18.设备虚拟化

设备虚拟化

课程目标

• 熟悉设备虚拟化的应用场景

• 掌握IRF的基本概念

• 熟悉IRF的工作原理

• 熟悉IRF的配置

一 MSTP+VRRP不足

传统MSTP+VRRP设计

不足之处

• 资源利用与链路负载

  • MSTP 依赖生成树，会阻塞部分链路，带宽浪费
  • VRRP 多实例流量易集中，链路负载不均

• 故障恢复与收敛

  • MSTP 收敛慢，故障时业务恢复延迟
  • VRRP 切换依赖故障检测，复杂拓扑下协调慢，影响业务

• 配置管理难度

  • MSTP 多实例、VRRP 多实例组合，需精细规划 VLAN、生成树实例、虚拟路由，配置复杂，维护难，出错风险高

• 扩展性限制

  • 网络规模扩大（新业务、终端增加）时，MSTP 生成树计算、VRRP 实例管理复杂度剧增，适配新架构难，阻碍网络演进

传统 VRRP + MSTP 组网难点

• VRRP多实例的分担设计

  • 需要详细规划master的归属

• MSTP多实例设计

  • 需要详细规划VLAN和生成树实例的归属

• IP网段规划

  • 需要详细规划下联上联三层接口IP网段和VRRP虚拟IP网段

• 网络拓扑复杂

  • VRRP多实例需要详细规划master的归属，MSTP设计需要详细规划VLAN和生成树实例的归属

• 故障恢复速度一般在秒级，如VRRP收敛最少要3秒

• 为了破环需要堵塞某些端口，造成了带宽的浪费

二 设备虚拟化的优势

1 设备虚拟化的概念

• 设备虚拟化是一种将物理设备资源进行抽象化管理和分配的技术，它能提升设备资源的利用率和灵活性

定义

• 设备虚拟化把单个物理设备虚拟成多个逻辑上的虚拟设备，或者将多个物理设备虚拟成一个逻辑设备，使得多个用户或应用程序可以共享使用同一物理设备资源，就如同每个用户或应用程序拥有独立的设备一样

关键技术

• 设备模拟
  • 通过软件模拟硬件设备的功能和行为，让虚拟机中的操作系统认为自己直接与真实的硬件设备交互
• 设备直通
  • 允许虚拟机直接访问物理设备，减少中间的软件模拟层，提升设备的访问性能

2 虚拟化的优点

• 简化管理

  • 多台交换机做了IRF之后，管理员可以统一管理，而无需分别对这些交换机进行配置

• 简化拓扑

  • 多台交换机做了IRF后，在网络中相当于一台交换机，不存在环路，故无需配置MSTP协议

• 便于扩展

  • 往现有IRF中加入新设备非常容易

3 扩展端口数量

• 当接入的用户数增加到原交换机端口密度不能满足接入需求时，可以通过可以增加新交换机与原交换机组成堆叠系统来实现

优点

• 增加端口数量

  • 能快速、便捷地提升网络接入端口总数，满足用户数量增长带来的接入需求，无需对现有网络架构进行大规模调整

• 简化管理

  • 多台交换机虚拟成一个逻辑设备后，可通过单一的管理界面进行配置、监控和维护，降低管理复杂度和运维成本

• 提高可靠性

  • 堆叠系统通常支持冗余功能，当其中一台交换机出现故障时，其他交换机可继续工作，保障网络的稳定运行，减少业务中断风险

• 提升性能

  • 堆叠后的交换机在数据转发等方面可协同工作，相比多台独立交换机，能在一定程度上提高网络的整体性能和带宽利用率

• 节省成本

  • 相较于重新部署一套全新的网络设备来增加端口，采用堆叠技术可充分利用现有设备，降低硬件购置成本

4 扩展系统处理能力

• 当中心的交换机转发能力不能满足需求时，可以增加新交换机与原交换机组成堆叠系统来实现

• 借助虚拟化技术，堆叠后的交换机可协同工作，使整体转发性能实现 N 倍（N 为堆叠交换机数量）于单台交换机性能（X）的增长，有效提升系统的数据处理和转发能力，满足更高的业务流量需求，保障网络高效运行

5 扩展带宽

• 当边缘交换机上行带宽增加时，可以增加新交换机与原交换机组成堆叠系统来实现

• 支持跨内部设备链路聚合

  • 增加带宽，避免网络拥塞
  • 加强网络稳定，减少单点故障
  • 环路避免

6 虚拟化简化路由管理

虚拟化技术简化路由管理**

• 减少 IP 地址和网段数量

  • 未虚拟化时，网络需要较多的网段和 IP 地址，如例子中需 9 个网段、42 个 IP（含 Loop back 接口）
  • 虚拟化后，仅需 2 个网段、11 个 IP（含 Loop back 接口）。大幅减少的 IP 和网段数量，降低了 IP 地址规划和管理的复杂度

• 降低路由振荡风险

  • 在未虚拟化的网络中，链路变化容易引发路由振荡，影响网络稳定性
  • 虚拟化后，物理链路的变化不会导致路由振荡，增强了网络的稳定性，减少了因路由振荡带来的管理工作量

• 简化路由区域和逻辑节点

  • 未虚拟化时存在多个路由区域，域内设备节点多，路由设计复杂
  • 虚拟化后，路由区域变得简单，逻辑节点减少，点对点路由邻居关系更清晰，使路由设计和管理更简便

• 优化数据转发路径

• 未虚拟化时可能存在数据流往返路径不一致的问题

• 虚拟化后，层间仅需单条逻辑链路，数据转发路径简洁，便于管理和排查问题

7 各大厂商设备虚拟化技术比较

三 IRF概述

1 IRF概述

IRF（Intelligent Resilient Framework，智能弹性架构）是将多台设备通过堆叠口连接在一起形成一台“联合设备”

IRF发展历程

• IRF1（2004年）

  • 低端设备横向虚拟化，解决接入层的网络扩容和管理维护问题

• IRF2（2009年）

  • 全系列设备横向虚拟化，表项同步、跨机架链路聚合、负载分担、统一管理

• IRF3（2013年）

  • 纵向虚拟化；将整个网络虚拟化为一个管理节点，降低管理难度并简化了布线

IRF1.0

• 通过堆叠口将多台接入设备连接起来形成一台虚拟的逻辑设备

• 通过此虚拟设备可以管理堆叠中的所有设备

• 这种虚拟设备成本低廉却具有很强的扩展性和较高的可靠性

• 但IRF1仅能对盒式设备进行堆叠

IRF2.0（当前版本）

• IRF2将网络中同一层的多台设备横向整合成一台逻辑设备

  • 同层多节点合一，多链路被捆绑成逻辑单链路

  • 无需复杂VLAN+MSTP/VRRP配置，收敛时间大幅降低

  • 路由与VLAN规划极大简化

  • 单个物理节点、链路故障不影响上层路由

  • 管理节点明显降低

• IRF2支持对框式设备的堆叠

设备类型	框式设备	盒式设备
扩展性	强，可通过插业务板卡扩展接口数量与种类	弱，端口数量固定
接口情况	可灵活扩展	端口固定
转发性能	优，多采用分布式处理架构	有限
适用场景	核心层，承担网络高速流量转发等关键任务	接入层，适用于接入终端设备
类比对象	台式电脑（可灵活升级硬件组件）	笔记本电脑（硬件扩展性相对有限）

IRF3.0

• IRF3.0在IRF2.0的基础上增加了纵向虚拟化，将三层网络拓扑简化为了一个大二层网络拓扑

• 目前的IRF3.0的核心思想是将多台PEX设备(Port Extender device,接入层设备)连接到父设备(Parent device,一般是核心层或汇聚层交换机)上，进行必要的配置后，将每台PEX设备虚拟化成父设备的一块远程业务板，由父设备统一管理

• 使用这种虚拟化技术可以以较低的成本，来提高父设备的接口密度，简化网络拓扑，降低网络维护成本

2 IRF的运行模式

• IRF有两种运行模式

  • 独立运行模式：处于该模式下的设备只能单机运行，不能与别的设备形成IRF

  • IRF模式：处于该模式下的设备可以与其它设备互连形成IRF

• 两种模式之间通过命令行进行切换

  • 从独立运行模式切换到 IRF 模式

    • # 开启IRF功能，设备会在下次重启后进入IRF模式irf member 1 renumber 1quitsave forcereboot
      

  • 从 IRF 模式切换到独立运行模式

    • # 解除IRF配置，设备会在下次重启后进入独立运行模式undo irfquitsave forcereboot
      

3 IRF拓扑类型

• IRF支持两种拓扑类型
  • 环型连接
    • 环形连接可靠性更高
  • 链型连接

4 IRF设备的角色

• Master：负责管理整个IRF

• Slave：作为Master的备份设备(V7版本中为Standby)

• 一个IRF中同时只能存在一台Master，其它成员设备都是Slave
• Master和Slave均由角色选举产生，成员优先级越大的越优

display irf命令显示信息描述

• MemberID: 本 IRF 中成员设备的编号

  • 如果编号前带“*”，表示该设备是Master设备

  • 如果编号前带“+”，表示该设备是用户当前登录的、正在操作的设备）

• **Role: 本 IRF 中成员设备的角色，取值可能为：

  • Slave：备用设备(V7版本中为Standby)

  • Master：主用设备

  • SlaveWait：正在加入 IRF

  • Loading：正在自动加载系统启动文件

• Priority:成员设备的优先级（取值范围为1~32）

• CPU-MAC: 设备的 CPU MAC地址

• The bridge MAC of the IRF is：IRF 的桥 MAC地址

• Domain ID：IRF域编号(域编号用来区分不同的IRF，域编号相同的交换机才能组成IRF)

5 1:N协议热备

• IRF采用1:N冗余，即Master负责处理业务，Slave作为Master的备份，随时与Master保持同步
• 当Master工作异常时，IRF将选择其中一台Slave成为新的Master，接替原Master继续管理IRF系统，不影响网络转发

• IRF协议热备份功能负责将各运行协议的配置信息和运行状态等同步到其它所有成员设备，与单框设备的双引擎工作方式相似，从而使得IRF系统能够作为一台独立的设备在网络中运行

6 成员设备间报文转发方式

• 对于多台盒式设备组成的IRF系统，由Master计算并形成各成员的转发表

• 对于多台框式设备IRF，由Master设备的主用主控计算生成转发表，各框线卡的转发表均由此主控同步下发

• 当数据流在IRF系统的成员设备间转发时，交换机硬件ASIC根据转发表信息和报文头抽取源端口号、转发出端口号、其它信息组装IRF系统内数据转发的附加信息头IRF Head，并封装在以太网报文前面通过IRF互联链路转发到其它IRF成员，便于出方向设备进行正确处理

7 跨设备链路聚合

• IRF的不同成员设备的端口可以被聚合在一起被当作一个逻辑端口，在配置与组网与单台设备的端口聚合功能相同

• IRF架构下的聚合端口链路负载分担采用“基于本地优先转发的方式”

• A-B、C-D为两组IRF系统组成两层网络，两个IRF系统通过四条链路全连接，此四条链路被聚合成一条逻辑链路

• 当上游设备流量(红色)到达A设备需要向下游转发时，A只将流量在本地聚合组的两个端口成员内以硬件HASH进行流量均衡，对B设备也作相同处理；

• 只有当IRF成员本地没有业务出口中B的下行端口全部故障时，数据流量才到IRF的其它成员向下转发。因此就近本地优先转发的机制可充分发挥IRF成员的性能，并在链路故障时流量自动绕行；

8 IRF合并

• 合并：两个IRF各自已经稳定运行，通过物理连接和必要的配置，形成一个IRF，这个过程称为IRF合并（merge）

• 合并后的IRF会在原来的两个Master设备中选出新的Master

9 IRF分裂

• 一个IRF形成后，由于IRF链路故障，导致IRF中两相邻成员设备物理上不连通，一个IRF变成两个IRF，这个过程称为IRF分裂（split）

• 分裂后，不含有原Master设备的IRF区域会重新选举新的Master；含有原Master设备的IRF区域不改变Master角色

10 IRF端口与IRF物理端口

• IRF端口

  • 一种专用于IRF的逻辑接口，分为IRF-Port1和IRF-Port2
  • 它需要和物理端口绑定之后才能生效
  • 在独立运行模式下，IRF端口分为IRF-Port1和IRF-Port2
  • 在IRF模式下，IRF端口分为IRF-Port n/1和IRF-Port n/2
    • 其中n为设备的成员编号

• IRF物理端口

  • 设备上可以用于IRF连接的物理端口
    • IRF物理端口可能是IRF专用接口、以太网接口或者光口

• 通常情况下，以太网接口或者光口负责向网络中转发业务报文，当它们与IRF端口绑定后就作为IRF物理端口，用于成员设备之间转发报文。可转发的报文包括IRF相关协商报文以及需要跨成员设备转发的业务报文

四 IRF工作原理

1 物理连接

• 要形成一个IRF，需要先按照以下规则连接IRF物理端口
  • 本设备上与IRF-Port1绑定的IRF物理端口只能和邻居成员设备IRF-Port2口上绑定的IRF物理端口相连
  • 本设备上与IRF-Port2口绑定的IRF物理端口只能和邻居成员设备IRF-Port1口上绑定的IRF物理端口相连

2 拓扑收集

• 每个成员设备都在本地记录自己已知的拓扑信息，通过和邻居成员设备交互IRF Hello报文来收集整个IRF的拓扑

  • (1) 初始时刻，成员设备只记录了自身的拓扑信息

  • (2) 当IRF端口状态变为up后，成员设备会将已知的拓扑信息周期性的发送出去

  • (3) 成员设备收到邻居的拓扑信息后，会更新本地记录的拓扑信息

• 经过一段时间的收集，所有设备上都会收集到完整的拓扑信息（称为拓扑收敛）。此时会进入角色选举阶段

• IRF Hello报文携带IRF端口连接关系、成员设备编号、成员设备优先级、成员设备的桥MAC等内容
• IRF Hello报文周期性的由UP的IRF端口发送给邻居
• 经过一段时间，所有成员都会收集到完整的拓扑信息（链路拓扑和接口信息等）

3 角色选举

角色选举规则如下：

• (1) 当前Master优先（IRF系统形成时，没有Master设备，所有加入的设备都认为自己是Master，会跳转到第二条规则继续比较）

• (2) 本地主控板优于本地备用板；

• (3) 成员优先级大的优先（优先级未修改时默认值为1）

• (4) 系统运行时间长的优先（各设备的系统运行时间信息也是通过IRF Hello报文来传递的）

• (5) 桥MAC地址小的优先（跟之前CPU MAC关系）

4 IRF的管理与维护

• 角色选举完成之后，IRF形成，所有的成员设备组成一台虚拟设备存在于网络中，所有成员设备上的资源归该虚拟设备拥有并由Master统一管理

• MAD检测：当IRF分裂时能够检测出网络中同时存在的多个IRF，并进行相应的处理，尽量降低IRF分裂对业务的影响

MAD检测

• 当IRF系统分裂后，会在网络中形成两组或多组“完全相同”的设备组，均有相同配置的Active Master。因此IRF附加了检测和冲突处理，称为多Active检测（Multi-Active Detection，简称MAD）。

• MAD的两种实现方式

  • LACP方式:H3C对LACP进行了扩展开发，在LACP协议报文中增加IRF Master ID，当系统分裂后，分裂后的IRF系统有各自的Active Master ID，可通过LACP进行传递检测

  • BFD方式：通过在BFD中扩展Master ID来检测冲突

• 冲突处理

  • IRF分裂后，系统会检测到网络中存在多个处Active状态相同的IRF

  • Master成员编号小的处于Active状态的IRF系统会继续正常工作，Master成员编号较大的处于Active状态的IRF会关闭该系统中所有成员设备上除保留端口以外的其他所有物理端口

• 故障恢复

  • IRF系统通过日志提示用户修复IRF互联链路，链路修复后，冲突的设备重新启动，恢复IRF系统，被Down掉的端口将重新恢复业务转发

五 IRF配置案例

#配置2<H3C>system-view[H3C]irf member 1 renumber 2[H3C]quit<H3C>reboot<H3C>system-view[H3C]int range Ten-GigabitEthernet2/0/49 to Ten-GigabitEthernet 2/0/52[H3C-if-range]shutdown[H3C-if-range]quit[H3C]irf-port 2/1[H3C-irf-port2/1]port group interface Ten-GigabitEthernet2/0/52[H3C-irf-port2/1]port group interface Ten-GigabitEthernet 2/0/50[H3C-irf-port2/1]quit[H3C]irf-port 2/2[H3C-irf-port2/2]port group interface Ten-GigabitEthernet2/0/5[H3C-irf-port2/2]port group interface Ten-GigabitEthernet2/0/49[H3C-irf-port2/2]quit[H3C]int range Ten-GigabitEthernet 2/0/49 to Ten-GigabitEthernet 2/0/52[H3C-if-range]undo shutdown[H3C-if-range]quit[H3C]save[H3C]irf-port-configuration active2/0/50[H3C-irf-port2/1]quit[H3C]irf-port 2/2[H3C-irf-port2/2]port group interface Ten-GigabitEthernet2/0/5[H3C-irf-port2/2]port group interface Ten-GigabitEthernet  2/0/49[H3C-irf-port2/2]quit[H3C]int range Ten-GigabitEthernet2/0/49 to Ten-GigabitEthernet 2/0/52[H3C-if-range]undo shutdown[H3C-if-range]quit[H3C]save[H3C]irf-port-configuration active