S75E交换机配合SecBlade ACG板卡负载均衡配置案例

一、需求描述

某大学网络中心使用我司2块SecBlade板卡加S75E实现对校园网用户宽带管理。该校原网通、电信和教育网出口带宽分别为1G、500M和200M；2块ACG板卡分别对出口路由器SR8808下联的S8505和S8512链路进行限速。随着该校网络用户的发展与增加，原有带宽已不满足需求。目前电信出口带宽已增加至800M，并计划后续将电信和教育网出口都扩充至1G。ACG板卡必须采用负载方式来满足现有网络。

二、组网拓扑

三、配置及分析

在该案例中我们只讨论S75E的配置，ACG配置可参考附录《S75E ACG插卡高性能解决方案》。我们使用(源)IP地址的最后几位进行散列实现分流。2块插卡我们选择IP地址的最后1位进行散列，具体的分流方式如下：

acl number 3000                       //源IP最后1位是0

 rule 0 permit ip source 0.0.0.0 255.255.255.254

acl number 3001                       //源IP最后1位是1

 rule 0 permit ip source 0.0.0.1 255.255.255.254

acl number 3010                       //目的IP最后1位是0

 rule 0 permit ip destination 0.0.0.0 255.255.255.254

acl number 3011                       //目的IP最后1位是1

 rule 0 permit ip destination 0.0.0.1 255.255.255.254

acl number 4000                      //未匹配具体ACL的流

 rule 0 permit

acl number 4010                       //匹配acsei报文

 rule 0 permit type 88a7 ffff

交换机使能acsei，插卡向交换机同步时间

#

acsei server enable            

#

网通接口段配置：

vlan 10(内网VLAN)

#

vlan 20(外网VLAN)

#

电信接口段配置：

vlan 100(内网VLAN)

#

vlan 200(外网VLAN)

#

traffic classifier sip0 operator and

 if-match acl 3000

traffic classifier dip0 operator and

 if-match acl 3010

traffic classifier sip1 operator and

 if-match acl 3001

traffic classifier dip1 operator and

 if-match acl 3011

traffic classifier Vlan10 operator and

 if-match service-vlan-id 10

traffic classifier Vlan20 operator and

 if-match service-vlan-id 20

traffic classifier Vlan100 operator and

 if-match service-vlan-id 100

traffic classifier Vlan200 operator and

 if-match service-vlan-id 200

traffic classifier vlan1 operator and

 if-match service-vlan-id 1

traffic classifier ALL operator and

 if-match acl 4000

traffic classifier acsei operator and

 if-match acl 4010

traffic behavior sip0

 redirect interface Ten-GigabitEthernet4/0/1(交换机内部端口，连接ACG板卡4)

traffic behavior sip1

 redirect interface Ten-GigabitEthernet5/0/1(交换机内部端口，连接ACG板卡5)

traffic behavior Vlan10

 redirect interface GigabitEthernet2/0/2

traffic behavior Vlan20

 redirect interface GigabitEthernet2/0/1

traffic behavior Vlan100

 redirect interface GigabitEthernet2/0/4

traffic behavior Vlan200

 redirect interface GigabitEthernet2/0/3

traffic behavior Unicom-Up

 redirect interface GigabitEthernet2/0/2

traffic behavior Unicom-Down

 redirect interface GigabitEthernet2/0/1

traffic behavior Telcom-Up

 redirect interface GigabitEthernet2/0/4

traffic behavior Telcom-Down

 redirect interface GigabitEthernet2/0/3

traffic behavior acsei

 filter permit

traffic behavior vlan1  //防止带VLAN1标签的报文报文在重定向的过程中成环

 filter deny

qos policy 2-0-1                //根据源IP的最后1位把IP报文分流到不同的ACG插卡上，其他报文S75E直接转发，ACG插卡不处理，该策略用在2/0/1号端口上

 classifier sip0 behavior sip0

 classifier sip1 behavior sip1

classifier ALL behavior Unicom-Up (在2/0/1端口上将作完QinQ后再进行Qos的操作，即将符合ALL流分类的报文定直接定向从2/0/2送出)

qos policy 2-0-3               

classifier sip0 behavior sip0

 classifier sip1 behavior sip1

classifier ALL behavior Telcom-Up (在2/0/3端口上将作完QinQ后再进行Qos的操作，即将符合ALL流分类的报文定直接定向从2/0/4送出)

interface GigabitEthernet2/0/1

 port link-type hybrid

 port hybrid vlan 1 10 20 untagged               //从2/0/2进来打上外层vlan标签20的报文能够去掉外层vlan标签出去

 port hybrid pvid vlan 10                        //从2/0/1口和2/0/2口进来的报文能够携带不同的vlan标签，ACG插卡能够区分流量的方向

 qinq enable                                  //能够正确处理带vlan标签的报文

 qos apply policy 2-0-1 inbound

#

interface GigabitEthernet2/0/3

 port link-type hybrid

 port hybrid vlan 1 100 200 untagged             

 port hybrid pvid vlan 100                        

 qinq enable

 qos apply policy 2-0-3 inbound

#

qos policy ACG                  //在S75E和ACG插卡的内联口上根据vlan重定向

 classifier Vlan10 behavior Vlan10(在交换机的内部端口上使用，将ACG板卡处理完的带VLAN10 tag标签的报文重定向至属于VLAN20的2/0/2端口，再重2/0/2送出)

 classifier Vlan20 behavior Vlan20

classifier Vlan100 behavior Vlan100

classifier Vlan200 behavior Vlan200

classifier acsei behavior acsei

classifier vlan1 behavior vlan1

interface Ten-GigabitEthernet4/0/1

 port link-type trunk

 port trunk permit vlan all

 qos apply policy ACG inbound（交换机的内部端口，用来和ACG板卡互通）

#

interface Ten-GigabitEthernet5/0/1

 port link-type trunk

 port trunk permit vlan all

 qos apply policy ACG inbound

qos policy 2-0-2                //根据目的IP的最后1位把IP报文分流到不同的ACG插卡上，其他报文S75E直接转发，ACG插卡不处理

 classifier dip0 behavior sip0

 classifier dip1 behavior sip1

 classifier ALL behavior Unicom-Down（将从2/0/1上来的报文重新定向到2/0/1上再送出去）

qos policy 2-0-4

 classifier dip0 behavior sip0

 classifier dip1 behavior sip1

 classifier ALL behavior Telcom-Down

interface GigabitEthernet2/0/2

 port link-type hybrid

 port hybrid vlan 1 10 20 untagged

 port hybrid pvid vlan 20

 qinq enable

 qos apply policy 2-0-2 inbound

interface GigabitEthernet2/0/4

 port link-type hybrid

 port hybrid vlan 1 100 200 untagged

 port hybrid pvid vlan 200

 qinq enable

 qos apply policy 2-0-4 inbound

四、经验总结

ACG板卡数与选择IP地址后几位进行HASH关系。这里用N，X和分别来表示ACG板卡数，IP地址后X位，N为已知数，X为未知数。P=2的X次方。经验关系如下：P>=N的情况下Min(P%N)，即P与N求模后的最小值。这里以N=10，X取不同值时，P%N的值；

若X=1，那么P=2，不满足P>=N要求

   X=2，那么P=4，不满足P>=N要求

   X=3，那么P=8，不满足P>=N要求

X=4，那么P=16，则P%N=6

X=5，那么P=32，则P%N=2

X=6，那么P=64，则P%N=4

X=7，那么P=128，则P%N=8

X=8，那么P=256，则P%N=6

P%N最小的为2，即X=5时。

该公式为经验所得，可使流量尽量平均分布在每块板卡之上。10块板卡，采用后5位的进行散列的方式，可参考附录《S75E ACG插卡高性能解决方案》。