• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

11-网络管理和监控配置指导

目录

14-集群管理配置

本章节下载 14-集群管理配置  (412.79 KB)

14-集群管理配置


1 集群管理配置

说明

设备运行于FIPS模式时,不支持集群管理功能。有关FIPS模式的详细介绍请参见“安全配置指导”中的“FIPS”。

 

1.1  集群管理简介

随着网络规模的增加,网络边缘需要使用大量的接入设备,这使对这些设备的管理工作非常繁琐,同时要为这些设备逐一配置IP地址,在目前IP地址资源日益紧张的情况下无疑也是一种浪费,而集群管理则可以解决上述问题。

集群(Cluster)是指一组网络设备的集合,集群管理的主要目的就是解决大量分散的网络设备的集中管理问题,其具有以下优点:

·     节省公网IP地址。

·     简化配置管理任务。网络管理员只需在一台设备上配置公网IP地址就可实现对集群中所有设备的管理和维护,而无需登录到每台设备上进行配置。

·     提供拓扑发现和显示功能,有助于监视和调试网络。

·     可同时对多台设备进行软件升级和参数配置,且不受网络拓扑和距离限制。

1.1.1  集群角色

根据在集群中所处的地位和功能的不同,可把集群中的设备分为以下三种角色:

·     管理设备(Administrator):在集群中对整个集群管理发挥接口作用的设备,也是集群中唯一配置公网IP地址的设备。每个集群必须(且只能)指定一个管理设备。对集群中的其它设备进行配置、管理和监控都必须通过管理设备来进行,管理设备通过收集相关信息来发现和确定候选设备。

·     成员设备(Member):在集群中处于被管理状态的设备。

·     候选设备(Candidate):指没有加入任何集群但具备集群能力、能够成为集群成员的设备。它与成员设备的区别在于:其拓扑信息已被管理设备收集到但尚未加入集群。

图1-1 集群典型组网图

 

图1-1所示,配置有公网IP地址并执行管理功能的设备就是管理设备,其它被管理的设备是成员设备,尚未加入任何集群但具备集群能力的设备是候选设备。由管理设备和成员设备共同组成了一个集群。

图1-2 集群角色转换示意图

 

图1-2所示,各角色可按如下规则相互转换:

·     当在某候选设备上创建集群时,该设备就成为了这个集群的管理设备;管理设备只有在删除集群时才能恢复为候选设备。

·     当把某候选设备加入到集群中后,该设备便成为成员设备;当从集群中删除某成员设备后,该设备又恢复为候选设备。

1.1.2  集群工作原理

集群管理通过HGMPv2(HW Group Management Protocol version 2,HW组管理协议版本2)来实现,它由以下三个协议组成:

·     NDP(Neighbor Discover Protocol,邻居发现协议)

·     NTDP(Neighbor Topology Discover Protocol,邻居拓扑发现协议)

·     Cluster(集群管理协议)

集群通过以上三个协议,对集群内部的设备进行配置和管理,其工作过程包括拓扑收集以及集群的建立和维护。拓扑收集过程和集群维护过程相对独立,拓扑收集过程在集群建立之前就开始启动,工作原理如下:

·     所有设备通过NDP来获取邻居设备的信息,包括邻居设备的软件版本、主机名、MAC地址和端口名称等信息。

·     管理设备通过NTDP来收集用户指定跳数范围内的设备信息以及各个设备的连接信息,并从收集到的拓扑信息中确定集群的候选设备。

·     管理设备根据NTDP收集到的候选设备信息完成将候选设备加入集群、成员设备离开集群的操作。

1. NDP简介

NDP用来获取直接相连的邻居设备的信息,包括连接端口、设备名称、软件版本等信息,工作原理如下:

·     运行NDP的设备周期性地向邻居发送NDP报文,其中包含NDP信息(包括当前设备的名称、软件版本和连接端口等信息)以及NDP信息在接收设备上的老化时间。同时会接收(但不转发)邻居设备发送的NDP报文。

·     运行NDP的设备都会存储和维护NDP邻居信息表,在该表中为每台邻居设备创建一个表项。当新发现了一个邻居,即第一次收到它发送的NDP报文时,为其新增一个表项。如果收到的邻居设备NDP信息与旧信息不同,则更新相应的表项及其老化时间;如果相同,则只更新老化时间;如果老化时间超时后仍未收到邻居的NDP信息,将自动删除相应的表项。

NDP协议运行在数据链路层,因此可以支持不同的网络层协议。

2. NTDP简介

NTDP为管理设备提供可加入集群的设备信息,收集指定跳数内设备的拓扑信息。NDP为NTDP提供邻接表信息,NTDP根据邻接信息发送和转发NTDP拓扑收集请求,收集一定网络范围内所有设备的NDP信息以及这些设备间的连接信息。收集完这些信息后,管理设备或网管可使用这些信息完成所需功能。

当成员设备上的NDP发现邻居有变化时,通过握手报文将邻居改变的消息通知给管理设备,管理设备可以启动NTDP收集指定拓扑,从而使NTDP能够及时反映网络拓扑的变化。

管理设备可以定时在网络内进行拓扑收集,用户也可以通过手工配置启动一次拓扑收集。管理设备收集拓扑信息过程如下:

·     管理设备从使能NTDP的端口周期性发送NTDP拓扑收集请求报文。

·     收到请求报文的设备立即发送拓扑响应报文至管理设备,并在已使能NTDP的端口复制此请求报文并发送到邻接设备;拓扑响应报文包含本设备的基本信息和所有邻接设备的NDP信息。

·     邻接设备收到请求报文后将执行同样操作,直至拓扑收集请求报文扩散到指定跳数范围内的所有设备。

当拓扑收集请求报文在网络内扩散时,大量网络设备同时收到拓扑收集请求并同时发送拓扑收集响应报文。为了避免网络拥塞和管理设备任务繁忙,可采取以下措施控制拓扑收集请求报文的扩散速度:

·     每台被收集设备收到拓扑收集请求报文后,并不立即转发该报文,而是延迟一段时间再由其第一个端口转发。

·     在同一台设备上,除第一个端口外,其它端口在上一个端口转发了拓扑收集请求报文后,都将延迟一段时间再继续转发该报文。

3. 集群管理维护

(1)     候选设备加入集群

用户在建立集群时应首先指定管理设备,管理设备可以通过NDP和NTDP协议发现和确定候选设备并将其自动加入集群,也可以通过手工配置将候选设备加入集群。

当候选设备成功加入集群后,将获得管理设备为其分配的集群成员序列号、集群管理使用的私有IP地址等。

(2)     集群内部通讯

在集群内部,管理设备与成员设备通过握手报文实时通信,以维护它们之间的连接状态,管理设备和成员设备的连接状态如图1-3所示。

图1-3 管理/成员设备状态转换

 

·     集群建立成功、候选设备加入集群成为成员设备后,管理设备将其状态信息保存到本地,并将其状态标识为Active;成员设备也将自身的状态信息保存到本地,并将其自身状态标识为Active。

·     管理设备和成员设备定时互发握手报文。管理设备收到成员设备的握手报文后不应答,仍将其状态保持为Active;成员设备收到管理设备的握手报文后也不应答,仍将其自身状态保持为Active。

·     当管理设备发送握手报文后,在三倍握手报文发送时间间隔内仍没收到成员设备的握手报文,则将其状态由Active迁移为Connect;同样,当成员设备发送握手报文后,在三倍握手报文发送时间间隔内仍没收到管理设备的握手报文,其自身状态也将从Active迁移为Connect。

·     若管理设备收到了处于Connect状态的成员设备在有效保留时间内发送的握手或管理报文,则将其状态迁移回Active,否则迁移为Disconnect——此时管理设备会认为已与该成员设备断开;而处于Connect状态的成员设备若在有效保留时间内收到了管理设备发送的握手或管理报文,则将其自身状态迁移至Active,否则迁移为Disconnect。

·     当管理设备与成员设备的通信恢复时,处于Disconnect状态的成员设备将重新加入集群。加入成功后,成员设备在管理设备以及其本地的状态都将恢复为Active。

如果发现拓扑改变,成员设备也通过握手报文向管理设备传递变化信息。

4. 管理VLAN

管理VLAN是指集群协议报文通讯所使用的VLAN,它限制了集群管理的范围,通过配置管理VLAN,可实现如下功能:

·     集群的管理报文(包括NDP、NTDP和握手报文)都将限制在管理VLAN内,实现了与其它报文的隔离,增加了安全性。

·     管理设备和成员设备通过管理VLAN实现了内部通讯。

集群管理要求管理设备与成员/候选设备相连的端口(包括级联端口)都要允许管理VLAN通过。如果端口不允许管理VLAN通过,该端口所连的设备将不能加入集群,因此当候选设备与管理设备相连的端口包括级联端口不允许管理VLAN通过时,可通过管理VLAN自协商修改候选设备的端口以允许管理VLAN通过。只有当管理设备与成员/候选设备相连接的端口(包括级联端口)的缺省VLAN ID都是管理VLAN时,才允许配置管理VLAN的报文不带Tag通过,否则管理VLAN的报文都必须带Tag通过。

说明

·     级联端口是指当候选设备通过另外一台候选设备与管理设备相连时,这两台候选设备之间的连接端口。

·     有关VLAN和Tag的相关介绍,请参见“二层技术-以太网交换配置指导”中的“VLAN”。

 

1.2  集群管理配置任务简介

用户配置集群前,需要明确集群内各个设备的角色以及功能,另外还要配置相关的功能,做好与集群内部设备进行通信的规划工作。

表1-1 集群管理配置任务简介

配置任务

说明

详细配置

配置管理设备

使能NDP功能

可选

1.3.1 

配置NDP参数

可选

1.3.2 

使能NTDP功能

可选

1.3.3 

配置NTDP参数

可选

1.3.4 

手动收集拓扑信息

可选

1.3.5 

使能集群功能

可选

1.3.6 

建立集群

必选

1.3.7 

使能管理VLAN自协商功能

必选

1.3.8 

配置集群成员交互

可选

1.3.9 

配置集群管理协议报文

可选

1.3.10 

集群成员管理

可选

1.3.11 

配置成员设备

使能NDP功能

可选

1.4.1 

使能NTDP功能

可选

1.4.2 

手动收集拓扑信息

可选

1.4.3 

使能集群功能

可选

1.4.4 

配置成员设备退出集群

可选

1.4.5 

配置集群成员互访

可选

1.5 

配置候选设备加入集群

可选

1.6 

配置集群管理高级功能

配置集群拓扑管理

可选

1.7.1 

配置集群内外交互

可选

1.7.2 

SNMP配置同步功能

可选

1.7.3 

批量配置Web账户

可选

1.7.4 

 

注意

·     集群建立后,在管理设备和成员设备上关闭NDP或者NTDP功能后,集群不会解散,但是会影响已经建立的集群的正常运行。

·     在一个集群中,当使能了802.1X或MAC地址认证功能的成员设备还连接有其它成员设备时,必须在该成员设备上开启HABP server功能,否则管理设备将无法对其连接的成员设备进行管理。有关HABP(HW Bypass Protocol,HW旁路认证协议)的详细介绍,请参见“安全配置指导”中的“HABP”。

·     如果集群建立时管理设备的路由表已满,即无法向路由表中添加目的地址为候选设备的路由条目,将导致所有候选设备反复加入退出集群。

·     如果候选设备加入集群时候选设备的路由表已满,即无法向路由表中添加目的地址为管理设备的路由条目,也将导致本设备反复加入退出集群。

 

1.3  配置管理设备

1.3.1  使能NDP功能

当全局和端口的NDP功能都使能时,NDP才能正常运行。

表1-2 使能NDP功能

操作

命令

说明

进入系统视图

system-view

-

使能全局的NDP功能

ndp enable

可选

缺省情况下,全局的NDP功能处于使能状态

使能端口的NDP功能

系统视图下

ndp enable interface interface-list

二者可选其一

缺省情况下,所有端口的NDP功能都处于使能状态

以太网接口或二层聚合接口视图下

interface interface-type interface-number

ndp enable

 

说明

为避免管理设备收集到不需要加入集群的设备的拓扑信息并将其误加入集群,建议在与这些设备相连的端口上关闭NDP功能。

 

1.3.2  调整NDP参数

使能了NDP功能的端口会周期性地向外发送NDP报文。当NDP报文在接收设备上的老化时间超时后,接收设备仍未收到本设备发送的NDP报文,接收设备将自动删除本设备所对应的邻居表项。

表1-3 调整NDP参数

操作

命令

说明

进入系统视图

system-view

-

配置发送NDP报文的时间间隔

ndp timer hello hello-time

可选

缺省情况下,发送NDP报文的时间间隔为60秒

配置NDP报文在接收设备上的老化时间

ndp timer aging aging-time

可选

缺省情况下,NDP报文在接收设备上的老化时间为180秒

 

注意

NDP报文在接收设备上的老化时间应不小于发送NDP报文的时间间隔,否则将引起NDP端口邻居信息表的不稳定。

 

1.3.3  使能NTDP功能

当全局和端口的NTDP功能都使能时,NTDP才能正常运行。

表1-4 使能NTDP功能

操作

命令

说明

进入系统视图

system-view

-

使能全局的NTDP功能

ntdp enable

可选

缺省情况下,全局的NTDP功能处于使能状态

进入以太网接口或二层聚合接口视图

interface interface-type interface-number

-

使能端口的NTDP功能

ntdp enable

可选

缺省情况下,所有端口的NTDP功能都处于使能状态

 

说明

为避免管理设备收集到不需要加入集群的设备的拓扑信息并将其误加入集群,建议在与这些设备相连的端口上关闭NTDP功能。

 

1.3.4  调整NTDP参数

通过配置拓扑收集范围(即最大跳数)可以收集确定范围内设备的拓扑信息,从而避免无限的扩展收集过程。控制收集范围采用从收集发起者开始、控制允许发现的跳数的方法。

在配置了拓扑收集的时间间隔后,设备将以此间隔为周期进行拓扑信息的收集。

为了避免拓扑收集设备由于同时收到大量拓扑响应报文而导致的拥塞:

·     每台被收集设备在收到拓扑收集请求报文后,都将延迟一段时间再由其第一个端口转发该报文;

·     在同一台设备上,除第一个端口外,其它端口在上一个端口转发了拓扑收集请求报文后,都将延迟一段时间再继续转发该报文。

表1-5 调整NTDP参数

操作

命令

说明

进入系统视图

system-view

-

配置拓扑收集的最大跳数

ntdp hop hop-value

可选

缺省情况下,拓扑收集的最大跳数为3跳

配置拓扑收集的时间间隔

ntdp timer interval

可选

缺省情况下,拓扑收集的时间间隔为1分钟

配置首个端口转发拓扑收集请求报文的延迟时间

ntdp timer hop-delay delay-time

可选

缺省情况下,首个端口转发拓扑收集请求报文的延迟时间为200毫秒

配置其它端口转发拓扑收集请求报文的延迟时间

ntdp timer port-delay delay-time

可选

缺省情况下,其它端口转发拓扑收集请求报文延迟时间为20毫秒

 

说明

首个/其它端口转发拓扑收集请求报文的延迟时间都需配置在拓扑收集设备上:拓扑收集设备在其发送的拓扑收集请求报文中携带了这两种延迟时间值,被收集设备依据该值来延迟拓扑收集请求报文的转发。

 

1.3.5  手动收集拓扑信息

集群建立后,管理设备会周期性地收集拓扑信息。用户还可以在管理设备或使能NTDP功能的设备上手动发起拓扑信息的收集过程(不论集群是否已建立),从而更有效地对设备进行实时管理与监控。

请在用户视图下进行下列配置。

表1-6 手动收集拓扑信息

操作

命令

说明

手动收集拓扑信息

ntdp explore

必选

 

1.3.6  使能集群功能

表1-7 使能集群功能

操作

命令

说明

进入系统视图

system-view

-

使能集群功能

cluster enable

可选

缺省情况下,集群功能处于使能状态

 

1.3.7  建立集群

建立集群前,须指定管理VLAN,成员设备加入集群后就不能再修改管理VLAN。

建立集群前,还须在欲配置为管理设备的设备上配置成员设备所使用的私有IP地址范围,且管理设备和成员设备的VLAN接口的IP地址和集群地址池不能配置在同一网段内,否则集群将不能正常工作。当候选设备加入时,管理设备为候选设备动态分配一个能够在集群内使用的私有IP地址,用于集群内部的通信。

建立集群有两种方式:手工创建和自动创建。其中,在自动创建集群的过程中,用户可根据系统提示自动创建集群:

(1)     首先,系统提示输入集群名称;

(2)     接着,系统将列出指定的跳数范围内发现的所有候选设备;

(3)     系统将把所有列出的候选设备自动加入到所创建的集群中。

在自动创建过程中,允许用户输入<Ctrl+C>取消当前操作,并退出自动创建过程。该操作只能停止加入新的设备,已加入集群的设备仍将保留在集群中。

表1-8 手动建立集群

操作

命令

说明

进入系统视图

system-view

-

指定管理VLAN

management-vlan vlan-id

可选

缺省情况下,管理VLAN为VLAN 1

进入集群视图

cluster

-

配置成员设备的私有IP地址范围

ip-pool ip-address { mask | mask-length }

必选

缺省情况下,没有指定成员设备的私有IP地址范围

创建集群

手动创建集群

build cluster-name

二者必选其一

缺省情况下,设备不是管理设备

自动创建集群

auto-build [ recover ]

 

注意

由于握手报文使用的UDP端口号为40000,因此建立集群前需确保该端口未被占用,否则将导致集群建立失败。

 

1.3.8  使能管理VLAN自协商功能

管理VLAN限制了集群管理的范围,当管理设备发现的新设备在管理VLAN之外即与管理设备相连的端口及级联端口不允许管理VLAN通过时,新设备将无法加入集群。通过在管理设备上使能管理VLAN自动协商功能,可以将与管理设备相连的端口及级联端口自动加入管理VLAN。

表1-9 使能管理VLAN自协商功能

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

使能管理VLAN自协商功能

management-vlan synchronization enable

必选

缺省情况下,管理VLAN自协商功能处于关闭状态

 

说明

在开启了管理VLAN自协商功能后,各成员设备之间相连的端口将会发生以下转换过程

l     如果该端口之前为Access端口,则转换为Hybrid端口,且将不再允许除管理VLAN外的其他VLAN通过(管理VLAN以tagged形式通过)。

l     如果该端口之前为Trunk或Hybrid端口,则转换过程对端口类型和已经允许通过的VLAN没有影响,只是增加允许管理VLAN通过(对于Hybrid端口为tagged形式)。

请用户在配置本功能之前,确认成员设备之间连接端口的端口类型和允许通过的VLAN,避免转换过程对网络产生影响。

 

1.3.9  配置集群成员交互

在集群内部,管理设备与成员设备通过握手报文进行实时通信,以维护它们之间的连接状态。可以在管理设备上配置发送握手报文的时间间隔和有效保留时间,该配置将对集群内部所有成员设备同时生效。对于处于Connect状态的成员设备来说:

·     如果管理设备在有效保留时间内未收到来自该成员设备的消息,则将其状态迁移为Disconnect。当通讯恢复后,该成员设备需要重新加入(成员重新加入过程是自动进行的)。

·     如果管理设备在有效保留时间内收到了来自该成员设备的消息,则将其状态迁移回Active。

表1-10 配置集群成员交互

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

配置发送握手报文的时间间隔

timer interval

可选

缺省情况下,发送握手报文的时间间隔为10秒

配置有效保留时间

holdtime hold-time

可选

缺省情况下,有效保留时间为60秒

 

1.3.10  配置集群管理协议报文

集群管理协议报文(包括NDP、NTDP和HABP报文)的缺省目的MAC地址是IEEE保留的组播MAC地址0180-C200-000A,而部分现有设备对目的MAC地址为此类地址的报文不能正常转发,从而导致集群管理协议报文无法穿越这些设备。针对这种情况,在不改变现有组网的前提下,可将集群管理协议报文的目的MAC地址修改为其它MAC地址来避免影响集群的正常运行。

管理设备通过周期性地向成员/侯选设备发送MAC地址协商广播报文来通告集群管理协议报文的目的MAC地址。

表1-11 配置集群管理协议报文

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

配置集群管理协议报文的目的MAC地址

cluster-mac mac-address

必选

缺省情况下,集群管理协议报文的目的MAC地址为0180-C200-000A

可以配置的MAC地址包括:0180-C200-0000,0180-C200-000A,0180-C200-0020~0180-C200-002F或010F-E200-0002

配置发送MAC地址协商广播报文的时间间隔

cluster-mac syn-interval interval

可选

缺省情况下,发送MAC地址协商广播报文的时间间隔为1分钟

 

注意

在配置集群管理协议报文的目的MAC地址时:

·     若发送MAC地址协商广播报文的时间间隔为零,系统会自动将其修改为1分钟;

·     若发送MAC地址协商广播报文的时间间隔非零,则该时间间隔将保持不变。

 

1.3.11  集群成员管理

用户可以在管理设备上手工指定要加入集群中的候选设备,也可以手工删除集群中指定的成员设备。

当成员设备由于软件版本升级、配置更新等原因需要重启时,可以通过管理设备对其进行远程重启。

1. 添加成员设备

表1-12 添加成员设备

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

将候选设备加入集群

add-member [ member-number ] mac-address mac-address [ password password ]

必选

 

2. 删除成员设备

表1-13 删除成员设备

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

将成员设备从集群中删除

delete-member member-number [ to-black-list ]

必选

 

3. 重启成员设备

表1-14 重启成员设备

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

重新启动指定的成员设备

reboot member { member-number | mac-address mac-address } [ eraseflash ]

必选

 

1.4  配置成员设备

1.4.1  使能NDP功能

请参见“1.3.1  使能NDP功能”。

1.4.2  使能NTDP功能

请参见“1.3.3  使能NTDP功能”。

1.4.3  手动收集拓扑信息

请参见“1.3.5  手动收集拓扑信息”。

1.4.4  使能集群功能

请参见“1.3.6  使能集群功能”。

1.4.5  配置成员设备退出集群

表1-15 配置成员设备退出集群

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

配置成员设备退出集群

undo administrator-address

必选

 

1.5  配置集群成员互访

当NDP、NTDP和集群功能的配置完成后,可通过管理设备对成员设备进行配置、管理和监控:既可在管理设备上切换到指定成员设备的操作界面上对该成员设备进行配置管理;也可从成员设备切换回管理设备的操作界面上对管理设备进行配置。

请在用户视图下进行下列配置。

表1-16 配置集群成员互访

操作

命令

说明

从管理设备操作界面切换到成员设备操作界面

cluster switch-to { member-number | mac-address mac-address | sysname member-sysname }

必选

从成员设备操作界面切换到管理设备操作界面

cluster switch-to administrator

必选

 

注意

管理设备和成员设备间的切换均使用了Telnet连接,进行切换时需要注意:

·     成员设备切换到管理设备上需要认证,认证不通过将会导致切换失败,切换成功后用户权限根据管理设备预定的级别分配。

·     候选设备加入集群成为成员设备后,其级别为3的super password会自动同步与管理设备保持一致。集群建立以后,建议用户不要修改集群成员(包括管理设备和成员设备)的super password,以免切换时由于认证不通过而失败。

·     从管理设备切换到成员设备,如果指定的成员不存在,将显示出错信息;切换成功后在成员设备上继承管理设备上的当前级别。

·     如果被请求登录的设备Telnet用户已满将会导致切换失败。

 

1.6  配置候选设备加入集群

用户可以在候选设备上进行配置,将候选设备自身加入某个已建立的集群。

表1-17 配置候选设备加入集群

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

配置候选设备加入集群

administrator-address mac-address name name

必选

 

1.7  配置集群管理高级功能

1.7.1  配置集群拓扑管理

白名单与黑名单是拓扑管理的依据,网络管理员可通过将当前网络拓扑(即集群当前的拓扑节点和邻接关系等信息,记录了当前的网络拓扑状况)与标准拓扑进行比较对当前的网络状况进行诊断,两者的含义如下:

·     拓扑管理白名单:即标准拓扑,是网络管理员对当前网络拓扑进行确认之后认为正确的网络拓扑信息。可根据当前网络拓扑状况实现对白名单的维护,包括添加、删除和修改结点。

·     拓扑管理黑名单:列入黑名单中的设备不允许自动加入集群。黑名单信息包括设备的MAC地址,若该设备通过非黑名单中的设备接入,则还包括接入设备的MAC地址和接入端口。被列入黑名单的候选设备,需要网络管理员手工将其从黑名单删除后,方可加入集群

白名单与黑名单具有互斥性:白名单中的节点必定不在黑名单中;黑名单中的节点也不能加入白名单。拓扑节点可以既不在白名单也不在黑名单中,这类节点通常属于新增结点,其身份还有待网络管理员的确认。

用户可以对白名单和黑名单进行备份和恢复,有以下两种方式:

·     备份在集群公用的FTP服务器上:白名单与黑名单可以手动从FTP服务器上恢复。

·     备份在管理设备的Flash中:当管理设备重启时,白名单与黑名单会自动从管理设备的Flash中恢复;当集群重新创建时,可根据用户的选择决定是否从管理设备的Flash中恢复,也可手动从管理设备的Flash中恢复。

表1-18 配置集群拓扑管理

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

将设备加入黑名单

black-list add-mac mac-address

可选

将设备从黑名单中删除

black-list delete-mac { all | mac-address }

可选

确认集群当前的拓扑信息,并存为标准拓扑

topology accept { all [ save-to { ftp-server | local-flash } ] | mac-address mac-address | member-id member-number }

可选

保存标准拓扑信息到FTP服务器或者本地Flash中

topology save-to { ftp-server | local-flash }

可选

获取标准拓扑信息进行恢复

topology restore-from { ftp-server | local-flash }

可选

 

1.7.2  配置集群内外交互

集群建立后,可以在管理设备上为集群统一配置FTP/TFTP服务器、网管主机和日志主机:

·     为集群统一配置FTP/TFTP服务器后,成员设备通过管理设备来访问配置的FTP/TFTP服务器(即在成员设备上通过ftptftp命令指定管理设备的私有IP地址。有关ftptftp命令的详细介绍,请参见“基础配置命令参考”中的“FTP和TFTP”)。

·     为集群统一配置日志主机后,成员设备的所有日志信息都将输出到该日志主机上:当成员设备输出日志信息时,日志信息将直接发送给管理设备,并由管理设备对这些日志信息进行地址转换,然后发送到该日志主机上。

·     为集群统一配置网管主机后,成员设备通过管理设备向公用的SNMP网管站发送Trap信息。

如果接入网管设备(包括FTP/TFTP服务器、网管主机和日志主机)的端口不允许管理VLAN通过,网管设备将无法通过管理设备对集群内部的设备进行管理。这时需在管理设备上将这些接入网管设备的VLAN接口配置为网管接口。

表1-19 配置集群内外交互

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

配置集群公用的FTP服务器

ftp-server ip-address [ user-name username password { simple | cipher } password ]

必选

缺省情况下,集群没有公用的FTP服务器

配置集群公用的TFTP服务器

tftp-server ip-address

必选

缺省情况下,集群没有公用的TFTP服务器

配置集群公用的日志主机

logging-host ip-address

必选

缺省情况下,集群没有公用的日志主机

配置集群公用的SNMP网管站

snmp-host ip-address [ community-string read string1 write string2 ]

必选

缺省情况下,集群没有公用的SNMP网管站

配置管理设备的网管接口

nm-interface vlan-interface interface-name

可选

 

注意

为了将集群的管理协议报文与集群外部网络的报文隔离,建议管理设备与集群网络外部的设备相连的端口不要允许管理VLAN通过,并配置管理设备的网管接口。

 

1.7.3  SNMP配置同步功能

SNMP配置同步功能方便了集群管理,可以在管理设备上进行SNMP的相关配置操作并将其同步到白名单中的成员设备上,相当于对成员设备进行批量配置,极大地简化配置过程。

表1-20 SNMP配置同步功能

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

配置集群公用的SNMP团体

cluster-snmp-agent community { read | write } community-name [ mib-view view-name ]

必选

配置集群公用的SNMP v3组

cluster-snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ]

必选

创建或者更新集群公用的MIB视图信息

cluster-snmp-agent mib-view included view-name oid-tree

必选

缺省情况下,集群公用的MIB视图名为ViewDefault,可访问ISO子树

为集群公用的SNMP v3组添加一个新用户

cluster-snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } auth-password ] [ privacy-mode des56 priv-password ]

必选

 

说明

·     集群解散或成员设备从白名单中删除时,SNMP相关配置都将继续保留。

·     有关SNMP的相关介绍,请参见“网络管理和监控配置指导”中的“SNMP”。

 

1.7.4  批量配置Web账户

批量配置Web账户功能提供了一种便捷的方法,用户可以在管理设备上配置通过Web方式登录到集群内部设备(包括管理设备和成员设备)的用户名和密码,并将配置同步到白名单中的成员设备上。当用户通过Web方式登录到集群内部设备上进行相关操作时,需要输入用户名和密码。

表1-21 批量配置Web账户

操作

命令

说明

进入系统视图

system-view

-

进入集群视图

cluster

-

批量配置Web账户

cluster-local-user user-name password { cipher | simple } password

必选

 

说明

集群解散或成员设备从白名单中删除时,Web账户的配置将继续保留。

 

1.8  集群管理显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后集群的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除NDP的统计信息。

表1-22 集群管理显示和维护

操作

命令

显示NDP的配置信息

display ndp [ interface interface-list ] [ | { begin | exclude | include } regular-expression ]

显示NTDP的配置信息

display ntdp [ | { begin | exclude | include } regular-expression ]

显示NTDP收集到的设备信息

display ntdp device-list [ verbose ] [ | { begin | exclude | include } regular-expression ]

显示指定设备的NTDP详细信息

display ntdp single-device mac-address mac-address [ | { begin | exclude | include } regular-expression ]

显示设备所属集群的信息

display cluster [ | { begin | exclude | include } regular-expression ]

显示集群的标准拓扑信息

display cluster base-topology [ mac-address mac-address | member-id member-number ] [ | { begin | exclude | include } regular-expression ]

显示集群当前的黑名单

display cluster black-list [ | { begin | exclude | include } regular-expression ]

显示候选设备的信息

display cluster candidates [ mac-address mac-address | verbose ] [ | { begin | exclude | include } regular-expression ]

显示集群当前的拓扑信息

display cluster current-topology [ mac-address mac-address [ to-mac-address mac-address ] | member-id member-number [ to-member-id member-number ] ] [ | { begin | exclude | include } regular-expression ]

显示成员设备的信息

display cluster members [ member-number | verbose ] [ | { begin | exclude | include } regular-expression ]

清除NDP的统计信息

reset ndp statistics [ interface interface-list ]

 

1.9  集群管理典型配置举例

1. 组网需求

·     由三台设备组成的集群abc,其管理VLAN为VLAN 10。其中,Switch B为管理设备(Administrator),其网管接口为Vlan-interface2;Switch A和Switch C为成员设备(Member)。

·     整个集群将IP地址为63.172.55.1/24设备作为FTP服务器和TFTP服务器,SNMP网管站及日志主机的IP地址为69.172.55.4/24。

·     通过配置,将MAC地址为000f-e201-0013的设备加入黑名单。

2. 组网图

图1-4 集群管理配置组网图

 

 

3. 配置步骤

(1)     配置成员设备Switch A

# 使能全局NDP功能和端口GigabitEthernet1/0/1上的NDP功能。

<SwitchA> system-view

[SwitchA] ndp enable

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] ndp enable

[SwitchA-GigabitEthernet1/0/1] quit

# 使能全局NTDP功能和端口GigabitEthernet1/0/1上的NTDP功能。

[SwitchA] ntdp enable

[SwitchA] interface gigabitethernet 1/0/1

[SwitchA-GigabitEthernet1/0/1] ntdp enable

[SwitchA-GigabitEthernet1/0/1] quit

# 使能集群功能。

[SwitchA] cluster enable

(2)     配置成员设备Switch C

由于成员设备的配置相同,因此Switch C上的配置与Switch A相似,配置过程略。

(3)     配置管理设备Switch B

# 使能全局NDP功能,并分别使能端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上的NDP功能。

<SwitchB> system-view

[SwitchB] ndp enable

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ndp enable

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ndp enable

[SwitchB-GigabitEthernet1/0/3] quit

# 配置本设备发送的NDP报文在接收设备上的老化时间为200秒。

[SwitchB] ndp timer aging 200

# 配置NDP报文发送的时间间隔为70秒。

[SwitchB] ndp timer hello 70

# 使能全局NTDP功能,并分别使能端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上的NTDP功能。

[SwitchB] ntdp enable

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] ntdp enable

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] ntdp enable

[SwitchB-GigabitEthernet1/0/3] quit

# 配置拓扑收集的最大跳数为2跳。

[SwitchB] ntdp hop 2

# 配置被收集设备首个端口转发拓扑收集请求报文的延迟时间为150ms。

[SwitchB] ntdp timer hop-delay 150

# 配置被收集设备其它端口转发拓扑收集请求报文的延迟时间为15ms。

[SwitchB] ntdp timer port-delay 15

# 配置拓扑收集的时间间隔为3分钟。

[SwitchB] ntdp timer 3

# 配置集群的管理VLAN为VLAN 10。

[SwitchB] vlan 10

[SwitchB-vlan10] quit

[SwitchB] management-vlan 10

# 将端口GigabitEthernet1/0/2和GigabitEthernet1/0/3都配置为Trunk口,并允许管理VLAN通过。

[SwitchB] interface gigabitethernet 1/0/2

[SwitchB-GigabitEthernet1/0/2] port link-type trunk

[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 10

[SwitchB-GigabitEthernet1/0/2] quit

[SwitchB] interface gigabitethernet 1/0/3

[SwitchB-GigabitEthernet1/0/3] port link-type trunk

[SwitchB-GigabitEthernet1/0/3] port trunk permit vlan 10

[SwitchB-GigabitEthernet1/0/3] quit

# 使能集群功能。

[SwitchB] cluster enable

# 配置成员设备的私有IP地址范围为172.16.0.1~172.16.0.7。

[SwitchB] cluster

[SwitchB-cluster] ip-pool 172.16.0.1 255.255.255.248

# 配置当前设备为管理设备,并建立名为abc的集群。

[SwitchB-cluster] build abc

Restore topology from local flash file,for there is no base topology.

(Please confirm in 30 seconds, default No). (Y/N)

N

# 使能管理VLAN自协商功能。

[abc_0.SwitchB-cluster] management-vlan synchronization enable

# 配置成员设备信息的有效保留时间为100秒。

[abc_0.SwitchB-cluster] holdtime 100

# 配置发送握手报文的时间间隔为10秒。

[abc_0.SwitchB-cluster] timer 10

# 分别指定集群公用的FTP服务器、TFTP服务器、日志主机和SNMP网管站。

[abc_0.SwitchB-cluster] ftp-server 63.172.55.1

[abc_0.SwitchB-cluster] tftp-server 63.172.55.1

[abc_0.SwitchB-cluster] logging-host 69.172.55.4

[abc_0.SwitchB-cluster] snmp-host 69.172.55.4

# 将MAC地址为000f-e201-0013的设备加入黑名单。

[abc_0.SwitchB-cluster] black-list add-mac 000f-e201-0013

[abc_0.SwitchB-cluster] quit

# 将端口GigabitEthernet1/0/1加入VLAN 2,并为接口Vlan-interface2配置IP地址。

[abc_0.SwitchB] vlan 2

[abc_0.SwitchB-vlan2] port gigabitethernet 1/0/1

[abc_0.SwitchB] quit

[abc_0.SwitchB] interface vlan-interface 2

[abc_0.SwitchB-Vlan-interface2] ip address 163.172.55.1 24

[abc_0.SwitchB-Vlan-interface2] quit

# 将接口Vlan-interface2配置为网管接口。

[abc_0.SwitchB] cluster

[abc_0.SwitchB-cluster] nm-interface vlan-interface 2

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们