H3C--策略路由以及IRF2
策略路由的概念
是一種依據用戶制定的策略進行路由選擇的機制
在路由表已經產生的情況下,不按照路由表進行轉發,而是根據需要,依照某種策略改變其轉發路徑的方法
IP單播策略路由的配置步驟
創建策略Route-policy
定義Route-policy的if-match子句
定義Route-policy的apply子句
使能/禁止本地策略路由
使能/禁止接口策略路由
acl number 2001 //基本acl,2000-2999
rule 0 permit source 192.168.2.0 0.0.0.255
rule 5 permit source 192.168.3.0 0.0.0.255
Rule 10 deny
interface Ethernet0/0port link-mode route
description link_to_TEL
nat outbound 2001
ip address 202.202.202.2 255.255.255.252
interface Ethernet0/1
port link-mode route
description link_to_EDU
nat outbound 2001
ip address 200.200.200.2 255.255.255.248
aclnumber 2001的作用是將內網的似有地址網段做NAT轉化,加入其中的網段才允許做NAT轉化。
電信出口的E0/0和教育網的出口E0/1都配置有nat outbound 2001,其作用是配置訪問控制列表和接口地址關聯,實現直接使用借口的IP地址作為轉換後的報文源地址。
NAT Server
interface Ethernet0/1
nat server protocol tcp global 200.200.200.2 www inside 192.168.3.250 www
作用是內網地址192.168.3.250對外提供www服務對應的公網地址是200.200.200.2,即內網訪問200.200.200.2的www服務時自動定向到內網的192.168.3.250提供的www服務。
策略路由配置
acl number 3000 //高級ACL3000-3999
rule 0 permit ip source 192.168.3.0 0.0.0.255 //抓取192.168.3.0/24網段的數據流policy-based-route a1 permit node 10 //配置策略路由
if-match acl 3000 //如果匹配acl 3000
apply ip-address next-hop 200.200.200.1 //則執行詞操作嚇一跳指向200.2000.200.1 而默認情況下,嚇一跳是202.202.202.1,因配置兩條默認路由優先級不同
policy-based-route a1 permit node 20 //空節放行其他未匹配的數據流
interface Vlan-interfacel
ip add 192.168.1.1 255.255.255.252
ip policy-based-route a1 //在此接口下應用策略路由,因為需要做的策略路由的數據包都是從這個接口下轉發過來的
IRF2.0概述
IRF(intelligesilient framework,智能彈性架構)是H3C自主研發的硬件虛擬化技術。它的核心思想是將多臺設備通過IRF物理端口連接在一起,進行必要的配置後,虛擬化成一臺“分布式設備”。使用這種虛擬化技術可以集合多臺設備的硬件資源和軟件處理能力,實現多臺設備的協同工作,統一管理和不間斷維護。
目前的IRF2.0是一種將多個設備虛擬為單一設備使用的通用虛擬化技術,此技術已經應用於高、中、低端多個系列的交換機設備,通過IRF2.0技術形成的虛擬設備具有更高的擴展性、可靠性及性能。
2、IRF的優點
1)簡化管理。IRF形成之後,用戶通過任意成員設備的任意端口都可以登錄IRF系統,對IRF內所有成員設備進行統一管理。
2)高可高性。IRF的高可靠性體現在多個方面。例如:IRF由多臺成員設備組成,master設備負責IRF的運行、管理和維護,slave設備在作為備份的同時也可以處理業務。一旦master設備故障,系統會迅速自動選舉新的master,以保證業務不中斷,從而實現了設備的1:N備份;此外成員設備之間的IRF鏈路支持聚合功能,IRF和上、下層設備之間的物理鏈路也支持聚合功能,多條鏈路之間可以互為備份也可以進行負載分擔,從而進一步提高IRF的可靠性。
3)強大的網絡擴展能力。通過增加成員設備,可以輕松自如地擴展IRF的端口數、帶寬,因為各成員設備都有CPU,能夠獨立處理協議報文及進行報文轉發,所以IRF還能夠輕松自如地擴展處理能力。
3、IRF基本概念
1)角色。IRF中每臺設備都成為成員設備,成員設備按照功能不同,分為兩種角色:
Master:負責管理整個IRF。
Slave:作為master的備份設備運行。當master故障時,系統會自動從slave中選舉一個新的master接替原master工作。Master和slave均由角色選舉產生。一個IRF中同時只能存在一臺master,其他成員設備都是slave。
2)IRF端口。一種專用於IRF的邏輯接口,分為IRF-port1和IRF-port2,需要和IRF物理端口綁定之後才能生效。
3)IRF物理端口。設備上可以用於IRF連接的物理端口。IRF物理端口可能是IRF專用接口、以太網接口或者光口(設備上哪些端口可用做IRF物理端口與設備的型號有關,請以設備的實際情況為準)。通常情況下,以太網接口和光口負責向網絡中轉發業務報文,當它們與IRF端口綁定後就作為IRF物理端口,用於成員設備之間轉發報文。可轉發的報文包括IRF相關協商報文及需要跨成員設備轉發的業務報文。
4)IRF合並。兩個IRF各自已經穩定運行,通過物理連接和必要的配置,形成一個IRF,這個過程稱為IRF合並(merge)。
5)IRF分裂。一個IRF形成後,由於IRF鏈路故障,導致IRF中兩相鄰成員設備物理上不連通。一個IRF變成兩個IRF,這個過程稱為IRF分裂(split)。
6)成員優先級。成員優先級是成員設備的一個屬性,主要用於角色選舉過程中確定成員設備的角色,優先級越高當選為master的可能性越大。設備的默認優先級均為1,如果想讓某臺設備當選為master,則在組件IRF前,可以通過命令手工提高該設備的優先級。
4、IRF2運行模式與配置方式
IRF2運行模式分為IRF模式和獨立運行模式,設備出廠時處於獨立運行模式。若在本次運行過程中,沒有修改設備的運行模式,則下次啟動會沿用本次啟動的運行模式;若在本次運行過程中,修改了設備的運行模式,則設備會自動啟動,切換到新的模式。
請根據組網需要來配置設備的運行模式。但設備從獨立運行模式切換到IRF模式後,即便只有一臺設備也會形成IRF。因為管理和維護IRF需要耗費一定的系統資源,所以,如果當前組網中設備不需要和別的設備組成IRF時,建議將運行模式配置為獨立運行模式。
Chassis convert mode irf命令用來將設備的運行模式切換到IRF模式。
配置方式分為預配置方式和非預配置方式。預配置方式是在獨立運行模式上的設備上進行IRF2相關配置的,最終組成IRF只需要重啟1次。非預配置方式是先在獨立運行模式的設備上配置成員編號,然後切換到IRF模式,再配置IRF端口、成員的優先級等相關參數。Slave設備需要重啟兩次才能組成IRF。
5、IRF的工作原理
1)物理連接
要形成一個IRF,需要先連接成員設備的IRF物理端口。S5120-HI系列交換機使用前面板上的SFP+口或接口模塊擴展卡上的萬兆口作為IRF物理端口。
2)拓撲收集
每個成員設備和鄰居成員設備通過交互IRF-HELLO報文來收集整個IRF的拓撲。IRFhello報文會攜帶拓撲信息,具體包括IRF端口連接關系、成員設備編號、成員設備優先級、成員設備的橋MAC等內容。
每個成員設備在本地記錄自己已知的拓撲信息。設備剛啟動時只記錄了自身的拓撲信息。當IRF端口狀態變為UP後,設備會將已知的拓撲信息周期性地從up狀態的IRF端口發送出去;直接鄰居收到該信息後,會更新本地記錄的拓撲信息;如此往復,經過一段時間的收集,所有成員設備都會收集到完整的拓撲信息(稱為拓撲收斂)。此時會進入角色選舉階段。
3)角色選舉
確定成員設備角色為master或slave的過程稱為角色選舉。角色選舉會在拓撲變更的情況下產生,如IRF建立、新設備加入、master設備離開揮著故障、兩個IRF合並等,角色選舉規則如下:
當前master優先(IRF系統形成時,沒有master設備,所有加入的設備都認為自己是master,會跳轉到第二條規則繼續比較)。
成員優先級大的優先。
系統運行時間長的優先。
橋mac地址小的優先。
從第一條開始判斷,若判斷的結果是多個最優,則繼續判斷下一條,直到找到唯一最優的成員設備才停止比較。此最優成員設備即為master,其他成員設備則均為slave。
在角色選舉完成後,IRF形成,進入IRF管理與維護階段。
4)IRF的管理與維護
角色選舉完成會後,IRF形成,所有的成員設備組成一臺虛擬設備存在於網絡中,所有成員設備上的資源歸該虛擬設備擁有並由master統一管理。
成員編號:在運行過程中,IRF系統使用成員編號(member ID)來標誌和管理成員設備,並在端口編號和文件系統中引入成員編號的標識信息。該編號關系到整個IRF的管理和運行,因此,需要用戶在設備加入IRF前統一規劃、配置設備的成員編號,以保證IRF中成員編號的唯一性。
接口命名規則:對於單獨運行的設備(即沒有加入任何的IRF),接口編號采用設備編號/子槽位編號/接口序號的格式,其中,默認情況下,設備編號為1。若設備曾經加入過IRF,則在退出IRF後,仍然會使用在IRF中時的成員編號作為自身的設備編號。子槽位編號:接口所在子槽位的編號。在S5120-HI系列交換機上,前面板上的端口所在子槽位編號為0;對於後面板具有單擴展插槽的設備,擴展槽位的子槽位號為1;對於後面板具有雙擴展插槽的設備,擴展槽位的子槽位編號分別為1和2。接口序號與各型號交換機支持的接口數量相關,請查看設備接口板上的絲印。
成員設備編號用來標誌不同成員設備上的接口。子槽位編號和接口序號的含義及取值與單獨運行時的一樣。
文件系統命名規則:對於IRF中的成員設備,直接使用存儲介質的名稱可以訪問master設備的文件系統,使用“slotmember-id#存儲介質的名稱”才可以訪問slave設備的文件系統。
例如:創建並訪問IRF中的slave設備(成員編號為3)存儲介質flash根目錄下的test文件夾,可參照以下步驟:
<master>mkdir slot3#flash:/test
%created dir slot3#flash:/test.
<master>cd slot3#flash:/test
<master>pwd
Slot3#flash:/test
配置文件的同步:IRF技術使用了嚴格的配置文件同步機制,來保證IRF中的多臺設備能夠像一臺設備一樣在網絡中工作,並且在master設備出現故障之後,其余設備仍能夠正常執行各項功能。
IRF中的slave設備在啟動時,會自動尋找master設備,並將master設備的當前配置文件同步到本地並執行;若IRF中的所有設備同時啟動,則slave設備會將master設備的起始配置文件同步至本地並執行。
在IRF正常工作後,用戶所進行的任何配置,都會記錄到master設備的當前配置文件中,並同步到IRF中的各個設備執行;用戶在執行save命令時,如果開啟了配置文件同步保存功能(默認為開啟),master設備的當前配置文件將被同步保存到IRF的所有成員設備上,作為起始配置文件,以便使IRF中所有設備的起始配置文件保持統一;如果未開啟配置文件同步保存功能,當前配置文件將僅在master設備上進行保存。
通過即時的同步,IRF中所有設備均保存具有相同的配置文件,即使master設備出現故障,其他設備仍能夠按照相同的配置文件執行各項功能。
IRF拓撲維護:如果某成員設備Adown或者IRF鏈路down,其鄰居設備會立即將“成員設備A離開”的信息廣播通知給IRF中的其他設備。獲取到離開的消息的成員設備會根據本地維護的IRF拓撲信息表來判斷離開的是master還是slave,如果離開的是master,則觸發新的角色選舉,再更新本地的IRF拓撲;如果離開的是slave,則直接更新本地的IRF拓撲,以保證IRF拓撲能迅速收斂。
6、多IRF沖突檢測(MAD功能)
1)多IRF沖突檢測的定義和功能
IRF鏈路故障會導致一個IRF變成兩個新的IRF。這兩個IRF擁有相同的ip地址等三層配置,會引起地址沖突,導致故障在網絡中擴大。為了提高系統的可用性,當IRF分裂時我們就需要一種機制,能夠檢測出網絡中同時存在多個IRF,並進行相應的處理以盡量降低IRF分裂對業務的影響。MAD(multi-active detection,多active檢測)就是這樣一種檢測和處理機制。它主要提供以下功能。
分裂檢測:通過LACP(link aggregation control protocol,鏈路聚合控制協議)或者免費arp(gratuitous address resolution protocol)來檢測網絡中是否存在多個IRF。
沖突處理:IRF分裂後,通過分裂檢測機制IRF會檢測到網絡中存在其他處於active狀態(表示IRF處於正常工作狀態)的IRF。沖突處理會讓master成員編號最小的IRF繼續正常工作(維持active狀態),其他IRF會遷移到recovery狀態(表示IRF處於禁用狀態),並關閉recovery狀態IRF中所有成員設備上除保留端口以外的其他所有物理端口(通常為業務接口),以保證該IRF不能再轉發業務報文。默認情況下,只有IRF物理端口是保留端口,如果要將其他端口(如用於遠程登錄的端口)也作為保留端口,需要使用命令進行手工配置。
MAD故障恢復:IRF鏈路故障導致IRF分裂,從而引起多active沖突。因此修復故障的IRF鏈路,讓沖突的IRF重新合並為一個IRF,就能恢復MAD故障。若在MAD故障恢復前,處於recovery狀態的IRF也出現了故障,則需要將故障IRF和故障鏈路都修修復後,才能讓沖突的IRF重新合並為一個IRF,恢復MAD故障;若在MAD故障恢復前,故障的是active狀態的IRF,則可以通過命令先啟用recovery狀態的IRF,讓它接替原IRF工作,以便保證業務盡量少受影響,再恢復MAD故障。
註意:IRF分裂後,競選失敗的IRF會自動關閉所有成員設備上部分端口(等效於在接口下執行shutdown命令),但有些端口不會被自動關閉,這些端稱為保留端口。默認情況下,只有IRF物理端口是保留端口,如果要將其他端口(如用於遠程登錄的端口)也作為保留端口,需要使用命令進行手工配置。
2)多IRF沖突檢測方式和原理:
IRF支持的MAD檢測方式有:LACP MAD檢測,BFD MAD檢測和ARP MAD檢測。三種檢測方式雖然原理不同但是功能效果相同,能夠滿足不同組網的需求。LCAP MAD檢測用於基於LACP的組網檢測需求;ARP MAD檢測用於基於非聚合場合的resilient ARP的組網檢測需求;BFD MAD檢測用於基於BFD的組網檢測需求。這三種方式獨立工作,批次之間互不幹擾。因此,同一IRF內可以配置多種MAD檢測方式。
LACP MAD檢測原理:
LACP MAD檢測是通過擴展LACP協議報文內容實現的,即在LACP協議報文的擴展字段內定義一個新的TLV(type/length/value,類型/長度/值)數據域,用於交互IRF的domainid(域編號)和activeID。當網絡中同時存在多個IRF時(比如IRF級聯的組網情況),domainID用於區別不同的IRF。當某個IRF分裂時,activeID用於MAD檢測,用IRF中master設備的成員編號來表示。
使能LCAP MAD檢測後,成員設備通過LACP協議報文和其他成員設備交互domainID和activeID信息。
當成員設備收到LCAP協議報文後,先比較domainID。如果domainID相同,再比較activeID;如果domain不同,則認為報文來自不同的IRF,不再進行MAD處理。
如果activeID相同,則表示IRF正常運行,沒有發生多active沖突;如果activeID不同,則表示IRF分裂,檢測到多active沖突。
BFD MAD檢測原理:
BFD MAD檢測是通過BFD協議來實現的。要是BFD MAD檢測功能正常運行,除了在三層接口下使能BFD MAD檢測功能外,還需要在該接口上配置MAD IP地址。MAD IP地址與普通IP地址不同的地方在於MAD IP地址與成員設備是綁定的,IRF中的每個成員設備上都需要配置,且必須屬於同一網段。
當IRF正常運行時,只有master上配置的MADIP地址生效,slave設備上配置的MADip地址不生效,BFD會話處於down狀態。可以使用display bfd session命令查看BFD會話的狀態,若session state顯示為up,則表示激活狀態;若顯示為down,則表示處於down狀態。
當IRF分離後會形成多個IRF,不同IRF中master上配置的MAD IP地址均會生效,BFD會話被激活,此時會檢測到多active沖突。
ARP MAD檢測原理:ARP MAD檢測是通過擴展免費ARP協議報文內容實現的,即使用免費ARP協議報文中未使用的字段來交互IRF的domainID和activeID。domainID和activeID的定義及比較方法同LACP MAD檢測相同。使能ARP MAD檢測後,成員設備可以通過免費ARP協議報文和其他成員設備交互domainID和activeID信息。ARP MAD適用於使用MSTP雙上行的組網。
當IRF正常運行時,MSTP功能會阻塞某條鏈路,使免費ARP報文無法到達另一臺成員設備,不會發生多active沖突。
當IRF分裂後會形成兩個或多個IRF,MSTP將重新計算拓撲,原先阻塞的鏈路被打開,不同IRF中的成員設備便可以接收到另一個IRF發送的免費ARP協議報文,從而檢測到多active沖突。
4)三種MAD檢測的實用性分析如下表格所示,一般來說,高可用性要求可以使用BFD方式MAD檢測。
檢測方式 優點 適用性要求
LACP方式MAD檢測 啟用MAD?domain時接入核心全虛擬化同時使能可以檢測核心或接入之間的分裂;不需要占用專門檢測端口 核心接入交換機均需支持該特性,其他廠家設備不支持
BFD方式MAD檢測 可以獨立檢測本堆疊組分裂情況,對上下遊設備無要求;檢測速度快 單獨占用一對檢測端口;核心和接入需分別部署
Resilient?ARP方式MAD檢測 接入核心全虛擬化同時使能可以檢測核心或接入之間的分裂;對上下遊設備無要求;不需要占用專門檢測端口 需要在3層接口上使能,建議使用單獨VLAN來檢測
三、案例環境
兩臺做IRF2的交換機間用光口52作為IRF物理端口,IRF2配置完成並生效後可以看到設備變成一臺設備,端口號也變了,將G1/0/1和G2/0/1加入同一個聚合組,device C上的G1/0/1和G1/0/2加入同一個聚合組,並分別與做IRF後的G1/0/1和G2/0/1相連。
聚合配置完成後可以使用命令display link-aggregation verbose顯示系統上已有聚合接口所對應聚合的詳細信息。
案例
1、IRF配置思路和步驟
鑒於第二代只能彈性架構IRF技術具有管理簡便,網絡擴展能力強,可靠性高等技術優點,所以本案例使用IRF技術構建接入層(即在device A和device B上配置IRF功能)。
用戶配置IRF前,要做好前期規劃工作,需要明確IRF內個成員設備的角色和功能。因為有些參數配置需要重啟設備才能生效,所以建議用戶按照下面的流程進行配置(采用非預配置的方式配置IRF)。IRF配置流程圖如下:
用戶也可以在激活IRF端口後再進行IRF物理連接,當設備檢測到IRF端口正常連接後,將立刻開始角色選舉,選舉為slave的設備將自動進行重啟(采用預配置方式配置IRF)
。在IRF形成後,用戶通過IRF中的任意一臺設備進行登錄,均可以對IRF系統進行配置和管理。
1)配置設備編號。Device A保留默認編號為1,不需要進行配置。
在deviceB上將設備的成員編號修改為2。
<deviceB> system-view
[deviceB] irf member 1 renumber 2
2)將兩臺設備斷電後,按照拓撲圖的連接IRF鏈路,然後將兩臺設備上電,修改device A的IRF優先級為5,目的是讓其在競選時獲勝。
<deviceA> system-view
[deviceA] irf member 1 priority 5
//在deviceA上創建設備的IRF端口2,與物理端口ten-gigabitethernet1/0/52綁定,並保存配置。
<deviceA> system-view
[deviceA] interface ten-gigabitethernet 1/0/52
[deviceA-Ten-gigabitethernet1/0/52] shutdown
[deviceA-Ten-gigabitethernet1/0/52] quit
[deviceA] IRF-port 1/2
[deviceA-irf-port1/2]port group interface ten-gigabitethernet 1/0/52
[deviceA-irf-port1/2]quit
[deviceA] interface ten-gigabitethernet 1/0/52
[deviceA-Ten-gigabitethernet1/0/52] undo shutdown
[deviceA-Ten-gigabitethernet1/0/52]dave
在deviceB上創建設備的IRF端口1,與物理端口ten-gigabitEthernet2/0/52綁定,並保存配置。
<deviceB> system-view
[deviceB] interface ten-gigabitethernet 2/0/52
Shutdown
Quit
[deviceB] irf-port 2/1
Port group interface ten-gigabitethernet 2/0/52
Quit
[deviceB] interface ten-gigabitethernet 2/0/52
Undo shutdown
Save
激活deviceA的IRF端口配置
[deviceA-ten-gigabitethernet1/0/52] quit
[deviceA ] irf-port-configuration active
激活deviceB的IRF端口配置
[deviceB-ten-gigabitethernet2/0/52] quit
[deviceB ] irf-port-configuration active
3)兩臺設備間會進行master競選,競選失敗的一方將自動重啟,重啟完成後,IRF形成,系統名稱統一為device A。
2、LACP MAD配置思路和步驟
為了防止萬一IRF鏈路故障導致IRF分裂,網絡中存在兩個配置沖突的IRF,需要啟用MAD檢測功能。因為接入層設備為S5120,所以我們采用LACP MAD檢測。
本案例中使用的設備僅支持LACP MAD檢測和ARP MAD檢測,中高端交換機都支持BFD MAD檢測,在實際項目中建議采用BFD MAD檢測,原因是不需要使用中間設備來進行連接檢測且檢測速度更快。
1)LACP MAD檢測的配置思路
配置IRF域編號。
創建聚合接口(中間設備上也需要進行該項配置)。
將聚合接口的工作模式配置為動態聚合模式(中間設備上也需要進行該項配置)。
在動態聚合接口下使能LACP MAD檢測功能。
給聚合組添加成員端口(中間設備上也需要進行該項配置)。
2)LACP MAD檢測
創建一個動態聚合端口,並使能LACP MAD檢測功能,由於並不是在兩個IRF之間配置LACP MAD檢測,因此在系統提示輸入IRF域ID時,可以保持為默認值0。
<deviceA> system-view
[deviceA] interface bridge-aggregation 2
[deviceA-bridge-aggregation2] link-aggregation mode dynamic
[deviceA-bridge-aggregation2] mad enable
You need to assign a domain ID (range: 0-42....)
[current domain is: 0]:
The assigned domain ID is: 0
Info: MAD LACP only enable on dynamic aggregation interface.
[deviceA-Bridge-aggregation2] quit
在聚合端口中添加成員端口gigabitethernet1/0/1和gigabitethernet2/0/1,專用於兩臺IRF成員設備與中間設備進行LACP MAD檢測。
[deviceA] interface gigabitethernet 1/0/1
[deviceA-gigabitethernet1/0/1] port link-aggregation group 2
[deviceA-gigabitethernet1/0/1]quit
[deviceA]interface gigabitethernet 2/0/1
[deviceA-gigabitethernet2/0/1] port link-aggregation group 2
中間設備device C的配置。Device C作為一臺中間設備需要支持LACP功能,用來轉發、處理LACP協議報文,協助device A和device B進行多active檢測。從節約稱成本的角度考慮,使用一臺支持LACP功能的交換機即可。
創建一個動態聚合端口
<deviceC> system-view
[deviceC] interface bridge-aggregation 2
[deviceC-bridge-aggregation2] link-aggregation mode dynamic
[deviceC-bridge-aggregation2] quit
在聚合端口中添加成員端口gigabitethernet1/0/1和gigabitethernet1/0/2,用於進行LACP MAD檢測。
[deviceC] interface gigabitethernet 1/0/1
[deviceC-gigabitethernet1/0/1] port link-aggregation group 2
[deviceC-gigabitethernet1/0/1] quit
[deviceC] internet gigabitethernet1/0/2
[deviceC-gigabitethernet1/0/2] port link-aggregation group 2
3、IRF和MAD配置的顯示和維護
1)IRF的顯示和維護
執行display命令可以顯示配置後IRF的運行情況,通過查看顯示信息驗證配置的效果。
顯示IRF中所有成員設備的相關信息:display irf
查看IRF的拓撲信息:display irf topology
顯示IRF中所有設備的配置信息:display irf configuration
顯示IRF鏈路的負載分擔模式:display irf-port load-sharing mode
顯示IRF設備的主備倒換狀態:display switchover state
顯示MAD配置信息:display mad
H3C--策略路由以及IRF2