网络设备-华三-防火墙F1020-IRF虚拟化实战终结配置篇

此篇h3c-IRF的实战配置，一样与前面华为的堆叠同样路子，咱们先聊聊为啥要作这个？为何不玩双机，要玩IRF。其实弄懂这一点，对于售前来说，在外面作方案也是思路至关清晰的一点。

之前咱们常规的双机方案以下图：

架构特色：

 1.全网无单点故障，完整的解决由于单电源或者单一设备故障引发的业务不可用。

 2.核心交换区-使用华为stack堆叠（前面有文章单独介绍）

 3.防火墙HA（Juniper-NSRP协议，不懂度娘）（可能你们会问题，防火墙到华为交换机为何没作lacp或者aggregate，你们注意下防火墙型号和系列，玩过的都懂SSG不支持作聚合）

 4.流量平行，方便往后故障演练与割接，作流量切换。

优点就是我如上提到的这些，可是缺点也是明确有的，好比防火墙选型失败-SSG140虽然配置界面友好，但毕竟链路聚合不能作。好比防火墙这里作的A/P（主备）模式，其实按照boss的理解，你的流量处理，仍然是单台在跑，另一台仍是数据传输意义上的“冷备”，这一点我在售前作方案的经历当中也是常常遇到，因此必定要把握强调主备切换、灾备状况产生后的优点，别给甲方IT老板把节奏带走了

由于我我的在一家上海有名的运营商里从事运维工做，因此常常遇到各式各样的设备，因此我一直强调各位新晋网工，必定要珍惜摸设备的日子，否则很容易生疏，结果你们都懂的。

这次接触的设备为：H3C-F1020【吞吐2.5G，安全过滤带宽1.5G】相对来说，仍是较为企业级中高端的设备，不过对于维护人员来说，不论是web配置仍是cli配置只要友好，什么都好说。

如今国内的市场这么多作网络设备的产商，谁都在作可视化友好配置，否则谁用你的。不吹不黑，现在的企业，都在痛苦的转型当中，可能都没有意识到觉得资深且有实质能力的运维工程师多么重要，常常会招一些比较“稚嫩”的应届毕业生，或者在其余行业混不下去后的不入流、不懂技术的“网工”来充当运维经理，这种状况，在我近俩年和甲方的“交战”当中家常便饭。因此想要鄙视别人，请先强大本身！！

如下摘自H3c官网介绍：

强大的网络扩展能力

在IRF2技术方案中，各成员设备都有CPU，可以独立处理协议报文、进行报文转发，在IRF环境中增长成员设备，能够扩展处理能力和端口数量。

PS：怎么去理解上面这句话，就是咱们前面介绍的HA，理论上数据流量处理，仍然是一台设备在负责。若是IRF，就是俩台设备性能能够叠加，这是当年H3C当年为何接手3com的虚拟化技术进而做出IRF的结果。不得不说，真不错。

【这个和华为的CSS，实现的需求是同样的，有兴趣能够本身去研究下CSS】

如下摘自H3c官网配图：【为何没本身画，有好的就不超越了，画图不是工程师该特别关注的地方】

我就不一一介绍，IRF技术的优点了。

详情，各位能够本身点击下面的链接

http://www.h3c.com.cn/Service/Document_Center/IP_Security/AQWG/H3C_SecPath_M9000/Configure/Operation_Manual/H3C_CG(V7)(R9115_ESS8206_ESS9204)-5W103/02/201506/876666_30005_0.htm

适当的本身去H3C官网去详细研究，我是个重视实战的“网工”，各位往下看。

特地奉上本身实战整理的笔记干货！！！

IRF端口：

一种专用于 IRF 成员设备之间进行链接的逻辑接口，每台成员设备上能够配置两个 IRF 端口，分别

为 IRF-Port1 和 IRF-Port2。它须要和物理端口绑定以后才能生效。您可以使用 1000BASE-T 以太网电口、SFP 或 SFP+口做为 IRF 物理端口。

IRF 端口采用二维编号， 分为 IRF-Portn/1 和 IRF-Portn/2， 其中 n 为设备的成员编号。 

建议：

创建使用SPF+，光纤作irf-port，不然用电口传输，了解irf和华为堆叠、CSS的都懂，这性能前者和后者彻底无法比

防火墙版本信息输出：

H3C Comware Software, Version 7.1.054, Ess 9308P05

Copyright (c) 2004-2015 Hangzhou H3C Tech. Co., Ltd. All rights reserved.

H3C SecPath F1020 uptime is 0 weeks, 0 days, 0 hours, 36 minutes

Last reboot reason: IRF Merge reboot  【很是人性化的告知上次重启缘由，由于测试关系，因此常常up/down】

Boot p_w_picpath: flash:/f1000fw-cmw710-boot-E9308P05.bin

Boot p_w_picpath version: 7.1.054, Ess 9308P05

  Compiled Feb 09 2015 14:37:42

主设备：

[F1020-A-1]irf member 1 renumber 1          【先确认member id 号是否为1，如果则跳过该配置】

Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【确认后会提示你须要reboot才能生效】

[F1020-A-1]irf member 1 priority 10                       【优先级越大越优先】

[F1020-A-1]irf member 1 description F1020-A-1     【加个成员1的描述】

[F1020-A-1]interface GigabitEthernet 1/0/14       

【将物理端口加入irf-port前，须要提早shutdown】

[F1020-A-1-GigabitEthernet1/0/14]sh

[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15

[F1020-A-1-GigabitEthernet1/0/15]sh

[F1020-A-1]irf-port 1/1       【1/1  前面的1，指设备member id。后面的1是端口id】

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/14      

【在将物理端口加入到irf-port中时，设备会提醒要输入以下黄字激活口令才能生效】

You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.  

Execute the "irf-port-configuration active" command to activate the IRF ports. 

[F1020-A-1-irf-port1/1]port group interface GigabitEthernet 1/0/15

[F1020-A-1]interface GigabitEthernet 1/0/14         【将物理接口从新up】

[F1020-A-1-GigabitEthernet1/0/14]undo sh

[F1020-A-1-GigabitEthernet1/0/14]interface GigabitEthernet 1/0/15

[F1020-A-1-GigabitEthernet1/0/15]undo sh

[F1020-A-1]save                                                     【保存配置】

The current configuration will be written to the device. Are you sure? [Y/N]:y

Please input the file name(*.cfg)[flash:/startup.cfg]

(To leave the existing filename unchanged, press the enter key):

flash:/startup.cfg exists, overwrite? [Y/N]:y

Validating file. Please wait...

Saved the current configuration to mainboard device successfully.

[F1020-A-1]irf-port-configuration active              【激活 IRF 端口下的配置】

备设备：

[F1020-B-2]irf member 1 renumber 2      【

先确认member id 号是否为2，如果则跳过该配置，通常初始化是1，备机确定】

Renumbering the member ID may result in configuration change or loss. Continue?[Y/N]y     【确认后会提示你须要reboot才能生效】

[F1020-B-2]irf member 2 priority 5                        【优先级越大越优先】 

[F1020-B-2]irf member 2 description F1020-B-2    【加个成员2的描述】

[F1020-B-2]interface GigabitEthernet 1/0/14                                   

【将物理端口加入irf-port前，须要提早shutdown】

[F1020-B-2-GigabitEthernet2/0/14]sh

[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15

[F1020-B-2-GigabitEthernet2/0/15]sh

[F1020-B-2]irf-port 2/2                             【2/2  前面的1，指设备member id。后面的2是端口id】

PS：拿华为S5728演示下，irf-port的互联方法，即：原先的菊花交叉接法，不然所有配置好以后，使用irf-port1/1 连 irf-port 2/1就虚拟化起不来，没法造成irf

[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/14     

 【在将物理端口加入到irf-port中时，设备会提醒要输入以下黄字激活口令才能生效】

You must perform the following tasks for a successful IRF setup:  Save the configuration after completing IRF configuration.  

Execute the "irf-port-configuration active" command to activate the IRF ports. 

[F1020-B-2-irf-port1/1]port group interface GigabitEthernet 2/0/15

[F1020-B-2]interface GigabitEthernet 2/0/14                                     【将物理接口从新up】

[F1020-B-2-GigabitEthernet2/0/14]undo sh

[F1020-B-2-GigabitEthernet2/0/14]interface GigabitEthernet 2/0/15

[F1020-B-2-GigabitEthernet2/0/15]undo sh

[F1020-B-2]save                                                                               【保存配置】

[F1020-A-1]irf-port-configuration active                                           【激活 IRF 端口下的配置】

在激活irf-port-configuration 以后A 和 B 间将会进行主设备竞选，竞选失败的一方将重启，重启完成后，IRF 造成。      【这个选举过程很快，敲完立马重启】

重启完成后，dis inter bri，irf配置完成。

常见几个维护命令：【下面的输出信息，设备master和standby，由于我测试环境，调试主备优先级了。因此与上文优先级不同，相反】

[F1020-B-2]dis irf

MemberID         Role      Priority         CPU-Mac             Description

    +1              Standby      10          FFFF-FFFF-FFFF        F1020-A-1

    *2                Master       20          FFFF-FFFF-FFfF        F1020-B-2

--------------------------------------------------

 * indicates the device is the master.

 + indicates the device through which the user logs in.

 The Bridge MAC of the IRF is: FFFF-FFFF-FFFF【已和谐】

 Auto upgrade                : yes

 Mac persistent              : 6 min

 Domain ID                   : 0

[F1020-B-2]dis irf topology 

                              Topology Info

 -------------------------------------------------------------------------

    IRF-Port1                IRF-Port2          

 MemberID    Link   neighbor       Link       neighbor      Belong To

       2            DIS         ---             UP             1          FFFF-FFFF-FFFF      【已和谐】

       1             UP         2               DIS            ---        FFFF-FFFF-FFFF      【已和谐】

[F1020-B-2]dis irf link                                                    

Member 1

 IRF Port       Interface                                    Status

     1             GigabitEthernet1/0/14                  UP    

                    GigabitEthernet1/0/15                  UP     

     2              disable                                         --    

Member 2

 IRF Port       Interface                                   Status

     1               disable                                        --    

     2             GigabitEthernet2/0/14                  UP    

                    GigabitEthernet2/0/15                  UP  

[F1020-B-2]dis irf configuration 

 MemberID     NewID                                  IRF-Port1                                  IRF-Port2

     1                  1                                     GigabitEthernet1/0/14                      disable                                                                                                                GigabitEthernet1/0/15                                       

     2                  2                                           disable                                                                                                                                                                                                                            GigabitEthernet2/0/14                                                                                                                                                GigabitEthernet2/0/15 

好了，到这里，IRF的配置也就结束了，改日送上华三的交换机IRF的配置实战教程，敬请期待。

请路过的售前工程会，发挥本身的想象力，去快乐的作“方案”去把！！