一.概念:
1、MDC(Multitenant Device Context,多租户设备环境):将物理网络设备通过虚拟化技术划分成多台虚拟网络设备的技术。
2、优点:
(1)复用:同一物理设备上创建的所有MDC共用物理设备的物理接口、CPU、内存、磁盘资源,管理员可以根据需要为MDC分配资源,或者将一个MDC的资源收回分配给其它MDC,使这些资源能得到最大利用。
(2)隔离:每台MDC拥有自己专属的软硬件资源,独立运行、独立转发、独立提供业务。创建、启动、重启、删除一台MDC,不会影响其它MDC的运行。
(3)易管理:多台MDC集成在一台物理设备上,配置界面统一,可由一人维护,也可为每个MDC分派管理员,免去维护多台物理设备的烦恼,还可以节省机房空间。
二.MDC技术实现:
1.MDC创建:
(1)缺省MDC:
设备支持MDC功能后,整台物理设备就是一个MDC,称为缺省MDC。当用户登录物理设备时,实际登录的就是缺省MDC。用户在物理设备上的配置实质就是对缺省MDC的配置。缺省MDC的名称为Admin,编号为1。缺省MDC不需要创建,不能删除。缺省MDC拥有对整台物理设备的所有权限,它可以使用和管理设备所有的硬件资源。缺省MDC下可以创建/删除非缺省MDC。
(2)非缺省MDC:
与缺省MDC相对应的是非缺省MDC,非缺省MDC下不可再创建/删除非缺省MDC。
创建完成的非缺省MDC状态为inactive,此状态下的MDC并没有启动。MDC的创建相当于组建了一台具有硬件基础的虚拟设备。
(3)资源分配:
① 缺省情况下,设备上所有资源均属于缺省MDC。非缺省MDC仅具有主控板的使用权限,不具有物理接口和业务板的使用权限。必须为非缺省MDC分配物理接口和业务板,否则非缺省MDC上将没有物理接口,不能转发业务报文。
② 可以根据需要在各MDC间进行业务板、接口、CPU、磁盘和内存空间的合理、灵活分配。
- 业务板资源:一块业务板可以分配给多个MDC使用,这些MDC共享该业务板上的资源。
- 接口资源:接口作为最关键的物理设备资源,可以在缺省MDC和非缺省MDC间分配。建议在MDC启动前将接口资源配置好,以减少资源分配带来的系统震荡。同时,为了能将新插入的业务板分配给非缺省MDC,设备也支持在MDC运行状态下将接口分配给MDC。
- CPU资源:所有的MDC共享设备的CPU资源。CPU资源具有可抢占性。如果某个MDC分配了较少的CPU资源,当有突发的任务需要CPU处理,而其他MDC任务较少时,该MDC可抢占使用空闲的CPU;当其他MDC同时也有大量任务需要CPU处理时,将按配置的比率在各MDC间进行CPU调度。以免某个MDC过多的占用CPU,而导致其他MDC无法运行。
- 内存资源:所有的MDC共享设备的内存空间。为了防止一个MDC过多的占用内存,而导致其他MDC无法正常运行业务,可以限制MDC对内存的使用。
- 磁盘资源:创建MDC后,会在磁盘介质中创建对应的MDC目录,存放该MDC的配置文件、日志文件等掉电不丢失的数据。所有的MDC共享设备的磁盘空间。为了防止一个MDC过多的占用磁盘空间,而导致其他MDC无法保存配置文件、系统日志等,可以限制MDC对磁盘空间的使用。
(4)MDC启动:
MDC的启动相当于将已经组成的虚拟设备上电启动,MDC启动过程类似物理设备的启动。在MDC启动过程中,MDC操作系统(MDC-OS)环境开始建立,MDC内的进程开始初始化,并完成MDC的配置恢复。启动完成的MDC状态为active,此状态下的MDC可以提供服务,可登录该MDC配置该MDC的运行参数。
三.MDC二层转发运行机制:
1、MDC对于二层转发的三要素(二层端口、二层转发表、VLAN)都进行了虚拟化,每个MDC都有独立的二层端口、独立的二层转发表和独立的VLAN。
2、每个MDC可以创建相同编号的VLAN。如图5(下图)所示:
- MDC1拥有独享的二层端口P1、P3、P5、P6;MDC2拥有独享的二层端口P2、P4。
- MDC1和MDC2中都可以创建VLAN2。
- PC1的MAC地址为MACA;PC2的MAC地址为MACB。
3、二层协议如MSTP、LACP等都支持虚拟化,每个MDC作为独立设备分配不同的桥MAC参与MSTP计算。如需将不同MDC中的接口聚合,需要配置跨设备聚合功能。
四.三层转发运行机制:
1、MDC相对VPN,做了更彻底地操作系统级别的隔离,安全性和操作维护的方便性都有更进一步的提高。各MDC独享VPN资源,
- 不同的MDC内可以有相同编号的VPN实例。
- 不同VPN内可以有相同的私网IP。
- 每个MDC的每个VPN中都各自管理本VPN的三层转发表项(FIB)。
五.管理缺省MDC:
1.登录(方式):
(1)内联接口:
- 缺省MDC和非缺省MDC之间存在内联接口,其效果相当于Console口。用户可以从缺省MDC通过内联接口可登录非缺省MDC。
- 用户第一次登录MDC时,必须使用内联接口登录非缺省MDC。
(2)虚拟以太网接口:
MDC技术实现了对以太网管理接口的虚拟化。用户创建MDC时,系统会为每个非缺省MDC创建虚拟以太网管理接口,这些虚拟以太网管理接口共用物理以太网管理接口的通道资源。每个虚拟以太网管理接口都有独立的MAC。用户通过内联接口登录非缺省MDC后,可以为每个MDC的管理以太网接口配置不同的IP地址。用户通过和不同的IP地址建立连接来对各MDC进行管理。
(3)物理接口:
用户通过内联接口登录非缺省MDC,在MDC上创建VLAN接口并配置IP地址,将VLAN接口和物理接口绑定,或者直接给三层以太网接口配置IP地址,完成路由配置后,可以通过非缺省MDC的物理接口使用Telnet或SSH等方式登录非缺省MDC。
2.配置方式、配置文件、日志输出:
- 每个MDC都支持命令行、Web、SNMP、Netconf等配置方式。
- 每个MDC有独立的配置文件,能独立保存本MDC的配置和进行配置恢复。
- 每个MDC在运行过程中,各自独立生成、输出Syslog。
3.用户管理:
Comware基于用户角色对用户进行权限管理。为用户赋予用户角色后,该用户登录设备后可执行指定范围内的操作:
- 物理设备级
- network-admin:可操作系统所有功能和资源,有创建、删除MDC等权限。
- network-operator:可执行系统所有功能和资源的相关显示命令;可执行切换MDC命令,登录到MDC后可以执行MDC内的资源相关的显示命令。
- MDC级
- mdc-admin:可操作该MDC所有功能和资源,不能创建、删除MDC,不能切换MDC。
- mdc-operator:可执行该MDC所有功能和资源的相关显示命令。
六.IRF中MDC技术:
1.示意图:
2.IRF+MDC优点:
- 最大限度的整合设备资源,将多台设备按照组网需要虚拟成多台虚拟设备使用,提高设备的使用效率。
- 同时获得两种技术的优点。例如使得每个MDC同时获得IRF的主备主控板保护,相对于使用单个设备组网,提高了可用性。
- 提高系统的扩展性和使用的灵活性。在已经使用MDC的设备上,通过叠加IRF技术,可以在不改变网络部署的情况下扩展设备的端口数、带宽及处理能力。而在已经使用IRF技术的场合,直接在IRF的基础上使用MDC功能,部署新的网络,对现有网络不会产生任何影响
3.MDC跨设备部署时:
- 缺省MDC中的IRF链路用于转发IRF的控制协议报文以及所有MDC的跨框流量。
- 非缺省MDC中的IRF链路,仅转发本MDC的跨框流量。
七.配置:
1.配置任务全集:
2.详细配置:
(1)MDC创建:
(2)分配接口板:
新创建的MDC只有主控板,只有使用主控板上物理资源的权限。如果要给MDC分配接口,必须先给MDC分配接口板,让MDC具有使用该接口板上接口、内存空间和CPU资源的权限。
(3)分配物理接口:
为MDC分配物理接口有以下注意事项:
- 物理设备的Console口和AUX口被缺省MDC独享,不能分配给非缺省MDC。
- 物理设备的管理以太网口不能分配。
- 一个物理接口只能属于一台MDC。物理接口分配给MDC后,需要登录该MDC后,才能对接口下的参数进行配置。
- 多次使用allocate interface命令可以给同一MDC分配多个接口。
- 由于硬件限制,某些接口板上的接口是按组划分的,每个组里包含几个接口。此时,请一次性将这组接口分配给某一MDC,而不能只分配这组接口中的部分接口。
- 物理接口只能从缺省MDC分配到非缺省MDC。当某接口属于MDC A,要分配到MDC B时,需要先使用undo allocate interface命令,将该接口归还给缺省MDC,再使用allocate interface命令分配给MDC B。
- 将物理接口分配给MDC或者从MDC中删除时,该接口下的所有配置都会恢复到缺省情况。
- 改变IRF物理端口的配置后,需要执行save命令保存当前配置文件,否则,设备重启后,IRF成员设备中,会引起Master和Standby设备对IRF物理端口的配置信息不一致,此时必须通过执行undo allocate interface命令和undo port group interface命令恢复初始情况后再重新配置。
(4)设置MDC的CPU权重:
如果将一块单板的使用权分配给了多个MDC,那么这些MDC共享该单板的CPU资源。为了防止一个MDC过多的占用该单板的CPU,而导致其他MDC无法运行,需要限制MDC对该CPU的使用。
(5)分配磁盘空间:
- MDC创建后,这些MDC将共享设备的磁盘(如Flash、CF等)。为了防止一个MDC过多的占用磁盘,而导致其他MDC无法保存配置文件、系统日志等,需要限制MDC对磁盘的使用。
- 执行limit-resource disk命令前,请使用display mdc resource命令可查看MDC当前实际已经使用的磁盘空间大小。
(6)分配内存空间:
- MDC创建后,这些MDC将共享设备的内存空间。为了防止一个MDC过多的占用内存,而导致其他MDC无法正常运行业务,需要限制MDC对内存的使用。
- 执行limit-resource memory命令前,请使用display mdc resource命令查看设备当前的内存分配。
(7)MDC启动:
(8)登录MDC:
- 通过以上方式登录MDC后,可以给MDC的管理以太网接口配置IP地址,或者在MDC上创建VLAN接口并配置IP地址,并确保访问终端和MDC之间路由可达。这样,访问终端就可以直接使用Telnet或SSH等方式登录MDC了。
- 用户登录MDC后,可以在MDC的用户视图执行switchback或quit命令来退出登录。此时,命令视图将从当前MDC的用户视图返回到缺省MDC的系统视图。
(9)查看: