坎 香，金海峰

随着互联网技术的发展，使用计算机的用户数量逐渐增加，网络规模逐渐扩大，网络核心层也由原来的一台交换机逐渐转换成多台交换机.但多台交换机会带来网络管理和维护复杂化的问题，因此，产生了网络设备虚拟化技术［1-3］，这种技术可以将多台设备虚拟化为一台设备，简化网络管理.目前主要的设备虚拟化技术有级联、堆叠和集群三种，但这些技术都不能以低成本和管理更简化的方式实现网络核心层设备的冗余备份［4-6］.H3C 的IRF 技术可以将多台网络设备进行合并，在逻辑上形成一台设备，简化了网络拓扑，从而简化网络管理和维护.同时，IRF 中的多台设备相互备份，当一台设备出现故障时，其他设备可以主动接管工作机的工作，继续维护IRF系统的运行，从而保证业务能够不间断地运行.因此，本文基于IRF 技术进行了网络核心层双机热备系统的设计与实现，以此提高网络的可靠性和稳定性，减少网络故障发生的几率.

1 几种网络设备虚拟化技术的不足

目前主要的设备虚拟化技术有三种：级联、堆叠和集群.级联技术是将多台设备相互联接起来，虽然可用端口的数量增加了，但级联的多台设备逻辑上是相互独立的，需要为每台设备进行配置和管理，不能实现网络管理更加简化的目的.堆叠技术是一种扩展端口的技术，要求多台交换机是相同品牌，且需要专门的堆叠电缆和堆叠模块进行堆叠，不能很好地进行数据转发.集群技术可以将多台交换机虚拟化成一台设备，但集群技术要求多台交换机出自同一厂家，并且只有部分的型号能进行集群［7］.

这三种设备虚拟化技术都不能以低成本和管理更简化的方式实现网络核心层设备的冗余备份，导致网络的可靠性和稳定性不高.H3C 的IRF 技术可以将多台设备进行合并，在逻辑上形成一台设备，简化了网络拓扑，从而简化网络管理；同时，IRF 本身就是由多台设备组成，多台设备互为备份，所以无需再额外增加设备形成冗余备份，从而降低组网的成本［8］.

2 IRF 软件虚拟化技术

2.1 IRF 概述

IRF 是一种H3C 设备专属的软件虚拟化技术，该技术通过IRF 物理端口将多台设备进行互联，并对这些设备进行配置后，形成一台“分布式设备”，解放了整个拓扑结构，从而实现多台设备的协同工作、统一管理；同时，由于多台设备相互备份，所以当一台设备出现故障时，可以由其他设备接替工作，使得整个业务不出现中断，实现多台设备的不间断维护.IRF 组网示意图如图1 所示.

图1 IRF 组网示意图

2.2 IRF 技术的原理

如图1 所示，通过IRF 技术将交换机S1 和交换机S2 合并成一台专属设备，对于上下层设备，他们就是一台设备——IRF 存在于网络中.即对于S3、H1 和H2 来说，他们就是连接在同一台IRF 上，简化了整个拓扑结构.

一台IRF 是由多台设备合并而成，所有的组成设备都称为成员设备.所有的成员设备按照分工不同，分为Master 和Slave 两种角色.Master 负责对IRF 进行整体操作，所有对IRF的操作都通过对Master 进行配置完成，从机Slave 作为主机Master 的备份设备运行.当Master 不能正常工作时，系统自动从所有Slave中选一个新Master，新Master 接管原Master 继续工作，实现多台设备的不间断维护［9］.

2.3 IRF 冲突检测机制MAD

正常情况下，如图1 所示，通过IRF 技术可以将多台设备合并为一台IRF.如果IRF 链路出现故障，如图2 所示，当交换机S1 和交换机S2 相连的IRF 链路出现故障，此时S1 和S2就分裂成两台独立的IRF1 和IRF2，如图3 所示.原先针对IRF 作的配置就一分为二，复制成两份相同的配置分别在IRF1 和IRF2 上生效.IRF1 和IRF2 拥有相同的三层配置，如IRF1和IRF2 拥有相同的IP 地址，会产生IP 地址信息冲突问题，导致网络故障扩大.

MAD（Multi-Active Detection，多主动检测）是一种检测和处理机制，当IRF 分裂时，MAD能快速检测出网络中同时存在多个处于Active状态的IRF，冲突处理使具有Master 最小成员编号的IRF 保持活动状态并正常工作，其他活动状态的IRF 迁移到恢复状态，这样他们就不再转发数据，提高了IRF 系统的可用性，保证了网络的可靠性和稳定性.

图2 IRF 链路故障示意图

图3 IRF 分裂示意图

3 网络核心层双机热备的IRF 技术的实现

3.1 网络核心层双机热备架构设计

核心层部署两台H3C S5560 Series 三层交换机，并通过单模光纤将两台设备的光纤模块端口进行互联，形成IRF 链路；两台三层交换机之间再通过以太网电缆互联，形成检测IRF 分裂的MAD 检测链路.汇聚层部署两台H3C S5130 Series 二层交换机，采用以太网电缆分别与核心层的两台三层交换机互联.核心层的上层设备选用一台H3C MSR26-30 的路由器，采用以太网电缆分别与核心层的两台三层交换机互联.核心网络双机热备拓扑结构如图4 所示.

图4 核心网络双机热备拓扑图

3.2 方案描述

（1）网络核心层双机热备的IRF 设计.将核心层设备S5560-1、S5560-2 的光口XG0/52作为IRF 端口，并通过光纤进行互联.配置交换机S5560-1 的成员编号为1，即作为主设备Master，负责整个IRF 运行；配置交换机S5560-2 的成员编号是2，即Slave，作为Master的备份设备运行.重启各成员设备使成员设备编号生效.重启后，在设备S5560-1、S5560-2上建立IRF 逻辑端口，并将两台设备的物理端口与IRF 逻辑端口进行一一映射.IRF 逻辑端口与物理端口绑定后，需激活IRF 逻辑端口.IRF 逻辑端口激活后，两台设备自动开始竞选Master，竞选失败的设备会自动重启.设备重启完成后，IRF 形成.IRF 的配置流程图如图5所示.

图5 IRF 的配置流程图

（2）BFD MAD 的设计.核心设备S5560-1、S5560-2 互联电口G0/8 作为BFD MAD 检测端口，加入vlan210 中；使能BFD MAD 检测功能；配置S5560-1、S5560-2 互 联 电口G0/8 的IP 地址分别为192.168.210.1/24 和192.168.210.2/24.

（3）端口聚合设计.汇聚层设备S5130-1、S5130-2 分别与核心层设备IRF 互联端口之间建立交换聚合端口，聚合端口编号分别为1 和2；核心层设备IRF 与上层设备MSR26-30 互联端口之间建立路由聚合端口3.

3.3 方案实现

根据以上方案描述，网络核心层双机热备系统的实现分为三步：IRF 的配置、BFD MAD 的配置和端口聚合的配置.

（1）IRF 的配置.IRF 的配置步骤包括：核心层设备的连接、配置成员设备编号、重启成员设备、创建IRF 端口、激活IRF 端口、两台交换机竞选Master.

①核心层设备的连接.将两台核心设备S5560-1、S5560-2 的XG0/52 光 口 通 过 单 模 光纤跳线互联，形成IRF 链路；将这两台设备的电口G0/8 作为BFD MAD 检测端口，并通过六类双绞线互联，形成检测IRF 分裂的MAD 检测链路.

②配置成员设备编号.

#核心层交换机S5560-1 的IRF 默认编号是1，不再需要配置.

#修改核心层交换机S5560-2 的成员编号为2.

③重启成员设备.将两台交换机S5560-1、S5560-2 断电后上电重启设备.重启后，交换机S5560-1 的端口前都加上了IRF 成员编号1，交换机S5560-2 的端口前都加上了IRF 成员编号2.

④创建IRF 端口.将IRF 逻辑端口与物理端口进行一一映射.

首先在设备S5560-1 上创建IRF 逻辑端口irf-port 1/1，并将设备S5560-1 的物理端口XG0/52 与IRF 端口irf-port 1/1 进行绑定.然后在设备S5560-2 上创建IRF 逻辑端口irf-port 2/2，并将设备S5560-2 的物理端口XG0/52 与IRF 端口irf-port 2/2 进行绑定.其中，IRF 逻辑端口与物理端口一一映射关系如表1 所示.

表1 IRF 逻辑端口与物理端口映射表

#在设备S5560-1上创建irf-port 1/1的配置.

#在设备S5560-2上创建irf-port 2/2的配置.

⑤激活IRF 端口.IRF 端口创建完成后，由于IRF 逻辑端口对应的物理端口是关闭状态，因此要启动物理端口，激活相应的IRF 端口.

#在设备S5560-1 上启动物理端口XG0/52的配置.

#在设备S5560-2 上启动物理端口XG0/52的配置.

#在设备S5560-1 上激活IRF 端口irf-port 1/1 的配置.

#在设备S5560-2 上激活IRF 端口irf-port 2/2 的配置.

⑥两台交换机会竞选出一台主设备Master，另一台设备为Slave.Slave 会自动重启，重启后IRF 形成.S5560-1 作为Master 运行，S5560-2 作为Slave 运行，且两台设备名称统一更改为S5560-1.IRF 形 成 后，在Master 设 备S5560-1 上配的所有配置，备份设备S5560-2 严格同步相同配置.通过这种同步机制，IRF 中两台交换机保持相同的配置，即使Master 交换机S5560-1 不能正常工作，备份交换机S5560-2仍能够按照相同的配置继续工作，实现了核心网络设备的双机热备.

（2）BFD MAD 的配置.为了避免IRF 链路故障引起IRF 分裂，导致网络故障扩大，需采用MAD 检测功能.由于网络核心层只有两台交换机，设备较少，因此可以采用BFD MAD检测机制来检测IRF 是否分裂和处理IRF 分裂.IRF 设备上BFD MAD 的配置包括：使能BFD MAD 检测功能、给IRF 成员设备端口配置MAD IP 地址.其中MAD IP 地址与IRF 成员设备一一映射，所有IRF 成员设备的互联端口都必须配置MAD IP 地址，且需将成员设备的互联端口加入同一VLAN，并配置同一网段的IP 地址.

#IRF 设备上BFD MAD 的配置.

由于生成树功能与BFD MAD 检测功能相互冲突，因此，需关闭IRF 成员设备互联端口的生成树协议.

#关闭IRF 上G1/0/8 和G2/0/8 生成树协议的配置.

（3）端口聚合配置.IRF 形成后，对于上下层设备而言，交换机S5560-1 和交换机S5560-2就是“一台”设备——IRF，因此，IRF 与汇聚层设备S5130-1 互联的两条链路需作二层链路聚合，IRF 与汇聚层设备S5130-2 互联的两条链路也需作二层链路聚合，IRF 与上层设备MSR26-30 互联的两条链路需作三层链路聚合.

#IRF 上与汇聚层设备S5130-1 互联的端口建立交换聚合端口1.

#IRF 上与汇聚层设备S5130-2 互联的端口建立交换聚合端口2.

#IRF 上与上层设备MSR26-30 互联的端口建立路由聚合端口3.

4 IRF 部署后的效果

4.1 网络更简化

IRF 提供了两个方面的网络简化：一方面，IRF 形成后，多台设备在逻辑上合并成一台设备，简化了网络拓扑；另一方面，IRF 形成后，可以通过任何成员设备的任何端口登录到IRF 系统，并配置和管理IRF 中的所有成员设备，简化了网络管理.

4.2 网络更可靠

IRF 提供了两个方面的高可靠性：一方面，IRF 由多台成员设备组成，其中一台为Master，其余设备作为Slave，实现了设备的1∶N备份，提高了设备的可靠性；另一方面，IRF 与上下层设备之间的物理链路支持聚合功能，多个链路可以相互备份，提高了链路的可靠性.

5 结语

本文针对目前主要的几种设备虚拟化技术进行了分析，基于这些技术不能以低成本和管理更加简化的方式实现网络核心层设备的冗余备份和网络的高可靠性，提出了采用IRF 技术来实现网络核心层设备的双机热备.IRF 中两台交换机的配置严格同步，即使Master不能正常工作，备份交换机仍能够按照相同的配置继续工作，实现了网络核心层设备的双机热备，达到了提高网络可靠性和稳定性的目的.