實現交換機虛擬化

配置核心交換機的橫向虛擬化

交換機虛擬化可以分為橫向虛擬化和縱向虛擬化。

橫向虛擬化是指將兩臺同型號支持虛擬化特性的交換機設備（橫向虛擬化一般應用在核心交換機上）組合在一起，從邏輯上組合成一臺交換設備。

縱向虛擬化是指將多層網絡不同型號支持虛擬化特性的交換機設備組合在一起，通常是將核心交換機、匯聚交換機以及接入交換機通過縱向虛擬化從邏輯上組合成一臺交換設備，接入和匯聚層交換機虛擬成核心交換機設備上的一塊板卡，通常情況下，縱向虛擬化最好是同品牌的交換機設備，兼容性比較好。

筆者單位兩臺華為S12708核心交換機做橫向虛擬化配置，橫向虛擬化的優點如下：

1.高可靠性：橫向虛擬化的兩臺核心交換機之間冗余備份，同時利用鏈路聚合功能實現跨設備的鏈路冗余備份。

華為S12708核心交換機上有2塊主控板，橫向虛擬化配置完成后組成的一臺邏輯核心交換機有4塊主控板，只要有1塊主控板能工作，2臺核心交換機就不會宕機。

華為S12708核心交換機通過交換網板虛擬化板卡和虛擬化專用線纜做橫向虛擬化鏈路，虛擬化板卡和專用線纜均采用冗余配置，提高了鏈路帶寬和可靠性。

2.強大的網絡擴展能力：通過橫向虛擬化方式增加核心交換機，從而輕松的擴展端口數量，帶寬和業務處理能力。

3.簡化配置和管理：橫向虛擬化配置后，兩臺物理交換機虛擬成一臺設備。

華為S12708典型橫向虛擬化連接方式如圖1所示。

圖1所示華為S12708核心交換機配置有4塊虛擬化板卡，每塊板卡有8個10G的接口。

圖1 華為S12708虛擬化線纜連接示意圖

圖2 檢查集群組建程序

在實際應用中，要求虛擬化板卡數量≥2，虛擬化專用線纜數量≥4，虛擬化板卡和專用線纜至少要求1+1冗余備份。

橫向虛擬化配置步驟和命令：

1.在兩臺核心交換機上配置集群連接方式、集群ID（缺省值為1）及集群優先級

2.使能集群功能

3.檢查集群組建是否成功,如圖2所示。通過這些配置命令就可以完成兩臺華為S12708核心交換機的橫向虛擬化的配置。

配置核心交換機和匯聚層交換機的端口

匯聚交換機H3C S6800上行接口分別連接到HW1和HW2的兩個相應接口上，如圖3所示。

匯聚交換機和核心交換機的端口聚合配置如圖4所示。

圖3 核心和匯聚的端口聚合示意圖

通過以上配置，核心和匯聚交換機就完成了端口的聚合，不但提高了上下行鏈路的帶寬，也實現了上下行鏈路的1+1冗余配置。

核心交換機ACL配置

核心交換機的ACL配置和每個單位具體的網絡環境和訪問需求有關。下面筆者以限制網段之間互訪的ACL配置命令為例，簡單介紹。

筆者所在單位有A、B、C三個部門，網段分別為192.168.0.0/24，192.168.1.0/24，192.168.2.0/24，A部門可以訪問B部門和C部門，B部門和C部門之間禁止訪問。交換機ACL配置如下：

1.在交換機上配置ACL規則，分別匹配允許訪問和拒絕訪問的數據流，其中ACL 3000對應的是允許訪問的數據流，ACL 3001是拒絕訪問的數據流，如圖5所示。

2.配置流分類，按照ACL對報文進行分類，其中拒絕的流分類ds對應ACL 3001，允許的流分類ps對應ACL 3000。

圖5 ACL規則配置

3.配置流行為，配置流行為ds的動作是拒絕，配置流行為ps的動作是允許。

4.配置流策略，并全局應用，流分類匹配相應流行為。

通過以上步驟，ACL訪問控制就完成了。經過測試，A部門可以訪問B部門和C部門，B部門和C部門之間無法訪問。

圖4 配置核心和匯聚的端口聚合

總結：

華為S12708核心交換機交換容量高，數據處理能力強，速度快。通過在華為S12708核心交換機上配置橫向虛擬化，端口聚合以及ACL訪問控制策略等命令，極大的提高了核心交換機的可靠性，鏈路帶寬以及網絡安全等，新的核心交換機投入使用后，解決了以前網絡訪問延時大，核心交換機頻繁宕機的問題，用戶普遍反映網速有較大提升，應用系統響應迅速。