在系统管理员视图下创建MSP及MSP在MSP5-31iMasterNCE-Campus北\h步骤1使用系统管理员账号登录iMasterNCE-Campus说明首次登录系统时，可以用默认的系统管理员账号登录iMasterNCE-Campus《iMasterNCE-Campu缺省帐号与密码》（\h企业网、\h运营商）密码信息。获取该文档需要权限，如需升级权限，请查看网站帮助。步骤2进入“MSP管理”菜单，选择“MSPMSPMSP管理”，单击“创建”，表5-32创建MSP及MSP该MSP所能拥有的MSP选择MSP帐号/密码：P登录时只需要输入帐号密码，帐号/过之后，即可登录成功。步骤3单击右上角的账号，选择“注销”，退出系统管理员视图。使用刚创建的MSP账号登步骤4进入“租户管理”菜单，选择“租户管理>租户管理>租户管理”，单击“创建”，5-33帐号/密码短信验证码：租户管理员登录时，输入帐号/密码验录成功。步骤5单击右上角的账号，选择“注销”，退出MSP管理员视图。使用刚创建的租户管理员----

5-34LSW、步骤1选择“设计>站点设计>说明出口防火墙由于配置较复杂，仍通过命令行或者产品本身的WebiMasterNCE-Campus无线业务管理采用的是WAC+FitAP架构，FitAP由WAC进行统一配置管理。WAC被iMaster----ESN信息可以通过CloudCampusAPP扫描设备等方式获取。\h同时，由于聚合链路不能通过P动态发现，因此需要在iMasterNCE-CampuiMasterNCE-Campu纳管，核心交换机与防火墙之间的聚合链路需要手工创建，其中，核心交换机侧的配置可参见“配置物理链路（合链路）”；防火墙侧的配置可参见“配置安全区域及接口”。步骤1选择“设计>网络设计>步骤2说明iMasterNCE-Campu统原有信息与模板中导入的信息不一致，会导致堆叠系统重启；而且重启前，iMasterCampus会向堆叠系统下发新的堆叠信息（框式交换机t除外）。因此：对于框式交换机，由于通过命令行方式在iMasterNCE-Campu置过程中，执行命令yesn和yss记录原有成员设备ESN、堆叠和堆叠优先级的对应关系，在填写模板时保持与原有组建堆叠时的信息一致。对于盒式交换机，由于通过P方式实现即插即用，需要堆叠系统空配置，而且盒式交换按规划的信息重新启动上线。5-35S12700E-S12700E-设备型号：对于ESN为位的设备款型，非必填；对于ESN为必填。堆叠名称：堆叠设备必填。卡槽号/S12700E-卡槽号/S12700E-S12700E-卡槽号/说明5-37Eth-Eth-0E-H-Eth-Eth-0E-H-Eth-Eth-0E-H-Eth-Eth-0E-H-上游设备端runk际设备查询结果填写，否则可能导致导入时报错。下游设备端runk际设备查询结果填写，否则可能导致导入时报错。说明采用网络规划导入模板将聚合链路的信息导入到站点后，上游设备的下行runk预配置“runk自协商”功能，以确保下游设备后续能通过runk链路在iMasterCampus步骤3填写完成后，在iMasterNCE-Campus上“选择文件”，选中填好的模板文件后，单击说明----

将待管理的设备添加到园区网络站点后，接下来iMasterNCE-Campu点设备间的管理通道，完成设备纳管，以进行后续的业务配置下发。目前，iMasterNCE-Campu主要纳管接入层到核心层的设备，而且核心交换机的纳管需要在核心交换机上通过命令行配置与iMasterNCE-Campu的南向对接。

配置核心交换机与iMasterNCE-Campus对接所使用的VLAN、IP配置核心交换机到iMasterNCE-Campus配置核心交换机使用NETCONFOverSSHCallhome模式与iMasterNCE-说明核心交换机通过命令行配置被iMasterNCE-Campus纳管时，必须要先完成和iMasterNCE-表5-38核心交换机与iMasterNCE-CampusVLANIF接口iMasterNCE-南向接口IPEth-TrunkTrunk<Core>[Core]vlanbatch[Core]<Core>[Core]vlanbatch[Core]interfaceeth-trunk[Core-Eth-Trunk5]portlink-type[Core-Eth-Trunk5]porttrunkallow-passvlan[Core-Eth-Trunk5][Core-Vlanif4009]ipaddress54[Core-Vlanif4009]步骤2配置到iMasterNCE-Campus[Core]iproute-static24 [Core][Core-netconf]source[Core][Core-netconf]sourceip[Core-netconf]callhomeimaster-[Core-netconf-callhome-imaster-campus]ipaddressport[Core-netconf-callhome-imaster-campus]步骤4通过命令行或者iMasterNCE-Campus检查核心交换机是否被iMasterNCE-Campus正[Core]displaynetconfconnect-Netconf :Uploadalarm :Connectedtocontrollerbefore:Controlleraddress :-Controller :-ControllerIP :-Controller :-Management :-ManagementIP :-Register :-Register :-Netconfsrc- : :- Controller No Port1callhomeimaster- 100202 3 4 5 6 ----配置汇聚和接入交换机纳管（设备和Eth-trunk信息批量导入

大中型园区网络中，由于汇聚/接入交换机数量较多，推荐通过5.5.3导入网络规划的方式，将设备和runk信息通过模板预先导入到iMasterNCE-Campu中。后续配置汇聚/接入交换机纳管时，可以将核心交换机作为汇聚/心交换机作为根设备，配置自协商管理VLAN，实现汇聚/接入交换机的即插即用上

配置核心交换机作为汇聚/以核心交换机为根设备，配置自协商管理VLAN说明本案例中，汇聚接入交换机和分别采用独立的自协商管理VLAN，配置管理VLAN时开启无线自协商管理VLAN功能。5-39IPIP表5-40自协商VLAN步骤1在核心交换机上配置管理汇聚/接入交换机的子网，子网网关接口开启DHCP服务器功能，并开启自动协商iMasterNCE-Campus地址功能。选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>子网”，然后单击“创建”，按如下信息配置有线管理子网，配置完成后，单击设备选择“Core”，子网名称为“Manage_Net”，管理VLANID为4080，开启DHCP功能，DHCP开启“管理网络”，然后AP模式选择“FitAP”，“自动协商控制器地址”按钮~00说明核心交换机必须存在可用于动态分配的地址，汇聚/取。推荐一个管理子网地址段中的一半地址段分配给固化地址，另一半用于动态可分配地址；也可以将一半地址配置为保留，后续通过手动配置的方式修改设备的管理为静态时可以使用这部分地址。5-41DHCPAP指定当前子网中AP设备的模式。大中型园区网络，一般采用Fit开启时，当前子网的P服务器自动生成Ot8，子网内的设备可以通过Ot8获取iMasterNCE-Campu地址，完成上线。WAC开启时，当前子网的DHCPServer自动生成Option43，FitAP可以步骤2在核心交换机配置自协商管理VLAN功能，使得核心交换机作为根设备，通过pnp报文选择“部署>设备部署>VLAN为VLAN4080，无线自协商管理VLAN为4090，并将上行口自动放行功能关闭。表5-42配置自协商管理VLAN以当前设备为根设备，可以通过协商机制一级一级将下行级联链路的管理VLAN打通。在有线无线共用一个管理VLAN协商管理VLAN的场景下，如果根设备/级联设备识别到下行端口连接的是，会将端口的DVLAN修改为自协商管理VLAN。以当前设备为根设备，可以通过协商机制一级一级将下行级联链路的无线管理VLAN打通。在有线无线分别规划管理VLAN、自协商管理VLAN和无线自协商管理VLAN同时配置的场景下，如果根设备/联设备识别到下行端口连接的是，会将DVLAN修改为无线自协商管理VLAN，不会修改为自协商管理VLAN。管理为当前设备指定管理VLAN。如果管理VLAN数设置为“默认”。开启该开关后，当前设备的上行口PVID会修改成管理VLAN如果当前设备的上行口为runk口，会自动将管理VLAN通过的VLAN。如果当前设备的上行口为Access，会自动将管理VLANVLANID步骤3检查汇聚/在iMasterNCE-Campus选择“设计>站点设计>设备管理”，查看站点的设备列表，汇聚和接入设备的在iMasterNCE-Campus选择“维护>配置维护>配置结果”，查看向设备下发的配置结果。可以选择指[Aggre-a]displaynetconfconnect-执行命令[Aggre-a]displaynetconfconnect-Netconf :Uploadalarm :Connectedtocontrollerbefore:Controlleraddress :-Controller :-ControllerIP :-Controller :-Management :-ManagementIP :-Register :-Register :-Netconfsrc- : :- Controller No 1callhomeimaster-2 3 4 5 6 登录设备命令行界面查看Eth-Trunk执行命令yeth-trunk查看runk接口的配置信息，包括runk接口状态、本地成员接口状态等。<Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime:10 SystemPriority:120 SystemID:0018-82d4-04c3LeastActive-linknumber:1MaxActive-linknumber:2Operatestatus:up NumberOfUpPortInTrunk:2Status PortPriPortNoPortKeyPortStateSelected 262260910111100Selected 263260910111100SysPriSystemIDPortPriPortNoPortKey3276800e0-fc6e-bb1132768262 3276800e0-fc6e-bb1132768263

----对于大中型园区来说，如果需要管理的网络设备数量较多，在汇聚/接入交换机通过自协商VLAN功能完成上线后，可以按需规划多个管理VLAN及多个管理子网。而且还可以对不同的汇聚/接入交换机配置静态的管理地址，便于后续运维管理时访问汇聚/接入交换机。不同管理子网的网关接口仍设置在核心交换机，假设切换的新管理VLAN为VLAN，网关地址为4，某接入交换机需要配置的静态管理为1，其具体配置过程如下：步骤1[Switch]iproute-static24 步骤2通过手工静态配置的方式，将核心、汇聚、接入交换机互联的Eth-Trunk接口，以trunk方式加入VLAN4081。以核心交换机连接汇聚交换机的Eth-Trunk1为例，在iMasterNCE-Campus具体操作如下。选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，并在对应设备列表中选择核心交换机，然后在接口面板上选中Eth-VLAN增加VLAN4081。配置完成后，单击“应用”。步骤3在核心交换机上创建新的管理子网，在iMasterNCE-Campus选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角“交换机>子网”，然后单击“创建”。设备选择“Co”，子网名称为“1”，管理VLAN为1，接口获取方式选择手动，配置地址为4；关闭P功能。配置完成后，单击“确步骤4将站点中汇聚/接入交换机的管理VLAN切换到新的管理VLAN，并配置静态IP地址。以接入交换机Access-a为例，配置的静态管理IP为，在iMasterNCE-Campus选择“部署>设备部署>管理VLAN”，并在对应设备列表中选择接入交换机A，单击，选择“管理VLAN类型”为自定义，配置“管理VLAN”为VLAN，“上行口自动放行”按钮开启（如果步骤中已配置A上行口加入VLAN，可不开启），“获取方式”选择“静态”，配置“地址”为“1”，掩码为“”，网关地址为“4”。配置完成后，单击“确定”。说明汇聚/接入交换机切换了新的管理VLANiMasterNCE-Campus南向与汇聚/接入交换机能通过新的管理VLAN----配置汇聚和接入交换机纳管（Eth-Trunk自协

大中型园区网络中，也有可能存在少量汇聚/接入交换机通过手工方式添加到iMasterNCE-Campu的场景，不采用网络规划模板批量导入。此时，核心/汇聚/互联的runk链路的建立仍希望采用自协商方式，可按照本章节思路进行配置。将汇聚/如果汇聚/配置核心交换机作为汇聚/以核心交换机为根设备，配置自协商管理VLAN在核心交换机创建与汇聚交换机相连的下行runk接口，runk接口启用自协商功能。在汇聚交换机创建与接入交换机相连的下行runk接口，runk接口启用自协商功能。汇聚交换机可进行预配置，上线后iMasterNCE-Campus会自动向其下发Eth-开启Eth-Trunk步骤1将汇聚/选择“设计>站点设计>设备管理>设备”，单击“添加设备”，将设备ESN、角色说明对于交换机、AP和WAC设备，必须在站点中录入ESN步骤2假设汇聚/选择“设计>站点设计>设备管理>叠”，添加堆叠成员，并填写堆叠、堆叠优先级等信息。配置完成后，单击“确定”。步骤3配置核心交换机作为汇聚/接入交换机的管理子网网关，详细配置可参考5.5.5配置汇步骤4以核心交换机为根设备，配置自协商管理VLAN功能，详细配置可参考5.5.5配置汇聚步骤5在核心交换机创建与汇聚交换机相连的下行Eth-Trunk接口，Eth-Trunk接口启用自协选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，进入物理接口配置页面。单击手工添加的堆叠系统，在2台成员交换机的置”中，设置runk编号，并在“高级”区域启用“runk自协商”按钮。配置完成后，单击“应用”。步骤6按照步骤5的配置过程在汇聚交换机创建与接入交换机相连的下行Eth-TrunkEth-Trunk步骤7开启Eth-Trunk使用runk自协商场景纳管的设备，如果设备出现上下线时，会触发runk口重新添加和协商，导致期间网络不通，推荐所有设备通过runk自协商方式上线后，再开启runk率，从而避免自协商的runk发生震荡。Eth-Trunk选择“部署>设备部署>管理VLAN”，开启Eth-Trunk步骤8检查汇聚/在iMasterNCE-Campus选择“设计>站点设计>设备管理”，查看站点的设备列表，汇聚和接入设备的在iMasterNCE-Campus选择“维护>配置维护>配置结果”，查看向设备下发的配置结果。可以选择指执行命令displaynetconfconnect-status查看交换机上的NETCONF配置，包括与iMasterNCE-Campus的连接状态等。[Aggre-a]displaynetconfconnect-Netconf :Uploadalarmstatus :enableConnectedtocontrollerbefore:yesControlleraddresssource :--ControllerURL :--ControllerIP :-Controllerport :--Management :-ManagementIPaddress :--Registerphase :--Register :-Netconfsrc-ipNetconfsrc-ipNetconfsrc-ipv6Netconfsrc-portControllerinformationNoMode ::-:1callhomeimaster- 登录设备命令行界面查看Eth-Trunk执行命令yeth-trunk查看runk接口的配置信息，包括runk接口状态、本地成员接口状态等。<Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime:10 SystemPriority:120 SystemID:0018-82d4-04c3LeastActive-linknumber:1MaxActive-linknumber:2Operatestatus:up NumberOfUpPortInTrunk:2Status PortPriPortNoPortKeyPortStateSelected 262260910111100Selected 263260910111100SysPriSystemIDPortPriPortNoPortKey3276800e0-fc6e-bb1132768262 3276800e0-fc6e-bb1132768263 ----配置汇聚和接入交换机纳管（Eth-Trunk非自

大中型园区网络中，也有可能存在少量汇聚/接入交换机通过手工方式添加到iMasterNCE-Campu的场景，不采用网络规划模板批量导入。此时，核心汇聚/互联的runk链路希望通过手工创建，可按照本章节思路进行配置。说明核心/汇聚/接入交换机间互联采用Eth-Trunk如果上游设备已经在iMasterNCE-Campu上线，并且下行runk接口已经创建，则需要临时保持runk接口仅有一个物理成员接口Up，确保下游设备能够临时通过单物理链路自协商管理VLAN成功，然后在iMasterNCE-Campu行runk接口。如果上游设备已经在iMasterNCE-Campu上线，但下行runk接口没有创建，则下游设备临时通过单物理链路自协商管理VLAN成功，并在iMasterNCE-Campu建下游设备的上行runk接口，然后创建上游设备的下行runk接口，否则可能会导致下游设备不能重新通过runk链路在iMasterNCE-Campu上线。

将汇聚/如果汇聚/配置核心交换机作为汇聚/以核心交换机为根设备，配置自协商管理VLAN等待汇聚/接入交换机临时采用单物理链路在iMasterNCE-Campus即插即用上汇聚/接入交换机上线后，在接入交换机和汇聚交换机间创建Eth-Trunk首先在接入交换机创建与汇聚交换机相连的上行runk机创建与接入交换机相连的下行runk接口。在汇聚交换机和核心交换机间创建Eth-Trunk首先在汇聚交换机创建与核心交换机相连的上行runk机创建与汇聚交换机相连的下行runk接口。步骤1将汇聚/选择“设计>站点设计>设备管理>设备”，单击“添加设备”，将设备ESN、角色说明对于交换机、AP和WAC设备，必须在站点中录入ESN步骤2假设汇聚/选择“设计>站点设计>设备管理>叠”，添加堆叠成员，并填写堆叠、堆叠优先级等信息。配置完成后，单击“确定”。步骤3配置核心交换机作为汇聚/接入交换机的管理子网网关，详细配置可参考5.5.5配置汇步骤4以核心交换机为根设备，配置自协商管理VLAN功能，详细配置可参考5.5.5配置汇聚步骤5等待汇聚/接入交换机临时采用单物理链路在iMasterNCE-Campus即插即用上线。步骤6汇聚/接入交换机上线后，在接入交换机和汇聚交换机间创建Eth-Trunk链路。在接入交换机创建与汇聚交换机相连的上行Eth-Trunk选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，进入物理接口配置页面。单击相应的接入层堆叠系统，在成员交换机的接口面板上选中需要聚合的成员接口，然后单击“聚合”；然后在下面的“接口配置”中，设置runk编号。配置完成后，单击“应用”。按照上面的步骤，在汇聚交换机创建与接入交换机相连的下行runk步骤7按照步骤的配置过程在汇聚交换机和核心交换机间创建runk链路。在汇聚交换机创建与核心交换机相连的上行Eth-Trunk在核心交换机创建与汇聚交换机相连的下行Eth-Trunk检查汇聚/在iMasterNCE-Campus选择“设计>站点设计>设备管理”，查看站点的设备列表，汇聚和接入设在iMasterNCE-Campus选择“维护>配置维护>配置结果”，查看向设备下发的配置结果。可以选执行命令displaynetconfconnect-status查看交换机上的NETCONF配置，包括与iMasterNCE-Campus的连接状态等。[Aggre-a]displaynetconfNetconf Uploadalarm ConnectedtocontrollerbeforeControlleraddress -Controller :-ControllerIP :-Controller :-Management -ManagementIP -Register :-Register :-Netconfsrc- : :- No 1callhomeimaster-2 3 4 5 6 登录设备命令行界面查看Eth-Trunk执行命令displayeth-trunk查看Eth-Trunk接口的配置信息，包括Eth-<Aggre-a>displayeth-Eth-Trunk10'sstateinformationLAGID: WorkingMode:PreemptDelayTime:10 SystemPriority:120 SystemID:0018-82d4-04c3LeastActive-linknumber:1MaxActive-linknumber:2Operatestatus:up NumberOfUpPortInTrunk:2Status PortPriPortNoPortKeyPortStateSelected 262260910111100Selected 263260910111100SysPriSystemIDPortPriPortNoPortKey3276800e0-fc6e-bb1132768262 3276800e0-fc6e-bb1132768263 ----配置WAC

本案例中，采用双机热备方案，首先C成员设备需要添加到站点中，同时需要通过命令行或者B网管的方式提前配置好双机热备功能，配置完成后再通过NCE-Campu向站点添加组。核心交换机与独立C间的聚合链路：核心交换机侧通过iMasterNCE-Campu手工创建，独立侧通过B网管或Cli工具手工创通过WEB网管配置WAC将WAC配置核心交换机作为WAC以核心交换机为根设备，配置无线自协商管理VLAN在核心交换机上创建互联WAC的下行Eth-Trunk使用Cli工具配置WAC上云，对接iMasterNCE-在iMasterNCE-Campus上添加WAC步骤1通过WEB网管配置WAC配置AC#单击“配置>配置向导>AC”，进入“AC“所在国家/地区”按实际情况选择，以“中国”为例。“系统时间”配置为#量修改”，配置接口加入Eth-Trunk1，选择“接口类型”为“Hybrid”，并将接口加入VLAN4070（管理VLAN）和VLAN4080（设备纳管VLAN）。单击“应“GigabitEthernet0/0/1”加入VLAN4060（HSB心跳）。##VLANIF4070的IP地址为/24#配置接口VLANIF4060的IP地址为/24，接口VLANIF408000/24（从核心交换机管理地址池的保留IP中选取展开“静态路由表”，新建到iMasterNCE-Campu为核心交换机有线设备管理VLAN的地址。单击“确定”完成配置。#使用同样的方式新增到FitAP管理网段的静态路由，目的IP为#单击“下一步”，进入“AC配置WAC#开启双机热备（VRRP方式）。单击“新建”，进入“新建VRID”页面。创建管“VLANIF/IP“VRID“VRRP类型”为“管理VRRP“虚拟IP“抢占延迟时间(秒)#单击“确定”。配置HSB“本地IP“对端IP“关联VRID#开启配置同步，并配置“PSK#单击“下一步”，进入“AC配置AC#“AC源地址”选择“IP地址”，配置为“”。配置DTLS加密预共#确认配置，单击“完成”。WAC2的配置和WAC1配置使能无线用户IPv6#选择“AC配置”下的“基本配置”，进入“AC基本配置”页面。配置使能无线“维护>AC维护>系统管理”，在管理面隔离页签关闭管理面隔离：步骤2将WAC选择“设计>站点设计>设备管理>设备”，单击“添加设备”，将设备ESN、角色说明对于交换机、AP和WAC设备，必须在站点中录入ESN步骤3配置核心交换机作为WAC的管理子网网关（VLAN4090），详细配置可参考5.5.9配置FitAP在WAC上线。步骤4以核心交换机为根设备，配置无线自协商管理VLAN功能，详细配置可参考5.5.5配置步骤5在核心交换机上创建互联WAC的下行Eth-Trunk 在核心交换机创建与WAC相连的下行Eth-Trunk选择“部署>设备部署>站点配置”，选择“站点配置”页签，在左上角选择“交换机>接口”，进入物理接口配置页面。单击相应的接入层堆叠系统，在2台下面的“接口配置”中，设置Eth-Trunk编号6和7，并将接口加入VLAN4070和说明由于无线业务报文从WAC进入核心交换机，并直接在核心交换机入VNVN配置时需要选择核心交换机的Eth-Trunk6/7NCE-Campu下发的链路类型默认为Hybri类型，因此此处互联C的runk7的链路类型