本节书摘来自异步社区《NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)》一书中的第2章,第2.6节,作者 【美】Ron Fuller, CCIE#5851 , David Jansen, CCIE #5952 , Matthew McPherson,更多章节内容可以访问云栖社区“异步社区”公众号查看
2.6 vPC
NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)
Nexus 7000和5000系列交换机可以将连接至不同设备的链路聚合成一条逻辑链路,从而将端口通道功能发挥到更高层次。该链路聚合技术自NX-OS 4.1(4)开始引入,被称为vPC(virtual Port Channel,虚拟端口通道)。vPC除了支持端口通道提供的链路冗余性机制之外,还具有如下优势:
设备级的冗余性,收敛速度比使用传统生成树的多个端口通道更快;
利用无环路技术进一步消除了生成树的阻塞端口;
更优的带宽利用率。
警告:由于被配置为vPC的端口通道只能用作二层链路,因而不应该在该链路上使用动态路由协议。
vPC的配置很简单,只要将两台Nexus设备关联到一个vPC域中即可。在vPC域中,vPC对等之间通过两条特殊链路交换信息。
vPC对等保持激活链路(vPC peer-keepalive link):该链路不但能为vPC对等提供心跳机制以确保两台设备均在线,而且还能避免可能会给vPC拓扑结构带来环路的活动/活动(双活)或split-brain(脑裂)场景。vPC对等保持激活链路可以是1Gbit/s或10Gbit/s链路。
vPC对等链路(vPC peer link):该链路可以在vPC对等之间交换状态信息,并提供了split-brain场景的检测与预防机制。
需要了解的其他vPC术语还有如下几个。
vPC链路(vPC Link):vPC链路指的是Nexus设备上被配置为vPC的链路,下游设备将vPC链路视为普通的端口通道。
vPC角色(vPC Role):vPC域中的每个成员都参与选举进程以确定vPC域中的主设备和从设备。只有处于运行状态的vPC主设备才能生成并接收BPDU。选举进程是通过role priority来控制的,可以在vPC域配置模式下定义角色的优先级。
孤立端口(Orphan Port):孤立端口指的是未被配置为vPC链路的链路。该链路携带了vPC链路或vPC对等链路上的VLAN。通常应尽可能地避免出现孤立端口,利用命令show vpc orphan-ports可以显示孤立端口的信息。只要保持vPC域的“纯粹性”即可避免孤立端口,也就是说,将所有设备都通过vPC链路双归属连接到vPC域的两个成员。
注:虽然可以将Nexus 7000的mgmt0接口用作vPC对等保持激活链路,但在实际工作中应尽可能地避免这么做。这是因为在Nexus 7000上,mgmt0接口实质上是一个代表活动控制引擎物理管理端口的逻辑接口。出现硬件故障或实施ISSU(In-Service Software Upgrades,在线软件升级)等可能导致控制引擎切换的进程期间,支持mgmt0接口的物理链路可能会发生变化,导致保持激活消息出现中断。如果使用普通交换机接口,就可以利用端口通道提供的额外冗余能力。如果要将mgmt0接口用作对等保持激活链路,那么就必须确保所有物理管理端口都连接在外部设备(如管理交换机)上。
下面将以图2-7所示的拓扑结构为例来解释vPC的配置方式。
配置vPC的步骤如下。
第1步:在每个vPC对等上都启用vPC功能特性。
第2步:为vPC保持激活链路创建VRF。
第3步:验证vPC对等保持激活链路的连接性。
第4步:验证该vPC对等保持激活链路处于工作状态。
第5步:配置vPC对等链路。
注:对于Nexus 7000来说,vPC对等链路的成员接口必须是10GbE端口,如果这些端口位于M1板卡上,那么建议这些端口使用独享速率模式(dedicated rate-mode)。
第6步:配置的一致性检查通过并验证之后,就完成了有效的vPC配置。
如果配置的一致性状态返回的是成功之外的其他信息,那么就可以通过以下命令获取配置不一致的额外信息:
2.6.1 vPC对等网关
NX-OS 4.2(1)及以后版本引入了vPC对等网关(Peer-Gateway)特性。该特性的目的是启用一定的存储、应用服务器或负载均衡器来实现快速路径功能(fast-path functionality)。该功能允许节点向发送端的指定MAC地址(而不是HSRP地址)发送返回流量。在默认情况下,该流量可能会被丢弃,因为vPC环回避免机制不允许将接收自vPC对等链路的流量通过vPC接口转发出去(环路避免)。而vPC对等网关则允许vPC对等设备转发去往其对等路由器本地MAC地址的数据包。
启用对等网关特性的命令如下:
2.6.2 vPC对等交换机
为了实现Etherchannel,vPC创建了可以将两台设备视为一台设备的网络环境,而对等交换机(Peer-Switch)则扩展了该特性,使得vPC域对整个拓扑结构来说像单个生成树域。为此,vPC域中的交换机必须同步它们的网桥ID(Bridge ID),而且两台交换机都必须生成BPDU。为了保证正常工作,两台交换机生成的BPDU所包含的优先级必须完全匹配。例2-69在两台交换机上启用了对等交换机特性并将优先级配置为完全相同。
例2-69 配置vPC对等交换机功能
虽然对等交换机特性在纯vPC拓扑结构中非常有用,但是如果vPC域中同时存在vPC链路和非vPC链路,那么还需要配置生成树“伪”信息(Pseudo-Information)。STP在为非vPC链路生成BPDU时需要使用这些伪信息。例2-70给出了生成树伪信息的配置示例。
例2-70 配置STP伪信息
2.6.3 ARP同步
由于在汇聚层部署了ECMP功能的vPC环境会出现大量的非对称流量流,因而在vPC域成员恢复在线时,ARP表的恢复时间是重新收敛过程最大的时延之一。为了克服该时延问题,可以利用ARP表同步(ARP Table Sync)机制来同步vPC域中两台设备之间的ARP表。
ARP同步机制的配置非常简单,大多数网络管理员也都倾向于使用该机制。例2-71显示了ARP同步的配置方式。