Port Channel and VPC

一、Port Channel 介绍

         Port Channel  简介

             绑定多个物理链路（最多8条），到一个单一的逻辑链路，在两个物理设备之间

             每一个物理端口只能被放入一个port-channel中。

             在一个port-channel中全部端口必须兼容，而且须要有相同的速率和双工模式。

             不能把二层和三层的接口放入相同的port channel

             Port channel分为两种，Access port  和  Trunk port

          Port Channel  模式

              LACP（公有） active  passive       active--passive    active--active   

              PAGP（私有）  auto   desirable      auto--desirable    auto--auto

              不用聚合协议（mode  on）

          Hash  Options(散列选项）

                默认是源目IP地址

                

二、VPC理论

           vPCs简介

                容许一个设备使用有两个上游设备的Portchannel 

                消除STP阻止端口

                提供一个无环的拓扑

                使用全部可用的上联带宽

                在链路或者设备出现故障时，提供最快的收敛

                提供链路级冗余和确保高可用性

                第三方设备能够是个服务器只要支持Channel Group技术     

                 Lower oversubscription     低的超额预约       设备带宽和上联带宽比例   

           背对背VPC（最多支持32路Port channel）

                 M系列板卡每个vPC对等体只有8路active，两个对等体就是16路，F系列支持16路active的port channel，所以支持32路的vpc

                  vPC对等体的负载方式是由这个对等体设备本地判断的。

            vPC架构的组件

                   vPC peers     一对激活vPC的交换机

                   vPC Domain     一对vPC对等体，和相关的vPC组件

                   vPC Peer Keepalive  Link      路由链路，承载心跳数据包，进行双Active的检测，是三层链路。

                   vPC Peer Link      在两个vPC对等体设备间，承载控制层面流量 ，好比检查配置，同步MAC地址的学习，ARP、vPC成员端口状态等，注意是二层链路，最好是channel，端口也必须是10G的。

                    vPC        在vPC对等体和有port-channel能力的下游设备之间的port channel

                    vpc Member Port   造成vPC的一系列端口中的一个

                    Orphan  Device     一个设备使用非vPC链路链接到vpc对等体

                    Orphan  Port      链接孤立设备的端口

                     CFS       在vPC对等体设备间，用于状态同步和配置确认的协议

            原则与最佳实践     

                   在配置vPC以前须要先激活vPC特性

                   先配置Peer-keepalive链路，而后配置Peer-link链路，最后设置vPC domain

                   必须手动配置两个vPC设备，配置不会从一个设备发送到另外一个设备上

                   检查在vPC Peer链路的两端，须要配置的参数是一致的

                   当配置vPC时，可能会经历短暂的流量中断

                   推荐全部vPC的Portchannel 使用LACP的active           

             数据层防环机制

                  

              vPC角色切换

                    一个交换机被选举成为Primary，另一端被选举为Secondary，优先级越小越优先，角色决定当Peer Link 失效的行为，若是Peer link失效，有两种可能性，一种是链路Down，还有一种多是设备Down，这个时候Secondary就会经过Keepalive Link 发送Hello信息，若是Primary有回复，那么Secondary认为是peer link失效了，Secondary就会关闭本身全部关于vpc的端口和vlan端口，若是Primary没有回复，那么Secondary认为是设备Down了，Secondary就会成为操做上的Primary。

                    不支持抢占，Primary 交换机主导在vpc中的STP

三、配置 N7K vPC

                  DC2-N7K-3(config)# feature lacp                   开启feature  lacp

                  DC2-N7K-3(config)# feature vpc                    开启feature  vpc

                  DC2-N7K-3(config)# vrf context P-K-L                    创建Keepalive link 最好使用vrf，最好两条链路绑channel，最佳实践

                  DC2-N7K-3(config)# interface e4/16-17

                  DC2-N7K-3(config-if-range)# channel-group 10 mode active 

                  DC2-N7K-3(config-if-range)# no shutdown

                  DC2-N7K-3(config)# interface port-channel 10

                  DC2-N7K-3(config-if)# vrf member P-K-L

                  DC2-N7K-3(config-if)# ip address  192.168.1.1/24

                  DC2-N7K-3(config-if)# no shutdown

                 

                  DC2-N7K-4(config)# feature lacp

                  DC2-N7K-4(config)# feature vpc

                  DC2-N7K-4(config)# vrf context P-K-L

                  DC2-N7K-4(config)# interface e4/16-17

                  DC2-N7K-4(config-if-range)# channel-group 10 mode active 

                  DC2-N7K-4(config-if-range)# no shutdown

                  DC2-N7K-4(config)# interface port-channel 10

                  DC2-N7K-4(config-if)# vrf member P-K-L

                  DC2-N7K-4(config-if)# ip address  192.168.1.2/24

                  DC2-N7K-4(config-if)# no shutdown

 

                  DC2-N7K-3(config)# vpc domain 7                 一组vpc域号必须一致

                  DC2-N7K-3(config-vcp-domain)# role priority 73                 越小约优先

                  DC2-N7K-3(config-vcp-domain)# peer-keepalive destination 192.168.1.2 source 192.168.1.1  vrf P-K-L      关联keepalive link

                  DC2-N7K-3(config-vcp-domain)# delay restore 150              反防止路由黑洞

                  DC2-N7K-3(config-vcp-domain)# peer-gateway   解决三层问题，直接转发

                  DC2-N7K-3(config-vcp-domain)# ip arp synchronize                同步arp

                  DC2-N7K-3(config-vcp-domain)# system-prority 2500   越小越好，只要是协商lacp负载时谁说的算

                  

                  DC2-N7K-4(config)# vpc domain 7                 一组vpc域号必须一致

                  DC2-N7K-4(config-vcp-domain)# role priority 74                 越小约优先，切记没有抢占功能

                  DC2-N7K-4(config-vcp-domain)# peer-keepalive destination 192.168.1.1 source 192.168.1.2  vrf P-K-L      关联keepalive link

                  DC2-N7K-4(config-vcp-domain)# delay restore 150              反防止路由黑洞

                  DC2-N7K-4(config-vcp-domain)# peer-gateway

                  DC2-N7K-4(config-vcp-domain)# ip arp synchronize                同步arp

                  DC2-N7K-4(config-vcp-domain)# system-prority 2600   越小越好，只要是协商lacp负载时谁说的算

 

                      

                  DC2-N7K-3(config)# interface e4/18-19                              创建peer-link使用channel     官方推荐

                  DC2-N7K-3(config-if-range)# channel-group 20 mode active 

                  DC2-N7K-3(config-if-range)# no shutdown

                  DC2-N7K-3(config)# interface port-channel 20

                  DC2-N7K-3(config-if)# switchport mode trunk            放行的vlan取决vpc使用vlan，若是vpc使用vlan在这不放行，是不会通的。

                  DC2-N7K-3(config-if)#  vpc peer-link                  必须是10G接口

 

                  DC2-N7K-4(config)# interface e4/18-19                              创建peer-link使用channel     官方推荐

                  DC2-N7K-4(config-if-range)# channel-group 20 mode active 

                  DC2-N7K-4(config-if-range)# no shutdown

                  DC2-N7K-4(config)# interface port-channel 20

                  DC2-N7K-4(config-if)# switchport mode trunk            放行的vlan取决vpc使用vlan，若是vpc使用vlan在这不放行，是不会通的。

                  DC2-N7K-4(config-if)#  vpc peer-link

              show vpc  查看状态

               简单的下联vpc配置

 

               查看port channel  端口状态

 

            查看vpc配置是否一致

 

              查看vpc接口配置是否一致

               vPC与FHRP

                        去往vPC的流量，若是可能将会被本地的vPC成员接口所转发

                        FHRP的行为是被修改的，全部的FHRP路由器都会主动转发从vPC收到的流量

                        结果：流量若是可能避免使用Peer Link，在这样建立了一个可扩展的解决方案，Peer Link的了容量不须要随着vPC数量的增加而增加。

              生成树推荐

                      配置聚合的vPC对等体为Primary STP root和Secondary STP root

                      若是使用vPC peer-switch技术，两个vPC对等体会扮演一个STP root，STP BPDU在全部vPC链路中被发送，避免因为下游设备上的STP BPDU超时，形成的流量中断

                      应该经过调整让vPC Primary成为STP的Primary root，HSRP的Active Router和PIM的DR

                      桥接确保技术默认在vPC Peer Link 上被激活

                      不要在vPC上激活Loop Guard和BA，由于下联设备多是服务器，不存在BPDU

                      在接主机接口上激活STP端口类型edge或者edge trunk

                      全局激活Root-Guard，确保咱们vPC设备为根

                      若是接入交换机支持STP channel-misconfig技术，应该禁用。

                         调整Spanning Tree

                            N7K-1(config)#spanning-tree vlan 10 root primary      VLAN号应该考虑全部参与vPC的VLAN 

                           N7K-2(config)#spanning-tree vlan 10 root secondary      

                        peer-switch

                           N7K-1(config)#vPC domin 7

                           N7K-1(config-vcp-domain)#peer-switch

                           N7K-2(config)#vPC domin 7

                           N7K-2(config-vcp-domain)#peer-switch

              Autorecovery（默认开启的，时间240s）   

                      若是两个vPC交换机同时重启，默认在两个vPC设备的比邻关系创建起来以前，全部的vPC都被挂起，若是仅仅只有一个vPC设备能够工做，本地的vPC成员端口，依然处于挂起状态，默认240s以后，正常的设备会软件初始化vPC，而且激活本地端口。

                           N7K-1(config)#vPC domin 7

                           N7K-1(config-vcp-domain)#  Auto-recovery reload-delay (600-3600)  调时间

             Delay Restore（默认关闭的）

                      当一个vPC重启而且恢复后，路由协议须要时间收敛，在三层链接从新创建以前，vpc将会成为访问层访问核心层的路由黑洞，当系统从新启动后，延时“n”秒激活vPC接口。 

                           N7K-1(config)#vPC domin 7

                           N7K-1(config-vcp-domain)# delay restore 400     物理vpc接口

                           N7K-1(config-vcp-domain)# delay restore interface-vlan 400    interface-vlan  被peer-link 放行的那些VLAN

             ARP Synchronization（须要开启）

                    提高三层流量的收敛时间，须要在两个vPC设备上同时激活此特性，当Peer Link恢复时经过CFSoE执行一个成块的ARP同步。 

                         N7K-1(config)#vPC domin 7

                         N7K-1(config-vcp-domain)# ip arp synchronize 

四、配置N7K N5K vPC

             N5K的keepalive link 能够用管理口作，由于通常都是二层

             配置和7K同样，注意vpc号，N5K和N7K必须一致

五、配置EvPC

             链接FEX使用vPC，就是EvPC。

             配置完Evpc，之后配置两面必须一致，能够手敲，也能够经过配置命令自动同步（不推荐）

六、vPC最佳实践

            vpc system-mac        自动产生的mac，LACP邻居看到两个vPC对等体有相同的system id

            VPC的角色决定了哪一个设备，来处理BPDU，若是敲了peer switch ，那么两个设备会同时处理、

             Keepalive link   发送信息间隔1s，hold时间是3s，超时时间是5s。

              vpc与vdc：

                    vpc能够工做在vdc环境

                    每一个vdc只可以支持一个vpc Domain

                    在每一个vdc部署中，依然须要使用分离的peer-link 和peer-keepalive link

              一个原则，下联设备双线链接vpc

             三层和vpc的相互影响    从r到s，中间运行动态路由协议，从二层看，像一条单独的链路，散列函数决定那条链路来转发，从三层看，两条路等价负载，这样就会出现一个问题，可能三层走7k-1，可是二层走7k-2，到7k-2发现应该发往7k-1的interface 接口的mac，这个时候就会走peer link到7k-1，7k到s也是跑的vpc，那么包就会直接别丢弃，由于vpc的防环机制，从vpc 端口来的流量，过peer link，不能在从vpc成员端口出，

                   解决这种问题的办法有两种  1.出接口不是vpc成员端口，2.采用peer-Gateway技术解决，这样到7k2的流量会直接转发，不过peer link。

                             

               确保二层运行中全部交换机运行Rapid-pvst或者mst，由于5k，7k只支持这两种。