目录
一、M-LAG简介
二、M-LAG基本概念
1)M-LAG 基本概念
三、M-LAG 协议交互原理
1)DFS Group配对
2)DFS Group协商主备
3)M-LAG成员接口协商主备
4)双主检测
5)M-LAG同步信息
四、M-LAG防环机制
1)单向隔离机制
2)单向隔离机制实现原理
五、M-LAG 配置一致性检查
六、M-LAG 正常工作场景流量转发
1)单播流量转发
1、单播流量转发包括二层已知单播转发和三层单播转发。
2)组播流量转发
1、M-LAG接入二层网络
2、M-LAG接入三层网络
3)广播流量转发
1、M-LAG接入二层网络
2、M-LAG接入三层网络
M-LAG(Multichassis Link Aggregation Group)即跨设备链路聚合组,是一种实现跨设备链路聚合的机制,如图所示,将SwitchA和SwitchB通过peer-link链路连接并以同一个状态和Switch进行链路聚合协商,从而把链路可靠性从单板级提高到了设备级。
目的
M-LAG作为一种跨设备链路聚合的技术,除了具备增加带宽、提高链路可靠性、负载分担的优势外,还具备以下优势:
●更高的可靠性
把链路可靠性从单板级提高到了设备级。
●简化组网及配置
可以将M-LAG理解为一种横向虚拟化技术,将双归接入的两台设备在逻辑上虚拟成一台设备。M-LAG提供了一个没有环路的二层拓扑同时实现冗余备份,不再需 要繁琐的生成树协议配置,极大的简化了组网及配置。
●独立升级
两台设备可以分别进行升级,保证有一台设备正常工作即可,对正在运行的业务几乎没有影响。
如图所示,用户侧设备Switch(可以是交换机或主机)通过M-LAG机制与另外两台设备(SwitchA和SwitchB)进行跨设备链路聚合,共同组成一个双活系统。这样可以实现SwitchA和SwitchB共同进行流量转发的功能,保证网络的可靠性。
M-LAG 基本拓扑
概念 | 说明 |
DFS Group | 动态交换服务组DFS Group(Dynamic Fabric Service Group),主要用于部署M-LAG设备之间的配对,M-LAG 双归设备之间的接口状态,表项等信息同步需要依赖DFS Group协议进行同步。 |
DFS主设备 | 部署M-LAG且状态为主的设备,通常也称为M-LAG主设 备 |
DFS备设备 | 部署M-LAG且状态为备的设备,通常也称为M-LAG备设备。 说明: DFS Group的角色区分为主和备,正常情况下,主设备和备设备同时进行业务流量的转发,转发行为没有区别,仅在故障场景下,主备设备的行为会有差别 |
双主检测链路 | 双主检测链路,又称为心跳链路,是一条三层互通链路,用于M-LAG主备设备间发送双主检测报文。 说明: 正常情况下,双主检测链路不会参与M-LAG的任何转发行为,只在故障场景下,用于检查是否出现双主的情况。双主检测链路可以通过外部网络承载(比如,如果M-LAG上行接入IP网络,那么两台双归设备通过IP网络可以互通,那么互通的链路就可以作为双主检测链路)。也可以单独配置一条三层可达的链路来作为双主检测链路(比如通过管理口)。 |
peer-link接口 | peer-link链路两端直连的接口均为peer-link接口。 |
peer-link链路 | peer-link链路是一条直连链路且必须做链路聚合,用于交 换协商报文及传输部分流量。接口配置为peer-link接口 后,该接口上不能再配置其它业务。 为了增加peer-link链路的可靠性,推荐采用多条链路做链 路聚合 |
HB DFS主设备 | 通过心跳链路来协商的状态为主的设备。 说明: 通过心跳链路报文来协商的设备HB DFS主备状态在正常情况下,对M-LAG的转发行为不会产生影响,仅用于二次故障恢复场景下,在原DFS主设备或备设备故障恢复且peer-link链路仍然故障时,触发HB DFS状态为备的设备上相应端口Error-Down,避免M-LAG设备在双主情况下出现的流量异常。 |
M-LAG成员接口 | M-LAG主备设备上连接用户侧主机(或交换设备)的Eth- Trunk接口。 为了增加可靠性,推荐链路聚合配置为LACP模式。M-LAG成员接口角色也区分主和备,与对端同步成员口信息时,状态由Down先变为Up的M-LAG成员接口成为主M-LAG成员口,对端对应的M-LAG成员口为备。 说明: 仅在M-LAG接入组播场景下,M-LAG成员接口的主备角色存在转发行为差异。 |
基于M-LAG组成的双活系统提供了设备级的可靠性
M-LAG的建立过程有如下几个步骤:
当设备完成M-LAG配置后,设备首先通过peer-link链路发送DFS Group的Hello报文。当设备收到对端的Hello报文后,会判断报文中携带的DFS Group编号是否和本端相同,如果两台设备的DFS Group编号相同,则两台设备DFS Group配对成功。
配对成功后,两台设备会向对端发送DFS Group的设备信息报文,设备根据报文中携带的DFS Group优先级以及系统MAC地址确定出DFS Group的主备状态。
以SwitchB为例,当SwitchB收到SwitchA发送的报文时,SwitchB会查看并记录对端信息,然后比较DFS Group的优先级,如果SwitchA的DFS Group优先级高于本端的DFS Group优先级,则确定SwitchA为DFS主设备,SwitchB为DFS备设备。如果SwitchA和SwitchB的DFS Group优先级相同,比较两台设备的MAC地址,确定MAC地址小的一端为DFS主设备。
说明:
DFS Group的角色区分为主和备,正常情况下,主设备和备设备同时进行业务流量的转
发,转发行为没有区别,仅在故障场景下,主备设备的行为会有差别
在DFS Group协商出主备状态后,M-LAG的两台设备会通过peer-link链路发送M-LAG设备信息报文,报文中携带了M-LAG成员接口的配置信息。在成员口信息同步完成后,确定M-LAG成员接口的主备状态。与对端同步成员口信息时,状态由Down先变为Up的M-LAG成员接口成为主M-LAG成员口,对端对应的M-LAG成员口为备,且主备状态默认不回切,即:当M-LAG成员接口状态为主的设备故障恢复后,先前由备状态升级为主状态的接口仍保持主状态,恢复故障的M-LAG成员接口状态为备,此处与DFS Group协商主备状态不一致。
说明:
仅在M-LAG接入组播场景下,M-LAG成员接口的主备角色存在转发行为差异。
协商出M-LAG主备后,两台设备之间会通过双主检测链路按照1s的周期发送M-LAG双主检测报文,一旦设备感知peer-link故障,会按照100ms的周期发送三个双主检测链路报文,加速检测。当两台设备均能够收到对端发送的报文时,双活系统即开始正常的工作。在DFS Group配对失败或者peer-link故障场景下,双主检测链路用于检查是否出现双主的情况。双主检测链路可以通过外部网络承载(比如,如果M-LAG上行接入IP网络,那么两台双归设备通过IP网络可以互通,那么互通的链路就可以作为双主检测链路)。也可以单独配置一条三层可达的链路来作为双主检测链路(比如通过管理口)。
– 双主检测链路通过管理网口互通,DFS Group绑定的管理网口IP地址要保证可以相互通信,管理网口下绑定VPN实例,保证双主检测报文与业务流量隔离。
– 双主检测链路通过业务网络互通,DFS Group绑定的IP地址要保证可以三层互通。如果peer-link接口之间建立路由邻居关系,则业务网络双主检测报文会直接通过最优路由经peer-link链路传输。一旦peer-link故障,路由收敛期间,双主检测报文通过次优路径传输到对端,双主检测时间会慢0.5秒或者1秒的时间。
正常工作后,两台设备之间会通过peer-link链路发送M-LAG同步报文实时同步对端的信息,M-LAG同步报文中主要包括MAC表项、ARP以及STP等,如表 M-LAG同步报文信息所示,并发送M-LAG成员端口的状态,这样任意一台设备故障都不会影响流量的转发,保证正常的业务不会中断。
类型 | 描述 |
MAC信息 | MAC表项同步 |
ARP信息 | ARP报文同步 |
ND信息 | ND报文同步 |
STP信息 | STP状态同步 |
其他 | 如M-LAG成员端口状态等 |
M-LAG本身具有防环机制,可以构造出一个无环网络。如图所示,从接入设备或网络侧到达M-LAG配对设备的单播流量,会优先从本地转发出去,peer-link链路一般情况下不用来转发数据流量。当流量通过peer-link链路广播到对端M-LAG设备,在peer-link链路与M-LAG成员口之间设置单方向的流量隔离,即从peer-link口进来的流量不会再从M-LAG口转发出去,所以不会形成环路,这就是M-LAG单向隔离机制。
机制生效前提
说明:
M-LAG防环机制中的单向隔离对二层(包括单播、组播、广播)流量生效,三层组播流量生
效,三层单播流量不生效
如图所示,在设备双活接入M-LAG场景下,设备会默认按下列顺序下发全局ACL配置:
设备通过匹配ACL规则组来对实现peer-link接口与M-LAG成员口之间的单向隔离,隔离由peer-link接口发往M-LAG成员口的广播等泛洪流量。当M-LAG设备感知到本端的M-LAG成员口状态为Down时,会通过peer-link发送M-LAG同步报文,通知对端设备撤销自动下发的相应的M-LAG成员端口的单向隔离ACL规则组。
M-LAG 单向隔离示意图
M-LAG是由两台设备组成的一个双活系统,可将M-LAG理解为一种横向虚拟化技术,将M-LAG的两台设备在逻辑上虚拟成一台设备,形成一个统一的二层逻辑节点。这带来了逻辑拓扑的清晰高效,也决定了M-LAG两端设备的某些配置需要保持一致,否则可能会导致M-LAG无法正常工作或者成环等问题。
但M-LAG运用于企业网中时,却面临一个突出的问题:部署企业网数据中心时,通过手工配置、人工比对来保证每一个M-LAG系统两端设备的配置一致性,不仅处理效率低下,更多的是带来诸多潜在的误配置风险。
为了解决上述问题,华为公司提出了M-LAG配置一致性检查的解决方案。该解决方案中,通过M-LAG机制自带的配置一致性检查功能,去订阅M-LAG系统两端设备的各模块配置。我们可以通过检查功能返回的比对结果,及时地调整M-LAG两端设备的配置部署,防止组网成环或者数据丢包等问题发生。
M-LAG配置一致性检查将设备配置分为两类,如表所示,分别为关键配置(Type1)和一般配置(Type 2)。根据对关键配置检查不一致时的处理方式,M-LAG一致性又分为严格模式(strict)和松散模式(loose)。
M-LAG 配置一致性检查配置分类列表
视图 | 配置 | 类型 |
全局 | STP功能是否使能 | Type 1 |
STP工作模式配置 | ||
BPDU保护功能是否使能 | ||
STP多生成树实例与VLAN的映射关系配置 说明: 设备默认仅检查ID为0的STP进程内多生成树实例与VLAN的映射关系。 |
||
M-LAG成员口 | STP功能是否使能 | |
STP端口的Root保护功能是否使能 | ||
M-LAG成员接口的LACP模式配置 | ||
全局 | VLAN配置 | Type 2 |
静态MAC地址表项 ● 静态MAC地址表项指定 接口为M-LAG成员口 ● VXLAN隧道的静态 MAC地址表项 |
||
动态MAC的老化时间 | ||
静态ARP表项 ● 短静态ARP表项 ● 长静态ARP表项 – 若静态ARP表项指定 出接口,则仅检查 出接口为M-LAG成 员口的静态ARP。 – 若静态ARP表项指定所属VLAN,则直接比较VLAN ID。 – 若静态ARP表项指定出接口和所属VLAN,则直接比较出接口为M-LAG成员口的静态ARP表项和VLAN ID。 – VXLAN IPv4隧道的静态ARP表项 说明: 设备不支持检查指定VPN实例的短静态ARP表项,若长静态ARP表项的出接口为M-LAG成员口且绑定了VPN实例或者所属VLAN对应的VLANIF接口绑定了VPN实例,设备同样不支持检查该静态ARP表项。 |
||
动态ARP的老化时间 | ||
广播域桥域BD(BridgeDomain)配置 VBDIF接口配置 |
||
VLANIF接口配置 ● VLAN ID ● VLANIF接口IPv4地址 ● VLANIF接口IPv6地址 ● VLANIF接口VRRP4备份组 ● VLANIF接口MAC地址 ● VLANIF接口状态 说明 对于VLANIF接口MAC地址,设备默认仅检查虚拟MAC地址。针对IPv6地址以及VRRP4备份组的配置检查,仅在VLANIF接口Up时才进行若VLANIF接口状态为Down,则认为该接口下没有相关配置。 |
||
M-LAG成员口 | STP端口优先级配置 | |
接口加入VLAN配置 | ||
M-LAG成员口参数配置 | ||
M-LAG成员口所属Eth-Trunk接口成员口个数 仅比较Eth-Trunk接口的成员口数量,对于成员口物理状态Up/Down或者成员口带宽不予检查 |
M-LAG双活系统建立成功后即进入正常的工作,M-LAG主备设备负载分担共同进行流量的转发,转发行为没有区别。下面介绍M-LAG在正常工作情况下是如何进行流量转发的。
如图所示,M-LAG双活系统在接入设备双归接入场景下的已知单播流量转发:
对于南北向单播流量,在M-LAG接入侧,M-LAG的成员设备接收到接入设备通过链路捆绑负载分担发送的流量后,共同进行流量转发。到达M-LAG主备设备发往网络侧的流量则根据路由表转发流量。
对于东西向单播流量,在全部组建M-LAG,没有孤立端口的场景下,二层流量通过M-LAG本地优先转发,三层流量通过双活网关转发,都不经过peer-Link链路,直接由M-LAG主备设备转发至对应成员口。
M-LAG 已知单播流量转发示意图
M-LAG 接入二层网络组播流量转发示意图
M-LAG 接入三层网络组播流量转发示意图
区别于单播流量,由组播流量转发示意图可以看出,M-LAG系统在转发组播流量时需要在M-LAG两台设备间配置一条独立三层链路。因为在故障场景下,可能出现网络侧只有单链路上行,此时M-LAG主备设备间部署一条独立的单独L3链路可以用来传输组播报文。如图4-10所示,在网络侧链路连接M-LAG备设备场景下,由peer-link接口转发的组播报文由于单向隔离无法转发至指定的M-LAG成员口,组播地址最后一位为奇数的组播报文是无法通过peer-link链路绕行至M-LAG成员口状态为主的设备,只能由独立三层链路转发至该设备。
M-LAG 单归接入三层网络组播流量转发示意图
M-LAG上行接入二层网络,那么二层网络必须要保证发往M-LAG的流量只有一份,否则会有成环的风险。此处以M-LAG主设备的转发为例,如图4-11所示,假设右侧M-LAG上行接口被STP协议阻塞,M-LAG主设备收到广播流量后向各个下一跳转发,当流量到达M-LAG备设备时,由于peer-link与M-LAG成员接口存在单向隔离机制,到达备设备的流量不会向S-1转发。
M-LAG 接入二层网络广播流量转发示意图
此处以M-LAG备设备的转发为例,如图4-12所示,M-LAG备设备收到广播流量后向各个下一跳转发,当流量到达M-LAG主设备时,由于peer-link与M-LAG成员接口存在单向隔离机制,到达主设备的流量不会向S-1转发。
M-LAG 接入三层网络广播流量转发示意图