23业务随行和业务编排典型配置23.1通过业务编排完成对指定数据流的引导(框式交换机)23.2配置在用户物理位置变化时部署业务随行示例(V200R006C00、V200R007C00、V200R008C00)23.3配置在用户物理位置变化时部署业务随行示例(V200R009及之后版本)23业务随行和业务编排典型配置23.1通过业务编排完成对指定数据流的引导(框式交换机)23.2配置在用户物理位置变化时部署业务随行示例(V200R006C00、V200R007C00、V200R008C00)23.3配置在用户物理位置变化时部署业务随行示例(V200R009及之后版本)23.1通过业务编排完成对指定数据流的引导(框式交换机)业务编排简介在典型的园区网中,客户通常在重要业务部门、半信任区DMZ(DemilitarizedZone)、园区出口和数据中心等边界处部署防火墙、反病毒专家系统和应用安全网关等网络增值业务设备。这种为每个有需求的网络区域部署独立的网络增值业务设备的方案有以下几个缺点:需要部署的网络增值业务设备过多从而造成投资成本大。独立为每个有需求的网络部署网络增值业务设备会导致网络增值业务设备的利用率不高,从而造成资源的浪费。在部署和维护过程中,需要在每台网络增值业务设备上配置各自的业务处理策略,这样会导致部署和维护不便。针对以上问题,华为公司推出了业务编排解决方案。如图23-1所示,该方案主要由策略控制器、编排设备和安全资源池组成。其中,安全资源池中部署的网络增值业务设备可以是一台设备拥有多个网络增值业务能力,也可以是多个具有独立网络增值业务能力的设备。通过在园区网部署业务编排方案,可以将网络增值业务设备全部集中在一个物理区域。由于不需要再为每个有需求的网络部署独立的网络增值业务设备,不仅降低了成本,而且还提高了网络增值业务设备的利用率。同时在整个园区网中,哪些业务流量需要网络增值业务设备进行处理由策略控制器下发策略来控制,这样也提高了部署和维护的效率。图23-1业务编排方案园区组网图配置注意事项目前业务编排解决方案中支持的网络增值业务设备有防火墙、防病毒专家系统和应用安全网关。业务编排解决方案中各产品的版本配套关系如下表所示。功能名称交换机版本AgileController-Campus的版本业务编排1.0V200R006C00、V200R007C00V100R001业务编排2.0V200R008C00及以后版本V100R002、V100R003组网需求如图23-2所示,M公司的机房中有一台FTP服务器,存储公司研发部门的重要数据。管理员小王需要保证这台FTP服务器的安全,防止被攻击导致关键数据外泄。小王希望能通过业务编排完成以下任务:研发部门员工能访问FTP服务器,市场部门的员工不能访问FTP服务器。研发部门员工访问FTP服务器的数据流必须先经过防火墙进行安全检测。如果防火墙设备发生故障,研发部门员工不能访问FTP服务器。图23-2M公司组网数据规划表23-1用户和资源的IP地址规划用户和资源IP地址研发部门员工A10.85.100.11研发部门员工B10.85.100.12研发部门员工C10.85.100.13研发部门员工D10.85.100.14研发部门员工E10.85.100.15FTP服务器10.85.10.2Controller10.85.10.3SwitchA10.85.10.5用户和资源IP地址NGFW10.85.10.6表23-2业务流规划序号协议源IP/掩码长度源端口目的IP/掩码长度目的端口1TCP10.85.100.11/322210.85.10.2/32212TCP10.85.100.12/323TCP10.85.100.13/324TCP10.85.100.14/325TCP10.85.100.15/32表23-3设备参数规划设备配置交换机与防火墙直连的接口:接口名称:GigabitEthernet1/0/1Vlan:Vlan100IP地址:10.85.10.5/24LoopBack100:IP地址:10.7.2.1/32LoopBack101:IP地址:10.7.2.2/32XMPP连接密码:Admin@123防火墙与交换机直连的接口:接口名称:GigabitEthernet1/0/1安全区域:trustIP地址:10.85.10.6/24LoopBack100:IP地址:10.6.2.1/32LoopBack101:IP地址:10.6.2.2/32XMPP连接密码:Admin@123Radius共享密钥:Radius@123配置思路具体配置思路如下:在交换机和防火墙上配置基本参数。在交换机和防火墙上配置XMPP协议参数,以便在Controller上添加交换机和防火墙设备。在交换机和防火墙上配置各接口的地址和静态路由,实现网络中各设备之间能够互通。说明:需要保证配置的Loopback编号在设备中是最大的,本文使用的是100和101。在Controller上通过XMPP协议添加交换机和防火墙设备。在Controller上配置业务流,通过ACL规则实现仅研发部门员工访问FTP服务器。在Controller上配置IP地址池和业务链资源,实现交换机和防火墙之间GRE隧道的建立。说明:IP地址池不能包含网络中正在使用的IP地址。在Controller上编排并部署业务链,实现对访问FTP服务器的数据的重定向,先经过防火墙,再访问FTP服务器。操作步骤在交换机上配置各接口地址,静态路由和XMPP连接参数等基本参数。HUAWEIsystem-view[HUAWEI]sysnameSwitchA[SwitchA]vlanbatch100[SwitchA]interfacegigabitethernet1/0/1[SwitchA-GigabitEthernet1/0/1]portlink-typetrunk[SwitchA-GigabitEthernet1/0/1]porttrunkallow-passvlan100[SwitchA-GigabitEthernet1/0/1]quit[SwitchA]interfacevlanif100[SwitchA-Vlanif100]ipaddress10.85.10.524[SwitchA-Vlanif100]quit[SwitchA]interfaceLoopBack100[SwitchA–LoopBack100]ipaddress10.7.2.1255.255.255.255[SwitchA–LoopBack100]quit[SwitchA]interfaceLoopBack101[SwitchA–LoopBack101]ipaddress10.7.2.2255.255.255.255[SwitchA–LoopBack101]quit[SwitchA]iproute-static10.6.2.1255.255.255.25510.85.10.6[SwitchA]iproute-static10.6.2.2255.255.255.25510.85.10.6[SwitchA]group-policycontroller10.85.10.3passwordAdmin@123src-ip10.85.10.5在防火墙上配置各接口地址,静态路由和XMPP连接参数等基本参数。配置接口IP地址和安全区域,完成网络基本参数配置。选择“网络接口”。单击GE1/0/1对应的,按如下参数配置。安全区域trustIPv4IP地址10.85.10.6/24配置RADIUS服务器。选择“对象认证服务器RADIUS”。单击“新建”,按如下参数配置。此处设置的参数必须与RADIUS服务器的参数保持一致,共享密钥为“Radius@123”。单击“确定”。开启防火墙的敏捷网络功能。选择“系统敏捷网络配置”。勾选“敏捷网络功能”对应的“启用”。配置与Controller的对接参数。“Controller主服务器IP”参数后面的状态显示为“已连接”,表示防护墙与AgileController对接成功。说明:在业务编排场景中,由于防火墙要配置内容安全检测功能,因此“安全策略配置”必须选择为“手工配置”。在防火墙上配置两个Loopback接口。说明:您需要登录设备CLI控制台来完成该配置步骤。单击界面右下方的。在“CLI控制台(未连接)”对话框中单击鼠标左键,连接设备CLI控制台。连接成功后,配置如下命令。sysnamesysnameNGFW[NGFW]interfaceLoopBack100[NGFW-LoopBack100]ipaddress10.6.2.1255.255.255.255[NGFW-LoopBack100]quit[NGFW]interfaceLoopBack101[NGFW-LoopBack101]ipaddress10.6.2.2255.255.255.255[NGFW-LoopBack101]quit[NGFW]iproute-static10.7.2.1255.255.255.25510.85.10.5[NGFW]iproute-static10.7.2.2255.255.255.25510.85.10.5在Controller上添加交换机和防火墙设备。在主菜单中选择“资源设备设备管理”。单击“增加”。设置添加设备的参数。添加交换机和防火墙的参数设置如图23-3和图23-4所示。“密码”为在设备上配置的通信密码“Admin@123”。图23-3添加交换机设备的参数设置图23-4添加防火墙设备的参数设置配置业务流。在主菜单中选择“策略业务链编排业务流定义”。单击“增加”。设置业务流参数。参数设置如图23-5所示。图23-5业务流参数设置配置IP地址池。在主菜单中选择“策略业务链编排IP地址池”。单击“增加”。名称设置为“10.10.192.0”,IP地址设置为“10.10.192.0”,掩码长度设置为“24”。图23-6IP地址池参数设置单击“确定”。配置业务链资源。在主菜单中选择“策略业务链编排业务链资源”。单击“增加”。在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。在左侧“业务设备”区域选择“NGFW”,拖拽至右侧的“防火墙”节点上。在左侧“地址池”区域选择“10.10.192.0”。图23-7业务链资源参数设置单击“保存”,在弹出的提示框中单击“是”。编排并部署业务链。在主菜单中选择“策略业务链编排业务链编排”。单击“增加”。在左侧“业务流”区域选择“User_to_Datacenter”,拖拽至右侧的“业务流”节点上。在左侧“编排设备”区域选择“SwitchA”,拖拽至右侧的“编排设备”节点上。将“NGFW”设备拖拽至上方的防火墙节点上。在左侧“链异常处理方式”区域选择“阻断”。图23-8业务链编排参数设置单击“保存”,在弹出的提示框中单击“是”。验证配置结果。#在Controller上查看交换机和防火墙之间的隧道是否建立成功。业务链资源下发后的隧道信息如图23-9所示。图23-9隧道部署结果详情#在交换机上通过命令displayaclall能够看到业务流规则成功下发。[SwitchA]displayaclallTotalnonemptyACLnumberis1AdvancedACLS_ACL_20140401153202_B3E03998,5rulesAcl'sstepis5rule5permittcpsource10.85.100.110source-porteq22destination10.85.10.20destination-porteq21(match-counter0)rule10permittcpsource10.85.100.120source-porteq22destination10.85.10.20destination-porteq21(match-counter0