网关设备配置
在大规模园区网络中,网关集群部署在服务汇聚层。无线局域网(WLAN)通过隧道连接到这些网关,以利用平台上提供的高级策略执行和防火墙功能。实施网关集群以确保高可用性和吞吐量。
本节概述了使用零接触配置(ZTP)流程在 Central 部署网关的步骤。下表提供了在操作中使用的 VLAN 和 IP 地址的详细信息。
示例:IP 地址和 VLAN ID
| 名称 | IP 地址 | 默认网关 | VLAN ID | VLAN 名称 | 网关 VRRP 地址 |
|---|---|---|---|---|---|
| RSVCP-SS3-CL1-1 | 10.6.15.11/24 | 10.6.15.1 | 15 | 管理 | 10.6.15.13 |
| RSVCP-SS3-CL1-2 | 10.6.15.12/24 | 10.6.15.1 | 15 | 管理 | 10.6.15.14 |
配置网关 VLAN
使用以下步骤配置网关 VLAN.
示例:网关的 VLAN
| VLAN 名称 | VLAN ID |
|---|---|
| MGMT | 15 |
| 员工 | 103 |
| BLDG-MGMT | 104 |
| CAMERA | 105 |
| 打印机 | 106 |
| 访客 | 112 |
| REJECT_AUTH | 113 |
| CRITICAL_AUTH | 114 |
| ZTP | 4094 |
必须在添加端口通道之前创建网关 VLAN,以便可以从下拉列表中选择 Native VLAN 和 Allowed VLANs。
- 登录到 HPE Greenlake 并进入 HPE Aruba Networking Central。
在 Global > Groups 中,找到该组。在此示例中,该组为 RSVCP-WIRELESS。
在 Gateways 页面右上角,点击 Config。
选择 Interface 选项卡,然后点击 VLANs。在左下角点击 +(加号)以添加新的 VLAN。
在 New VLAN 窗口中,分配以下设置,然后点击 Save Settings。
- VLAN 名称: MGMT
- VLAN ID/范围: 15
- 对环境中的每个网关 VLAN 重复此步骤。
启用物理接口
使用此步骤在组中启用网关物理接口以进行配置。
ESP 园区支持网关设备的零接触配置(ZTP)。ZTP 需要在组级别为网关执行物理接口配置。为了简化此配置,最佳实践是在每个组内标准化单一的网关型号。
如果将组级别的接口配置应用于没有指定物理接口的网关,则不会将该网关添加到该组中。必须从组配置中移除不支持的接口,才能添加该网关。
- 在 组 中,找到无线组。在本例中,组为 RSVCP-WIRELESS。
选择 Gateways 选项卡。在左侧菜单中,选择 Devices。
点击右上角的 Config。
选择 Interface 选项卡,然后选择 Ports 选项卡。在 Ports 表格左下角点击 +(加号)以添加端口。
在 New port 窗口中,勾选接口名称旁的复选框,然后点击 Save。
配置端口通道(Port Channels)
使用以下步骤配置 Gateway 端口通道。
在对正常运行时间和性能要求较高的部署中,最佳实践是使用支持 VSX 功能的两台交换机连接的多机箱 LAG(MC-LAG)上的 LACP 进行 Gateway 连接。LACP 作为端口通道配置的一部分在 Gateway 上启用。
当使用 ZTP 部署 Gateway 时,最初没有 LACP 配置。为了在配置过程中适应这一点,Uplink 交换机上启用了 LACP 回退。在 MC-LAG 中实现 LACP 回退命令的示例配置如下:
interface lag 11 multi-chassis
description RSVCP-SS3-CL1-1
no shutdown
no routing
vlan trunk native 1
vlan trunk allowed all
lacp mode active
lacp fallback
当 LACP 协商失败时,LACP 备用允许交换机端口作为标准接入/汇聚端口工作,直到 LACP 功能恢复。
上述配置片段演示了在上下文中实现 LACP 备用命令。请参考本指南的前面章节以获取完整的交换机配置。
在 组 中,找到无线组。在此示例中,组为 RSVCP-WIRELESS。
选择 网关 选项卡。在左侧菜单中,选择 设备 选项卡。
在右上角选择 配置。
选择 接口 选项卡,然后选择 端口 选项卡。
在 端口通道 部分,点击 +(加号)以添加端口通道。
在 新端口通道 窗口中,选择下一个可用的 PC-n ID;在此示例中为 PC-0。点击 保存。
在 PC-n 部分,分配以下设置。
- 协议:LACP
- LACP 模式: 被动
- 端口成员: 点击 编辑,在 可用 中选择端口信道端口,使用右箭头将其移动到 已选,然后点击 确定。
- 管理状态: 对勾
- 信任: 对勾
- 策略: 每会话 和 允许所有
- 模式: 干线
- Native VLAN: 4094
- 允许的 VLAN: 15、102-106、112-114、4094
- 巨型 MTU: 对勾
“配置 VLAN 接口”程序中创建的网关 VLAN 会填充 允许 VLAN 下拉菜单。
在页面底部,展开 显示高级选项,分配以下设置,然后点击 保存设置。
- ** spanning tree:** 勾选
配置默认网关
使用以下步骤在网关设备上配置默认网关。
在 网关 标签页中,选择 路由 标签,然后选择 IP 路由 标签。
展开 静态默认网关 部分。在表格底部,点击 +(加号)。
在 新默认网关 页面中,输入 IP 地址,然后点击 保存设置。
- 默认网关 IP: 10.6.15.1
配置网关基础功能
使用此步骤配置网关的基础功能。基础功能包括主机名、VLAN IP 地址和系统 IP 地址。
- 选择无线组。在此示例中,组为 RSVCP-WIRELESS。
选择 网关 标签。在左侧菜单中,选择 设备 标签。
从列表中选择一个新的网关。
未命名的网关在系统 MAC 地址中列出。
在左侧菜单中,选择 设备。
选择 接口 选项卡,然后选择 VLAN 选项卡。
在 VLAN 表中,选择 MGMT VLAN。在下方的 VLAN ID 部分,点击 VLAN 行。
向下滚动到 IP 地址分配 部分,设置以下内容,然后点击 保存设置:
IP 分配方式: 静态
- IPv4 地址: 10.6.15.11
- 子网掩码: 255.255.255.0
- 强制操作状态为UP: 对勾
- 在 VLANs 表中,选择不同的 VLAN。在此示例中,选择了 VLAN 103。在下方的 VLAN IDs 部分,点击 VLAN 行。
向下滚动到 IP 地址分配 部分,并分配以下设置。点击 保存。
- IP 分配: 静态
- IPv4 地址: 10.6.103.11
- 子网掩码: 255.255.255.0
- 强制操作状态为 UP: 未选中
- 对环境中的每个额外 VLAN 重复前面两个步骤。
在 网关 页面,选择 系统 选项卡,然后选择 常规 选项卡。
在 系统 选项卡中,展开 基本信息 部分,根据需要更改 主机名。点击 保存设置。
重复步骤 2,为组中的其他网关重命名。
管理密码继承自组设置。请勿在设备级别进行更改。
在网关页面,选择系统标签,然后选择常规标签。
展开系统 IP 地址部分,使用IPv4 地址下拉菜单选择具有强制正常运行 UP 设置的 VLAN,然后点击保存。
- IPv4 地址: VLAN 15 10.6.15.11
- 重复步骤 2,为组中的其他网关分配系统 IP 地址。
配置 Layer 2 网关集群
使用此流程配置 Layer 2 网关集群。
网关集群在两个或多个设备之间提供负载均衡,从而提高用户和端点的可用性和吞吐量。网关 VRRP IP 地址允许授权服务器(如 ClearPass)对锚定到特定网关的用户发起授权变更(CoA)请求。
示例:网关 VRRP IP 地址和 VLAN
| 网关 | IP 地址 | 多播 VLAN | VRRP IP 地址 | VRRP VLAN |
|---|---|---|---|---|
| RSVCP-SS2-CL1-1 | 10.6.15.11 | 15 | 10.6.15.13 | 15 |
| RSVCP-SS2-CL1-2 | 10.6.15.12 | 15 | 10.6.15.14 | 15 |
在 网关 页面,选择 高可用性 选项卡。
确认 集群模式: 自动组。
在集群表中,点击集群名称并分配以下设置。
- 手动集群配置: 向右滑动
- 动态授权(CoA): 向右滑动
集群名称默认已填充,且在自动组集群中无法更改。
在 集群中的网关 表中,选中网关名称旁的框,并分配以下设置。
- RSVCP-SS2-CL1-1: 10.6.15.13
- RSVCP-SS2-CL1-2: 10.6.15.14
向下滚动,分配以下设置,然后点击 保存设置。
- 多播 VLAN: 15
- VRRP VLAN: 15
- VRRP ID: 15
- VRRP 密码: passphrase
AOS-10 在 220-255 范围内保留 VRRP 实例 ID。
集群变更会中断客户端流量,应该在维护窗口期间进行。