H

H3C交换机irf虚拟化参照整理

椰子ya 网络安全 2020-08-25

RF虚拟化技术的英文简称,是当前企业IT技术领域的关注焦点,采用虚拟化来优化IT架构,提升IT系统运行效率是当前技术发展的方向。
对于服务器或应用的虚拟化架构,IT行业相对比较熟悉:在服务器上采用虚拟化软件运行多台虚拟机(VM---Virtual Machine),以提升物理资源利用效率,可视为1:N的虚拟化;另一方面,将多台物理服务器整合起来,对外提供更为强大的处理性能(如负载均衡集群),可视为N:1的虚拟化。
对于基础网络来说,虚拟化技术也有相同的体现:在一套物理网络上采用VLAN或VRF技术划分出多个相互隔离的逻辑网络,是1:N的虚拟化;将多个物理网络设备整合成一台逻辑设备,简化网络架构,是N:1虚拟化。H3C 虚拟化技术IRF(Intelligent Resilient Framework)属于N:1整合型虚拟化技术范畴。

1、确认修改member id号,同一域下主辅设备不可相同
主设备:

[F1020-A-1]irf member 1 renumber 1  【先确认member id 号是否为1,若是则跳过该配置】
Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【确认后会提示你需要reboot才能生效】

2、设备配置优先级,优先级越大越优先

[F1020-A-1]irf member 1 priority 10                       【优先级越大越优先】
[F1020-A-1]irf member 1 description F1020-A-1     【加个成员1的描述】

3、shutdown端口【将物理端口加入irf-port前,需要提前shutdown】

[F1020-A-1]interface GigabitEthernet 1/0/14       
[F1020-A-1-GigabitEthernet1/0/14]sh
[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15
[F1020-A-1-GigabitEthernet1/0/15]sh

4、将物理端口加入irf-port

[F1020-A-1]irf-port 1/1    【1/1  前面的1,指设备member id。后面的1是端口id】
[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/14      
【在将物理端口加入到irf-port中时,设备会提醒要输入如下黄字激活口令才能生效】
You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.  
Execute the "irf-port-configuration active" command to activate the IRF ports. 

6、启动物理端口

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/15
[F1020-A-1]interface GigabitEthernet 1/0/14         【将物理接口重新up】
[F1020-A-1-GigabitEthernet1/0/14]undo sh
[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15
[F1020-A-1-GigabitEthernet1/0/15]undo sh
[F1020-A-1]save                                                     【保存配置】
The current configuration will be written to the device. Are you sure? [Y/N]:y
Please input the file name(*.cfg)[flash:/startup.cfg]
(To leave the existing filename unchanged, press the enter key):
flash:/startup.cfg exists, overwrite? [Y/N]:y
Validating file. Please wait...
Saved the current configuration to mainboard device successfully.

启动irf虚拟化

[F1020-A-1]irf-port-configuration active              【激活 IRF 端口下的配置】

辅设备

[F1020-B-2]irf member 1 renumber 2      【
先确认member id 号是否为2,若是则跳过该配置,一般初始化是1,备机肯定】
Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【确认后会提示你需要reboot才能生效】
[F1020-B-2]irf member 2 priority 5            【优先级越大越优先】 
[F1020-B-2]irf member 2 description F1020-B-2    【加个成员2的描述】
[F1020-B-2]interface GigabitEthernet 1/0/14

【将物理端口加入irf-port前,需要提前shutdown】

[F1020-B-2-GigabitEthernet2/0/14]sh
[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15
[F1020-B-2-GigabitEthernet2/0/15]sh
[F1020-B-2]irf-port 2/2    【2/2  前面的1,指设备member id。后面的2是端口id】
[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/14     
 【在将物理端口加入到irf-port中时,设备会提醒要输入如下黄字激活口令才能生效】
You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.  
Execute the "irf-port-configuration active" command to activate the IRF ports. 
[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/15
[F1020-B-2]interface GigabitEthernet 2/0/14           【将物理接口重新up】
[F1020-B-2-GigabitEthernet2/0/14]undo sh
[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15
[F1020-B-2-GigabitEthernet2/0/15]undo sh
[F1020-B-2]save                                                          【保存配置】
[F1020-A-1]irf-port-configuration active              【激活 IRF 端口下的配置】

在激活irf-port-configuration 之后A 和 B 间将会进行主设备竞选,竞选失败的一方将重启,重启完成后,IRF 形成。 【这个选举过程很快,敲完立马重启】
重启完成后,dis inter bri,irf配置完成。
MAD检测(使用BFD方式)
BFD //前提是IRF堆叠已经建立

vlan 3000 //创建BFD vlan
interface GigabitEthernet1/0/48
port link-mode bridge
port access vlan 3000 //将端口加入BFD-MAD vlan中
undo stp enable //BFD-MAD和生成树功能互斥,需要在BFD-MAD端口禁用生成树
interface GigabitEthernet2/0/48
port link-mode bridge
port access vlan 3000 //将端口加入BFD-MAD vlan中
undo stp enable //BFD-MAD和生成树功能互斥,需要在BFD-MAD端口禁用生成树
interface Vlan-interface 3000
mad bfd enable //启用BFD-MAD
mad ip address 3.3.3.29 255.255.255.0 member 1 //配置MAD IP地址
mad ip address 3.3.3.30 255.255.255.0 member 2 //配置MAD IP地址
reboot //最后需要重启下交换机

常见几个维护命令:【下面的输出信息,设备master和standby,因为我测试环境,调试主备优先级了。所以与上文优先级不一样,相反】

[F1020-B-2]dis irf
[F1020-B-2]dis irf topology 
[F1020-B-2]dis irf link                                                    
[F1020-B-2]dis irf configuration 

二、多IRF冲突检测(MAD功能)
2.1 机制介绍
  IRF链路故障会导致一个IRF变成两个新的IRF。这两个IRF拥有相同的IP地址等三层配置,会引起地址冲突,导致故障在网络中扩大。为了提高系统的可用性,当IRF分裂时我们就需要一种机制,能够检测出网络中同时存在多个IRF,并进行相应的处理尽量降低IRF分裂对业务的影响。MAD(Multi-Active Detection,多Active检测)就是这样一种检测和处理机制。它主要提供以下功能:
(1)分裂检测
  通过LACP(Link Aggregation Control Protocol,链路聚合控制协议)、BFD(Bidirectional Forwarding Detection,双向转发检测)或者免费ARP(GratuitousAddress Resolution Protocol)来检测网络中是否存在多个IRF。
(2)冲突处理
  IRF分裂后,通过分裂检测机制IRF会检测到网络中存在其它处理Active状态(表示IRF处于正常工作状态)的IRF。冲突处理会让Master成员编号最小的IRF继续正常工作(维持Active状态),其它IRF会迁移到Recovery状态(表示IRF处于禁用状态),并关闭Recovery状态IRF中所有成员设备上除保留端口以外的其它所有物理端口(通常为业务接口),以保证该IRF不能再转发业务报文。(缺省情况下,只有IRF物理商品是保留商品,如果要将其它端口,比如用于远程登录的商品,也作为保留端口,需要使用命令行进行手工配置。
(3)MAD故障恢复
  IRF链路故障导致IRF分裂,从而引起多Active冲突。因此修复故障的IRF链路,让冲突的IRF重新合并为一个IRF,就能恢复MAD故障。如果在MAD故障恢复前,处于Recovery状态的IRF也出现了故障,则需要将故障IRF和故障链路都修复后,才能让冲突的IRF重新合并为一个IRF,恢复MAD故障;如果在MAD故障恢复前,故障的是Active状态的IRF,则可以通过命令行先启用Recovery状态的IRF,让它接替原IRF工作,以便保证业务尽量少受影响,再恢复MAD故障。
2.2 原理介绍
  IRF支持的MAD检测方式有:LACP MAD检测、BFD MAD检测和ARP MAD检测。三种检测方式虽然原理不同但是功能效果相同,能够满足不同组网需求。
• LACP MAD检测用于基于LACP的组网检测需求;
• BFD MAD检测用于基于BFD的组网需求;
• ARP MAD检测用于基于非聚合场合的Resilient ARP的组网检测需求。
  这三种方式独立工作,彼此之间互不干扰。因此,同一IRF内可以配置多种MAD检测方式。
2.2.1 LACP MAD
(1)LACP MAD检测原理
  LACP MAD检测是通过扩展LACP协议报文内容实现的,即在LACP协议报文的扩展字段内定义一个新的TLV(Type/Length/Value,类型/长度/值)数据域——用于交互IRF的DomainID(域编号)和ActiveD。当网络中同时存在多个IRF时(比如IRF级联的组网情况),DomainID用于区别不同的IRF。当某个IRF分裂时,ActiveID用于MAD检测,用IRF中Master设备的成员编号来表示。
  使能LACP MAD检测后,成员设备通过LACP协议报文和其它成员设备交互DomainID和ActiveID信息。
• 当成员设备收到LACP协议报文后,先比较DomainID。如果DomainID相同,再较ActiveID;如果DomainID不同,则认为报文来自不同IRF,不再进行MAD处理。
• 如果ActiveID相同,则表示IRF正常运行,没有发生多Active冲突;如果ActiveID值不同,则表示IRF分裂,检测到多Active冲突。
  
(2)LACP MAD检测组网要求
  LACP MAD检测方式组网中需要使用中间设备,支持LACP协议扩展功能的H3C设备都能作为中间设备。
(3)配置LACP MAD检测
  LACP MAD检测的配置步骤为:
• 配置IRF域编号;
• 创建聚合接口;(中间设备上也需要进行该项配置)
• 将聚合接口的工作模式配置为动态聚合模式;(中间设备上也需要进行该项配置)
• 在动态聚合接口下使能LACP MAD检测功能;
• 给聚合组添加成员端口。(中间设备上也需要进行该项配置)
2.2.2 BFD MAD
  (1)BFD MAD检测原理
  BFD MAD检测是通过BFD协议来实现的。要使BFD MAD检测功能正常运行,除在三层接口下使能BFD MAD检测功能外,还需要在该接口上配置MAD地址。MAD IP地址与普通IP地址不同的地方在于MAD IP地址与成员设备是绑定的,IRF中的每个成员设备上都需要配置,且必须属于同一网段。
• 当IRF正常运行时,只有Master上配置的MAD IP地址生效,Slave设备上配置的MAD IP地址不生效,BFD会话处于down状态;(使用display bfd session命令查看BFD会话的状态。如果Session State显示为Up,则表示激活状态;如果显示为Down,则表示处于down状态)
• 当IRF分裂后会形成多个IRF,不同IRF中Master上配置的MAD IP地址均会生效,BFD会话被激活,此时会检测到多Active冲突。
  (2)BFD MAD检测组网要求
  BFD MAD检测方式可以使用中间设备来进行连接,也可以不使用中间设备。所有成员设备之间必须有一条BFD MAD检测链路,这些链路连接的接口必须属于同一VLAN,在该VLAN接口视图下给不同成员设备配置同一网段下不同IP地址。
  (3)配置BFD检测
  BFD MAD检测功能的配置顺序为:
• 创建一个新VLAN,专用于BFD MAD检测;(如果用到中间设备组网,中间设备上也需要进行该项配置)
• 确定使用哪些物理端口用作BFD MAD检测(每台成员设备上至少一个),并将这些端口都添加到BFD MAD检测专用VLAN中;(如果用到中间设备组网,中间设备上也需要进行该项配置)
• 为BFD MAD检测专用VLAN创建VLAN接口,在接口下使能BFD MAD检测功能,并配置MAD IP地址。
2.2.3 ARP MAD
  (1)ARP MAD检测原理
  ARP MAD检测是通过扩展免费ARP协议报文内容实现的,即使用免费ARP协议报文中未使用的字段来交互IRF的DomainID和ActiveID。DomainID和ActiveID的定义及比较方法同LACP MAD检测相同。使能ARP MAD检测后,成员设备可以通过免费ARP协议报文和其它成员设备交互DomainID和ActiveID信息。ARP MAD适用于使用MSTP双上行的组网。
• 当IRF正常运行时,MSTP功能会阻塞某条链路,使免费ARP报文无法到达另一台成员设备,不会发生多Active冲突。
• 当IRF分裂后会形成两个或个IRF,MSTP将重新计算拓扑,原先阻塞的链路被打开,不同IRF中的成员设备便可以接收到另一个IRF发送的免费ARP协议报文,从而检测到多Active冲突。
  (2)ARP MAD检测组网要求
  ARP MAD检测方式可以使用中间设备来进行连接,也可以不使用中间设备。成员设备之间通过两台上行设备交互免费ARP报文,Device、Master和Slave上都要配置生成树功能,以防止形成环路。

PREV
思科交换机使用cisco模块下联h3c交换机使用h3c模块无法连接解决办法
NEXT
Linux网络基础命令