文/沈博文

安全集群架构（SCF）为杭州华三通信技术有限公司(以下简称H3C)自主研发的安全设备软件虚拟化技术。它的核心思想是将多台安全设备连虚拟为一台设备。可以集合多台安全设备的软件处理能力，实现多台安全设备的协同工作、统一管理和不间断维护。

一、 SCF的优点

SCF主要具有以下优点：

1. 简化管理。SCF形成之后，用户通过任意成员设备的任意端口都可以登录SCF系统，对SCF内所有成员设备进行统一管理。

2. 高可靠性。SCF的高可靠性体现在多个方面，例如：SCF由多台成员设备组成，主设备负责SCF的运行、管理和维护，从设备在作为备份的同时也可以处理业务。一旦主设备故障，系统会迅速自动选举新的主设备，以保证业务不中断，从而实现了设备的1:N备份；此外，成员设备之间的SCF链路支持聚合功能，SCF和上、下层设备之间的物理链路也支持聚合功能，多条链路之间可以互为备份也可以进行负载分担，从而进一步提高了SCF的可靠性。

3. 强大的网络扩展能力。通过增加成员设备，可以轻松自如的扩展SCF的端口数、带宽。因为各成员设备都有CPU，能够独立处理协议报文、进行报文转发，所以SCF还能轻松自如的扩展处理能力。

二、 SCF的部署

SCF的部署方式全面突破了机框的限制，在简化管理和部署的基础上同时实现了安全业务和安全性能的弹性扩展，可以实现业务流量经过一组SCF系统的自动负载分担和冗余备份。

SCF组中每台设备都称为成员设备。成员设备按照功能不同，分为两种角色：

1. 主用设备（简称为主设备）：负责管理整个SCF系统。

2. 从属设备（简称为从设备）：作为主设备的备份设备运行。当主设备故障时，系统会自动在从设备中选举一个新的主设备接替原主设备工作。

三、 SCF典型配置方法

1. 配置主设备

a) 配置主框的成员编号、优先级，并设置主框为SCF模式，设置完毕后系统会进行重启：

[H3C]irf member 1

[H3C]irf priority 32

[H3C]chassis convert mode irf

b) 重启后，系统变为四维模式，进行如下配置使能SCF系统启动文件的自动加载功能：

[H3C]irf auto-update enable

c) 然后，配置设备的SCF端口，对应的物理端口应处于shutdown状态：

[H3C]irf-port 1/2

[H3C-irf-port1/2]port group interface Ten-GigabitEthernet1/2/0/7

[H3C-irf-port1/2]port group interface Ten-GigabitEthernet1/2/0/8

2. 配置从设备

a) 配置主框的成员编号、优先级，并设置主框为SCF模式，设置完毕后系统会进行重启：

[H3C]irf member 2

[H3C]irf priority 1

[H3C]chassis convert mode irf

b) 重启后，系统变为四维模式，进行如下配置使能SCF系统启动文件的自动加载功能：

[H3C]irf auto-update enable

c) 然后，配置设备的SCF端口，对应的物理端口应处于shutdown状态：

[H3C]irf-port 2/1

[H3C-irf-port2/1]port group interface Ten-GigabitEthernet2/2/0/7

[H3C-irf-port2/1]port group interface Ten-GigabitEthernet2/2/0/8

3. 激活SCF配置

在主、从设备分别激活SCF配置，协商后从设备自动重启动，SCF部署成功：

[H3C]irf-port-configuration active

四、 SCF部署注意事项

1. 一组SCF系统中允许加入的成员设备的数量存在上限，如果超过上限，则不允许新的成员设备加入，M9000成员设备数量上限为2。

2. 一组SCF系统中所有成员设备的软件版本要求必须相同。

3. M9000 SCF端口只能为10GE以上带宽接口，且最多加入8个10GE接口。

4. M9000系列产品，M9006、M9010、M9014之间可以互相组建SCF，支持异构SCF建立，不需要款型一致。