配置核心交換機(jī)的橫向虛擬化

交換機(jī)虛擬化可以分為橫向虛擬化和縱向虛擬化。

橫向虛擬化是指將兩臺同型號支持虛擬化特性的交換機(jī)設(shè)備（橫向虛擬化一般應(yīng)用在核心交換機(jī)上）組合在一起，從邏輯上組合成一臺交換設(shè)備。

縱向虛擬化是指將多層網(wǎng)絡(luò)不同型號支持虛擬化特性的交換機(jī)設(shè)備組合在一起，通常是將核心交換機(jī)、匯聚交換機(jī)以及接入交換機(jī)通過縱向虛擬化從邏輯上組合成一臺交換設(shè)備，接入和匯聚層交換機(jī)虛擬成核心交換機(jī)設(shè)備上的一塊板卡，通常情況下，縱向虛擬化最好是同品牌的交換機(jī)設(shè)備，兼容性比較好。

筆者單位兩臺華為S12708核心交換機(jī)做橫向虛擬化配置，橫向虛擬化的優(yōu)點(diǎn)如下：

1.高可靠性：橫向虛擬化的兩臺核心交換機(jī)之間冗余備份，同時(shí)利用鏈路聚合功能實(shí)現(xiàn)跨設(shè)備的鏈路冗余備份。

華為S12708核心交換機(jī)上有2塊主控板，橫向虛擬化配置完成后組成的一臺邏輯核心交換機(jī)有4塊主控板，只要有1塊主控板能工作，2臺核心交換機(jī)就不會(huì)宕機(jī)。

華為S12708核心交換機(jī)通過交換網(wǎng)板虛擬化板卡和虛擬化專用線纜做橫向虛擬化鏈路，虛擬化板卡和專用線纜均采用冗余配置，提高了鏈路帶寬和可靠性。

2.強(qiáng)大的網(wǎng)絡(luò)擴(kuò)展能力：通過橫向虛擬化方式增加核心交換機(jī)，從而輕松的擴(kuò)展端口數(shù)量，帶寬和業(yè)務(wù)處理能力。

3.簡化配置和管理：橫向虛擬化配置后，兩臺物理交換機(jī)虛擬成一臺設(shè)備。

華為S12708典型橫向虛擬化連接方式如圖1所示。

圖1所示華為S12708核心交換機(jī)配置有4塊虛擬化板卡，每塊板卡有8個(gè)10G的接口。

圖1 華為S12708虛擬化線纜連接示意圖

圖2 檢查集群組建程序

在實(shí)際應(yīng)用中，要求虛擬化板卡數(shù)量≥2，虛擬化專用線纜數(shù)量≥4，虛擬化板卡和專用線纜至少要求1+1冗余備份。

橫向虛擬化配置步驟和命令：

1.在兩臺核心交換機(jī)上配置集群連接方式、集群ID（缺省值為1）及集群優(yōu)先級

2.使能集群功能

3.檢查集群組建是否成功,如圖2所示。通過這些配置命令就可以完成兩臺華為S12708核心交換機(jī)的橫向虛擬化的配置。

配置核心交換機(jī)和匯聚層交換機(jī)的端口

匯聚交換機(jī)H3C S6800上行接口分別連接到HW1和HW2的兩個(gè)相應(yīng)接口上，如圖3所示。

匯聚交換機(jī)和核心交換機(jī)的端口聚合配置如圖4所示。

圖3 核心和匯聚的端口聚合示意圖

通過以上配置，核心和匯聚交換機(jī)就完成了端口的聚合，不但提高了上下行鏈路的帶寬，也實(shí)現(xiàn)了上下行鏈路的1+1冗余配置。

核心交換機(jī)ACL配置

核心交換機(jī)的ACL配置和每個(gè)單位具體的網(wǎng)絡(luò)環(huán)境和訪問需求有關(guān)。下面筆者以限制網(wǎng)段之間互訪的ACL配置命令為例，簡單介紹。

筆者所在單位有A、B、C三個(gè)部門，網(wǎng)段分別為192.168.0.0/24，192.168.1.0/24，192.168.2.0/24，A部門可以訪問B部門和C部門，B部門和C部門之間禁止訪問。交換機(jī)ACL配置如下：

1.在交換機(jī)上配置ACL規(guī)則，分別匹配允許訪問和拒絕訪問的數(shù)據(jù)流，其中ACL 3000對應(yīng)的是允許訪問的數(shù)據(jù)流，ACL 3001是拒絕訪問的數(shù)據(jù)流，如圖5所示。

2.配置流分類，按照ACL對報(bào)文進(jìn)行分類，其中拒絕的流分類ds對應(yīng)ACL 3001，允許的流分類ps對應(yīng)ACL 3000。

圖5 ACL規(guī)則配置

3.配置流行為，配置流行為ds的動(dòng)作是拒絕，配置流行為ps的動(dòng)作是允許。

4.配置流策略，并全局應(yīng)用，流分類匹配相應(yīng)流行為。

通過以上步驟，ACL訪問控制就完成了。經(jīng)過測試，A部門可以訪問B部門和C部門，B部門和C部門之間無法訪問。

圖4 配置核心和匯聚的端口聚合

總結(jié)：

華為S12708核心交換機(jī)交換容量高，數(shù)據(jù)處理能力強(qiáng)，速度快。通過在華為S12708核心交換機(jī)上配置橫向虛擬化，端口聚合以及ACL訪問控制策略等命令，極大的提高了核心交換機(jī)的可靠性，鏈路帶寬以及網(wǎng)絡(luò)安全等，新的核心交換機(jī)投入使用后，解決了以前網(wǎng)絡(luò)訪問延時(shí)大，核心交換機(jī)頻繁宕機(jī)的問題，用戶普遍反映網(wǎng)速有較大提升，應(yīng)用系統(tǒng)響應(yīng)迅速。