Что такое dfs group huawei

Обновлено: 09.11.2024

Если не удается настроить M-LAG или переадресация трафика ненормальна, найдите неисправность в соответствии со следующим рисунком.

Проверка успешности сопряжения группы DFS

Вы можете запустить команду display dfs-group 1 m-lag, чтобы проверить статус сопряжения группы DFS.

В поле «Причина» отображается причина сбоя сопряжения группы DFS. Если в поле отображается -, соединение группы DFS выполнено успешно. Дополнительные сведения о причине сбоя сопряжения группы DFS см. в следующей таблице.

Первичная ссылка не настроена.

Проверьте конфигурацию одноранговой сети. Создайте интерфейс Eth-Trunk на обоих устройствах и настройте команду одноранговой связи на интерфейсе Eth-Trunk. Дополнительные сведения см. в разделе Настройка интерфейса в качестве интерфейса одноранговой связи.

Нет привязанных IP-адресов или связанные IP-адреса недоступны друг для друга.

Проверьте конфигурации в групповом представлении DFS. Запустите команду source ip в групповом представлении DFS на обоих устройствах. Дополнительные сведения см. в разделе Настройка группы DFS.

Системный MAC-адрес локального устройства совпадает с адресом удаленного устройства.

Проверьте системный MAC-адрес. Запустите команду set system mac-address, чтобы изменить системный MAC-адрес локального устройства, чтобы он отличался от MAC-адреса удаленного устройства.

Исходные адреса, привязанные к группе DFS, отличаются.

Проверьте конфигурацию в представлении группы DFS и убедитесь, что два устройства настроены с одинаковым IP-адресом одного и того же типа в представлении группы DFS. В групповом представлении DFS поддерживаются пять типов исходных IP-адресов: IPv4, IPv4 VPN, IPv6, IPv6 VPN и псевдоним (связанный с TRILL).

Истекло время приема пакета протокола, то есть пакет протокола не получен. Пакеты протоколов могут быть отброшены из-за перегрузки канала или высокой загрузки ЦП.

Свяжитесь с инженерами Huawei, чтобы найти неисправность.

Статус одноранговой связи — «Не работает».

Проверьте физическое состояние одноранговых интерфейсов на двух устройствах M-LAG. Вы можете запустить команду display dfs-group 1 peer-link, чтобы проверить состояние интерфейса одноранговой связи.

Локальное устройство может получать пакеты Hello от удаленного устройства, но не может получать от него информационные пакеты. Пакеты протоколов могут быть отброшены из-за перегрузки канала или высокой загрузки ЦП.

Свяжитесь с инженерами Huawei, чтобы найти неисправность.

Статус TRILL CMT — «Не работает». Возможная причина в том, что ссылка TRILL неверна.

Проверьте состояние и конфигурацию TRILL CMT. Подробнее см. в разделе «Настройка двойного подключения к сети TRILL через M-LAG».

Аутентификация устройства для сопряжения группы DFS не удалась.

Проверьте режим аутентификации и пароль. Запустите команду authentication-mode hmac-sha256 password password, чтобы настроить один и тот же режим аутентификации и пароль на локальном и удаленном устройствах. Дополнительные сведения см. в разделе Настройка группы DFS.

Типы устройств не совпадают.

Проверьте типы двух устройств и убедитесь, что они совпадают.

Проверка статуса интерфейса Peer Link

Вы можете запустить команду display dfs-group 1 peer-link, чтобы проверить состояние интерфейса одноранговой связи.

Поле состояния порта указывает состояние интерфейса одноранговой связи. В нормальных условиях значение этого поля равно Up.

Проверка успешности сопряжения интерфейсов участников M-LAG

Можно запустить команду display dfs-group 1 node node-id m-lag, чтобы проверить, успешно ли сопряжены интерфейсы-члены M-LAG.

Поле «Статус» указывает статус сопряжения интерфейсов-членов M-LAG. Если значение активно-активно, интерфейсы-члены M-LAG двух устройств успешно сопряжены.

Если интерфейсы-участники M-LAG не могут быть сопряжены, проверьте подробную информацию о сопряжении интерфейсов-участников M-LAG, чтобы определить, не происходит ли сопряжение из-за несовместимости конфигураций интерфейсов-членов M-LAG.

Поле проверки согласованности указывает, успешно ли прошла проверка согласованности конфигурации. Значение - указывает на то, что проверка согласованности конфигурации отключена. Успех значения указывает, что проверка согласованности конфигурации прошла успешно. Значение failed(n) указывает на сбой проверки целостности конфигурации, а n указывает код причины сбоя. Если конфигурации несовместимы, проверьте конфигурации, обратившись к разделу «Настройка пользовательского интерфейса M-LAG».

Проверьте, синхронизированы ли MAC-адрес и записи ARP, полученные интерфейсами-участниками M-LAG, с интерфейсами одноранговых каналов, а также синхронизированы ли MAC-адрес и записи ARP, полученные локальным интерфейсом-участником M-LAG, с удаленным M-LAG. Интерфейс члена LAG. Если записи не синхронизированы, обратитесь к инженерам Huawei для определения неисправности.

Проверка ресурсов M-LAG

Вы можете запустить команду display system tcam fail-record, чтобы проверить, не удалось ли доставить какой-либо ACL. Если это так, см. раздел «Устранение неполадок, связанных с нехваткой ресурсов ACL» или обратитесь к инженерам Huawei.

Типичные примеры устранения неполадок M-LAG

Интерфейсы участников M-LAG находятся в активном-неактивном состоянии

Симптом

SWA и SWB настраивают M-LAG. Проверьте состояние интерфейса члена M-LAG в SWA. Состояние интерфейса члена M-LAG на одном конце активно, а на другом конце неактивно. Интерфейс Eth-Trunk находится в состоянии Down, а статус M-LAG — однократно активен.

Процесс устранения неполадок

Проверьте состояние Eth-Trunk 10. Выходные данные команды показывают, что Eth-Trunk 10 отключен.

Обнаружено, что идентификатор и приоритет системы M-LAG настраиваются в системном представлении SWA. Приоритет SWA вручную изменен на 10, но приоритет SWB не изменен (используется значение по умолчанию 32768). Конфигурация SWB изменена следующим образом:

Обзор

Приоритет системы M-LAG LACP, настроенный в представлении системы, действует на все интерфейсы-участники M-LAG. После успешного связывания группы DFS ведущее устройство M-LAG автоматически синхронизирует свой системный приоритет M-LAG LACP с резервным устройством. Интерфейс члена M-LAG на устройстве резервного копирования использует синхронизированный системный приоритет M-LAG LACP для согласования LACP, устраняя необходимость вручную настраивать системный приоритет M-LAG LACP.
Системный приоритет M-LAG LACP, настроенный в представлении интерфейса Eth-Trunk, действует только на интерфейсе Eth-Trunk. При успешном связывании группы DFS ведущее устройство M-LAG не синхронизирует системный приоритет M-LAG LACP интерфейса Eth-Trunk с резервным устройством M-LAG. Поэтому один и тот же системный приоритет M-LAG LACP должен быть настроен как на главном, так и на резервном устройствах M-LAG.

Статус пульса M-LAG потерян, но переадресация службы работает нормально

Симптом

Отображаемая информация о M-LAG показывает, что статус пульса M-LAG — «Потерян», но переадресация службы в норме.

Процесс устранения неполадок

Проверьте информацию об устройстве. Выходные данные команды показывают, что только статус пульса потерян.
Проверьте конфигурацию канала пульсации и пропингуйте соответствующий адрес пульсации. Пинг не проходит. Проверьте конфигурацию адреса пульса.

Причина в том, что соответствующая сеть VPN не указана для контрольного адреса в групповом представлении DFS. После изменения конфигурации неисправность устраняется.

Обзор

Исходный IP-адрес, настроенный в представлении группы DFS, должен совпадать с IP-адресом соответствующего интерфейса. В противном случае пакеты пульса будут потеряны из-за недоступных маршрутов.

Только одно устройство-участник в M-LAG может отправлять эхо-запросы вышестоящему устройству

Симптом

Два коммутатора настраивают M-LAG и настраивают интерфейсы уровня 3 с одинаковыми IP-адресами и MAC-адресами для подключения к восходящему устройству. Только одно устройство в группе M-LAG может отправлять эхо-запросы вышестоящему устройству.

Процесс устранения неполадок

Один и тот же IP-адрес и MAC-адрес настраиваются для интерфейсов уровня 3 двух устройств-членов M-LAG, и эти два интерфейса виртуализируются в один интерфейс. Физически M-LAG подключается к удаленному устройству через Eth-Trunk.

При пересылке пакетов через Eth-Trunk устройство использует хэш-алгоритм для вычисления значения ключа на основе некоторых полей (таких как IP-адрес источника, номер порта источника, IP-адрес назначения, номер порта назначения и номер протокола). ) пакетов, а затем выбирает исходящий интерфейс на основе значения ключа.

Обзор

Это нормальное явление после развертывания M-LAG, которое не влияет на обслуживание клиентов.

Сбой восходящего канала M-LAG влияет на службы

Симптом

Если происходит сбой восходящего канала M-LAG, подключенного к сети уровня 3, это затрагивает службы.

Процесс устранения неполадок

При сбое восходящего канала устройства-члена M-LAG устройство не может перенаправлять трафик уровня 3. В результате затронуты службы.
Настройте оптимальный путь. Вы можете настроить главное и резервное устройства M-LAG для подключения друг к другу на уровне 3 через пару интерфейсов VLANIF.

Предположим, что CE1 и CE2 установили M-LAG. Два маршрута по умолчанию к восходящему коммутатору настроены на CE1 и CE2 соответственно. По умолчанию используется приоритет маршрута 60. Когда восходящие каналы работают нормально, маршруты используются для пересылки трафика. Подробности следующие:

Настройте два маршрута с наилучшими усилиями друг к другу на CE1 и CE2 соответственно и измените приоритет маршрута на 100. При нормальных восходящих каналах маршруты с наилучшими усилиями не добавляются в таблицу маршрутизации и не используются для трафика. пересылка.

Обзор

Когда M-LAG подключен к сети уровня 3, необходимо настроить максимально возможный канал уровня 3 между основным и резервным устройствами M-LAG, чтобы трафик восходящей линии связи, предназначенный для главного устройства, мог достигать резервного. устройству через канал с наилучшими усилиями уровня 3.

Пакеты не пересылаются между устройствами-членами M-LAG

Симптом

Трафик не может быть перенаправлен через восходящий канал M-LAG.

Процесс устранения неполадок

В соответствии с результатом получения пакетов пакеты поступают в M-LAG через восходящий интерфейс и отбрасываются при отправке в восходящую сеть.
Состояние сети M-LAG нормальное, но одноранговый интерфейс (Eth-Trunk 0) устройства резервного копирования не запоминает записи MAC-адресов. В результате пересылка пакетов не работает.

Обзор

Команда stp disable не настроена на одноранговом интерфейсе устройства резервного копирования M-LAG. Когда возникает петля, одноранговый интерфейс блокируется. В результате пакеты не могут быть перенаправлены.

Что произойдет, если будет обнаружен конфликт двойной активности с использованием пакетов пульса M-LAG?

Ответ. Если одноранговая связь не работает, но состояние пульса нормальное, все интерфейсы, кроме логического интерфейса, интерфейса управления, одноранговой связи и интерфейса стека на устройстве резервного копирования, переходят в состояние Error-Down.

Ответ. Чтобы предотвратить переход некоторых интерфейсов в состояние Error-Down, запустите команду m-lag unpaired-port suspend на любом интерфейсе, который должен перейти в состояние Error-Down. В этом случае только этот интерфейс на устройстве переходит в состояние Error-Down, а другие интерфейсы не переходят в состояние Error-Down. Однако нельзя предотвратить вход интерфейса участника M-LAG в состояние Error-Down.

Ответ. Когда интерфейс одноранговой связи выходит из строя, но состояние пульса DAD нормальное, существует два ведущих устройства. В этом случае все интерфейсы, кроме логического интерфейса, интерфейса управления, интерфейса одноранговой связи и интерфейса стека на устройстве резервного копирования M-LAG, переходят в состояние Error-Down. Дополнительные сведения см. в разделе Ошибка одноранговой связи.

Если интерфейсы не переходят в состояние Error-Down, а на стороне сети используется ECMP, пересылка трафика ненормальна. Если балансировка нагрузки настроена только для восходящих или нисходящих каналов M-LAG, пересылка трафика ненормальна. Если балансировка нагрузки настроена как для восходящих, так и для нисходящих каналов M-LAG, некоторые записи MAC-адресов или ARP не могут быть синхронизированы. В результате трафик уровня 2 может передаваться в широковещательном режиме, а трафик уровня 3 может не пересылаться.

Ответ. Когда M-LAG подключен к общей сети Ethernet, трафик, проходящий через ведущее устройство M-LAG, перенаправляется через одноранговую связь, поскольку восходящий канал ведущего устройства M-LAG выходит из строя. Когда M-LAG подключен к сети уровня 3, необходимо настроить максимально возможный канал уровня 3 между главным устройством M-LAG и резервным устройством, чтобы трафик восходящей линии связи, предназначенный для главного устройства, мог достигать резервного устройства через Ссылка с наилучшими усилиями уровня 3. Вы также можете настроить Monitor Link. Monitor Link связывает интерфейсы восходящей и нисходящей линии связи, чтобы предотвратить отбрасывание пользовательского трафика из-за сбоя восходящей линии связи.

Ответ: при перезапуске первого устройства проверьте состояние подключенных интерфейсов между другим устройством и подчиненными серверами, а также состояние однорангового интерфейса, а затем проверьте задержку (по умолчанию 240 с) для интерфейса члена M-LAG. чтобы сообщить о состоянии Up. Интервал между перезапусками двух устройств-членов M-LAG должен быть больше, чем задержка. Перед перезапуском второго устройства убедитесь, что все интерфейсы участников M-LAG на первом устройстве восстановлены.

Ответ. Перед включением расширенного DAD для вторичных сбоев в сценарии M-LAG убедитесь, что канал пульса является независимым каналом или интерфейсы, которые устанавливают канал пульса, не переходят в режим Error-Down. Таким образом, если ссылка пульса также переходит в состояние Error-Down, резервное устройство считает, что ведущее устройство выходит из строя, когда оно не может получать пакеты пульса. После того как резервное устройство становится основным, интерфейсы восстанавливаются.

Этот пример относится к коммутаторам серий CE6881, CE6820 и CE6863, CE6863E, работающих под управлением V200R005C20 или более поздних версий.

Этот пример относится к коммутаторам серий CE6881K, CE6881E и CE6863K, работающих под управлением V200R019C10 или более поздних версий.

Этот пример относится к коммутаторам серии CE9860EI/CE5881, работающим под управлением V200R020C00 или более поздних версий.

Подробнее о сопоставлении версий программного обеспечения и моделей коммутаторов см. в инструменте запроса оборудования.

Требования к сети

Для обеспечения надежности используется режим двойного подключения.
Режим балансировки нагрузки используется для повышения эффективности использования канала.

Как показано на рис. 2-22, многоуровневое соединение M-LAG обеспечивает надежность, повышает эффективность использования канала и расширяет масштаб сети в режиме двойного подключения, отвечая требованиям клиентов. Устройства агрегации функционируют как шлюзы типа «активный-активный», а базовые устройства и устройства агрегации подключаются перекрестным образом для обеспечения надежности на уровне устройств.

В этом примере в качестве примеров используются CE12804 (модульный коммутатор) и CE6850EI (фиксированный коммутатор).

Виртуальный IP-адрес

Дорожная карта конфигурации

Дорожная карта конфигурации выглядит следующим образом:

Настройте SwitchA и SwitchB, чтобы сформировать стек, чтобы обеспечить высокую надежность доступа к серверу.

Добавьте канал, соединяющий Сервер 1 и стек, с Eth-Trunk между шасси, чтобы повысить пропускную способность и надежность канала.

Настройте V-STP, группу DFS, одноранговую связь и M-LAG на SwitchC, SwitchD, SwitchE и SwitchF.

Создайте интерфейсы VLANIF на SwitchG и SwitchH и настройте IP-адреса для интерфейсов VLANIF, а также создайте группы VRRP на интерфейсах VLANIF для реализации резервного копирования шлюза.

Включите OSPF на SwitchE, SwitchF, SwitchG и SwitchH, чтобы реализовать подключение уровня 3.

Выполняйте настройку строго последовательно; настроить устройства, составляющие M-LAG, одно за другим; и убедитесь, что используется режим LACP.

Процедура

Настройте SwitchA и SwitchB, чтобы сформировать стек. Дополнительные сведения см. в разделе Конфигурация стека в Руководстве по настройке — Конфигурация виртуализации .
Создайте Eth-Trunk в стеке, добавьте Eth-Trunk в VLAN 11 и настройте Eth-Trunk для предпочтительной пересылки локального трафика в стеке.

Интерфейс восходящей линии связи сервера, подключенного к стеку, должен быть привязан к ссылке агрегации, а режимы агрегации ссылок на сервере и стеке должны быть согласованы.

Выполните команду display dfs-group, чтобы проверить информацию M-LAG.

В приведенной выше информации значением состояния сердцебиения является OK , что указывает на то, что сердцебиение в норме. SwitchC и SwitchE используются как Node 1, его приоритет равен 150, а значение State равно Master. SwitchD и SwitchF используются как Node 2, приоритет равен 120, а значение State равно Backup. Значение Causation равно - , значения состояния порта узла 1 и узла 2 равны Up , а статус M-LAG узлов 1 и 2 активен , что указывает на правильную конфигурацию M-LAG.

Для сопряжения устройств используется группа Dynamic Fabric Service (DFS). Группу DFS необходимо привязать к IP-адресу, чтобы главное и резервное устройства DFS могли обмениваться пакетами двойного активного обнаружения (DAD). Привязанный IP-адрес используется для связи с удаленным концом.

Если устройство имеет двойное подключение к PE в сети Ethernet, VXLAN или IP-сети, необходимо привязать группу DFS к IP-адресу. Убедитесь, что IP-адреса настроены для интерфейсов уровня 3 на двух PE, и что два PE могут обмениваться данными. Если устройство подключено к сети VPN, вам также необходимо привязать группу DFS к экземпляру VPN. Убедитесь, что экземпляр VPN создан на устройстве.

Процедура

Отображается системный вид.

Создается группа DFS, и отображается ее представление, или отображается представление существующей группы DFS.

Если устройство имеет двойное подключение к PE в сети Ethernet, VXLAN или IP-сети, привяжите группу DFS к IP-адресу. Запустите любую из следующих команд. Команды нельзя настроить одновременно.

IP-адрес источника запуска ip-адрес [ vpn-instance имя-экземпляра-vpn ] [ узел IP-адрес узла [ udp- порт номер-порта ] ]

Группа DFS привязана к IPv4-адресу и экземпляру VPN.

Выполнить исходный ipv6 ipv6-адрес [ vpn-instance vpn-instance-name ] [ узел peer-ipv6-address [ udp- порт номер-порта ] ]

Группа DFS привязана к IPv6-адресу и экземпляру VPN.

Предположим, что IP-адрес контрольного сигнала и номер порта UDP однорангового устройства указаны при настройке IP-адреса контрольного сигнала для связи, привязанной к группе DFS. Когда конфигурация вступает в силу, два устройства M-LAG немедленно начинают отправлять и получать пакеты пульса и согласовывать статус главного/резервного HB DFS. В сценариях, где включен расширенный DAD для вторичных сбоев, если сбои на исходном главном устройстве DFS устранены, а сбой одноранговой связи сохраняется, соответствующие интерфейсы на резервном устройстве инициируются для перехода в состояние Error-Down на основе HB DFS. главный/резервный статус. Этот механизм предотвращает аномальную переадресацию трафика в ситуации, когда существуют два ведущих устройства, и повышает надежность устройства.

Приоритет группы DFS установлен.

Приоритет группы DFS используется для согласования главного/резервного между двумя устройствами. Большее значение указывает на более высокий приоритет устройства. Устройство с более высоким приоритетом является главным устройством.

Если приоритеты двух устройств одинаковы, устройство с меньшим MAC-адресом является ведущим устройством.

По умолчанию приоритет группы DFS равен 100.

Установлена задержка для интерфейса участника M-LAG, чтобы сообщить о событии Up.

Чтобы обеспечить производительность обратного переключения, задержка по умолчанию для интерфейса участника M-LAG для сообщения о событии Up составляет 240 с, а интервал автоматического восстановления не настроен в таких сценариях, как перезапуск коммутатора, сброс карты или одноранговая связь. устранение неполадок.

Задержка переключения идентификатора системы LACP M-LAG установлена.

По умолчанию системный идентификатор LACP M-LAG не переключается. Параметр немедленно указывает, что идентификатор системы LACP M-LAG переключается немедленно. Когда значение параметра switch-delay-time равно 0, идентификатор системы LACP M-LAG не переключается.

Режим аутентификации и пароль для пакетов синхронизации группы DFS настроены.

По умолчанию режим аутентификации пакетов синхронизации группы DFS не настроен.

Индикатор состояния стека включен для отображения основного и резервного состояния группы DFS.

По умолчанию индикатор состояния стека не отображает основной и резервный статус группы DFS.

После включения индикатора состояния стека для отображения состояния главного устройства и резервного копирования группы DFS индикатор состояния стека на главном устройстве DFS горит постоянно, а на устройстве резервного копирования DFS выключен.

Действие по изменению интерфейсов, за исключением интерфейса управления, интерфейса одноранговой связи и интерфейса стека на устройстве резервного копирования, в состояние Error-Down, когда одноранговая связь не работает, но состояние пульса DAD нормальное, отключено или отложено.

По умолчанию интерфейсы, за исключением интерфейса управления, интерфейса одноранговой связи и интерфейса стека на устройстве резервного копирования, переходят в состояние Error-Down, если одноранговая связь выходит из строя, но состояние пульса DAD нормальное.

Когда устройство доступа подключено к главному и резервному устройствам M-LAG с использованием режима доступа уровня 3, переадресация трафика на резервном устройстве не затрагивается в сценарии с двойной активностью, когда одноранговый канал выходит из строя, но пульс DAD состояние нормальное. Чтобы предотвратить потерю пакетов, вы можете запустить команду двойного активного обнаружения error-down, чтобы отключить или отложить действие по изменению интерфейсов, за исключением интерфейса управления, интерфейса одноранговой связи и интерфейса стека, на устройстве резервного копирования в состояние Error-Down, когда одноранговая связь не удалась, но статус пульса DAD в норме.

Когда устройство доступа подключено к основному и резервному устройствам M-LAG с использованием режима доступа M-LAG с двойной адресацией или режима доступа уровня 2, вы не можете отключить или отложить действие Error-Down.

Включен расширенный DAD для вторичных ошибок.

В сети с двойной адресацией, в которой развернута M-LAG, при сбое одноранговой связи, но нормальном состоянии DAD, некоторые интерфейсы на устройстве резервного копирования DFS переходят в состояние Error-Down. В этом случае ведущее устройство DFS продолжает работать. Если ведущее устройство DFS не может работать из-за того, что оно выключено или перезапускается, ведущее и резервное устройства M-LAG не могут перенаправлять трафик.

В этом случае можно включить расширенный DAD для вторичных сбоев. При сбое одноранговой связи и возникновении вторичных сбоев устройство резервного копирования DFS обнаруживает сбой на главном устройстве DFS и восстанавливает интерфейсы в состоянии Error-Down для пересылки трафика. Это обеспечивает непрерывную передачу при возникновении вторичных ошибок.

Если ошибка одноранговой связи сохраняется после устранения вторичных ошибок, возможно, существует два ведущих устройства. Рекомендуется указать IP-адрес однорангового устройства при настройке IP-адреса, привязанного к группе DFS. В этом случае, если сбой одноранговой связи сохраняется после восстановления неисправного устройства, соответствующие интерфейсы на резервном устройстве HB DFS инициируются для перехода в состояние Error-Down, предотвращая ненормальную пересылку трафика в сценарии, где существуют два ведущих устройства.< /p>

Логические интерфейсы настроены на переход в состояние Error-Down при сбое одноранговой связи, но состояние DAD нормальное в сценарии M-LAG.

По умолчанию логические интерфейсы не переходят в состояние Error-Down при сбое одноранговой связи, но в сценарии M-LAG состояние DAD является нормальным. В сети TRILL с двойной адресацией, где развернута M-LAG, когда одноранговая связь выходит из строя, но состояние DAD нормальное, интерфейс M-LAG на устройстве резервного копирования переходит в состояние Error-Down. В сети Ethernet или IP с двойной адресацией, где развернута M-LAG, когда одноранговая связь не работает, но состояние DAD нормальное, физические интерфейсы, кроме логического интерфейса, интерфейс, настроенный с зарезервированным непарным портом m-lag, интерфейс управления, интерфейс одноранговой связи и интерфейс стека на устройстве резервного копирования переходят в состояние Error-Down.

В сети IP или VXLAN, где развернута M-LAG, при использовании команды route-switch режима двойного активного обнаружения при ошибке обнаружения только интерфейсы VLANIF, интерфейсы VBDIF, петлевые интерфейсы и интерфейсы-члены M-LAG срабатывает для входа в состояние Error-Down.

После того, как логические интерфейсы настроены на переход в состояние Error-Down при сбое однорангового канала, но нормальное состояние пульса DAD в M-LAG, если неисправный одноранговый интерфейс в M-LAG восстанавливается, устройства восстановить интерфейсы VLANIF, интерфейсы VBDIF и петлевые интерфейсы в состояние Up через 6 секунд после успешного связывания групп DFS, чтобы обеспечить нормальную синхронизацию записей ARP на большом количестве интерфейсов VLANIF. Если настроена задержка, после которой состояние протокола уровня 3 интерфейса изменяется на Up, задержка, после которой интерфейсы VLANIF, VBDIF и loopback-интерфейсы переходят в Up, равна настроенной задержке плюс 6 секунд.

Система настроена так, чтобы при определенных условиях локальное или удаленное устройство M-LAG не удаляло соответствующий MAC-адрес в одноранговом интерфейсе.

По умолчанию система активирует локальное или удаленное устройство M-LAG для удаления соответствующего MAC-адреса на одноранговом интерфейсе при определенных условиях.

Синхронизация приоритета DR включается при изменении приоритета DR.

По умолчанию синхронизация приоритета DR отключена при изменении приоритета DR. Устройства-участники в двух активно-активных системах M-LAG подключены к сети PIM. Приоритет DR одной M-LAG выше, чем у другой M-LAG. Если M-LAG с более высоким приоритетом DR выходит из строя, приоритет DR ведущего устройства в другой M-LAG становится выше посредством нового раунда выборов DR. Чтобы гарантировать, что многоадресные пакеты данных не будут потеряны во всей системе M-LAG, настройте синхронизацию приоритета DR для увеличения приоритета DR устройства резервного копирования в M-LAG.

Синхронизация приоритета VRRP включается при изменении приоритета VRRP.

По умолчанию синхронизация приоритета VRRP отключена при изменении приоритета VRRP. Две системы M-LAG active-active настроены как главное и резервное устройства в группе VRRP соответственно. Если ведущее устройство VRRP выходит из строя и не может пересылать пакеты, приоритет ведущего устройства в M-LAG, сконфигурированного как резервное устройство VRRP, становится выше. Чтобы предотвратить потерю пакетов во всей системе M-LAG, настройте синхронизацию приоритета VRRP, чтобы повысить приоритет VRRP устройства резервного копирования в M-LAG.

В данной статье хочу поделиться настройкой VXLAN фабрики оборудования Huawei. На Хабре, да и на других ресурсах довольно подробно описана технология, как работает плоскость управления, плоскость данных, архитектура и т.д., поэтому в этой статье будет обнаружена настройка с некоторыми пояснениями. Любая критика приветствуется. Для комплектации появилась возможность добавить в EVE-NG найти Huawei CE12800. За подробностями сюда и сюда. Плоскость данных к сожалению там работает плохо, но плоскость управления хорошо и не верит часть функционала (m-lag, L3VXLAN например).

Общее описание схемы и подготовки основы

В фабрике будет 2 Spine и 4 Leaf (2 из объединений в m-lag пару). Spine и Leaf между двумя точками взаимодействуют с подсетями с 31-кратной и увеличенной MTU. Используется симметричный IRB. Spine выполняет роль рефлектора маршрутов BGP. Инкапсуляция и деинкапсуляция будет производиться на листьях листьев.

Начну с настройками m-lag пары листьев встречается, для логики работы нужен keepalive линк и одноранговый линк. По одноранговой ссылке может идти полезная нагрузка, поэтому необходимо использовать полосу пропускания этой ссылки. Так же следует принять, что m-lag в предварительном порядке Huawei накладывает некоторые ограничения, невозможно создать ospf соседство через агрегированный интерфейс (или можно но с костылями):

Проверяем, что m-lag пара собралась:

Пример настройки внешнего вида внутри фабрики:

В качестве основы протокола маршрутизации используется OSPF:

Так же в качестве протокола маршрутизации можно использовать два процесса BGP, один для базовой маршрутизации и второй для наложенной маршрутизации.

С базовыми настройками закончили, убедившись, что OSPF собрался и пути балансируются между позвоночными косточками.

Соседство собралось, проверим маршрутную информацию:

Оверлей "Подготовка"

Для начала необходимо включить глобальную поддержку EVPN на обнаружене:

Корешок выполняет роль Маршрут-рефлектор.Плюс нужно добавить структуру отменить политику vpn-target в выборе адресной семьи, чтобы Spine смог принять все маршруты и переслать их детям. Соседство строим на петлевых адресах.

На Leaf создается настраиваемое семейство адресов. Для m-lag пары хочется сделать следователя подменяющую next-hop на anycast loopback ip адрес, но без такой политики все работает. Huawei подменяет адрес next-hop на адрес, который указан в качестве исходного ip-адреса на стороне NVE. Но если вдруг возникнут проблемы с аварийной подменой, всегда можно навесить полицейских руками:

Проверяем, что панель управления оверлеем собралась:

Подготовка L2 VXLAN

Сперва создадим NVE, отвечающий за инкапсуляцию/деинкапсуляцию пакетов:

Для организации L2 VXLAN необходимо создать bridge-domain и примапить к нему vlan, l2 подинтефейс или интерфейс инфекции. К одному домену моста могут быть подключены разные VLAN.

Проделываем такую же работу на остальных выявленах и проверяем работу. Находах должны появиться пути EVPN типа 3:

Посмотрим попристальнее на анонс полученный от соседа:

BUM трафик должен ходить, можно приступить к подключению связи между хостами. Для этого с хоста VM1 пропингуем хост VM2:

В это время в сети должны появиться анонсы 2 типа. Проверим:

Посмотрим анонс пристальнее:

Проверяем CAM-таблицу:

Подготовка L3 VXLAN

Настало время выпустить хосты за пределами своей подсети, для этого будем использовать распределенный шлюз.

Для начала создадим нужный VRF:

В обнаружении листа BGP обнаруживается анонс IRB:

Создаем L3 интерфейс для маршрутизации в нужном VRF:

Повторяем сборку на других Leaf обнаруживах и проверяем:

На некоторых моделях обнаруживаются (лучше свериться с официальной документацией) создание специального сервисного интерфейса для расширения трафика L3 VXLAN. Полоса этой связи должна быть в два раза больше пиковой полосы для трафика L3 VXLAN. При наличии большого количества интерфейсов Vbdif (более 2 тысяч) требуется создание расширенных сервисных интерфейсов.

На этой настройке L3 VXLAN завершена. Подтверждаем доступность между хостами из разных подсетей:

Связность есть, теперь проверим маршрутную информацию:

Появились маршруты второго типа, включающие в себя IP-адреса. Теперь проверим перетекли ли маршруты в нужный VRF:

Заключение

В данной статье я описываю процесс настройки EVPN VXLAN фабрики на базе оборудования Huawei и рассматриваю некоторые команды, необходимые в процессе отладки.

Читайте также: