H3C据中心IRF虚拟化方案配置指导书Word文档格式.docx
- 文档编号:17619572
- 上传时间:2022-12-07
- 格式:DOCX
- 页数:38
- 大小:609.59KB
H3C据中心IRF虚拟化方案配置指导书Word文档格式.docx
《H3C据中心IRF虚拟化方案配置指导书Word文档格式.docx》由会员分享,可在线阅读,更多相关《H3C据中心IRF虚拟化方案配置指导书Word文档格式.docx(38页珍藏版)》请在冰豆网上搜索。
图2典型组网――LB单臂旁路
图3的组网中与图2组网的差别在于FW板卡、LB板卡的部署方式。
图2中的LB采用逻辑旁挂方式,服务器网关指向汇聚层FW。
图3中的LB采用在线方式,服务器网关指向LB。
图3典型组网二―LB在线部署
汇聚层FW/LB设计方案
FW+LB设计
图4典型组网一设计示例图
●本组网适用于数据中心单区域内部存在多类型服务器,服务器间需要进行互相访问控制,且只有部分应用需要做负载均衡(如WEB),其他应用由服务器自身应用软件保证多机集群(如部分APP与DB服务器)。
针对典型的企业网OA/生产服务器区域划分部署方式。
●数据中心汇聚HPA7500交换机进行IRF堆叠并集成安全板卡,连接内部服务器与园区核心。
HPA7500为FW到服务器提供二层vlan通道,同时作为路由转发核心为FW、LB与核心路由设备三者间提供三层路由转发能力。
HPA7500与核心间使用OSPF协议交互路由,将去往LB虚服务地址路由的下一跳通过静态路由方式指向LB的VRRP地址,将去往服务器地址下一跳指向FW的VRRP地址,并将需要对园区发布的静态路由通过路由策略过虑后引入到OSPF中。
●FW板卡作为服务器网关,采用三层路由模式为园区网络用户与服务器间的流量提供转发,并提供攻击防御、策略管理等功能,可对园区用户访问服务器及服务器间互访提供访问控制能力。
其缺省路由网关指向HPA7500的直连三层接口。
●LB板卡采用单臂旁挂部署方式。
缺省网关指定在HPA7500上。
外部用户访问虚服务的流量在LB板卡上进行负载分担与源目的地址变换后,再通过FW访问内部服务器。
●在整网双机备份组网环境中,HPA7500进行IRF堆叠后通过链路聚合组方式与上下游路由交换设备完成高可靠性组网,确保故障时毫秒级的流量路径自动切换;
在FW板卡故障时,通过VRRP切换到备机FW板卡上,确保秒级的故障自动切换;
在LB板卡故障时,同样通过VRRP切换服务至备机LB板卡上。
当整机故障时,所有流量路径设备均切换至备机进行转发,通过链路聚合与VRRP两者配合,仍然可以达到秒级的故障自动切换。
LB+FW设计
图5典型组网二设计示例图
●本组网适用于数据中心单区域内部部署大量单一类型服务器,且所有服务应用均需要做负载均衡(如WEB/APP)。
针对典型的互联网企业WEB服务器区域或者大型企业按照APP服务类型划分区域的部署方式。
HPA7500为FW到LB与LB到服务器提供二层vlan通道,同时作为FW与核心设备间的路由转发核心。
HPA7500与核心间使用OSPF协议交互路由,将去往LB虚服务地址路由的下一跳通过静态路由方式指向FW的VRRP地址,并将此静态路由引入到OSPF中。
●FW板卡采用三层路由模式为园区网络用户与服务器间的流量提供转发,并提供攻击防御、策略管理等功能,可对园区用户访问服务器提供访问控制能力。
FW部署静态路由将去往LB虚服务的路由下一跳指向LB的VRRP地址,将缺省路由指向HPA7500设备。
●LB板卡采用在线部署方式。
缺省网关指定在FW的VRRP虚地址上。
外部用户访问虚服务的流量在LB板卡上进行负载分担后,再通过HPA7500二层交换访问内部服务器。
汇聚层流量设计
图6典型组网一流量示意图
图7典型组网二流量示意图
4交换机IRF配置部署
本节重点介绍汇聚层HPA7500交换机的IRF配置部署,HPA12500/HPA5800交换机上的IRF部署与HPA7500类似,后面简单举例,不再详细阐述。
汇聚层HPA7500部署典型组网一
图8典型组网一HPA7500部署结构图
部署说明
数据中心汇聚HPA7500交换机进行IRF堆叠并集成安全板卡,连接内部服务器与园区核心。
IRF部署
*HPA7500在本方案中均需要部署为IRF模式运行。
此部分配置需要在其他所有配置进行前完成。
建议先配置两台设备的IRF相关命令,后将堆叠线进行连接,最后重启设备完成堆叠。
*注意当设备设置为IRF模式时,接口标识会由原来的3级标识变为4级标识,如原来四槽位第一个接口为4/0/1,在IRF模式下,为1/4/0/1,增加的1代表机框编号。
●主HPA7500设备:
chassisconvertmodeirf
――先将HPA7500机框设置为IRF模式运行,此配置确认后设备会自动重启。
irfmember2renumber1
――确认当前设备irfmember,缺省值一般为1,如果当前值不是1通过remember命令改为1。
如果对member进行了修改需要保存配置后手工重启设备生效。
interfaceTen-GigabitEthernet1/4/0/1
shutdown
interfaceTen-GigabitEthernet1/4/0/2
――必须先将堆叠接口shutdown才能将其配置为irf-port
irf-port1/1
portgroupinterfaceTen-GigabitEthernet1/4/0/1modenormal
portgroupinterfaceTen-GigabitEthernet1/4/0/2modenormal
――将接口配置为堆叠接口,最多可配置8个堆叠口捆绑堆叠
undoshutdown
save
――配置完成后记得将堆叠接口取消shutdown,并保存配置。
●备HPA7500设备:
irfmember1renumber2
――确认当前设备irfmember,缺省值一般为1,在7506/7503/7502堆叠时需要将备设备的member设置为2,而使用7510进行堆叠时需要将备设备的member设置为3。
如对member进行了修改则需要立即保存配置重启设备使其生效。
本文中均以7506E为例。
interfaceTen-GigabitEthernet2/4/0/1
interfaceTen-GigabitEthernet2/4/0/2
irf-port2/2
portgroupinterfaceTen-GigabitEthernet2/4/0/1modenormal
portgroupinterfaceTen-GigabitEthernet2/4/0/2modenormal
――配置堆叠口时需注意,如果主设备使用的为irf-port1/1,则备设备必须使用2/2或者3/2;
如果主设备使用的为irf-port1/2,则备设备必须使用2/1或者3/1,交叉对应使用。
――配置完成后将堆叠接口取消shutdown,并保存配置。
上述配置完成后,可以连接堆叠线,当堆叠线正确连接,接口UP后,设置member值为2或3的备设备将显示需要进行设备重启完成IRF堆叠。
此时按照提示重启备设备即可完成堆叠。
当IRF堆叠配置完成后,从两台设备的任一主控板console连接均可对堆叠都的唯一虚拟设备进行管理。
●其他IRF配置说明
irfmac-addresspersistentalways
――配置当Master设备离开IRF时,IRF的桥MAC地址会永久保留
irfauto-updateenable
――使能IRF系统启动文件的自动加载功能(当新加入设备时,新Slave设备自动加载Master的启动文件后,将该文件设置为Slave设备的下次启动文件,并使用该文件重启本设备。
)
undoirflink-delay
――不配置IRF链路down延迟上报时间
irfmember1priority32
――配置IRF成员的优先级
MADBFD检测部署
vlan4000
descriptionForMADBFD
interfaceGigabitEthernet1/5/0/24
portaccessvlan4000
interfaceGigabitEthernet2/5/0/24
interfaceVlan-interface4000
madbfdenable
madipaddress172.255.255.1255.255.255.252member1
madipaddress172.255.255.2255.255.255.252member2
――配置vlan4000作为MADBFD检测端口,并设置两个与业务无关地址作为MADBFD检测使用。
vlan与接口部署
vlan10
descriptionToCoreSwitch
――配置与核心交换设备间的三层vlan
vlan20
descriptionToLB
――配置与LB间的三层vlan
vlan30
descriptionToFW
――配置与FW间三层vlan
vlan101
descriptionFWToServerWEB
vlan102
descriptionFWToServerAPP
vlan103
descriptionFWToServerDB
――配置FW与服务器间二层通道vlan
interfaceVlan-interface10
ipaddress10.1.10.2255.255.255.252
――配置与核心路由设备相连的vlan接口地址
interfaceVlan-interface20
ipaddress10.1.20.1255.255.255.248
――配置与LB相连的vlan接口地址
interfaceVlan-interface30
ipaddress10.1.30.1255.255.255.248
――配置与FW相连的vlan接口地址
interfaceTen-GigabitEthernet1/3/0/1
portlink-typetrunk
porttrunkpermitvlan20
interfaceTen-GigabitEthernet2/3/0/1
――配置与LB板卡相连接口vlan
interfaceTen-GigabitEthernet1/2/0/1
porttrunkpermitvlan30101to103
interfaceTen-GigabitEthernet2/2/0/1
――配置与FW板卡相连接口vlan
聚合接口部署
HPA7500聚合接口部署:
interfaceBridge-Aggregation1
――创建聚合端口1,对应与核心交换设备相连接口
interfaceTen-GigabitEthernet1/4/0/3
portlink-aggregationgroup1
interfaceTen-GigabitEthernet1/4/0/4
interfaceTen-GigabitEthernet2/4/0/3
interfaceTen-GigabitEthernet2/4/0/4
――将10GE物理接口加入聚合端口1
descriptionToCoreSwitch
portlink-typeaccess
portaccessvlan10
――配置聚合接口承载vlan
*此处需注意配置顺序,必须先创建聚合接口,然后将物理接口加入聚合接口,最后在聚合接口上部署vlan等配置才能成功将配置下发到聚合接口所属的所有物理接口上去。
interfaceBridge-Aggregation2
――创建聚合端口2,对应与接入交换设备相连接口
interfaceGigabitEthernet1/5/0/1
portlink-aggregationgroup2
interfaceGigabitEthernet1/5/0/2
interfaceGigabitEthernet2/5/0/1
interfaceGigabitEthernet2/5/0/2
descriptionToAccessSwitch
portlink-typetrunk
porttrunkpermitvlan101to103
OSPF单区域部署
在该组网中,OSPF网络规模较小,路由表不大,路由变化时计算开销也不多,配置可以简化一些。
这里建议采用单区域的部署方式,HPA7500与核心路由设备都位于OSPF区域0中。
ospf1
area0.0.0.0
network10.1.10.00.0.0.3
――配置OSPF区域,宣告内部vlan接口
OSPF协议静态路由引入与路由策略部署
HPA7500需要配置去往LB虚服务的静态路由,并将此路由引入OSPF发布到园区网络中。
为了限制其他的静态路由被引入OSPF,此处还需要部署路由策略进行过滤。
在双机环境中,主备HPA7500还需要通过调整发布路由的cost值来达到路由主备冗余的目的。
iproute-static10.1.100.100255.255.255.25510.1.20.4
――配置LB虚服务路由网关下一跳指向直连网段LB板卡VRRP虚地址
iproute-static100.1.1.0255.255.255.010.1.30.4
iproute-static100.1.2.0255.255.255.010.1.30.4
――配置需要做负载均衡的WEB服务器与需要直接访问的APP服务器路由网关下一跳指向直连网段FW板卡VRRP虚地址
aclnumber2000
rule1permitsource10.1.100.1000.0.0.0
rule2permitsource100.1.2.00.0.0.255
――配置ACL定义需要发布的LB虚服务路由与需要直接对外发布的APP服务器网段路由。
WEB服务器网段路由由于不需要向园区发布,因此不在ACL中部署
route-policystaticpermitnode0
if-matchacl2000
――配置路由策略,匹配定义的acl项路由则引入。
import-routestaticroute-policystatic
――配置经过路由策略过滤后的静态路由引入OSPF协议向园区网络发布
*目前LB板卡支持使用非本地直连接口网段地址作为虚服务地址,在双机环境下,推荐使用非直连接口网段地址作为LB虚服务地址。
汇聚层HPA7500部署典型组网二
图9典型组网二HPA7500部署结构图
典型组网一与二的配置部署方式相同,此处仅列出不同的接口与VLAN部分配置,其他请参考前文中的配置讲解。
descriptionFWToLB
vlan100
porttrunkpermitvlan30100
porttrunkpermitvlan2030
porttrunkpermitvlan100
import-routestatic
核心层HPA12500部署举例
接口路由配置
interfaceBridge-Aggregation1
descriptionTo-HPA750006E-IRF
portaccessvlan10
interfaceVlan-interface10
ipaddress10.1.10.1255.255.255.252
portlink-aggregationgroup1
interfaceTen-GigabitEthernet1/2/0/2
interfaceTen-GigabitEthernet2/2/0/1
portlink-aggregationgroup1
interfaceTen-GigabitEthernet2/2/0/2
o
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- H3C 中心 IRF 虚拟 方案 配置 指导书
![提示](https://static.bdocx.com/images/bang_tan.gif)