- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
08-集群管理配置
本章節下載: 08-集群管理配置 (388.92 KB)
設備運行於FIPS模式時,不支持集群管理功能。有關FIPS模式的詳細介紹請參見“安全配置指導”中的“FIPS”。
隨著網絡規模的增加,網絡邊緣需要使用大量的接入設備,這使對這些設備的管理工作非常繁瑣,同時要為這些設備逐一配置IP地址,在目前IP地址資源日益緊張的情況下無疑也是一種浪費。集群(Cluster)是一組網絡通信設備的集合,集群管理的主要目的就是解決大量分散的網絡設備的集中管理問題。集群管理具有以下優點:
· 節省公網IP地址。
· 簡化配置管理任務。網絡管理員隻需在一台設備上配置公網IP地址就可實現對集群中所有設備的管理和維護,而無需登錄到每台設備上進行配置。
· 提供拓撲發現和顯示功能,有助於監視和調試網絡。
· 可同時對多台設備進行軟件升級和參數配置,且不受網絡拓撲和距離限製。
根據在集群中所處的地位和功能的不同,可把集群中的設備分為以下三種角色:
· 管理設備(Administrator):在集群中對整個集群管理發揮接口作用的設備,也是集群中唯一配置公網IP地址的設備。每個集群必須(且隻能)指定一個管理設備。對集群中的其它設備進行配置、管理和監控都必須通過管理設備來進行,管理設備通過收集相關信息來發現和確定候選設備。
· 成員設備(Member):在集群中處於被管理狀態的設備。
· 候選設備(Candidate):指沒有加入任何集群但具備集群能力、能夠成為集群成員的設備。它與成員設備的區別在於:其拓撲信息已被管理設備收集到但尚未加入集群。
如圖1-1所示,配置有公網IP地址並執行管理功能的設備就是管理設備,其它被管理的設備是成員設備,尚未加入任何集群但具備集群能力的設備是候選設備。由管理設備和成員設備共同組成了一個集群。
圖1-2 集群角色轉換示意圖
如圖1-2所示,各角色可按如下規則相互轉換:
· 當在某候選設備上創建集群時,該設備就成為了這個集群的管理設備;管理設備隻有在刪除集群時才能恢複為候選設備。
· 當把某候選設備加入到集群中後,該設備便成為成員設備;當從集群中刪除某成員設備後,該設備又恢複為候選設備。
集群管理通過HGMPv2(HW Group Management Protocol version 2,HW組管理協議版本2)來實現,它由以下三個協議組成:
· NDP(Neighbor Discover Protocol,鄰居發現協議)
· NTDP(Neighbor Topology Discover Protocol,鄰居拓撲發現協議)
· Cluster(集群管理協議)
集群通過以上三個協議,對集群內部的設備進行配置和管理,其工作過程包括拓撲收集以及集群的建立和維護。拓撲收集過程和集群維護過程相對獨立,拓撲收集過程在集群建立之前就開始啟動,工作原理如下:
· 所有設備通過NDP來獲取鄰居設備的信息,包括鄰居設備的軟件版本、主機名、MAC地址和端口名稱等信息。
· 管理設備通過NTDP來收集用戶指定跳數範圍內的設備信息以及各個設備的連接信息,並從收集到的拓撲信息中確定集群的候選設備。
· 管理設備根據NTDP收集到的候選設備信息完成將候選設備加入集群、成員設備離開集群的操作。
NDP用來獲取直接相連的鄰居設備的信息,包括連接端口、設備名稱、軟件版本等信息,工作原理如下:
· 運行NDP的設備周期性地向鄰居發送NDP報文,其中包含NDP信息(包括當前設備的名稱、軟件版本和連接端口等信息)以及NDP信息在接收設備上的老化時間。同時會接收(但不轉發)鄰居設備發送的NDP報文。
· 運行NDP的設備都會存儲和維護NDP鄰居信息表,在該表中為每台鄰居設備創建一個表項。當新發現了一個鄰居,即第一次收到它發送的NDP報文時,為其新增一個表項。如果收到的鄰居設備NDP信息與舊信息不同,則更新相應的表項及其老化時間;如果相同,則隻更新老化時間;如果老化時間超時後仍未收到鄰居的NDP信息,將自動刪除相應的表項。
NDP協議運行在數據鏈路層,因此可以支持不同的網絡層協議。
NTDP為管理設備提供可加入集群的設備信息,收集指定跳數內設備的拓撲信息。NDP為NTDP提供鄰接表信息,NTDP根據鄰接信息發送和轉發NTDP拓撲收集請求,收集一定網絡範圍內所有設備的NDP信息以及這些設備間的連接信息。收集完這些信息後,管理設備或網管可使用這些信息完成所需功能。
當成員設備上的NDP發現鄰居有變化時,通過握手報文將鄰居改變的消息通知給管理設備,管理設備可以啟動NTDP收集指定拓撲,從而使NTDP能夠及時反映網絡拓撲的變化。
管理設備可以定時在網絡內進行拓撲收集,用戶也可以通過手工配置啟動一次拓撲收集。管理設備收集拓撲信息過程如下:
· 管理設備從使能NTDP的端口周期性發送NTDP拓撲收集請求報文。
· 收到請求報文的設備立即發送拓撲響應報文至管理設備,並在已使能NTDP的端口複製此請求報文並發送到鄰接設備;拓撲響應報文包含本設備的基本信息和所有鄰接設備的NDP信息。
· 鄰接設備收到請求報文後將執行同樣操作,直至拓撲收集請求報文擴散到指定跳數範圍內的所有設備。
當拓撲收集請求報文在網絡內擴散時,大量網絡設備同時收到拓撲收集請求並同時發送拓撲收集響應報文。為了避免網絡擁塞和管理設備任務繁忙,可采取以下措施控製拓撲收集請求報文的擴散速度:
· 每台被收集設備收到拓撲收集請求報文後,並不立即轉發該報文,而是延遲一段時間再由其第一個端口轉發。
· 在同一台設備上,除第一個端口外,其它端口在上一個端口轉發了拓撲收集請求報文後,都將延遲一段時間再繼續轉發該報文。
(1) 候選設備加入集群
用戶在建立集群時應首先指定管理設備,管理設備可以通過NDP和NTDP協議發現和確定候選設備並將其自動加入集群,也可以通過手工配置將候選設備加入集群。
當候選設備成功加入集群後,將獲得管理設備為其分配的集群成員序列號、集群管理使用的私有IP地址等。
(2) 集群內部通訊
在集群內部,管理設備與成員設備通過握手報文實時通信,以維護它們之間的連接狀態,管理設備和成員設備的連接狀態如圖1-3所示。
圖1-3 管理/成員設備狀態轉換
· 集群建立成功、候選設備加入集群成為成員設備後,管理設備將其狀態信息保存到本地,並將其狀態標識為Active;成員設備也將自身的狀態信息保存到本地,並將其自身狀態標識為Active。
· 管理設備和成員設備定時互發握手報文。管理設備收到成員設備的握手報文後不應答,仍將其狀態保持為Active;成員設備收到管理設備的握手報文後也不應答,仍將其自身狀態保持為Active。
· 當管理設備發送握手報文後,在三倍握手報文發送時間間隔內仍沒收到成員設備的握手報文,則將其狀態由Active遷移為Connect;同樣,當成員設備發送握手報文後,在三倍握手報文發送時間間隔內仍沒收到管理設備的握手報文,其自身狀態也將從Active遷移為Connect。
· 若管理設備收到了處於Connect狀態的成員設備在有效保留時間內發送的握手或管理報文,則將其狀態遷移回Active,否則遷移為Disconnect——此時管理設備會認為已與該成員設備斷開;而處於Connect狀態的成員設備若在有效保留時間內收到了管理設備發送的握手或管理報文,則將其自身狀態遷移至Active,否則遷移為Disconnect。
· 當管理設備與成員設備的通信恢複時,處於Disconnect狀態的成員設備將重新加入集群。加入成功後,成員設備在管理設備以及其本地的狀態都將恢複為Active。
如果發現拓撲改變,成員設備也通過握手報文向管理設備傳遞變化信息。
管理VLAN是指集群協議報文通訊所使用的VLAN,它限製了集群管理的範圍,通過配置管理VLAN,可實現如下功能:
· 集群的管理報文(包括NDP、NTDP和握手報文)都將限製在管理VLAN內,實現了與其它報文的隔離,增加了安全性。
· 管理設備和成員設備通過管理VLAN實現了內部通訊。
集群管理要求管理設備與成員/候選設備相連的端口(包括級聯端口)都要允許管理VLAN通過。如果端口不允許管理VLAN通過,該端口所連的設備將不能加入集群,因此當候選設備與管理設備相連的端口包括級聯端口不允許管理VLAN通過時,可通過管理VLAN自協商修改候選設備的端口以允許管理VLAN通過。隻有當管理設備與成員/候選設備相連接的端口(包括級聯端口)的缺省VLAN ID都是管理VLAN時,才允許配置管理VLAN的報文不帶Tag通過,否則管理VLAN的報文都必須帶Tag通過。
· 級聯端口是指當候選設備通過另外一台候選設備與管理設備相連時,這兩台候選設備之間的連接端口。
· 有關VLAN和Tag的相關介紹,請參見“二層技術-以太網交換配置指導”中的“VLAN配置”。
用戶配置集群前,需要明確集群內各個設備的角色以及功能,另外還要配置相關的功能,做好與集群內部設備進行通信的規劃工作。
|
配置任務 |
說明 |
詳細配置 |
|
|
配置管理設備 |
使能NDP功能 |
可選 |
|
|
配置NDP參數 |
可選 |
||
|
使能NTDP功能 |
可選 |
||
|
配置NTDP參數 |
可選 |
||
|
手動收集拓撲信息 |
可選 |
||
|
使能集群功能 |
可選 |
||
|
建立集群 |
必選 |
||
|
使能管理VLAN自協商功能 |
必選 |
||
|
配置集群成員交互 |
可選 |
||
|
配置集群管理協議報文 |
可選 |
||
|
集群成員管理 |
可選 |
||
|
配置成員設備 |
使能NDP功能 |
可選 |
|
|
使能NTDP功能 |
可選 |
||
|
手動收集拓撲信息 |
可選 |
||
|
使能集群功能 |
可選 |
||
|
配置成員設備退出集群 |
可選 |
||
|
配置集群成員互訪 |
可選 |
||
|
配置候選設備加入集群 |
可選 |
||
|
配置集群高級功能 |
配置集群拓撲管理 |
可選 |
|
|
配置集群內外交互 |
可選 |
||
|
SNMP配置同步功能 |
可選 |
||
|
批量配置Web賬戶 |
可選 |
||
· 集群建立後,在管理設備和成員設備上關閉NDP或者NTDP功能後,集群不會解散,但是會影響已經建立的集群的正常運行。
· 在一個集群中,當使能了802.1X或MAC地址認證功能的成員設備還連接有其它成員設備時,必須在該成員設備上開啟HABP server功能,否則管理設備將無法對其連接的成員設備進行管理。有關HABP(HW Bypass Protocol,HW旁路認證協議)的詳細介紹,請參見“安全配置指導”中的“HABP配置”。
· 如果集群建立時管理設備的路由表已滿,即無法向路由表中添加目的地址為候選設備的路由條目,將導致所有候選設備反複加入退出集群。
· 如果候選設備加入集群時候選設備的路由表已滿,即無法向路由表中添加目的地址為管理設備的路由條目,也將導致本設備反複加入退出集群。
當全局和端口的NDP功能都使能時,NDP才能正常運行。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
使能全局的NDP功能 |
ndp enable |
可選 缺省情況下,全局的NDP功能處於使能狀態 |
|
|
使能端口的NDP功能 |
係統視圖下 |
ndp enable interface interface-list |
二者可選其一 缺省情況下,所有端口的NDP功能都處於使能狀態 |
|
以太網接口或二層聚合接口視圖下 |
interface interface-type interface-number |
||
|
ndp enable |
|||
為避免管理設備收集到不需要加入集群的設備的拓撲信息並將其誤加入集群,建議在與這些設備相連的端口上關閉NDP功能。
使能了NDP功能的端口會周期性地向外發送NDP報文。當NDP報文在接收設備上的老化時間超時後,接收設備仍未收到本設備發送的NDP報文,接收設備將自動刪除本設備所對應的鄰居表項。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置發送NDP報文的時間間隔 |
ndp timer hello hello-time |
可選 缺省情況下,發送NDP報文的時間間隔為60秒 |
|
配置NDP報文在接收設備上的老化時間 |
ndp timer aging aging-time |
可選 缺省情況下,NDP報文在接收設備上的老化時間為180秒 |
NDP報文在接收設備上的老化時間應不小於發送NDP報文的時間間隔,否則將引起NDP端口鄰居信息表的不穩定。
當全局和端口的NTDP功能都使能時,NTDP才能正常運行。
表1-4 使能NTDP功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能全局的NTDP功能 |
ntdp enable |
可選 缺省情況下,全局的NTDP功能處於使能狀態 |
|
進入以太網接口或二層聚合接口視圖 |
interface interface-type interface-number |
- |
|
使能端口的NTDP功能 |
ntdp enable |
可選 缺省情況下,所有端口的NTDP功能都處於使能狀態 |
為避免管理設備收集到不需要加入集群的設備的拓撲信息並將其誤加入集群,建議在與這些設備相連的端口上關閉NTDP功能。
通過配置拓撲收集範圍(即最大跳數)可以收集確定範圍內設備的拓撲信息,從而避免無限的擴展收集過程。控製收集範圍采用從收集發起者開始、控製允許發現的跳數的方法。
在配置了拓撲收集的時間間隔後,設備將以此間隔為周期進行拓撲信息的收集。
為了避免拓撲收集設備由於同時收到大量拓撲響應報文而導致的擁塞:
· 每台被收集設備在收到拓撲收集請求報文後,都將延遲一段時間再由其第一個端口轉發該報文;
· 在同一台設備上,除第一個端口外,其它端口在上一個端口轉發了拓撲收集請求報文後,都將延遲一段時間再繼續轉發該報文。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
配置拓撲收集的最大跳數 |
ntdp hop hop-value |
可選 缺省情況下,拓撲收集的最大跳數為3跳 |
|
配置拓撲收集的時間間隔 |
ntdp timer interval |
可選 缺省情況下,拓撲收集的時間間隔為1分鍾 |
|
配置首個端口轉發拓撲收集請求報文的延遲時間 |
ntdp timer hop-delay delay-time |
可選 缺省情況下,首個端口轉發拓撲收集請求報文的延遲時間為200毫秒 |
|
配置其它端口轉發拓撲收集請求報文的延遲時間 |
ntdp timer port-delay delay-time |
可選 缺省情況下,其它端口轉發拓撲收集請求報文延遲時間為20毫秒 |
首個/其它端口轉發拓撲收集請求報文的延遲時間都需配置在拓撲收集設備上:拓撲收集設備在其發送的拓撲收集請求報文中攜帶了這兩種延遲時間值,被收集設備依據該值來延遲拓撲收集請求報文的轉發。
集群建立後,管理設備會周期性地收集拓撲信息。用戶還可以在管理設備或使能NTDP功能的設備上手動發起拓撲信息的收集過程(不論集群是否已建立),從而更有效地對設備進行實時管理與監控。
請在用戶視圖下進行下列配置。
表1-6 手動收集拓撲信息
|
操作 |
命令 |
說明 |
|
手動收集拓撲信息 |
ntdp explore |
必選 |
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
使能集群功能 |
cluster enable |
可選 缺省情況下,集群功能處於使能狀態 |
建立集群前,須指定管理VLAN,成員設備加入集群後就不能再修改管理VLAN。
建立集群前,還須在欲配置為管理設備的設備上配置成員設備所使用的私有IP地址範圍,且管理設備和成員設備的VLAN接口的IP地址和集群地址池不能配置在同一網段內,否則集群將不能正常工作。當候選設備加入時,管理設備為候選設備動態分配一個能夠在集群內使用的私有IP地址,用於集群內部的通信。
建立集群有兩種方式:手工創建和自動創建。其中,在自動創建集群的過程中,用戶可根據係統提示自動創建集群:
(1) 首先,係統提示輸入集群名稱;
(2) 接著,係統將列出指定的跳數範圍內發現的所有候選設備;
(3) 係統將把所有列出的候選設備自動加入到所創建的集群中。
在自動創建過程中,允許用戶輸入<Ctrl+C>取消當前操作,並退出自動創建過程。該操作隻能停止加入新的設備,已加入集群的設備仍將保留在集群中。
|
操作 |
命令 |
說明 |
|
|
進入係統視圖 |
system-view |
- |
|
|
指定管理VLAN |
management-vlan vlan-id |
可選 缺省情況下,管理VLAN為VLAN 1 |
|
|
進入集群視圖 |
cluster |
- |
|
|
配置成員設備的私有IP地址範圍 |
ip-pool ip-address { mask | mask-length } |
必選 缺省情況下,沒有指定成員設備的私有IP地址範圍 |
|
|
創建集群 |
手動創建集群 |
build cluster-name |
二者必選其一 缺省情況下,設備不是管理設備 |
|
自動創建集群 |
auto-build [ recover ] |
||
由於握手報文使用的UDP端口號為40000,因此建立集群前需確保該端口未被占用,否則將導致集群建立失敗。
管理VLAN限製了集群管理的範圍,當管理設備發現的新設備在管理VLAN之外即與管理設備相連的端口及級聯端口不允許管理VLAN通過時,新設備將無法加入集群。通過在管理設備上使能管理VLAN自動協商功能,可以將與管理設備相連的端口及級聯端口自動加入管理VLAN。
表1-9 使能管理VLAN自協商功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
使能管理VLAN自協商功能 |
management-vlan synchronization enable |
必選 缺省情況下,管理VLAN自協商功能處於關閉狀態 |
在開啟了管理VLAN自協商功能後,各成員設備之間相連的端口將會發生以下轉換過程:
· 如果該端口之前為Access端口,則轉換為Hybrid端口,且將不再允許除管理VLAN外的其他VLAN通過(管理VLAN以tagged形式通過)。
· 如果該端口之前為Trunk或Hybrid端口,則轉換過程對端口類型和已經允許通過的VLAN沒有影響,隻是增加允許管理VLAN通過(對於Hybrid端口為tagged形式)。
請用戶在配置本功能之前,確認成員設備之間連接端口的端口類型和允許通過的VLAN,避免轉換過程對網絡產生影響。
在集群內部,管理設備與成員設備通過握手報文進行實時通信,以維護它們之間的連接狀態。可以在管理設備上配置發送握手報文的時間間隔和有效保留時間,該配置將對集群內部所有成員設備同時生效。對於處於Connect狀態的成員設備來說:
· 如果管理設備在有效保留時間內未收到來自該成員設備的消息,則將其狀態遷移為Disconnect。當通訊恢複後,該成員設備需要重新加入(成員重新加入過程是自動進行的)。
· 如果管理設備在有效保留時間內收到了來自該成員設備的消息,則將其狀態遷移回Active。
表1-10 配置集群成員交互
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
配置發送握手報文的時間間隔 |
timer interval |
可選 缺省情況下,發送握手報文的時間間隔為10秒 |
|
配置有效保留時間 |
holdtime hold-time |
可選 缺省情況下,有效保留時間為60秒 |
集群管理協議報文(包括NDP、NTDP和HABP報文)的缺省目的MAC地址是IEEE保留的組播MAC地址0180-C200-000A,而部分現有設備對目的MAC地址為此類地址的報文不能正常轉發,從而導致集群管理協議報文無法穿越這些設備。針對這種情況,在不改變現有組網的前提下,可將集群管理協議報文的目的MAC地址修改為其它MAC地址來避免影響集群的正常運行。
管理設備通過周期性地向成員/侯選設備發送MAC地址協商廣播報文來通告集群管理協議報文的目的MAC地址。
表1-11 配置集群管理協議報文
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
配置集群管理協議報文的目的MAC地址 |
cluster-mac mac-address |
必選 缺省情況下,集群管理協議報文的目的MAC地址為0180-C200-000A |
|
配置發送MAC地址協商廣播報文的時間間隔 |
cluster-mac syn-interval interval |
可選 缺省情況下,發送MAC地址協商廣播報文的時間間隔為1分鍾 |
在配置集群管理協議報文的目的MAC地址時:
· 若發送MAC地址協商廣播報文的時間間隔為零,係統會自動將其修改為1分鍾;
· 若發送MAC地址協商廣播報文的時間間隔非零,則該時間間隔將保持不變。
用戶可以在管理設備上手工指定要加入集群中的候選設備,也可以手工刪除集群中指定的成員設備。
當成員設備由於軟件版本升級、配置更新等原因需要重啟時,可以通過管理設備對其進行遠程重啟。
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
將候選設備加入集群 |
add-member [ member-number ] mac-address mac-address [ password password ] |
必選 |
表1-13 刪除成員設備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
將成員設備從集群中刪除 |
delete-member member-number [ to-black-list ] |
必選 |
表1-14 重啟成員設備
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
重新啟動指定的成員設備 |
reboot member { member-number | mac-address mac-address } [ eraseflash ] |
必選 |
表1-15 配置成員設備退出集群
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
配置成員設備退出集群 |
undo administrator-address |
必選 |
當NDP、NTDP和集群功能的配置完成後,可通過管理設備對成員設備進行配置、管理和監控:既可在管理設備上切換到指定成員設備的操作界麵上對該成員設備進行配置管理;也可從成員設備切換回管理設備的操作界麵上對管理設備進行配置。
請在用戶視圖下進行下列配置。
表1-16 配置集群成員互訪
|
操作 |
命令 |
說明 |
|
從管理設備操作界麵切換到成員設備操作界麵 |
cluster switch-to { member-number | mac-address mac-address | sysname member-sysname } |
必選 |
|
從成員設備操作界麵切換到管理設備操作界麵 |
cluster switch-to administrator |
必選 |
管理設備和成員設備間的切換均使用了Telnet連接,進行切換時需要注意:
· 成員設備切換到管理設備上需要認證,認證不通過將會導致切換失敗,切換成功後用戶權限根據管理設備預定的級別分配。
· 候選設備加入集群成為成員設備後,其級別為3的super password會自動同步與管理設備保持一致。集群建立以後,建議用戶不要修改集群成員(包括管理設備和成員設備)的super password,以免切換時由於認證不通過而失敗。
· 從管理設備切換到成員設備,如果指定的成員不存在,將顯示出錯信息;切換成功後在成員設備上繼承管理設備上的當前級別。
· 如果被請求登錄的設備Telnet用戶已滿將會導致切換失敗。
· 集群中的設備互訪時需避免形成環狀切換,以免造成資源浪費。譬如:當從管理設備切換到成員設備後,又需切換回管理設備時,請使用quit命令結束切換,而不要使用cluster switch-to administrator命令切換到管理設備。
用戶可以在候選設備上進行配置,將候選設備自身加入某個已建立的集群。
表1-17 配置候選設備加入集群
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
配置候選設備加入集群 |
administrator-address mac-address name name |
必選 |
白名單與黑名單是拓撲管理的依據,網絡管理員可通過將當前網絡拓撲(即集群當前的拓撲節點和鄰接關係等信息,記錄了當前的網絡拓撲狀況)與標準拓撲進行比較對當前的網絡狀況進行診斷,兩者的含義如下:
· 拓撲管理白名單:即標準拓撲,是網絡管理員對當前網絡拓撲進行確認之後認為正確的網絡拓撲信息。可根據當前網絡拓撲狀況實現對白名單的維護,包括添加、刪除和修改結點。
· 拓撲管理黑名單:列入黑名單中的設備不允許自動加入集群。黑名單信息包括設備的MAC地址,若該設備通過非黑名單中的設備接入,則還包括接入設備的MAC地址和接入端口。被列入黑名單的候選設備,需要網絡管理員手工將其從黑名單刪除後,方可加入集群
白名單與黑名單具有互斥性:白名單中的節點必定不在黑名單中;黑名單中的節點也不能加入白名單。拓撲節點可以既不在白名單也不在黑名單中,這類節點通常屬於新增結點,其身份還有待網絡管理員的確認。
用戶可以對白名單和黑名單進行備份和恢複,有以下兩種方式:
· 備份在集群公用的FTP服務器上:白名單與黑名單可以手動從FTP服務器上恢複。
· 備份在管理設備的Flash中:當管理設備重啟時,白名單與黑名單會自動從管理設備的Flash中恢複;當集群重新創建時,可根據用戶的選擇決定是否從管理設備的Flash中恢複,也可手動從管理設備的Flash中恢複。
表1-18 配置集群拓撲管理
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
將設備加入黑名單 |
black-list add-mac mac-address |
可選 |
|
將設備從黑名單中刪除 |
black-list delete-mac { all | mac-address } |
可選 |
|
確認集群當前的拓撲信息,並存為標準拓撲 |
topology accept { all [ save-to { ftp-server | local-flash } ] | mac-address mac-address | member-id member-number } |
可選 |
|
保存標準拓撲信息到FTP服務器或者本地Flash中 |
topology save-to { ftp-server | local-flash } |
可選 |
|
獲取標準拓撲信息進行恢複 |
topology restore-from { ftp-server | local-flash } |
可選 |
集群建立後,可以在管理設備上為集群統一配置FTP/TFTP服務器、網管主機和日誌主機:
· 為集群統一配置FTP/TFTP服務器後,成員設備通過管理設備來訪問配置的FTP/TFTP服務器。
· 為集群統一配置日誌主機後,成員設備的所有日誌信息都將輸出到該日誌主機上:當成員設備輸出日誌信息時,日誌信息將直接發送給管理設備,並由管理設備對這些日誌信息進行地址轉換,然後發送到該日誌主機上。
· 為集群統一配置網管主機後,成員設備通過管理設備向公用的SNMP網管站發送Trap信息。
如果接入網管設備(包括FTP/TFTP服務器、網管主機和日誌主機)的端口不允許管理VLAN通過,網管設備將無法通過管理設備對集群內部的設備進行管理。這時需在管理設備上將這些接入網管設備的VLAN接口配置為網管接口。
表1-19 配置集群內外交互
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
配置集群公用的FTP服務器 |
ftp-server ip-address [ user-name username password { cipher | simple } password ] |
必選 缺省情況下,集群沒有公用的FTP服務器 |
|
配置集群公用的TFTP服務器 |
tftp-server ip-address |
必選 缺省情況下,集群沒有公用的TFTP服務器 |
|
配置集群公用的日誌主機 |
logging-host ip-address |
必選 缺省情況下,集群沒有公用的日誌主機 |
|
配置集群公用的SNMP網管站 |
snmp-host ip-address [ community-string read string1 write string2 ] |
必選 缺省情況下,集群沒有公用的SNMP網管站 |
|
配置管理設備的網管接口 |
nm-interface vlan-interface interface-name |
可選 |
為了將集群的管理協議報文與集群外部網絡的報文隔離,建議管理設備與集群網絡外部的設備相連的端口不要允許管理VLAN通過,並配置管理設備的網管接口。
SNMP配置同步功能方便了集群管理,可以在管理設備上進行SNMP的相關配置操作並將其同步到白名單中的成員設備上,相當於對成員設備進行批量配置,極大地簡化配置過程。
表1-20 SNMP配置同步功能
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
配置集群公用的SNMP團體 |
cluster-snmp-agent community { read | write } community-name [ mib-view view-name ] |
必選 |
|
配置集群公用的SNMP v3組 |
cluster-snmp-agent group v3 group-name [ authentication | privacy ] [ read-view read-view ] [ write-view write-view ] [ notify-view notify-view ] |
必選 |
|
創建或者更新集群公用的MIB視圖信息 |
cluster-snmp-agent mib-view included view-name oid-tree |
必選 缺省情況下,集群公用的MIB視圖名為ViewDefault,可訪問ISO子樹 |
|
為集群公用的SNMP v3組添加一個新用戶 |
cluster-snmp-agent usm-user v3 user-name group-name [ authentication-mode { md5 | sha } [ cipher | simple ] auth-password [ privacy-mode des56 [ cipher | simple ] priv-password ] ] |
必選 |
· 集群解散或成員設備從白名單中刪除時,SNMP相關配置都將繼續保留。
· 有關SNMP的相關介紹,請參見“網絡管理和監控配置指導”中的“SNMP配置”。
批量配置Web賬戶功能提供了一種便捷的方法,用戶可以在管理設備上配置通過Web方式登錄到集群內部設備(包括管理設備和成員設備)的用戶名和密碼,並將配置同步到白名單中的成員設備上。當用戶通過Web方式登錄到集群內部設備上進行相關操作時,需要輸入用戶名和密碼。
表1-21 批量配置Web賬戶
|
操作 |
命令 |
說明 |
|
進入係統視圖 |
system-view |
- |
|
進入集群視圖 |
cluster |
- |
|
批量配置Web賬戶 |
cluster-local-user user-name password { cipher | simple } password |
必選 |
集群解散或成員設備從白名單中刪除時,Web賬戶的配置將繼續保留。
在完成上述配置後,在任意視圖下執行display命令可以顯示配置後集群的運行情況,通過查看顯示信息驗證配置的效果。
在用戶視圖下執行reset命令可以清除NDP的統計信息。
|
操作 |
命令 |
|
顯示NDP的配置信息 |
display ndp [ interface interface-list ] [ | { begin | exclude | include } regular-expression ] |
|
顯示NTDP的配置信息 |
display ntdp [ | { begin | exclude | include } regular-expression ] |
|
顯示NTDP收集到的設備信息 |
display ntdp device-list [ verbose ] [ | { begin | exclude | include } regular-expression ] |
|
顯示指定設備的NTDP詳細信息 |
display ntdp single-device mac-address mac-address [ | { begin | exclude | include } regular-expression ] |
|
顯示設備所屬集群的信息 |
display cluster [ | { begin | exclude | include } regular-expression ] |
|
顯示集群的標準拓撲信息 |
display cluster base-topology [ mac-address mac-address | member-id member-number ] [ | { begin | exclude | include } regular-expression ] |
|
顯示集群當前的黑名單 |
display cluster black-list [ | { begin | exclude | include } regular-expression ] |
|
顯示候選設備的信息 |
display cluster candidates [ mac-address mac-address | verbose ] [ | { begin | exclude | include } regular-expression ] |
|
顯示集群當前的拓撲信息 |
display cluster current-topology [ mac-address mac-address [ to-mac-address mac-address ] | member-id member-number [ to-member-id member-number ] ] [ | { begin | exclude | include } regular-expression ] |
|
顯示成員設備的信息 |
display cluster members [ member-number | verbose ] [ | { begin | exclude | include } regular-expression ] |
|
清除NDP的統計信息 |
reset ndp statistics [ interface interface-list ] |
· 由三台交換機組成集群abc,其管理VLAN為VLAN 10。其中,Switch B為管理設備(Administrator),其網管接口為Vlan-interface2;Switch A和Switch C為成員設備(Member)。
· 整個集群將IP地址為63.172.55.1/24設備作為FTP服務器和TFTP服務器,SNMP網管站及日誌主機的IP地址為69.172.55.4/24。
· 通過配置,將MAC地址為00E0-FC01-0013的設備加入黑名單。
# 使能全局NDP功能和端口GigabitEthernet1/0/1上的NDP功能。
<SwitchA> system-view
[SwitchA] ndp enable
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ndp enable
[SwitchA-GigabitEthernet1/0/1] quit
# 使能全局NTDP功能和端口GigabitEthernet1/0/1上的NTDP功能。
[SwitchA] ntdp enable
[SwitchA] interface gigabitethernet 1/0/1
[SwitchA-GigabitEthernet1/0/1] ntdp enable
[SwitchA-GigabitEthernet1/0/1] quit
# 使能集群功能。
[SwitchA] cluster enable
(2) 配置成員設備Switch C
由於成員設備的配置相同,因此Switch C上的配置與Switch A相似,配置過程略。
(3) 配置管理設備Switch B
# 使能全局NDP功能,並分別使能端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上的NDP功能。
<SwitchB> system-view
[SwitchB] ndp enable
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ndp enable
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ndp enable
[SwitchB-GigabitEthernet1/0/3] quit
# 配置本設備發送的NDP報文在接收設備上的老化時間為200秒。
[SwitchB] ndp timer aging 200
# 配置NDP報文發送的時間間隔為70秒。
[SwitchB] ndp timer hello 70
# 使能全局NTDP功能,並分別使能端口GigabitEthernet1/0/2和GigabitEthernet1/0/3上的NTDP功能。
[SwitchB] ntdp enable
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] ntdp enable
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] ntdp enable
[SwitchB-GigabitEthernet1/0/3] quit
# 配置拓撲收集的最大跳數為2跳。
[SwitchB] ntdp hop 2
# 配置被收集設備首個端口轉發拓撲收集請求報文的延遲時間為150ms。
[SwitchB] ntdp timer hop-delay 150
# 配置被收集設備其它端口轉發拓撲收集請求報文的延遲時間為15ms。
[SwitchB] ntdp timer port-delay 15
# 配置拓撲收集的時間間隔為3分鍾。
[SwitchB] ntdp timer 3
# 配置集群的管理VLAN為VLAN 10。
[SwitchB] vlan 10
[SwitchB-vlan10] quit
[SwitchB] management-vlan 10
# 將端口GigabitEthernet1/0/2和GigabitEthernet1/0/3都配置為Trunk口,並允許管理VLAN通過。
[SwitchB] interface gigabitethernet 1/0/2
[SwitchB-GigabitEthernet1/0/2] port link-type trunk
[SwitchB-GigabitEthernet1/0/2] port trunk permit vlan 10
[SwitchB-GigabitEthernet1/0/2] quit
[SwitchB] interface gigabitethernet 1/0/3
[SwitchB-GigabitEthernet1/0/3] port link-type trunk
[SwitchB-GigabitEthernet1/0/3] port trunk permit vlan 10
[SwitchB-GigabitEthernet1/0/3] quit
# 使能集群功能。
[SwitchB] cluster enable
# 配置成員設備的私有IP地址範圍為172.16.0.1~172.16.0.7。
[SwitchB] cluster
[SwitchB-cluster] ip-pool 172.16.0.1 255.255.255.248
# 配置當前設備為管理設備,並建立名為abc的集群。
[SwitchB-cluster] build abc
Restore topology from local flash file,for there is no base topology.
(Please confirm in 30 seconds, default No). (Y/N)
N
# 使能管理VLAN自協商功能。
[abc_0.SwitchB-cluster] management-vlan synchronization enable
# 配置成員設備信息的有效保留時間為100秒。
[abc_0.SwitchB-cluster] holdtime 100
# 配置發送握手報文的時間間隔為10秒。
[abc_0.SwitchB-cluster] timer 10
# 分別指定集群公用的FTP服務器、TFTP服務器、日誌主機和SNMP網管站。
[abc_0.SwitchB-cluster] ftp-server 63.172.55.1
[abc_0.SwitchB-cluster] tftp-server 63.172.55.1
[abc_0.SwitchB-cluster] logging-host 69.172.55.4
[abc_0.SwitchB-cluster] snmp-host 69.172.55.4
# 將MAC地址為00E0-FC01-0013的設備加入黑名單。
[abc_0.SwitchB-cluster] black-list add-mac 00e0-fc01-0013
[abc_0.SwitchB-cluster] quit
# 將端口GigabitEthernet1/0/1加入VLAN 2,並為接口Vlan-interface2配置IP地址。
[abc_0.SwitchB] vlan 2
[abc_0.SwitchB-vlan2] port gigabitethernet 1/0/1
[abc_0.SwitchB] quit
[abc_0.SwitchB] interface vlan-interface 2
[abc_0.SwitchB-Vlan-interface2] ip address 163.172.55.1 24
[abc_0.SwitchB-Vlan-interface2] quit
# 將接口Vlan-interface2配置為網管接口。
[abc_0.SwitchB] cluster
[abc_0.SwitchB-cluster] nm-interface vlan-interface 2
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
