Verständnis von aggregierten Multiservice-Schnittstellen für Services der nächsten Generation

Aggregierte Multiservices-Schnittstelle

In Junos OS können Sie mehrere Serviceschnittstellen kombinieren, um ein Bündel von Serviceschnittstellen zu erstellen, die als eine einzige Schnittstelle fungieren können. Ein solches Bündel von Schnittstellen wird als aggregated multiservices interface (AMS) bezeichnet und in der Konfiguration als amsN bezeichnet, wobei N eine eindeutige Nummer angegeben ist, die eine AMS-Schnittstelle identifiziert (z. B. ams0). Ab Junos OS Version 19.3R2 werden AMS-Schnittstellen auf der Next Gen Services MX-SPC3 Services Card unterstützt.

Die AMS-Konfiguration bietet eine höhere Skalierbarkeit, eine verbesserte Leistung sowie bessere Failover- und Load-Balancing-Optionen.

Eine AMS-Konfiguration ermöglicht es Service Sets, mehrere Service PICs zu unterstützen, indem ein AMS-Bundle einem Service Set zugeordnet wird. Für Services der nächsten Generation unterstützt die MX-SPC3-Servicekarte bis zu zwei PICs und Sie können maximal acht MX-SPC3-Servicekarten in Ihrem Gehäuse haben. Dadurch kann ein Next Gen Services AMS-Bundle bis zu 16 Services PICs als Mitgliedsschnittstellen haben, und Sie können Services auf die Mitgliedsschnittstellen verteilen.

Memberschnittstellen werden in der Konfiguration als mams gekennzeichnet. Der chassisd-Prozess in Routern, die die AMS-Konfiguration unterstützen, erstellt einen mams-Eintrag für jede Multiservices-Schnittstelle auf dem Router.

Wenn Sie Serviceoptionen auf der ams-Schnittstellenebene konfigurieren, gelten die Optionen für alle Mitgliedsschnittstellen (MAMS) für die ams-Schnittstelle.

Die Optionen gelten auch für Service-Sets, die auf Service-Schnittstellen konfiguriert sind, die den Mitgliedsschnittstellen der ams-Schnittstelle entsprechen. Alle Einstellungen gelten pro PIC. Beispielsweise gilt das Sitzungslimit pro Mitglied und nicht auf aggregierter Ebene.

Hinweis:

Sie können Serviceoptionen nicht sowohl auf ams- (aggregiert) als auch auf Member-Schnittstellenebene konfigurieren. Wenn Service-Optionen auf vms-x/y/zkonfiguriert sind, gelten sie auch für Service-Sets auf mams-x/y/z.

Wenn die Einstellungen für Serviceoptionen einheitlich auf alle Member angewendet werden sollen, konfigurieren Sie die Serviceoptionen auf der ams-Schnittstellenebene. Wenn Sie unterschiedliche Einstellungen für einzelne Mitglieder benötigen, konfigurieren Sie die Dienstoptionen auf der Ebene der Mitgliedsschnittstelle.

Hinweis:

Für NAT64 ist ein Datenverkehrsverlust pro Mitglied und eine Next-Hop-Konfiguration pro Mitglied erforderlich. Für NAPT44 ermöglicht diese Spezifikation pro Mitglied beliebige Hash-Schlüssel und bietet bessere Lastausgleichsoptionen für dynamische NAT-Vorgänge. Für NAT64, NAPT44 und dynamisches NAT44 ist es nicht möglich zu bestimmen, welches Mitglied die dynamische NAT-Adresse zuweist. Um sicherzustellen, dass Reverse-Flow-Pakete beim selben Mitglied wie die Forward-Flow-Pakete ankommen, werden pooladressbasierte Routen verwendet, um Reverse-Flow-Pakete zu steuern.

Hinweis:

Wenn Sie einen NAT-Pool ändern, der von einem Service-Set verwendet wird, das einer AMS-Schnittstelle zugewiesen ist, müssen Sie den Service-Set deaktivieren und aktivieren, bevor die Änderungen am NAT-Pool wirksam werden.

Die Verteilung des Datenverkehrs über die Mitgliedsschnittstellen einer AMS-Schnittstelle kann entweder im Round-Robin-Verfahren oder hashbasiert erfolgen. Sie können die folgenden Hashschlüsselwerte konfigurieren, um die Datenverkehrsverteilung zu regulieren: source-ip, destination-ip und protocol. Für Services, die Datenverkehrssymmetrie erfordern, müssen Sie symmetrisches Hashing konfigurieren. Die symmetrische Hashing-Konfiguration stellt sicher, dass sowohl Vorwärts- als auch Rückwärts-Datenverkehr über dieselbe Mitgliederschnittstelle geleitet werden.

Wenn der Dienstsatz auf der Gigabit-Ethernet- oder 10-Gigabit-Ethernet-Schnittstelle (schnittstellenähnlicher Dienstsatz) angewendet wird, die als interne NAT-Schnittstelle fungiert, können die für das Load Balancing verwendeten Hashschlüssel so konfiguriert werden, dass der Eingangsschlüssel als Ziel-IP-Adresse und der Ausgangsschlüssel als Quell-IP-Adresse festgelegt ist. Da die Quell-IP-Adresse einer NAT-Verarbeitung unterzogen wird, steht sie nicht für das Hashing des Datenverkehrs in umgekehrter Richtung zur Verfügung. Daher findet das Load Balancing nicht auf derselben IP-Adresse statt, und Vorwärts- und Rückwärtsverkehr wird nicht demselben PIC zugeordnet. Wenn die Hashschlüssel umgekehrt sind, erfolgt das Load Balancing ordnungsgemäß.

Bei Next-Hop-Services sorgt bei Weiterleitung des Datenverkehrs der Eingangsschlüssel an der internen Schnittstelle für den Lastausgleich, und für umgekehrten Datenverkehr sorgt der Eingangsschlüssel an der externen Schnittstelle für den Lastausgleich oder die nächsten Hops pro Mitglied steuern den umgekehrten Datenverkehr. Bei schnittstellenartigen Services sorgt die Eingangstaste für den Lastausgleich für die Weiterleitung des Datenverkehrs und die Ausgangstaste für den Lastausgleich über die Weiterleitung des Datenverkehrs oder die Weiterleitung des Datenverkehrs durch die nächsten Hops pro Mitglied. Vorwärts-Datenverkehr ist Datenverkehr, der von der Innenseite eines Service-Sets eingeht, und Reverse-Datenverkehr ist Datenverkehr, der von der Außenseite eines Service-Sets eingeht. Der Forward-Schlüssel ist der Hash-Schlüssel, der für die Weiterleitungsrichtung des Datenverkehrs verwendet wird, und der Reverse-Schlüssel ist der Hash-Schlüssel, der für die umgekehrte Richtung des Datenverkehrs verwendet wird (je nachdem, ob es sich um Schnittstellenservices oder Next-Hop-Services handelt).

Mit zustandsbehafteten Firewalls können Sie die folgenden Kombinationen von Vorwärts- und Rückwärtstasten für das Load Balancing konfigurieren. In den folgenden Kombinationen, die für Hash-Schlüssel dargestellt werden, bezieht sich FOR-KEY auf die Vorwärtstaste, REV-KEY bezeichnet die Reverse-Taste, SIP bezeichnet die Quell-IP-Adresse, DIP bezeichnet die Ziel-IP-Adresse und PROTO bezieht sich auf Protokolle wie IP.

• FOR-TASTE: SIP, REV-KEY: DIP

• FOR-TASTE: SIP,PROTO REV-KEY: DIP, PROTO

• FOR-TASTE: DIP, REV-KEY: SIP

• FOR-TASTE: DIP,PROTO REV-KEY: SIP, PROTO

• FOR-TASTE: SIP,DIP REV-KEY: SIP, DIP

• FOR-TASTE: SIP,DIP,PROTO REV-KEY: SIP, DIP,PROTO

Wenn statisches NAT als Basis-NAT44 oder Ziel-NAT44 konfiguriert ist und eine Stateful-Firewall konfiguriert ist oder nicht, konfigurieren Sie die Hashschlüssel wie folgt, wenn die Weiterleitungsrichtung des Datenverkehrs einer NAT-Verarbeitung unterzogen werden muss:

• FOR-TASTE: DIP, REV-KEY: SIP

• FOR-TASTE: DIP,PROTO REV-KEY: SIP, PROTO

Wenn die umgekehrte Richtung des Datenverkehrs einer NAT-Verarbeitung unterzogen werden muss, konfigurieren Sie die Hashschlüssel wie folgt:

• FOR-TASTE: SIP, REV-KEY: DIP

• FOR-TASTE: SIP,PROTO REV-KEY: DIP, PROTO

Wenn dynamisches NAT konfiguriert ist und ob eine Stateful-Firewall konfiguriert ist oder nicht, kann nur der Datenverkehr in Weiterleitungsrichtung NAT durchlaufen. Der Weiterleitungs-Hash-Schlüssel kann eine beliebige Kombination aus SIP, DIP und Protokoll sein, und der umgekehrte Hash-Schlüssel wird ignoriert.

Hinweis:

Die Junos OS AMS-Konfiguration unterstützt IPv4- und IPv6-Datenverkehr.

IPv6-Datenverkehr auf AMS-Schnittstellen – Übersicht

Sie können AMS-Schnittstellen für IPv6-Datenverkehr verwenden. Um die IPv6-Unterstützung für eine AMS-Schnittstelle zu konfigurieren, schließen Sie die family inet6 Anweisung auf Hierarchieebene [edit interfaces ams-interface-name unit 1] ein. Wenn family inet und family inet6 für eine AMS-Schnittstellenuntereinheit festgelegt sind, wird die hash-keys auf Serviceset-Ebene für den Schnittstellenstil und auf IFL-Ebene für den Next-Hop-Stil konfiguriert.

Wenn eine Mitgliedsschnittstelle eines AMS-Pakets ausfällt, wird der für das ausgefallene Mitglied bestimmte Datenverkehr unter den verbleibenden aktiven Mitgliedern neu verteilt. Der Datenverkehr (Ströme oder Sitzungen), der die vorhandenen aktiven Mitglieder durchläuft, ist davon nicht betroffen. Wenn M Member derzeit aktiv sind, ist das erwartete Ergebnis, dass nur etwa 1/M des Datenverkehrs (Datenströme/Sitzungen) betroffen ist, da diese Datenverkehrsmenge vom ausgefallenen Member auf aktive Member verlagert wird. Wenn die ausgefallene Member-Schnittstelle wieder online geht, wird nur ein Bruchteil des Datenverkehrs an das neue Member umverteilt. Wenn derzeit N Mitglieder aktiv sind, ist das erwartete Ergebnis, dass nur etwa 1/(N+1) des Datenverkehrs (Datenströme/Sitzungen) betroffen ist, da diese Datenverkehrsmenge auf das neu wiederhergestellte Mitglied verschoben wird. Bei den Werten 1/M und 1/(N+1) wird davon ausgegangen, dass die Datenströme gleichmäßig auf die Member verteilt sind, da ein Pakethash zum Lastenausgleich verwendet wird und der Datenverkehr in der Regel eine typische zufällige Kombination von IP-Adressen (oder anderen Feldern, die als Lastausgleichsschlüssel verwendet werden) enthält.

Ähnlich wie beim IPv4-Datenverkehr darf ein AMS-Paket für IPv6-Pakete nur Mitglieder eines Service-PIC-Typs enthalten.

Die Anzahl der verteilten Datenströme kann in einer idealen Umgebung im besten Fall 1/N betragen, wenn das N-te Element steigt oder fällt. Bei dieser Annahme wird jedoch davon ausgegangen, dass die Hash-Schlüssel den tatsächlichen oder dynamischen Datenverkehr ausgleichen. Stellen Sie sich beispielsweise eine reale Bereitstellung vor, bei der Mitglied A nur einen Flow bedient, während Member B 10 Flows bedient. Wenn Mitglied B ausfällt, beträgt die Anzahl der unterbrochenen Datenströme 10/11. Das NAT-Pool-Split-Verhalten wurde entwickelt, um die Vorteile der Rehash-Minimierungsfunktion zu nutzen. Die Aufteilung eines NAT-Pools wird für dynamische NAT-Szenarien (dynamisches NAT, NAT64 und NAPT44) durchgeführt.

Wenn der ursprüngliche und der umverteilte Fluss wie folgt definiert sind:

• Member-original-flows: Der Datenverkehr, der einem Mitglied zugeordnet wird, wenn alle Mitglieder verfügbar sind.

• Member-redistributed-flows: Der zusätzliche Datenverkehr, der einem Member zugeordnet wird, wenn ein anderes Member ausfällt. Diese Datenverkehrsströme müssen möglicherweise neu ausbalanciert werden, wenn Mitgliedsschnittstellen hoch- und abgeschaltet werden.

Mit den vorstehenden Definitionen der ursprünglichen und neu verteilten Flows für Memberschnittstellen gelten die folgenden Beobachtungen:

• Die member-original-flows eines Members bleiben intakt, solange dieses Member aktiv ist. Solche Flüsse werden nicht beeinflusst, wenn sich andere Mitglieder zwischen dem Aufwärts- und dem Abwärtsstatus bewegen.

• Die member-redistributed-flows eines Elements können sich ändern, wenn andere Member nach oben oder unten gehen. Diese Änderung der Datenströme tritt auf, weil diese zusätzlichen Bewegungen zwischen allen aktiven Mitgliedern neu verteilt werden müssen. Daher kann der member-redistributed-flow stark variieren, je nachdem, ob andere Member fallen oder steigen. Obwohl es den Anschein haben mag, dass die Datenströme auf aktiven Mitgliedern beibehalten werden, wenn ein Mitglied ausfällt, und dass, wenn ein Mitglied steigt, die Datenströme auf aktiven Mitgliedern nicht effektiv beibehalten werden, ist dieses Verhalten nur auf eine statische oder hashbasierte Neuverteilung des Datenverkehrs zwischen aktiven Mitgliedern zurückzuführen.

Die Funktion zur erneuten Minimierung verarbeitet nur die betrieblichen Änderungen im Status einer Mitgliedsschnittstelle (z. B. Offline-Mitglied oder Zurücksetzen von Junos OS). Konfigurationsänderungen werden nicht verarbeitet. Beispielsweise erfordert das Hinzufügen oder Löschen oder Aktivieren und Deaktivieren von Memberschnittstellen auf der [edit interfaces amsN load-balancing-options member-interface mams-a/b/0] Hierarchieebene, dass die Member-PICs unzustellbar sind. Zweimal wird NAT oder Hairpinning nicht unterstützt, ähnlich wie IPv4-Unterstützung für AMS-Schnittstellen.

Optionen für Komponentenfehler und Hochverfügbarkeitseinstellungen

Da mehrere Serviceschnittstellen als Teil eines AMS-Pakets konfiguriert werden, bietet die AMS-Konfiguration auch Unterstützung für Failover und hohe Verfügbarkeit. Sie können entweder eine der Mitgliedsschnittstellen als Sicherungsschnittstelle konfigurieren, die aktiv wird, wenn eine der anderen Mitgliedsschnittstellen ausfällt, oder das AMS so konfigurieren, dass bei einem Ausfall einer der Mitgliedsschnittstellen der dieser Schnittstelle zugewiesene Datenverkehr von den aktiven Schnittstellen gemeinsam genutzt wird.

Mit der member-failure-options Konfigurationsanweisung können Sie konfigurieren, wie der Datenverkehr behandelt werden soll, wenn eine Mitgliedsschnittstelle ausfällt. Eine Möglichkeit besteht darin, den Datenverkehr sofort auf die anderen Mitgliedsschnittstellen zu verteilen. Die Umverteilung des Datenverkehrs erfordert jedoch eine Neuberechnung der Hash-Tags und kann zu einer Unterbrechung des Datenverkehrs auf allen Mitgliedsschnittstellen führen.

Die andere Möglichkeit besteht darin, das AMS so zu konfigurieren, dass der gesamte Datenverkehr verworfen wird, der der fehlerhaften Mitgliedsschnittstelle zugewiesen ist. Damit können Sie optional ein Intervall konfigurieren, in dem das AMS warten soll, rejoin-timeoutbis die ausgefallene Schnittstelle wieder online ist, wonach das AMS den Datenverkehr auf andere Mitgliedsschnittstellen verteilen kann. Wenn die ausgefallene Member-Schnittstelle vor der konfigurierten Wartezeit wieder online geschaltet wird, wird der Datenverkehr auf allen Member-Schnittstellen unverändert fortgesetzt, einschließlich der Schnittstelle, die wieder online gegangen ist und den Betrieb fortgesetzt hat.

Sie können auch das erneute Verbinden der fehlerhaften Schnittstelle steuern, wenn sie wieder online ist. Wenn Sie die enable-rejoin Anweisung nicht in die member-failure-options Konfiguration aufnehmen, kann die fehlerhafte Schnittstelle dem AMS nicht wieder beitreten, wenn sie wieder online ist. In solchen Fällen können Sie diese manuell wieder mit dem AMS verbinden, indem Sie den Befehl für den request interfaces revert interface-name Betriebsmodus ausführen.

Mit den rejoin-timeout and-Anweisungen enable-rejoin können Sie Datenverkehrsunterbrechungen minimieren, wenn Memberschnittstellen flattern.

Hinweis:

Wenn member-failure-options sie nicht konfiguriert sind, besteht das Standardverhalten darin, Mitgliederdatenverkehr mit einem Timeout für den erneuten Beitritt von 120 Sekunden zu verwerfen.

Die high-availability-options Konfiguration ermöglicht es Ihnen, eine der Mitgliedsschnittstellen als Backup-Schnittstelle festzulegen. Die Backup-Schnittstelle nimmt nicht an Routing-Vorgängen teil, solange sie eine Backup-Schnittstelle bleibt. Wenn eine Mitgliedsschnittstelle ausfällt, verarbeitet die Sicherungsschnittstelle den Datenverkehr, der der ausgefallenen Schnittstelle zugewiesen ist. Wenn die ausgefallene Schnittstelle wieder online ist, wird sie zur neuen Backup-Schnittstelle.

In einer Many-to-One-Konfiguration (N:1) unterstützt eine einzelne Sicherungsschnittstelle alle anderen Mitgliedsschnittstellen in der Gruppe. Wenn eine der Mitgliedsschnittstellen ausfällt, übernimmt die Sicherungsschnittstelle. In dieser zustandslosen Konfiguration werden keine Daten zwischen der Sicherungsschnittstelle und den anderen Mitgliedsschnittstellen synchronisiert.

Wenn beide member-failure-options und high-availability-options für ein AMS konfiguriert sind, hat die high-availability-options Konfiguration Vorrang vor der member-failure-options Konfiguration. Wenn ein zweiter Fehler auftritt, bevor die ausgefallene Schnittstelle als neue Sicherung wieder online geschaltet wird, wird die member-failure-options Konfiguration wirksam.

Warm-Standby-Redundanz

Ab Junos OS Version 19.3R2 wird die N:1-Warm-Standby-Option auf dem MX-SPC3 unterstützt, wenn Sie Next Gen Services ausführen. Jede AMS-Schnittstelle im Warm-Standby-Modus enthält zwei Mitglieder. Ein Mitglied ist die Dienstschnittstelle, die Sie schützen möchten, die als primäre Schnittstelle bezeichnet wird, und ein Mitglied ist die sekundäre (Sicherungs-)Schnittstelle. Die primäre Schnittstelle ist die aktive Schnittstelle, und die Backup-Schnittstelle verarbeitet keinen Datenverkehr, es sei denn, die primäre Schnittstelle fällt aus.

Um den Warm-Standby auf einer AMS-Schnittstelle zu konfigurieren, verwenden Sie die redundancy-options Anweisung. Sie können die load-balancing-options Anweisung nicht in einer AMS-Schnittstelle mit warmem Standby verwenden.

Um von der primären Schnittstelle zur sekundären Schnittstelle zu wechseln, geben Sie den request interface switchover amsN Befehl ein.

Um von der sekundären Schnittstelle zur primären Schnittstelle zurückzukehren, geben Sie den request interface revert amsN Befehl ein.