《NX-OS与Cisco Nexus交换技术：下一代数据中心架构（第2版）》一第 2 章　二层支持能力及配置2.1　二层概述

本节书摘来自异步社区《NX-OS与Cisco Nexus交换技术：下一代数据中心架构（第2版）》一书中的第2章，第2.1节，作者 【美】Ron Fuller, CCIE#5851 , David Jansen, CCIE #5952 , Matthew McPherson，更多章节内容可以访问云栖社区“异步社区”公众号查看

第 2 章　二层支持能力及配置

NX-OS与Cisco Nexus交换技术：下一代数据中心架构（第2版）
Nexus系列交换机提供了丰富的二层功能特性集。本章将讨论这些二层功能特性的常见实现情况，如VLAN（Virtual Local Area Network，虚拟局域网）、PVLAN（Private VLAN，私有VLAN）、STP（Spanning Tree Protocol，生成树协议）、UDLD（Unidirectional Link Detection，单向链路检测）、vPC（virtual Port Channel，虚拟端口通道）以及Cisco FabricPath。

本章将讨论以下与Nexus系列交换机相关的内容。

• 二层概述：描述二层功能特性的功能以及Nexus系列交换机的接口。
• VLAN和PVLAN：描述Nexus系列交换机对VLAN和PVLAN的支持情况。
• STP：描述Nexus系列交换机支持的STP选项以及相应的配置参数。
• vPC：描述在两台Nexus交换机之间配置vPC的方式并提供配置案例及最佳实践。
• UDLD：描述二层网络环境中利用UDLD预防非期望状况的方式。
• FabricPath：描述Cisco FabricPath的概念、应用场景及配置案例。

2.1　二层概述

NX-OS与Cisco Nexus交换技术：下一代数据中心架构（第2版）
虽然Nexus系列交换机的操作系统都是NX-OS，但是不同交换机的硬件体系架构却有所不同。本节将回顾一些基本的交换概念并分析Nexus 5000和Nexus 7000交换机的转发行为。

二层转发机制处理的是构造并维护存储在CAM（Content Addressable Memory，内容寻址内存）表中的MAC（Media Access Control，介质访问控制）地址表的能力。MAC地址表是通过学习接入二层网络的工作站的MAC地址来构建的。在绝大多数情况下，MAC地址的学习过程都是通过动态方式完成的，但是某些场合下，网络管理员也可能需要创建静态MAC表项并预先填充到CAM表中。填充完成后，通过分析数据帧的DMAC（Destination MAC，目的MAC）地址，CAM表就可以执行二层转发决策，在查表时还会同时做出其他决策，如丢弃该数据帧或泛洪该数据帧。转发决策将确定交换机所采取的交换方式是存储转发（store-and-forward）方式或直通（cut-through）方式。

2.1.1 存储转发交换方式

存储转发交换方式需要接收完整的数据帧，然后再将数据帧的最后部分与FCS（Frame Check Sequence，帧校验序列）进行比对，以确保数据帧在物理传输过程中未出现任何差错。如果确定数据帧出现了损坏，那么就立即丢弃该数据帧。此外，存储转发交换方式在本质上还能处理数据包出入端口具有不同物理特性而可能产生的各种问题，即100Mbit/s与1Gbit/s或10Gbit/s。存储转发交换方式的延时度量通常是以LIFO（Last In First Out，后进先出）为基础进行计算的。Nexus 7000系列交换机支持存储转发交换方式。

2.1.2 直通交换方式

与存储转发式交换机需要等到在缓存中接收完全部数据帧之后再进行操作不同，直通式交换机只要接收到数据帧的前6个字节中的DMAC即可执行二层查找操作。从历史角度来看，直通交换方式可以在依靠其他站丢弃无效数据帧的基础上提供一种高速数据帧转发方法。直通式交换平台的时延通常是以FIFO（First In First Out，先进先出）为基础进行计算的。随着ASIC（Application-Specific Integrated Circuit，专用集成电路）加工技术的成熟，直通式交换机还能进一步查看数据帧的内容，而不会造成与存储转发式交换机相关的性能劣化问题。此外，随着时间的推移，物理介质也比过去更加可靠。在ASIC加工技术与物理传输可靠性的推动下，直通式交换技术在工业界得到再度兴起。Nexus 5000系列交换机使用的就是直通交换方式，但是出入端口传输速率不一致的时候除外。

2.1.3 利用Nexus 2000实现交换矩阵扩展

Nexus 5000和7000可以通过Nexus 2000交换矩阵扩展器实现优异的交换能力。对于Nexus母交换机来说，Nexus 2000的工作方式与线卡完全一样，就像绝大多数模块化交换机平台一样，不会被限制到一台物理机箱。继续这个比喻，Nexus母交换机就像虚拟机箱（virtual chassis）的控制引擎模块，虽然两者在物理上是分离的，但是从软件映像、配置以及生成树的角度来看，Nexus母交换机与Nexus 2000被视为单一实体进行管理。数据中心工程师利用该功能不但能够实现架内（in-rack）交换解决方案的布线优势，而且能够简化集中式或列末式技术的管理工作。目前Nexus 2000提供了以下规格型号。

Nexus 2148T：48口1000BASE-T主机接口和4条10Gbit/s SFP+上行链路。
Nexus 2224TP：24口100/1000BASE-T主机接口和2条10Gbit/s SFP+上行链路。
Nexus 2248TP和2248TP-E：48口100/1000BASE-T主机接口和4条10Gbit/s SFP+上行链路。
Nexus 2232PP：32口1/10Gbit/s SFP+主机接口和8条10Gbit/s SFP+上行链路。
Nexus 2232TM：32口1/10GBASE-T主机接口和一个拥有8条10Gbit/s SFP+上行链路的模块化上行链路模块。
Nexus 2000不执行任何本地交换功能，所有流量都由母交换机进行集中式交换。Nexus 2000前面板端口的工作方式与常规交换机端口不同，仅用于连接主机。Nexus 2000与其他交换机之间最显著的区别在于，Nexus 2000的所有前面板端口上都实现了BPDUGuard（BPDU保护）功能。有关BPDUGuard的详细内容将在本章后面进行讨论。

Nexus 2000的初始配置非常简单，配置完成后即可作为Nexus 5000或Nexus 7000可配置的附加端口。Nexus 2000可以通过以下两种模式连接到Nexus 5000或7000上。

静态映射（Static pinning）模式：该配置模式会在前面板端口与上行链路之间创建直接映射关系，该映射关系基于可用上行链路的数量。例如，如果只有一条上行链路处于活动状态，那么就要将所有前面板端口都映射到该上行链路。静态映射模式对于希望严格控制带宽以及超量配置场景来说是一种非常好的可选模式，但静态映射的缺点是，在增加或删除上行链路后，必须重新配置主机端口与上行链路之间的映射关系。
Etherchannel模式：该配置模式将上行链路端口聚合成单一逻辑接口，所有的前面板端口都映射到该逻辑接口。本章后面将会提到，Etherchannel配置模式只能使用1条、2条或4条上行链路。对于Etherchannel配置模式来说，即使出现了上行链路的增加或删除情况，主机的端口仍然保持运行状态。此外，上行链路端口通道（Port-Channel）也可以是去往两台不同Nexus 5000的vPC。

2.1.4 利用静态映射配置Nexus 2000

本节将以图2-1所示拓扑结构为例来解释基本的Nexus 2000配置方式。

例2-1给出了使用两条上行链路按照静态映射模式配置Nexus 2000到Nexus 5000连接性的方式。

例2-1 Nexus 2000静态映射配置

2.1.5 Nexus 2000静态映射验证

可以使用以下命令来监控Nexus 2000。

show fex：显示FEX（Fabric Extender，交换矩阵扩展器）单元、产品描述、状态、模型以及序列号列表。
show fex fex-id detail：提供指定Nexus 2000的详细状态信息，该命令的输出结果将提供包括软件版本、操作配置、上行链路状态等在内的大量详细信息。
show interface status fex fex-id：显示指定FEX上的前面板主机端口的状态信息。
show interface ethernet mod/slot fex-intf：显示映射到指定Nexus 5000接口的前面板主机端口。
例2-2给出了这些命令的输出结果示例。

例2-2 验证Nexus 2000静态映射

2.1.6 利用端口通道配置Nexus 2000

本节将以图2-2所示拓扑结构为例来解释Nexus 2000的配置方式，此时使用的是端口通道模式，而不是静态映射模式。

接下来的例子使用端口通道模式（而不是静态映射模式）配置了相似的拓扑结构。虽然例2-3中的配置与例2-1相似，但是此例中的pinning max-links参数被设置为1，而且接口都被配置为端口通道。

例2-3 Nexus 2000端口通道配置

2.1.7 Nexus 2000端口通道验证

虽然对使用端口通道模式或静态映射模式的Nexus 2000进行验证的方式很相似，但是端口通道模式将所有端口都被映射到逻辑端口通道接口上（如例2-4所示）。

例2-4 验证Nexus 2000端口通道

2.1.8 Nexus 7000的二层转发

Nexus 7000是全分布式二层转发平台，也就是说，系统中的每个模块都包含自己的转发表。端口收到数据包之后，入站模块将执行入站二层查找操作和初步的出站二层查找操作；数据包到达出站模块后，将执行第二次出站查找操作，以确保转发表未发生变化。系统中的每个模块都负责学习本地硬件的MAC地址。每个模块学到的MAC地址都会通过交换矩阵泛洪给系统中的其他模块，而且还通过相应的软件进程来确保MAC地址在各个硬件模块的正确同步。此外，MAC地址老化也是由每块线卡在本地完成的，不过此操作仅针对主表项（本地学习的表项）。模块在老化MAC地址时，会通告给控制引擎，从而允许其他模块删除被老化的MAC地址。Nexus 7000允许以每个VLAN为基础配置MAC地址老化机制，每个系统最多能配置14个唯一的老化值。

注：Nexus 7000的默认二层MAC地址老化时间是1800秒（30分钟），默认ARP老化定时器是1500秒（25分钟）。通过设置默认老化时间，让ARP2.1.9 二层转发验证
在交换式基础设施的常规运行期间，某些任务需要验证二层转发进程，如显示MAC地址表以识别所连接的节点或验证交换路径。在某些情况下，也可能需要清除MAC地址表，强制交换机使用最新信息重新填充MAC地址表。下面的例子将清除MAC地址表，并验证系统内所有模块的同步情况。显示MAC地址表的方式如例2-5所示，清除MAC地址表的方式如例2-6所示。

由于Nexus 7000具有分布式转发特性，因而每块线卡都要维护自己的转发表，而且所有线卡上的转发表都是同步的。为了验证转发表的同步情况，可以使用命令show forwarding consistency l2（如例2-7所示）。请注意，该命令与特定模块相关，因而必须在命令中指定具体的模块号，例2-7使用的是模块1。

例2-7 检查转发表的一致性