vPC技术详解

VPC技术详解议程VPC基本原理-VPC概述VPC组件和原理VPC基本业务流VPC的互操作VPC和VDC的互操作VPC和IS
SU的互操作VPC和STP的互操作VPC和HSRP的互操作VPC故障恢复最佳实践Q&AVPC概述VPC：Virtual
Port-Channel允许跨设备的链路捆绑消除STP环路快速收敛提高链路利用率HSRP/VRRP双活NX-OS平台支持VP
C功能（Nexus7000，Nexus5000）接入交换机没有特殊要求，只需要标准支持802.3ad/LACP传统STP
二层网络逻辑拓扑VPC网络逻辑拓扑议程VPC基本原理-VPC概述VPC组件和原理VPC基本业务流VPC的互操作VPC
和VDC的互操作VPC和ISSU的互操作VPC和STP的互操作VPC和HSRP的互操作VPC故障恢复最佳实践Q&AvP
C术语和组件vPCDomain—包含vpcpeer，peer-link，keepalive-link，下联port-ch
annel等vPCpeer–vpc交换机，成对出现vPCmemberport–组成vpc的一组端口（port-cha
nnel）vPC–连接下联交换机与两个vpcpeer之间的port-channel链路vPCpeer-link–vpc
peer之间的链路，状态和信息同步，必须为10GEvPCpeer-keepalivelinkvpcpeer之间的心跳线，作
为peer-link的备份vPCVLAN–通过vpc链路和peer-link承载的vlan.non-vPCVLAN–不
通过vpc承载的vlanCFS–CiscoFabricServices协议，用于vpcpeer之间状态同步，配置验证v
PCDomainvPCpeer-keepalivelinkvPCpeer-linkCFSprotocolvPCpeer
vPCmemberportvPCmemberportvPCnon-vPCdevicevPCDomainvPCDom
ainvpcpeer双方均需要定义VPCDomain，且建议两边的DomainID一致在Domainmode下定义vp
c的全局参数——角色优先级（低值优先），keepalive等等VPCPeer设备使用DomainID自动产生一个唯一的VP
Csystem-MAC（用于LACP链路操作）PeerLink用途标准802.1QTrunk承载vpcvlan和非v
pcvlanCFS协议FHRP第一跳泛洪报文STPBPDUs,HSRPHellos,IGMPupdates等特殊情况
下需要承载流量使用建议至少两个10GE的端口，并且分布在不同的板卡上10GE端口均设置成独占模式vPCpeer-linkCisc
oFabricServices(CFS)协议STPdoessendBPDUsIGMPupdatesMACupda
tes用途配置验证/比较STP管理，STPBPDU抑制MAC同步vPC成员端口状态IGMPsnooping同步HSRP
双活CFSMessagingSTPdoesn’tsendBPDUsHSRPStandby->ActiveL3IGMP
updatesMACupdatesvPC配置元素配置元素类型类型1如果类型1中的元素不一致，则VPC无法建立起来vPC,
STP,Vlanstatus,Portchannel,MTU…类型2VPC可以建立起来，但是可能会导致流量异常VL
ANinterfaces,HSRP,PIM,GLBP,ACLs,etc…系统会对这些不一致的配置产生SyslogPe
er-Keepalive用途VPCPeer之间的心跳Active/Active(Peer-Link失效)检测心跳消息间隔为
2s，holdtimer为3s（默认）使用建议必须为一个单独的三层链路(1Gb带宽足够)，三层可达即可，独立VRF不能通过
peer-link在路由可以使用引擎上的管理口vPCpeer-keepalivelinkvPC成员端口用途VPCpeer之间
对port-channel进行终结配置建议VPCpeer之间的属于同一个vpc组的成员端口的配置必须一致下联交换机和两个VPC
Peer之间最多可捆绑16条链路vPCmemberportvPCmemberportVirtualPortChanne
l用途接入设备与两个VPCPeer建立的port-channel流量可以在接入设备的所有上联链路上进行负载分担标准802.3a
dport-channel接入设备功能需求支持标准802.3adLACP可选vPCvPCmemberportNormal
Port-channelport重复帧防护机制VPC的一个重要转发原则：从vpcpeer通过peerlink发送过来的帧不
会从vpc成员端口转发出去，而发给非vpcvlan，orphanport或者上联链路的流量会正常转发Orphanport：不
是通过vpc连接，但承载vpcvlan的端口VPC配置启用VPC,LACP功能定义VPC域建立keepalive连接创
建peer-link把VPC成员端口加入到vpc组当中确认vpcpeer的配置一致性(config)#featurevpc
(config)#vpcdomain1(config-vpc-domain)#peer-keepalivedestina
tionx.x.x.xsourcey.y.y.y(conifg)#intport-channel10(config-
int)#vpcpeer-link(config)#intport-channel20(config-int)#vp
c20(config-int)#showvpcconsistency-parametersN7k01N7k02议程VPC基
本原理-VPC概述VPC组件和原理VPC基本业务流VPC的互操作VPC和VDC的互操作VPC和ISSU的互操作VPC
和STP的互操作VPC和HSRP的互操作VPC故障恢复最佳实践Q&AvPCPK-Link单播——从Mac_A到Mac_
BPacketSendECMPECMPSW1SW2Packet(s)blockedonvPCmemberports,
vPCpeer-linktraversedL3vPC_PLL2PacketFloodingPacketFloodingCF
SMACtableupdatemessagePortchannelpathselectionvPC1vPC2SW3S
W4MAC_AMAC_BvPCPK-Link单播——从Mac_B到Mac_A的响应PacketSendECMPECMPSW
1SW2L3Localforwarding,previouslylearneddestinationvPC_PLL2Por
tchannelpathselectionvPC1vPC2SW3SW4MAC_AMAC_B议程VPC基本原理-VPC概述
VPC组件和原理VPC基本业务流VPC的互操作VPC和VDC的互操作VPC和ISSU的互操作VPC和STP的互操作V
PC和HSRP的互操作VPC故障恢复最佳实践Q&AVDC2Layer2ProtocolsLayer3Protocols
VLANUDLDOSPFGLBPPVLANCDPBGPHSRPSTP802.1XEIGRPIGMPLACPCTSPIMSNMP……
Nexus7000VDC简介VDC1虚拟化Layer2ProtocolsLayer3ProtocolsVirtua
lDeviceContext一个物理设备上虚拟多个逻辑设备灵活的硬件资源分配软件功能以及故障隔离有效提高资源利用率安全独立的管
理模式VLANUDLDOSPFGLBPVDC1PVLANCDPBGPHSRPSTP802.1XEIGRPIGMPVDC2LAC
PCTSPIMSNMPVDC3……VDC4InfrastructureKernelVPC和VDC的互操作VPC可以在VDC环境
下正常的工作，不会有任何影响CoreNexus7010Nexus7010VDC1VDC1DistributionVDC2VDC
2VDC3VDC3VDC4VDC4Access议程VPC基本原理-VPC概述VPC组件和原理VPC基本业务流VPC的互
操作VPC和VDC的互操作VPC和ISSU的互操作VPC和STP的互操作VPC和HSRP的互操作VPC故障恢复最佳实践Q
&AvPC和ISSU互操作4.2(1)4.1(3)4.2(1)4.1(3)在VPC环境下仍建议使用ISSU进行系统升级VPCP
eer会分别进行单独的升级，不会影响流量转发升级采用线性的顺序，一次一台设备在其中一台设备升级时，peer设备的config会被锁
住4.1(3)4.2(1)议程VPC基本原理-VPC概述VPC组件和原理VPC基本业务流VPC的互操作VPC和VDC
的互操作VPC和ISSU的互操作VPC和STP的互操作VPC和HSRP的互操作VPC故障恢复最佳实践Q&AvPC和STP互
操作STP仍需启用:VPC失效/增加/删除时的备份机制非VPC设备的防环机制STP不会控制VPC成员端口的状态配置建议在二层网络
中使用Rapid-PVST或者MST，提高收敛速度接入交换机下联主机的端口配置portfastSTPisrunningto
manageloopsoutsideofvPC’sdirectdomain,orbeforeinitialvP
CconfigurationvPCvPCvPCPK-LinkBPDU发送机制PacketSendECMPECMPSTPpr
ocessupdated,BDPUsnotforwardedonvPCmemberportsSW1SW2L3vPC
_PLL2BPDUsforwardedPacketFloodingPacketFloodingSTPRootBackup
STPRootvPC1vPC2SW3SW4MAC_AMAC_BSTP端口配置建议NetworkportNEEdgeorpo
rtfastporttypeNormalporttype-BBPDUguardRRootguardDataCenter
CoreLLoopguardPrimaryvPCSecondaryvPCvPCDomainHSRPACTIVEHSRPSTANDB
YLayer3AggregationSecondaryRootNNPrimaryRootLayer2(STP+Rootg
uard)--------RRRRRRRR-Access-L-EEEEEBBBBBLayer2(STP+BPDUguard
)议程VPC基本原理-VPC概述VPC组件和原理VPC基本业务流VPC的互操作VPC和VDC的互操作VPC和ISSU
的互操作VPC和STP的互操作VPC和HSRP的互操作VPC故障恢复最佳实践Q&AVPC和FHRP（HSRP/VRRP）互操
作VPC环境中FHRP处于双活状态正常的FHRP配置Standby设备与vpcmanager交互，来判断是否vpcpeer是否
activeHSRP/VRRP“Active”:ActiveforsharedL3MACHSRP/VRRP“Stan
dby”:ActiveforsharedL3MACL3L2VPC环境中HSRP工作机制不改变HSRP控制协议HSRP
共享虚拟的MAC地址（从初始activeHSRP设备导出）HSRPactive设备响应ARP请求负载分担到standby设备上
的流量直接从本地转发减少peer-link的使用，提高L3上联链路的带宽vPCPK-LinkVPC和HSRP互操作流程Pa
cketSendHSRPactiveprocesscommunicatestheactiveMACtoitsn
eighbor.OnlytheHSRPactiveprocessrespondstoARPrequestsHSR
PactiveMACispopulatedintotheL3hardwareforwardingtables,
creatingalocalforwardingcapabilityontheHSRPstandbydevic
eECMPECMPSW1SW2L3vPC_PLL2HSRPStandbyHSRPActivevPC1vPC2SW3SW4MAC
_AMAC_BVPC环境下HSRP改进：peer-gatewayLocalRoutingforpeerrouter–
macTraffic场景：有一些NAS设备（NETAPPFast-Path或EMCIP-Reflect）回应的时候
使用的是发送设备的实MAC地址，而不是HSRP网关的虚拟MAC地址报文被负载分担到非实MAC所在VPC设备时，会通过peer-li
nk发送到实MAC所在的VPC设备上，而由于重复帧防护机制，该设备会把报文丢弃.Vpcpeer-gateway解决方案:当目标
MAC地址为peervpc设备的三层报文发送到本地时，该功能允许本地vpc设备网关正常转发该报文vPCPLL3L2vPCPK
LN7k(config-vpc-domain)#peer-gateway议程VPC基本原理-VPC概述VPC组件和原理VP
C基本业务流VPC的互操作VPC和VDC的互操作VPC和ISSU的互操作VPC和STP的互操作VPC和HSRP的互操
作VPC故障恢复最佳实践Q&AVPC故障恢复典型故障场景下联接入交换机链路故障上联三层链路故障Peer-link故障Keep-a
livelink故障Peer-link和keepalive-lnk同时故障整机故障ECMP25VPCPrimaryHSRP
ActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondary6L343L
21接入交换机场景一：下联接入交换机链路故障所有流量会发往VPCSecondary设备，并从secondary设备发往上联链路
故障收敛：～21ms恢复收敛：～0.09msECMPVPCPrimaryHSRPActiveSTPRootVPCSec
ondaryHSRPStandbySTPRootSecondaryL3L2接入交换机场景二：上联三层链路故障负载分担到VP
CPrimary的流量会通过peer-link发往VPCSecondary设备，再发往上联链路故障收敛：～60ms恢复收敛：
0msECMPVPCPrimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbyST
PRootSecondaryL3L2接入交换机场景三：peer-link故障通过keepalive-link检查对端acti
veVPCSecondary关闭所有的VPCmemberport和VPCVlanSVI。流量通过VPCPrimary发
送Peer-link恢复后，被shutdown的端口和SVI会自动恢复故障收敛：～75ms恢复收敛：～41msECMPVPCP
rimaryHSRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecond
aryL3L2接入交换机场景四：Keepalive-link故障Peer-link仍正常工作，流量正常转发，不会受到任何影响故障
收敛：0ms恢复收敛：0msECMPVPCPrimaryHSRPActiveSTPRootVPCSecondaryHSR
PStandbySTPRootSecondaryL3L2接入交换机场景五：peer-link和keepalive均断掉（
1）Peer-link先断，keepalive后断（此场景非常罕见！）-VPCSecondary关闭所有VPCmemb
erport和VPCvlanSVI-peer-link和keepalive均恢复之后，被关闭的端口自动恢复故障收敛：
75ms恢复收敛：149msECMPVPCPrimaryHSRPActiveSTPRootVPCSecondaryHSR
PStandbySTPRootSecondaryL321L2接入交换机场景五：peer-link和keepalive均断掉
（2）Keepalive先断，peer-link后断（此场景非常罕见！）-active/active-两个VPCpe
er均会发送BPDU，各自为根-原来的流量可正常转发故障收敛：0ms恢复收敛：～131msECMPVPCPrimaryH
SRPActiveSTPRootVPCSecondaryHSRPStandbySTPRootSecondaryL31
2L2接入交换机场景六：一台N7K出现整机故障SecondaryVPC角色变成Primary，流量均通过该设备转发故障收敛：
～474ms恢复收敛：～882msECMPVPCPrimaryHSRPActiveSTPRootVPCSecondary
HSRPStandbySTPRootSecondaryL3L2接入交换机议程VPC基本原理-VPC概述VPC组件和原
理VPC基本业务流VPC的互操作VPC和VDC的互操作VPC和ISSU的互操作VPC和STP的互操作VPC和HSRP
的互操作VPC故障恢复最佳实践Q&A部署最佳实践Port-channel建议使用LACP，有利于failover和配置不匹配保
护使用SVI和HSRP作为下联网段的网关Peer-link至少两条独占模式的万兆端口，最好分布在不同的板卡上Peer-link上
启用UDLDKeepalivelink，三层端口，独立VRF，路由可达1G带宽足够，使用板卡上的千兆三层端口，独立VRF可
使用SUP上的管理口，但是不要背靠背连接(N7K)ECMPVPCPrimaryHSRPActiveSTPRootVPCSe
condaryHSRPStandbySTPRootSecondaryL3L2接入交换机VPCvlan和非VPCvla
n非vpcvlan不通过peer-link承载，以免vpcfail时影响非vpcvlan可把vpcvlan和非vpcv
lan可使用独立的VDCOrphanPortsOrphanPortsL3和VPC使用独立的三层链路连接路由器SwitchPo2
SwitchPo27k17k2Po1L3ECMPRouterRouterHSRPlinkTracking不建议在VPC环境中
使用HSRPLinkTracking功能。VPCpeer不会向vpc成员端口转发从peer-link转发过来的流量L3L
2VLANAVLANBVSSvs.vPCVSSvPC支持情况设备型号Catalyst6500Nexus7000,
Nexus5000链路捆绑L2跨机箱链路捆绑(Active-active)是是是否支持L3链路捆绑是否控制层面/HA控制层面
统一独立，双活配置文件统一独立引擎冗余跨机箱冗余每个机箱都有冗余L2链路捆绑协议LACP,PaGP(+)LACP是否需要STP
否否L3单个逻辑网关是(不需要FHRP)是,active-activeHSRP路由进程单个相互独立路由邻居减少相互独立组播P
IMDR单个相互独立(DR&N-DR)Q&ASTP收敛增强功能：peer-switchSTPRootVLAN1VL
AN24.2(6)and5.0ReleasesSTPRootVLAN1STPRootVLAN2BridgeP
riorityVLAN1?4KVLAN2?8KBridgePriorityVLAN1?8KVLAN2?4
KvPCPrimaryvPCSecondaryBridgePriorityVLAN1?4KVLAN2?4KBri
dgePriorityVLAN1?4KVLAN2?4KvPCPeer-linkS1S2AnimatedSlide
Nexus7000(config-vpc-domain)#peer-switchNoSTPTopologyChanges
S3S4vPC2vPC1vPCswitchestoappearasasingleSTPRootintheL2
topology(samebridge-id).vPCpeer-linkexcludedfromSTPcompu
tation(vPCpeer-linktreatedas“backplaneextension”).Improves
convergenceonvPCprimaryswitchfailure/recoveryavoidingRapi
d-STPSync 上联链路和peer-link均在一块万兆版卡上时VPCObjectTrackingScenario:v
PCdeploymentswithasingleN7K-M132XP-12card,wherecoreandp
eer-linkinterfacesarelocalizedonthesamecard.Thisscenario
isvulnerabletoaccess-layerisolationifthe10GEcardfailso
ntheprimaryvPC.vPCObjectTrackingSolution:Leveragesobjectt
rackingcapabilityinvPC(newCLIcommandsareadded).Peer-link
andCoreinterfacesaretrackedasalistofbooleanobjects.vPC
objecttrackingsuspendsvPCsontheimpaireddevice,sotraffic
cangetdivertedovertheremainingvPCpeer.e1/…e1/…e1/…e1/…e1/…
vPCPLe1/…L3e1/…e1/…L2vPCPKLe2/…e2/…vPCPrimaryvPCSecondaryrhs-7k
-1(config-vpc-domain)#track