网络设备-华三-防火墙F1020-IRF虚拟化实战终结配置篇

此篇h3c-IRF的实战配置,同样与前面华为的堆叠一样路子,我们先聊聊为啥要做这个?为什么不玩双机,要玩IRF。其实弄懂这一点,对于售前来讲,在外面做方案也是思路相当清晰的一点。

以前我们常规的双机方案如下图:

架构特点:

1.全网无单点故障,完整的解决因为单电源或者单一设备故障引起的业务不可用。

2.核心交换区-使用华为stack堆叠(前面有文章单独介绍)

3.防火墙HA(Juniper-NSRP协议,不懂度娘)(可能大家会问题,防火墙到华为交换机为什么没做lacp或者aggregate,大家注意下防火墙型号和系列,玩过的都懂SSG不支持做聚合)

4.流量平行,方便日后故障演练与割接,做流量切换。

优势就是我如上提到的这些,但是缺点也是明确有的,比如防火墙选型失败-SSG140虽然配置界面友好,但毕竟链路聚合不能做。比如防火墙这里做的A/P(主备)模式,其实按照boss的理解,你的流量处理,仍然是单台在跑,另外一台还是数据传输意义上的“冷备”,这一点我在售前做方案的经历当中也是经常遇到,所以一定要把握强调主备切换、灾备情况产生后的优势,别给甲方IT老板把节奏带走了

因为我个人在一家上海有名的运营商里从事运维工作,所以经常遇到各式各样的设备,所以我一直强调各位新晋网工,一定要珍惜摸设备的日子,不然很容易生疏,结果大家都懂的。

此次接触的设备为:H3C-F1020【吞吐2.5G,安全过滤带宽1.5G】相对来讲,还是较为企业级中高端的设备,不过对于维护人员来讲,不管是web配置还是cli配置只要友好,什么都好说。

现在国内的市场这么多做网络设备的产商,谁都在做可视化友好配置,不然谁用你的。不吹不黑,如今的企业,都在痛苦的转型当中,可能都没有意识到以为资深且有实质能力的运维工程师多么重要,经常会招一些比较“稚嫩”的应届毕业生,或者在其他行业混不下去后的不入流、不懂技术的“网工”来充当运维经理,这种情况,在我近俩年和甲方的“交战”当中屡见不鲜。所以想要鄙视别人,请先强大自己!!

以下摘自H3c官网介绍:

强大的网络扩展能力

在IRF2技术方案中,各成员设备都有CPU,能够独立处理协议报文、进行报文转发,在IRF环境中增加成员设备,可以扩展处理能力和端口数量。

PS:怎么去理解上面这句话,就是我们前面介绍的HA,理论上数据流量处理,仍然是一台设备在负责。如果IRF,就是俩台设备性能可以叠加,这是当年H3C当年为什么接手3com的虚拟化技术进而作出IRF的结果。不得不说,真不错。

【这个和华为的CSS,实现的需求是一样的,有兴趣可以自己去研究下CSS】

以下摘自H3c官网配图:【为什么没自己画,有好的就不超越了,画图不是工程师该特别关注的地方】

我就不一一介绍,IRF技术的优势了。

详情,各位可以自己点击下面的连接

http://www.h3c.com.cn/Service/Document_Center/IP_Security/AQWG/H3C_SecPath_M9000/Configure/Operation_Manual/H3C_CG(V7)(R9115_ESS8206_ESS9204)-5W103/02/201506/876666_30005_0.htm

适当的自己去H3C官网去详细研究,我是个重视实战的“网工”,各位往下看。

特意奉上自己实战整理的笔记干货!!!

IRF端口:

一种专用于 IRF 成员设备之间进行连接的逻辑接口,每台成员设备上可以配置两个 IRF 端口,分别

为 IRF-Port1 和 IRF-Port2。它需要和物理端口绑定之后才能生效。您可使用 1000BASE-T 以太网电口、SFP 或 SFP+口作为 IRF 物理端口。

IRF 端口采用二维编号, 分为 IRF-Portn/1 和 IRF-Portn/2, 其中 n 为设备的成员编号。

建议:

建立使用SPF+,光纤做irf-port,否则用电口传输,了解irf和华为堆叠、CSS的都懂,这性能前者和后者完全没法比

防火墙版本信息输出:

H3C Comware Software, Version 7.1.054, Ess 9308P05

Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecPath F1020 uptime is 0 weeks, 0 days, 0 hours, 36 minutes

Last reboot reason: IRF Merge reboot  【非常人性化的告知上次重启原因,因为测试关系,所以经常up/down】

Boot image: flash:/f1000fw-cmw710-boot-E9308P05.bin

Boot image version: 7.1.054, Ess 9308P05

Compiled Feb 09 2015 14:37:42

主设备:

[F1020-A-1]irf member 1 renumber 1          【先确认member id 号是否为1,若是则跳过该配置】

Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【确认后会提示你需要reboot才能生效】

[F1020-A-1]irf member 1 priority 10                       【优先级越大越优先】

[F1020-A-1]irf member 1 description F1020-A-1     【加个成员1的描述】

[F1020-A-1]interface GigabitEthernet 1/0/14

【将物理端口加入irf-port前,需要提前shutdown】

[F1020-A-1-GigabitEthernet1/0/14]sh

[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15

[F1020-A-1-GigabitEthernet1/0/15]sh

[F1020-A-1]irf-port 1/1       【1/1  前面的1,指设备member id。后面的1是端口id】

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/14

【在将物理端口加入到irf-port中时,设备会提醒要输入如下黄字激活口令才能生效】

You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.

Execute the "irf-port-configuration active" command to activate the IRF ports.

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/15

[F1020-A-1]interface GigabitEthernet 1/0/14         【将物理接口重新up】

[F1020-A-1-GigabitEthernet1/0/14]undo sh

[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15

[F1020-A-1-GigabitEthernet1/0/15]undo sh

[F1020-A-1]save                                                     【保存配置】

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):

flash:/startup.cfg exists, overwrite? [Y/N]:y

Validating file. Please wait...

Saved the current configuration to mainboard device successfully.

[F1020-A-1]irf-port-configuration active              【激活 IRF 端口下的配置】

备设备:

[F1020-B-2]irf member 1 renumber 2      【

先确认member id 号是否为2,若是则跳过该配置,一般初始化是1,备机肯定】

Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【确认后会提示你需要reboot才能生效】

[F1020-B-2]irf member 2 priority 5                        【优先级越大越优先】

[F1020-B-2]irf member 2 description F1020-B-2    【加个成员2的描述】

[F1020-B-2]interface GigabitEthernet 1/0/14

【将物理端口加入irf-port前,需要提前shutdown】

[F1020-B-2-GigabitEthernet2/0/14]sh

[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15

[F1020-B-2-GigabitEthernet2/0/15]sh

[F1020-B-2]irf-port 2/2                             【2/2  前面的1,指设备member id。后面的2是端口id】

PS:拿华为S5728演示下,irf-port的互联方法,即:原先的菊花交叉接法,否则全部配置好之后,使用irf-port1/1 连 irf-port 2/1就虚拟化起不来,无法形成irf

[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/14

【在将物理端口加入到irf-port中时,设备会提醒要输入如下黄字激活口令才能生效】

You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.

Execute the "irf-port-configuration active" command to activate the IRF ports.

[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/15

[F1020-B-2]interface GigabitEthernet 2/0/14                                     【将物理接口重新up】

[F1020-B-2-GigabitEthernet2/0/14]undo sh

[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15

[F1020-B-2-GigabitEthernet2/0/15]undo sh

[F1020-B-2]save                                                                               【保存配置】

[F1020-A-1]irf-port-configuration active                                           【激活 IRF 端口下的配置】

在激活irf-port-configuration 之后A 和 B 间将会进行主设备竞选,竞选失败的一方将重启,重启完成后,IRF 形成。      【这个选举过程很快,敲完立马重启】

重启完成后,dis inter bri,irf配置完成。

常见几个维护命令:【下面的输出信息,设备master和standby,因为我测试环境,调试主备优先级了。所以与上文优先级不一样,相反】

[F1020-B-2]dis irf

MemberID         Role      Priority         CPU-Mac             Description

+1              Standby      10          FFFF-FFFF-FFFF        F1020-A-1

*2                Master       20          FFFF-FFFF-FFfF        F1020-B-2

--------------------------------------------------

* indicates the device is the master.

+ indicates the device through which the user logs in.

The Bridge MAC of the IRF is: FFFF-FFFF-FFFF【已和谐】

Auto upgrade                : yes

Mac persistent              : 6 min

Domain ID                   : 0

[F1020-B-2]dis irf topology

Topology Info

-------------------------------------------------------------------------

IRF-Port1                IRF-Port2

MemberID    Link   neighbor       Link       neighbor      Belong To

2            DIS         ---             UP             1          FFFF-FFFF-FFFF      【已和谐】

1             UP         2               DIS            ---        FFFF-FFFF-FFFF      【已和谐】

[F1020-B-2]dis irf link

Member 1

IRF Port       Interface                                    Status

1             GigabitEthernet1/0/14                  UP

GigabitEthernet1/0/15                  UP

2              disable                                         --

Member 2

IRF Port       Interface                                   Status

1               disable                                        --

2             GigabitEthernet2/0/14                  UP

GigabitEthernet2/0/15                  UP

[F1020-B-2]dis irf configuration

MemberID     NewID                                  IRF-Port1                                  IRF-Port2

1                  1                                     GigabitEthernet1/0/14                      disable                                                                                                                GigabitEthernet1/0/15

2                  2                                           disable                                                                                                                                                                                                                            GigabitEthernet2/0/14                                                                                                                                                GigabitEthernet2/0/15

好了,到这里,IRF的配置也就结束了,改日送上华三的交换机IRF的配置实战教程,敬请期待。

请路过的售前工程会,发挥自己的想象力,去快乐的做“方案”去把!!

时间: 2024-10-03 23:15:57

网络设备-华三-防火墙F1020-IRF虚拟化实战终结配置篇的相关文章

网络设备-思科-交换机(例3750)堆叠终结配置篇

我又回来了,上次俩篇介绍了华为stack.华三的firewall的irf.这次就来介绍下思科的堆叠(stack),虽然实现思路都一致,但配置也有需要注意的地方,尤其是现在做二级运营商的网工们,所有产商全得会,压力确实大. 先说下拓扑环境: 此项目为某全国物流公司网络中标方案某部分,全网品字形状.流量平行结构.全程方案与实施由我进行规划和组织实施. PS:冗余.流量平行 图中网络设备选型: cisco-3750[专用堆叠电缆] firewall-asa5515[出口防火墙,带failover许可证

Docker虚拟化实战学习——基础篇(转)

Docker虚拟化实战学习--基础篇 2018年05月26日 02:17:24 北纬34度停留 阅读数:773更多 个人分类: Docker Docker虚拟化实战和企业案例演练 深入剖析虚拟化技术概念和应用场景 虚拟化,一是项技术--,是一种资源解决方案. 虚拟化技术是将物理资源转变为逻辑上可以管理的资源,以打破物理结构之间的壁垒,使计算元件运行在虚拟的基础上,而不是真实的物理资源上. 通过虚拟化技术,可以将物理资源转变为逻辑资源(虚拟机),应用程序服务运行在虚拟资源上,而不是真实的物理机上.

网络设备-锐捷-交换机(S8607E)VSU虚拟化终结配置篇

各位好,前阵子把华为的堆叠.华三的IRF.思科的堆叠都用自己的理解给大家介绍了一遍,今天继续写高可用的交换机技术,这一次是锐捷的VSU,大家随我往下看. 简单截取部分官方的VSU的介绍,大家可以可选的看内容,大致内容如下: VSU(Virtual Switching Unit)是一种网络系统虚拟化技术,支持将多台设备组合成单一的虚拟设备.如下图所示,(我这里做了一些简单的对比)接入.汇聚.核心层设备都可以组成 VSU,形成整网端到端的 VSU 组网方案. 与传统的组网(VRRP+STP)方式相比

网络设备-华为-交换机堆叠终结配置篇

先说下需求,其实在目前接触的企业组网已经中大型IDC运营商的case中,不少客户对冗余方案的初期定位和需求都是相当高要求的.中间的竞争对手不少有过时的(mstp+vrrp)技术方案.最先进的虚拟化方案等等.. 所以这里我也简单聊聊我在过去遇到的常见案例中的比较典型的几例: 这样吧,我直接晒点逻辑拓扑结构: PS:结构图部分和谐过,只截取其中一部分. 下图为某家国有企业的投标方案,(已中标),网络架构由我组织全程实施,现在想想多少有点激动. 设备参数我只能透露一些: 防火墙checkpoint 交

华三F1020防火墙作LNS设备配置脚本

华三F1020防火墙作为LNS设备连接用户内网和互联网,用户通过手机APN拨号连接运营商LAC设备,LAC与LNS建立隧道进行认证,从而让用户可以通过手机访问内网资源. <H3C>display cu # version 7.1.064, Release 9313P07 # sysname H3C # context Admin id 1 # ip vpn-instance management route-distinguisher 1000000000:1 vpn-target 10000

熬了多少个夜晚,大家期待的《网络工程师思科华为华三实战案例红宝书》即网工必备技术命令大全版本1完书

熬了多少个夜晚,最近也没空更新博客.军哥编写的大家期待的<网络工程师思科华为华三实战案例红宝书>即网工必备技术命令大全版本1完书,一本融合了思科华为华三的实战型辅导书(辅助乾颐堂QCNA课程的).不多说上图 目录关于作者 2本书读者和笔者心语 3本书内容和结构 4第1部分 网络实施基础 15案例0 模拟器的部署和连接管理 16学习利器模拟器简书 160.1 华为模拟器Ensp部署 160.2 思科模拟器EVE部署 310.3 部署SecureCrt管理网络设备 400.3.1 部署终端管理软件

华三SDN产业链分析

华三通信从2009年起开始跟踪SDN技术的发展,并投入大量研发力量进行相关产品的研发,截止目前已经开发了丰富的产品和解决方案.华三通信一直 积极与各行业用户在SDN领域进行紧密的合作与研究,并结合用户业务需求推出多种场景SDN解决方案,是国内SDN领域实践案例最为丰富的网络厂商之一. 华三于2013年推出支持OpenFlow1.3版本的可商用交换机,于2014年推出首款达到商用要求的SDN控制器产品VCF,并先后与联通研究院. 电信广州院.清华大学.江苏省未来网络创新研究院等建立联合实验室与战略

H3C-H3CNE 华三网络工程师从入门到精通

课程目标:本课程详细讲解大中型企业网络.数据包结构.OSI模型.TCP/IP模型.IP编址.IP子网划分.TCP.UDP.ICMP.H3C命令行简介.STP.MSTP.VLAN.Trunk.NAT.静态路由.RIP.OSPF.BGP.Telnet.SSH.DHCP.ACL.PPP.IRF.链路聚合.VRRP.BFD 等. 适合人群:本课程适合初级网络系统集成工程师.在校大学生.有网络基础的运维工程师.技术支持等人学习. 课程介绍: 本课程涉及计算机网络基础知识.企业网常用技术介绍.H3C路由器和

浅析IRF虚拟化技术增强企业网络架构的弹性

浅析IRF虚拟化技术增强企业网络架构的弹性  [摘要]随着"云"时代到来和各种虚拟化技术日趋成熟,对传统企业网络架构提出新挑战.例如:在不破坏企业原有网络架构和资产投入情况下,可以为企业网络提供更好的扩展性,其中包括简化管理.简化网络运行.降低整体投入成本.扩展端口密度和带宽容量.保护用户投资,使企业网络具备高可用性和持续的.不间断的运行效果.为了达到此效果,可利用H3C的IRF虚拟化技术在企业网络架构中增强弹性,现浅析如下. 关键词:云时代.企业网络.虚拟化技术.持续不间断.IRF.