纪录美好生活,一起观趣事,这里包罗安防知识,安防网是信息的海洋,有你听不到的知识,接下来我们一起来看看vpc孤立端口。
vpc孤立端口
今天,我为大家带来与虚拟端口通道相关的技术:
简介传统数据中心使用生成树来防止第2层环路。这个已经用了很多年了,但是确实有局限性。为了防止环路,生成树会阻塞一些链路,保持其他链路活动。如下所示,当活动链接失败时,可以使用被阻止的链接。如果链路出现故障,生成树将运行SPF算法来决定解除阻塞哪个链路,然后该链路将经历几次状态转换后才变为活动状态。
在传统的生成树中,阻塞的链路是对带宽的浪费,但现代生成树改善了这种情况。链路A可能会阻塞VLAN A,但它可能对VLAN B是活动的,后者是生成树的负载平衡。可惜还是有问题。例如,如果VLAN-A上的流量很大,而VLAN-B几乎没有使用,那该怎么办?这种情况下,流量不均衡,负载均衡。
生成树也可能导致次优路径。看看下面的图表。如果流量需要在两个底部的交换机之间流动,它必须首先通过顶部的交换机。
改善这种情况的一种方法是以太网信道,它允许从设备到交换机或两个交换机之间的许多活动上行链路。这还是有局限性的,因为EtherChannel(或LAG)只是位于两个设备之间,单个交换机的故障还是会导致链路捆绑中断。
虚拟端口通道(vPC)是以太通道的扩展,是解决生成树和以太通道局限性的一种方法。
如下所示,他们通过让设备同时为两个Nexus交换机创建一个以太网通道来实现这一点。从连接设备的角度来看,它仍然连接到单个交换机。
vPC中的所有链路都会主动转发流量。vPC是一种多机箱以太网技术(或MCEC),但它不是一个堆栈。Catalyst平台上的VSS(虚拟交换系统)是另一种多机箱技术。
VPC还提供高可用性。因为两组链路都是活动的,所以vPC的收敛时间非常快。如果一条链路或一组链路出现故障,其他链路已经在转发流量,这比生成树快得多。它需要找到一条新路径,并将一条或多条链路转为转发状态。
任何支持二层端口通道的设备都可以通过vPC连接,设备不需要知道vPC。包括物理服务器、防火墙、其他交换机和负载平衡器。
部署ASA集群的一种方法是通过vPC将其连接到一对Nexus交换机。如下图所示,光纤扩展器(FEX)也可以通过vPC连接到父交换机。在这种拓扑的变体中,网络设备可以通过vPC连接到两台FEX。
VPC是思科的专有技术,其他厂商也有类似的技术,比如Force 10(现在的戴尔)的VLT。其他采用不同方法的技术包括TRILL、FabricPath和VxLAN。
VPC部署拓扑vPC拓扑由两个Nexus交换机和一个或多个连接的设备组成。这两个交换机是对等的,对等交换机由两条链路连接,这两条链路是对等链路和保活链路。这些链路构成了vPC对等交换机的底板,允许连接的设备将交换机对视为单个设备。连接的设备可以是支持端口通道或LAG的任何设备,包括服务器、交换机、防火墙等。
vPC拓扑中只能有两台交换机,这确实会导致一些可扩展性问题。增强数据中心网络的一些方法是在边缘部署具有vPC连接的结构。交换矩阵的一些例子是Cisco的FabricPath或工业标准VxLAN。
虽然vPC消除了生成树的影响,但生成树本身并没有完全消除,网络仍然应该使用生成树。
为什么?并非所有的网络设备和设计都会使用vPC。接入层可以使用vPC连接到主机,但是接入层可以使用传统的连接到汇聚层,这需要生成树来进行环路控制。
那么,如果一个非vPC交换机连接到一个vPC对上会发生什么呢?好消息是vPC对等交换机仍然支持生成树。然而,它们的行为与传统模式略有不同。通过vPC连接到Nexus对的交换机将该对视为单个交换机,这意味着该对对于生成树域的其余部分将显示为单个交换机。这是可能的,因为两个交换机将同步网桥ID,并且网桥优先级匹配。
但是等等......这对看起来像是连接设备的单个开关吗?连接的设备不会从两台交换机上看到生成树BPDU吗?
但是:不,只有一台交换机发送BPDU。
vPC有两个作用:中小学。
基于优先级值的选举决定了每台交换机将扮演的角色。两台交换机都在数据平面转发流量。但是,有一些控制平面功能只有主交换机可以处理,其中之一是发送BPDU帧。当你进一步了解vPC时,你会发现只有主交换机才能处理的其他功能。
要开始使用vpc,您需要启用两个功能:vPC和lacp。vPC是EtherChannel的扩展,LACP仍然用于与连接的设备交换控制消息。
开关1(配置)#特性VPC开关1(配置)#特性lacp
保持活动链路保持活动链路将心跳从一个对等体发送到另一个对等体,对等体将使用这些心跳来确定另一个交换机是否启动。
该链路是第3层链路,位于独立的VRF中,与其它流量隔离。这一点很重要,因为一些故障可能会导致任何交换机认为它的对等机出现故障,但事实并非如此。这是一个裂脑或双活动场景,其中两个交换机都认为自己是主交换机。keepalive链路上的心跳可以防止这个问题,即使出现问题,双方仍然可以看到对方。
有两种可能的方法来部署此链接。第一种方案是在两台交换机之间连接点对点路由,第二种方案是使用单独的三层网络,可以是分布网络、核心网络或管理网络。
由于这条链路只承载很小的心跳包,不需要很大的带宽,也不需要端口通道中的一组链路,这意味着keepalive可以是自定义VRF上普通端口之间的单条链路,也可以是mgmt0接口之间的单条点对点链路。
以下示例显示了如何使用专用端口配置来保持活动链路,这是任何带有一对监视器的基于机箱的交换机的推荐配置。
一个名为vpc-keepalive的专用VRF将流量保持在带外,一个专用的第3层(路由)端口被添加到VRF并被赋予一个IP地址。
[rtbs name = " keepalive-link "]
下一个例子是另一种方法,使用mgmt0接口作为keepalive链路,这是任何固定交换机(不是机箱)的推荐方法。这可以是通过OOB管理网络运行的点对点链路。
管理端口已被路由,并且已经位于其自己的专用VRF中。
[rtbs name = " keepalive-mgmt "]
要检验保活链路,请从保活VRF ping对等交换机。
验证保活交换机1 # ping 1.1.1.2 VRF管理ping 1.1.1.2(1 . 1 . 1 . 2):56个数据字节 36个字节来自1.1.1.1:目的主机不可达请求0超时64个字节来自1 . 1 . 1 . 2:icmp _ seq = 1 TTL = 254 time = 1.098 ms64个字节来自1 . 1 . 1 . 2:icmp _ seq = 2 TTL = 250
VPC域vPC域是vPC组件的逻辑集合,包括两个交换机、它们的链路和vPC成员端口。每台交换机只能有一个域,每对启用vPC的交换机应该使用不同的域ID。
域是大部分全局vPC配置发生的地方,包括分配保活链路和角色优先级,角色优先级最低的交换机将成为主交换机。
两台交换机上与vPC相关的所有配置都必须匹配。默认情况下,配置不会在交换机之间复制,但可以复制。
以下示例使用vPC域ID 10,并使用以前的keepalive链接。
[rtbs name="vpc-domain"]
使用show vpc brief验证域ID和keepalive链接。在以下示例中,vPC处于失败状态,因为对等链路尚未配置。
确保switch1 # show VPC简介图例:(*)-本地VPC关闭,通过VPC对等链路转发vPC域id:10对等状态:对等链路未配置vPC保持活动状态:对等链路活动配置一致性状态:失败每vlan一致性状态:失败配置不一致原因:vPC对等链路不存在类型2一致性状态:失败(timeout = 30s秒)Delay-恢复SVI状态:计时器关闭。(time out = 10s)操作层3对等路由器:禁用
对等链路对等链路在对等交换机之间交换状态信息并传送控制流量。对等链路也称为多机箱以太信道中继。正是这种链接在两台交换机之间形成了一个虚拟控制平面,使它们看起来像一台交换机。
对等交换机使用对等链路来共享MAC地址。如果交换机将MAC添加到其转发表中,它会将其发送到其对等方,对等方会将其添加到自己的转发表中,这有助于在交换机出现故障时快速收敛。例如,如果交换机A出现故障,交换机B可以继续转发流量而不会中断,并且它已经获知了所有可用的MAC地址。
对等链路还负责传输广播和多播流量。如果网络使用多播,对等链路需要足够大以承载它。除非出现故障,否则单播流量不应通过对等链路。在这种情况下,对等交换机可能需要发送流量。
对等链路应该在一个端口通道中至少有两个10G接口。根据流量,链路可能需要更大,对等链路需要承载出现在vPC成员端口上的所有VLAN。否则,这些端口上会出现一致性错误。
在配置过程中,保持活动链路应该在对等链路配置之前启动并运行。
在以下示例中,对等链路是一个双接口端口通道。两台交换机上的配置相同。
对等交换机1(配置)#接口1/1-2 交换机1(配置-if-范围)#通道组10模式激活交换机1(配置-if-范围)#无关闭交换机1(配置-if-范围)#接口端口-通道10交换机1(配置-if)#无关闭交换机1(配置-if)#交换机端口交换机1(配置-if)#交换机端口模式中继这将在vPC对等链路上启用生成树桥保证,前提是STP桥保证(默认情况下启用)没有被禁用。
对等状态现在显示对等邻接形式正常。
验证对等链路交换机1 # sh VPC简介图例:(*)-本地VPC关闭,通过VPC对等链路转发vPC域id:10对等状态:对等邻接形成正常vPC保持活动状态:对等处于活动状态配置一致性状态:成功每vlan一致性状态:成功类型2一致性状态:成功vPC角色:主(timeout = 30s秒)Delay-恢复SVI状态:计时器关闭。(time out = 10s)操作层3对等路由器:禁用vPC对等链路状态 - id端口状态活动VLAN-1 Po10 up 1
成员端口成员端口是主机或其他设备连接到的vPC端口,连接的设备必须配置自己的端口通道才能生效。
两台交换机上的配置相同,允许不同的端口号。只要它们在速度、双工等方面匹配。vPC号不必与端口通道号匹配,但如果匹配的话,对管理员来说会更容易。
VPC会员港口!将接口添加到常规端口channelswitch 1(config)# interface 1/20switch 1(config-if)# channel-group 15 mode active!将端口通道配置为VPC 交换机1(配置-if) #接口端口通道15 交换机1(配置-if) #交换机端口交换机1(配置-if) # VPC15
下面的输出显示了新的成员端口。它当前被标记为关闭,因为还没有连接。
switch 1 # show vpc briefLegend:(*)-本地vPC关闭,通过vPC对等链路转发vPC域id:10对等状态:对等邻接形成正常vPC保持活动状态:对等处于活动状态配置一致性状态:成功每vlan一致性状态:成功类型2一致性状态:成功vPC角色:主数量(timeout = 30s秒)Delay-恢复SVI状态:计时器关闭。(time out = 10s)运行层3对等路由器:禁用vPC对等链路状态 - id端口状态活动VLAN--1 Po10 up 1vPC状态 - Id端口状态一致性原因活动VLAN-----20 Po15 down *成功成功
孤立端口孤立端口是位于启用vPC的交换机上的非vPC端口。这是仅连接到一台交换机而不是两台交换机的任何设备。服务器的管理端口就是一个例子。
孤立端口可以托管任何VLAN,即使它存在于vPC成员端口或对等链路上。
switch 1 # show VPC orphan-ports注意: -::通过端口数据库。请耐心等待。::- VLAN孤立端口-1th 1/11
兼容性条件有几个条件必须在vPC的所有端口上匹配:
模式端口端口速度(手动或协商)
此外,vPC中不允许SPAN和ERSPAN端口。
对等交换机使用对等链路来检查兼容性和错误配置。第1类错误配置非常严重,会导致一个或两个对等体上的端口通道暂停。2类错误配置稍微宽松一些。如果出现第2类错误,管理员将收到一条系统日志消息。
如果存在VLAN不匹配,只有不匹配的VLAN将被挂起。
使用show VPC一致性参数全局命令查看全局一致性参数。
switch 1 # show vPC consistency-parameters globalLegend:Type 1:vPC将在不匹配的情况下挂起Name Type Local Value Peer Value--QoS(Cos)2([0-7],[],[],[],[],[],([0-7],[],[],[],[],[]) [],[])网络QoS (MTU) 2 (1500,1500,150启用,F- gt;disabled)输入队列(带宽)2 (0,0,0,0,0,0) (0,0,0,0,0,0)输入队列(绝对2 (F,F,F,F,F,F) (F,F,F,F,F)优先级:T- gt;已启用,F- gt;disabled)输出队列(带宽2 (0,0,0,0,0,0) (0,0,0,0,0,0)剩余)输出队列(绝对2 (T,F,F,F,F,F,F) (T,F,F,F,F)优先级:T->已启用,F- gt;已禁用)Vlan到Vn段映射1无相关映射无相关映射 STP模式1 Rapid-PVST Rapid-PVSTSTP已禁用1 None无 STP MST区域名称1 " " " " " "STP MST区域修订版1 0 0STP MST区域实例到1的映射 STP Loopguard 1已禁用已禁用STP网桥保证1已启用STP
使用show VPC一致性参数接口接口命令查看特定接口的一致性问题。
switch 1 # show vPC consistency-parameters interface Port-channel 15Legend:Type 1:vPC将在不匹配的情况下暂停Name Type Local Value Peer Value---STP Port Guard 1 DefaultSTP Port Guard 1 DefaultSTP MST Simulate PVST 1 Default默认vPC卡Type 1 N9K TOR N9K TOR允许的VLAN-1 1
以上就是vpc孤立端口的相关内容分享,字数约6552字,希望这对大家有所帮助!安防网往后会继续推荐vpc孤立端口相关内容。
