• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙irf做mad检测时为什么要用三层链路聚合来做?

2020-11-16提问
  • 0关注
  • 1收藏,1588浏览
粉丝:1人 关注:0人

问题描述:

防火墙irf做mad检测时为什么要用三层链路聚合来做?

组网及组网描述:

最佳答案

粉丝:7人 关注:28人

因为一般是使用的bfd mad检测机制。https://www.h3c.com/cn/d_202011/1353439_30005_0.htm#_Toc54610878

BFD MAD

·     检测速度较快

·     使用中间设备时,不要求中间设备必须为H3C设备

需要专用的物理链路和三层接口,这些接口不能再传输普通业务流量

·     对组网没有特殊要求

·     如果不使用中间设备,则仅适用于成员设备少(建议仅2台成员设备时使用),并且物理距离比较近的组网环境

暂无评论

1 个回答
粉丝:133人 关注:6人

您好,请知:

部署IRF不一定要聚合口,可以使用单个物理端口就可以了。

以下是配置举例,请参考:

1.10  IRF典型配置举例

1.10.1  IRF典型配置举例(LACP MAD检测方式)

1. 组网需求

由于公司业务量激增,网络规模迅速扩大,当前中心设备(Device A)安全业务处理能力已经不能满足需求,现在需要另增一台设备Device B,将这两台设备组成一个IRF(如图1-14所示)。由于IRF到中间设备Device C有跨成员设备的聚合链路,且Device C为支持LACP协议的H3C设备,我们配置LACP MAD进行分裂检测。

2. 组网图

图1-14 IRF典型配置组网图(LACP MAD检测方式)

3. 配置步骤

(1)     配置Device A

# 配置接口IP地址、路由、安全域及域间策略保证网络可达,具体配置步骤略。

# 配置IRF中成员编号为1的设备的优先级为32。

<DeviceA> system-view

[DeviceA] irf member 1 priority 32

# 配置IRF端口1/2,并将它与物理端口Ten-GigabitEthernet1/0/1绑定,并保存配置。

[DeviceA] interface ten-gigabitethernet 1/0/1

[DeviceA-Ten-GigabitEthernet1/0/1] shutdown

[DeviceA-Ten-GigabitEthernet1/0/1] quit

[DeviceA] irf-port 1/2

[DeviceA-irf-port1/2] port group interface ten-gigabitethernet 1/0/1

[DeviceA-irf-port1/2] quit

[DeviceA] interface ten-gigabitethernet 1/0/1

[DeviceA-Ten-GigabitEthernet1/0/1] undo shutdown

[DeviceA-Ten-GigabitEthernet1/0/1] quit

[DeviceA] save

# 激活IRF端口下的配置。

[DeviceA] irf-port-configuration active

(2)     配置Device B

# 配置接口IP地址、路由、安全域及域间策略保证网络可达,具体配置步骤略。

# 将Device B的成员编号配置为2,并重启设备使新编号生效。

<DeviceB> system-view

[DeviceB] irf member 1 renumber 2

Warning: Renumbering the member ID may result in configuration change or loss. Continue? [Y/N]:y

[DeviceB] quit

<DeviceB> reboot

# 参照配置组网图进行物理连线。

# 重新登录到设备,配置IRF端口2/1,将它与物理端口Ten-GigabitEthernet2/0/1绑定,并保存配置。

<DeviceB> system-view

[DeviceB] interface ten-gigabitethernet 2/0/1

[DeviceB-Ten-GigabitEthernet2/0/1] shutdown

[DeviceB-Ten-GigabitEthernet2/0/1] quit

[DeviceB] irf-port 2/1

[DeviceB-irf-port2/1] port group interface ten-gigabitethernet 2/0/1

[DeviceB-irf-port2/1] quit

[DeviceB] interface ten-gigabitethernet 2/0/1

[DeviceB-Ten-GigabitEthernet2/0/1] undo shutdown

[DeviceB-Ten-GigabitEthernet2/0/1] quit

[DeviceB] save

# 激活IRF端口下的配置。

[DeviceB] irf-port-configuration active

(3)     Device A和Device B间将会进行主设备竞选,竞选失败的一方(Device B)将重启,重启完成后,IRF形成。

(4)     配置LACP MAD检测

# 设置IRF域编号为1。

[DeviceA] irf domain 1

# 创建一个动态聚合接口,并开启LACP MAD检测功能。

[DeviceA] interface route-aggregation 2

[DeviceA-Route-Aggregation2] link-aggregation mode dynamic

[DeviceA-Route-Aggregation2] mad enable

You need to assign a domain ID (range: 0-4294967295)

[Current domain is: 1]:

The assigned domain ID is: 1

MAD LACP only enable on dynamic aggregation interface.

[DeviceA-Route-Aggregation2] quit

# 在聚合接口中添加成员端口Ten-GigabitEthernet1/0/2和Ten-GigabitEthernet2/0/2,用于Device A和Device B实现LACP MAD检测。

[DeviceA] interface ten-gigabitethernet 1/0/2

[DeviceA-Ten-GigabitEthernet1/0/2] port link-aggregation group 2

[DeviceA-Ten-GigabitEthernet1/0/2] quit

[DeviceA] interface ten-gigabitethernet 2/0/2

[DeviceA-Ten-GigabitEthernet2/0/2] port link-aggregation group 2

[DeviceA-Ten-GigabitEthernet2/0/2] quit

(5)     配置中间设备Device C

提示

·     Device C作为中间设备来转发、处理LACP协议报文,协助Device A和Device B进行多Active检测。从节约成本的角度考虑,使用一台支持LACP协议扩展功能的设备即可。

·     如果中间设备是一个IRF系统,则必须通过配置确保其IRF域编号与被检测的IRF系统不同。

 

# 配置接口IP地址、路由保证网络可达,具体配置步骤略。

# 创建一个动态聚合接口。

<DeviceC> system-view

[DeviceC] interface route-aggregation 2

[DeviceC-Route-Aggregation2] link-aggregation mode dynamic

[DeviceC-Route-Aggregation2] quit

# 在聚合接口中添加成员端口Ten-GigabitEthernet1/0/1和Ten-GigabitEthernet1/0/2,用于帮助LACP MAD检测。

[DeviceC] interface ten-gigabitethernet 1/0/1

[DeviceC-Ten-GigabitEthernet1/0/1] port link-aggregation group 2

[DeviceC-Ten-GigabitEthernet1/0/1] quit

[DeviceC] interface ten-gigabitethernet 1/0/2

[DeviceC-Ten-GigabitEthernet1/0/2] port link-aggregation group 2

[DeviceC-Ten-GigabitEthernet1/0/2] quit

4. 验证配置

·     IRF链路正常情况下查看相关配置

# 查看IRF相关信息,可见IRF成功建立,且DeviceA为主设备。

[DeviceA] display irf

MemberID    Role    Priority  CPU-Mac         Description

 *+1        Master  32        487a-da95-93b5  ---

   2        Standby 1         3897-d6a8-1b1a  ---

--------------------------------------------------

 * indicates the device is the master.

 + indicates the device through which the user logs in.

 

 The bridge MAC of the IRF is: 487a-da95-93b3

 Auto upgrade                : yes

 Mac persistent              : 6 min

 Domain ID                   : 1

# 查看LACP MAD状态,状态正常。

[DeviceA] display mad verbose

Multi-active recovery state: No

Excluded ports (user-configured):

Excluded ports (system-configured):

  Ten-GigabitEthernet1/0/1

  Ten-GigabitEthernet2/0/1

MAD ARP disabled.

MAD ND disabled.

MAD LACP enabled interface: Route-Aggregation2

  MAD status              : Normal

  Member ID   Port                                    MAD status

  1           Ten-GigabitEthernet1/0/2                Normal

  2           Ten-GigabitEthernet2/0/2                Normal

MAD BFD disabled.

·     IRF链路异常情况下查看相关配置

# 查看LACP MAD状态,状态异常,表示IRF分裂。

[DeviceA] display mad verbose

Multi-active recovery state: No

Excluded ports (user-configured):

Excluded ports (system-configured):

  Ten-GigabitEthernet1/0/1

MAD ARP disabled.

MAD ND disabled.

MAD LACP enabled interface: Route-Aggregation2

  MAD status              : Faulty

  Member ID   Port                                    MAD status

  1           Ten-GigabitEthernet1/0/2                Faulty

MAD BFD disabled.

# 查看Device B,可以看到Device B上的非保留端口全部被置为Down,显示信息略。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明