::: hljs-center

DRNI+VRRP及DRNI+VLAN双活组网

配置介绍

H3C交换机技术专题篇
DRNI是一种跨设备链路聚合技术，将两台物理设备在聚合层面虚拟成一台设备来实现跨设备链路聚合，从而提供设备级冗余保护和流量负载分担。DRNI技术目前已经在现网广泛应用，之前我们介绍了DRNI的几种典型组网，今天我们就一起来了解一下其中应用最为广泛的两种，DRNI+VRRP及DRNI+VLAN双活组网的具体配置，文末附有两种组网的HCL模拟器工程文件哦~
DRNI+VRRP组网
DRNI系统作为接入层网络中网关设备时，可以在DRNI系统成员设备上部署VRRP，为用户侧提供冗余备份的网关，保证用户侧流量故障时三层转发不中断。在之前的介绍中我们知道，DRNI系统结合VRRP协议仅需部署VRRP标准协议模式，即可实现DR口下挂的业务流量通过跨设备链路聚合HASH到两个VRRP网关上，且两个VRRP网关均有转发能力，简化了用户配置，同时实现了三层转发流量的负载分担。

接下来我们一起来看一下如何配置DRNI+VRRP组网吧。
如图是一个简单的三层组网，Device4是终端设备，网关在Device1和Device2组成的DR系统上，Device3是核心设备，DR系统到核心通过OSPF打通。

首先我们来看下DR系统两台设备的配置，Device1是DRNI主设备，也是VRRP的master设备。在对Device1进行配置时：
第一步需要配置DRNI系统，配置DRNI系统mac，system-number配为1，配置系统优先级为123，此处需注意DR系统两台设备的系统mac需配置为相同的；
1.配置DRNI系统
drni system-mac 0001-0001-0001
drni system-number 1
drni system-priority 123
第二步配置Keepalive链路。在本组网中我们将G1/0/5口改为路由口，配置接口IP地址，接着配置Keepalive链路的源目IP。Keepalive链路的源目IP或者VLAN最好不要用于现网业务；
2. 配置Keepalive链路
interface GigabitEthernet1/0/5
port link-mode route
ip address 1.1.1.1 255.255.255.0

drni keepalive ip destination 1.1.1.2 source 1.1.1.1
第三步配置IPL链路。先起一个聚合组-聚合1，将两台设备互联的G1/0/1和G1/0/2加入聚合组1，再将聚合组配置为IPP口；
3.配置IPL链路
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic
port drni intra-portal-port 1

interface GigabitEthernet1/0/1
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1

interface GigabitEthernet1/0/2
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 1
第四步配置DR口。在设备上起一个聚合组-聚合2，将Device1与终端Device4互联的G1/0/3口加入聚合2，再将聚合2配置为DR口，放通终端VLAN-VLAN10。
4.配置DR口
interface Bridge-Aggregation2
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10
link-aggregation mode dynamic
port drni group 1

interface GigabitEthernet1/0/3
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10
port link-aggregation group 2
第五步配置VRRP。这里按照标准VRRP配置就好啦，配置网关Vlan-interface10的实地址为10.1.1.1，虚IP为10.1.1.3。考虑到DRNI备设备业务口被MAD DOWN时，如果VRRP主在DRNI备设备上，需要进行一次VRRP主备切换，可能影响业务，因此建议VRRP主备和DRNI主备保持一致。我们可以通过配置VRRP优先级，使DRNI主设备成为VRRP master设备，VRRP优先级缺省是100，优先级越大越优先，因此这里我们把优先级配置为200；
5.配置VRRP
interface Vlan-interface10
ip address 10.1.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.3
vrrp vrid 1 priority 200
第六步配置DRNI MAD保留接口。设备缺省已经将DR聚合口、IPP口加入保留接口，还需要将Keepalive口和DR口允许通过的终端vlan对应的vlan-interface配置为保留接口，配置完成后可以使用命令display drni mad verbose查看缺省保留接口及手动配置的保留接口。如下举例中，管理口0/0/0、IPP口聚合1和成员口、DR聚合口聚合2是system-configured系统保留接口，Keepalive口G1/0/5和Vlan-interface10是user-configured保留接口。
6.配置DRNI MAD保留接口
drni mad exclude interface GigabitEthernet1/0/5
drni mad exclude interface Vlan-interface10
[Device1]display drni mad verbose
Port configuration for DRNI MAD DOWN action:
Included ports(user-configured):
Included ports(system-configured):
Member interfaces of DR Bridge-Aggregation2:
GigabitEthernet1/0/3
Excluded ports(user-configured):
GigabitEthernet1/0/5
Vlan-interface10
Excluded ports(system-configured):
Management interfaces:
M-GigabitEthernet0/0/0
DR interfaces:
Bridge-Aggregation2
IPP:
Bridge-Aggregation1
Member interfaces of IPP Bridge-Aggregation1:
GigabitEthernet1/0/1
GigabitEthernet1/0/2
到这一步DR系统到终端设备之间的接入网络就已经配置好了，Device2上的配置和Device1类似，不同点在于要将DRNI system-number配置为2，VRRP优先级要比主设备低，主设备我们配置的优先级是200，这里我们保持缺省优先级100就可以了，Device2上配置不一样的地方如下：
1.DRNI system-number和Device1不同
drni system-mac 0001-0001-0001
drni system-number 2
drni system-priority 123
2.VRRP优先级比Device1低
interface Vlan-interface10
ip address 10.1.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 10.1.1.3
VRRP缺省优先级100
接下来需要在核心Device3和两台DR系统设备之间建立OSPF邻居，各自引入直连路由；此外为了保证上行链路故障后，上行流量可以跨IPL链路转发，可以在Device1和Device2上配置Vlan-interface100，也建立OSPF邻居，使两台DR设备三层互通。最后在终端上配置VRRP虚IP 10.1.1.3为网关就可以啦。

全部配置完成后，在Device1和Device2上可以看到DR系统和VRRP的相关信息，如图所示，在Device1通过display drni system命令可以看到自己的角色、系统mac等信息，也可以看到对端Device2的相关信息；通过display vrrp verbose命令可以看到本端的VRRP相关信息。

在表项学习上，两台DR设备上终端ARP10.1.1.4都学习在DR聚合口上，Device1还会在IPP口学习到对端Device2的实地址10.1.1.2，由于Device1是VRRP master设备，Device2除了在IPP口学到Device1的实地址之外，也会学到VRRP虚地址的arp，终端Device4上则会学到两台DR设备的实地址和VRRP虚地址的arp。在核心Devic3上，到终端10.1.1.4的路由在两台DR设备上通过OSPF形成了等价。

DRNI+VLAN双活组网
除了DRNI结合VRRP协议，DRNI系统也可以与VLAN双活网关结合实现三层转发。VLAN双活网关场景需要分别在接入层DR设备上配置相同的VLAN虚接口IP地址和MAC地址，该VLAN虚接口作为下连设备的双活网关进行三层转发。

那么DRNI+VLAN双活网关应该如何配置呢？

让我们回到之前的组网，在VLAN双活组网中，两台DR设备上，网关Vlan-interface10具有相同的IP和mac地址，作为终端接入设备的双活网关。

我们需要手动将两台设备上网关Vlan-interface10的IP和mac配置为相同的：
Device1

interface Vlan-interface10
ip address 10.1.1.3 255.255.255.0
mac-address 0002-0002-0002
Device2
interface Vlan-interface10
ip address 10.1.1.3 255.255.255.0
mac-address 0002-0002-0002
部分交换机上缺省开启了入接口与静态MAC地址表项匹配检查功能，在Device1和Device2上都有相同的Vlan-interface10时，Device2通过IPL链路三层转发到Device1的报文，源mac是网关Vlan-interface10的mac地址，Device1上存在这个静态mac地址表项，对应接口是Vlan-interface10，而不是IPP口，因此检查不通过会将报文丢弃。为了规避这个问题，在IPP口上，我们可以配置undo mac-address static source-check enable命令，关闭报文入接口与静态MAC地址表项匹配检查功能。
PS：该命令目前HCL模拟器还不支持，正在加紧开发中~
两端IPP口配置
interface Bridge-Aggregation1
port link-type trunk
port trunk permit vlan all
undo mac-address static source-check enable
link-aggregation mode dynamic
port drni intra-portal-port 1
除了这两点，DRNI+VLAN双活组网里面也需要让两台DR设备三层互通，在Device1和Device2上配置Vlan-interface100，建立OSPF邻居。其他配置和DRNI+VRRP组网是一样的，在这里我们就不赘述了。

配置完成后，在DR设备Device1和Device2上，终端10.1.1.4的arp都学习在DR口上；在终端设备Device4上，只会在互联接口学到网关10.1.1.3的arp信息，其中学习到的网关mac地址就是我们在DR设备上配置的mac地址，这样终端访问外网的报文就会在互联聚合组内hash；在核心设备Device3上，同样通过OSPF形成了等价路由。

需要注意的是，在DRNI+VLAN双活组网中，从网关ping终端设备可能会ping不通。如图所示，如果我们从Device1去ping Device4,源IP为网关10.1.1.3的Request报文从左侧链路到达Device4后，由于网关arp学习在聚合口，Device4回复的Reply报文会在聚合2 hash，如果hash到右侧Device2，由于Device2上也有网关IP，Reply报文会被Device2直接处理，Device1不会收到Reply报文。因此，在DRNI+VLAN双活组网中，网关ping不通终端是正常现象。

以上就是DRNI+VRRP及DRNI+VLAN双活两种组网的具体配置实现。

从配置来看，VRRP组网需要在DR设备上配置虚IP和各自的实IP，VLAN双活组网需要为两台设备配置相同的网关IP和MAC；两种组网终端ARP都学习在DR聚合口上；VRRP组网下，终端上可以学习到DR系统的VRRP虚地址和两台DR设备的实地址，而VLAN双活组网下，终端上只会学习到双活网关的ARP表项。

目前DRNI+VRRP组网已在现网中广泛应用，支持DRNI的设备基本都可以支持DRNI+VRRP组网，DRNI+VLAN双活组网目前只有部分设备的新版本支持，还在持续开发中，具体支持情况可以在新华三官网查询相应设备的配置手册。

文章版权归网络之路博客（公众号同名）所有，转载请标明出处，谢谢，大家也可以关注公众号以及博主个人微信 ciscohuaweih3c。