在关于我们新的DC网络的上周博客基于Nexus开关线我介绍给你的Kamal Vyas.,我团队的铅网工程师。Kamal在我们的直流网络设计上与另一个博客返回。
One of the CPOC’s most important tests was the Virtual Port-Channel (vPC) feature supported on Nexus 7000. vPC is projected to be the new spanning tree killer and is a very promising feature especially if you are planning to deploy a big L2 access domain which generally is the case in large DC deployments with virtualization support. vPC Summary:
- Empowers跨越两个上游交换机跨越的端口通道
- 转发状态的所有端口;没有生成树被阻止模式
- 有效利用所有可用带宽
更多关于VPC的信息,请参阅Cisco vPC白皮书。我们模拟了两个访问设计。左边是传统的生成树访问设计。右侧是5K访问交换机配置,具有新的VPC访问设计指南和建议。VPC访问设计:
- 右访问开关N5K-VPC(图中)和VLAN 201和202适用于VPC接入设计。
- VPC具有初级和辅助交换机的概念。N7K-01此处配置为VPC主和N7K-02是VPC辅助开关。
- 根据VPC,最佳实践,主VPC交换机(N7K-01)被配置为生成树根,也是VLAN 201和202的HSRP主。
- vPC Keep-alive (ft)链路是两个Nexus-7Ks之间的1Gig L3点链路;而两个机箱之间的vPC对等体链路(常规L2中继)利用2x10gig端口(按照指导原则)。
SPT访问设计:
- 左侧接入交换机N5K-SPT(图中)和vlan 101、102用于SPT接入设计。
- VLAN 101配置N7K-01为生成树根和HSRP Primary; VLAN 102配置N7K-02为生成树根和HSRP Primary。
- 生成树访问设计正在利用传统的环形三角形设计,奇数VLAN更喜欢左汇编开关,甚至更喜欢右开关。
在我们的测试中,大多数测试都是为了演示功能,并在不同的故障场景下观察流量模式和收敛时间。性能测试超出了范围。我们还尝试比较vPC设计与传统SPT环三角形访问设计行为。利用流量生成器来模拟从两个核心交换机下行到接入层的流量。下面是测试场景和观察到的流量模式的快照。
-
正常情况下:
- Po1 @N5K-vPC的所有成员都处于转发状态。没有生成树阻塞vlan /端口。
- 尽管VLAN 201和VLAN 202的HSRP主用端口为N7K-01,但N7K-01和N7K-02的流量都被转发到核心交换机,通过vPC的peer-link的流量很小
- 返回流量是CEF从核心加载到N7K的CEF,并直接转发到N5K-VPC交换机。
- PO1 @ N5K-SPT为VLAN 101的SPT转向状态,并阻塞102;对PO2反之亦然。
- 对于VLAN 101的N7K-01,通过N7K-01转发到核心交换机的流量,并为VLAN102向N7K-02转发。
- 返回流量为CEF加载到两种N7K的CEF均衡,请将核心交换机直接转发给N5K-SPT开关以获取各个VLAN。
- 在两个7k (vPC对端链路)之间的L2中继上观察到一些流量。
-
vPC访问设计
-
SPT访问设计
-
L2 Trunk/VPC对端链路故障(shutdown Po1 @ N7K-01):
- 由于N7K-02是辅助VPC切换,通过设计,关闭(用2秒硬盘)所有其VPC端口通道(PO10 Down)。观察到一些最小的数据包滴。虽然PO10和IT成员仍在转发@ N7K-01。
- VLAN SVIS(接口VLAN)201和202在N7K-02上掉,因为这些VLAN中没有活动接口。
- 由于这些VLAN掉了,因此N7K-02停止向VLAN 201和202子网的路线广告到从N7K-01接收单个路由的核心。
- 因此,双向交通现在都要经过N7K-01。
- 当对端链路恢复后,N7K-02将Po10带回(3 - 4秒),并将VLAN 201和202子网的路由发布到核心,并按照正常场景发布流量。没有发现丢包。
- 由于不再存在环路,N5K-SPT开始在两个端口通道上转发vlan 101和102。
- 两个N7Ks上的vlan 101和102的HSRP都处于active-active状态。
- root guard块VLAN 101在PO3 @ N7K-02和PO2上的VLAN 102上@ N7K-01
- VLAN 101的出境(北行)流量通过N7K-01转发,并通过N7K-02转发VLAN 102。
- 输入的不对称流量(VLAN 102在N7K-01上降落的流量,反之亦然)是黑色的,因为root-guard阻挡了VLAN的路径。(未配置路由调整,如果SPT设计是所选访问设计,则这将是去的方式。
- 一旦L2主干被带回来,SPT收敛回到正常状态如上所述。在重新收敛期间也观察到丢包。
-
vPC访问设计
-
SPT访问设计
-
VPC保持活动链接失败(关机保持活动@ N7K-01):
- 任何报文转发都没有变化。在N7K上只有一条指定keep-alive链路的syslog消息被断开。这本身并不是一种交通混乱状况
- Keep-alive链路不适用于防范酷刑小组委员会。
-
vPC访问设计
-
SPT访问设计
-
双重故障情景 - 1(VPC对等链路故障,后跟VPC保持活力链接失败):
- VPC访问设计会收敛于当对等链路失败时上面列出的L2中继/ VPC对等态的故障。
- 接下来,当keep-alive链路失效时,在N7K上指定keep-alive链路down的syslog消息。
- 因此,所有方向的流量现在都通过N7K-01,一旦对等链路恢复,N7K-02将带回Po10,并将VLAN 201和202子网的路由发布到核心,按照正常的场景和流量流。
- 观察到最小的数据包掉落。
- 由于L2中继(VPC对等链路)HA失败,SPT会收敛于如上所述的L2中继/ VPC对等链路SPT访问设计状态的故障。
- Keep-alive链路不适用于防范酷刑小组委员会。
-
vPC访问设计
-
SPT访问设计
-
双故障场景- 2 (VPC keepalive链路故障,同时VPC对端链路故障):
- 当keep-alive链路断开时,在指定keep-alive链路的两个N7K上都会生成syslog消息。
- 接下来当Peer-Link失败时,这是一个分开的大脑条件,VPC成员无法验证其他对等方的状态。
- 不关闭VPC端口通道,并且两个N7KS都会继续转发数据包。
- 现有的流量继续在失败之前转发;但是,新流动学习的新流动学习被观察到新流动的不确定(或破坏状态)。
- 一旦对等链路和保持连接链路恢复,流量将按照正常场景恢复。
- 由于L2中继(VPC对等链路)失败的SPT收敛到如上所述的L2中继/ VPC对等链路SPT访问设计状态的故障
- Keep-alive链路不适用于防范酷刑小组委员会。
-
vPC访问设计
-
SPT访问设计
希望这能让您了解vPC技术在DC中的发展方向,以及它与spt类型实现的区别。同时,正如我在我最后的博客中提到的那样,尽管它是用EFT代码完成的(不是官方的CCO版本),但在测试时,我们能够演示所有上述预期行为。截至上周五(2/6)4.1.3 Nexus 7000代码已经在CCO上发布,可以部署。
仍然有很多来自Kamal的新型DC。
更多>来自Field Blog条目:
完整的端到端Nexus数据中心设计…雷竞技电脑网站(好的,近端到端! !)
思科数据中心雷竞技电脑网站“大爆炸”公告- YYYYYAAAAAWWWWWNNNNNN.....
去思科子网浏览更多思科新闻、博客、论坛、安全警报、图书赠品等。