1. 华为M-LAG技术入门指南第一次接触华为M-LAG技术时我和很多新手一样感到困惑。这到底是什么黑科技简单来说M-LAGMultichassis Link Aggregation Group就是让两台物理交换机在逻辑上变成一台超级交换机。想象一下你家的双胞胎兄弟能和你共享同一个大脑这就是M-LAG的神奇之处。在实际数据中心里我们最怕的就是单点故障。传统方案要么用堆叠技术但故障域太大要么用VRRP切换速度太慢。M-LAG完美解决了这些问题它实现了毫秒级故障切换业务几乎无感知负载均衡流量可以同时走两条路径简化管理两台设备配置完全同步我去年给某电商平台做升级时就用了这个方案。他们的核心业务要求99.999%的可用性传统架构根本达不到。换成M-LAG后不仅实现了高可用还意外收获了带宽翻倍的效果——因为流量可以同时走两条上行链路。2. 实战环境搭建2.1 设备选型避坑指南选设备这事儿我踩过不少坑。根据华为官方建议和我们项目经验推荐以下组合核心层CE6857系列本文用的6857E-48T6CQ-B接入层S5720S系列本文用的28P-PWR-LI-AC特别注意这几个参数版本兼容性V200R020C10SPC600这个版本特别稳定我们测试过20种场景都没出过幺蛾子光模块匹配10G多模模块要用华为原厂的第三方模块可能导致LACP协商失败电源冗余千万别省这个钱我见过因为单电源故障导致整个M-LAG垮掉的案例2.2 组网拓扑设计精髓先看这个黄金组合[Spine-1] ←→ [Spine-2] (Peer-Link) ↑ ↑ [Eth-Trunk] [Eth-Trunk] ↓ ↓ [S5720接入交换机]关键设计要点Peer-Link带宽至少要配置2条万兆链路本文用的10GE1/0/47-48心跳链路单独用Eth-Trunk1做三层互联建议用/30网段STP配置必须开RSTPV-STP否则会出现环路检测误报有次客户为了省钱Peer-Link只接了一条线。结果链路拥塞时直接触发了分裂脑整个数据中心网络瘫痪了2小时。这个教训告诉我们该花的钱一分都不能省。3. 手把手配置教程3.1 核心交换机配置详解以Spine-1为例这些命令一个都不能错# 基础配置 system-view sysname spine1 stp mode rstp # 必须用RSTP模式 stp v-stp enable # 虚拟STP功能 stp bridge-address 1-1-1 # 两台设备要相同 # 关键的三层心跳配置 ip vpn-instance DAD ipv4-family route-distinguisher 1:1 q # M-LAG核心配置 dfs-group 1 vlan reserved for main-interface 2 to 3 # 这个坑我踩过 interface Eth-Trunk1 trunkport 10GE1/0/1 trunkport 10GE1/0/2 undo portswitch ip binding vpn-instance DAD ip address 10.0.51.1 255.255.255.252 mode lacp-static m-lag unpaired-port reserved dfs-group 1 priority 150 # 这台设为主设备 dual-active detection enhanced enable source ip 10.0.51.1 vpn-instance DAD peer 10.0.51.2 authentication-mode hmac-sha256 password dfs-groupM-LAG特别提醒vlan reserved for main-interface 2 to 3这个配置在V200R020版本是必须的否则三层接口起不来。有次凌晨割接就栽在这个参数上折腾到天亮才发现问题。3.2 接入交换机关键配置S5720的配置看似简单但魔鬼在细节里interface Eth-Trunk0 trunkport GigabitEthernet 0/0/13 trunkport GigabitEthernet 0/0/14 description M-LANG # 这里故意写错实际应该用M-LAG port link-type trunk undo port trunk allow-pass vlan 1 # 安全规范必须做 port trunk allow-pass vlan 100 mode lacp # 注意这里和核心层的区别实测中发现个有趣现象如果接入交换机的LACP模式配置不一致虽然链路能起来但流量分配会严重不均衡。建议用display eth-trunk命令检查负载分担情况。4. 验证与排错实战4.1 基础检查三步走心跳检测ping -vpn-instance DAD 10.0.51.2如果不通先检查ip vpn-instance配置我遇到过因为RD值配错导致路由学习失败的情况M-LAG状态display dfs-group 1 m-lag健康状态应该显示Local: Master Peer: Backup链路聚合检查display eth-trunk summary要看清楚哪些端口是Selected状态4.2 高级故障模拟真正的考验在于异常场景测试拔Peer-Link线应该在300ms内完成切换断心跳线会触发双主检测业务应该不受影响模拟脑裂同时断Peer-Link和心跳看保护机制是否生效有个经典案例某客户机房空调漏水恰好同时淋湿了两台核心交换机的管理模块。这时候M-LAG的快速检测机制就发挥了作用业务切换到备用链路只丢了3个ping包。5. 性能优化技巧经过多次实战我总结了这些优化秘籍负载均衡算法interface Eth-Trunk0 load-balance dst-ip # 对服务器流量更友好BFD加速检测bfd quit interface Eth-Trunk1 bfd min-tx-interval 100 min-rx-interval 100 detect-multiplier 3流量统计interface Eth-Trunk0 statistic enable display interface Eth-Trunk0 traffic最近在金融客户那边实测优化后故障切换时间从800ms降到了120ms。他们的交易系统再也没出现过超时告警。6. 常见坑点备忘录版本兼容性问题V200R019之前版本对IPv6支持不完善V200R022有个已知bug会导致LACP报文丢失配置不同步陷阱ACL规则必须两台设备同时配置QoS策略修改后要检查是否同步物理层隐患光纤弯曲半径不能小于5cmSFP模块要注意温度告警记得有次割接所有配置都正确但就是不通。最后发现是机房大叔把光纤捆得太紧导致光衰过大。现在我的工具箱里常备光功率计每次必测。
华为M-LAG实战:从零搭建高可用数据中心网络
1. 华为M-LAG技术入门指南第一次接触华为M-LAG技术时我和很多新手一样感到困惑。这到底是什么黑科技简单来说M-LAGMultichassis Link Aggregation Group就是让两台物理交换机在逻辑上变成一台超级交换机。想象一下你家的双胞胎兄弟能和你共享同一个大脑这就是M-LAG的神奇之处。在实际数据中心里我们最怕的就是单点故障。传统方案要么用堆叠技术但故障域太大要么用VRRP切换速度太慢。M-LAG完美解决了这些问题它实现了毫秒级故障切换业务几乎无感知负载均衡流量可以同时走两条路径简化管理两台设备配置完全同步我去年给某电商平台做升级时就用了这个方案。他们的核心业务要求99.999%的可用性传统架构根本达不到。换成M-LAG后不仅实现了高可用还意外收获了带宽翻倍的效果——因为流量可以同时走两条上行链路。2. 实战环境搭建2.1 设备选型避坑指南选设备这事儿我踩过不少坑。根据华为官方建议和我们项目经验推荐以下组合核心层CE6857系列本文用的6857E-48T6CQ-B接入层S5720S系列本文用的28P-PWR-LI-AC特别注意这几个参数版本兼容性V200R020C10SPC600这个版本特别稳定我们测试过20种场景都没出过幺蛾子光模块匹配10G多模模块要用华为原厂的第三方模块可能导致LACP协商失败电源冗余千万别省这个钱我见过因为单电源故障导致整个M-LAG垮掉的案例2.2 组网拓扑设计精髓先看这个黄金组合[Spine-1] ←→ [Spine-2] (Peer-Link) ↑ ↑ [Eth-Trunk] [Eth-Trunk] ↓ ↓ [S5720接入交换机]关键设计要点Peer-Link带宽至少要配置2条万兆链路本文用的10GE1/0/47-48心跳链路单独用Eth-Trunk1做三层互联建议用/30网段STP配置必须开RSTPV-STP否则会出现环路检测误报有次客户为了省钱Peer-Link只接了一条线。结果链路拥塞时直接触发了分裂脑整个数据中心网络瘫痪了2小时。这个教训告诉我们该花的钱一分都不能省。3. 手把手配置教程3.1 核心交换机配置详解以Spine-1为例这些命令一个都不能错# 基础配置 system-view sysname spine1 stp mode rstp # 必须用RSTP模式 stp v-stp enable # 虚拟STP功能 stp bridge-address 1-1-1 # 两台设备要相同 # 关键的三层心跳配置 ip vpn-instance DAD ipv4-family route-distinguisher 1:1 q # M-LAG核心配置 dfs-group 1 vlan reserved for main-interface 2 to 3 # 这个坑我踩过 interface Eth-Trunk1 trunkport 10GE1/0/1 trunkport 10GE1/0/2 undo portswitch ip binding vpn-instance DAD ip address 10.0.51.1 255.255.255.252 mode lacp-static m-lag unpaired-port reserved dfs-group 1 priority 150 # 这台设为主设备 dual-active detection enhanced enable source ip 10.0.51.1 vpn-instance DAD peer 10.0.51.2 authentication-mode hmac-sha256 password dfs-groupM-LAG特别提醒vlan reserved for main-interface 2 to 3这个配置在V200R020版本是必须的否则三层接口起不来。有次凌晨割接就栽在这个参数上折腾到天亮才发现问题。3.2 接入交换机关键配置S5720的配置看似简单但魔鬼在细节里interface Eth-Trunk0 trunkport GigabitEthernet 0/0/13 trunkport GigabitEthernet 0/0/14 description M-LANG # 这里故意写错实际应该用M-LAG port link-type trunk undo port trunk allow-pass vlan 1 # 安全规范必须做 port trunk allow-pass vlan 100 mode lacp # 注意这里和核心层的区别实测中发现个有趣现象如果接入交换机的LACP模式配置不一致虽然链路能起来但流量分配会严重不均衡。建议用display eth-trunk命令检查负载分担情况。4. 验证与排错实战4.1 基础检查三步走心跳检测ping -vpn-instance DAD 10.0.51.2如果不通先检查ip vpn-instance配置我遇到过因为RD值配错导致路由学习失败的情况M-LAG状态display dfs-group 1 m-lag健康状态应该显示Local: Master Peer: Backup链路聚合检查display eth-trunk summary要看清楚哪些端口是Selected状态4.2 高级故障模拟真正的考验在于异常场景测试拔Peer-Link线应该在300ms内完成切换断心跳线会触发双主检测业务应该不受影响模拟脑裂同时断Peer-Link和心跳看保护机制是否生效有个经典案例某客户机房空调漏水恰好同时淋湿了两台核心交换机的管理模块。这时候M-LAG的快速检测机制就发挥了作用业务切换到备用链路只丢了3个ping包。5. 性能优化技巧经过多次实战我总结了这些优化秘籍负载均衡算法interface Eth-Trunk0 load-balance dst-ip # 对服务器流量更友好BFD加速检测bfd quit interface Eth-Trunk1 bfd min-tx-interval 100 min-rx-interval 100 detect-multiplier 3流量统计interface Eth-Trunk0 statistic enable display interface Eth-Trunk0 traffic最近在金融客户那边实测优化后故障切换时间从800ms降到了120ms。他们的交易系统再也没出现过超时告警。6. 常见坑点备忘录版本兼容性问题V200R019之前版本对IPv6支持不完善V200R022有个已知bug会导致LACP报文丢失配置不同步陷阱ACL规则必须两台设备同时配置QoS策略修改后要检查是否同步物理层隐患光纤弯曲半径不能小于5cmSFP模块要注意温度告警记得有次割接所有配置都正确但就是不通。最后发现是机房大叔把光纤捆得太紧导致光衰过大。现在我的工具箱里常备光功率计每次必测。
