云化园区方案设计及实施指南

• 1 准备工作
  • 1.1 方案规划
    • 1.1.1 方案选型
      • 1.1.1.1 中小型园区
      • 1.1.1.2 中大型园区
      • 1.1.1.3 混合场景
      • 1.1.1.4 传统二层场景
      • 1.1.1.5 开放云联场景
    • 1.1.2 与上游设备对接方式
  • 1.2 设备选型
    • 1.2.1 命名规则介绍
    • 1.2.2 产品彩页
  • 1.3 设备清单
  • 1.4 设备License
  • 1.5 设备信息表
  • 1.6 业务规划
• 2 开始部署
  • 2.1 设备安装
  • 2.2 部署控制器
    • 2.2.1 部署位置选择
    • 2.2.2 安装控制器
    • 2.2.3 登录控制器
  • 2.3 创建组织和场所
  • 2.4 设备入库
• 3 开始配置
  • 3.1 规划拓扑
    • 3.1.1 自动生成规划拓扑
    • 3.1.2 按照规划设置
    • 3.1.3 快速导入规划拓扑
  • 3.2 基础网络配置
    • 3.2.1 Agg带内管理IP设置
    • 3.2.2 Agg组MC-LAG的互联IP和VLAN设置
    • 3.2.3 Spine与上游设备互联设置
    • 3.2.4 交换机的统一系统设置
  • 3.3 业务配置
    • 3.3.1 有线业务配置
    • 3.3.2 无线业务配置
• 4 设备上线
  • 4.1 Spine-1初始配置
  • 4.2 Agg第一阶段配置
  • 4.3 所有设备上线
• 5 下发配置
  • 5.1 下发基础网络配置
  • 5.2 下发有线业务配置
  • 5.3 下发无线业务配置
• 6 业务验证
  • 6.1 设备在线情况
  • 6.2 有线业务验证
  • 6.3 无线业务验证
• 7 运维
  • 7.1 告警
  • 7.2 巡检
    • 7.2.1 业务巡检
    • 7.2.2 系统巡检
• 8 扩容
  • 8.1 扩容一个接入交换机组
  • 8.2 同Agg的Leaf扩容
  • 8.3 跨Agg组的Leaf扩容
• 附：现场照片

1 准备工作

1.1 方案规划

按照用户的建筑格局、走线、预算、可靠性要求等因素确定整体网络架构。
方案确定后与客户核对，确定。

1.1.1 方案选型

云化园区控制器目前支持3种典型场景：

• Spine-Leaf：经典云化园区场景。
• Spine-Aggregation-Leaf：支持单Aggregation、双Aggregation；Spine-Leaf混合场景。
• 传统二层场景：单核心下挂接入交换机。
• 开放云联场景：仅Leaf交换机，上游设备不管控。

1.1.1.1 中小型园区

适合一组Spine可以承接所有Leaf的单PoD场景。

1.1.1.2 中大型园区

一组Spine无法承接所有Leaf的多PoD场景。其中单汇聚只需要一台汇聚设备；多汇聚需要2台，更加可靠。

1.1.1.3 混合场景

客户现场可能因为各种原因，多个建筑的组网不尽相同，比如新建楼栋线路富裕、老旧楼栋线路故障且修复困难；混合场景适应性更强。

1.1.1.4 传统二层场景

二层场景Leaf交换机业务二层透传，VLAN-MAC转发；Leaf通过带内管理。

1.1.1.5 开放云联场景

适合于上游设备为其他厂商，Leaf部署在二层或者三层的场景。

1.1.2 与上游设备对接方式

根据上游设备的网络能力或者用户偏好选择合适的对接方式。

• Spine-Aggregation-Leaf场景支持多种方式与上游设备对接：本地三层接口+静态路由；MC-LAG+静态路由；eBGP；OSPF等。
• Spine-Leaf场景支持通过三层接口或VLANif与上游对接；静态路由做业务转发，eBGP。
• 二层场景只需要通过三层接口与上游设备对接；静态路由做业务转发。
• 开放云联场景支持三层接口与上游设备对接。

依据网络规模、接口形态等因素选择合适的型号。

1.2 设备选型

依据网络规模、接口形态等因素选择合适的型号。

1.2.1 命名规则介绍

CX202P-24Y-M、CX204Y-48GT-HPW2-M

高速接口	低速接口	可选
Q : 400G D : 200G P : 100G	GT : 1GE电 MT : 2.5GE电 S : 10GE光 Y ：25GE光	-HPW[1..4] PoE+，HPW2：24口PoE+ HPW3：36口PoE+

1.2.2 产品彩页

产品彩页-星融元CX-M系列云化园区交换机-CN-e-20250710.v2.4.pdf

1.3 设备清单

按照规划拓扑整理设备、模块、光纤等物料清单。

型号	用途	数量
CX532P-M	spine	2/2
CX202P-24Y-M	Aggregation	4/4
CX206P-48S-M	Aggregation	2/2
CX204Y-48GT-M	Leaf	80/80
CX204Y-48GT-HPW2-M	Leaf接AP	4/4
CAP6020-Z		10/10
ET2500	模拟终端，每台出12个电口上联Leaf	1/10
42U的机柜	放置设备	5/5
100G多模光模	spine-agg互联（已+2备用）	26
25G多模光模块	agg-leaf互联（已+10备用）	350
10G多模光模块	Spine-Router互联	4
多模光纤	其中30根7-10米，160根3-5米（分别用于跨机柜和较远距离、本机柜链接）（已+10备用）	200
网线	1-3米，ET2500-Leaf互联（已+10备用）	10
总电源功率	10%冗余	8788瓦
电源插座	（已+10备用）	108
CCN控制器	云端wifi.asterfusion.com	1/1
出口跳纤	从设备部署位置到苏州办网出口路由器，根据实际情况准备跳纤	2/2

1.4 设备License

通过技服或销售获取AP的授权文件，借测项目默认2个月授权，正式销售永久授权。

1.5 设备信息表

信息用于记录设备安装位置、MAC、SN、hostname，并记录连线表等实施中的重要信息。
云化园区-100shades-信息表-i-20250110-v1.0

1.6 业务规划

IP规划

总网段	172.22.0.0/16
业务	业务子类	IP地址段	地址池范围	VLAN	网关所在设备
spine上联		10.210.1.252/24		100	openwrt
互联地址		172.22.253.128/25	128-255
AP管理地址	AP管理地址	172.22.254.1/24	172.22.254.1-172.22.254.255	1000
	控制器	172.22.254.2/24
Agg	带内管理	172.22.253.1/27	172.22.253.1-172.22.253.31	1001
	peer-link			1002
loopback地址		172.22.252.1/24	172.22.252.1-172.22.252.255
有线终端		172.22.251.1/24	172.22.251.1-172.22.251.255	1003
无线终端		172.22.249.1/24	172.22.250.1-172.22.249.255	1004

2 开始部署

2.1 设备安装

按照规划拓扑安装设备，记录设备序列号和MAC地址，填写设备信息表。

2.2.1 部署位置选择

控制器部署在spine旁、公网服务器、leaf下三种情况的配置方式有所不同，根据用户实际情况选择。
推荐部署在公网服务器随时随地都可访问；部署在spine旁通常比Leaf下有更高的可靠性。
本案为方便从西安访问控制器，部署在云端服务器：wifi.asterfusion.com。

注意：控制器部署在一台Spine旁边时，为保证从另外一台Spine过来的流量能够访问控制器，需要通过iBGP发布控制器路由：network 172.22.253.253/30。

2.2.2 安装控制器

将控制器版本的打包文件上传到需要部署的环境，一键安装，-i参数指定控制器IP地址：

./controller_V1.0_R07.bin –i

部署成功后，用户可以通过 https://ip_address 直接访问控制器。
注意：若从R7之前的版本升级到R7之后的版本，且需要保留之前的配置，在安装时不携带-i参数即可.

• 使用docker-compose一键启动控制器，控制器默认安装目录为 /opt/controller/ 下：

cd /opt/controller/controller_V1.0_R07/wlan-cloud-ucentral-deploy/docker-compose/
docker-compose up -d

参数说明：

• -d ：表示后台执行
• up ：表示启动控制器
• down ：表示关闭控制器

• 完全清除重新安装

注：无需保留原有数据清除重新安装。以下为清除方法，安装方法同“初次安装”。

docker-compose down
docker image ls
docker rmi 手动列出IMAGE ID
docker volume ls
docker volume rm openwifi_kafka_data openwifi_postgresql_data openwifi_zookeeper_data openwifi_zookeeper_datalog

2.2.3 登录控制器

https://控制器IP或域名
默认用户名/密码: aster@asterfusion.com / Asteria
初次登录系统强制要求修改密码。
本案控制器：https://wifi.asterfusion.com

2.3 创建组织和场所

登录控制器后，点击右上角的【+】添加场所

完成组织创建后，双击创建的组织，进入该组织下：

点击【+】按钮创建一个新的场所
所是管理员可以用来监控、管理、配置所有网络设备的集合。

2.4 设备入库

设备导入至场所

下载导入模板：

将设备信息按照模板填写后，导入到所在场所。

上传后先点击“测试上传数据”对数据进行校验，通过点击“上传数据”开始入库。

3 开始配置

3.1 规划拓扑

采用中大型园区，多汇聚场景。接入交换机分为3组。

3.1.1 自动生成规划拓扑

3.1.2 按照规划设置

注：红色框内为手动必填内容，与规划表核对填写，预留充足时间。规划拓扑50台设备需要至少1.5h。

3.1.3 快速导入规划拓扑

适合设备数量非常多的情况，excel也为项目管理提供材料，这种方式非常快速。
导入方式不需要选择方案和设备，会根据导入信息自动创建设备。

3.1.3.1 下载模板

3.1.3.2 填写规划表

3.1.3.3 导入规划表

3.1.3.4 自动校验规划表

WEB会校验用户输入，并做出提示。修复所有错误，确认无误后点击应用配置。

3.1.3.5 自动生成拓扑

完成互联信息后将得到包含互联关系的完整拓扑。

3.2 基础网络配置

3.2.1 Agg带内管理IP设置

Agg工作在二层模式，所以配置并不需要经常变动，但为了监控设备和网络状态需要为他提供带内管理网段。这里只需要设置网段，控制器会自动从中分配IP给所有Agg设备。

3.2.2 Agg组MC-LAG的互联IP和VLAN设置

Agg组都会建立MC-LAG，PeerLink的IP仅用于本地控制器面通信、MAC和ARP表同步，所以所有Agg组的PeerLink和IP都是相同。

3.2.3 Spine与上游设备互联设置

3.2.4 交换机的统一系统设置

3.3 业务配置

3.3.1 有线业务配置

3.3.1.1 有线终端业务配置

3.3.1.2 AP管理和业务配置

3.3.1.3 高可用DHCP服务器

可选将DHCP服务器设置在Spine上，2台Spine将自动启用DHCP failover高可用服务器；两台服务器协同工作，可靠性更高。

注意：failover必须两台设备时间同步，否则信息无法同步。

创建DHCP配置

支持静态地址绑定，绑定的地址需要在网段内且动态地址池之外。

查看地址池使用情况

3.3.2 无线业务配置

注意：设置无线配置模板的“标签”：该标签必须与AP设备的“标签”一致，控制器会在AP初次上线时自动下发“标签”一致的无线配置。

AP设备的“标签”：在导入库存时设置“AFtag”，或在系统库存中批量修改。

4 设备上线

4.1 Spine-1初始配置

上线阶段只需要给其中一台Spine手动配置上线，其他设备自动获取地址上线。
注意：Spine-1上与Spine-2的互联接口也划为downlink，spine2通过该接口获取地址上线。

interface ethernet 130
    ip address 10.210.1.252/24

connect-controller
    uplink ethernet 130 ip address 10.210.1.252/24 gw 10.210.1.1
    controller-server ip address 172.22.253.254
    downlink ethernet 1-125 ip address 172.22.55.1/24

4.2 Agg第一阶段配置

将脚本添加到控制器，类型为sonic-cli，保存。下发给Agg-G3-1。
注意：如果Leaf上行口连了2台Agg，只需将其中一台Agg下行口加到Access Vlan，否则Leaf的两个上行接口将获取到相同的IP地址。另外一台Agg无需下发脚本。
本案只给Agg-G3-1下发该脚本：

configure
vlan 101
exit
port-group ethernet 1-20
switchport access vlan 101
exit
interface ethernet 49（连接dhcp地址池所在spine1的上行口必须放在最后下发）
no router-interface
switchport access vlan 101
exit
interface vlan 101（最后vlan重新获取ip）
ip address dhcp-alloc
exit
end

4.3 所有设备上线

5 下发配置

5.1 下发基础网络配置

5.2 下发有线业务配置

5.3 下发无线业务配置

将配置推送给“标签”匹配的设备。

6 业务验证

6.1 设备在线情况

6.2 有线业务验证

终端可以获取到地址，访问互联网正常。

6.3 无线业务验证

终端可以获取到地址，访问互联网正常。

7 运维

7.1 告警

7.1.1 告警信息

运维-告警展示了当前告警和管理员对当前告警处理/确认后执行清除动作后的历史告警信息。

7.1.2 告警阈值设置

每一个告警监测项都有其阈值，针对不同的环境和场景可自行设置默认值。

告警阈值同样可以一件同步到子场所或子组织，修改后需再次执行同步操作生效。

7.1.3 告警阈值同步

将当前组织或场所的告警配置同步到其子组织或子场所；同步操作只执行一次，修改后需要重新执行同步。

7.1.4 邮件告警

• 发件人设置

设置内容参见邮件服务商设置页面的“第三方邮箱客户端登录”。
设置完成后，点击“网络连通性”测试按钮验证配置是否正确。

• 设置告警收件人

在组织或者场所的“配置-邮件通知”页面设置收件人，收件人是控制器已经存在的用户。
可选发送不同的告警类型、告警级别。

• 收件人设置同步

将当前组织或场所的告警收件人配置同步到其子组织或子场所；同步操作只执行一次，修改后需要重新执行同步。

• 邮件告警内容

控制器会将一段时间的告警信息合并后发送给收件人。

7.2 巡检

7.2.1 业务巡检

• 一键巡检

一键巡检将立即对指定场所和巡检内容执行一次巡检，并生成巡检记录。

• 周期巡检

开启周期巡检后，控制器将对指定场所和项目执行周期性的巡检，并生成巡检报告。

• 巡检记录

查看详细信息

• 巡检报告

巡检报告内容：

7.2.2 系统巡检

系统巡检是对控制器服务器系统的状态检查。

8 扩容

8.1 扩容一个接入交换机组

一个接入交换机组包含了1台或2台Aggregation和若干台Leaf交换机。
扩容时如果已经完成规划拓扑并给spine下发了配置，需要先将spine连接agg的下行口移出LAG，否则下行口无法加到4094、dhcp临时地址池无法生效。

1、临时地址池路由宣告

扩容时spine-1和spine-2都已经下发了正式配置，流量可能从spine-1或spine-2过来，但此时spine-2上没有临时地址池的路由，所以spine-1需要将临时地址池网段宣告出去。

注意：推送配置后，该network会被控制器清除；如需保留，请使用frr对比工具。

router bgp 64513
    address-family ipv4 unicast
    network 172.22.55.0/24（临时地址池网段）

2、Spine-1扩容脚本

将扩容脚本添加到控制器，类型为sonic-cli，保存。下发给Spine-1。
注意：确定好扩容接入交换机组在spine上的接口，将其设置为downlink。

configure
connect-controller
downlink ethernet 1,5,9,13 ip address 172.22.55.1/24
do configure
dhcp pool connect-controller
capwap-ac {{CONTROLLER_SERVER_IP}}
end

3、Agg上线

Agg通过临时地址池自动获取地址、并在控制器上线。

4、Agg第一阶段配置脚本

将扩容脚本添加到控制器，类型为sonic-cli，保存。下发给Agg-1。
注意：如果Leaf上行口连了2台Agg，只需将其中一台Agg下行口加到Access Vlan，否则Leaf的两个上行接口将获取到相同的IP地址。另外一台Agg无需下发脚本。
本案只给Agg1下发该脚本：

configure
vlan 101
exit
port-group ethernet 1-20
switchport access vlan 101
exit
interface ethernet 25（连接dhcp地址池所在spine1的上行口必须放在最后下发）
no router-interface
switchport access vlan 101
exit
interface vlan 101（最后vlan重新获取ip）
ip address dhcp-alloc
exit
end

5、扩容组所有设备上线

观察Spine-1上ARP情况，该接入交换机组的Agg和Leaf都获取到了IP，并在控制器上线。

6、确认版本、升级、重启

7、下发基础网络配置

8、下发有线业务配置
先将新Leaf加入有线业务配置模板或新建模板。下发方法与初次下发相同。

7.2、同Agg的Leaf扩容

临时地址池宣告

扩容时spine-1和spine-2都已经下发了正式配置，流量可能从spine-1或spine-2过来，但此时spine-2上没有临时地址池的路由，所以spine-1需要将临时地址池网段宣告出去。
注意：推送配置后，该network会被控制器清除；如需保留，请使用frr对比工具。

router bgp 64513
    address-family ipv4 unicast
    network 172.22.55.0/24（临时地址池网段）

在spine-1添加回程路由
路由指向扩容的Leaf所在Agg的带内管理地址。
注：控制器下发配置自动清除该配置。

ip route 172.22.55.0/24 172.22.253.7

Agg-1下发扩容脚本
注：控制器下发配置自动清除该配置。

configure
connect-controller
downlink ethernet 21 ip address 172.22.55.1/24
do configure
dhcp pool connect-controller
capwap-ac {{CONTROLLER_SERVER_IP}}
end

确认版本、升级、重启

切换设备场所

注：此时一并设置设备“名称”。

修改规划拓扑

新加设备

链接拓扑

设置设备信息

下发基础网络配置

注意：下发基础网络时，仅需下发相关设备，不涉及的设备无需下发。

下发有线业务配置

先将新Leaf加入有线业务配置模板或新建模板。下发方法与初次下发相同。

7.3 跨Agg组的Leaf扩容

临时地址池宣告

扩容时spine-1和spine-2都已经下发了正式配置，流量可能从spine-1或spine-2过来，但此时spine-2上没有临时地址池的路由，所以spine-1需要将临时地址池网段宣告出去。
注意：推送配置后，该network会被控制器清除；如需保留，请使用frr对比工具。

router bgp 64513
    address-family ipv4 unicast
    network 172.22.55.0/24（临时地址池网段）

Spine-1地址池配置【命令行】

注意：show link-aggregation summary确认Leaf上联的Agg与Spine互联的下行LAG口。
本案需要为G1、G2、G3分别扩容1、1、2台Leaf设备。

vlan 4093

interface link-aggregation 1（到Agg-G1）
    switchport access vlan 4093
interface link-aggregation 2（到Agg-G2）
    switchport access vlan 4093
interface link-aggregation 3（到Agg-G3）
    switchport access vlan 4093
    
dhcp pool connect-controller
 address-pool 172.22.55.1 172.22.55.254
 capwap-ac 120.26.204.254
 network 172.22.55.0 255.255.255.0
 routers 172.22.55.1
 vlan 4093

Agg放行DHCP【命令行】

注意：正式配置中，Agg只有trunk vlan，需要放通acces vlan 4093，Leaf的dhcp请求才能被转发到Spine。双汇聚场景只需要其中一台Agg添加如下配置即可。
将Agg-1连接扩容Leaf的下行接口和Agg-1连接Spine-1的上行口加入vlan 4093 access。

vlan 4094

interface ethernet 25（上行口）
    switchport access vlan 4093
interface ethernet 21（下行口）
    switchport access vlan 4093

注：后续步骤同“扩容一台Leaf交换机”

附：现场照片