在使能SVF功能后,Parent会自动修改生成树协议为RSTP并配置“stp instance 0 priority 28672”,即生成树实例0的优先级为28672;去使能SVF功能后,实例0的优先级会恢复为缺省值。使能或去使能SVF功能时,生成树协议会重新计算端口的角色并进行状态迁移。此时,端口流量会暂时中断。
SVF中下行Fabric-port绑定的Eth-Trunk会自动配置MAD Relay功能,上行Fabric-port绑定的Eth-Trunk会自动配置MAD检测功能,以实现对堆叠状态的AS进行多主检测。当AS中的从交换机单独分裂出去时,由于从交换机会自动重启且不保存配置,此时无法检测到多主。
避免通过MIB操作对SVF中自动生成的配置进行修改,例如Fabric-port绑定的Eth-Trunk、STP、LLDP配置,以免影响SVF功能。
若在使能SVF功能之前已有AP上线接入了Parent,那么在执行命令uni-mng使能一致性管理功能后Parent将无法收集该AP的拓扑信息。此时需要用户在WLAN视图下执行命令commit { all | ap ap-id }提交AP的配置,这样Parent就可以收集到该AP的拓扑信息。
在AS侧执行部分命令(如patch delete all、patch load filename all [ active | run ])的结果在Parent侧查看时可能会有一定的延时。
SVF中AS不支持配置接口允许通过的最大帧长,因此AS上接口最大允许转发的帧长为缺省值9216(包含CRC)。
管理VLAN内部攻击会导致AS下线,需识别攻击源后关闭被攻击的端口或将端口退出管理VLAN。
AS下线后,AS设备的下行口将全部被Shutdown。
配置的CAPWAP协商参数会同时应用于SVF系统,为保证SVF系统的CAPWAP通道正常,建议保持CAPWAP的协商参数为默认值。
当AS为S5700-10P-LI或者S2750EI设备时,如果设备加入SVF前在系统视图下通过命令assign forward-mode ipv4-hardware使能了IPv4报文三层硬件转发功能,则:
AS直连Parent的情况下,无法通过协商上线。
AS跨网络连接Parent的情况下,不允许配置管理VLAN。
此时需将设备以单机模式启动后,系统视图下执行命令undo assign forward-mode去使能IPv4报文三层硬件转发功能。
SVF场景下,NAC认证用户认证成功前的网络访问权限支持通过免认证规则授权(authentication free-rule),不支持通过UCL组授权。 SVF不支持内置Portal服务器。
Parent的配置文件(以V200R008C00版本为例) #
sysname SwitchA #
vlan batch 11 #
stp mode rstp
stp instance 0 priority 28672 #
lldp enable #
dhcp enable #
interface Vlanif11
ip address 192.168.11.1 255.255.255.0 dhcp select interface
dhcp server option 43 ip-address 192.168.11.1 #
interface Eth-Trunk1 port link-type hybrid
port hybrid tagged vlan 1 10 to 11 stp root-protection
authentication control-point open authentication dot1x mode lacp
loop-detection disable mad relay #
interface Eth-Trunk2 port link-type hybrid
port hybrid tagged vlan 1 10 to 11 stp root-protection
authentication control-point open authentication dot1x mode lacp
loop-detection disable mad relay #
interface Eth-Trunk3
port link-type hybrid
port hybrid tagged vlan 1 11 20 stp root-protection
authentication control-point open authentication dot1x mode lacp
loop-detection disable mad relay #
interface GigabitEthernet1/1/0/1 eth-trunk 1 #
interface GigabitEthernet1/1/0/2 eth-trunk 2 #
interface GigabitEthernet1/1/0/3 eth-trunk 3 #
interface GigabitEthernet1/2/0/1 mad detect mode direct #
interface GigabitEthernet2/1/0/1 eth-trunk 1 #
interface GigabitEthernet2/1/0/2 eth-trunk 2 #
interface GigabitEthernet2/1/0/3 eth-trunk 3 #
interface GigabitEthernet2/2/0/1 mad detect mode direct #
capwap source interface vlanif11 # wlan
wlan ap lldp enable ap-auth-mode no-auth
ap id 1 type-id 30 mac ac85-3da6-a420 sn 2102355547W0E3000316 wlan work-group default #
as-auth
whitelist mac-address 0200-0000-0011 whitelist mac-address 0200-0000-0022
whitelist mac-address 0200-0000-0033 whitelist mac-address 0200-0000-0044 whitelist mac-address 0200-0000-0055 #
uni-mng
as name as1 model S5700-28P-LI-AC mac-address 0200-0000-0011 //检查AS配置以及连接AS的端口配置是否正确
down-direction fabric-port 4 member-group interface Eth-Trunk 4 port Eth-Trunk 4 trunkmember interface GigabitEthernet 0/0/23 port Eth-Trunk 4 trunkmember interface GigabitEthernet 0/0/24 as name as2 model S5700-28P-LI-AC mac-address 0200-0000-0022 as name as3 model S5700-28P-LI-AC mac-address 0200-0000-0033 down-direction fabric-port 5 member-group interface Eth-Trunk 5 port Eth-Trunk 5 trunkmember interface GigabitEthernet 0/0/23 port Eth-Trunk 5 trunkmember interface GigabitEthernet 0/0/24 as name as4 model S2750-28TP-EI-AC mac-address 0200-0000-0044 as name as5 model S2750-28TP-EI-AC mac-address 0200-0000-0055 interface fabric-port 1
port member-group interface Eth-Trunk 1 interface fabric-port 2
port member-group interface Eth-Trunk 2 interface fabric-port 3
port member-group interface Eth-Trunk 3
as-admin-profile name admin_profile //查看管理员模板配置 user asuser password %^%#Ky,WNqWh_DZ[(V96yvSEph)VLMc/+U}>]i2:\
network-basic-profile name basic_profile_1 //查看网络基础模板配置 user-vlan 10
network-basic-profile name basic_profile_2 user-vlan 20
user-access-profile name access_profile //查看用户接入模板配置 authentication dot1x
as-group name admin_group //检查是否创建AS group并与AS管理员模板绑定
as-admin-profile admin_profile as name as1 as name as2 as name as3 as name as4 as name as5
port-group name port_group_1 //检查port-group是否与业务模板绑定,AS对应业务端口是否加入group
network-basic-profile basic_profile_1 user-access-profile access_profile
as name as1 interface GigabitEthernet 0/0/1 to 0/0/24
as name as2 interface GigabitEthernet 0/0/1 to 0/0/23 as name as4 interface Ethernet 0/0/1 to 0/0/24
port-group name port_group_2 //检查port-group是否与业务模板绑定,AS对应业务端口是否加入group
network-basic-profile basic_profile_2 user-access-profile access_profile
as name as3 interface GigabitEthernet 0/0/1 to 0/0/24 as name as5 interface Ethernet 0/0/1 to 0/0/24 port-group connect-ap name ap
as name as2 interface GigabitEthernet 0/0/24 #
return
相关信息 视频
华为SVF技术:大道至简的管理手段
24.5 通过eSight配置有线园区网接入层示例 前提条件
设备SNMP读写参数配置完成,已加载到eSight中进行管理,且设备和eSight通讯正常。 已经在网管上完成对telnet参数的配置。 SVF设备已使能LLDP协议。
本举例适用的产品和版本,请参考“SVF技术特征”中的“SVF硬件和软件要求”。 组网需求
M公司新建的有线园区网中,接入层设备较多且分布较广,接入层设备的管理、配置较为复杂。网络管理员小王希望可以对接入层设备做统一的管理与配置,以减少管理成本。 如图24-11所示,汇聚层由两台交换机组成集群系统,作为Parent连接多台AS。 Parent以S7712为例,一级AS以S5700-28P-LI为例,二级AS以S2750-28TP-EI为例。 图24-11 配置有线园区网接入层组网图
配置思路
采用如下的思路配置:
配置Parent组成集群,以保证SVF系统的高可靠性。