02-IRF配置
本章节下载: 02-IRF配置 (727.51 KB)
IRF(Intelligent Resilient Framework,智能弹性架构)技术通过将多台设备连接在一起,虚拟化成一台设备,集成多台设备的硬件资源和软件处理能力,实现多台设备的协同工作、统一管理和不间断维护。
为了便于描述,我们将通过IRF技术虚拟成的设备也称为IRF。所以,本文中的IRF有两层意思,一个是指IRF技术,一个是指IRF设备。
如图1-1所示,两台设备组成IRF,对上、下层设备来说,它们就是一台设备——IRF。所有成员设备上的资源归该虚拟设备IRF拥有并由主设备统一管理。
图1-1 IRF组网应用示意图
IRF主要具有以下优点:
· 统一管理:IRF形成之后,用户通过IRF中的任意端口都可以登录IRF系统,对所有成员设备进行统一管理。同时,对于网络中的其它设备和网管来说,整个IRF就是一个网络节点,简化了网络拓扑,降低了管理难度。
· 高可靠性:IRF中有多台成员设备,其中一台作为主设备,负责IRF的运行、管理和维护;其它成员设备作为从设备,从设备在作为备份的同时也可以处理业务。一旦主设备故障,系统会迅速自动选举新的主设备,以保证业务不中断,从而实现了设备的1:N备份。
· 星形拓扑:所有的成员设备接入二层网络,只要成员设备间二层互通,就可以利用现有的物理连接来转发成员设备间的流量和IRF协议报文,不需要专门的物理线路和接口来转发。
· 跨成员设备的链路聚合:IRF和上、下层设备之间的物理链路支持聚合功能,并且不同成员设备上的物理链路可以聚合成一个逻辑链路,多条物理链路之间可以互为备份也可以进行负载分担,当某个成员设备离开IRF,其它成员设备上的链路仍能收发报文,从而提高了聚合链路的可靠性。
· 强大的网络扩展能力:IRF的各成员设备都有CPU,能够独立处理协议报文、进行报文转发。增加成员设备,可以灵活扩展IRF的处理能力和端口数量。
IRF中每台设备都称为成员设备。成员设备按照功能不同,分为:
· 主用设备(Master,简称为主设备):负责管理和控制整个IRF。
· 从属设备(Standby,简称为从设备):处理业务、转发报文的同时作为主设备的备份设备运行。当主设备故障时,系统会自动从从设备中选举一个新的主设备接替原主设备工作。
主设备和从设备均由角色选举产生。一个IRF中同时只能存在一台主设备,其它成员设备都是从设备。关于设备角色选举过程的详细介绍请参见“1.1.5 角色选举”。
在运行过程中,IRF使用成员编号来标识成员设备,以便对其进行管理。例如,IRF使用设备的成员编号来表示设备的IRF端口的编号。所以,在IRF中必须保证所有设备成员编号的唯一性。
如果建立IRF时存在编号相同的成员设备,则不能建立IRF;如果新设备加入IRF,但是该设备与已有成员设备的编号冲突,则该设备不能加入IRF。在建立IRF前,请统一规划各成员设备的编号,并逐一进行手工配置,以保证各设备成员编号的唯一性。
成员优先级是成员设备的一个属性,主要用于角色选举过程中确定成员设备的角色。优先级越高当选为主设备的可能性越大。
设备的缺省优先级均为1,如果想让某台设备当选为主设备,则在组建IRF前,可以通过命令行手工提高该设备的成员优先级。
专用于IRF成员设备之间进行连接的逻辑接口,每台成员设备上只有一个IRF端口,IRF端口的编号和设备的成员编号一致。
IRF端口需要和物理端口绑定之后才能生效。IRF端口的状态由与它绑定的IRF物理端口的状态决定。与IRF端口绑定的所有IRF物理端口状态均为down时,IRF端口的状态才会变成down。
与IRF端口绑定,用于IRF成员设备之间进行连接的物理接口。
IRF物理端口仅用于转发IRF相关协商报文以及需要跨成员设备转发的业务报文。
IRF物理端口可以指定通道模式,共有三种模式:
· 控制通道模式:处于该模式的接口只用于传输IRF成员设备间的控制报文,如IRF协议报文等。
· 数据通道模式:处于该模式的接口只用于传输业务报文。
· 混合模式:处于该模式的接口可用于传输控制报文和业务报文。
IRF拓扑域是一个逻辑概念,用于区分不同的IRF。一个IRF对应一个IRF拓扑域。
同一个网络里可以部署多个IRF,IRF之间使用拓扑域编号(Topo-DomainID)来以示区别。拓扑域编号相同的设备才能加入同一个IRF。如图1-2所示,Device A和Device B组成IRF1,Device C和Device D组成IRF2。这种情况下,需要给两个IRF配置不同的拓扑域编号,以便两个IRF互不干扰。
图1-2 多IRF拓扑域示意图
IRF链路故障会导致一个IRF分裂成多个新的IRF。这些IRF拥有相同的IP地址等三层配置,会引起地址冲突,导致故障在网络中扩大。MAD(Multi-Active Detection,多Active检测)机制用来进行IRF分裂检测、冲突处理和故障恢复,从而提高系统的可用性。
IRF检测域也是一个逻辑概念,用于IRF冲突检测。当需要在IRF中配置MAD功能时,才需要配置IRF检测域。如图1-3所示,Device A和Device B组成IRF 1,Switch A和Switch B组成IRF 2。如果IRF 1和IRF 2之间有MAD检测链路,则两个IRF各自的成员设备间发送的MAD检测报文会被另外的IRF接收到,从而对两个IRF的MAD检测造成影响。这种情况下,需要给两个IRF配置不同的检测域编号,以保证两个IRF互不干扰。为了方便管理,IRF检测域和IRF拓扑域的编号可以配置为相同值。
图1-3 多IRF检测域示意图
如图1-4所示,两个(或多个)IRF各自已经稳定运行,通过物理连接和必要的配置,形成一个IRF,这个过程称为IRF合并。
图1-4 IRF合并示意图
如图1-5所示,一个IRF形成后,由于IRF链路故障,导致IRF中两相邻成员设备不连通,一个IRF变成两个IRF,这个过程称为IRF分裂。
图1-5 IRF分裂示意图
各个成员设备之间通过二层网络连接在一起,该连接作为IRF链路可以同时传输跨成员设备转发的业务报文和IRF协议报文。鉴于二层网络的转发性能未知,建议通过网络规划和多链路聚合、备份机制来减少跨成员设备转发的业务报文的数量,尽量保证同一会话的业务报文的出接口和入接口部署在同一成员设备上。
图1-6 IRF星型连接拓扑示意图
当IRF中只有两个成员设备时,可以采用星型连接,也可以将两个成员设备直连,如图1-7所示。
图1-7 两个成员设备的IRF直连示意图
· IRF建立。
· 主设备离开或者故障。
· IRF分裂。
· 独立运行的两个(或多个)IRF合并为一个IRF。
角色选举中按照如下优先级顺序选择主设备:
(1) 当前的主设备优先。IRF不会因为有新的成员设备加入而重新选举主设备,即使新的成员设备有更高优先级。该规则不适用于IRF形成时,此时所有加入的设备都认为自己是主设备。
(2) 成员优先级大的设备。
(3) 系统运行时间长的设备。在IRF中,运行时间的度量精度为10分钟,即如果设备的启动时间间隔小于等于10分钟,则认为它们运行时间相等。
(4) CPU MAC地址小的设备。
IRF建立时,所有从设备必须重启加入IRF。
独立运行的IRF合并时,竞选失败方的所有成员设备必须重启加入获胜方。
在角色选举完成后,IRF形成,进入IRF管理与维护阶段。
IRF合并的情况下,每个IRF的主设备间会进行竞选,竞选仍然遵循角色选举的规则,竞选失败方的所有成员设备重启后以从设备的角色加入获胜方,最终合并为一个IRF。
接口编号采用成员编号/子槽位编号/接口序号的三维格式。其中:
· 成员编号:用来标志不同成员设备上的接口。缺省值为1,修改成员编号并重启设备后,会使用新的成员编号。
· 子槽位编号:接口所在子槽位的编号。不同型号的设备及其接口模块扩展卡的子槽位编号原则不同,请以设备的实际情况为准。
· 接口序号与各型号设备支持的接口数量相关,请查看设备前面板上的丝印。
例如,要将成员设备1上的第一个接口的描述信息配置为for LAN1时,可参照以下步骤:
[Sysname] interface gigabitethernet 1/0/1
[Sysname-GigabitEthernet1/0/1] description for LAN1
要将成员设备2上的第一个接口的描述信息配置为for LAN2时,可参照以下步骤:
[Sysname] interface gigabitethernet 2/0/1
[Sysname-GigabitEthernet2/0/1] description for LAN2
直接使用存储介质的名称可以访问主设备的文件系统;使用“slotMemberID#存储介质的名称”才可以访问从设备的文件系统,MemberID表示从设备的成员编号。存储介质的命名请参见“基础配置指导”中的“文件系统管理”。
· 创建并显示IRF中主设备存储介质Flash根目录下的test文件夹:
Creating directory flash:/test... Done.
524288 KB total (29832 KB free)
· 创建并显示IRF中从设备(成员编号为2)存储介质Flash根目录下的test文件夹:
<Master> mkdir slot2#flash:/test
Creating directory slot2#flash:/test... Done.
Directory of slot2#flash:/test
524288 KB total (128812 KB free)
IRF使用主设备上的配置运行,并通过批量同步和实时同步机制来保证其它成员设备和主设备的配置一致。
· 不管设备与其它设备一起形成IRF,还是加入已有IRF,如果该设备被选为从设备,则该设备会使用主设备的配置重新启动,这个过程称为批量同步。
· 在IRF运行过程中,从任意成员设备登录,实际上登录的都是主设备。所有配置都会交给主设备处理,主设备会立即同步给其它成员设备,这个过程称为实时同步。
备设备加入IRF之前的配置文件还在,但不再生效,除非设备恢复到单独一台设备运行。
IRF链路故障会导致一个IRF变成多个新的IRF。这些IRF拥有相同的IP地址等三层配置,会引起地址冲突,导致故障在网络中扩大。为了提高系统的可用性,当IRF分裂时我们就需要一种机制,能够检测出网络中同时存在多个IRF,并进行相应的处理,尽量降低IRF分裂对业务的影响。MAD(Multi-Active Detection,多Active检测)就是这样一种检测和处理机制。MAD主要提供分裂检测、冲突处理和故障恢复功能。
通过LACP(Link Aggregation Control Protocol,链路聚合控制协议)、ARP(Address Resolution Protocol,地址解析协议)或者ND(Neighbor Discovery,邻居发现)来检测网络中是否存在多个IRF。同一IRF中可以配置一个或多个检测机制,详细信息请参考“1.1.10 MAD检测机制”。
关于LACP的详细介绍请参见“网络互通配置指导”中的“以太网链路聚合”;关于ARP的详细介绍请参见“网络互通配置指导”中的“ARP”;关于ND的详细介绍请参见“网络互通配置指导”中的“IPv6基础”。
IRF分裂后,通过分裂检测机制IRF会检测到网络中存在其它处于正常工作状态的IRF。
· 对于LACP MAD检测,冲突处理会先比较两个IRF中成员设备的数量,数量多的IRF继续工作,数量少的迁移到Recovery状态(即禁用状态)。如果成员数量相等,则主设备成员编号小的IRF继续工作,其它IRF迁移到Recovery状态。
· 对于ARP MAD和ND MAD检测,冲突处理会直接让主设备成员编号小的IRF继续工作;其它IRF迁移到Recovery状态。
IRF迁移到Recovery状态后会关闭该IRF中所有成员设备上除保留端口以外的其它所有业务端口,以保证该IRF不能再转发业务报文。保留端口可通过mad exclude interface命令配置。
IRF链路故障导致IRF分裂,从而引起多Active冲突。因此修复故障的IRF链路,让冲突的IRF重新合并为一个IRF,就能恢复MAD故障。
IRF链路修复后,系统会自动重启或者给出提示信息要求用户手工重启处于Recovery状态的IRF。重启后,原Recovery状态IRF中所有成员设备以从设备身份加入原正常工作状态的IRF,原Recovery状态IRF中被强制关闭的业务接口会自动恢复到真实的物理状态,整个IRF系统恢复,如图1-8所示。
· 系统是否会自动重启或者给出提示信息要求用户手工重启处于Recovery状态的IRF,与设备是否支持以及用户是否配置了irf auto-merge enable命令有关。
· 请根据提示重启处于Recovery状态的IRF,如果错误的重启了正常工作状态的IRF,会导致合并后的IRF仍然处于Recovery状态,所有成员设备的业务接口都会被关闭。此时,需要执行mad restore命令让整个IRF系统恢复。
图1-8 MAD故障恢复(IRF链路故障)
如果MAD故障还没来得及恢复而处于正常工作状态的IRF也故障了(原因可能是设备故障或者上下行线路故障),如图1-9所示。此时可以在Recovery状态的IRF上执行mad restore命令,让Recovery状态的IRF恢复到正常状态,先接替原正常工作状态的IRF工作。然后再修复故障的IRF和链路。
图1-9 MAD故障恢复(IRF链路故障修复前,正常工作状态的IRF故障)
设备支持的MAD检测方式有:LACP MAD检测ARP MAD检测和ND MAD检测。几种MAD检测机制各有特点,用户可以根据现有组网情况进行选择。
MAD检测方式 |
优势 |
限制 |
适用组网 |
LACP MAD |
· 检测速度快 · 利用现有聚合组网即可实现,无需占用额外接口 |
需要使用H3C设备(支持扩展LACP协议报文)作为中间设备 |
IRF使用聚合链路和上行设备或下行设备连接 |
ARP MAD |
· 可以不使用中间设备 · 使用中间设备时,不要求中间设备必须为H3C设备 · 无需占用额外接口 |
· 检测速度慢于LACP MAD · 使用以太网端口实现ARP MAD时,必须和生成树协议配合使用 |
适用于没有使用链路聚合的IPv4组网环境 |
ND MAD |
· 可以不使用中间设备 · 使用中间设备时,不要求中间设备必须为H3C设备 · 无需占用额外接口 |
· 检测速度慢于LACP MAD · 使用以太网端口实现ND MAD时,必须和生成树协议配合使用 |
适用于没有使用链路聚合的IPv6组网环境 |
LACP MAD检测通过扩展LACP协议报文实现,通常采用如图1-10所示的组网:
· 每个成员设备都需要连接到中间设备。
· 成员设备连接中间设备的链路加入动态聚合组。
· 中间设备需要支持扩展LACP报文。
图1-10 LACP MAD检测组网示意图
扩展LACP协议报文定义了一个新的TLV(Type/Length/Value,类型/长度/值)数据域——用于交互IRF的MADDomainID(检测域编号)和ActiveID(主设备的成员编号)。开启LACP MAD检测后,成员设备通过LACP协议报文和其它成员设备交互MADDomainID和ActiveID信息。
· 如果MADDomainID不同,表示报文来自不同IRF,不需要进行MAD处理。
· 如果MADDomainID相同,ActiveID也相同,表示没有发生多Active冲突。
· 如果MADDomainID相同,ActiveID不同,表示IRF分裂,检测到多Active冲突。
ARP MAD检测是通过使用扩展ARP协议报文交互IRF的MADDomainID和ActiveID实现的。
我们可以使用以太网端口实现ARP MAD检测。
使用以太网端口实现ARP MAD时,可以使用中间设备,也可以不使用中间设备。
· 使用中间设备时,每台成员设备都需要和中间设备建立连接,如图1-11所示。IRF和中间设备之间需要运行生成树协议。可以使用数据链路作为ARP MAD检测链路。
· 不使用中间设备时,每台成员设备必须和其它所有成员设备之间建立ARP MAD检测链路。
图1-11 ARP MAD检测组网示意图
使用以太网端口进行ARP MAD检测时:正常情况下,主设备和从设备连接中间设备的端口中,冗余接口会被生成树协议阻塞。当IRF链路故障,生成树拓扑发生变化,主设备和从设备会收到彼此发送的ARP协议报文。
主设备和从设备通过ARP协议报文交互MADDomainID和ActiveID信息:
· 如果MADDomainID不同,表示报文来自不同IRF,不需要进行MAD处理。
· 如果MADDomainID相同,ActiveID也相同,表示没有发生多Active冲突。
· 如果MADDomainID相同,ActiveID不同,表示IRF分裂,检测到多Active冲突。
ND MAD检测是通过扩展ND协议报文内容实现的,即使用ND的NS协议报文携带扩展选项数据来交互IRF的MADDomainID和ActiveID。ND MAD检测适用于IPv6组网环境,检测组网图以及原理和ARP MAD检测类似,不再赘述。
本特性的支持情况与设备型号有关,请以设备的实际情况为准。
产品系列 |
产品型号 |
产品代码 |
说明 |
WX1800H系列 |
WX1804H-PWR |
EWP-WX1804H-PWR-CN |
不支持 |
WX2500H系列 |
WX2508H-PWR-LTE WX2510H-PWR WX2510H-F-PWR WX2540H WX2540H-F WX2560H |
EWP-WX2508H-PWR-LTE EWP-WX2510H-PWR EWP-WX2510H-F-PWR EWP-WX2540H EWP-WX2540H-F EWP-WX2560H |
不支持 |
MAK系列 |
MAK204 MAK206 |
EWP-MAK204 EWP-MAK206 |
不支持 |
WX3000H系列 |
WX3010H WX3010H-X-PWR WX3010H-L-PWR WX3024H WX3024H-L-PWR WX3024H-F |
EWP-WX3010H EWP-WX3010H-X-PWR EWP-WX3010H-L-PWR EWP-WX3024H EWP-WX3024H-L-PWR EWP-WX3024H-F |
不支持 |
WX3500H系列 |
WX3508H WX3508H WX3510H WX3510H WX3520H WX3520H-F WX3540H WX3540H |
EWP-WX3508H EWP-WX3508H-F EWP-WX3510H EWP-WX3510H-F EWP-WX3520H EWP-WX3520H-F EWP-WX3540H EWP-WX3540H-F |
支持 |
WX5500E系列 |
WX5510E WX5540E |
EWP-WX5510E EWP-WX5540E |
支持 |
WX5500H系列 |
WX5540H WX5560H WX5580H |
EWP-WX5540H EWP-WX5560H EWP-WX5580H |
支持 |
AC插卡系列 |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
LSUM1WCME0 EWPXM1WCME0 LSQM1WCMX20 LSUM1WCMX20RT LSQM1WCMX40 LSUM1WCMX40RT EWPXM2WCMD0F EWPXM1MAC0F |
支持 |
产品系列 |
产品型号 |
产品代码 |
说明 |
WX1800H系列 |
WX1804H-PWR WX1810H-PWR WX1820H WX1840H |
EWP-WX1804H-PWR EWP-WX1810H-PWR EWP-WX1820H EWP-WX1840H-GL |
不支持 |
WX3800H系列 |
WX3820H WX3840H |
EWP-WX3820H-GL EWP-WX3840H-GL |
支持 |
WX5800H系列 |
WX5860H |
EWP-WX5860H-GL |
支持 |
通常情况下,必须是同一型号的产品才能组成IRF。
IRF中所有成员设备的软件版本必须相同,如果有软件版本不同的设备要加入IRF,请确保IRF的启动文件同步加载功能处于开启状态。
如果两个IRF的桥MAC地址相同,请修改其中一个IRF的桥MAC地址,否则,它们不能合并为一个IRF。
在IRF分裂后,以及再次合并前,请确保各成员设备上IRF的相关配置和分裂前的保持一致。
跨交换机建立IRF时,需要关闭交换机端口上的STP功能。
IRF中所有成员设备的IRF物理端口禁止开启STP功能。
一个IRF中允许加入的成员设备的数量存在上限。如果超过上限,则不允许新的成员设备加入。目前WX系列产品只支持两台成员设备。
IRF拓扑域编号是一个全局变量,IRF中的所有成员设备都共用这个IRF拓扑域编号。只有同一个拓扑域中的设备才能形成一个IRF。
设备的GE口或XGE口(除MGE口)和SFP口均可以作为IRF物理端口。通常情况下,要求是设备上的高速率端口。
设备出厂时没有将IRF端口与IRF物理端口绑定,需要用户通过命令行手工配置后才能用于IRF。
一个IRF端口必须有至少一个数据通道和控制通道,这两种通道可以部署在一个IRF物理端口上,也可以部署在不同的IRF物理端口上。
IRF端口最大可以绑定四个IRF物理端口。
设备不允许使用shutdown命令关闭从设备上最后一个处于up状态的控制通道所在的物理接口。如果确实需要关闭该IRF链路,可以在主设备的对应接口下执行shutdown命令。
相同类型的IRF物理端口,速率必须一致。
设备和端口类型不同支持的光模块种类不同,请以设备实际情况为准。有关光模块和电缆的详细介绍,请参见《H3C光模块手册》。
100Base-FX/1000Base-X SFP接口不支持使用100M光模块建立IRF。
10GBase-R SFP+接口不支持使用1G光模块建立IRF。
H3C光模块和电缆的种类随着时间变化有更新的可能性,所以,若您需要准确的模块种类信息,请咨询H3C公司市场人员或技术支持人员。
在IRF中执行save命令将当前配置保存到下次启动配置文件:如果某个成员设备上没有这个文件,则会先创建该文件再保存配置;如果某个成员设备上有同名文件,则同名文件的内容会被当前配置覆盖。以便保证IRF中所有成员设备上都有这个下次启动配置文件,并且文件内容一致。
为避免重要配置文件被覆盖,在设备加入IRF前,请备份或者重命名该设备的重要配置文件。
请确保IRF中各成员设备上安装的特性License一致,否则,可能会导致这些License对应的特性不能正常运行。
IRF配置任务如下:
(1) 搭建IRF
a. 配置成员编号
b. (可选)配置成员优先级
c. 配置IRF拓扑域编号
e. (可选)开启IRF合并自动重启功能
f. 配置IRF端口
h. 连接IRF物理接口
i. 访问IRF
(2) 配置MAD
请至少选择其中一项MAD检测方案进行配置。选择时请注意“1.7.1 不同MAD检测方式兼容性限制”。
¡ 配置保留接口
IRF迁移到Recovery状态后会关闭该IRF中除保留接口以外的所有业务接口。如果接口有特殊用途需要保持up状态(比如Telnet登录接口),可以将这些接口配置为保留接口。
¡ MAD故障恢复
(3) (可选)调整和优化IRF
¡ 隔离成员设备
在搭建IRF前,请进行网络规划,确定以下项目:
· 硬件兼容性和限制(选择哪些型号的设备,是否要求同型号)
· IRF规模(包含几台成员设备)
· 使用哪台设备作为主设备
· 各成员设备编号和优先级分配方案
· IRF拓扑和物理连接方案
· 确定IRF物理端口
在IRF中以成员编号标识设备,IRF端口和成员优先级的配置也和成员编号紧密相关。所以,修改设备成员编号可能导致配置发生变化或者失效,请慎重使用。
配置成员编号时,请确保该编号在IRF中唯一。如果存在相同的成员编号,则不能建立IRF。如果新设备加入IRF,但是该设备与已有成员设备的编号冲突,则该设备不能加入IRF。
· 修改成员编号后,但是没有重启本设备,则原编号继续生效,各物理资源仍然使用原编号来标识。
· 修改成员编号后,如果保存当前配置,重启本设备,则新的成员编号生效,需要用新编号来标识物理资源;配置文件中,只有IRF端口的编号以及IRF端口下的配置、成员优先级会继续生效,其它与成员编号相关的配置(比如普通物理接口的配置等)不再生效,需要重新配置。
(1) 进入系统视图。
system-view
(2) 配置成员编号。
irf member member-id renumber new-member-id
缺省情况下,成员编号为1。
在主设备选举过程中,优先级数值大的成员设备将优先被选举成为主设备。
(1) 进入系统视图。
system-view
(2) 配置IRF中指定成员设备的优先级。
irf member member-id priority priority
缺省情况下,成员优先级为1。
需要手工重启设备才能使修改后的IRF拓扑域编号生效。
(1) 进入系统视图。
system-view
(2) 配置IRF拓扑域编号。
irf topo-domain topo-domain-id
缺省情况下,IRF的拓扑域编号为0。
如果新设备加入IRF,并且新设备的软件版本和主设备的软件版本不一致,则新加入的设备不能正常启动。此时:
· 如果没有开启启动文件的自动加载功能,则需要用户手工升级新设备后,再将新设备加入IRF。或者在主设备上开启启动文件的自动加载功能,断电重启新设备,让新设备重新加入IRF。
· 如果已经开启了启动文件的自动加载功能,则新设备加入IRF时,会与主设备的软件版本号进行比较,如果不一致,则自动从主设备下载启动文件,然后使用新的系统启动文件重启,重新加入IRF。如果新下载的启动文件与设备上原有启动文件重名,则原有启动文件会被覆盖。
加载启动软件包需要一定时间,在加载期间,请不要手工重启处于加载状态的从设备,否则,会导致该从设备加载启动软件包失败而不能启动。用户可打开日志信息显示开关,并根据日志信息的内容来判断加载过程是否开始以及是否结束。
为了能够自动加载成功,请确保从设备存储介质上有足够的空闲空间用于存放新的启动文件。如果从设备存储介质上空闲空间不足,系统会自动删除从设备的当前启动文件来完成加载。如果删除从设备的当前启动文件后空间仍然不足,从设备将无法进行自动加载。此时,需要管理员重启从设备并进入从设备的BootWare菜单,删除一些不重要的文件后,再让从设备重新加入IRF。
(1) 进入系统视图。
system-view
(2) 开启IRF系统启动文件的自动加载功能。
irf auto-update enable
缺省情况下,IRF系统启动文件的自动加载功能处于开启状态。
IRF合并时,两台IRF会遵照角色选举的规则进行竞选,竞选失败方IRF的所有成员设备需要重启才能加入获胜方IRF。如果开启IRF合并自动重启功能,则合并过程中的重启由系统自动完成,否则需要用户根据系统提示手工完成重启。
(1) 进入系统视图。
system-view
(2) 开启IRF合并自动重启功能。
irf auto-merge enable
缺省情况下,IRF合并自动重启功能处于开启状态。即两台IRF合并时,竞选失败方会自动重启。
(1) 进入系统视图。
system-view
(2) 进入IRF端口视图。
irf-port member-id
每个成员设备均只有一个IRF端口,端口的编号为设备的成员编号。
(3) 将IRF端口和IRF物理端口绑定。
port group interface interface-type interface-number [ type { control | data } ]
缺省情况下,IRF端口未绑定IRF物理端口。
多次执行该命令,可以将IRF端口与多个IRF物理端口绑定,以实现IRF链路的备份或负载分担,从而提高IRF链路的带宽和可靠性。
(4) 退回到系统视图。
quit
(5) 保存当前配置。
save
激活IRF端口会引起IRF合并,进而设备需要重启。为了避免重启后配置丢失,请在激活IRF端口前先将当前配置保存到下次启动配置文件。
(6) 激活IRF端口下的配置。
irf-port-configuration active
搭建IRF时,必须配置该命令才能形成IRF。系统启动,通过配置文件将IRF物理端口加入IRF端口,或者IRF形成后加入新的IRF物理端口时,IRF端口下的配置会自动激活不需要配置该命令。
对于port group interface配置重启才生效的产品,不需要执行该命令。
在任意视图下执行如下命令,将当前配置保存到存储介质的根目录下,并将该文件设置为下次启动配置文件。
save [ safely ] [ backup | main ] [ force ]
有关该命令的详细介绍,请参见“基础配置命令参考”中的“配置文件管理”。
请按照拓扑规划和“1.1.4 IRF的连接拓扑”完成IRF物理端口的连接。
IRF的访问方式如下:
· 本地登录:通过任意成员设备的Console口登录。
· 远程登录:给任意成员设备的任意三层接口配置IP地址,并且路由可达,就可以通过Telnet、WEB、SNMP等方式进行远程登录。
不管使用哪种方式登录IRF,实际上登录的都是主设备。主设备是IRF系统的配置和控制中心,在主设备上配置后,主设备会将相关配置同步给从设备,以便保证主设备和从设备配置的一致性。
冲突处理原则不同的检测方式请不要同时配置:
· LACP MAD和ARP MAD、ND MAD不要同时配置。
在LACP MAD、ARP MAD和ND MAD检测组网中,如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF检测域编号与被检测的IRF系统不同,否则可能造成检测异常,甚至导致业务中断。
IRF检测域编号是一个全局变量,IRF中的所有成员设备都共用这个IRF检测域编号。在IRF设备上使用irf domain、mad enable、mad arp enable、mad nd enable命令均可修改全局IRF检测域编号,最新的配置生效。请按照网络规划来修改IRF检测域编号,不要随意修改。
如果接口因为多Active冲突被关闭,则只能等IRF恢复到正常工作状态后,接口才能自动被激活,不能通过undo shutdown命令来激活。
(1) 进入系统视图。
system-view
(2) 配置IRF检测域编号。
irf domain domain-id
缺省情况下,IRF的检测域编号为0。
(3) 创建并进入二层聚合接口视图。
interface bridge-aggregation interface-number
中间设备上也需要进行此项配置。
(4) 配置聚合组工作在动态聚合模式下。
link-aggregation mode dynamic
缺省情况下,聚合组工作在静态聚合模式下。
中间设备上也需要进行此项配置。
(5) 开启LACP MAD检测功能。
mad enable
缺省情况下,LACP MAD检测功能处于关闭状态。
(6) 退回系统视图。
quit
(7) 进入以太网接口视图。
interface interface-type interface-number
(8) 将以太网接口加入聚合组。
port link-aggregation group group-id
中间设备上也需要进行此项配置。
使用VLAN接口进行ARP MAD检测时,请注意表1-1所列配置注意事项。
表1-1 使用VLAN接口进行ARP MAD检测
注意事项类别 |
使用限制和注意事项 |
ARP MAD检测VLAN |
· 不允许在Vlan-interface1接口上开启ARP MAD检测功能 · 如果使用中间设备,需要进行如下配置: ¡ 在IRF设备和中间设备上,创建专用于ARP MAD检测的VLAN ¡ 在IRF设备和中间设备上,将用于ARP MAD检测的物理接口添加到ARP MAD检测专用VLAN中 ¡ 在IRF设备上,创建ARP MAD检测的VLAN的VLAN接口 · 不使用中间设备时,每台成员设备必须和其它所有成员设备之间建立ARP MAD检测链路 · 建议勿在ARP MAD检测VLAN上运行其它业务 |
兼容性配置指导 |
如果使用中间设备,请确保满足如下要求: · IRF和中间设备上均需配置生成树功能。并确保配置生成树功能后,只有一条ARP MAD检测链路处于转发状态。关于生成树功能的详细介绍请参见“网络互通配置指导”中的“生成树” · 如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF检测域编号与被检测的IRF系统不同 |
(1) 进入系统视图。
system-view
(2) 配置IRF检测域编号。
irf domain domain-id
缺省情况下,IRF的检测域编号为0。
(3) 将IRF配置为MAC地址立即改变。
undo irf mac-address persistent
缺省情况下,IRF的桥MAC会保留6分钟。
(4) 创建一个新VLAN专用于ARP MAD检测。
vlan vlan-id
缺省情况下,设备上只存在VLAN 1。
VLAN 1不能用于ARP MAD检测。
如果使用中间设备,中间设备上也需要进行此项配置。
(5) 退回系统视图。
quit
(6) 进入以太网接口视图。
interface interface-type interface-number
(7) 将端口加入ARP MAD检测专用VLAN。
¡ 将Access端口加入ARP MAD检测专用VLAN。
port access vlan vlan-id
¡ 将Trunk端口加入ARP MAD检测专用VLAN。
port trunk permit vlan vlan-id
¡ 将Hybrid端口加入ARP MAD检测专用VLAN。
port hybrid vlan vlan-id { tagged | untagged }
ARP MAD检测对检测端口的链路类型没有要求,不需要刻意修改端口的当前链路类型。缺省情况下,端口端的链路类型为Access端口。
如果使用中间设备,中间设备上也需要进行此项配置。
(8) 退回系统视图。
quit
(9) 进入VLAN接口视图。
interface vlan-interface interface-number
(10) 配置IP地址。
ip address ip-address { mask | mask-length }
缺省情况下,未配置VLAN接口的IP地址。
(11) 开启ARP MAD检测功能。
mad arp enable
缺省情况下,ARP MAD检测功能处于关闭状态。
使用VLAN接口进行ND MAD检测时,请注意表1-2所列配置注意事项。
表1-2 使用VLAN接口进行ND MAD检测
注意事项类别 |
使用限制和注意事项 |
ND MAD检测VLAN |
· 不允许在Vlan-interface1接口上开启ND MAD检测功能 · 如果使用中间设备,需要进行如下配置: ¡ 在IRF设备和中间设备上,创建专用于ND MAD检测的VLAN ¡ 在IRF设备和中间设备上,将用于ND MAD检测的物理接口添加到ND MAD检测专用VLAN中 ¡ 在IRF设备上,创建ND MAD检测的VLAN的VLAN接口 · 不使用中间设备时,每台成员设备必须和其它所有成员设备之间建立ND MAD检测链路 · 建议勿在ND MAD检测VLAN上运行其它业务 |
兼容性配置指导 |
如果使用中间设备,请确保满足如下要求: · IRF和中间设备上均需配置生成树功能。并确保配置生成树功能后,只有一条ND MAD检测链路处于转发状态。关于生成树功能的详细介绍请参见“网络互通配置指导”中的“生成树” · 如果中间设备本身也是一个IRF系统,则必须通过配置确保其IRF检测域编号与被检测的IRF系统不同,否则可能造成检测异常,甚至导致业务中断。 |
(1) 进入系统视图。
system-view
(2) 配置IRF检测域编号。
irf domain domain-id
缺省情况下,IRF的检测域编号为0。
(3) 将IRF配置为MAC地址立即改变。
undo irf mac-address persistent
缺省情况下,IRF的桥MAC会保留6分钟。
(4) 创建一个新VLAN专用于ND MAD检测。
vlan vlan-id
缺省情况下,设备上只存在VLAN 1。
VLAN 1不能用于ND MAD检测。
如果使用中间设备,中间设备上也需要进行此项配置。
(5) 退回系统视图。
quit
(6) 进入以太网接口视图。
interface interface-type interface-number
(7) 端口加入ND MAD检测专用VLAN。
¡ 将Access端口加入ND MAD检测专用VLAN。
port access vlan vlan-id
¡ 将Trunk端口加入ND MAD检测专用VLAN。
port trunk permit vlan vlan-id
¡ 将Hybrid端口加入ND MAD检测专用VLAN。
port hybrid vlan vlan-id { tagged | untagged }
ND MAD检测对检测端口的链路类型没有要求,不需要刻意修改端口的当前链路类型。缺省情况下,端口的链路类型为Access端口。
如果使用中间设备,中间设备上也需要进行此项配置。
(8) 退回系统视图。
quit
(9) 进入VLAN接口视图。
interface vlan-interface interface-number
(10) 配置IPv6地址。
ipv6 address { ipv6-address/pre-length | ipv6 address pre-length }
缺省情况下,未配置VLAN接口的IPv6地址。
(11) 开启ND MAD检测功能。
mad nd enable
缺省情况下,ND MAD检测功能处于关闭状态。
IRF系统在进行多Active处理的时候,缺省情况下,会关闭Recovery状态IRF上除了系统保留接口外的所有业务接口。缺省情况下,系统会保留IRF物理端口。如果接口有特殊用途需要保持up状态(比如Telnet登录接口等),则用户可以通过命令行将这些接口配置为保留接口。
· 使用VLAN接口进行远程登录时,需要将该VLAN接口及其对应的以太网端口都配置为保留接口。但如果在正常工作状态的IRF中该VLAN接口也处于UP状态,则在网络中会产生IP地址冲突。
· 请勿将用于MAD检测的聚合接口及其成员接口、VLAN接口及该VLAN中的二层以太网端口及其成员接口配置为保留接口。
(1) 进入系统视图。
system-view
(2) 配置保留接口,当设备进入Recovery状态时,该接口不会被关闭。
mad exclude interface interface-type interface-number
缺省情况下,设备进入Recovery状态时会自动关闭本设备上除了系统保留接口以外的所有业务接口。
当MAD故障恢复时,处于Recovery状态的设备重启后重新加入IRF,被MAD关闭的接口会自动恢复到正常状态。
如果在MAD故障恢复前,正常工作状态的IRF出现故障,可以通过配置本功能先启用Recovery状态的IRF。配置本功能后,Recovery状态的IRF中被MAD关闭的接口会恢复到正常状态,保证业务尽量少受影响。
(1) 进入系统视图。
system-view
(2) 将IRF从Recovery状态恢复到正常工作状态。
mad restore
当网络中存在多个IRF或者同一IRF中存在多台成员设备且物理位置比较分散(比如在不同楼层甚至不同建筑)时,为了确认成员设备的物理位置,在组建IRF时可以将物理位置设置为成员设备的描述信息,以便后期维护。
(1) 进入系统视图。
system-view
(2) 配置IRF中指定成员设备的描述信息。
irf member member-id description text
缺省情况下,成员设备没有描述信息。
桥MAC是设备作为网桥与外界通信时使用的MAC地址。一些二层协议(例如LACP)会使用桥MAC标识不同设备,所以网络上的桥设备必须具有唯一的桥MAC。如果网络中存在桥MAC相同的设备,则会引起桥MAC冲突,从而导致通信故障。IRF作为一台虚拟设备与外界通信,也具有唯一的桥MAC,称为IRF桥MAC。
通常情况下,IRF使用主设备的桥MAC作为IRF桥MAC,我们将这台主设备称为IRF桥MAC拥有者。如果IRF桥MAC拥有者离开,IRF继续使用该桥MAC的时间可以通过“1.8.2 3. 配置IRF的桥MAC地址的保留时间”配置。当IRF的桥MAC保留时间到期后,系统会使用IRF中当前主设备的桥MAC做IRF的桥MAC。
IRF合并时,桥MAC的处理方式如下:
· IRF合并时,如果有成员设备的桥MAC相同,则它们不能合并为一个IRF。IRF的桥MAC不受此限制,只要成员设备自身桥MAC唯一即可。
· 两台IRF合并后,IRF的桥MAC为竞选获胜的一方的桥MAC。
· 桥MAC变化可能导致流量短时间中断,请谨慎配置。
· 如果两个IRF的桥MAC相同,则它们不能合并为一个IRF。
当使用ARP MAD和MSTP组网或者ND MAD和MSTP组网时,需要将IRF配置为桥MAC地址立即改变,即配置undo irf mac-address persistent命令。
当IRF设备上存在跨成员设备的聚合链路时,请不要使用undo irf mac-address persistent命令配置IRF的桥MAC立即变化,否则可能会导致流量中断。
(1) 进入系统视图。
system-view
(2) 配置IRF的桥MAC保留时间。
¡ 配置IRF的桥MAC会永久保留。
irf mac-address persistent always
¡ 配置IRF的桥MAC的保留时间为6分钟
irf mac-address persistent timer
本配置适用于IRF桥MAC拥有者短时间内离开又回到IRF的情况,例如设备重启或者链路临时故障,可以减少不必要的桥MAC切换导致的流量中断。
¡ 配置IRF的桥MAC不保留,会立即变化。
undo irf mac-address persistent
缺省情况下,IRF的桥MAC地址会保留6分钟。
关闭设备的IRF功能后,可以在不断开IRF链路的情况下,将指定成员设备从IRF中隔离出来。该成员设备会在5s后自动从所在的IRF中独立出来。此时,该成员设备仍然运行运行原IRF的配置,只是不收发IRF控制报文。
设备从原IRF隔离出来后,请检查被隔离设备的配置是否与原IRF的配置冲突,比如桥MAC地址、IP地址等配置冲突。如果冲突,请用户根据需要进行重新配置,以免导致网络故障。
(1) 进入系统视图。
system-view
(2) 关闭指定设备的IRF功能。
undo irf member member-id stack enable
缺省情况下,设备的IRF功能处于开启状态。
(1) 登录被隔离的成员设备。
(2) 进入系统视图。
system-view
(3) 开启被隔离设备的IRF功能。
irf member member-id stack enable
(4) 退回用户视图。
quit
(5) 保存当前配置。
save
(6) 重启被隔离设备。
reboot
设备重启后,会重新加入IRF。
开启该功能后,在保障AP及客户端接入的同时,设备会加速完成IRF角色选举、新的成员设备加入IRF和IRF成员角色切换过程。
(1) 进入系统视图。
system-view
(2) 开启IRF WLAN接入优化功能。
irf-optimize wlan reliable-access
在完成上述配置后,在任意视图下执行display命令可以显示配置后IRF的运行情况,通过查看显示信息验证配置的效果。
表1-3 IRF显示和维护
操作 |
命令 |
显示IRF中所有成员设备的相关信息 |
display irf |
显示IRF中所有成员设备的配置信息 |
display irf configuration |
显示指定成员设备收到的IRF Hello报文的信息 |
display irf forwarding [ slot slot-number ] |
显示IRF链路信息 |
display irf link |
显示MAD配置信息 |
display mad [ verbose ] |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!