【H3CIE面试 —— M-LAG专题（1）】

pepinok

已于 2024-04-02 04:18:26 修改

阅读量1.3k

点赞数 12

文章标签：运维网络信息与通信计算机网络华为网络协议 tcp/ip

于 2024-04-02 04:12:40 首次发布

本文链接：https://blog.csdn.net/2201_75788027/article/details/137094136

版权

【H3CIE面试 —— M-LAG专题（1）】

概要
- 整体架构流程
M-LAG技术产生背景
- - 原理
  - 简介
M-LAG的技术优势

概要

引入：我们为什么需要M-LAG？普通的链路聚合（LACP）只能够在一台设备上，只能提供链路级的保护，当设备故障以后，普通聚合将无法工作，所以需要设备级保护的技术。

• M-LAG（Multichassis link aggregation，跨设备链路聚合）作为一种跨设备链路聚合的技术，将两台物理设备在聚合层面虚拟成一台设备实现跨设备链路聚合（设备间聚合冗余），从而提供设备级冗余保护和流量负载分担。

整体架构流程

•M-LAG技术产生背景 • M-LAG技术基本原理 • M-LAG典型应用和配置方法 • M-LAG故障排查方法

M-LAG技术产生背景

原理

** M-LAG（Multichassis link aggregation，跨设备链路聚合）** 是一种跨设备链路聚合技术，将两台物理设备在聚合层面虚拟成一台设备来实现跨设备链路聚合，从而提供设备级冗余保护和流量负载分担。
常见组网架构图①为VRRP+STP组网：需要规划好负载分担的实例。
图②为IRF＋LACP组网：将两台设备虚拟成一台设备，并做链路聚合。
图③为M-LAG组网：两台设备间即使是独立的，它也可以做链路聚合。

简介

• M-LAG是基于IEEE P802.1AX协议的跨设备链路聚合技术。
• 早期的华三叫DRNI（Distributed Resilient Network Interconnect，分布式弹性网络互连）是一种跨设备链路聚合技术，将两台物理设备在聚合层面虚拟成一台设备来实现跨设备链路聚合，从而提供设备級冗余保护和流量负载分担。
• M-LAG主要应用于双归接入组网，将可靠性从链路级提高到设备级。
在这里插入图片描述

M-LAG的技术优势

M-LAG有什么技术优势？为什么不用IRF（虚拟化）呢？
• M-LAG作为一种跨设备链路聚合的技术，除了具备增加带宽、提高链路可靠性、负载分担的优势外，还具备以下优势：
• 无环拓扑
不太算优势，用IRF的话更简简单方便
• 更高的可靠性
可以实现设备间的冗余
• 双归接入
M-LAG主要应用于双归接入组网
• 用户流量不中断
优势，流量切换过程非常快
• 简化组网及配置
要看跟谁比，跟VRRP+STP组网比有优势，跟IRF相比不一定，因为IRF在园区网用得较多，M-LAG在DC-三角数据中心用得较多（注重双归，备份，冗余等特点）
• 独立升級
相较于IRF来说再大的优点，相比IRF限制较少，升级较简便

IRF和M-LAG的对比

IRF和M-LAG的对比 · IRF是真正的虚拟化，集中管理并且IRF设备需要同步所有表项；M-LAG是两台独立的设备，控制层面是解耦的，它主要同步的是MAC表项，ARP表项，ND表项，路由表是没有同步的，各个协议的一些信息也是没有同步的；
·由于M-LAG支持双归接入，因此成员数量只能有两台；

M-LAG的网络模型和基本概念

（1）M-LAG设备在M-LAG系统中互为邻居，其中Device A为主设备，Device B为从设备。Device A与Device B形成负载分担，共同进行流量转发，当其中一台设备发生故障时，流量可以快速切换到另一台设备，保证业务的正常运行。
（2）M-LAG相关基本概念：
• M-LAG 主设备：负责流量转发
• M-LAG 备设备：负责流量转发
• peer-link 链路：一般采用聚合链路；可以转发数据
• peer-link 接口
• Keepalive 链路：保活；需要IP可达
• M-LAG 组：跨设备链路聚合；一般采用聚合口
• M-LAG 接口
M-LAG网络模型

双归接入M-LAG网络模型—常用

双归接入M-LAG网络模型

单归接入M-LAG网络模型

DRCP协议—其实就是DRNI里面具体的协议

• M-LAG通过在peer-link链路上运行DRCP来交互分布式聚合的相关信息，以确定两台设备是否可以组成M-LAG系统。运行该协议的设备之间通过互发DRCPDU（Distributed Relay Control Protocol Data Unit，分布式聚合控制协议数据单元）来交互分布式聚合的相关信息。
• DRCPDU的交互
两端M-LAG设备通过peer-link链路定期交互DRCP报文进行协商。如果两端的M-LAG系统配置均相同，则这两台设备可以组成M-LAG系统。
• DRCP超时时间：peer-link接口等待接收DRCPDU的超时时间。
若本端为短超时（3秒），则对端M-LAG设备每1秒发送1个DRCPDU
若本端为长超时（90秒），则对端M-LAG设备每30秒发送1个DRCPDU

Keepalive机制

M-LAG设备间通过Keepalive链路检测邻居状态，即通过交互Keepalive报文来进行peer-link链路故障时的双主检测。
• 如果在Keepalive timeout时间内，本端M-LAG设备收到对端M-LAG设备发送的Keepalive报文：
①如果peer-link链路状态为down，则认为peer-link故障，启动Keepalive hold timeout定时器。
②如果peer-link链路状态为up，则M-LAG系统正常工作。
如果在Keepalive timeout时间内，本端M-LAG设备未收到对端M-LAG设备发送的Keepalive报文。
• 如果peer-link链路状态为down，则认为对端M-LAG设备状态为
down，启动Keepalive hold timeout定时器，在该定时器超时后：
①本端设备为主设备时，如果本端设备上存在处于up状态的M-LAG口，则本端仍为主设备；否则，本端设备角色变为None角
②本端设鱼为备设备时，则升级为主设备。此后，只要本端设备上存在处于up状态的M-LAG口，则保持为主设备，否则本端设备角色变为None角色。
如果peer-link链路状态为up，则认为Keepalive链路状态为down。此时主从设备正常工作，同时设备打印日志信息，提醒用户检查Keepalive链路。

MAD机制

peer-link链路故障后（类似IRF的堆叠口出现故障，会出现双主，用MAD来解决这个分裂问题；同理，MAD也能用来解决M-LAG分裂的问题），为了防止备设备继续转发流量，M-LAG提供MAD（Multi-Active Detection，多Active检测）机制。
设备上接口在M-LAG系统分裂后有以下状态：
M-LAG系统分裂后接口处于M-LAG MAD DOWN状态
M-LAG系统分裂后接口保持原状态不变（UP-正常转发数据）
M-LAG系统分裂时，设备上以下接口不被置为M-LAG MAD DOWN状态：
M-LAG保留接口（包括用户配置的和系统保留的）
配置了强制端口up功能的接口
M-LAG保留接口包括系统保留接口和用户配置的保留接口。系统保留接口包括：
peer-link接口
peer-link接口所对应的二层聚合接口的成员接口
M-LAG接口
管理以太网接口

MAD机制

角色选举

M-LAG设备通过角色计算，可能出现三种设备角色，分别是Primary、
Secondary和None.
当通过IPL或Keepalive链路交互报文计算设备角色时，依次比较如下因素：
1.比较设备所有M-LAG接口的状态，有可工作M-LAG接口的一端为优；
2.比较计算前角色，Primary端优；
3.比较M-LAG MAD DOWN状态，不存在处于M-LAG MAD DOWN状态的接口的一端优；
4.比较设备健康状况，健康值越小越优；
5.比较设备角色优先级，值越小越优；
6.比较设备桥MAC，越小越优。
上述因素按顺序比较，结果为优的一端角色计算为Primary，另一端为
Secondary

M-LAG系统建立及工作过程

M-LAG设备间通过交互DRCP报文和Keepalive报文建立和维护M-LAG系统。在M-LAG系统正常工作时，M-LAG系统的主从设备负载分担共同进行流量转发。
M-LAG系统建立及工作过程如下：
① 定期发送DRCP报文进行协商。
② M-LAG配对，建立M-LAG系统。
③ 主从协商，两端设备会确定出主备状态。主从协商后，M-LAG设备间会进行配置一致性检查。
④双主检测，两端设备通过Keepalive链路周期性地发送Keepalive报文进行双主检测。
⑤数据同步，两端设备之间会通过peer-link链路实时同步对端的信息。

M-LAG防环机制

M-LAG-本身具有防环机制，可以构造出一个无环网络。
从接入设备或网络侧到达M-LAG设备的单播流量，会优先从本地转发出杏，peer-link链路一般情况下不用来转发数据流量，称为本地转发优先。
从peer-link接口进来的流量不会再从M-LAG接口转发出去，称为M-LAG单向隔离机制。

M-LAG的表项同步机制

M-LAG表同步一般同步的表项有（MAC表，ARP表，NDP表，DHCP表）

M-LAG主备设备之间会实时同步MAC地址表项、ARP表项和DHCP表项等表项。
单归接入的M-LAG接口的表项将同步到对端设备的peer-link接口上。

M-LAG设备工作模式

M-LAG设备工作模式分为以下两种：
• M-LAG系统工作模式：作为M-LAG系统成员设备参与报文转发
• 独立工作模式：脱离M-LAG系统独立工作，独自转发报文。
当M-LAG系统分裂时，为了避免M-LAG系统中的两台设备都作为主设备转发流量的情况，需要M-LAG设备独立工作。
在peer-link链路和Keepalive链路均处于DOWN状态时，从设备会立即或经过一段时间切换到独立运行模式。

M-LAG配置一致性检查

M-LAG系统建立过程中会进行配置一致性检查，以确保两端M-LAG设备配置匹配，不影响M-LAG设备转发报文。M-LAG设备通过peer-link链路交换各自的配置信息，检查配置是否匹配。目前M-LAG支持对两种类型的配置进行一致性检查：
- 关键配置：Type 1类型配置，即影响M-LAG系统转发的配置。如果Type 1类型配置不匹配，则将备设备上M-LAG接口置为down状态，将导致链路状态正常但是长时间丢包等问题。
- 一般配置：Type 2类型配置，即仅影响业务模块的配置。如果Type 2类型配置不匹配，备设备上M-LAG接口依然为up状态，不影响M-LAG系统正常工作。与Type 1类型配置相比而言，Type 2类型配置对网络环境影响较小。Type 2类型配置仅影响其对应的业务模块功能。

配置一致性检查功能-type1

Type 1配置一致性检查分为全局配置和M-LAG接口配置。全局Type 1类型配置不一致，则将从设备上所有M-LAG接口置为down状态。接口Type1类型不一致，down掉从设备对应M-LAG接口。主设备仅产生相应日志，不做任何动作。

配置一致性检查功能-type2

type2类型配置一致性检查分为全局配置和M-LAG接口配置，type2类型配置仅影响对应的业务模块
在这里插入图片描述

M-LAG序列号校验

为了防止重放攻击，保证流量正常转发，M-LAG支持序列号校验，以识别非法报文。

M-LAG报文认证

为防止攻击者篡改DRCP报文和keepalive报文内容，M-LAG提供报文认证功能，提高安全性。
M-LAG报文认证的目的是进行完整性检查（看到HASH一般都是进行完整性检查），一般是用散列函数进行一个散列计算得到一个摘要，通过比对摘要是否一致来判断数据是否被篡改，DRCP/keepalive报文结合key（密钥）做一个hash计算，计算完之后会得到一个消息摘要，消息摘要会随着DRCP/KEEPALIVE报文发送给对端，对端收到之后也会把自己的DRCP/keepalive报文结合key（密钥）做一个hash计算，得到一个消息摘要，再比较两端摘要信息是否相同，相同的话就表示信息未被篡改。（类似SHA/MD5校验）

M-LAG系统单播流量转发

• 对于南北向的单播流量，在M-LAG接入侧，M-LAG设备接收到接入设备通过聚合链路负载分担发送的流量后，按本地转发优先原则，共同进行流量转发。发往Network侧的流量到达M-LAG设备后将根据路由表转发流量。
• 对于东西向的单播流量，二层流量通过M-LAG本地优先转发，三层流量通过双活网关转发，都不经过peer-li