實(shí)現(xiàn)交換機(jī)虛擬化

配置核心交換機(jī)的橫向虛擬化

交換機(jī)虛擬化可以分為橫向虛擬化和縱向虛擬化。

橫向虛擬化是指將兩臺(tái)同型號(hào)支持虛擬化特性的交換機(jī)設(shè)備（橫向虛擬化一般應(yīng)用在核心交換機(jī)上）組合在一起，從邏輯上組合成一臺(tái)交換設(shè)備。

縱向虛擬化是指將多層網(wǎng)絡(luò)不同型號(hào)支持虛擬化特性的交換機(jī)設(shè)備組合在一起，通常是將核心交換機(jī)、匯聚交換機(jī)以及接入交換機(jī)通過(guò)縱向虛擬化從邏輯上組合成一臺(tái)交換設(shè)備，接入和匯聚層交換機(jī)虛擬成核心交換機(jī)設(shè)備上的一塊板卡，通常情況下，縱向虛擬化最好是同品牌的交換機(jī)設(shè)備，兼容性比較好。

筆者單位兩臺(tái)華為S12708核心交換機(jī)做橫向虛擬化配置，橫向虛擬化的優(yōu)點(diǎn)如下：

1.高可靠性：橫向虛擬化的兩臺(tái)核心交換機(jī)之間冗余備份，同時(shí)利用鏈路聚合功能實(shí)現(xiàn)跨設(shè)備的鏈路冗余備份。

華為S12708核心交換機(jī)上有2塊主控板，橫向虛擬化配置完成后組成的一臺(tái)邏輯核心交換機(jī)有4塊主控板，只要有1塊主控板能工作，2臺(tái)核心交換機(jī)就不會(huì)宕機(jī)。

華為S12708核心交換機(jī)通過(guò)交換網(wǎng)板虛擬化板卡和虛擬化專(zhuān)用線(xiàn)纜做橫向虛擬化鏈路，虛擬化板卡和專(zhuān)用線(xiàn)纜均采用冗余配置，提高了鏈路帶寬和可靠性。

2.強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力：通過(guò)橫向虛擬化方式增加核心交換機(jī)，從而輕松的擴(kuò)展端口數(shù)量，帶寬和業(yè)務(wù)處理能力。

3.簡(jiǎn)化配置和管理：橫向虛擬化配置后，兩臺(tái)物理交換機(jī)虛擬成一臺(tái)設(shè)備。

華為S12708典型橫向虛擬化連接方式如圖1所示。

圖1所示華為S12708核心交換機(jī)配置有4塊虛擬化板卡，每塊板卡有8個(gè)10G的接口。

圖1 華為S12708虛擬化線(xiàn)纜連接示意圖

圖2 檢查集群組建程序

在實(shí)際應(yīng)用中，要求虛擬化板卡數(shù)量≥2，虛擬化專(zhuān)用線(xiàn)纜數(shù)量≥4，虛擬化板卡和專(zhuān)用線(xiàn)纜至少要求1+1冗余備份。

橫向虛擬化配置步驟和命令：

1.在兩臺(tái)核心交換機(jī)上配置集群連接方式、集群ID（缺省值為1）及集群優(yōu)先級(jí)

2.使能集群功能

3.檢查集群組建是否成功,如圖2所示。通過(guò)這些配置命令就可以完成兩臺(tái)華為S12708核心交換機(jī)的橫向虛擬化的配置。

配置核心交換機(jī)和匯聚層交換機(jī)的端口

匯聚交換機(jī)H3C S6800上行接口分別連接到HW1和HW2的兩個(gè)相應(yīng)接口上，如圖3所示。

匯聚交換機(jī)和核心交換機(jī)的端口聚合配置如圖4所示。

圖3 核心和匯聚的端口聚合示意圖

通過(guò)以上配置，核心和匯聚交換機(jī)就完成了端口的聚合，不但提高了上下行鏈路的帶寬，也實(shí)現(xiàn)了上下行鏈路的1+1冗余配置。

核心交換機(jī)ACL配置

核心交換機(jī)的ACL配置和每個(gè)單位具體的網(wǎng)絡(luò)環(huán)境和訪(fǎng)問(wèn)需求有關(guān)。下面筆者以限制網(wǎng)段之間互訪(fǎng)的ACL配置命令為例，簡(jiǎn)單介紹。

筆者所在單位有A、B、C三個(gè)部門(mén)，網(wǎng)段分別為192.168.0.0/24，192.168.1.0/24，192.168.2.0/24，A部門(mén)可以訪(fǎng)問(wèn)B部門(mén)和C部門(mén)，B部門(mén)和C部門(mén)之間禁止訪(fǎng)問(wèn)。交換機(jī)ACL配置如下：

1.在交換機(jī)上配置ACL規(guī)則，分別匹配允許訪(fǎng)問(wèn)和拒絕訪(fǎng)問(wèn)的數(shù)據(jù)流，其中ACL 3000對(duì)應(yīng)的是允許訪(fǎng)問(wèn)的數(shù)據(jù)流，ACL 3001是拒絕訪(fǎng)問(wèn)的數(shù)據(jù)流，如圖5所示。

2.配置流分類(lèi)，按照ACL對(duì)報(bào)文進(jìn)行分類(lèi)，其中拒絕的流分類(lèi)ds對(duì)應(yīng)ACL 3001，允許的流分類(lèi)ps對(duì)應(yīng)ACL 3000。

圖5 ACL規(guī)則配置

3.配置流行為，配置流行為ds的動(dòng)作是拒絕，配置流行為ps的動(dòng)作是允許。

4.配置流策略，并全局應(yīng)用，流分類(lèi)匹配相應(yīng)流行為。

通過(guò)以上步驟，ACL訪(fǎng)問(wèn)控制就完成了。經(jīng)過(guò)測(cè)試，A部門(mén)可以訪(fǎng)問(wèn)B部門(mén)和C部門(mén)，B部門(mén)和C部門(mén)之間無(wú)法訪(fǎng)問(wèn)。

圖4 配置核心和匯聚的端口聚合

總結(jié)：

華為S12708核心交換機(jī)交換容量高，數(shù)據(jù)處理能力強(qiáng)，速度快。通過(guò)在華為S12708核心交換機(jī)上配置橫向虛擬化，端口聚合以及ACL訪(fǎng)問(wèn)控制策略等命令，極大的提高了核心交換機(jī)的可靠性，鏈路帶寬以及網(wǎng)絡(luò)安全等，新的核心交換機(jī)投入使用后，解決了以前網(wǎng)絡(luò)訪(fǎng)問(wèn)延時(shí)大，核心交換機(jī)頻繁宕機(jī)的問(wèn)題，用戶(hù)普遍反映網(wǎng)速有較大提升，應(yīng)用系統(tǒng)響應(yīng)迅速。