1.3 IRF2对上层控制协议的支撑

IRF2的基本虚拟化思想是将多台设备合并成单台高密逻辑框式设备，因此系统内有多块主控，如何处理好Master主控与众多Slave主控的关系，成为IRF2支撑上层协议处理的关键。

IRF2系统采用的是1:N冗余，即Master负责处理业务，Slave作为Master的备份，随时与Master保持同步。当Master工作异常时，IRF2系统将选择其中一台Slave成为新的Master，接替原Master继续管理和运营IRF2系统，不会对原有网络功能和业务造成影响，

IRF2协议热备份功能负责将各运行协议的配置信息以及支撑协议运行的数据（比如状态机或者会话表项等）同步到其它所有成员设备，与单框设备的双引擎工作方式相似，从而使得IRF2系统能够作为一台独立的设备在网络中运行。

以路由协议为例，如图6所示，IRF2系统与外部网络使用的OSPF路由协议。当Master收到邻居路由器发送过来的Update报文时，一方面它会更新本地的路由表，同时它会立即将更新的路由表项以及协议状态信息发给其它所有成员设备，其它成员设备收到后会立即更新本地的路由表及协议状态，以保证IRF2系统中各个物理设备上路由相关信息的严格同步。当Slave收到邻居路由器发送过来的Update报文时，Slave设备会将该报文交给Master处理。

http://www.h3c.com.cn/res/200910/13/20091013_854979_image006_650694_30008_0.png（下）" TITLE="IRF系列（一）：网络虚拟化IRF2技术架构 （下）" />

图6 IRF2的协议处理

当Master故障时，新选举的Master可以在GR环境下无缝的接手系统运行的工作，新的Master接收到邻居路由器过来的OSPF报文后，会将更新的路由表项以及协议状态信息发给其它所有成员设备，并不会影响IRF2中数据转发。这样就保证了当成员设备出现故障的时候，其它成员设备可以照常运行并接管故障的物理设备功能，此时，域内路由协议不会随之出现中断，二三层转发流量和业务也不会出现中断，IRF2系统的GR与单台设备的GR处理流程相同，从而实现了不中断业务的故障保护和设备切换功能。

1.4 IRF2的底层转发实现

图8显示了单台框式设备与外部设备协议交互计算时的底层转发模式。设备通过主控与协议邻居进行协议的状态计算，产生全网的路由信息，然后形成转发表项，由主控下发同步到各接口卡(如图8左图)。在实际报文转发上，当以太网数据进入交换机时，交换机硬件ASIC根据转发表信息和报文头抽取源端口号、转发出端口号、其它信息组装成设备内部数据转发的附加信息头Inner Header，加载在实际以太网报文帧前在设备内部转发(如图7右图)。

http://www.h3c.com.cn/res/200910/13/20091013_854980_image007_650694_30008_0.png（下）" TITLE="IRF系列（一）：网络虚拟化IRF2技术架构 （下）" />

图7 单台框式设备的转发方式

对于IRF2结构下的转发，与单框设备的转发机制基本相似。对于多台盒式设备组成的IRF2系统，由Master计算并形成各成员的转发表；对于多台框式设备组成的IRF2系统，由Master设备的主用主控计算生成转发表，各框线卡的转发表均由此主控同步下发。当数据流在IRF2系统的成员设备间转发时，交换机硬件ASIC根据转发表信息和报文头抽取源端口号、转发出端口号、其它信息组装成IRF2系统内数据转发的附加信息头IRF2 Head，并封装在以太网报文前面通过IRF2互联链路转发到其它IRF2成员，便于出方向设备进行正确处理。如图8所示。

http://www.h3c.com.cn/res/200910/13/20091013_854981_image008_650694_30008_0.png（下）" TITLE="IRF系列（一）：网络虚拟化IRF2技术架构 （下）" />

图8 IRF2转发模式

IRF2采用分布式转发实现报文的二/三层转发，最大限度的发挥了每个成员的处理能力。IRF2系统中的每个成员设备都有完整的二/三层转发能力，当它收到待转发的二/三层报文时，可以通过查询本机的二/三层转发表得到报文的出接口以及下一跳，将报文从正确的出接口送出去。这个出接口可以在本机上也可以在其它成员设备上，并且将报文从本机送到另外一个成员设备是一个纯粹内部的实现，对外界是完全屏蔽的，即对于三层报文来说，不管它在IRF2系统内部穿过了多少成员设备，在跳数上只增加1，即表现为只经过了一个网络设备。

http://www.h3c.com.cn/res/200910/13/20091013_854982_image009_650694_30008_0.png（下）" TITLE="IRF系列（一）：网络虚拟化IRF2技术架构 （下）" />

http://www.h3c.com.cn/res/200910/13/20091013_854983_image010_650694_30008_0.png（下）" TITLE="IRF系列（一）：网络虚拟化IRF2技术架构 （下）" />

图9 IRF2跨设备链路聚合的实现

由于IRF2系统已经被虚拟化为一台设备，因此不同物理设备的端口可以被聚合(捆绑)在一起被当作一个逻辑端口，在配置与组网上也与单台设备的端口聚合功能完成相同(如图9上图所示)。但IRF2架构下的链路负载分担与单台设备有差异：对单台设备而言，一组聚合端口为一个逻辑端口，从此逻辑端口出去的数据流完全基于特定HASH (源、目的MAC地址，源、目的IP地址，四层协议端口号) 均衡算法进行流量分配；对IRF2系统来说，可以采用等同于单台设备的流量均衡方式，但此种方式下对IRF2互联带宽有一定要求。目前采用一种基于本地优先转发的方式，如图10下图所示，A和B、C和D为两组IRF2系统，共组成两层网络，两个IRF2系统通过四条链路全连接，此四条链路被聚合成一条逻辑链路。当上游设备流量(如红色线)到达A设备需要向下游转发时，A只将流量在本地聚合组的两个端口成员内以硬件HASH进行流量均衡，B设备也作相同处理，只有当IRF2成员本地没有业务出口（B的下行端口全部故障）时，数据流量才到IRF2的其它成员向下转发。因此就近本地优先转发的机制可充分发挥IRF2成员的性能，并在链路故障时流量自动绕行。

1.5 IRF2分裂检测处理

IRF2系统对外体现为一个整体的交换系统，但由于本身由多台设备组成，也存在由于意外原因导致IRF2系统分裂的可能。IRF2系统分裂后，形成两个或多个相同的逻辑设备：地址相同、配置相同，需要进行检测和进一步处理以消除对网络的影响。

桥MAC变化

IRF2系统作为逻辑单台设备，对外具有唯一的桥MAC（和三层MAC）。IRF2系统建立时，Master设备桥MAC同步到其它成员设备，分裂后，对于非Master所在系统，IRF2系统中其它设备维持该桥MAC不变并选举新的Master，此机制可避免当原Master故障时网络中的邻居设备重新学习MAC。同时IRF2也具有比较灵活的桥MAC处理方式以便于组网变通，目前提供了三种IRF2系统MAC变化的方式可通过配置实现：

• Master离开后，桥MAC立即变化
• 保留6min后变化
• 始终不变

Master检测和分裂处理

IRF2系统分裂后，会在网络中形成两组或多组“完全相同”的设备组，均有相同配置的Active Master，IRF2附加了检测和冲突处理，称为MAD（Multi-Active Detection，即多Active检测）。

http://www.h3c.com.cn/res/200910/13/20091013_854984_image011_650694_30008_0.png（下）" TITLE="IRF系列（一）：网络虚拟化IRF2技术架构 （下）" />

图10 IRF2分裂检测方式

检测：通过LACP（Link Aggregation Control Protocol，链路聚合控制协议）或者BFD（Bidirectional Forwarding Detection，双向转发检测）协议来检测网络中是否存在多个从同一个IRF2系统分裂出去的全局配置相同的IRF2，如图11所示。

LACP方式下，H3C进行了扩展开发，在LACP协议报文中增加IRF2 Master ID ，当系统分裂后，分裂后的IRF2系统有各自的Active Master ID，可通过LACP进行传递检测；BFD方式下，也通过在BFD中扩展Master ID来检测冲突。

冲突处理：IRF2系统分裂后，系统会检测到网络中存在多个处于Active状态相同的IRF2系统，Master成员编号小的处于Active状态的IRF2系统会继续正常工作，Master成员编号较大的处于Active状态的IRF2会迁移到Recovery状态：关闭该系统中所有成员设备上除保留端口以外的其他所有物理端口。

故障恢复：IRF2系统通过日志提示用户修复IRF2互联链路，链路修复后，冲突的设备重新启动，恢复IRF2系统，被Down掉的端口将重新恢复业务转发。

2 基于IRF2虚拟化技术的网络横向整合功能

IRF2是一种虚拟化技术，从对提升网络整体效率的角度，起到了一种横向整合的作用，即在不改变网络物理拓扑连接结构条件下，将网络同一层的多台设备横向整合，从逻辑上简化了网络架构。由于整合后的IRF2系统具备跨设备链路聚合功能，因此，不同网络层之间的电缆互联也可通过逻辑整合，多条链路被捆绑成一条聚合的逻辑链路，如图12所示。

http://www.h3c.com.cn/res/200910/13/20091013_854985_image012_650694_30008_0.png（下）" TITLE="IRF系列（一）：网络虚拟化IRF2技术架构 （下）" />

图11 IRF2对网络的横向虚拟化整合

IRF2网络架构与传统的网络设计相比，提供了多项显著优势：

1）运营管理简化。IRF2全局网络虚拟化能够提高运营效率，虚拟化的每一层交换机组被逻辑化为单管理点，包括配置文件和单一网关IP地址，无需VRRP。

2）整体无环设计。跨设备的链路聚合创建了简单的无环路拓扑结构，不再依靠生成树协议（STP）。虚拟交换组内部经由多个万兆互联，在总体设计方面提供了灵活的部署能力。

3）进一步提高可靠性。虚拟化能够优化不间断通信，在一个虚拟交换机成员链路故障时，不再需要进行L2/L3重收敛，能快速实现确定性虚拟交换机的恢复。

当前网络建设不断发展，虚拟化成为基础技术，全面虚拟化构建的IRF2网络同时支持包括IPv4、IPv6、MPLS、安全特性、OAA插卡、高可用性等全部交换网络特性，并且能够高效稳定地运行这些功能，大大扩展了IRF2在整网的应用范围。