其他 MC-LAG 配置
在 MX 系列路由器的多机箱链路聚合中配置 IRB 上的主动-主动桥接和 VRRP
以下部分介绍多机箱链路聚合 (MC-LAG) 中 IRB 上的主动活动桥接和 VRRP 配置:
配置 MC-LAG
MC-LAG 由逻辑链路聚合组 (LAG) 组成,并在 [edit interfaces aeX] 层次结构下配置,如下所示:
[edit] interfaces { ae0 { encapsulation ethernet-bridge; multi-chassis-protection { peer 10.10.10.10 { interface ge-0/0/0; } } aggregated-ether-options { mc-ae { mode active-active; # see note below } } } }
只有当封装是以太网桥或扩展-vlan-bridge 时,模式主动-主动语句才有效。
使用 模式 语句指定 MC-LAG 是 主动备用 还是 主动。如果 ICCP 连接为 UP 且 ICL 出现,则配置为 Standby 的路由器将启动与对等方共享的多机箱聚合以太网接口。
在物理接口级别上使用 多机箱保护 是减少逻辑接口级别配置的一种方式。
如果 ae0 下有 n+1 逻辑接口,从 ae0.0 到 ae0.n,那么 ge-0/0/0/0 下也有 n+1 逻辑接口,从 ge-0/0/0.0 到 ge-0/0/0.n,每个 ge-0/0/0 逻辑接口都是 ae0 逻辑接口的保护链路。
桥接域不能具有属于不同冗余组的多机箱聚合以太网逻辑接口。
配置机箱间链路保护链路
当某个活动链路发生链路故障(例如 MC-LAG 中继故障)时,机箱间链路保护链路 (ICL-PL) 可提供冗余。ICL-PL 是聚合以太网接口。尽管您可以在两个对等方之间配置多个 MC-LAG,但您只能在两个对等方之间配置一个 ICL-PL。
ICL-PL 假设接口 ge-0/0/0.0 用于保护 MC-LAG-1 的接口 ae0.0:
[edit] interfaces { ae0 { .... unit 0 { multi-chassis-protection { peer 10.10.10.10 { interface ge-0/0/0.0; } .... } ... } } }
保护接口可以是以太网类型接口,例如 ge 或 xe 或聚合以太网 (ae) 接口。
配置多个机箱
顶级层次结构用于指定与多机箱相关的配置,如下所示:
[edit] multi-chassis { multi-chassis-protection { peer 10.10.10.10 { interface ge-0/0/0; } } }
此示例指定接口 ge-0/0/0 作为所有多机箱聚合以太网接口的多机箱保护接口,这些接口也是对等方的一部分。这可以通过在物理接口级别和逻辑接口级别指定保护来覆盖。
配置服务 ID
您必须为提供服务的 PE 路由器集配置相同的网络范围唯一配置。您可在以下示例中所示的层次结构级别下配置服务 ID:
全局配置(默认逻辑系统)
switch-options { service-id 10; } bridge-domains { bd0 { service-id 2; } } routing-instances { r1 { switch-options { service-id 10; } bridge-domains { bd0 { service-id 2; } } } }
逻辑系统
ls1 { switch-options { service-id 10; } routing-instances { r1 { switch-options { service-id 10; } } } }
不支持每个桥接域使用服务名称。
桥级服务 ID 需要跨对等方链接相关桥接域,并且配置值应相同。 服务 ID 值跨所有桥接和路由实例以及对等方共享名称空间。因此,这些实体不允许重复服务 ID 值。
桥接域级别的服务 ID 对于非单个 VLAN 桥接域类型是必需的。对于定义了 VLAN 标识符 (VID) 的桥接域,服务 ID 是可选的。如果后一种情况下未定义服务 ID,则从该路由实例的服务 ID 配置中拾取。
配置包含包含多机箱聚合以太网接口的桥接域的默认路由实例(或任何其他路由实例)时,无论包含的桥接域是否配置了特定服务 ID,都必须配置全局级 交换机选项服务 ID number。
在 图 1 中显示的示例说明中,网络路由实例 N1 和 N2 在 N1 和 N2 中均配置了相同的服务 ID。不支持使用名称字符串代替编号。
![N1 and N2 for the Same Service with Same Service ID](/documentation/us/en/software/junos/mc-lag/images/g017512.gif)
以下配置限制适用:
配置多机箱聚合以太网接口且桥接域中的一部分为多机箱聚合以太网逻辑接口时,必须配置服务 ID。此要求已强制实施。
单个桥接域不能对应两个冗余组 ID。
在 图 2 中,可以配置包含来自两个多机箱聚合以太网接口的逻辑接口的桥接域,并将它们映射到不受支持的单独冗余组 ID。服务必须与提供服务的冗余组一对一映射。此要求已强制实施。
图 2:通过两个多机箱聚合以太网接口的逻辑接口桥接域
要显示多机箱聚合以太网配置,请使用 show interfaces mc-ae 命令。有关详细信息,请参阅 CLI Explorer。
为主动-主动 MC-LAG 配置 IGMP 侦听
要使组播解决方案发挥作用,必须配置以下内容:
多机箱保护链路必须配置为面向路由器的接口。
[edit bridge-domain bd-name] protocols { igmp-snooping { interface ge-0/0/0.0 { multicast-router-interface; } } }
在此示例中,ge-0/0/0.0 是一个 ICL 接口。
语
multichassis-lag-replicate-state
句选项必须在该桥接域的multicast-snooping-options
语句下配置。
仅在非代理模式下支持使用主动-主动 MC-LAG 侦听。
在 MC-LAG 主动-主动模式下配置 IGMP 侦听
您可以使用语 bridge-domain
句选项 service-id
指定 MX240 路由器、MX480 路由器、MX960 路由器和 QFX 系列交换机上的多机箱聚合以太网配置。
非单 VLAN 类型桥接域(无、全部或 vlan-id-tags:双)必须使用该
service-id
语句。对于已定义 VID 的桥接域,语句是可选的。
桥接级别
service-id
需要跨对等方链接相关桥接域,并且配置值应相同。这些
service-id
值共享所有桥接和路由实例以及对等方的名称空间。因此,这些实体不允许重复service-id
值。桥接 服务 ID 的更改被认为是灾难性的,桥接域将发生更改。
此过程允许您启用或禁用复制功能。
要在 MC-LAG 主动-主动模式下配置 IGMP 侦听:
为 MX 系列路由器上的 MC-LAG 接口配置手动和自动链路切换
在采用主动-备用模式的多机箱链路聚合 (MC-LAG) 拓扑中,只有在活动节点发生故障时才会进行链路切换。您可以通过在主动备用模式下配置 MC-LAG 接口以自动恢复为首选节点来替代此默认行为。借助此配置,即使有活动节点可用,您也可以触发到首选节点的链路切换。例如,考虑两个节点,PE1 和 PE2。PE1 在活动模式下配置,使其成为首选节点,而 PE2 配置为主动备用模式。如果 PE1 出现任何故障,PE2 将成为活动节点。但是,一旦 PE1 再次可用,就会触发自动链路切换,即使 PE2 处于活动状态,控制也会切换回 PE1。
您可以以两种模式配置链路切换:恢复模式和非恢复性。在恢复模式下,链路切换将使用 request interface mc-ae switchover
操作模式命令自动触发。在非逆变模式下,链路切换必须由用户手动触发。您也可配置在指定计时器到期时触发自动或手动切换的恢复时间。
如果使用机箱间控制协议 (ICCP) 和非恢复性切换模式在活动备用设置中配置的两个 MC-LAG 设备在 MC-LAG 的聚合以太网接口上配置,并且当两个 mc-ae 接口都与第 2 层电路本地交换配置连接在一起时,建议您通过输入
request interface mc-ae switchover (immediate mcae-id mcae-id | mcae-id mcae-id)
操作模式命令仅在 MC-LAG 设备的一个聚合以太网接口上。此命令只能在配置为活动节点的 MC-LAG 设备上发出(在层次结构级别上使用status-control active
语句[edit interfaces aeX aggregated-ether-options mc-ae]
)。在非反转切换模式下,当 MC-LAG 接口因 MC-LAG 成员链路故障而过渡到待机状态,而另一个 MC-LAG 接口移动到活动状态时,处于待机状态的 MC-LAG 将一直处于该状态,直到处于活动状态的 MC-LAG 遇到故障并返回活动状态。
如果由于第 2 层电路本地交换配置,在 MC-LAG 中的两个聚合以太网接口上执行切换,则一个聚合以太网接口上的切换将触发另一个聚合以太网接口上的切换。在这种情况下,聚合以太网接口都会移动到待机状态,然后转换回活动状态。因此,您不得同时在 MC-LAG 中的聚合以太网接口上执行切换。
如果将 MC-LAG 接口配置为处于恢复性切换模式,则不支持第 2 层电路配置和 VPLS 功能。只有当在活动备用设置中配置了两个 MC-LAG 设备时,您才能配置恢复性或非恢复性切换功能(一个设备通过使用
status-control standby
语句将一个设备设置为活动节点,另一个设备设置为备用节点,方法是使用status-control active
层次结构级别上的[edit interfaces aeX aggregated-ether-options mc-ae]
语句。只能在配置为活动节点的request interface mc-ae switchover (immediate mcae-id mcae-id | mcae-id mcae-id)
MC-LAG 设备上输入操作模式命令,即可执行切换。
要在 MC-LAG 接口上配置链路切换机制:
您可以使用 命令 show interfaces mc-ae revertive-info
查看切换配置信息。
强制具有有限 LACP 功能的 MC-LAG 链路或接口正常运行
在 MC-LAG 网络中,没有链路接入控制协议 (LACP) 配置的 MC-LAG 客户端链路仍然关闭,MC-LAG 交换机无法访问。
要确保具有有限 LACP 功能的客户端设备在 MC-LAG 网络上正常运行和访问,请使用 force-up
设备上相应层次结构级别的语句,将 MC-LAG 交换机上的一个聚合以太网链路或接口配置为开启:
[edit interfaces interface-name aggregated-ether-options lacp
][edit interfaces interface-name ether-options 802.3ad lacp
]
您可以在活动模式或待机模式下配置 MC-LAG 交换机上的加 力 功能。但是,为了防止重复流量和数据包丢弃,只能在 MC-LAG 交换机的一个聚合以太网链路上配置强制功能。如果 MC-LAG 交换机上配置了多个聚合以太网链路并配置了强制功能,则设备将根据 LACP 端口 ID 和端口优先级选择链路。优先级最低的端口给予优先级。如果两个端口的优先级相同,则给予端口 ID 最低的端口优先级。
force-up
QFX10002 交换机上不支持该选项。
在 QFX5100 交换机上,您可以从 Junos OS 版本 14.1X53-D10 开始,在 MC-LAG 交换机上配置链路聚合控制协议 (LACP) 中的强制功能。
如果 LACP 部分出现在 MC-LAG 网络中,也就是说,它出现在其中一台 MC-LAG 交换机上,而其他 MC-LAG 交换机上没有出现,则禁用强制功能。
增加增强型 MC-LAG 和第 3 层 VXLAN 拓扑的 ARP 和网络发现协议条目
- 了解增加 ARP 和网络发现协议 (NDP) 条目的需求
- 使用 IPv4 传输增加用于增强型 MC-LAG 的 ARP 和网络发现协议条目
- 使用 IPv6 传输增加增强型 MC-LAG 的 ARP 和网络发现协议条目
- 为 IPv4 租户流量的 EVPN-VXLAN 网关在边缘路由桥 (ERB) 或主干中为边界叶增加 ARP
- 为 IPv6 租户流量增加用于边缘路由桥 (ERB) 或主干中边界叶的 EVPN-VXLAN 网关的 ARP 和网络发现协议条目
了解增加 ARP 和网络发现协议 (NDP) 条目的需求
ARP 和 NDP 条目数已增加到 256,000 个,可改进增强型 MC-LAG 和第 3 层 VXLAN 场景。
以下是一些增强型 MC-LAG 和第 3 层 VXLAN 场景,需要增加 ARP 和 NDP 条目:
增强型 MC-LAG 拓扑,带有大量 MC-AE 接口,每个机箱中包含大量成员。
非折叠的脊叶拓扑,其中叶设备作为第 2 层网关运行并处理 VXLAN 内的流量,主干设备作为第 3 层网关运行,并使用 IRB 接口处理 VXLAN 之间的流量。
在这种情况下,主干级别需要增加 ARP 和 NDP 条目。
作为第 2 层和第 3 层网关运行的叶设备。
在这种情况下,传输主干设备仅提供正在运行的第 3 层路由,而需要的 ARP 和 NDP 条目数量增加仅在叶层。
使用 IPv4 传输增加用于增强型 MC-LAG 的 ARP 和网络发现协议条目
要使用 IPv4 传输增加 ARP 和 NDP 条目数,请执行以下步骤。我们建议您使用本过程中提供的值,以获得最佳性能:
使用 IPv6 传输增加增强型 MC-LAG 的 ARP 和网络发现协议条目
要使用 IPv6 传输增加 ARP 和网络发现协议条目的数量。我们建议您使用本过程中提供的值,以获得最佳性能:
为 IPv4 租户流量的 EVPN-VXLAN 网关在边缘路由桥 (ERB) 或主干中为边界叶增加 ARP
要使用 IPv4 租户流量增加 ARP 条目数量,请遵循以下步骤。我们建议您使用本过程中提供的值,以获得最佳性能:
为 IPv6 租户流量增加用于边缘路由桥 (ERB) 或主干中边界叶的 EVPN-VXLAN 网关的 ARP 和网络发现协议条目
要使用 IPv4 和 IPv6 租户流量增加 ARP 和网络发现协议条目的数量,请遵循以下步骤。我们建议您使用本过程中提供的值,以获得最佳性能:
同步和提交配置
要从一台设备(Junos Fusion 提供商边缘、Junos Fusion Enterprise、EX 系列交换机和 MX 系列路由器)传播、同步和提交配置更改,请执行以下任务:
配置设备以实现配置同步
配置要同步其配置的设备的主机名或 IP 地址,以及用于管理配置同步的用户名和身份验证详细信息。此外,还启用 NETCONF 连接,以便设备可以同步其配置。安全复制协议 (SCP) 可在设备之间安全地复制配置。
例如,如果您的本地设备名为 Switch A,并且想要与名为交换机 B、交换机 C 和交换机 D 的远程设备同步配置,则需要配置交换机 A 上的交换机 B、交换机 C 和 D 交换机的详细信息。
要指定配置详细信息:
创建全局配置组
创建本地和远程设备的全局配置组。
要创建全局配置组:
配置的输出如下:
groups { global { when { peers [ Switch A Switch B Switch C Switch D ]; } interfaces { ge-0/0/0 { unit 0 { family inet { address 10.1.1.1/8; } } } ge-0/0/1 { ether-options { 802.3ad ae0; } } ge-0/0/2 { ether-options { 802.3ad ae1; } } ae0 { aggregated-ether-options { lacp { active; } } unit 0 { family ethernet-switching { interface-mode trunk; vlan { members v1; } } } } ae1 { aggregated-ether-options { lacp { active; system-id 00:01:02:03:04:05; admin-key 3; } mc-ae { mc-ae-id 1; redundancy-group 1; mode active-active; } } unit 0 { family ethernet-switching { interface-mode access; vlan { members v1; } } } } } switch-options { service-id 1; } vlans { v1 { vlan-id 100; l3-interface irb.100; } } } }
创建本地配置组
为本地设备创建本地配置组。
要创建本地配置组:
配置的输出如下:
groups { local { when { peers Switch A; } interfaces { ae1 { aggregated-ether-options { mc-ae { chassis-id 0; status-control active; events { iccp-peer-down { prefer-status-control-active; } } } } } irb { unit 100 { family inet { address 10.10.10.3/8 { arp 10.10.10.2 l2-interface ae0.0 mac 00:00:5E:00:53:00; } } } } } multi-chassis { multi-chassis-protection 10.1.1.1 { interface ae0; } } } }
创建远程配置组
为远程设备创建远程配置组。
要创建远程配置组:
配置的输出如下:
groups { remote { when { peers Switch B Switch C Switch D } interfaces { ae1 { aggregated-ether-options { mc-ae { chassis-id 1; status-control standby; events { iccp-peer-down { prefer-status-control-active; } } } } } irb { unit 100 { family inet { address 10.10.10.3/8 { arp 10.10.10.2 l2-interface ae0.0 mac 00:00:5E:00:53:00; } } } } } multi-chassis { multi-chassis-protection 10.1.1.1 { interface ae0; } } } }
创建 适用于本地、远程和全局配置的应用组
创建应用组,以便配置中的更改由本地、远程和全局配置组继承。按继承顺序列出配置组,其中第一个配置组中的配置数据优先于后续配置组中的数据。
当您应用配置组并发出 commit peers-synchronize
命令时,更改将同时在本地和远程设备上完成。如果任何设备上出现错误,将发出错误消息,并终止提交。
要应用配置组:
[edit] user@switch# set apply-groups [<name of global configuration group> <name of local configuration group> <name of remote configuration group>]
例如:
[edit] user@switch# set apply-groups [ global local remote ]
配置的输出如下:
apply-groups [ global local remote ];
同步和提交配置
commit at <"string">
执行配置同步时,命令不受支持。
您可以启用 peers-synchronize
本地(或请求)设备上的语句,以便默认将其配置复制并加载到远程(或响应)设备。您也可以发出 commit peers-synchronize
命令。
在本地(或请求)上配置
commit
命令,以在设备之间自动执行peers-synchronize
操作。[edit] user@switch# set system commit peers-synchronize
配置的输出如下:
system { commit { peers-synchronize; } }
commit peers-synchronize
在本地(或请求)设备上发出 命令。[edit] user@switch# commit peers-synchronize
远程设备连接故障排除
问题
描述
发出 commit
命令时,系统会发出以下错误消息:
root@Switch A# commit
error: netconf: could not read hello error: did not receive hello packet from server error: Setting up sessions for peer: 'Switch B' failed warning: Cannot connect to remote peers, ignoring it
错误消息显示本地设备和远程设备之间存在 NETCONF 连接问题。
分辨率
验证与远程设备(交换机 B) 的 SSH 连接是否正常工作。
root@Switch A# ssh root@Switch B
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ @ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @ @@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@ IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that a host key has just been changed. The fingerprint for the ECDSA key sent by the remote host is 21:e8:5a:58:bb:29:8b:96:a4:eb:cc:8a:32:95:53:c0. Please contact your system administrator. Add correct host key in /root/.ssh/known_hosts to get rid of this message. Offending ECDSA key in /root/.ssh/known_hosts:1 ECDSA host key for Switch A has changed and you have requested strict checking. Host key verification failed.
错误消息显示 SSH 连接不起作用。
删除 /root/.ssh/known_hosts:1 目录中的密钥条目,然后尝试再次连接到交换机 B。
root@Switch A# ssh root@Switch B
The authenticity of host 'Switch B (10.92.76.235)' can't be established. ECDSA key fingerprint is 21:e8:5a:58:bb:29:8b:96:a4:eb:cc:8a:32:95:53:c0. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'Switch A,10.92.76.235' (ECDSA) to the list of known hosts. Password: Last login: Wed Apr 13 15:29:58 2016 from 192.168.61.129 - JUNOS 15.1I20160412_0929_dc-builder Kernel 64-bit FLEX JNPR-10.1-20160217.114153_fbsd-builder_stable_10 At least one package installed on this device has limited support. Run 'file show /etc/notices/unsupported.txt' for details.
连接到交换机 B 成功。
注销交换机 B。
root@Switch B# exit
logout Connection to Switch B closed.
验证 SSH 上的 NETCONF 是否工作。
root@Switch A# ssh root@Switch B -s netconf
logout Connection to st-72q-01 closed.
Password:
<hello xmlns="urn:ietf:params:xml:ns:netconf:base:1.0">
<capabilities>
<capability>urn:ietf:params:netconf:base:1.0</capability>
<capability>urn:ietf:params:netconf:capability:candidate:1.0</capability>
日志消息显示,通过 SSH 的 NETCONF 成功。
如果错误消息显示 SSH 上的 NETCONF 不成功,请通过 SSH 启用 NETCONF,
set system services netconf ssh
方法是发出 命令。创建配置组以在尚未同步时进行同步。
您可以发出
show | compare
命令,查看是否已创建任何配置组。root@Switch A# show | compare
commit
发出 命令。root@Switch A# commit
[edit chassis] configuration check succeeds commit complete {master:0}[edit]
日志消息显示提交成功。