《vPC技术详解》PPT课件.ppt

VPC技術詳解,議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,VPC概述,VPC：VirtualPort-Channel允許跨設備的鏈路捆綁消除STP環路快速收斂提高鏈路利用率HSRP/VRRP雙活NX-OS平臺支援VPC功能（Nexus7000，Nexus5000）接入交換機沒有特殊要求，只需要標準支持802.3ad/LACP,傳統STP二層網路邏輯拓撲,VPC網路邏輯拓撲,議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,vPCDomain包含vpcpeer，peer-link，keepalive-link，下聯port-channel等vPCpeervpc交換機，成對出現vPCmemberport組成vpc的一組埠（port-channel）vPC連接下聯交換機與兩個vpcpeer之間的port-channel鏈路vPCpeer-linkvpcpeer之間的鏈路，狀態和資訊同步，必須為10GEvPCpeer-keepalivelinkvpcpeer之間的心跳線，作為peer-link的備份vPCVLAN通過vpc鏈路和peer-link承載的vlan.non-vPCVLAN不通過vpc承載的vlanCFSCiscoFabricServices協定，用於vpcpeer之間狀態同步，配置驗證,vPCpeer,non-vPCdevice,vPCpeer-keepalivelink,vPCmemberport,vPC,vPCmemberport,CFSprotocol,vPCpeer-link,vPC術語和組件,vPCDomain,vPCDomain,vpcpeer雙方均需要定義VPCDomain，且建議兩邊的DomainID一致在Domainmode下定義vpc的全域參數角色優先順序（低值優先），keepalive等等VPCPeer設備使用DomainID自動產生一個唯一的VPCsystem-MAC（用於LACP鏈路操作）,vPCDomain,PeerLink,用途標準802.1QTrunk承載vpcvlan和非vpcvlanCFS協議FHRP第一跳泛洪報文STPBPDUs,HSRPHellos,IGMPupdates等特殊情況下需要承載流量使用建議至少兩個10GE的埠，並且分佈在不同的板卡上10GE埠均設置成獨佔模式,vPCpeer-link,CiscoFabricServices(CFS)協議,用途配置驗證/比較STP管理，STPBPDU抑制MAC同步vPC成員埠狀態IGMPsnooping同步HSRP雙活,CFSMessaging,STPdoessendBPDUsIGMPupdatesMACupdates,STPdoesntsendBPDUsHSRPStandby-ActiveL3IGMPupdatesMACupdates,vPC配置元素,配置元素類型類型1如果類型1中的元素不一致，則VPC無法建立起來vPC,STP,Vlanstatus,Portchannel,MTU類型2VPC可以建立起來，但是可能會導致流量異常VLANinterfaces,HSRP,PIM,GLBP,ACLs,etc系統會對這些不一致的配置產生Syslog,Peer-Keepalive,用途VPCPeer之間的心跳Active/Active(Peer-Link失效)檢測心跳消息間隔為2s，holdtimer為3s（默認）使用建議必須為一個單獨的三層鏈路(1Gb頻寬足夠)，三層可達即可，獨立VRF不能通過peer-link在路由可以使用引擎上的管理口,vPCpeer-keepalivelink,vPC成員埠,用途VPCpeer之間對port-channel進行終結配置建議VPCpeer之間的屬於同一個vpc組的成員埠的配置必須一致下聯交換機和兩個VPCPeer之間最多可捆綁16條鏈路,vPCmemberport,vPCmemberport,VirtualPortChannel,用途接入設備與兩個VPCPeer建立的port-channel流量可以在接入設備的所有上聯鏈路上進行負載分擔標準802.3adport-channel接入設備功能需求支援標準802.3adLACP可選,vPCmemberport,vPC,NormalPort-channelport,重複幀防護機制,VPC的一個重要轉發原則：從vpcpeer通過peerlink發送過來的幀不會從vpc成員埠轉發出去，而發給非vpcvlan，orphanport或者上聯鏈路的流量會正常轉發Orphanport：不是通過vpc連接，但承載vpcvlan的埠,VPC配置,啟用VPC,LACP功能定義VPC域建立keepalive連接創建peer-link把VPC成員埠加入到vpc組當中確認vpcpeer的配置一致性(config)#featurevpc(config)#vpcdomain1(config-vpc-domain)#peer-keepalivedestinationx.x.x.xsourcey.y.y.y(conifg)#intport-channel10(config-int)#vpcpeer-link(config)#intport-channel20(config-int)#vpc20(config-int)#showvpcconsistency-parameters,N7k01,N7k02,議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,單播從Mac_A到Mac_B,MAC_A,MAC_B,SW3,SW2,SW4,SW1,vPC1,vPC2,vPC_PL,L2,L3,ECMP,PacketSend,ECMP,Portchannelpathselection,PacketFlooding,PacketFlooding,Packet(s)blockedonvPCmemberports,vPCpeer-linktraversed,CFSMACtableupdatemessage,單播從Mac_B到Mac_A的回應,MAC_A,MAC_B,SW3,SW2,SW4,SW1,vPC1,vPC2,vPC_PL,L2,L3,ECMP,PacketSend,ECMP,Portchannelpathselection,Localforwarding,previouslylearneddestination,議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,Nexus7000VDC簡介,Infrastructure,Kernel,VDC1,VDC2,VDC3,GLBP,VDC4,VirtualDeviceContext一個物理設備上虛擬多個邏輯裝置靈活的硬體資源配置軟體功能以及故障隔離有效提高資源利用率安全獨立的管理模式,虛擬化,Layer2Protocols,Layer3Protocols,VLAN,PVLAN,OSPF,BGP,EIGRP,HSRP,IGMP,UDLD,CDP,802.1X,STP,LACP,PIM,CTS,SNMP,VDC1,VPC和VDC的交互操作,VPC可以在VDC環境下正常的工作，不會有任何影響,VDC1,VDC2,VDC2,VDC3,VDC3,VDC4,VDC4,VDC1,Nexus7010,Nexus7010,Distribution,Core,Access,議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,vPC和ISSU交互操作,在VPC環境下仍建議使用ISSU進行系統升級VPCPeer會分別進行單獨的升級，不會影響流量轉發升級採用線性的順序，一次一台設備在其中一台設備升級時，peer設備的config會被鎖住,4.1(3),4.1(3),4.2(1),4.1(3),4.2(1),4.2(1),議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,vPC和STP交互操作,STP仍需啟用:VPC失效/增加/刪除時的備份機制非VPC設備的防環機制STP不會控制VPC成員埠的狀態配置建議在二層網路中使用Rapid-PVST或者MST，提高收斂速度接入交換機下聯主機的埠配置portfast,vPC,vPC,STPisrunningtomanageloopsoutsideofvPCsdirectdomain,orbeforeinitialvPCconfiguration,BPDU發送機制,MAC_A,MAC_B,SW3,SW2,SW4,SW1,vPC1,vPC2,vPC_PL,L2,L3,ECMP,PacketSend,ECMP,STPRoot,STPRootBackup,PacketFlooding,PacketFlooding,STPprocessupdated,BDPUsnotforwardedonvPCmemberports,BPDUsforwarded,STP埠配置建議,Aggregation,Access,DataCenterCore,B,R,R,N,N,-,-,-,-,-,-,-,-,R,R,R,R,R,R,-,-,B,E,B,B,E,B,E,Layer3,Layer2(STP+Rootguard),Layer2(STP+BPDUguard),L,E,SecondaryRoot,HSRPSTANDBY,PrimaryRoot,HSRPACTIVE,E,-,PrimaryvPC,SecondaryvPC,vPCDomain,議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,VPC和FHRP（HSRP/VRRP）交互操作,VPC環境中FHRP處於雙活狀態正常的FHRP配置Standby設備與vpcmanager交互，來判斷是否vpcpeer是否active,L3,L2,HSRP/VRRP“Standby”:ActiveforsharedL3MAC,HSRP/VRRP“Active”:ActiveforsharedL3MAC,VPC環境中HSRP工作機制,不改變HSRP控制協議HSRP共用虛擬的MAC地址（從初始activeHSRP設備匯出）HSRPactive設備回應ARP請求負載分擔到standby設備上的流量直接從本地轉發減少peer-link的使用，提高L3上聯鏈路的頻寬,VPC和HSRP交互操作流程,MAC_A,MAC_B,SW3,SW2,SW4,SW1,vPC1,vPC2,vPC_PL,L2,L3,ECMP,PacketSend,ECMP,HSRPActive,HSRPStandby,HSRPactiveMACispopulatedintotheL3hardwareforwardingtables,creatingalocalforwardingcapabilityontheHSRPstandbydevice,HSRPactiveprocesscommunicatestheactiveMACtoitsneighbor.OnlytheHSRPactiveprocessrespondstoARPrequests,VPC環境下HSRP改進：peer-gateway,vPCPL,vPCPKL,L3,L2,場景：有一些NAS設備（NETAPPFast-Path或EMCIP-Reflect）回應的時候使用的是發送設備的實MAC地址，而不是HSRP閘道的虛擬MAC地址報文被負載分擔到非實MAC所在VPC設備時，會通過peer-link發送到實MAC所在的VPC設備上，而由於重複幀防護機制，該設備會把報文丟棄.Vpcpeer-gateway解決方案:當目標MAC地址為peervpc設備的三層報文發送到本地時，該功能允許本地vpc設備閘道正常轉發該報文,LocalRoutingforpeerroutermacTraffic,N7k(config-vpc-domain)#peer-gateway,議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,VPC故障恢復,典型故障場景下聯接入交換機鏈路故障上聯三層鏈路故障Peer-link故障Keep-alivelink故障Peer-link和keepalive-lnk同時故障整機故障,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,1,2,3,4,5,6,場景一：下聯接入交換機鏈路故障,所有流量會發往VPCSecondary設備，並從secondary設備發往上聯鏈路故障收斂：21ms恢復收斂：0.09ms,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,場景二：上聯三層鏈路故障,負載分擔到VPCPrimary的流量會通過peer-link發往VPCSecondary設備，再發往上聯鏈路故障收斂：60ms恢復收斂：0ms,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,場景三：peer-link故障,通過keepalive-link檢查對端activeVPCSecondary關閉所有的VPCmemberport和VPCVlanSVI。流量通過VPCPrimary發送Peer-link恢復後，被shutdown的埠和SVI會自動恢復故障收斂：75ms恢復收斂：41ms,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,場景四：Keepalive-link故障,Peer-link仍正常工作，流量正常轉發，不會受到任何影響故障收斂：0ms恢復收斂：0ms,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,場景五：peer-link和keepalive均斷掉（1）,Peer-link先斷，keepalive後斷（此場景非常罕見！）-VPCSecondary關閉所有VPCmemberport和VPCvlanSVI-peer-link和keepalive均恢復之後，被關閉的埠自動恢復故障收斂：75ms恢復收斂：149ms,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,1,2,場景五：peer-link和keepalive均斷掉（2）,Keepalive先斷，peer-link後斷（此場景非常罕見！）-active/active-兩個VPCpeer均會發送BPDU，各自為根-原來的流量可正常轉發故障收斂：0ms恢復收斂：131ms,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,2,1,場景六：一台N7K出現整機故障,SecondaryVPC角色變成Primary，流量均通過該設備轉發故障收斂：474ms恢復收斂：882ms,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,議程,VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A,部署最佳實踐,接入交換機,VPCPrimaryHSRPActiveSTPRoot,VPCSecondaryHSRPStandbySTPRootSecondary,L2,L3,ECMP,Port-channel建議使用LACP，有利於failover和配置不匹配保護使用SVI和HSRP作為下聯網段的閘道Peer-link至少兩條獨佔模式的萬兆埠，最好分佈在不同的板卡上Peer-link上啟用UDLDKeepalivelink，三層埠，獨立VRF，路由可達1G頻寬足夠，使用板卡上的千兆三層埠，獨立VRF可使用SUP上的管理口，但是不要背靠背連接(N7K),VPCvlan和非VPCvlan,非vpcvlan不通過peer-link承載，以免vpcfail時影響非vpcvlan可把vpcvlan和非vpcvlan可使用獨立的VDC,OrphanPorts,OrphanPorts,Router,7k1,7k2,Switch,Po1,Po2,使用獨立的三層鏈路連接路由器,L3和VPC,HSRPlinkTracking,不建議在VPC環境中使用HSRPLinkTracking功能。VPCpeer不會向vpc成員埠轉發從peer-link轉發過來的流量,L3,L2,VLANA,VLANB,VSSvs.vPC,Q&A,STP收斂增強功能：peer-switch,vPCPeer-link,S1,S2,S3,S4,vPCPrimary,vPCSecondary,vPCswitchestoappearasasingleSTPRootintheL2topology(samebridge-id).vPCpeer-linkexcludedfromSTPcomputation(vPCpeer-linktreatedas“backplaneextension”).ImprovesconvergenceonvPCprimaryswit