O protocolo IRF v2 permite o “empilhamento” de Switches modulares e empilháveis, trazendo inúmeras vantagens como redundância, facilidade no gerenciamento, etc.
Como citado em outros posts, um dos problemas que o IRF pode trazer ocorre quando há uma quebra do Link 10G que mantém o IRF ativo, chamado de SPLIT. Cada caixa ira agir como se fosse o MASTER do IRF, duplicando alguns serviços e trazendo diversos conflitos na Rede.
O “split brain” é um problema crítico que pode ocorrer em tecnologias de clusterização ou virtualização de dispositivos, como o IRF (Intelligent Resilient Framework) em switches Comware. Ele ocorre quando a comunicação entre os membros do cluster é interrompida, fazendo com que cada parte do cluster passe a operar como um sistema independente, acreditando ser o único ativo. No contexto do IRF, isso significa que cada conjunto de switches isolados passa a se comportar como um switch lógico separado.
Imagine um IRF com quatro switches. Se o link que conecta esses switches for interrompido no meio, o IRF se divide em dois grupos de dois switches. Cada grupo agora opera independentemente, com seus próprios endereços MAC, endereços IP de gerenciamento e tabelas de roteamento. Isso leva a sérios problemas na rede:
- Duplicação de endereços IP e MAC: Cada parte do IRF agora pode ter o mesmo endereço IP de gerenciamento e os mesmos endereços MAC virtuais, causando conflitos na rede e tornando a comunicação imprevisível.
- Loop de Camada 2: Se houver caminhos redundantes na rede que conectam as duas partes divididas, loops de Camada 2 podem se formar, causando tempestades de broadcast e paralisando a rede.
- Inconsistências de roteamento: Cada parte do IRF terá suas próprias tabelas de roteamento, levando a decisões de roteamento incorretas e pacotes sendo enviados para destinos errados.
- Perda de conectividade: Dispositivos conectados a diferentes partes do IRF dividido não conseguirão se comunicar entre si.
Causas do Split Brain em IRF:
- Falha física nos links de interconexão: Cabos danificados, problemas nas portas dos switches ou falhas em equipamentos intermediários podem interromper a comunicação entre os membros do IRF.
- Problemas de software: Bugs no software dos switches ou configurações incorretas podem levar à perda de comunicação entre os membros do IRF.
- Sobrecarga da rede: Em casos extremos, uma sobrecarga massiva na rede pode afetar a comunicação entre os switches do IRF.
Mecanismos de Prevenção: MAD (Multi-Active Detection)
Multi-Active Detection (MAD) + BFD (Bidirecional Forwarding Detection)
O MAD é uma das formas para os Switches do Stack detectarem o SPLIT no IRF colocando o Equipamento com o maior Member ID do IRF (não Master) em modo Recovery, bloqueando assim todas as suas portas.
Uma das técnicas para detecção do SPLIT é com é com a utilização do protocolo BFD, criando uma VLAN somente para gerenciamento do IRF com um IP primário e secundário para comunicação do protocolo e um meio físico para conexão das “caixas” (fibra ou UTP) independente da comunicação do IRF.
Configuração
A configuração abaixo deverá ser aplicada somente no Switch com o IRF versão 2 formado.
# Vlan 900 # interface Vlan-interface900 description Monitoracao IRFv2 (MAD + BFD) mad bfd enable !Ativando o MAD + BFD mad ip address 192.168.0.1 255.255.255.252 member 1 ! Configurando o IP do Switch “1” mad ip address 192.168.0.2 255.255.255.252 member 2 ! Configurando o IP do Switch “2” # Obs: cada Switch deverá ter uma porta na VLAN 900 para comunicação do BFD. As interfaces não participarão do STP.
Comandos Display
[S7500] display mad MAD LACP enabled. Comando display após SPLIT do IRF no Switch não Master [S7500]display mad verbose Current MAD status: Detect ! Em caso de SPLIT o Switch não-Master exibiria o status como Recovery Excluded ports(configurable): Excluded ports(cannot be configured): Ten-GigabitEthernet1/8/0/1 Ten-GigabitEthernet1/9/0/2 Ten-GigabitEthernet2/8/0/1 Ten-GigabitEthernet2/9/0/2 MAD LACP disabled. MAD BFD enabled interface: Vlan-interface900 mad ip address 192.168.0.1 255.255.255.252 member 1 mad ip address 192.168.0.2 255.255.255.252 member 2
Até logo!
COMUTADORES 