1.定义
M-LAG(Multichassis Link Aggregation Group)即跨设备链路聚合组,是一种实现跨设备链路聚合的机制,如下图所示,将两台接入交换机以同一个状态和被接入的设备进行链路聚合协商,
从而把链路可靠性从单板级提高到了设备级,组成双活系统。
M-LAG作为一种跨设备链路聚合的技术,除了具备增加带宽、提高链路可靠性、负载分担的优势外,还具备以下优势:
更高的可靠性:把链路可靠性从单板级提高到了设备级。
简化组网及配置:可以将M-LAG理解为一种横向虚拟化技术,将双归接入的两台设备在逻辑上虚拟成一台设备。M-LAG提供了一个没有环路的二层拓扑同时实现冗余备份,不再需要繁琐的生成树协议配置,极大的简化了组网及配置。
独立升级:两台设备可以分别进行升级,保证有一台设备正常工作即可,对正在运行的业务几乎没有影响。
2.堆叠与M-LAG对比
3.M-LAG 原理描述
1)M-LAG 的基本概念
如下图M-LAG基本拓扑所示,用户侧设备Switch(可以是交换机或主机)通过M-LAG机制与另外两台设备(SwitchA和SwitchB)进行跨设备链路聚合,共同组成一个双活系统。
这样可以实现SwitchA和SwitchB共同进行流量转发的功能,保证网络的可靠性。
2)M-LAG 协议交互原理
基于M-LAG组成的双活系统提供了设备级的可靠性,那么M-LAG是如何建立的?如上图所示,M-LAG的建立过程有如下几个步骤:
1. DFS Group配对
当M-LAG两台设备完成配置后,设备首先通过peer-link链路发送DFS Group的Hello报文。当设备收到对端的Hello报文后,会判断报文中携带的DFS Group编号是否和本端相同,
如果两台设备的DFS Group编号相同,则两台设备DFS Group配对成功。
2. DFS Group协商主备
配对成功后,两台设备会向对端发送DFS Group的设备信息报文,设备根据报文中携带的DFS Group优先级以及系统MAC地址确定出DFS Group的主备状态。以SwitchB为例,当SwitchB收到SwitchA发送的报文时,
SwitchB会查看并记录对端信息,然后比较DFS Group的优先级,如果SwitchA的DFS Group优先级高于本端的DFS Group优先级,则确定SwitchA为DFS主设备,SwitchB为DFS备设备。如果SwitchA和SwitchB的DFS Group优先级相同,
比较两台设备的MAC地址,确定MAC地址小的一端为DFS主设备。
说明:DFS Group的角色区分为主和备,正常情况下,主设备和备设备同时进行业务流量的转发,转发行为没有区别,仅在故障场景下,主备设备的行为会有差别。
3. M-LAG成员接口协商主备
在DFS Group协商出主备状态后,M-LAG的两台设备会通过peer-link链路发送MLAG设备信息报文,报文中携带了M-LAG成员接口的配置信息。在成员口信息同步完成后,确定M-LAG成员接口的主备状态。与对端同步成员口信息时,
状态由Down先变为Up的M-LAG成员接口成为主MLAG成员口,对端对应的M-LAG成员口为备,且主备状态默认不回切,即:当MLAG成员接口状态为主的设备故障恢复后,先前由备状态升级为主状态的接口仍保持主状态,
恢复故障的M-LAG成员接口状态为备,此处与DFS Group协商主备状态不一致。
说明:仅在M-LAG接入组播场景下,M-LAG成员接口的主备角色存在转发行为差异。
4. 双主检测
协商出M-LAG主备后,两台设备之间会通过双主检测链路按照1s的周期发送MLAG双主检测报文,一旦设备感知peer-link故障,会按照100ms的周期发送三个双主检测链路报文,加速检测。当两台设备均能够收到对端发送的报文时,
双活系统即开始正常的工作。正常情况下,双主检测链路不会参与M-LAG的任何转发行为,只在DFS Group配对失败或者peer-link故障场景下,用于检查是否出现双主的情况,所以即便双主检测失败也不会影响M-LAG正常工作。
双主检测链路可以通过外部网络承载(比如,如果M-LAG上行接入IP网络,那么两台双归设备通过IP网络可以互通,那么互通的链路就可以作为双主检测链路)。也可以单独配置一条三层可达的链路来作为双主检测链路(比如通过管理口)。
– (推荐)双主检测链路通过管理网口互通,DFS Group绑定的管理网口IP地址要保证可以相互通信,管理网口下绑定VPN实例,保证双主检测报文与业务流量隔离。
– 双主检测链路通过业务网络互通,DFS Group绑定的IP地址要保证可以三层互通。如果peer-link接口之间建立路由邻居关系,则业务网络双主检测报文会直接通过最优路由经peer-link链路传输。一旦peer-link故障,路由收敛期间,
双主检测报文通过次优路径传输到对端,双主检测时间会慢0.5秒或者1秒的时间。
说明:在V200R005C10版本及之后版本,两台设备在心跳链路Up之后即会按照周期发送双主检测报文。若DFS Group绑定了本端和对端的IP地址,则在二次故障恢复场景下(设备已使能二次故障增强功能),
即原DFS主设备或备设备故障恢复且peer-link链路仍然故障时,MLAG设备根据双主检测报文中携带的DFS信息协商出HB DFS主备状态,触发HB DFS状态为备的设备相应端口Error-Down,从而避免双主场景下的流量异常。
5.M-LAG同步信息
正常工作后,两台设备之间会通过peer-link链路发送M-LAG同步报文实时同步对端的信息,M-LAG同步报文中包括MAC表项、ARP表项以及STP、VRRP协议报文信息等,并发送M-LAG成员端口的状态,
这样任意一台设备故障都不会影响流量的转发,保证正常的业务不会中断。
3)M-LAG 防环机制
M-LAG本身具有防环机制,可以构造出一个无环网络。那么M-LAG是如何构造无环网络的呢?如下图所示,从接入设备或网络侧到达M-LAG配对设备的单播流量,会优先从本地转发出去,peer-link链路一般情况下不用来转发数据流量。
当流量通过peerlink链路广播到对端M-LAG设备,在peer-link链路与M-LAG成员口之间设置单方向的流量隔离,即从peer-link口进来的流量不会再从M-LAG口转发出去,所以不会形成环路,这就是M-LAG单向隔离机制。
单向隔离机制
机制生效前提:当M-LAG两台设备协商出M-LAG主备后,系统通过M-LAG同步报文判断接入设备是否双活接入:
若接入设备双活接入M-LAG系统,则M-LAG两台设备下发对应M-LAG成员口的单向隔离配置,来隔离由peer-link口发往M-LAG成员口的流量。
说明,M-LAG防环机制中的单向隔离仅对广播流量等泛洪流量生效。
若接入设备单归接入M-LAG系统,则M-LAG系统不会下发对应M-LAG成员口的单向隔离配置。
单向隔离机制实现原理
如图1-5所示,在设备双活接入M-LAG场景下,设备会默认按下列顺序下发全局ACL配置:
Rule1:允许通过源端口为peer-link接口,目的端口为M-LAG成员口的三层单播报文;
Rule2:拒绝通过源端口为peer-link接口,目的端口为M-LAG成员口的所有报文;
设备通过匹配ACL规则组来对实现peer-link接口与M-LAG成员口之间的单向隔离,隔离有peer-link接口发往M-LAG成员口的广播等泛洪流量。当M-LAG设备感知到本端的M-LAG成员口状态为Down时,
会通过peer-link发送M-LAG同步报文,通知对端设备撤销自动下发的相应的M-LAG成员端口的单向隔离ACL规则组。
4)M-LAG 配置一致性检查
M-LAG是由两台设备组成的一个双活系统,可将M-LAG理解为一种横向虚拟化技术,将M-LAG的两台设备在逻辑上虚拟成一台设备,形成一个统一的二层逻辑节点。这带来了逻辑拓扑的清晰高效,
也决定了M-LAG两端设备的某些配置需要保持一致,否则可能会导致M-LAG无法正常工作或者成环等问题。但M-LAG运用于企业网中时,却面临一个突出的问题:部署企业网数据中心时,通过手工配置、人工比对来
保证每一个M-LAG系统两端设备的配置一致性,不仅处理效率低下,更多的是带来诸多潜在的误配置风险。为了解决上述问题,华为公司提出了M-LAG配置一致性检查的解决方案。该解决方案中,通过M-LAG机制自带的配置
一致性检查功能,去订阅M-LAG系统两端设备的各模块配置。我们可以通过检查功能返回的比对结果,及时地调整M-LAG两端设备的配置部署,防止组网成环或者数据丢包等问题发生。
M-LAG配置一致性检查将设备配置分为两类,如表1-2所示,分别为关键配置(Type1)和一般配置(Type 2)。根据对关键配置检查不一致时的处理方式,M-LAG一致性又分为严格模式(strict)和松散模式(loose)。
● 关键配置(Type 1):如果在M-LAG系统两端设备不一致,会导致成环、状态正常但长时间丢包等问题。
严格模式下,如果M-LAG两端设备存在Type 1配置不一致,会导致M-LAG备设备上成员口处于ERROR DOWN状态,且触发设备对Type 1类型配置检查不一致的告警。
松散模式下,如果M-LAG两端设备存在Type 1配置不一致,则会触发设备对两种类型配置检查不一致的告警。
● 一般配置(Type 2):如果在M-LAG系统两端设备不一致,可能会导致M-LAG运行状态异常。与Type 1类型的配置相比较而言,Type 2类型的配置问题更容易被发现,对组网环境的影响也相对较小。
无论处于何种模式,如果M-LAG两端设备存在以下Type 2配置不一致,则会触发设备对两种类型配置检查不一致的告警。
