1、VPC 技術(shù)詳解,議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,VPC 概述,VPC： Virtual Port-Channel 允許跨設(shè)備的鏈路捆綁 消除STP環(huán)路 快速收斂 提高鏈路利用率 HSRP/VRRP 雙活 NX-OS 平臺支持 VPC 功能（Nexus 7000， Nexus 5000） 接入交換機沒有特殊要求，只需要標(biāo)準(zhǔn)支持802.3ad /LACP,傳統(tǒng)STP 二層網(wǎng)絡(luò)邏輯拓?fù)?VP

2、C 網(wǎng)絡(luò)邏輯拓?fù)?議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,vPC Domain 包含vpc peer，peer-link，keepalive-link， 下聯(lián)port-channel等 vPC peer vpc交換機，成對出現(xiàn) vPC member port 組成vpc的一組端口（port-channel） vPC 連接下聯(lián)交換機與兩個vpc peer之間的port-channel鏈路 vPC

3、peer-link vpc peer之間的鏈路，狀態(tài)和信息同步，必須為10GE vPC peer-keepalive link vpc peer之間的心跳線，作為peer-link的備份 vPC VLAN 通過 vpc鏈路和peer-link承載的vlan. non-vPC VLAN 不通過vpc承載的vlan CFS Cisco Fabric Services 協(xié)議，用于vpc peer之間狀態(tài)同步，配置驗證,vPC peer,non-vPC device,vPC peer-keepalive link,vPC member port,vPC,vPC member port,CFS prot

4、ocol,vPC peer-link,vPC 術(shù)語和組件,vPC Domain,vPC Domain,vpc peer雙方 均需要定義VPC Domain，且建議兩邊的Domain ID一致 在Domain mode下定義vpc 的全局參數(shù) 角色優(yōu)先級（低值優(yōu)先），keepalive等等 VPC Peer設(shè)備使用Domain ID自動產(chǎn)生一個唯一的VPC system-MAC （用于LACP鏈路操作）,vPC Domain,Peer Link,用途 標(biāo)準(zhǔn) 802.1Q Trunk 承載vpc vlan 和非vpc vlan CFS協(xié)議 FHRP 第一跳泛洪報文 STP BPDUs, HSRP

5、Hellos, IGMP updates等 特殊情況下需要承載流量 使用建議 至少兩個10GE的端口，并且分布在不同的板卡上 10GE端口均設(shè)置成獨占模式,vPC peer-link,Cisco Fabric Services (CFS) 協(xié)議,用途 配置驗證/比較 STP管理，STP BPDU 抑制 MAC 同步 vPC 成員端口狀態(tài) IGMP snooping 同步 HSRP 雙活,CFS Messaging,STP does send BPDUs IGMP updates MAC updates,STP doesnt send BPDUs HSRP Standby-ActiveL3 IG

6、MP updates MAC updates,vPC 配置元素,配置元素類型 類型 1 如果類型1中的元素不一致，則VPC無法建立起來 vPC, STP, Vlan status, Port channel, MTU 類型 2 VPC可以建立起來，但是可能會導(dǎo)致流量異常 VLAN interfaces, HSRP, PIM, GLBP ,ACLs ,etc 系統(tǒng)會對這些不一致的配置產(chǎn)生Syslog,Peer-Keepalive,用途 VPC Peer之間的心跳 Active/Active ( Peer-Link失效) 檢測 心跳消息間隔為2s，hold timer為3s （默認(rèn)） 使用建議 必

7、須為一個單獨的三層鏈路 (1Gb 帶寬足夠)，三層可達(dá)即可，獨立VRF 不能通過peer-link在路由 可以使用引擎上的管理口,vPC peer-keepalive link,vPC成員端口,用途 VPC peer之間對port-channel進(jìn)行終結(jié) 配置建議 VPC peer之間的屬于同一個vpc組的成員端口的配置必須一致 下聯(lián)交換機和兩個VPC Peer之間最多可捆綁16條鏈路,vPC member port,vPC member port,Virtual Port Channel,用途 接入設(shè)備與兩個VPC Peer建立的port-channel 流量可以在接入設(shè)備的所有上聯(lián)鏈路上進(jìn)

8、行負(fù)載分擔(dān) 標(biāo)準(zhǔn) 802.3ad port-channel 接入設(shè)備功能需求 支持標(biāo)準(zhǔn)802.3ad LACP 可選,vPC member port,vPC,Normal Port-channel port,重復(fù)幀防護(hù)機制,VPC的一個重要轉(zhuǎn)發(fā)原則：從vpc peer通過peer link發(fā)送過來的幀不會從vpc成員端口轉(zhuǎn)發(fā)出去，而發(fā)給非vpc vlan，orphan port或者上聯(lián)鏈路的流量會正常轉(zhuǎn)發(fā) Orphan port：不是通過vpc連接，但承載vpc vlan的端口,VPC 配置,啟用VPC, LACP 功能 定義VPC 域 建立keepalive連接 創(chuàng)建peer-link 把V

9、PC成員端口加入到vpc組當(dāng)中 確認(rèn)vpc peer的配置一致性 (config)# feature vpc (config)# vpc domain 1 (config-vpc-domain)# peer-keepalive destination x.x.x.x source y.y.y.y (conifg)# int port-channel 10 (config-int)# vpc peer-link (config)# int port-channel 20 (config-int)# vpc 20 (config-int)#show vpc consistency-paramete

10、rs,N7k01,N7k02,議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,單播從Mac_A 到 Mac_B,MAC_A,MAC_B,SW3,SW2,SW4,SW1,vPC1,vPC2,vPC_PL,L2,L3,ECMP,Packet Send,ECMP,Port channel path selection,Packet Flooding,Packet Flooding,Packet(s) bloc

11、ked on vPC member ports, vPC peer-link traversed,CFS MAC table update message,單播從Mac_B 到 Mac_A的響應(yīng),MAC_A,MAC_B,SW3,SW2,SW4,SW1,vPC1,vPC2,vPC_PL,L2,L3,ECMP,Packet Send,ECMP,Port channel path selection,Local forwarding, previously learned destination,議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC

12、 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,Nexus 7000 VDC 簡介,Infrastructure,Kernel,VDC 1,VDC 2,VDC 3,GLBP,VDC 4,Virtual Device Context 一個物理設(shè)備上虛擬多個邏輯設(shè)備 靈活的硬件資源分配 軟件功能以及故障隔離 有效提高資源利用率 安全獨立的管理模式,虛擬化,Layer 2 Protocols,Layer 3 Protocols,VLAN,PVLAN,OSPF,BGP,EIGRP,HSRP,IGMP,UDLD,C

13、DP,802.1X,STP,LACP,PIM,CTS,SNMP,VDC 1,VPC和VDC的互操作,VPC可以在VDC環(huán)境下正常的工作，不會有任何影響,VDC1,VDC2,VDC2,VDC3,VDC3,VDC4,VDC4,VDC1,Nexus7010,Nexus7010,Distribution,Core,Access,議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,vPC和 ISSU互操作,在VPC環(huán)

14、境下仍建議使用ISSU進(jìn)行系統(tǒng)升級 VPC Peer會分別進(jìn)行單獨的升級，不會影響流量轉(zhuǎn)發(fā) 升級采用線性的順序，一次一臺設(shè)備 在其中一臺設(shè)備升級時，peer設(shè)備的config會被鎖住,4.1(3),4.1(3),4.2(1),4.1(3),4.2(1),4.2(1),議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,vPC 和STP互操作,STP仍需啟用: VPC失效/增加/刪除時的備份機制 非VPC設(shè)備

15、的防環(huán)機制 STP不會控制VPC 成員端口的狀態(tài) 配置建議 在二層網(wǎng)絡(luò)中使用Rapid-PVST或者M(jìn)ST，提高收斂速度 接入交換機下聯(lián)主機的端口配置portfast,vPC,vPC,STP is running to manage loops outside of vPCs direct domain, or before initial vPC configuration,BPDU發(fā)送機制,MAC_A,MAC_B,SW3,SW2,SW4,SW1,vPC1,vPC2,vPC_PL,L2,L3,ECMP,Packet Send,ECMP,STP Root,STP Root Backup,Pac

16、ket Flooding,Packet Flooding,STP process updated, BDPUs not forwarded on vPC member ports,BPDUs forwarded,STP端口配置建議,Aggregation,Access,Data Center Core,B,R,R,N,N,-,-,-,-,-,-,-,-,R,R,R,R,R,R,-,-,B,E,B,B,E,B,E,Layer 3,Layer 2 (STP + Rootguard),Layer 2 (STP + BPDUguard),L,E,SecondaryRoot,HSRP STANDBY,P

17、rimary Root,HSRP ACTIVE,E,-,Primary vPC,Secondary vPC,vPC Domain,議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,VPC和FHRP（HSRP/VRRP）互操作,VPC環(huán)境中FHRP處于雙活狀態(tài) 正常的FHRP配置 Standby設(shè)備與vpc manager交互，來判斷是否vpc peer是否active,L3,L2,HSRP/VRRP “S

18、tandby”: Active for shared L3 MAC,HSRP/VRRP “Active”: Active for shared L3 MAC,VPC 環(huán)境中HSRP工作機制,不改變HSRP控制協(xié)議 HSRP 共享虛擬的MAC地址（從初始active HSRP設(shè)備導(dǎo)出） HSRP active設(shè)備響應(yīng)ARP請求 負(fù)載分擔(dān)到standby設(shè)備上的流量直接從 本地轉(zhuǎn)發(fā) 減少peer-link的使用，提高L3上聯(lián)鏈路的帶寬,VPC 和HSRP互操作流程,MAC_A,MAC_B,SW3,SW2,SW4,SW1,vPC1,vPC2,vPC_PL,L2,L3,ECMP,Packet Send

19、,ECMP,HSRP Active,HSRP Standby,HSRP active MAC is populated into the L3 hardware forwarding tables, creating a local forwarding capability on the HSRP standby device,HSRP active process communicates the active MAC to its neighbor. Only the HSRP active process responds to ARP requests,VPC環(huán)境下 HSRP改進(jìn)：

20、peer-gateway,vPC PL,vPC PKL,L3,L2,場景： 有一些NAS設(shè)備（ NETAPP Fast-Path 或 EMC IP-Reflect ） 回應(yīng)的時候使用的是發(fā)送設(shè)備的實MAC地址，而不是HSRP網(wǎng)關(guān)的虛擬MAC地址 報文被負(fù)載分擔(dān)到非實MAC所在VPC設(shè)備時，會通過peer-link發(fā)送到實MAC所在的VPC設(shè)備上，而由于重復(fù)幀防護(hù)機制，該設(shè)備會把報文丟棄. Vpc peer-gateway 解決方案: 當(dāng)目標(biāo)MAC地址為peer vpc設(shè)備的三層報文發(fā)送到本地時，該功能允許本地vpc設(shè)備網(wǎng)關(guān)正常轉(zhuǎn)發(fā)該報文,Local Routing for peer route

21、r mac Traffic,N7k(config-vpc-domain)# peer-gateway,議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,VPC故障恢復(fù),典型故障場景 下聯(lián)接入交換機鏈路故障 上聯(lián)三層鏈路故障 Peer-link 故障 Keep-alive link 故障 Peer-link 和keepalive-lnk同時故障 整機故障,接入交換機,VPC Primary HSRP Act

22、ive STP Root,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,1,2,3,4,5,6,場景一：下聯(lián)接入交換機鏈路故障,所有流量會發(fā)往VPC Secondary設(shè)備，并從secondary設(shè)備發(fā)往上聯(lián)鏈路 故障收斂：21ms 恢復(fù)收斂：0.09ms,接入交換機,VPC Primary HSRP Active STP Root,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,場景二：上聯(lián)三層鏈路故障,負(fù)載分擔(dān)到VPC Primary的流量會通過peer-l

23、ink發(fā)往VPC Secondary設(shè)備，再發(fā)往上聯(lián)鏈路 故障收斂：60ms 恢復(fù)收斂：0ms,接入交換機,VPC Primary HSRP Active STP Root,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,場景三：peer-link故障,通過keepalive-link檢查對端active VPC Secondary關(guān)閉所有的VPC member port和VPC Vlan SVI。 流量通過VPC Primary發(fā)送 Peer-link恢復(fù)后，被shutdown的端口和SVI會自動恢復(fù) 故障收斂：75ms 恢復(fù)

24、收斂：41ms,接入交換機,VPC Primary HSRP Active STP Root,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,場景四：Keepalive-link故障,Peer-link仍正常工作，流量正常轉(zhuǎn)發(fā)，不會受到任何影響 故障收斂：0ms 恢復(fù)收斂：0ms,接入交換機,VPC Primary HSRP Active STP Root,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,場景五：peer-link和keepalive均斷掉 （1）

25、,Peer-link先斷，keepalive后斷 （此場景非常罕見?。?- VPC Secondary 關(guān)閉所有VPC member port 和VPC vlan SVI - peer-link和keepalive均恢復(fù)之后，被關(guān)閉的端口自動恢復(fù) 故障收斂：75ms 恢復(fù)收斂：149ms,接入交換機,VPC Primary HSRP Active STP Root,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,1,2,場景五：peer-link和keepalive均斷掉 （2）,Keepalive先斷，peer-link后斷

26、（此場景非常罕見?。?- active/active - 兩個VPC peer 均會發(fā)送BPDU，各自為根 - 原來的流量可正常轉(zhuǎn)發(fā) 故障收斂：0ms 恢復(fù)收斂：131ms,接入交換機,VPC Primary HSRP Active STP Root,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,2,1,場景六： 一臺N7K 出現(xiàn)整機故障,Secondary VPC角色變成Primary，流量均通過該設(shè)備轉(zhuǎn)發(fā) 故障收斂：474ms 恢復(fù)收斂：882ms,接入交換機,VPC Primary HSRP Active STP Roo

27、t,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,議程,VPC基本原理 - VPC 概述 VPC 組件和原理 VPC 基本業(yè)務(wù)流 VPC 的互操作 VPC 和VDC 的互操作 VPC和ISSU的互操作 VPC和 STP 的互操作 VPC和HSRP 的互操作 VPC故障恢復(fù) 最佳實踐 Q&A,部署最佳實踐,接入交換機,VPC Primary HSRP Active STP Root,VPC Secondary HSRP Standby STP Root Secondary,L2,L3,ECMP,Port-channel 建議使用

28、LACP ，有利于failover和配置不匹配保護(hù) 使用SVI和HSRP作為下聯(lián)網(wǎng)段的網(wǎng)關(guān) Peer-link 至少兩條獨占模式的萬兆端口，最好分布在不同的板卡上 Peer-link上啟用UDLD Keepalive link， 三層端口，獨立VRF，路由可達(dá) 1G 帶寬足夠， 使用板卡上的千兆三層端口，獨立VRF 可使用SUP上的管理口，但是不要背靠背連接(N7K),VPC vlan 和非VPC vlan,非vpc vlan不通過peer-link承載，以免vpc fail時 影響非vpc vlan 可把vpc vlan和非vpc vlan可使用獨立的VDC,Orphan Ports,Orp

29、han Ports,Router,7k1,7k2,Switch,Po1,Po2,使用獨立的三層鏈路連接路由器,L3和VPC,HSRP link Tracking,不建議在VPC環(huán)境中使用HSRP Link Tracking 功能。 VPC peer 不會向vpc成員端口轉(zhuǎn)發(fā)從peer-link轉(zhuǎn)發(fā)過來的流量,L3,L2,VLAN A,VLAN B,VSS vs. vPC,Q&A,STP 收斂增強功能： peer-switch,vPC Peer-link,S1,S2,S3,S4,vPC Primary,vPC Secondary,vPC switches to appear as a single STP Root in the L2 topology (same bridge-id). vPC peer-link excluded from STP computation (vPC peer-link treated as “backplane extension”). Improves convergence on vPC primary switch failure/recovery avoiding Rapid-STP Sy