H3C S9500E&S12500系列交换机IRF模式下多插卡 配置

一、 组网需求

某数据中心服务器集群前端部署了S9505E交换机以及IPS、LB和FW等安全插卡。两台交换机通过IRF堆叠，所有安全插卡工作在主备模式。

二、 组网示意图

如上图所示：两台S9505E交换机堆叠，每台交换机上插一块LB、FW、IPS插卡。内部服务器网关部署在防火墙上，LB为内部服务器提供服务器负载分担，FW和IPS为内部服务器提供三到七层安全防护。所有插卡工作在主备模式，正常情况下流量全部经过编号为1的插卡。

三、 配置步骤

3.1 交换机上关键配置：

1、 针对防火墙： 通过VLAN进行二层数据转发，配置略

2、 针对LB板卡：通过VLAN进行二层数据转发，配置略

3、 针对IPS板卡：通过QOS策略进行引流，配置如下：

①定义匹配的类：

acl number 3001         \\匹配上插卡的流量

 rule 0 permit ip

#

acl number 4000         \\匹配上插卡的流量，用于备份

 description Match-MultiCast-ARP

 rule 0 permit dest-mac 0100-0000-0000 0100-0000-0000

 rule 5 permit dest-mac ffff-ffff-ffff ffff-ffff-ffff

 rule 10 permit type 0806 ffff

#

traffic classifier ALL-address-3 operator and        \\用于匹配下行流量

 if-match acl 3001

 if-match forwarding-layer route                 \\仅将三层转发流量引流

traffic classifier ALL-address-4 operator and

 if-match acl 3001

 if-match forwarding-layer route

traffic classifier Multicast-Broadcast-ARP operator and

 if-match acl 4000

traffic classifier All-Address-1 operator and         \\用于匹配上行流量

 if-match acl 3001

 if-match service-vlan-id 12                     \\仅将VLAN 12的流量引流

traffic classifier All-Address-2 operator and

 if-match acl 3001

 if-match service-vlan-id 12

#

②定义行为：

traffic behavior Deny-Multicast-Broadcast-ARP

 filter deny

traffic behavior Redirect-To-IPS-1

 redirect interface Ten-GigabitEthernet1/4/0/1

traffic behavior Redirect-To-IPS-2

 redirect interface Ten-GigabitEthernet2/4/0/1

traffic behavior Allow

 filter permit

#

③定义策略

qos policy Deny-Multicast-Broadcast-ARP  \\本地产生的组播、广播和ARP报文不上插卡

 classifier Multicast-Broadcast-ARP behavior Deny-Multicast-Broadcast-ARP

qos policy DOWN_STREAM

 classifier Multicast-Broadcast-ARP behavior Allow    \\广播等报文不上插卡

 classifier ALL-address-3 behavior Redirect-To-IPS-1      \\流量先上IPS-1

 classifier ALL-address-4 behavior Redirect-To-IPS-2       \\IPS-1故障后上IPS-2

qos policy UP_STREAM

 classifier Multicast-Broadcast-ARP behavior Allow

 classifier All-Address-1 behavior Redirect-To-IPS-1

 classifier All-Address-2 behavior Redirect-To-IPS-2

#    

④接口上应用策略          

interface GigabitEthernet1/2/0/2

 port access vlan 15

 qos apply policy DOWN_STREAM inbound     \\聚合链路需要在物理口上下发策略

 port link-aggregation group 2

interface Ten-GigabitEthernet1/4/0/1

qos apply policy Deny-Multicast-Broadcast-ARP inbound   \\拒接广播流量，防止形成环路

 mac-address max-mac-count 0

3.2 LB插卡关键配置：

interface Ten-GigabitEthernet0/0.12

 description to_95E_1

 vlan-type dot1q vid 12

 ip address 192.168.12.253 255.255.255.0

 vrrp vrid 12 virtual-ip 192.168.12.254

 vrrp vrid 12 priority 110

 vrrp vrid 1 preempt-mode timer delay 30          \\配置抢占延迟为30秒

#

interface Ten-GigabitEthernet0/0.13

 vlan-type dot1q vid 13

 ip address 192.168.13.249 255.255.255.0

 ospf cost 100                                \\通过修改COST控制主备

#

ospf 1 router-id 3.3.3.3                         \\配置路由器ID

 bandwidth-reference 100000                   \\配置参考带宽

#

3.3 FW插卡关键配置(基本配置略)：

interface Ten-GigabitEthernet0/0.100

 vlan-type dot1q vid 100

 ip address 192.168.100.253 255.255.255.0

 vrrp vrid 100 virtual-ip 192.168.100.254

 vrrp vrid 100 priority 110

vrrp vrid 1 preempt-mode timer delay 30      \\配置抢占延迟为30秒

 ospf cost 100

#

ospf 1 router-id 1.1.1.1

 bandwidth-reference 100000

 area 0.0.0.0

  network 1.1.1.1 0.0.0.0

  network 192.168.100.253 0.0.0.0

  network 192.168.13.253 0.0.0.0

四、 配置关键点

1、 必须使能acsei server功能，ACSEI跟QoS策略（重定向或镜像）配合使用能实现策略的自动切换。

2、 交换机连插卡的万兆接口必须允许VLAN 1通过，PVID是不是1没关系，否则跨框重定向报文不生效。因为S9505E IRF跨框镜像，在穿越中间的堆叠链路时，会给报文在外面加一层VLAN 1的Tag，用于区分是自己框的镜像流量还是另外一个框的镜像流量。

3、 交换机连插卡的万兆接口必须关闭STP功能，否则接口可能会被STP协议Block，默认接口STP状态开启。

4、 交换机通过BFD做MAD检测的时候，互联接口必须关闭STP功能，而且不能使用VLAN 1做检测VLAN。

5、 S9500E和S12500交换机在堆叠模式下不能使用OAA引流，所以只能通过MQC方式引流，而且MQC策略需要下发在物理接口上，不能下发在聚合口上。

6、 因为LB的虚服务IP地址不响应ARP，所以交换机上需要配置到虚服务器的精确路由。

7、 因为全网使用OSPF，一旦交换机或者插卡故障，要等OSPF路由收敛，所以中间业务会中断；除了使用OSPF以外，还可以使用静态路由配合VRRP及Track实现切换。

2016年08月