網絡設備-華三-防火牆F1020-IRF虛擬化實戰終結配置篇

此篇h3c-IRF的實戰配置，一樣與前面華爲的堆疊同樣路子，咱們先聊聊爲啥要作這個？爲何不玩雙機，要玩IRF。其實弄懂這一點，對於售前來說，在外面作方案也是思路至關清晰的一點。

之前咱們常規的雙機方案以下圖：

架構特色：

 1.全網無單點故障，完整的解決由於單電源或者單一設備故障引發的業務不可用。

 2.核心交換區-使用華爲stack堆疊（前面有文章單獨介紹）

 3.防火牆HA（Juniper-NSRP協議，不懂度娘）（可能你們會問題，防火牆到華爲交換機爲何沒作lacp或者aggregate，你們注意下防火牆型號和系列，玩過的都懂SSG不支持作聚合）

 4.流量平行，方便往後故障演練與割接，作流量切換。

優點就是我如上提到的這些，可是缺點也是明確有的，好比防火牆選型失敗-SSG140雖然配置界面友好，但畢竟鏈路聚合不能作。好比防火牆這裏作的A/P（主備）模式，其實按照boss的理解，你的流量處理，仍然是單臺在跑，另一臺仍是數據傳輸意義上的「冷備」，這一點我在售前作方案的經歷當中也是常常遇到，因此必定要把握強調主備切換、災備狀況產生後的優點，別給甲方IT老闆把節奏帶走了

由於我我的在一家上海有名的運營商裏從事運維工做，因此常常遇到各式各樣的設備，因此我一直強調各位新晉網工，必定要珍惜摸設備的日子，否則很容易生疏，結果你們都懂的。

這次接觸的設備爲：H3C-F1020【吞吐2.5G，安全過濾帶寬1.5G】相對來說，仍是較爲企業級中高端的設備，不過對於維護人員來說，不論是web配置仍是cli配置只要友好，什麼都好說。

如今國內的市場這麼多作網絡設備的產商，誰都在作可視化友好配置，否則誰用你的。不吹不黑，現在的企業，都在痛苦的轉型當中，可能都沒有意識到覺得資深且有實質能力的運維工程師多麼重要，常常會招一些比較「稚嫩」的應屆畢業生，或者在其餘行業混不下去後的不入流、不懂技術的「網工」來充當運維經理，這種狀況，在我近倆年和甲方的「交戰」當中家常便飯。因此想要鄙視別人，請先強大本身！！

如下摘自H3c官網介紹：

強大的網絡擴展能力

在IRF2技術方案中，各成員設備都有CPU，可以獨立處理協議報文、進行報文轉發，在IRF環境中增長成員設備，能夠擴展處理能力和端口數量。

PS：怎麼去理解上面這句話，就是咱們前面介紹的HA，理論上數據流量處理，仍然是一臺設備在負責。若是IRF，就是倆臺設備性能能夠疊加，這是當年H3C當年爲何接手3com的虛擬化技術進而做出IRF的結果。不得不說，真不錯。

【這個和華爲的CSS，實現的需求是同樣的，有興趣能夠本身去研究下CSS】

如下摘自H3c官網配圖：【爲何沒本身畫，有好的就不超越了，畫圖不是工程師該特別關注的地方】

我就不一一介紹，IRF技術的優點了。

詳情，各位能夠本身點擊下面的鏈接

http://www.h3c.com.cn/Service/Document_Center/IP_Security/AQWG/H3C_SecPath_M9000/Configure/Operation_Manual/H3C_CG(V7)(R9115_ESS8206_ESS9204)-5W103/02/201506/876666_30005_0.htm

適當的本身去H3C官網去詳細研究，我是個重視實戰的「網工」，各位往下看。

特地奉上本身實戰整理的筆記乾貨！！！

IRF端口：

一種專用於 IRF 成員設備之間進行鏈接的邏輯接口，每臺成員設備上能夠配置兩個 IRF 端口，分別

爲 IRF-Port1 和 IRF-Port2。它須要和物理端口綁定以後才能生效。您可以使用 1000BASE-T 以太網電口、SFP 或 SFP+口做爲 IRF 物理端口。

IRF 端口採用二維編號， 分爲 IRF-Portn/1 和 IRF-Portn/2， 其中 n 爲設備的成員編號。 

建議：

創建使用SPF+，光纖作irf-port，不然用電口傳輸，瞭解irf和華爲堆疊、CSS的都懂，這性能前者和後者徹底無法比

防火牆版本信息輸出：

H3C Comware Software, Version 7.1.054, Ess 9308P05

Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecPath F1020 uptime is 0 weeks, 0 days, 0 hours, 36 minutes

Last reboot reason: IRF Merge reboot  【很是人性化的告知上次重啓緣由，由於測試關係，因此常常up/down】

Boot p_w_picpath: flash:/f1000fw-cmw710-boot-E9308P05.bin

Boot p_w_picpath version: 7.1.054, Ess 9308P05

  Compiled Feb 09 2015 14:37:42

主設備：

[F1020-A-1]irf member 1 renumber 1          【先確認member id 號是否爲1，如果則跳過該配置】

Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【確認後會提示你須要reboot才能生效】

[F1020-A-1]irf member 1 priority 10                       【優先級越大越優先】

[F1020-A-1]irf member 1 description F1020-A-1     【加個成員1的描述】

[F1020-A-1]interface GigabitEthernet 1/0/14       

【將物理端口加入irf-port前，須要提早shutdown】

[F1020-A-1-GigabitEthernet1/0/14]sh

[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15

[F1020-A-1-GigabitEthernet1/0/15]sh

[F1020-A-1]irf-port 1/1       【1/1  前面的1，指設備member id。後面的1是端口id】

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/14      

【在將物理端口加入到irf-port中時，設備會提醒要輸入以下黃字激活口令才能生效】

You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.  

Execute the "irf-port-configuration active" command to activate the IRF ports. 

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/15

[F1020-A-1]interface GigabitEthernet 1/0/14         【將物理接口從新up】

[F1020-A-1-GigabitEthernet1/0/14]undo sh

[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15

[F1020-A-1-GigabitEthernet1/0/15]undo sh

[F1020-A-1]save                                                     【保存配置】

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):

flash:/startup.cfg exists, overwrite? [Y/N]:y

Validating file. Please wait...

Saved the current configuration to mainboard device successfully.

[F1020-A-1]irf-port-configuration active              【激活 IRF 端口下的配置】

備設備：

[F1020-B-2]irf member 1 renumber 2      【

先確認member id 號是否爲2，如果則跳過該配置，通常初始化是1，備機確定】

Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【確認後會提示你須要reboot才能生效】

[F1020-B-2]irf member 2 priority 5                        【優先級越大越優先】 

[F1020-B-2]irf member 2 description F1020-B-2    【加個成員2的描述】

[F1020-B-2]interface GigabitEthernet 1/0/14                                   

【將物理端口加入irf-port前，須要提早shutdown】

[F1020-B-2-GigabitEthernet2/0/14]sh

[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15

[F1020-B-2-GigabitEthernet2/0/15]sh

[F1020-B-2]irf-port 2/2                             【2/2  前面的1，指設備member id。後面的2是端口id】

PS：拿華爲S5728演示下，irf-port的互聯方法，即：原先的菊花交叉接法，不然所有配置好以後，使用irf-port1/1 連 irf-port 2/1就虛擬化起不來，沒法造成irf

[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/14     

 【在將物理端口加入到irf-port中時，設備會提醒要輸入以下黃字激活口令才能生效】

You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.  

Execute the "irf-port-configuration active" command to activate the IRF ports. 

[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/15

[F1020-B-2]interface GigabitEthernet 2/0/14                                     【將物理接口從新up】

[F1020-B-2-GigabitEthernet2/0/14]undo sh

[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15

[F1020-B-2-GigabitEthernet2/0/15]undo sh

[F1020-B-2]save                                                                               【保存配置】

[F1020-A-1]irf-port-configuration active                                           【激活 IRF 端口下的配置】

在激活irf-port-configuration 以後A 和 B 間將會進行主設備競選，競選失敗的一方將重啓，重啓完成後，IRF 造成。      【這個選舉過程很快，敲完立馬重啓】

重啓完成後，dis inter bri，irf配置完成。

常見幾個維護命令：【下面的輸出信息，設備master和standby，由於我測試環境，調試主備優先級了。因此與上文優先級不同，相反】

[F1020-B-2]dis irf

MemberID         Role      Priority         CPU-Mac             Description

    +1              Standby      10          FFFF-FFFF-FFFF        F1020-A-1

    *2                Master       20          FFFF-FFFF-FFfF        F1020-B-2

--------------------------------------------------

 * indicates the device is the master.

 + indicates the device through which the user logs in.

 The Bridge MAC of the IRF is: FFFF-FFFF-FFFF【已和諧】

 Auto upgrade                : yes

 Mac persistent              : 6 min

 Domain ID                   : 0

[F1020-B-2]dis irf topology 

                              Topology Info

 -------------------------------------------------------------------------

    IRF-Port1                IRF-Port2          

 MemberID    Link   neighbor       Link       neighbor      Belong To

       2            DIS         ---             UP             1          FFFF-FFFF-FFFF      【已和諧】

       1             UP         2               DIS            ---        FFFF-FFFF-FFFF      【已和諧】

[F1020-B-2]dis irf link                                                    

Member 1

 IRF Port       Interface                                    Status

     1             GigabitEthernet1/0/14                  UP    

                    GigabitEthernet1/0/15                  UP     

     2              disable                                         --    

Member 2

 IRF Port       Interface                                   Status

     1               disable                                        --    

     2             GigabitEthernet2/0/14                  UP    

                    GigabitEthernet2/0/15                  UP  

[F1020-B-2]dis irf configuration 

 MemberID     NewID                                  IRF-Port1                                  IRF-Port2

     1                  1                                     GigabitEthernet1/0/14                      disable                                                                                                                GigabitEthernet1/0/15                                       

     2                  2                                           disable                                                                                                                                                                                                                            GigabitEthernet2/0/14                                                                                                                                                GigabitEthernet2/0/15 

好了，到這裏，IRF的配置也就結束了，改日送上華三的交換機IRF的配置實戰教程，敬請期待。

請路過的售前工程會，發揮本身的想象力，去快樂的作「方案」去把！！