- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
23-Stack-Cluster操作
本章节下载 (492.51 KB)
目 录
S5100-SI/EI系列交换机可以使用千兆SFP堆叠模块建立堆叠,具有10GE插槽的款型还可以通过万兆堆叠接口模块来建立堆叠。
Stack也叫作堆叠。堆叠是由一些通过堆叠口相连的以太网交换机组成的一个管理域,其中包括一个主交换机和若干个从交换机。
堆叠在一起的以太网交换机可以看作为一个设备,用户可以通过主交换机实现对堆叠内所有交换机的管理。
当多个以太网交换机通过堆叠口相连时,用户可以在其中一台交换机上进行配置,把它们设置成堆叠,并把当前进行配置的以太网交换机设置为堆叠中的主交换机。
用户可以在主交换机上进行以下操作:
l 设置堆叠可选的IP地址范围
l 建立堆叠
l 切换到从交换机视图
需要注意的是,在建立堆叠前,用户需要在主交换机上设置堆叠使用的IP地址范围。在从交换机加入堆叠时,主交换机自动给从交换机分配该IP地址范围内的IP地址。
用户通过配置建立堆叠后,主交换机会自动将与它的堆叠口相连的交换机加入到堆叠中。如果堆叠口连接断开,则从交换机自动退出堆叠。
从交换机即在堆叠中除了主交换机以外的交换机。
堆叠建立后,用户可以在主交换机上对从交换机进行配置。
堆叠的建立过程如下:
l 主交换机和从交换机之间通过堆叠模块及特殊的堆叠线连接起来(关于堆叠模块及堆叠线的描述请参见安装手册)。
l 用户设置堆叠使用的IP地址范围,并启用堆叠功能。主交换机将会自动将与它的堆叠口相连的交换机加入到堆叠中。
l 在从交换机加入堆叠时,主交换机自动给从交换机分配可用的IP地址。
l 在建立了堆叠后,如果有新的交换机和主交换机通过堆叠口相连,主交换机将自动把新的交换机加入到堆叠中。
堆叠主交换机配置包括:
表1-1 配置堆叠IP地址池并建立堆叠
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
设置堆叠IP地址范围 |
stacking ip-pool from-ip-address ip-address-number [ ip-mask ] |
必选 from-ip-address:堆叠IP地址池起始地址。 ip-address-number:堆叠IP地址池中的IP个数。 ip-mask:堆叠IP地址的地址掩码。缺省为16位的地址掩码。 缺省情况下,系统没有默认的IP地址池。 |
|
建立堆叠 |
stacking enable |
必选 |
取消堆叠操作时,需要将原有的三层接口的IP地址配置取消。否则会出现IP地址冲突的现象。
主交换机上堆叠的配置有如下要求:
l 用户通过配置建立堆叠后,主交换机会自动将与它的堆叠口相连的交换机加入到堆叠中。
l 如果堆叠口连接断开,则从交换机自动退出堆叠。
l 如果堆叠已经建立,则用户不能修改IP地址范围。
l 堆叠IP地址池中的IP个数应大于或等于堆叠中交换机的个数,否则会因为地址不足,使部分交换机无法自动加入堆叠。
l 堆叠使用的地址必须满足可以连续分配的要求。如果地址池中第一个地址是类似于223.255.255.254的地址,则不能满足连续分配的条件,就会出现错误。
l 堆叠不能跨网段分配IP地址,例如如果地址池中第一个地址为1.1.255.254,就不符合要求堆叠的要求。
l 在为堆叠设备设置IP地址池时,如主交换机(或从交换机)原配置的管理VLAN接口的IP地址与堆叠设置的IP地址池不在同一网段。主交换机(或从交换机)都会删掉原有的管理VLAN的IP地址,自动配置一个属于IP地址池所设的网段内的IP地址。
l 由于堆叠和集群都需要使用管理VLAN,而S5100-SI交换机只能配置1个VLAN虚接口,因此如果用户需要在集群范围内进行5100-SI交换机的堆叠配置,堆叠与集群的管理VLAN必须是同一个VLAN。
堆叠建立后,用户可以在主交换机上通过命令切换到从交换机视图,对从交换机进行配置。
表1-2 切换到从交换机视图
|
操作 |
命令 |
说明 |
|
切换到从交换机视图进行配置(在用户视图下执行本命令) |
stacking number |
必选 number:要退出的从交换机的编号。 用户可以在主交换机的用户视图直接退出到从交换机的用户视图,退出时用户级别不变 |
对从交换机配置完毕后,用户可以退出从交换机视图。
表1-3 退出从交换机视图
|
操作 |
命令 |
说明 |
|
退出从交换机视图(在从交换机用户视图下执行本命令) |
quit |
只有在从交换机视图的用户视图退出时才能退出从交换机视图 |
从交换机通过堆叠口和主交换机正确连接即可。
通过display命令对集群配置进行显示,display命令可以在任意视图下执行。
表1-4 堆叠配置显示和维护
|
配置 |
命令 |
说明 |
|
在主交换机上显示堆叠状态信息 |
display stacking [ members ] |
可选 display命令可以在任意视图执行 如果命令不带members,将显示本交换机是堆叠的主交换机以及堆叠中包含的交换机数目 如带members,将显示堆叠的成员信息,包括主/从交换机的堆叠号、堆叠的设备名称、MAC地址以及状态等 |
|
在从交换机上显示堆叠状态信息 |
display stacking |
可选 display命令可以在任意视图执行 显示本交换机是堆叠的从交换机、本交换机的堆叠号、堆叠中主交换机的MAC地址 |
Switch A与Switch B、Switch C通过堆叠口相连,组成一个堆叠。
Switch A作为主交换机,Switch B、Switch C作为从交换机,网络管理员通过Switch A实现对Switch B、Switch C的管理。
# 在Switch A上配置堆叠IP地址池。
<Sysname> system-view
[Sysname] stacking ip-pool 129.10.1.15 3
# 在Switch A上建立堆叠。
[Sysname] stacking enable
[stack_0.Sysname] quit
<stack_0.Sysname>
# 在主交换机Switch A上显示堆叠信息。
<stack_0.Sysname> display stacking
Main device for stack.
Total members:3
Management-vlan:1(default vlan)
# 在主交换机Switch A上显示堆叠成员信息。
<stack_0.Sysname> display stacking members
Member number: 0
Name:stack_0.Sysname
Device: S5100EI
MAC Address:000f-e20f-c43a
Member status:Admin
IP: 129.10.1.15 /16
Member number: 1
Name:stack_1.Sysname
Device: S5100EI
MAC Address: 000f-e20f-3130
Member status:Up
IP: 129.10.1.16/16
Member number: 2
Name:stack_2.Sysname
Device: S5100EI
MAC Address: 000f-e20f-3135
Member status:Up
IP: 129.10.1.17/16
# 切换到从交换机Switch B上进行配置。
<stack_0.Sysname> stacking 1
<stack_1.Sysname>
# 在从交换机Switch B上显示堆叠信息。
<stack_1.Sysname> display stacking
Slave device for stack.
Member number:1
Management-vlan:1(default vlan)
Main device mac address: 000f-e20f-c43a
# 切换回主交换机Switch A上进行配置。
<stack_1.Sysname> quit
<stack_0.Sysname>
# 切换到从交换机Switch C上进行配置。
<stack_0.Sysname> stacking 2
<stack_2.Sysname>
# 切换回主交换机Switch A上进行配置。
<stack_2.Sysname> quit
<stack_0.Sysname>
集群(Cluster)指的是一组交换机的集合,集群管理的主要目的是解决大量分散的交换机的集中管理问题。
集群功能通过HGMP协议(Huawei Group Management Protocol,华为组管理协议)实现,现在HGMP协议使用的版本为Version 2。
在集群内,交换机被划分为三种设备:
l 管理设备
l 成员设备
l 候选设备
用户只需要通过在管理设备配置一个公网IP地址,就可以实现对多个分散的交换机进行管理。开启了集群管理功能以后,用户除了减少对分散的交换机重复配置工作以外,还可以实现对分散的交换机进行远程管理,大大减少了组网配置的工作量。
成员设备一般不设置公网IP地址,用户通过管理设备实现对成员设备的管理和维护。管理设备和成员设备组成了一个“集群”。典型的应用环境如图2-1所示:
图2-1 集群示意图
HGMP V2的优点如下:
l 简化配置管理任务:只需要在管理设备上配置一个公网IP地址,就可实现对多个交换机的配置和管理,不需要登录到每个成员设备上进行配置。
l 提供拓扑发现和显示功能,有助于监视和维护网络。
l 可以同时对多个交换机进行软件升级和参数配置。
l 不受网络拓扑结构和物理距离的限制。
l 节省IP地址。
根据集群中各交换机所处的地位和功能的不同,形成了不同的角色,用户可以通过配置来指定交换机的角色,各种角色可以按一定的规则进行切换。
集群中的角色有管理设备、成员设备以及候选设备。
表2-1 集群内的设备
|
角色 |
配置 |
作用 |
|
管理设备 |
配置有公网IP地址 |
l 为集群内所有的交换机提供管理接口 l 管理设备通过命令重定向来对成员设备进行管理,即管理设备如果发现此命令是送往某个成员设备上执行的命令,则将此命令转发到成员设备上处理 l 管理设备具有发现邻接信息、收集整个网络的拓扑结构、管理集群、维护集群状态、支持FTP Server,SNMP Host代理等功能 l 用户通过公网将管理命令发送到管理设备上,由管理设备处理 |
|
成员设备 |
一般不配置公网IP地址 |
l 集群中的成员 l 成员设备具有发现邻接信息、接受管理设备的管理、执行代理发过来的命令、上报故障/日志等功能 |
|
候选设备 |
一般不配置公网IP地址 |
没有加入任何集群中但具有集群能力、能够成为集群成员的交换机 |
角色转换规则如下:
图2-2 角色切换规则
l 用户在候选设备上创建集群的同时,将当前候选设备指定为集群管理设备。每个集群必须指定一个(而且只能指定一个)管理设备。在管理设备被指定后,管理设备通过收集相关信息,发现和确定候选设备。用户可以通过相应的配置把候选设备加入到集群中。
l 候选设备加入集群后,成为成员设备。
l 集群内的成员设备被删除后将恢复为候选设备。
l 管理设备只有在删除集群时才能恢复为候选设备。
在集群建立以后,S5100-SI/EI系列交换机会根据用户设定的定时拓扑时间自动收集网络的拓扑信息,并将发现的候选交换机自动加入集群。因此如果定时拓扑收集时间设定的太短(缺省情况下为1分钟),则交换机作为集群候选交换机存在的时间就会很短。如果用户不需要候选交换机自动加入集群,可以将定时拓扑时间通过ntdp timer命令设定为0,即不进行定时拓扑收集。
HGMP V2由以下三个协议组成:
l NDP(Neighbor Discovery Protocol,邻居发现协议)
l NTDP(Neighbor Topology Discovery Protocol,邻居拓扑发现协议)
l Cluster(集群管理协议)
集群通过以上三个协议,对集群内部的设备进行配置和管理。
集群的工作过程包括拓扑收集以及集群的建立和维护,拓扑收集过程和集群建立和维护过程相对独立,拓扑收集过程在集群建立之前就开始启动,工作原理如下所述:
l 所有设备通过NDP来获取邻居设备的信息,包括邻居设备的软件版本、主机名、MAC地址和端口名称等信息。
l 管理设备通过NTDP来收集指定跳数范围内的设备信息以及各个设备的连接信息,并从收集到的拓扑信息中确定集群的候选设备。
l 管理设备根据NTDP收集到的候选设备信息完成候选设备加入集群、成员设备离开集群操作。
NDP(Neighbor Discovery Protocol,邻居发现协议)是用来发现邻接设备点相关信息的协议。NDP运行在数据链路层,因此可以支持不同的网络层协议。
NDP用于发现直接相连的邻居信息,包括邻接设备的设备类型、软/硬件版本、连接端口等。另外NDP发现的直连邻居信息还可提供设备的ID、端口的全/半双工状态、产品版本、Bootrom版本等信息。
l 支持NDP的设备都维护NDP邻居信息表,邻居信息表中的每一表项都会自动老化。一旦超过老化时间,NDP自动删除相应的邻居表项。同时,用户可以清除当前的NDP信息以重新收集邻接信息。
l 运行NDP的设备定时向所有激活的端口广播带有NDP数据的报文,报文中携带有效保留时间字段,该字段指示接收设备必须保存该NDP数据的时间。接收NDP报文的设备保存报文中的信息,但不转发NDP报文。收到的信息如果与旧的信息不同,则更新NDP表中的相应数据项。如果相同,则只更新有效保留时间。
NTDP(Neighbor Topology Discovery Protocol,邻居拓扑发现协议)是用来收集网络拓扑信息的协议。NTDP为集群管理设备提供可加入集群的设备信息,收集指定跳数内的交换机的拓扑信息。
NDP为NTDP提供邻接表信息,NTDP根据邻接信息发送和转发NTDP拓扑收集请求,收集一定网络范围内每个设备的NDP信息和它与所有邻居的连接信息。收集完这些信息后,管理设备或者网管可以根据需要使用这些信息,完成所需的功能。
当成员设备上的NDP发现邻居有变化时,通过握手报文将邻居改变的消息通知管理设备,管理设备可以启动NTDP进行指定拓扑收集,从而使NTDP能够及时反映网络拓扑的变化。
管理设备可以定时在网络内进行拓扑收集,用户也可以通过手工配置命令启动一次拓扑收集。管理设备收集拓扑信息过程如下:
l 管理设备从使能NTDP功能的端口定时发送NTDP拓扑收集请求报文。
l 收到请求报文的设备立即发送拓扑响应报文至管理设备,并在已使能NTDP功能的端口复制此请求报文并发送到邻接设备;拓扑响应报文包含本设备的基本信息和所有邻接设备的NDP信息。
l 邻接设备收到请求报文后将执行同样操作,直至拓扑收集请求报文扩散到指定跳数范围内的所有设备。
当拓扑收集请求报文在网络内扩散时,大量网络设备同时收到拓扑收集请求并同时发送拓扑响应报文,为了避免网络拥塞和管理设备任务繁忙,可采取以下措施控制拓扑收集请求报文扩散速度:
l 设备收到拓扑收集请求后不是立即转发该拓扑收集请求报文,而是延迟等待一定时间,才开始在使能NTDP功能的端口转发该拓扑收集请求报文。
l 在同一个设备上,除第一个端口外,每个使能NTDP功能的端口在前一个端口发送拓扑收集请求报文后都会延迟一定时间再进行拓扑收集请求报文的转发。
l 管理设备上需要启动系统和端口上的NTDP,并且配置NTDP的参数。
l 成员设备和候选设备上只需要启动系统和相应端口上的NTDP。
l 在协议运行过程中,成员设备和候选设备采用管理设备发送过来的NTDP参数值。
每个集群必须指定一个(而且只能指定一个)管理设备。由于一个集群只能有一个管理设备,因此在建立集群时:
l 需要确定一个管理设备。外部网络对集群内部各成员的访问、配置、管理、监控等都需要经过管理设备,管理设备是访问集群成员的出入口。
l 管理设备识别并控制集群中的所有成员设备,不管这些成员设备分布在网络的什么地方,也不管他们是如何相连的。
l 在集群建立过程中,为了给用户提供可供参考的候选设备信息以及网络拓扑结构信息,管理设备将负责收集所有成员设备和候选设备的拓扑信息。
l 管理设备通过收集NDP/NTDP信息,了解网络的拓扑结构,从而进行设备的管理与监控。
在各项配置任务中,必须先启动集群功能,才能配置其它任务。
管理设备上需要启动集群功能,并且配置集群的参数。而成员设备和候选设备上只需要启动集群功能,从而接受管理设备的管理。
(1) 候选设备加入集群
用户在建立集群前应首先指定管理设备,管理设备通过NDP和NTDP协议发现和确定候选设备,将候选设备自动加入集群,也可以通过手工配置将候选设备加入到集群中。
候选设备成功加入集群后,将获得管理设备为它分配的集群成员序列号、集群管理使用的私有IP地址等。
(2) 集群内部通讯
在集群内部,管理设备与成员设备通过握手报文进行实时通信,以维护他们之间的连接状态,管理设备和成员设备的连接状态如图2-3所示。
图2-3 集群管理/成员设备状态转换
l 集群建立成功,候选设备加入集群成为成员设备后,管理设备将成员设备的状态信息保存到本地,并将成员状态标识为Active,成员设备也将自身的状态信息保存到本地,并将自身状态标识为Active。
l 管理设备和成员设备互相定时发送握手报文。管理设备收到成员设备的握手报文后,不做应答,将成员设备保持为Active状态;成员设备亦不作应答,将自身状态保持为Active。
l 若管理设备向成员设备发送握手报文后在三倍握手报文发送时间间隔内没有收到成员设备发送的握手报文,则将保存在本地的成员设备的状态由Active迁移为Connect;同样的,若成员设备向管理设备发送握手报文后三倍握手报文发送时间间隔内没有收到管理设备发送的握手报文,其自身状态也将从Active迁移为Connect。
l 若管理设备收到了处于Connect状态的成员设备在有效保留时间内发送的握手报文或管理报文,则将成员设备的状态迁移回Active,否则将其迁移为Disconnect,此时管理设备会认为该成员断开;处于Connect状态的成员设备若在有效保留时间内收到了管理设备发送的握手报文或管理报文,则将自身状态迁移至Active,否则将迁移为Disconnect。
l 当管理设备和成员设备被中断的通信恢复时,处于Disconnect状态的成员设备将重新加入集群,加入成功后,成员设备在管理设备以及本地的状态都将恢复为Active。
如果发现拓扑改变,成员设备也通过握手报文向管理设备传递变化信息。
此外,用户还可以在管理设备上为整个集群配置公用的FTP服务器,TFTP服务器,日志主机和网管主机。集群的成员设备在与外部服务器进行通信时先把数据传送到管理设备上,然后再由管理设备传送到外部的服务器。在未配置集群公用FTP服务器的情况下,集群管理设备就是缺省的集群公用FTP服务器。
管理VLAN限制了集群管理的范围,通过配置管理VLAN,可实现如下功能:
l 集群的管理报文(包括NDP、NTDP报文以及握手报文)都将限制在管理VLAN内,与其它报文隔离,增加了安全性。
l 管理设备和成员设备通过管理VLAN实现内部通讯。
集群管理要求管理设备与成员/候选设备相连的端口允许管理VLAN通过,因此:
l 如果端口不允许管理VLAN通过,则该端口所连接的设备不能加入集群,因此当候选设备与管理设备相连的端口不允许管理VLAN通过时,可通过管理VLAN自协商修改候选设备的端口允许管理VLAN通过。
l 只有当管理设备与成员/候选设备相连接的端口的缺省VLAN ID都是管理VLAN时,才允许配置管理VLAN的报文不带标签通过,否则管理VLAN的报文都必须带标签通过。
l 缺省的网络管理接口为管理VLAN接口。
l 网管接口只能够有一个,且重新配置后自动覆盖原配置。
在实际应用中,用户有时候需要实现以下功能:
l 集群中是否存在环路。
l 定位网络攻击从集群中哪台设备的哪个端口发出。
l 需要确认某一MAC地址对应的集群设备及其端口。
l 对集群内的故障设备进行定位,确认链路中哪台设备发生故障。
l 确认集群中的某条链路是否和规划一致,途经的设备是否和原规划一致。
这时候用户可以使用tracemac命令,通过指定目的MAC地址,或者指定目的IP地址的方式追踪集群内设备。
具体的实现过程如下:
(1) 确定通过目的MAC地址/目的IP地址跟踪集群内指定设备
l 如果用户输入tracemac命令时将追踪集群内指定目的MAC地址设备,交换机会先根据命令参数中的MAC地址和VLAN号,查找本机的MAC地址表,找出与下级交换机相连的端口。
l 如果用户输入tracemac命令时将追踪集群内指定目的IP地址设备,交换机会根据IP地址查找本机对应的ARP表,找出对应此IP地址的MAC地址和VLAN号,找出与下级交换机相连的端口。
(2) 当交换机找到与下级交换机相连的端口后,交换机会向此端口发送一个带有VLAN号的,并有跳数限制的组播报文。下级交换机收到此报文以后,将自身的MAC地址与报文携带的指定目的MAC地址进行比较:
l 当下级交换机的MAC地址与目的MAC地址相同时,则该交换机向发出tracemac命令的交换机返回响应报文,tracemac命令执行成功
l 当下级交换机的MAC地址与目的MAC地址不相同时,则该交换机重新根据MAC地址和VLAN号,查找再下一级交换机的端口,并将报文向下转发。如果在指定跳数内,找到了与目的MAC地址相同的交换机,则向发出tracemac命令的交换机返回响应报文,tracemac命令执行成功;如果在指定跳数内,没有找到指定目的MAC地址(或指定目的IP地址)的设备,则不再向下层设备转发组播报文。
l 如果查找的IP地址有对应的ARP表项,但ARP表内没有该IP对应的MAC地址,则追踪设备失败。
l 当使用tracemac命令追踪指定设备时,需保证途经的所有设备都支持tracemac功能。
l 当在管理VLAN内使用tracemac命令追踪设备时,需保证途经的所有设备都必须和待追踪设备在同一个管理VLAN内。
用户配置集群前,需要明确集群内各个设备的角色以及功能,另外还要配置相关的功能,做好与集群内部设备进行通信的规划工作。
集群配置包括以下表格内的步骤:
表2-2 集群配置
|
配置任务 |
说明 |
详细配置 |
|
配置管理设备 |
必选 |
|
|
配置成员设备 |
必选 |
|
|
集群内的操作 |
可选 |
|
|
集群增强特性配置 |
可选 |
|
|
集群配置同步功能 |
可选 |
|
配置任务 |
说明 |
详细配置 |
|
启动系统和端口NDP |
必选 |
|
|
NDP相关参数 |
可选 |
|
|
启动系统和端口NTDP |
必选 |
|
|
NTDP相关参数 |
可选 |
|
|
启动集群功能 |
必选 |
|
|
集群参数 |
必选 |
|
|
集群内外交互 |
可选 |
|
|
集群管理网管接口 |
可选 |
S5100-SI/EI以太网交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:
l 在实现集群功能时,才打开集群使用的UDP 40000端口。
l 在关闭集群功能时,同时关闭UDP 40000端口。
在管理交换机上的具体实现是:
l 执行build命令或auto-build命令创建集群的同时,即可打开UDP 40000端口。
l 应用undo build命令,或者使用undo cluster enable命令删除集群的同时,即可关闭UDP 40000端口。
|
命令 |
说明 |
|||
|
进入系统视图 |
system-view |
- |
||
|
系统启动NDP |
ndp enable |
必选 缺省情况下,系统NDP处于启动状态 |
||
|
在指定的以太网端口上启动NDP |
系统视图下 |
ndp enable interface port-list |
二者必选其一 缺省情况下,端口NDP处于启动状态 |
|
|
以太网端口视图下 |
进入以太网端口视图 |
interface interface-type interface-number |
||
|
端口启动NDP |
ndp enable |
|||
表2-5 NDP参数配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置NDP信息的老化时间 |
ndp timer aging aging-in-seconds |
可选 缺省情况下,NDP信息的老化时间为180秒 |
|
配置NDP报文发送的时间间隔 |
ndp timer hello seconds |
可选 缺省情况下,NDP报文发送时间间隔为60秒 |
|
命令 |
说明 |
|
|
进入系统视图 |
system-view |
- |
|
系统启动NTDP |
ntdp enable |
必选 缺省情况下,系统NTDP处于开启状态 |
|
进入以太网端口视图 |
interface interface-type interface-number |
- |
|
端口启动NTDP |
ntdp enable |
必选 缺省情况下,端口NTDP处于开启状态 |
表2-7 NTDP参数配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
配置拓扑收集范围 |
ntdp hop hop-value |
可选 缺省情况下,拓扑收集的范围为3跳之内 |
|
配置当前设备转发拓扑收集请求的跳数延迟时间 |
ntdp timer hop-delay time |
可选 缺省情况下,设备延迟时间为200ms |
|
配置当前设备转发拓扑收集请求的端口延迟时间 |
ntdp timer port-delay time |
可选 缺省情况下,端口延迟时间为20ms |
|
配置定时拓扑收集的时间间隔 |
ntdp timer interval-in-minutes |
可选 缺省情况下,定时拓扑收集的时间间隔为1分钟 |
|
退出系统视图 |
quit |
- |
|
启动拓扑信息的收集过程 |
ntdp explore |
可选 用户可以手动启动拓扑信息收集 |
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
系统启动集群功能 |
cluster enable |
必选 缺省情况下,集群功能处于启动状态 |
用户可以通过以下两种方式建立集群,并配置相关参数,使用户可以通过管理设备对成员设备进行管理:
l 手动启动集群功能并配置集群参数
l 自动建立集群
(1) 手动启动集群功能并配置集群参数
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
指定管理VLAN |
management-vlan vlan-id |
必选 缺省情况下,VLAN 1为管理VLAN |
|
进入集群视图 |
cluster |
- |
|
配置集群IP地址范围 |
ip-pool administrator-ip-address { ip-mask | ip-mask-length } |
必选 |
|
建立集群 |
build name |
必选 name为集群的名称 |
|
配置集群组播MAC地址 |
cluster-mac H-H-H |
必选 缺省情况下,系统默认的组播MAC地址为0180-C200-000A |
|
配置管理设备发送组播报文的时间间隔 |
cluster-mac syn-interval time-interval |
可选 缺省情况下,管理设备发送组播报文的时间间隔是1分钟 |
|
配置成员交换机的有效保留时间 |
holdtime seconds |
可选 缺省情况下,有效保留时间为60秒 |
|
配置握手报文定时发送的时间间隔 |
timer interval |
可选 缺省情况下,握手报文定时发送的时间间隔是10秒 |
(2) 自动建立集群
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
- |
|
配置集群IP地址范围 |
ip-pool administrator-ip-address { ip-mask | ip-mask-length } |
必选 |
|
自动建立集群 |
auto-build [ recover ] |
可选 根据相应的提示建立集群 |
l 集群自动建立后,ACL 3998和ACL 3999表项会自动生成相关的配置。
l 当集群自动建立以后,ACL 3998和ACL 3999表项不允许进行任何配置或者更改,也不能被删除。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
必选 |
|
配置集群公用的FTP 服务器 |
ftp-server ip-address |
可选 缺省情况下,管理设备作为集群公用的FTP Server |
|
配置集群公用的TFTP 服务器 |
tftp-server ip-address |
可选 缺省情况下,集群没有公用的TFTP Server |
|
配置集群公用的日志主机 |
logging-host ip-address |
可选 缺省情况下,集群没有公用的日志主机 |
|
配置集群公用的网管主机 |
snmp-host ip-address |
可选 缺省情况下,集群没有公用的网管主机 |
在S5100-SI/EI系列交换机中,仅有S5100-EI系列交换机支持此配置。
l 集群交换机连接正确;
l 内部服务器与管理交换机连接正确。
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
必选 |
|
配置网管接口 |
nm-interface Vlan-interface vlan-id |
必选 缺省情况下,管理VLAN接口为网络管理接口 |
|
配置任务 |
说明 |
详细配置 |
|
启动系统和端口NDP |
必选 |
|
|
启动系统和端口NTDP |
必选 |
|
|
启动集群功能配置 |
必选 |
|
|
成员设备访问集群FTP/TFTP服务器的配置 |
必选 |
S5100-SI/EI以太网交换机为防止恶意用户对未使用SOCKET的攻击,提高交换机的安全性,提供了如下功能:
l 在实现集群功能时,才打开集群使用的UDP 40000端口。
l 在关闭集群功能时,同时关闭UDP 40000端口。
在成员交换机上的具体实现是:
l 由管理设备使用add-member命令将候选交换机加为成员的同时,打开该新加入集群的成员的UDP 40000端口。
l 由管理设备使用auto-build命令将候选交换机加为成员的同时,打开该新加入集群的成员的UDP 40000端口。
l 在当前交换机上执行administrator-address命令的同时即可打开UDP 40000端口。
l 由管理设备使用delete-member命令删除集群成员的同时,关闭该成员交换机的UDP 40000端口。
l 由管理设备使用undo build命令删除集群的同时,关闭所有集群成员交换机的UDP 40000端口。
l 在成员交换机上执行undo administrator-address命令的同时,即可关闭该成员交换机的UDP 40000端口。
|
操作 |
命令 |
说明 |
||
|
进入系统视图 |
system-view |
- |
||
|
系统启动NDP |
ndp enable |
必选 |
||
|
在指定的以太网端口上启动NDP |
系统视图下 |
ndp enable interface port-list |
必选 二者必选其一 |
|
|
以太网端口视图下 |
进入以太网端口视图 |
interface interface-type interface-number |
||
|
端口启动NDP |
ndp enable |
|||
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
系统启动NTDP |
ntdp enable |
必选 |
|
进入以太网端口 |
interface interface-type interface-number |
- |
|
端口启动NTDP |
ntdp enable |
必选 |
在成员设备的用户视图下执行如下操作。
表2-17 成员设备访问集群FTP/TFTP服务器的配置
|
操作 |
命令 |
说明 |
|
访问集群内部公用的FTP服务器 |
ftp cluster |
可选 |
|
从集群内部公用的TFTP 服务器下载文件 |
tftp cluster get source-file [ destination-file ] |
可选 |
|
上载文件到集群内部公用的TFTP 服务器 |
tftp cluster put source-file [ destination-file ] |
可选 |
除了配置集群管理设备和成员设备以外,用户还可以通过管理设备对集群内的成员设备进行相关配置,如增加集群成员、删除集群成员、重启成员设备、登录成员设备等。
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
- |
|
配置管理设备的MAC地址 |
administrator-address mac-address name name |
可选 |
|
集群成员的加入 |
add-member [ member-number ] mac-address H-H-H [ password password ] |
可选 |
|
集群成员的删除 |
delete-member member-number |
可选 |
|
重启成员设备 |
reboot member { member-number | mac-address H-H-H } [ eraseflash ] |
可选 |
|
退出到系统视图 |
quit |
- |
|
退出到用户视图 |
quit |
- |
|
成员访问 |
cluster switch-to { member-number | mac-address H-H-H | administrator } |
可选 用来在管理设备和成员设备视图之间互相切换 |
|
通过MAC地址或IP地址定位设备 |
tracemac { by-mac mac-address vlan vlan-id | by-ip ip-address } [ nondp ] |
可选 此命令可在任意视图下执行 |
集群拓扑稳定之后,用户可以通过在集群管理设备上执行拓扑管理命令,将当前集群的拓扑信息保存为标准拓扑,并备份标准拓扑到管理设备的FLASH中。当集群内的拓扑出现错误或混乱时,可以将集群内的拓扑关系恢复为标准拓扑,并将备份到FLASH中的拓扑恢复到管理设备上,使集群内设备恢复正常工作。
使用display cluster current-topology命令,交换机将以树状图形式反馈出当前集群的拓扑结构,输出形式包括:
l 显示指定结点上下各三层的树状结构
l 显示指定两结点之间的连接拓扑结构
拓扑信息将以topology.top文件的形式存放在管理设备的FLASH中,用户不能手工指定文件名称。
为保证集群的稳定性和安全性,用户可以使用黑名单的方式对加入集群的设备进行限制。将被限制设备的MAC地址添加到集群黑名单后,即使该设备已经启动集群功能,且正常连接到现有集群中,也无法加入集群、参与集群的统一管理和配置。
表2-19 集群增强特性配置任务简介
|
配置任务 |
说明 |
详细配置 |
|
集群拓扑管理功能配置 |
必选 |
|
|
集群设备黑名单配置 |
必选 |
(1) 配置准备
在配置集群拓扑管理功能前,请确认集群基本配置已经完成,集群内设备已经正常工作。
(2) 配置步骤
请在管理设备上执行下列操作。
表2-20 集群拓扑管理功能配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
- |
|
确认当前拓扑信息,并保存为标准拓扑 |
topology accept { all [ save-to local-flash ] | mac-address mac-address | member-id member-id | administrator } |
必选 |
|
将标准拓扑信息及黑名单信息保存到管理设备的FLASH中 |
topology save-to local-flash |
必选 |
|
将标准拓扑信息及黑名单信息从管理设备的FLASH中恢复 |
topology restore-from local-flash |
可选 |
|
显示单个设备的详细信息 |
display ntdp single-device mac-address mac-address |
可选 display命令可以在任意视图下执行 |
|
显示当前集群的拓扑信息 |
display cluster current-topology [ mac-address mac-address1 [ to-mac-address mac-address2 ] | member-id member-id1 [ to-member-id member-id2 ] ] |
|
|
显示集群的标准拓扑 |
display cluster base-topology [ mac-address mac-address | member member-id ] |
|
|
显示集群标准拓扑中所有设备的信息列表 |
display cluster base-members |
请在管理设备上执行下列操作。
表2-21 集群设备黑名单功能配置
|
操作 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
- |
|
将指定设备的MAC地址添加到集群黑名单中 |
black-list add-mac mac-address |
可选 缺省情况下,集群黑名单为空 |
|
将指定MAC地址从黑名单中释放 |
black-list delete-mac mac-address |
可选 |
|
将集群中现有设备从集群中删除,并添加到黑名单中 |
delete-member member-id [ to-black-list ] |
可选 |
|
显示当前集群黑名单中的设备信息 |
display cluster black-list |
可选 display命令可以在任意视图下执行 |
在集群形成后,用户可以通过以下的配置同步功能,将管理设备上的SNMP配置和本地用户配置同步到集群内的成员设备上,以方便对集群进行访问和管理。
通过SNMP配置同步功能,用户可以在管理设备上为集群配置统一的公用SNMP团体名、SNMP组、SNMP用户以及MIB视图,这些配置将自动同步到集群内的成员设备,简化了成员设备上的配置,并使NMS(Network Management Station,网络管理站)可以方便的访问集群内的任意设备。
有关SNMP的相关介绍,请参见本手册“SNMP-RMON”部分。
(1) 配置准备
l 管理设备和成员设备的NDP和NTDP已经配置完毕。
l 集群已经创建,用户可以通过管理设备对集群中的成员设备进行管理。
(2) 配置步骤
请在管理设备上执行下列操作:
表2-22 集群内设备的SNMP配置同步功能
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
- |
|
配置集群公用的SNMP团体名 |
cluster-snmp-agent community { read | write } community-name [ mib-view view-name ] |
必选 缺省情况下,没有配置集群公用的SNMP团体名 |
|
配置集群公用的SNMP V3组 |
cluster-snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] |
必选 缺省情况下,没有配置集群公用的SNMP V3组 |
|
配置集群公用的SNMPV3用户 |
cluster-snmp-agent usm-user v3 username groupname [ authentication-mode { md5 | sha } authpassstring [ privacy-mode { des56 privpassstring } ] ] |
必选 缺省情况下,没有配置集群公用的SNMP V3用户 |
|
创建或者更新集群公用的MIB视图 |
cluster-snmp-agent mib-view included view-name oid-tree |
必选 缺省情况下,没有配置集群公用的MIB视图 |
l 以上配置请在集群的管理设备上进行。
l 配置集群公用的SNMP信息相当于在管理设备和成员设备上执行了相应的SNMP配置(请参见“SNMP-RMON”手册),这些配置将保存到管理设备和成员设备的配置文件内。
l 集群公用的SNMP配置不能同步到已经被加入集群黑名单的设备上。
l 在成员设备退出集群后,以上同步的SNMP配置将继续保留,不会自动删除。
(3) 配置示例
# 在管理设备上配置集群(集群名为test)公用的SNMP信息,包括:读团体名read_a,写团体名write_a,组名group_a,MIB视图名mib_a,该视图包含org子树,SNMP v3用户user_a,所属组为group_a。
# 配置读团体名read_a。
[test_0.Sysname-cluster] cluster-snmp-agent community read read_a
Member 2 succeeded in the read-community configuration.
Member 1 succeeded in the read-community configuration.
Finish to synchronize the command.
# 配置写团体名write_a。
[test_0.Sysname-cluster] cluster-snmp-agent community write write_a
Member 2 succeeded in the write-community configuration.
Member 1 succeeded in the write-community configuration.
Finish to synchronize the command.
# 配置组名group_a。
[test_0.Sysname-cluster] cluster-snmp-agent group v3 group_a
Member 2 succeeded in the group configuration.
Member 1 succeeded in the group configuration.
Finish to synchronize the command.
# 配置MIB视图名mib_a,该视图包含org子树。
[test_0.Sysname-cluster] cluster-snmp-agent mib-view included mib_a org
Member 2 succeeded in the mib-view configuration.
Member 1 succeeded in the mib-view configuration.
Finish to synchronize the command.
# 配置SNMP v3用户user_a,所属组为group_a。
[test_0.Sysname-cluster] cluster-snmp-agent usm-user v3 user_a group_a
Member 2 succeeded in the usm-user configuration.
Member 1 succeeded in the usm-user configuration.
Finish to synchronize the command.
# 配置完成后,通过查看配置文件,可以看到在管理设备和成员设备上,分别保存了集群公用SNMP信息的配置。
l 管理设备上的配置文件内容(仅截取集群SNMP配置相关部分)
[test_0.Sysname-cluster] display current-configuration
#
cluster
cluster-snmp-agent community read read_a
cluster-snmp-agent community write write_a
cluster-snmp-agent group v3 group_a
cluster-snmp-agent mib-view included mib_a org
cluster-snmp-agent usm-user v3 user_a group_a
#
snmp-agent
snmp-agent local-engineid 800007DB000FE22405626877
snmp-agent community read read_a@cm0
snmp-agent community write write_a@cm0
snmp-agent sys-info version all
snmp-agent group v3 group_a
snmp-agent mib-view included mib_a org
snmp-agent usm-user v3 user_a group_a
undo snmp-agent trap enable standard
#
l 成员设备上的配置文件内容(仅截取集群SNMP配置相关部分)
<test_2.Sysname> display current-configuration
#
snmp-agent
snmp-agent local-engineid 800007DB000FE224055F6877
snmp-agent community read read_a@cm2
snmp-agent community write write_a@cm2
snmp-agent sys-info version all
snmp-agent group v3 group_a
snmp-agent mib-view included mib_a org
snmp-agent usm-user v3 user_a group_a
#
本地用户配置同步功能用于在管理设备上创建集群公用的本地用户,该用户名和密码的配置将同步到所有成员设备上,相当于在所有成员设备都创建了该本地用户。
使用该功能配置的用户类型为Telnet,用户可以使用集群公用的用户名和密码通过Web方式管理所有的成员设备。
(1) 配置准备
l 管理设备和成员设备的NDP和NTDP已经配置完毕。
l 集群已经创建,用户可以通过管理设备对集群中的成员设备进行管理。
(2) 配置步骤
请在管理设备上执行下列操作:
表2-23 集群内设备的本地用户配置同步功能
|
配置步骤 |
命令 |
说明 |
|
进入系统视图 |
system-view |
- |
|
进入集群视图 |
cluster |
- |
|
配置local-user配置 |
cluster-local-user username passward { cipher | simple } passwardstring |
必选 缺省情况下,没有创建集群公用的本地用户和密码 |
l 以上配置请在集群的管理设备上进行。
l 配置集群公用的本地用户相当于在管理设备和成员设备上都创建了相同的本地用户(请参见“AAA”手册),这些配置将保存到管理设备和成员设备的配置文件内。
l 集群公用的本地用户不能同步到已经被加入集群黑名单的设备上。
l 在设备退出集群后,以上同步的本地用户配置将继续保留,不会自动删除。
完成上述配置后,在任意视图下执行display命令,可以显示配置集群后的运行情况。通过查看显示信息,用户可以验证配置的效果。
|
配置 |
命令 |
说明 |
|
显示系统NDP配置信息(包括报文发送时间间隔,信息有效保留时间以及所有端口的邻居信息) |
display ndp |
display命令可以在任意视图执行 |
|
显示指定端口NDP发现的邻居信息 |
display ndp interface port-list |
|
|
显示全局NTDP信息 |
display ntdp |
|
|
显示NTDP收集到的设备信息 |
display ntdp device-list [ verbose ] |
|
|
显示集群状态和统计信息 |
display cluster |
|
|
显示候选设备信息 |
display cluster candidates [ mac-address H-H-H | verbose ] |
|
|
显示集群成员信息 |
display cluster members [ member-number | verbose ] |
|
|
清除NDP端口的统计信息 |
reset ndp statistics [ interface port-list ] |
reset命令在用户视图下执行 |
三台交换机构成一个集群,其中:
l S5100为管理设备
l 其他交换机为成员设备
S5100交换机作为管理设备管理两台成员设备。具体配置如下:
l 管理设备通过端口GigabitEthernet1/0/2和端口GigabitEthernet1/0/3下挂两台成员设备
l 管理设备通过端口GigabitEthernet1/0/1接入到外部网络
l GigabitEthernet1/0/1属于VLAN2,VLAN2的接口IP地址为163.172.55.1
l 整个集群使用相同的FTP server、TFTP server
l FTP Server、TFTP server的IP地址为63.172.55.1
l 网管工作站及日志主机的IP地址为69.172.55.4
图2-4 HGMP集群管理组网图
# 启动设备上的NDP和端口Ethernet1/0/1上的NDP。
<Sysname> system-view
[Sysname] ndp enable
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] ndp enable
[Sysname-Ethernet1/0/1] quit
# 启动设备上的NTDP和端口Ethernet1/0/1上的NTDP。
[Sysname] ntdp enable
[Sysname] interface Ethernet 1/0/1
[Sysname-Ethernet1/0/1] ntdp enable
[Sysname-Ethernet1/0/1] quit
# 启动集群功能。
[Sysname] cluster enable
(2) 配置管理设备
# 将端口GigabitEthernet 1/0/1加入VLAN 2。
<Sysname> system-view
[Sysname] vlan 2
[Sysname-vlan2] port GigabitEthernet 1/0/1
[Sysname-vlan2] quit
# 配置管理VLAN为VLAN2,创建Vlan-interface 2接口地址为163.172.55.1。
[Sysname] management-vlan 2
[Sysname] interface Vlan-interface 2
[Sysname-Vlan-interface2] ip address 163.172.55.1 255.255.255.0
[Sysname-Vlan-interface2] quit
# 关闭上行端口GigabitEthernet 1/0/1的NDP和NTDP功能。
[Sysname] ndp enable
[Sysname] undo ndp enable inteface GigabitEthernet 1/0/1
[Sysname] interface GigabitEthernet 1/0/1
[Sysname-GigabitEthernet1/0/1] undo ntdp enable
[Sysname-GigabitEthernet1/0/1] quit
# 启动设备上的全局NDP和端口GigabitEthernet1/0/2、GigabitEthernet1/0/3上的NDP。
<Sysname> system-view
[Sysname] ndp enable
[Sysname] interface GigabitEthernet 1/0/2
[Sysname-GigabitEthernet1/0/2] ndp enable
[Sysname-GigabitEthernet1/0/2] quit
[Sysname] interface GigabitEthernet 1/0/3
[Sysname-GigabitEthernet1/0/3] ndp enable
[Sysname-GigabitEthernet1/0/3] quit
# 配置NDP信息的有效保留时间为200秒。
[Sysname] ndp timer aging 200
# 配置NDP报文发送的时间间隔为70秒。
[Sysname] ndp timer hello 70
# 启动设备上的NTDP和端口GigabitEthernet1/0/2、GigabitEthernet1/0/3上的NTDP。
[Sysname] ntdp enable
[Sysname] interface GigabitEthernet 1/0/2
[Sysname-GigabitEthernet1/0/2] ntdp enable
[Sysname-GigabitEthernet1/0/2] quit
[Sysname] interface GigabitEthernet 1/0/3
[Sysname-GigabitEthernet1/0/3] ntdp enable
[Sysname-GigabitEthernet1/0/3] quit
# 配置拓扑收集范围为2跳
[Sysname] ntdp hop 2
# 配置被收集设备转发拓扑收集请求的延迟时间为150ms。
[Sysname] ntdp timer hop-delay 150
# 配置被收集设备的端口转发拓扑收集请求的延迟时间为15ms。
[Sysname] ntdp timer port-delay 15
# 配置定时拓扑收集的时间间隔为3分钟。
[Sysname] ntdp timer 3
# 启动集群功能。
[Sysname] cluster enable
# 进入集群视图。
[Sysname] cluster
[Sysname-cluster]
# 配置集群内部使用的IP地址池,起始地址为172.16.0.1,有8个地址。
[Sysname-cluster] ip-pool 172.16.0.1 255.255.255.248
# 配置集群名字,建立集群。
[Sysname-cluster] build aaa
[aaa_0.Sysname-cluster]
# 将下挂的两个交换机加入到集群中。
[aaa_0.Sysname-cluster] add-member 1 mac-address 000f-e20f-0011
[aaa_0.Sysname-cluster] add-member 17 mac-address 000f-e20f-0012
# 配置成员设备信息的保留时间为100秒。
[aaa_0.Sysname-cluster] holdtime 100
# 配置握手报文定时发送的时间间隔为10秒。
[aaa_0.Sysname-cluster] timer 10
# 配置集群内部公用的FTP Server、TFTP Server、Logging host及SNMP host。
[aaa_0.Sysname-cluster] ftp-server 63.172.55.1
[aaa_0.Sysname-cluster] tftp-server 63.172.55.1
[aaa_0.Sysname-cluster] logging-host 69.172.55.4
[aaa_0.Sysname-cluster] snmp-host 69.172.55.4
(3) 集群成员上的操作
在管理设备将下挂的设备加入到集群以后,在成员设备上作下列操作。
# 连接到集群公用的远程FTP服务器。
<aaa_1.Sysname> ftp cluster
# 成员设备从集群内部公用的TFTP 服务器下载文件aaa.txt到本地。
<aaa_1.Sysname> tftp cluster get aaa.txt
# 成员设备上载文件bbb.txt到集群内部公用的TFTP 服务器。
<aaa_1.Sysname> tftp cluster put bbb.txt
l 在进行了上述配置之后,用户只要在管理设备上通过命令cluster switch-to { member-number | mac-address H-H-H }切换到成员设备配置视图就可以对成员设备进行维护管理,通过命令cluster switch-to administrator切换回管理设备配置视图。
l 在管理设备上用户还可以通过命令reboot member { member-number | mac-address H-H-H } [ eraseflash ]对成员设备进行重启操作。关于这些配置操作的具体描述请参见本章前面的相关配置描述。
l 在进行了上述配置之后,用户可以在网管工作站接受集群所有成员的日志和SNMP trap。
l 集群已经稳定运行;
l 需要将MAC地址为0001-2034-a0e5的设备加入集群黑名单,即要求它不参与集群的统一管理和维护;
l 将当前集群拓扑保存为标准拓扑,并备份到集群管理交换机本地FLASH上;
图2-5 集群增强特性组网图
# 进入管理设备集群视图。
<aaa_0.Sysname> system-view
[aaa_0.Sysname] cluster
# 设置黑名单。
[aaa_0.Sysname-cluster] black-list add-mac 0001-2034-a0e5
# 备份当前拓扑。
[aaa_0.Sysname-cluster] topology accept all save-to local-flash
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
