vPC技术详解ppt课件

VPC技術詳解議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&AVPC概述VPC：VirtualPort-Channel允許跨設備的鏈路捆綁消除STP環路快速收斂提高鏈路利用率HSRP/VRRP雙活NX-OS平臺支援VPC功能（Nexus7000，Nexus5000）接入交換機沒有特殊要求，只需要標準支持802.3ad/LACP傳統STP二層網路邏輯拓撲VPC網路邏輯拓撲議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&AvPCDomain—包含vpcpeer，peer-link，keepalive-link，下聯port-channel等vPCpeer–vpc交換機，成對出現vPCmemberport–組成vpc的一組埠（port-channel）vPC–連接下聯交換機與兩個vpcpeer之間的port-channel鏈路vPCpeer-link–vpcpeer之間的鏈路，狀態和資訊同步，必須為10GEvPCpeer-keepalivelinkvpcpeer之間的心跳線，作為peer-link的備份vPCVLAN–通過vpc鏈路和peer-link承載的vlan.non-vPCVLAN–不通過vpc承載的vlanCFS–CiscoFabricServices協定，用於vpcpeer之間狀態同步，配置驗證vPCpeernon-vPCdevicevPCpeer-keepalivelinkvPCmemberportvPCvPCmemberportCFSprotocolvPCpeer-linkvPC術語和組件vPCDomainvPCDomainvpcpeer雙方均需要定義VPCDomain，且建議兩邊的DomainID一致在Domainmode下定義vpc的全域參數——角色優先順序（低值優先），keepalive等等VPCPeer設備使用DomainID自動產生一個唯一的VPCsystem-MAC（用於LACP鏈路操作）vPCDomainPeerLink用途標準802.1QTrunk承載vpcvlan和非vpcvlanCFS協議FHRP第一跳泛洪報文STPBPDUs,HSRPHellos,IGMPupdates等特殊情況下需要承載流量使用建議至少兩個10GE的埠，並且分佈在不同的板卡上10GE埠均設置成獨佔模式vPCpeer-linkCiscoFabricServices(CFS)協議用途配置驗證/比較STP管理，STPBPDU抑制MAC同步vPC成員埠狀態IGMPsnooping同步HSRP雙活CFSMessagingSTPdoessendBPDUsIGMPupdatesMACupdatesSTPdoesn’tsendBPDUsHSRPStandby->ActiveL3IGMPupdatesMACupdatesvPC配置元素配置元素類型類型1如果類型1中的元素不一致，則VPC無法建立起來vPC,STP,Vlanstatus,Portchannel,MTU…類型2VPC可以建立起來，但是可能會導致流量異常VLANinterfaces,HSRP,PIM,GLBP,ACLs,etc…系統會對這些不一致的配置產生SyslogPeer-Keepalive用途VPCPeer之間的心跳Active/Active(Peer-Link失效)檢測心跳消息間隔為2s，holdtimer為3s（默認）使用建議必須為一個單獨的三層鏈路(1Gb頻寬足夠)，三層可達即可，獨立VRF不能通過peer-link在路由可以使用引擎上的管理口vPCpeer-keepalivelinkvPC成員埠用途VPCpeer之間對port-channel進行終結配置建議VPCpeer之間的屬於同一個vpc組的成員埠的配置必須一致下聯交換機和兩個VPCPeer之間最多可捆綁16條鏈路vPCmemberportvPCmemberportVirtualPortChannel用途接入設備與兩個VPCPeer建立的port-channel流量可以在接入設備的所有上聯鏈路上進行負載分擔標準802.3adport-channel接入設備功能需求支援標準802.3adLACP可選vPCmemberportvPCNormalPort-channelport重複幀防護機制VPC的一個重要轉發原則：從vpcpeer通過peerlink發送過來的幀不會從vpc成員埠轉發出去，而發給非vpcvlan，orphanport或者上聯鏈路的流量會正常轉發Orphanport：不是通過vpc連接，但承載vpcvlan的埠VPC配置啟用VPC,LACP功能定義VPC域建立keepalive連接創建peer-link把VPC成員埠加入到vpc組當中確認vpcpeer的配置一致性(config)#featurevpc(config)#vpcdomain1(config-vpc-domain)#peer-keepalivedestinationx.x.x.xsourcey.y.y.y(conifg)#intport-channel10(config-int)#vpcpeer-link(config)#intport-channel20(config-int)#vpc20(config-int)#showvpcconsistency-parametersN7k01N7k02議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A單播——從Mac_A到Mac_BMAC_AMAC_BSW3SW2SW4SW1vPC1vPC2vPC_PLL2L3ECMPPacketSendECMPPortchannelpathselectionPacketFloodingPacketFloodingPacket(s)blockedonvPCmemberports,vPCpeer-linktraversedCFSMACtableupdatemessage單播——從Mac_B到Mac_A的回應MAC_AMAC_BSW3SW2SW4SW1vPC1vPC2vPC_PLL2L3ECMPPacketSendECMPPortchannelpathselectionLocalforwarding,previouslylearneddestination議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&ANexus7000VDC簡介InfrastructureKernelVDC1VDC2VDC3GLBPVDC4VirtualDeviceContext一個物理設備上虛擬多個邏輯裝置靈活的硬體資源配置軟體功能以及故障隔離有效提高資源利用率安全獨立的管理模式虛擬化Layer2ProtocolsLayer3ProtocolsVLANPVLANOSPFBGPEIGRPHSRPIGMPUDLDCDP802.1XSTPLACPPIMCTSSNMP……VDC1VPC和VDC的交互操作VPC可以在VDC環境下正常的工作，不會有任何影響VDC1VDC2VDC2VDC3VDC3VDC4VDC4VDC1Nexus7010Nexus7010DistributionCoreAccess議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&AvPC和ISSU交互操作在VPC環境下仍建議使用ISSU進行系統升級VPCPeer會分別進行單獨的升級，不會影響流量轉發升級採用線性的順序，一次一台設備在其中一台設備升級時，peer設備的config會被鎖住4.1(3)4.1(3)4.2(1)4.1(3)4.2(1)4.2(1)議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&AvPC和STP交互操作STP仍需啟用:VPC失效/增加/刪除時的備份機制非VPC設備的防環機制STP不會控制VPC成員埠的狀態配置建議在二層網路中使用Rapid-PVST或者MST，提高收斂速度接入交換機下聯主機的埠配置portfastvPCvPCSTPisrunningtomanageloopsoutsideofvPC’sdirectdomain,orbeforeinitialvPCconfigurationBPDU發送機制MAC_AMAC_BSW3SW2SW4SW1vPC1vPC2vPC_PLL2L3ECMPPacketSendECMPSTPRootSTPRootBackupPacketFloodingPacketFloodingSTPprocessupdated,BDPUsnotforwardedonvPCmemberportsBPDUsforwardedSTP埠配置建議AggregationAccessDataCenterCoreBRRNN--------RRRRRR--BEBBEBELayer3Layer2(STP+Rootguard)Layer2(STP+BPDUguard)LESecondaryRootHSRPSTANDBYPrimaryRootHSRPACTIVEE-PrimaryvPCSecondaryvPCvPCDomain議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&AVPC和FHRP（HSRP/VRRP）交互操作VPC環境中FHRP處於雙活狀態正常的FHRP配置Standby設備與vpcmanager交互，來判斷是否vpcpeer是否activeL3L2HSRP/VRRP“Standby”:ActiveforsharedL3MACHSRP/VRRP“Active”:ActiveforsharedL3MACVPC環境中HSRP工作機制不改變HSRP控制協議HSRP共用虛擬的MAC地址（從初始activeHSRP設備匯出）HSRPactive設備回應ARP請求負載分擔到standby設備上的流量直接從本地轉發減少peer-link的使用，提高L3上聯鏈路的頻寬VPC和HSRP交互操作 流程 快递问题件怎么处理流程河南自建厂房流程下载关于规范招聘需求审批流程制作流程表下载邮件下载流程设计 MAC_AMAC_BSW3SW2SW4SW1vPC1vPC2vPC_PLL2L3ECMPPacketSendECMPHSRPActiveHSRPStandbyHSRPactiveMACispopulatedintotheL3hardwareforwardingtables,creatingalocalforwardingcapabilityontheHSRPstandbydeviceHSRPactiveprocesscommunicatestheactiveMACtoitsneighbor.OnlytheHSRPactiveprocessrespondstoARPrequestsVPC環境下HSRP改進：peer-gatewayvPCPLvPCPKLL3L2場景：有一些NAS設備（NETAPPFast-Path或EMCIP-Reflect）回應的時候使用的是發送設備的實MAC地址，而不是HSRP閘道的虛擬MAC地址報文被負載分擔到非實MAC所在VPC設備時，會通過peer-link發送到實MAC所在的VPC設備上，而由於重複幀防護機制，該設備會把報文丟棄.Vpcpeer-gateway解決MATCH_ word word文档格式规范word作业纸小票打印word模板word简历模板免费word简历 _1717101042798_0:當目標MAC地址為peervpc設備的三層報文發送到本地時，該功能允許本地vpc設備閘道正常轉發該報文LocalRoutingforpeerrouter–macTrafficN7k(config-vpc-domain)#peer-gateway議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&AVPC故障恢復典型故障場景下聯接入交換機鏈路故障上聯三層鏈路故障Peer-link故障Keep-alivelink故障Peer-link和keepalive-lnk同時故障整機故障接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMP123456場景一：下聯接入交換機鏈路故障所有流量會發往VPCSecondary設備，並從secondary設備發往上聯鏈路故障收斂：～21ms恢復收斂：～0.09ms接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMP場景二：上聯三層鏈路故障負載分擔到VPCPrimary的流量會通過peer-link發往VPCSecondary設備，再發往上聯鏈路故障收斂：～60ms恢復收斂：0ms接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMP場景三：peer-link故障通過keepalive-link檢查對端activeVPCSecondary關閉所有的VPCmemberport和VPCVlanSVI。流量通過VPCPrimary發送Peer-link恢復後，被shutdown的埠和SVI會自動恢復故障收斂：～75ms恢復收斂：～41ms接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMP場景四：Keepalive-link故障Peer-link仍正常工作，流量正常轉發，不會受到任何影響故障收斂：0ms恢復收斂：0ms接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMP場景五：peer-link和keepalive均斷掉（1）Peer-link先斷，keepalive後斷（此場景非常罕見！）-VPCSecondary關閉所有VPCmemberport和VPCvlanSVI-peer-link和keepalive均恢復之後，被關閉的埠自動恢復故障收斂：75ms恢復收斂：149ms接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMP12場景五：peer-link和keepalive均斷掉（2）Keepalive先斷，peer-link後斷（此場景非常罕見！）-active/active-兩個VPCpeer均會發送BPDU，各自為根-原來的流量可正常轉發故障收斂：0ms恢復收斂：～131ms接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMP21場景六：一台N7K出現整機故障SecondaryVPC角色變成Primary，流量均通過該設備轉發故障收斂：～474ms恢復收斂：～882ms接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMP議程VPC基本原理-VPC概述VPC組件和原理VPC基本業務流VPC的交互操作VPC和VDC的交互操作VPC和ISSU的交互操作VPC和STP的交互操作VPC和HSRP的交互操作VPC故障恢復最佳實踐Q&A部署最佳實踐接入交換機VPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL2L3ECMPPort-channel建議使用LACP，有利於failover和配置不匹配保護使用SVI和HSRP作為下聯網段的閘道Peer-link至少兩條獨佔模式的萬兆埠，最好分佈在不同的板卡上Peer-link上啟用UDLDKeepalivelink，三層埠，獨立VRF，路由可達1G頻寬足夠，使用板卡上的千兆三層埠，獨立VRF可使用SUP上的管理口，但是不要背靠背連接(N7K)VPCvlan和非VPCvlan非vpcvlan不通過peer-link承載，以免vpcfail時影響非vpcvlan可把vpcvlan和非vpcvlan可使用獨立的VDCOrphanPortsOrphanPortsRouter7k17k2SwitchPo1Po2使用獨立的三層鏈路連接路由器L3和VPCHSRPlinkTracking不建議在VPC環境中使用HSRPLinkTracking功能。VPCpeer不會向vpc成員埠轉發從peer-link轉發過來的流量L3L2VLANAVLANBVSSvs.vPCVSSvPC支援情況設備型號Catalyst6500Nexus7000,Nexus5000鏈路捆綁L2跨主機殼鏈路捆綁(Active-active)是是是否支持L3鏈路捆綁是否控制層面/HA控制層面統一獨立，雙活設定檔統一獨立引擎冗餘跨主機殼冗餘每個主機殼都有冗餘L2鏈路捆綁協議LACP,PaGP(+)LACP是否需要STP否否L3單個邏輯閘道是(不需要FHRP)是,active-activeHSRP路由進程單個相互獨立路由鄰居減少相互獨立組播PIMDR單個相互獨立(DR&N-DR)Q&ASTP收斂增強功能：peer-switchvPCPeer-linkS1S2S3S4vPCPrimaryvPCSecondaryvPCswitchestoappearasasingleSTPRootintheL2topology(samebridge-id).vPCpeer-linkexcludedfromSTPcomputation(vPCpeer-linktreatedas“backplaneextension”).ImprovesconvergenceonvPCprimaryswitchfailure/recoveryavoidingRapid-STPSyncBridgePriorityVLAN14KVLAN28KBridgePriorityVLAN18KVLAN24KSTPRootVLAN1STPRootVLAN2NoSTPTopologyChangesBridgePriorityVLAN14KVLAN24KBridgePriorityVLAN14KVLAN24KSTPRootVLAN1VLAN2Nexus7000(config-vpc-domain)#peer-switch4.2(6)and5.0ReleasesAnimatedSlideScenario:vPCdeploymentswithasingleN7K-M132XP-12card,wherecoreandpeer-linkinterfacesarelocalizedonthesamecard.Thisscenarioisvulnerabletoaccess-layerisolationifthe10GEcardfailsontheprimaryvPC.vPCObjectTrackingSolution:LeveragesobjecttrackingcapabilityinvPC(newCLIcommandsareadded).Peer-linkandCoreinterfacesaretrackedasalistofbooleanobjects.vPCobjecttrackingsuspendsvPCsontheimpaireddevice,sotrafficcangetdivertedovertheremainingvPCpeer.e1/…e1/…e1/…e1/…e1/…e1/…e1/…e1/…vPCPrimarye2/…e2/…vPCSecondaryvPCPLvPCPKLL3L2rhs-7k-1(config-vpc-domain)#track