13-IRF配置
本章节下载: 13-IRF配置 (494.81 KB)
IRF(Intelligent Resilient Framework,智能弹性架构)是H3C自主研发的软件虚拟化技术。它的核心思想是将多台设备通过IRF物理端口连接在一起,进行必要的配置后,虚拟化成一台“虚拟设备”。使用这种虚拟化技术可以实现多台设备的协同工作、统一管理和不间断维护。
为了便于描述,本文把这个“虚拟设备”称为IRF。
l S7600系列交换机目前支持两台设备建立IRF,即IRF中包括一台Master设备和一台Slave设备。
l 目前支持IRF的机框包括:S7603、S7606、S7610、S7606-V,其他机框暂不支持。
IRF主要具有以下优点:
l 简化管理。IRF形成之后,用户通过任意成员设备的任意端口都可以登录IRF系统,对IRF内所有成员设备进行统一管理。
l 高可靠性。IRF的高可靠性体现在多个方面,例如:IRF由多台成员设备组成,Master设备负责IRF的运行、管理和维护,Slave设备在作为备份的同时也可以处理业务。一旦Master设备故障,系统会迅速自动选举新的Master,以保证业务不中断,从而实现了设备的1:N备份;此外,成员设备之间的IRF链路支持聚合功能,IRF和上、下层设备之间的物理链路也支持聚合功能,多条链路之间可以互为备份也可以进行负载分担,从而进一步提高了IRF的可靠性。
l 强大的网络扩展能力。通过增加成员设备,可以轻松自如的扩展IRF的端口数、带宽。因为各成员设备都有CPU,能够独立处理协议报文、进行报文转发,所以IRF还能够轻松自如的扩展处理能力。
如图1-1所示,Master和Slave组成IRF,对上、下层设备来说,它们就是一台设备——IRF。IRF可部署在核心层、汇聚层和接入层。
图1-1 IRF组网应用示意图
图1-2 IRF基本概念示意图
如图1-2所示,将Device A和Device B物理连线,进行必要的配置后,就能形成虚拟化的IRF。IRF拥有四块主控板(一块主用主控板,三块备用主控板),两块接口板。IRF统一管理Device A和Device B的物理资源和软件资源。
IRF中的一些基本概念如下:
设备支持两种运行模式:
l 独立运行模式:处于该模式下的设备只能单机运行,不能与别的设备形成IRF。
l IRF模式:处于该模式下的设备可以与其它设备互连形成IRF。
IRF中每台设备都称为成员设备。成员设备按照功能不同,分为两种角色:
l Master:负责管理整个IRF。
l Slave:作为Master的备份设备运行。当Master故障时,系统会自动从Slave中选举一个新的Master接替原Master工作。
Master和Slave均由角色选举产生。一个IRF中只能存在一台Master,其它成员设备都是Slave。关于设备角色选举过程的详细介绍请参见1.3.3 角色选举。
成员设备的主用主控板,负责管理本台设备,是成员设备的必备硬件。
设备加入IRF后,设备上的主控板就具有两重身份(身份不同责任不同):
l 本地身份:负责管理本设备的事宜,比如主用主控板和备用主控板间的同步、协议报文的处理、路由表项的生成维护等。
l 全局身份:负责处理IRF相关事宜,比如角色选举、拓扑收集等。
成员设备的备用主控板,是本地主用主控板的备份,是成员设备的可选硬件。
IRF的主用主控板,负责管理整个IRF,就是Master设备的本地主用主控板。
IRF的备用主控板,是全局主用主控板的备份。除了全局主用主控板,IRF中所有成员设备的主控板均为全局备用主控板。
一种专用于IRF的逻辑接口,分为IRF-Port1和IRF-Port2,需要和IRF物理端口绑定之后才能生效。
设备上可以用于IRF连接的物理端口。IRF物理端口可能是IRF专用接口、以太网接口或者光口(设备上哪些端口可用作IRF物理端口与设备的型号有关,请以设备的实际情况为准)。
通常情况下,以太网接口或者光口负责向网络中转发业务报文,当它们与IRF端口绑定后就作为IRF物理端口,用于成员设备之间转发报文。可转发的报文包括IRF相关协商报文以及需要跨成员设备转发的业务报文。
如图1-3所示,两个IRF各自已经稳定运行,通过物理连接和必要的配置,形成一个IRF,这个过程称为IRF合并(merge)。
图1-3 IRF合并示意图
如图1-4所示,一个IRF形成后,由于IRF链路故障,导致IRF中两相邻成员设备物理上不连通,一个IRF变成两个IRF,这个过程称为IRF分裂(split)。
图1-4 IRF分裂示意图
成员优先级是成员设备的一个属性,主要用于角色选举过程中确定成员设备的角色。优先级越高当选为Master的可能性越大。设备的缺省优先级均为1,如果想让某台设备当选为Master,则在组建IRF前,可以通过命令行手工提高该设备的成员优先级。
IRF的生命周期分为:物理连接、拓扑收集、角色选举、IRF的管理与维护四个阶段。成员设备之间需要先建立IRF物理连接,然后会自动进行拓扑收集和角色选举,处理成功后,IRF系统正常运行,进入IRF管理和维护阶段。
IRF要正常工作,需要先将成员设备进行物理连接。设备上用于IRF连接的物理端口称为IRF物理端口。IRF物理端口需要和IRF逻辑端口(以下简称IRF端口)绑定,一个IRF端口可能跟一个IRF物理端口绑定,也可能由多个IRF物理端口聚合形成(称为聚合IRF端口)以达到链路备份的效果。
S7600系列交换机支持使用10GE光口作为IRF物理端口,光纤可以将距离很远的物理设备连接成为一台虚拟设备,使得应用更加灵活。
在S7600系列交换机上可以配置两个IRF端口:IRF-port1和IRF-port2。通过使用IRF电缆将一台设备的IRF-port1(IRF-port2)绑定的物理端口和另一台设备的IRF-port2(IRF-port1)绑定的物理端口连接起来,即可形成链型连接的IRF拓扑,如图1-5所示。
图1-5 IRF的物理连接示意图
图中橙色表示IRF链路,用以区分普通的以太网线。它可以由单条物理链路组成,也可以由多条物理链路聚合而成。
IRF中的每个成员设备都是通过和自己直接相邻的成员设备之间交互IRF Hello报文来收集整个IRF的拓扑关系。Hello报文会携带拓扑信息,具体包括IRF端口连接关系、成员设备编号、成员设备优先级、成员设备的桥MAC等内容。
每个成员设备由本地主用主控板进行管理,在本地记录自己已知的拓扑信息。设备刚启动的时候,本地主用主控板只记录了自身的拓扑信息。当IRF端口状态变为up后,本地主用主控板会进行以下操作:
(1) 将已知的拓扑信息周期性的从up状态的IRF端口发送出去
(2) 在收到直接邻居的拓扑信息后,更新本地记录的拓扑信息。
(3) 如果成员设备上配备了备用主控板,则本地主用主控板会将自己记载的拓扑信息同步到本地备用主控板上,以便保持两块主控板上拓扑信息的一致。
经过一段时间的收集,所有成员设备上都会收集到完整的拓扑信息(称为拓扑收敛)。此时会进入角色选举阶段。
确定成员设备角色为Master或Slave的过程称为角色选举。
角色选举会在拓扑变化的情况下产生,比如IRF建立、新设备加入、Master设备离开或者故障、两个IRF合并等。角色选举规则如下:
l 当前Master优先(IRF系统形成时,没有Master设备,所有加入的设备都认为自己是Master,会跳转到第二条规则继续比较);
l 成员优先级大的优先;
l 系统运行时间长的优先(各设备的系统运行时间信息也是通过IRF Hello报文来传递的);
l 成员桥MAC地址小的优先。
从第一条开始判断,如果参与选举的成员有多个最优,则继续判断下一条,直到找到唯一的最优成员,才停止选举。此最优成员即为IRF的Master设备,其它设备则均为Slave设备
在角色选举完成后,IRF形成,进入IRF管理与维护阶段。
IRF合并的情况下,两个IRF会进行IRF竞选,竞选仍然遵循角色选举的规则,竞选失败方的所有成员设备重启后均以Slave的角色加入获胜方,最终合并为一个IRF。合并过程中的重启是设备自动完成还是需要用户手工完成与设备的型号有关,请以设备的实际情况为准。
角色选举完成之后,IRF形成,所有的成员设备组成一台虚拟设备存在于网络中,所有成员设备上的资源归该虚拟设备拥有并由Master统一管理。
在运行过程中,IRF系统使用成员编号(Member ID)来标志和管理成员设备。比如,IRF中接口的编号会加入成员编号信息:设备在独立运行模式下,某个接口的编号为GigabitEthernet3/0/1;当该设备加入IRF后,如果成员编号为2,则该接口的编号将变为GigabitEthernet2/3/0/1;成员编号还被引入到文件系统管理中,例如路径“chassis2#slot1#flash:/test.cfg”表示:在编号为2的成员设备上,1号槽位主控板的Flash根目录下名称为test.cfg的文件。
因此,需要用户在设备加入IRF前统一规划、配置设备的成员编号,以保证IRF中成员编号的唯一性。
如果成员设备上本地主用主控板和本地备用主控板保留的成员编号不一致,则启动后以该设备上本地主用主控板的配置为准。比如设备上只有一块主用主控板,配置的成员编号为2,此时插入一块成员编号是3的备用主控板,则该设备的成员编号仍然为2,并会将备用主控板上保存的成员编号同步为2。
IRF中直接相邻的成员设备之间会定期交换Hello报文。当出现以下情况时,可能会造成设备无法正常收发Hello报文:
l 链路状态不正常:即链路断路,或者光纤处于单通状态。
l 设备受到攻击。
如果设备在10秒之内没有收到对端发送的Hello报文,将自动进入Hello报文的Timeout状态,在这种状态下,Slave设备将自动重启并尝试重新加入IRF。
另外,如果用户在连接IRF端口时没有按照本端IRF-port1连接对端IRF-port2的方式,则Slave设备也将自动重启并尝试重新加入IRF。
因此,为保证IRF系统的正常运行,请用户在配置IRF前保证IRF线缆链路状态的正常,并使用正确的方式连接两台设备的IRF端口;在IRF建立后,配置必要的防攻击措施以保证设备的安全。
当IRF链路断开时,原IRF可能会分裂成全局配置完全相同的两个(或者多个)IRF,这些IRF同时在网络中运行时可能会引起网络故障。为了提高系统的可用性,我们需要一种检测机制,能够及时发现网络中同时存在的多个既处于Active状态(正常工作状态),全局配置又完全相同的IRF,并进行相应的处理使网络能正常运行。
多Active检测(Multi-Active Detection,简称MAD)就是这样一种检测和处理机制。通过在IRF成员设备间建立的MAD检测专用链路,MAD功能可以检测出链路两端的设备是否处在同一个IRF内,从而判断IRF是否已经分裂。MAD检测可以提供以下主要功能:
l 检测:通过LACP(Link Aggregation Control Protocol,链路聚合控制协议)或者BFD(Bidirectional Forwarding Detection,双向转发检测)协议来判断MAD检测链路两端的设备是否还处于同一IRF内,从而能够及时发现网络中从同一个IRF中分裂出去的多个IRF。
l 冲突处理:如果MAD功能检测到网络中存在多个处于Active状态的IRF时,Master成员编号最小的IRF会继续正常工作,Master成员编号较大的IRF会迁移到Recovery状态,并关闭该IRF中所有成员设备上除保留端口以外的其他所有物理端口。
l 故障恢复:IRF通过日志提示用户多Active冲突。此时设备会尝试自动修复IRF链路,如果修复失败的话,需要用户手工修复。IRF链路修复后,分裂的IRF会重新合并,Recovery状态IRF会自动恢复到Active状态,被关闭的物理端口将自动恢复转发能力。异常情况下(比如Active状态的IRF断电或者故障等),可以通过命令行启用Recovery状态的IRF,Recovery状态的IRF会恢复到Active状态,被关闭的物理端口也会恢复转发能力。
l 关于LACP的详细介绍请参见“接入分册”中的“链路聚合配置”;关于BFD的详细介绍请参见“可靠性分册”中的“BFD配置”。
l IRF分裂后,竞选失败的IRF会自动关闭所有成员设备上的部分端口(等效于在接口下执行shutdown命令),但有些端口不会被自动关闭,这些端口称为保留端口。缺省情况下,只有IRF物理端口是保留端口,如果要将其它端口(比如用于远程登录的端口)也作为保留端口,需要使用命令行进行手工配置。
用户配置IRF前,要做好前期规划工作,需要明确IRF内各成员设备的角色和功能。因为有些参数的配置需要重启设备才能生效,所以建议先进行IRF参数的配置,再进行物理连线,将设备加入IRF。
表1-1 IRF配置任务简介
配置任务 |
说明 |
详细配置 |
|
切换IRF模式 |
必选 |
||
IRF配置 |
配置成员编号 |
必选 |
|
配置成员优先级 |
可选 |
||
配置IRF端口 |
可选 |
||
配置IRF的桥MAC保留时间 |
可选 |
||
配置IRF链路down延迟上报功能 |
可选 |
||
正确连接设备的IRF物理端口,给设备上电 |
|||
配置MAD检测功能 |
配置BFD MAD检测 |
可选 |
|
配置LACP MAD检测 |
可选 |
||
配置保留接口 |
可选 |
||
故障恢复 |
可选 |
||
访问IRF |
访问Master |
必选 |
|
访问Slave |
可选 |
建议用户在完成IRF搭建之后,使用MAD检测功能来避免因IRF意外分裂而对网络造成的影响。
设备支持两种运行模式:
l IRF模式:专用于和别的设备互连形成IRF。
l 独立运行模式:设备自己独立运行,不能与别的设备形成IRF。该模式下,设备的IRF功能未打开,不能执行IRF相关命令。
当S7600系列以太网交换机安装上EPON业务板后,交换机就可以充当EPON系统的OLT设备。需要注意的是:
l 当交换机工作在独立运行模式时,OLT功能能够正常使用;当交换机工作在IRF模式时,OLT单板不能启动。
l 有关OLT功能的介绍,请参见接入分册的“EPON-OLT配置”。
如果设备当前是独立运行的,但需要加入IRF,必须将运行模式配置为IRF模式,再创建IRF端口,进行其它配置,进行物理连线,才能形成IRF。
表1-2切换IRF模式
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
将设备的运行模式切换到IRF模式 |
chassis convert mode irf |
必选 缺省情况下,设备处于独立运行模式 |
确认模式切换操作后,设备会自动重启,完成运行模式的切换。
设备的缺省成员编号均为1。在建立IRF之前,用户需要手工将两台设备配置为不同的编号。
推荐用户使用以下步骤配置成员编号:
(1) 预先规划好IRF新成员编号。
(2) 如果要配置成员编号的设备已经是IRF的成员,拔掉设备的IRF电缆。
(3) 登录到将加入IRF的设备,将其成员编号修改为步骤(1)中找到的空闲编号。
(4) 配置IRF端口以及其它可选参数。
(5) 保存设备的当前配置,将设备断电,使用IRF电缆将设备与IRF相连,然后再将设备上电启动。
表1-5配置成员编号
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置设备的成员编号 |
irf member member-id renumber new-member-id |
可选 缺省情况下,设备的成员编号均为1 |
l 该配置需要重启member-id标志的设备才能生效。
l 在IRF中以成员编号标志设备,配置IRF端口和优先级也是根据设备编号来进行的,所以,修改设备成员编号可能导致设备配置发生变化或者丢失,请慎重配置。例如,将设备配置好IRF端口后,保存配置,修改ID,重启,由于IRF端口的一维是用成员编号来表示的,因此,当设备成员编号改变时,将导致IRF端口的配置失效。
成员设备具有的优先级。在Master选举过程中,优先级数值大的成员设备将优先被选举成为Master设备。
设备的缺省优先级均为1,用户也可以通过命令行提高设备的优先级。优先级值越大表示优先级越高,优先级高的设备竞选时成为Master的可能性越大。
表1-6配置成员优先级
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IRF中指定成员设备的优先级 |
irf member member-id priority priority |
可选 缺省情况下,设备的成员优先级均为1 |
S7600设备支持将10GE光口作为IRF物理端口进行IRF连接,即用户可以使用主控板或SC、SD、EB单板上的10GE光口作为IRF物理端口。有关具备10GE光口的单板信息,请参见安装手册中的介绍。
IRF端口是一个逻辑的概念,只有配置IRF端口(即将IRF端口与IRF物理端口绑定)之后,设备的IRF功能才能生效。IRF端口既可以与一个IRF物理端口绑定,也可以由多个IRF物理端口聚合而成,S7600系列交换机最多支持8个IRF物理端口与一个IRF端口进行绑定。
表1-3配置IRF端口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
创建IRF端口并进入IRF端口视图 |
irf-port member-id/port-number |
必选 缺省情况下,设备上没有创建IRF端口 如果IRF端口已经创建,则直接进入IRF端口视图 |
绑定设备的IRF端口和IRF物理端口 |
port group interface interface-type interface-number [ mode { enhanced | normal } ] |
必选 缺省情况下,设备上没有创建IRF端口 |
l 由多个IRF物理端口组成的IRF端口称为聚合IRF端口。聚合IRF端口可以提高IRF端口的带宽以及可靠性。
l 多次执行port group interface命令,即可将多个IRF物理端口与一个IRF端口进行绑定;S7600支持将不同单板上的IRF物理端口进行跨板聚合来实现聚合IRF端口。
l 在将IRF物理端口加入IRF端口或者从IRF端口中删除前,必须先将涉及到的IRF物理端口手工关闭(即在接口上执行shutdown命令),添加或者删除后,再将该IRF物理端口手工激活(即在接口上执行undo shutdown命令)。
l port group命令中的mode参数用于配置IRF物理端口的工作模式,缺省情况下,IRF物理端口的工作模式为normal。SC单板不支持配置IRF物理端口的工作模式为enhanced模式。
l IRF中两台成员设备相连的IRF物理端口必须配置为同一种工作模式。
l 如果需要在IRF中使用VPLS功能,则必须将IRF物理端口的工作模式配置为enhanced。
桥MAC是设备做为网桥与外界通讯时使用的MAC地址。网络上不同的桥设备,应该具有唯一的桥MAC,一些二层协议(例如LACP)会使用这个MAC标识不同的设备,在二层报文转发过程中,如果报文的目的MAC是本设备的桥MAC,则表明此报文是发送给设备本身的。
在IRF中,成员设备的桥MAC称为成员桥MAC。IRF作为单台的逻辑设备与外界通讯,它也具有单一的桥MAC,称为IRF桥MAC。通常情况下会使用Master设备的成员桥MAC作为IRF桥MAC。
如果Master离开IRF加入其它IRF或者单独使用,IRF桥MAC继续使用。则可能会与原Master设备的桥MAC冲突,从而引起通信故障;如果Master设备离开IRF后立即变更IRF桥MAC,而Master设备又在短时间内回到IRF(比如重启或者链路暂时故障),则会造成不必要的桥MAC切换,导致流量中断。因此,用户需要根据网络实际情况配置IRF的桥MAC保留时间来配置IRF的桥MAC:
l 如果配置了MAC地址保留时间为6分钟,当Master离开IRF时,IRF桥MAC地址6分钟内不变化。如果Master设备在6分钟内重新又加入IRF,则IRF桥MAC不会变化。如果6分钟后Master设备没有回到IRF,则会使用新选举的Master设备的桥MAC做为IRF桥MAC。
l 如果配置了MAC地址保留时间为永久,则不管Master设备是否离开IRF,IRF桥MAC始终保持不变。
l 如果配置了MAC地址不保留,则当Master设备离开IRF时,系统立即会使用新选举的Master设备的桥MAC做IRF桥MAC。
表1-7配置IRF的桥MAC保留时间
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置当Master设备离开IRF时,IRF的桥MAC地址会永久保留 |
irf mac-address persistent always |
可选 缺省情况下,当Master设备离开IRF时,IRF的桥MAC地址会永久保留 |
配置当Master设备离开IRF时,IRF的桥MAC地址的保留时间为6分钟 |
irf mac-address persistent timer |
|
配置当Master设备离开IRF时,IRF的桥MAC地址不保留,会立即变化 |
undo irf mac-address persistent |
l 桥MAC变化可能导致流量短时间中断。
l 如果设备收到的hello报文的桥MAC地址与自身桥MAC地址相同,将无法与对端设备建立IRF。可能产生此问题的原因是:配置设备永久保留桥MAC地址后,将设备的某块主控板安装到另一台设备上,并用于与本设备进行IRF连接,此时由于移除的主控板仍然使用原有桥MAC发送hello报文,因此可能出现无法建立IRF的情况。
在抑制时间内,IRF链路状态之间的切换,不会被系统感知;而是等经过抑制时间后,链路层才向系统报告链路连接状态的变化,系统再作出相应的处理。该功能用于避免因接口在短时间内频繁改变接口链路层状态,而给系统带来的额外的开销。
表1-9配置IRF链路down延迟上报功能
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置IRF链路down延迟上报时间 |
irf link-delay interval |
可选 缺省情况下,IRF链路down延迟上报时间为200ms |
如果配置的interval参数值过大,可能会导致IRF不能及时发现拓扑的变化,从而造成业务恢复缓慢。
IRF支持两种多Active检测方式:BFD MAD检测和LACP MAD检测。
l BFD MAD检测方式可以使用直连,也可以使用中间设备来进行连接。如果使用中间设备,必须保证使用BFD MAD检测的双方能够通过中间设备二层互通。
l LACP MAD检测方式需要使用中间设备,中间设备必须能够识别、处理携带了ActiveID值的LACPDU协议报文。
BFD MAD检测方式和LACP MAD检测方式的组网示意图如图1-6和图1-7所示。
图1-6 BFD MAD检测方式组网示意图
图1-7 LACP MAD检测方式组网示意图
参与LACP MAD检测的中间设备必须能够识别和处理携带ActiveID值的扩展LACP协议报文。
BFD MAD检测是通过BFD协议来实现的。要使BFD MAD检测功能能正常运行,除在三层接口下使能BFD MAD检测功能外,还需要在该接口上配置MAD IP地址。MAD IP与普通IP地址不同的地方在于该IP地址与成员设备是绑定的,IRF中的每个成员设备上都需要配置,且必须是同一网段的,只有Master设备上配置的MAD IP地址生效,Slave设备上的MAD IP地址不生效。
l 当IRF正常运行时,只有Master设备上配置的MAD IP地址生效,BFD会话处于down状态;
l 当IRF分裂后会形成两个或多个IRF,不同IRF中Master设备上配置的MAD IP地址均会生效,BFD会话被激活,此时会检测到多Active冲突。
表1-2 使能BFD MAD检测
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
创建未使用的VLAN用于BFD MAD检测 |
vlan vlan-id |
必选 缺省情况下,设备上只存在VLAN1 |
|
退出至系统视图 |
quit |
- |
|
为该VLAN创建VLAN接口并进入VLAN接口视图 |
interface interface-type interface-number |
- |
|
使能BFD MAD检测功能 |
mad bfd enable |
必选 缺省情况下,没有使能BFD MAD检测功能 |
|
配置三层接口在指定成员设备上的MAD IP地址 |
mad ip address ip-address { mask | mask-length } chassis chassis-number |
必选 缺省情况下,没有为接口配置MAD IP地址 |
|
退出至系统视图 |
quit |
- |
|
进入连接BFD MAD检测链路的端口视图 |
interface interface-type interface-number |
- |
|
将端口加入用于BFD MAD检测的VLAN |
Access端口 |
port access vlan vlan-id |
必选 三种配置方法的效果一致,用户可以根据端口类型进行选择 缺省情况下,端口类型为Access |
Trunk端口 |
port trunk permit vlan vlan-id |
||
Hybrid端口 |
port hybrid vlan vlan-id |
如果BFD MAD检测的组网中存在中间设备,请将中间设备上接入BFD MAD检测链路的端口也加入用于检测的VLAN,以保证BFD报文能够正常在成员设备间传输。
l 使能了BFD MAD检测功能的三层接口只能专用于BFD MAD检测,不允许运行其它业务。
l 使能了BFD MAD检测功能的VLAN接口以及对应VLAN中的端口上不支持包括ARP、LACP在内的所有的二层或三层协议应用。
l BFD MAD检测功能不能在Vlan-interface1接口下使能。
l 多Active检测和VPN功能互斥,使能BFD MAD检测功能的三层接口上不能与VPN绑定。
l 用于BFD MAD检测功能的VLAN接口下只能配置MAD IP地址,不能配置普通IP地址。
l 如果配置了BFD MAD检测功能的IRF发生分裂,则从原IRF分裂出去的其它IRF有可能因为仍保留着目的为原Master设备的转发表项而生成路由冲突信息,该信息对设备的转发没有任何影响,并将随着转发表项的老化而自动停止生成。
LACP MAD检测是通过扩展LACP协议报文内容实现的,即在LACP协议报文的保留字段内定义一个新的TVL数据域,用于交互IRF的ActiveID。对于IRF来说,ActiveID的值是唯一的,用IRF中Master设备的成员编号来表示。
使能LACP MAD检测后,成员设备通过LACP协议报文和其它成员设备交互ActiveID信息。
l 当IRF正常运行时,所有成员设备发送的LACP协议报文中的ActiveID值相同,没有发生多Active冲突;
l 当IRF分裂后会形成两个或多个IRF,不同IRF中的成员设备发送的LACP协议报文中的ActiveID值不同,从而检测到多Active冲突。
表1-3 使能LACP MAD检测
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
进入二层聚合端口视图 |
interface bridge-aggregation interface-number |
必选 |
配置聚合组工作在动态聚合模式下 |
link-aggregation mode dynamic |
必选 缺省情况下,聚合组工作在静态聚合模式下 |
使能LACP MAD检测功能 |
mad enable |
必选 缺省情况下,LACP MAD检测未使能 虽然该命令也可以在普通聚合口下配置,但由于LACP MAD检测依赖于LACP协议,因此只在动态聚合端口下生效 |
退出至系统视图 |
quit |
- |
进入连接LACP MAD检测链路的端口视图 |
interface interface-type interface-number |
- |
将端口加入用于LACP MAD检测的聚合组 |
port link-aggregation group number |
必选 |
请在中间设备上以同样方式创建动态聚合组,并将接入LACP MAD检测链路的端口加入该聚合组。
IRF在进行多Active处理的时候,缺省情况下,会关闭Recovery状态设备上的所有业务接口。如果某个或者某些接口有特殊用途需要保留(比如Telnet登录接口),则可以通过命令行加以配置。IRF端口自动作为保留接口,不需要配置。
表1-4 配置保留接口
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
配置保留接口,当设备进入Recovery状态时,该接口不会被关闭 |
mad exclude interface interface-type interface-number |
必选 缺省情况下,设备进入Recovery状态时会自动关闭本设备上所有的业务接口 |
IRF在进行多Active处理的时候,会关闭Recovery状态设备上除保留接口外的所有业务接口。多ACTIVE故障恢复就是把这些被关闭的业务接口恢复正常(undo shutdown),有两种恢复方式:
l 自动恢复:IRF通过日志提示用户修复IRF链路,IRF链路修复后,处于Recovery状态的设备会以Slave设备的身份重启后重新加入现有IRF,重启后被关闭的业务接口会自动恢复。
l 手动恢复:若发生异常情况(比如正常工作的Master设备故障),不能自动恢复时,可以通过以下命令行配置进行手动恢复。
表1-5 手动恢复处于Recovery状态的设备
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
将设备从Recovery状态恢复到正常状态 |
mad restore |
必选 |
IRF形成之后,用户通过任何成员设备的AUX或者Console口都可以登录到IRF系统控制台。在IRF上创建三层接口,为其配置IP地址并确保与用户终端路由可达,就可以使用Telnet、WEB、SNMP方式远程访问IRF系统了。不过,不管使用哪种方式登录IRF系统,实际上登录的是Master设备。Master是IRF系统的配置和控制中心,在Master上配置后,IRF系统会将这些配置同步给Slave设备。
用户登录IRF时,实际登录的是IRF中的全局主用主控板,访问终端的操作界面显示的是全局主用主控板的控制台。执行本命令后,用户会被重定向到指定的全局备用主控板,相当于直接登录到了全局备用主控板。用户访问终端的操作界面就会从全局主用主控板控制台切换到指定的全局备用主控板的控制台,系统进入全局备用主控板的用户视图,命令提示符修改为“<系统名-Slave#成员编号/槽位号>”,例如“<Sysname-Slave#1/0>”。用户从终端的输入指令都会转发给指定的全局备用主控板,本设备不再进行处理。目前在全局备用主控板上只允许执行以下命令:
l display
l quit
l return
l system-view
l debugging
l terminal debugging
l terminal trapping
l terminal logging
用户可以使用quit命令退回到全局主用主控板,此时全局主用主控板控制台重新激活,可以向外输出信息和日志。但不能使用该命令切换到全局主用主控板。
表1-10重定向到指定的Slave设备
操作 |
命令 |
说明 |
进入系统视图 |
system-view |
- |
重定向到指定的Slave设备 |
irf switch-to chassis chassis-number slot slot-number |
必选 缺省情况下,用户登录IRF时,实际登录的是IRF中的Master设备 |
IRF系统中最多允许9个用户同时登录,包括5个VTY类型用户和4个Console类型用户。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IRF的运行情况,通过查看显示信息验证配置的效果。
表1-11IRF显示和维护
操作 |
命令 |
显示IRF中所有成员设备的相关信息 |
display irf |
查看IRF的拓扑信息 |
display irf topology |
显示本IRF中所有成员设备的预配置信息(预配置是指需要重启以后才能生效的配置) |
display irf configuration |
显示多Active检测的简要信息 |
display mad [ verbose ] |
由于公司人员激增,接入层交换机提供的端口数目已经不能满足PC的接入需求。现需要在保护现有投资的基础上扩展端口接入数量,并要求网络易管理、易维护。
图1-8 IRF典型配置组网图(BFD MAD检测方式)
l Device A提供的接入端口数目已经不能满足网络需求,需要另外增加一台设备Device B。
l 鉴于第二代智能弹性架构IRF技术具有管理简便、网络扩展能力强、可靠性高等优点,所以本例使用IRF技术构建接入层(即在Device A和Device B上配置IRF功能)。
l 为了防止万一IRF链路故障导致IRF分裂、网络中存在两个配置冲突的IRF,需要启用MAD检测功能。因为设备的下行没有聚合组网,这里采用BFD MAD检测。
(1) 在Device A和Device B间不连IRF线缆,分别上电,分别配置。
# 在Device A上的配置。
<Sysname> system-view
[Sysname] chassis convert mode irf
This command will convert the device to IRF mode and the device will reboot. Are you sure? [Y/N]: y
设备自动重启来完成模式的切换。重新登录设备后创建设备的IRF-port1/2端口,并将它与物理端口Ten-GigabitEthernet1/3/0/25绑定,完成后保存配置。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/3/0/25
[Sysname-Ten-GigabitEthernet1/3/0/25] shutdown
[Sysname-Ten-GigabitEthernet1/3/0/25] quit
[Sysname] irf-port 1/2
[Sysname-irf-port 1/2] port group interface ten-gigabitethernet 1/3/0/25
[Sysname-irf-port 1/2] quit
[Sysname] interface ten-gigabitethernet 1/3/0/25
[Sysname-Ten-GigabitEthernet1/3/0/25] undo shutdown
[Sysname-Ten-GigabitEthernet1/3/0/25] save
# 在Device B上的配置。
<Sysname> system-view
[Sysname] chassis convert mode irf
This command will convert the device to IRF mode and the device will reboot. Are you sure? [Y/N]: y
设备自动重启来完成模式的切换,重新登录设备后将设备的成员编号修改为2。
<Sysname> system-view
[Sysname] irf member 1 renumber 2
Warning: Renumbering the switch number may result in configuration change or loss. Continue? [Y/N]:y
[Sysname] quit
<Sysname> reboot
设备重启使新的成员编号生效,重新登录设备后创建设备的IRF-port2/1口,并将它与物理端口Ten-GigabitEthernet2/3/0/25绑定,完成后保存配置。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 2/3/0/25
[Sysname-Ten-GigabitEthernet2/3/0/25] shutdown
[Sysname-Ten-GigabitEthernet2/3/0/25] quit
[Sysname] irf-port 2/1
[Sysname-irf-port 2/1] port group interface ten-gigabitethernet 2/3/0/25
[Sysname-irf-port 2/1] quit
[Sysname] interface ten-gigabitethernet 2/3/0/25
[Sysname-Ten-GigabitEthernet2/3/0/25] undo shutdown
[Sysname-Ten-GigabitEthernet2/3/0/25] save
(2) 关闭设备电源,将两台设备按照组网图连接IRF线缆,然后全部上电,IRF形成。
(3) 配置BFD MAD检测
# 创建VLAN 3,并将Device A(成员编号为1)上的端口1/3/0/1和Device B(成员编号为2)上的端口2/3/0/1加入VLAN中。
<Sysname> system-view
[Sysname] vlan 3
[Sysname-vlan3] port gigabitethernet 1/3/0/1 gigabitethernet 2/3/0/1
[Sysname-vlan3] quit
# 创建VLAN接口3,并配置MAD IP地址。
[Sysname] interface vlan-interface 3
[Sysname-Vlan-interface3] mad bfd enable
[Sysname-Vlan-interface3] mad ip add 192.168.2.1 24 chassis 1
[Sysname-Vlan-interface3] mad ip add 192.168.2.2 24 chassis 2
[Sysname-Vlan-interface3] quit
由于网络规模迅速扩大,当前中心交换机(Device A)转发能力已经不能满足需求,现需要在保护现有投资的基础上将网络转发能力提高一倍,并要求网络易管理、易维护。
图1-9 IRF典型配置组网图(LACP MAD检测方式)
l Device A处于局域网的汇聚层,为了将汇聚层的转发能力提高一倍,需要另外增加一台设备Device B。
l 鉴于第二代智能弹性架构IRF技术具有管理简便、网络扩展能力强、可靠性高等优点,所以本例使用IRF技术构建网络汇聚层(即在Device A和Device B上配置IRF功能),接入层设备通过聚合双链路上行。
l 为了防止万一IRF链路故障导致IRF分裂、网络中存在两个配置冲突的IRF,需要启用MAD检测功能。因为接入层设备采用了聚合方式上行,我们采用LACP MAD检测方式来监测IRF的状态。
(1) 在Device A和Device B间不连IRF线缆,分别上电,分别配置
# 在Device A上的配置。
<Sysname> system-view
[Sysname] chassis convert mode irf
This command will convert the device to IRF mode and the device will reboot. Are you sure? [Y/N]: y
设备自动重启来完成模式的切换。重新登录设备后创建设备的IRF-port2端口,并将它与物理端口Ten-GigabitEthernet1/3/0/25绑定,完成后保存配置。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 1/3/0/25
[Sysname-Ten-GigabitEthernet1/3/0/25] shutdown
[Sysname-Ten-GigabitEthernet1/3/0/25] quit
[Sysname] irf-port 1/2
[Sysname-irf-port 1/2] port group interface ten-gigabitethernet 1/3/0/25
[Sysname-irf-port 1/2] quit
[Sysname] interface ten-gigabitethernet 1/3/0/25
[Sysname-Ten-GigabitEthernet1/3/0/25] undo shutdown
[Sysname-Ten-GigabitEthernet1/3/0/25] save
# 在Device B上的配置。
<Sysname> system-view
[Sysname] chassis convert mode irf
This command will convert the device to IRF mode and the device will reboot. Are you sure? [Y/N]: y
设备自动重启来完成模式的切换,重新登录设备后将设备的成员编号修改为2。
<Sysname> system-view
[Sysname] irf member 1 renumber 2
Warning: Renumbering the switch number may result in configuration change or loss. Continue? [Y/N]:y
[Sysname] quit
<Sysname> reboot
设备重启使新的成员编号生效,重新登录设备后创建设备的IRF-port1口,并将它与物理端口Ten-GigabitEthernet2/3/0/25绑定,完成后保存配置。
<Sysname> system-view
[Sysname] interface ten-gigabitethernet 2/3/0/25
[Sysname-Ten-GigabitEthernet2/3/0/25] shutdown
[Sysname-Ten-GigabitEthernet2/3/0/25] quit
[Sysname] irf-port 2/1
[Sysname-irf-port 2/1] port group interface ten-gigabitethernet 2/3/0/25
[Sysname-irf-port 2/1] quit
[Sysname] interface ten-gigabitethernet 2/3/0/25
[Sysname-Ten-GigabitEthernet2/3/0/25] undo shutdown
[Sysname-Ten-GigabitEthernet2/3/0/25] save
(2) 关闭设备电源,将两台设备按照组网图连接IRF线缆,然后全部上电,IRF形成。
(3) 配置LACP MAD检测
# 创建一个动态聚合端口,并使能LACP MAD检测功能。
<Sysname> system-view
[Sysname] interface bridge-aggregation 2
[Sysname-Bridge-Aggregation2] link-aggregation mode dynamic
[Sysname-Bridge-Aggregation2] mad enable
[Sysname-Bridge-Aggregation2] quit
# 在聚合端口中添加成员端口GigabitEthernet1/3/0/2和GigabitEthernet2/3/0/2,专用于Device A和Device B实现LACP MAD检测。
[Sysname] interface gigabitethernet 1/3/0/2
[Sysname-GigabitEthernet1/3/0/2] port link-aggregation group 2
[Sysname-GigabitEthernet1/3/0/2] quit
[Sysname] interface gigabitethernet 2/3/0/2
[Sysname-GigabitEthernet2/3/0/2] port link-aggregation group 2
(4) 中间设备的配置
# 创建一个动态聚合端口。
<Sysname> system-view
[Sysname] interface bridge-aggregation 2
[Sysname-Bridge-Aggregation2] link-aggregation mode dynamic
[Sysname-Bridge-Aggregation2] quit
# 在聚合端口中添加成员端口GigabitEthernet3/0/1和GigabitEthernet3/0/2,用于帮助LACP MAD检测。
[Sysname] interface gigabitethernet 3/0/1
[Sysname-GigabitEthernet3/0/1] port link-aggregation group 2
[Sysname-GigabitEthernet3/0/1] quit
[Sysname] interface gigabitethernet 3/0/2
[Sysname-GigabitEthernet3/0/2] port link-aggregation group 2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!