SD-WANEVPN互聯(lián)部署文檔版本發(fā)布日期2021-09-SD-WANSD-WANEVPN0202(2021-09-了解iMasterNCE-Campus配套產(chǎn)品與版 多園區(qū)網(wǎng)絡(luò)SD-WANEVPN互聯(lián)方案介 多園區(qū)網(wǎng)絡(luò)SD-WANEVPN互聯(lián)方案的詳細(xì)部署思 用戶需求分 方案規(guī) 站點網(wǎng)絡(luò)規(guī) 組網(wǎng)規(guī) 站點WAN側(cè)規(guī) 站點LAN側(cè)規(guī) 用戶業(yè)務(wù)規(guī) WAN側(cè)業(yè)務(wù)規(guī) LAN側(cè)業(yè)務(wù)規(guī) 站點設(shè)備開局規(guī) 控制器部署規(guī) 控制器部署南向IP規(guī) 通信矩 多園區(qū)網(wǎng)絡(luò)SD-WANEVPN互聯(lián)方案部署最佳實 數(shù)據(jù)規(guī) 預(yù)配置數(shù)據(jù)規(guī) 管理員數(shù)據(jù)規(guī) 郵件服務(wù)器數(shù)據(jù)規(guī) 文件服務(wù)器數(shù)據(jù)規(guī) （可選）Syslog服務(wù)器數(shù)據(jù)規(guī) （可選）SNMP告警接口數(shù)據(jù)規(guī) 南北向IP數(shù)據(jù)規(guī) 開局部署數(shù)據(jù)規(guī) 網(wǎng)絡(luò)設(shè)計參數(shù)規(guī) 設(shè)備數(shù)據(jù)規(guī) WAN側(cè)站點及ZTP開局?jǐn)?shù)據(jù)規(guī) LAN側(cè)設(shè)備開局規(guī) NTP數(shù)據(jù)規(guī) 站點互聯(lián)數(shù)據(jù)規(guī) Underlay網(wǎng)絡(luò)數(shù)據(jù)規(guī) VN數(shù)據(jù)規(guī) LANWAN互聯(lián)數(shù)據(jù)規(guī) LANWAN互聯(lián)路由數(shù)據(jù)規(guī) LAN側(cè)網(wǎng)絡(luò)數(shù)據(jù)規(guī) 應(yīng)用管理數(shù)據(jù)規(guī) 業(yè)務(wù)體驗優(yōu)化數(shù)據(jù)規(guī) OverlayACL策略數(shù)據(jù)規(guī) QoS策略數(shù)據(jù)規(guī) 智能選路數(shù)據(jù)規(guī) 站點上網(wǎng)數(shù)據(jù)規(guī) 傳統(tǒng)站點互訪數(shù)據(jù)規(guī) 部署指 部署流 軟件安 iMasterNCE-Campus預(yù)配 系統(tǒng)管理員預(yù)配 登錄系統(tǒng)管理員界 創(chuàng)建MSP及MSP管理 加載 配置郵件服務(wù) 配置文件服務(wù) （可選）配置Syslog服務(wù) （可選）配置SNMP告警接 （可選）配置地圖 MSP管理員預(yù)配 登錄MSP管理 創(chuàng)建租戶和租戶管理 租戶管理員預(yù)配 登錄租戶管理員界 授權(quán)MSP代維租戶業(yè) 配置帳號及密碼策 配置iMasterNCE-Campus開 管理面預(yù)配置（配置iMasterNCE-Campus開關(guān) AR開局部 登錄MSP管理員，并進入租戶代維視 配置網(wǎng)絡(luò)設(shè)計參 添加設(shè)備和創(chuàng)建站 配置WAN鏈路模 配置站點接入WAN側(cè)網(wǎng)絡(luò)的鏈 配置 配置站點連接 郵件開 確認(rèn)開局成 站點互聯(lián)配 配置Underlay網(wǎng) 配置WAN接 配置Underlay路 創(chuàng)建Overlay網(wǎng) 創(chuàng)建VN（多部門隔離 配置Overlay拓 創(chuàng)建OverlayLANWAN互聯(lián)接 配置OverlayLANWAN互聯(lián)路 確認(rèn)配置是否成 應(yīng)用管 查看預(yù)定義應(yīng) 創(chuàng)建自定義應(yīng) 創(chuàng)建應(yīng)用 使用應(yīng)用及應(yīng)用 業(yè)務(wù)體驗優(yōu)化策 配置OverlayACL策 配置Qos策 配置智能選路策 配置站點上網(wǎng)策 配置傳統(tǒng)站點互 配置LAN業(yè) 配置LAN側(cè)設(shè)備上 配置子網(wǎng)和接口配 配置有線認(rèn) 配置WLAN業(yè) 用戶接入認(rèn)證配置（認(rèn)證服務(wù)器側(cè) 配置用戶接入與認(rèn)證（訪客Portal+短信驗證碼認(rèn)證 配置用戶接入與認(rèn)證（啞終端MAC認(rèn)證 SD-WANSD-WANEVPN1iMasterNCE-Campus0202(2021-09-iMasterNCE-Campus本篇最佳實踐是基于智簡園區(qū)網(wǎng)絡(luò)解決方案V100R020C10版本介紹多園區(qū)網(wǎng)絡(luò)WANEVPN互聯(lián)方案如何部署，所使用到的部件類型和版本如表1-11-1SD-WANEVPN口，支持被iMasterNCE-Campus納管。支持被iMasterNCE-Campus支持被iMasterNCE-Campus支持被iMasterNCE-Campus支持被iMasterNCE-CampusSD-WANSD-WANEVPN0202(2021-09-SD-WANEVPN在一些大型的分支連鎖或者分支辦公場景中，分支的網(wǎng)絡(luò)不僅需要訪問t要訪問總部或者數(shù)據(jù)中心、甚至其它分支機構(gòu)。同時，分支的網(wǎng)絡(luò)有可能通過專線或者VPN接入到總部網(wǎng)絡(luò)，針對這種分支與總部/數(shù)據(jù)中心、分支與分支互聯(lián)的場景，我們統(tǒng)一稱為多園區(qū)/分支互聯(lián)場景，需要部署出口互聯(lián)的園區(qū)網(wǎng)絡(luò)。傳統(tǒng)的分支接入總部的網(wǎng)絡(luò)主要采用專線的方式，但專線費用貴、成本高，同時部署效率低。隨著t低廉，越來越多的企業(yè)分支采用通過t來接入總部網(wǎng)絡(luò)?？啃院挽`活性，智簡園區(qū)網(wǎng)絡(luò)解決方案提供了SD-WANEVPN互聯(lián)方案：DANEVP屬于一種動態(tài)的VPN，可以按需在站點間建立隧道，動態(tài)發(fā)布路由。EVP通過在站點間建立隧道來創(chuàng)建VPN通道，同時支持在隧道上進行IPSec加密，以實現(xiàn)隧道的加密安全。另外DANEVP互聯(lián)方案可以基于應(yīng)用、策略選擇質(zhì)量較優(yōu)的鏈路發(fā)送數(shù)據(jù)，實現(xiàn)基于應(yīng)用、策略的智能選路。2-1SD-WANEVPN站點互聯(lián)模型支持Hub-spoke、Full-meshSD-WANSD-WANEVPN3SD-WANEVPN0202(2021-09-SD-WANEVPN3-1

WANiMasterNCE-Campus納管。希望實現(xiàn)站點網(wǎng)關(guān)與LAN側(cè)的核心交換機之間互希望SD-WAN分支站點的所有網(wǎng)絡(luò)設(shè)備均通過iMasterNCE-Campus進行管希望DAN分支站點中的終端以站點網(wǎng)關(guān)為P中繼，從P服務(wù)器獲取P地址。希望SD-WAN分支站點中的LAN可靠性：希望提高LAN保障關(guān)鍵業(yè)務(wù)：希望關(guān)鍵業(yè)務(wù)（語音業(yè)務(wù)）部分業(yè)務(wù)限制流量：分支機構(gòu)的視頻業(yè)務(wù)不能超過10M在用戶現(xiàn)網(wǎng)仍有部分未經(jīng)SD-WAN改造的傳統(tǒng)站點，這些傳統(tǒng)站點和WANDAN分支站點LA側(cè)部署接入認(rèn)證功能，有線終端使用x和認(rèn)證，無線終端采用x和ortal認(rèn)證接入網(wǎng)絡(luò)。由于企業(yè)的網(wǎng)絡(luò)工程師當(dāng)前不具備部署SD-WANEVPN互聯(lián)網(wǎng)絡(luò)的能力，需要服

3-2SD-WANEVPN節(jié)約設(shè)備成本和鏈路成本，Hub站點同時作為RR兩個Hub對Spoke提供相同服務(wù)，可以基于Spoke設(shè)置訪問兩個Hub說明本舉例中企業(yè)總部/數(shù)據(jù)中心站點的LAN側(cè)設(shè)備和防火墻均為本地管理，在使用SD-WAN實際場景中站點內(nèi)LAN

WANUnderlay所有站點均使用MPLS和Internet兩個傳輸網(wǎng)絡(luò)，使用IPSecWAN總部站點使用模板Double_RR_Mix：雙網(wǎng)關(guān)，AR6280_1和AR6280_2Internet網(wǎng)絡(luò)和MPLSWAN總部站點和分支站點的鏈路都使用靜態(tài)IP方式接入WANNTP分支站點作為NTPUnderlayWANUnderla網(wǎng)絡(luò)的A路由支持靜態(tài)路由、P和F方式配置，本舉例使用靜態(tài)路由方式。OverlayOverlay總部和分支站點在同一個虛擬網(wǎng)絡(luò)，采用Hub-Spoke分支站點的使用2接口與LAN側(cè)設(shè)備互聯(lián)，規(guī)劃與LA側(cè)設(shè)備互聯(lián)的管理網(wǎng)段和核心交換機的互聯(lián)網(wǎng)段。的核心交換機使用2接口與互聯(lián)，規(guī)劃三層互聯(lián)地址。分支站點Site1和Site2的AR上開啟DHCPServer，并配置DHCPoption148參LAN-WAN互通路由設(shè)計（OverlayLAN側(cè)路由AN互通路由支持、F和靜態(tài)路由，可以根據(jù)LAN側(cè)組網(wǎng)靈活選擇配置方式?？偛空军cLAN側(cè)為三層網(wǎng)絡(luò)，需配置A述，可參考分支站點2的配置。分支站點Site1的LAN側(cè)為二層網(wǎng)絡(luò)，無需配置LAN-WAN分支站點2的LAN側(cè)為三層網(wǎng)絡(luò)，需配置AN互通路由，本舉例中使用F方式。LAN分支站點Site2的LAN側(cè)組網(wǎng)采用兩層網(wǎng)絡(luò)，選擇S6730-HS5735-L作為用戶接入設(shè)備，同時為AP提供PoEAP采用云AP模式，配置由iMasterNCE-CampusWANQoS按照實際使用情況與用戶需求，對Spoke站點綁定QoSS的鏈路帶寬比t的帶寬要小，為了保證網(wǎng)絡(luò)穩(wěn)定性與流量信息集中統(tǒng)計，對去往特定目的地址網(wǎng)段的流量，優(yōu)先走t鏈路，選擇配置智能選路策略來實現(xiàn)該需求。即在上行有多條鏈路的情況下，針對特定業(yè)務(wù)，配置智能選路策略來實現(xiàn)流量的選路控制，以便于進行流量監(jiān)控與限制進出網(wǎng)關(guān)的流量。由于客戶想要在設(shè)置防火墻進行上網(wǎng)流量統(tǒng)計與管理，將該防火墻部署在Hub側(cè)，配置區(qū)域集中上網(wǎng)與Hub站點本地上網(wǎng)的策略，實現(xiàn)Spo站點上網(wǎng)流量匯總到Hub訪問互聯(lián)網(wǎng)。配置集中上網(wǎng)，將兩個Hub在HubiMasterNCE-Campus，分支站點通過集中上網(wǎng)方式從總部站點出局注冊到iMaster在用戶現(xiàn)網(wǎng)仍有部分未經(jīng)DAN改造的傳統(tǒng)站點，這些傳統(tǒng)站點和DAN配置，實現(xiàn)這部分站點和傳統(tǒng)站點的互訪需求。LAN址，同時配置DHCPOption148，LAN側(cè)網(wǎng)絡(luò)的設(shè)備通過DHCPOption148方式開分支站點Site1的ARDHCPServerAPSD-WAN式，站點內(nèi)的LAN側(cè)設(shè)備使用DHCPOption148方式開局。3-1IPV300R020C10版本的iMasterNCE-Campus以及側(cè)的交換機、AP均只支持單南向IP3-2需要進行北向?qū)?，調(diào)用API3-3NetconfHTTP2.0通道，性能數(shù)據(jù)通道端口。100313-4建立DTLS建立ESP加密的IPSec建立ESP加密的IPSec具體請參考《iMasterNCE-CampusV300R020C10通信矩陣》“容災(zāi)端口”頁簽中多園區(qū)網(wǎng)絡(luò)SD-WANEVPN互聯(lián)部署最佳實 4多園區(qū)網(wǎng)絡(luò)SD-WANEVPN互聯(lián)方案部署最佳實0202(2021-09-SD-WANEVPNiMasterNCE-CampusV300R020C10產(chǎn)品文檔中“界面參考”中相關(guān)說明。iMasterNCE-Campus的admin管理員需要創(chuàng)建一個MSP管理員帳號，統(tǒng)一管理所有企業(yè)客戶的園區(qū)網(wǎng)絡(luò)，MSP管理員創(chuàng)建租戶管理員，并反向授權(quán)給MSP管理員實現(xiàn)統(tǒng)一4-1MSP4-2是否授權(quán)當(dāng)iMasterNCE-Campus4-31634-4SMTPiMasterNCE-Campus與163設(shè)備升級或者加載補丁時，可以從第三方文件服務(wù)器獲取系統(tǒng)軟件和補丁。在升級之前需要將系統(tǒng)軟件和補丁放到文件服務(wù)器上，并在iMaster-Campu文件服務(wù)器對接。4-5SFTP和HTTPSIP文件服務(wù)器的IPIP文件服務(wù)器的IP（可選）Syslog4-6Syslog主服務(wù)器的yslog.配置文件中查看字段Soue內(nèi)，)，或者，t內(nèi)的數(shù)字就是用來接收日志的端口號Syslog可選RFC5424和Syslog支持UTF-8和（可選）SNMP若用戶需要將控制器采集到的告警信息上報給第三方系統(tǒng)，需要規(guī)劃SNMP4-7SNMPSNMPAgent接收上層網(wǎng)管請求消息的地址，IP議使用ER浮動IPSNMPAgent向上層網(wǎng)管發(fā)建議使用ER浮動IP表示SNMP值為98126666MIBUTCUTC/dd-UTC時間(yyyy/MM/dd-(yyyy/MM/dd-(yyyy/MM/dd-HH:mm:ssTZ[DST])HH:mm:ss+hh:mmTZ+hh:mmUTF-ISO-8859-UTF-PDU(條報告警。默認(rèn)值為10000SHA2-SHA2-512SHA2-SHA2-SHA2-SHA2-AES-AES-256AES-AES-AES-支持RFCforComment）規(guī)范。默認(rèn)EngineID值轉(zhuǎn)化為符合RFC規(guī)范的EngineID上EngineID可配置EngineID。SNMP實心跳周期(秒MIB1234設(shè)備的IP資源ID告警原因ID告警分組IDIP4-8iMasterNCE-Campus南向IP北向IP構(gòu)建站點間的互聯(lián)網(wǎng)絡(luò)前需選擇使用的隧道模式。當(dāng)前支持的隧道模式為EVPNIPSecVPN，使用SD-WANEVPN互聯(lián)方案需將隧道模式設(shè)置為EVPN4-94-10SHA2-期（天(UTC+08:00)HMAC-認(rèn)證AS內(nèi)部的BGPAS號，IPv4雙網(wǎng)IPv4地址SD-WANEVPN互聯(lián)網(wǎng)絡(luò)中各個站點的設(shè)備，需要先添加到iMasterNCE-Campus中，4-11設(shè)備ESN++++S5735-S6730-S6730-S5735-WANZTP4-12ZTP配置（總部站點ATM的4-13ZTP配置（分支站點連接到WANVNNATURL4-14WAN鏈路模板（總部站點WANOverlayVLAN設(shè)備1設(shè)備24-15WAN鏈路模板（分支站點WANOverlayVLAN設(shè)備1設(shè)備2LAN總部站點內(nèi)LAN分支站點內(nèi)LAN側(cè)設(shè)備使用DHCPOption148方式開局，需在出口AR上開啟DHCPServer，并配置DHCPoption148參數(shù)。LAN側(cè)設(shè)備上電后自動注冊到iMasterNCE-Campus4-16ARDHCPDHCPDHCP[148]NTPAR設(shè)備上報性能數(shù)據(jù)時，會攜帶時間戳，如果AR的時間和iMasterNCE-Campus不一流量和質(zhì)量數(shù)據(jù)無法顯示。所以iMasterNCE-Campus通過配置NTP，使站點設(shè)備和iMasterNCE-Campus的時間保持一致。4-17NTPNTPNTPUnderlay站點Underlay網(wǎng)絡(luò)WAN4-18WAN側(cè)靜態(tài)路由信息IPIPIPIPIPIPIPIP4-19WAN側(cè)靜態(tài)路由信息WANIPIPIP4-20WAN側(cè)靜態(tài)路由信息WANIPIPIPVN4-21OverlayVNHub-LANWAN劃LAN側(cè)設(shè)備的管理VLAN和IP地址，并配置DHCPServer和Option148參數(shù)，用于4-22LANWANEth-Eth-Eth-Eth-Eth-Eth-4-23ARLANWAN互聯(lián)口信息（管理網(wǎng)規(guī)劃VLANIP從IPDHCP[148]DNSVRRP虛擬ARP4-24Site1ARLANWAN互聯(lián)口信息（業(yè)務(wù)網(wǎng)規(guī)劃VLANIPDHCPDNSVRRP虛擬ARP分支站點2內(nèi)LA側(cè)為三層網(wǎng)絡(luò)，需要在出口R和核心設(shè)備上配置AN的互聯(lián)口信息，如表4-2和表4-2所示。4-25Site2ARLANWAN互聯(lián)口信息（業(yè)務(wù)網(wǎng)規(guī)劃VLANIP4-26Site2LANWAN互聯(lián)口信息（業(yè)務(wù)網(wǎng)規(guī)劃VLANIPLANWAN分支站點2的LAN側(cè)是三層網(wǎng)絡(luò)，為了和LA側(cè)網(wǎng)絡(luò)互通，需要配置AN互聯(lián)路由，本舉例中使用F。4-27LANWANOSPF進程RouterASE區(qū)域HelloDR進程LAN分支站點Site1的LAN側(cè)網(wǎng)關(guān)都在AR設(shè)備上，已經(jīng)在LANWAN終端用戶分為員工、訪客和啞終端三類，通過DHCP動態(tài)獲取IPDHCPServer，終端用戶使用的IP地址范圍和業(yè)務(wù)VLAN如表4-28和表4-294-284-29MAC4-30SASA_H30071000OverlayACL如果需要對站點的LAN側(cè)的入接口的業(yè)務(wù)報文進行阻斷時，則需配置OverlayACL4-31ACLL3目的IP445-445-4-32OverlayACLQoS希望對應(yīng)用或者流量進行帶寬限制時，需要配置QoS4-33ACLL34-34DSCP8021P使能Re-markMpls4-35Qos策略信息WAN4-36ACLL3目的IP4-37Hub1、站點需要上網(wǎng)時，統(tǒng)一通過Hub站點上網(wǎng)，Hub14-38SD-WAN4-394-40iMasterNCE-管理面預(yù)配置（配置iMasterNCE-Campus開AR配置配置LAN安裝iMasterNCE-Campus詳細(xì)過程，請參考iMasterNCE-CampusiMasterNCE-Campus步驟1打瀏覽器，推薦使用谷歌瀏覽器73步驟3進入登錄界面，若提示安全證書問題，選擇忽略。步驟4步驟5MSPMSPMSP4-41MSP步驟1系統(tǒng)管理員登錄iMasterNCE-Campus步驟2進入MSP管理菜單，選擇“MSPMSPMSP管理”。步驟3單擊“創(chuàng)建”，在“創(chuàng)建”彈窗中“MSP名稱”輸入“mspA”。步驟4單擊“下一步”，配置管理員信息。步驟5步驟1>License管理”。步驟2單擊“上傳License”。步驟3單擊“確定”，License4-421634-43SMTPiMasterNCE-Campus與163步驟1系統(tǒng)管理員登錄控制器。步驟2導(dǎo)入郵件服務(wù)器證書。>>步驟3>>>步驟4單擊“測試”，驗證郵件發(fā)送功能，確認(rèn)“測試成功”。步驟5測試成功后，單擊“保存”。設(shè)備升級或者加載補丁時，可以從第三方文件服務(wù)器獲取系統(tǒng)軟件和補丁。在升級之前需要將系統(tǒng)軟件和補丁放到文件服務(wù)器上，并在iMaster-Campu文件服務(wù)器對接。4-44SFTP和HTTPSIP文件服務(wù)器的IPIP文件服務(wù)器的IP步驟1在主菜單中選擇“系統(tǒng)>>>文件服務(wù)器”。步驟2單擊“增加”，配置第三方文件服務(wù)器信息。步驟3（可選）Syslog

Syslog4-45Syslog主服務(wù)器的yslog.配置文件中查看字段Soue內(nèi)，)，或者，t內(nèi)的數(shù)字就是用來接收日志的端口號Syslog可選RFC5424和Syslog支持UTF-8和步驟1在主菜單中選擇“系統(tǒng)>>>Syslog步驟2單擊“增加”，按照規(guī)劃填寫對接參數(shù)，開啟數(shù)據(jù)上報功能和告警上報功能，按級別步驟3單擊頁面底部“檢測連通性”，若界面提示“測試成功”，表示syslog配置成功，單擊步驟4（可選）SNMP若用戶需要將控制器采集到的告警信息上報給第三方系統(tǒng)，需要規(guī)劃SNMPSNMP4-46SNMPSNMPAgent接收上層網(wǎng)管請求消息的地址，IP議使用ER浮動IPSNMPAgent向上層網(wǎng)管發(fā)建議使用ER浮動IP表示SNMP值為98126666MIBUTCUTC/dd-UTC時間(yyyy/MM/dd-(yyyy/MM/dd-(yyyy/MM/dd-HH:mm:ssTZ[DST])HH:mm:ss+hh:mmTZ+hh:mmUTF-ISO-8859-UTF-PDU(條報告警。默認(rèn)值為10000SHA2-SHA2-512SHA2-SHA2-SHA2-SHA2-AES-AES-256AES-AES-AES-支持RFCforComment）規(guī)范。默認(rèn)EngineID值轉(zhuǎn)化為符合RFC規(guī)范的EngineID上EngineID可配置EngineID。SNMP實心跳周期(秒MIB1234設(shè)備的IP資源ID告警原因ID告警分組ID步驟1>>SNMP告警接口”。步驟2在左側(cè)導(dǎo)航樹中選擇“基本配置”。步驟3在“基本配置”頁面中，設(shè)置合適的IP地址和端口，展開“高級配置”，按照數(shù)據(jù)規(guī)步驟4步驟1在主菜單中選擇“系統(tǒng)>>>地圖URL步驟2單擊地圖行對應(yīng)的“編輯”，在輸入框中輸入“API地址”和“鍵值”，同時勾選“使步驟3MSPMSP步驟1打開瀏覽器，推薦使用谷歌瀏覽器73步驟3進入登錄界面，若提示安全證書問題，請忽略。步驟4輸入MSP步驟54-47是否授權(quán)步驟1MSP管理員登錄iMasterNCE-Campus步驟2>>租戶管理”。步驟3創(chuàng)建租戶名稱為tenant1的租戶及管理員帳號。單擊“創(chuàng)建”，在“創(chuàng)建”彈窗中“租戶名稱”輸入“tenant1步驟4用同樣的方法創(chuàng)建租戶名稱為tenant2步驟1打開瀏覽器，推薦使用谷歌瀏覽器73步驟3進入登錄界面，若提示安全證書問題，請忽略。步驟4步驟5MSP當(dāng)租戶向MSP申請代維服務(wù)后，MSP具體請參見表4-47中“是否授權(quán)MSP步驟1步驟2>>步驟3開啟“授權(quán)給MSP”開關(guān)，點擊“根據(jù)角色”，授予MSP代維的權(quán)限，單擊“應(yīng)步驟1>>用戶策略”，進入“用戶策略”界面。步驟2根據(jù)需要配置或修改帳號及密碼策略相關(guān)參數(shù)。為了更好對設(shè)備進行監(jiān)控、運維和管理，建議在iMasterNCE-Campus上的業(yè)務(wù)面上開EVPN步驟1>>>EVPN步驟1開啟SAC配置開關(guān)。開啟后，設(shè)備啟用應(yīng)用識別功能，并采集應(yīng)用相關(guān)性能數(shù)據(jù)上報>>SAC單擊“SAC配置”頁簽，開啟“應(yīng)用識別”和“FPI步驟2開啟性能監(jiān)控采集配置開關(guān)。開啟后，在控制器上可以監(jiān)控當(dāng)前站點設(shè)備的應(yīng)用流>>管理面預(yù)配置（iMasterNCE-Campus開關(guān)為了更好對設(shè)備進行監(jiān)控、運維和管理，建議在iMasterNCE-Campus上的管理面上開啟用RSA、CBC說明步驟1部署產(chǎn)品軟件”。步驟2單擊“更多”，在下拉框里單擊“修改配置參數(shù)”。步驟3開啟“RSA_ENABLE步驟1>>配置備份參數(shù)”。步驟2單擊“增加備份服務(wù)器”，設(shè)置備份服務(wù)器。步驟3>>配置定時備份任務(wù)”。步驟4開啟定時備份產(chǎn)品數(shù)據(jù)，默認(rèn)已開啟。ARMSP管理員，并進入租戶代維視圖步驟1打開瀏覽器，推薦使用谷歌瀏覽器73步驟3使用MSP管理員登錄iMasterNCE-Campus首頁。步驟44-48SHA2-期（天(UTC+08:00)HMAC-認(rèn)證AS內(nèi)部的BGPAS號，IPv4雙網(wǎng)IPv4地址步驟1>>>EVPN步驟2>>步驟3路由域和傳輸網(wǎng)絡(luò)采用系統(tǒng)缺省配置的MPLS和Internet步驟4配置IPSec步驟5步驟6配置默認(rèn)NTP步驟7步驟8單擊“虛擬網(wǎng)絡(luò)”，進入“虛擬網(wǎng)絡(luò)”界面。步驟9路由相關(guān)配置?？墒褂萌笔∨渲玫腁S步驟10步驟114-49設(shè)備ESN++++S5735-設(shè)備ESNS6730-S6730-S5735-步驟1>>設(shè)備管理”，進入“設(shè)備管理”界面。步驟2單擊“添加設(shè)備”，“添加方式”選擇“批量導(dǎo)入”。步驟3單擊“模板”，下載模板文件。步驟4按規(guī)范填寫模板文件并保存。步驟5步驟6確認(rèn)導(dǎo)入的數(shù)據(jù)準(zhǔn)確后，選擇需要創(chuàng)建的設(shè)備數(shù)據(jù)，單擊“確定”。WAN鏈路模板4-50WAN鏈路模板（總部站點WANOverlayVLAN設(shè)備1設(shè)備24-51WAN鏈路模板（分支站點WANOverlayVLAN設(shè)備1設(shè)備2步驟1>>>WAN鏈路模板”，單擊“創(chuàng)步驟2配置總部站點的WAN創(chuàng)建“Double_RR_Mix”的模板，Hub1、Hub2配置分支站點的WAN創(chuàng)建“Single_CPE_Mix”的模板，Site1創(chuàng)建“Double_CPE_Mix”的站點模板，Site2WAN側(cè)網(wǎng)絡(luò)的鏈路4-52ZTP配置（總部站點ATM的4-53ZTP配置（分支站點連接到WANVNNATURL步驟1配置總部站點的WAN>>零配置開局”，進入“ZTP在左側(cè)列表中，單擊站點，對于首次進行ZTP說明單擊“模板導(dǎo)入”，選擇已經(jīng)創(chuàng)建好的WAN在彈出的“設(shè)置WAN鏈路”窗口中，完成所有WAN配置Hub1的WAN配置Hub1_1設(shè)備的Internet配置Hub1_1設(shè)備的MPLS配置Hub1_2設(shè)備的Internet配置Hub1_2設(shè)備的MPLS配置Hub2的WAN配置Hub2_1設(shè)備的Internet配置Hub2_1設(shè)備的MPLS配置Hub2_2設(shè)備的Internet配置Hub2_2設(shè)備的MPLS步驟2配置分支站點WAN配置Site1站點WAN配置MPLS配置Site2站點的WAN配置MPLS4-54NTPNTPNTP步驟1>>>ZTP步驟2單擊“NTP”，在“NTPNTP配置RR角色站點的NTP配置分支站點的NTP步驟1>>步驟2選擇分支站點，單擊“連接”，在彈出的連接窗口中，選擇要接入的RR站點，單擊步驟3在檢測通過后，單擊“確定”。步驟4配置后顯示如下數(shù)據(jù)。步驟1>>零配置開局>ZTP”。步驟2步驟3輸入收件人郵箱地址，抄送人郵箱地址，選擇已經(jīng)創(chuàng)建的郵件模板，修改郵件內(nèi)容，步驟4AR設(shè)備開局。在站點的現(xiàn)場，通過郵件開局對站點的ARAR說明“查看配置參數(shù)”中的參數(shù)為在iMasterNCE-Campus配置的WAN連接接口、IP地址等WAN鏈路參數(shù)，如果數(shù)據(jù)配置錯誤需在iMasterNCE-Campus上修改配置并重新下步驟1>>配置結(jié)果”，單擊“配置結(jié)果”頁簽，選擇站步驟2說明郵件開局后，iMasterNCE-Campus會把站點的配置數(shù)據(jù)下發(fā)到CPE。在此期間如果發(fā)生網(wǎng)絡(luò)震UnderlayWANAN側(cè)網(wǎng)絡(luò)站點中的設(shè)備接入t或S時，AN接口已在配置AN鏈路中指定，此處可用來修改站點開局后AN接口的配置參數(shù)以及設(shè)定接口的（MaximumTransmissionUnit）和MSS（MaxSegmentSize）步驟1>>WANUnderlay”，進入“物理接口”頁面。步驟2根據(jù)網(wǎng)絡(luò)實際情況對WAN接口配置進行修改，可使用ZTPUnderlay4-55WAN側(cè)靜態(tài)路由信息IPIPIPIPIPIPIPIP4-56WAN側(cè)靜態(tài)路由信息WANIPIPIP4-57WAN側(cè)靜態(tài)路由信息WANIPIPIP步驟1>>WANUnderlay>WANUnderlay，單擊“WAN路步驟2在“WAN路由”界面中，單擊“點擊添加路由協(xié)議”，選擇協(xié)議為“IPv4Static”。步驟3在“IPv4Static”界面中，單擊“創(chuàng)建”，完成靜態(tài)路由配置，單擊“確定”。Hub1Hub2OverlayVN（多部門隔離4-58OverlayVNHub-步驟1>>虛擬網(wǎng)絡(luò)”。步驟2在“虛擬網(wǎng)絡(luò)”界面，單擊“創(chuàng)建”。步驟3步驟4Overlay步驟1配置虛擬網(wǎng)絡(luò)的Overlay>>虛擬網(wǎng)絡(luò)”，單擊已經(jīng)建立的VN選擇“拓?fù)淠Ｊ健睘椤癏ub-SpokeOverlayLANWAN4-59ARLANWAN互聯(lián)口信息（管理網(wǎng)規(guī)劃VLANIP從IPDHCP[148]DNSVRRP虛擬ARP4-60Site1ARLANWAN互聯(lián)口信息（業(yè)務(wù)網(wǎng)規(guī)劃VLANIPDHCPDNSVRRP虛擬ARP4-61Site2ARLANWAN互聯(lián)口信息（業(yè)務(wù)網(wǎng)規(guī)劃VLANIP4-62Site2LANWAN互聯(lián)口信息（業(yè)務(wù)網(wǎng)規(guī)劃VLANIP步驟1配置虛擬網(wǎng)絡(luò)的LAN-WAN>>虛擬網(wǎng)絡(luò)”，點擊已經(jīng)建立的VN點擊下圖中的“LAN-WAN步驟2配置互聯(lián)口參數(shù)（高級模式），配置完成后單擊“應(yīng)用”。配置設(shè)備Site1的LANWAN配置設(shè)備Site2_1的LANWAN配置設(shè)備Site2_2的LANWAN步驟3采用同樣方式，配置分支站點業(yè)務(wù)網(wǎng)的LANWAN互聯(lián)信息。OverlayLANWAN4-63LANWANOSPF進程RouterASE區(qū)域HelloDR進程步驟1>>虛擬網(wǎng)絡(luò)”，點擊已經(jīng)建立的VN名稱。步驟2點擊“LAN-WAN互聯(lián)”，然后在左側(cè)列表中展開站點列表，選擇站點。步驟3步驟4步驟1在主菜單中選擇“維護>配置結(jié)果”，單擊“配置結(jié)果”頁簽，選擇說明步驟2檢查EVPN設(shè)備管理”，選擇要檢測的設(shè)備，點擊在“設(shè)備表項”中選擇“VPN”，在命令中選擇“displayevpnconnection”，查看下方回顯，檢查EVPN連接數(shù)量是否符合預(yù)期，連接狀態(tài)是否為“up SiteSourceDestinationSourceNumberofconnection:步驟3設(shè)備管理”，選擇要檢測的設(shè)備，點擊在“設(shè)備表項”中選擇“IPRouting”，在命令中選擇“displayiprouting-table”，在命令行輸入框里按照需求修改參數(shù)（可選），例如修改為“displayiprouting-tablevpn-instancevpn1”，點擊“下發(fā)到設(shè)備”。RouteFlags:R-relay,D-downloadtofib,T-tovpn-RoutingTables:vpn1Destinations:9 Routes:9Destination/MaskProtoPre Flags /0IBGP200 RD/24IBGP170 RD3/32Direct0 D8/32IBGP170 RD9/32IBGP170 RD/24Direct0 D/32Direct0 D55/32Direct0 D55/32Direct0 D

iMasterNCE-Campus自帶的應(yīng)用識別特征庫，能夠很好的識別各種常見的應(yīng)用即預(yù)定義應(yīng)用。按照如下操作可以查看iMasterNCE-Campus已經(jīng)預(yù)定義的應(yīng)用。步驟1>>步驟2在預(yù)定義應(yīng)用分類的導(dǎo)航中，選擇SA功能庫并單擊所在分類，在界面右側(cè)將顯示該分說明對于“SA功能庫”為“SA_H30071000(6000+)”或“SA_H30071002(500+)預(yù)定義應(yīng)用分類包括SA和FPI步驟1>>自定義應(yīng)用”。步驟2單擊“新建”，創(chuàng)建自定義應(yīng)用。步驟3步驟4步驟5步驟6步驟74-64SASA_H30071000步驟1>>步驟2輸入應(yīng)用組名稱，選擇SA功能庫為SA_H30071000(6000+)，在SA頁面中單擊“添加步驟3在“編輯預(yù)定義應(yīng)用”彈窗中搜索video，并選擇所有的video步驟4考配置Qos策略中的配置。OverlayACL4-65ACLL3目的IP445-445-4-66OverlayACL步驟1租戶管理員登錄控制器。步驟2創(chuàng)建流分類模板。>WAN>步驟3配置ACL>WAN>單擊“Overlay”頁簽，在“VN/VPNQoS組”中，選擇需要配置的VN。ACL策略配置完成后，點擊操作列的關(guān)聯(lián)站點按 ，在所有的站點應(yīng)用這兩ACL步驟4配置結(jié)果”，單擊“配置結(jié)果”頁簽，選擇步驟1獲取下發(fā)的ACL配置結(jié)果”，單擊“配置結(jié)果”頁簽，選擇展開過濾條件，“策略類型”選擇“ACL步驟2檢查設(shè)備實際下發(fā)的ACL設(shè)備管理”，選擇要檢測的設(shè)備，點擊在“設(shè)備表項”中選擇“ACL”，在命令行輸入框中分別輸入“displayaclaclnameacl_1_f3”和“displayaclaclnameacl_1_f5”，點擊“下發(fā)到設(shè)備”，查AdvancedAdvancedACLacl_1_f33998,1ruleAcl'sstepis5rule10permittcpvpn-instancevpn1destination55destination-porteq445AdvancedAdvancedACLacl_1_f53997,1ruleAcl'sstepis5rule10permittcpvpn-instancevpn1destination-porteq445//允許目的端口號為445步驟3驗證特定網(wǎng)段放開445LAN側(cè)打流，遠(yuǎn)端地址為/16網(wǎng)段的LAN驗證禁止其余外部非法445QosQoS4-67ACLL34-68DSCP8021P使能Re-markMpls4-69QosWAN步驟1步驟2開啟SAC開啟SAC配置，具體請參見.4配置iMasterNCE-Campus開關(guān)步驟3配置流分類模板。>WAN>步驟4>WAN>步驟5配置Qos策略，并在Site1、Site2站點上應(yīng)用該Qos>WAN>單擊“Overlay”頁簽，在“VN/VPNQoS組”中，選擇需要配置的VN 步驟6配置結(jié)果”，單擊“配置結(jié)果”頁簽，選擇驗證視頻流量帶寬<=10M使用測試儀構(gòu)造視頻流量，設(shè)置目的P為總部LA側(cè)，流量帶寬M，從任一分支的LAN側(cè)打流，查看總部LAN側(cè)可以正常接收流量。驗證視頻流量帶寬>10M，限速至10M使用測試儀構(gòu)造視頻流量，設(shè)置目的P為總部LA側(cè)，流量帶寬M，從任一分支的LAN側(cè)打流，查看總部LAN側(cè)接收流量帶寬為，超出帶寬的流量被丟棄。4-70ACLL3目的IP4-71Hub1、步驟1租戶管理員登錄控制器。步驟2配置流分類模板。>WAN>步驟3>WAN>單擊“Overlay”頁簽，在“VN/VPNQoS組”中，選擇需要配置的VN 步驟4配置結(jié)果”，單擊“配置結(jié)果”頁簽，選擇步驟1>>設(shè)備管理”，選擇要檢測的設(shè)備，點擊設(shè)備步驟2在“設(shè)備表項”中選擇“SPR”，在命令中選擇“displaysmart-policy-routespr-index-tableall”，點擊“下發(fā)到設(shè)備”，查看表項結(jié)果如下。#Site1SPRIndexInfo:SPRIndexInfo:IPMaskInfo: SPRIndexSiteList:site:132,pri:6,VpnId:4(vpn1),SPRIndex:1,GID:116,VNI:25//132為Hub1的站點ID，4為vpn1的IPMask8 9 步驟3在命令行輸入框里輸入“displaysmart-policy-routespr-index-tabledest-site132vpn-index4verbose”，點擊“下發(fā)到設(shè)備”。查看具體的智能策略表項，檢查智能SPRIndexInfo:IPMaskInfo:SPRIndexInfo:IPMaskInfo: AppPolicyInfo:AppPolicyIndex:241localVpnIndex: : :1ScheduleMode:PF :trueDefaultAction:prefer ThresholdInfo:::::#抖動 : :-MatchAclInfo:MatchType:OnlyAclServiceMapInfo:AclName:#僅匹配 : :DualGwBestCon:0 DualGwLessCon:0 :- :-LinkPathSite:132Info::::::::::::::::::::AppUpperBand::AppLowerBand:-ChosenPathInfo: :LessBestConId:步驟4客戶希望Spo站點上網(wǎng)流量匯總到Hub后再訪問互聯(lián)網(wǎng)，在Hub站點AN火墻進行上網(wǎng)流量統(tǒng)計與管理。選擇配置區(qū)域集中上網(wǎng)與Hub實現(xiàn)該需求。4-72步驟1步驟2>WAN>單擊“Overlay”頁簽，在“VN/VPNQoS組”中，選擇需要上網(wǎng)的VN步驟3配置結(jié)果”，單擊“配置結(jié)果”頁簽，選擇步驟1>>設(shè)備管理”，選擇要檢測的設(shè)備，點擊設(shè)備步驟2在“設(shè)備表項”中選擇“IPRouting”，在命令中選擇“displayiprouting-table”，在命令行輸入框里輸入“displayiprouting-tablevpn-instancevpn1”，點擊“下發(fā)步驟3分別查看總部和分支的路由表，開啟站點上網(wǎng)后，vpn1實例的路由表內(nèi)出現(xiàn)/0#Site1RouteRouteFlags:R-relay,D-downloadtofib,T-tovpn-RoutingTables:vpn1Destinations:9 Routes:9Destination/MaskProtoPre Flags /0IBGP200RDSDWAN///24IBGP170RD3/32Direct0D8/32IBGP170RD9/32IBGP170RD/24Direct0D/32Direct0D55/32Direct055/32Direct0D D RouteFlags:RouteFlags:R-relay,D-downloadtofib,T-tovpn-RoutingTables:vpn1Destinations:17 Routes:17Destination/MaskProtoPre Flags /0O_ASE190/24Direct0/32Direct0 /24IBGP170 RD 55/32Direct0 D 0D0D0D0D170RD160D0D0D0D0D0D0D步驟44-73步驟1租戶管理員登錄控制器。步驟2配置本地互訪策略。>WAN>單擊“Overlay”頁簽，在“VN/VPNQoS組”中，選擇需要上網(wǎng)的VN選擇是否要將站點設(shè)置為IGW步驟3配置結(jié)果”，單擊“配置結(jié)果”頁簽，選擇步驟1>>設(shè)備管理”，選擇要檢測的設(shè)備，點擊設(shè)備步驟2在“設(shè)備表項”中選擇“IPRouting”，在命令中選擇“displayiprouting-table”，在命令行輸入框里輸入“displayiprouting-tablevpn-instancevpn1”，點擊“下發(fā)步驟3查看路由表，可以看到underlay的明細(xì)路由被引入到了overlay中，表示策略應(yīng)用成RouteFlags:RouteFlags:R-relay,D-downloadtofib,T-tovpn-RoutingTables:vpn1Destinations:12 Routes:12Destination/MaskProtoPre Flags 3/32Direct2/29Direct3/32Direct4/32Direct5/32Direct9/32Direct/32O_ASE190D/24Direct0D/32Direct0D55/32Direct0D2/30O_ASE190D55/32Direct0D步驟4從Site1或Site2站點LAN側(cè)ping傳統(tǒng)站點LAN側(cè)地址，能pingLANLANLAN側(cè)設(shè)備使用DHCPOption148方式開局。在.3創(chuàng)建OverlayLANWAN互聯(lián)步驟1核心交換機采用堆疊配置，站點需要添加堆疊系統(tǒng)，首先成員設(shè)備需要添加到站點設(shè)備管理”。在“設(shè)備管理”界面中，單擊步驟2在站點的現(xiàn)場，根據(jù)站點組網(wǎng)要求，完成LAN將LAN待設(shè)備啟動完成后，設(shè)備會通過DHCP方式獲得iMasterNCE-Campus的IP地址和端口號，自動注冊到iMasterNCE-Campus。開局成功后，iMasterNCE-Campus步驟3AP設(shè)備連接PoE接入交換機后，同樣會通過DHCP方式獲得iMasterNCE-Campus的地址和端口號，自動注冊到iMasterNCE-Campus步驟1>>步驟2在左側(cè)導(dǎo)航中選擇“交換機>步驟3單擊“創(chuàng)建”，在彈出窗口中選擇目標(biāo)設(shè)備，填寫子網(wǎng)信息，例如VLAN、、代理、U、P等。按照表4-7、表4-7表4-7，分別配置員工、訪客、啞終端的PSerer參數(shù)。4-74IPDHCPServerVLANIP/DHCPDNS服務(wù)：系統(tǒng)DNS4-75IPDHCPServerVLANIP/DHCPDNS服務(wù)：系統(tǒng)DNS4-76IPDHCPServerVLANIP/DHCPDNS服務(wù)：系統(tǒng)DNS步驟4配置核心交換機與AR在左側(cè)導(dǎo)航中選擇“交換機>步驟5在左側(cè)導(dǎo)航中選擇“交換機>步驟6Eth-trunk，放通有線和無線的業(yè)務(wù)VLAN4-77VLAN4-78AP的接口參數(shù)表缺省允許通過的STP4-79PC的接口參數(shù)表缺省允許通過的步驟1>>步驟2在左上角“站點”下拉框中選擇Site2站點，將該站點設(shè)為操作對象。步驟3選擇“交換機>認(rèn)證>有線認(rèn)證”頁簽，創(chuàng)建有線認(rèn)證test-emp。4-80802.