Port Channel and VPC

一、Port Channel 介紹

         Port Channel  簡介

             綁定多個物理鏈路（最多8條），到一個單一的邏輯鏈路，在兩個物理設備之間

             每一個物理端口只能被放入一個port-channel中。

             在一個port-channel中全部端口必須兼容，而且須要有相同的速率和雙工模式。

             不能把二層和三層的接口放入相同的port channel

             Port channel分爲兩種，Access port  和  Trunk port

          Port Channel  模式

              LACP（公有） active  passive       active--passive    active--active   

              PAGP（私有）  auto   desirable      auto--desirable    auto--auto

              不用聚合協議（mode  on）

          Hash  Options(散列選項）

                默認是源目IP地址

                

二、VPC理論

           vPCs簡介

                容許一個設備使用有兩個上游設備的Portchannel 

                消除STP阻止端口

                提供一個無環的拓撲

                使用全部可用的上聯帶寬

                在鏈路或者設備出現故障時，提供最快的收斂

                提供鏈路級冗餘和確保高可用性

                第三方設備能夠是個服務器只要支持Channel Group技術     

                 Lower oversubscription     低的超額預約       設備帶寬和上聯帶寬比例   

           背對背VPC（最多支持32路Port channel）

                 M系列板卡每個vPC對等體只有8路active，兩個對等體就是16路，F系列支持16路active的port channel，所以支持32路的vpc

                  vPC對等體的負載方式是由這個對等體設備本地判斷的。

            vPC架構的組件

                   vPC peers     一對激活vPC的交換機

                   vPC Domain     一對vPC對等體，和相關的vPC組件

                   vPC Peer Keepalive  Link      路由鏈路，承載心跳數據包，進行雙Active的檢測，是三層鏈路。

                   vPC Peer Link      在兩個vPC對等體設備間，承載控制層面流量 ，好比檢查配置，同步MAC地址的學習，ARP、vPC成員端口狀態等，注意是二層鏈路，最好是channel，端口也必須是10G的。

                    vPC        在vPC對等體和有port-channel能力的下游設備之間的port channel

                    vpc Member Port   造成vPC的一系列端口中的一個

                    Orphan  Device     一個設備使用非vPC鏈路鏈接到vpc對等體

                    Orphan  Port      鏈接孤立設備的端口

                     CFS       在vPC對等體設備間，用於狀態同步和配置確認的協議

            原則與最佳實踐     

                   在配置vPC以前須要先激活vPC特性

                   先配置Peer-keepalive鏈路，而後配置Peer-link鏈路，最後設置vPC domain

                   必須手動配置兩個vPC設備，配置不會從一個設備發送到另外一個設備上

                   檢查在vPC Peer鏈路的兩端，須要配置的參數是一致的

                   當配置vPC時，可能會經歷短暫的流量中斷

                   推薦全部vPC的Portchannel 使用LACP的active           

             數據層防環機制

                  

              vPC角色切換

                    一個交換機被選舉成爲Primary，另一端被選舉爲Secondary，優先級越小越優先，角色決定當Peer Link 失效的行爲，若是Peer link失效，有兩種可能性，一種是鏈路Down，還有一種多是設備Down，這個時候Secondary就會經過Keepalive Link 發送Hello信息，若是Primary有回覆，那麼Secondary認爲是peer link失效了，Secondary就會關閉本身全部關於vpc的端口和vlan端口，若是Primary沒有回覆，那麼Secondary認爲是設備Down了，Secondary就會成爲操做上的Primary。

                    不支持搶佔，Primary 交換機主導在vpc中的STP

三、配置 N7K vPC

                  DC2-N7K-3(config)# feature lacp                   開啓feature  lacp

                  DC2-N7K-3(config)# feature vpc                    開啓feature  vpc

                  DC2-N7K-3(config)# vrf context P-K-L                    創建Keepalive link 最好使用vrf，最好兩條鏈路綁channel，最佳實踐

                  DC2-N7K-3(config)# interface e4/16-17

                  DC2-N7K-3(config-if-range)# channel-group 10 mode active 

                  DC2-N7K-3(config-if-range)# no shutdown

                  DC2-N7K-3(config)# interface port-channel 10

                  DC2-N7K-3(config-if)# vrf member P-K-L

                  DC2-N7K-3(config-if)# ip address  192.168.1.1/24

                  DC2-N7K-3(config-if)# no shutdown

                 

                  DC2-N7K-4(config)# feature lacp

                  DC2-N7K-4(config)# feature vpc

                  DC2-N7K-4(config)# vrf context P-K-L

                  DC2-N7K-4(config)# interface e4/16-17

                  DC2-N7K-4(config-if-range)# channel-group 10 mode active 

                  DC2-N7K-4(config-if-range)# no shutdown

                  DC2-N7K-4(config)# interface port-channel 10

                  DC2-N7K-4(config-if)# vrf member P-K-L

                  DC2-N7K-4(config-if)# ip address  192.168.1.2/24

                  DC2-N7K-4(config-if)# no shutdown

 

                  DC2-N7K-3(config)# vpc domain 7                 一組vpc域號必須一致

                  DC2-N7K-3(config-vcp-domain)# role priority 73                 越小約優先

                  DC2-N7K-3(config-vcp-domain)# peer-keepalive destination 192.168.1.2 source 192.168.1.1  vrf P-K-L      關聯keepalive link

                  DC2-N7K-3(config-vcp-domain)# delay restore 150              反防止路由黑洞

                  DC2-N7K-3(config-vcp-domain)# peer-gateway   解決三層問題，直接轉發

                  DC2-N7K-3(config-vcp-domain)# ip arp synchronize                同步arp

                  DC2-N7K-3(config-vcp-domain)# system-prority 2500   越小越好，只要是協商lacp負載時誰說的算

                  

                  DC2-N7K-4(config)# vpc domain 7                 一組vpc域號必須一致

                  DC2-N7K-4(config-vcp-domain)# role priority 74                 越小約優先，切記沒有搶佔功能

                  DC2-N7K-4(config-vcp-domain)# peer-keepalive destination 192.168.1.1 source 192.168.1.2  vrf P-K-L      關聯keepalive link

                  DC2-N7K-4(config-vcp-domain)# delay restore 150              反防止路由黑洞

                  DC2-N7K-4(config-vcp-domain)# peer-gateway

                  DC2-N7K-4(config-vcp-domain)# ip arp synchronize                同步arp

                  DC2-N7K-4(config-vcp-domain)# system-prority 2600   越小越好，只要是協商lacp負載時誰說的算

 

                      

                  DC2-N7K-3(config)# interface e4/18-19                              創建peer-link使用channel     官方推薦

                  DC2-N7K-3(config-if-range)# channel-group 20 mode active 

                  DC2-N7K-3(config-if-range)# no shutdown

                  DC2-N7K-3(config)# interface port-channel 20

                  DC2-N7K-3(config-if)# switchport mode trunk            放行的vlan取決vpc使用vlan，若是vpc使用vlan在這不放行，是不會通的。

                  DC2-N7K-3(config-if)#  vpc peer-link                  必須是10G接口

 

                  DC2-N7K-4(config)# interface e4/18-19                              創建peer-link使用channel     官方推薦

                  DC2-N7K-4(config-if-range)# channel-group 20 mode active 

                  DC2-N7K-4(config-if-range)# no shutdown

                  DC2-N7K-4(config)# interface port-channel 20

                  DC2-N7K-4(config-if)# switchport mode trunk            放行的vlan取決vpc使用vlan，若是vpc使用vlan在這不放行，是不會通的。

                  DC2-N7K-4(config-if)#  vpc peer-link

              show vpc  查看狀態

               簡單的下聯vpc配置

 

               查看port channel  端口狀態

 

            查看vpc配置是否一致

 

              查看vpc接口配置是否一致

               vPC與FHRP

                        去往vPC的流量，若是可能將會被本地的vPC成員接口所轉發

                        FHRP的行爲是被修改的，全部的FHRP路由器都會主動轉發從vPC收到的流量

                        結果：流量若是可能避免使用Peer Link，在這樣建立了一個可擴展的解決方案，Peer Link的了容量不須要隨着vPC數量的增加而增加。

              生成樹推薦

                      配置聚合的vPC對等體爲Primary STP root和Secondary STP root

                      若是使用vPC peer-switch技術，兩個vPC對等體會扮演一個STP root，STP BPDU在全部vPC鏈路中被髮送，避免因爲下游設備上的STP BPDU超時，形成的流量中斷

                      應該經過調整讓vPC Primary成爲STP的Primary root，HSRP的Active Router和PIM的DR

                      橋接確保技術默認在vPC Peer Link 上被激活

                      不要在vPC上激活Loop Guard和BA，由於下聯設備多是服務器，不存在BPDU

                      在接主機接口上激活STP端口類型edge或者edge trunk

                      全局激活Root-Guard，確保咱們vPC設備爲根

                      若是接入交換機支持STP channel-misconfig技術，應該禁用。

                         調整Spanning Tree

                            N7K-1(config)#spanning-tree vlan 10 root primary      VLAN號應該考慮全部參與vPC的VLAN 

                           N7K-2(config)#spanning-tree vlan 10 root secondary      

                        peer-switch

                           N7K-1(config)#vPC domin 7

                           N7K-1(config-vcp-domain)#peer-switch

                           N7K-2(config)#vPC domin 7

                           N7K-2(config-vcp-domain)#peer-switch

              Autorecovery（默認開啓的，時間240s）   

                      若是兩個vPC交換機同時重啓，默認在兩個vPC設備的比鄰關係創建起來以前，全部的vPC都被掛起，若是僅僅只有一個vPC設備能夠工做，本地的vPC成員端口，依然處於掛起狀態，默認240s以後，正常的設備會軟件初始化vPC，而且激活本地端口。

                           N7K-1(config)#vPC domin 7

                           N7K-1(config-vcp-domain)#  Auto-recovery reload-delay (600-3600)  調時間

             Delay Restore（默認關閉的）

                      當一個vPC重啓而且恢復後，路由協議須要時間收斂，在三層鏈接從新創建以前，vpc將會成爲訪問層訪問核心層的路由黑洞，當系統從新啓動後，延時「n」秒激活vPC接口。 

                           N7K-1(config)#vPC domin 7

                           N7K-1(config-vcp-domain)# delay restore 400     物理vpc接口

                           N7K-1(config-vcp-domain)# delay restore interface-vlan 400    interface-vlan  被peer-link 放行的那些VLAN

             ARP Synchronization（須要開啓）

                    提高三層流量的收斂時間，須要在兩個vPC設備上同時激活此特性，當Peer Link恢復時經過CFSoE執行一個成塊的ARP同步。 

                         N7K-1(config)#vPC domin 7

                         N7K-1(config-vcp-domain)# ip arp synchronize 

四、配置N7K N5K vPC

             N5K的keepalive link 能夠用管理口作，由於通常都是二層

             配置和7K同樣，注意vpc號，N5K和N7K必須一致

五、配置EvPC

             鏈接FEX使用vPC，就是EvPC。

             配置完Evpc，之後配置兩面必須一致，能夠手敲，也能夠經過配置命令自動同步（不推薦）

六、vPC最佳實踐

            vpc system-mac        自動產生的mac，LACP鄰居看到兩個vPC對等體有相同的system id

            VPC的角色決定了哪一個設備，來處理BPDU，若是敲了peer switch ，那麼兩個設備會同時處理、

             Keepalive link   發送信息間隔1s，hold時間是3s，超時時間是5s。

              vpc與vdc：

                    vpc能夠工做在vdc環境

                    每一個vdc只可以支持一個vpc Domain

                    在每一個vdc部署中，依然須要使用分離的peer-link 和peer-keepalive link

              一個原則，下聯設備雙線鏈接vpc

             三層和vpc的相互影響    從r到s，中間運行動態路由協議，從二層看，像一條單獨的鏈路，散列函數決定那條鏈路來轉發，從三層看，兩條路等價負載，這樣就會出現一個問題，可能三層走7k-1，可是二層走7k-2，到7k-2發現應該發往7k-1的interface 接口的mac，這個時候就會走peer link到7k-1，7k到s也是跑的vpc，那麼包就會直接別丟棄，由於vpc的防環機制，從vpc 端口來的流量，過peer link，不能在從vpc成員端口出，

                   解決這種問題的辦法有兩種  1.出接口不是vpc成員端口，2.採用peer-Gateway技術解決，這樣到7k2的流量會直接轉發，不過peer link。

                             

               確保二層運行中全部交換機運行Rapid-pvst或者mst，由於5k，7k只支持這兩種。