基于IRF 的網絡核心層雙機熱備系統的設計與實現

坎 香，金海峰

隨著互聯網技術的發展，使用計算機的用戶數量逐漸增加，網絡規模逐漸擴大，網絡核心層也由原來的一臺交換機逐漸轉換成多臺交換機.但多臺交換機會帶來網絡管理和維護復雜化的問題，因此，產生了網絡設備虛擬化技術［1-3］，這種技術可以將多臺設備虛擬化為一臺設備，簡化網絡管理.目前主要的設備虛擬化技術有級聯、堆疊和集群三種，但這些技術都不能以低成本和管理更簡化的方式實現網絡核心層設備的冗余備份［4-6］.H3C 的IRF 技術可以將多臺網絡設備進行合并，在邏輯上形成一臺設備，簡化了網絡拓撲，從而簡化網絡管理和維護.同時，IRF 中的多臺設備相互備份，當一臺設備出現故障時，其他設備可以主動接管工作機的工作，繼續維護IRF系統的運行，從而保證業務能夠不間斷地運行.因此，本文基于IRF 技術進行了網絡核心層雙機熱備系統的設計與實現，以此提高網絡的可靠性和穩定性，減少網絡故障發生的幾率.

1 幾種網絡設備虛擬化技術的不足

目前主要的設備虛擬化技術有三種：級聯、堆疊和集群.級聯技術是將多臺設備相互聯接起來，雖然可用端口的數量增加了，但級聯的多臺設備邏輯上是相互獨立的，需要為每臺設備進行配置和管理，不能實現網絡管理更加簡化的目的.堆疊技術是一種擴展端口的技術，要求多臺交換機是相同品牌，且需要專門的堆疊電纜和堆疊模塊進行堆疊，不能很好地進行數據轉發.集群技術可以將多臺交換機虛擬化成一臺設備，但集群技術要求多臺交換機出自同一廠家，并且只有部分的型號能進行集群［7］.

這三種設備虛擬化技術都不能以低成本和管理更簡化的方式實現網絡核心層設備的冗余備份，導致網絡的可靠性和穩定性不高.H3C 的IRF 技術可以將多臺設備進行合并，在邏輯上形成一臺設備，簡化了網絡拓撲，從而簡化網絡管理；同時，IRF 本身就是由多臺設備組成，多臺設備互為備份，所以無需再額外增加設備形成冗余備份，從而降低組網的成本［8］.

2 IRF 軟件虛擬化技術

2.1 IRF 概述

IRF 是一種H3C 設備專屬的軟件虛擬化技術，該技術通過IRF 物理端口將多臺設備進行互聯，并對這些設備進行配置后，形成一臺“分布式設備”，解放了整個拓撲結構，從而實現多臺設備的協同工作、統一管理；同時，由于多臺設備相互備份，所以當一臺設備出現故障時，可以由其他設備接替工作，使得整個業務不出現中斷，實現多臺設備的不間斷維護.IRF 組網示意圖如圖1 所示.

圖1 IRF 組網示意圖

2.2 IRF 技術的原理

如圖1 所示，通過IRF 技術將交換機S1 和交換機S2 合并成一臺專屬設備，對于上下層設備，他們就是一臺設備——IRF 存在于網絡中.即對于S3、H1 和H2 來說，他們就是連接在同一臺IRF 上，簡化了整個拓撲結構.

一臺IRF 是由多臺設備合并而成，所有的組成設備都稱為成員設備.所有的成員設備按照分工不同，分為Master 和Slave 兩種角色.Master 負責對IRF 進行整體操作，所有對IRF的操作都通過對Master 進行配置完成，從機Slave 作為主機Master 的備份設備運行.當Master 不能正常工作時，系統自動從所有Slave中選一個新Master，新Master 接管原Master 繼續工作，實現多臺設備的不間斷維護［9］.

2.3 IRF 沖突檢測機制MAD

正常情況下，如圖1 所示，通過IRF 技術可以將多臺設備合并為一臺IRF.如果IRF 鏈路出現故障，如圖2 所示，當交換機S1 和交換機S2 相連的IRF 鏈路出現故障，此時S1 和S2就分裂成兩臺獨立的IRF1 和IRF2，如圖3 所示.原先針對IRF 作的配置就一分為二，復制成兩份相同的配置分別在IRF1 和IRF2 上生效.IRF1 和IRF2 擁有相同的三層配置，如IRF1和IRF2 擁有相同的IP 地址，會產生IP 地址信息沖突問題，導致網絡故障擴大.

MAD（Multi-Active Detection，多主動檢測）是一種檢測和處理機制，當IRF 分裂時，MAD能快速檢測出網絡中同時存在多個處于Active狀態的IRF，沖突處理使具有Master 最小成員編號的IRF 保持活動狀態并正常工作，其他活動狀態的IRF 遷移到恢復狀態，這樣他們就不再轉發數據，提高了IRF 系統的可用性，保證了網絡的可靠性和穩定性.

圖2 IRF 鏈路故障示意圖

圖3 IRF 分裂示意圖

3 網絡核心層雙機熱備的IRF 技術的實現

3.1 網絡核心層雙機熱備架構設計

核心層部署兩臺H3C S5560 Series 三層交換機，并通過單模光纖將兩臺設備的光纖模塊端口進行互聯，形成IRF 鏈路；兩臺三層交換機之間再通過以太網電纜互聯，形成檢測IRF 分裂的MAD 檢測鏈路.匯聚層部署兩臺H3C S5130 Series 二層交換機，采用以太網電纜分別與核心層的兩臺三層交換機互聯.核心層的上層設備選用一臺H3C MSR26-30 的路由器，采用以太網電纜分別與核心層的兩臺三層交換機互聯.核心網絡雙機熱備拓撲結構如圖4 所示.

圖4 核心網絡雙機熱備拓撲圖

3.2 方案描述

（1）網絡核心層雙機熱備的IRF 設計.將核心層設備S5560-1、S5560-2 的光口XG0/52作為IRF 端口，并通過光纖進行互聯.配置交換機S5560-1 的成員編號為1，即作為主設備Master，負責整個IRF 運行；配置交換機S5560-2 的成員編號是2，即Slave，作為Master的備份設備運行.重啟各成員設備使成員設備編號生效.重啟后，在設備S5560-1、S5560-2上建立IRF 邏輯端口，并將兩臺設備的物理端口與IRF 邏輯端口進行一一映射.IRF 邏輯端口與物理端口綁定后，需激活IRF 邏輯端口.IRF 邏輯端口激活后，兩臺設備自動開始競選Master，競選失敗的設備會自動重啟.設備重啟完成后，IRF 形成.IRF 的配置流程圖如圖5所示.

圖5 IRF 的配置流程圖

（2）BFD MAD 的設計.核心設備S5560-1、S5560-2 互聯電口G0/8 作為BFD MAD 檢測端口，加入vlan210 中；使能BFD MAD 檢測功能；配置S5560-1、S5560-2 互 聯 電口G0/8 的IP 地址分別為192.168.210.1/24 和192.168.210.2/24.

（3）端口聚合設計.匯聚層設備S5130-1、S5130-2 分別與核心層設備IRF 互聯端口之間建立交換聚合端口，聚合端口編號分別為1 和2；核心層設備IRF 與上層設備MSR26-30 互聯端口之間建立路由聚合端口3.

3.3 方案實現

根據以上方案描述，網絡核心層雙機熱備系統的實現分為三步：IRF 的配置、BFD MAD 的配置和端口聚合的配置.

（1）IRF 的配置.IRF 的配置步驟包括：核心層設備的連接、配置成員設備編號、重啟成員設備、創建IRF 端口、激活IRF 端口、兩臺交換機競選Master.

①核心層設備的連接.將兩臺核心設備S5560-1、S5560-2 的XG0/52 光 口 通 過 單 模 光纖跳線互聯，形成IRF 鏈路；將這兩臺設備的電口G0/8 作為BFD MAD 檢測端口，并通過六類雙絞線互聯，形成檢測IRF 分裂的MAD 檢測鏈路.

②配置成員設備編號.

#核心層交換機S5560-1 的IRF 默認編號是1，不再需要配置.

#修改核心層交換機S5560-2 的成員編號為2.

③重啟成員設備.將兩臺交換機S5560-1、S5560-2 斷電后上電重啟設備.重啟后，交換機S5560-1 的端口前都加上了IRF 成員編號1，交換機S5560-2 的端口前都加上了IRF 成員編號2.

④創建IRF 端口.將IRF 邏輯端口與物理端口進行一一映射.

首先在設備S5560-1 上創建IRF 邏輯端口irf-port 1/1，并將設備S5560-1 的物理端口XG0/52 與IRF 端口irf-port 1/1 進行綁定.然后在設備S5560-2 上創建IRF 邏輯端口irf-port 2/2，并將設備S5560-2 的物理端口XG0/52 與IRF 端口irf-port 2/2 進行綁定.其中，IRF 邏輯端口與物理端口一一映射關系如表1 所示.

表1 IRF 邏輯端口與物理端口映射表

#在設備S5560-1上創建irf-port 1/1的配置.

#在設備S5560-2上創建irf-port 2/2的配置.

⑤激活IRF 端口.IRF 端口創建完成后，由于IRF 邏輯端口對應的物理端口是關閉狀態，因此要啟動物理端口，激活相應的IRF 端口.

#在設備S5560-1 上啟動物理端口XG0/52的配置.

#在設備S5560-2 上啟動物理端口XG0/52的配置.

#在設備S5560-1 上激活IRF 端口irf-port 1/1 的配置.

#在設備S5560-2 上激活IRF 端口irf-port 2/2 的配置.

⑥兩臺交換機會競選出一臺主設備Master，另一臺設備為Slave.Slave 會自動重啟，重啟后IRF 形成.S5560-1 作為Master 運行，S5560-2 作為Slave 運行，且兩臺設備名稱統一更改為S5560-1.IRF 形 成 后，在Master 設 備S5560-1 上配的所有配置，備份設備S5560-2 嚴格同步相同配置.通過這種同步機制，IRF 中兩臺交換機保持相同的配置，即使Master 交換機S5560-1 不能正常工作，備份交換機S5560-2仍能夠按照相同的配置繼續工作，實現了核心網絡設備的雙機熱備.

（2）BFD MAD 的配置.為了避免IRF 鏈路故障引起IRF 分裂，導致網絡故障擴大，需采用MAD 檢測功能.由于網絡核心層只有兩臺交換機，設備較少，因此可以采用BFD MAD檢測機制來檢測IRF 是否分裂和處理IRF 分裂.IRF 設備上BFD MAD 的配置包括：使能BFD MAD 檢測功能、給IRF 成員設備端口配置MAD IP 地址.其中MAD IP 地址與IRF 成員設備一一映射，所有IRF 成員設備的互聯端口都必須配置MAD IP 地址，且需將成員設備的互聯端口加入同一VLAN，并配置同一網段的IP 地址.

#IRF 設備上BFD MAD 的配置.

由于生成樹功能與BFD MAD 檢測功能相互沖突，因此，需關閉IRF 成員設備互聯端口的生成樹協議.

#關閉IRF 上G1/0/8 和G2/0/8 生成樹協議的配置.

（3）端口聚合配置.IRF 形成后，對于上下層設備而言，交換機S5560-1 和交換機S5560-2就是“一臺”設備——IRF，因此，IRF 與匯聚層設備S5130-1 互聯的兩條鏈路需作二層鏈路聚合，IRF 與匯聚層設備S5130-2 互聯的兩條鏈路也需作二層鏈路聚合，IRF 與上層設備MSR26-30 互聯的兩條鏈路需作三層鏈路聚合.

#IRF 上與匯聚層設備S5130-1 互聯的端口建立交換聚合端口1.

#IRF 上與匯聚層設備S5130-2 互聯的端口建立交換聚合端口2.

#IRF 上與上層設備MSR26-30 互聯的端口建立路由聚合端口3.

4 IRF 部署后的效果

4.1 網絡更簡化

IRF 提供了兩個方面的網絡簡化：一方面，IRF 形成后，多臺設備在邏輯上合并成一臺設備，簡化了網絡拓撲；另一方面，IRF 形成后，可以通過任何成員設備的任何端口登錄到IRF 系統，并配置和管理IRF 中的所有成員設備，簡化了網絡管理.

4.2 網絡更可靠

IRF 提供了兩個方面的高可靠性：一方面，IRF 由多臺成員設備組成，其中一臺為Master，其余設備作為Slave，實現了設備的1∶N備份，提高了設備的可靠性；另一方面，IRF 與上下層設備之間的物理鏈路支持聚合功能，多個鏈路可以相互備份，提高了鏈路的可靠性.

5 結語

本文針對目前主要的幾種設備虛擬化技術進行了分析，基于這些技術不能以低成本和管理更加簡化的方式實現網絡核心層設備的冗余備份和網絡的高可靠性，提出了采用IRF 技術來實現網絡核心層設備的雙機熱備.IRF 中兩臺交換機的配置嚴格同步，即使Master不能正常工作，備份交換機仍能夠按照相同的配置繼續工作，實現了網絡核心層設備的雙機熱備，達到了提高網絡可靠性和穩定性的目的.