基于IRF 的網(wǎng)絡(luò)核心層雙機(jī)熱備系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

坎 香，金海峰

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，使用計(jì)算機(jī)的用戶數(shù)量逐漸增加，網(wǎng)絡(luò)規(guī)模逐漸擴(kuò)大，網(wǎng)絡(luò)核心層也由原來的一臺(tái)交換機(jī)逐漸轉(zhuǎn)換成多臺(tái)交換機(jī).但多臺(tái)交換機(jī)會(huì)帶來網(wǎng)絡(luò)管理和維護(hù)復(fù)雜化的問題，因此，產(chǎn)生了網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)［1-3］，這種技術(shù)可以將多臺(tái)設(shè)備虛擬化為一臺(tái)設(shè)備，簡化網(wǎng)絡(luò)管理.目前主要的設(shè)備虛擬化技術(shù)有級(jí)聯(lián)、堆疊和集群三種，但這些技術(shù)都不能以低成本和管理更簡化的方式實(shí)現(xiàn)網(wǎng)絡(luò)核心層設(shè)備的冗余備份［4-6］.H3C 的IRF 技術(shù)可以將多臺(tái)網(wǎng)絡(luò)設(shè)備進(jìn)行合并，在邏輯上形成一臺(tái)設(shè)備，簡化了網(wǎng)絡(luò)拓?fù)?，從而簡化網(wǎng)絡(luò)管理和維護(hù).同時(shí)，IRF 中的多臺(tái)設(shè)備相互備份，當(dāng)一臺(tái)設(shè)備出現(xiàn)故障時(shí)，其他設(shè)備可以主動(dòng)接管工作機(jī)的工作，繼續(xù)維護(hù)IRF系統(tǒng)的運(yùn)行，從而保證業(yè)務(wù)能夠不間斷地運(yùn)行.因此，本文基于IRF 技術(shù)進(jìn)行了網(wǎng)絡(luò)核心層雙機(jī)熱備系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，以此提高網(wǎng)絡(luò)的可靠性和穩(wěn)定性，減少網(wǎng)絡(luò)故障發(fā)生的幾率.

1 幾種網(wǎng)絡(luò)設(shè)備虛擬化技術(shù)的不足

目前主要的設(shè)備虛擬化技術(shù)有三種：級(jí)聯(lián)、堆疊和集群.級(jí)聯(lián)技術(shù)是將多臺(tái)設(shè)備相互聯(lián)接起來，雖然可用端口的數(shù)量增加了，但級(jí)聯(lián)的多臺(tái)設(shè)備邏輯上是相互獨(dú)立的，需要為每臺(tái)設(shè)備進(jìn)行配置和管理，不能實(shí)現(xiàn)網(wǎng)絡(luò)管理更加簡化的目的.堆疊技術(shù)是一種擴(kuò)展端口的技術(shù)，要求多臺(tái)交換機(jī)是相同品牌，且需要專門的堆疊電纜和堆疊模塊進(jìn)行堆疊，不能很好地進(jìn)行數(shù)據(jù)轉(zhuǎn)發(fā).集群技術(shù)可以將多臺(tái)交換機(jī)虛擬化成一臺(tái)設(shè)備，但集群技術(shù)要求多臺(tái)交換機(jī)出自同一廠家，并且只有部分的型號(hào)能進(jìn)行集群［7］.

這三種設(shè)備虛擬化技術(shù)都不能以低成本和管理更簡化的方式實(shí)現(xiàn)網(wǎng)絡(luò)核心層設(shè)備的冗余備份，導(dǎo)致網(wǎng)絡(luò)的可靠性和穩(wěn)定性不高.H3C 的IRF 技術(shù)可以將多臺(tái)設(shè)備進(jìn)行合并，在邏輯上形成一臺(tái)設(shè)備，簡化了網(wǎng)絡(luò)拓?fù)?，從而簡化網(wǎng)絡(luò)管理；同時(shí)，IRF 本身就是由多臺(tái)設(shè)備組成，多臺(tái)設(shè)備互為備份，所以無需再額外增加設(shè)備形成冗余備份，從而降低組網(wǎng)的成本［8］.

2 IRF 軟件虛擬化技術(shù)

2.1 IRF 概述

IRF 是一種H3C 設(shè)備專屬的軟件虛擬化技術(shù)，該技術(shù)通過IRF 物理端口將多臺(tái)設(shè)備進(jìn)行互聯(lián)，并對這些設(shè)備進(jìn)行配置后，形成一臺(tái)“分布式設(shè)備”，解放了整個(gè)拓?fù)浣Y(jié)構(gòu)，從而實(shí)現(xiàn)多臺(tái)設(shè)備的協(xié)同工作、統(tǒng)一管理；同時(shí)，由于多臺(tái)設(shè)備相互備份，所以當(dāng)一臺(tái)設(shè)備出現(xiàn)故障時(shí)，可以由其他設(shè)備接替工作，使得整個(gè)業(yè)務(wù)不出現(xiàn)中斷，實(shí)現(xiàn)多臺(tái)設(shè)備的不間斷維護(hù).IRF 組網(wǎng)示意圖如圖1 所示.

圖1 IRF 組網(wǎng)示意圖

2.2 IRF 技術(shù)的原理

如圖1 所示，通過IRF 技術(shù)將交換機(jī)S1 和交換機(jī)S2 合并成一臺(tái)專屬設(shè)備，對于上下層設(shè)備，他們就是一臺(tái)設(shè)備——IRF 存在于網(wǎng)絡(luò)中.即對于S3、H1 和H2 來說，他們就是連接在同一臺(tái)IRF 上，簡化了整個(gè)拓?fù)浣Y(jié)構(gòu).

一臺(tái)IRF 是由多臺(tái)設(shè)備合并而成，所有的組成設(shè)備都稱為成員設(shè)備.所有的成員設(shè)備按照分工不同，分為Master 和Slave 兩種角色.Master 負(fù)責(zé)對IRF 進(jìn)行整體操作，所有對IRF的操作都通過對Master 進(jìn)行配置完成，從機(jī)Slave 作為主機(jī)Master 的備份設(shè)備運(yùn)行.當(dāng)Master 不能正常工作時(shí)，系統(tǒng)自動(dòng)從所有Slave中選一個(gè)新Master，新Master 接管原Master 繼續(xù)工作，實(shí)現(xiàn)多臺(tái)設(shè)備的不間斷維護(hù)［9］.

2.3 IRF 沖突檢測機(jī)制MAD

正常情況下，如圖1 所示，通過IRF 技術(shù)可以將多臺(tái)設(shè)備合并為一臺(tái)IRF.如果IRF 鏈路出現(xiàn)故障，如圖2 所示，當(dāng)交換機(jī)S1 和交換機(jī)S2 相連的IRF 鏈路出現(xiàn)故障，此時(shí)S1 和S2就分裂成兩臺(tái)獨(dú)立的IRF1 和IRF2，如圖3 所示.原先針對IRF 作的配置就一分為二，復(fù)制成兩份相同的配置分別在IRF1 和IRF2 上生效.IRF1 和IRF2 擁有相同的三層配置，如IRF1和IRF2 擁有相同的IP 地址，會(huì)產(chǎn)生IP 地址信息沖突問題，導(dǎo)致網(wǎng)絡(luò)故障擴(kuò)大.

MAD（Multi-Active Detection，多主動(dòng)檢測）是一種檢測和處理機(jī)制，當(dāng)IRF 分裂時(shí)，MAD能快速檢測出網(wǎng)絡(luò)中同時(shí)存在多個(gè)處于Active狀態(tài)的IRF，沖突處理使具有Master 最小成員編號(hào)的IRF 保持活動(dòng)狀態(tài)并正常工作，其他活動(dòng)狀態(tài)的IRF 遷移到恢復(fù)狀態(tài)，這樣他們就不再轉(zhuǎn)發(fā)數(shù)據(jù)，提高了IRF 系統(tǒng)的可用性，保證了網(wǎng)絡(luò)的可靠性和穩(wěn)定性.

圖2 IRF 鏈路故障示意圖

圖3 IRF 分裂示意圖

3 網(wǎng)絡(luò)核心層雙機(jī)熱備的IRF 技術(shù)的實(shí)現(xiàn)

3.1 網(wǎng)絡(luò)核心層雙機(jī)熱備架構(gòu)設(shè)計(jì)

核心層部署兩臺(tái)H3C S5560 Series 三層交換機(jī)，并通過單模光纖將兩臺(tái)設(shè)備的光纖模塊端口進(jìn)行互聯(lián)，形成IRF 鏈路；兩臺(tái)三層交換機(jī)之間再通過以太網(wǎng)電纜互聯(lián)，形成檢測IRF 分裂的MAD 檢測鏈路.匯聚層部署兩臺(tái)H3C S5130 Series 二層交換機(jī)，采用以太網(wǎng)電纜分別與核心層的兩臺(tái)三層交換機(jī)互聯(lián).核心層的上層設(shè)備選用一臺(tái)H3C MSR26-30 的路由器，采用以太網(wǎng)電纜分別與核心層的兩臺(tái)三層交換機(jī)互聯(lián).核心網(wǎng)絡(luò)雙機(jī)熱備拓?fù)浣Y(jié)構(gòu)如圖4 所示.

圖4 核心網(wǎng)絡(luò)雙機(jī)熱備拓?fù)鋱D

3.2 方案描述

（1）網(wǎng)絡(luò)核心層雙機(jī)熱備的IRF 設(shè)計(jì).將核心層設(shè)備S5560-1、S5560-2 的光口XG0/52作為IRF 端口，并通過光纖進(jìn)行互聯(lián).配置交換機(jī)S5560-1 的成員編號(hào)為1，即作為主設(shè)備Master，負(fù)責(zé)整個(gè)IRF 運(yùn)行；配置交換機(jī)S5560-2 的成員編號(hào)是2，即Slave，作為Master的備份設(shè)備運(yùn)行.重啟各成員設(shè)備使成員設(shè)備編號(hào)生效.重啟后，在設(shè)備S5560-1、S5560-2上建立IRF 邏輯端口，并將兩臺(tái)設(shè)備的物理端口與IRF 邏輯端口進(jìn)行一一映射.IRF 邏輯端口與物理端口綁定后，需激活I(lǐng)RF 邏輯端口.IRF 邏輯端口激活后，兩臺(tái)設(shè)備自動(dòng)開始競選Master，競選失敗的設(shè)備會(huì)自動(dòng)重啟.設(shè)備重啟完成后，IRF 形成.IRF 的配置流程圖如圖5所示.

圖5 IRF 的配置流程圖

（2）BFD MAD 的設(shè)計(jì).核心設(shè)備S5560-1、S5560-2 互聯(lián)電口G0/8 作為BFD MAD 檢測端口，加入vlan210 中；使能BFD MAD 檢測功能；配置S5560-1、S5560-2 互 聯(lián) 電口G0/8 的IP 地址分別為192.168.210.1/24 和192.168.210.2/24.

（3）端口聚合設(shè)計(jì).匯聚層設(shè)備S5130-1、S5130-2 分別與核心層設(shè)備IRF 互聯(lián)端口之間建立交換聚合端口，聚合端口編號(hào)分別為1 和2；核心層設(shè)備IRF 與上層設(shè)備MSR26-30 互聯(lián)端口之間建立路由聚合端口3.

3.3 方案實(shí)現(xiàn)

根據(jù)以上方案描述，網(wǎng)絡(luò)核心層雙機(jī)熱備系統(tǒng)的實(shí)現(xiàn)分為三步：IRF 的配置、BFD MAD 的配置和端口聚合的配置.

（1）IRF 的配置.IRF 的配置步驟包括：核心層設(shè)備的連接、配置成員設(shè)備編號(hào)、重啟成員設(shè)備、創(chuàng)建IRF 端口、激活I(lǐng)RF 端口、兩臺(tái)交換機(jī)競選Master.

①核心層設(shè)備的連接.將兩臺(tái)核心設(shè)備S5560-1、S5560-2 的XG0/52 光 口 通 過 單 模 光纖跳線互聯(lián)，形成IRF 鏈路；將這兩臺(tái)設(shè)備的電口G0/8 作為BFD MAD 檢測端口，并通過六類雙絞線互聯(lián)，形成檢測IRF 分裂的MAD 檢測鏈路.

②配置成員設(shè)備編號(hào).

#核心層交換機(jī)S5560-1 的IRF 默認(rèn)編號(hào)是1，不再需要配置.

#修改核心層交換機(jī)S5560-2 的成員編號(hào)為2.

③重啟成員設(shè)備.將兩臺(tái)交換機(jī)S5560-1、S5560-2 斷電后上電重啟設(shè)備.重啟后，交換機(jī)S5560-1 的端口前都加上了IRF 成員編號(hào)1，交換機(jī)S5560-2 的端口前都加上了IRF 成員編號(hào)2.

④創(chuàng)建IRF 端口.將IRF 邏輯端口與物理端口進(jìn)行一一映射.

首先在設(shè)備S5560-1 上創(chuàng)建IRF 邏輯端口irf-port 1/1，并將設(shè)備S5560-1 的物理端口XG0/52 與IRF 端口irf-port 1/1 進(jìn)行綁定.然后在設(shè)備S5560-2 上創(chuàng)建IRF 邏輯端口irf-port 2/2，并將設(shè)備S5560-2 的物理端口XG0/52 與IRF 端口irf-port 2/2 進(jìn)行綁定.其中，IRF 邏輯端口與物理端口一一映射關(guān)系如表1 所示.

表1 IRF 邏輯端口與物理端口映射表

#在設(shè)備S5560-1上創(chuàng)建irf-port 1/1的配置.

#在設(shè)備S5560-2上創(chuàng)建irf-port 2/2的配置.

⑤激活I(lǐng)RF 端口.IRF 端口創(chuàng)建完成后，由于IRF 邏輯端口對應(yīng)的物理端口是關(guān)閉狀態(tài)，因此要啟動(dòng)物理端口，激活相應(yīng)的IRF 端口.

#在設(shè)備S5560-1 上啟動(dòng)物理端口XG0/52的配置.

#在設(shè)備S5560-2 上啟動(dòng)物理端口XG0/52的配置.

#在設(shè)備S5560-1 上激活I(lǐng)RF 端口irf-port 1/1 的配置.

#在設(shè)備S5560-2 上激活I(lǐng)RF 端口irf-port 2/2 的配置.

⑥兩臺(tái)交換機(jī)會(huì)競選出一臺(tái)主設(shè)備Master，另一臺(tái)設(shè)備為Slave.Slave 會(huì)自動(dòng)重啟，重啟后IRF 形成.S5560-1 作為Master 運(yùn)行，S5560-2 作為Slave 運(yùn)行，且兩臺(tái)設(shè)備名稱統(tǒng)一更改為S5560-1.IRF 形 成 后，在Master 設(shè) 備S5560-1 上配的所有配置，備份設(shè)備S5560-2 嚴(yán)格同步相同配置.通過這種同步機(jī)制，IRF 中兩臺(tái)交換機(jī)保持相同的配置，即使Master 交換機(jī)S5560-1 不能正常工作，備份交換機(jī)S5560-2仍能夠按照相同的配置繼續(xù)工作，實(shí)現(xiàn)了核心網(wǎng)絡(luò)設(shè)備的雙機(jī)熱備.

（2）BFD MAD 的配置.為了避免IRF 鏈路故障引起IRF 分裂，導(dǎo)致網(wǎng)絡(luò)故障擴(kuò)大，需采用MAD 檢測功能.由于網(wǎng)絡(luò)核心層只有兩臺(tái)交換機(jī)，設(shè)備較少，因此可以采用BFD MAD檢測機(jī)制來檢測IRF 是否分裂和處理IRF 分裂.IRF 設(shè)備上BFD MAD 的配置包括：使能BFD MAD 檢測功能、給IRF 成員設(shè)備端口配置MAD IP 地址.其中MAD IP 地址與IRF 成員設(shè)備一一映射，所有IRF 成員設(shè)備的互聯(lián)端口都必須配置MAD IP 地址，且需將成員設(shè)備的互聯(lián)端口加入同一VLAN，并配置同一網(wǎng)段的IP 地址.

#IRF 設(shè)備上BFD MAD 的配置.

由于生成樹功能與BFD MAD 檢測功能相互沖突，因此，需關(guān)閉IRF 成員設(shè)備互聯(lián)端口的生成樹協(xié)議.

#關(guān)閉IRF 上G1/0/8 和G2/0/8 生成樹協(xié)議的配置.

（3）端口聚合配置.IRF 形成后，對于上下層設(shè)備而言，交換機(jī)S5560-1 和交換機(jī)S5560-2就是“一臺(tái)”設(shè)備——IRF，因此，IRF 與匯聚層設(shè)備S5130-1 互聯(lián)的兩條鏈路需作二層鏈路聚合，IRF 與匯聚層設(shè)備S5130-2 互聯(lián)的兩條鏈路也需作二層鏈路聚合，IRF 與上層設(shè)備MSR26-30 互聯(lián)的兩條鏈路需作三層鏈路聚合.

#IRF 上與匯聚層設(shè)備S5130-1 互聯(lián)的端口建立交換聚合端口1.

#IRF 上與匯聚層設(shè)備S5130-2 互聯(lián)的端口建立交換聚合端口2.

#IRF 上與上層設(shè)備MSR26-30 互聯(lián)的端口建立路由聚合端口3.

4 IRF 部署后的效果

4.1 網(wǎng)絡(luò)更簡化

IRF 提供了兩個(gè)方面的網(wǎng)絡(luò)簡化：一方面，IRF 形成后，多臺(tái)設(shè)備在邏輯上合并成一臺(tái)設(shè)備，簡化了網(wǎng)絡(luò)拓?fù)?；另一方面，IRF 形成后，可以通過任何成員設(shè)備的任何端口登錄到IRF 系統(tǒng)，并配置和管理IRF 中的所有成員設(shè)備，簡化了網(wǎng)絡(luò)管理.

4.2 網(wǎng)絡(luò)更可靠

IRF 提供了兩個(gè)方面的高可靠性：一方面，IRF 由多臺(tái)成員設(shè)備組成，其中一臺(tái)為Master，其余設(shè)備作為Slave，實(shí)現(xiàn)了設(shè)備的1∶N備份，提高了設(shè)備的可靠性；另一方面，IRF 與上下層設(shè)備之間的物理鏈路支持聚合功能，多個(gè)鏈路可以相互備份，提高了鏈路的可靠性.

5 結(jié)語

本文針對目前主要的幾種設(shè)備虛擬化技術(shù)進(jìn)行了分析，基于這些技術(shù)不能以低成本和管理更加簡化的方式實(shí)現(xiàn)網(wǎng)絡(luò)核心層設(shè)備的冗余備份和網(wǎng)絡(luò)的高可靠性，提出了采用IRF 技術(shù)來實(shí)現(xiàn)網(wǎng)絡(luò)核心層設(shè)備的雙機(jī)熱備.IRF 中兩臺(tái)交換機(jī)的配置嚴(yán)格同步，即使Master不能正常工作，備份交換機(jī)仍能夠按照相同的配置繼續(xù)工作，實(shí)現(xiàn)了網(wǎng)絡(luò)核心層設(shè)備的雙機(jī)熱備，達(dá)到了提高網(wǎng)絡(luò)可靠性和穩(wěn)定性的目的.