分析對比華為虛擬化CSS與H3C虛擬化IRF2技術

更新時間：2021年08月16日 17:20:55 作者：高級網絡工程師

這篇文章主要介紹了了華為虛擬化CSS與H3C虛擬化IRF2技術，并對這兩種技術作了詳細的對比，有需要的朋友可以借鑒參考下，希望可以幫助廣大讀者對虛擬化集群管理有更深一步的了解

一、華為CSS技術介紹

CSS是Cluster Switch System的簡稱，又被稱為集群交換機系統(tǒng)（簡稱為CSS或集群）。是將幾臺交換機通過專用的集群線纜鏈接起來，對外呈現(xiàn)為一臺邏輯交換機。

在S9300/S7700（S9700暫無CSS集群卡）交換機主控板（SRU）上插FSU卡的位置插入集群卡，原有主控板、接口板、機框不用更新，就可以實現(xiàn)CSS集群。

集群線纜連接規(guī)則：

CSS集群線纜必須按照上圖特定的順序連接（S9303/S7703不支持CSS）。同系列的不同型號也可以實現(xiàn)CSS集群，前提條件是必須配置同型號的主控板（S9303/S7703除外）。

目前CSS集群帶寬是320G，日后可升級至640G

集群的管理：

CSS集群建立后，會根據一定的規(guī)則選舉集群主，集群備（集群控制的主備），競爭的規(guī)則如下：

系統(tǒng)運行狀態(tài)：已經正常運行的設備優(yōu)先級高于正在啟動中的設備，成為集群主。

集群優(yōu)先級：狀態(tài)相同，優(yōu)先級高的設備成為集群主。

MAC地址大?。籂顟B(tài)、優(yōu)先級都相同，MAC地址小的設備成為集群主。

兩臺設備競爭出主備后，集群主設備的主用主控板成為CSS的系統(tǒng)主，集群備的主用主控板成為CSS的系統(tǒng)備。在系統(tǒng)主和系統(tǒng)備之間進行HA備份處理，集群主和集群備的備用主控板作為CSS的候選系統(tǒng)備。

單臺集群設備里面的主控板倒換后，將以以下的規(guī)則進行集群主備倒換：

集群主內的兩塊主控板發(fā)生倒換：集群備升為集群主，原來的系統(tǒng)備升為系統(tǒng)主；集群主降為集群備，原來的系統(tǒng)主重啟、原來集群主框內的備用主控板升為CSS的系統(tǒng)備，從系統(tǒng)主進行HA同步。

集群備內的兩塊主控板發(fā)生倒換：集群主和集群備設備的角色不會發(fā)生變化。集群備內的主用主控板（即原來CSS的系統(tǒng)備）重啟，備用主控板升為系統(tǒng)的備，從系統(tǒng)主進行HA同步。通過這種處理，保證了CSS的高可靠性。

最終原來兩臺獨立的設備建立CSS，對外始終呈現(xiàn)為一臺設備。

集群的分裂：

CSS建立后，系統(tǒng)主和系統(tǒng)備定時發(fā)送心跳報文來維護CSS的狀態(tài)。

因集群線纜、集群卡、主控板等故障可能會導致兩臺設備之間沒有可用集群鏈路、失去通信、兩臺交換機之間的心跳超時，此時集群系統(tǒng)分裂為兩臺獨立的設備。

CSS分裂后，有可能兩臺交換機都在正常運行，而且是以完全相同的全局配置在運行，可能會以相同的IP和相同的MAC地址和網絡中的其他設備交互，這樣會引起整個網絡故障。為了提高系統(tǒng)的高可用性，集群分裂后需要檢測出是否存在兩個以相同配置運行的交換機（即是否存在雙主），并進行相應的處理使網絡能正常運行。

提供兩種檢測手段：

用免費ARP檢測集群雙主現(xiàn)象
用BFD協(xié)議檢測集群雙主現(xiàn)象

檢測到雙主后，原集群主將關閉本設備上除保留端口以外的其他所有物理端口。

故障恢復后，進行關閉所有物理端口操作的設備將重啟、重新加入CSS系統(tǒng)。

集群控制和數(shù)據的轉發(fā)

CSS建立后，可以通過接口板上的業(yè)務端口、系統(tǒng)主上的串口或網管口登陸CSS系統(tǒng)，進行業(yè)務配置和系統(tǒng)管理。

CSS提供四維的接口視圖（框/槽/卡/端口）支持對兩臺設備中的所有端口進行業(yè)務相關配置、操作；以框/槽為單位對兩臺設備中的所有單板進行管理：查詢單板信息、對單板進行復位等操作。

在CSS環(huán)境下，業(yè)務流量轉發(fā)同單框環(huán)境下的區(qū)別：跨設備的轉發(fā)需要經過交換網兩次。對于報文內容的處理沒有區(qū)別：都需要進行一次上、下行處理。對外呈現(xiàn)為一臺設備。

二、H3C IRF2技術介紹

IRF2源自早期的堆疊技術IRF1。 IRF1堆疊就是將多臺盒式設備通過堆疊口連接起來形成一臺虛擬的邏輯設備。用戶對這臺虛擬設備進行管理，來實現(xiàn)對堆疊中的所有設備的管理。這種虛擬設備既具有盒式設備的低成本優(yōu)點，又具有框式分布式設備的擴展性以及高可靠性優(yōu)點，早期在H3C S3600/S5600上提供此類解決方案。

IRF2既支持對盒式設備的堆疊虛擬化，同時支持H3C同系列框式設備的虛擬化：包括 S12500，S9500E，S7500E，S5800，S5500，S5120EI各系列內的IRF2虛擬化整合。

IRF2管理

IRF2系統(tǒng)中的各臺設備通過與直接相鄰的其它成員交互HELLO報文來收集整個IRF2系統(tǒng)的拓撲關系。 HELLO報文會攜帶拓撲信息，包括連接關系、成員設備編號、成員設備優(yōu)先級、成員設備的橋MAC等內容。 IRF2成員設備在本地記錄自己已知的拓撲信息，拓撲信息通過IRF2互聯(lián)端口傳遞，經過一段時間的收集，所有設備上都會收集到完整的拓撲信息（稱為拓撲收斂）。此時會進入角色選舉階段，確定成員為Master 或者Slave。角色選舉會在拓撲發(fā)生變化的情況下產生，比如：IRF2建立、新設備加入、IRF2分裂或者兩個IRF2系統(tǒng)合并。角色選舉規(guī)則如下（按規(guī)則次序判斷，直到找到唯一的最優(yōu)成員，才停止選舉。此最優(yōu)成員即為 IRF2系統(tǒng)的Master設備，其它設備則均為Slave設備）：

1、當前Master優(yōu)于非Master成員；

2、當成員設備均是框式分布式設備時，本地主用主控板優(yōu)于本地備用主控板；

3、當成員設備均是框式分布式設備時，原Master的備用主控板優(yōu)于非Master成員上的主控板；

4、成員優(yōu)先級大的優(yōu)先；

5、系統(tǒng)運行時間長的優(yōu)先；

6、成員橋MAC小的優(yōu)先。

IRF2 分裂檢測處理

IRF2系統(tǒng)對外體現(xiàn)為一個整體的交換系統(tǒng)，但由于本身由多臺設備組成，也存在由于意外原因導致IRF2 系統(tǒng)分裂的可能。IRF2系統(tǒng)分裂后，形成兩個或多個相同的邏輯設備：地址相同、配置相同，需要進行檢測和進一步處理以消除對網絡的影響。

橋MAC變化

IRF2系統(tǒng)作為邏輯單臺設備，對外具有唯一的橋MAC（和三層MAC）。IRF2系統(tǒng)建立時，Master設備橋MAC同步到其它成員設備，分裂后，對于非Master所在系統(tǒng)，IRF2系統(tǒng)中其它設備維持該橋MAC不變并選舉新的Master，此機制可避免當原Master故障時網絡中的鄰居設備重新學習MAC。同時IRF2也具有比較靈活的橋MAC處理方式以便于組網變通，目前提供了三種IRF2系統(tǒng)MAC變化的方式可通過配置實現(xiàn)：

Master離開后，橋MAC立即變化；
保留6min后變化；
始終不變。

Master檢測和分裂處理

IRF2系統(tǒng)分裂后，會在網絡中形成兩組或多組“完全相同”的設備組，均有相同配置的Active Master， IRF2附加了檢測和沖突處理，稱為MAD（Multi-Active Detection，即多Active檢測）。

檢測：通過LACP（Link Aggregation Control Protocol，鏈路聚合控制協(xié)議）或者BFD（Bidirectional Forwarding Detection，雙向轉發(fā)檢測）協(xié)議來檢測網絡中是否存在多個從同一個IRF2系統(tǒng)分裂出去的全局配置相同的IRF2。
LACP方式下，H3C進行了擴展開發(fā)，在LACP協(xié)議報文中增加IRF2 Master ID ，當系統(tǒng)分裂后，分裂后的IRF2系統(tǒng)有各自的Active Master ID，可通過LACP進行傳遞檢測；BFD方式下，也通過在BFD中擴展 Master ID來檢測沖突。
沖突處理：IRF2系統(tǒng)分裂后，系統(tǒng)會檢測到網絡中存在多個處于Active狀態(tài)相同的IRF2系統(tǒng)，Master 成員編號小的處于Active狀態(tài)的IRF2系統(tǒng)會繼續(xù)正常工作，Master成員編號較大的處于Active狀態(tài)的IRF2會遷移到Recovery狀態(tài)：關閉該系統(tǒng)中所有成員設備上除保留端口以外的其他所有物理端口。
故障恢復：IRF2系統(tǒng)通過日志提示用戶修復IRF2互聯(lián)鏈路，鏈路修復后，沖突的設備重新啟動，恢復 IRF2系統(tǒng)，被Down掉的端口將重新恢復業(yè)務轉發(fā)。