其他 MC-LAG 配置
在 MX 系列路由器上的多机箱链路聚合中配置 A/A 桥接和 VRRP over IRB
以下章节介绍了多机箱链路聚合 (MC-LAG) 中的主动-主动桥接和 VRRP over IRB 的配置:
配置 MC-LAG
MC-LAG 由逻辑链路聚合组 (LAG) 组成,在 [edit interfaces aeX] 层次结构下配置,如下所示:
[edit]
interfaces {
ae0 {
encapsulation ethernet-bridge;
multi-chassis-protection {
peer 10.10.10.10 {
interface ge-0/0/0;
}
}
aggregated-ether-options {
mc-ae {
mode active-active; # see note below
}
}
}
}
仅当封装是以太网桥或扩展 VLAN 网桥时,模式 active-active 语句才有效。
使用 mode 语句指定 MC-LAG 是 主动-备用 还是 主动-主动。如果 ICCP 连接已启动且 ICL 启动,则配置为备用的路由器将启动与对等方共享的多机箱聚合以太网接口。
在物理接口级别使用 多机箱保护 是在逻辑接口级别减少配置的一种方式。
如果 ae0 下有 n+1 个逻辑接口,则从 ae0.0 到 ae0.n,ge-0/0/0 下也有 n+1 个逻辑接口,从 ge-0/0/0.0 到 ge-0/0/0.n,每个 ge-0/0/0 逻辑接口都是 ae0 逻辑接口的保护链路。
桥接域不能具有属于不同冗余组的多机箱聚合以太网逻辑接口。
配置机箱间链路保护链路
当其中一个活动链路发生链路故障(例如,MC-LAG 中继故障)时,机箱间链路保护链路 (ICL-PL) 可提供冗余。ICL-PL 是一个聚合以太网接口。尽管可以在它们之间配置多个 MC-LAG,但只能在两个对等方之间配置一个 ICL-PL。
ICL-PL 假定接口 ge-0/0/0.0 用于保护 MC-LAG-1 的接口 ae0.0:
[edit]
interfaces {
ae0 {
....
unit 0 {
multi-chassis-protection {
peer 10.10.10.10 {
interface ge-0/0/0.0;
}
....
}
...
}
}
}
保护接口可以是以太网类型接口(如 ge 或 xe)或聚合以太网 (ae) 接口。
配置多机箱
顶级层次结构用于指定与多机箱相关的配置,如下所示:
[edit]
multi-chassis {
multi-chassis-protection {
peer 10.10.10.10 {
interface ge-0/0/0;
}
}
}
此示例将接口 ge-0/0/0 指定为所有多机箱聚合以太网接口的多机箱保护接口,这些接口也是对等方的一部分。可以通过在物理接口级别和逻辑接口级别指定保护来覆盖此问题。
配置服务 ID
您必须为提供服务的 PE 路由器集中的服务配置相同的唯一网络范围配置。您可以在以下示例中所示的层次结构级别下配置服务 ID:
全局配置(默认逻辑系统)
switch-options {
service-id 10;
}
bridge-domains {
bd0 {
service-id 2;
}
}
routing-instances {
r1 {
switch-options {
service-id 10;
}
bridge-domains {
bd0 {
service-id 2;
}
}
}
}
逻辑系统
ls1 {
switch-options {
service-id 10;
}
routing-instances {
r1 {
switch-options {
service-id 10;
}
}
}
}
不支持为每个网桥域使用服务名称。
桥接级别服务 ID 是跨对等方链接相关桥接域所必需的,应使用相同的值进行配置。 service-id 值在所有桥接和路由实例之间以及对等方之间共享名称空间。因此,不允许在这些实体中使用重复的服务 ID 值。
对于类型非单一 VLAN 桥接域,桥接域级别的服务 ID 是必需的。对于定义了 VLAN 标识符 (VID) 的桥接域,服务 ID 是可选的。如果在后一种情况下未定义服务 ID,则从该路由实例的服务 ID 配置中选取该 ID。
如果配置此默认路由实例(或任何其他路由实例),其中包含包含多机箱聚合以太网接口的桥接域,则必须配置全局级 switch-options service-id number,无论所包含的网桥域是否配置了特定的服务 ID。
在 图 1 所示的示例图中,网络路由实例 N1 和 N2 均具有相同的服务 ID,但在 N1 和 N2 中均配置了相同的服务 ID。不支持使用名称字符串而不是数字。
存在以下配置限制:
如果配置了多机箱聚合以太网接口,且多机箱聚合以太网逻辑接口是桥接域的一部分,则必须配置服务 ID。此要求是强制执行的。
单个网桥域不能对应两个冗余组 ID。
在 图 2 中,可以配置一个由来自两个多机箱聚合以太网接口的逻辑接口组成的桥接域,并将它们映射到不受支持的单独冗余组 ID。服务必须与提供服务的冗余组进行一对一映射。此要求是强制执行的。
图 2:使用来自两个多机箱聚合以太网接口
的逻辑接口的桥接域
要显示多机箱聚合以太网配置,请使用 show interfaces mc-ae 命令。有关更多信息,请参阅 CLI 资源管理器。
为 A/A MC-LAG 配置 IGMP 侦听
要使组播解决方案正常工作,必须配置以下内容:
必须将多机箱保护链路配置为面向路由器的接口。
[edit bridge-domain bd-name] protocols { igmp-snooping { interface ge-0/0/0.0 { multicast-router-interface; } } }在此示例中,ge-0/0/0.0 是 ICL 接口。
multichassis-lag-replicate-state必须在该桥接域的multicast-snooping-options语句下配置语句选项。
仅在非代理模式下支持使用主动-主动 MC-LAG 进行窥探。
在 MC-LAG 主动-主动模式下配置 IGMP 侦听
您可以使用 bridge-domain 语句 service-id 的选项指定 MX240 路由器、MX480 路由器、MX960 路由器和 QFX 系列交换机上的多机箱聚合以太网配置。
对于非单 VLAN 类型桥接域(none、all 或 vlan-id-tags:dual),该
service-id语句是必需的。对于定义了 VID 的桥接域,该语句是可选的。
桥接级别
service-id是跨对等方链接相关桥接域所必需的,并且应配置相同的值。这些
service-id值在所有桥接和路由实例之间以及对等方之间共享命名空间。因此,不允许在这些实体中使用重复service-id值。网桥 服务 ID 的更改被视为灾难性的,并且网桥域已更改。
此过程允许您启用或禁用复制功能。
要在 MC-LAG 主动-主动模式下配置 IGMP 侦听:
为 MX 系列路由器上的 MC-LAG 接口配置手动和自动链路切换
在采用主动-备用模式的多机箱链路聚合 (MC-LAG) 拓扑中,仅当活动节点出现故障时,才会发生链路切换。您可以通过在主动-备用模式下配置 MC-LAG 接口以自动恢复到首选节点来覆盖此默认行为。使用此配置,即使活动节点可用,也可以触发到首选节点的链路切换。例如,考虑两个节点,PE1 和 PE2。PE1 配置为活动模式,使其成为首选节点,PE2 配置为主动-备用模式。如果 PE1 发生故障,PE2 将成为活动节点。但是,只要 PE1 再次可用,就会触发自动链路切换,并且即使 PE2 处于活动状态,控制也会切换回 PE1。
您可以在两种模式下配置链路切换:恢复和非恢复。在恢复模式下,将使用 request interface mc-ae switchover 操作模式命令自动触发链路切换。在非恢复模式下,用户必须手动触发链路切换。您还可以配置在指定计时器到期时触发自动或手动切换的恢复时间。
如果在两个 MC-LAG 的聚合以太网接口上配置了两个使用机箱间控制协议 (ICCP) 且非恢复交换机盖模式在主动-备用设置中配置的两个 MC-LAG 设备,并且当两个 MC-AE 接口都通过第 2 层电路本地交换配置链接在一起时,我们建议您通过输入
request interface mc-ae switchover (immediate mcae-id mcae-id | mcae-id mcae-id)仅在 MC-LAG 设备的一个聚合以太网接口上使用操作模式命令。只能在配置为活动节点的 MC-LAG 设备上发出此命令(通过在[edit interfaces aeX aggregated-ether-options mc-ae]层次结构级别使用status-control active语句)。在非恢复切换模式下,当一个 MC-LAG 接口因 MC-LAG 成员链路故障而转换为待机状态,而另一个 MC-LAG 接口移动到活动状态时,处于待机状态的 MC-LAG 将保持该状态,直到处于活动状态的 MC-LAG 遇到故障并返回到活动状态。
如果在 MC-LAG 中的两个聚合以太网接口上执行切换,由于第 2 层电路本地交换配置,一个聚合以太网接口上的切换会触发另一个聚合以太网接口上的切换。在这种情况下,两个聚合以太网接口都将移动到待机状态,然后转换回活动状态。因此,您不能同时在 MC-LAG 中的两个聚合以太网接口上执行切换。
如果将 MC-LAG 接口配置为处于恢复切换模式,则不支持第 2 层电路配置和 VPLS 功能。仅当在主动-备用设置中配置两台 MC-LAG 设备(一台设备使用
status-control standby语句设置为活动节点,另一台设备使用status-control active语句设置为[edit interfaces aeX aggregated-ether-options mc-ae]备用节点)时,才能配置恢复性或非恢复性切换功能。只有在配置为活动节点的 MC-LAG 设备上,才能通过输入request interface mc-ae switchover (immediate mcae-id mcae-id | mcae-id mcae-id)操作模式命令来执行切换。
要在 MC-LAG 接口上配置链路切换机制,请执行以下操作:
您可以使用 show interfaces mc-ae revertive-info 命令查看切换配置信息。
强制开启 LACP 功能有限的 MC-LAG 链路或接口
在 MC-LAG 网络中,没有链路访问控制协议 (LACP) 配置的 MC-LAG 客户端链路将保持关闭状态,并且 MC-LAG 交换机无法访问。
为确保 LACP 功能有限的客户端设备在 MC-LAG 网络上正常运行且可访问,请在设备上的相应层级使用语 force-up 句,将 MC-LAG 交换机上的一个聚合以太网链路或接口配置为开启:
[edit interfaces interface-name aggregated-ether-options lacp]
您可以在活动模式或待机模式下配置 MC-LAG 交换机上的 强制启动 功能。但是,为了防止重复流量和数据包丢弃,您只能在 MC-LAG 交换机的一个聚合以太网链路上配置强制提升功能。如果配置了强制启动功能的 MC-LAG 交换机上有多个聚合以太网链路,则设备会根据 LACP 端口 ID 和端口优先级选择链路。优先级最低的端口将被优先使用。如果两个端口具有相同的优先级,则优先考虑端口 ID 最低的端口。
QFX10002交换机不支持选项 force-up 。
在 QFX5100 交换机上,从 Junos OS 14.1X53-D10 版本开始,您可以在 MC-LAG 交换机上的链路聚合控制协议 (LACP) 中配置强制执行功能。
如果 LACP 部分出现在 MC-LAG 网络中(即,它在其中一个 MC-LAG 交换机上出现,而在其他 MC-LAG 交换机上未出现),则强制启动功能将被禁用。
增加增强型 MC-LAG 和第 3 层 VXLAN 拓扑的 ARP 和网络发现协议条目
- 了解增加 ARP 和网络发现协议 (NDP) 条目的需求
- 增加 ARP 和网络发现协议条目,以便使用 IPv4 传输增强型 MC-LAG
- 增加 ARP 和网络发现协议条目,以便使用 IPv6 传输增强型 MC-LAG
- 增加 EVPN-VXLAN 网关的 ARP,用于边缘路由网桥 (ERB) 中的边界叶或中央路由网桥 (CRB) 中主干的 IPv4 租户流量
- 增加 EVPN-VXLAN 网关的 ARP 和网络发现协议条目,用于边缘路由网桥 (ERB) 中的边界叶或集中路由网桥 (CRB) 中的主干,用于 IPv6 租户流量
了解增加 ARP 和网络发现协议 (NDP) 条目的需求
ARP 和 NDP 条目数已增加到 256,000 个,以改进增强型 MC-LAG 和 3 层 VXLAN 场景。
下面是一些需要增加 ARP 和 NDP 条目的增强型 MC-LAG 和第 3 层 VXLAN 场景:
增强型 MC-LAG 拓扑,具有大量 MC-AE 接口,每个机箱包含大量成员。
非折叠脊叶拓扑,其中叶设备作为第 2 层网关运行并处理 VXLAN 内的流量,主干设备作为第 3 层网关运行并使用 IRB 接口处理 VXLAN 之间的流量。
在此方案中,需要在主干级别增加 ARP 和 NDP 条目。
同时作为第 2 层和第 3 层网关运行的叶设备。
在此方案中,中转主干设备仅提供第 3 层路由功能,仅在叶级别才需要增加数量的 ARP 和 NDP 条目。
增加 ARP 和网络发现协议条目,以便使用 IPv4 传输增强型 MC-LAG
若要使用 IPv4 传输增加 ARP 和 NDP 条目的数量,请按照下列步骤操作。为了获得最佳性能,建议您使用此过程中提供的值:
增加 ARP 和网络发现协议条目,以便使用 IPv6 传输增强型 MC-LAG
使用 IPv6 传输增加 ARP 和网络发现协议条目数。为了获得最佳性能,建议您使用此过程中提供的值:
增加 EVPN-VXLAN 网关的 ARP,用于边缘路由网桥 (ERB) 中的边界叶或中央路由网桥 (CRB) 中主干的 IPv4 租户流量
若要使用 IPv4 租户流量增加 ARP 条目数,请按照下列步骤操作。为了获得最佳性能,建议您使用此过程中提供的值:
增加 EVPN-VXLAN 网关的 ARP 和网络发现协议条目,用于边缘路由网桥 (ERB) 中的边界叶或集中路由网桥 (CRB) 中的主干,用于 IPv6 租户流量
若要使用 IPv4 和 IPv6 租户流量增加 ARP 和网络发现协议条目数,请按照下列步骤操作。为了获得最佳性能,建议您使用此过程中提供的值:
同步和提交配置
要将配置更改从一台设备(Junos Fusion 提供商边缘、Junos Fusion Enterprise、EX 系列交换机和 MX 系列路由器)传播、同步和提交到另一台设备,请执行以下操作:
配置设备以进行配置同步
为将同步其配置的设备配置主机名或 IP 地址,以及为管理配置同步的用户配置用户名和身份验证详细信息。此外,启用 NETCONF 连接,以便设备可以同步其配置。安全复制协议 (SCP) 在设备之间安全地复制配置。
例如,如果您有名为交换机 A 的本地设备,并且想要与名为交换机 B、交换机 C 和交换机 D 的远程设备同步配置,则需要在交换机 A 上配置交换机 B、交换机 C 和交换机 D 的详细信息。
要指定配置详细信息,请执行以下操作:
创建全局配置组
创建本地和远程设备的全局配置组。
要创建全局配置组,请执行以下操作:
配置的输出如下:
groups {
global {
when {
peers [ Switch A Switch B Switch C Switch D ];
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 10.1.1.1/8;
}
}
}
ge-0/0/1 {
ether-options {
802.3ad ae0;
}
}
ge-0/0/2 {
ether-options {
802.3ad ae1;
}
}
ae0 {
aggregated-ether-options {
lacp {
active;
}
}
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members v1;
}
}
}
}
ae1 {
aggregated-ether-options {
lacp {
active;
system-id 00:01:02:03:04:05;
admin-key 3;
}
mc-ae {
mc-ae-id 1;
redundancy-group 1;
mode active-active;
}
}
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members v1;
}
}
}
}
}
switch-options {
service-id 1;
}
vlans {
v1 {
vlan-id 100;
l3-interface irb.100;
}
}
}
}
创建本地配置组
为本地设备创建本地配置组。
要创建本地配置组,请执行以下操作:
配置的输出如下:
groups {
local {
when {
peers Switch A;
}
interfaces {
ae1 {
aggregated-ether-options {
mc-ae {
chassis-id 0;
status-control active;
events {
iccp-peer-down {
prefer-status-control-active;
}
}
}
}
}
irb {
unit 100 {
family inet {
address 10.10.10.3/8 {
arp 10.10.10.2 l2-interface ae0.0 mac 00:00:5E:00:53:00;
}
}
}
}
}
multi-chassis {
multi-chassis-protection 10.1.1.1 {
interface ae0;
}
}
}
}
创建远程配置组
为远程设备创建远程配置组。
要创建远程配置组,请执行以下操作:
配置的输出如下:
groups {
remote {
when {
peers Switch B Switch C Switch D
}
interfaces {
ae1 {
aggregated-ether-options {
mc-ae {
chassis-id 1;
status-control standby;
events {
iccp-peer-down {
prefer-status-control-active;
}
}
}
}
}
irb {
unit 100 {
family inet {
address 10.10.10.3/8 {
arp 10.10.10.2 l2-interface ae0.0 mac 00:00:5E:00:53:00;
}
}
}
}
}
multi-chassis {
multi-chassis-protection 10.1.1.1 {
interface ae0;
}
}
}
}
为本地、远程和全局配置创建应用组
创建应用组,以便配置中的更改由本地、远程和全局配置组继承。按继承顺序列出配置组,其中第一个配置组中的配置数据优先于后续配置组中的数据。
应用配置组并发出 commit peers-synchronize 命令时,会在本地和远程设备上提交更改。如果任何设备上出现错误,则会发出错误消息,并终止提交。
要应用配置组,请执行以下操作:
[edit] user@switch# set apply-groups [<name of global configuration group> <name of local configuration group> <name of remote configuration group>]
例如:
[edit] user@switch# set apply-groups [ global local remote ]
配置的输出如下:
apply-groups [ global local remote ];同步和提交配置
执行配置同步时,不支持命令 commit at <"string"> 。
默认情况下,您可以在本地(或请求)设备上启用 peers-synchronize 语句,以将其配置复制并加载到远程(或响应)设备。您也可以发出 commit peers-synchronize 命令。
在本地(或请求)上配置
commit命令以在设备之间自动执行peers-synchronize操作。[edit] user@switch# set system commit peers-synchronize
配置的输出如下:
system { commit { peers-synchronize; } }在本地(或请求)设备上发出
commit peers-synchronize命令。[edit] user@switch# commit peers-synchronize
远程设备连接故障排除
问题
描述
发出 commit 命令时,系统会发出以下错误消息:
root@Switch A# commit
error: netconf: could not read hello error: did not receive hello packet from server error: Setting up sessions for peer: 'Switch B' failed warning: Cannot connect to remote peers, ignoring it
错误消息显示本地设备和远程设备之间存在 NETCONF 连接问题。
分辨率
分辨率
验证与远程设备(交换机 B)的 SSH 连接是否正常。
root@Switch A# ssh root@Switch B
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is 21:e8:5a:58:bb:29:8b:96:a4:eb:cc:8a:32:95:53:c0. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /root/.ssh/known_hosts:1 ECDSA host key for Switch A has changed and you have requested strict checking. Host key verification failed.错误消息显示 SSH 连接不起作用。
删除 /root/.ssh/known_hosts:1 目录中的密钥条目,然后再次尝试连接到交换机 B。
root@Switch A# ssh root@Switch B
The authenticity of host 'Switch B (10.92.76.235)' can't be established. ECDSA key fingerprint is 21:e8:5a:58:bb:29:8b:96:a4:eb:cc:8a:32:95:53:c0. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'Switch A,10.92.76.235' (ECDSA) to the list of known hosts. Password: Last login: Wed Apr 13 15:29:58 2016 from 192.168.61.129 - JUNOS 15.1I20160412_0929_dc-builder Kernel 64-bit FLEX JNPR-10.1-20160217.114153_fbsd-builder_stable_10 At least one package installed on this device has limited support. Run 'file show /etc/notices/unsupported.txt' for details.连接到交换机 B 已成功。
注销交换机 B。
root@Switch B# exit
logout Connection to Switch B closed.验证 NETCONF over SSH 是否正常工作。
root@Switch A# ssh root@Switch B -s netconf
logout Connection to st-72q-01 closed.Password:<hello xmlns="urn:ietf:params:xml:ns:netconf:base:1.0"><capabilities><capability>urn:ietf:params:netconf:base:1.0</capability><capability>urn:ietf:params:netconf:capability:candidate:1.0</capability>日志消息显示通过 SSH 的 NETCONF 已成功。
如果错误消息显示 NETCONF over SSH 不成功,请发出
set system services netconf ssh命令启用 NETCONF over SSH。如果尚未创建要同步的配置组。
您可以发出
show | compare命令以查看是否已创建任何配置组。root@Switch A# show | compare
发出
commit命令。root@Switch A# commit
[edit chassis] configuration check succeeds commit complete {master:0}[edit]日志消息显示提交成功。