1.定義
M-LAG(Multichassis Link Aggregation Group)即跨設備鏈路聚合組,是一種實現跨設備鏈路聚合的機制,如下圖所示,將兩台接入交換機以同一個狀態和被接入的設備進行鏈路聚合協商,
從而把鏈路可靠性從單板級提高到了設備級,組成雙活系統。
M-LAG作為一種跨設備鏈路聚合的技術,除了具備增加帶寬、提高鏈路可靠性、負載分擔的優勢外,還具備以下優勢:
更高的可靠性:把鏈路可靠性從單板級提高到了設備級。
簡化組網及配置:可以將M-LAG理解為一種橫向虛擬化技術,將雙歸接入的兩台設備在邏輯上虛擬成一台設備。M-LAG提供了一個沒有環路的二層拓撲同時實現冗余備份,不再需要繁瑣的生成樹協議配置,極大的簡化了組網及配置。
獨立升級:兩台設備可以分別進行升級,保證有一台設備正常工作即可,對正在運行的業務幾乎沒有影響。
2.堆疊與M-LAG對比
3.M-LAG 原理描述
1)M-LAG 的基本概念
如下圖M-LAG基本拓撲所示,用戶側設備Switch(可以是交換機或主機)通過M-LAG機制與另外兩台設備(SwitchA和SwitchB)進行跨設備鏈路聚合,共同組成一個雙活系統。
這樣可以實現SwitchA和SwitchB共同進行流量轉發的功能,保證網絡的可靠性。
2)M-LAG 協議交互原理
基於M-LAG組成的雙活系統提供了設備級的可靠性,那么M-LAG是如何建立的?如上圖所示,M-LAG的建立過程有如下幾個步驟:
1. DFS Group配對
當M-LAG兩台設備完成配置后,設備首先通過peer-link鏈路發送DFS Group的Hello報文。當設備收到對端的Hello報文后,會判斷報文中攜帶的DFS Group編號是否和本端相同,
如果兩台設備的DFS Group編號相同,則兩台設備DFS Group配對成功。
2. DFS Group協商主備
配對成功后,兩台設備會向對端發送DFS Group的設備信息報文,設備根據報文中攜帶的DFS Group優先級以及系統MAC地址確定出DFS Group的主備狀態。以SwitchB為例,當SwitchB收到SwitchA發送的報文時,
SwitchB會查看並記錄對端信息,然后比較DFS Group的優先級,如果SwitchA的DFS Group優先級高於本端的DFS Group優先級,則確定SwitchA為DFS主設備,SwitchB為DFS備設備。如果SwitchA和SwitchB的DFS Group優先級相同,
比較兩台設備的MAC地址,確定MAC地址小的一端為DFS主設備。
說明:DFS Group的角色區分為主和備,正常情況下,主設備和備設備同時進行業務流量的轉發,轉發行為沒有區別,僅在故障場景下,主備設備的行為會有差別。
3. M-LAG成員接口協商主備
在DFS Group協商出主備狀態后,M-LAG的兩台設備會通過peer-link鏈路發送MLAG設備信息報文,報文中攜帶了M-LAG成員接口的配置信息。在成員口信息同步完成后,確定M-LAG成員接口的主備狀態。與對端同步成員口信息時,
狀態由Down先變為Up的M-LAG成員接口成為主MLAG成員口,對端對應的M-LAG成員口為備,且主備狀態默認不回切,即:當MLAG成員接口狀態為主的設備故障恢復后,先前由備狀態升級為主狀態的接口仍保持主狀態,
恢復故障的M-LAG成員接口狀態為備,此處與DFS Group協商主備狀態不一致。
說明:僅在M-LAG接入組播場景下,M-LAG成員接口的主備角色存在轉發行為差異。
4. 雙主檢測
協商出M-LAG主備后,兩台設備之間會通過雙主檢測鏈路按照1s的周期發送MLAG雙主檢測報文,一旦設備感知peer-link故障,會按照100ms的周期發送三個雙主檢測鏈路報文,加速檢測。當兩台設備均能夠收到對端發送的報文時,
雙活系統即開始正常的工作。正常情況下,雙主檢測鏈路不會參與M-LAG的任何轉發行為,只在DFS Group配對失敗或者peer-link故障場景下,用於檢查是否出現雙主的情況,所以即便雙主檢測失敗也不會影響M-LAG正常工作。
雙主檢測鏈路可以通過外部網絡承載(比如,如果M-LAG上行接入IP網絡,那么兩台雙歸設備通過IP網絡可以互通,那么互通的鏈路就可以作為雙主檢測鏈路)。也可以單獨配置一條三層可達的鏈路來作為雙主檢測鏈路(比如通過管理口)。
– (推薦)雙主檢測鏈路通過管理網口互通,DFS Group綁定的管理網口IP地址要保證可以相互通信,管理網口下綁定VPN實例,保證雙主檢測報文與業務流量隔離。
– 雙主檢測鏈路通過業務網絡互通,DFS Group綁定的IP地址要保證可以三層互通。如果peer-link接口之間建立路由鄰居關系,則業務網絡雙主檢測報文會直接通過最優路由經peer-link鏈路傳輸。一旦peer-link故障,路由收斂期間,
雙主檢測報文通過次優路徑傳輸到對端,雙主檢測時間會慢0.5秒或者1秒的時間。
說明:在V200R005C10版本及之后版本,兩台設備在心跳鏈路Up之后即會按照周期發送雙主檢測報文。若DFS Group綁定了本端和對端的IP地址,則在二次故障恢復場景下(設備已使能二次故障增強功能),
即原DFS主設備或備設備故障恢復且peer-link鏈路仍然故障時,MLAG設備根據雙主檢測報文中攜帶的DFS信息協商出HB DFS主備狀態,觸發HB DFS狀態為備的設備相應端口Error-Down,從而避免雙主場景下的流量異常。
5.M-LAG同步信息
正常工作后,兩台設備之間會通過peer-link鏈路發送M-LAG同步報文實時同步對端的信息,M-LAG同步報文中包括MAC表項、ARP表項以及STP、VRRP協議報文信息等,並發送M-LAG成員端口的狀態,
這樣任意一台設備故障都不會影響流量的轉發,保證正常的業務不會中斷。
3)M-LAG 防環機制
M-LAG本身具有防環機制,可以構造出一個無環網絡。那么M-LAG是如何構造無環網絡的呢?如下圖所示,從接入設備或網絡側到達M-LAG配對設備的單播流量,會優先從本地轉發出去,peer-link鏈路一般情況下不用來轉發數據流量。
當流量通過peerlink鏈路廣播到對端M-LAG設備,在peer-link鏈路與M-LAG成員口之間設置單方向的流量隔離,即從peer-link口進來的流量不會再從M-LAG口轉發出去,所以不會形成環路,這就是M-LAG單向隔離機制。
單向隔離機制
機制生效前提:當M-LAG兩台設備協商出M-LAG主備后,系統通過M-LAG同步報文判斷接入設備是否雙活接入:
若接入設備雙活接入M-LAG系統,則M-LAG兩台設備下發對應M-LAG成員口的單向隔離配置,來隔離由peer-link口發往M-LAG成員口的流量。
說明,M-LAG防環機制中的單向隔離僅對廣播流量等泛洪流量生效。
若接入設備單歸接入M-LAG系統,則M-LAG系統不會下發對應M-LAG成員口的單向隔離配置。
單向隔離機制實現原理
如圖1-5所示,在設備雙活接入M-LAG場景下,設備會默認按下列順序下發全局ACL配置:
Rule1:允許通過源端口為peer-link接口,目的端口為M-LAG成員口的三層單播報文;
Rule2:拒絕通過源端口為peer-link接口,目的端口為M-LAG成員口的所有報文;
設備通過匹配ACL規則組來對實現peer-link接口與M-LAG成員口之間的單向隔離,隔離有peer-link接口發往M-LAG成員口的廣播等泛洪流量。當M-LAG設備感知到本端的M-LAG成員口狀態為Down時,
會通過peer-link發送M-LAG同步報文,通知對端設備撤銷自動下發的相應的M-LAG成員端口的單向隔離ACL規則組。
4)M-LAG 配置一致性檢查
M-LAG是由兩台設備組成的一個雙活系統,可將M-LAG理解為一種橫向虛擬化技術,將M-LAG的兩台設備在邏輯上虛擬成一台設備,形成一個統一的二層邏輯節點。這帶來了邏輯拓撲的清晰高效,
也決定了M-LAG兩端設備的某些配置需要保持一致,否則可能會導致M-LAG無法正常工作或者成環等問題。但M-LAG運用於企業網中時,卻面臨一個突出的問題:部署企業網數據中心時,通過手工配置、人工比對來
保證每一個M-LAG系統兩端設備的配置一致性,不僅處理效率低下,更多的是帶來諸多潛在的誤配置風險。為了解決上述問題,華為公司提出了M-LAG配置一致性檢查的解決方案。該解決方案中,通過M-LAG機制自帶的配置
一致性檢查功能,去訂閱M-LAG系統兩端設備的各模塊配置。我們可以通過檢查功能返回的比對結果,及時地調整M-LAG兩端設備的配置部署,防止組網成環或者數據丟包等問題發生。
M-LAG配置一致性檢查將設備配置分為兩類,如表1-2所示,分別為關鍵配置(Type1)和一般配置(Type 2)。根據對關鍵配置檢查不一致時的處理方式,M-LAG一致性又分為嚴格模式(strict)和松散模式(loose)。
● 關鍵配置(Type 1):如果在M-LAG系統兩端設備不一致,會導致成環、狀態正常但長時間丟包等問題。
嚴格模式下,如果M-LAG兩端設備存在Type 1配置不一致,會導致M-LAG備設備上成員口處於ERROR DOWN狀態,且觸發設備對Type 1類型配置檢查不一致的告警。
松散模式下,如果M-LAG兩端設備存在Type 1配置不一致,則會觸發設備對兩種類型配置檢查不一致的告警。
● 一般配置(Type 2):如果在M-LAG系統兩端設備不一致,可能會導致M-LAG運行狀態異常。與Type 1類型的配置相比較而言,Type 2類型的配置問題更容易被發現,對組網環境的影響也相對較小。
無論處於何種模式,如果M-LAG兩端設備存在以下Type 2配置不一致,則會觸發設備對兩種類型配置檢查不一致的告警。
