sdn组网环境，bars/spne全套华三

一、核心实现原理

1. 安全组驱动策略随行

• ADCampus通过认证系统（如iMC）将用户动态分配到安全组（Security Group），策略基于安全组而非IP地址下发。
• 用户位置变化时，策略自动跟随生效，无需手动调整ACL。

2. 链路策略绑定安全组

• 在控制器（Campus Director）中，将安全组与指定出口链路关联，实现用户级流量调度。
• DNS请求需额外配置DNS透明代理策略，否则仅影响普通流量。

二、配置步骤

1. 用户认证与安全组分配

• 前提：用户通过802.1X/MAC认证接入网络，认证服务器（如iMC）将其分配到专属安全组（例如VIP-User）。
• 关键操作：
  • 在iMC中为该用户配置认证后角色，绑定安全组VIP-User2。
  • 验证安全组下发：
    display access-user user-name <用户名> # 查看用户关联的安全组

2. 配置链路策略并绑定安全组

• 路径：
  策略 > 链路负载均衡 > 策略 > 新建
• 关键参数：

  参数	配置值	说明
  策略名称	VIP-User-Link-Policy	自定义策略名
  匹配条件	安全组 = VIP-User	必须绑定用户所属安全组
  链路选择	主用链路 = 电信专线	指定用户流量强制走该链路
  	备用链路 = 移动专线	主链路故障时自动切换
  调度算法	优先级	确保主用链路优先级最高
  健康检测	关联健康模板t1	检测链路状态（需提前配置ICMP探测）

• 注意事项：
  • 若需仅限DNS请求走特定链路，需在策略中限定应用类型为DNS（端口53）。
  • 普通流量策略无需限定应用类型。

3. DNS请求定向（关键步骤）

• 启用DNS透明代理：
  • 创建专用DNS服务器池，仅包含目标链路的DNS服务器（例如电信链路的114.114.114.114）。
  • 在DNS服务器池中绑定安全组：
    DNS服务器池 > 新建 > 高级设置 > 匹配安全组 = VIP-User
• 配置DNS代理策略：
  • 在代理策略中指定安全组+调度算法：
    代理策略 > 新建 > 匹配条件：安全组=VIP-User > 调度算法=轮询/优先级
  • 必须关联步骤2的链路策略，确保DNS请求按指定链路转发1。

三、验证与排错

1. 验证策略生效

• 检查策略下发：
  display loadbalance policy name VIP-User-Link-Policy # 确认策略已激活 display dns-proxy policy # 验证DNS策略绑定安全组
• 实时流量跟踪：
  • 登录用户终端，执行：
    nslookup ***.*** # 观察DNS请求是否走指定链路 traceroute 8.8.8.8 # 检查普通流量路径
  • 在Spine设备上抓包确认：
    capture-packet interface GigabitEthernet1/0/1 host <用户IP> # 过滤用户流量

2. 常见问题处理

• 问题：策略未生效
  • 原因：用户未分配到目标安全组。
  • 解决：
    1. 检查认证日志确认安全组下发成功。
    2. 执行reset access-user user-name <用户名>强制重新认证4。
• 问题：DNS请求未定向
  • 原因：DNS透明代理未绑定安全组或代理策略未关联链路。
  • 解决：
    1. 确认DNS服务器池的高级设置中已指定安全组。
    2. 检查代理策略的匹配条件是否包含目标安全组5。
• 问题：链路状态异常
  • 原因：健康检测未通过（如探测地址不可达）。
  • 解决：
    1. 修改健康模板，使用公网稳定地址（如223.5.5.5）作为探测目标。
    2. 确保出接口指定正确，避免探测报文从错误链路发送5。

在 H3C SDN + AD-Campus（iMC + Spine/Leaf + Bars）环境里，要让特定用户的 DNS 或全网流量走特定链路，核心是：身份识别 → 流分类 / 策略路由 → DNS 透明代理 / 智能选路 → 策略随行。下面给你一套可直接落地的方案（控制 DNS + 控制全网流量）。
一、整体思路（ADCampus 特有）
ADCampus 是用户身份驱动，不是纯 IP 驱动：
用户 802.1X/Portal 认证 → iMC 生成 User-IP-Profile 绑定；
控制器把用户策略下发到 Spine/Leaf/Bars；
用策略路由（PBR）+ DNS 透明代理 + 智能选路实现 “某用户 DNS / 流量 走某条链路”。
二、场景 1：只控制该用户的 DNS 走特定 DNS 服务器 / 链路
目标
用户 A 的 DNS 请求（UDP/53）强制转发到指定 DNS，或走特定运营商链路。
方案：DNS 透明代理 + 基于用户的流策略（推荐）
1）在 Bars / 出口防火墙配置 DNS 透明代理
bash
运行
# 全局开启
firewall dns-transparent-proxy enable

# 定义 DNS 服务器池（比如电信 DNS、联通 DNS）
dns server-group ISP_TEL
server 114.114.114.114
dns server-group ISP_UNI
server 221.5.203.98
2）在 iMC 给特定用户绑定 “DNS 策略”
进入 iMC → 策略配置 → 用户策略 → 新建
匹配条件：用户名 / 用户组（例如 “研发部用户”）
动作：流分类 → 匹配 UDP/53 → 重定向到指定 DNS 服务器池 / 下一跳
3）在 Spine/Leaf 下发 PBR，匹配用户源 IP，DNS 流量走特定链路
bash
运行
# 1. 匹配该用户网段/IP
acl number 3000
rule permit udp source 10.1.1.0 0.0.0.255 destination-port eq 53

# 2. 流行为：重定向到特定链路下一跳
traffic behavior DNS_TO_TEL
redirect ip-nexthop 202.xx.xx.1 # 电信链路网关

# 3. 流策略
traffic policy USER_DNS_POLICY
classifier 3000 behavior DNS_TO_TEL

# 4. 在用户网关/出口应用
interface Vlan-interface 10
traffic-policy USER_DNS_POLICY inbound
三、场景 2：控制该用户所有流量走特定外网链路（电信 / 联通 / 专线）
目标
用户 A 上网，全部流量从 ISP-TEL 出口；用户 B 走 ISP-UNI。
方案：ADCampus 策略随行 + 智能选路（核心）
1）iMC 侧：创建用户组 / 用户，绑定 “选路策略”
iMC → 网络 → 智能选路 → 策略路由 → 新建
策略名：POLICY_USER_A_TO_TEL
匹配条件：用户 / 用户组（ADCampus 身份感知）、或该用户所在 VLAN / 子网
出接口 / 下一跳：选择 ISP-TEL 链路接口 / 网关
优先级：高于默认路由
2）Spine/Leaf 侧：基于用户 IP 的策略路由（PBR）
bash
运行
# 1. 匹配特定用户源IP
acl number 3001
rule permit ip source 10.1.1.0 0.0.0.255 # 用户A网段

# 2. 流行为：指定出接口/下一跳
traffic behavior USER_A_TO_TEL
redirect ip-nexthop 202.xx.xx.1 # 电信网关
# 或直接指定出接口：
# redirect interface GigabitEthernet 1/0/1

# 3. 流策略
traffic policy USER_PBR
classifier 3001 behavior USER_A_TO_TEL

# 4. 在用户接入侧或核心侧应用
interface Vlan-interface 10 # 用户网关VLAN
traffic-policy USER_PBR inbound
3）Bars 出口：多链路 NAT + 策略路由绑定
bash
运行
# 多出口 NAT
nat address-group TEL_POOL 1
address 202.xx.xx.10 202.xx.xx.20
nat address-group UNI_POOL 2
address 219.xx.xx.10 219.xx.xx.20

# 绑定策略路由到 NAT
security-policy ip
rule name USER_A_NAT
source-zone trust
destination-zone untrust
source-address 10.1.1.0 24
action nat address-group TEL_POOL
四、场景 3：DNS + 全网流量同时控制（最常用）
组合上述两种：
DNS 流量：用 DNS 透明代理 + 流策略 强制走指定 DNS / 链路；
其他所有流量：用 ADCampus 智能选路 + PBR 走特定外网链路；
在 iMC 统一绑定到用户 / 用户组，实现用户在哪，策略跟到哪（策略随行）。
五、关键注意点（ADCampus 环境必看）
必须开启 “身份 - IP 绑定”：iMC 要能识别用户 IP，才能做基于用户的策略；
策略优先级：PBR / 智能选路 > 默认路由，避免被默认路由覆盖；
Bars / 防火墙会话同步：多设备场景要开启会话同步，防止来回路径不一致；
DNS 透明代理限制：不支持 DoH/DoT 加密 DNS，如需要额外部署专用代理网关。
六、最简总结（可直接汇报）
控 DNS：iMC 用户策略 + 流分类（UDP/53）+ DNS 透明代理 → 重定向到指定 DNS / 链路；
控全网流量：iMC 智能选路 + Spine/Leaf PBR → 特定用户 IP 走特定下一跳 / 出接口；
ADCampus 核心：基于用户身份而非固定 IP，实现策略随行、漫游不失效。