淺析IRF虛擬化技術增強企業網絡架構的彈性
[摘要]隨着“雲”時代到來和各種虛擬化技術日趨成熟,對傳統企業網絡架構提出新挑戰。例如:在不破壞企業原有網絡架構和資產投入情況下,可以爲企業網絡提供更好的擴展性,其中包括簡化管理、簡化網絡運行、降低整體投入成本、擴展端口密度和帶寬容量、保護用戶投資,使企業網絡具備高可用性和持續的、不間斷的運行效果。爲了達到此效果,可利用H3C的IRF虛擬化技術在企業網絡架構中增強彈性,現淺析如下。
關鍵詞:雲時代、企業網絡、虛擬化技術、持續不間斷、IRF、簡化管理
傳統企業網絡管理員經常提出如下一些典型問題:
典型問題1:企業網絡接入層交換機端口緊張匱乏,需要對端口密集度進行擴容,如果使用常規“級聯”方式來達到增加端口密集度效果,那麼被新增入網的交換機將以一臺獨立被網管元件體現。這不能滿足現代化網絡管理要求,如果有一種技術能將新增入網多臺交換機虛擬化爲一臺被網管的元件,感覺多臺交換機就是一個整體,對於網管而言是非常開心的事情。
典型問題2:爲了企業網絡鏈路冗餘,在傳統網絡架構中,網絡管理員常常需要部署二層生成樹(STP)或者三層冗餘技術,在這個過程中將面對冗餘環境成“網狀式”似連接設備的各種角色選舉,比如:STP選根橋,設備越多、網狀輻射面越龐大,維護越複雜。如果網絡管理員沒有非常堅實的理論基礎,面對這些冗餘技術實現將是一件非常痛苦的事情。如果有一種技術能實現分佈式二層冗餘與三層彈性路由,這也是一件非常開心的事情。
典型問題3:使用傳統堆疊技術不就可以將多臺獨立交換機看成一臺邏輯設備(一個整體交換設備)了嗎?這樣理解不完全正確,因爲傳統堆疊技術可以擴展端口密集度,使多臺交換機被看成一個邏輯整體,也能實現二層分佈式轉發;但是傳統堆疊技術引發典型問題是:不能實現分佈式三層轉發和路由高可用性,也不能實現跨越多臺交換機鏈路聚合等問題。
1、論點
綜合上述企業網絡中典型問題,H3C的IRF智能彈性框架(Intelligent Resilient Framework)將是一個不錯的選擇,它是H3C(華爲3com)的一種網絡架構虛擬化技術,IRF可以將多臺物理設備(一般指交換機)互連形成一個Fabric(聯合矩陣)。無論在管理還是在應用層面上,將被視爲一個整體。它具備高可靠性,高擴展性,易用性,可管理性,實用性等特點。如下圖1所示:
在圖1所示的環境中交換機1和交換機2使用IRF技術形成了一個交換機聯合矩陣IRF Fabric,此時交換機1和交換機2通過實施IRF後對外僅體現爲一臺交換設備,當然這臺交換設備是被IRF虛擬化而成,端口密集度得到了擴展,其它的管理和應用特性也進行了集成,形成了一個整體。通過IRF來完成虛擬化時,按照人們正常的思考邏輯,會提出新一輪問題,也是理解IRF的關鍵。
ü 兩臺物理設備IRF虛擬化後,端口怎麼編號?如果兩臺物理交換機的端口編號都是G2/0/1-G2/0/5,那麼當配置虛擬交換機的某個端口時,比如:G2/0/2,會是配置物理設備1的G2/0/2,還是物理設備2的G2/0/2呢?
ü 兩臺物理設備IRF虛擬化後,兩臺物理設備上文件如何同步?
ü 兩臺物理設備IRF虛擬化後,誰是虛擬矩陣中主設備和從設備?
ü 兩臺物理設備IRF虛擬化後,與傳統二層冗餘技術、路由技術如何協同?
2、理論依據
2.1 關於IRF成員編號與虛擬矩陣最終呈現給用戶端口編號原則
如圖1所示,當兩臺物理設備被IRF虛擬化後,它們在IRF形成虛擬矩陣中必須要各自具備一個獨一無二IRF成員ID,比如物理交換機1獲得成員編號ID1,物理交換機2獲得成員編號ID2,然後由於兩臺物理設備現在虛擬化成一臺交換機,所以該虛擬交換機端口總數爲兩臺物理設備端口總數之和,虛擬交換機端口編碼將使用IRF成員ID+原始編號。比如:G1/2/0/2實際上是物理設備1上G2/0/2端口,G2/2/0/2則是物理設備2上G2/0/2端口,這樣最終呈現給用戶端口就好比一臺交換機(注意此時交換機是指虛擬交換機)上有8個端口,被分佈在2個模塊上(G1/2/0/2-G1/2/0/5和G2/2/0/2-G2/2/0/5),這樣可以解決虛擬交換機端口編碼衝突問題。
2.2 兩臺物理設備經IRF虛擬化後,可在兩臺物理設備上解決文件同步問題
在被IRF虛擬化以後,所有配置將被區分爲全局配置和局部配置。其中典型全局配置包括:三層接口、IP地址、路由協議、安全特性等。全局配置在整個Fabric(聯合矩陣)內有效。局部配置主要包括端口參數等配置,局部配置只在Fabric(聯合矩陣)中具體某臺物理設備上有效。一個Fabric需要明確在系統運行任何時候全局配置都相同。
啓動時進行配置比較,確保全局配置相同。在配置比較時將以IRF中最小ID物理設備的配置作爲參照標準。
2.3 兩臺物理設備經IRF虛擬化後,可在虛擬矩陣中解決主從設備問題
在Fabric(聯合矩陣)中會存在一臺主設備(Master),其它設備都叫從設備(Slave),主設備功能是作爲Fabric中全局配置參考基準,然後執行一些重要工作,比如路由下發等。主從設備需要選舉產生,默認情況下,最小成員ID的物理設備將成爲主設備。主設備一旦選舉產生,請儘量維持它不變。
2.4 兩臺物理設備經IRF虛擬化後,可解決傳統二層冗餘技術與路由技術協同問題
兩臺物理設備經經IRF虛擬化後,傳統的一些二層冗餘技術,如STP將把Fabric(聯合矩陣)僅看成是一臺交換機,聯合矩陣(也就是被IRF虛擬交換機)內所有端口都將參與STP角色選擇,整個聯合矩陣有唯一的根端口和BID。在以太通道(鏈路聚合)這個特性上,可以在聯合矩陣內實現跨越不同設備鏈路聚合。
在聯合矩陣路由特性上,由於三層接口在全局是同步的。一個三層接口可以包含聯合矩陣內不同物理設備的端口。並且關於路由三層配置命令都是全局模式下生效,這樣自然保證靜態路由同步,也保證了IRF所支持動態路由協議配置同步。聯合矩陣內各個物理設備的路由協議都在運行,計算並生成路由表。但是隻有主設備路由表纔會下載到FIB,然後FIB表將被同步到聯合矩陣中各個物理設備上,並下載到ASIC中進行轉發。
3、實驗依據
實驗目標:
ü 在H3C設備上實施IRF,論證IRF虛擬化後編號原則
ü 通過實驗論證虛擬交換機配置文件同步,確定主從設備
ü 通過實驗論證IRF能實施跨越不同物理單元鏈路聚合(以太網通道)
實驗背景:
如圖2所示網絡環境中,要求將交換機S1和S2通過IRF虛擬化爲交換機IRF_S,以擴展接入層端口密集度讓物理交換機S1和S2形成統一網管元件;然在虛擬交換機IRF_S上與交換機S形成以太網通道(俗稱鏈路聚合),以增加聚合鏈路冗餘性和帶寬容量。
實驗步驟:
第一步:在執行IRF虛擬化之前,可以通過指令display current-Configuration查看交換機S1和S2配置文件,可以得到一個無可質疑的結論:交換機S1和S2上端口編號都是三維編號,而且都是從G2/0/1-G2/0/5,如圖3所示。當在交換機S1和S2上配置IRF虛擬化後,根據在理論部分2.1關於IRF成員編號與虛擬矩陣最終呈現給用戶端口編號的原則,交換機端口編號將由各自成員ID+原始編號生成新虛擬交換機編號。完成IRF配置後可以使用圖4去對比圖3的端口編號。
第二步:在交換機S1和S2上配置IRF虛擬化,配置IRF時有兩種方式,一種是通過專用高速10G線纜來連接交換機S1和S2;另一種方案是通過常規吉比特以太線纜來連接S1和S2,在該環境中選擇第二種方案,其實S1和S2相連的這根線纜,也叫做“心跳線”,是實現IRF功能一條關鍵線纜,因爲當S1和S2被IRF成一臺虛擬交換機時,這條“心跳線”將用於同步兩臺交換機配置以及檢測和維護IRF狀態。
[S1]irf member 1 * 爲物理交換機S1配置IRF成員ID 1
[S1]chassis convert mode irf * 轉換交換機的模式爲IRF模式
<S1>reboot * 在這一步必須使用reboot重新啓動設備,以進入IRF模式。
[S1]irf-port 1/1 * 在重啓交換機後,進入IRF的端口1/1
[S1-irf-port 1/1]port group interface G1/2/0/1
*將物理接口G1/2/0/1捆綁到IRF端口。
[S1-irf-port 1/1]quit
[S1]interface G1/2/0/1 * 進入G1/2/0/1物理接口(成員ID1+原始端口編碼)
[S1-GigabitEthernet 1/2/0/1]undoshutdown * 確保端口被激活。
[S1-GigabitEthernet 1/2/0/1]quit
[S1]irf-port-configuration active *激活IRF端口的配置
配置思路總結:
必須爲每個IRF成員交換機建立不同成員ID,轉換交換機工作模式到IRF模式,進入IRF端口,將連接“心跳線”物理端口,捆綁到IRF端口,確保物理端口被激活。特別需要注意的是“心跳線”物理端口原本是S1上G2/0/1,但是S1被IRF虛擬化後,變爲了G1/2/0/1(成員ID1+原始端口編碼),同理S2上G2/0/1被虛擬化後將變爲G2/2/0/1(成員ID2+原始端口編碼)。
IRF中第2個成員交換機的配置:
[S2]irf member 2 * 爲交換機S2配置IRF的成員ID(必須與S1具備不同的ID)
[S2]chassis convert mode irf * 轉換模式爲IRF
<S2>reboot *必須使用reboot重新啓動設備
[S2]irf-port 2/2 * 在重啓交換機後,進入IRF的端口2/2
[S2-irf-port 1/1]port group interface G2/2/0/1
*將物理接口G2/2/0/1捆綁到IRF端口。
[S2-irf-port 1/1]quit
[S2]interface G2/2/0/1 *進入G2/2/0/1物理接口(成員ID2+原始端口編碼)
[S2-GigabitEthernet 1/2/0/1]undoshutdown * 確保端口被激活。
[S2-GigabitEthernet 1/2/0/1]quit
[S2]irf-port-configuration active * 激活IRF端口的配置
注意:配置IRF第二個成員時,IRF端口連接必須遵守一個原則:成員1使用IRF端口1連接成員2的IRF端口2或者成員1使用IRF端口2連接成員2的IRF端口1;但是不可將成員1使用IRF端口1連接成員2的IRF端口1,關於這一點可參看H3C公司對RIF的白皮書文檔!
第三步:現在來檢測S1和S2IRF配置及同步情況,重新啓動IRF中第2個成員交換機S2,當完成第二步中所有配置,重啓S2後。
此時你會發現:重啓後成員交換機S2名稱被改爲S1。這並不奇怪,事實上,現在已經不存在S1或者S2了,只有一個虛擬交換機,S2被自動重命名爲S1。原因是:S2去同步了S1上配置文件。
現在你可以在任何一個物理交換機上將虛擬交換機重命名爲IRF_S,你會發現這個重命名會被立即同步在兩臺物理設備上,換言之,你在原來S1或者S2上看到配置文件是同一個配置文件,命名也都是IRF_S。
此時你再通過執行display current-configuration查看虛擬交換機配置文件(在S1上或者S2上控制檯執行皆可,因爲現在沒有S1和S2區別了,只有一個IRF-S),此時你會發現現在虛擬交換機上端口是原來兩臺物理交換機端口總合數量,如圖4所示。根據理論部分2.1關於IRF成員編號與虛擬矩陣最終呈現給用戶端口編號原則。可以通過如下指令查看IRF各項運行狀態,如下圖5所示顯示。
Display irf * 可查看IRF的主從設備
Display irf topology * 可查看IRF的拓撲和口狀態信息
Display irf link * 查看IRF鏈路信息(心跳線狀態)
在以太通道(鏈路聚合)上IRF虛擬化特性的體現:
現在將在虛擬化特性上去實現企業網絡中最常見的一種技術:以太網通道(聚合鏈路),以增加聚合鏈路冗餘性和帶寬容量。
在傳統企業網絡架構中,鏈路聚合中各條物理連接只能處於同一臺物理交換機。而在實施IRF虛擬化技術後,現在可以在虛擬交換機IRF_S上與跨越多個物理設備(原來S1和S2)來與外部交換機S建立以太網通道(鏈路聚合)。
注意,在這個過程中物理線纜連接實際上是:外部交換機S的G2/0/2連接原物理交換機S1的G2/0/2,但是由於S1現在被IRF虛擬化爲成員1,所以配置虛擬交換機IRF_S時應該是配置G1/2/0/2接口(成員ID1+原端口編號)爲鏈路聚合端口,外部交換S的G2/0/3連接原物理交換機S2的G2/0/2同理。
根據這個原則,現在得出一結論:在IRF中可以跨越多個物理設備來建立聚合鏈路,這打破了傳統網絡對聚合鏈路配置原則,注意對比圖2所示環境中左右兩個部分。
第四步:配置虛擬交換機IRF-S和外部交換機S鏈路聚合,並查看在IRF中跨越多個物理設備來建立聚合鏈路。
[IRF_S]interface bridge-aggregation 1*在虛擬交換機上建立一個鏈路聚合通道1
[IRF_S -Bridge-Aggregation1]quit
[IRF_S]interface gigabitethernet 1/2/0/2 *進入虛擬交換機的G1/2/0/2接口(S1的G2/0/2)
[IRF_S-gigabitethernet 1/2/0/2]portlink-aggregation group 1 *將該接口捆綁到鏈路聚合通道1
[IRF_S-gigabitethernet 1/2/0/2]quit
[IRF_S]interface gigabitethernet 2/2/0/2 *進入虛擬交換機的G2/2/0/2接口(S2的G2/0/2)
[IRF_S-gigabitethernet 2/2/0/2]portlink-aggregation group 1 *將該接口捆綁到鏈路聚合通道1
[IRF_S-gigabitethernet 2/2/0/2]quit
[IRF_S]interface bridge-aggregation 1 *進入鏈路聚合通道1
[IRF_S-Bridge-Aggregation1]port link-type trunk *將鏈路聚合通道類型配置爲幹道
[IRF_S-Bridge-Aggregation1]port trunk permit vlan all
[IRF_S-Bridge-Aggregation1]link-aggregation mode dynamic *配置鏈路聚合爲動態協商
[S]interfacebridge-aggregation 1 *在外部交換機S上建立一個鏈路聚合通道1
[S -Bridge-Aggregation1]quit
[S]interfacegigabitethernet 2/0/2 *進交換機S的G/2/0/2接口
[S-gigabitethernet 2/0/2]portlink-aggregation group 1 *將該接口捆綁到鏈路聚合通道1
[S-gigabitethernet 2/0/2]quit
[S]interfacegigabitethernet 2/0/3 *進交換機S的G/2/0/3接口
[S-gigabitethernet 2/0/3]portlink-aggregation group 1 *將該接口捆綁到鏈路聚合通道1
[S-gigabitethernet 2/0/3]quit
[S]interfacebridge-aggregation 1 *進入鏈路聚合通道1
[S-Bridge-Aggregation1]portlink-type trunk *將鏈路聚合通道類型配置爲幹道
[S-Bridge-Aggregation1]porttrunk permit vlan all *在幹道上允許所有VLAN
[S-S-Bridge-Aggregation1]link-aggregationmode dynamic *配置鏈路聚合爲動態協商
當完成虛擬交換機IRF_S與外部交換機S鏈路聚合配置後,可以在虛擬交換機IRF_S和S上使用display link-aggregation summary查看鏈路聚合狀態。
如圖6所示,可以在外部交換機S上,看到鏈路聚合對等體(Partnet ID)就僅僅是虛擬交換機IRF_S,但事實上,該鏈路聚合是跨越了虛擬交換機中不同物理設備構建而成。
5、結論與事實
通過上面論述觀點、理論說明、實驗求證過程,可以得出:H3C智能彈性框架(Intelligent ResilientFramework)IRF技術,是傳統企業網絡架構一場革命性演變,它正在無縫迎合“雲”時代邁進步伐,它將比傳統堆疊技術更好地兼容已經非常成熟的網絡特性。比如:STP、聚合鏈路、各種靜動態路由協議等,使企業網絡架構具備更好的彈性、可擴展性、持續不間斷轉發、簡化網絡結構等特色。
但是任何一項新技術都有一個過渡階段,IRF也無法跨越這個階段,因爲不是所有技術模塊都能支持IRF虛擬化。比如:一些鏈路層協議、IPX、IS-IS 、BGP、MPLS/***、MSDP、還部分安全協議就暫時不能被IRF所支持,當然H3C廠商一直在對IRF支持特性做改良,可明顯看出現在第二代IRF相較於第一代有明顯提高。
而最終用戶正是需要在這個過程中不斷地去應用和普及IRF技術,並在實踐項目中去探查到IRF在改變傳統企業網絡架構之後,與已經成熟傳統網絡技術特性一些兼容性問題,使其IRF本身更加的完善和穩定。這也是本論文一個核心思想,因爲積累將成就卓越,過程將見證非凡。最後必須說明一點:IRF是H3C廠商技術,並不是華爲虛擬化技術,華爲虛擬化技術叫CCS。由於H3C和華爲曾經商業關係,導致廣大用戶容易將其搞混淆。