网络设备-华三-防火墙F1020-IRF虚拟化实战终结配置篇

此篇h3c-IRF的实战配置，同样与前面华为的堆叠一样路子，我们先聊聊为啥要做这个？为什么不玩双机，要玩IRF。其实弄懂这一点，对于售前来讲，在外面做方案也是思路相当清晰的一点。

以前我们常规的双机方案如下图：

架构特点：

1.全网无单点故障，完整的解决因为单电源或者单一设备故障引起的业务不可用。

2.核心交换区-使用华为stack堆叠（前面有文章单独介绍）

3.防火墙HA（Juniper-NSRP协议，不懂度娘）（可能大家会问题，防火墙到华为交换机为什么没做lacp或者aggregate，大家注意下防火墙型号和系列，玩过的都懂SSG不支持做聚合）

4.流量平行，方便日后故障演练与割接，做流量切换。

优势就是我如上提到的这些，但是缺点也是明确有的，比如防火墙选型失败-SSG140虽然配置界面友好，但毕竟链路聚合不能做。比如防火墙这里做的A/P（主备）模式，其实按照boss的理解，你的流量处理，仍然是单台在跑，另外一台还是数据传输意义上的“冷备”，这一点我在售前做方案的经历当中也是经常遇到，所以一定要把握强调主备切换、灾备情况产生后的优势，别给甲方IT老板把节奏带走了

因为我个人在一家上海有名的运营商里从事运维工作，所以经常遇到各式各样的设备，所以我一直强调各位新晋网工，一定要珍惜摸设备的日子，不然很容易生疏，结果大家都懂的。

此次接触的设备为：H3C-F1020【吞吐2.5G，安全过滤带宽1.5G】相对来讲，还是较为企业级中高端的设备，不过对于维护人员来讲，不管是web配置还是cli配置只要友好，什么都好说。

现在国内的市场这么多做网络设备的产商，谁都在做可视化友好配置，不然谁用你的。不吹不黑，如今的企业，都在痛苦的转型当中，可能都没有意识到以为资深且有实质能力的运维工程师多么重要，经常会招一些比较“稚嫩”的应届毕业生，或者在其他行业混不下去后的不入流、不懂技术的“网工”来充当运维经理，这种情况，在我近俩年和甲方的“交战”当中屡见不鲜。所以想要鄙视别人，请先强大自己！！

以下摘自H3c官网介绍：

强大的网络扩展能力

在IRF2技术方案中，各成员设备都有CPU，能够独立处理协议报文、进行报文转发，在IRF环境中增加成员设备，可以扩展处理能力和端口数量。

PS：怎么去理解上面这句话，就是我们前面介绍的HA，理论上数据流量处理，仍然是一台设备在负责。如果IRF，就是俩台设备性能可以叠加，这是当年H3C当年为什么接手3com的虚拟化技术进而作出IRF的结果。不得不说，真不错。

【这个和华为的CSS，实现的需求是一样的，有兴趣可以自己去研究下CSS】

以下摘自H3c官网配图：【为什么没自己画，有好的就不超越了，画图不是工程师该特别关注的地方】

我就不一一介绍，IRF技术的优势了。

详情，各位可以自己点击下面的连接

http://www.h3c.com.cn/Service/Document_Center/IP_Security/AQWG/H3C_SecPath_M9000/Configure/Operation_Manual/H3C_CG(V7)(R9115_ESS8206_ESS9204)-5W103/02/201506/876666_30005_0.htm

适当的自己去H3C官网去详细研究，我是个重视实战的“网工”，各位往下看。

特意奉上自己实战整理的笔记干货！！！

IRF端口：

一种专用于 IRF 成员设备之间进行连接的逻辑接口，每台成员设备上可以配置两个 IRF 端口，分别

为 IRF-Port1 和 IRF-Port2。它需要和物理端口绑定之后才能生效。您可使用 1000BASE-T 以太网电口、SFP 或 SFP+口作为 IRF 物理端口。

IRF 端口采用二维编号， 分为 IRF-Portn/1 和 IRF-Portn/2， 其中 n 为设备的成员编号。

建议：

建立使用SPF+，光纤做irf-port，否则用电口传输，了解irf和华为堆叠、CSS的都懂，这性能前者和后者完全没法比

防火墙版本信息输出：

H3C Comware Software, Version 7.1.054, Ess 9308P05

Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecPath F1020 uptime is 0 weeks, 0 days, 0 hours, 36 minutes

Last reboot reason: IRF Merge reboot  【非常人性化的告知上次重启原因，因为测试关系，所以经常up/down】

Boot image: flash:/f1000fw-cmw710-boot-E9308P05.bin

Boot image version: 7.1.054, Ess 9308P05

Compiled Feb 09 2015 14:37:42

主设备：

[F1020-A-1]irf member 1 renumber 1          【先确认member id 号是否为1，若是则跳过该配置】

Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【确认后会提示你需要reboot才能生效】

[F1020-A-1]irf member 1 priority 10                       【优先级越大越优先】

[F1020-A-1]irf member 1 description F1020-A-1     【加个成员1的描述】

[F1020-A-1]interface GigabitEthernet 1/0/14

【将物理端口加入irf-port前，需要提前shutdown】

[F1020-A-1-GigabitEthernet1/0/14]sh

[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15

[F1020-A-1-GigabitEthernet1/0/15]sh

[F1020-A-1]irf-port 1/1       【1/1  前面的1，指设备member id。后面的1是端口id】

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/14

【在将物理端口加入到irf-port中时，设备会提醒要输入如下黄字激活口令才能生效】

You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.

Execute the "irf-port-configuration active" command to activate the IRF ports.

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/15

[F1020-A-1]interface GigabitEthernet 1/0/14         【将物理接口重新up】

[F1020-A-1-GigabitEthernet1/0/14]undo sh

[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15

[F1020-A-1-GigabitEthernet1/0/15]undo sh

[F1020-A-1]save                                                     【保存配置】

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):

flash:/startup.cfg exists, overwrite? [Y/N]:y

Validating file. Please wait...

Saved the current configuration to mainboard device successfully.

[F1020-A-1]irf-port-configuration active              【激活 IRF 端口下的配置】

备设备：

[F1020-B-2]irf member 1 renumber 2      【

先确认member id 号是否为2，若是则跳过该配置，一般初始化是1，备机肯定】

Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【确认后会提示你需要reboot才能生效】

[F1020-B-2]irf member 2 priority 5                        【优先级越大越优先】

[F1020-B-2]irf member 2 description F1020-B-2    【加个成员2的描述】

[F1020-B-2]interface GigabitEthernet 1/0/14

【将物理端口加入irf-port前，需要提前shutdown】

[F1020-B-2-GigabitEthernet2/0/14]sh

[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15

[F1020-B-2-GigabitEthernet2/0/15]sh

[F1020-B-2]irf-port 2/2                             【2/2  前面的1，指设备member id。后面的2是端口id】

PS：拿华为S5728演示下，irf-port的互联方法，即：原先的菊花交叉接法，否则全部配置好之后，使用irf-port1/1 连 irf-port 2/1就虚拟化起不来，无法形成irf

[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/14

【在将物理端口加入到irf-port中时，设备会提醒要输入如下黄字激活口令才能生效】

You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.

Execute the "irf-port-configuration active" command to activate the IRF ports.

[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/15

[F1020-B-2]interface GigabitEthernet 2/0/14                                     【将物理接口重新up】

[F1020-B-2-GigabitEthernet2/0/14]undo sh

[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15

[F1020-B-2-GigabitEthernet2/0/15]undo sh

[F1020-B-2]save                                                                               【保存配置】

[F1020-A-1]irf-port-configuration active                                           【激活 IRF 端口下的配置】

在激活irf-port-configuration 之后A 和 B 间将会进行主设备竞选，竞选失败的一方将重启，重启完成后，IRF 形成。      【这个选举过程很快，敲完立马重启】

重启完成后，dis inter bri，irf配置完成。

常见几个维护命令：【下面的输出信息，设备master和standby，因为我测试环境，调试主备优先级了。所以与上文优先级不一样，相反】

[F1020-B-2]dis irf

MemberID         Role      Priority         CPU-Mac             Description

+1              Standby      10          FFFF-FFFF-FFFF        F1020-A-1

*2                Master       20          FFFF-FFFF-FFfF        F1020-B-2

--------------------------------------------------

* indicates the device is the master.

+ indicates the device through which the user logs in.

The Bridge MAC of the IRF is: FFFF-FFFF-FFFF【已和谐】

Auto upgrade                : yes

Mac persistent              : 6 min

Domain ID                   : 0

[F1020-B-2]dis irf topology

Topology Info

-------------------------------------------------------------------------

IRF-Port1                IRF-Port2

MemberID    Link   neighbor       Link       neighbor      Belong To

2            DIS         ---             UP             1          FFFF-FFFF-FFFF      【已和谐】

1             UP         2               DIS            ---        FFFF-FFFF-FFFF      【已和谐】

[F1020-B-2]dis irf link

Member 1

IRF Port       Interface                                    Status

1             GigabitEthernet1/0/14                  UP

GigabitEthernet1/0/15                  UP

2              disable                                         --

Member 2

IRF Port       Interface                                   Status

1               disable                                        --

2             GigabitEthernet2/0/14                  UP

GigabitEthernet2/0/15                  UP

[F1020-B-2]dis irf configuration

MemberID     NewID                                  IRF-Port1                                  IRF-Port2

1                  1                                     GigabitEthernet1/0/14                      disable                                                                                                                GigabitEthernet1/0/15

2                  2                                           disable                                                                                                                                                                                                                            GigabitEthernet2/0/14                                                                                                                                                GigabitEthernet2/0/15

好了，到这里，IRF的配置也就结束了，改日送上华三的交换机IRF的配置实战教程，敬请期待。

请路过的售前工程会，发挥自己的想象力，去快乐的做“方案”去把！！