2024园区网络特性级部署最佳实践

401(2021-04-01(2021-04-TOC\o"1-5"\h\z\u 简 盒式组建堆叠最佳实 盒式组建堆叠流 选择款型和堆叠方 连接堆叠线 配置堆叠参 框式组建集群最佳实 框式组建集群流 选择款型和集群方 连接集群线 配置集群参 堆叠系统纳管最佳实 堆叠系统纳管流程推 添加设 添加堆叠系 配置堆叠纳 配置堆叠系统多主检 相关信 简 园区网络虚拟化方案介 园区网络虚拟化方案选 园区网络虚拟化部署最佳实践（集中式网关 业务配置下发方式建 Border和Edge设备款型推 Underlay路由部署最佳实 创建用户接入认证模 配置 创建 创建外部网 创建网络服务资 配置接入管 VN部署最佳实 创建 配置VN互 园区网络虚拟化部署最佳实践（分布式网关 业务配置下发方式建 Border和Edge设备款型推 Underlay路由部署最佳实 创建用户接入认证模 配置 创建 创建外部网 创建网络服务资 配置接入管 VN部署最佳实 创建 配置VN互 简 园区网络接入控制方案介 园区网络接入控制过 用户接入认证技 策略联 业务随 终端识 园区网络接入控制方案部署最佳实践（虚拟化集中式网关场景 RADIUS服务器和Portal服务器选择建 认证控制点选择建 认证执行点选择建 策略执行点选择建 用户接入认证部署最佳实 认证方式选择建 配置认证控制 配置策略联 配置认证服务 业务随行方案部署最佳实 配置安全 配置安全组策 园区网络接入控制方案部署最佳实践（虚拟化分布式网关场景 RADIUS服务器和Portal服务器选择建 认证控制点选择建 认证执行点选择建 策略执行点选择建 用户接入认证部署最佳实 认证方式选择建 配置认证控制 配置策略联 配置认证服务 业务随行方案部署最佳实 配置安全 配置安全组策 园区网络接入控制方案部署最佳实践（传统非虚拟化场景 RADIUS服务器和Portal服务器选择建 认证控制点选择建 认证执行点选择建 策略执行点选择建 用户接入认证部署最佳实 认证方式选择建 配置认证控制 配置策略联 配置认证服务 业务随行方案部署最佳实 配置安全 配置安全组策 简 终端识别原理介 终端识别部署最佳实践（虚拟化场景 终端识别部署流 配置基于被动指纹采集的终端识 配置基于主动扫描的终端识 终端识别部署最佳实践（非虚拟化场景 终端识别部署流 配置基于被动指纹采集的终端识 配置基于主动扫描的终端识 终端识别在园区网络应用最佳实 同一用户账号在不同类型登录时授予不同权 哑终端批量MAC自动认 基于黑名单对挂失终端做准入限 基于终端识别的园区数字化运 1101(2021-04-01(2021-04-

本文档主要介绍大中型园区网络中，堆叠系统被iMasterNCE-Campus纳管的最佳实践，帮助网络工程师快速理解并掌握堆叠系统如何在iMasterNCE-Campus上线注册。本文档中描述的堆叠系统包括框式集群（S）和盒式堆叠（Stack）。不管是框式集群还是盒式堆叠，在iMaster-Campu差异时统一描述为堆叠，有差异时描述为框式集群和盒式堆叠。1-1NCE-Campus纳管。不管是框式集群还是盒式堆叠，在被iMasterNCE-Campus纳管时，都需要手动完成堆叠系统的组建，同时在iMasterNCE-Campus中添加堆叠系统信说明1-2配置堆叠参数包括：配置堆叠口、配置堆叠优先级和堆叠ID配置堆叠优先级和堆叠IDID支持堆叠功能的交换机型号与支持被iMasterNCE-Campus纳管的交换机型号不完全一致，所以为了保证堆叠系统能够被iMasterNCE-Campus纳管，必须选择二者的交集。\h\h1-1S5735-S5735-S5735-L12T4S-A、S5735-L12P4S-A、S5735-L24T4S-通过iMasterNCE-Campus堆叠台数太多有CPU1-2\h1-31-41-51-6本端设备的逻辑堆叠端口1必须与对端设备的逻辑堆叠端口2LI、S5720-SIS5720S-SIS5720I-SI系列交换机，使用SFP光接口做堆叠口\h\h1-71-81-3步骤1执行命令system-view，进入系统视图。步骤3执行命令portinterfaceinterface-typeinterface-number1tointerface-typeinterface-number2&<1-10enable，配置业务口为物理成员端口并将其加入到逻1-9选举过程叠优先级和交换机的系统。交换机的系统C是生产厂商设置的，无法进行修ID如果交换机的堆叠ID在堆叠系统中未被使用，则交换机就使用该堆叠ID如图1-1所示，台交换机组建堆叠，堆叠和堆叠优先级配置如下所示。待堆叠线缆连接好后，从上到下分别为交换机上电或同时为所有交换机上电。堆叠系统启动完成后，堆叠为1的交换机为主交换机，堆叠为的交换机为备交换机，堆叠为的交换机为从交换机。1-10ID1-111-4从业务连续性来讲，建议使用S12700E1-12本框与对框连接的集群端口的类型必须一致，如都为10GSFP+光接口，否则将无按照含两个物理成员口，两个物理成员口分布在两块业务板上，实现不同业务板上的集群链路形成备份，避免一条链路故障，集群系统分裂。如图1-1所示。1-5集群卡集成于集群卡集成于SFUBVSTSA集群卡集成于SRUK集群卡集成于SFUKVQ061-13VQ06VQ06建议在每块集群卡上连接集群线缆的数量相同（1-14VS08VS08建议在每块集群卡上连接集群线缆的数量相同（1-15SFUBSFUB如果一框交换网板为B，另一框为A，则B上可以用4*10G的接口与对框8集群卡上组的四个接口任意连接。既可以使用4*10G的接口与对框4*10G接口任意连接也可以使用40G40G1-16S12710S771010G1-17S12710S771040GS12710和S7710主控板和交换网板的集成集群卡上有两种类型的接口（4*10G接口和40G接口可选择其中一种连接。连接10G接口时，需要根据上图将相同编号的接口一一对接，接口编号必须一致（如左框蓝连接右框蓝）。VSTSA1-18VSTSA1-19VS04VS04步骤1执行命令system-view步骤2执行命令interfacecss-portport-id步骤3执行命令portinterfaceinterface-typeinterface-number1tointerface-typeinterface-number2&<1-10enable，配置业务口为物理成员端口，并将物理成员

默认情况下，交换机的集群框都是，相同框以为了完成集群系统组建，需要手动配置集群框。一般建议将主交换机的框设置为，备交换机的框设置为，与主交换机的选举原则一致，这样在查看配置时，接口的排列就是有序的，便于查看。端口号。当希望通过导入配置文件的方式下发iMasterNCE-Campus无法下发的配置堆叠系统组建完成后，就可以向iMasterNCE-Campus添加堆叠系统，完成堆叠系统纳管，从而能够让iMasterNCE-Campus对堆叠系统进行配置下发。基于不同的场景，1-20iMasterNCE-Campus流程：手工方式在iMaster-Campu添加堆叠系统信息，包括堆叠、堆叠优先级等，然后再配置堆叠系统与iMaster-Campu络场景中，如果不具备预先规划网络的条件，或者设备数量较少时，可采用此流程部署。流程2：配置堆叠系统与iMasterNCE-Campus对接，实现互通；然后iMaster导入到iMasterNCE-Campus中，然后再配置堆叠系统与iMasterNCE-Campus互ESNiMasterNCE-Campus进行堆叠系统纳管时，首先就是要创建一个代表园区网络的站系统上执行命令displayesn获取所有成员交换机的ESN，通过拷贝记录ESN。1-6ESN获取ESN直接使用发货清单中的通过扫码获取在堆叠系统上执行命令displayesnESNESN

获取设备ESN后，就可以向站点中添加设备。iMasterNCE-Campus提供了很灵活的三1-21方式二：创建站点时手工添加设备，录入设备的ESN，如图1-221-22在新建网络中，推荐使用手动添加和批量导入两种方式。如果设备数量较少，可以使用手动方式直接在操作界面添加；如果设备数量较多，可以使用模板批量导入。自动扫描需要iMaster-Campu络场景。1-231-241-251-7iMasterNCE-Campus正常通信，通无法与iMasterNCE-Campus通信通过displaystack命令查看盒式堆叠堆叠纳管是指完成堆叠系统在iMasterNCE-Campus上线。为了完成上线，堆叠系统需要获取iMasterNCE-Campus的南向地址，并且要打通堆叠系统与iMasterNCE-CampusiMasterNCE-Campus堆叠系统获取iMasterNCE-Campus南向地址的方式有3种，如表1-8所示。大中型园工程师进站调测。因此推荐通过命令行/Web手动配置的方式获取iMasterNCE-DHCP方式获取iMasterNCE-Campus1-8iMasterNCE-Campus通过在网络中的DHCP服务器配置Option148选项，在堆叠系统启动后，通过向DHCP服务器发送请求报文获取iMasterNCE-在DHCP服务器按照如下格式配置Option148option148asciiagilemode=agile-cloud;agilemanage-agilemode表示交换机是否使能NETCONFagilemanage-mode表示iMasterNCE-Campus地址是URL还agilemanage-port表示iMasterNCE-Campus已经获取iMasterNCE-Campus地址信息，直接通过命令或界面，在堆叠系统上配置iMasterNCE-Campus以推荐使用管理VLAN方式设置iMasterNCE-Campus的地址信1.执行命令system-view2.执行命令netconf，使能NETCONF功能并进入NETCONF视3.执行命令management-vlan，配置交换机和DHCP服务器通4.执行命令controllerip-addressip-addressportport-number，配置iMasterNCE-Campus的IP地址；或者执行命令controllerurlurl-stringportport-number，配置iMasterURL和IP只能二选一，即设备要么配置的是iMasterNCE-Campus的URL，要么配置的是iMasterNCE-Campus的IP。1.执行命令system-view2.执行命令netconf，使能NETCONF功能并进入NETCONF视3.执行命令sourceipip-addressportport-number]，配置交换机与iMasterNCE-Campus进行NETCONF通信时使用的IPv44.执行命令callhomecallhome-name，创建callhome模板并进5.执行命令ipaddressip-addressportport-number，配置iMasterNCE-Campus与交换机进行NETCONF通信的IPv4地址通过Web1.切换工作模式，具体请参见《Web网管操作指南》中的“\h设备\h2.配置iMasterNCE-Campus的地址，具体请参见《Web网管操\hiMasterNCE-Campus地址信息。大中型园区网络中，iMasteriMasterNCE-Campus大中型园区网络中，核心层堆叠系统推荐通过命令行配置与iMasterNCE-Campus南向路由互通，再通过命令行使能NETCONF，配置iMasterNCE-Campus南向地址和端口管后，有如下三种方式实现与iMasterNCE-Campus南向互通：方式一：管理VLAN采用默认VLAN1，如图1-26通过iMasterNCE-Campus在核心堆叠系统上配置VLANIF1作为管理子网网关接口，配置DHCP地址池，Option148携带iMasterNCE-Campus南向地址。由于交换机出厂时默认所有端口加入了VLAN1，所以核心到汇聚、接入在VLAN1内可以互通。汇聚/接入堆叠系统通过VLAN1获取了iMasterNCE-Campus南向地址，在iMasterNCE-Campus上线。1-26VLAN1方式二：管理VLAN采用非默认VLAN1，如图1-27由于VLAN1存在广播风暴的风险较大，一般先使用默认的管理VLAN1上线，然后通过iMasterNCE-Campus在核心堆叠系统上配置VLANIF100作为管理子网网关接口，配置DHCP地址池，Option148携带iMasterNCE-Campus南向地址。同时配置VLANIF1的DHCP地址池和Option148携带的iMasterNCE-Campus的地址。VLANIF1和VLANIF100的Option148配置保持一样，IP地址由于交换机出厂时默认所有端口加入了VLAN1，所以核心到汇聚、接入在VLAN1内可以互通。汇聚/接入堆叠系统通过VLAN1获取了iMasterNCE-Campus南向地址，在iMasterNCE-Campus上线。堆叠系统上线后，iMasterNCE-Campus将管理VLAN修改为VLAN100，堆叠系统下线，重新使用VLAN100上线。1-27VLAN1方式三：管理VLAN采用自协商管理VLAN，如图1-28管理VLAN不使用时也可以通过自协商管理VLAN功能，采用其他VLAN作为管理VLAN。假设VLAN作为自协商管理VLAN用上线的流程如下：通过iMasterNCE-Campus在核心堆叠系统上配置VLANIF100作为管理子网网关接口，配置DHCP地址池，Option148携带iMasterNCE-Campus南向地通过iMasterNCE-Campus在核心堆叠系统启用自协商管理VLAN功能，配置VLAN100为自协商管理VLAN。汇聚/接入堆叠系统通过VLAN100获取了iMasterNCE-Campus南向地址，在iMasterNCE-Campus上线。1-28VLAN堆叠系统被iMasterNCE-Campus纳管后，可以在iMasterNCE-Campus上基于整个园1-29在iMasterNCE-Campus上，支持通过代理检测方式进行多主检测。如图1-29所示的iMasterNCE-Campus>>>>1-301-31\h\h\h\h\h2201(2021-04-01(2021-04-

园区网络虚拟化部署最佳实践（集中式网关园区网络虚拟化部署最佳实践（分布式网关不同网关方案的Underlay不同网关方案的VN（VirtualNetwork，虚拟网络）说明

由此，园区网络引入了基于VXLAN图2-所示。采用VXLA技络解耦，实现一网多用和业务的灵活、快速部署。在虚拟化方案中，园区网络被分为Underlay和络，实现了Overlay与Underlay的分层解耦。创建VN（VirtualNetwork）相当于2-1在VXLAN网络中，进行隧道封装和解封装的端点设备被称为VTEP（VXLANTunnel2-1FabricVN创建VN在VNVLAN为Fabric外部网络，用于VN2-2Edge在智简园区网络虚拟化方案设计中，首先需要确定采用哪种网关方案。网关方案确定后，就可以基于已选择的网关方案，对园区整体网络进行端到端的设计。表2-对这两种网关方案进行了对比，表2-给出了这两种网关方案的推荐组网和适用场景，2.4园区网络虚拟化部署最佳实践（集中式网关）和2.5园区网络虚拟化部署最佳实践（式网关）都是基于推荐组网进行的部署规划。2-2通常Bode节点启用随板C功单。2-3新建网络，终端规模新建网络/改造网络，<规模0，接入交换机不需要支持VXLAN建议通过iMaster-Campu部署网络虚拟化方案。但是在虚拟化集中式网关方案中，WLAN基于如下因素需要考虑其他的配置方式；或者可以通过iMaster-Campu配置，但是不按照iMaster-Campu为网络虚拟化设计的业务配置逻辑进行配置。大中型园区网络中，WLAN一般采用WAC+FitAP架构，AP运行FitAP模式，由WAC集中管理，AP不通过iMasterNCE-Campus进行无线业务配置。集中式网关方案中，无线流量通过P隧道集中转发到C，没有通过进入VN转发，用户网关接口也不通过iMaster-Campu在VN线流量需要进入VN转发：虑，建议优先选择通过iMasterNCE-Campus配置下发；次选通过iMasterNCE-iMasterNCE-Campus跳转登录WAC的命令行界面配置。2-4iMasterNCE-通过iMasterNCE-VLANIF支持，在WAC说明集中式网关方案中，无线接入认证采用iMasterNCE-Campus内置的认证服务器时，iMaster集中式网关方案中，如果WAC采用随板WAC，认证相关模板也可以在iMasterNCE-CampusBorderEdge在集中式网关方案中，作为Bode节点和e节点的交换机均需支持VXLAN协议。根据不同的abri量等因素选择其他款型。2-5集中式网关方案中设备款型推荐（两层物理组网下行端口速率1Gbit/s：S5731S/S5731-下行端口速率2.5Gbit/s、5Gbit/s、10Gbit/s：S5732-下行光接入，端口速率10Gbit/s：S5732-2-6集中式网关方案中设备款型推荐（三层物理组网，VXLAN到接入S6730-下行端口速率1Gbit/s：S5731S/S5731-下行端口速率2.5Gbit/s、5Gbit/s、10Gbit/s：S5732-下行光接入，端口速率10Gbit/s：S5732-2-7集中式网关方案中设备款型推荐（三层物理组网，VXLAN到汇聚S6730-下行端口速率1Gbit/s：S5735-L/S5735-下行端口速率2.5Gbit/s、5Gbit/s、10Gbit/s：S5732-下行光接入，端口速率10Gbit/s：S5732-Underlay通过iMasterNCE-Campus配置OSPF路由自动编排功能，无需手动配置。iMaster创建Fabric时，开启OSPF

2-3Underlay路由编排示意图当Underlay需要部署路由的网络区域小于100所有交换机都会规划到Area0用于建立BGPEVPN对等体。LoopBack接口IP地址所属网段路由也会发布到Area如果Bode与e间需要通过一台二层交换机互联，此时二层透传交换机不能选取为核心或者汇聚角色（iMaster-Campu换机角色）。启用F路由自动编排功能后，二层透传交换机的链路接口会放通相应VLAN。当Underlay需要部署路由的网络区域大于100核心交换机规划到Area0；核心交换机每个下行VLANIF接口，及其级联的汇聚交所有交换机之间规划不同的VLANIF接口实现OSPFtrunk方式添加相应的VLAN作为Border节点的核心交换机，其LoopBack接口IP地址所属网段发布到Area0；如果Bode与e间需要通过一台二层交换机互联，此时二层透传交换机不能选取为核心或者汇聚角色（iMaster-Campu换机角色）。启用F路由自动编排功能后，二层透传交换机的链路接口会放通相应VLAN。OSPFGR

F网络分为四种不同的网络类型，包括广播类型、NBMA、P、P，如果不进行手动设置，会根据链路层协议自动选择相应类型。园区物理网络链路层协议以t为主，缺省F网络类型会自动设置成广播类型，推荐手工设置成P类是Gaeful的简称，又被称为平滑重启，是一种用于保证当路由协议重启时数据正常转发并且不影响关键业务的技术。目前已经被广泛的使用在主备切换和系统升级方面，以保证关键业务的不间断转发。推荐开启OSPFGR通过iMasterNCE-Campus构建一个Fabric下面就展开介绍通过iMasterNCE-Campus构建Fabric网络的具体部署建议。对于WLAN业务，集中式网关方案不通过iMasterNCE-Campus在构建Fabric时规划，具体配置方式可参考前面2.4.1业务配置下发方式建议中的介绍。NAC（NetworkAdmissionControl，网络接入控制）是园区对内网终端进行准入控制2-4FabricRADIUS主要包含服务器地址等信息。推荐采用iMaster-Campu内置的S服务器组件，无需额外部署服务器，简化了网络运维管理，在创建S服务器模板时可选择。Portal主要包含Portal服务器地址和URL等信息。推荐采用iMasterNCE-Campus内置的混合认证很大程度上提升了终端接入的灵活性，当终端接入认证方式发生变化时，也不需要重新配置认证控制点，其缺点就是可能会影响接入认证速度和安全性。比如有线接入端口绑定了C认证模板，采用X认证的终端可能会因为先上送报文触发C认证，认证失败后再进行X认证，而且C认证比认证安全性要低，非法终端可以仿冒地址接入园区网络。2-5VXLAN到接入的集中式网关方案中，认证模板推荐规划SSID如果哑终端和员工终端需要从同一端口接入，比如话机下挂的场景，接入端口需要绑定C的认证模板，为了保证网络接入的安全性，推荐在iMaster-Campu添加哑终端的账号时，绑定终端的地址或者接入设备位置。2-6VXLAN802.1X+MAC的认证模板，为了保证网络接入的安全性，推荐在iMasterNCE-2-8Fabric与BD对应的VBDIF接口可类比于VLANIFVNI为VXLANID，可类比于VLANID，VNI和BD是1:1互联VLAN：FabricVLANVXLAN控制面采用BGPEVPN，不同Border/Edge间需建立BGP对等2-7BDVLAN虽然abri的最大特点是资源池化，但仍然是个网络。abric首先需要进行创建，完成abri基本组网的配置；然后VN才可以构建，并使用abric全局资源池中规划的网络资源。园区网络虚拟化方案中外部网络资源等也是在abri源模型。如图2-所示，集中式网关方案中，创建abric的建议如下：如果是改造园区网络，需要利旧不支持VXLAN的接入交换机，推荐采用VXLAN到汇聚的abri组网。abri创建时需选取核心交换机作为Boder作为节点。推荐接入交换机选取作为abric扩展节点，后续可以在汇聚交换机与接入交换机部署策略联动功能。推荐配置abri设置为端口速率的，abri网络中为e上行隧道侧物理端口。实际设置时仍需根据网络情况选取数值，比如在一个广播域下用户接入情况、接入的端口容量等。不同的Border/Edge间需要建立BGPEVPN对等体。推荐将Border设备（通常CPU2-8Fabric在abri网络的资源模型设计中，通过在Bode节点创建外部网络，使得园区内部终端能够访问外部t等。Bode上创建的每个外部网络资源都会被分配一个F，VN构建过程中选取了一个外部网络资源后，通过其F与VN的F间进行路由互引，实现VN图2-所示。2-9FabricFabric通过iMasterNCE-Campus在Border互联的VLAN和IP共享出口：abri网络的多个VN共享出口，与出口设备互通。由于VN互访必须要在防火墙上配置到达业务子网的回程路由，这也间接导致不同VN间业务子网在防火墙上是可以互通的。如果不同VN间在防火墙仍需隔离，需基于VN内的业务网段配置策略。独占出口：abri网络的每个VN独占一个火墙可以创建多个安全区域，安全区域与独占出口一一对应，到达防火墙的不同VN间业务子网流量是隔离的。如果不同VN间需要在防火墙实现互访，可以在不同安全区域间配置安全策略，配置的安全策略还能够控制互访的应用端口、限制带宽等。2-10FabricL3L32-11Border2-9BorderVN1.在Border上，手如果防火墙基于VRRP且会广播免费ARP报文，报文中携带VRRP备份组的虚拟IP地址和接口的MAC（开启接口虚地址功能时，携带虚地址）。核心交换机收到免费P报文后会刷新缓存表。这样，业务流量路径会切换到备用防火墙上。2-12此时需要在备用防火墙上配置hrpstandby-device命令，将其指定为备机。如图当主用防火墙发生故障时，备用防火墙会切换成主用状态，而且P组（GouptPotoo，用于双机热备的主备状态管理）会对F开销值进行调整：主用防火墙发布的F路由开销值被调整为，备用防火墙发布的F路由开销值被调整为。路由完成收敛后，业务流量路径会切换到备用防火墙上。2-13说明Border侧路由是通过iMasterNCE-Campus创建外部网络资源时配置，防火墙侧路由需要登录其在abri网络的资源模型设计中，通过在Bode业务终端能够访问网络管理区的服务资源，比如P服务器、准入服务器等。Boder上创建的每个网络服务资源都会被分配一个F，VN构建过程中选取了一个网络服务资源后，通过其F与VN的F间进行路由互引，实现VN内业务子网与服务资源的互图2-1所示。在Fabric通过iMasterNCE-Campus服务资源的访问地址，如DHCP服务地址、iMasterNCE-Campus互联的VLAN和IP2-15VN说明Border侧路由是通过iMasterNCE-Campus创建网络服务资源时自动下发，网络管理区网关侧路Fabric扩展AP：下挂设备为华为AP，运行在FitAP模式。主要在配置策略联动时策略联动是指将认证控制点上移到汇聚层/核心层，而且汇聚层/过P隧道能够进行策略的联动，从而在减少认证控制点配置数量的同时，终端接入仍可在接入层进行控制。策略联动借鉴了传统tP接入控制思路。传统tP架构中，C就是认证控制点，而是认证执行点，与P间通过隧道同步用户认证信息。因此，在汇聚/核心层设备作为有线无线统一认证控制点的场景中，适合部署策略联动功能。如果Fabric采用推荐的VXLANVN如图2-17所示，基于iMasterNCE-Campus在创建VN选取外部网络资源，可以实现VN与外部Internet选取网络服务资源，可以实现VN需要创建用户网关VBDIF接口，并通过用户VLAN与BDVN需要配置有线接入，有线用户接入端口需要加入用户VLAN板。对于无线接入，集中式网关方案中不通过iMaster-Campu在创建VN时配置，具体配置方式可参考前面2.4.1业务配置下发方式建议中的介绍。2-17VNVRF在iMasterNCE-Campus的VN配置界面中，用户网关有两种配置方式，包括自动分配手动指定：静态配置用户接入VLAN、网关接口IPDHCPVLAN用户接入VLAN的类型主要包括静态VLAN和动态授权VLAN两种，在VN关时需要选择。表2-1列出了两种接入方式的对比和适用场景。2-10VLANVLANVLAN权对于下联端口有话机的场景，可以在端口上配置语音VLANVLAN如果Portal认证采用动态授权VLAN动态授权VLAN可以选择VLAN池方式授权，认证控制点可以根据授权的VLAN息，自动计算并分配VLAN池内的一个VLAN给接入端口。VLAN池内VLAN对应的子网会接入同一个VN。VN2-11VNBorder2-18VNBorderVN2-19VN相同e节点的不同V子网用户互访：互访流量需要通过该e节点与Boder节点间的VXLAN隧道发送至Bode节点；Bode节点再根据引入的外部网络路由将其转发至防火墙；最后，防火墙根据安全区域间的互访控制策略在VN跨e节点的不同V子网用户互访：互访流量需要通过不同e节点与Boder节点间的VXLAN隧道发送至Bode节点；Bode节点再根据引入的外部网络路由将其转发至防火墙；最后，防火墙根据安全区域间的互访控制策略在VN建议通过iMaster-Campu部署网络虚拟化方案。与网络虚拟化的集中式网关方案相比较，分布式网关方案推荐采用作为随板C，有线无线可以统一在接入VN，可以按照iMasterCampus为网络虚拟化设计的配置逻辑进行配置；但仍由集中配置管理，不通过iMaster-Campu进行无线业务配置。2-12iMasterNCE-Campus配置iMasterNCE-CampusiMasterNCE-CampusiMasterNCE-Campus首先，在iMasterNCE-Campus创建登录WAC的WebBorderEdge在分布式网关方案通常在网络规模更大的三层物理组网中部署，并且abricVXLAN到汇聚，核心交换机作为Boder节点，汇聚交换机作为节点，均需支持VXLAN表2-1所示，实际项目中也可以根据端口容量等因素选择其他款型。2-13S6730-下行端口速率1Gbit/s：S5735-L/S5735-下行端口速率2.5Gbit/s、5Gbit/s、10Gbit/s：S5732-下行光接入，端口速率10Gbit/s：S5732-Underlay通过iMasterNCE-Campus配置OSPF路由自动编排功能，无需手动配置。iMaster创建Fabric时，开启OSPF

2-20Underlay路由编排示意图当Underlay需要部署路由的网络区域小于100所有交换机都会规划到Area0用于建立BGPEVPN对等体。LoopBack接口IP地址所属网段路由也会发布到Area如果Bode与e间需要通过一台二层交换机互联，此时二层透传交换机不能选取为核心或者汇聚角色（iMaster-Campu换机角色）。启用F路由自动编排功能后，二层透传交换机的链路接口会放通相应VLAN。当Underlay需要部署路由的网络区域大于100核心交换机规划到Area0；核心交换机每个下行VLANIF接口，及其级联的汇聚交所有交换机之间规划不同的VLANIF接口实现OSPFtrunk方式添加相应的VLAN作为Border节点的核心交换机，其LoopBack接口IP地址所属网段发布到Area0；如果Bode与e间需要通过一台二层交换机互联，此时二层透传交换机不能选取为核心或者汇聚角色（iMaster-Campu换机角色）。启用F路由自动编排功能后，二层透传交换机的链路接口会放通相应VLAN。

F网络分为四种不同的网络类型，包括广播类型、NBMA、P、P，如果不进行手动设置，会根据链路层协议自动选择相应类型。园区物理网络链路层协议以t为主，缺省F网络类型会自动设置成广播类型，推荐手工设置成P类OSPFGR

是Gaeful的简称，又被称为平滑重启，是一种用于保证当路由协议重启时数据正常转发并且不影响关键业务的技术。目前已经被广泛的使用在主备切换和系统升级方面，以保证关键业务的不间断转发。推荐开启OSPFGR通过iMasterNCE-Campus构建一个Fabric下面就展开介绍通过iMasterNCE-Campus构建FabricNAC（NetworkAdmissionControl，网络接入控制）是园区对内网终端进行准入控制RADIUS主要包含服务器地址等信息。推荐采用iMaster-Campu内置的S服务器组件，无需额外部署服务器，简化了网络运维管理，在创建S服务器模板时可选择。Portal主要包含Portal服务器地址和URL等信息。推荐采用iMasterNCE-Campus内置的

混合认证很大程度上提升了终端接入的灵活性，当终端接入认证方式发生变化时，也不需要重新配置认证控制点，其缺点就是可能会影响接入认证速度和安全性。比如有线接入端口绑定了C认证模板，采用X认证的终端可能会因为先上送P报文触发认证，C认证失败后再进行X认证，而且认证比认证安全性要低，非法终端可以仿冒C地址接入园区网络。802.1X+MAC的认证模板，为了保证网络接入的安全性，推荐在iMasterNCE-2-22与BD对应的VBDIF接口可类比于VLANIFVNI为VXLANID，可类比于VLANID，VNI和BD是1:1互联VLAN：FabricVLANVXLAN控制面采用BGPEVPN，不同Border/Edge间需建立BGP对等2-23BDVLAN虽然abri的最大特点是资源池化，但仍然是个网络。abri首先需要进行创建，完成abri基本组网的配置；然后VN才可以构建，并使用abri全局资源池中规划的网络资源。园区网络虚拟化方案中外部网络资源等也是在abri图2-2所示，分布式网关方案中，创建abri的建议如下：不同的Border/Edge间需要建立BGPEVPN对等体。推荐将Border设备（通常CPU在abri网络的资源模型设计中，通过在Bode节点创建外部网络，使得园区内部终端能够访问外部t等。Bode上创建的每个外部网络资源都会被分配一个F，VN构建过程中选取了一个外部网络资源后，通过其F与VN的F间进行路由互引，实现VN图2-2所示。Fabric通过iMasterNCE-Campus在Border互联的VLAN和IP共享出口：abri网络的多个VN共享出口，与出口设备互通。由于VN互访必须要在防火墙上配置到达业务子网的回程路由，这也间接导致不同VN间业务子网在防火墙上是可以互通的。如果不同VN间在防火墙仍需隔离，需基于VN内的业务网段配置策略。独占出口：abri网络的每个VN独占一个火墙可以创建多个安全区域，安全区域与独占出口一一对应，到达防火墙的不同VN间业务子网流量是隔离的。如果不同VN间需要在防火墙实现互访，可以在不同安全区域间配置安全策略，配置的安全策略还能够控制互访的应用端口、限制带宽等。2-26FabricL3L32-27Border2-15BorderVN1.在Border上，手VN如果防火墙基于VRRP且会广播免费ARP报文，报文中携带VRRP备份组的虚拟IP地址和接口的MAC（开启接口虚地址功能时，携带虚地址）。核心交换机收到免费P报文后会刷新缓存表。这样，业务流量路径会切换到备用防火墙上。2-28此时需要在备用防火墙上配置hrpstandby-device命令，将其指定为备机。如图2-29所示，以OSPFOSPF配置正常发布路由，而备用防火墙发布的OSPF路由开销值则被调整为当主用防火墙发生故障时，备用防火墙会切换成主用状态，而且P组（GouptPotoo，用于双机热备的主备状态管理）会对F开销值进行调整：主用防火墙发布的F路由开销值被调整为，备用防火墙发布的F路由开销值被调整为。路由完成收敛后，业务流量路径会切换到备用防火墙上。2-29说明Border侧路由是通过iMasterNCE-Campus创建外部网络资源时配置，防火墙侧路由需要登录其在abri网络的资源模型设计中，通过在Bode业务终端能够访问网络管理区的服务资源，比如P服务器、准入服务器等。Boder上创建的每个网络服务资源都会被分配一个F，VN构建过程中选取了一个网络服务资源后，通过其F与VN的F间进行路由互引，实现VN内业务子网与服务资源的互图2-3所示。在Fabric通过iMasterNCE-Campus服务资源的访问地址，如DHCP服务地址、iMasterNCE-Campus互联的VLAN和IP2-31VN说明Border侧路由是通过iMasterNCE-Campus创建网络服务资源时自动下发，网络管理区网关侧路Fabric扩展AP：下挂设备为华为AP，运行在FitAP模式。主要在配置策略联动时

策略联动功能是指将认证控制点上移到汇聚层/核心层，而且汇聚层/备通过P隧道能够进行策略的联动，从而在减少认证控制点配置数量的同时，终端接入仍可在接入层进行控制。在有线无线统一认证控制点场景中，P还可以通过P隧道在作为无线认证控制点的C上线。分布式网关方案中，通常采用推荐的VXLAN到汇聚组网，建议在配置abri的接入管理时，规划策略联动功能。如图2-3所示，在作为e机部署策略联动功能。在Edge节点配置策略联动管理VLAN和策略联动管理IP设置该类型可保证端口通过动态协商，允许携带策略联动管理VLANTag的报文通证端口通过动态协商，允许携带策略联动管理VLANTag的报文通过。在分布式网关方案中，如果Fabric组网采用推荐的VXLAN到汇聚，WLANEdge节点作为随板WACEdge节点（即汇聚交换机）通过策略联动管理VLAN配置AP在Edge上线前，推荐在iMasterNCE-Campus上配VN如图2-17所示，基于iMasterNCE-Campus在创建VN选取外部网络资源，可以实现VN与外部Internet选取网络服务资源，可以实现VN需要创建用户网关VBDIF接口，并通过用户VLAN与BDVN需要配置无线接入，选择接入的随板C设备（即）。配置完成后，在VN配置用户网关时指定的VLAN会下发到，在配置无线业务VLAN选取该VLAN。2-34VNVRF在iMasterNCE-Campus的VN配置界面中，用户网关有两种配置方式，包括自动分配手动指定：静态配置用户接入VLAN、网关接口IPDHCPVLAN用户接入VLAN的类型主要包括静态VLAN和动态授权VLAN两种，在VN关时需要选择。表2-1列出了两种接入方式的对比和适用场景。2-16VLANVLANVLAN权对于下联端口有话机的场景，可以在端口上配置语音VLANVLAN如果Portal认证采用动态授权VLAN动态授权VLAN可以选择VLAN池方式授权，认证控制点可以根据授权的VLAN息，自动计算并分配VLAN池内的一个VLAN给接入端口或者。VLAN池内VLAN对应的子网会接入同一个VN。VLAN池方式授权适用于用户子网数目特别多的场景，在分布式网关方案中，之间没有二层隔离，在该场景下推荐使用。在进行VLAN池计算时，可能出现分配不均，出现个别VLAN分配用户数特别多，导致个别VLAN内用户终端因规划的地址池不足，申请不到地址的现象。在配置VN内配置用户网关时，如果接入VLAN采用VLAN池方式，建议规划相应子网的地址数量为实际用户数的以上。VN2-17VNBorder2-35VNBorderVN2-36VN相同e节点的不同V子网用户互访：互访流量需要通过该e节点与Boder节点间的VXLAN隧道发送至Bode节点；Bode节点再根据引入的外部网络路由将其转发至防火墙；最后，防火墙根据安全区域间的互访控制策略在VN跨e节点的不同V子网用户互访：互访流量需要通过不同e节点与Boder节点间的VXLAN隧道发送至Bode节点；Bode节点再根据引入的外部网络路由将其转发至防火墙；最后，防火墙根据安全区域间的互访控制策略在VN3301(2021-04-01(2021-04-

园区网络接入控制方案部署最佳实践（虚拟化集中式网关场景园区网络接入控制方案部署最佳实践（虚拟化分布式网关场景园区网络接入控制方案部署最佳实践（传统非虚拟化场景说明是指传统NAC也可以通过认证控制点同步到认证执行点，但除授权VLAN外，大部分需手工配置，比如授权、授权安全组等。策略执行点：即执行管控策略的设备。一般认证控制点即为策略执行点，比如传统认证给用户，认证控制点根据用户授权的L信息，对用户访问网络进行策略控制。认证控制点和策略执行点也可以分离，比如图中独立旁挂核心交换机，独立作为无线认证控制点，核心交换机作为无线策略执行点。3-1Portal

用户终端与认证控制点间：采用E（ettnPotool，可扩展认证协议）进行认证信息交互。E协议可以运行在各种底层，包括数据链路层和上层协议（如P、P等），而不需要地址。因此使用EP协议的认证具有良好的灵活性。认证控制点与S服务器间：采用协议，通过认证信息交互，完成认证、授权和计费。认证控制点从用户终端接收到包含认证请求的E报文后，会将用户认证信息封装到S报文中，或者将EP报文直接封装到S报文中，然后发送给S服务器。3-2802.1X认证控制点与S服务器间：采用协议，通过认证信息交互，完成认证、授权和计费。认证控制点从ortal服务器接收到ortal用户认证信息封装到S报文中，然后发往服务器。3-3PortalMAC

C认证，全称地址认证，是一种基于终端C地址对用户的访问权限进行控制图3-4所示，制点和认证服务器（通常为S服务器）。用户终端与认证控制点间：认证控制点首次检测到用户终端的MACMAC地址学习，触发MAC认证控制点与服务器间：采用S协议，通过认证信息交互，完成认证、授权和计费。认证控制点触发认证后，会将用户认证信息封装到报文中，然后发往服务器。3-4MACMACPortalC优先的ortal认证是指用户进行ortal接，能够直接通过C认证接入，无需输入用户名密码重新进行ortal认证。该功能需要在设备配置ortal的混合认证，同时在认证服务器上开启优先的ortal认证功能并配置C地址有效时间，用户ortal认证成功后，在地址有效时间内，可以通过MAC认证重新接入网络，如图3-5首次认证失败阶段：用户终端首次浏览网页时，认证控制点会把用户终端的地址发到服务器进行认证，但由于S服务器未查找到地址信息，导致认证失败，触发用户终端进行ortal认证。免认证阶段：在设置的C地址有效时间内，由于S服务器缓存了用户终端的地址，用户终端无需输入用户名、密码进行ortal认证，可通过地址认证。3-5MACPortal

策略联动功能是指将认证控制点上移到汇聚层/核心层，而且汇聚层/备通过P隧道能够进行策略的联动，从而在减少认证控制点配置数量的同时，终端接入仍可在接入层进行控制，如图3-所示。3-6

3-7策略联动工作流程图认证控制点与认证执行点间建立CAPWAP

传统园区网络主要通过对用户的策略进行控制。基于L的策略配置依赖组网、和VLAN的规划，网络的拓扑改变、VLAN规划改变、地址规划改变以及用户的位置变化都会导致规则的变更，因此用户策略的配置无法与物理网络解耦，缺乏灵活性，可维护性差。通过安全组完成了对网络对象的分类，通过安全组策略来定义该安全组能享受的网络服务。在iMaster-Campu络服务，包括访问权限等。3-8

下面结合iMasterNCE-Campus上的部署流程来介绍业务随行的实现过程，如图3-9所3-9在iMasterNCE-CampusiMasterNCE-Campus向策略执行点下发安全组及安全组策略。安全组及组策略需iMaster-Campu用户认证成功后，会向认证控制点下发授权安全组信息，认证控制点可以生成用户终端地址与安全组的动态映射表。用户认证成功后，iMasterNCE-Campus通过获取的终端IP地址，结合安全组授权生变化时，iMasterNCE-Campus通过报文交互自动刷新映射表。通常策略执行点与认证控制点位置相同，会存在与安全组的动态映射表。如果策略执行点与认证控制点位置不同，需要从iMaster-Campu同步的动态映射表。在大中型园区网络中，接入终端除了PC、手机之外，还有IP话机、打印机、IP为了解决上述问题，iMaster-Campu别方法，iMaster-Campu可查看整个园区网络终端的类型、操作系统等摘要信息。基于这些摘要信息，可以对终端进行多维度的精细化管理，比如根据终端类型进行流量统计和呈现，下发指定的授权策略等。另外，对于通常采用认证的园区话机、打印机、摄像头等哑终端设备，还可以实现基于终端识别的自动准入，从而减少管理员手动配置工作量。

3-10终端识别原理示意图被动指纹采集：通过网络设备采集终端报文的特征指纹，上报给iMasterNCE-Campus，然后通过匹配iMasterNCE-Campus自带的指纹库进行终端类型识别。这类终端识别方法包含MACOUI、HTTPUserAgent、DHCPOption、LLDP、主动扫描：通过iMasterNCE-Campus主动探测或扫描终端，根据终端设备的反馈信息做终端类型识别。这类终端识别方法包含SNMPQuery、NMAP方法。3-1在地址由P服务器自动分配的情况下，为了获取地址接入网络，P客户端在申请地址时会向P服务器获取相关的参数。不同的终端从P著特征。常用属性有、0、。接入设备上报信息需要配置DHCPSnoopingC地址由个字节组成。COUI是C地址最左边的个字节就是组织唯一标识符，由E（teorElectricalandElectonicEngineer）分配给各类组织使用，与网卡制造的厂商一一对应。根据E已经分配的地址左边个字节大致能够判断设备制造商。的默认端口是3，每个进入局域网的主机，如果开启了服务的话，都会向局域网内的所有主机组播一个消息。根据消息就能获取产品的信息。接入设备上报信息需要配置mDNSSnoopingP扑分析，通过P协议在首次发现邻居类型和邻居类型变化之后上报P支持P功能的场景。华为接入交换机缺省开启P功能，如果功能去使能，请配置P功能。为了更好地通过网管管理自己生产的设备，很多设备制造商在开发产品时遵循P协议，以便网管能够通过交换机、路由器、电话、打印机。这些设备在向网管上报的设备的运行状态信息通常会包含设备名称、设备类型和设备制造商名称。查询并分析设备的运行状态信息即可识别此类设备。通过SNMP目标设备上运行SNMPiMasterNCE-Campustork网络映射器是一款开放源代码的网络探测和安全审计的工具，主要用于主机发现、端口扫描、服务版本探测、操作系统探测等场景。缺省情况下，iMaster-Campu不支持，加载插件后，支持使用进行主动终端识别。您可以通过华为技术支持网站浏览和获取插件和相关资料，搜索插件使用指南，根据iMaster-Campu联系技术支持人员。MAC

对于打印机、话机、摄像头等哑终端设备，日常一般采用C认证接入网络。如果采用传统的CC量。基于终端识别的自动准入方案，可以解决此问题。管理员可以通过在iMasterCampuC认证的终端类型即可。当终端接入园区网络后，iMaster-Campu通过终端识别获取到相应终端信息，如果终端信息匹配认证规则，会在用于C认证的后台数据库中自动录入C地址，实现终端自动认证授权，如图3-1所示。3-11MACRADIUSPortaliMasterNCE-CampusRADIUSPortal在智简园区网络解决方案中，iMaster-Campu放，实现网络部署自动化的关键部件。iMaster-Campu还支持作为S服务器和ortal服务器，这样在网络接入控制中，可以不用额外部署S服务器和ortal服务器。而且iMaster-Campu在作为S服务器和ortal服务器时，提供了丰富的接入控制功能：内置了S服务器和ortal服务器组件，支持X认证、ortal认证和认证；支持C优先的ortal认证。支持终端识别功能，可以基于终端识别功能，实现MACEdge3-12在采用WAC+FitAP的WLAN架构中，无线用户接入认证报文通过CAPWAP隧道统一转3-13这样，在园区网络边缘设备就可以控制有线用户终端准入。集中式网关的推荐abri网为VXLAN到接入，可以同时作为认证控制点和认证执行点。少数网络设备利旧场景也会采用VXLAN到汇聚，汇聚交换机作为节点。在VXLAN到汇聚场景中，可以在与接入交换机间部署策略联动，不仅能够保证认证控制点不需要从e下移到接入交换机，认证控制点的配置数量不会变多，还使得控制用户终端准入的认证执行点仍位于接入交换机，如图3-1所示。3-14VXLAN策略联动借鉴了传统tP接入控制思路。传统tP架构中，C就是无线认证控制点，而是无线认证执行点，与间通过P隧道同步无线用户认证信息，如图3-1所示。在无线用户接入认证通过前，不允许其访问园区网络。3-15传统策略管控方案通过授权实现，需要基于用户的地址配置L规则，开局部署工作量大，而且如果用户的地址发生变化，方案是基于安全组进行策略设置，iMaster-Campu作为S服务器时可以向用户授权安全组信息，并生成动态的用户地址与安全组的映射表项，向认证控制点下发。这样就可以保证用户终端访问网络策略不随地址的变化而需要重新部署，无论何时何地都能获得相同的网络访问策略。如图3-1所示，假设1属于研发部员工终端，属于市场部员工终端，允许访问2。如果采用传统策略管控方案，当2位置发生变化并且也随之变更时，在1上就需要重新部署策略。而采用业务随行方案，1属于，2属于，配置的安全组策略与无关，当位置发生变化并且也随之变更时，1上的安全组策略也不需要重新部署。3-16Edge推荐在作为有线认证控制点的同时，也作为有线策略执行点，部署业务随行的安全组策略。iMaster-Campu证通过后，可以根据授权的安全组信息和用户终端地址，动态生成安全组表项。当有线用户报文再到达时，就可以根据其地址判断用户终端所属安全组，然后执行安全组策略。传统非虚拟化组网中，如果认证控制点有多个，还需要配置同认证控制点间同步现跨认证控制点的安全组策略控制。虚拟化组网中可以不配置为跨认证控制点的用户报文转发时，用户报文封装的VXLAN报文头会携带安全组信息。如图3-1所示，安全组对应的用户报文需要发往对应的用户，通过VXLAN隧道进行了跨转发，但根据VXLAN报文头携带的信息，执行了禁止访问的安全组策略。3-17VXLANC采用Boder作为随板的推荐组网中，推荐Bode在作为无线认证控制点的同时，也作为无线策略执行点，部署业务随行的安全组策略。iMasterCampu可以在无线用户授权结果中配置安全组信息，用户认证通过后，Bode以根据授权的安全组信息和用户终端地址，动态生成安全组表项。当无线用户报文再到达Bode时，就可以根据其地址判断用户终端所属安全组，然后执行安全组策略。3-18WACBorderBorder作为无线策略执3-2MACMACMA优先的l认证：是指用户终端进行ortal认证成功后，认证服务器会在一定时间内缓存用户终端地址，这段时间用户终端能够直接通过输入用户名密码进行ortal认证。对于访客终端来说，如果要提升访客的网络体验，会采用MAC优先的PortalWLAN3-3WLANWPA和WPA2在安全性上几乎没有差别，WPA/WPA22企业版：采用X的接入认证方式，使用服务器和可扩展认证协议E进行认证。用户提供认证所需的凭证，如用户名和密码，通过特定的用户认证服务器（一般是器）WPA/WPA2个人版：提供了简化的模式，即WPA/WPA2（WPA/WPA2-PSK）通常WLAN在考虑网络准入时，和安全策略会综合考虑，形成适合不同场景的组合控制方案。表3-列出了不同WLAN安全策略，推荐的适用的场景。3-4WLANNACWEPPSK安全性高于WEPXWAPI-PSK有线认证控制点的模板通过iMasterNCE-Campus配置，模板与端口的绑定在说明集中式网关方案中，无线接入认证采用iMasterNCE-Campus内置的认证服务器时，iMasterNCE-Campus需要记录认证控制点、SSID和认证模板的对应关系，在“站点配集中式网关方案中，如果WAC采用随板WAC，认证相关模板也可以在iMasterNCE-3-19

集中式网关方案中，有线认证模板通过iMaster-Campu配置的界面如图3-2所示。无线认证模板通过的eb图3-2域都是通过模板形式进行绑定。混合认证很大程度上提升了终端接入的灵活性，当终端接入认证方式发生变化时，也不需要重新配置认证控制点，其缺点就是可能会影响接入认证速度和安全性。比如有线接入端口绑定了C认证模板，采用X认证的终端可能会因为先上送报文触发认证，C认证失败后再进行X认证，而且认证比认证安全性要低，非法终端可以仿冒地址接入园区网络。3-20iMasterNCE-Campus3-21WACWeb3-22VXLANSSID如果哑终端和员工终端需要从同一端口接入，比如话机下挂的场景，接入端口需要绑定C的认证模板，为了保证网络接入的安全性，推荐在iMaster-Campu添加哑终端的账号时，绑定终端的地址或者接入设备位置。3-23VXLAN802.1X+MAC的认证模板，为了保证网络接入的安全性，推荐在iMasterNCE-

域是用户管理的最小单位，同一个域内的用户会施行同一套认证、授权和计费方案。缺省情况下，设备存在一个全局默认的域。推荐自定义域，如果采用域，不便于维护管理。如果园区内部存在多个服务器，推荐不同的S服务器配置不同的域，基于服务器执行不同的认证、授权和计费方案。在设备利旧场景中，如果利旧的接入交换机不支持VXLAN中式网关方案时，会采用VXLAN线认证控制点保持在e位置（即汇聚交换机），有线认证执行点下移到接入交换机，如图3-2所示。3-24VXLAN在虚拟化方案中，策略联动功能推荐通过iMasterNCE-Campus在Fabric接入管理中配3-25Fabric扩展AP：下挂设备为华为AP，运行在FitAPXX认证在认证服务器侧的配置如图3-2所示，认证服务器为iMasterCampus的S服务器组件。以图中某企业研发部员工终端采用为例，整个配置过程如下：首先，在iMaster-Campu创建用户组e，并在用户组中添加研发部员工终端账号。iMaster-Campu户认证请求中的账号信息。3-26802.1XiMasterNCE-CampusX认证主要用于对安全要求高的员工终端，iMasterNCE-Campus主要有两种方式本地添加：在iMasterNCE-Campus外部同步：如果企业部署了自己的服务器或者数据库，独立管理所有员工终端账号，推荐iMaster-Campu采用外部用户数据源，通过与服务器或者数据库对接同步，服务器或者数据库对用户认证请求的账号信息进行校验，并将校验结果回复给iMaster-Campu此时，仍推荐在iMaster-Campu构、用户角色等维度，将需要相同权限的员工终端账号映射到同一个用户组，方便后续以用户组为单位进行授权操作。授权VLAN是指在用户认证通过后，授权结果包含VLAN信息，下发到对应认证控制点设备的授权接入端口。授权下发的VLAN但是，接口授权下发的VLAN的优先级高于静态添加的VLAN，即通过认证后起作用的VLAN是授权下发的VLAN，静态添加的VLAN在用户终端下线后生效。动态授权VLAN的方式是结合用户认证流程下发VLAN信息的，适用于任意位置接入，且需要认证的场景，这种接入方式灵活性高，当终端位置变化时，不需要修改配置。推荐对于员工C等位置变动较多的终端接入认证中配置授权VLAN案，在构建不受地理位置限制的大二层网络过程中，还能大大简化VLAN配置工作量，图3-2所示。3-27VLANVLAN使用授权VLANAccess接口不支持动态授权，删除VLAN时会删除该VLAN接口支持动态授权，删除VLANVLAN认证控制点连接认证执行点的下行口可以配置为Hybrid类型或Trunk认证控制点连接认证执行点的下行口收到的报文，必须是携带VLAN文或者该接口已将授权的VLAN配置为该接口的缺省VLAN（），否则授权VLAN不生效。Portal

Portal认证在认证服务器侧的配置如图3-28所示，采用iMasterNCE-Campus内置的配置iMasterNCE-Campus在iMasterNCE-Campus创建用户组Guest在iMasterNCE-Campus创建访客账号策略Guest_Account_Policy。访客账号策略3-28PortaliMasterNCE-CampusPortalortal认证多用于访客终端认证，一般以手机为主，而且认证的方式很灵活。iMaster-Campus作为orta服务器时，能够支持多种多样的ortal认证方式。表3-列出了常用ortal认证方式，不同认证方式推送的ortal及iMaster-Campu如何对访客身份信息进行校验。3-5iMasterNCE-CampusPortaliMasterNCE-Campus如何对访客身份信息用户名+–––访客通过Portal页面/手机短信/邮箱注册账号，账号会添加到iMasterNCE-iMasterNCE-Campus与短信服务器/校验，并将校验结果回复给iMasterNCE-手机号+iMasterNCE-Campus需要与短信服务器对iMasterNCE-Campus会将手机号作为访客开启匿名认证功能，iMasterNCE-MAC优先的Portal为了提升访客的上网体验，推荐对于访客终端采用优先的ortal认证。C优先的ortal认证实际上是一种特殊的ortal混合认证，因此配置认证控制点时，有线端口或者无线需要绑定包含这两种认证方式的认证模板。在认证服务器端，也需要配置ortal图3-2所示。3-29iMasterNCE-CampusPortalMAC

终端采用ortal认证时，在认证通过前，也需要获取地址与ortal服务器互通。如果终端接入VLAN采用动态授权，则需要考虑认证前后VLAN切换，以及如何触发务器重新分配地址的问题，因此ortal认证不推荐使用授权VLAN。认证在认证服务器侧的配置如图3-3所示，认证服务器为iMaster-Campus的S服务器组件。以图中某企业研发部哑终端采用如下：首先，在iMaster-Campu创建用户组RD_Dum，然后创建账号，并将创建的C账号添加到RD_Dumb。iMaster-Campu通过哑终端的地址进行认证校验。然后，创建认证规则RD_Dumb_Authen，认证方式采用MACRD_Dumb最后，创建授权规则RD_Dumb_Rule，认证方式采用MACRD_Dumb，关联的授权结果为RD_Dumb_Result3-30MACiMasterNCE-CampusMAC在iMasterNCE-Campus上开启终端识别和MAC自动认证功能后，如果有终端接入通过匹配iMasterNCE-Campus自带的终端指纹库，终端信息会划分到相应的终端MAC地址信息同时会自动录入到iMasterNCE-Campus，用于MAC认证。iMasterNCE-Campus上创建，用户终端认证通过后，iMasterNCE-Campus作为认证3-31

推荐安全组与认证服务器配置的用户组进行统筹规划，将需要相同权限的用户账号规划到同一个用户组，然后，创建的安全组可以与用户组形成一一对应关系，同一个用户组可以授权相同的安全组。如图3-3所示，某企业根据部门和终端类型规划了户组，在配置业务随行时，就可以分别创建个相应的安全组。3-32在iMasterNCE-CampusiMasterNCE-Campus3-33安全组策略可以通过策略矩阵的形式进行设计规划，如表3-6所示。在实际配置时，iMaster-Campu提供了一种简化安全组策略配置的方法，可以基于策略矩阵的规划情况，通过配置某组到Any组的规则（即该组的默认权限），如表3-6所示，假设某VN规划的安全组策略矩阵如下，针对的安全组策略，由于以允许访问其他安全组为主，推荐配置组到Any组的规则是允许，这样只需要再配置一条组到组的禁止策略，最终配置效果如表3-7所示。3-63-7安全组策略矩阵示意图（Any组策略是如下情况，策略执行点无法动态生成IP-安全组表项或者获取全部的IP-为了解决这个问题，就可以在iMasterNCE-Campus配置IP-安全组表项订阅功能。因为iMasterNCE-Campus在用户认证通过后也会生成IP-安全组表项，通过IP-安全组表项订阅，iMasterNCE-Campus可以向策略执行点下发IP-安全组表项信息。根据3.3.2认证控制点选择建议和3.3.4策略执行点选择建议，在独立C旁挂Bode的场景中，无线策略执行点在Boder，无线认证控制点在独立，此时，推荐通过iMaster-Campu在Bode上订阅安全组表项，这样，无线用户终端也可以基于安全组策略在Bode进行互访控制。3-34VNBorder在Boder上配置VN互访：VN间属于路由隔离，不同VN于互访没有特殊策略要求的可以直接在Boder上配置VN间互访，实现VN间互访的管控。在防火墙上配置安全策略：VN间互访也可以通过防火墙来处理，不同VN采用独占出口的方式接入防火墙设备，每个VN通过在防火墙上部署安全区域的域间策略来控制VN间的互访。第二层：VN内不同子网的互访策略通过在策略执行点配置安全组策略实现，如交换机配合iMaster-Campu的业务随行方案，对VN内不同网络权限的用户采用安全组进行划分，用户的网络访问权限体现在不同安全组间的组间策略。在该方案中，iMaster-Campu上部署安全组及相应的组间策略，iMasterCampus将安全组的组间策略下发到策略执行点。3-35VNRADIUSPortaliMasterNCE-CampusRADIUSPortal在智简园区网络解决方案中，iMaster-Campu放，实现网络部署自动化的关键部件。iMaster-Campu还支持作为S服务器和ortal服务器，这样在网络接入控制中，可以不用额外部署S服务器和ortal服务器。而且iMaster-Campu在作为S服务器和ortal服务器时，提供了丰富的接入控制功能：内置了S服务器和ortal服务器组件，支持X认证、ortal认证和认证；支持C优先的ortal认证。支持终端识别功能，可以基于终端识别功能，实现MAC配置；无线认证控制点位于。虚拟化分布式网关方案推荐采用VXLAN到汇聚的abri组网，e作为随板。因此，建议将e作为有线无线统一的认证控制图3-3所示。3-36这样，在园区网络边缘设备就可以控制有线用户终端准入。分布式网关推荐的abri网为VXLAN到汇聚，可以在与接入交换机间部署策略联动，不仅能够保证认证控制点不需要从下移到接入交换机，认证控制点的配置数量不会变多，还使得控制用户终端准入的认证执行点