- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
01-IRF配置
本章节下载: 01-IRF配置 (994.12 KB)
目 录
1.10.1 IRF典型配置举例(LACP MAD检测方式)
1.11.1 IRF双机热备三层直连,单冗余组冗余口主备组网典型配置举例
IRF(Intelligent Resilient Framework,智能弹性架构)是H3C自主研发的软件虚拟化技术。它的核心思想是将多台设备连接在一起,进行必要的配置后,虚拟化成一台设备。使用这种虚拟化技术可以集合多台设备的硬件资源和软件处理能力,实现多台设备的协同工作、统一管理和不间断维护。
为了便于描述,这个“虚拟设备”也称为IRF。所以,本文中的IRF有两层意思,一个是指IRF技术,一个是指IRF设备。
如图1-1所示,两台设备组成IRF,对上、下层设备来说,它们就是一台设备——IRF。所有成员设备上的资源归该虚拟设备IRF拥有并由主设备统一管理。
图1-1 IRF组网应用示意图
IRF主要具有以下优点:
· 简化管理:IRF形成之后,用户通过任意成员设备的任意端口都可以登录IRF系统,对IRF内所有成员设备进行统一管理。
· 1:N备份:IRF由多台成员设备组成,其中,主设备负责IRF的运行、管理和维护,从设备在作为备份的同时也可以处理业务。一旦主设备故障,系统会迅速自动选举新的主设备,以保证业务不中断,从而实现了设备的1:N备份。
· 跨成员设备的链路聚合:IRF和上、下层设备之间的物理链路支持聚合功能,并且不同成员设备上的物理链路可以聚合成一个逻辑链路,多条物理链路之间可以互为备份也可以进行负载分担,当某个成员设备离开IRF,其它成员设备上的链路仍能收发报文,从而提高了聚合链路的可靠性。
· 强大的网络扩展能力:通过增加成员设备,可以轻松自如地扩展IRF的端口数、带宽。因为各成员设备都有CPU,能够独立处理协议报文、进行报文转发,所以IRF还能轻松自如的扩展处理能力。
IRF中每台设备都称为成员设备。成员设备按照功能不同,分为两种角色:
· 主用设备(简称为主设备):负责管理和控制整个IRF。
· 从属设备(简称为从设备):处理业务、转发报文的同时作为主设备的备份设备运行。当主设备故障时,系统会自动从从设备中选举一个新的主设备接替原主设备工作。
主设备和从设备均由角色选举产生。一个IRF中同时只能存在一台主设备,其它成员设备都是从设备。关于设备角色选举过程的详细介绍请参见“1.1.5 角色选举”。
IRF使用成员设备编号来标识和管理成员设备。接口名称和文件系统路径中均包含成员设备编号,以此来唯一标识IRF设备上的接口和文件。
每台成员设备必须具有唯一的编号。如果两台设备的成员编号相同,则不能组成IRF。如果新设备加入IRF,但是该设备的成员编号与已有成员设备的编号冲突,则该设备不能加入IRF。
成员优先级是成员设备的一个属性,主要用于角色选举过程中确定成员设备的角色。优先级越高当选为主设备的可能性越大。
设备的缺省优先级均为1,如果想让某台设备当选为主设备,则在组建IRF前,可以通过命令行手工提高该设备的成员优先级。
一种专用于IRF成员设备之间进行连接的逻辑接口,每台成员设备上可以配置两个IRF端口,分别为IRF-Port1和IRF-Port2。它需要和物理端口绑定之后才能生效。
IRF端口采用二维编号,编号为IRF-Portn/1和IRF-Portn/2,其中n为设备的成员编号。
为简洁起见,本文描述时统一使用IRF-Port1和IRF-Port2。
IRF端口的状态由与它绑定的IRF物理端口的状态决定。与IRF端口绑定的所有IRF物理端口状态均为down时,IRF端口的状态才会变成down。
与IRF端口绑定,用于IRF成员设备之间进行连接的物理接口。IRF物理端口负责在成员设备之间转发IRF协议报文以及需要跨成员设备转发的业务报文。
如图1-2所示,两个(或多个)IRF各自已经稳定运行,通过物理连接和必要的配置,形成一个IRF,这个过程称为IRF合并。
图1-2 IRF合并示意图
如图1-3所示,一个IRF形成后,由于IRF链路故障,导致IRF中两相邻成员设备不连通,一个IRF分裂成两个IRF,这个过程称为IRF分裂。
图1-3 IRF分裂示意图
IRF链路故障会导致一个IRF分裂成多个新的IRF。这些IRF拥有相同的IP地址等三层配置,会引起地址冲突,导致故障在网络中扩大。MAD(Multi-Active Detection,多Active检测)机制用来进行IRF分裂检测、冲突处理和故障恢复,从而提高系统的可用性。
域是一个逻辑概念,一个IRF对应一个IRF域。
为了适应各种组网应用,同一个网络里可以部署多个IRF,IRF之间使用域编号(DomainID)来区别。如图1-4所示,Device A和Device B组成IRF 1,Device C和Device D组成IRF 2。如果IRF 1和IRF 2之间有MAD检测链路,则两个IRF各自的成员设备间发送的MAD检测报文会被另外的IRF接收到,从而对两个IRF的MAD检测造成影响。这种情况下,需要给两个IRF配置不同的域编号,以保证两个IRF互不干扰。
图1-4 多IRF域示意图
IRF的连接拓扑为链形连接,如图1-5所示。
链形连接对成员设备的物理位置要求低,主要用于成员设备物理位置分散的组网。成员设备之间不允许连接中继设备
图1-5 IRF连接拓扑示意图
角色选举会在以下情况下进行:
· IRF建立。
· 主设备离开或者故障。
· IRF分裂。
· 独立运行的两个(或多个)IRF合并为一个IRF。
角色选举中按照如下优先级顺序选择主设备:
(1) 当前的主设备优先,即IRF不会因为有新的成员设备加入而重新选举主设备即使新的成员设备有更高优先级。该规则不适用于IRF形成时,此时所有加入的设备都认为自己是主设备。
(2) 成员优先级大的设备。
(3) 系统运行时间长的设备。在IRF中,运行时间的度量精度为10分钟,即如果设备的启动时间间隔小于等于10分钟,则认为它们运行时间相等。
(4) CPU MAC地址小的设备。
通过以上规则选出的最优成员设备即为主设备,其它成员设备均为从设备。
IRF建立时,所有从设备必须重启加入IRF。
独立运行的IRF合并时,竞选失败方的所有成员设备必须重启加入获胜方。
接口编号采用成员设备编号/槽位编号/接口序号的格式,其中:
· 接口序号:与设备支持的接口数量相关,请查看设备前面板上的丝印。
例如,将成员编号为2的从设备上第一个固定端口的链路类型设置为Trunk,可参照以下步骤:
<Sysname> system-view
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] port link-type trunk
使用存储介质的名称可以访问主设备的文件系统,使用“slotMember-ID#存储介质的名称”可以访问从设备的文件系统。例如:
· 创建并显示IRF中主设备存储介质Flash根目录下的test文件夹:
Creating directory flash:/test... Done.
<Master> cd test
<Master> dir
Directory of flash:/test
The directory is empty.
524288 KB total (29832 KB free)
· 创建并显示IRF中从设备(成员编号为2)存储介质Flash根目录下的test文件夹:
<Master> mkdir slot2#flash:/test
Creating directory slot2#flash:/test... Done.
<Master> cd slot2#flash:/test
<Master> dir
Directory of slot2#flash:/test
The directory is empty.
524288 KB total (128812 KB free)
IRF技术使用了严格的配置文件同步机制,来保证IRF中的多台设备能够像一台设备一样在网络中工作,并且在主设备出现故障之后,其余设备仍能够正常执行各项功能。
· IRF中的从设备在启动时,会自动寻找主设备,并将主设备的当前配置文件同步到本地并执行;如果IRF中的所有设备同时启动,则从设备会将主设备的起始配置文件同步至本地并执行。IRF从设备上的原配置文件还在,但不再生效。
· 在IRF正常工作后,用户所进行的任何配置,都会记录到主设备的当前配置文件中,并同步到IRF中的各个设备执行。
通过即时的同步,IRF中所有设备均保存相同的配置文件,即使主设备出现故障,其它设备仍能够按照相同的配置文件执行各项功能。
IRF链路故障会导致一个IRF变成多个新的IRF。这些IRF拥有相同的IP地址等三层配置,会引起地址冲突,导致故障在网络中扩大。为了提高系统的可用性,当IRF分裂时我们就需要一种机制,能够检测出网络中同时存在多个IRF,并进行相应的处理,尽量降低IRF分裂对业务的影响。MAD(Multi-Active Detection,多Active检测)就是这样一种检测和处理机制。MAD主要提供分裂检测、冲突处理和故障恢复功能。
通过LACP(Link Aggregation Control Protocol,链路聚合控制协议)、BFD(Bidirectional Forwarding Detection,双向转发检测)、ARP(Address Resolution Protocol,地址解析协议)或者ND(Neighbor Discovery,邻居发现)来检测网络中是否存在多个IRF。同一IRF中可以配置一个或多个检测机制,详细信息,请参考“1.1.10 MAD检测机制”。
关于LACP的详细介绍请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”;关于BFD的详细介绍请参见“网络管理和监控配置指导”中的“BFD”;关于ARP的详细介绍请参见“三层技术-IP业务配置指导”中的“ARP”;关于ND的详细介绍请参见“三层技术-IP业务配置指导”中的“IPv6基础”。
IRF分裂后,通过分裂检测机制IRF会检测到网络中存在其它处于正常工作状态的IRF。
· 对于LACP MAD和BFD MAD检测,冲突处理会先比较两个IRF中成员设备的数量,数量多的IRF继续工作,数量少的迁移到Recovery状态(即禁用状态)。如果成员数量相等,则主设备成员编号小的IRF继续工作,其它IRF迁移到Recovery状态。
· 对于ARP MAD和ND MAD检测,冲突处理会直接让主设备成员编号小的IRF继续工作;其它IRF迁移到Recovery状态。
IRF迁移到Recovery状态后会关闭该IRF中所有成员设备上除保留端口以外的其它所有业务端口,以保证该IRF不能再转发业务报文。保留端口可通过mad exclude interface命令配置。
IRF链路故障导致IRF分裂,从而引起多Active冲突。因此修复故障的IRF链路,让冲突的IRF重新合并为一个IRF,就能恢复MAD故障。
IRF链路修复后,系统会给出提示信息要求用户手工重启处于Recovery状态的IRF。
重启后,原Recovery状态IRF中所有成员设备以从设备身份加入原正常工作状态的IRF,原Recovery状态IRF中被强制关闭的业务接口会自动恢复到真实的物理状态,整个IRF系统恢复,如图1-6所示。
· 请根据提示重启处于Recovery状态的IRF,如果错误的重启了正常工作状态的IRF,会导致合并后的IRF仍然处于Recovery状态,所有成员设备的业务接口都会被关闭。此时,需要执行mad restore命令让整个IRF系统恢复。
图1-6 MAD故障恢复(IRF链路故障)
如果MAD故障还没来得及恢复而处于正常工作状态的IRF也故障了(原因可能是设备故障或者上下行线路故障),如图1-7所示。此时可以在Recovery状态的IRF上执行mad restore命令,让Recovery状态的IRF恢复到正常状态,先接替原正常工作状态的IRF工作。然后再修复故障的IRF和链路。
图1-7 MAD故障恢复(IRF链路故障修复前,正常工作状态的IRF故障)
设备支持的MAD检测方式有:LACP MAD检测、BFD MAD检测、ARP MAD检测和ND MAD检测。四种MAD检测机制各有特点,用户可以根据现有组网情况进行选择。
表1-1 MAD检测机制的比较
|
MAD检测方式 |
优势 |
限制 |
适用组网 |
|
LACP MAD |
· 检测速度快 · 利用现有聚合组网即可实现,无需占用额外接口 |
需要使用H3C设备(支持扩展LACP协议报文)作为中间设备 |
IRF使用聚合链路和上行设备或下行设备连接 |
|
BFD MAD |
· 检测速度较快 · 使用中间设备时,不要求中间设备必须为H3C设备 |
需要专用的物理链路和三层接口,这些接口不能再传输普通业务流量 |
· 对组网没有特殊要求 · 如果不使用中间设备,则仅适用于成员设备少(建议仅2台成员设备时使用),并且物理距离比较近的组网环境 |
|
ARP MAD |
· 可以不使用中间设备 · 使用中间设备时,不要求中间设备必须为H3C设备 · 无需占用额外接口 |
· 检测速度慢于LACP MAD和BFD MAD · 必须和生成树协议配合使用 |
适用于使用生成树,没有使用链路聚合的IPv4组网环境 |
|
ND MAD |
· 可以不使用中间设备 · 使用中间设备时,不要求中间设备必须为H3C设备 · 无需占用额外接口 |
· 检测速度慢于LACP MAD和BFD MAD · 必须和生成树协议配合使用 |
适用于使用生成树,没有使用链路聚合的IPv6组网环境 |
LACP MAD检测通过扩展LACP协议报文实现,通常采用如图1-8所示的组网:
· 每个成员设备都需要连接到中间设备。
· 成员设备连接中间设备的链路加入动态聚合组。
· 中间设备需要支持扩展LACP报文。
图1-8 LACP MAD检测组网示意图
扩展LACP协议报文定义了一个新的TLV(Type/Length/Value,类型/长度/值)数据域——用于交互IRF的DomainID(域编号)和ActiveID(主设备的成员编号)。开启LACP MAD检测后,成员设备通过LACP协议报文和其它成员设备交互DomainID和ActiveID信息。
· 如果DomainID不同,表示报文来自不同IRF,不需要进行MAD处理。
· 如果DomainID相同,ActiveID也相同,表示没有发生多Active冲突。
· 如果DomainID相同,ActiveID不同,表示IRF分裂,检测到多Active冲突。
BFD MAD检测通过BFD协议实现。我们可以使用以太网端口来实现BFD MAD检测。
使用以太网端口实现BFD MAD时,请注意如下组网要求:
· 不使用中间设备时,每台成员设备必须和其它所有成员设备之间建立BFD MAD检测链路(如图1-10所示)。使用中间设备时(如图1-9所示),每台成员设备都需要和中间设备建立BFD MAD检测链路。
· 用于BFD MAD检测的以太网端口加入同一三层聚合组,在该三层聚合接口视图下为每台成员设备配置MAD IP地址。
需要注意的是:
· BFD MAD检测链路和BFD MAD检测三层聚合接口必须是专用的,不允许配置任何其它特性。
· MAD IP地址应该为同一网段内的不同IP地址。
· 两台以上设备组成IRF时,请优先采用中间设备组网方式,避免特殊情况下全连接组网中可能出现的广播环路问题。
· 使用三层聚合接口配置BFD MAD时,聚合成员端口的个数不能超过聚合组最大选中端口数。否则,由于超出聚合组最大选中端口数的成员端口无法成为选中端口,会使BFD MAD无法正常工作,工作状态显示为Faulty。有关聚合组最大选中端口的说明及其配置方式请参见“二层技术-以太网交换配置指导”中的“以太网链路聚合”。
图1-9 使用中间设备实现BFD MAD检测组网示意图
图1-10 不使用中间设备实现BFD MAD检测组网示意图
BFD MAD实现原理如下:
· 当IRF正常运行时,只有主设备上配置的MAD IP地址生效,从设备上配置的MAD IP地址不生效,BFD会话处于down状态;(使用display bfd session命令查看BFD会话的状态。如果Session State显示为Up,则表示激活状态;如果显示为Down,则表示处于down状态)。
· 当IRF分裂形成多个IRF时,不同IRF中主设备上配置的MAD IP地址均会生效,BFD会话被激活,此时会检测到多Active冲突。
ARP MAD检测是通过使用扩展ARP协议报文交互IRF的DomainID和ActiveID实现的。
配置ARP MAD时,可以使用中间设备,也可以不使用中间设备。
· 使用中间设备时,每台成员设备都需要和中间设备建立连接,如图1-11所示。IRF和中间设备之间需要运行生成树协议。可以使用数据链路作为ARP MAD检测链路。
· 不使用中间设备时,每台成员设备必须和其它所有成员设备之间建立ARP MAD检测链路。
图1-11 ARP MAD检测组网示意图
开启ARP MAD检测后,成员设备通过ARP协议报文和其它成员设备交互DomainID和ActiveID信息。
· 如果DomainID不同,表示报文来自不同IRF,不需要进行MAD处理。
· 如果DomainID相同,ActiveID也相同,表示没有发生多Active冲突。
· 如果DomainID相同,ActiveID不同,表示IRF分裂,检测到多Active冲突。
ND MAD检测是通过扩展ND协议报文内容实现的,即使用ND的NS协议报文携带扩展选项数据来交互IRF的DomainID和ActiveID。
配置ND MAD时,可以使用中间设备,也可以不使用中间设备。
· 使用中间设备时,每台成员设备都需要和中间设备建立连接,如图1-12所示。IRF和中间设备之间需要运行生成树协议。
· 不使用中间设备时,每台成员设备必须和其它所有成员设备之间建立ND MAD检测链路。
图1-12 ND MAD检测组网示意图
开启ND MAD检测后,成员设备通过ND协议报文和其它成员设备交互DomainID和ActiveID信息。
· 如果DomainID不同,表示报文来自不同IRF,不需要进行MAD处理。
· 如果DomainID相同,ActiveID也相同,表示没有发生多Active冲突。
· 如果DomainID相同,ActiveID不同,表示IRF分裂,检测到多Active冲突。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
F1000-E-G5、F1000-H-G5 |
支持 |
|
F100-C-G5、F100-M-G5、F100-S-G5 |
不支持 |
|
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
支持 |
|
F100-A-G3、F100-C-G3、F100-E-G3、F100-M-G3、F100-S-G3 |
· F100-A-G3、F100-E-G3:支持 · F100-C-G3、F100-S-G3、F100-M-G3:不支持 |
|
F1000-E-VG、F1000-S-VG |
· F1000-E-VG:支持 · F1000-S-VG:不支持 |
|
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
支持 |
|
F100-A-G2、F100-C-G2、F100-E-G2、F100-M-G2、F100-S-G2 |
· F100-A-G2、F100-E-G2:支持 · F100-C-G2、F100-M-G2、F100-S-G2:不支持 |
|
F1000-C-EI、F100-A-EI、F100-A-SI、F100-C-EI、F100-E-EI |
· F1000-C-EI、F100-A-EI、F100-A-SI、F100-E-EI:支持 · F100-C-EI:不支持 |
|
F100-A80-WiNet、F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet |
· F100-A80-WiNet:支持 · F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet:不支持 |
|
F1000-C8395 |
支持 |
|
F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
· F1000-C8180、F1000-C8170、F1000-C8160:支持 · F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110:不支持 |
|
F100-C-A6、F100-C-A5、F100-C-A3 |
不支持 |
|
F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
不支持 |
|
F1000-C-HI、F100-A-HI、F100-C-HI、F100-S-HI |
· F1000-C-HI、F100-A-HI:支持 · F100-C-HI、F100-S-HI:不支持 |
|
F1000-720-HI、F1000-710-HI |
不支持 |
|
F100-C-XI、F100-S-XI |
不支持 |
|
F1000-9390-AI、F1000-9385-AI |
支持 |
|
F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI |
· F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI:支持 · F1000- 910-AI、F1000-905-AI:不支持 |
|
LSPM6FWD8、LSQM2FWDSC8 |
支持 |
通常情况下,必须是同一型号的产品才能组成IRF。
IRF中所有成员设备的软件版本必须相同,如果有软件版本不同的设备要加入IRF,请确保IRF的启动文件同步加载功能处于开启状态。
一个IRF中允许加入的成员设备的最大数量为2。
通常情况下,要求是设备上的高速率端口。
设备出厂时没有将IRF端口与IRF物理端口绑定,需要用户通过命令行手工配置后才能用于IRF。
不能将Console口、管理口(面板标识为MGMT,编号为M-GigabitEthernet开头)和配置了Bypass功能或面板标识了Bypass功能的接口作为IRF物理端口。
H3C SecBlade IV NGFW防火墙插卡支持使用前面板接口作为IRF物理端口。对于前面板支持10GE和GE多个接口的插卡,仅支持使用10GE接口作为IRF物理接口。
万兆光口(面板标识为10GBASE-R,编号为XGE或Ten-GigabitEthernet开头)安装千兆光模块时,不建议将该接口配置为IRF物理端口。
设备具体哪些端口可以作为IRF物理端口与设备的型号有关,请以设备的实际情况为准。
|
型号 |
说明 |
|
F1000-E-G5、F1000-H-G5 |
仅XGE1/0/14~XGE1/0/17、XGE1/0/20~ XGE1/0/21可作为IRF物理端口 |
|
F100-C-G5、F100-M-G5、F100-S-G5 |
不支持IRF |
|
F1000-A-G3、F1000-C-G3、F1000-E-G3、F1000-S-G3 |
· F1000-A-G3、F1000-E-G3:仅XGE1/0/14~XGE1/0/17、XGE1/0/20~XGE1/0/21可作为IRF物理端口 · F1000-C-G3、F1000-S-G3:仅GE1/0/14~GE1/0/17、XGE1/0/20~XGE1/0/21可作为IRF物理端口 |
|
F100-A-G3、F100-C-G3、F100-E-G3、F100-M-G3、F100-S-G3 |
· F100-A-G3、F100-E-G3:所有端口均可作为IRF物理端口 · F100-C-G3、F100-S-G3、F100-M-G3:不支持IRF |
|
F1000-E-VG、F1000-S-VG |
· F1000-E-VG:所有端口均可作为IRF物理端口 · F1000-S-VG:不支持IRF |
|
F1000-A-G2、F1000-C-G2、F1000-E-G2、F1000-S-G2 |
所有端口均可作为IRF物理端口 |
|
F100-A-G2、F100-C-G2、F100-E-G2、F100-M-G2、F100-S-G2 |
· F100-A-G2、F100-E-G2:所有端口均可作为IRF物理端口 · F100-C-G2、F100-M-G2、F100-S-G2:不支持IRF |
|
F1000-C-EI、F100-A-EI、F100-A-SI、F100-C-EI、F100-E-EI |
· F1000-C-EI、F100-A-EI、F100-A-SI、F100-E-EI:所有端口均可作为IRF物理端口 · F100-C-EI:不支持IRF |
|
F100-A80-WiNet、F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet |
· F100-A80-WiNet:所有端口均可作为IRF物理端口 · F100-C80-WiNet、F100-C60-WiNet、F100-C50-WiNet、F100-S80-WiNet:不支持IRF |
|
F1000-C8395 |
仅XGE1/0/14~XGE1/0/17、XGE1/0/20~ XGE1/0/21可作为IRF物理端口 |
|
F1000-C8180、F1000-C8170、F1000-C8160、F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110 |
· F1000-C8180、F1000-C8170、F1000-C8160:所有端口均可作为IRF物理端口 · F1000-C8150、F1000-C8130、F1000-C8120、F1000-C8110:不支持IRF |
|
F100-C-A6、F100-C-A5、F100-C-A3 |
不支持IRF |
|
F100-C-A6-WL、F100-C-A5-W、F100-C-A3-W |
不支持IRF |
|
F1000-C-HI、F100-A-HI、F100-C-HI、F100-S-HI |
· F1000-C-HI、F100-A-HI:所有端口均可作为IRF物理端口 · F100-C-HI、F100-S-HI:不支持IRF |
|
F1000-720-HI、F1000-710-HI |
不支持IRF |
|
F100-C-XI、F100-S-XI |
不支持IRF |
|
F1000-9390-AI、F1000-9385-AI |
仅XGE1/0/14~XGE1/0/17、XGE1/0/20~ XGE1/0/21可作为IRF物理端口 |
|
F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI、F1000-910-AI、F1000-905-AI |
· F1000-990-AI、F1000-980-AI、F1000-970-AI、F1000-960-AI、F1000-950-AI、F1000-930-AI、F1000-920-AI:所有端口均可作为IRF物理端口 · F1000-910-AI、F1000-905-AI:不支持IRF |
|
LSPM6FWD8、LSQM2FWDSC8 |
· LSPM6FWD8:所有前面板接口均可作为IRF物理端口。此接口虽然标识为管理口,但是此接口实际是一个普通的以太网接口 · LSQM2FWDSC8:仅XGE1/0/1~XGE1/0/4可作为IRF物理端口 |
不同类型IRF物理端口需要采用不同的模块或线缆进行连接:
· 10/100/1000Mbps千兆以太网口:使用5类或5类以上双绞线进行连接。
· SFP口:使用SFP光模块及光纤或SFP电缆进行连接。
· SFP+口:使用SFP+光模块及光纤或SFP+电缆进行连接。
其中双绞线、电缆长度较短,性能和稳定性高,适用于机房内部短距离的IRF连接;而光模块和光纤的组合则更加灵活,可以用于较远距离的IRF连接。
关于各型号设备上可用于IRF连接的模块和电缆,请参见安装手册。
· 有关光模块和电缆的详细介绍,请参见《H3C光模块手册》。
· H3C光模块和电缆的种类随着时间变化有更新的可能性,所以,若您需要准确的模块种类信息,请咨询H3C公司市场人员或技术支援人员。
本设备上与IRF-Port1口绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连,本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定的IRF物理端口相连,如图1-13所示。否则,不能形成IRF。
一个IRF端口可以与一个或多个IRF物理端口绑定,以提高IRF链路的带宽以及可靠性。设备仅支持IRF物理端口直连组建IRF,不支持跨中间设备。
图1-13 IRF物理连接示意图
以太网接口作为IRF物理端口与IRF端口绑定后,只支持配置以下命令:
· 接口配置命令,包括shutdown、description和flow-interval命令。有关这些命令的详细介绍,请参见“接口管理命令参考”中的“以太网接口”。
· 配置光模块的ITU通道编号itu-channel。有关itu-channel命令的详细介绍,请参见“基础配置命令参考”中的“设备管理”。
· LLDP功能命令,包括lldp admin-status、lldp check-change-interval、lldp enable、lldp encapsulation snap、lldp notification remote-change enable和lldp tlv-enable。有关这些命令的详细介绍,请参见“二层技术-以太网交换命令参考”中的“LLDP”。
· 将端口配置为远程源镜像反射端口,mirroring-group reflector-port命令,但配置后端口与IRF端口绑定的配置将被清除。当IRF端口只绑定了一个物理端口时请勿进行此配置,以免IRF分裂。有关该命令的详细介绍,请参见“网络管理和监控命令参考”中的“端口镜像”。
请确保IRF中各成员设备上安装的特性License一致,否则,可能会导致这些License对应的特性不能正常运行。
以下IRF相关配置不支持配置回滚:
· 配置成员设备的描述信息(irf member description)
· 配置IRF中成员设备的优先级(irf member priority)
· 配置IRF端口与IRF物理端口的绑定关系(port group interface)
有关配置回滚的详细介绍,请参见“基础配置指导”中的“配置文件”。
IRF配置任务如下:
(1) 搭建IRF
(2) 配置MAD
请至少选择其中一项MAD检测方案进行配置。
¡ 配置保留接口
IRF迁移到Recovery状态后会关闭该IRF中除保留接口以外的所有业务接口。如果接口有特殊用途需要保持up状态(比如Telnet登录接口),可以将这些接口配置为保留接口。
¡ MAD故障恢复
(3) (可选)调整和优化IRF
新设备加入IRF,且新设备的软件版本和主设备的软件版本不一致时,新设备自动从主设备下载启动文件,然后使用新的系统启动文件重启,重新加入IRF。
· 硬件兼容性和限制(选择哪些型号的设备,是否要求同型号)
· IRF规模(包含几台成员设备)
· 使用哪台设备作为主设备
· 各成员设备编号和优先级分配方案。IRF形成后,尽量不要修改成员编号。
· IRF拓扑和物理连接方案
· 确定IRF物理端口
搭建IRF配置任务如下:
(1) 分别配置成员编号、成员优先级、IRF端口。
用户可忽略本步骤,采用快速配置IRF基本参数的方式。
a. 配置成员编号
b. (可选)配置成员优先级
c. 配置IRF端口
(2) 快速配置IRF基本参数
用户可忽略本步骤,采用分别配置成员编号、成员优先级、IRF端口的方式。
(3) 连接IRF物理接口
(4) 访问IRF
配置成员编号时,请确保该编号在IRF中唯一。如果存在相同的成员编号,则不能建立IRF。如果新设备加入IRF,但是该设备与已有成员设备的编号冲突,则该设备不能加入IRF。
· 修改成员编号后,但是没有重启本设备,则原编号继续生效,各物理资源仍然使用原编号来标识。
· 修改成员编号后,如果保存当前配置,重启本设备,则新的成员编号生效,需要用新编号来标识物理资源;配置文件中,只有IRF端口的编号以及IRF端口下的配置、成员优先级会继续生效,其它与成员编号相关的配置(比如普通物理接口的配置等)不再生效,需要重新配置。
IRF形成后,也可以通过本配置修改成员编号。但是,为了避免配置丢失,形成IRF后,尽量不要修改成员编号。
(1) 进入系统视图。
system-view
(2) 配置成员编号。
irf member member-id renumber new-member-id
缺省情况下,设备的成员编号为1。
在主设备选举过程中,优先级数值大的成员设备将优先被选举成为主设备。
IRF形成后,也可以通过本配置修改成员优先级,但修改不会触发选举,修改的优先级在下一次选举时生效。
(1) 进入系统视图。
system-view
(2) 配置IRF中指定成员设备的优先级。
irf member member-id priority priority
缺省情况下,设备的成员优先级为1。
请先确认哪些接口可以作为IRF物理端口,请参见“1.3.4 确定IRF物理端口”。
同一IRF端口绑定的IRF物理端口的工作模式必须相同。
将IRF物理端口绑定到IRF端口后,必须通过irf-port-configuration active命令手工激活IRF端口的配置才能形成IRF。
系统启动时,通过配置文件将IRF物理端口加入IRF端口,或者IRF形成后再加入新的IRF物理端口时,IRF端口下的配置会自动激活,不需要使用irf-port-configuration active命令来激活。
(1) 进入系统视图。
system-view
(2) 进入IRF物理端口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入一组接口的批量配置视图。
interface range { interface-type interface-number [ to interface-type interface-number ] } &<1-24>
在将一个IRF端口与多个物理端口进行绑定时,通过接口批量配置视图可以更快速的完成关闭和开启多个端口的操作。
(3) 关闭接口。
shutdown
缺省情况下,设备的接口为开启状态。
如果允许关闭当前端口,则直接在该接口视图下执行shutdown命令即可;如果不能关闭该端口,请根据系统提示信息关闭该端口直连的邻居设备上的端口。
(4) 退回系统视图。
quit
(5) 进入IRF端口视图。
irf-port member-id/irf-port-number
(6) 将IRF端口和IRF物理端口绑定。
port group interface interface-type interface-number
缺省情况下,IRF端口没有和任何IRF物理端口绑定。
多次执行该命令,可以将IRF端口与多个IRF物理端口绑定,以实现IRF链路的备份或负载分担。
(7) 退回系统视图。
quit
(8) 进入IRF物理端口视图。
¡ 进入二层以太网接口视图。
interface interface-type interface-number
¡ 进入一组接口的批量配置视图。
interface range { interface-type interface-number [ to interface-type interface-number ] } &<1-24>
在将一个IRF端口与多个物理端口进行绑定时,通过接口批量配置视图可以更快速的完成关闭和开启多个端口的操作。
(9) 打开接口。
undo shutdown
(10) 退回系统视图。
quit
(11) 保存当前配置。
save
激活IRF端口会引起IRF合并,被选为从设备的成员设备重启。为了避免重启后配置丢失,请在激活IRF端口前先将当前配置保存到下次启动配置文件。
(12) 激活IRF端口下的配置。
irf-port-configuration active
使用本功能,用户可以通过一条命令配置IRF的基本参数,包括成员编号、域编号、成员优先级、绑定物理端口,简化了配置步骤,达到快速配置IRF的效果。
在配置该功能时,有两种方式:
· 交互模式:用户输入easy-irf,回车,在交互过程中输入具体参数的值。
· 非交互模式,在输入命令行时直接指定所需参数的值。
两种方式的配置效果相同,如果用户对本功能不熟悉,建议使用交互模式。
· 在IRF中以设备编号标志设备,配置IRF端口和优先级也是根据设备编号来配置的,所以,修改设备成员编号可能导致设备配置发生变化或者丢失,请慎重处理。
· 如果给成员设备指定新的成员编号,该成员设备会立即自动重启,以使新的成员编号生效。
多次使用该功能,修改域编号/优先级/IRF物理端口时,域编号和优先级的新配置覆盖旧配置,IRF物理端口的配置会新旧进行叠加。如需删除旧的IRF物理端口配置,需要在IRF端口视图下,执行undo port group interface命令。
在交互模式下,为IRF端口指定物理端口时,请注意:
· 接口类型和接口编号间不能有空格。
· 不同物理接口之间用英文逗号分隔,逗号前后不能有空格。
(1) 进入系统视图。
system-view
(2) 快速配置IRF。
easy-irf [ member member-id [ renumber new-member-id ] domain domain-id [ priority priority ] [ irf-port1 interface-list1 ] [ irf-port2 interface-list2 ] ]
若在多成员设备的IRF环境中使用该命令,请确保配置的新成员编号与当前IRF中的成员编号不冲突。
请按照拓扑规划和“1.3.6 IRF物理端口连接要求”完成IRF物理端口连接。设备间将会进行主设备选举,选举失败的一方自动重启。重启完成后,IRF形成。
IRF的访问方式如下:
· 本地登录:通过任意成员设备的AUX或者Console口登录。
· 远程登录:给任意成员设备的任意三层接口配置IP地址,并且路由可达,就可以通过Telnet、SNMP等方式进行远程登录。
不管使用哪种方式登录IRF,实际上登录的都是主设备。主设备是IRF系统的配置和控制中心,在主设备上配置后,主设备会将相关配置同步给从设备,以便保证主设备和从设备配置的一致性。
冲突处理原则不同的检测方式请不要同时配置:
· LACP MAD和ARP MAD、ND MAD不要同时配置。
· BFD MAD和ARP MAD、ND MAD不要同时配置。
IRF域编号是一个全局变量,IRF中的所有成员设备都共用这个IRF域编号。在IRF设备上使用irf domain、mad enable、mad arp enable、mad nd enable命令均可修改全局IRF域编号,最新的配置生效。请按照网络规划来修改IRF域编号,不要随意修改。
在IRF设备上使用Context功能时,缺省Context上通过irf domain命令,或者在任意Context上通过mad enable、mad arp enable、mad nd enable命令均可修改全局IRF域编号,最新的配置生效。请按照网络规划来修改IRF域编号,不要随意修改。
在LACP MAD、ARP MAD和ND MAD检测组网中,如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同,否则可能造成检测异常,甚至导致业务中断。在BFD MAD检测组网中,IRF域编号为可选配置。
如果接口因为多Active冲突被关闭,则只能等IRF恢复到正常工作状态后,接口才能自动被激活,不允许通过undo shutdown命令来激活,否则可能引起配置冲突,导致故障在网络中扩大。
(1) 进入系统视图。
system-view
(2) 配置IRF域编号。
irf domain domain-id
缺省情况下,IRF的域编号为0。
修改设备的IRF域编号,会导致设备离开当前IRF,不再属于当前IRF,不能和当前IRF中的设备交互IRF协议报文。
(3) 创建并进入聚合接口视图。请选择其中一项进行配置。
¡ 进入二层聚合接口视图。
interface bridge-aggregation interface-number
¡ 进入三层聚合接口视图。
interface route-aggregation interface-number
中间设备上也需要进行此项配置。
(4) 配置聚合组工作在动态聚合模式下。
link-aggregation mode dynamic
缺省情况下,聚合组工作在静态聚合模式下。
中间设备上也需要进行此项配置。
(5) 开启LACP MAD检测功能。
mad enable
缺省情况下,LACP MAD检测功能处于关闭状态。
(6) 退回系统视图。
quit
(7) 进入以太网接口视图。
interface interface-type interface-number
(8) 将以太网接口加入聚合组。
port link-aggregation group group-id
中间设备上也需要进行此项配置。
使用三层聚合接口进行BFD MAD检测时,请注意表1-2所列配置注意事项。
|
注意事项类别 |
使用限制和注意事项 |
|
三层聚合接口配置 |
· 必须使用静态聚合模式的三层聚合接口(聚合接口缺省工作在静态聚合模式) · 聚合成员端口的个数不能超过聚合组最大选中端口数。否则,由于超出聚合组最大选中端口数的成员端口无法成为选中端口,会使BFD MAD无法正常工作,工作状态显示为Faulty |
|
BFD MAD检测VLAN |
· 如果使用中间设备,请将中间设备上用于BFD MAD检测的物理接口添加到同一个VLAN中,并允许PVID的报文不带Tag通过。中间设备上的端口不用加入聚合组 · 如果设备充当多个IRF BFD MAD检测的中间设备,请为各IRF分配不同的VLAN · 中间设备上用于BFD MAD检测的VLAN必须专用,不允许运行其他业务。且该VLAN中只能包含BFD MAD检测链路上的端口,请不要将其它端口加入该VLAN。当某个业务端口需要使用port trunk permit vlan all命令允许所有VLAN通过时,请使用undo port trunk permit命令将用于BFD MAD的VLAN排除 |
|
开启BFD MAD检测功能的三层聚合接口的特性限制 |
开启BFD MAD检测功能的接口只能配置mad bfd enable和mad ip address命令。如果用户配置了其它业务,可能会影响该业务以及BFD MAD检测功能的运行 |
|
MAD IP地址 |
· 在用于BFD MAD检测的接口下必须使用mad ip address命令配置MAD IP地址,而不要配置其它IP地址(包括使用ip address命令配置的普通IP地址、VRRP虚拟IP地址等),以免影响MAD检测功能 · 为不同成员设备配置同一网段内的不同MAD IP地址 |
system-view
(2) (可选)配置IRF域编号。
irf domain domain-id
缺省情况下,IRF的域编号为0。
(3) 创建一个新三层聚合接口专用于BFD MAD检测。
interface route-aggregation interface-number
(4) 退回系统视图。
quit
(5) 进入以太网接口视图。
interface interface-type interface-number
(6) 将端口加入BFD MAD检测专用聚合组。
port link-aggregation group number
(7) 退回系统视图。
quit
(8) 进入三层聚合接口视图。
interface route-aggregation interface-number
(9) 开启BFD MAD检测功能。
mad bfd enable
缺省情况下,BFD MAD检测功能处于关闭状态。
(10) 给指定成员设备配置MAD IP地址。
mad ip address ip-address { mask | mask-length } member member-id
缺省情况下,未配置成员设备的MAD IP地址。
配置ARP MAD检测时,请注意表1-3所列配置注意事项。
表1-3 ARP MAD检测配置注意事项
|
注意事项类别 |
使用限制和注意事项 |
|
ARP MAD检测VLAN |
· 不允许在Vlan-interface1接口上开启ARP MAD检测功能 · 如果使用中间设备,需要进行如下配置: ¡ 在IRF设备和中间设备上,创建专用于ARP MAD检测的VLAN ¡ 在IRF设备和中间设备上,将用于ARP MAD检测的物理接口添加到ARP MAD检测专用VLAN中 ¡ 在IRF设备上,创建ARP MAD检测的VLAN的VLAN接口 · 建议勿在ARP MAD检测VLAN上运行其它业务 |
|
兼容性配置指导 |
如果使用中间设备,请确保满足如下要求: · IRF和中间设备上均需配置生成树功能。并确保配置生成树功能后,只有一条ARP MAD检测链路处于转发状态。关于生成树功能的详细介绍请参见“二层技术-以太网交换配置指导”中的“生成树” · 如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同 |
(1) 进入系统视图。
system-view
(2) 配置IRF域编号。
irf domain domain-id
缺省情况下,IRF的域编号为0。
修改设备的IRF域编号,会导致设备离开当前IRF,不再属于当前IRF,不能和当前IRF中的设备交互IRF协议报文。
(3) 将IRF的桥MAC保留时间配置为立即改变。
undo irf mac-address persistent
缺省情况下IRF桥MAC保留时间为6分钟。
(4) 创建一个新VLAN专用于ARP MAD检测。
vlan vlan-id
缺省情况下,设备上只存在VLAN 1。
VLAN 1不能用于ARP MAD检测。
如果使用中间设备,中间设备上也需要进行此项配置。
(5) 退回系统视图。
quit
(6) 进入以太网接口视图。
interface interface-type interface-number
(7) 将端口加入ARP MAD检测专用VLAN。
¡ 将Access端口加入ARP MAD检测专用VLAN。
port access vlan vlan-id
¡ 将Trunk端口加入ARP MAD检测专用VLAN。
port trunk permit vlan vlan-id
¡ 将Hybrid端口加入ARP MAD检测专用VLAN。
port hybrid vlan vlan-id { tagged | untagged }
ARP MAD检测对检测端口的链路类型没有要求,不需要刻意修改端口的当前链路类型。缺省情况下,端口的链路类型为Access。
如果使用中间设备,中间设备上也需要进行此项配置。
(8) 退回系统视图。
quit
(9) 进入VLAN接口视图。
interface vlan-interface interface-number
(10) 配置IP地址。
ip address ip-address { mask | mask-length }
缺省情况下,未配置VLAN接口的IP地址。
(11) 开启ARP MAD检测功能。
mad arp enable
缺省情况下,ARP MAD检测功能处于关闭状态。
· 当ND MAD检测组网使用中间设备进行连接时,可使用普通的数据链路作为ND MAD检测链路;当不使用中间设备时,需要在所有的成员设备之间建立两两互联的ND MAD检测链路。
· 如果使用中间设备组网,在IRF和中间设备上均需配置生成树功能。并确保配置生成树功能后,只有一条ND MAD检测链路处于转发状态,能够转发ND MAD检测报文。关于生成树功能的详细描述和配置请参见“二层技术-以太网交换配置指导”中的“生成树”。
(1) 进入系统视图。
system-view
(2) 配置IRF域编号。
irf domain domain-id
缺省情况下,IRF的域编号为0。
(3) 将IRF的桥MAC保留时间配置为立即改变。
undo irf mac-address persistent
缺省情况下IRF桥MAC保留6分钟。
(4) 创建一个新VLAN专用于ND MAD检测。
vlan vlan-id
缺省情况下,设备上只存在VLAN 1。
VLAN 1不能用于ND MAD检测。
如果使用中间设备,中间设备上也需要进行此项配置。
(5) 退回系统视图。
quit
(6) 进入以太网接口视图。
interface interface-type interface-number
(7) 端口加入ND MAD检测专用VLAN。
¡ 将Access端口加入ND MAD检测专用VLAN。
port access vlan vlan-id
¡ 将Trunk端口加入ND MAD检测专用VLAN。
port trunk permit vlan vlan-id
¡ 将Hybrid端口加入ND MAD检测专用VLAN。
port hybrid vlan vlan-id { tagged | untagged }
ND MAD检测对检测端口的链路类型没有要求,不需要刻意修改端口的当前链路类型。缺省情况下,端口的链路类型为Access。
如果使用中间设备,中间设备上也需要进行此项配置。
(8) 退回系统视图。
quit
(9) 进入VLAN接口视图。
interface vlan-interface interface-number
(10) 配置IPv6地址。
ipv6 address { ipv6-address/pre-length | ipv6 address pre-length }
缺省情况下,未配置VLAN接口的IPv6地址。
(11) 开启ND MAD检测功能。
mad nd enable
缺省情况下,ND MAD检测功能处于关闭状态。
IRF系统在进行多Active处理的时候,缺省情况下,会关闭Recovery状态IRF上除了系统保留接口外的所有业务接口。系统保留接口包括:
· IRF物理端口
· 用户配置的保留聚合接口的成员接口
如果接口有特殊用途需要保持up状态(比如Telnet登录接口等),则用户可以通过命令行将这些接口配置为保留接口。
使用VLAN接口进行远程登录时,需要将该VLAN接口及其对应的以太网端口都配置为保留接口。但如果在正常工作状态的IRF中该VLAN接口也处于UP状态,则在网络中会产生IP地址冲突。
(1) 进入系统视图。
system-view
(2) 配置保留接口,当设备进入Recovery状态时,该接口不会被关闭。
mad exclude interface interface-type interface-number
缺省情况下,设备进入Recovery状态时会自动关闭本设备上除了系统保留接口以外的所有业务接口。
当MAD故障恢复时,处于Recovery状态的设备重启后重新加入IRF,被MAD关闭的接口会自动恢复到正常状态。
如果在MAD故障恢复前,正常工作状态的IRF出现故障,可以通过配置本功能先启用Recovery状态的IRF。配置本功能后,Recovery状态的IRF中被MAD关闭的接口会恢复到正常状态,保证业务尽量少受影响。
(1) 进入系统视图。
system-view
(2) 将IRF从Recovery状态恢复到正常工作状态。
mad restore
当网络中存在多个IRF或者同一IRF中存在多台成员设备时可配置成员设备的描述信息进行标识。例如当成员设备的物理位置比较分散(比如在不同楼层甚至不同建筑)时,为了确认成员设备的物理位置,在组建IRF时可以将物理位置设置为成员设备的描述信息,以便后期维护。
(1) 进入系统视图。
system-view
(2) 配置IRF中指定成员设备的描述信息。
irf member member-id description text
缺省情况下,未配置成员设备的描述信息。
当IRF端口与多个IRF物理端口绑定时,成员设备之间就会存在多条IRF链路。通过改变IRF链路负载分担的类型,可以灵活地实现成员设备间流量的负载分担。
用户既可以指定系统按照报文携带的IP地址、MAC地址等信息之一或其组合来选择所采用的负载分担模式,也可以指定系统按照报文类型(如二层、IPv4、IPv6等)自动选择所采用的负载分担模式。
用户可以通过全局配置(系统视图下)和端口下(IRF端口视图下)配置的方式设置IRF链路的负载分担模式:
· 系统视图下的配置对所有IRF端口生效;
· IRF端口视图下的配置只对当前IRF端口生效;
· IRF端口会优先采用端口下的配置。如果端口下没有配置,则采用全局配置。
在端口下配置IRF链路负载分担模式前,IRF端口必须至少和一个IRF物理端口绑定。否则,端口负载分担模式将配置失败。
(1) 进入系统视图。
system-view
(2) 配置IRF链路的负载分担模式。
irf-port global load-sharing mode { destination-ip | destination-mac | source-ip | source-mac } *
缺省情况下,设备按照报文类型自动选择负载分担类型。
多次执行该命令配置不同负载分担模式时,以最新的配置为准。
(1) 进入系统视图。
system-view
(2) 进入IRF端口视图。
irf-port member-id/irf-port-number
(3) 配置IRF链路的负载分担模式。
irf-port load-sharing mode { destination-ip | destination-mac | source-ip | source-mac } *
缺省情况下,设备按照报文类型自动选择负载分担类型。
多次执行该命令配置不同负载分担模式时,以最新的配置为准。
桥MAC是设备作为网桥与外界通信时使用的MAC地址。一些二层协议(例如LACP)会使用桥MAC标识不同设备,所以网络上的桥设备必须具有唯一的桥MAC。如果网络中存在桥MAC相同的设备,则会引起桥MAC冲突,从而导致通信故障。IRF作为一台虚拟设备与外界通信,也具有唯一的桥MAC,称为IRF桥MAC。
通常情况下,IRF使用主设备的桥MAC作为IRF桥MAC,我们将这台主设备称为IRF桥MAC拥有者。如果IRF桥MAC拥有者离开,IRF继续使用该桥MAC的时间可以通过“1.8.3 3. 配置IRF的桥MAC保留时间”配置。当IRF的桥MAC保留时间到期后,系统会使用IRF中当前主设备的桥MAC做IRF的桥MAC。
IRF合并时,桥MAC的处理方式如下:
· IRF合并时,如果有成员设备的桥MAC相同,则它们不能合并为一个IRF。IRF的桥MAC不受此限制,只要成员设备自身桥MAC唯一即可。
· 两台IRF合并后,IRF的桥MAC为竞选获胜的一方的桥MAC。
桥MAC冲突会引起通信故障,桥MAC变化可能导致流量短时间中断,请谨慎配置。
当使用ARP MAD和MSTP组网或者ND MAD和MSTP组网时,需要将IRF配置为桥MAC地址立即改变,即配置undo irf mac-address persistent命令。
当IRF设备上存在跨成员设备的聚合链路时,请不要使用undo irf mac-address persistent命令配置IRF的桥MAC立即变化,否则可能会导致流量中断。
(1) 进入系统视图。
system-view
(2) 配置IRF的桥MAC保留时间。请选择其中一项进行配置。
¡ 配置IRF的桥MAC永久保留。
irf mac-address persistent always
配置IRF的桥MAC保留时间为6分钟。
irf mac-address persistent timer
¡ 配置IRF的桥MAC不保留,立即变化。
undo irf mac-address persistent
缺省情况下IRF桥MAC保留6分钟。
配置IRF桥MAC保留时间适用于IRF桥MAC拥有者短时间内离开又回到IRF的情况(例如设备重启或者链路临时故障),可以减少不必要的桥MAC切换导致的流量中断。
如果新设备加入IRF,并且新设备的软件版本和主设备的软件版本不一致,则新加入的设备不能正常启动。此时:
· 如果没有开启启动文件的自动加载功能,则需要用户手工升级新设备后,再将新设备加入IRF。或者在主设备上开启启动文件的自动加载功能,重启新设备,让新设备重新加入IRF。
· 如果已经开启了启动文件的自动加载功能,则新设备加入IRF时,会与主设备的软件版本号进行比较,如果不一致,则自动从主设备下载启动文件,然后使用新的系统启动文件重启,重新加入IRF。如果新下载的启动文件与设备上原有启动文件重名,则原有启动文件会被覆盖。
加载启动软件包需要一定时间,在加载期间,请不要手工重启处于加载状态的从设备,否则,会导致该从设备加载启动软件包失败而不能启动。用户可打开日志信息显示开关,并根据日志信息的内容来判断加载过程是否开始以及是否结束。
为了能够自动加载成功,请确保从设备存储介质上有足够的空闲空间用于存放新的启动文件。如果从设备存储介质上空闲空间不足,系统会自动删除从设备的当前启动文件来完成加载。如果删除从设备的当前启动文件后空间仍然不足,从设备将无法进行自动加载。此时,需要管理员重启从设备并进入从设备的Boot ROM菜单,删除一些不重要的文件后,再让从设备重新加入IRF。
(1) 进入系统视图。
system-view
(2) 开启IRF系统启动文件的自动加载功能。
irf auto-update enable
缺省情况下,IRF系统启动文件的自动加载功能处于开启状态。
如果在IRF建立后,用户需要拔出IRF物理端口所在的接口模块扩展卡,请先拔掉用于IRF连接的线缆,或者在IRF物理端口视图下执行shutdown命令关闭该端口,再进行拔出接口模块扩展卡的操作。
如果需要使用不同款型的接口模块扩展卡替换现有接口模块扩展卡进行IRF连接,请先解除现有接口模块扩展卡上所有IRF物理端口与IRF端口的绑定关系,然后拔出现有接口模块扩展卡,安装新接口模块扩展卡后再重新配置新接口模块扩展卡上的端口与IRF端口的绑定。
在完成上述配置后,在任意视图下执行display命令可以显示配置后IRF的运行情况,通过查看显示信息验证配置的效果。
表1-4 IRF显示和维护
|
操作 |
命令 |
|
显示IRF中所有成员设备的相关信息 |
display irf |
|
显示IRF的拓扑信息 |
display irf topology |
|
显示IRF链路信息 |
display irf link |
|
显示所有成员设备上重启以后生效的IRF配置 |
display irf configuration |
|
显示IRF链路的负载分担模式 |
display irf-port load-sharing mode [ irf-port [ member-id/port-number ] ] |
|
显示MAD配置信息 |
display mad [ verbose ] |
由于公司业务量激增,网络规模迅速扩大,当前中心设备(Device A)安全业务处理能力已经不能满足需求,现在需要另增一台设备Device B,将这两台设备组成一个IRF(如图1-14所示)。由于IRF到中间设备Device C有跨成员设备的聚合链路,且Device C为支持LACP协议的H3C设备,我们配置LACP MAD进行分裂检测。
图1-14 IRF典型配置组网图(LACP MAD检测方式)
(1) 配置Device A
# 配置IRF中成员编号为1的设备的优先级为32。
<DeviceA> system-view
[DeviceA] irf member 1 priority 32
# 配置IRF端口1/2,并将它与物理端口Ten-GigabitEthernet1/0/1绑定,并保存配置,然后激活IRF端口下的配置。
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] shutdown
[DeviceA-Ten-GigabitEthernet1/0/1] quit
[DeviceA] irf-port 1/2
[DeviceA-irf-port1/2] port group interface ten-gigabitethernet 1/0/1
[DeviceA-irf-port1/2] quit
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] undo shutdown
[DeviceA-Ten-GigabitEthernet1/0/1] quit
[DeviceA] save
[DeviceA] irf-port-configuration active
(2) 配置Device B
# 将Device B的成员编号配置为2,并重启设备使新编号生效。
<DeviceB> system-view
[DeviceB] irf member 1 renumber 2
Warning: Renumbering the member ID may result in configuration change or loss. Continue? [Y/N]:y
[DeviceB] quit
<DeviceB> reboot
# 参照配置组网图进行物理连线。
# 重新登录到设备,配置IRF端口2/1,将它与物理端口Ten-GigabitEthernet2/0/1绑定,并保存配置,然后激活IRF端口下的配置。
<DeviceB> system-view
[DeviceB] interface ten-gigabitethernet 2/0/1
[DeviceB-Ten-GigabitEthernet2/0/1] shutdown
[DeviceB-Ten-GigabitEthernet2/0/1] quit
[DeviceB] irf-port 2/1
[DeviceB-irf-port2/1] port group interface ten-gigabitethernet 2/0/1
[DeviceB-irf-port2/1] quit
[DeviceB] interface ten-gigabitethernet 2/0/1
[DeviceB-Ten-GigabitEthernet2/0/1] undo shutdown
[DeviceB-Ten-GigabitEthernet2/0/1] quit
[DeviceB] save
[DeviceB] irf-port-configuration active
(3) Device A和Device B间将会进行主设备竞选,竞选失败的一方(Device B)将重启,重启完成后,IRF形成。登录IRF主设备Device A。
(4) 配置LACP MAD检测
# 设置IRF域编号为1。
[DeviceA] irf domain 1
# 创建一个动态聚合接口,配置IP地址并开启LACP MAD检测功能。
[DeviceA] interface route-aggregation 2
[DeviceA-Route-Aggregation2] ip address 192.168.1.1 24
[DeviceA-Route-Aggregation2] link-aggregation mode dynamic
[DeviceA-Route-Aggregation2] mad enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
MAD LACP only enable on dynamic aggregation interface.
[DeviceA-Route-Aggregation2] quit
# 在聚合接口中添加成员端口Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet2/0/2,用于Device A和Device B实现LACP MAD检测。
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port link-aggregation group 2
[DeviceA-Ten-GigabitEthernet1/0/2] quit
[DeviceA] interface ten-gigabitethernet 2/0/2
[DeviceA-Ten-GigabitEthernet2/0/2] port link-aggregation group 2
[DeviceA-Ten-GigabitEthernet2/0/2] quit
(5) 请参考组网图中的规划,配置安全域和安全策略,对Intranet网络与IP network网络之间交互的报文进行安全控制。
(6) 配置中间设备Device C
· Device C作为中间设备来转发、处理LACP协议报文,协助Device A和Device B进行多Active检测。从节约成本的角度考虑,使用一台支持LACP协议扩展功能的设备即可。
· 如果中间设备是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同。
# 创建一个动态聚合接口,并配置IP地址。
<DeviceC> system-view
[DeviceC] interface route-aggregation 2
[DeviceC-Route-Aggregation2] link-aggregation mode dynamic
[DeviceC-Route-Aggregation2] ip address 192.168.1.2 24
[DeviceC-Route-Aggregation2] quit
# 在聚合接口中添加成员端口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2,用于帮助LACP MAD检测。
[DeviceC] interface ten-gigabitethernet 1/0/1
[DeviceC-Ten-GigabitEthernet1/0/1] port link-aggregation group 2
[DeviceC-Ten-GigabitEthernet1/0/1] quit
[DeviceC] interface ten-gigabitethernet 1/0/2
[DeviceC-Ten-GigabitEthernet1/0/2] port link-aggregation group 2
[DeviceC-Ten-GigabitEthernet1/0/2] quit
· IRF链路正常情况下查看相关配置
# 查看IRF相关信息,可见IRF成功建立,且DeviceA为主设备。
[DeviceA] display irf
MemberID Role Priority CPU-Mac Description
*+1 Master 32 487a-da95-93b5 ---
2 Standby 1 3897-d6a8-1b1a ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The bridge MAC of the IRF is: 487a-da95-93b3
Auto upgrade : yes
Mac persistent : no
Domain ID : 1
# 查看LACP MAD状态,状态正常。
[DeviceA] display mad verbose
Multi-active recovery state: No
Excluded ports (user-configured):
Excluded ports (system-configured):
Ten-GigabitEthernet1/0/1
Ten-GigabitEthernet2/0/1
MAD ARP disabled.
MAD ND disabled.
MAD LACP enabled interface: Route-Aggregation2
MAD status : Normal
Member ID Port MAD status
1 Ten-GigabitEthernet1/0/2 Normal
2 Ten-GigabitEthernet2/0/2 Normal
MAD BFD disabled.
· IRF链路异常情况下查看相关配置
# 查看LACP MAD状态,状态异常,表示IRF分裂。
[DeviceA] display mad verbose
Multi-active recovery state: No
Excluded ports (user-configured):
Excluded ports (system-configured):
Ten-GigabitEthernet1/0/1
MAD ARP disabled.
MAD ND disabled.
MAD LACP enabled interface: Route-Aggregation2
MAD status : Faulty
Member ID Port MAD status
1 Ten-GigabitEthernet1/0/2 Faulty
MAD BFD disabled.
# 查看Device B,可以看到Device B上的非保留端口全部被置为Down,显示信息略。
由于网络规模迅速扩大,当前中心设备(Device A)安全业务处理能力已经不能满足需求,现在需要另增一台设备Device B,将这两台设备组成一个IRF(如图1-15所示),并配置BFD MAD进行分裂检测。
图1-15 IRF典型配置组网图(BFD MAD检测方式)
(1) 配置Device A
# 配置IRF中成员编号为1的设备的优先级为32。
<DeviceA> system-view
[DeviceA] irf member 1 priority 32
# 配置IRF端口1/2,并将它与物理端口Ten-GigabitEthernet1/0/1绑定,并保存配置,然后激活IRF端口下的配置。
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] shutdown
[DeviceA-Ten-GigabitEthernet1/0/1] quit
[DeviceA] irf-port 1/2
[DeviceA-irf-port1/2] port group interface ten-gigabitethernet 1/0/1
[DeviceA-irf-port1/2] quit
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] undo shutdown
[DeviceA-Ten-GigabitEthernet1/0/1] quit
[DeviceA] save
[DeviceA] irf-port-configuration active
(2) 配置Device B
# 将Device B的成员编号配置为2,并重启设备使新编号生效。
<DeviceB> system-view
[DeviceB] irf member 1 renumber 2
Warning: Renumbering the member ID may result in configuration change or loss. Continue? [Y/N]:y
[DeviceB] quit
<DeviceB> reboot
# 参照配置组网图进行物理连线。
# 重新登录到设备,配置IRF端口2/1,并将它与物理端口Ten-GigabitEthernet2/0/1绑定,并保存配置,然后激活IRF端口下的配置。
<DeviceB> system-view
[DeviceB] interface ten-gigabitethernet 2/0/1
[DeviceB-Ten-GigabitEthernet2/0/1] shutdown
[DeviceB-Ten-GigabitEthernet2/0/1] quit
[DeviceB] irf-port 2/1
[DeviceB-irf-port2/1] port group interface ten-gigabitethernet 2/0/1
[DeviceB-irf-port2/1] quit
[DeviceB] interface ten-gigabitethernet 2/0/1
[DeviceB-Ten-GigabitEthernet2/0/1] undo shutdown
[DeviceB-Ten-GigabitEthernet2/0/1] quit
[DeviceB] save
[DeviceB] irf-port-configuration active
(3) Device A和Device B间将会进行主设备竞选,竞选失败的一方(Device B)将重启,重启完成后,IRF形成。
(4) 配置BFD MAD检测
# 创建三层聚合接口3。
[DeviceA] interface route-aggregation 3
[DeviceA-Route-Aggregation3] quit
# 分别将Device A(成员编号为1)上的接口Ten-GigabitEthernet1/0/2和Device B(成员编号为2)上的接口Ten-GigabitEthernet2/0/2加入聚合组3中。
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port link-aggregation group 3
[DeviceA-Ten-GigabitEthernet1/0/2] quit
[DeviceA] interface ten-gigabitethernet 2/0/2
[DeviceA-Ten-GigabitEthernet2/0/2] port link-aggregation group 3
[DeviceA-Ten-GigabitEthernet2/0/2] quit
# 开启BFD MAD功能,并配置三层聚合接口3的MAD IP地址。
[DeviceA] interface route-aggregation 3
[DeviceA-Route-Aggregation3] mad bfd enable
[DeviceA-Route-Aggregation3] mad ip address 192.168.2.1 24 member 1
[DeviceA-Route-Aggregation3] mad ip address 192.168.2.2 24 member 2
[DeviceA-Route-Aggregation3] quit
(5) 请参考组网图中的规划,配置安全域和安全策略,对Intranet网络与IP network网络之间交互的报文进行安全控制。
· IRF链路正常情况下查看相关配置
# 查看IRF相关信息,可见IRF成功建立,且DeviceA为主设备。
[DeviceA] display irf
MemberID Role Priority CPU-Mac Description
*+1 Master 32 487a-da95-93b5 ---
2 Standby 1 3897-d6a8-1b1a ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The bridge MAC of the IRF is: 487a-da95-93b3
Auto upgrade : yes
Mac persistent : no
Domain ID : 0
# 查看BFD MAD状态,状态正常。
[DeviceA] display mad verbose
Multi-active recovery state: No
Excluded ports (user-configured):
Excluded ports (system-configured):
Ten-GigabitEthernet1/0/1
Ten-GigabitEthernet2/0/1
MAD ARP disabled.
MAD ND disabled.
MAD LACP disabled.
MAD BFD enabled interface: Route-Aggregation3
MAD status : Normal
Member ID MAD IP address Neighbor MAD status
1 192.168.2.1/24 2 Normal
2 192.168.2.2/24 1 Normal
· IRF链路异常情况下查看相关配置
# 查看BFD MAD状态,状态异常,表示IRF分裂。
[DeviceA] display mad verbose
Excluded ports (user-configured):
Excluded ports (system-configured):
Ten-GigabitEthernet1/0/1
MAD ARP disabled.
MAD ND disabled.
MAD LACP disabled.
MAD BFD enabled interface: Route-Aggregation3
MAD status : Faulty
Member ID MAD IP address Neighbor MAD status
1 192.168.2.1/24 2 Faulty
# 查看Device B,可以看到Device B上的非保留端口全部被置为Down,显示信息略。
由于网络规模迅速扩大,当前中心设备(Device A)安全业务处理能力已经不能满足需求,现在需要另增一台设备Device B,将这两台设备组成一个IRF(如图1-16所示),并配置ARP MAD进行分裂检测。为防止环路发生,在IRF和Device C上需要启用生成树功能。
图1-16 IRF典型配置组网图(ARP MAD检测方式)
(1) 配置Device A
# 配置IRF中成员编号为1的设备的优先级为32。
<DeviceA> system-view
[DeviceA] irf member 1 priority 32
# 配置IRF端口1/2,并将它与物理端口Ten-GigabitEthernet1/0/1绑定,并保存配置,然后激活IRF端口下的配置。
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] shutdown
[DeviceA-Ten-GigabitEthernet1/0/1] quit
[DeviceA] irf-port 1/2
[DeviceA-irf-port1/2] port group interface ten-gigabitethernet 1/0/1
[DeviceA-irf-port1/2] quit
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] undo shutdown
[DeviceA-Ten-GigabitEthernet1/0/1] quit
[DeviceA] save
[DeviceA] irf-port-configuration active
(2) 配置Device B
# 将Device B的成员编号配置为2,并重启设备使新编号生效。
<DeviceB> system-view
[DeviceB] irf member 1 renumber 2
Warning: Renumbering the member ID may result in configuration change or loss. Continue? [Y/N]:y
[DeviceB] quit
<DeviceB> reboot
# 参照配置组网图进行物理连线。
# 重新登录到设备,配置IRF端口2/1,并将它与物理端口Ten-GigabitEthernet2/0/1绑定,并保存配置,然后激活IRF端口下的配置。
<DeviceB> system-view
[DeviceB] interface ten-gigabitethernet 2/0/1
[DeviceB-Ten-GigabitEthernet2/0/1] shutdown
[DeviceB-Ten-GigabitEthernet2/0/1] quit
[DeviceB] irf-port 2/1
[DeviceB-irf-port2/1] port group interface ten-gigabitethernet 2/0/1
[DeviceB-irf-port2/1] quit
[DeviceB] interface ten-gigabitethernet 2/0/1
[DeviceB-Ten-GigabitEthernet2/0/1] undo shutdown
[DeviceB-Ten-GigabitEthernet2/0/1] quit
[DeviceB] save
[DeviceB] irf-port-configuration active
(3) Device A和Device B间将会进行主设备竞选,竞选失败的一方(Device B)将重启,重启完成后,IRF形成。
(4) 配置ARP MAD检测
# 在IRF上全局开启生成树协议,并配置MST域,以防止环路的发生。
[DeviceA] stp global enable
[DeviceA] stp region-configuration
[DeviceA-mst-region] region-name arpmad
[DeviceA-mst-region] instance 1 vlan 3
[DeviceA-mst-region] active region-configuration
[DeviceA-mst-region] quit
# 将IRF配置为桥MAC立即改变。
[DeviceA] undo irf mac-address persistent
# 设置IRF域编号为1。
[DeviceA] irf domain 1
# 创建VLAN 3,并将Device A(成员编号为1)上的端口Ten-GigabitEthernet1/0/2和Device B(成员编号为2)上的端口Ten-GigabitEthernet2/0/2加入VLAN 3中。
[DeviceA] vlan 3
[DeviceA-vlan3] quit
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port link-mode bridge
[DeviceA-Ten-GigabitEthernet1/0/2] port access vlan 3
[DeviceA-Ten-GigabitEthernet1/0/2] quit
[DeviceA] interface ten-gigabitethernet 2/0/2
[DeviceA-Ten-GigabitEthernet2/0/2] port link-mode bridge
[DeviceA-Ten-GigabitEthernet2/0/2] port access vlan 3
[DeviceA-Ten-GigabitEthernet2/0/2] quit
# 创建VLAN-interface3,并配置IP地址,开启ARP MAD检测功能。
[DeviceA] interface vlan-interface 3
[DeviceA-Vlan-interface3] ip address 192.168.2.1 24
[DeviceA-Vlan-interface3] mad arp enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
(5) 请参考组网图中的规划,配置安全域和安全策略,对Intranet网络与IP network网络之间交互的报文进行安全控制。
(6) 配置中间设备Device C
· Device C作为中间设备来转发、处理ARP报文,协助Device A和Device B进行多Active检测。从节约成本的角度考虑,使用一台支持ARP功能的设备即可。
· 如果中间设备是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同。
# 在全局开启生成树协议,并配置MST域,以防止环路的发生。
<DeviceC> system-view
[DeviceC] stp global enable
[DeviceC] stp region-configuration
[DeviceC-mst-region] region-name arpmad
[DeviceC-mst-region] instance 1 vlan 3
[DeviceC-mst-region] active region-configuration
[DeviceC-mst-region] quit
# 创建VLAN 3,并将端口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2加入VLAN 3中,用于转发ARP MAD报文。
[DeviceC] vlan 3
[DeviceC-vlan3] port ten-gigabitethernet 1/0/1 ten-gigabitethernet 1/0/2
[DeviceC-vlan3] quit
· IRF链路正常情况下查看相关配置
# 查看IRF相关信息,可见IRF成功建立,且DeviceA为主设备。
[DeviceA] display irf
MemberID Role Priority CPU-Mac Description
*+1 Master 32 487a-da95-93b5 ---
2 Standby 1 3897-d6a8-1b1a ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The bridge MAC of the IRF is: 487a-da95-93b3
Auto upgrade : yes
Mac persistent : no
Domain ID : 1
# 查看ARP MAD状态,状态正常。
[DeviceA] display mad verbose
Multi-active recovery state: No
Excluded ports (user-configured):
Excluded ports (system-configured):
Ten-GigabitEthernet1/0/1
Ten-GigabitEthernet2/0/1
MAD ARP enabled interface:
Vlan-interface3
MAD ND disabled.
MAD LACP disabled.
MAD BFD disabled.
· IRF链路异常情况下查看相关配置
# 查看ARP MAD状态,状态异常(保留端口中看不到Device B上的IRF物理端口),表示IRF分裂。
[DeviceA] display mad verbose
Multi-active recovery state: No
Excluded ports (user-configured):
Excluded ports (system-configured):
Ten-GigabitEthernet1/0/1
MAD ARP enabled interface:
Vlan-interface3
MAD ND disabled.
MAD LACP disabled.
MAD BFD disabled.
# 查看Device B,可以看到Device B上的非保留端口全部被置为Down,显示信息略。
IPv6网络中,由于网络规模迅速扩大,当前中心设备(Device A)安全业务处理能力已经不能满足需求,现在需要另增一台设备Device B,将这两台设备组成一个IRF(如图1-17所示),并配置ND MAD进行分裂检测。为防止环路发生,在IRF和Device C上需要启用生成树功能。
图1-17 IRF典型配置组网图(ND MAD检测方式)
(1) 配置Device A
# 配置IRF中成员编号为1的设备的优先级为32。
<DeviceA> system-view
[DeviceA] irf member 1 priority 32
# 配置IRF端口1/2,并将它与物理端口Ten-GigabitEthernet1/0/1绑定,并保存配置,然后激活IRF端口下的配置。
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] shutdown
[DeviceA-Ten-GigabitEthernet1/0/1] quit
[DeviceA] irf-port 1/2
[DeviceA-irf-port1/2] port group interface ten-gigabitethernet 1/0/1
[DeviceA-irf-port1/2] quit
[DeviceA] interface ten-gigabitethernet 1/0/1
[DeviceA-Ten-GigabitEthernet1/0/1] undo shutdown
[DeviceA-Ten-GigabitEthernet1/0/1] quit
[DeviceA] save
[DeviceA] irf-port-configuration active
(2) 配置Device B
# 将Device B的成员编号配置为2,并重启设备使新编号生效。
<DeviceB> system-view
[DeviceB] irf member 1 renumber 2
Warning: Renumbering the member ID may result in configuration change or loss. Continue? [Y/N]:y
[DeviceB] quit
<DeviceB> reboot
# 参照配置组网图进行物理连线。
# 重新登录到设备,配置IRF端口2/1,并将它与物理端口Ten-GigabitEthernet2/0/1绑定,并保存配置,然后激活IRF端口下的配置。
<DeviceB> system-view
[DeviceB] interface ten-gigabitethernet 2/0/1
[DeviceB-Ten-GigabitEthernet2/0/1] shutdown
[DeviceB-Ten-GigabitEthernet2/0/1] quit
[DeviceB] irf-port 2/1
[DeviceB-irf-port2/1] port group interface ten-gigabitethernet 2/0/1
[DeviceB-irf-port2/1] quit
[DeviceB] interface ten-gigabitethernet 2/0/1
[DeviceB-Ten-GigabitEthernet2/0/1] undo shutdown
[DeviceB-Ten-GigabitEthernet2/0/1] quit
[DeviceB] save
[DeviceB] irf-port-configuration active
(3) Device A和Device B间将会进行主设备竞选,竞选失败的一方(Device B)将重启,重启完成后,IRF形成。
(4) 配置ND MAD检测
# 在IRF上全局开启生成树协议,并配置MST域,以防止环路的发生。
[DeviceA] stp global enable
[DeviceA] stp region-configuration
[DeviceA-mst-region] region-name ndmad
[DeviceA-mst-region] instance 1 vlan 3
[DeviceA-mst-region] active region-configuration
[DeviceA-mst-region] quit
# 将IRF配置为桥MAC立即改变。
[DeviceA] undo irf mac-address persistent
# 设置IRF域编号为1。
[DeviceA] irf domain 1
# 创建VLAN 3,并将Device A(成员编号为1)上的端口Ten-GigabitEthernet1/0/2和Device B(成员编号为2)上的端口Ten-GigabitEthernet2/0/2加入VLAN 3中。
[DeviceA] vlan 3
[DeviceA-vlan3] quit
[DeviceA] interface ten-gigabitethernet 1/0/2
[DeviceA-Ten-GigabitEthernet1/0/2] port link-mode bridge
[DeviceA-Ten-GigabitEthernet1/0/2] port access vlan 3
[DeviceA-Ten-GigabitEthernet1/0/2] quit
[DeviceA] interface ten-gigabitethernet 2/0/2
[DeviceA-Ten-GigabitEthernet2/0/2] port link-mode bridge
[DeviceA-Ten-GigabitEthernet2/0/2] port access vlan 3
[DeviceA-Ten-GigabitEthernet2/0/2] quit
# 创建VLAN-interface3,并配置IPv6地址,开启ND MAD检测功能。
[DeviceA] interface vlan-interface 3
[DeviceA-Vlan-interface3] ipv6 address 2001::1 64
[DeviceA-Vlan-interface3] mad nd enable
You need to assign a domain ID (range: 0-4294967295)
[Current domain is: 1]:
The assigned domain ID is: 1
(5) 请参考组网图中的规划,配置安全域和安全策略,对Intranet网络与IP network网络之间交互的报文进行安全控制。
(6) 配置中间设备Device C
· Device C作为中间设备来转发、处理ND报文,协助Device A和Device B进行多Active检测。从节约成本的角度考虑,使用一台支持ND功能的设备即可。
· 如果中间设备是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同。
# 在全局开启生成树协议,并配置MST域,以防止环路的发生。
<DeviceC> system-view
[DeviceC] stp global enable
[DeviceC] stp region-configuration
[DeviceC-mst-region] region-name ndmad
[DeviceC-mst-region] instance 1 vlan 3
[DeviceC-mst-region] active region-configuration
[DeviceC-mst-region] quit
# 创建VLAN 3,并将端口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2加入VLAN 3中,用于转发ND MAD报文。
[DeviceC] vlan 3
[DeviceC-vlan3] port ten-gigabitethernet 1/0/1 ten-gigabitethernet 1/0/2
[DeviceC-vlan3] quit
· IRF链路正常情况下查看相关配置
# 查看IRF相关信息,可见IRF成功建立,且DeviceA为主设备。
[DeviceA] display irf
MemberID Role Priority CPU-Mac Description
*+1 Master 32 487a-da95-93b5 ---
2 Standby 1 3897-d6a8-1b1a ---
--------------------------------------------------
* indicates the device is the master.
+ indicates the device through which the user logs in.
The bridge MAC of the IRF is: 487a-da95-93b3
Auto upgrade : yes
Mac persistent : no
Domain ID : 1
# 查看ND MAD状态,状态正常。
[DeviceA] display mad verbose
Multi-active recovery state: No
Excluded ports (user-configured):
Excluded ports (system-configured):
Ten-GigabitEthernet1/0/1
Ten-GigabitEthernet2/0/1
MAD ARP disabled.
MAD ND enabled interface:
Vlan-interface3
MAD LACP disabled.
MAD BFD disabled.
· IRF链路异常情况下查看相关配置
# 查看ND MAD状态,状态异常(保留端口中看不到Device B上的IRF物理端口),表示IRF分裂。
[DeviceA] display mad verbose
Multi-active recovery state: No
Excluded ports (user-configured):
Excluded ports (system-configured):
Ten-GigabitEthernet1/0/1
MAD ARP disabled.
MAD ND enabled interface:
Vlan-interface3
MAD LACP disabled.
MAD BFD disabled.
# 查看Device B,可以看到Device B上的非保留端口全部被置为Down,显示信息略。
如图1-18所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行IRF双机热备主备组网,Device A作为主设备,Device B作为备设备。当Device A或其链路发生故障时,由Device B接替Device A继续工作,保证业务不会中断。
图1-18 IRF双机热备三层直连,单冗余组冗余口主备组网图
(1) 配置两台Device组成IRF
¡ 配置Device A
# 配置IRF端口1/2,并将它与物理端口GigabitEthernet1/0/3绑定,并保存配置。
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] shutdown
[DeviceA-GigabitEthernet1/0/3] quit
[DeviceA] irf-port 1/2
[DeviceA-irf-port1/2] port group interface gigabitethernet 1/0/3
You must perform the following tasks for a successful IRF setup:
Save the configuration after completing IRF configuration.
Execute the "irf-port-configuration active" command to activate the IRF ports.
[DeviceA-irf-port1/2] quit
[DeviceA] interface gigabitethernet 1/0/3
[DeviceA-GigabitEthernet1/0/3] undo shutdown
[DeviceA-GigabitEthernet1/0/3] quit
[DeviceA] save
[DeviceA] irf-port-configuration active
# 为确保Device A与Device B在主设备选举过程中,Device A为主,需要修改Device A成员优先级为2(成员优先级大的优先,缺省情况下,设备的成员优先级均为1)。
[DeviceA] irf member 1 priority 2
# 激活IRF端口下的配置。
[DeviceA] irf-port-configuration active
¡ 配置Device B
# 将Device B的成员编号配置为2,并重启设备使新编号生效。
<DeviceB> system-view
[DeviceB] irf member 1 renumber 2
Renumbering the member ID may result in configuration change or loss. Continue? [Y/N]:y
[DeviceB] quit
<DeviceB> reboot
# 参照图1-18进行物理连线。
# 重新登录到Device B,配置IRF端口2/1,并将它与物理端口GigabitEthernet2/0/3绑定,并保存配置。
<DeviceB> system-view
[DeviceB] interface gigabitethernet 2/0/3
[DeviceB-GigabitEthernet2/0/3] shutdown
[DeviceB-GigabitEthernet2/0/3] quit
[DeviceB] irf-port 2/1
[DeviceB-irf-port2/1] port group interface gigabitethernet 2/0/3
You must perform the following tasks for a successful IRF setup:
Save the configuration after completing IRF configuration.
Execute the "irf-port-configuration active" command to activate the IRF ports.
[DeviceB-irf-port2/1] quit
[DeviceB] interface gigabitethernet 2/0/3
[DeviceB-GigabitEthernet2/0/3] undo shutdown
[DeviceB-GigabitEthernet2/0/3] quit
[DeviceB] save
# 激活IRF端口下的配置。
[DeviceB] irf-port-configuration active
Device A和Device B间将会进行主设备竞选,竞选失败的一方将重启,重启完成后,IRF形成。
(2) 配置Track,监测上、下行接口的状态
<DeviceA> system-view
[DeviceA] track 1 interface gigabitethernet 1/0/1
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/2
[DeviceA-track-2] quit
[DeviceA] track 3 interface gigabitethernet 2/0/1
[DeviceA-track-3] quit
[DeviceA] track 4 interface gigabitethernet 2/0/2
[DeviceA-track-4] quit
(3) 配置以太网冗余接口
# 创建以太网冗余接口Reth11。
[DeviceA] interface reth 11
[DeviceA-Reth11] member interface gigabitethernet 1/0/1 priority 100
[DeviceA-Reth11] member interface gigabitethernet 2/0/1 priority 80
[DeviceA-Reth11] ip address 51.1.1.2 255.255.255.0
[DeviceA-Reth11] quit
# 创建以太网冗余接口Reth12。
[DeviceA] interface reth 12
[DeviceA-Reth12] member interface gigabitethernet 1/0/2 priority 100
[DeviceA-Reth12] member interface gigabitethernet 2/0/2 priority 80
[DeviceA-Reth12] ip address 52.1.1.2 255.255.255.0
[DeviceA-Reth12] quit
(4) 配置冗余组
# 创建冗余组a。
[DeviceA] redundancy group a
# 将以太网冗余接口Reth11和Reth12加到冗余组a中。
[DeviceA-redundancy-group-a] member interface reth 11
[DeviceA-redundancy-group-a] member interface reth 12
# 创建Node 1,Node 1和Device A绑定,为主节点。关联的Track项为1和2。
[DeviceA-redundancy-group-a] node 1
[DeviceA-redundancy-group-a-node1] bind slot 1
[DeviceA-redundancy-group-a-node1] priority 20
[DeviceA-redundancy-group-a-node1] track 1 interface gigabitethernet 1/0/1
[DeviceA-redundancy-group-a-node1] track 2 interface gigabitethernet 1/0/2
[DeviceA-redundancy-group-a-node1] quit
# 创建Node 2,Node 2和Device B绑定,为备节点。关联的Track项为3和4。
[DeviceA-redundancy-group-a] node 2
[DeviceA-redundancy-group-a-node2] bind slot 2
[DeviceA-redundancy-group-a-node2] priority 10
[DeviceA-redundancy-group-a-node2] track 3 interface gigabitethernet 2/0/1
[DeviceA-redundancy-group-a-node2] track 4 interface gigabitethernet 2/0/2
[DeviceA-redundancy-group-a-node2] quit
[DeviceA-redundancy-group-a] quit
(5) 开启会话业务热备份功能
[DeviceA] session synchronization enable
(6) 配置会话工作在主备模式下,缺省工作在主备模式下
[DeviceA] undo session dual-active enable
(7) 配置各接口的IP地址、路由、安全域及域间策略保证网络可达,具体配置过程略
(8) 将以太网冗余接口Reth11加入Untrust安全域;将以太网冗余接口Reth12加入Trust安全域,具体配置过程略。
Switch A上的相关配置本举例仅列出配置思路,具体配置过程略。
(1) 创建VLAN 11和VLAN 10。
(2) 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 11。
(3) 将接口GigabitEthernet1/0/3设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Vlan-interface11的IP地址为51.1.1.1/24,Vlan-interface10的IP地址为2.1.1.1/24。
(5) 配置路由信息,去往内网流量的下一跳IP地址为51.1.1.2,去往Internet流量的下一跳IP地址为2.1.1.2。
Switch B上的相关配置本举例仅列出配置思路,具体配置过程略。
(1) 创建VLAN 12和VLAN 20。
(2) 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 12。
(3) 将接口GigabitEthernet1/0/3设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 20。
(4) 配置Vlan-interface12的IP地址为52.1.1.1/24,Vlan-interface20的IP地址为10.1.1.1/24。
(5) 配置路由信息,去往Internet流量的下一跳IP地址为52.1.1.2。
# 配置Host的默认网关为10.1.1.1。
(1) 缺省情况下冗余组的显示信息
# 显示冗余组信息。可以看到优先级高的Node 1为主节点,Node 1和Node 2下面的成员接口都处于UP状态。
[DeviceA] display redundancy group a
Redundancy group a (ID 1):
Node ID Slot Priority Status Track weight
1 Slot1 20 Primary 255
2 Slot2 10 Secondary 255
Preempt delay time remained : 0 min
Preempt delay timer setting : 60 min
Remaining hold-down time : 0 sec
Hold-down timer setting : 1 sec
Manual switchover request : No
Member interfaces:
Reth11 Reth12
Node 1:
Track info:
Track Status Reduced weight Interface
1 Positive 255 GE1/0/1
2 Positive 255 GE1/0/2
Node 2:
Track info:
Track Status Reduced weight Interface
3 Positive 255 GE2/0/1
4 Positive 255 GE2/0/2
(2) 冗余组内主备倒换后的显示信息
# 手工关闭接口GigabitEthernet1/0/2,显示冗余组信息。可以看到优先级低的Node 2为主节点,Node 2的成员接口转发报文。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] shutdown
[DeviceA-GigabitEthernet1/0/2] display redundancy group a
Redundancy group a (ID 1):
Node ID Slot Priority Status Track weight
1 Slot1 20 Secondary -255
2 Slot2 10 Primary 255
Preempt delay time remained : 0 min
Preempt delay timer setting : 1 min
Remaining hold-down time : 0 sec
Hold-down timer setting : 1 sec
Manual switchover request : No
Member interfaces:
Reth11 Reth12
Node 1:
Track info:
Track Status Reduced weight Interface
1 Negative 255 GE1/0/1
2 Negative(Faulty) 255 GE1/0/2
Node 2:
Track info:
Track Status Reduced weight Interface
3 Positive 255 GE2/0/1
4 Positive 255 GE2/0/2
如图1-19所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行IRF双机热备组网,同时需要两台Device同时处理业务,提高业务处理能力。缺省情况下,Host A与Internet之间的流量走Device A处理,Host B与Internet之间的流量走Device B处理。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-19 IRF双机热备三层直连,双冗余组冗余口双主组网图
(1) 配置两台Device组成IRF
IRF的具体配置步骤请参见“1.11.1 IRF双机热备三层直连,单冗余组冗余口主备组网典型配置举例”中的相关内容,本举例不再赘述。
(2) 配置三层以太网子接口,并能够终结最外层VLAN ID
<DeviceA> system-view
[DeviceA] interface gigabitethernet 1/0/1.11
[DeviceA-GigabitEthernet1/0/1.11] vlan-type dot1q vid 11
[DeviceA] interface gigabitethernet 1/0/1.21
[DeviceA-GigabitEthernet1/0/1.21] vlan-type dot1q vid 21
[DeviceA] interface gigabitethernet 1/0/2.12
[DeviceA-GigabitEthernet1/0/2.12] vlan-type dot1q vid 12
[DeviceA] interface gigabitethernet 1/0/2.22
[DeviceA-GigabitEthernet1/0/2.22] vlan-type dot1q vid 22
[DeviceA] interface gigabitethernet 2/0/1.11
[DeviceA-GigabitEthernet2/0/1.11] vlan-type dot1q vid 11
[DeviceA] interface gigabitethernet 2/0/1.21
[DeviceA-GigabitEthernet2/0/1.21] vlan-type dot1q vid 21
[DeviceA] interface gigabitethernet 2/0/2.12
[DeviceA-GigabitEthernet2/0/2.12] vlan-type dot1q vid 12
[DeviceA] interface gigabitethernet 2/0/2.22
[DeviceA-GigabitEthernet2/0/2.22] vlan-type dot1q vid 22
[DeviceA-GigabitEthernet2/0/2.22] quit
(3) 配置Track,监测上、下行接口的状态
[DeviceA] track 1 interface gigabitethernet 1/0/1.11
[DeviceA-track-1] quit
[DeviceA] track 2 interface gigabitethernet 1/0/1.21
[DeviceA-track-2] quit
[DeviceA] track 3 interface gigabitethernet 1/0/2.12
[DeviceA-track-3] quit
[DeviceA] track 4 interface gigabitethernet 1/0/2.22
[DeviceA-track-4] quit
[DeviceA] track 5 interface gigabitethernet 2/0/1.11
[DeviceA-track-5] quit
[DeviceA] track 6 interface gigabitethernet 2/0/1.21
[DeviceA-track-6] quit
[DeviceA] track 7 interface gigabitethernet 2/0/2.12
[DeviceA-track-7] quit
[DeviceA] track 8 interface gigabitethernet 2/0/2.22
[DeviceA-track-8] quit
(4) 配置以太网冗余接口
# 创建以太网冗余接口Reth11。
[DeviceA] interface reth 11
[DeviceA-Reth11] member interface gigabitethernet 1/0/1.11 priority 100
[DeviceA-Reth11] member interface gigabitethernet 2/0/1.11 priority 80
[DeviceA-Reth11] ip address 51.1.1.2 255.255.255.0
[DeviceA-Reth11] quit
# 创建以太网冗余接口Reth12。
[DeviceA] interface reth 12
[DeviceA-Reth12] member interface gigabitethernet 1/0/2.12 priority 100
[DeviceA-Reth12] member interface gigabitethernet 2/0/2.12 priority 80
[DeviceA-Reth12] ip address 52.1.1.2 255.255.255.0
[DeviceA-Reth12] quit
# 创建以太网冗余接口Reth21。
[DeviceA] interface reth 21
[DeviceA-Reth21] member interface gigabitethernet 1/0/1.21 priority 80
[DeviceA-Reth21] member interface gigabitethernet 2/0/1.21 priority 100
[DeviceA-Reth21] ip address 61.1.1.2 255.255.255.0
[DeviceA-Reth21] quit
# 创建以太网冗余接口Reth22。
[DeviceA] interface reth 22
[DeviceA-Reth22] member interface gigabitethernet 1/0/2.22 priority 80
[DeviceA-Reth22] member interface gigabitethernet 2/0/2.22 priority 100
[DeviceA-Reth22] ip address 62.1.1.2 255.255.255.0
[DeviceA-Reth22] quit
(5) 配置冗余组
# 创建冗余组a。
[DeviceA] redundancy group a
# 将以太网冗余接口Reth11和Reth12加到冗余组a中。
[DeviceA-redundancy-group-a] member interface reth 11
[DeviceA-redundancy-group-a] member interface reth 12
# 创建Node 1,Node 1和Device A绑定,为主节点。关联的Track项为1和3。
[DeviceA-redundancy-group-a] node 1
[DeviceA-redundancy-group-a-node1] bind slot 1
[DeviceA-redundancy-group-a-node1] priority 20
[DeviceA-redundancy-group-a-node1] track 1 interface gigabitethernet 1/0/1.11
[DeviceA-redundancy-group-a-node1] track 3 interface gigabitethernet 1/0/2.12
[DeviceA-redundancy-group-a-node1] quit
# 创建Node 2,Node 2和Device B绑定,为备节点。关联的Track项为5和7。
[DeviceA-redundancy-group-a] node 2
[DeviceA-redundancy-group-a-node2] bind slot 2
[DeviceA-redundancy-group-a-node2] priority 10
[DeviceA-redundancy-group-a-node2] track 5 interface gigabitethernet 2/0/1.11
[DeviceA-redundancy-group-a-node2] track 7 interface gigabitethernet 2/0/2.12
[DeviceA-redundancy-group-a-node2] quit
[DeviceA-redundancy-group-a] quit
# 创建冗余组b。
[DeviceA] redundancy group b
# 将以太网冗余接口Reth21和Reth22加到冗余组b中。
[DeviceA-redundancy-group-b] member interface reth 21
[DeviceA-redundancy-group-b] member interface reth 22
# 创建Node 1,Node 1和Device A绑定,为备节点。关联的Track项为2和4。
[DeviceA-redundancy-group-b] node 1
[DeviceA-redundancy-group-b-node1] bind slot 1
[DeviceA-redundancy-group-b-node1] priority 10
[DeviceA-redundancy-group-b-node1] track 2 interface gigabitethernet 1/0/1.21
[DeviceA-redundancy-group-b-node1] track 4 interface gigabitethernet 1/0/2.22
[DeviceA-redundancy-group-b-node1] quit
# 创建Node 2,Node 2和Device B绑定,为主节点。关联的Track项为6和8。
[DeviceA-redundancy-group-b] node 2
[DeviceA-redundancy-group-b-node2] bind slot 2
[DeviceA-redundancy-group-b-node2] priority 20
[DeviceA-redundancy-group-b-node2] track 6 interface gigabitethernet 2/0/1.21
[DeviceA-redundancy-group-b-node2] track 8 interface gigabitethernet 2/0/2.22
[DeviceA-redundancy-group-b-node2] quit
[DeviceA-redundancy-group-b] quit
(6) 开启会话业务热备份功能
[DeviceA] session synchronization enable
(7) 配置会话工作在双主模式下
[DeviceA] session dual-active enable
(8) 配置各接口的IP地址、路由、安全域及域间策略保证网络可达,具体配置过程略。
(9) 将以太网冗余接口Reth11和Reth21加入Untrust安全域;将以太网冗余接口Reth12和Reth22加入Trust安全域,具体配置过程略。
(10) 配置去往内网的路由
# 配置静态路由,去往内网Host A所在网段10.1.1.0/24流量的下一跳IP地址为Reth12接口的对端IP地址52.1.1.1;去往内网Host B所在网段10.10.1.0/24流量的下一跳IP地址为Reth22接口的对端IP地址62.1.1.1。
[DeviceA] ip route-static 10.1.1.0 24 52.1.1.1
[DeviceA] ip route-static 10.10.1.0 24 62.1.1.1
(11) 配置去往外网的路由
配置策略路由,使Host A所在10.1.1.0/24网段的主机去往Internet流量的下一跳IP地址为Reth11的对端IP地址51.1.1.1;使Host B所在10.10.1.0/24网段的主机去往Internet流量的下一跳IP地址为Reth21的对端IP地址61.1.1.1。
# 定义访问控制列表ACL 2000,用来匹配源地址为10.1.1.0/24网段的报文。
[DeviceA] acl basic 2000
[DeviceA-acl-ipv4-basic-2000] rule 10 permit source 10.1.1.0 0.0.0.255
[DeviceA-acl-ipv4-basic-2000] quit
# 定义访问控制列表ACL 2001,用来匹配源地址为10.10.1.0/24网段的报文。
[DeviceA] acl basic 2001
[DeviceA-acl-ipv4-basic-2001] rule 10 permit source 10.10.1.0 0.0.0.255
[DeviceA-acl-ipv4-basic-2001] quit
# 创建名称为aaa的策略路由,定义0号节点,指定所有源地址为10.1.1.0/24网段的下一跳为51.1.1.1。
[DeviceA] policy-based-route aaa permit node 0
[DeviceA-pbr-aaa-0] if-match acl 2000
[DeviceA-pbr-aaa-0] apply next-hop 51.1.1.1
[DeviceA-pbr-aaa-0] quit
# 创建名称为bbb的策略路由,定义0号节点,指定所有源地址为10.10.1.0/24网段的下一跳为61.1.1.1。
[DeviceA] policy-based-route bbb permit node 0
[DeviceA-pbr-bbb-0] if-match acl 2001
[DeviceA-pbr-bbb-0] apply next-hop 61.1.1.1
[DeviceA-pbr-bbb-0] quit
# 在以太网冗余接口Reth12上应用转发策略路由,使Host A所在10.1.1.0/24网段的主机去往Internet流量从Device A发送。
[DeviceA] interface reth 12
[DeviceA-Reth12] ip policy-based-route aaa
[DeviceA-Reth12] quit
# 在以太网冗余接口Reth22上应用转发策略路由,使Host B所在10.10.1.0/24网段的主机去往Internet流量从Device B发送。
[DeviceA] interface reth 22
[DeviceA-Reth22] ip policy-based-route bbb
[DeviceA-Reth22] quit
Switch A上的相关配置本举例仅列出配置思路,具体配置过程略。
(1) 创建VLAN 11、VLAN 21和VLAN 10。
(2) 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2设置成工作在二层模式,接口链路类型为Trunk,并允许VLAN 11和VLAN 21通过。
(3) 将接口GigabitEthernet1/0/3设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(4) 配置Vlan-interface11的IP地址为51.1.1.1/24,Vlan-interface21的IP地址为61.1.1.1/24,Vlan-interface10的IP地址为2.1.1.1/24。
(5) 配置路由信息,去往内网Host A所在网段10.1.1.0/24流量的下一跳IP地址为Vlan-interface11接口的对端IP地址51.1.1.2;去往内网Host B所在网段10.10.1.0/24流量的下一跳IP地址为Vlan-interface21接口的对端IP地址61.1.1.2;去往Internet流量的下一跳IP地址为Vlan-interface10接口的对端IP地址2.1.1.2。
Switch B上的相关配置本举例仅列出配置思路,具体配置过程略。
(1) 创建VLAN 12、VLAN 22、VLAN 20和VLAN 30。
(2) 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2设置成工作在二层模式,接口链路类型为Trunk,并允许VLAN 12和VLAN 22通过。
(3) 将接口GigabitEthernet1/0/3设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 20;将接口GigabitEthernet1/0/4设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 30。
(4) 配置Vlan-interface12的IP地址为52.1.1.1/24,Vlan-interface22的IP地址为62.1.1.1/24,Vlan-interface20的IP地址为10.1.1.1/24,Vlan-interface30的IP地址为10.10.1.1/24。
(5) 配置策略路由,使Host A所在10.1.1.0/24网段的主机去往Internet流量的下一跳IP地址为Vlan-interface12的对端IP地址52.1.1.2;使Host B所在10.10.1.0/24网段的主机去往Internet流量的下一跳IP地址为Vlan-interface22的对端IP地址62.1.1.2。
# 配置Host A所在网段主机的默认网关为10.1.1.1,配置Host B所在网段主机的默认网关为10.10.1.1。
(1) 缺省情况下冗余组的显示信息
# 显示冗余组a的信息。可以看到优先级高的Node 1为主节点,Node 1和Node 2下面的成员接口都处于UP状态。
[DeviceA] display redundancy group a
Redundancy group a (ID 2):
Node ID Slot Priority Status Track weight
1 Slot1 20 Primary 255
2 Slot2 10 Secondary 255
Preempt delay time remained : 0 sec
Preempt delay timer setting : 60 sec
Remaining hold-down time : 0 sec
Hold-down timer setting : 1 sec
Manual switchover request : No
Member interfaces:
Reth11 Reth12
Node 1:
Track info:
Track Status Reduced weight Interface
1 Positive 255 GE1/0/1.11
3 Positive 255 GE1/0/2.12
Node 2:
Track info:
Track Status Reduced weight Interface
5 Positive 255 GE2/0/1.11
7 Positive 255 GE2/0/2.12
# 显示冗余组b的信息。可以看到优先级高的Node 2为主节点,Node 1和Node 2下面的成员接口都处于UP状态。
[DeviceA] display redundancy group b
Redundancy group b (ID 3):
Node ID Slot Priority Status Track weight
1 Slot1 10 Secondary 255
2 Slot2 20 Primary 255
Preempt delay time remained : 0 sec
Preempt delay timer setting : 60 sec
Remaining hold-down time : 0 sec
Hold-down timer setting : 1 sec
Manual switchover request : No
Member interfaces:
Reth21 Reth22
Node 1:
Track info:
Track Status Reduced weight Interface
2 Positive 255 GE1/0/1.21
4 Positive 255 GE1/0/2.22
Node 2:
Track info:
Track Status Reduced weight Interface
6 Positive 255 GE2/0/1.21
8 Positive 255 GE2/0/2.22
(2) 冗余组内主备倒换后的显示信息
# 手工关闭接口GigabitEthernet1/0/2,显示冗余组信息。显示冗余组a中可以看到优先级低的Node 2为主节点,Node 2的成员接口转发报文。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] shutdown
[DeviceA-GigabitEthernet1/0/2] display redundancy group a
Redundancy group a (ID 2):
Node ID Slot Priority Status Track weight
1 Slot1 20 Secondary -255
2 Slot2 10 Primary 255
Preempt delay time remained : 0 sec
Preempt delay timer setting : 60 sec
Remaining hold-down time : 0 sec
Hold-down timer setting : 1 sec
Manual switchover request : No
Member interfaces:
Reth11 Reth12
Node 1:
Track info:
Track Status Reduced weight Interface
1 Negative 255 GE1/0/1.11
3 Negative(Faulty) 255 GE1/0/2.12
Node 2:
Track info:
Track Status Reduced weight Interface
5 Positive 255 GE2/0/1.11
7 Positive 255 GE2/0/2.12
# 手工关闭接口GigabitEthernet1/0/2,显示冗余组信息。显示冗余组b中可以看到仍然是优先级高的Node 2为主节点,Node 2的成员接口转发报文。
[DeviceA-GigabitEthernet1/0/2] display redundancy group b
Redundancy group b (ID 3):
Node ID Slot Priority Status Track weight
1 Slot1 10 Secondary 0
2 Slot2 20 Primary 255
Preempt delay time remained : 0 sec
Preempt delay timer setting : 60 sec
Remaining hold-down time : 0 sec
Hold-down timer setting : 1 sec
Manual switchover request : No
Member interfaces:
Reth21 Reth22
Node 1:
Track info:
Track Status Reduced weight Interface
2 Positive 255 GE1/0/1.21
4 Negative 255 GE1/0/2.22
Node 2:
Track info:
Track Status Reduced weight Interface
6 Positive 255 GE2/0/1.21
8 Positive 255 GE2/0/2.22
如图1-20所示,某公司以Device作为网络边界安全防护设备,连接公司内部网络和Internet。为提高业务稳定性,使用两台Device进行IRF双机热备组网,同时需要两台Device同时处理业务,提高业务处理能力。但是当Device A或其链路发生故障时,Device B可以接替Device A继续工作,保证业务不会中断。
图1-20 IRF双机热备三层直连,聚合接口双主组网
(1) 配置两台Device组成IRF
IRF的具体配置步骤请参见“1.11.1 IRF双机热备三层直连,单冗余组冗余口主备组网典型配置举例”中的相关内容,本举例不再赘述。
(2) 配置三层以太网聚合接口
# 创建三层聚合接口1用于连接上行Switch A,其接口IP地址为51.1.1.2/24。
<DeviceA> system-view
[DeviceA]interface route-aggregation 1
[DeviceA-Route-Aggregation1] ip address 51.1.1.2 24
[DeviceA-Route-Aggregation1] quit
# 创建三层聚合接口2用于连接下行Switch B,其接口IP地址为52.1.1.2/24。
<DeviceA> system-view
[DeviceA]interface route-aggregation 2
[DeviceA-Route-Aggregation2] ip address 52.1.1.2 24
[DeviceA-Route-Aggregation2] quit
# 将三层以太网接口GigabitEthernet1/0/1和GigabitEthernet2/0/1加入三层聚合组1中。
[DeviceA] interface gigabitethernet 1/0/1
[DeviceA-GigabitEthernet1/0/1] port link-aggregation group 1
[DeviceA-GigabitEthernet1/0/1] quit
[DeviceA] interface gigabitethernet 2/0/1
[DeviceA-GigabitEthernet2/0/1] port link-aggregation group 1
[DeviceA-GigabitEthernet2/0/1] quit
# 将三层以太网接口GigabitEthernet1/0/2和GigabitEthernet2/0/2加入三层聚合组2中。
[DeviceA] interface gigabitethernet 1/0/2
[DeviceA-GigabitEthernet1/0/2] port link-aggregation group 2
[DeviceA-GigabitEthernet1/0/2] quit
[DeviceA] interface gigabitethernet 2/0/2
[DeviceA-GigabitEthernet2/0/2] port link-aggregation group 2
[DeviceA-GigabitEthernet2/0/2] quit
(3) 开启会话业务热备份功能
[DeviceA] session synchronization enable
(4) 配置会话工作在双主模式下
[DeviceA] session dual-active enable
(5) 配置各接口的IP地址、路由、安全域及域间策略保证网络可达,具体配置过程略。
(6) 将三层以太网聚合接口1加入Untrust安全域;将三层以太网聚合接口2加入Trust安全域,具体配置过程略。
Switch A上的相关配置本举例仅列出配置思路,具体配置过程略。
(1) 创建VLAN 11和VLAN 10。
(2) 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2设置成工作在二层模式,接口链路类型为Access。
(3) 创建二层以太网聚合接口BAGG1,将物理接口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入其中,并将BAGG1加入VLAN 11。
(4) 将接口GigabitEthernet1/0/3设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 10。
(5) 配置Vlan-interface11的IP地址为51.1.1.1/24,Vlan-interface10的IP地址为2.1.1.1/24。
(6) 配置路由信息,去往内网流量的下一跳IP地址为51.1.1.2,去往Internet流量的下一跳IP地址为2.1.1.2。
Switch B上的相关配置本举例仅列出配置思路,具体配置过程略。
(1) 创建VLAN 12和VLAN 20。
(2) 将接口GigabitEthernet1/0/1和GigabitEthernet1/0/2设置成工作在二层模式,接口链路类型为Access。
(3) 创建二层以太网聚合接口BAGG1,将物理接口GigabitEthernet1/0/1和GigabitEthernet1/0/2加入其中,并将BAGG1加入VLAN 12。
(4) 将接口GigabitEthernet1/0/3设置成工作在二层模式,接口链路类型为Access,并将此接口加入VLAN 20。
(5) 配置Vlan-interface12的IP地址为52.1.1.1/24,Vlan-interface20的IP地址为10.1.1.1/24。
(6) 配置路由信息,去往Internet流量的下一跳IP地址为52.1.1.2。
# 配置Host的默认网关为10.1.1.1。
(1) 双主环境下的验证信息
# 缺省情况下,IRF中的两台设备都可以进行业务处理,通过查看会话信息可以看到两台设备上的会话都有报文统计信息,显示信息如下。
因为以太网链路聚合会因使用不同的负载分担类型,其链路分流的方式也不一样,所以本验证举例仅作参考。
[DeviceA] display session table ipv4 verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.1/19401
Destination IP/port: 123.125.115.110/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation1
Source security zone: Trust
Responder:
Source IP/port: 123.125.115.110/80
Destination IP/port: 10.1.1.1/19401
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation2
Source security zone: Untrust
State: INACTIVE
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2018-01-21 15:59:58 TTL: 295s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 10.1.1.1/19400
Destination IP/port: 123.125.115.110/443
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation1
Source security zone: Trust
Responder:
Source IP/port: 123.125.115.110/443
Destination IP/port: 10.1.1.1/19400
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation2
Source security zone: Untrust
State: INACTIVE
Application: HTTPS
Rule ID: 2
Rule name: 3
Start time: 2018-01-21 15:59:58 TTL: 295s
Initiator->Responder: 110 packets 4493 bytes
Responder->Initiator: 178 packets 9065 bytes
Total sessions found: 2
Slot 2:
Initiator:
Source IP/port: 10.1.1.1/19401
Destination IP/port: 123.125.115.110/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation1
Source security zone: Trust
Responder:
Source IP/port: 123.125.115.110/80
Destination IP/port: 10.1.1.1/19401
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation2
Source security zone: Untrust
State: INACTIVE
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2018-01-21 15:59:58 TTL: 295s
Initiator->Responder: 1110 packets 5493 bytes
Responder->Initiator: 1718 packets 8065 bytes
Initiator:
Source IP/port: 10.1.1.1/19400
Destination IP/port: 123.125.115.110/443
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation1
Source security zone: Trust
Responder:
Source IP/port: 123.125.115.110/443
Destination IP/port: 10.1.1.1/19400
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation2
Source security zone: Untrust
State: INACTIVE
Application: HTTPS
Rule ID: 2
Rule name: 3
Start time: 2018-01-21 15:59:58 TTL: 295s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
(2) 出现链路故障后的验证信息
当接口GigabitEthernet 1/0/1和GigabitEthernet 1/0/2故障后,流量都会切换到另一台设备Device B(Slot 2)进行业务处理,通过查看会话信息可以看到只有Device B上的会话有报文统计信息。
[DeviceA] display session table ipv4 verbose
Slot 1:
Initiator:
Source IP/port: 10.1.1.1/19401
Destination IP/port: 123.125.115.110/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation1
Source security zone: Trust
Responder:
Source IP/port: 123.125.115.110/80
Destination IP/port: 10.1.1.1/19401
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation2
Source security zone: Untrust
State: INACTIVE
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2018-01-21 16:10:58 TTL: 295s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Initiator:
Source IP/port: 10.1.1.1/19400
Destination IP/port: 123.125.115.110/443
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation1
Source security zone: Trust
Responder:
Source IP/port: 123.125.115.110/443
Destination IP/port: 10.1.1.1/19400
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation2
Source security zone: Untrust
State: INACTIVE
Application: HTTPS
Rule ID: 2
Rule name: 3
Start time: 2018-01-21 16:10:58 TTL: 295s
Initiator->Responder: 0 packets 0 bytes
Responder->Initiator: 0 packets 0 bytes
Total sessions found: 2
Slot 2:
Initiator:
Source IP/port: 10.1.1.1/19401
Destination IP/port: 123.125.115.110/80
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation1
Source security zone: Trust
Responder:
Source IP/port: 123.125.115.110/80
Destination IP/port: 10.1.1.1/19401
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation2
Source security zone: Untrust
State: INACTIVE
Application: HTTP
Rule ID: 2
Rule name: 3
Start time: 2018-01-21 16:10:58 TTL: 295s
Initiator->Responder: 1110 packets 5493 bytes
Responder->Initiator: 1718 packets 8065 bytes
Initiator:
Source IP/port: 10.1.1.1/19400
Destination IP/port: 123.125.115.110/443
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation1
Source security zone: Trust
Responder:
Source IP/port: 123.125.115.110/443
Destination IP/port: 10.1.1.1/19400
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/-/-
Protocol: TCP(6)
Inbound interface: Route-Aggregation2
Source security zone: Untrust
State: INACTIVE
Application: HTTPS
Rule ID: 2
Rule name: 3
Start time: 2018-01-21 16:10:58 TTL: 295s
Initiator->Responder: 110 packets 4493 bytes
Responder->Initiator: 178 packets 9065 bytes
Total sessions found: 2
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
