[H3C]MDC技术详解2020-08-12

一.概念：

1、MDC（Multitenant Device Context，多租户设备环境）:将物理网络设备通过虚拟化技术划分成多台虚拟网络设备的技术。

2、优点：

（1）复用：同一物理设备上创建的所有MDC共用物理设备的物理接口、CPU、内存、磁盘资源，管理员可以根据需要为MDC分配资源，或者将一个MDC的资源收回分配给其它MDC，使这些资源能得到最大利用。

（2）隔离：每台MDC拥有自己专属的软硬件资源，独立运行、独立转发、独立提供业务。创建、启动、重启、删除一台MDC，不会影响其它MDC的运行。

（3）易管理：多台MDC集成在一台物理设备上，配置界面统一，可由一人维护，也可为每个MDC分派管理员，免去维护多台物理设备的烦恼，还可以节省机房空间。

 

二.MDC技术实现：

1.MDC创建：

（1）缺省MDC：

设备支持MDC功能后，整台物理设备就是一个MDC，称为缺省MDC。当用户登录物理设备时，实际登录的就是缺省MDC。用户在物理设备上的配置实质就是对缺省MDC的配置。缺省MDC的名称为Admin，编号为1。缺省MDC不需要创建，不能删除。缺省MDC拥有对整台物理设备的所有权限，它可以使用和管理设备所有的硬件资源。缺省MDC下可以创建/删除非缺省MDC。

（2）非缺省MDC：

与缺省MDC相对应的是非缺省MDC，非缺省MDC下不可再创建/删除非缺省MDC。

创建完成的非缺省MDC状态为inactive，此状态下的MDC并没有启动。MDC的创建相当于组建了一台具有硬件基础的虚拟设备。

（3）资源分配：

① 缺省情况下，设备上所有资源均属于缺省MDC。非缺省MDC仅具有主控板的使用权限，不具有物理接口和业务板的使用权限。必须为非缺省MDC分配物理接口和业务板，否则非缺省MDC上将没有物理接口，不能转发业务报文。

② 可以根据需要在各MDC间进行业务板、接口、CPU、磁盘和内存空间的合理、灵活分配。

• 业务板资源：一块业务板可以分配给多个MDC使用，这些MDC共享该业务板上的资源。
• 接口资源：接口作为最关键的物理设备资源，可以在缺省MDC和非缺省MDC间分配。建议在MDC启动前将接口资源配置好，以减少资源分配带来的系统震荡。同时，为了能将新插入的业务板分配给非缺省MDC，设备也支持在MDC运行状态下将接口分配给MDC。
• CPU资源：所有的MDC共享设备的CPU资源。CPU资源具有可抢占性。如果某个MDC分配了较少的CPU资源，当有突发的任务需要CPU处理，而其他MDC任务较少时，该MDC可抢占使用空闲的CPU；当其他MDC同时也有大量任务需要CPU处理时，将按配置的比率在各MDC间进行CPU调度。以免某个MDC过多的占用CPU，而导致其他MDC无法运行。
• 内存资源：所有的MDC共享设备的内存空间。为了防止一个MDC过多的占用内存，而导致其他MDC无法正常运行业务，可以限制MDC对内存的使用。
• 磁盘资源：创建MDC后，会在磁盘介质中创建对应的MDC目录，存放该MDC的配置文件、日志文件等掉电不丢失的数据。所有的MDC共享设备的磁盘空间。为了防止一个MDC过多的占用磁盘空间，而导致其他MDC无法保存配置文件、系统日志等，可以限制MDC对磁盘空间的使用。

（4）MDC启动：

MDC的启动相当于将已经组成的虚拟设备上电启动，MDC启动过程类似物理设备的启动。在MDC启动过程中，MDC操作系统（MDC-OS）环境开始建立，MDC内的进程开始初始化，并完成MDC的配置恢复。启动完成的MDC状态为active，此状态下的MDC可以提供服务，可登录该MDC配置该MDC的运行参数。

三.MDC二层转发运行机制：

1、MDC对于二层转发的三要素（二层端口、二层转发表、VLAN）都进行了虚拟化，每个MDC都有独立的二层端口、独立的二层转发表和独立的VLAN。

2、每个MDC可以创建相同编号的VLAN。如图5（下图）所示：

• MDC1拥有独享的二层端口P1、P3、P5、P6；MDC2拥有独享的二层端口P2、P4。
• MDC1和MDC2中都可以创建VLAN2。
• PC1的MAC地址为MACA；PC2的MAC地址为MACB。

3、二层协议如MSTP、LACP等都支持虚拟化，每个MDC作为独立设备分配不同的桥MAC参与MSTP计算。如需将不同MDC中的接口聚合，需要配置跨设备聚合功能。

四.三层转发运行机制：

1、MDC相对VPN，做了更彻底地操作系统级别的隔离，安全性和操作维护的方便性都有更进一步的提高。各MDC独享VPN资源，

• 不同的MDC内可以有相同编号的VPN实例。
• 不同VPN内可以有相同的私网IP。
• 每个MDC的每个VPN中都各自管理本VPN的三层转发表项（FIB）。

 

五.管理缺省MDC：

1.登录（方式）：

（1）内联接口：

• 缺省MDC和非缺省MDC之间存在内联接口，其效果相当于Console口。用户可以从缺省MDC通过内联接口可登录非缺省MDC。
• 用户第一次登录MDC时，必须使用内联接口登录非缺省MDC。

（2）虚拟以太网接口：

MDC技术实现了对以太网管理接口的虚拟化。用户创建MDC时，系统会为每个非缺省MDC创建虚拟以太网管理接口，这些虚拟以太网管理接口共用物理以太网管理接口的通道资源。每个虚拟以太网管理接口都有独立的MAC。用户通过内联接口登录非缺省MDC后，可以为每个MDC的管理以太网接口配置不同的IP地址。用户通过和不同的IP地址建立连接来对各MDC进行管理。

（3）物理接口：

用户通过内联接口登录非缺省MDC，在MDC上创建VLAN接口并配置IP地址，将VLAN接口和物理接口绑定，或者直接给三层以太网接口配置IP地址，完成路由配置后，可以通过非缺省MDC的物理接口使用Telnet或SSH等方式登录非缺省MDC。

2.配置方式、配置文件、日志输出：

• 每个MDC都支持命令行、Web、SNMP、Netconf等配置方式。
• 每个MDC有独立的配置文件，能独立保存本MDC的配置和进行配置恢复。
• 每个MDC在运行过程中，各自独立生成、输出Syslog。

3.用户管理：

Comware基于用户角色对用户进行权限管理。为用户赋予用户角色后，该用户登录设备后可执行指定范围内的操作：

• 物理设备级
  • network-admin：可操作系统所有功能和资源，有创建、删除MDC等权限。
  • network-operator：可执行系统所有功能和资源的相关显示命令；可执行切换MDC命令，登录到MDC后可以执行MDC内的资源相关的显示命令。
• MDC级
  • mdc-admin：可操作该MDC所有功能和资源，不能创建、删除MDC，不能切换MDC。
  • mdc-operator：可执行该MDC所有功能和资源的相关显示命令。

 

六.IRF中MDC技术：

1.示意图：

2.IRF+MDC优点：

• 最大限度的整合设备资源，将多台设备按照组网需要虚拟成多台虚拟设备使用，提高设备的使用效率。
• 同时获得两种技术的优点。例如使得每个MDC同时获得IRF的主备主控板保护，相对于使用单个设备组网，提高了可用性。
• 提高系统的扩展性和使用的灵活性。在已经使用MDC的设备上，通过叠加IRF技术，可以在不改变网络部署的情况下扩展设备的端口数、带宽及处理能力。而在已经使用IRF技术的场合，直接在IRF的基础上使用MDC功能，部署新的网络，对现有网络不会产生任何影响

3.MDC跨设备部署时：

• 缺省MDC中的IRF链路用于转发IRF的控制协议报文以及所有MDC的跨框流量。
• 非缺省MDC中的IRF链路，仅转发本MDC的跨框流量。

 

 

七.配置：

1.配置任务全集：

2.详细配置：

（1）MDC创建：

 

（2）分配接口板：

新创建的MDC只有主控板，只有使用主控板上物理资源的权限。如果要给MDC分配接口，必须先给MDC分配接口板，让MDC具有使用该接口板上接口、内存空间和CPU资源的权限。

（3）分配物理接口：

为MDC分配物理接口有以下注意事项：

1. 物理设备的Console口和AUX口被缺省MDC独享，不能分配给非缺省MDC。
2. 物理设备的管理以太网口不能分配。
3. 一个物理接口只能属于一台MDC。物理接口分配给MDC后，需要登录该MDC后，才能对接口下的参数进行配置。
4. 多次使用allocate interface命令可以给同一MDC分配多个接口。
5. 由于硬件限制，某些接口板上的接口是按组划分的，每个组里包含几个接口。此时，请一次性将这组接口分配给某一MDC，而不能只分配这组接口中的部分接口。
6. 物理接口只能从缺省MDC分配到非缺省MDC。当某接口属于MDC A，要分配到MDC B时，需要先使用undo allocate interface命令，将该接口归还给缺省MDC，再使用allocate interface命令分配给MDC B。
7. 将物理接口分配给MDC或者从MDC中删除时，该接口下的所有配置都会恢复到缺省情况。
8. 改变IRF物理端口的配置后，需要执行save命令保存当前配置文件，否则，设备重启后，IRF成员设备中，会引起Master和Standby设备对IRF物理端口的配置信息不一致，此时必须通过执行undo allocate interface命令和undo port group interface命令恢复初始情况后再重新配置。

（4）设置MDC的CPU权重：

如果将一块单板的使用权分配给了多个MDC，那么这些MDC共享该单板的CPU资源。为了防止一个MDC过多的占用该单板的CPU，而导致其他MDC无法运行，需要限制MDC对该CPU的使用。

（5）分配磁盘空间：

• MDC创建后，这些MDC将共享设备的磁盘（如Flash、CF等）。为了防止一个MDC过多的占用磁盘，而导致其他MDC无法保存配置文件、系统日志等，需要限制MDC对磁盘的使用。
• 执行limit-resource disk命令前，请使用display mdc resource命令可查看MDC当前实际已经使用的磁盘空间大小。

（6）分配内存空间：

• MDC创建后，这些MDC将共享设备的内存空间。为了防止一个MDC过多的占用内存，而导致其他MDC无法正常运行业务，需要限制MDC对内存的使用。
• 执行limit-resource memory命令前，请使用display mdc resource命令查看设备当前的内存分配。

（7）MDC启动：

（8）登录MDC：

• 通过以上方式登录MDC后，可以给MDC的管理以太网接口配置IP地址，或者在MDC上创建VLAN接口并配置IP地址，并确保访问终端和MDC之间路由可达。这样，访问终端就可以直接使用Telnet或SSH等方式登录MDC了。
• 用户登录MDC后，可以在MDC的用户视图执行switchback或quit命令来退出登录。此时，命令视图将从当前MDC的用户视图返回到缺省MDC的系统视图。

（9）查看：