本页内容
高级 MC-LAG 概念
了解配置同步
本主题将介绍如下内容:
配置同步的优势
通过配置同步,您可以将配置从一台设备传播、同步和提交到另一台设备。您可以登录其中任何一台设备来管理所有设备,从而实现单点管理。
配置同步的工作原理
使用配置组简化配置过程。例如,您可以为本地设备创建一个配置组,为远程设备创建一个或多个配置组,并为全局配置创建一个配置,这本质上是所有设备通用的配置。
此外,您还可以创建条件组来指定何时将配置与其他设备同步。默认情况下,您可以在层次结构中[edit system commit]启用该peers-synchronize语句,以便在设备之间同步配置和提交。NETCONF over SSH 可在设备之间建立安全连接,安全复制协议 (SCP) 可在设备之间安全地复制配置。
如何启用配置同步
要启用配置同步,请执行以下步骤:
将本地设备静态映射到远程设备。
为本地、远程和全局配置创建配置组。
创建条件组。
创建应用组。
通过 SSH 启用 NETCONF。
配置设备详细信息和用户身份验证详细信息,以便进行配置同步。
启用
peers-synchronize该语句或发出commit peers-synchronize命令以同步和提交本地和远程设备之间的配置。
用于本地、远程和全局配置的配置组
您可以为本地、远程和全局配置创建配置组。本地设备使用本地配置组,远程设备使用远程配置组,本地设备和远程设备之间共享全局配置组。
例如,您可以创建一个名为“组 A”的本地配置组,其中将包括本地设备(交换机 A)使用的配置;一个名为 B 组的远程配置组(其中将包括远程设备(交换机 B、交换机 C 和交换机 D)使用的配置),以及一个名为 C 组的全局配置组,其中将包括所有设备通用的配置。
在层次结构级别创建 [edit groups] 配置组。
配置同步不支持嵌套组。
为某些设备创建条件组
您可以创建条件组来指定何时应将特定配置应用于设备。例如,如果要将全局配置应用于四设备配置中的所有设备,请在层次结构级别启用[edit groups]该when peers [<name of local peer> <name of remote peer> <name of remote peer> <name of remote peer>]语句。例如,如果要将全局配置(组 C)应用到本地和远程设备(交换机 A、交换机 B、交换机 C 和交换机 D),则可以发出命令set groups Group C when peers [Switch A Switch B Switch C Switch D]。
应用配置组
要应用配置组,请在[edit]层次结构级别启用该apply-groups语句。例如,要应用本地配置组(例如组 A)、远程配置组(例如组 B)和全局配置组(例如组 C),请发出set apply-groups [ GroupA GroupB GroupC ]命令。
用于配置同步的设备配置详细信息
要在设备之间同步配置,需要为远程设备配置主机名或 IP 地址、用户名和密码。为此,请在本地设备上的层次结构中[edit system commit]发出set peers <hostname-of-remote-peer> user <name-of-user> authentication <plain-text-password-string>命令。
例如,要将配置从交换机 A 同步到交换机 B,请在交换机 A 上发出 set peers SwitchB user administrator authentication test123 命令。
您还需要将本地设备静态映射到远程设备。为此,请发出 set system commit peers
例如,要将配置从交换机 A 同步到交换机 B、交换机 C 和交换机 D,请在交换机 A 上配置以下内容:
开关 A
[edit system commit]
peers {
switchB {
user admin-swB;
authentication "$ABC123";
}
switchC {
user admin-swC;
authentication ""$ABC123";
}
switchD {
user admin-swD;
authentication "$ABC123";
}
}
[edit system]
static-host-mapping [
SwitchA{
inet [ 10.92.76.2 ];
}
SwitchB{
inet [ 10.92.76.4 ];
}
SwitchC{
inet [ 10.92.76.6 ];
}
SwitchD{
inet [ 10.92.76.8 ];
}
}
}
如果您只想将配置从交换机 A 同步到交换机 B、交换机 C 和交换机 D,则无需在交换机 B、交换机 C 和交换机 D 上配置 peers 该语句。
peers 语句中的配置详细信息还可用于在设备之间建立 NETCONF over SSH 连接。要通过 SSH 启用 NETCONF,请在所有设备上发出命令 set system services netconf ssh 。
如何在设备之间同步配置和提交
启用 peers-synchronize 语句或发出 commit peers-synchronize 命令的本地(或请求)设备会将其配置复制并加载到远程(或响应)设备。然后,每个设备对正在提交的配置文件执行语法检查。如果未发现错误,则会激活该配置并成为所有设备上的当前作配置。提交使用远程过程调用 (RPC) 进行传播。
配置同步期间会发生以下事件:
本地设备将 sync-peers.conf 文件(将与条件组中指定的设备共享的配置)发送到远程设备。
远程设备加载配置,将加载结果发送到本地设备,将其配置导出到本地设备,并回复提交完成。
本地设备从远程设备读取回复。
如果成功,则配置已提交。
如果 a) 远程设备不可用或 b) 远程设备可访问,但由于以下原因而出现故障,则配置同步不成功:
由于用户和身份验证问题,SSH 连接失败。
Junos OS RPC 失败,因为无法在远程数据库上获取锁。
由于语法问题,加载配置失败。
提交检查失败。
该 peers-synchronize 语句使用您在语句中 peers 配置的设备的主机名或 IP 地址、用户名和密码。启用该 peers-synchronize 语句后,您只需发出命令 commit 即可将配置从一台设备同步到另一台设备。例如,如果您在本地设备上配置 peers 了该语句,并希望将配置与远程设备同步,只需在本地设备上发出命令 commit 即可。但是,如果在本地设备上发出命令 commit ,但无法访问远程设备,您将收到一条警告消息,指出无法访问远程设备,并且仅提交本地设备上的配置:
下面是一个警告消息示例:
error: netconf: could not read hello error: did not receive hello packet from server error: Setting up sessions for peer: 'peer1' failed warning: Cannot connect to remote peers, ignoring it commit complete
如果没有配置远程设备信息的语句并发出命令commit,则peers只会提交本地设备上的配置。如果远程设备无法访问并且存在其他故障,则本地设备和远程设备上的提交都不成功。
启用 peers-synchronize 该语句并发出 commit 命令时,提交时间可能比正常提交更长。即使各设备的配置相同且不需要同步,系统仍会尝试同步配置。
该 commit peers-synchronize 命令还会使用语句中 peers 配置的设备的主机名或 IP 地址、用户名和密码。如果在本地设备上发出命令 commit peers-synchronize 以将配置与远程设备同步,并且远程设备可访问,但存在其他故障,则本地和远程设备上的提交都将失败。
了解多机箱链路聚合组配置一致性检查
当多机箱链路聚合组 (MC-LAG) 出现不一致时,您会收到通知,并可以采取措施解决。不一致的一个示例是在两个对等方上配置相同的机箱 ID,而不是在两个对等方上配置唯一的机箱 ID。仅检查已提交的 MC-LAG 参数以确保一致性。
使用 MC-LAG 一致性检查的好处
此功能可帮助您找到多机箱链路聚合组 (MC-LAG) 对等方之间的配置参数不一致。
MC-LAG 一致性检查的工作原理
在本地 MC-LAG 对等方上发出提交后,在配置一致性检查期间会发生以下事件:
在本地 MC-LAG 对等方上提交 MC-LAG 配置。
ICCP 解析 MC-LAG 配置,然后将配置发送至远程 MC-LAG 对等方。
远程 MC-LAG 对等方从本地 MC-LAG 对等方接收 MC-LAG 配置,并将其与自己的 MC-LAG 配置进行比较。
如果两个 MC-LAG 配置之间存在严重不一致,MC-LAG 接口将被关闭,并发出系统日志消息。
如果两种配置之间存在中度不一致,将发出系统日志消息。
在远程 MC-LAG 对等方上发出提交后,在配置一致性检查期间会发生以下事件:
在远程 MC-LAG 对等方上提交 MC-LAG 配置。
ICCP 解析 MC-LAG 配置,然后将配置发送至本地 MC-LAG 对等方。
本地 MC-LAG 对等方从远程 MC-LAG 对等方接收配置,并将其与自己的配置进行比较。
如果两种配置之间存在严重不一致,MC-LAG 接口将被关闭,并发出系统日志消息。
如果两种配置之间存在中度不一致,将发出系统日志消息。
配置一致性要求
根据 MC-LAG 参数,有不同的配置一致性要求。一致性要求要么相同,要么唯一,这意味着某些参数必须配置相同,有些参数必须在 MC-LAG 对等方上唯一配置。例如,机箱 ID 在两个对等方上必须是唯一的,而 LACP 模式在两个对等方上必须相同。
一致性要求(相同或唯一)的实施级别是强制性的,也可以是所需的。如果实施级别为必需,且 MC-LAG 参数配置不正确,系统将关闭接口并发出系统日志消息。
例如,您收到一条系统日志消息,内容如下: “Some of the Multichassis Link Aggregation (MC-LAG) configuration parameters between the peer devices are not consistent. The concerned MC-LAG interfaces were explictly brought down to prevent unwanted behavior.” 当您纠正不一致并发出成功提交时,系统将启动该接口。如果需要实施,但 MC-LAG 参数配置不正确,您会收到一条系统日志消息,内容如下: "Some of the Multichassis Link Aggregation(MC-LAG) configuration parameters between the peer devices are not consistent. This may lead to sub-optimal performance of the feature." 如系统日志消息中所述,在这种情况下,性能将次优。您还可以发出 show interfaces mc-ae 命令来显示多机箱聚合以太网接口的配置一致性检查状态。
如果存在多个不一致,则仅显示第一个不一致。如果 MC-LAG 参数的实施级别是必需的,并且您没有正确配置该参数,则命令会显示 MC-LAG 接口已关闭。
无法访问远程对等方时
当您在本地对等方上发出提交,并且无法访问远程对等方时,配置一致性检查将通过,以便本地对等方可以以独立模式启动。当远程对等方启动时,ICCP 将在对等方之间交换配置。如果一致性检查失败,MC-LAG 接口将关闭,并且系统会通知您导致不一致的参数。更正不一致并成功提交后,系统将启动该接口。
启用 MC-LAG 配置一致性检查
默认情况下,一致性检查处于启用状态。 表 1 提供了检查一致性的已提交 MC-LAG 参数的示例列表,以及它们的一致性要求(相同或唯一)、配置参数的层次结构以及一致性检查实施级别(必需或所需)。
配置旋钮 |
层次结构 |
一致性要求 |
实施 |
|---|---|---|---|
|
指定必须在对等方之间建立机箱间控制协议 (ICCP) 连接的时间。 |
|
|
|
|
指定要与接口关联的最大 MAC 地址数。 |
|
|
|
|
指定要与 MC-AE 接口关联的最大 MAC 地址数。 |
|
|
|
|
指定要与 VLAN 关联的最大 MAC 地址数 — 默认设置为无限制,这会使网络容易受到泛洪攻击。 |
|
|
|
|
指定 MAC 地址在以太网交换表中保留的时间。 |
|
|
|
|
为逻辑接口 |
|
|
|
|
为不同的 RSTP 路由实例指定不同的网桥标识符。 |
|
|
|
|
为不同的 MSTP 路由实例指定不同的网桥标识符。 |
|
|
|
|
确定选哪个网桥作为 RSTP 的根网桥。如果两个网桥到根网桥的路径成本相同,则网桥优先级将确定哪一个网桥成为 LAN 分段的指定网桥。 |
|
|
|
|
确定选哪个网桥作为 MSTP 的根网桥。如果两个网桥到根网桥的路径成本相同,则网桥优先级将确定哪一个网桥成为 LAN 分段的指定网桥。 |
|
|
|
|
在交换机的所有边缘端口上配置 RSTP 的桥接协议数据单元 (BPDU) 保护。 |
|
|
|
|
在交换机的所有边缘端口上配置 VSTP 的桥接协议数据单元 (BPDU) 保护。 |
|
|
|
|
在交换机的所有边缘端口上配置 MSTP 的桥接协议数据单元 (BPDU) 保护。 |
|
|
|
|
为属于链路聚合组 (LAG) 的每个多机箱聚合以太网接口指定服务标识符。 |
|
|
|
|
配置本地路由设备传输 hello 数据包,然后期望从已与其建立 BFD 会话的邻接方接收回复的最小间隔。 |
|
|
|
|
指定本地路由设备将 hello 数据包传输到已与之建立 BFD 会话的邻接方的最小间隔。 |
|
|
|
|
指定本地路由设备必须从已与其建立 BFD 会话的邻接方接收回复的最短间隔时间。 |
|
|
|
|
配置邻接方未收到的因导致始发接口声明关闭的 hello 数据包数。 |
|
|
|
|
配置单跳 BFD 会话。 |
|
|
|
|
指定身份验证密钥密码以验证从托管 MC-LAG 的对等方发送的数据包的真实性。 |
|
|
|
|
指定冗余组标识号。机箱间控制协议 (ICCP) 使用冗余组 ID 来关联执行类似冗余功能的多个机箱。 |
|
|
|
|
通过两个机箱间控制协议 (ICCP) 对等方之间的管理链路交换激活消息,确定对等方是启动还是关闭。 |
|
|
|
|
指定 MC-LAG 设备的识别号。 |
|
|
|
|
由 ICCP 用于关联执行类似冗余功能的多个机箱,并建立通信通道,以便对等机箱上的应用程序可以相互发送消息。 |
|
|
|
|
由 LACP 用于计算 MC-LAG 物理成员链路的端口号。 |
|
|
|
|
指示 MC-LAG 是处于主动-备用模式还是主动-主动模式。 |
|
|
|
|
指定在发生机箱间链路故障时,机箱是变为活动状态还是保持备用模式。 |
|
|
|
|
指定如果 ICCP 对等方发生故障,系统将停用机箱间链路逻辑接口。 |
|
|
|
|
指定在配置为 |
|
|
|
|
指定 LACP 是主动的还是被动的。 |
|
|
|
|
指定定期传输 LACP 数据包的时间间隔。 |
|
|
|
|
在聚合以太网接口级别定义 LACP 系统标识符。 |
|
|
|
|
为路由器或交换机指定管理密钥。 |
|
|
|
|
为端口上的未标记数据包配置混合标记支持。 |
|
|
|
|
同步参与 MC-LAG 的交换机的第 3 层接口的 MAC 地址。 |
|
|
|
|
配置可从桥接域、VLAN、虚拟交换机或一组桥接域或 VLAN 获知的 MAC 地址数量限制。 |
|
|
|
|
将第 3 层接口与 VLAN 进行关联。 |
|
|
|
|
启用 IGMP 侦听。第 2 层设备监控从每个连接主机发送到组播路由器的 IGMP 加入和离开消息。这使第 2 层设备能够跟踪组播组和关联的成员端口。第 2 层设备使用此信息做出智能决策,并仅将组播流量转发至预期的目标主机。 |
|
|
|
|
指定在逻辑接口上配置的协议家族。 |
|
|
|
|
为 IRB 接口指定 IPv4 地址。 |
|
|
|
|
为 IRB 接口指定 IPv6 地址。 |
|
|
|
|
指定 VRRP 组标识符。 |
|
|
|
|
仅对于以太网接口,只要路由器或交换机具有到 ARP 请求目标地址的活动路由,即可将路由器或交换机配置为响应任何 ARP 请求。 |
|
|
|
|
配置虚拟路由器冗余协议 (VRRP) 路由器优先级,以便成为主默认路由器。组中优先级最高的路由器将成为主路由器。 |
|
|
|
|
配置虚拟路由器冗余协议 (VRRP) IPv4 身份验证密钥。还必须通过包含 身份验证-type 语句来指定 VRRP 身份验证方案。 |
|
|
|
|
启用虚拟路由器冗余协议 (VRRP) IPv4 身份验证,并指定 VRRP 组的身份验证方案。 |
|
|
|
|
配置虚拟路由器冗余协议 (VRRP) IPv4 或 IPv6 组中的虚拟路由器地址。 |
|
|
|
|
配置逻辑链路层封装类型。 |
|
|
|
|
支持在同一以太网端口上的逻辑接口和伪线逻辑接口上同时传输 802.1Q VLAN 单标记帧和双标记帧。 |
|
|
|
|
对于快速以太网和千兆以太网接口、为 VPLS 配置的聚合以太网接口以及伪线用户接口,允许在接口上接收和传输 802.1Q VLAN 标记帧。 |
|
|
|
|
指定介质或协议的最大传输单元 (MTU) 大小。 |
|
|
|
|
确定逻辑接口是基于 VLAN 标记接受还是丢弃数据包。 |
|
|
|
|
指定属于接口的 VLAN 的名称。 |
|
|
|
了解配置一致性检查的状态
以下命令提供有关配置一致性检查状态的信息:
发出 show multi-chassis mc-lag configuration-consistency list-of-parameters 命令,查看已检查不一致的已提交 MC-LAG 参数列表、一致性要求(相同或唯一)以及实施级别(必需或所需)。
发出 show multi-chassis mc-lag configuration-consistency 命令,查看已检查不一致的已提交 MC-LAG 参数列表、一致性要求(相同或唯一)、实施级别(强制或所需)以及配置一致性检查的结果。结果要么通过,要么失败。
发出 show multi-chassis mc-lag configuration-consistency global-config 命令,查看与 MC-LAG 功能相关的所有全局配置的配置一致性检查状态、一致性要求(相同或唯一)、实施级别(必需或所需)以及配置一致性检查的结果。结果要么通过,要么失败。
发出 show multi-chassis mc-lag configuration-consistency icl-config 命令,查看与机箱间控制链路、一致性要求(相同或唯一)、实施级别(必需或所需)以及配置一致性检查结果相关的参数的配置一致性检查状态。结果要么通过,要么失败。
发出 show multi-chassis mc-lag configuration-consistency mcae-config 命令,查看与多机箱聚合以太网接口相关的参数的配置一致性检查状态、一致性要求(相同或唯一)、实施级别(强制或所需)以及配置一致性检查结果。结果要么通过,要么失败。
发出 show multi-chassis mc-lag configuration-consistency vlan-config 命令,查看与 VLAN 配置、一致性要求(相同或唯一)、实施级别(强制或所需)以及配置一致性检查结果相关的参数的配置一致性检查状态。结果要么通过,要么失败。
发出 show multi-chassis mc-lag configuration-consistency vrrp-config 命令,查看与 VRRP 配置、一致性要求(相同或唯一)、实施级别(强制或所需)以及配置一致性检查结果相关的参数的配置一致性检查状态。结果要么通过,要么失败。
发出 show interfaces mc-ae 命令,查看多机箱聚合以太网接口的配置一致性检查状态。如果存在多个不一致,则仅显示第一个不一致。如果 MC-LAG 参数的实施级别是必需的,并且您没有正确配置该参数,则命令将显示 MC-LAG 接口已关闭。
也可以看看
未知单播和 IGMP 侦听
-
在 MC-LAG 对等方重新启动期间,已知组播流量将泛洪,直到 IGMP 侦听状态与对等方同步。
-
如果两个对等方都具有虚拟 LAN 成员资格,则跨对等方的所有链路上都会发生泛洪。
只有一个对等方在给定的 MC-LAG 链路上转发流量。
-
通过将 ICL 端口添加为组播路由器端口,可以在对等方之间转发已知和未知组播数据包。
-
在 MC-LAG 链路上获知的 IGMP 成员资格将跨对等方传播。
您必须配置
multichassis-lag-replicate-state互联网组管理协议 (IGMP) 侦听语句,才能在 MC-LAG 环境中正常工作。
第 3 层单播功能支持
第 3 层单播功能支持包括:
-
VRRP 主动-备用支持可通过 MC-AE 接口实现第 3 层路由。
-
通过路由 VLAN 接口 (RVI) 或 IRB MAC 地址同步,MC-LAG 对等方能够使用自己的 RVI 或 IRB MAC 地址或对等方 RVI 或 IRB MAC 地址,转发到达 MC-AE 接口的第 3 层数据包。
-
地址解析协议 (ARP) 同步可在两个 MC-LAG 对等方上实现 ARP 解析。
-
使用选项 82 的 DHCP 中继可在 MC-LAG 对等方上启用选项 82。Option 82 提供有关 DHCP 客户端的网络位置的信息。DHCP 服务器使用此信息为客户端实施 IP 地址或其他参数。
MAC 地址管理
如果将 MC-LAG 配置为主动-主动,则上行和下行流量可能会通过不同的 MC-LAG 对等设备。由于仅在其中一个 MC-LAG 对等方上学习 MAC 地址,因此相反方向的流量可能会通过另一个 MC-LAG 对等方,从而不必要的网络泛洪。此外,仅在其连接的 MC-LAG 对等方上学习单宿主客户端的 MAC 地址。如果连接到对等方 MC-LAG 网络设备的客户端需要与该单宿主客户端通信,则流量将在对等方 MC-LAG 网络设备上泛洪。为避免不必要的泛洪,每当在其中一个 MC-LAG 对等方上学习 MAC 地址时,该地址就会复制到另一个 MC-LAG 对等方。执行 MAC 地址复制时,应用以下条件:
当 IRB 或 RVI 接口上的 MAC 地址发生变化时,不会发送无偿 ARP 请求。
-
在一个 MC-LAG 对等方的 MC-LAG 上学习的 MAC 地址必须复制在另一个 MC-LAG 对等方的同一 MC-LAG 上学习的地址。
-
在一个 MC-LAG 对等方的单宿主 客户边缘 (客户边缘) 客户端上学习的 MAC 地址必须按照在另一个 MC-LAG 对等方的 ICL 接口上学习的地址进行复制。
-
ICL 上的 MAC 地址学习将从数据路径中禁用。安装通过 ICCP 复制的 MAC 地址取决于软件。
如果您的 VLAN 未配置 IRB 或 RVI ,则 MAC 地址复制将同步 MAC 地址。
MAC 老化
Junos OS 中的 MAC 老化支持可扩展指定 MC-LAG 的聚合以太网逻辑。在所有数据包转发引擎都删除 MAC 地址之前,不会删除软件中的 MAC 地址。
地址解析协议主动-主动 MC-LAG 支持 方法
地址解析协议 (ARP) 将 IP 地址映射到 MAC 地址。Junos OS 使用 ARP 响应数据包侦听来支持主动-主动 MC-LAG,从而提供轻松同步,而无需维护任何特定状态。如果不同步,如果一个 MC-LAG 对等方发送 ARP 请求,而另一个 MC-LAG 对等方收到响应,则 ARP 解析不成功。通过同步,MC-LAG 对等方在接收 ARP 响应的 MC-LAG 对等方嗅探数据包并将其复制到另一个 MC-LAG 对等方,从而同步 ARP 解析。这可确保 MC-LAG 对等方上 ARP 表中的条目一致。
当其中一个 MC-LAG 对等方重新启动时,其 MC-LAG 对等方上的 ARP 目标将同步。由于 ARP 目标已解析,其 MC-LAG 对等方可以从多机箱聚合以太网接口转发第 3 层数据包。
使用 Option 82 的 DHCP 中继
带选项 82 的 DHCP 中继可提供有关 DHCP 客户端的网络位置的信息。DHCP 服务器使用此信息为客户端实施 IP 地址或其他参数。启用 DHCP 中继后,DHCP 请求数据包可能会通过任一 MC-LAG 对等方到 DHCP 服务器。由于 MC-LAG 对等方具有不同的主机名、机箱 MAC 地址和接口名称,因此在使用选项 82 配置 DHCP 中继时,需要遵守以下要求:
如果您的环境仅支持 IPv6,或者出于其他原因必须使用扩展 DHCP 中继代理 (jdhcp) 进程,则变通方法是使用 forwarding-options dhcp-relay forward-only IPv4 命令和 forwarding-options dhcpv6 forward-only IPv6 命令配置仅向前支持。还必须验证网络中的 DHCP 服务器是否支持 option 82。
-
使用接口描述而非接口名称。
-
请勿将主机名用作电路 ID 或远程 ID 字符串的一部分。
-
请勿将机箱 MAC 地址用作远程 ID 字符串的一部分。
-
不要启用供应商 ID。
-
如果 ICL 接口收到 DHCP 请求数据包,则丢弃数据包以避免网络中出现重复数据包。
命令
show helper statistics中添加了一个被调用Due to received on ICL interface的计数器,用于跟踪 ICL 接口丢弃的数据包。CLI 输出示例如下:
user@switch> show helper statistics BOOTP: Received packets: 6 Forwarded packets: 0 Dropped packets: 6 Due to no interface in DHCP Relay database: 0 Due to no matching routing instance: 0 Due to an error during packet read: 0 Due to an error during packet send: 0 Due to invalid server address: 0 Due to no valid local address: 0 Due to no route to server/client: 0 Due to received on ICL interface: 6输出显示 ICL 接口上收到的 6 个数据包已被丢弃。
支持的第 2 层单播功能
-
注意:
ICL 上的 MAC 学习会自动禁用。因此,无法在 ICL 上本地获知源 MAC 地址。但是,可以将来自远程 MC-LAG 节点的 MAC 地址安装在 ICL 接口上。例如,可以将远程 MC-LAG 节点上单宿主客户端的 MAC 地址安装在本地 MC-LAG 节点的 ICL 接口上。
第 2 层单播学习和老化的工作原理:
-
对于在对等方之间生成的所有 VLAN,获知的 MAC 地址将跨 MC-LAG 对等方传播。
-
当在两个对等方上都看不到 MAC 地址时,就会发生 MAC 地址老化。
-
在单宿主链路上学习的 MAC 地址将传播到以 MC-LAG 链路作为成员的所有 VLAN。
协议无关组播
协议无关组播 (PIM) 和 互联网组管理协议 (IGMP) 为第 3 层组播提供支持。除了 PIM作的标准模式外,还有一种特殊模式称为 PIM 双指定路由器。PIM 双指定路由器可在发生故障时最大限度减少组播流量损失。
如果您使用的是第 3 层组播,请在活动 MC-LAG 对等方上配置具有高 IP 地址或高指定路由器优先级的 IP 地址。
EX9200 和 QFX10000 交换机不支持 PIM 双指定路由器。
以下章节将讨论 PIM作:
使用正常模式的 PIM作 指定路由器选择
在选择指定路由器的正常模式下,两个 MC-LAG 对等方上的 IRB 或 RVI 接口均配置为启用了 PIM。在此模式下,通过 PIM 指定路由器选择机制,其中一个 MC-LAG 对等方成为指定路由器。选定的指定路由器会维护集合点树 (RPT) 和 最短路径树 (SPT), 以便可以从源设备接收数据。当选的指定路由器参与朝向汇聚点或源的定期 PIM 加入和删除活动。
启动这些加入和删除活动的触发器是从相关接收方收到的 IGMP 成员资格报告。通过多机箱聚合以太网接口(可能在任一 MC-LAG 对等方上进行散列)和单宿主链路接收的 IGMP 报告将通过 ICCP 同步到 MC-LAG 对等方。
两个 MC-LAG 对等方都在其传入接口 (IIF) 上接收流量。非指定路由器通过充当组播路由器 (mrouter) 接口的 ICL 接口接收流量。
如果指定路由器发生故障,则非指定路由器必须构建整个转发树(RPT 和 SPT),这可能会导致组播流量丢失。
双指定路由器模式的 PIM作
在双指定路由器模式下,两个 MC-LAG 对等方都充当指定路由器(主用和备用),向上游向汇聚点或源发送定期加入和删除消息,最终加入 RPT 或 SPT。
主 MC-LAG 对等方会将组播流量转发到接收设备,即使备用 MC-LAG 对等方的优先级指标较小也是如此。
备用 MC-LAG 对等方也会加入转发树并接收组播数据。备用 MC-LAG 对等方丢弃数据,因为它有一个空的传出接口列表 (OIL)。当备用 MC-LAG 对等方检测到主 MC-LAG 对等方故障时,它会将接收方 VLAN 添加到 OIL,并开始转发组播流量。
要启用组播双指定路由器,请在每个 MC-LAG 对等方的 VLAN 接口上发出 set protocols pim interface interface-name dual-dr 命令。
故障处理
为确保在故障期间更快地融合,请在主 MC-LAG 对等方上配置具有更高 IP 地址或更高指定路由器优先级的 IP 地址。这样做可确保在 PIM 对等发生故障时,主 MC-LAG 对等方保留指定的路由器成员资格。
为确保在 MC-AE 接口出现故障时流量融合,ICL-PL 接口始终添加为 mrouter 端口。第 3 层流量通过 ICL-PL 接口上的默认条目或窥探条目泛洪,并在 MC-LAG 对等方上的 MC-AE 接口上转发。如果 ICL-PL 接口中断,PIM 邻居关系也会中断。在这种情况下,两个 MC-LAG 对等方都成为指定的路由器。备用 MC-LAG 对等方关闭其链路,路由对等关系丢失。如果 ICCP 连接中断,备用 MC-LAG 对等方将更改 LACP 系统 ID,并关闭 MC-AE 接口。PIM 邻居的状态保持运行。
IGMP 报告同步
通过 MC-AE 接口和单宿主链路接收的 IGMP 报告将同步到 MC-LAG 对等方。MC-LAG 对等方上的 MCSNOOPD 客户端应用通过 ICCP 接收同步数据包,然后使用路由套接字PKT_INJECT机制将数据包的副本发送到内核。当内核收到数据包时,它会将数据包发送至路由协议进程 (rpd) 在 MC-LAG VLAN 上配置 的路由 VLAN 接口 (RVI ) 上启用第 3 层组播协议,如 PIM 和 IGMP。
MC-LAG 主动-主动模式下的 IGMP 侦听
MX240 路由器、MX480 路由器、MX960 路由器和 QFX 系列交换机支持在 MC-LAG 主动-主动模式下进行 IGMP 侦听。
包括以下主题:
- MC-LAG 主动-主动模式中的 IGMP 侦听功能
- 通常支持的网络拓扑,用于使用 MC-LAG 主动-主动桥接的 IGMP 侦听
- 由远程机箱上收到的数据包触发的控制平面状态更新
- 数据转发
- 纯第 2 层拓扑,没有集成路由和桥接
- 合格学习
- 通过合格学习进行数据转发
- 单宿主接口上的静态组
- 作为多机箱链路的面向路由器的接口
MC-LAG 主动-主动模式中的 IGMP 侦听功能
支持多机箱链路聚合组 (MC-LAG) 主动-主动模式和主动-备用模式下的 IGMP 侦听。MC-LAG 允许一台设备与两个或多个网络设备形成逻辑 LAG 接口。MC-LAG 提供额外的优势,包括节点级冗余、多宿主和无需运行生成树协议 (STP) 的无环路第 2 层网络。支持以下功能:
-
在仅包含第 2 层接口的桥接域中进行 IGMP 侦听的对等方之间的状态同步
-
合格学习
-
面向路由器的多机箱链路
支持通过集成路由和桥接 (IRB) 对主动-主动桥接和虚拟路由器冗余协议 (VRRP) 进行以下增强功能:
-
MC-LAG 支持纯第 2 层交换机中的 IGMP 侦听
-
MC-LAG 支持桥接域中的 IGMP 侦听 进行限定学习
-
支持 MC-Link 作为面向路由器的接口
支持 not 以下功能:
-
用于 VPLS 实例的 MC-LAG
-
MC-Link 中继端口
-
主动-主动的代理模式
-
根据需要将机箱间链路添加到传出接口
机箱间链路可作为面向路由器的接口添加到传出接口列表中。
通常支持的网络拓扑,用于使用 MC-LAG 主动-主动桥接的 IGMP 侦听
图 1 描述了一种典型的网络拓扑,支持通过 MC-LAG 主动-主动桥接进行 IGMP 侦听。
主动-主动的典型网络
接口 I3 和 I4 是单宿主接口。多机箱链路 ae0.0 和 ae0.1 属于两个机箱中的同一网桥域。接口 I3、ae0.0 和 ae0.1 位于辅助活动 (S-A) 路由器的同一网桥域中。接口 I4、ae0.0 和 ae0.1 位于主活动 (P-A) 路由器的同一网桥域中。接口 I3、I4、ae0.0 和 ae0.1 与连接两个机箱的机箱间链路 (ICL) 位于相同的学习域中。
主活动路由器是机箱,其中集成路由和桥接已变为 PIM-DR。辅助活动路由器是集成路由和桥接不是 PIM-DR 的机箱。路由器 P-A 是负责从 IP 核心提取流量的机箱。因此,PIM-DR 选择用于避免数据流量的重复。
合格 学习中介绍了学习领域。
对于学习域中的 IGMP 发送方(主机和路由器),P-A 和 S-A 一起应显示为接口 I4、I3、ae0.0 和 ae0.1 的一台设备。
多机箱链路上不得发送重复的控制数据包,这意味着控制数据包应仅通过一个链路发送。
由远程机箱上收到的数据包触发的控制平面状态更新
以下是由远程机箱上收到的数据包触发的控制平面状态更新:
-
第 3 层组播路由中的成员资格状态将根据在连接到远程机箱的多机箱链路和 S 链路的远程支路上获知的报告而更新。
-
当在多机箱链路的远程分支上收到报告时,窥探中的成员身份状态和路由条目将更新。
-
在连接到远程机箱的 S 链路上收到报告时,不会更新侦听中的成员身份状态或路由条目。
-
在 PE 路由器之间同步组播侦听状态时,不会同步计时器(例如组成员资格超时计时器)。当收到同步通知时,接收通知的远程PE路由器启动或重启相关计时器。
-
只要传出接口列表仅涉及多机箱链路,则在侦听的两个机箱中,维护状态的 <,>g 列表是相同的。
数据转发
本讨论假定路由器 P-A 上的集成路由和桥接是 PIM-DR。它从核心中的来源提取流量。流量也可能来自桥接域中的第 2 层接口。对于直接连接到 P-A 机箱的主机,数据传输方式没有变化。
为了将流量传输到 I3 等单宿主链路上连接到 S-A(即非 DR)的主机,我们依赖于机箱间链路。到达 P-A 的流量通过 ICL 发送到 S-A,然后传送到已报告 s,g 兴趣的链路和面向路由器的链路。
当 P-A 中的 ae0 分支中断时,连接到多机箱链路的主机将通过 ICL 接收流量。在 S-A 中,ICL 上收到的流量将发送到传出接口列表中的多机箱链路,而 P-A 中的 ae 对应项已关闭。
合格学习
在此拓扑中,接口 I1、I2、I3、I4、I5、I6、I7、I8、I9 和 I10 都是单宿主接口。多机箱链路 ae0.0 和 ae0.1 属于两个机箱中的同一网桥域。接口 I10、I1、I7、I3、I5、ae0.0 和 ae0.1 位于同一桥域中,P-A 中的 bd1。接口 I9、I2、I8、I4、I6、ae0.0 和 ae0.1 位于同一网桥域中,即 S-A 中的 bd1。
本讨论假定以下配置:
-
在 PA 和 SA 中,合格学习在 bd1 中开启。
-
接口 I1、I2、I3、ae0.0 和 I4 属于 vlan1,学习域 ld1。
-
接口 I7、I8、I5、ae0.1 和 I6 属于 vlan2 学习域 ld2。
-
接口 I9 和 I10 属于 vlan3,学习域 ld3。
对于处于相同学习域 ld1 中的 IGMP 发送方(主机和路由器),链接的 P-A 和 S-A 应显示为一台交换机。
对于处于相同学习域 ld2 中的 IGMP 发送方(主机和路由器),链接的 P-A 和 S-A 应显示为一台交换机。
由于学习域 ld3 中没有多机箱链路,因此对于学习域 ld3 中的 IGMP 发送方(主机和路由器),P-A 和 S-A 将不会显示为一台交换机。
本讨论假设机箱间链路 ICL1 对应于学习域 ld1,机箱间链路 ICL2 对应于学习域 ld2。
支持控制数据包流,但将信息传递给 IRB 除外。
通过合格学习进行数据转发
本讨论假定有一个学习域 (LD) ld1,并进一步假设路由器 P-A 上的接口 I1 连接到学习域中的 PIM-DR,并从核心中的源拉取流量。
为了将流量传输到连接到单宿主链路(如 I2、I4(属于 ld1)上的路由器 S-A(即非 DR)的主机,我们依靠 ICL1。在接口 I1 上命中路由器 P-A 的流量通过机箱间链路 ICL1 发送到路由器 S-A,然后传送到已报告 s,g 兴趣的链路或学习域 ld1 中面向路由器的链路。
当路由器 P-A 中的接口 ae0 分支出现故障时,连接到多机箱链路的主机将使用机箱间链路 ICL1 接收来自接口 I1 的流量。在路由器 S-A 中,机箱间链路 ICL1 上收到的流量将被发送至出接口列表中的多机箱链路,路由器 P-A 中的聚合以太网对应节点已关闭。
进一步假设路由器 S-A 中的接口 I9 属于学习域 ld3,对 s,g 感兴趣,而路由器 P-A 中学习域 ld3 中的接口 I10 接收 s,g 的流量。接口 I9 不会在此拓扑中接收数据,因为没有多机箱链路(在 A-A 模式下),因此学习域 ld3 中没有机箱间链路。
单宿主接口上的静态组
对于多机箱链路,静态组配置应存在于两个支路上,并且不需要与其他机箱同步。
不支持在机箱之间的单宿主接口上同步静态组。但是,将逻辑接口添加到默认传出接口列表支持将流量传输到静态配置中的接口。
作为多机箱链路的面向路由器的接口
IGMP 查询可以到达多机箱链路的任一分支,但在这两个对等方中,多机箱链路都应被视为面向路由器的链路。
报告只能从多机箱链路退出一次,即仅从一个支路退出。
IRB 中的 IGMP 侦听提供以下 MC-LAG 支持:
-
非代理侦听
-
逻辑接口必须是所有路由的传出接口,包括默认路由
-
纯第 2 层交换机中的 IGMP 侦听
-
在桥接域中进行 IGMP 侦听 进行限定学习
-
面向路由器的接口 MC-Link
支持 not 以下功能:
-
主动-主动的代理模式
-
VPLS 实例支持 MC-LAG
-
中继端口作为多机箱链路
-
根据需要向传出接口添加逻辑接口。
但是,逻辑接口始终作为面向路由器的接口添加到传出接口列表中。
也可以看看
了解 FCoE 中继交换机上的 MC-LAG
使用 MC-LAG 为以以太网光纤通道 (FCoE) 流量提供冗余聚合层。
本主题将介绍如下内容:
支持的 MC-LAG 拓扑
要支持跨 MC-LAG 的 FCoE 流量无损传输,您必须在带有 MC-LAG 端口成员的两台交换机上配置适当的 服务等级 (CoS)。两台 MC-LAG 交换机上的 CoS 配置必须相同,因为 MC-LAG 不携带转发类和 IEEE 802.1p 优先级信息。
未直接连接到 FCoE 主机且充当直通中转交换机的交换机支持 MC-LAG,用于倒 U 网络拓扑中的 FCoE 流量。 图 3 显示了使用 QFX3500 交换机的倒 U 拓扑。
独立交换机支持 MC-LAG。虚拟机箱和混合模式虚拟机箱交换矩阵 (VCF) 配置不支持 FCoE。只有纯 QFX5100 VCF(仅由 QFX5100 交换机组成)支持 FCoE。
属于 FCoE-光纤通道 网关配置(虚拟 FCoE-光纤通道 网关交换矩阵)的端口不支持 MC-LAG。作为 MC-LAG 成员的端口可用作直通中转交换机端口。
当用于 FCoE 流量时,以下规则和准则适用于 MC-LAG。这些规则和准则有助于确保 FCoE 流量所需的正确处理和无损传输特性。
构成 MC-LAG 的两台交换机(交换机 S1 和 S2)不能使用属于 FCoE-光纤通道交换矩阵的端口。MC-LAG 交换机端口必须是直通中继交换机端口(用作未直接连接到 FCoE 主机的中间中继交换机的一部分)。
MC-LAG 交换机 S1 和 S2 不能直接连接到 FCoE 主机。
用作 FCoE 主机接入设备的两台交换机(FCoE 中继交换机 TS1 和 TS2)使用标准 LAG 连接到 MC-LAG 交换机 S1 和 S2。FCoE 中继交换机 TS1 和 TS2 可以是独立交换机。
中转交换机 TS1 和 TS2 必须将中继交换机端口用于 FCoE 主机,以及用于 MC-LAG 交换机 S1 和 S2 的标准 LAG。
在中转交换机 TS1 和 TS2 上的 FCoE VLAN 上启用 FIP 侦听。您可以配置VN_Port到VF_Port (VN2VF_Port) FIP 侦听或VN_Port到VN_Port (VN2VN_Port) FIP 侦听,具体取决于FCoE主机是需要访问 光纤通道 SAN 中的目标(VN2VF_Port FIP 侦听)还是以太网中的目标(VN2VN_Port FIP 侦听)。
FIP 侦听应在接入边缘执行,MC-LAG 交换机不支持。不要在 MC-LAG 交换机 S1 和 S2 上启用 FIP 侦听。(请勿在将 S1 和 S2 连接到 交换机 TS1 和 TS2 的 MC-LAG 端口或将交换机 S1 连接到 S2 的 LAG 端口上启用 FIP 侦听交换机。)
注意:QFX10000 交换机不支持 FIP 侦听;因此,在此拓扑中,它们不能用作 FIP 侦听接入交换机(中转交换机 TS1 和 TS2)。
MC-LAG 交换机上的 CoS 配置必须一致。由于 MC-LAG 不携带转发类或优先级信息,因此每台 MC-LAG 交换机都需要具有相同的 CoS 配置,以支持无损传输。(在每台 MC-LAG 交换机上,每个转发类的名称、出口队列和 CoS 调配必须相同,并且基于优先级的流控制 (PFC) 配置必须相同。
中转交换机(服务器接入)
FCoE 中继交换机 TS1 和 TS2 的作用是以多宿主方式将 FCoE 主机连接到 MC-LAG 交换机,因此中继交换机 TS1 和 TS2 充当 FCoE 主机的接入交换机。(FCoE 主机直接连接到中转交换机 TS1 和 TS2。)
中转交换机的配置取决于您是要执行VN2VF_Port FIP 侦听还是VN2VN_Port FIP 侦听,以及中转交换机是否也将端口配置为FCoE光纤通道网关虚拟结构的一部分。QFX3500 交换机在 FCoE-光纤通道虚拟结构中使用的端口不能包含在与 MC-LAG 交换机的中转交换机 LAG 连接中。(端口不能同时属于中转交换机和 FCoE-光纤通道;您必须为每种作模式使用不同的端口。)
MC-LAG 交换机(FCoE 聚合)
MC-LAG 交换机 S1 和 S2 的作用是在 FCoE 中继交换机之间提供冗余、负载平衡的连接。MC-LAG 交换机 S1 和 S2 充当聚合交换机。FCoE 主机未直接连接到 MC-LAG 交换机。
无论 TS1 和 TS2 执行哪种类型的 FIP 侦听 FCoE 中继交换机,MC-LAG 交换机配置都是相同的。
FIP 侦听和 FCoE 可信端口
要保持安全访问,请在直接连接到FCoE主机的中转交换机接入端口启用VN2VF_Port FIP 侦听或VN2VN_Port FIP 侦听。应在网络的接入边缘执行 FIP 侦听,以防止未经授权的访问。例如,在 图 3 中,您对传输交换机 TS1 和 TS2 上的FCoE VLAN 启用 FIP 侦听,这些 VLAN 包括连接到 FCoE 主机的接入端口。
不要在用于创建 MC-LAG 的交换机上启用 FIP 侦听。例如,在 图 3 中,您无法在交换机 S1 和 S2 上的 FCoE VLAN 上启用 FIP 侦听。
将交换机之间的链路配置为 FCoE 信任端口,以减少 FIP 侦听开销,并确保系统仅在接入边缘执行 FIP 侦听。在示例拓扑中,将连接到 MC-LAG 交换机的中转交换机 TS1 和 TS2 LAG 端口配置为 FCoE 可信端口,将连接到交换机 TS1 和 TS2 的交换机 S1 和 S2 交换机 MC-LAG 端口配置为 FCoE 可信端口,并将 LAG 中将交换机 S1 连接到 S2 的端口配置为 FCoE 可信端口。
CoS 和数据中心桥接 (DCB)
MC-LAG 链路不传输转发类或优先级信息。以下 CoS 属性在每台 MC-LAG 交换机或每个 MC-LAG 接口上必须具有相同的配置,以支持无损传输:
FCoE 转发类名称 — 例如,FCoE 流量的转发类可以在两台 MC-LAG 交换机上使用默认
fcoe转发类。FCoE 输出队列 — 例如,
fcoe转发类可以映射到两台 MC-LAG 交换机上的队列 3(队列 3 是转发类的fcoe默认映射)。分类器 — FCoE 流量的转发类必须映射到两台 MC-LAG 交换机上 MC-LAG 每个成员接口上的同一 IEEE 802.1p 代码点。例如,FCoE 转发类
fcoe可以映射到 IEEE 802.1p 代码点011(代码点011是转发类的fcoe默认映射)。基于优先级的流控制 (PFC) — 必须在每台 MC-LAG 交换机上的 FCoE 代码点上启用 PFC,并使用拥塞通知配置文件应用于每个 MC-LAG 接口。
您还必须在 MC-LAG 接口上配置增强型传输选择 (ETS),以便为无损传输提供足够的调度资源(带宽、优先级)。每台 MC-LAG 交换机上的 ETS 配置可以不同,只要计划了足够的资源来支持预期 FCoE 流量的无损传输即可。
必须在每个 MC-LAG 成员接口上启用链路层发现协议 (LLDP) 和数据中心桥接功能交换协议 (DCBX)(默认情况下,所有接口均启用 LLDP 和 DCBX)。
与所有其他 FCoE 配置一样,FCoE 流量需要仅承载 FCoE 流量的专用 VLAN,并且必须在 FCoE VLAN 上禁用 IGMP 侦听。
了解与 Junos Fusion Enterprise 和 MC-LAG 的 EVPN-MPLS 互连
从 Junos OS 17.4R1 版开始,您可以使用以太网 VPN (EVPN) 通过 MPLS 网络将 Junos Fusion Enterprise 或多机箱链路聚合组 (MC-LAG) 网络扩展到数据中心或园区网络。引入此功能后,您现在可以互连分散的园区和数据中心站点,以形成单个第 2 层虚拟网桥。
图 4 显示了一个 Junos Fusion Enterprise 拓扑,其中有两台 EX9200 交换机用作卫星设备多宿主的聚合设备(PE2 和 PE3)。这两个聚合设备使用 MC-LAG 提供的机箱间链路 (ICL) 和机箱间控制协议 (ICCP) 协议来连接和维护 Junos Fusion Enterprise 拓扑。EVPN-MPLS 环境中的 PE1 与带有 MC-LAG 的 Junos Fusion Enterprise 中的 PE2 和 PE3 互连。
互连
图 5 显示了 MC-LAG 拓扑,其中客户边缘(客户边缘)设备 CE1 与 PE2 和 PE3 多宿主。PE2 和 PE3 使用 MC-LAG 中的 ICL 和 ICCP 协议来连接和维护拓扑。EVPN-MPLS 环境中的 PE1 与 MC-LAG 环境中的 PE2 和 PE3 互连。
互连
在本主题中, 图 4 和 图 5 作为说明各种场景和要点的参考。
图 4 和图 5 中描述的用例需要在 PE2 和 PE3 上配置主动-主动模式下的 EVPN 多宿主以及 MC-LAG。具有多宿主主动-主动和 MC-LAG 的 EVPN 有自己的转发逻辑来处理流量,特别是广播、未知单播和组播 (BUM) 流量。有时,具有多宿主主动-主动和 MC-LAG 的 EVPN 的转发逻辑会相互矛盾并导致问题。本主题介绍这些问题以及 EVPN-MPLS 互连功能如何解决这些问题。
除了本主题中描述的特定于 EVPN-MPLS 互通的实施之外,EVPN-MPLS、Junos Fusion Enterprise 和 MC-LAG 可提供与独立功能相同的功能和功能。
- 将 EVPN-MPLS 与 Junos Fusion Enterprise 和 MC-LAG 配合使用的优势
- BUM 流量处理
- 水平分割
- MAC 学习
- 处理 Junos Fusion Enterprise 中级联端口和上行链路端口之间的下行链路
- 第 3 层网关支持
将 EVPN-MPLS 与 Junos Fusion Enterprise 和 MC-LAG 配合使用的优势
将 EVPN-MPLS 与 Junos Fusion Enterprise 和 MC-LAG 配合使用,将分散的园区和数据中心站点互连起来,形成单个第 2 层虚拟网桥。
BUM 流量处理
在 图 4 和 图 5 所示的用例中,PE1、PE2 和 PE3 是 EVPN 对等方,PE2 和 PE3 是 MC-LAG 对等方。两组对等方会相互交换控制信息并转发流量,这会导致问题。 表 2 概述了在实施 EVPN-MPLS 互连功能时出现的问题以及瞻博网络如何解决这些问题。
BUM 流量方向 |
与 Junos Fusion Enterprise 和 MC-LAG 逻辑的 EVPN 互连 |
问题 |
瞻博网络实施方法 |
|---|---|---|---|
北向(PE2 从本地连接的单宿主或双宿主接口接收 BUM 数据包)。 |
PE2 将 BUM 数据包泛洪到以下位置:
|
PE2 和 PE3 之间有两条 BUM 转发路径:MC-LAG ICL 和 EVPN-MPLS 路径。多个转发路径会导致数据包重复和环路。 |
|
南向(PE1 将 BUM 数据包转发至 PE2 和 PE3)。 |
PE2 和 PE3 都会接收 BUM 数据包的副本,并将数据包从包括 ICL 在内的所有本地接口泛洪。 |
PE2 和 PE3 都会将 BUM 数据包转发出 ICL,这会导致数据包重复和环路。 |
水平分割
在 图 4 和 图 5 所示的用例中,水平分割可防止将 BUM 数据包的多个副本转发到客户边缘设备(卫星设备)。但是,EVPN-MPLS 和 MC-LAG 水平分割实现相互矛盾,这会导致问题。 表 3 解释了该问题,以及瞻博网络在实施 EVPN-MPLS 互连功能时如何解决该问题。
BUM 流量方向 |
与 Junos Fusion Enterprise 和 MC-LAG 逻辑的 EVPN 互连 |
问题 |
瞻博网络实施方法 |
|---|---|---|---|
北向(PE2 从本地连接的双宿主接口接收 BUM 数据包)。 |
|
EVPN-MPLS 和 MC-LAG 转发逻辑相互矛盾,可能会阻止 BUM 流量转发到 ES。 |
支持本地偏差,从而忽略本地交换流量端口的 DF 和非 DF 状态。 |
南向(PE1 将 BUM 数据包转发至 PE2 和 PE3)。 |
从 PE1 接收的流量遵循多宿主 ES 的 EVPN DF 和非 DF 转发规则。 |
无。 |
不适用。 |
MAC 学习
EVPN 和 MC-LAG 使用相同的方法来学习 MAC 地址,即 PE 设备从其本地接口学习 MAC 地址,并将地址同步到其对等方。但是,鉴于 EVPN 和 MC-LAG 都在同步地址,因此会出现问题。
表 4 介绍了该问题以及 EVPN-MPLS 互连实施如何防止该问题。 图 4 和 图 5 所示的用例说明了这个问题。在这两种用例中,PE1、PE2 和 PE3 都是 EVPN 对等方,PE2 和 PE3 是 MC-LAG 对等方。
MAC 同步用例 |
与 Junos Fusion Enterprise 和 MC-LAG 逻辑的 EVPN 互连 |
问题 |
瞻博网络实施方法 |
|---|---|---|---|
在 PE2 和 PE3 上的单宿主或双宿主接口上本地获知的 MAC 地址。 |
|
PE2 和 PE3 既可作为 EVPN 对等方又可作为 MC-LAG 对等方运行,这使得这些设备具有多个 MAC 同步路径。 |
|
在 PE1 上的单宿主或双宿主接口上本地获知的 MAC 地址。 |
在 EVPN 对等方之间,MAC 地址使用 EVPN BGP 控制平面进行同步。 |
无。 |
不适用。 |
处理 Junos Fusion Enterprise 中级联端口和上行链路端口之间的下行链路
本部分仅适用于与 Junos Fusion Enterprise 互连的 EVPN-MPLS。
在 图 4 所示的 Junos Fusion Enterprise 中,假设聚合设备 PE2 从 PE1 接收 BUM 数据包,并且 PE2 上的级联端口与卫星设备 SD1 上的相应上行链路端口之间的链路已关闭。无论 BUM 数据包是由 MC-LAG 还是 EVPN 多宿主主动-主动处理,结果都是一样的 — 数据包通过 ICL 接口转发至 PE3,后者将其转发至双宿主 SD1。
为了进一步说明具有多宿主主动-主动的 EVPN 如何使用双宿主 SD1 处理这种情况,假设 DF 接口驻留在 PE2 上并与下行链路相关联,而非 DF 接口驻留在 PE3 上。通常,根据具有多宿主主动-主动转发逻辑的 EVPN,非 DF 接口都会丢弃数据包。但是,由于与 DF 接口关联的下行链路,PE2 通过 ICL 将 BUM 数据包转发到 PE3,而 PE3 上的非 DF 接口将数据包转发到 SD1。
第 3 层网关支持
EVPN-MPLS 互连功能支持以下用于扩展网桥域和 VLAN 的第 3 层网关功能:
集成路由和桥接 (IRB) 接口,用于在扩展网桥域或 VLAN 之间转发流量。
默认第 3 层网关,用于将流量从扩展网桥域或 VLAN 中的物理(裸机)服务器转发到其他扩展网桥域或 VLAN 中的物理服务器或虚拟机。
了解无环路 MC-LAG 网络统计计数器的增量值
在主动-主动桥接域的 MC-LAG 中,以下命令的输出显示要连续递增的 MC-LAG 颜色计数器。统计计数的这种增加是预期行为,因为 MC-LAG 颜色属性或计数器起到了环路预防机制的作用。
request pfe execute target fpc0 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 554712463 144488623417 request pfe execute target fpc0 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 554712747 144488664296
存储在数据包转发引擎中的异常表包含计数器列表,如以下示例输出所示:
request pfe execute target fpc0 command "show jnh 0 exceptions" SENT: Ukern command: show jnh 0 exceptions GOT: Reason Type Packets Bytes GOT: ================================================================== GOT: Ucode Internal GOT: ---------------------- GOT: mcast stack overflow DISC(33) 0 0 GOT: sample stack error DISC(35) 0 0 GOT: undefined nexthop opcode DISC(36) 0 0 GOT: internal ucode error DISC(37) 0 0 GOT: invalid fabric hdr version DISC(41) 0 0 GOT: GOT: PFE State Invalid GOT: ---------------------- GOT: sw error DISC(64) 803092438 59795128826 GOT: child ifl nonlocal to pfe DISC(85) 0 0 GOT: invalid fabric token DISC(75) 179 42346 GOT: unknown family DISC(73) 0 0 GOT: unknown vrf DISC(77) 0 0 GOT: iif down DISC(87) 0 0 GOT: unknown iif DISC( 1) GOT: invalid stream DISC(72) 0 0 GOT: egress pfe unspecified DISC(19) 10889 1536998 GOT: invalid L2 token DISC(86) 26 1224 GOT: mc lag color DISC(88) 554693648 144486028726<<<<<<<<<<<<<<<<<<<<<<<< GOT: dest interface non-local to pfe DISC(27) 10939253797 2078273071209 GOT: invalid inline-svcs state DISC(90) 0 0 GOT: nh id out of range DISC(93) 0 0 GOT: invalid encap DISC(96) 0 0 GOT: replication attempt on empty irb DISC(97) 0 0 GOT: invalid selector entry DISC(98) 0 0 GOT: GOT: GOT: Packet Exceptions GOT: ---------------------- GOT: bad ipv4 hdr checksum DISC( 2) GOT: non-IPv4 layer3 tunnel DISC( 4) 0 0 GOT: GRE unsupported flags DISC( 5) 0 0 GOT: tunnel pkt too short DISC( 6) 0 0 GOT: tunnel hdr too long DISC( 7) 0 0 GOT: bad IPv6 options pkt DISC( 9) 0 0 GOT: bad IP hdr DISC(11) 0 0 GOT: bad IP pkt len DISC(12) 0 0 GOT: L4 len too short DISC(13) GOT: invalid TCP fragment DISC(14) 0 0 GOT: mtu exceeded DISC(21) 0 0 GOT: frag needed but DF set DISC(22) 0 0 GOT: ttl expired PUNT( 1) 9 769 GOT: IP options PUNT( 2) 16 512 GOT: xlated l2pt PUNT(14) 0 0 GOT: control pkt punt via ucode PUNT( 4) 0 0 GOT: frame format error DISC( 0) GOT: tunnel hdr needs reassembly PUNT( 8) 0 0 GOT: GRE key mismatch DISC(76) 0 0 GOT: my-mac check failed DISC(28) GOT: frame relay type unsupported DISC(38) 0 0 GOT: IGMP snooping control packet PUNT(12) 0 0 GOT: bad CLNP hdr DISC(43) 0 0 GOT: bad CLNP hdr checksum DISC(44) 0 0 GOT: Tunnel keepalives PUNT(58) 0 0 GOT: GOT: GOT: Bridging GOT: ---------------------- GOT: lt unknown ucast DISC(84) 0 0 GOT: dmac miss DISC(15) 0 0 GOT: mac learn limit exceeded DISC(17) 0 0 GOT: static mac on unexpected iif DISC(18) 0 0 GOT: no local switching DISC(20) 0 0 GOT: bridge ucast split horizon DISC(26) 39458 13232394 GOT: mcast smac on bridged iif DISC(24) 1263 200152 GOT: bridge pkt punt PUNT( 7) 0 0 GOT: iif STP blocked DISC( 3) GOT: oif STP blocked DISC(31) GOT: vlan id out of oif's range DISC(32) GOT: mlp pkt PUNT(11) 15188054 440453569 GOT: input trunk vlan lookup failed DISC(91) 0 0 GOT: output trunk vlan lookup failed DISC(92) 0 0 GOT: LSI/VT vlan validation failed DISC(94) 0 0 GOT: GOT: GOT: Firewall GOT: ---------------------- GOT: mac firewall DISC(78) GOT: firewall discard DISC(67) 0 0 GOT: tcam miss DISC(16) 0 0 GOT: firewall reject PUNT(36) 155559 59137563 GOT: firewall send to host PUNT(54) 0 0 GOT: firewall send to host for NAT PUNT(59) 0 0 GOT: GOT: GOT: Routing GOT: ---------------------- GOT: discard route DISC(66) 1577352 82845749 GOT: dsc ifl discard route DISC(95) 0 0 GOT: hold route DISC(70) 21130 1073961 GOT: mcast rpf mismatch DISC( 8) 0 0 GOT: resolve route PUNT(33) 2858 154202 GOT: control pkt punt via nh PUNT(34) 51807272 5283911584 GOT: host route PUNT(32) 23473304 1370843994 GOT: ICMP redirect PUNT( 3) 0 0 GOT: mcast host copy PUNT( 6) 0 0 GOT: reject route PUNT(40) 1663 289278 GOT: link-layer-bcast-inet-check DISC(99) 0 0 GOT:
考虑一个示例部署,其中两台提供商边缘 (PE) 路由器 PE1 和 PE2 分别通过聚合以太网接口 ae0连接。PE1 和 PE2 之间使用多机箱链路聚合组 (MC-LAG),在两个控制器之间形成逻辑 LAG 接口。MC-LAG 中的 PE1 和 PE2 使用机箱间控制链路保护链路 (ICL-PL) 在对等方之间复制转发信息。
机箱间控制协议 (ICCP) 消息在两台 PE 设备之间发送。在此示例中,您将跨两台路由器配置 MC-LAG,包括两个聚合以太网接口、一个机箱间控制链路保护链路 (ICL-PL)、用于 ICL-PL 的多机箱保护链路,以及用于托管 MC-LAG 的对等方的 ICCP。
PE1 路由器使用另一个聚合以太网接口 ae3连接到主机 H1,以及另一个名为 C1 的 MC-LAG 主机。接口上 ae3 已启用 MC-LAG。
PE1 上从 MC-LAG C1 接收的流量可以通过 ICL 泛洪以到达 PE2。当数据包到达 PE2 时,它们可以泛洪回 MC-LAG C1。单宿主主机 H1 发送的流量可以泛洪至 MC-LAG C1 和 PE1 上的 ICL。当 PE2 从 ICL 收到此类流量时,可以再次泛洪到 MC-LAG C1。为了保护MC-LAG拓扑结构免受此类环路的影响,实施了MC-LAG颜色功能。此功能适用于 ICL 链路的入口。因此,当 PE2 收到来自 PE1 的数据包时,它会将 MC-LAG 颜色设置为活动或将其打开。当 PE2 需要将数据包泛洪到 MC-LAG 链路时,它会验证 MC-LAG 颜色位是否设置为或标记为打开。如果设置了颜色,它将丢弃 MC-LAG ae3 成员链路接口的出口接口上的数据包,并且 mc-lag color jnh 异常中的计数器将递增。
在主动/主动桥接域中配置的 MC-LAG 中,以及当需要泛洪的任何形式的流量(如 ARP 广播或组播流量)遍历网络时,这种计数器值增加的行为是预期的。
每个 VLAN 都可能丢弃一些数据包以防止环路,并且这种丢包可能不是特定于 VLAN 的。
有时,在 MX 系列路由器的两个 MC LAG 上,您可能会注意到 FPC0 和 FPC2 上的计数器有所增加,但在 FPC2 上却没有增加,如以下示例输出所示:
request pfe execute target fpc0 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 558477875 144977739683 request pfe execute target fpc1 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 0 0 request pfe execute target fpc2 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 518499257 119130527834
发生此行为的原因是,在配备 16 端口 10 千兆以太网 MPC (16x10GE 3D MPC) 的 MX 系列路由器上,每个 MPC 有四个数据包转发引擎。如果检查 FPC 0、1 和 2 中的一个数据包转发引擎,则 FPC1 中的 PFE1 没有任何属于 MC-LAG 成员的接口。它可能包含不属于 MC-LAG 的其他聚合以太网接口中的接口。因此,要获得正确的计数器统计信息,您必须输入 request pfe execute target fpc0 command "show jnh X exceptions" |grep color 命令来检查其他数据包转发引擎,其中 X 可以是 0、1、2 或 3。
当命名 dest interface non-local to pfe 计数器递增时,当聚合以太网接口被拆分到多个 FPC 上时,这是理想的行为。考虑一个接口包含以下成员链路的 ae5 示例: xe-0/1/0 on (FPC0) 和 xe-1/1/0 (FPC1) 根据散列算法,流量必须在这两个链路之间拆分。散列算法应用于入口 FPC,并执行一项作,标记必须转发 FPC 的每个数据包(FPC0 或 FPC1)。然后,数据包被发送至交换矩阵。所有流量都从交换矩阵发送至 FPC 0 和 1。在 FPC0 上,微内核会分析数据包,并确定数据包是否需要由本地接口转发(对于 pfe 本地),或者此数据包是否已通过 FPC1 转发(对于 pfe 非本地)。如果数据包已转发,则丢弃数据包, non-local to pfe 计数器递增。
增强融合
启用增强型融合后,通过 MC-AE 接口获知的 MAC 地址、ARP 或 ND 条目将在转发表中编程,其中 MC-AE 链路作为主下一跃点,ICL 作为备用下一跃点。借助此增强功能,在 MC-AE 链路故障或恢复期间,仅更新转发表中的下一跳信息,不会刷新和重新学习 MAC 地址、ARP 或 ND 条目。此过程可以改善 MC-AE 链路故障或恢复期间的流量融合,因为融合仅涉及转发平面中的下一跳修复,流量会从 MC-AE 链路快速重新路由到 ICL。
如果已通过启用了增强型融合的 MC-AE 接口配置了 IRB 接口,则还必须在 IRB 接口上配置增强型融合。必须为第 2 层和第 3 层接口启用增强型融合。
IPv6 邻接方发现协议
邻接方发现协议 (NDP) 是一种 IPv6 协议,使同一链路上的节点能够向邻居通告其存在,并了解其邻居的存在。NDP 建立在互联网控制消息协议版本 6 (ICMPv6) 之上。它取代了以下 IPv4 协议:路由器发现 (RDISC)、地址解析协议 (ARP) 和 ICMPv4 重定向。
可以在交换机上的多机箱链路聚合组 (MC-LAG) 主动-主动配置中使用 NDP。
MC-LAG 上的 NDP 使用以下消息类型:
-
邻居请求 (NS) — 用于地址解析和测试邻居可访问性的消息。
主机可以通过发送发往新地址的邻接方请求消息来验证其地址是否唯一。如果主机收到邻接方播发作为回复,则地址为重复地址。
-
邻接方通告 (NA) — 用于地址解析和测试邻接方可访问性的消息。发送邻接方播发以响应邻接方请求消息。
特定于平台的行为
使用 功能浏览器 确认平台并发布对特定功能的支持。
使用下表查看平台的特定于平台的行为。
特定于平台的 MC-LAG 行为
| 平台 | 差异 |
|---|---|
| ACX7000 系列云城域网路由器 |
路由器不支持以下各项:
|
| 路由器不支持以下配置语句:
|
|
| 路由器有以下限制:
|
|
| QFX5000交换机 |
只有纯 QFX5100 VCF(仅由 QFX5100 交换机组成)支持 FCoE。 |
| QFX10000 交换机 |
QFX10000 交换机不支持 FIP 侦听,因此不能用作 FIP 侦听接入交换机。 |
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。
enhanced-convergence and
arp-enhanced-scale 语句时,ARP 和 ND 条目的数量已增加到 256,000。
enhanced-convergence ,VLAN 成员数已增加到 128k,ARP 和 ND 条目数已增加到 96k。