• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 关于我们

02-虚拟化技术配置指导

目录

04-冗余备份配置

本章节下载 04-冗余备份配置  (532.66 KB)

04-冗余备份配置


1 以太网冗余接口

1.1  以太网冗余接口简介

以太网冗余接口(Redundant Ethernet,Reth)是一种三层虚拟接口。一个以太网冗余接口中包含两个成员接口,使用以太网冗余接口可以实现这两个接口之间的冗余备份。

1.1.1  以太网冗余接口的工作原理

以太网冗余接口的成员接口有两种状态:

·     激活状态:能够收发报文。

·     非激活状态:不能收发报文。

任意时刻,同一个以太网冗余接口内只有一个成员接口处于激活状态。

当两个成员接口的物理状态均为up时,优先级较高的成员接口处于激活状态,优先级较低的成员接口处于非激活状态。优先级可通过命令行配置。

当激活接口的链路变为down时,处于非激活状态的接口会自动激活,接替原激活接口收发报文,实现接口间的备份。

在上、下行设备看来,与其连接的是以太网冗余接口,学习到的是以太网冗余接口的MAC地址。成员接口的激活状态发生变化,不会影响上、下行设备。

说明

如果以太网冗余接口加入了冗余组,由冗余组决定哪个成员接口处于激活状态。具体描述请参见“2 冗余组”。

 

1.1.2  以太网冗余接口的应用场景

以太网冗余接口通常和冗余组配合使用,具体情况请参见“虚拟化技术配置指导”中的“冗余组”。

1.1.3  以太网冗余子接口

以太网冗余接口是一种三层逻辑接口,它只能处理三层报文。

以太网冗余接口下创建的子接口称为以太网冗余子接口,它也是一种三层虚拟接口,可以配置IP地址。主要用来实现在以太网冗余接口上收、发带VLAN Tag的二层报文。用户可以在一个以太网冗余接口上配置多个子接口,这样,来自不同VLAN的报文可以从不同的子接口进行转发,增强了设备的组网灵活性,提高了接口利用率。关于以太网冗余接口及其子接口上支持收、发VLAN Tag报文的详细描述请参见“二层技术-以太网交换配置指导”中的“VLAN终结”。

1.2  以太网冗余接口与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

系列

型号

说明

F50X0系列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN系列

F5000-CN30、F5000-CN60

支持

F5000-AI系列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V系列

F5000-V30

支持

F1000-AI系列

F1000-AI-03、F1000-AI-05

不支持

F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L系列

F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L

不支持

F10X0系列

F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM

不支持

F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1000-V系列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE系列

F1000-SASE100

不支持

F1000-SASE200

支持

F1000-AK系列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210

不支持

F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1025、F1000-AK1115、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW系列

vFW1000、vFW2000、vFW-E-Cloud

支持

 

1.3  以太网冗余接口配置限制和指导

在IRF主备倒换的过程中,请不要在以太网冗余接口上执行删除聚合接口操作。

1.4  配置以太网冗余接口

1.4.1  配置限制和指导

1. 支持的成员口类型

以太网冗余接口成员接口的类型可以为:

·     三层以太网接口

注意

如果设备面板上标注了接口为Bypass接口,或者接口下配置了Bypass功能,请不要将这样的三层以太网接口配置为以太网冗余接口的成员接口,以免引起通信异常。Bypass功能的详细介绍请参见“二层技术-以太网交换配置指导”中的“二层转发”。

·     三层聚合接口

·     上述接口的子接口

2. 成员接口添加限制和指导

一个以太网冗余接口最多可添加两个成员接口,且两个成员接口的优先级不能相同。

只有以太网冗余接口下可以添加成员接口,以太网冗余子接口下不能添加成员接口。

如果以太网冗余接口下创建了子接口,则该以太网冗余接口下的成员接口不能为子接口或者带有子接口的主接口。

一个接口/子接口加入一个以太网冗余接口后,不能加入其它以太网冗余接口。

同一以太网冗余接口的成员接口的类型和速率必须相同,例如均为子接口或者均为1000M三层以太网接口,以便保证成员接口切换后不会因带宽不同影响流量转发。

两个成员接口如果都是子接口,则不能是同一主接口的两个子接口,并且其VLAN终结配置必须一致。关于VLAN终结的详细介绍请参见“二层技术-以太网交换配置指导”中的“VLAN终结”。

当以太网冗余接口的成员接口包含子接口时,不能指定该以太网冗余接口为IPv6静态邻居表项的出接口。关于IPv6静态邻居表项的详细描述请参见“三层技术-IP业务配置指导”中的“IPv6基础”。

加入以太网冗余接口后,成员接口视图下的配置暂时失效。

3. 成员接口删除限制和指导

当以太网冗余接口中存在成员接口时,请将成员接口从以太网冗余接口中删除后,再删除以太网冗余接口。

1.4.2  配置以太网冗余接口的基本参数

(1)     进入系统视图。

system-view

(2)     创建以太网冗余接口,并进入该接口视图。

interface reth interface-number

(3)     添加成员接口。

member interface interface-type interface-number priority priority

缺省情况下,以太网冗余接口下不存在成员接口。

(4)     (可选)配置以太网冗余接口的期望带宽。

bandwidth bandwidth-value

缺省情况下,接口的期望带宽为10000kbps。

期望带宽供业务模块使用,不会对接口实际带宽造成影响。

(5)     (可选)配置以太网冗余接口的描述信息。

description text

缺省情况下,接口的描述信息为“接口名 Interface”,比如:Reth1 Interface。

(6)     (可选)配置以太网冗余接口的MTU(Maximum Transmission Unit,最大传输单元)值。

mtu size

缺省情况下,以太网冗余接口的MTU值为1500字节。

(7)     (可选)配置以太网冗余接口的MAC地址。

mac-address mac-address

缺省情况下,设备使用桥MAC作为以太网冗余接口的MAC地址。

设备上创建的以太网冗余接口的MAC地址均相同,如果因为以太网冗余接口MAC地址相同导致通信异常时,可使用该命令将以太网冗余接口的MAC地址修改为其它不冲突的值。

(8)     打开以太网冗余接口。

undo shutdown

缺省情况下,以太网冗余接口处于开启状态。

1.4.3  配置激活状态通告参数

1. 功能简介

使用本功能,当以太网冗余接口的成员接口的激活状态切换时,以太网冗余接口会立即发送一次通告报文(免费ARP、NA报文),并在接下来的时间,会按照指定时间间隔重复发送指定次数的通告报文,来通告邻居设备成员接口的激活状态发生了变化。

2. 配置限制和指导

如果以太网冗余接口下创建了子接口,以太网冗余接口发送通告报文时,子接口也会发送通告报文,为避免子接口太多,导致通告报文太多,长时间占用CPU资源,本命令仅对以太网冗余接口发送的通告报文生效,对子接口发送的通告报文不生效。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     配置当以太网冗余接口的成员接口的激活状态切换时,向邻居设备重新发送通告报文的次数和时间间隔。

reth advertise retransmit times interval seconds

缺省情况下,当以太网冗余接口的成员接口的激活状态切换时,向邻居设备重新发送通告报文的次数为5,时间间隔为1秒。

1.4.4  开启以太网冗余接口的流量快速切换功能

1. 功能简介

缺省情况下,系统能满足大部分场景下以太网冗余接口的流量快速切换需求。只有主设备断电、异常重启情况下,仍要求以太网冗余接口的流量快速切换时,才需要开启以太网冗余接口快速切换功能。

开启本功能后,为了实现以太网冗余接口流量的快速切换,设备允许处于inactive状态的以太网冗余接口的成员接口转发报文。这种处理,会小概率导致邻居设备学习到的MAC地址表项的出接口为连接inactive成员接口的接口,从而使得流量通过冗余组的备节点转发。所以,一般情况下,不建议开启以太网冗余接口快速切换功能。如果需要开启本功能,可以通过配置arp timer aging aging-time命令缩短动态ARP表项的老化时间来减少小概率事件的发生。

2. 硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

系列

型号

说明

F50X0系列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN系列

F5000-CN30、F5000-CN60

支持

F5000-AI系列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V系列

F5000-V30

支持

F1000-AI系列

F1000-AI-03、F1000-AI-05、F1000-AI-10、F1000-AI-15

不支持

F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L系列

F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L

不支持

F10X0系列

F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM

不支持

F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1000-V系列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE系列

F1000-SASE100、F1000-SASE200

不支持

F1000-AK系列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1025、F1000-AK1030、F1000-AK1105、F1000-AK1110、F1000-AK1115、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9150、F1000-AK9210

不支持

F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1125、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1235、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSUM1FWDEC0、LSWM1FWD0、LSXM1FWDF1

不支持

LSU3FWCEA0、LSUM1FWCEAB0、LSX1FWCEA1

支持

vFW系列

vFW1000、vFW2000、vFW-E-Cloud

不支持

 

3. 配置限制和指导

以太网冗余接口中优先级高的成员接口必须位于冗余组的主节点上,并且以太网冗余接口的active状态跟随冗余组倒换。

以太网冗余接口下的成员接口必须是物理接口(即不能为聚合接口),该命令才会生效。

用于上行的以太网冗余接口和用于下行的以太网冗余接口都需要配置这个命令。

4. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入以太网冗余接口视图。

interface reth interface-number

(3)     开启以太网冗余接口的流量快速切换功能。

fast-switch enable

缺省情况下,以太网冗余接口的流量快速切换功能处于关闭状态。

1.5  配置以太网冗余子接口

1. 功能简介

当以太网冗余接口下的成员接口会同时收到带VLAN Tag的报文和三层报文时,可创建以太网冗余子接口,并在以太网冗余子接口下配置VLAN终结功能。设备将使用以太网冗余子接口来处理二层报文。

2. 配置限制和指导

请先创建以太网冗余接口,才能创建以太网冗余子接口。

如果以太网冗余接口的成员接口为三层以太网子接口、三层聚合接口子接口,或者成员接口下创建了子接口,则不允许以太网冗余接口下再创建子接口。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建以太网冗余子接口,并进入该接口视图。

interface reth interface-number.subnumber

如果以太网冗余子接口已创建,执行该命令,则直接进入该以太网冗余子接口的视图。

(3)     (可选)配置以太网冗余子接口的期望带宽。

bandwidth bandwidth-value

缺省情况下,接口的期望带宽为10000kbps。

(4)     (可选)配置以太网冗余子接口的描述信息。

description text

缺省情况下,接口的描述信息为“接口名 Interface”,比如:Reth1 Interface。

(5)     (可选)配置以太网冗余子接口的MTU值。

mtu size

缺省情况下,以太网冗余子接口的MTU值为1500字节。

(6)     (可选)配置以太网冗余子接口的MAC地址。

mac-address mac-address

缺省情况下,以太网冗余子接口的MAC地址和以太网冗余接口的MAC地址相同。

当同一网络中不同设备上的以太网冗余子接口的MAC地址相同时,可能会导致设备无法正常通信。此时,可将以太网冗余子接口的MAC地址修改为其它不冲突的值。

本命令的支持情况与设备的型号有关,具体请参见命令参考。

(7)     退回系统视图。

quit

(8)     进入以太网冗余子接口所属的以太网冗余接口视图。

interface reth interface-number

(9)     开启以太网冗余子接口的速率统计功能

sub-interface rate-statistic

缺省情况下,以太网冗余子接口的速率统计功能处于关闭状态

配置该命令后,设备会定时统计该接口下所有子接口的速率,用户可以通过display interface reth命令的Last 300 seconds input rate和Last 300 seconds output rate字段查看统计结果

(10)     退回系统视图。

quit

(11)     进入以太网冗余子接口视图。

interface reth interface-number.subnumber

(12)     打开以太网冗余子接口。

undo shutdown

缺省情况下,以太网冗余子接口处于开启状态。

1.6  恢复当前以太网冗余接口/以太网冗余子接口的缺省配置

1. 配置限制和指导

注意

接口下的某些配置恢复到缺省情况后,会对设备上当前运行的业务产生影响。建议您在执行本配置前,完全了解其对网络产生的影响。

 

您可以在执行default命令后通过display this命令确认执行效果。对于未能成功恢复缺省的配置,建议您查阅相关功能的命令手册,手工执行恢复该配置缺省情况的命令。如果操作仍然不能成功,您可以通过设备的提示信息定位原因。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入以太网冗余接口/以太网冗余子接口视图。

interface reth { interface-number | interface-number.subnumber }

(3)     恢复接口的缺省配置。

default

1.7  以太网冗余接口显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后以太网冗余接口的运行情况,通过查看显示信息验证配置的效果。

在用户视图下执行reset命令可以清除以太网冗余接口的统计信息。

表1-1 以太网冗余显示和维护

操作

命令

显示以太网冗余接口的流量统计信息

display counters { inbound | outbound } interface [ reth [ interface-number ] ]

显示最近一个统计周期内处于up状态的接口的报文速率统计信息

display counters rate { inbound | outbound } interface [ reth [ interface-number ] ]

显示以太网冗余接口/以太网冗余子接口的相关信息

display interface [ reth [ interface-number | interface-number.subnumber ] ] [ brief [ description | down ] ]

显示以太网冗余接口的成员接口的信息

display reth interface interface-type interface-number

清除以太网冗余接口的统计信息

reset counters interface [ reth [ interface-number ] ]

 


2 冗余组

2.1  冗余组简介

冗余组功能仅在IRF模式下支持。在IRF组网环境中,冗余组用来实现业务报文的接收、处理、发送都在同一台成员设备上进行。

2.1.1  冗余组工作原理

一个冗余组包含:

·     冗余组节点。一个冗余组必须且最多包含两个冗余组节点。一个为主节点,一个为备节点。每个冗余组节点和一台IRF成员设备绑定。

·     冗余组成员:包括物理以太网接口和以太网冗余接口。冗余组成员部署在和冗余组节点绑定的IRF成员设备上。

冗余组节点的主、备状态决定冗余组成员的工作状态。正常情况下,位于主节点上的冗余组成员处于工作状态,位于备节点上的冗余组成员处于冗余备份状态。当主节点故障,主节点变为备节点,冗余组会同时禁用原主节点上的成员,让位于新主节点上的成员工作。从而确保业务报文的接收、处理、发送都在同一台物理设备上进行,两台设备形成设备级备份。如图2-1所示,冗余组进行流量切换的步骤大致如下:

(1)     正常情况下,流量通过Device A转发,Device A上NAT等业务的表项和数据备份到Device B。

(2)     Device A的上行接口故障。

(3)     冗余组关闭Device A的下行接口。

(4)     流量迁移到Device B,通过Device B转发。

图2-1 冗余组工作原理示意图

 

2.1.2  冗余组节点的状态

冗余组节点有两个状态:主和备。和主节点绑定的IRF成员设备处理业务、转发报文。

冗余组节点的主备状态由以下因素决定:

·     当冗余组节点绑定的IRF成员设备均能正常工作时:

¡     优先级高的为主节点。优先级可通过命令行配置。

¡     当两个节点的优先级相等时,节点编号小的为主节点。节点编号可通过命令行配置。

·     当冗余组节点只绑定了一个IRF成员设备或者绑定的两个IRF成员设备中有一个不能正常工作时,则与能正常工作的IRF成员设备绑定的节点成为主节点。节点能否正常工作由监控机制决定,监控机制的详细介绍请参见“2.1.4  3. 自动倒换/倒回机制”。

2.1.3  冗余组成员

1. 简介

冗余组成员包括物理以太网接口和以太网冗余接口。其中:

·     物理以太网接口和以太网冗余接口均用于实现流量迁移。两者适用的组网环境不同,根据实际环境选择使用一种即可,具体差异如表2-1所示。

表2-1 物理以太网接口和以太网冗余接口差异描述表

接口类型

使用场景

其它说明

物理以太网接口

适用于上行和下行设备运行动态路由协议的场景

加入冗余组的物理以太网接口的类型可以是二层以太网接口、三层以太网接口

以太网冗余接口

适用于上行和下行设备没有运行动态路由协议的场景

以太网冗余接口的成员接口的类型可以是三层以太网接口、三层聚合接口及上述接口的子接口

 

2. 物理以太网接口

冗余组下可以配置节点,节点下可以绑定物理以太网接口。要使冗余组的流量正常切换,需要绑定两组物理以太网接口:

·     一组以太网接口和冗余组的主节点绑定,这组接口必须位于主节点上。该组接口至少需要包含两个物理以太网接口,分别用于上行和下行。

·     一组以太网接口和冗余组的备节点绑定,这组接口必须位于备节点上。该组接口至少需要包含两个物理以太网接口,分别用于上行和下行。

正常情况下,只有位于主节点上的这组接口转发报文,备节点上的这组接口作为主节点上接口组的备份。这两组接口的工作状态由冗余组节点的主备状态决定。如图2-2所示,正常情况下,流量通过主节点上的物理以太网接口(Interface A1和Interface A2)转发,不通过备节点上的物理以太网接口(Interface B1和Interface B2)转发。当主节点上的物理以太网接口(Interface A1)故障,备节点会立即切换成主节点接替原主节点工作,冗余组会关闭原主节点上的其它成员接口,使用新主节点上的成员接口转发报文,如图2-3所示。

图2-2 正常情况下,冗余组节点的成员接口工作原理示意图

图2-3 上行接口故障时,冗余组节点的成员接口工作原理示意图

3. 以太网冗余接口

冗余组下可以配置以太网冗余接口,以太网冗余接口拥有两个成员接口,这两个成员接口分别位于两个冗余组节点上。一个冗余组需要绑定两个以太网冗余接口,一个用于上行数据迁移,一个用于下行数据迁移。

以太网冗余接口和冗余组节点的联动原理为:冗余组中的主节点正常工作时,以太网冗余接口下优先级高的成员接口处于激活状态。冗余组发生倒换,备节点切换成主节点接替原主节点工作时,以太网冗余接口也发生倒换,让以太网冗余接口下优先级高的成员接口处于非激活状态。

图2-4所示,正常情况下,只有主节点上的以太网冗余接口的成员接口转发报文,备节点上以太网冗余接口的成员接口被冗余组模块关闭。当主节点上以太网冗余接口的成员接口故障,备节点会立即切换成主节点接替原主节点工作,冗余组会关闭原主节点上其它以太网冗余接口的成员接口,使用新主节点上所有以太网冗余接口的成员接口转发报文,如图2-5所示。

图2-4 正常情况下,冗余组和冗余接口联动原理示意图

 

图2-5 上行口故障时,冗余组和冗余接口联动原理示意图

 

2.1.4  冗余组的倒换/倒回机制

1. 功能简介

冗余组的倒换是指系统检测到冗余组的主节点故障,备节点会立即切换成主节点,接替原主节点工作。通过和物理以太网接口、以太网冗余接口联动,系统会将流量和业务迁移到新的主节点上处理。

冗余组的倒回是指原主节点故障恢复,系统将流量和业务迁移到原主节点上处理。

根据触发条件不同,冗余组的倒换/倒回机制不同,分为两种:

·     自动倒换/倒回:和Track联动来触发倒换和倒回。

·     手工倒换/倒回:由命令行触发倒换和倒回。

2. 自动倒换/倒回定时器

·     保持定时器

当网络不稳定,监测接口/链路状态频繁改变,会导致Track项状态在短时间内频繁改变,从而导致冗余组不断地响应主备倒换事件。使用保持定时器可以避免这种情况的发生。当节点完成主备倒换后,系统启动保持定时器。在保持时间内,不允许再次发生主备倒换。

·     倒回定时器

当冗余组内优先级高的节点倒回条件就绪时(譬如故障恢复),会触发倒回事件,并启动倒回定时器。由于需要整体倒回,在冗余组倒回的过程中会同时触发很多事件(比如接口状态变化等),这些事件的处理需要时间。倒回定时器能够为冗余组提供一段时间,让节点准备完毕后,再将业务从优先级低的节点倒换到优先级高的节点。

3. 自动倒换/倒回机制

冗余组通过和Track联动来实现自动倒换和倒回。

每个冗余组节点都有权重,缺省值为255,每个冗余组节点必须关联至少一个Track项,每个Track项对应一个权重增量。当Track项变为NotReady或Negative状态时,冗余组节点用当前权重减去对应的权重增量获得新的当前权重。当Track项变为Positive时,冗余组节点用当前权重加上对应的权重增量获得新的当前权重。当前权重小于或等于0时,则认为该节点故障,无法正常工作,触发冗余组的倒换/倒回。

·     如果是将业务从优先级高的节点倒换到优先级低的节点,则系统收到倒换请求后,等到保持定时器超时后,进行主备倒换。

·     如果是优先级高的节点故障恢复,需要将业务从优先级低的节点倒回,则系统收到整体倒回请求后,等到保持定时器超时后,认为倒回条件就绪,并等到倒回定时器超时后,再进行倒回。

若Track模块尚未启动,则节点绑定的Track项状态始终为Positive。关于Track的详细介绍请参见“网络管理和监控配置指导”中的“Track”。

4. 手工倒换/倒回机制

如果两个节点均能正常工作,但用户需要更换主节点上的硬件,此时,可手工触发倒换,让业务迁移到优先级低的节点。

当两个节点均能正常工作,但用户未配置Track项关联接口时,则系统不能自动倒回,可手工触发倒回,让业务迁移到优先级高的节点。

如果两个节点均能正常工作,但用户将倒回定时器配置为0,则不允许自动倒回,但可以手工倒回。

2.2  冗余组与硬件适配关系

本特性的支持情况与设备型号有关,请以设备的实际情况为准。

系列

型号

说明

F50X0系列

F5010、F5020、F5020-GM、F5030、F5030-6GW、F5030-6GW-G、F5040、F5060、F5080、F5000-A、F5000-C、F5000-S、F5000-M

支持

F5000-CN系列

F5000-CN30、F5000-CN60

支持

F5000-AI系列

F5000-AI-15、F5000-AI-20、F5000-AI-40

支持

F5000-V系列

F5000-V30

支持

F1000-AI系列

F1000-AI-03、F1000-AI-05

不支持

F1000-AI-10、F1000-AI-15、F1000-AI-20、F1000-AI-25、F1000-AI-30、F1000-AI-35、F1000-AI-50、F1000-AI-55、F1000-AI-60、F1000-AI-65、F1000-AI-70、F1000-AI-75、F1000-AI-80、F1000-AI-90

支持

F1000-L系列

F1003-L、F1003-L-C、F1003-L-S、F1005-L、F1010-L

不支持

F10X0系列

F1003-C、F1003-M、F1003-S、F1005、F1005-GM、F1010、F1010-GM

不支持

F1020、F1020-GM、F1030、F1030-GM、F1050、F1060、F1070、F1070-GM、F1070-GM-L、F1080、F1090

支持

F1000-V系列

F1000-V50、F1000-V60、F1000-V70、F1000-V90

支持

F1000-SASE系列

F1000-SASE100

不支持

F1000-SASE200

支持

F1000-AK系列

F1000-AK108、F1000-AK109、F1000-AK110、F1000-AK115、F1000-AK120、F1000-AK125、F1000-AK710、F1000-AK1105、F1000-AK1010、F1000-AK1015、F1000-AK1020、F1000-AK1030、F1000-AK1110、F1000-AK1120、F1000-AK1130、F1000-AK1140、F1000-AK9109、F1000-AK9110、F1000-AK9120、F1000-AK9210

不支持

F1000-AK130、F1000-AK135、F1000-AK140、F1000-AK145、F1000-AK150、F1000-AK155、F1000-AK160、F1000-AK165、F1000-AK170、F1000-AK175、F1000-AK180、F1000-AK185、F1000-GM-AK370、F1000-GM-AK380、F1000-AK711、F1000-AK1025、F1000-AK1115、F1000-AK1125、F1000-AK1150、F1000-AK1160、F1000-AK1170、F1000-AK1180、F1000-AK1205、F1000-AK1212、F1000-AK1215、F1000-AK1222、F1000-AK1232、F1000-AK1242、F1000-AK1252、F1000-AK1262、F1000-AK1272、F1000-AK1305、F1000-AK1312、F1000-AK1315、F1000-AK1322、F1000-AK1332、F1000-AK1235、F1000-AK1342、F1000-AK1352、F1000-AK1362、F1000-AK1414、F1000-AK1424、F1000-AK1434、F1000-AK1505、F1000-AK1514、F1000-AK1515、F1000-AK1524、F1000-AK1534、F1000-AK1614、F1000-AK9150、F1000-AK9160、F1000-AK9180、F1000-AK9190

支持

插卡

IM-NGFWX-IV、LSCM1FWDSD0、LSCM2FWDSD0、LSPM6FWD、LSPM6FWDB、LSQM1FWDSC0、LSQM2FWDSC0、LSU3FWCEA0、LSUM1FWCEAB0、LSUM1FWDEC0、LSWM1FWD0、LSX1FWCEA1、LSXM1FWDF1

支持

vFW系列

vFW1000、vFW2000、vFW-E-Cloud

支持

 

2.3  冗余组配置任务简介

冗余组的配置任务如下:

(1)     创建冗余组

(2)     配置冗余组节点

(3)     将接口加入冗余组,以实现流量的迁移。请选择其中一项进行配置。

¡     将物理以太网接口加入冗余组

适用于上行和下行设备运行动态路由协议的场景。

¡     将以太网冗余接口加入冗余组

适用于上行和下行设备没有运行动态路由协议的场景。

(4)     配置冗余组定时器

(5)     (可选)手工触发冗余组倒换

(6)     (可选)手工触发冗余组倒回

(7)     (可选)开启冗余组告警功能

2.4  创建冗余组

1. 配置限制和指导

当冗余组中还存在以太网冗余接口或冗余组节点时,不能删除该冗余组。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建冗余组,并进入该冗余组视图。

redundancy group group-name

2.5  配置冗余组节点

1. 配置限制和指导

一个冗余组下最多可创建两个冗余组节点。不同冗余组下冗余组节点的编号可以相同。

冗余组节点必须和IRF成员设备绑定,一个冗余组节点只能和一个IRF成员设备绑定,一台IRF成员设备只能和一个冗余组节点绑定。当冗余组节点上存在成员接口或Track项时,用户不能取消冗余组节点和IRF成员设备的绑定。

关联Track项时,需要注意:

·     当Track项监控的接口为以太网冗余接口的成员接口或是冗余组节点的成员接口时,请将监控接口配置为关联接口。

·     同一个Track项不能与同一冗余组下的两个冗余组节点都关联。当已将某物理接口配置为某冗余组内高优先级冗余组节点的成员接口,或者为某冗余组内以太网冗余接口的高优先级成员接口时,请不要将该物理接口的子接口配置为该冗余组内高优先级冗余组节点的Track项关联接口。因为物理接口被协议关闭时,会导致其子接口状态为Down,该子接口将无法触发自动倒回,此时,需要手工倒回。

2. 配置准备

请先创建Track项,再将该Track项和冗余组关联。否则,可能会导致冗余组没有有效的Track项而无法触发倒换。关于Track项的配置,请参见“网络管理和监控配置指导”中的“Track”。

3. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入冗余组视图。

redundancy group group-name

(3)     创建冗余组节点,并进入冗余组节点视图。

node node-id

(4)     配置冗余组节点的优先级。

priority priority

缺省情况下,冗余组节点的优先级为1。

(5)     将冗余组节点和IRF成员设备绑定。

bind slot slot-number

缺省情况下,冗余组节点未绑定IRF成员设备。

(6)     关联Track项。

track track-entry-number [ reduced weight-reduced ] [ interface interface-type interface-number ]

缺省情况下,冗余组节点未关联Track项。

2.6  将物理以太网接口加入冗余组

1. 配置限制和指导

冗余组的主节点下至少需要添加两个物理以太网接口,分别用于上行和下行;冗余组的备节点下至少需要添加两个物理以太网接口,分别用于上行和下行。

物理以太网接口只能和一个冗余组节点绑定,不能同时和其它冗余组节点绑定。

本配置中指定的物理以太网接口不能是以太网冗余接口的成员接口。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     进入冗余组视图。

redundancy group group-name

(3)     进入冗余组节点视图。

node node-id

(4)     将物理以太网接口和冗余组节点绑定。

node-member interface interface-type interface-number

缺省情况下,冗余组节点未绑定物理以太网接口。

2.7  将以太网冗余接口加入冗余组

1. 配置限制和指导

一个冗余组需要绑定两个以太网冗余接口,一个用于上行,一个用于下行。

每个以太网冗余接口必须拥有两个成员接口,这两个成员接口分别位于两个冗余组节点上。

请将位于高优先级冗余组节点上的成员接口的优先级参数配置为更大的值。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     创建以太网冗余接口,并进入该接口视图。

interface reth interface-number

(3)     给以太网冗余接口添加成员接口。

member interface interface-type interface-number priority priority

缺省情况下,以太网冗余接口下不存在成员接口。

priority数值越大,优先级越高。

(4)     退回系统视图。

quit

(5)     进入冗余组视图。

redundancy group group-name

(6)     将以太网冗余接口加入冗余组。

member interface reth interface-number [ quick-fallback ]

缺省情况下,冗余组下不存在以太网冗余接口。

本命令中quick-fallback参数的支持情况与设备的型号有关,具体请参见命令参考。

2.8  配置冗余组定时器

(1)     进入系统视图。

system-view

(2)     进入冗余组视图。

redundancy group group-name

(3)     配置冗余组节点状态的保持时间,这段时间内不能发生主备倒换。

hold-down-interval second

缺省情况下,冗余组节点状态的保持时间为1秒。

(4)     配置冗余组节点的倒回延时。

preempt-delay { min | seconds sec }

缺省情况下,冗余组节点的倒回延时为1分钟(60秒)。

本命令中min和seconds参数的支持情况与设备的型号有关,具体请参见命令参考。

如果将倒回时间配置为0,则表示不允许自动倒回,但可以手工倒回。

2.9  手工触发冗余组倒换

(1)     进入系统视图。

system-view

(2)     进入冗余组视图。

redundancy group group-name

(3)     手工触发冗余组进行主备倒换,让冗余组工作在优先级低的节点。

switchover request

2.10  手工触发冗余组倒回

(1)     进入系统视图。

system-view

(2)     进入冗余组视图。

redundancy group group-name

(3)     手工触发一次冗余组倒回,让冗余组工作在优先级高的节点。

switchover reset

2.11  开启冗余组告警功能

1. 功能简介

开启冗余组告警功能后,在冗余组人工倒换、故障接口恢复、故障接口生成时,会生成告警信息,并将该信息发送到设备的SNMP模块。通过设置SNMP中告警信息的发送参数,来决定告警信息输出的相关特性。有关告警信息的详细描述,请参见“网络管理和监控配置指导”中的“SNMP”。

2. 配置步骤

(1)     进入系统视图。

system-view

(2)     开启冗余组告警功能。

snmp-agent trap enable rddc

缺省情况下,冗余组告警功能处于开启状态。

2.12  冗余组显示和维护

在完成上述配置后,在任意视图下执行display命令可以显示配置后冗余组的运行情况,通过查看显示信息验证配置的效果。

表2-2 冗余组显示和维护

操作

命令

显示冗余组的相关信息

display redundancy group [ group-name ]

 

2.13  冗余组典型配置举例

2.13.1  工作在三层,上下行分别连接两台路由器,两台路由器接口不在同一网段

1. 组网需求

·     如图2-6所示,Device A和Device B组成IRF,Router 1和IRF相连的接口与Router 2和IRF相连的接口不在同一网段,Router 3和IRF相连的接口与Router 4和IRF相连的接口不在同一网段。

·     正常情况下,流量走Router 1——Device A——Router 3;当这条通道上的任一链路或者设备故障时,流量切换到Router 2——Device B——Router 4。正常通道故障恢复时,流量再切回。

2. 组网图

图2-6 配置组网图

3. 配置步骤

(1)     配置IRF

¡     配置Device A

# 配置IRF端口1/2,并将它与物理端口GigabitEthernet1/0/3绑定,并保存配置。

<DeviceA> system-view

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] shutdown

[DeviceA-GigabitEthernet1/0/3] quit

[DeviceA] irf-port 1/2

[DeviceA-irf-port1/2] port group interface gigabitethernet 1/0/3

You must perform the following tasks for a successful IRF setup:

Save the configuration after completing IRF configuration.

Execute the "irf-port-configuration active" command to activate the IRF ports.

[DeviceA-irf-port1/2] quit

[DeviceA] interface gigabitethernet 1/0/3

[DeviceA-GigabitEthernet1/0/3] undo shutdown

[DeviceA-GigabitEthernet1/0/3] quit

[DeviceA] save

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):irf-port-configu

ration active

The configuration file is invalid or not exist.

# 为确保Device A与Device B在主设备选举过程中,Device A为主,修改Device A成员优先级为2(成员优先级大的优先,缺省情况下,设备的成员优先级均为1)。并激活IRF端口下的配置。

[DeviceA] irf member 1 priority 2

[DeviceA] irf-port-configuration active

¡     配置Device B

# 将Device B的成员编号配置为2,并重启设备使新编号生效。

<DeviceB> system-view

[DeviceB] irf member 1 renumber 2

Renumbering the member ID may result in configuration change or loss. Continue? [Y/N]:y

[DeviceB] quit

<DeviceB> reboot

Start to check configuration with next startup configuration file, please wait..

.......DONE!

This command will reboot the device. Continue? [Y/N]:y

# 参照图2-6进行物理连线。

# 重新登录到Device B,配置IRF端口2/1,并将它与物理端口GigabitEthernet2/0/3绑定,并保存配置。并激活IRF端口下的配置。

<DeviceB> system-view

[DeviceB] interface gigabitethernet 2/0/3

[DeviceB-GigabitEthernet2/0/3] shutdown

[DeviceB-GigabitEthernet2/0/3] quit

[DeviceB] irf-port 2/1

[DeviceB-irf-port2/1] port group interface gigabitethernet 2/0/3

You must perform the following tasks for a successful IRF setup:

Save the configuration after completing IRF configuration.

Execute the "irf-port-configuration active" command to activate the IRF ports.

[DeviceB-irf-port2/1] quit

[DeviceB] interface gigabitethernet 2/0/3

[DeviceB-GigabitEthernet2/0/3] undo shutdown

[DeviceB-GigabitEthernet2/0/3] quit

[DeviceB] save

[DeviceB] irf-port-configuration active

Device A和Device B间将会进行主设备竞选,竞选失败的一方将重启,重启完成后,IRF形成。

(2)     配置Track,监测上、下行接口的状态。

<DeviceA> system-view

[DeviceA] track 1 interface gigabitethernet 1/0/1 physical

[DeviceA-track-1] quit

[DeviceA] track 2 interface gigabitethernet 1/0/2 physical

[DeviceA-track-2] quit

[DeviceA] track 3 interface gigabitethernet 2/0/1 physical

[DeviceA-track-3] quit

[DeviceA] track 4 interface gigabitethernet 2/0/2 physical

[DeviceA-track-4] quit

(3)     配置冗余组

# 创建Node 1,Node 1和Device A绑定,为主节点,成员接口为GigabitEthernet1/0/1和GigabitEthernet1/0/2。关联的Track项为1和2。

[DeviceA] redundancy group aaa

[DeviceA-redundancy-group-aaa] node 1

[DeviceA-redundancy-group-aaa-node1] bind slot 1

[DeviceA-redundancy-group-aaa-node1] priority 100

[DeviceA-redundancy-group-aaa-node1] node-member interface gigabitethernet 1/0/1

[DeviceA-redundancy-group-aaa-node1] node-member interface gigabitethernet 1/0/2

[DeviceA-redundancy-group-aaa-node1] track 1 interface gigabitethernet 1/0/1

[DeviceA-redundancy-group-aaa-node1] track 2 interface gigabitethernet 1/0/2

[DeviceA-redundancy-group-aaa-node1] quit

# 创建Node 2,Node 2和Device B绑定,为备节点,成员接口为GigabitEthernet2/0/1和GigabitEthernet2/0/2。关联的Track项为3和4。

[DeviceA-redundancy-group-aaa] node 2

[DeviceA-redundancy-group-aaa-node2] bind slot 2

[DeviceA-redundancy-group-aaa-node2] priority 50

[DeviceA-redundancy-group-aaa-node2] node-member interface gigabitethernet 2/0/1

[DeviceA-redundancy-group-aaa-node2] node-member interface gigabitethernet 2/0/2

[DeviceA-redundancy-group-aaa-node2] track 3 interface gigabitethernet 2/0/1

[DeviceA-redundancy-group-aaa-node2] track 4 interface gigabitethernet 2/0/2

[DeviceA-redundancy-group-aaa-node2] quit

[DeviceA-redundancy-group-aaa] quit

(4)     配置接口IP地址

# 根据组网图中规划的信息,配置各接口的IP地址,具体配置步骤如下。

[DeviceA] interface gigabitethernet 1/0/1

[DeviceA-GigabitEthernet1/0/1] ip address 1.1.1.2 255.255.255.0

[DeviceA-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址,具体配置步骤略。

(5)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由。本举例假设LAN网段为5.5.5.0/24,实际使用中请以具体组网情况为准,具体配置步骤如下。

¡     配置IRF设备

[DeviceA] ip route-static 0.0.0.0 0 1.1.1.1

[DeviceA] ip route-static 0.0.0.0 0 2.2.2.1 preference 80

[DeviceA] ip route-static 5.5.5.0 24 3.3.3.3

[DeviceA] ip route-static 5.5.5.0 24 4.4.4.3 preference 80

(6)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name untrust

[DeviceA-security-zone-Untrust] import interface gigabitethernet 1/0/1

[DeviceA-security-zone-Untrust] import interface gigabitethernet 2/0/1

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name trust

[DeviceA-security-zone-Trust] import interface gigabitethernet 1/0/2

[DeviceA-security-zone-Trust] import interface gigabitethernet 2/0/2

[DeviceA-security-zone-Trust] quit

(7)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使LAN 1和LAN 2中的主机可以访问外网,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule name trust-untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 5.5.5.0 24

[DeviceA-security-policy-ip-1-trust-untrust] action pass

[DeviceA-security-policy-ip-1-trust-untrust] quit

[DeviceA-security-policy-ip] quit

4. 验证配置

(1)     缺省情况下的显示信息

# 显示冗余组信息。可以看到优先级高的Node 1为主节点,Node 1和Node 2下面的成员接口都处于UP状态。

[DeviceA] display redundancy group aaa

Redundancy group aaa (ID 1):

  Node ID      Slot       Priority   Status        Track weight

  1            Slot1      100        Primary       255

  2            Slot2      50         Secondary     255

 

Preempt delay time remained     : 0    min

Preempt delay timer setting     : 1    min

Remaining hold-down time        : 0    sec

Hold-down timer setting         : 1    sec

Manual switchover request       : No

 

Node 1:

  Node member     Physical status

      GE1/0/1     UP

      GE1/0/2     UP

  Track info:

    Track    Status       Reduced weight     Interface

    1        Positive     255                GE1/0/1

    2        Positive     255                GE1/0/2

Node 2:

  Node member     Physical status

      GE2/0/1     UP

      GE2/0/   UP

  Track info:

    Track    Status       Reduced weight     Interface

    3        Positive       255              GE2/0/1

    4        Positive       255              GE2/0/2

(2)     冗余组内主备倒换后的显示信息

# 手工关闭接口GigabitEthernet1/0/2,显示冗余组信息。可以看到优先级低的Node 2为主节点,Node 1的成员接口GigabitEthernet1/0/2故障(DOWN),GigabitEthernet1/0/1被协议关闭(DOWN(redundancy down)),Node 2的成员接口转发报文。

[DeviceA] quit

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] shutdown

[DeviceA-GigabitEthernet1/0/2] display redundancy group aaa

Redundancy group aaa (ID 1):

  Node ID      Slot       Priority   Status        Track weight

  1            Slot1      100        Secondary     -255

  2            Slot2      50         Primary       255

 

Preempt delay time remained     : 0    min

Preempt delay timer setting     : 1    min

Remaining hold-down time        : 0    sec

Hold-down timer setting         : 1    sec

Manual switchover request       : No

 

Node 1:

  Node member     Physical status

      GE1/0/1       DOWN(redundancy down)

      GE1/0/2       DOWN

  Track info:

    Track    Status       Reduced weight     Interface

    1         Negative     255                GE1/0/1

    2         Negative     255                GE1/0/2 (Fault)

Node 2:

  Node member     Physical status

      GE2/0/1   UP

      GE2/0/2   UP

  Track info:

    Track    Status       Reduced weight     Interface

    3         Positive       255              GE2/0/1

    4         Positive       255              GE2/0/2

2.13.2  工作在三层,上下行分别连接一台设备

1. 组网需求

·     如图2-7所示,Device A和Device B组成IRF,Device A和Device B分别用一个接口组建成冗余接口,连接上行设备Device C;再分别用一个接口组建成冗余接口,连接下行设备Device D。

·     Device C使用VLAN接口连接Device A和Device B,Device D也使用VLAN接口连接Device A和Device B。

·     正常情况下,流量走Device D——Device A——Device C;当这条通道上的任一链路或者设备故障时,流量切换到Device D——Device B——Device C。正常通道故障恢复时,流量再切回。

2. 组网图

图2-7 配置组网图

3. 配置步骤

(1)     配置IRF

IRF的配置请参见“2.13.1  工作在三层,上下行分别连接两台路由器,两台路由器接口不在同一网段”。

(2)     配置以太网冗余接口

# 创建Reth1,IP地址为1.1.1.2/24,成员接口为GigabitEthernet1/0/1和GigabitEthernet2/0/1,其中GigabitEthernet1/0/1的优先级为255,GigabitEthernet2/0/1的优先级为50。

<DeviceA> system-view

[DeviceA] interface reth 1

[DeviceA-Reth1] ip address 1.1.1.2 24

[DeviceA-Reth1] member interface gigabitethernet 1/0/1 priority 255

[DeviceA-Reth1] member interface gigabitethernet 2/0/1 priority 50

[DeviceA-Reth1] quit

# 创建Reth2,IP地址为2.2.2.2/24,成员接口为GigabitEthernet1/0/2和GigabitEthernet2/0/2,其中GigabitEthernet1/0/2的优先级为255,GigabitEthernet2/0/2的优先级为50。

[DeviceA] interface reth 2

[DeviceA-Reth2] ip address 2.2.2.2 24

[DeviceA-Reth2] member interface gigabitethernet 1/0/2 priority 255

[DeviceA-Reth2] member interface gigabitethernet 2/0/2 priority 50

[DeviceA-Reth2] quit

(3)     配置Track,监测上、下行接口的状态。

[DeviceA] track 1 interface gigabitethernet 1/0/1 physical

[DeviceA-track-1] quit

[DeviceA] track 2 interface gigabitethernet 1/0/2 physical

[DeviceA-track-2] quit

[DeviceA] track 3 interface gigabitethernet 2/0/1 physical

[DeviceA-track-3] quit

[DeviceA] track 4 interface gigabitethernet 2/0/2 physical

[DeviceA-track-4] quit

(4)     配置冗余组

# 创建Node 1,Node 1和Device A绑定,为主节点。关联的Track项为1和2。

[DeviceA] redundancy group aaa

[DeviceA-redundancy-group-aaa] node 1

[DeviceA-redundancy-group-aaa-node1] bind slot 1

[DeviceA-redundancy-group-aaa-node1] priority 100

[DeviceA-redundancy-group-aaa-node1] track 1 interface gigabitethernet 1/0/1

[DeviceA-redundancy-group-aaa-node1] track 2 interface gigabitethernet 1/0/2

[DeviceA-redundancy-group-aaa-node1] quit

# 创建Node 2,Node 2和Device B绑定,为备节点。关联的Track项为3和4。

[DeviceA-redundancy-group-aaa] node 2

[DeviceA-redundancy-group-aaa-node2] bind slot 2

[DeviceA-redundancy-group-aaa-node2] priority 50

[DeviceA-redundancy-group-aaa-node2] track 3 interface gigabitethernet 2/0/1

[DeviceA-redundancy-group-aaa-node2] track 4 interface gigabitethernet 2/0/2

[DeviceA-redundancy-group-aaa-node2] quit

# 将Reth1和Reth2添加到冗余组中。

[DeviceA-redundancy-group-aaa] member interface reth 1

[DeviceA-redundancy-group-aaa] member interface reth 2

[DeviceA-redundancy-group-aaa] quit

(5)     配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中,请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息,配置静态路由。本举例假设LAN的网段为3.3.3.0/24,实际使用中请以具体组网情况为准,具体配置步骤如下。

[DeviceA] ip route-static 0.0.0.0 0 1.1.1.1

[DeviceA] ip route-static 3.3.3.0 24 2.2.2.1

(6)     配置接口加入安全域

# 请根据组网图中规划的信息,将接口加入对应的安全域,具体配置步骤如下。

[DeviceA] security-zone name untrust

[DeviceA-security-zone-Untrust] import interface reth 1

[DeviceA-security-zone-Untrust] quit

[DeviceA] security-zone name trust

[DeviceA-security-zone-Trust] import interface reth 2

[DeviceA-security-zone-Trust] quit

(7)     配置安全策略

# 配置名称为trust-untrust的安全策略规则,使LAN中的主机可以访问外网,具体配置步骤如下。

[DeviceA] security-policy ip

[DeviceA-security-policy-ip] rule 1 name trust-untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-zone trust

[DeviceA-security-policy-ip-1-trust-untrust] destination-zone untrust

[DeviceA-security-policy-ip-1-trust-untrust] source-ip-subnet 3.3.3.0 24

[DeviceA-security-policy-ip-1-trust-untrust] action pass

[DeviceA-security-policy-ip-1-trust-untrust] quit

[DeviceA-security-policy-ip] quit

4. 验证配置

(1)     缺省情况下的显示信息

# 显示冗余组信息。可以看到优先级高的Node 1为主节点,Reth1和Reth2中优先级高的成员接口处于激活状态。

[DeviceA] display redundancy group aaa

Redundancy group aaa (ID 1):

  Node ID   Slot     Priority  Status       Track weight

  Node1     Slot1    100       Primary      255

  Node2     Slot2    50        Secondary    255

 

Preempt delay time remained   : 0    min

Preempt delay timer setting   : 1    min

Remaining hold-down time      : 0    sec

Hold-down timer setting       : 300  sec

Manual switchover request     : No

 

Node 1:

  Track info:

    Track     Status        Reduced weight       Interface

    1         Positive      255                  GE1/0/1

    2         Positive      255                  GE1/0/2

Node 2:

  Track info:

    Track     Status        Reduced weight      Interface

    3         Positive      255                 GE2/0/1

    4         Positive      255                 GE2/0/2

# 显示Reth信息。可以看到Reth1和Reth2中优先级高的成员接口处于激活状态。

[DeviceA] display reth interface reth 1

Reth1 :

  Redundancy group  : aaa

  Member                Physical status         Forwarding status    Presence status

  GE1/0/1               UP                      Active               Normal

  GE2/0/1               UP                      Inactive             Normal

[DeviceA] display reth interface reth 2

Reth2 :

  Redundancy group  : aaa

  Member                Physical status         Forwarding status    Presence status

  GE1/0/2               UP                      Active               Normal

  GE2/0/2               UP                      Inactive             Normal

(2)     冗余组内主备倒换后的显示信息

# 手工关闭接口GigabitEthernet1/0/2,显示冗余组信息。可以看到优先级低的Node 2为主节点。

[DeviceA] interface gigabitethernet 1/0/2

[DeviceA-GigabitEthernet1/0/2] shutdown

[DeviceA-GigabitEthernet1/0/2] display redundancy group aaa

Redundancy group aaa (ID 1):

  Node ID   Slot     Priority  Status       Track weight

  Node1     Slot1    100       Secondary    -255

  Node2     Slot2    50        Primary      255

 

Preempt delay time remained   : 0    min

Preempt delay timer setting   : 1    min

Remaining hold-down time      : 0    sec

Hold-down timer setting       : 300  sec

Manual switchover request     : No

 

Member interfaces:

    Reth1          Reth2

 

Node 1:

  Track info:

    Track     Status               Reduced weight     Interface

    1         Negative             255                GE1/0/1

    2         Negative(Faulty)     255                GE1/0/2(Fault)

Node 2:

  Track info:

    Track     Status       Reduced weight     Interface

    3         Positive     255                GE2/0/1

    4         Positive     255                GE2/0/2

# 显示Reth的信息。Reth2下的接口GigabitEthernet1/0/2故障(DOWN),Reth1下的接口GigabitEthernet1/0/1被协议关闭(DOWN(redundancy down))。GigabitEthernet2/0/1和GigabitEthernet2/0/2激活。

[DeviceA-GigabitEthernet1/0/2] display reth interface reth 1

Reth1 :

Redundancy group  : aaa

  Member                 Physical status         Forwarding status    Presence status

  GE1/0/1                DOWN(redundancy down)   Inactive             Normal

  GE2/0/1                UP                      Active               Normal

[DeviceA-GigabitEthernet1/0/2] display reth interface reth 2

Reth2 :

Redundancy group  : aaa

  Member                 Physical status         Forwarding status    Presence status

  GE1/0/2                DOWN                    Inactive             Normal

  GE2/0/2                UP                      Active               Normal

 

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们