高级 MC-LAG 概念
了解配置同步
配置同步适用于 QFX 系列交换机、Junos Fusion 提供商边缘、Junos Fusion Enterprise、EX 系列交换机和 MX 系列路由器。
本主题将介绍:
配置同步的优势
配置同步使您能够将配置从一台设备传播、同步和提交到另一台设备。您可以登录其中任一设备来管理所有设备,从而拥有单点管理。
配置同步的工作原理
使用配置组简化配置过程。例如,您可以为本地设备创建一个配置组,为远程设备创建一个或多个配置组,为全局配置创建一个配置组,这本质上是所有设备通用的配置。
此外,您还可以创建条件组,以指定配置与其他设备同步的时间。默认情况下, peers-synchronize 您可以在层次结构中 [edit system commit] 启用语句,以便跨设备同步配置和提交。通过 SSH 的 NETCONF 在设备之间提供安全连接,而安全复制协议 (SCP) 在设备之间安全复制配置。
如何启用配置同步
要启用配置同步,请执行以下步骤:
将本地设备静态映射到远程设备。
为本地、远程和全局配置创建配置组。
创建条件组。
创建应用组。
通过 SSH 启用 NETCONF。
配置设备详细信息和用户身份验证详细信息,以实现配置同步。
peers-synchronize启用语句或发出命令以commit peers-synchronize在本地和远程设备之间同步和提交配置。
如何支持配置同步
在 MX 系列路由器和 Junos Fusion 上,从 Junos OS 14.2R6 版开始对配置同步的支持。在 QFX 系列交换机上,从 Junos OS 15.1X53-D60 版开始对配置同步的支持。
本地、远程和全局配置的配置组
您可以为本地、远程和全局配置创建配置组。本地设备使用本地配置组,远程设备使用远程配置组,在本地和远程设备之间共享全局配置组。
例如,您可以创建一个名为 A 组的本地配置组,其中包含本地设备(交换机 A)使用的配置;一个名为组 B 的远程配置组;其中将包含远程设备使用的配置(交换机 B、交换机 C 和交换机 D),以及名为组 C 的全局配置组,其中包含所有设备通用的配置。
在 [edit groups] 层次结构级别创建配置组。
配置同步不支持嵌套组。
为某些设备创建条件组
您可以创建条件组,以指定应何时将特定配置应用于设备。例如,如果要将全局配置应用于四设备配置中的所有设备,请启用 when peers [<name of local peer> <name of remote peer> <name of remote peer> <name of remote peer>] 层级的 [edit groups] 语句。例如,如果想要将全局配置(组 C)应用于本地和远程设备(交换机 A、交换机 B、交换机 C 和交换机 D),则可以发出 set groups Group C when peers [Switch A Switch B Switch C Switch D] 命令。
应用配置组
要应用配置组,请启用层级 apply-groups 的 [edit] 语句。例如,要应用本地配置组(例如,A 组)、远程配置组(例如,B 组)和全局配置组(例如,组 C),请发出 set apply-groups [ GroupA GroupB GroupC ] 命令。
用于配置同步的设备配置详细信息
要同步设备之间的配置,您需要为远程设备配置主机名或 IP 地址、用户名和密码。为此,请 set peers <hostname-of-remote-peer> user <name-of-user> authentication <plain-text-password-string> 在本地设备上的层级发出命令 [edit system commit] 。
例如,要同步交换机 A 到交换机 B 的配置,请 set peers SwitchB user administrator authentication test123 对交换机 A 发出命令。
您还需要将本地设备静态映射到远程设备。为此,发出 set system commit peers
例如,要同步交换机 A 到交换机 B、交换机 C 和交换机 D 的配置,请在交换机 A 上配置以下内容:
交换机 A
[edit system commit]
peers {
switchB {
user admin-swB;
authentication "$ABC123";
}
switchC {
user admin-swC;
authentication ""$ABC123";
}
switchD {
user admin-swD;
authentication "$ABC123";
}
}
[edit system]
static-host-mapping [
SwitchA{
inet [ 10.92.76.2 ];
}
SwitchB{
inet [ 10.92.76.4 ];
}
SwitchC{
inet [ 10.92.76.6 ];
}
SwitchD{
inet [ 10.92.76.8 ];
}
}
}
如果您只想同步交换机 A 到交换机 B、交换机 C 和交换机 D 的配置,则无需在交换机 B、交换机 C 和交换机 D 上配置 peers 语句。
Peers 语句中的配置详细信息也用于在设备之间通过 SSH 连接建立 NETCONF。要通过 SSH 启用 NETCONF,请 set system services netconf ssh 在所有设备上发出命令。
如何在设备之间同步配置和提交
启用 peers-synchronize 语句或发出 commit peers-synchronize 命令的本地(或请求)设备会将其配置复制并加载到远程(或响应)设备。然后,每个设备都会对提交的配置文件执行语法检查。如果未发现任何错误,则配置将被激活,并成为所有设备上的当前操作配置。提交使用远程过程调用 (RPC) 传播。
配置同步期间会发生以下事件:
本地设备将 sync-peers.conf 文件(将与条件组中指定的设备共享的配置)发送至远程设备。
远程设备加载配置,将负载结果发送到本地设备,将其配置导出到本地设备,并回复提交已完成。
本地设备从远程设备读取回复。
如果成功,将提交配置。
如果 a) 远程设备不可用或 b) 远程设备可访问,但因以下原因出现故障,则配置同步将不成功:
由于用户和身份验证问题,SSH 连接失败。
Junos OS RPC 失败,因为无法在远程数据库上获取锁。
由于语法问题,加载配置失败。
提交检查失败。
语句 peers-synchronize 使用您在语句中 peers 配置的设备的主机名或 IP 地址、用户名和密码。 peers-synchronize 启用语句后,只需发出命令, commit 即可将配置从一台设备同步到另一台设备。例如,如果您在本地设备上配置 peers 了语句,并希望将配置与远程设备同步,则只需在本地设备上发出 commit 命令即可。但是,如果您在本地设备上发出 commit 命令,而远程设备无法访问,您将收到一条警告消息,表明远程设备不可访问,并且仅提交本地设备上的配置:
下面是一个警告消息示例:
error: netconf: could not read hello error: did not receive hello packet from server error: Setting up sessions for peer: 'peer1' failed warning: Cannot connect to remote peers, ignoring it commit complete
如果未使用 peers 远程设备信息配置语句,并且发出 commit 命令,则只会提交本地设备上的配置。如果远程设备无法访问,并且有其他故障,则提交在本地和远程设备上均不成功。
启用 peers-synchronize 语句并发出 commit 命令时,提交可能需要比正常提交更长的时间。即使设备中的配置相同且不需要同步,系统仍会尝试同步这些配置。
命令 commit peers-synchronize 还会使用语句中 peers 配置的设备的主机名或 IP 地址、用户名和密码。如果您在本地设备上发出 commit peers-synchronize 命令以将配置同步到远程设备,且可访问远程设备,但出现其他故障,则提交在本地和远程设备上都失败。
了解多机箱链路聚合组配置一致性检查
如果出现多机箱链路聚合组 (MC-LAG) 不一致,您将会收到通知,并可以采取措施解决问题。一个不一致的示例是在两个对等方上配置相同的机箱 ID,而不是在两个对等方上配置唯一的机箱 ID。仅检查提交的 MC-LAG 参数的一致性。
- 使用 MC-LAG 一致性检查的优势
- MC-LAG 一致性检查的工作原理
- 配置一致性要求
- 当远程对等方无法访问时
- 启用 MC-LAG 配置一致性检查
- 了解配置一致性检查的状态
- 支持 MC-LAG 配置一致性检查
使用 MC-LAG 一致性检查的优势
此功能可帮助您查找多机箱链路聚合组 (MC-LAG) 对等方之间的配置参数不一致。
MC-LAG 一致性检查的工作原理
在对本地 MC-LAG 对等方发出提交后,配置一致性检查期间将发生以下事件:
在本地 MC-LAG 对等方上提交 MC-LAG 配置。
ICCP 解析 MC-LAG 配置,然后将配置发送至远程 MC-LAG 对等方。
远程 MC-LAG 对等方从本地 MC-LAG 对等方接收 MC-LAG 配置,并将其与其自己的 MC-LAG 配置进行比较。
如果两个 MC-LAG 配置之间存在严重不一致,则 MC-LAG 接口将被关闭,并发出系统日志消息。
如果两个配置之间存在适度的不一致,将发出系统日志消息。
在远程 MC-LAG 对等方发出提交后,配置一致性检查期间将发生以下事件:
在远程 MC-LAG 对等方上提交 MC-LAG 配置。
ICCP 解析 MC-LAG 配置,然后将配置发送至本地 MC-LAG 对等方。
本地 MC-LAG 对等方从远程 MC-LAG 对等方接收配置,并将其与其自己的配置进行比较。
如果两个配置之间存在严重不一致,则 MC-LAG 接口将被关闭,并发出系统日志消息。
如果两个配置之间存在适度的不一致,将发出系统日志消息。
配置一致性要求
根据 MC-LAG 参数,有不同的配置一致性要求。一致性要求要么相同,要么是唯一的,这意味着有些参数的配置必须相同,有些参数必须在 MC-LAG 对等方上以唯一方式配置。例如,两个对等方上的机箱 ID 必须唯一,而两个对等方上的 LACP 模式必须相同。
一致性要求(相同或唯一)的实施级别是强制性的或所需的。当实施级别为必需级别时,并且 MC-LAG 参数配置不正确,系统将关闭接口并发出 syslog 消息。
例如,您会收到一条系统日志消息, “Some of the Multichassis Link Aggregation (MC-LAG) configuration parameters between the peer devices are not consistent. The concerned MC-LAG interfaces were explictly brought down to prevent unwanted behavior.” 显示“纠正不一致并成功提交后,系统将启动接口。如果需要实施,并且配置了 MC-LAG 参数不正确,则会收到一条系统日志消息,显示: "Some of the Multichassis Link Aggregation(MC-LAG) configuration parameters between the peer devices are not consistent. This may lead to sub-optimal performance of the feature." 如系统日志消息中指出的,在这种情况下,性能将处于次优状态。您还可以发出 show interfaces mc-ae 命令,以显示多机箱聚合以太网接口的配置一致性检查状态。
如果存在多个不一致,则仅显示第一个不一致。如果 MC-LAG 参数的强制实施级别为必填项,并且您未正确配置该参数,则命令显示 MC-LAG 接口已关闭。
当远程对等方无法访问时
当对本地对等方发出提交且无法访问远程对等方时,将通过配置一致性检查,以便本地对等方处于独立模式。当远程对等方出现时,ICCP 在对等方之间交换配置。如果一致性检查失败,MC-LAG 接口将关闭,系统会通知导致不一致的参数。纠正不一致并发出成功提交时,系统将启动接口。
启用 MC-LAG 配置一致性检查
默认情况下,一致性检查处于启用状态。 表 1 列出了已提交的 MC-LAG 参数,这些参数经过一致性检查、其一致性要求(相同或唯一)、配置参数的层次结构以及一致性检查实施级别(必需或必需)。
配置旋钮 |
层次 结构 |
一致性要求 |
执法 |
|---|---|---|---|
|
指定必须在对等方之间建立机箱间控制协议 (ICCP) 连接的时间。 |
|
|
|
|
指定要与接口关联的最大 MAC 地址数。 |
|
|
|
|
指定要与 MC-AE 接口关联的最大 MAC 地址数。 |
|
|
|
|
指定要与 VLAN 关联的最大 MAC 地址数 — 默认设置为无限,这可能会使网络容易受到泛洪的影响。 |
|
|
|
|
指定 MAC 地址在以太网交换表中的保留时间。 |
|
|
|
|
为的逻辑接口 |
|
|
|
|
为不同的 RSTP 路由实例指定不同的网桥标识符。 |
|
|
|
|
为不同的 MSTP 路由实例指定不同的网桥标识符。 |
|
|
|
|
确定选择哪一个网桥作为 RSTP 的根网桥。如果两个网桥的路径成本与根网桥的路径成本相同,则网桥优先级将确定哪个网桥成为 LAN 分段的指定网桥。 |
|
|
|
|
确定选择哪个网桥作为 MSTP 的根网桥。如果两个网桥的路径成本与根网桥的路径成本相同,则网桥优先级将确定哪个网桥成为 LAN 分段的指定网桥。 |
|
|
|
|
在交换机的所有边缘端口上配置桥接协议数据单元 (BPDU) 保护,以实现 RSTP。 |
|
|
|
|
在交换机的所有边缘端口上配置桥接协议数据单元 (BPDU) 保护,以实现 VSTP。 |
|
|
|
|
在交换机的所有边缘端口上配置桥接协议数据单元 (BPDU) 保护,以实现 MSTP。 |
|
|
|
|
为属于链路聚合组 (LAG) 的每个多机箱聚合以太网接口指定服务标识符。 |
|
|
|
|
配置本地路由设备传输 hello 数据包并接收来自已建立 BFD 会话的邻接方的答复的最小间隔。 |
|
|
|
|
指定本地路由设备将 hello 数据包传输至与之建立 BFD 会话的邻接方的最低间隔。 |
|
|
|
|
指定本地路由设备必须从已建立 BFD 会话的邻接方收到回复的最小间隔。 |
|
|
|
|
配置邻接方未接收的 hello 数据包数,以便将始发接口声明为关闭。 |
|
|
|
|
配置单跳 BFD 会话。 |
|
|
|
|
指定身份验证密钥密码,以验证从托管 MC-LAG 的对等方发送的数据包的真实性。 |
|
|
|
|
指定冗余组标识号。机箱间控制协议 (ICCP) 使用冗余组 ID 关联执行类似冗余功能的多个机箱。 |
|
|
|
|
通过在两个机箱间控制协议 (ICCP) 对等方之间的管理链路上交换激活消息,确定对等方是否处于正常运行状态。 |
|
|
|
|
指定 MC-LAG 设备的标识号。 |
|
|
|
|
由 ICCP 用于关联执行类似冗余功能的多个机箱,并建立通信通道,以便对等机箱上的应用程序可以相互发送消息。 |
|
|
|
|
供 LACP 用于计算 MC-LAG 物理成员链路的端口号。 |
|
|
|
|
指示 MC-LAG 是处于主动-备用模式还是主动-主动模式。 |
|
|
|
|
指定发生机箱间链路故障时,机箱是处于活动状态还是保持待机模式。 |
|
|
|
|
指定如果 ICCP 对等方关闭,系统将关闭机箱间链路逻辑接口。 |
|
|
|
|
指定,如果此节点的对等方关闭,则配置为 |
|
|
|
|
指定 LACP 是主动还是被动。 |
|
|
|
|
指定 LACP 数据包定期传输的间隔。 |
|
|
|
|
在聚合以太网接口级别定义 LACP 系统标识符。 |
|
|
|
|
为路由器或交换机指定管理密钥。 |
|
|
|
|
为端口上的未标记数据包配置混合标记支持。 |
|
|
|
|
同步参与 MC-LAG 的交换机第 3 层接口的 MAC 地址。 |
|
|
|
|
配置可从网桥域、VLAN、虚拟交换机或网桥域或 VLAN 集学习的 MAC 地址数量限制。 |
|
|
|
|
将第 3 层接口与 VLAN 进行关联。 |
|
|
|
|
启用 IGMP 侦听。第 2 层设备会监控 IGMP 加入,并将从每个连接的主机发送到组播路由器的消息留出。这使得第 2 层设备能够跟踪组播组和关联成员端口。第 2 层设备使用这些信息做出智能决策,并将组播流量仅转发到预期的目标主机。 |
|
|
|
|
指定在逻辑接口上配置的协议家族。 |
|
|
|
|
为 IRB 接口指定 IPv4 地址。 |
|
|
|
|
为 IRB 接口指定 IPv6 地址。 |
|
|
|
|
指定 VRRP 组标识符。 |
|
|
|
|
仅限以太网接口,只要路由器或交换机有到 ARP 请求目标地址的活动路由,配置路由器或交换机以响应任何 ARP 请求。 |
|
|
|
|
配置虚拟路由器冗余协议 (VRRP) 路由器优先级,以便成为主要默认路由器。组内优先级最高的路由器将成为主要路由器。 |
|
|
|
|
配置虚拟路由器冗余协议 (VRRP) IPv4 身份验证密钥。您还必须通过包括身份验证类型语句来指定 VRRP 身份验证方案。 |
|
|
|
|
启用虚拟路由器冗余协议 (VRRP) IPv4 身份验证并指定 VRRP 组的身份验证方案。 |
|
|
|
|
配置虚拟路由器冗余协议 (VRRP) IPv4 或 IPv6 组中虚拟路由器的地址。 |
|
|
|
|
配置逻辑链路层封装类型。 |
|
|
|
|
支持在同一以太网端口上的逻辑接口和伪线逻辑接口上同时传输 802.1Q VLAN 单标记和双标记帧。 |
|
|
|
|
对于快速以太网和千兆以太网接口,为 VPLS 配置的聚合以太网接口和伪线用户接口,支持在接口上接收和传输 802.1Q VLAN 标记的帧。 |
|
|
|
|
指定介质或协议的最大传输单元 (MTU) 大小。 |
|
|
|
|
确定逻辑接口是接受还是基于 VLAN 标记丢弃数据包。 |
|
|
|
|
指定属于某个接口的 VLAN 的名称。 |
|
|
|
了解配置一致性检查的状态
以下命令提供有关配置一致性检查状态的信息:
发出 show-lag 配置-一致性列表参数 命令,查看已提交的 MC-LAG 参数列表,检查是否有不一致、一致性要求(相同或唯一)以及实施级别(必需或必需)。
发出 show-lag 配置一致性 命令,查看已提交的 MC-LAG 参数列表,检查是否有不一致、一致性要求(相同或唯一)、实施级别(必需或必需)以及配置一致性检查的结果。结果要么通过,要么失败。
发出 show-lag configuration-一致性全局-config 命令,查看与 MC-LAG 功能相关的所有全局配置的配置一致性检查状态、一致性要求(相同或唯一)、实施级别(必需或必需)以及配置一致性检查的结果。结果要么通过,要么失败。。
发出 show-lag 配置一致性 icl-config 命令,查看与机箱间控制链路相关的参数的配置一致性检查状态、一致性要求(相同或唯一)、实施级别(必需或所需)以及配置一致性检查的结果。结果要么通过,要么失败。
发出 show-lag 配置一致性 mcae-config 命令,查看与多机箱聚合以太网接口、一致性要求(相同或唯一)、实施级别(必需或必需)以及配置一致性检查结果相关的配置一致性检查状态。结果要么通过,要么失败。
发出 show-lag 配置一致性 vlan-config 命令,查看与 VLAN 配置相关的参数的配置一致性检查状态、一致性要求(相同或唯一)、实施级别(必需或必需)以及配置一致性检查结果。结果要么通过,要么失败。。
发出 show-lag 配置一致性 vrrp-config 命令,查看与 VRRP 配置相关的参数的配置一致性检查状态、一致性要求(相同或唯一)、实施级别(必需或必需)以及配置一致性检查的结果。结果要么通过,要么失败。
发出 show interfaces mc-ae 命令,以查看多机箱聚合以太网接口的配置一致性检查状态。如果存在多个不一致,则仅显示第一个不一致。如果 MC-LAG 参数的强制实施级别为必填项,并且您未正确配置该参数,则命令将显示 MC-LAG 接口已关闭。
支持 MC-LAG 配置一致性检查
EX 系列交换机和 QFX 系列交换机都支持 MC-LAG 配置一致性检查。
从 QFX10000 交换机上的 Junos OS 15.1X53-D60 版开始,配置一致性检查使用机箱间控制协议 (ICCP) 交换 MC-LAG 配置参数(机箱 ID、服务 ID 等),并检查 MC-LAG 对等方之间的任何配置不一致。
另请参阅
未知单播和 IGMP 侦听
在 MC-LAG 对等方重新启动期间,已知的组播流量会泛洪,直到 IGMP 侦听状态与对等方同步。
如果两个对等方都有虚拟 LAN 成员资格,则跨对等方的所有链路都会泛洪。
在给定 MC-LAG 链路上,只有一个对等方转发流量。
通过将 ICL 端口添加为组播路由器端口,可跨对等方转发已知和未知组播数据包。
-
在 MC-LAG 链路上获知的 IGMP 成员资格会跨对等方传播。
您必须配置
multichassis-lag-replicate-state互联网组管理协议 (IGMP) 侦听的语句,才能在 MC-LAG 环境中正常运行。
支持 3 层单播功能
第 3 层单播功能支持包括:
VRRP 主动-备用支持支持通过 MC-AE 接口实现第 3 层路由。
路由 VLAN 接口 (RVI) 或 IRB MAC 地址同步使 MC-LAG 对等方能够使用自己的 RVI 或 IRB MAC 地址,或者其对等方 RVI 或 IRB MAC 地址转发通过 MC-AE 接口到达的第 3 层数据包。
地址解析协议 (ARP) 同步可在两个 MC-LAG 对等方上实现 ARP 解析。
具有选项 82 的 DHCP 中继在 MC-LAG 对等方上启用 option 82。Option 82 提供有关 DHCP 客户端的网络位置的信息。DHCP 服务器使用这些信息为客户端实施 IP 地址或其他参数。
MAC 地址管理
如果 MC-LAG 配置为主动-主动,则上游和下游流量可以通过不同的 MC-LAG 对等设备。由于 MAC 地址仅在一个 MC-LAG 对等方上学习,因此反向的流量可能会通过另一个 MC-LAG 对等方,并不必要的泛洪网络。此外,单宿主客户端的 MAC 地址仅在其连接的 MC-LAG 对等方上学习。如果连接到对等 MC-LAG 网络设备的客户端需要与该单宿主客户端通信,则流量将在对等 MC-LAG 网络设备上泛洪。为避免不必要的泛洪,每当一个 MC-LAG 对等方上获知 MAC 地址时,该地址会复制到其他 MC-LAG 对等方。执行 MAC 地址复制时,将应用以下条件:
当 IRB 或 RVI 接口上的 MAC 地址发生变化时,不发送免费 ARP 请求。
在一个 MC-LAG 对等方 MC-LAG 上获知的 MAC 地址必须与另一个 MC-LAG 对等方在同一 MC-LAG 上获知的 MAC 地址一样。
在一个 MC-LAG 对等方的单宿主 客户边缘 (CE) 客户端上学习的 MAC 地址必须与其他 MC-LAG 对等方 ICL 接口上学习的一样复制。
从数据路径禁用 ICL 上的 MAC 地址学习。安装通过 ICCP 复制的 MAC 地址取决于软件。
如果 VLAN 未配置 IRB 或 RVI ,MAC 地址复制将同步 MAC 地址。
MAC 老化
Junos OS 中的 MAC 老化支持为指定的 MC-LAG 扩展了聚合以太网逻辑。直到所有数据包转发引擎都删除了该 MAC 地址,软件中的 MAC 地址才会被删除。
地址解析协议主动-主动 MC-LAG 支持方法
地址解析协议 (ARP) 会将 IP 地址映射到 MAC 地址。Junos OS 使用 ARP 响应数据包侦听来支持主动-主动 MC-LAG,无需维护任何特定状态即可轻松实现同步。如果没有同步,如果一个 MC-LAG 对等方发送 ARP 请求,而另一个 MC-LAG 对等方收到响应,ARP 解析将失败。通过同步,MC-LAG 对等方在接收 ARP 响应的 MC-LAG 对等方处侦探数据包并将其复制到其他 MC-LAG 对等方,从而同步 ARP 解析。这可确保 MC-LAG 对等方上的 ARP 表中的条目一致。
当其中一个 MC-LAG 对等方重新启动时,将同步其 MC-LAG 对等方上的 ARP 目标。由于 ARP 目标已解析,因此其 MC-LAG 对等方可以从多机箱聚合以太网接口转发第 3 层数据包。
使用 Option 82 的 DHCP 中继
具有 option 82 的 DHCP 中继提供有关 DHCP 客户端的网络位置的信息。DHCP 服务器使用这些信息为客户端实施 IP 地址或其他参数。启用 DHCP 中继后,DHCP 请求数据包可以通过 MC-LAG 对等方之一进入 DHCP 服务器的路径。由于 MC-LAG 对等方具有不同的主机名、机箱 MAC 地址和接口名称,因此当您使用 option 82 配置 DHCP 中继时,您需要遵守这些要求:
如果您的环境仅支持 IPv6,或者出于其他原因必须使用扩展 DHCP 中继代理 (jdhcp) 进程,则作为应对方案,您可以使用 IPv4 命令和 forwarding-options dhcpv6 forward-only IPv6 命令来配置仅转发支持forwarding-options dhcp-relay forward-only。您还必须验证网络中 DHCP 服务器是否支持 option 82。
-
使用接口说明,而非接口名称。
-
请勿将主机名用作电路 ID 或远程 ID 字符串的一部分。
-
请勿将机箱 MAC 地址用作远程 ID 字符串的一部分。
-
不启用供应商 ID。
-
如果 ICL 接口收到 DHCP 请求数据包,将丢弃数据包,以避免网络中出现重复数据包。
命令中添加了一个名为 Due to received on ICL interface 的
show helper statistics计数器,用于跟踪 ICL 接口丢弃的数据包。CLI 输出的示例如下:
user@switch> show helper statistics BOOTP: Received packets: 6 Forwarded packets: 0 Dropped packets: 6 Due to no interface in DHCP Relay database: 0 Due to no matching routing instance: 0 Due to an error during packet read: 0 Due to an error during packet send: 0 Due to invalid server address: 0 Due to no valid local address: 0 Due to no route to server/client: 0 Due to received on ICL interface: 6输出显示 ICL 接口上接收的 6 个数据包已被丢弃。
支持第 2 层单播功能
-
注意:
ICL 上的 MAC 学习被自动禁用。因此,无法在 ICL 上本地学习源 MAC 地址。但是,远程 MC-LAG 节点的 MAC 地址可以安装在 ICL 接口上。例如,远程 MC-LAG 节点上单宿主客户端的 MAC 地址可以安装在本地 MC-LAG 节点的 ICL 接口上。
第 2 层单播学习和老化的工作原理:
学习到的 MAC 地址传播到 MC-LAG 对等方的所有 VLAN 中。
当 MAC 地址在两个对等方上均未看到时,将发生 MAC 地址老化。
在单宿主链路上获知的 MAC 地址传播到所有以 MC-LAG 链路作为成员的 VLAN 中。
协议无关组播
协议无关组播 (PIM) 和 互联网组管理协议 (IGMP) 支持第 3 层组播。除了 PIM 标准操作模式外,还有一种特殊模式,称为 PIM 双指定路由器。PIM 双指定路由器可将发生故障时组播流量损失降至最低。
如果使用第 3 层组播,请使用高 IP 地址或高指定路由器优先级配置活动 MC-LAG 对等方上的 IP 地址。
EX9200 和 QFX10000 交换机不支持 PIM 双指定路由器。
以下部分将讨论 PIM 操作:
使用正常模式指定路由器选择的 PIM 操作
在正常模式下,选择指定路由器,两个 MC-LAG 对等方上的 IRB 或 RVI 接口均配置启用 PIM。在此模式下,其中一个 MC-LAG 对等方通过 PIM 指定的路由器选择机制成为指定路由器。选择的指定路由器会维护集合点树 (RPT) 和 最短路径树 (SPT), 以便从源设备接收数据。选定的指定路由器参与定期 PIM 加入,并将活动删除到集合点或源。
启动这些加入和删除活动的触发因素是从感兴趣的接收方收到的 IGMP 成员报告。通过多机箱聚合以太网接口(可能在 MC-LAG 对等方上散列)和单宿主链路收到的 IGMP 报告将通过 ICCP 同步到 MC-LAG 对等方。
两个 MC-LAG 对等方都在其传入接口 (IIF) 上接收流量。非指定路由器通过 ICL 接口接收流量,ICL 接口充当组播路由器 (mrouter) 接口。
如果指定路由器出现故障,非指定路由器必须构建整个转发树(RPT 和 SPT),这可能会导致组播流量丢失。
使用双指定路由器模式的 PIM 操作
在双指定路由器模式下,两个 MC-LAG 对等方都充当指定路由器(主动和备用),向上游发送定期加入消息,并删除消息,最终加入 RPT 或 SPT。
即使备用 MC-LAG 对等方具有较小的优先级指标,主 MC-LAG 对等方也会将组播流量转发到接收器设备。
备用 MC-LAG 对等方也会加入转发树并接收组播数据。备用 MC-LAG 对等方会丢弃数据,因为它有一个空的传出接口列表 (OIL)。当备用 MC-LAG 对等方检测到主要 MC-LAG 对等方故障时,它会将接收器 VLAN 添加到 OIL,并开始转发组播流量。
要启用组播双指定路由器,请 set protocols pim interface interface-name dual-dr 为每个 MC-LAG 对等方的 VLAN 接口发出命令。
故障处理
为了确保在故障期间更快地融合,请在主 MC-LAG 对等方上配置更高的 IP 地址或更高的指定路由器优先级。如果 PIM 对等互连中断,则确保主要 MC-LAG 对等方将保留指定的路由器成员资格。
为了确保在 MC-AE 接口关闭时流量融合,ICL-PL 接口始终添加为 mrouter 端口。第 3 层流量通过 ICL-PL 接口的默认条目或侦听条目泛洪,而流量在 MC-LAG 对等方上的 MC-AE 接口上转发。如果 ICL-PL 接口出现故障,PIM 邻接中断。在这种情况下,两个 MC-LAG 对等方都将成为指定的路由器。备用 MC-LAG 对等方中断其链路,路由对等互连丢失。如果 ICCP 连接中断,备用 MC-LAG 对等方将更改 LACP 系统 ID 并关闭 MC-AE 接口。PIM 邻接方的状态仍可运行。
IGMP 报告同步
通过 MC-AE 接口和单宿主链路收到的 IGMP 报告将同步到 MC-LAG 对等方。MC-LAG 对等方上的 MCSNOOPD 客户端应用程序通过 ICCP 接收同步数据包,然后使用路由插槽PKT_INJECT机制向内核发送数据包的副本。当内核收到数据包时,它会将数据包发送至在 MC-LAG VLAN 上配置的 路由 VLAN 接口 (RVI) 上启用第 3 层组播协议(如 PIM 和 IGMP)的路由协议进程 (rpd)。
MC-LAG 主动-主动模式下的 IGMP 侦听
MX240 路由器、MX480 路由器、MX960 路由器和 QFX 系列交换机支持 MC-LAG 主动模式的 IGMP 侦听。
包括以下主题:
- MC-LAG 主动-主动模式中的 IGMP 侦听功能
- 使用 MC-LAG 主动-主动桥接进行 IGMP 侦听通常支持的网络拓扑
- 由远程机箱上接收的数据包触发的控制平面状态更新
- 数据转发
- 无集成路由和桥接的纯第 2 层拓扑结构
- 合格学习
- 通过合格学习功能实现数据转发
- 单宿主接口上的静态组
- 面向路由器的接口作为多机箱链路
MC-LAG 主动-主动模式中的 IGMP 侦听功能
支持多机箱链路聚合组 (MC-LAG) 主动-主动模式和主动-备用模式下的 IGMP 侦听。MC-LAG 允许一台设备与两个或多个网络设备形成一个逻辑 LAG 接口。MC-LAG 还提供其他优势,包括节点级冗余、多宿主和无需运行生成树协议 (STP) 的无环路第 2 层网络。支持以下功能:
在仅使用第 2 层接口的桥接域中进行 IGMP 侦听的对等方之间的状态同步
合格学习
面向路由器的多机箱链路
支持对基于集成路由和桥接 (IRB) 的主动-主动桥接和虚拟路由器冗余协议 (VRRP) 的以下增强功能:
MC-LAG 支持纯第 2 层交换机中的 IGMP 侦听
MC-LAG 支持桥接域中的 IGMP 侦听,执行合格学习
支持面向路由器的接口的 MC 链路
支持以下功能 not :
适用于 VPLS 实例的 MC-LAG
MC-链路中继端口
主动-主动代理模式
根据需要向传出接口添加机箱间链路
机箱间链路可以作为面向路由器的接口添加到传出接口列表中。
使用 MC-LAG 主动-主动桥接进行 IGMP 侦听通常支持的网络拓扑
图 1 展示了一个典型的网络拓扑结构,通过该拓扑支持使用 MC-LAG 主动-主动桥接进行 IGMP 侦听。
主动-主动的典型网络
接口 I3 和 I4 是单宿主接口。多机箱链路 ae0.0 和 ae0.1 属于机箱中相同的网桥域。接口 I3、ae0.0 和 ae0.1 位于辅助活动 (S-A) 路由器的同一网桥域中。接口 I4、ae0.0 和 ae0.1 位于主活动 (P-A) 路由器的同一网桥域中。接口 I3、I4、ae0.0 和 ae0.1 与连接两个机箱的机箱间链路 (ICL) 在同一学习域中。
主活动路由器是集成路由和桥接已变为 PIM-DR 的机箱。辅助活动路由器是集成路由和桥接不是 PIM-DR 的机箱。路由器 P-A 是负责从 IP 核心提取流量的机箱。因此,使用 PIM-DR 选择来避免数据流量重复。
合格学习中介绍了 学习域。
对于学习域中的 IGMP 发言者(主机和路由器),P-A 和 S-A 应一起显示为具有接口 I4、I3、ae0.0 和 ae0.1 的设备。
不应在多机箱链路上发送重复的控制数据包,这意味着仅应通过一个链路发送控制数据包。
由远程机箱上接收的数据包触发的控制平面状态更新
以下是由远程机箱上接收的数据包触发的控制平面状态更新:
第 3 层组播路由的成员状态会因在连接到远程机箱的多机箱链路和 S-链路的远程腿上学习到的报告而更新。
当在多机箱链路的远程腿上收到报告时,侦听中的成员状态和路由条目将更新。
当对连接到远程机箱的 S-链路收到报告时,侦听中的成员状态或路由条目不会更新。
在 PE 路由器之间同步组播侦听状态时,不会同步计时器,如组成员资格超时计时器。收到同步通知后,接收通知的远程 PE 路由器会启动或重新启动相关计时器。
只要传出接口列表仅涉及多机箱链路,在侦听下机箱中维护状态的 <、g> 列表相同。
数据转发
本讨论假定路由器 P-A 上的集成路由和桥接是 PIM-DR。它会从核心的源中提取流量。流量也可能来自网桥域中的第 2 层接口上。对于直接连接到 P-A 机箱的主机,数据的传输方式不会发生变化。
为了向 I3 等单宿主链路上连接到 S-A(非 DR)的主机传输流量,我们依赖于机箱间链路。达到 P-A 的流量通过 ICL 发送到 S-A,以发送到报告对 s、g 感兴趣且面向路由器的链路。
当 P-A 中的 ae0 支路中断时,连接到多机箱链路的主机通过 ICL 接收流量。在 S-A 中,ICL 上接收的流量会发送到 P-A 中 a 对等接口列表中处于关闭状态的多机箱链路。
合格学习
在此拓扑中,接口 I1、I2、I3、I4、I5、I6、I7、I8、I9 和 I10 是单宿主接口。多机箱链路 ae0.0 和 ae0.1 属于机箱中相同的网桥域。接口 I10、I1、I7、I3、I5、ae0.0 和 ae0.1 在同一桥接域中,bd1 在 P-A 中。接口 I9、I2、I8、I4、I6、ae0.0 和 ae0.1 在同一桥接域中,S-A 中的 bd1。
此讨论假定了以下配置:
在 P-A 和 S-A 中,合格学习在 bd1 中为 ON。
接口 I1、I2、I3、ae0.0 和 I4 属于 vlan1,学习域 ld1。
接口 I7、I8、I5、ae0.1 和 I6 属于 vlan2,学习域 ld2。
接口 I9 和 I10 属于 vlan3,学习域 ld3。
对于同一学习域 ld1 中的 IGMP 发言者(主机和路由器),P-A 和 S-A 链接应显示为一台交换机。
对于同一学习域 ld2 中的 IGMP 发言者(主机和路由器),P-A 和 S-A 链接应显示为一台交换机。
由于学习域 ld3 中没有多机箱链路,因此对于学习域 ld3 中的 IGMP 发送方(主机和路由器),P-A 和 S-A 看起来不会是一台交换机。
此讨论假设机箱间链路 ICL1 与学习域 ld1 相对应,而机箱间链路 ICL2 与学习域 ld2 相对应。
支持控制数据包流,但向 IRB 传递信息除外。
通过合格学习功能实现数据转发
此讨论假设一个学习域 (LD)、ld1,并进一步假设路由器 P-A 上的接口 I1 连接到学习域中的 PIM-DR,并从核心中的源提取流量。
为了向 I2、I4(属于 ld1)的单宿主链路上连接到路由器 S-A(非 DR)的主机传输流量,我们依赖于 ICL1。在接口 I1 上命中路由器 P-A 的流量通过机箱间链路 ICL1 发送到路由器 S-A,这些链路将发送到报告关注 s、g 或路由器在学习域 ld1 中面向的链路。
当路由器 P-A 中的接口 ae0 分支断开时,连接到多机箱链路的主机使用机箱间链路 ICL1 从接口 I1 接收流量。在路由器 S-A 中,在机箱间链路 ICL1 上接收的流量会发送到传出接口列表中处于关闭状态的多机箱链路,路由器 P-A 中的聚合以太网对应项将关闭。
进一步假设路由器 S-A 中的接口 I9 属于学习域 ld3,其中关注 s、g,而路由器 P-A 中学习域 ld3 中的接口 I10 接收 s、g.接口 I9 不会接收此拓扑中的数据,因为学习域 ld3 中没有多机箱链路,因此学习域 ldd3 中没有机箱间链路。
单宿主接口上的静态组
对于多机箱链路,两条腿上都应存在静态组配置,并且不需要与其他机箱同步。
不支持机箱之间单宿主接口上的静态组同步。但是,将逻辑接口添加到默认的传出接口列表中支持在静态配置中向接口交付流量。
面向路由器的接口作为多机箱链路
IGMP 查询可以到达多机箱链路的任一腿上,但在两个对等方中,应将多机箱链路视为面向路由器。
报告仅应从多机箱链路退出一次,即仅从一条腿。
IRB 中为 IGMP 侦听提供以下 MC-LAG 支持:
非代理侦听
逻辑接口必须是所有路由的传出接口,包括默认路由
纯第 2 层交换机中的 IGMP 侦听
在桥接域中执行合格学习的 IGMP 侦听
面向路由器的接口 MC-链路
支持以下功能 not :
主动-主动代理模式
VPLS 实例支持 MC-LAG
作为多机箱链路的中继端口
根据需要向传出接口添加逻辑接口。
但是,逻辑接口始终作为面向路由器的接口添加到传出接口列表中。
另请参阅
了解 FCoE 中继交换机上的 MC-LAG
使用 MC-LAG 为以太网光纤通道 (FCoE) 流量提供冗余聚合层。
本主题将介绍:
支持的 MC-LAG 拓扑
要支持通过 MC-LAG 传输 FCoE 流量的无损传输,必须在具有 MC-LAG 端口成员的两个交换机上配置相应的 服务等级 (CoS)。两个 MC-LAG 交换机上的 CoS 配置必须相同,因为 MC-LAG 不携带转发类和 IEEE 802.1p 优先级信息。
未直接连接到 FCoE 主机且充当直通中继交换机的交换机支持在倒置 U 网络拓扑中用于 FCoE 流量的 MC-LAG 。 图 3 显示了使用 QFX3500 交换机的倒 U 拓扑。
上的 MC-LAG 支持的拓扑
独立交换机支持 MC-LAG。QFabric 系统节点设备不支持 MC-LAG。虚拟机箱和混合模式虚拟机箱交换矩阵 (VCF) 配置不支持 FCoE。只有纯 QFX5100 VCF(仅由 QFX5100 交换机组成)支持 FCoE。
属于 FCoE-FC 网关配置(虚拟 FCoE-FC 网关交换矩阵)的端口不支持 MC-LAG。作为 MC-LAG 成员的端口充当直通中继交换机端口。
以下规则和准则适用于用于 FCoE 流量的 MC-LAG。这些规则和准则有助于确保 FCoE 流量所需的正确处理和无损传输特性。
构成 MC-LAG 的两个交换机(交换机 S1 和 S2)不能使用属于 FCoE-FC 网关交换矩阵的端口。MC-LAG 交换机端口必须是直通中继交换机端口(用作未直接连接到 FCoE 主机的中间中继交换机的一部分)。
MC-LAG 交换机 S1 和 S2 无法直接连接到 FCoE 主机。
用作 FCoE 主机(FCoE 中继交换机 TS1 和 TS2)的两个交换机使用标准 LAG 连接到 MC-LAG 交换机 S1 和 S2。FCoE 中继交换机 TS1 和 TS2 可以是独立交换机,也可以是 QFabric 系统中的节点设备。
传输交换机 TS1 和 TS2 必须将传输交换机端口用于 FCoE 主机,并将标准 LAG 用于 MC-LAG 交换机 S1 和 S2。
在传输交换机 TS1 和 TS2 上的 FCoE VLAN 上启用 FIP 侦听。您可以配置VN_Port来VF_Port (VN2VF_Port) FIP 侦听,也可以将VN_Port配置为VN_Port (VN2VN_Port) FIP 侦听,具体取决于 FCoE 主机需要访问 FC SAN 中的目标(VN2VF_Port FIP 侦听)或以太网网络中的目标(VN2VN_Port FIP 侦听)。
FIP 侦听应在接入边缘执行,MC-LAG 交换机不支持。不要在 MC-LAG 交换机 S1 和 S2 上启用 FIP 侦听。(请勿在将交换机 S1 和 S2 连接到交换机 TS1 和 TS2 的 MC-LAG 端口上,或在将交换机 S1 连接到 S2 的 LAG 端口上启用 FIP 侦听。)
注意:瞻博网络 QFX10000 聚合交换机不支持 FIP 侦听,因此此拓扑结构中不能用作 FIP 侦听接入交换机(传输交换机 TS1 和 TS2)。
MC-LAG 交换机上的 CoS 配置必须一致。由于 MC-LAG 不携带任何转发类或优先级信息,因此每台 MC-LAG 交换机需要具有相同的 CoS 配置才能支持无损传输。(在每台 MC-LAG 交换机上,每个转发类的名称、出口队列和 CoS 调配必须相同,且基于优先级的流控制 (PFC) 配置必须相同。)
中继交换机(服务器访问)
FCoE 中继交换机 TS1 和 TS2 的作用是以多宿主方式将 FCoE 主机连接到 MC-LAG 交换机,因此传输交换机 TS1 和 TS2 充当 FCoE 主机的接入交换机。(FCoE 主机直接连接到传输交换机 TS1 和 TS2。)
中继交换机配置取决于您要执行VN2VF_Port FIP 侦听还是VN2VN_Port FIP 侦听,以及中继交换机是否还将端口配置为 FCoE-FC 网关虚拟交换矩阵的一部分。QFX3500 交换机在 FCoE-FC 网关虚拟交换矩阵中使用的端口不能包含在与 MC-LAG 交换机的中继交换机 LAG 连接中。(端口不能同时属于传输交换机和 FCoE-FC 网关;必须针对每种操作模式使用不同的端口。)
MC-LAG 交换机(FCoE 聚合)
MC-LAG 交换机 S1 和 S2 的作用是在 FCoE 中继交换机之间提供冗余的负载平衡连接。MC-LAG 交换机 S1 和 S2 用作聚合交换机。FCoE 主机未直接连接到 MC-LAG 交换机。
无论执行哪种 FIP 侦听 FCoE 中继交换机 TS1 和 TS2,MC-LAG 交换机配置都是相同的。
FIP 侦听和 FCoE 可信端口
要保持安全访问,可以在直接连接到 FCoE 主机的中继交换机接入端口上启用 VN2VF_Port FIP 侦听或VN2VN_Port FIP 侦听。FIP 侦听应在网络的接入边缘执行,以防止未经授权的访问。例如,在 图 3 中,您可以在传输交换机 TS1 和 TS2 上的 FCoE VLAN 上启用 FIP 侦听,包括连接到 FCoE 主机的接入端口。
不要在用于创建 MC-LAG 的交换机上启用 FIP 侦听。例如,在 图 3 中,您不会在交换机 S1 和 S2 上的 FCoE VLAN 上启用 FIP 侦听。
将交换机之间的链路配置为 FCoE 可信端口,以减少 FIP 侦听开销,并确保系统仅在接入边缘执行 FIP 侦听。在示例拓扑中,将连接到 MC-LAG 交换机的传输交换机 TS1 和 TS2 LAG 端口配置为 FCoE 可信端口,将连接到交换机 TS1 和 TS2 的交换机 S1 和 S2 MC-LAG 端口配置为 FCoE 可信端口,并将连接交换机 S1 和 S2 的端口配置为 FCoE 可信端口。
CoS 和数据中心桥接 (DCB)
MC-LAG 链路不携带转发类或优先级信息。每台 MC-LAG 交换机或每个 MC-LAG 接口上的以下 CoS 属性必须具有相同的配置,才能支持无损传输:
FCoE 转发类名称 — 例如,FCoE 流量的转发类可以在两个 MC-LAG 交换机上使用默认
fcoe转发类。FCoE 输出队列 — 例如,
fcoe转发类可以映射到两台 MC-LAG 交换机上的队列 3(队列 3 是转发类的默认映射fcoe)。分类器 — FCoE 流量的转发类必须映射到两台 MC-LAG 交换机上每个成员接口上的同一 IEEE 802.1p 代码点。例如,FCoE 转发类
fcoe可以映射到 IEEE 802.1p 代码点011(代码点011是转发类的默认映射fcoe)。基于优先级的流控制 (PFC) — 必须在每台 MC-LAG 交换机上的 FCoE 代码点上启用 PFC,并使用拥塞通知配置文件应用于每个 MC-LAG 接口。
您还必须在 MC-LAG 接口上配置增强型传输选择 (ETS),以便为无损传输提供足够的调度资源(带宽、优先级)。只要安排了足够的资源来支持预期的 FCoE 流量的无损传输,每台 MC-LAG 交换机的 ETS 配置就可以不同。
必须在每个 MC-LAG 成员接口上启用链路层发现协议 (LLDP) 和数据中心桥接功能交换协议 (DCBX)(在所有接口上默认启用 LLDP 和 DCBX)。
与所有其他 FCoE 配置一样,FCoE 流量需要仅承载 FCoE 流量的专用 VLAN,并且必须在 FCoE VLAN 上禁用 IGMP 侦听。
了解 EVPN-MPLS 与 Junos Fusion Enterprise 和 MC-LAG 的互连
从 Junos OS 17.4R1 版开始,您可以使用以太网 VPN (EVPN) 通过 MPLS 网络将 Junos Fusion Enterprise 或多机箱链路聚合组 (MC-LAG) 网络扩展到数据中心或园区网络。引入此功能后,您现在可以互连分散的园区站点和数据中心站点,从而形成一个第 2 层虚拟网桥。
图 4 显示了一个 Junos Fusion Enterprise 拓扑结构,其中包含两台 EX9200 交换机,用作聚合设备(PE2 和 PE3),卫星设备可对其进行多宿主。这两个聚合设备使用 MC-LAG 的机箱间链路 (ICL) 和机箱间控制协议 (ICCP) 协议连接和维护 Junos Fusion Enterprise 拓扑。EVPN-MPLS 环境中的 PE1 与具有 MC-LAG 的 Junos Fusion Enterprise 中的 PE2 和 PE3 互连。
的互连
图 5 显示了一个 MC-LAG 拓扑结构,其中客户边缘 (CE) 设备 CE1 与 PE2 和 PE3 多宿主。PE2 和 PE3 使用 ICL 和 MC-LAG 的 ICCP 协议连接和维护拓扑。EVPN-MPLS 环境中的 PE1 与 MC-LAG 环境中的 PE2 和 PE3 互连。
的互连
在本主题中, 图 4 和 图 5 作为说明各种场景和要点的参考。
图 4 和图 5 中描述的用例需要在主动-主动模式下配置 EVPN 多宿主,并在 PE2 和 PE3 上配置 MC-LAG。具有多宿主主动-主动和 MC-LAG 的 EVPN 有自己的转发逻辑,用于处理流量,特别是广播、未知单播和组播 (BUM) 流量。有时,具有多宿主主动-主动和 MC-LAG 的 EVPN 转发逻辑相互矛盾并导致问题。本主题将介绍这些问题,以及 EVPN-MPLS 互连功能如何解决这些问题。
除了本主题中描述的特定于 EVPN-MPLS 的实现之外,EVPN-MPLS、Junos Fusion Enterprise 和 MC-LAG 提供与独立功能相同的功能和功能。
- 将 EVPN-MPLS 与 Junos Fusion Enterprise 和 MC-LAG 配合使用的优势
- BUM 流量处理
- 分裂地平线
- MAC 学习
- 处理 Junos Fusion Enterprise 中级联和上行链路端口之间的链路
- 3 层网关支持
将 EVPN-MPLS 与 Junos Fusion Enterprise 和 MC-LAG 配合使用的优势
将 EVPN-MPLS 与 Junos Fusion Enterprise 和 MC-LAG 配合使用,将分散的园区和数据中心站点互连起来,形成单个第 2 层虚拟网桥。
BUM 流量处理
在 图 4 和 图 5 所示的用例中,PE1、PE2 和 PE3 是 EVPN 对等方,PE2 和 PE3 是 MC-LAG 对等方。两组对等方相互交换控制信息并将流量转发给对方,这会导致问题。 表 2 概述了出现的问题,以及瞻博网络在实施 EVPN-MPLS 互连功能时如何解决问题。
BUM 流量方向 |
EVPN 与 Junos Fusion Enterprise 和 MC-LAG 逻辑互连 |
问题 |
瞻博网络实施方法 |
|---|---|---|---|
北向(PE2 从本地连接的单宿主或双宿主接口接收 BUM 数据包)。 |
PE2 将 BUM 数据包泛洪到以下方面:
|
在 PE2 和 PE3 之间,有两个 BUM 转发路径— MC-LAG ICL 和一个 EVPN-MPLS 路径。多个转发路径会导致数据包复制和环路。 |
|
南向(PE1 将 BUM 数据包转发至 PE2 和 PE3)。 |
PE2 和 PE3 都接收 BUM 数据包的副本,并将数据包泛洪到所有本地接口(包括 ICL) 中。 |
PE2 和 PE3 都从 ICL 转发 BUM 数据包,这会导致数据包复制和环路。 |
分裂地平线
在 图 4 和 图 5 所示的用例中,水平分割可防止将 BUM 数据包的多个副本转发到 CE 设备(卫星设备)。但是,EVPN-MPLS 和 MC-LAG 水平分割实施相互矛盾,从而导致问题。 表 3 说明了这个问题,以及瞻博网络在实施 EVPN-MPLS 互连功能时如何解决问题。
BUM 流量方向 |
EVPN 与 Junos Fusion Enterprise 和 MC-LAG 逻辑互连 |
问题 |
瞻博网络实施方法 |
|---|---|---|---|
北向(PE2 从本地连接的双宿主接口接收 BUM 数据包)。 |
|
EVPN-MPLS 和 MC-LAG 转发逻辑相互矛盾,可以防止 BUM 流量转发到 ES。 |
支持本地偏置,从而忽略本地交换流量的端口 DF 和非 DF 状态。 |
南向(PE1 将 BUM 数据包转发至 PE2 和 PE3)。 |
从 PE1 接收的流量遵循多宿主 ES 的 EVPN DF 和非 DF 转发规则。 |
没有。 |
不适用。 |
MAC 学习
EVPN 和 MC-LAG 使用相同的方法来学习 MAC 地址,即 PE 设备从其本地接口学习 MAC 地址,并将地址同步至对等方。但是,由于 EVPN 和 MC-LAG 都在同步地址,因此会出现问题。
表 4 介绍了这个问题,以及 EVPN-MPLS 互连实施如何避免该问题。 图 4 和 图 5 中的用例说明了这一问题。在这两种用例中,PE1、PE2 和 PE3 都是 EVPN 对等方,PE2 和 PE3 是 MC-LAG 对等方。
MAC 同步用例 |
EVPN 与 Junos Fusion Enterprise 和 MC-LAG 逻辑互连 |
问题 |
瞻博网络实施方法 |
|---|---|---|---|
在 PE2 和 PE3 上的单宿主或双宿主接口上本地学习的 MAC 地址。 |
|
PE2 和 PE3 同时充当 EVPN 对等方和 MC-LAG 对等方,这会导致这些设备具有多个 MAC 同步路径。 |
|
在 PE1 上的单宿主或双宿主接口上本地学习的 MAC 地址。 |
在 EVPN 对等方之间,使用 EVPN BGP 控制平面同步 MAC 地址。 |
没有。 |
不适用。 |
处理 Junos Fusion Enterprise 中级联和上行链路端口之间的链路
本节仅适用于与 Junos Fusion Enterprise 互连的 EVPN-MPLS。
在 图 4 所示的 Junos Fusion Enterprise 中,假设聚合设备 PE2 从 PE1 接收 BUM 数据包,并且 PE2 上的级联端口与卫星设备 SD1 上的相应上行链路端口之间的链路断开。无论 BUM 数据包是由 MC-LAG 还是 EVPN 多宿主主动-主动处理,其结果都是相同的 — 数据包通过 ICL 接口转发到 PE3,PE3 将数据包转发至双宿主 SD1。
为了进一步说明具有多宿主主动-主动的 EVPN 如何使用双宿主 SD1 处理这种情况,假定 DF 接口驻留在 PE2 上,并与下行链路相关联,并且非 DF 接口驻留在 PE3 上。通常,每个具有多宿主主动-主动转发逻辑的 EVPN,非 DF 接口会丢弃数据包。但是,由于与 DF 接口关联的下行链路,PE2 会将 BUM 数据包通过 ICL 转发到 PE3,而 PE3 上的非 DF 接口会将数据包转发至 SD1。
3 层网关支持
EVPN-MPLS 互连功能支持以下用于扩展网桥域和 VLAN 的第 3 层网关功能:
集成路由和桥接 (IRB) 接口,在扩展网桥域或 VLAN 之间转发流量。
默认第 3 层网关,用于将来自扩展网桥域或 VLAN 中的物理(裸机)服务器的流量转发到另一个扩展网桥域或 VLAN 中的物理服务器或虚拟机。
了解无环路 MC-LAG 网络的统计计数器递增值
在主动-主动桥接域中的 MC-LAG 中,以下命令的输出显示要不断增加的 MC-LAG 颜色计数器。统计计数的这种增加是一种预期行为,因为 MC-LAG 颜色属性或计数器会作为一种环路防御机制。
request pfe execute target fpc0 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 554712463 144488623417 request pfe execute target fpc0 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 554712747 144488664296
数据包转发引擎中存储的例外表包含一个计数器列表,如以下示例输出所示:
request pfe execute target fpc0 command "show jnh 0 exceptions" SENT: Ukern command: show jnh 0 exceptions GOT: Reason Type Packets Bytes GOT: ================================================================== GOT: Ucode Internal GOT: ---------------------- GOT: mcast stack overflow DISC(33) 0 0 GOT: sample stack error DISC(35) 0 0 GOT: undefined nexthop opcode DISC(36) 0 0 GOT: internal ucode error DISC(37) 0 0 GOT: invalid fabric hdr version DISC(41) 0 0 GOT: GOT: PFE State Invalid GOT: ---------------------- GOT: sw error DISC(64) 803092438 59795128826 GOT: child ifl nonlocal to pfe DISC(85) 0 0 GOT: invalid fabric token DISC(75) 179 42346 GOT: unknown family DISC(73) 0 0 GOT: unknown vrf DISC(77) 0 0 GOT: iif down DISC(87) 0 0 GOT: unknown iif DISC( 1) GOT: invalid stream DISC(72) 0 0 GOT: egress pfe unspecified DISC(19) 10889 1536998 GOT: invalid L2 token DISC(86) 26 1224 GOT: mc lag color DISC(88) 554693648 144486028726<<<<<<<<<<<<<<<<<<<<<<<< GOT: dest interface non-local to pfe DISC(27) 10939253797 2078273071209 GOT: invalid inline-svcs state DISC(90) 0 0 GOT: nh id out of range DISC(93) 0 0 GOT: invalid encap DISC(96) 0 0 GOT: replication attempt on empty irb DISC(97) 0 0 GOT: invalid selector entry DISC(98) 0 0 GOT: GOT: GOT: Packet Exceptions GOT: ---------------------- GOT: bad ipv4 hdr checksum DISC( 2) GOT: non-IPv4 layer3 tunnel DISC( 4) 0 0 GOT: GRE unsupported flags DISC( 5) 0 0 GOT: tunnel pkt too short DISC( 6) 0 0 GOT: tunnel hdr too long DISC( 7) 0 0 GOT: bad IPv6 options pkt DISC( 9) 0 0 GOT: bad IP hdr DISC(11) 0 0 GOT: bad IP pkt len DISC(12) 0 0 GOT: L4 len too short DISC(13) GOT: invalid TCP fragment DISC(14) 0 0 GOT: mtu exceeded DISC(21) 0 0 GOT: frag needed but DF set DISC(22) 0 0 GOT: ttl expired PUNT( 1) 9 769 GOT: IP options PUNT( 2) 16 512 GOT: xlated l2pt PUNT(14) 0 0 GOT: control pkt punt via ucode PUNT( 4) 0 0 GOT: frame format error DISC( 0) GOT: tunnel hdr needs reassembly PUNT( 8) 0 0 GOT: GRE key mismatch DISC(76) 0 0 GOT: my-mac check failed DISC(28) GOT: frame relay type unsupported DISC(38) 0 0 GOT: IGMP snooping control packet PUNT(12) 0 0 GOT: bad CLNP hdr DISC(43) 0 0 GOT: bad CLNP hdr checksum DISC(44) 0 0 GOT: Tunnel keepalives PUNT(58) 0 0 GOT: GOT: GOT: Bridging GOT: ---------------------- GOT: lt unknown ucast DISC(84) 0 0 GOT: dmac miss DISC(15) 0 0 GOT: mac learn limit exceeded DISC(17) 0 0 GOT: static mac on unexpected iif DISC(18) 0 0 GOT: no local switching DISC(20) 0 0 GOT: bridge ucast split horizon DISC(26) 39458 13232394 GOT: mcast smac on bridged iif DISC(24) 1263 200152 GOT: bridge pkt punt PUNT( 7) 0 0 GOT: iif STP blocked DISC( 3) GOT: oif STP blocked DISC(31) GOT: vlan id out of oif's range DISC(32) GOT: mlp pkt PUNT(11) 15188054 440453569 GOT: input trunk vlan lookup failed DISC(91) 0 0 GOT: output trunk vlan lookup failed DISC(92) 0 0 GOT: LSI/VT vlan validation failed DISC(94) 0 0 GOT: GOT: GOT: Firewall GOT: ---------------------- GOT: mac firewall DISC(78) GOT: firewall discard DISC(67) 0 0 GOT: tcam miss DISC(16) 0 0 GOT: firewall reject PUNT(36) 155559 59137563 GOT: firewall send to host PUNT(54) 0 0 GOT: firewall send to host for NAT PUNT(59) 0 0 GOT: GOT: GOT: Routing GOT: ---------------------- GOT: discard route DISC(66) 1577352 82845749 GOT: dsc ifl discard route DISC(95) 0 0 GOT: hold route DISC(70) 21130 1073961 GOT: mcast rpf mismatch DISC( 8) 0 0 GOT: resolve route PUNT(33) 2858 154202 GOT: control pkt punt via nh PUNT(34) 51807272 5283911584 GOT: host route PUNT(32) 23473304 1370843994 GOT: ICMP redirect PUNT( 3) 0 0 GOT: mcast host copy PUNT( 6) 0 0 GOT: reject route PUNT(40) 1663 289278 GOT: link-layer-bcast-inet-check DISC(99) 0 0 GOT:
考虑一个示例部署,其中两个提供商边缘 (PE) 路由器 PE1 和 PE2 分别与聚合以太网接口 ae0连接。。PE1 和 PE2 之间使用多机箱链路聚合组 (MC-LAG),在两个控制器之间形成逻辑 LAG 接口。MC-LAG 中的 PE1 和 PE2 使用机箱间控制链路保护链路 (ICL-PL) 在对等方之间复制转发信息。
机箱间控制协议 (ICCP) 消息在两个 PE 设备之间发送。在此示例中,您将跨两个路由器配置一个 MC-LAG,其中包括两个聚合以太网接口、一个机箱间控制链路保护链路 (ICL-PL)、ICL-PL 的多机箱保护链路和托管 MC-LAG 的对等方 ICCP。
PE1 路由器使用另一个聚合以太网接口 ae3连接到主机 H1 和另一台 MC-LAG 主机 C1。接口上 ae3 启用了 MC-LAG。
从 MC-LAG C1 在 PE1 上接收的流量可以通过 ICL 泛洪以到达 PE2。当数据包到达 PE2 后,可以泛洪回 MC-LAG C1。由单宿主主机 H1 发送的流量可以泛洪到 PE1 上的 MC-LAG C1 和 ICL。当 PE2 从 ICL 接收此类流量时,可以再次泛洪到 MC-LAG C1。为了保护 MC-LAG 拓扑不受此类环路的攻击,我们实施了 MC-LAG 着色功能。此功能应用于 ICL 链路的入口。因此,当 PE2 从 PE1 收到数据包时,它会将 MC-LAG 颜色设置为活动或打开它。当 PE2 需要将数据包泛洪到 MC-LAG 链路时,它会验证 MC-LAG 颜色位是否设置为开启。如果设置了颜色,它将丢弃 MC-LAG ae3 成员链路接口的出口接口上的数据包, mc-lag color jnh 例外中的计数器将递增。
在主动/主动桥接域中配置的 MC-LAG 中,当任何形式的流量(如 ARP 广播或组播流量)遍历网络时,计数器值增加是预期情况。
每个 VLAN 都可能会丢弃一些数据包以防止出现环路,而此类丢弃的数据包可能并非特定于 VLAN。
有时,在 MX 系列路由器的两个 MC LAG 上,您可能会注意到 FPC0 和 FPC2 上的计数器增加,但在 FPC2 上的计数器并没有增加,如以下示例输出所示:
request pfe execute target fpc0 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 558477875 144977739683 request pfe execute target fpc1 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 0 0 request pfe execute target fpc2 command "show jnh 0 exceptions" |grep color GOT: mc lag color DISC(88) 518499257 119130527834
发生此行为是因为,在具有 16 端口 10 千兆以太网 MPC (16x10GE 3D MPC) 的 MX 系列路由器上,每个 MPC 都有四个数据包转发引擎。如果检查 FPC 0、1 和 2 中的一个数据包转发引擎,FPC1 中的 PFE1 没有任何属于 MC-LAG 的接口。它可能包含不是 MC-LAG 一部分的其他聚合以太网接口中的接口。因此,要获取正确的计数器统计信息,必须输入 request pfe execute target fpc0 command "show jnh X exceptions" |grep color 命令,其中 X 可以是 0、1、2 或 3,来检查其他数据包转发引擎。
当名为 dest interface non-local to pfe 的计数器增加时,当聚合以太网接口拆分为多个 FPC 时,这是所需行为。以一个 ae5 接口包含以下成员链路的示例为例: xe-0/1/0 (FPC0) 和 xe-1/1/0 (FPC1) 必须基于散列算法在这两个链路之间拆分流量。散列算法应用于入口 FPC,并执行一个操作,在其中标记必须转发 FPC 的每个数据包(FPC0 或 FPC1)。然后,数据包被发送到交换矩阵。从交换矩阵,所有流量都同时发送至 FPC 0 和 FPC 1。在 FPC0 上,微内核会分析数据包,并确定数据包需要由本地接口转发(本地到 pfe),或者该数据包是否已通过 FPC1 转发(非本地转发至 pfe)。如果数据包已转发,则丢弃数据包, non-local to pfe 并递增计数器。
增强型融合
从 MX 系列路由器上的 Junos OS 14.2R3 版开始,当多机箱聚合以太网 (MC-AE) 链路在桥接域或 VLAN 中出现故障或出现时,增强融合可以缩短第 2 层和第 3 层融合时间。从 Junos OS 18.1R1 版开始,VLAN 成员数已增加到 128,000,在启用 enhanced-convergence 语句时,ARP 和 ND 条目数增加到 96,000。从 Junos OS 19.1R1 版开始,启用 enhanced-convergence and arp-enhanced-scale 语句时,ARP 和 ND 条目的数量已增加到 256,000 个。增强型融合可缩短多机箱聚合以太网 (MC-AE) 链路故障和恢复情况期间的第 2 层和第 3 层融合时间
启用增强型融合后,在转发表中对通过 MC-AE 接口获知的 MAC 地址、ARP 或 ND 条目进行编程,并将 MC-AE 链路用作主下一跃点,并将 ICL 用作备用下一跃点。借助此增强功能,在 MC-AE 链路故障或恢复期间,只会更新转发表中的下一跃点信息,并且不会刷新和重新学习 MAC 地址、ARP 或 ND 条目。此过程可改善 MC-AE 链路故障或恢复期间的流量融合,因为融合仅涉及转发平面中的下一跳修复,同时流量会快速从 MC-AE 链路重新路由到 ICL。
如果通过启用了增强融合的 MC-AE 接口配置了 IRB 接口,则还必须在 IRB 接口上配置增强型融合。必须同时为第 2 层和第 3 层接口启用增强型融合。
IPv6 邻接方发现协议
邻接方发现协议 (NDP) 是一种 IPv6 协议,使同一链路上的节点能够将其存在通告给邻接方并了解其邻接方的存在。NDP 基于互联网控制消息协议第 6 版 (ICMPv6) 构建。它将取代以下 IPv4 协议:路由器发现 (RDISC)、地址解析协议 (ARP) 和 ICMPv4 重定向。
您可以在交换机上的多机箱链路聚合组 (MC-LAG) 主动-主动配置中使用 NDP。
MC-LAG 上的 NDP 使用以下消息类型:
邻接方请求 (NS) — 用于地址解析和测试邻接方可访问性的消息。
主机可以通过发送发送到新地址的邻接方请求消息来验证其地址是否唯一。如果主机在回复中收到邻接方播发,则地址为重复地址。
邻居通告 (NA) — 用于地址解析和测试邻接方可访问性的消息。发送邻接方通告以响应邻接方请求消息。
任播网关
在 EVPN-MPLS 或 MC-LAG 环境中,有两个瞻博网络设备在全活动模式下多宿主,您可以在设备上配置 IRB 接口。当 IRB 接口就位后,多宿主设备充当处理子网间路由的网关。要设置瞻博网络设备上的 IRB 接口,您可以配置以下内容:
IRB 接口::
IPv4 或 IPv6 地址
set interface irb unit logical-unit-number family inet ipv4-address set interface irb unit logical-unit-number family inet6 ipv6-address
媒体访问控制 (MAC) 地址
set interface irb unit logical-unit-number mac mac-address
注意:除了使用上述命令语法显式配置 MAC 地址外,您还可以使用瞻博网络设备自动生成的 MAC 地址(机箱 MAC)。
虚拟网关地址 (VGA):
IPv4 或 IPv6 地址
set interfaces irb unit logical-unit-number family inet address primary-ipv4-address/8 virtual-gateway-address gateway-ipv4-address set interfaces irb unit logical-unit-number family inet6 address primary-ipv6-address/104 virtual-gateway-address gateway-ipv6-address
MAC 地址
set interface irb unit logical-unit-number virtual-gateway-v4-mac mac-address set interface irb unit logical-unit-number virtual-gateway-v6-mac mac-address
注意:除了使用上述命令语法显式配置 MAC 地址外,您还可以使用瞻博网络设备自动生成的 MAC 地址(机箱 MAC)。
为多宿主设备上的 IRB 接口或 VGA 指定 IP 或 MAC 地址时,您现在可以使用任播地址。这种对任播地址的支持使您能够为每个多宿主设备上的 IRB 接口或 VGA 配置相同的地址,从而将设备建立为任播网关。
您的 IP 地址子网方案将确定是使用 IRB 接口命令语法还是使用 VGA 命令语法来设置任播网关。
总结 在以太网 VPN - 多协议标签交换 (EVPN-MPLS) 或多机箱链路聚合 (MC-LAG) 环境中,您可以将两台在全活动模式下多宿主的瞻博网络设备配置为任播网关。
以下部分提供有关任播网关的更多信息。
任播网关的优势
由于两个多宿主瞻博网络设备在 EVPN-MPLS 或 MC-LAG 网络中充当任播网关,因此同一网络中生成第 3 层数据包且目标在其他网络中具有目标的主机现在可以将数据包发送到本地任播网关。收到这些第 3 层数据包后,任播网关会根据目标 IP 查找在核心网络中路由数据包。
任播网关配置准则
通常,在为任播网关配置地址时:
对于 IPv4 或 IPv6 地址,您可以指定任何子网。
对于 MAC 地址,您可以使用瞻博网络设备自动生成的 MAC 地址(机箱 MAC),也可以使用 CLI 显式配置 MAC 地址。
您的 IP 地址子网方案将确定是使用 IRB 接口命令语法还是使用 VGA 命令语法来设置任播网关。
为了将您的多宿主设备设置为任播网关,我们提供以下配置准则:
-
准则 1 — 如果任播网关的 IP 地址在 /30 或 /31(适用于 IPv4)或 /126 或 /127(适用于 IPv6)子网中:
-
您必须使用以下命令之一为每个多宿主设备上的 IRB 接口配置相同的 IP 地址。
set interface irb unit logical-unit-number family inet ipv4-address set interface irb unit logical-unit-number family inet6 ipv6-address
-
您必须使用以下命令显式配置 MAC 地址:
set interface irb unit logical-unit-number mac mac-address
-
您不得配置 VGA(IP 和 MAC 地址)。
-
-
准则 2 — 如果任播网关的 IP 地址不是 /30、/31、/126 或 /127 子网,则可以配置 VGA:
-
您必须使用以下命令之一为每个多宿主设备上的 VGA 配置相同的 IP 地址。
set interfaces irb unit logical-unit-number family inet address primary-ipv4-address/8 virtual-gateway-address gateway-ipv4-address set interfaces irb unit logical-unit-number family inet6 address primary-ipv6-address/104 virtual-gateway-address gateway-ipv6-address
-
您必须使用以下命令之一显式配置 MAC 地址:
set interface irb unit logical-unit-number virtual-gateway-v4-mac set interface irb unit logical-unit-number virtual-gateway-v6-mac mac-address
-
为 VGA 指定 MAC 地址时,建议不要使用用于 VRRP 的相同 MAC 地址。
-
任播网关配置限制
使用本主题前面介绍的准则配置任播网关时,请记住以下几点:
-
一般来说,我们不建议将 VRRP MAC 地址用作 IRB 接口的 MAC 地址。但是,如果您必须这样做(就像在瞻博网络设备上配置 VRRP 时的一般做法一样,您必须为 IPv4 系列使用 VRRP IPv4 MAC 地址,为 IPv6 系列使用 VRRP IPv6 MAC 地址。
在给定这些参数下,此限制唯一能用于的配置准则是配置准则 2。
-
在 EVPN-MPLS 环境中使用准则 1 配置任播网关地址时,您还必须在路由实例中指定
default-gateway do-not-advertise配置语句。例如:set routing-instance routing-instance-name protocols evpn default-gateway do-not-advertise
-
在 EVPN-MPLS 环境中,如果您的任播网关 IP 地址位于不同的子网中,并且您在多个路由实例中指定了地址:
-
如果您在一个路由实例中使用配置准则 1 配置了任播网关 IP 地址,在另一个路由实例中使用配置准则 2 配置了另一个任播网关 IP 地址,则您还必须在路由实例中指定
default-gateway no-gateway-community配置语句:set routing-instance routing-instance-name protocols evpn default-gateway no-gateway-community
此附加配置仅适用于包含使用准则 1 配置任播网关 IP 地址的路由实例。
-
对于使用配置准则 1 指定任播网关 IP 地址的每个路由实例,我们建议指定一个非 VRRP MAC 地址。
-
-
默认情况下,在采用 EVPN 多宿主的设备上启用自动 ESI 生成,以实现虚拟网关冗余。建议为具有边缘路由桥接 (ERB) 叠加的 EVPN-VXLAN 网络禁用自动 ESI 生成。在这种情况下,您可以在层次结构级别包含语句
no-auto-virtual-gateway-esi[edit interfaces irb unit logical-unit-number]。从 Junos OS 22.1R1 版开始,MX960、MX2020 和 MX10008 路由器还默认为 EVPN 第 3 层网关 IRB 接口 ESI 启用自动 ESI 生成。但是,EVPN-MPLS 网络不支持该
no-auto-virtual-gateway-esi语句。因此,在这种情况下,您始终会看到 IRB 接口自动生成的 ESI。 -
在具有多宿主功能的 EVPN-VXLAN 环境中,您可以在共享以太网分段 (ES) 的对等提供商边缘 (PE) 设备上使用多个 EVPN 路由实例。使用语句配置任播网关
default-gateway时,我们不支持在参与同一 ES 的链路上混合默认行为(播发选项)与无网关社区选项。因此,如果在共享 ES 的任何 EVPN 路由实例中配置
default-gateway语句no-gateway-community,则必须配置以下语句:• 在 PE 设备上共享 ES 的所有路由实例中
• 共享 ES 的所有对等 PE 设备上
• 仅使用
no-gateway-community选项或。do-not-advertise不能省略默认网关语句的设置,也不能在任何对等 PE 设备上的任何路由实例中包括该语句和播发选项。
-
我们支持在 ACX5448 设备上的 IRB 接口上设置任播网关 IP 地址。但是,对于 PE 与客户边缘 (CE) 设备接口之间的连接上具有 /30 或 /31 IP 地址的 IRB 接口,CE 设备的池空间不足用于 BGP 会话 IP 地址分配。因此,我们不支持具有 IRB 接口 /30 和 /31 任播 IP 地址的 BGP。
enhanced-convergence and
arp-enhanced-scale 语句时,ARP 和 ND 条目的数量已增加到 256,000 个。
enhanced-convergence 语句时,ARP 和 ND 条目数增加到 96,000。