- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
03-DRNI配置
本章节下载: 03-DRNI配置 (643.88 KB)
DRNI(Distributed Resilient Network Interconnect,分布式弹性网络互连)是一种跨设备链路聚合技术,将两台物理设备在聚合层面虚拟成一台设备来实现跨设备链路聚合,从而提供设备级冗余保护和流量负载分担。
如图1-1所示,Device A与Device B形成负载分担,共同进行流量转发,当其中一台设备发生故障时,流量可以快速切换到另一台设备,保证业务的正常运行。
图1-1 DRNI网络模型示意图
DR设备在DR系统中互为邻居,其中Device A为主设备,Device B为从设备。DRNI为每个DR设备定义了以下几个接口角色:
· DR接口(Distributed Relay interface,分布式聚合接口):与外部设备相连的二层聚合接口。与外部设备上相同聚合组相连的DR接口属于同一DR组(Distributed-Relay group,分布式聚合组)。如图1-1所示,Device A上的二层聚合接口1和Device B上的二层聚合接口2属于同一DR组。DR组中的DR接口由多条链路聚合组成,且具有相同的DR组编号。
· IPP(Intra-Portal Port,内部控制链路端口):连接对端DR邻居设备用于内部控制的接口。每台DR设备只有一个IPP口。IPP间的链路为IPL(Intra-Portal Link,内部控制链路),DR设备通过IPL交互协议报文及传输数据流量。一个DR系统只有一条IPL。
DR设备间通过Keepalive链路检测邻居状态。关于Keepalive机制的详细描述,请参见“1.1.3 Keepalive机制”。
如果一台外部设备仅接入DR系统的其中一台DR设备,则该设备称为单挂设备,这种接入方式称为单归接入。
DRNI通过在IPL上运行DRCP(Distributed Relay Control Protocol,分布式聚合控制协议)来交互分布式聚合的相关信息,以确定两台设备是否可以组成DR系统。运行该协议的设备之间通过互发DRCPDU(Distributed Relay Control Protocol Data Unit,分布式聚合控制协议数据单元)来交互分布式聚合的相关信息。
两端DR设备通过IPL链路定期交互DRCP报文。当本端DR设备收到对端DR设备的DRCP协商报文后,会判断DRCP协商报文中的DRNI系统配置是否和本端相同。如果两端的DRNI系统配置相同,则这两台设备可以组成DR系统。
DRCP超时时间是指IPP口或者DR接口等待接收DRCPDU的超时时间。在DRCP超时时间之前,如果本端IPP或者DR接口未收到来自对端DR设备的DRCPDU,则认为对端DR设备IPP口或者DR接口已经失效。
DRCP超时时间同时也决定了对端DR设备发送DRCPDU的速率。DRCP超时有短超时(3秒)和长超时(90秒)两种:
· 若本端DRCP超时时间为短超时,则对端DR设备将快速发送DRCPDU(每1秒发送1个DRCPDU)。
· 若本端DRCP超时时间为长超时,则对端DR设备将慢速发送DRCPDU(每30秒发送1个DRCPDU)。
DR设备间通过Keepalive链路检测邻居状态,即通过交互Keepalive报文来进行IPL故障时的双主检测。
如果在指定时间内,本端DR设备收到对端DR设备发送的Keepalive报文:
· 如果IPL链路状态为down,则本端和对端DR设备根据收到的Keepalive报文选举主从设备,保证DR系统中仅一台DR设备转发流量,避免两台DR设备均升级为主设备。
· 如果IPL链路状态为up,则DR系统正常工作。
如果在指定时间内,本端DR设备未收到对端DR设备发送的Keepalive报文时:
· 如果IPL链路状态为down,则认为对端DR设备状态为down:
¡ 本端设备为主设备时,如果本端设备上存在处于up状态的DR口,则本端仍为主设备;否则,本端设备角色变为None角色。
¡ 本端设备为从设备时,则升级为主设备。此后,只要本端设备上存在处于up状态的DR口,则保持为主设备,否则本端设备角色变为None角色。
当设备为None角色时,设备不能收发Keepalive报文,Keepalive链路处于down状态。
· 如果IPL链路状态为up,则认为Keepalive链路状态为down。此时主从设备正常工作,同时设备打印日志信息,提醒用户检查Keepalive链路。
IPL故障后,为了防止从设备继续转发流量,DRNI提供MAD(Multi-Active Detection,多Active检测)机制,即在DR系统分裂时将设备上部分接口置为DRNI MAD DOWN状态,不允许此类接口转发流量,避免流量错误转发,尽量减少对业务影响。
DR系统分裂时,设备上以下接口不被置为DRNI MAD DOWN状态:
· DRNI保留接口(包括用户配置的和系统保留的)。
· IRF保留接口(包括用户配置的和系统保留的)。
· 在接口上配置了强制端口up功能:
¡ 通过loopback命令开启接口的环回功能。有关本命令的详细介绍,请参见“接口管理命令参考”中的“以太网接口”。
¡ 通过port service-loopback group命令将端口加入指定的业务环回组。有关本命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“业务环回组”。
¡ 通过mirroring-group reflector-port命令为远程源镜像组配置反射端口。有关本命令的详细介绍,请参见“网络管理和监控命令参考”中的“端口镜像”。
¡ 通过port up-mode命令强制开启光口。有关本命令的详细介绍,请参见“接口管理命令参考”中的“以太网接口”。
DRNI保留接口包括系统保留接口和用户配置的保留接口。系统保留接口包括:
· IPP口
· IPP口所对应的二层聚合接口的成员接口
· DR口
· 管理以太网接口
当IPL故障恢复后,为了防止丢包,从设备尽可能在延迟恢复时间内完成表项(MAC地址表、ARP表等)同步,其后该设备上处于DRNI MAD DOWN状态的接口将恢复为up状态。
当IPL链路故障,Keepalive链路正常工作时,主设备正常工作,从设备会自动关闭本设备上除IRF保留接口、DRNI保留接口外的所有接口,将这些接口置为DRNI MAD DOWN状态。如果此时Keepalive链路也发生故障,从设备上的接口会解除DRNI MAD DOWN状态,并升级为主设备,使DR系统中的两台设备都作为主设备转发流量,引起网络故障。为了避免以上情况,需要开启DRNI MAD DOWN保持功能,使设备上的接口一直处于DRNI MAD DOWN状态,不参与流量转发。
如图1-2所示,DR设备通过角色计算,可能出现三种设备角色,分别是Primary、Secondary和None。
图1-2 DRNI角色计算流程图
角色计算触发条件包括:
· DR设备在系统初始化时(包括新配置DRNI或带DRNI配置重启设备)。
· IPL链路UP时,设备角色通过IPL计算。
· IPL故障,Keepalive正常工作,设备角色通过Keepalive链路计算。
· IPL和Keepalive链路均故障,根据本端DR设备上DR接口状态决定设备角色。
当通过IPL或Keepalive链路交互报文计算设备角色时,依次比较如下因素:
(1) 比较设备所有DR口的状态,有可工作DR口的一端为优;
(2) 比较计算前角色,若有一端为Primary,另一端为None,则Primary端优;
(3) 比较DRNI MAD DOWN状态,若一端存在处于DRNI MAD DOWN状态的接口,另一端不存在处于DRNI MAD DOWN状态的接口,则不存在处于DRNI MAD DOWN状态的接口的一端优;
(4) 比较设备健康状况,健康值越小越优。设备的健康值可通过display system health命令查看,健康值越小设备越健康,设备无故障运行时,健康值为0。有关display system health命令的详细介绍,请参见“基础配置命令参考”中的“设备管理”;
(5) 比较设备角色优先级,越高越优;
(6) 比较设备桥MAC,越小越优。
上述因素按顺序比较,结果为优的一端角色计算为Primary,另一端为Secondary。
如果设备通过IPL计算角色,则不比较设备所有DR接口的状态。
如图1-3所示,Device A和Device B之间DR系统建立及工作过程如下:
(1) 当DR设备完成DR系统参数配置后,两端设备通过IPL链路定期发送DRCP报文。当本端收到对端的DRCP协商报文后,会判断DRCP协商报文中的DR口编号是否和本端相同。如果两端的DR口编号相同,则这两台设备组成DR系统。
(2) 配对成功后,两端设备会确定出主从状态。依次比较两端DR设备的初始角色、DRNI MAD DOWN状态、设备的健康值、角色优先级、设备桥MAC,比较结果更优的一端为主设备,具体比较原则请参见“1.1.5 角色计算”。主从协商后,DR设备间会进行配置一致性检查。有关一致性检查的详细介绍,请参见“1.1.8 配置一致性检查功能”。
(3) 当主从角色确定后,两端设备通过Keepalive链路周期性地发送Keepalive报文检测邻居状态。
(4) DR系统开始工作后,两端设备之间会实时同步对端的信息,例如MAC地址表项、ARP表项等,这样任意一台设备故障都不会影响流量的转发,保证正常的业务不会中断。
图1-3 DRNI建立及工作过程示意图
DR设备工作模式分为以下两种:
· DR系统工作模式:作为DR系统成员设备参与报文转发。
· 独立工作模式:脱离DR系统独立工作,独自转发报文。
当DR系统分裂时,为了避免DR系统中的两台设备都作为主设备转发流量的情况,需要DR设备独立工作。在IPL和Keepalive链路均处于DOWN状态时,从设备会立即或经过一段时间切换到独立运行模式。
DR设备切换到独立运行模式后,聚合接口发送的LACP报文中携带的DRNI系统参数还原为聚合接口的LACP系统MAC地址和LACP系统优先级,使同一DR组中的两个聚合接口的LACP系统MAC地址和LACP系统优先级不一致。这样只有一边聚合接口的成员端口可以被选中,通过被选中的设备转发业务流量,避免流量转发异常。
DR系统建立过程中会进行配置一致性检查,以确保两端DR设备配置匹配,不影响DR设备转发报文。DR设备通过交换各自的配置信息,检查配置是否匹配。目前DRNI支持对两种类型的配置一致性检查:
· Type 1类型配置:影响DR系统转发的配置。如果Type 1类型配置不匹配,则将从设备上DR接口置为down状态。
· Type 2类型配置:仅影响业务模块的配置。如果Type 2类型配置不匹配,从设备上DR接口依然为up状态,不影响DR系统正常工作。由Type 2类型配置对应的业务模块决定是否关闭该业务功能,其他业务模块不受影响。
为了避免设备DR接口震荡,设备会在延迟恢复定时器一半时间之后进行配置一致性检查。
延迟恢复定时器用来设置设备作为从设备加入分布式聚合系统时进行MAC地址表项等信息同步的最大时间。有关延迟恢复定时器的详细介绍,请参见“1.18 配置接口延迟恢复时间”
Type 1类型配置一致性检查分为全局配置和DR接口配置。
表1-1 全局Type 1类型配置
|
配置 |
一致性检查内容 |
|
IPP口链路类型 |
Access、Hybrid和Trunk |
|
IPP口的PVID |
IPP口的PVID |
|
生成树功能 |
全局生成树功能是否开启和VLAN内生成树功能是否开启 仅当生成树模式为PVST时,才对VLAN内生成树功能进行一致性检查 |
|
生成树模式 |
STP、RSTP、PVST和MSTP |
|
MST域相关配置 |
MST域的域名、MSTP的修订级别和MSTI与VLAN的映射关系 |
表1-2 DR接口Type 1类型配置
|
配置 |
一致性检查内容 |
|
聚合组的工作模式 |
静态聚合组和动态聚合组 |
|
接口生成树功能 |
接口上的生成树功能是否开启 |
|
接口的链路类型 |
Access、Hybrid和Trunk |
|
接口的PVID |
DR接口的PVID |
Type 2类型配置一致性检查分为全局配置和DR接口配置。Type 2类型配置仅影响对应的业务模块。
当接口所属的VLAN信息或VLAN接口信息检查不一致时,以下全局Type 2类型配置信息才能显示:
· VLAN接口状态
· VLAN接口的IPv4地址
· VLAN接口的IPv6地址
· VLAN接口的IPv4 VRRP备份组虚拟IP地址
表1-3 全局Type 2类型配置
|
配置 |
一致性检查内容 |
|
接口所属的VLAN |
IPP口所属的VLAN 先比较接口上携带Tag的VLAN,再比较接口上未携带Tag的VLAN |
|
VLAN接口 |
VLAN接口处于up状态,且IPP口加入该VLAN |
|
VLAN接口状态 |
VLAN接口是否被手工关闭 |
|
VLAN接口的IPv4地址 |
VLAN接口IPv4地址是否配置 |
|
VLAN接口的IPv6地址 |
VLAN接口IPv6地址是否配置 |
|
VLAN接口的IPv4 VRRP备份组虚拟IP地址 |
VLAN接口IPv4 VRRP备份组虚拟IP地址是否配置 |
|
全局BPDU保护 |
全局的BPDU保护功能是否配置 |
|
MAC地址老化时间 |
MAC地址老化时间 |
|
端口安全的DR接口上用户认证的负载分担模式 |
端口安全的DR接口上用户认证的负载分担模式: · Centralized:集中处理 · Local:分布处理本地上送用户 · Odd-MAC:分布处理奇MAC用户 · Even-MAC:分布处理偶MAC用户 |
|
允许MAC迁移功能 |
允许MAC迁移功能是否开启 |
|
允许MAC迁移的方式 |
允许MAC迁移的方式: · Port:允许用户进行端口迁移 · VLAN:允许用户进行VLAN迁移 · All:允许用户进行端口和VLAN迁移 |
|
802.1x系统的认证方法 |
802.1x系统的认证方法: · Chap:启用EAP终结方式,并支持与RADIUS服务器之间采用CHAP类型的认证方法 · Eap:启用EAP中继方式,并支持客户端与RADIUS服务器之间所有类型的EAP认证方法 · Pap:启用EAP终结方式,并支持与RADIUS服务器之间采用PAP类型的认证方法 |
|
MAC地址认证采用的认证方法 |
MAC地址认证采用的认证方法: · Chap:采用CHAP类型的认证方法 · Pap:采用PAP类型的认证方法 |
|
VSI名称 |
DR接口上AC关联的VSI的名称 |
|
VNI |
VSI的VXLAN ID |
|
网关接口编号 |
VSI关联的网关接口编号 |
|
VSI虚接口编号 |
VSI关联的VSI虚接口编号 |
|
VSI虚接口的MAC地址 |
VSI关联的VSI虚接口的MAC地址 |
|
VSI虚接口的IPv4地址 |
VSI关联的VSI虚接口的IPv4地址 |
|
VSI虚接口的IPv6地址 |
VSI关联的VSI虚接口的IPv6地址 |
|
VSI虚接口物理状态 |
VSI关联的VSI虚接口物理状态 |
|
VSI虚接口协议状态 |
VSI关联的VSI虚接口协议状态 |
表1-4 DR接口Type 2类型配置
|
配置 |
一致性检查内容 |
|
接口所属的VLAN |
DR口所属的VLAN 先比较接口上携带Tag的VLAN,再比较接口上未携带Tag的VLAN |
|
DR口上的端口速率作为优先选择参考端口功能 |
DR口上的端口速率作为优先选择参考端口功能是否配置 |
|
DR口上的选择选中端口时忽略端口速率功能 |
DR口上的选择选中端口时忽略端口速率功能是否配置 |
|
STP根保护功能 |
STP根保护功能是否配置 |
|
端口安全模式 |
端口安全模式: · Autolearn · Mac-authentication · Mac-else-userlogin-secure · Mac-else-userlogin-secure-ext · Secure · Userlogin · Userlogin-secure · Userlogin-secure-ext · Userlogin-secure-or-mac · Userlogin-secure-or-mac-ext · Userlogin-withoui |
|
802.1x指定的Critical VSI名称 |
802.1x指定的Critical VSI名称 |
|
802.1x的在线用户握手功能 |
802.1x的在线用户握手功能是否开启 |
|
802.1x的组播触发功能 |
802.1x的组播触发功能是否开启 |
|
802.1x的单播触发功能 |
802.1x的单播触发功能是否开启 |
|
MAC地址认证的Critical微分段ID |
MAC地址认证的Critical微分段ID |
|
MAC地址认证的Critical VSI名称 |
MAC地址认证的Critical VSI名称 |
|
在添加第一个Critical微分段用户时,强制当前端口下授权了重定向URL的MAC地址认证的所有用户均下线功能 |
是否开启,在添加第一个Critical微分段用户时,强制当前端口下授权了重定向URL的MAC地址认证的所有用户均下线 |
|
端口MAC地址认证和802.1x认证并行处理功能 |
端口MAC地址认证和802.1x认证并行处理功能是否开启 |
|
Web认证的Auth-Fail VLAN |
Web认证的Auth-Fail VLAN |
为了防止重放攻击,保证流量正常转发,DRNI支持序列号校验,以识别非法攻击报文。开启DRNI序列号校验功能后,如果DR设备本次收到的DRNI报文的序列号与已经收到的DRNI报文的序列号相同,或小于上次收到的DRNI报文的序列号,则认为发生重放攻击。DR设备会丢弃序列号校验失败的DRNI报文。
为防止攻击者篡改DRNI报文内容,DRNI提供报文认证功能,提高安全性。DR设备发送的协议报文中会携带一个消息摘要,该消息摘要是对协议报文内容经Hash计算得到。对端DR设备收到该报文时,会与自己计算的该报文的消息摘要进行比对,如果一致,则认为其合法。
如图1-4所示,某DR接口故障,网络侧流量会通过IPL发送给另外一台设备,所有流量均由另外一台DR设备转发,具体过程如下:
(1) Device B的某DR接口故障,网络侧不感知,流量依然会发送给所有DR设备。
(2) Device A的相同DR接口正常,则Device B收到网络侧访问Device C的流量后,通过IPL将流量交给Device A后转发给Device C。
(3) 故障恢复后,Device B的该DR口up,流量正常转发。
图1-4 DR接口故障处理机制示意图
如图1-5所示,IPL故障但Keepalive链路正常会导致从设备上除DRNI保留接口和IRF保留接口以外的接口处于DRNI MAD DOWN状态。主设备上DR接口所在的聚合链路状态仍为up,从设备上DR接口所在的聚合链路状态变为down,从而保证所有流量都通过主设备转发。一旦IPL故障恢复,处于DRNI MAD DOWN状态的接口经过延迟恢复时间自动恢复为up状态。
图1-5 IPL故障处理机制示意图
如图1-6所示,Device A为主设备,Device B为从设备。当主设备故障后,主设备上的聚合链路状态变为down,不再转发流量。从设备将升级为主设备,该设备上的聚合链路状态为up,流量转发状态不变,继续转发流量。主设备故障恢复后,DR系统中由从状态升级为主状态的设备仍保持主状态,故障恢复后的设备成为DR系统的从设备。
如果是从设备发生故障,DR系统的主从状态不会发生变化,从设备上的聚合链路状态变为down。主设备上的聚合链路状态为up,流量转发状态不变,继续转发流量。
上行链路故障并不会影响DR系统的转发。如图1-7所示,Device A上行链路虽然故障,但是外网侧的转发相关表项由Device B通过IPL同步给Device A,Device A会将访问外网侧的流量发送给Device B进行转发。而外网侧发送给Device C的流量由于接口故障,自然也不会发送给Device A处理。
上行链路故障时,如果通过Device A将访问外网侧的流量发送给Device B进行转发,会降低转发效率。此时用户可以配置Monitor Link功能,将DR组成员端口和上行端口关联起来,一旦上行链路故障了,会联动DR组成员端口状态,将其状态变为down,提高转发效率。有关Monitor Link的详细介绍,请参见“可靠性配置指导”中的“Monitor Link”。
DRNI二次故障是指在IPL发生故障后,Keepalive链路也发生故障,或者在Keepalive链路发生故障后,IPL也发生故障。针对DR设备上不同的配置情况,当发生二次故障时,处理方式不同。
如图1-8所示,若IPL链路先发生故障,此时两端DR设备会根据Keepalive链路进行设备角色选举,并依据MAD检测机制,将从设备上除IRF保留接口、DRNI保留接口外的所有接口置为DRNI MAD DOWN状态。
此后,若Keepalive链路也发生故障,从设备也会升为主设备,并解除设备上所有接口的DRNI MAD DOWN状态,以双主双活的方式转发流量。由于IPL链路故障时,无法同步表项,可能导致流量转发错误。
若Keepalive链路先发生故障,IPL链路后发生故障,则DR设备上的接口不会被置为DRNI MAD DOWN状态,而是直接以双主双活的方式转发流量。
如图1-9所示,若IPL先发生故障,此时两端DR设备会根据Keepalive链路进行设备角色选举,并依据MAD检测机制,将从设备上除IRF保留接口、DRNI保留接口外的所有接口置为DRNI MAD DOWN状态。
此后,若Keepalive链路也发生故障,从设备也会升为主设备,但由于DR设备已开启DRNI MAD DOWN状态保持功能,将不会解除设备上所有接口的DRNI MAD DOWN状态,继续只从原来的主设备转发流量。这样将不会出现双主双活的情况,避免流量转发异常。
若Keepalive链路先发生故障,IPL链路后发生故障,则DR设备上的接口不会被置为DRNI MAD DOWN状态,而是直接以双主双活的方式转发流量。
图1-9 开启DRNI MAD DOWN状态保持功能场景下二次故障处理机制示意图(一)
如图1-10所示,如果主设备故障或者主设备上DR口故障,则无法转发流量。为了避免这种情况可以解除从设备上所有接口的DRNI MAD DOWN状态,使从设备升级为主设备,以保证流量正常转发,减少流量中断时间。
图1-10 开启DRNI MAD DOWN状态保持功能场景下二次故障处理机制示意图(二)
如图1-11所示,若IPL先发生故障,此时两端DR设备会根据Keepalive链路进行设备角色选举,并依据MAD检测机制,将从设备上除IRF保留接口、DRNI保留接口外的所有接口置为DRNI MAD DOWN状态。
此后,若Keepalive链路也发生故障,从设备也会升为主设备,解除所有接口的DRNI MAD DOWN状态。但由于已开启立即或延迟切换到设备独立工作状态功能,两台DR设备将切换到独立工作状态,切换后DR接口对应的聚合接口发送的LACP报文中携带的DRNI系统参数还原为聚合接口的LACP系统MAC地址和LACP系统优先级,使同一DR组中的两个聚合接口的LACP系统MAC地址和LACP系统优先级不一致。这样只有一边聚合接口的成员端口可以被选中,通过被选中的设备转发业务流量,避免流量转发异常。成员端口的选中与LACP系统优先级和系统MAC地址相关,与DR设备角色无关。LACP系统优先级和系统MAC地址越小,则优先被选中。若选中的成员端口也发生故障,则将选中另外一台设备上聚合接口的成员端口,通过该聚合接口继续转发流量。
若Keepalive链路先发生故障,IPL链路后发生故障,则DR设备上的接口不会被置为DRNI MAD DOWN状态,将立即或延迟一段时间切换到设备独立工作模式。
图1-11 开启设备独立工作功能场景下二次故障处理机制示意图
与DRNI相关的协议规范有:
· IEEE P802.1AX-REV™/D4.4c:Draft Standard for Local and Metropolitan Area Networks
DRNI中所有DR设备的软件版本必须相同。
为了能够让对端设备将分布式聚合组中的两台设备看成一台设备,要求同一分布式聚合组中所有DR设备配置相同的系统MAC地址和系统优先级,配置不同的系统编号。
当在设备上部署DRNI配置后,如果该设备脱离DR系统独立工作,则需要删除DRNI相关配置,避免影响报文转发。
建议在IPP口上配置link-delay命令,且配置相同的delay-time,以减少接口震荡对上层业务的影响。
同一DR组中,DR接口的LACP系统MAC地址不能相同。
两端DR设备的IPP口上允许通过的超长帧需要相同,否则会导致DR设备间信息同步失败。
单挂接口的链路类型需要与IPP口保持一致,需要配置链路类型为Trunk。
DRNI不支持和IRF配合使用。配置DRNI功能前,请先将设备的IRF模式切换成独立运行模式。
有关IRF的详细介绍,请参见“虚拟化技术配置指导”中的“IRF”。
DRNI仅支持配置以下功能:MAC地址表、以太网链路聚合、VLAN、生成树、LLDP、ARP、OSPF、BGP、VRRP、NTP、IPv6 ND、DHCP Snooping、组播功能。
· 对于MAC地址表,有如下配置限制:
¡ 两端DR设备之间不会同步静态MAC地址表项和黑洞MAC地址表项。如果需要添加这两类表项,请在两端DR设备上分别手工配置。
¡ 请不要在DR设备的VLAN视图下使用mac-address max-mac-count命令配置VLAN的MAC地址数学习上限,否则会影响流量转发。
¡ 在DR设备上配置多端口单播MAC地址表项不生效。
· 对于以太网链路聚合,有如下配置限制:
¡ 仅支持二层聚合接口的相关配置。
¡ 不支持全自动聚合功能(link-aggregation auto-aggregation enable)。
· 配置DRNI组网下的DHCP Snooping功能时,请不要在DR设备上配置QinQ功能,否则会导致功能异常。
· 对于组播功能,有如下配置限制:
¡ DRNI系统不能配置组播VLAN。
¡ 在DR设备上配置静态组播MAC地址表项不生效。
¡ 在DR接口允许通过的所有VLAN中,如果某一个VLAN接口配置了三层组播功能,那么其他VLAN要使用二层组播的功能的话,必须在其VLAN接口下也使能三层组播功能,否则可能会导致部分二层组播流量被丢弃。
DRNI网络不支持ICMP重定向报文发送功能(ip redirects enable)、ICMPv6重定向报文发送功能(ipv6 redirects enable)。
为确保三层单播流量转发正常,建议在IPL链路两端端口上关闭报文入接口与静态MAC地址表项匹配检查功能,具体为:
· 采用以太网聚合链路作为IPL时,在IPP口对应聚合接口上配置undo mac-address static source-check enable命令。
请保证DR系统中DR设备的业务模块相关配置匹配,避免影响流量转发。
在DRNI组网环境中,通过GIR功能将设备从维护模式切回到普通模式,请先执行display drni mad verbose命令确认设备接口状态未处于“DRNI MAD DOWN”状态,再执行undo gir system-mode maintenance命令。有关GIR的详细介绍,请参见“基础配置指导”中的“GIR”。
在DRNI组网环境中,在设备存在大量MAC地址表项时,请通过mac-address timer aging命令增加MAC地址老化时间,建议配置MAC地址老化时间在20分钟以上。
配置为IPP口的二层聚合接口始终禁止进行MAC地址学习。
有关MAC地址的详细介绍,请参见“二层技术-以太网交换配置指导”中的“MAC地址表”。
请勿在DRNI组网环境开启全自动聚合功能。
配置聚合接口加入S-MLAG组后,该聚合接口不能再配置为DR口或IPP口。
当聚合接口配置为DR口时,请注意:
· 该聚合接口上最大选中端口数和最小选中端口数的配置不生效。
· 通过display link-aggregation verbose命令显示该聚合接口详细信息时,显示信息中SystemID为分布式聚合配置的DR系统MAC和DR系统优先级。如果参考端口在DR口上,则两台DR设备上会各显示一个参考端口。
关于以太网链路聚合的详细介绍,请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
请勿将DR口和IPP口加入隔离组中。有关隔离组的详细介绍,请参见“二层技术-以太网交换配置指导”中的“端口隔离”。
在DRNI组网环境中,DR设备上的环路检测相关配置要保证一致。有关环路检测的详细介绍,请参见“二层技术-以太网交换配置指导”中的“环路检测”。
在生成树和分布式聚合结合使用的组网中,用户需要保证DR系统中成员设备生成树全局配置、DR口及IPP口生成树端口配置完全一致,否则可能会导致网络有震荡。DR系统中IPP口不参与生成树的拓扑计算。
在生成树和分布式聚合结合使用的组网中,DR系统分裂时,成员设备仍会使用DR系统MAC地址发送BPDU报文,导致无法正确计算生成树拓扑。此时可通过开启DR设备独立工作功能解决上述问题。
有关生成树的详细介绍,请参见“二层技术-以太网交换配置指导”中的“生成树”。
在二层组播DRNI和三层组播DRNI组网中,DRNI设备均只能直连组播源或者组播接收者,不能用于网络中其他位置。
在PIM-SSM/IPv6 PIM-SSM模式下,当组播接收者仅接入DR系统的其中一台DR设备时,只能通过VLAN接口连接到DR设备。
对于多级DRNI互联组网,三层组播DRNI不支持跟三层组播DRNI互联,只支持跟二层组播DRNI互联。
组播VPN不支持分布式聚合。
有关组播DRNI的详细介绍,请参见“组播配置指导”中的“PIM”、“IPv6 PIM”、“IGMP Snooping”。
DR设备上指定的发送RADIUS报文使用的源IP地址必须为DRNI虚拟IP地址。
在设备上开启RADIUS DAE服务后,设备不支持通过COA请求报文关闭/重启802.1X认证用户的接入端口/重认证用户。
有关AAA的详细介绍,请参见“安全配置指导”中的“AAA”。
为了保证Portal支持DRNI功能的正常使用,请在配置此功能前,确保主从设备如下功能配置一致:
· 同时开启Portal认证功能
· 同时配置IPv4 Portal认证或IPv6 Portal认证
· 配置相同的Portal认证方式
· 同时开启或者关闭基于MAC地址的快速认证功能
· 配置相同的用户免认证流量的阈值
· 配置相同的Portal逃生认证服务器的IPv4地址或IPv6地址
· 配置相同的Portal Web服务器的URL
· 配置相同的Portal用户漫游功能
· 同时开启或者关闭Portal双栈功能
有关Portal的详细介绍,请参见“安全配置指导”中的“Portal”。
两台DR设备通过交换各自的配置信息,检查配置是否冲突,检查过程不影响DR设备转发报文。若配置冲突,将不允许新用户上线。
有关端口安全的详细介绍,请参见“安全配置指导”中的“端口安全”。
在使用远端MEP的MAC地址进行其它CFD各项功能测试之前,若本端内向MEP和远端MEP中间链路存在二层聚合接口,请勿将该二层聚合接口配置为IPP口,否则会造成这些测试功能失效。有关CFD的详细介绍,请参见“可靠性配置指导”中的“CFD”。
在DRNI场景下配置RRPP,要求IPP口为Trunk类型,且IPP口会根据RRPP控制VLAN的创建和删除自动加入和退出该控制VLAN。
有关RRPP的详细介绍,请参见“可靠性配置指导”中的“RRPP”。
在DRNI场景下配置ERPS,要求IPP口为Trunk类型,且IPP口会根据ERPS控制VLAN的创建和删除自动加入和退出该控制VLAN。
有关ERPS的详细介绍,请参见“可靠性配置指导”中的“ERPS”。
在DRNI组网中,请确保两台DR设备的Smart Link配置完全一致。请勿将DR接口和非DR接口加入同一个Smart Llink组,否则DR接口在Smart Link组中将不会生效;请勿将IPP接口加入Smart Link组,否则该端口在Smart Link组中将不会生效。
有关Smart Link的详细介绍,请参见“可靠性配置指导”中的“Smart Link”。
设备同时配置镜像和DRNI/聚合时,请注意避免出现镜像源端口为聚合组A的成员端口,镜像目的端口、出端口或反射端口为聚合组B的成员端口,以免聚合组B成员端口接收到聚合组A成员端口的镜像LACP报文,引起聚合接口震荡。
DRNI与VXLAN、EVPN的配置限制,详见“VXLAN配置指导”中的“VXLAN”和“EVPN配置指导”中的“EVPN VXLAN”。
DRNI配置任务如下:
(1) 配置DR系统参数
¡ 配置DR系统编号
(2) 配置DR设备的角色优先级
(3) (可选)开启DR设备独立工作功能
(4) 配置Keepalive参数
(5) 配置DRNI MAD功能
¡ 配置接口在DR系统分裂后处于DRNI MAD DOWN状态
(6) 配置DRNI接口
¡ 配置DR口
¡ 配置IPP口
¡ (可选)配置IPP或DR接口的DRCP超时时间为短超时
(7) (可选)开启DRNI IPP口的MAC地址保持功能
(8) (可选)配置DRNI虚拟IP地址
(9) (可选)配置DRNI一致性检查功能
在进行软件升级时,为避免配置不一致,导致DR口被关闭,可暂时关闭配置一致性检查功能。
(10) 配置DRNI时间参数
¡ (可选)配置IPL链路down后等待检测故障原因的时间
¡ (可选)配置接口延迟恢复时间
(11) (可选)配置DRNI安全功能
DR系统中相互配对的DR接口的系统MAC地址必须相同。
建议用户将系统MAC地址配置为其中一台DR设备的桥MAC地址。
修改DR设备的系统MAC地址将会导致当前设备从已经建立的分布式聚合组中分裂。因此DR系统形成后,不建议修改系统MAC地址。
只有聚合接口配置为DR接口后,才允许在该聚合接口视图下配置DR系统MAC地址。
DR系统MAC地址支持在系统视图和聚合接口视图下配置。对于一个聚合接口来说,优先采用该聚合接口下的配置,只有该聚合接口下未进行配置时,才采用系统视图下的配置。
(1) 进入系统视图。
system-view
(2) 配置DR系统MAC地址。
drni system-mac mac-address
缺省情况下,未配置DR系统MAC地址。
(3) 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(4) 在DR接口下配置DR系统MAC地址。
port drni system-mac mac-address
缺省情况下,未配置DR系统MAC地址。
DR系统中不同DR设备的系统编号必须不同。
修改DR设备的系统编号将会导致当前设备从已经建立的分布式聚合组中分裂。
(1) 进入系统视图。
system-view
(2) 配置DR系统编号。
drni system-number system-number
缺省情况下,未配置DR系统编号。
DR系统使用DR系统优先级作为LACPDU中的系统LACP优先级与对端设备交互聚合组信息。
DR系统中相互配对的DR接口的系统优先级必须相同。
如果在系统视图下修改DR设备的系统优先级将会导致当前设备从已经建立的分布式聚合组中分裂。因此DR系统形成后,不建议在系统视图下修改系统优先级。
只有聚合接口配置为DR接口后,才允许在该聚合接口视图下配置DR系统优先级。
DR系统优先级支持在系统视图和聚合接口视图下配置。对于一个聚合接口来说,优先采用该聚合接口下的配置,只有该聚合接口未进行配置或配置为缺省值时,才采用系统视图下的配置。
(1) 进入系统视图。
system-view
(2) 配置DR系统优先级。
drni system-priority system-priority
缺省情况下,DR系统优先级为32768。
(3) 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(4) 在DR接口下配置DR系统优先级。
port drni system-priority priority
缺省情况下,DR系统优先级为32768。
设备角色优先级用于两台设备间进行主从协商,值越小优先级越高,优先级高的为主设备。
如果优先级相同,那么比较两台设备的桥MAC地址,桥MAC地址较小的为主设备。
DR系统建立后,不建议修改DR设备的角色优先级,避免主从设备重新选举,导致网络震荡。
(1) 进入系统视图。
system-view
(2) 配置DR设备的角色优先级。
drni role priority priority-value
缺省情况下,DR设备的角色优先级为32768。
当DR系统分裂时,为了避免DR系统中的两台设备都作为主设备转发流量的情况,可以在DR系统分裂前配置本功能。配置本功能后,如果DR系统分裂,IPL和Keepalive链路均处于DOWN状态,此时从设备会立即或经过一段时间切换到独立运行模式。
DR设备切换到独立运行模式后,聚合接口发送的LACP报文中携带的DRNI系统参数还原为聚合接口的LACP系统MAC地址和LACP系统优先级,使同一DR组中的两个聚合接口的LACP系统MAC地址和LACP系统优先级不一致。这样只有一边聚合接口的成员端口可以被选中,通过被选中的设备转发业务流量,避免流量转发异常。
当IPL和Keepalive链路均发生故障时,本功能才会生效。
建议DR设备均配置本功能。
配置本功能前,需要保证DR设备的LACP系统优先级大于连接DR系统设备的LACP系统优先级,使参考端口位于连接DR系统的设备上,避免连接DR系统的设备的端口频繁震荡。
当对端DR设备整机重启时,本功能失效。
(1) 进入系统视图。
system-view
(2) 开启DR设备独立工作功能。
drni standalone enable [ delay delay-time ]
缺省情况下,DR设备独立工作功能处于关闭状态。
目前仅支持在管理以太网接口和三层以太网接口上创建Keepalive链路。
本端设备接收到的Keepalive报文的目的IP应该为本端配置的源IP。当设备收到其他目的IP地址的Keepalive报文时,Keepalive链路状态变为down。
本地设备和邻居设备的UDP端口号需配置一致,否则无法收到对端的Keepalive报文。
(1) 进入系统视图。
system-view
(2) 配置Keepalive报文的参数。
drni keepalive { ip | ipv6 } destination { ipv4-address | ipv6-address } [ source { ipv4-address | ipv6-address } | udp-port udp-number | vpn-instance vpn-instance-name ] *
缺省情况下,未配置Keepalive报文的参数。如果未指定source或udp-port参数时,则源IP地址为出接口IP地址,UDP端口号为6400。
DR设备间会周期性地发送Keepalive报文。如果本端设备在Keepalive报文超时时间后仍未收到对端发送的Keepalive报文,则Keepalive链路变为down。
本端DR设备的Keepalive报文超时时间必须配置成对端DR设备的Keepalive报文发送时间间隔的2倍以上。
用户需要将DR设备的Keepalive协议报文的发送时间间隔配置一致,否则可能引起功能异常。
(1) 进入系统视图。
system-view
(2) 配置Keepalive报文发送的时间间隔和超时时间间隔。
drni keepalive interval interval [ timeout timeout ]
缺省情况下,Keepalive报文发送的时间间隔为1000毫秒,超时时间间隔为5秒。
设备上接口在DR系统分裂后有以下状态:
· DR系统分裂后接口处于DRNI MAD DOWN状态。
· DR系统分裂后接口保持原状态不变。
缺省情况下,IPL故障后,为了防止从设备继续转发流量,在DR系统分裂时将设备上除IRF保留接口、DRNI保留接口外的所有接口置为DRNI MAD DOWN状态,不允许此类接口转发流量,避免流量错误转发,尽量减少对业务影响。如果希望DR系统中有特殊用途的接口(比如Keepalive接口)保持UP状态,可以通过drni mad exclude interface命令将其配置为DRNI保留接口。
在EVPN+DRNI组网环境中,当使用VXLAN隧道作为IPL时,为了保证DR系统分裂后DR设备能够正常工作,需要将大量逻辑接口(例如Tunnel接口或LoopBack接口)配置为保留接口。此时,为了减少配置工作量,可以先通过drni mad default-action none命令配置设备上的接口在DR系统分裂后保持原状态不变,然后再使用drni mad include interface命令配置DR系统分裂后需要处于DRNI MAD DOWN状态的接口。
聚合成员端口与聚合接口在DR系统分裂后的状态保持一致:
· 如果聚合接口在DR系统分裂后处于保留状态,则该聚合接口的成员端口也处于保留状态。
· 如果聚合接口在DR系统分裂后处于DRNI MAD DOWN状态,则该聚合接口的成员端口也处于DRNI MAD DOWN状态。
如果通过drni mad include interface或者drni mad exclude interface命令配置了聚合成员端口在DR系统分裂后的状态,则聚合成员端口以该配置优先。
对于以下接口,不受本配置的影响:
· DRNI系统保留接口。
· IRF保留接口(包括用户配置的和系统保留的),通过display mad verbose命令查看。
· 在接口上配置了强制端口up功能:
¡ 通过loopback命令开启接口的环回功能。
¡ 通过port service-loopback group命令将端口加入指定的业务环回组。
¡ 通过mirroring-group reflector-port命令为远程源镜像组配置反射端口。
¡ 通过port up-mode命令强制开启光口。
(1) 进入系统视图。
system-view
(2) 配置接口在DR系统分裂后的状态。
drni mad default-action { down | none }
缺省情况下,在DR系统分裂后接口处于DRNI MAD DOWN状态。
用户需要将以下接口配置为DRNI保留接口,以避免接口被置为DRNI MAD DOWN状态:
· 将Keepalive链路的接口配置为DRNI保留接口,避免该接口的状态变为DRNI MAD DOWN导致Keepalive链路down,从而造成错误检测。
· 配置Tunnel接口为IPP口时,必须将隧道出接口配置为保留接口,避免该接口的状态变为DRNI MAD DOWN,导致Tunnel处于down状态,IPL无法收发DRCP协议报文。
· DR接口和IPP口所在VLAN对应的VLAN接口需要配置为DRNI保留接口,以避免DR设备间同步表项时,因VLAN接口处于DRNI MAD DOWN状态,ARP表项无法同步,影响流量转发。
可以通过display drni mad verbose命令查看当前已经配置的保留接口。
接口处于DRNI MAD DOWN状态时,配置该接口为保留接口,该接口仍会保持DRNI MAD DOWN状态,不会恢复up状态。
(1) 进入系统视图。
system-view
(2) 配置DRNI保留接口。
drni mad exclude interface interface-type interface-number
缺省情况下,未配置保留接口。
在EVPN+DRNI组网环境中,当使用VXLAN隧道作为IPL时,为了保证DR系统分裂后DR设备能够正常工作,需要将大量逻辑接口(例如Tunnel接口或LoopBack接口)配置为保留接口。此时,为了减少配置工作量,可以通过本功能将所有逻辑接口配置为DRNI保留接口。
如果同时存在本命令、drni mad exclude interface命令和drni mad include interface命令,则drni mad exclude interface命令和drni mad include interface命令优先生效。
(1) 进入系统视图。
system-view
(2) 配置所有逻辑接口为DRNI保留接口。
drni mad exclude logical-interfaces
缺省情况下,所有逻辑接口未配置为DRNI保留接口。
系统自动配置DR口的成员口在DR系统分裂后处于DRNI MAD DOWN状态,不需要配置本功能。
配置以下接口在DR系统分裂后处于DRNI MAD DOWN状态时,配置不生效:
· DRNI系统保留接口。
· IRF保留接口(包括用户配置的和系统保留的)。有关IRF保留接口的详细介绍,请参见“虚拟化技术配置指导”中的“IRF”。
· 在接口上配置了强制端口up功能:
¡ 通过loopback命令开启接口的环回功能。
¡ 通过port service-loopback group命令将端口加入指定的业务环回组。
¡ 通过mirroring-group reflector-port命令为远程源镜像组配置反射端口。
¡ 通过port up-mode命令强制开启光口。
(1) 进入系统视图。
system-view
(2) 配置在DR系统分裂后处于DRNI MAD DOWN状态的接口。
drni mad include interface interface-type interface-number
缺省情况下,未指定接口为在DR系统分裂后必须处于DRNI MAD DOWN状态的接口。
当IPL链路故障,Keepalive链路正常工作时,主设备正常工作,从设备会自动关闭本设备上除IRF保留接口、DRNI保留接口外的所有接口,将这些接口置为DRNI MAD DOWN状态。如果此时Keepalive链路也发生故障,从设备上的接口会解除DRNI MAD DOWN状态,并升级为主设备,使DR系统中的两台设备都作为主设备转发流量,引起网络故障。为了避免以上情况,可以在设备上开启DRNI MAD DOWN状态保持功能,使设备上的接口一直处于DRNI MAD DOWN状态,不参与流量转发。在上述场景下,如果负责转发流量的DR设备故障,则可以强制解除另一台DR设备上所有接口的DRNI MAD DOWN状态,使设备正常转发流量,避免业务长时间中断。
(1) 进入系统视图。
system-view
(2) 开启DRNI MAD DOWN状态保持功能。
drni mad persistent
缺省情况下,DRNI MAD DOWN状态保持功能处于关闭状态。
(3) (可选)解除设备上所有接口的DRNI MAD DOWN状态。
drni mad restore
当IPL或Keepalive链路处于up状态时,不能配置本功能。
缺省情况下,不允许DR接口单边接入,即仅一台DR设备配置DR接口。DR接口单边接入时,将该DR接口置为DRNI DOWN状态。
当存在单归接入设备时,如果需要使用DR接口转发流量,则需要配置允许DR接口单边接入,不将该DR接口置为DRNI DOWN状态,保证流量正常转发。当允许DR接口单边接入时,不对该DR接口进行一致性检查。
配置二层聚合接口加入分布式聚合组,该聚合接口不能是IPP口。二层聚合接口加入分布式聚合组后,同时也创建了对应的分布式聚合接口即DR口。
一台DR设备上可以配置多个DR口。
一个二层聚合接口只能加入一个分布式聚合组。
不能通过重复执行port drni group命令修改DR接口单边接入配置。如需修改DR接口单边接入配置,请先通过undo port drni group命令取消配置为DR接口,再执行port drni group命令修改DR接口单边接入配置。
为了避免环路,配置DR接口单边接入配置时,需要先配置DR接口,再将成员端口加入聚合;取消配置DR接口单边接入时,需要先将成员端口退出聚合组,再取消配置为DR接口。
(1) 进入系统视图。
system-view
(2) 进入二层聚合接口视图。
interface bridge-aggregation interface-number
(3) 配置DR口。
port drni group group-id [ allow-single-member ]
建议在动态聚合接口下指定allow-single-member参数。
配置二层聚合接口或Tunnel接口为IPP口时:
· 该聚合接口不能是DR口,且IPP口的带宽要大于DR口的带宽。
· 该Tunnel接口的隧道模式必须为VXLAN隧道,且该Tunnel接口不能和VXLAN关联。仅在EVPN组网环境中支持使用Tunnel接口作为IPP口。有关EVPN的详细介绍,请参见“EVPN配置指导”中的“EVPN”。
一台DR设备上只能配置一个IPP口。
配置聚合接口为IPP口时,如果该聚合接口上VLAN配置为缺省配置,则该聚合接口的链路类型改为Trunk类型,且允许所有VLAN通过该Trunk端口。否则,VLAN配置不进行改变。
取消配置聚合接口为IPP口时,不修改该聚合接口上VLAN配置。
建议在IPP口上配置link-delay命令,以减少接口震荡对上层业务的影响。关于link-delay命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“以太网链路聚合”。
IPP口不允许开启或者关闭MAC地址学习功能。有关MAC地址学习功能的详细介绍,请参见“二层技术-以太网交换命令参考”中的“MAC地址表”。
两端DR设备的IPP口上允许通过的超长帧需要相同,否则会导致DR设备间信息同步失败。关于超长帧的详细介绍,请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
请不要在IPP口间使用远端MEP的MAC地址进行其它CFD各项功能测试,否则会造成这些测试功能失效。有关CFD的详细介绍,请参见“可靠性配置指导”中的“CFD”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
¡ 进入Tunnel接口视图。
interface tunnel number
(3) 配置IPP口。
port drni intra-portal-port port-number
当用户需要快速检测IPP口状态时,可以配置本功能,快速发送DRCP报文。
短超时配置仅在IPP口或者DR口下配置时生效。
请不要在DRNI进程重启时或ISSU升级前配置DRCP超时时间为短超时,否则在DRNI进程重启时或ISSU升级期间会出现网络流量中断,导致流量转发不通。有关ISSU升级的详细介绍,请参见“基础配置指导”中的“ISSU配置”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
¡ 进入Tunnel接口视图。
interface tunnel number
(3) 配置端口的DRCP超时时间为短超时。
drni drcp period short
缺省情况下,端口的DRCP超时时间为长超时(90秒)。
当设备单归接入DR系统时,如果设备连接DR设备的接口状态变为DOWN,本端IPP口需要删除其MAC地址,并向对端IPP口发送MAC地址删除消息,使对端IPP口立即同步删除对应的MAC地址表项。如果单归设备连接DR设备的接口反复震荡,则IPP口将反复删除和添加MAC地址表项。
当DR设备收到去往单归设备的流量时,由于IPP口反复删除和添加MAC地址表项,DR设备将对流量进行多次广播,造成单播流量泛洪。
通过配置本功能,可以使IPP口不立即删除MAC地址表项,而根据mac-address timer配置的MAC地址老化时间刷新MAC地址表。有关该命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“MAC地址表”。
(1) 进入系统视图。
system-view
(2) 开启DRNI IPP口的MAC地址保持功能。
drni ipp mac-address hold
缺省情况下,DRNI IPP口的MAC地址保持功能处于关闭状态。
当DR设备作为RADIUS客户端时,需要配置接口的DRNI虚拟IP地址作为设备发送RADIUS报文使用的源IP地址。配置的DRNI虚拟IP地址需要与nas-ip命令配置的IP地址保持一致。
DRNI虚拟IP地址的配置方式由port-security drni load-sharing-mode命令配置的DR接口上用户认证的负载分担模式决定:
· 集中处理模式:在两台DR设备上配置相同的虚拟IP地址,且需要在角色为Primary的DR设备上配置虚拟IP地址为active。
· 分布处理模式:需要在两台DR设备上分别配置本地认证用户和对端备份用户使用的虚拟IP地址,本地认证用户使用的虚拟IP配置为active,对端备份用户使用的虚拟IP配置为standby。
在同一接口下,多次配置接口的DRNI虚拟IP地址:
· 只能配置2个DRNI虚拟IPv4/IPv6地址。
· 同一虚拟IPv4/IPv6地址配置不同虚拟MAC地址时,最后一次执行的命令生效。
· 不同虚拟IPv4/IPv6地址不能配置同一虚拟MAC地址。
· 配置VLAN接口的DRNI虚拟IPv4/IPv6地址时,两台DR设备相同的虚拟IPv4/IPv6需要配置相同的虚拟MAC地址。
配置VLAN接口的DRNI虚拟IPv4/IPv6地址时,对于同一虚拟MAC地址,虚拟IPv4地址和虚拟IPv6地址在DR设备上的状态必须一致,同为active或同为standby。
(1) 进入系统视图。
system-view
(2) 进入VLAN接口视图。
interface vlan-interface interface-number
(3) 配置接口的DRNI虚拟IPv4地址。
port drni virtual-ip ipv4-address { mask-length | mask } [ active | standby ] virtual-mac mac-address
缺省情况下,未配置接口的DRNI虚拟IPv4地址。
(4) 配置接口的DRNI虚拟IPv6地址。
port drni ipv6 virtual-ip ipv6-address prefix-length [ active | standby ] virtual-mac mac-address
缺省情况下,未配置接口的DRNI虚拟IPv6地址。
(1) 进入系统视图。
system-view
(2) 进入LoopBack接口视图。
interface loopback interface-number
(3) 配置接口的DRNI虚拟IPv4地址。
port drni virtual-ip ipv4-address { mask-length | mask } [ active | standby ]
缺省情况下,未配置接口的DRNI虚拟IPv4地址。
(4) 配置接口的DRNI虚拟IPv6地址。
port drni ipv6 virtual-ip ipv6-address prefix-length [ active | standby ]
缺省情况下,未配置接口的DRNI虚拟IPv6地址。
进行配置一致性检查,检查到配置不匹配时,根据配置一致性检查类型的不同,处理方式为:
· 当检查到Type 1类型不匹配时,不同的配置一致性检查模式处理方式为:
¡ 松散模式:打印配置一致性检查失败的日志信息。
¡ 严格模式:关闭DR接口,并打印配置一致性检查失败的日志信息。
· 当检查到Type 2类型不匹配时,在松散模式和严格模式下,都仅打印配置一致性检查失败的日志信息。
(1) 进入系统视图。
system-view
(2) 配置一致性检查的模式为松散模式。
drni consistency-check mode { loose | strict }
缺省情况下,DRNI配置一致性检查的模式为严格模式。
当分布式聚合系统中两台DR设备因为版本升级等原因,导致DR设备配置不一致时,为了避免因配置一致性检查而关闭DR口,用户可以通过drni consistency-check disable命令暂时关闭分布式聚合配置一致性检查,保证DR口正常工作。
请用户保证两端DR设备配置一致性检查功能开启状态一致。
(1) 进入系统视图。
system-view
(2) 关闭DRNI配置一致性检查功能。
drni consistency-check disable
缺省情况下,分布式聚合配置一致性检查功能处于开启状态。
IPL链路down后,设备启动本定时器,等待链路上Keepalive报文收发完全,防止因为延迟造成错误检测。设备需要检测IPL链路down的原因,是设备故障即本端DR设备未收到对端DR设备的Keepalive报文,还是IPL链路故障。
在定时器超时前收到对端的Keepalive报文,则认为是IPL链路故障,否则认为设备故障。
在DRNI和VRRP组网环境下,需要确保vrrp vrid timer advertise命令和vrrp ipv6 vrid timer advertise命令配置的时间间隔大于本功能配置的时间间隔,否则在确认IPL故障前可能会进行VRRP主备切换,导致流量丢失。有关vrrp vrid timer advertise命令的详细介绍,请参见“可靠性命令参考”中的“VRRP”。
(1) 进入系统视图。
system-view
(2) 配置IPL链路down后等待检测故障原因的时间。
drni keepalive hold-time value
缺省情况下,IPL链路down后等待检测故障原因的时间为3秒。
DR系统中主从设备由于故障重启,仅一台DR设备恢复启动后,缺省情况下,该设备处于None角色,所有DR口处于DRNI DOWN状态。此时用户流量无法通过DR口转发。
为了避免上述情况出现,可以配置本功能,在设备重启后启动自动恢复定时器。当自动恢复定时器超时后,该设备上DR口被置为非DRNI DOWN状态,如果该设备上存在处于up状态的DR口,则该设备升级为主设备,用户流量可以正常转发;否则,设备保持None角色,用户流量无法转发。
DR系统中主从设备由于故障重启,两台DR设备均恢复启动时,如果设备在自动恢复定时器超时前未收到DRCP报文或Keepalive报文,且均存在处于up状态的DR口,则两台DR设备均升级为主设备,此时需要用户检查IPL和Keepalive链路,并排除故障。
请配置本定时器的值大于整机重启时间,避免DR设备间出现角色抢占。
(1) 进入系统视图。
system-view
(2) 配置设备重启后的自动恢复时间。
drni auto-recovery reload-delay delay-value
缺省情况下,设备不自动恢复。
本定时器用来设置设备作为从设备加入分布式聚合系统时进行MAC地址表项等信息同步的最大时间。定时器超时之前,业务口(除DRNI保留接口和IRF保留接口以外的接口)状态为DRNI MAD DOWN。定时器超时后,业务口状态变为up。
以下情况需要适当延长本定时器:
· 当设备表项较多或者进行ISSU升级时,为避免出现丢包或者其它转发问题。
· 开启分布式聚合配置一致性检查功能后,设备会启动延迟恢复定时器,设备会在延迟恢复定时器一半时间之后进行配置一致性检查,为避免在延迟恢复时造成DR接口震荡。
(1) 进入系统视图。
system-view
(2) 配置接口延迟恢复时间。
drni restore-delay value
缺省情况下,延迟恢复时间为30秒。
开启DRNI序列号校验功能,即开启DRCP报文和Keepalive报文的序列号校验功能。
序列号校验的防攻击能力比较差,攻击者只要将侦听到的报文序列号增加,就可以欺骗报文接收者。同时使用认证功能,防止攻击者篡改报文内容,才可以提供更好的安全性。
设备整机重启后,如果攻击者使用之前获取的报文进行攻击,则对端未重启设备可能认可攻击报文。建议设备重启后更换认证密钥。
(1) 进入系统视图。
system-view
(2) 开启DRNI序列号校验功能。
drni sequence enable
缺省情况下,DRNI序列号校验功能处于关闭状态。
开启DRNI报文认证功能,即开启DRCP报文和Keepalive报文的认证功能。
两台DR设备需要配置相同密钥,否则认证失败。
(1) 进入系统视图。
system-view
(2) 开启DRNI报文认证功能,并配置认证密钥。
drni authentication key { simple | cipher } string
缺省情况下,DRNI报文认证功能处于关闭状态。
在完成上述配置后,在任意视图下执行display命令可以显示配置后的分布式聚合的运行情况,通过查看显示信息验证配置的效果。
在用户视图下,用户可以执行reset命令来清除分布式聚合的相关信息。
表1-5 DRNI显示和维护
|
操作 |
命令 |
|
显示分布式聚合配置一致性信息 |
display drni consistency { type1 | type2 } { global | interface interface-type interface-number } |
|
显示分布式聚合DRCP报文的统计信息 |
display drni drcp statistics [ interface interface-type interface-number ] |
|
显示分布式聚合Keepalive报文的信息 |
display drni keepalive |
|
显示分布式聚合MAD的详细信息 |
display drni mad verbose |
|
显示分布式聚合设备角色信息 |
display drni role |
|
显示分布式聚合的接口摘要信息 |
display drni summary |
|
显示分布式聚合系统信息 |
display drni system |
|
显示分布式聚合的接口详细信息 |
display drni verbose [ interface bridge-aggregation interface-number ] |
|
显示分布式聚合的故障信息 |
display drni troubleshooting [ dr | ipp | keepalive ] [ history ] [ count ] |
|
清除分布式聚合的DRCP统计信息 |
reset drni drcp statistics [ interface interface-list ] |
|
清除分布式聚合的历史故障信息 |
reset drni troubleshooting history |
· 由于用户对于业务的可靠性要求很高,如果Device C和接入设备(Device A和Device B)之间配置链路聚合只能保证链路级的可靠性,接入设备发生故障时则会导致业务中断。这时用户可以采用DRNI技术,正常工作时链路进行负载分担且任何一台设备故障对业务均没有影响,保证业务的高可靠性。
· 配置三层以太网接口为保留接口,在该三层以太网口上搭建Keepalive链路,保证Keepalive报文能够正常传输。
图1-12 DRNI基本功能配置组网图
(1) 配置Device A
# 系统配置。
<DeviceA> system-view
[DeviceA] drni system-mac 1-1-1
[DeviceA] drni system-number 1
[DeviceA] drni system-priority 123
# 配置Keepalive报文的目的IP地址和源IP地址。
[DeviceA] drni keepalive ip destination 1.1.1.1 source 1.1.1.2
# 配置端口HundredGigE3/0/5工作在三层模式,并配置IP地址为Keepalive报文的源IP地址。
[DeviceA] interface hundredgige 3/0/5
[DeviceA-HundredGigE3/0/5] port link-mode route
[DeviceA-HundredGigE3/0/5] ip address 1.1.1.2 24
[DeviceA-HundredGigE3/0/5] quit
# 配置Keepalive链路接口为保留接口。
[DeviceA] drni mad exclude interface hundredgige 3/0/5
# 创建二层聚合接口3,并配置该接口为动态聚合模式。
[DeviceA] interface bridge-aggregation 3
[DeviceA-Bridge-Aggregation3] link-aggregation mode dynamic
[DeviceA-Bridge-Aggregation3] quit
# 分别将端口HundredGigE3/0/1和HundredGigE3/0/2加入到聚合组3中。
[DeviceA] interface hundredgige 3/0/1
[DeviceA-HundredGigE3/0/1] port link-aggregation group 3
[DeviceA-HundredGigE3/0/1] quit
[DeviceA] interface hundredgige 3/0/2
[DeviceA-HundredGigE3/0/2] port link-aggregation group 3
[DeviceA-HundredGigE3/0/2] quit
# 将二层聚合接口3配置为IPP口。
[DeviceA] interface bridge-aggregation 3
[DeviceA-Bridge-Aggregation3] port drni intra-portal-port 1
[DeviceA-Bridge-Aggregation3] quit
# 创建二层聚合接口4,并配置该接口为动态聚合模式。
[DeviceA] interface bridge-aggregation 4
[DeviceA-Bridge-Aggregation4] link-aggregation mode dynamic
[DeviceA-Bridge-Aggregation4] quit
# 分别将端口HundredGigE3/0/3和HundredGigE3/0/4加入到聚合组4中。
[DeviceA] interface hundredgige 3/0/3
[DeviceA-HundredGigE3/0/3] port link-aggregation group 4
[DeviceA-HundredGigE3/0/3] quit
[DeviceA] interface hundredgige 3/0/4
[DeviceA-HundredGigE3/0/4] port link-aggregation group 4
[DeviceA-HundredGigE3/0/4] quit
# 将二层聚合接口4加入分布式聚合组4中。
[DeviceA] interface bridge-aggregation 4
[DeviceA-Bridge-Aggregation4] port drni group 4
[DeviceA-Bridge-Aggregation4] quit
(2) 配置Device B
# 系统配置。
<DeviceB> system-view
[DeviceB] drni system-mac 1-1-1
[DeviceB] drni system-number 2
[DeviceB] drni system-priority 123
# 配置Keepalive报文的目的IP地址和源IP地址。
[DeviceB] drni keepalive ip destination 1.1.1.2 source 1.1.1.1
# 配置端口HundredGigE3/0/5工作在三层模式,并配置IP地址为Keepalive报文的源IP地址。
[DeviceB] interface hundredgige 3/0/5
[DeviceB-HundredGigE3/0/5] port link-mode route
[DeviceB-HundredGigE3/0/5] ip address 1.1.1.1 24
[DeviceB-HundredGigE3/0/5] quit
# 配置Keepalive链路接口为保留接口。
[DeviceB] drni mad exclude interface hundredgige 3/0/5
# 创建二层聚合接口3,并配置该接口为动态聚合模式。
[DeviceB] interface bridge-aggregation 3
[DeviceB-Bridge-Aggregation3] link-aggregation mode dynamic
[DeviceB-Bridge-Aggregation3] quit
# 分别将端口HundredGigE3/0/1和HundredGigE3/0/2加入到聚合组3中。
[DeviceB] interface hundredgige 3/0/1
[DeviceB-HundredGigE3/0/1] port link-aggregation group 3
[DeviceB-HundredGigE3/0/1] quit
[DeviceB] interface hundredgige 3/0/2
[DeviceB-HundredGigE3/0/2] port link-aggregation group 3
[DeviceB-HundredGigE3/0/2] quit
# 将二层聚合接口3配置为IPP口。
[DeviceB] interface bridge-aggregation 3
[DeviceB-Bridge-Aggregation3] port drni intra-portal-port 1
[DeviceB-Bridge-Aggregation3] quit
# 创建二层聚合接口4,并配置该接口为动态聚合模式。
[DeviceB] interface bridge-aggregation 4
[DeviceB-Bridge-Aggregation4] link-aggregation mode dynamic
[DeviceB-Bridge-Aggregation4] quit
# 分别将端口HundredGigE3/0/3和HundredGigE3/0/4加入到聚合组4中。
[DeviceB] interface hundredgige 3/0/3
[DeviceB-HundredGigE3/0/3] port link-aggregation group 4
[DeviceB-HundredGigE3/0/3] quit
[DeviceB] interface hundredgige 3/0/4
[DeviceB-HundredGigE3/0/4] port link-aggregation group 4
[DeviceB-HundredGigE3/0/4] quit
# 将二层聚合接口4加入分布式聚合组4中。
[DeviceB] interface bridge-aggregation 4
[DeviceB-Bridge-Aggregation4] port drni group 4
[DeviceB-Bridge-Aggregation4] quit
(3) 配置Device C
# 创建二层聚合接口4,并配置该接口为动态聚合模式。
<DeviceC> system-view
[DeviceC] interface bridge-aggregation 4
[DeviceC-Bridge-Aggregation4] link-aggregation mode dynamic
[DeviceC-Bridge-Aggregation4] quit
# 分别将端口HundredGigE3/0/1~HundredGigE3/0/4加入到聚合组4中。
[DeviceC] interface range hundredgige 3/0/1 to hundredgige 3/0/4
[DeviceC-if-range] port link-aggregation group 4
[DeviceC-if-range] quit
# 查看Device A上分布式聚合的Keepalive报文信息。
[DeviceA] display drni keepalive
Neighbor keepalive link status (cause): Up
Neighbor is alive for: 104 s 16 ms
Keepalive packet transmission status:
Sent: Successful
Received: Successful
Last received keepalive packet information:
Source IP address: 1.1.1.1
Time: 2019/09/11 09:21:51
Action: Accept
Distributed relay keepalive parameters:
Destination IP address: 1.1.1.1
Source IP address: 1.1.1.2
Keepalive UDP port : 6400
Keepalive VPN name : N/A
Keepalive interval : 1000 ms
Keepalive timeout : 5 sec
Keepalive hold time: 3 sec
以上信息表明Device A和Device B设备间无故障。
# 查看Device A上IPP口和DR口的摘要信息和详细信息。
[DeviceA] display drni summary
Flags: A -- Aggregate interface down, B -- No peer DR interface configured
C -- Configuration consistency check failed
IPP: BAGG3
IPP state (cause): UP
Keepalive link state (cause): UP
DR interface information
DR interface DR group Local state (cause) Peer state Remaining down time (s)
BAGG4 4 UP UP -
[DeviceA] display drni verbose
Flags: A -- Home_Gateway, B -- Neighbor_Gateway, C -- Other_Gateway,
D -- IPP_Activity, E -- DRCP_Timeout, F -- Gateway_Sync,
G -- Port_Sync, H -- Expired
IPP/IPP ID: BAGG3/1
State: UP
Cause: -
Local DRCP flags/Peer DRCP flags: ABDFG/ABDFG
Local Selected ports (index): HGE3/0/1 (260), HGE3/0/2 (261)
Peer Selected ports indexes: 260, 261
DR interface/DR group ID: BAGG4/4
Local DR interface state: UP
Peer DR interface state: UP
DR group state: UP
Local DR interface down cause: -
Remaining DRNI DOWN time: -
Local DR interface LACP MAC: Config=0001-0001-0001, Effective=0001-0001-0001
Peer DR interface LACP MAC: Config=0001-0001-0001, Effective=0001-0001-0001
Local DR interface LACP priority: Config=123, Effective=123
Peer DR interface LACP priority: Config=123, Effective=123
Local DRCP flags/Peer DRCP flags: ABDFG/ABDFG
Local Selected ports (index): HGE3/0/3 (258), HGE3/0/4 (259)
Peer Selected ports indexes: 258, 259
以上信息表明Device A和Device B成功组成分布式聚合系统。
# 查看Device C上聚合组4的详细信息。
[DeviceC] display link-aggregation verbose bridge-aggregation 4
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected, I -- Individual
Port: A -- Auto port, M -- Management port, R -- Reference port
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired
Aggregate Interface: Bridge-Aggregation4
Creation Mode: Manual
Aggregation Mode: Dynamic
Loadsharing Type: Shar
Management VLANs: None
System ID: 0x8000, 2e56-cbae-0600
Local:
Port Status Priority Index Oper-Key Flag
HGE3/0/1(R) S 32768 1 1 {ACDEF}
HGE3/0/2 S 32768 2 1 {ACDEF}
HGE3/0/3 S 32768 3 1 {ACDEF}
HGE3/0/4 S 32768 4 1 {ACDEF}
Remote:
Actor Priority Index Oper-Key SystemID Flag
HGE3/0/1 32768 16387 40004 0x7b , 0001-0001-0001 {ACDEF}
HGE3/0/2 32768 16388 40004 0x7b , 0001-0001-0001 {ACDEF}
HGE3/0/3 32768 32771 40004 0x7b , 0001-0001-0001 {ACDEF}
HGE3/0/4 32768 32772 40004 0x7b , 0001-0001-0001 {ACDEF}
以上信息表明,Device C的端口HundredGigE3/0/1~HundredGigE3/0/4均处于选中状态,此时Device C将DeviceA和DeviceB认为是一台设备,从而实现了跨设备的聚合。
· 由于用户对于业务的可靠性要求很高,如果Device C和接入设备(Device A和Device B)之间配置链路聚合只能保证链路级的可靠性,接入设备发生故障时则会导致业务中断。这时用户可以采用DRNI技术,正常工作时链路进行负载分担且任何一台设备故障对业务均没有影响,保证业务的高可靠性。
· 配置Device A和Device B的三层以太网接口HundredGigE3/0/5为保留接口,在该三层以太网口上搭建Keepalive链路,保证Keepalive报文能够正常传输。
· VLAN 100内主机的缺省网关为10.1.1.100/24,VLAN 101内主机的缺省网关为20.1.1.100/24。Device A和Device B同时属于虚拟IP地址为10.1.1.100/24的备份组1和虚拟IP地址为20.1.1.100/24的备份组2。在备份组1和备份组2中Device A的优先级高于Device B。
图1-13 DRNI三层转发配置组网图
(1) 配置Device A
# 系统配置。
<DeviceA> system-view
[DeviceA] drni system-mac 1-1-1
[DeviceA] drni system-number 1
[DeviceA] drni system-priority 123
# 配置Keepalive报文的目的IP地址和源IP地址。
[DeviceA] drni keepalive ip destination 1.1.1.2 source 1.1.1.1
# 配置端口HundredGigE3/0/5工作在三层模式,并配置IP地址为Keepalive报文的源IP地址。
[DeviceA] interface hundredgige 3/0/5
[DeviceA-HundredGigE3/0/5] port link-mode route
[DeviceA-HundredGigE3/0/5] ip address 1.1.1.1 24
[DeviceA-HundredGigE3/0/5] quit
# 配置Keepalive链路接口为DRNI保留接口。
[DeviceA] drni mad exclude interface hundredgige 3/0/5
# 创建动态二层聚合接口125,并配置该接口为IPP口。
[DeviceA] interface bridge-aggregation 125
[DeviceA-Bridge-Aggregation125] link-aggregation mode dynamic
[DeviceA-Bridge-Aggregation125] port drni intra-portal-port 1
[DeviceA-Bridge-Aggregation125] quit
# 分别将端口HundredGigE3/0/3和HundredGigE3/0/4加入到聚合组125中。
[DeviceA] interface hundredgige 3/0/3
[DeviceA-HundredGigE3/0/3] port link-aggregation group 125
[DeviceA-HundredGigE3/0/3] quit
[DeviceA] interface hundredgige 3/0/4
[DeviceA-HundredGigE3/0/4] port link-aggregation group 125
[DeviceA-HundredGigE3/0/4] quit
# 创建动态二层聚合接口100,并配置该接口为DR口1。
[DeviceA] interface bridge-aggregation 100
[DeviceA-Bridge-Aggregation100] link-aggregation mode dynamic
[DeviceA-Bridge-Aggregation100] port drni group 1
[DeviceA-Bridge-Aggregation100] quit
# 将端口HundredGigE3/0/1加入到聚合组100中。
[DeviceA] interface hundredgige 3/0/1
[DeviceA-HundredGigE3/0/1] port link-aggregation group 100
[DeviceA-HundredGigE3/0/1] quit
# 创建动态二层聚合接口101,并配置该接口为DR口2。
[DeviceA] interface bridge-aggregation 101
[DeviceA-Bridge-Aggregation101] link-aggregation mode dynamic
[DeviceA-Bridge-Aggregation101] port drni group 2
[DeviceA-Bridge-Aggregation101] quit
# 将端口HundredGigE3/0/2加入到聚合组101中。
[DeviceA] interface hundredgige 3/0/2
[DeviceA-HundredGigE3/0/2] port link-aggregation group 101
[DeviceA-HundredGigE3/0/2] quit
# 创建VLAN 100和101。
[DeviceA] vlan 100
[DeviceA-vlan100] quit
[DeviceA] vlan 101
[DeviceA-vlan101] quit
# 配置二层聚合接口100为Trunk端口,并允许VLAN 100的报文通过。
[DeviceA] interface bridge-aggregation 100
[DeviceA-Bridge-Aggregation100] port link-type trunk
[DeviceA-Bridge-Aggregation100] port trunk permit vlan 100
[DeviceA-Bridge-Aggregation100] quit
# 配置二层聚合接口101为Trunk端口,并允许VLAN 101的报文通过。
[DeviceA] interface bridge-aggregation 101
[DeviceA-Bridge-Aggregation101] port link-type trunk
[DeviceA-Bridge-Aggregation101] port trunk permit vlan 101
[DeviceA-Bridge-Aggregation101] quit
# 配置二层聚合接口125为Trunk端口,并允许VLAN 100和101的报文通过。
[DeviceA] interface bridge-aggregation 125
[DeviceA-Bridge-Aggregation125] port link-type trunk
[DeviceA-Bridge-Aggregation125] port trunk permit vlan 100 101
[DeviceA-Bridge-Aggregation125] quit
# 创建接口Vlan-interface100和Vlan-interface101,并配置其IP地址。
[DeviceA] interface vlan-interface 100
[DeviceA-vlan-interface100] ip address 10.1.1.1 24
[DeviceA-vlan-interface100] quit
[DeviceA] interface vlan-interface 101
[DeviceA-vlan-interface101] ip address 20.1.1.1 24
[DeviceA-vlan-interface101] quit
# 配置Vlan-interface100和Vlan-interface101接口为DRNI保留接口。
[DeviceA] drni mad exclude interface vlan-interface 100
[DeviceA] drni mad exclude interface vlan-interface 101
# 配置OSPF。
[DeviceA] ospf
[DeviceA-ospf-1] import-route direct
[DeviceA-ospf-1] area 0
[DeviceA-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceA-ospf-1-area-0.0.0.0] quit
[DeviceA-ospf-1] quit
# 为接口Vlan-interface100创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.100。
[DeviceA] interface vlan-interface 100
[DeviceA-Vlan-interface100] vrrp vrid 1 virtual-ip 10.1.1.100
# 设置Device A在备份组1中的优先级为200,以保证Device A成为Master,从而和Device A在DRNI中角色一致。
[DeviceA-Vlan-interface100] vrrp vrid 1 priority 200
[DeviceA-Vlan-interface100] quit
# 为接口Vlan-interface101创建备份组2,并配置备份组2的虚拟IP地址为20.1.1.100。
[DeviceA] interface vlan-interface 101
[DeviceA-Vlan-interface101] vrrp vrid 2 virtual-ip 20.1.1.100
# 设置Device A在备份组2中的优先级为200,以保证Device A成为Master,从而和Device A在DRNI中角色一致。
[DeviceA-Vlan-interface101] vrrp vrid 2 priority 200
[DeviceA-Vlan-interface101] quit
(2) 配置Device B
# 系统配置。
<DeviceB> system-view
[DeviceB] drni system-mac 1-1-1
[DeviceB] drni system-number 2
[DeviceB] drni system-priority 123
# 配置Keepalive报文的目的IP地址和源IP地址。
[DeviceB] drni keepalive ip destination 1.1.1.1 source 1.1.1.2
# 配置端口HundredGigE3/0/5工作在三层模式,并配置IP地址为Keepalive报文的源IP地址。
[DeviceB] interface hundredgige 3/0/5
[DeviceB-HundredGigE3/0/5] port link-mode route
[DeviceB-HundredGigE3/0/5] ip address 1.1.1.2 24
[DeviceB-HundredGigE3/0/5] quit
# 配置Keepalive链路接口为DRNI保留接口。
[DeviceB] drni mad exclude interface hundredgige 3/0/5
# 创建动态二层聚合接口125,并配置该接口为IPP口。
[DeviceB] interface bridge-aggregation 125
[DeviceB-Bridge-Aggregation125] link-aggregation mode dynamic
[DeviceB-Bridge-Aggregation125] port drni intra-portal-port 1
[DeviceB-Bridge-Aggregation125] quit
# 分别将端口HundredGigE3/0/3和HundredGigE3/0/4加入到聚合组125中。
[DeviceB] interface hundredgige 3/0/3
[DeviceB-HundredGigE3/0/3] port link-aggregation group 125
[DeviceB-HundredGigE3/0/3] quit
[DeviceB] interface hundredgige 3/0/4
[DeviceB-HundredGigE3/0/4] port link-aggregation group 125
[DeviceB-HundredGigE3/0/4] quit
# 创建动态二层聚合接口100,并配置该接口为DR口1。
[DeviceB] interface bridge-aggregation 100
[DeviceB-Bridge-Aggregation100] link-aggregation mode dynamic
[DeviceB-Bridge-Aggregation100] port drni group 1
[DeviceB-Bridge-Aggregation100] quit
# 将端口HundredGigE3/0/1加入到聚合组100中。
[DeviceB] interface hundredgige 3/0/1
[DeviceB-HundredGigE3/0/1] port link-aggregation group 100
[DeviceB-HundredGigE3/0/1] quit
# 创建动态二层聚合接口101,并配置该接口为DR口2。
[DeviceB] interface bridge-aggregation 101
[DeviceB-Bridge-Aggregation101] link-aggregation mode dynamic
[DeviceB-Bridge-Aggregation101] port drni group 2
[DeviceB-Bridge-Aggregation101] quit
# 将端口HundredGigE3/0/2加入到聚合组101中。
[DeviceB] interface hundredgige 3/0/2
[DeviceB-HundredGigE3/0/2] port link-aggregation group 101
[DeviceB-HundredGigE3/0/2] quit
# 创建VLAN 100和101。
[DeviceB] vlan 100
[DeviceB-vlan100] quit
[DeviceB] vlan 101
[DeviceB-vlan101] quit
# 配置二层聚合接口100为Trunk端口,并允许VLAN 100的报文通过。
[DeviceB] interface bridge-aggregation 100
[DeviceB-Bridge-Aggregation100] port link-type trunk
[DeviceB-Bridge-Aggregation100] port trunk permit vlan 100
[DeviceB-Bridge-Aggregation100] quit
# 配置二层聚合接口101为Trunk端口,并允许VLAN 101的报文通过。
[DeviceB] interface bridge-aggregation 101
[DeviceB-Bridge-Aggregation101] port link-type trunk
[DeviceB-Bridge-Aggregation101] port trunk permit vlan 101
[DeviceB-Bridge-Aggregation101] quit
# 配置二层聚合接口125为Trunk端口,并允许VLAN 100和101的报文通过。
[DeviceB] interface bridge-aggregation 125
[DeviceB-Bridge-Aggregation125] port link-type trunk
[DeviceB-Bridge-Aggregation125] port trunk permit vlan 100 101
[DeviceB-Bridge-Aggregation125] quit
# 创建接口Vlan-interface100和Vlan-interface101,并配置其IP地址。
[DeviceB] interface vlan-interface 100
[DeviceB-vlan-interface100] ip address 10.1.1.2 24
[DeviceB-vlan-interface100] quit
[DeviceB] interface vlan-interface 101
[DeviceB-vlan-interface101] ip address 20.1.1.2 24
[DeviceB-vlan-interface101] quit
# 配置Vlan-interface100和Vlan-interface101接口为DRNI保留接口。
[DeviceB] drni mad exclude interface vlan-interface 100
[DeviceB] drni mad exclude interface vlan-interface 101
# 配置OSPF。
[DeviceB] ospf
[DeviceB-ospf-1] import-route direct
[DeviceB-ospf-1] area 0
[DeviceB-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceB-ospf-1-area-0.0.0.0] quit
[DeviceB-ospf-1] quit
# 为接口Vlan-interface100创建备份组1,并配置备份组1的虚拟IP地址为10.1.1.100。
[DeviceB] interface vlan-interface 100
[DeviceB-Vlan-interface100] vrrp vrid 1 virtual-ip 10.1.1.100
[DeviceB-Vlan-interface100] quit
# 为接口Vlan-interface101创建备份组2,并配置备份组2的虚拟IP地址为20.1.1.100。
[DeviceB] interface vlan-interface 101
[DeviceB-Vlan-interface101] vrrp vrid 2 virtual-ip 20.1.1.100
[DeviceB-Vlan-interface101] quit
(3) 配置Device C
# 创建二层聚合接口100,并配置该接口为动态聚合模式。
<DeviceC> system-view
[DeviceC] interface bridge-aggregation 100
[DeviceC-Bridge-Aggregation100] link-aggregation mode dynamic
[DeviceC-Bridge-Aggregation100] quit
# 分别将端口HundredGigE3/0/1和HundredGigE3/0/2加入到聚合组100中。
[DeviceC] interface range hundredgige 3/0/1 to hundredgige 3/0/2
[DeviceC-if-range] port link-aggregation group 100
[DeviceC-if-range] quit
# 创建VLAN 100。
[DeviceC] vlan 100
[DeviceC-vlan100] quit
# 配置二层聚合接口100为Trunk端口,并允许VLAN 100的报文通过。
[DeviceC] interface bridge-aggregation 100
[DeviceC-Bridge-Aggregation100] port link-type trunk
[DeviceC-Bridge-Aggregation100] port trunk permit vlan 100
[DeviceC-Bridge-Aggregation100] quit
# 配置接口HundredGigE3/0/3为Trunk端口,并允许VLAN 100的报文通过。
[DeviceC] interface hundredgige 3/0/3
[DeviceC-HundredGigE3/0/3] port link-type trunk
[DeviceC-HundredGigE3/0/3] port trunk permit vlan 100
[DeviceC-HundredGigE3/0/3] quit
# 创建接口Vlan-interface100,并配置其IP地址。
[DeviceC] interface vlan-interface 100
[DeviceC-vlan-interface100] ip address 10.1.1.3 24
[DeviceC-vlan-interface100] quit
# 配置OSPF。
[DeviceC] ospf
[DeviceC-ospf-1] import-route direct
[DeviceC-ospf-1] area 0
[DeviceC-ospf-1-area-0.0.0.0] network 10.1.1.0 0.0.0.255
[DeviceC-ospf-1-area-0.0.0.0] quit
[DeviceC-ospf-1] quit
(4) 配置Device D
# 创建二层聚合接口101,并配置该接口为动态聚合模式。
<DeviceD> system-view
[DeviceD] interface bridge-aggregation 101
[DeviceD-Bridge-Aggregation101] link-aggregation mode dynamic
[DeviceD-Bridge-Aggregation101] quit
# 分别将端口HundredGigE3/0/1和HundredGigE3/0/2加入到聚合组101中。
[DeviceD] interface range hundredgige 3/0/1 to hundredgige 3/0/2
[DeviceD-if-range] port link-aggregation group 101
[DeviceD-if-range] quit
# 创建VLAN 101。
[DeviceD] vlan 101
[DeviceD-vlan101] quit
# 配置二层聚合接口101为Trunk端口,并允许VLAN 101的报文通过。
[DeviceD] interface bridge-aggregation 101
[DeviceD-Bridge-Aggregation101] port link-type trunk
[DeviceD-Bridge-Aggregation101] port trunk permit vlan 101
[DeviceD-Bridge-Aggregation101] quit
# 配置接口HundredGigE3/0/3为Trunk端口,并允许VLAN 101的报文通过。
[DeviceD] interface hundredgige 3/0/3
[DeviceD-HundredGigE3/0/3] port link-type trunk
[DeviceD-HundredGigE3/0/3] port trunk permit vlan 101
[DeviceD-HundredGigE3/0/3] quit
# 创建接口Vlan-interface101,并配置其IP地址。
[DeviceD] interface vlan-interface 101
[DeviceD-vlan-interface101] ip address 20.1.1.3 24
[DeviceD-vlan-interface101] quit
# 配置OSPF。
[DeviceD] ospf
[DeviceD-ospf-1] import-route direct
[DeviceD-ospf-1] area 0
[DeviceD-ospf-1-area-0.0.0.0] network 20.1.1.0 0.0.0.255
[DeviceD-ospf-1-area-0.0.0.0] quit
[DeviceD-ospf-1] quit
# 查看Device C上的OSPF邻居信息。
[DeviceC] display ospf peer
OSPF Process 1 with Router ID 10.1.1.3
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
20.1.1.1 10.1.1.1 1 37 Full/DR Vlan100
20.1.1.2 10.1.1.2 1 32 Full/BDR Vlan100
以上信息表明Device C与Device A和Device B分别建立OSPF邻居。
# 查看Device D上的OSPF邻居信息。
[DeviceD] display ospf peer
OSPF Process 1 with Router ID 20.1.1.3
Neighbor Brief Information
Area: 0.0.0.0
Router ID Address Pri Dead-Time State Interface
20.1.1.1 20.1.1.1 1 38 Full/DR Vlan101
20.1.1.2 20.1.1.2 1 37 Full/BDR Vlan101
以上信息表明Device D与Device A和Device B分别建立OSPF邻居。
# Host A和Host B可以互相ping通,表明通过DRNI实现三层转发。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
