- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
17-M-LAG组网对接防火墙配置举例
本章节下载 (356.89 KB)
如图1-1所示:
· Leaf 1和Leaf 2组成M-LAG系统,防火墙通过M-LAG接口接入M-LAG系统。
· 防火墙采用主备部署,分别单归接入M-LAG系统。
通过相应配置,实现Leaf 1、Leaf 2与防火墙之间的流量互通。
图1-1 M-LAG组网对接防火墙组网图
|
接口 |
IP地址 |
对接设备及接口 |
|
|
Leaf 1 |
25GE1/0/56 |
10.0.0.1/24 |
Leaf 2: 25GE1/0/56 |
|
HGE1/0/31 |
- |
Leaf 2: HGE1/0/31 |
|
|
HGE1/0/32 |
- |
Leaf 2: HGE1/0/32 |
|
|
25GE1/0/1 |
- |
防火墙 |
|
|
25GE1/0/2 |
- |
防火墙 |
|
|
Leaf 2 |
25GE1/0/56 |
10.0.0.2/24 |
Leaf 1: 25GE1/0/56 |
|
HGE1/0/31 |
- |
Leaf 1: HGE1/0/31 |
|
|
HGE1/0/32 |
- |
Leaf 1: HGE1/0/32 |
|
|
25GE1/0/1 |
- |
防火墙 |
|
|
25GE1/0/2 |
- |
防火墙 |
请在适用软件版本的基础上安装当前最新补丁。
|
设备 |
软件版本 |
|
S6805/S6825/S6850/S9850/S9820-64H/S9820-8C |
R6715+HS06 |
|
S6800/S6860 |
R6715+HS06 |
|
S9820-G/S9825-G/S9855-G/S6855-G |
R8336P05/R8336P10 |
|
S12500X-AF/S12500F-AF/S6890 |
R2820/R2825/R2830 |
|
S12500R |
R5212P06 |
|
S12500G-AF |
版本验证中,请联系技术支持获取最新版本信息 |
配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下配置不冲突。
同级M-LAG设备的m-lag system-mac应配置为相同,不同级M-LAG设备的m-lag system-mac一定要配置为不同。
· 配置优化命令
|
Leaf 1 |
Leaf 2 |
命令说明 |
|
stp global enable |
stp global enable |
全局开启生成树功能 |
|
ip vpn-instance KEEPALIVE |
ip vpn-instance KEEPALIVE |
创建VPN |
|
quit |
quit |
- |
|
interface Twenty-FiveGigE1/0/56 |
interface Twenty-FiveGigE1/0/56 |
进入以太网接口视图 |
|
port link-mode route |
port link-mode route |
将以太网接口切换到三层工作模式 |
|
flow-interval 5 |
flow-interval 5 |
配置接口统计报文信息的时间间隔 |
|
ip binding vpn-instance KEEPALIVE |
ip binding vpn-instance KEEPALIVE |
配置接口与指定VPN实例关联 |
|
ip address 10.0.0.1 255.255.255.0 |
ip address 10.0.0.2 255.255.255.0 |
配置IP地址 |
|
quit |
quit |
- |
|
m-lag keepalive ip destination 10.0.0.2 source 10.0.0.1 vpn-instance KEEPALIVE |
m-lag keepalive ip destination 10.0.0.1 source 10.0.0.2 vpn-instance KEEPALIVE |
配置Keepalive报文的目的IP地址和源IP地址 |
|
Leaf 1 |
Leaf 2 |
命令说明 |
|
l2vpn enable |
l2vpn enable |
开启L2VPN功能 |
|
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
l2vpn m-lag peer-link ac-match-rule vxlan-mapping |
在采用以太网聚合链路作为peer-link链路的M-LAG组网中,配置通过VXLAN ID映射方式生成peer-link链路上动态AC的报文匹配规则 |
|
evpn m-lag group 10.103.202.209 |
evpn m-lag group 10.103.202.209 |
开启EVPN的M-LAG模式,并配置虚拟VTEP地址 |
|
evpn global-mac 0003-0209-0210 |
evpn global-mac 0003-0209-0210 |
配置EVPN的全局MAC地址 |
|
m-lag restore-delay 300 |
m-lag restore-delay 300 |
配置延迟恢复时间 |
|
m-lag system-mac 0000-0209-0210 |
m-lag system-mac 0000-0209-0210 |
配置M-LAG系统MAC地址 |
|
m-lag system-number 1 |
m-lag system-number 2 |
配置M-LAG系统编号 |
|
m-lag system-priority 10 |
m-lag system-priority 10 |
配置M-LAG系统优先级 |
|
Leaf 1 |
Leaf 2 |
命令说明 |
|
interface Bridge-Aggregation 1 |
interface Bridge-Aggregation 1 |
创建聚合1作为peer-link接口 |
|
quit |
quit |
- |
|
interface range HundredGigE 1/0/31 HundredGigE 1/0/32 |
interface range HundredGigE 1/0/31 HundredGigE 1/0/32 |
配置peer-link接口的成员接口 |
|
port link-mode bridge |
port link-mode bridge |
将以太网接口切换到二层工作模式 |
|
port link-aggregation group 1 |
port link-aggregation group 1 |
将接口加入聚合组 |
|
quit |
quit |
- |
|
interface Bridge-Aggregation 1 |
interface Bridge-Aggregation 1 |
创建聚合1作为peer-link接口 |
|
description IPL-LINK |
description IPL-LINK |
设置当前接口的描述信息 |
|
port link-type trunk |
port link-type trunk |
配置端口的链路类型为Trunk类型 |
|
port trunk permit vlan all |
port trunk permit vlan all |
配置允许所有VLAN通过该Trunk端口 |
|
port trunk pvid vlan 4094 |
port trunk pvid vlan 4094 |
配置Trunk端口的缺省VLAN |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
配置聚合组工作在动态聚合模式下,同时开启LACP协议 |
|
port m-lag peer-link 1 |
port m-lag peer-link 1 |
配置该接口为peer-link接口 |
|
undo mac-address static source-check enable |
undo mac-address static source-check enable |
关闭报文入接口与静态MAC地址表项匹配检查功能 |
|
quit |
quit |
- |
[Leaf-1]ping -vpn-instance KEEPLIVE 10.0.0.2
Ping 10.0.0.2 (10.0.0.2): 56 data bytes, press CTRL+C to break
56 bytes from 10.0.0.2: icmp_seq=0 ttl=255 time=0.652 ms
56 bytes from 10.0.0.2: icmp_seq=1 ttl=255 time=0.540 ms
56 bytes from 10.0.0.2: icmp_seq=2 ttl=255 time=0.590 ms
56 bytes from 10.0.0.2: icmp_seq=3 ttl=255 time=0.570 ms
56 bytes from 10.0.0.2: icmp_seq=4 ttl=255 time=0.457 ms
--- Ping statistics for 10.0.0.2 in VPN instance KEEPLIVE ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.457/0.562/0.652/0.064 m
查看Device A和Device B之间M-LAG系统状态,M-LAG正常建立。以DeviceA为例:
# 显示M-LAG系统的接口摘要信息。
[Leaf-1]display m-lag summary
Flags: A -- Aggregate interface down, B -- No peer M-LAG interface configured
C -- Configuration consistency check failed
Peer-link interface: BAGG1
Peer-link interface state (cause): UP
Keepalive link state (cause): UP
# 通过display m-lag role命令查看M-LAG状态。正常情况下,会显示两台成员设备的状态,一台为“Primary”,另一台为“Secondary”。
[Leaf-1]display m-lag role
Effective role information
Factors Local Peer
Effective role Secondary Primary
Initial role None None
MAD DOWN state No No
Health level 0 0
Role priority 32768 32768
Bridge MAC bc22-4721-120d 80e4-55f2-1da4
Effective role trigger: Peer link calculation
Effective role reason: Bridge MAC
Configured role information
Factors Local Peer
Configured role Secondary Primary
Role priority 32768 32768
Bridge MAC bc22-4721-120d 80e4-55f2-1da4
|
Leaf 1 |
Leaf 2 |
命令说明 |
|
vsi 300101 |
vsi 300101 |
创建一个VSI,并进入VSI视图 |
|
description FW-Failover |
description FW-Failover |
|
|
arp suppression enable |
arp suppression enable |
开启ARP泛洪抑制功能(即ARP代答) |
|
vxlan 300101 |
vxlan 300101 |
创建VXLAN,并进入VXLAN视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
创建EVPN实例,并进入EVPN实例视图 |
|
route-distinguisher 65000:300101 |
route-distinguisher 65000:300101 |
配置EVPN实例的RD |
|
vpn-target 65000:300101 export-extcommunity |
vpn-target 65000:300101 export-extcommunity |
配置EVPN的Export Target属性 |
|
vpn-target 65000:300101 import-extcommunity |
vpn-target 65000:300101 import-extcommunity |
配置EVPN的Import Target属性 |
|
interface Bridge-Aggregation 9 |
interface Bridge-Aggregation 9 |
|
|
quit |
quit |
- |
|
interface Twenty-FiveGigE1/0/1 |
interface Twenty-FiveGigE1/0/1 |
|
|
port link-mode bridge |
port link-mode bridge |
将以太网接口切换到二层工作模式 |
|
port link-aggregation group 9 |
port link-aggregation group 9 |
将接口加入聚合组 |
|
quit |
quit |
- |
|
interface Bridge-Aggregation 9 |
interface Bridge-Aggregation 9 |
|
|
description FW-Failover |
description FW-Failover |
设置当前接口的描述信息 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
配置聚合组工作在动态聚合模式下,同时开启LACP协议 |
|
port m-lag group 8 |
port m-lag group 8 |
将聚合接口加入M-LAG组 |
|
stp edged-port |
stp edged-port |
配置端口为边缘端口 |
|
stp port bpdu-protection enable |
stp port bpdu-protection enable |
配置端口的BPDU保护功能 |
|
port bridge enable |
port bridge enable |
开启二层聚合接口桥功能 |
|
service-instance 101 |
service-instance 101 |
创建以太网服务实例,并进入以太网服务实例视图 |
|
encapsulation untagged |
encapsulation untagged |
配置以太网服务实例匹配未携带VLAN标签的报文 |
|
xconnect vsi 300101 |
xconnect vsi 300101 |
将AC与VSI关联 |
|
quit |
quit |
- |
|
Leaf 1 |
Leaf 2 |
命令说明 |
|
ip vpn-instance DC1 |
ip vpn-instance DC1 |
创建VPN实例 |
|
route-distinguisher 65000:1 |
route-distinguisher 65000:2 |
配置VPN实例的RD |
|
vpn-target 65000:2 import-extcommunity |
vpn-target 65000:2 import-extcommunity |
配置VPN的Import Target属性 |
|
vpn-target 65000:2 export-extcommunity |
vpn-target 65000:2 export-extcommunity |
配置VPN的Export Target属性 |
|
address-family evpn |
address-family evpn |
进入VPN实例EVPN地址族视图 |
|
vpn-target 65000:2 import-extcommunity |
vpn-target 65000:2 import-extcommunity |
配置EVPN的入方向Route Target属性 |
|
vpn-target 65000:2 export-extcommunity |
vpn-target 65000:2 export-extcommunity |
配置EVPN的出方向Route Target属性 |
|
quit |
quit |
- |
|
interface Vsi-interface1001766 |
interface Vsi-interface1001766 |
创建VSI虚接口,并进入VSI虚接口视图 |
|
ip binding vpn-instance DC1 |
ip binding vpn-instance DC1 |
配置接口与指定VPN实例关联 |
|
ip address 10.99.20.1 255.255.255.0 |
ip address 10.99.20.1 255.255.255.0 |
配置IP地址 |
|
mac-address 0000-01ab-0117 |
mac-address 0000-01ab-0117 |
配置VSI虚接口的MAC地址 |
|
distributed-gateway local |
distributed-gateway local |
配置VSI虚接口为分布式网关接口 |
|
quit |
quit |
- |
|
vsi 1001766 |
vsi 1001766 |
创建一个VSI,并进入VSI视图 |
|
gateway vsi-interface 1001766 |
gateway vsi-interface 1001766 |
为VSI指定网关接口 |
|
arp suppression enable |
arp suppression enable |
开启ARP泛洪抑制功能(即ARP代答) |
|
vxlan 1001766 |
vxlan 1001766 |
创建VXLAN,并进入VXLAN视图 |
|
evpn encapsulation vxlan |
evpn encapsulation vxlan |
创建EVPN实例,并进入EVPN实例视图 |
|
route-distinguisher 65000:1001766 |
route-distinguisher 65000:1001766 |
配置EVPN实例的RD |
|
vpn-target 65000:1001766 export-extcommunity |
vpn-target 65000:1001766 export-extcommunity |
配置EVPN的Export Target属性 |
|
vpn-target 65000:1001766 import-extcommunity |
vpn-target 65000:1001766 import-extcommunity |
配置EVPN的Import Target属性 |
|
quit |
quit |
- |
|
vlan 1766 |
vlan 1766 |
创建VLAN 1766 |
|
quit |
quit |
- |
|
interface Bridge-Aggregation 5 |
interface Bridge-Aggregation 5 |
|
|
quit |
quit |
- |
|
interface Twenty-FiveGigE 1/0/2 |
interface Twenty-FiveGigE 1/0/2 |
|
|
port link-mode bridge |
port link-mode bridge |
将以太网接口切换到二层工作模式 |
|
port link-aggregation group 5 |
port link-aggregation group 5 |
将接口加入聚合组 |
|
quit |
quit |
- |
|
interface Bridge-Aggregation 5 |
interface Bridge-Aggregation 5 |
|
|
port link-type trunk |
port link-type trunk |
配置端口的链路类型为Trunk类型 |
|
port trunk permit vlan 1766 |
port trunk permit vlan 1766 |
配置允许VLAN 1766通过该Trunk端口 |
|
undo port trunk permit vlan 1 |
undo port trunk permit vlan 1 |
配置禁止VLAN 1的报文通过 |
|
link-aggregation mode dynamic |
link-aggregation mode dynamic |
配置聚合组工作在动态聚合模式下,同时开启LACP协议 |
|
port m-lag group 5 |
port m-lag group 5 |
将聚合接口加入M-LAG组 |
|
stp edged-port |
stp edged-port |
配置端口为边缘端口 |
|
stp port bpdu-protection enable |
stp port bpdu-protection enable |
配置端口的BPDU保护功能 |
|
port bridge enable |
port bridge enable |
开启二层聚合接口桥功能 |
|
service-instance 1766 |
service-instance 1766 |
创建以太网服务实例,并进入以太网服务实例视图 |
|
encapsulation s-vid 1766 |
encapsulation s-vid 1766 |
配置以太网服务实例匹配外层VLAN标签 |
|
xconnect vsi 1001766 |
xconnect vsi 1001766 |
将AC与VSI关联 |
|
quit |
quit |
- |
|
quit |
quit |
- |
|
vlan 4094 |
vlan 4094 |
配置业务逃生VLAN |
|
quit |
quit |
- |
|
interface Vlan-interface 4094 |
interface Vlan-interface 4094 |
创建VLAN接口4094 |
|
ip address 99.1.1.1 24 |
ip address 99.1.1.1 24 |
配置IP地址 |
|
ospf 1 area 0 |
ospf 1 area 0 |
接口上使能OSPF |
|
ospf network-type p2p |
ospf network-type p2p |
配置OSPF接口的网络类型为点到点类型 |
[Leaf-1]ping 99.1.1.2
Ping 99.1.1.2 (99.1.1.2): 56 data bytes, press CTRL+C to break
56 bytes from 99.1.1.2: icmp_seq=0 ttl=255 time=0.907 ms
56 bytes from 99.1.1.2: icmp_seq=1 ttl=255 time=0.625 ms
56 bytes from 99.1.1.2: icmp_seq=2 ttl=255 time=0.697 ms
56 bytes from 99.1.1.2: icmp_seq=3 ttl=255 time=0.594 ms
56 bytes from 99.1.1.2: icmp_seq=4 ttl=255 time=0.619 ms
--- Ping statistics for 99.1.1.2 ---
5 packet(s) transmitted, 5 packet(s) received, 0.0% packet loss
round-trip min/avg/max/std-dev = 0.594/0.688/0.907/0.115 ms
[Leaf-1]display m-lag summary
Flags: A -- Aggregate interface down, B -- No peer M-LAG interface configured
C -- Configuration consistency check failed
Peer-link interface: BAGG1
Peer-link interface state (cause): UP
Keepalive link state (cause): UP
M-LAG interface information
M-LAG IF M-LAG group Local state (cause) Peer state Remaining down time(s)
BAGG5 5 UP UP -
BAGG9 8 UP UP -
|
Leaf 1 |
Leaf 2 |
命令说明 |
|
ospf 1 |
ospf 1 |
配置OSPF |
|
fast-reroute lfa ecmp-shared |
fast-reroute lfa ecmp-shared |
配置OSPF快速重路由 |
|
quit |
quit |
- |
表1-1 链路单点故障测试情况表
|
设备 |
故障类型 |
流量中断时间 |
|
M-LAG |
M-LAG成员链路单点故障 |
小于500ms |
|
M-LAG成员链路单点故障恢复 |
小于500ms |
|
|
上行ECMP链路单点故障 |
小于500ms |
|
|
上行ECMP链路单点故障恢复 |
小于500ms |
|
|
Peer-link链路故障 |
小于500ms |
|
|
Peer-link链路故障恢复 |
小于500ms |
|
|
Keepalive链路故障 |
0ms |
|
|
Keepalive链路故障恢复 |
0ms |
|
|
Keepalive和peer-link链路都故障 |
小于5000ms |
|
|
Keepalive和peer-link链路都故障恢复 |
小于1000ms |
|
|
升级操作 |
小于500ms(传统方式,两台M-LAG设备逐台升级) |
|
|
扩容操作 |
/ |
|
|
替换操作 |
盒式整机替换:小于500ms 框式: · 整机替换:小于1000ms · 网板替换:0ms · 业务板替换:小于500ms |
升级前的命令行检查,请参见“1.5.2 验证配置”和以下表格中的命令行。
表1-2 升级前的命令行检查汇总表
|
M-LAG 1 |
M-LAG 2 |
命令说明 |
|
display device |
display device |
用来显示设备信息 |
|
display boot-loader |
display boot-loader |
用来显示本次启动和下次启动所采用的启动软件包的名称 |
|
display version |
display version |
用来显示系统版本信息 |
具体操作步骤请参考“H3C交换机M-LAG升级、替换、扩容指导”。
单点故障时间正切小于500ms,回切小于150ms。具体参见“1.8 收敛时间测试”。
升级后的命令行检查,请参见“1.5.2 验证配置”和以下表格中的命令行。
表1-3 升级后的命令行检查汇总表
|
M-LAG 1 |
M-LAG 2 |
命令说明 |
|
display device |
display device |
用来显示设备信息 |
|
display boot-loader |
display boot-loader |
用来显示本次启动和下次启动所采用的启动软件包的名称 |
|
display version |
display version |
用来显示系统版本信息 |
本文描述的扩容操作指新增一组Leaf设备。
扩容前的命令行检查,请参见“1.5.2 验证配置”和以下表格中的命令行。
表1-4 扩容前的命令行检查汇总表
|
M-LAG 1 |
M-LAG 2 |
命令说明 |
|
display device |
display device |
用来显示设备信息 |
|
display boot-loader |
display boot-loader |
用来显示本次启动和下次启动所采用的启动软件包的名称 |
|
display version |
display version |
用来显示系统版本信息 |
(1) 新增设备断开网管
(2) 升级至相应版本
(3) 做好预配置
(4) 接入网管
(5) 控制器进行纳管
扩容后的命令行检查,请参见下表中的命令行。
表1-5 扩容后的命令行检查汇总表
|
M-LAG 1 |
M-LAG 2 |
命令说明 |
|
display device |
display device |
用来显示设备信息 |
|
display boot-loader |
display boot-loader |
用来显示本次启动和下次启动所采用的启动软件包的名称 |
|
display version |
display version |
用来显示系统版本信息 |
替换前的命令行检查,请参见“1.5.2 验证配置”和以下表格中的命令行。
表1-6 替换前的命令行检查汇总表
|
M-LAG 1 |
M-LAG 2 |
命令说明 |
|
display device |
display device |
用来显示设备信息 |
|
display boot-loader |
display boot-loader |
用来显示本次启动和下次启动所采用的启动软件包的名称 |
|
display version |
display version |
用来显示系统版本信息 |
相关业务板上的业务及网管流量应先行切换到正常业务板上。
支持业务板热插拔或者整机断电替换,具体根据现场情况而定。
具体操作步骤请参考“H3C交换机M-LAG升级、替换、扩容指导”。
与替换前命令行检查相同。
替换前的命令行检查,请参见“1.5.2 验证配置”和以下表格中的命令行。
表1-7 替换前的命令行检查汇总表
|
M-LAG 1 |
M-LAG 2 |
命令说明 |
|
display device |
display device |
用来显示设备信息 |
|
display boot-loader |
display boot-loader |
用来显示本次启动和下次启动所采用的启动软件包的名称 |
|
display version |
display version |
用来显示系统版本信息 |
支持网板热插拔或者整机断电替换,具体根据现场情况而定。
与替换前命令行检查相同。
替换前的命令行检查,请参见“1.5.2 验证配置”和以下表格中的命令行。
表1-8 替换前的命令行检查汇总表
|
M-LAG 1 |
M-LAG 2 |
命令说明 |
|
display device |
display device |
用来显示设备信息 |
|
display boot-loader |
display boot-loader |
用来显示本次启动和下次启动所采用的启动软件包的名称 |
|
display version |
display version |
用来显示系统版本信息 |
具体操作步骤请参考“H3C交换机M-LAG升级、替换、扩容指导”。
与替换前命令行检查相同。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
