虚拟化园区网络部署指南

《虚拟化园区网络部署指南》属于博主的“园区网”专栏，若想成为HCIE，对于园区网相关的知识需要非常了解，更多关于园区网的内容博主会更新在“园区网”专栏里，请持续关注！

一.前言

华为CloudCampus解决方案基于智简网络意图驱动的理念，在云和SDN基础上，引入大数据分析和AI等技术，帮助企业构建一张智能、极简、融合、开放和安全的网络。
区别于传统园区关注独立的单台设备，虚拟化网络关注全网的整体业务体验，通过iMaster NCE-Campus和VXLAN技术，实现网络资源能够任意灵活调度。通过虚拟化技术，将物理网络资源进行池化处理，形成可供业务层任意调动的全网资源池，供iMaster NCE-Campus灵活分配。同时，在一个物理网络上虚拟出多个逻辑上独立的虚拟网络，分别承载多种不同的业务，拥有相对独立的网络资源，做到了业务与网络解耦方便业务管理。

二.VXLAN虚拟化园区网络部署规划

1.CloudCampus的三种部署模式

2.虚拟化园区网络架构

3.虚拟化园区中的网络节点

4.虚拟化园区网络实验：实验需求

为满足园区网络多业务融合的需求，通过iMasterNCE-Campus在园区网络上进行虚拟网络的部署和配置，实现在同一个物理网络上根据业务划分不用的虚拟网络。
该虚拟网络基于VXLAN技术，能满足如下需求:
- 网络设备能够基于DHCP即插即用。
- 园区中的多种业务共享同一个物理网络，不同业务之间逻辑隔离且能控制互访策略。
- 业务配置自动化，虚拟网络的配置由iMasterNCE-Campus统一下发，不需要登录设备手工配置。
- 终端用户在园区内任意物理位置按需接入虚拟网络，实现终端用户认证上线以及业务随行。

5.虚拟化园区网络实验:网关方案选择

在虚拟化园区网络方案设计中，首先需要确定采用哪种网关方案。网关方案确定后，就可以基于已选择的网关方案，对园区整体网络进行端到端的设计。

6.虚拟化园区网络实验：物理及VXLAN组网

HQ:ACC1和ACC2作为接入层设备，下连有线终端，为有线用户提供网络服务;ACC2下挂AP1，为无线用户提供网络服务。Edge_1和Edge_2作为汇聚层设备，Border作为核心层设备。AR3作为园区出口，同时作为DHCP服务器为HQ内的其他设备及用户终端分配IP地址。HQ底层通过部署OSPF实现互联互通。
云端:该部分通过交换机AR_Server_SW模拟，负责连通HQ与iMaster NCE-Campus控制器，且ARServer_SW是iMaster NCE-Campus的网关。
VXLAN网络(Fabric):本实验组网是VXLAN到汇聚的分布式网关模型，Edge_1和Edge_2作为VXLAN网络的Edge节点，Border作为VXLAN网络的Border节点。

7.虚拟化园区网络实验：虚拟网络

虚拟网(VN):定义2个虚拟网络，供不同的终端用户接入。
- OA虚拟网，供销售人员(Sales Wired、Sales_Wireless)和市场人员(Market_Wired、Market_Wireless)接入。
- RD虚拟网，供研发人员(RD)接入。
外部网络:定义2个外部网络，分别供2个虚拟网络调用，并实现不同的终端用户访问不同的外部网络。
- “OA”外部网络，供销售和市场人员访问。
- “RD”外部网络，供研发人员访问。
网络服务资源:定义1个网络服务资源“DHCP_Email”，充当DHCP服务器的功能为所有虚拟网络终端用户分配IP地址，同时充当E-mail服务器功能。

8.虚拟化园区网络实验：安全组及策略控制矩阵

三.VXLAN虚拟化园区网络部署流程及部署指导

1.部署流程

（1）虚拟化园区网络方案部署流程图

2.部署前的准备

（1）设备预配置

3.部署指导*（HCIE必考）

（1）站点管理与设备管理

a.创建站点与添加设备

创建站点是把同一管理范围内的网络设备添加到iMaster NCE-Campus中纳管，这些设备汇总成一个管理集合，方便在iMaster NCE-Campus上进行统一管理。
创建站点时，可以同步完成“添加设备”的任务也可以在站点创建完成后再单独实施“添加设备的任务。

b.创建站点与添加设备方式

c.创建站点、添加设备与设备即插即用

创建站点与添加设备
- 在iMaster NCE-Campus上，通过“单个创建”，创建站点“HQ”。
- 同时“通过型号”或“通过ESN”逐个添加设备(Border、Edge_1、DEdge_2、ACC 1、ACC 2、AP1)。
设备即插即用(现场操作)
- 用户将网络中的交换机和AP进行连线、上电。
- 交换机通过AR3完成IP地址获取、iMasterNCE-Campus地址/端口D获取，然后向iMaster NCE-Campus发起注册，并被纳管。
设备管理(iMaster NCE-Campus)
- 可查看设备注册状态。
- 可查看网络物理拓扑。

（2）网络规划

a.资源池配置：Fabric全局资源池

创建Fabric前，要提前规划Fabric全局资源池，包含VLAN、BD和VNI资源。

b.实验：配置Fabric全局资源池

单击控制器的“Fabric网络 >网络规划”，进入资源池配置页面，单击“Fabric全局资源池”，填写相应配置参数，并点击“+”确定。

c.资源池配置：Underlay自动化资源池

Underlay自动化资源池规定Underlay网络进行自动配置路由域时所使用的互联VLAN、互联IP和环回口IP资源。

d.实验：配置Underlay自动化资源池

单击控制器的“Fabric网络 >网络规划”，进入资源池配置页面，单击“Underlay自动化资源池”，填写相应配置参数，并点击“+”确定。

e.策略模版配置：用户接入认证

f.实验：配置用户接入认证模板

单击控制器的“Fabric网络 >网络规划 >策略模板”页面，分别创建和配置RADIUS服务器模板,Portal服务器模板和认证模板。

（3）Fabric网络

a.配置Fabric网络

Fabric是使用VXLAN技术构建在物理网络之上的资源池化网络。

b.配置Fabric网络：创建Fabric

首先需要创建Fabric并完成基本组网的配置，包括Border和Edge设备的选取、VXLAN控制面BGPEVPN的配置等。
另外，Underlay网络自动配置路由域功能也是在Fabric创建时开启。

c.实验：创建Fabric

d.配置Fabric网络：创建外部网络

在Fabric网络的资源模型设计中，通过在Border节点创建外部网络，使得园区内部终端能够访问外部Internet等。
外部网络资源定义了三种类型，如果用户网关位于Fabric内，主要采用L3共享出口或者L3独占出口两种类型。
- L3共享出口:Fabric网络的多个VN共享L3出口，与出口设备互通。L3共享出口可以节省VLAN和IP等用于互联的资源适用于不同VN间安全控制策略要求较低的场景。
- L3独占出口:Fabric网络的每个VN独占一个L3出口，与出口设备互通。此时，防火墙通常会划分多个安全区域与L3独0占出口一一对应，到达防火墙的不同VN间业务子网流量是隔离的。

e.实验：创建外部网络

f.配置Fabric网络：创建网络服务资源

在Fabric网络的资源模型设计中，通过在Border节点创建网络服务资源，使得园区内部业务终端能够访问网络管理区的服务资源，比如DHCP服务器、准入服务器等。
网络服务资源可以创建多个，也可以一个网络服务资源模型包含多个服务资源的访问地址。
如果网络管理区需要访问的服务资源较少，建议这些服务资源都规划在一个网络服务资源模型中。这样，可以节省互联的VLAN和IP地址资源，简化网络管理区的路由配置。

g.实验：创建网络服务资源

h.配置Fabric网络：配置接入管理

园区网络需要部署准入控制对接入用户进行认证，包括802.1X认证、MAC认证和Portal认证，其中802.1X认证及MAC认证在实现中需RADIUS认证服务器配合，而Portal认证则需RADIUS服务器和Portal服务器配合。
Fabric的接入管理主要是配置认证控制点，对接入点资源进行规划，在VN创建时会被选用。
其中，有线接入点资源指的是终端接入的交换机端口，无线接入点资源指的是终端接入的SSID。
- Fabric接入管理中，对交换机的接入端口定义了3种连接类型。
  - Fabric扩展AP:华为瘦AP，可以通过iMasterNCE-Campus进行管理。
  - Fabric扩展接入交换机:华为交换机，可以通过iMasterNCE-Campus进行管理。
  - 终端(PC、话机、哑终端、非Fabric扩展交换机JAP):用户终端、不支持iMaster NCE-Campus管理的交换机和AP、支持iMasterNCE-Campus管理但不支持Fabric扩展的交换机。
在不同的网关方案中，Fabric接入管理的配置会有差异。