配置ONTAP虚拟IP (VIP) LUN
建议更改
PDF
某些下一代数据中心使用第3层(IP)网络机制、这些机制要求在子网之间对所有的生命周期进行故障转移。ONTAP支持虚拟IP (VIP)数据LUN以及相关的路由协议(即边界网关协议(BGP))、以满足这些下一代网络的故障转移要求。
VIP 数据 LIF 不属于任何子网,可从同一 IP 空间中托管 BGP LIF 的所有端口访问。VIP 数据 LIF 可消除主机对各个网络接口的依赖。由于多个物理适配器传输数据流量,因此整个负载不会集中在一个适配器以及关联的子网上。VIP 数据 LIF 的存在通过路由协议边界网关协议( BGP )公布给对等路由器。
VIP 数据 LIF 具有以下优势:
-
超越广播域或子网的 LIF 可移植性: VIP 数据 LIF 可以通过 BGP 向路由器公布每个 VIP 数据 LIF 的当前位置,从而故障转移到网络中的任何子网。
-
聚合吞吐量: VIP 数据 LIF 可以支持超过任何单个端口带宽的聚合吞吐量,因为 VIP LIF 可以同时从多个子网或端口发送或接收数据。
设置边界网关协议( BGP )
在创建 VIP LIF 之前,您必须设置 BGP ,这是用于向对等路由器宣布存在 VIP LIF 的路由协议。
从BGP.9.1开始、提供可选的默认路由自动化功能、并使用ONTAP 9对等组简化配置。
当 BGP 对等方位于同一子网上时, ONTAP 可以使用 BGP 对等方作为下一跳路由器来学习默认路由,这种方法非常简单。要使用功能、请设置 -use-peer-as-next-hop 属性为 true。默认情况下、此属性为 false。
如果配置了静态路由,则这些路由仍优先于这些自动默认路由。
必须将对等路由器配置为接受来自 BGP LIF 的 BGP 连接,以连接已配置的自治系统编号( ASN )。
|
ONTAP 不会处理从路由器传入的任何路由公告;因此,您应将对等路由器配置为不向集群发送任何路由更新。这样可以缩短与对等方进行通信所需的时间、使其完全正常工作、并减少ONTAP中的内部内存使用量。 |
设置 BGP 包括选择性地创建 BGP 配置,创建 BGP LIF 以及创建 BGP 对等组。在给定节点上创建第一个 BGP 对等组时, ONTAP 会自动使用默认值创建默认 BGP 配置。
BGP LIF 用于与对等路由器建立 BGP TCP 会话。对于对等路由器, BGP LIF 是访问 VIP LIF 的下一个跃点。BGP LIF 已禁用故障转移。BGP对等组会公布对等组使用的IP空间中所有SVM的VIP路由。对等组使用的IP空间是从BGP LIF继承的。
从BGP.16.1开始、对等组支持MD5身份验证、以保护ONTAP 9会话。启用MD5后、只能在授权对等方之间建立和处理BGP会话、从而防止未经授权的行为者可能中断会话。
和 network bgp peer-group modify`命令中添加了以下字段 `network bgp peer-group create:
-
-md5-enabled <true/false> -
-md5-secret <md5 secret in string or hex format>
通过这些参数、您可以使用MD5签名配置BGP对等组、以增强安全性。以下要求适用于使用MD5身份验证:
-
只有当参数设置为
true`时,才能指定 `-md5-secret`参数 `-md5-enabled。 -
要启用MD5 BGP身份验证、必须全局启用IPsec。BGP LIF不需要具有活动的IPsec配置。请参阅 "通过线缆加密配置 IP 安全性( IP security , IPsec )"。
-
NetApp建议您先在路由器上配置MD5、然后再在ONTAP控制器上配置它。
从 ONTAP 9.1.1 开始,添加了以下字段:
-
-asn`或 `-peer-asn(4字节值)属性本身不是新属性、但现在使用4字节整数。 -
-med -
-use-peer-as-next-hop
您可以通过多出口鉴别器( Multi-Exit Mixator , MED )支持进行高级路由选择,以确定路径优先级。Med 是 BGP 更新消息中的一个可选属性,用于指示路由器为流量选择最佳路由。MED 是一个无符号的 32 位整数( 0 - 4294967295 );最好使用更低的值。
从ONTAP 9.8开始、这些字段已添加到中 network bgp peer-group 命令:
-
-asn-prepend-type -
-asn-prepend-count -
-community
通过这些 BGP 属性,您可以为 BGP 对等组配置为路径和社区属性。
|
|
虽然ONTAP支持上述BGP属性、但路由器不需要遵守这些属性。NetApp强烈建议您确认路由器支持哪些属性、并相应地配置BGP对等组。有关详细信息,请参阅路由器提供的 BGP 文档。 |
-
登录到高级权限级别:
set -privilege advanced -
可选:执行以下操作之一,创建 BGP 配置或修改集群的默认 BGP 配置:
-
创建 BGP 配置:
network bgp config create -node {node_name | local} -asn <asn_number> -holdtime <hold_time> -routerid <router_id>
-
-routerid`参数接受点分十进制32位值、该值只需在AS域中是唯一的。NetApp建议您使用可保证唯一性的节点管理IP (v4)地址 `<router_id>。 -
虽然ONTAP BGP支持32位ASN编号、但仅支持标准十进制表示法。不支持使用点分的ASN表示法(例如、对于专用ASN、使用的是655000.1、而不是4259840001)。
带有 2 字节 ASN 的示例:
network bgp config create -node node1 -asn 65502 -holdtime 180 -routerid 1.1.1.1
包含 4 字节 ASN 的示例:
-
network bgp config create -node node1 -asn 85502 -holdtime 180 -routerid 1.1.1.1
-
修改默认 BGP 配置:
network bgp defaults modify -asn <asn_number> -holdtime <hold_time> network bgp defaults modify -asn 65502 -holdtime 60
-
`<asn_number>`指定ASN编号。从 ONTAP 9.8 开始,适用于 BGP 的 ASN 支持一个 2 字节非负整数。这是一个16位数(1到6554个可用值)。从BGP.9.1开始、适用于ONTAP 9的ASN支持一个4字节非负整数(1到4294967295)。默认 ASN 为 65501 。ASN 23456 保留用于与未公布 4 字节 ASN 功能的对等方建立 ONTAP 会话。
-
`<hold_time>`指定保持时间(以秒为单位)。默认值为180s。
ONTAP仅支持一个全局 <asn_number>、<hold_time>`和 `<router_id>,即使您为多个IP空间配置BGP也是如此。BGP和所有IP路由信息在一个IP空间中完全隔离。IP空间相当于虚拟路由和转发(VRF)实例。
-
-
-
为系统 SVM 创建 BGP LIF :
对于默认IP空间、SVM名称是集群名称。对于其他IP空间、SVM名称与IP空间名称相同。
network interface create -vserver <system_svm> -lif <lif_name> -service-policy default-route-announce -home-node <home_node> -home-port <home_port> -address <ip_address> -netmask <netmask>
您可以使用
default-route-announceBGP LIF的服务策略或任何包含管理BGP服务的自定义服务策略。network interface create -vserver cluster1 -lif bgp1 -service-policy default-route-announce -home-node cluster1-01 -home-port e0c -address 10.10.10.100 -netmask 255.255.255.0
-
创建 BGP 对等组,用于与远程对等路由器建立 BGP 会话,并配置向对等路由器公布的 VIP 路由信息:
示例 1 :创建不具有自动默认路由的对等组
在这种情况下、管理员需要创建指向BGP对等方的静态路由。
network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800
示例 2 :使用自动默认路由创建对等组
network bgp peer-group create -peer-group <group_name> -ipspace <ipspace_name> -bgp-lif <bgp_lif> -peer-address <peer-router_ip_address> -peer-asn <peer_asn_number> {-use-peer-as-next-hop true} {-route-preference <integer>} {-asn-prepend-type <ASN_prepend_type>} {-asn-prepend-count <integer>} {-med <integer>} {-community BGP community list <0-65535>:<0-65535>}network bgp peer-group create -peer-group group1 -ipspace Default -bgp-lif bgp1 -peer-address 10.10.10.1 -peer-asn 65503 -use-peer-as-next-hop true -route-preference 100 -asn-prepend-type local-asn -asn-prepend-count 2 -med 100 -community 9000:900,8000:800
示例3:创建启用了MD5的对等组
-
启用 IPsec :
security ipsec config modify -is-enabled true -
创建启用了MD5的BGP对等组:
network bgp peer-group create -ipspace Default -peer-group <group_name> -bgp-lif bgp_lif -peer-address <peer_router_ip_address> {-md5-enabled true} {-md5-secret <md5 secret in string or hex format>}使用十六进制密钥的示例:
network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret 0x7465737420736563726574
使用字符串的示例:
network bgp peer-group create -ipspace Default -peer-group peer1 -bgp-lif bgp_lif1 -peer-address 10.1.1.100 -md5-enabled true -md5-secret "test secret"
-
|
|
创建BGP对等组后、运行命令时会列出虚拟以太网端口(以v0a..v0z、v1a…开头)。 `network port show`此接口的MTU始终报告为1500。用于流量的实际MTU源自物理端口(BGP LIF)、该端口在发送流量时确定。 |
创建虚拟 IP ( VIP )数据 LIF
VIP 数据 LIF 的存在通过路由协议边界网关协议( BGP )公布给对等路由器。
-
必须设置 BGP 对等组,并且要创建 LIF 的 SVM 的 BGP 会话必须处于活动状态。
-
必须为 SVM 的任何传出 VIP 流量创建指向 BGP 路由器或 BGP LIF 子网中任何其他路由器的静态路由。
-
您应启用多路径路由,以便传出 VIP 流量可以利用所有可用的路由。
如果未启用多路径路由,则所有传出 VIP 流量都会从一个接口传输。
-
创建 VIP 数据 LIF :
network interface create -vserver <svm_name> -lif <lif_name> -role data -data-protocol {nfs|cifs|iscsi|fcache|none|fc-nvme} -home-node <home_node> -address <ip_address> -is-vip true -failover-policy broadcast-domain-wide如果未使用指定主端口、则会自动选择VIP端口
network interface create命令:默认情况下, VIP 数据 LIF 属于系统为每个 IP 空间创建的名为 "VIP" 的广播域。您不能修改 VIP 广播域。
在托管 IP 空间 BGP LIF 的所有端口上,均可同时访问 VIP 数据 LIF 。如果本地节点上 VIP 的 SVM 没有活动的 BGP 会话,则 VIP 数据 LIF 将故障转移到为该 SVM 建立了 BGP 会话的节点上的下一个 VIP 端口。
-
验证 VIP 数据 LIF 的 SVM 的 BGP 会话是否处于 up 状态:
network bgp vserver-status show Node Vserver bgp status ---------- -------- --------- node1 vs1 up
BGP状态为
down对于节点上的SVM、VIP数据LIF会故障转移到SVM的BGP状态为up的其他节点。如果BGP状态为down在所有节点上、VIP数据LIF无法托管在任何位置、并且LIF状态为已关闭。
用于管理 BGP 的命令
从ONTAP 9.5开始、您可以使用 network bgp 用于管理ONTAP中BGP会话的命令。
管理 BGP 配置
如果您要 … |
使用此命令 … |
创建 BGP 配置 |
|
修改 BGP 配置 |
|
删除 BGP 配置 |
|
显示 BGP 配置 |
|
显示 VIP LIF 的 SVM 的 BGP 状态 |
|
管理 BGP 默认值
如果您要 … |
使用此命令 … |
修改 BGP 默认值 |
|
显示 BGP 默认值 |
|
管理 BGP 对等组
如果您要 … |
使用此命令 … |
创建 BGP 对等组 |
|
修改 BGP 对等组 |
|
删除 BGP 对等组 |
|
显示 BGP 对等组信息 |
|
重命名 BGP 对等组 |
|
使用MD5管理BGP对等组
从bgp.161开始、您可以对现有ONTAP 9对等组启用或禁用MD5身份验证。
|
|
如果在现有BGP对等组上启用或禁用MD5、则BGP连接将终止并重新创建、以应用MD5配置更改。 |
如果您要 … |
使用此命令 … |
在现有BGP对等组上启用MD5 |
|
在现有BGP对等组上禁用MD5 |
|