1、实验介绍
本次实验通过HCL模拟器来搭建M-LAG系统,以及M-LAG系统上联Router设备、下联Server等
M-LAG拓扑图
M-LAG系统由两台核心设备组成,分别为 Core_01 和 Core_02。
注意:
Peer-Link通常建议采用多链路聚合(例如LACP)以提升带宽和冗余性。
保证Peer-Link和Keepalive接口分布在不同的物理模块上,以增强硬件可靠性。
MAD机制是防止双主的重要手段之一。当Peer-Link和Keepalive同时失效时,通过MAD检测确保只有一个设备为主设备。
带宽规划:Peer-Link需要足够带宽以处理两台设备之间的数据同步。
链路备份:Keepalive和Peer-Link接口建议使用独立的链路,以避免单点故障。
设备升级:进行M-LAG相关配置变更时,请务必提前规划维护窗口,避免因配置错误引发业务中断。
M-LAG数据同步接口:
Peer-Link接口:用于实时同步两台设备间的拓扑状态、MAC地址表、FDB(Forwarding Database)等关键信息,确保两设备逻辑状态一致。
Keepalive接口:用于传递心跳报文,检测对端设备是否正常工作,防止双主(Split-Brain)状态发生。
VRF隔离Keepalive地址:
通过创建VRF实例,将Keepalive接口的IP地址与其他网络隔离,确保心跳报文的独立性,提高M-LAG系统的安全性和稳定性。
M-LAG保留接口:
配置保留接口(Reserved Interface)以防止在M-LAG分裂场景下,由于Keepalive失效或设备重启导致的业务中断。保留接口的作用是确保业务流量的最小化影响,直到M-LAG恢复正常。
2、M-LAG配置:
首先创建VRF用于隔离M-LAG的keepalive地址
Core_01:
ip vpn-instance keepalive //创建VPN实例keepalive,用于隔离路由
route-distinguisher 10:10 //设置路由区分符10:10,标识VPN实例
vpn-target 100:100 import-extcommunity //配置RT
vpn-target 100:100 export-extcommunity //配置RT
Core_02:
ip vpn-instance keepalive //创建VPN实例keepalive,用于隔离路由
route-distinguisher 10:11 //设置路由区分符10:11,标识VPN实例
vpn-target 100:100 import-extcommunity //配置RT
vpn-target 100:100 export-extcommunity //配置RT
配置M-LAG参数
Core_01:
m-lag mad exclude interface Ten-GigabitEthernet1/0/52 //排除接口1/0/52参与M-LAG的MAD检测
m-lag role priority 100 //设置M-LAG设备的角色优先级为100,值越小越高
m-lag system-mac 0001-0001-0001 //指定M-LAG系统的虚拟MAC地址
m-lag system-number 1 //定义M-LAG系统编号为1
m-lag system-priority 199 //设置M-LAG系统优先级为199
m-lag consistency-check disable //禁用M-LAG一致性检查
m-lag standalone enable //启用M-LAG独立模式
m-lag keepalive ip destination 10.0.0.2 source 10.0.0.1 vpn-instance keepalive //配置M-LAG保活链路,使用VPN实例keepalive
Core_02:
m-lag mad exclude interface Ten-GigabitEthernet1/0/52 //排除接口1/0/52参与M-LAG的MAD检测
m-lag role priority 200 //设置M-LAG设备的角色优先级为200,值越小越高
m-lag system-mac 0001-0001-0001 //指定M-LAG系统的虚拟MAC地址
m-lag system-number 2 //定义M-LAG系统编号为2
m-lag system-priority 199 //设置M-LAG系统优先级为199
m-lag consistency-check disable //禁用M-LAG一致性检查
m-lag standalone enable //启用M-LAG独立模式
m-lag keepalive ip destination 10.0.0.1 source 10.0.0.2 vpn-instance keepalive //配置M-LAG保活链路,使用VPN实例keepalive
配置STP保护
公共配置:
stp global enable //全局启用生成树协议
stp mode pvst //配置生成树协议为PVST模式
stp bpdu-protection //启用BPDU保护,防止错误BPDU影响网络
Core_01:
配置Keepalive接口
Core_01:
interface Ten-GigabitEthernet1/0/52 //进入接口1/0/52
port link-mode route //设置接口为三层路由模式
ip binding vpn-instance keepalive //绑定VPN实例keepalive
ip address 10.0.0.1 255.255.255.252 //配置接口IP地址为10.0.0.1/30
Core_02:
interface Ten-GigabitEthernet1/0/52 //进入接口1/0/52
port link-mode route //设置接口为三层路由模式
ip binding vpn-instance keepalive //绑定VPN实例keepalive
ip address 10.0.0.2 255.255.255.252 //配置接口IP地址为10.0.0.2/30
配置Peer-Link接口
公共配置:
interface Bridge-Aggregation1 //进入聚合接口1
port link-type trunk //设置接口为Trunk模式
undo port trunk permit vlan 1 //禁用VLAN 1的Trunk转发
port trunk permit vlan 2 to 4094 //允许VLAN 2到4094的Trunk转发
link-aggregation mode dynamic //设置链路聚合为动态模式
port m-lag peer-link 1 //指定此聚合口为M-LAG的Peer-Link
interface Ten-GigabitEthernet1/0/49 //进入接口1/0/49
port link-aggregation group 1 //将接口加入聚合组1
interface Ten-GigabitEthernet1/0/50 //进入接口1/0/50
port link-aggregation group 1 //将接口加入聚合组1
3、配置验证
查看System
查看Keepalive
查看Peer-Link
从上述情况来看,M-LAG系统已经初步搭建完成了
4、下联Server
Server1通过G1和G2两个口分别连接至Core_01和Core_02两台设备,对于Server1来说,只需要做bound0即可,此处用交换机代替。
两台Core设备配置VRRP,通过分布式聚合接入Server1,聚合模式为动态模式。
如果主设备的链路带宽更大,建议开启VRRP抢占,如果主备的上下联都相同,建议不开启VRRP抢占
配置Core
Core_01:
interface Vlan-interface99
ip address 192.168.1.253 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 254
Core_02:
interface Vlan-interface99
ip address 192.168.1.252 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 253
公共配置:
interface Bridge-Aggregation2
port access vlan 99
link-aggregation mode dynamic
port m-lag group 2
interface GigabitEthernet1/0/1
port link-aggregation group 2
配置Server1
interface Vlan-interface99
ip address 192.168.1.1 255.255.255.0
interface Bridge-Aggregation2
port access vlan 99
link-aggregation mode dynamic
interface GigabitEthernet1/0/1
port link-aggregation group 2
#
interface GigabitEthernet1/0/2
port link-aggregation group 2
配置验证
- 分布式聚合组验证
- 接口聚合验证
- 连通性验证
- VRRP配置验证
5、上联Router
上联使用OSPF组网,通过修改cost值来控制流量的路径
配置核心上联和出口路由器
Core_01:
interface GigabitEthernet1/0/2
port link-mode route
combo enable fiber
ip address 10.1.1.2 255.255.255.252
ospf network-type p2p //修改OSPF协商类型为p2p
ospf bfd enable //开启BFD加快收敛
bfd min-transmit-interval 300 //设置BFD会话发送检测包的最小间隔时间为300毫秒
bfd min-receive-interval 300 //设置BFD会话接收检测包的最小间隔时间为300毫秒
bfd detect-multiplier 3 //设置BFD检测的容忍次数为3此
Core_02:
interface GigabitEthernet1/0/2
port link-mode route
combo enable fiber
ip address 10.1.1.6 255.255.255.252
ospf network-type p2p //修改OSPF协商类型为p2p
ospf bfd enable //开启BFD加快收敛
bfd min-transmit-interval 300 //设置BFD会话发送检测包的最小间隔时间为300毫秒
bfd min-receive-interval 300 //设置BFD会话接收检测包的最小间隔时间为300毫秒
bfd detect-multiplier 3 //设置BFD检测的容忍次数为3此
Out_Vsr01:
interface GigabitEthernet0/0/0
port link-mode route
combo enable copper
ip address 10.1.1.1 255.255.255.252
ospf network-type p2p //修改OSPF协商类型为p2p
ospf bfd enable //开启BFD加快收敛
bfd min-transmit-interval 300 //设置BFD会话发送检测包的最小间隔时间为300毫秒
bfd min-receive-interval 300 //设置BFD会话接收检测包的最小间隔时间为300毫秒
bfd detect-multiplier 3 //设置BFD检测的容忍次数为3此
interface GigabitEthernet0/0/1
port link-mode route
combo enable copper
ip address 10.1.1.5 255.255.255.252
ospf cost 10
ospf network-type p2p //修改OSPF协商类型为p2p
ospf bfd enable //开启BFD加快收敛
bfd min-transmit-interval 300 //设置BFD会话发送检测包的最小间隔时间为300毫秒
bfd min-receive-interval 300 //设置BFD会话接收检测包的最小间隔时间为300毫秒
bfd detect-multiplier 3 //设置BFD检测的容忍次数为3此
配置核心和出口的OSPF
Out_Vsr01
ospf 1
default-route-advertise
area 0.0.0.0
network 10.1.1.0 0.0.0.3
network 10.1.1.4 0.0.0.3
Core_01:
ospf 1
area 0.0.0.0
network 10.1.1.0 0.0.0.3
network 192.168.1.0 0.0.0.255
Core_01:
ospf 1
area 0.0.0.0
network 10.1.1.4 0.0.0.3
network 192.168.1.0 0.0.0.255
配置出口路由器NAT和缺省路由
Out_Vsr01:
acl basic 2000
rule 5 permit source 192.168.1.0 0.0.0.255
interface GigabitEthernet0/0/2
port link-mode route
combo enable copper
ip address 202.101.111.2 255.255.255.252
nat outbound 2000
ip route-static 0.0.0.0 0 202.101.111.1
查看网络连通性
关闭主设备模拟设备故障
再次验证设备连通性
华三的模拟器总是接口down,无缘无故出现bug,实验就到这里了,如果有问题希望大家指出