??vPC全稱Virtual Port-Channel，是一種支持跨設(shè)備進(jìn)行鏈路捆綁的協(xié)議，旨在消除STP環(huán)路，實(shí)現(xiàn)網(wǎng)絡(luò)的快速收斂，提高鏈路利用率。在vPC環(huán)境下，HSRP/VRRP協(xié)議實(shí)現(xiàn)了雙活，即無(wú)論Active/Standby設(shè)備，均能夠轉(zhuǎn)發(fā)流量，這也是一個(gè)比較大的進(jìn)步。

??vPC對(duì)遠(yuǎn)端設(shè)備并沒(méi)有要求，只要遠(yuǎn)端設(shè)備支持802.3ad/LACP，本端設(shè)備均可以使用vPC與其互聯(lián)。

??傳統(tǒng)意義上的VSS實(shí)際上也能夠進(jìn)行跨設(shè)備鏈路捆綁，但是由于VSS把兩臺(tái)設(shè)備的Control-plane集中到了一起，一旦Control-plane出現(xiàn)問(wèn)題，兩臺(tái)設(shè)備均會(huì)出現(xiàn)問(wèn)題。而vPC可視為在兩臺(tái)設(shè)備上獨(dú)立運(yùn)行協(xié)議，其中一臺(tái)出現(xiàn)問(wèn)題，也不會(huì)影響另一臺(tái)。

vPC術(shù)語(yǔ)

image.png

• vPC Domain —包含vpc peer，peer-link，keepalive-link， 下聯(lián)port-channel等
• vPC peer – vpc交換機(jī)，成對(duì)出現(xiàn)
• vPC member port – 組成vpc的一組端口（port-channel）
• vPC – 連接下聯(lián)交換機(jī)與兩個(gè)vpc peer之間的port-channel鏈路
• vPC peer-link –vpc peer之間的鏈路，狀態(tài)和信息同步，必須為10GE
• vPC peer-keepalive link vpc peer之間的心跳線，作為peer-link的備份
• vPC VLAN –通過(guò) vpc鏈路和peer-link承載的vlan.
• non-vPC VLAN –不通過(guò)vpc承載的vlan
• CFS – Cisco Fabric Services 協(xié)議，用于vpc peer之間狀態(tài)同步，配置驗(yàn)證

vPC Domain

vPC Domain

??兩臺(tái)vPC peer設(shè)備需要定義一致的vPC Domain ID，且該ID盡量全網(wǎng)唯一，因?yàn)関PC Domain ID 會(huì)用于產(chǎn)生一個(gè)唯一vPC system-MAC，用于LACP協(xié)議，如果兩臺(tái)vPC設(shè)備vPC domain ID與另外兩臺(tái)vPC的domain
ID重復(fù)，將會(huì)導(dǎo)致LACP flapping。
??在vPC domain模式下，可以定義vPC的全局參數(shù)，包括Role priority、keepalive等。

vPC Peer-link

image.png

用途

??vPC peer-link執(zhí)行標(biāo)準(zhǔn)的802.1Q Trunk協(xié)議，承載vPC vlan和非vPC vlan的流量。CFS協(xié)議、FHRP第一跳泛洪報(bào)文、STP BPDUs、HSRP Hellos，IGMP updates等流量均通過(guò)peer-link進(jìn)行轉(zhuǎn)發(fā)。

建議

??Peer-link作為vPC中比較重要的通道，建議使用兩個(gè)10GE的端口，并且分布在不同板卡上，避免板卡故障導(dǎo)致vPC出現(xiàn)問(wèn)題。
如果peer-link配置在M1卡上，需要將接口設(shè)置為shared mode。

Cisco Fabric Service(CFS協(xié)議）

CFS協(xié)議主要有以下幾個(gè)用途：

• 配置驗(yàn)證/比較
• STP管理，STP BPDU抑制
• MAC同步
• vPC成員端口狀態(tài)
• IGMP Snooping同步
• HSRP雙活

vPC配置一致性檢查

??當(dāng)你建立一個(gè)vPC Domain后，兩端的vPC就開(kāi)始進(jìn)行vPC配置一致性檢查。
有兩種一致性檢查：

• Type 1 - 重要的檢查項(xiàng)目，如果兩端設(shè)備或接口不一致，Secondary設(shè)備會(huì)進(jìn)入suspended狀態(tài)，避免出現(xiàn)異常。
  -Type 2 - 不是很重要，但是可能會(huì)導(dǎo)致流量異常。

全局Type-1檢查

基于接口的Type-1檢查

Type-2檢查

Peer Keepalive

Peer Keepalive

??Peer-keepalive用于vPC peer之間的心跳，默認(rèn)心跳消息間隔為2s,Hold timer為3s。
??建議使用一個(gè)單獨(dú)的三層鏈路用于vPC peer-keepalive，千兆口即可，通過(guò)單獨(dú)的VRF建立，不能夠通過(guò)peer-link傳輸。為了節(jié)約接口，也可以使用管理科mgmt0（N5K較常見(jiàn)）。

VPC成員端口與孤立端口（Orphan Port）

VPC成員端口

??vPC成員端口一般指的是在接口上允許了vPC的端口，用于終結(jié)port-channel。流量可以在兩條鏈路上進(jìn)行負(fù)載分擔(dān)，支持802.1d/LACP協(xié)議。

??Orphan port指的是不通過(guò)vpc連接，但承載vpc vlan的端口。

??這要和非vPC端口進(jìn)行區(qū)分，如果一個(gè)vlan不被允許通過(guò)peer-link傳輸，那么這個(gè)vlan就不是vPC vlan，因此屬于這個(gè)vlan的接口既不是vPC成員端口，也不是vPC Orphan端口。這一點(diǎn)很容易被混淆。

vPC 防環(huán)機(jī)制

??首先說(shuō)明，vPC放環(huán)機(jī)制是硬件實(shí)現(xiàn)的，不能夠通過(guò)軟件修改或關(guān)閉。

防環(huán)規(guī)則：vpc peer通過(guò)peer link發(fā)送過(guò)來(lái)的幀不會(huì)從vpc成員端口轉(zhuǎn)發(fā)出去，而發(fā)給非vpc vlan，orphan port或者上聯(lián)鏈路的流量會(huì)正常轉(zhuǎn)發(fā)。

vPC防環(huán)機(jī)制

vPC簡(jiǎn)單配置

vPC配置示意

N7K(config)# feature vpc         !開(kāi)啟vPC功能
N7K(config)# vpc domain 1        !定義vPC Domain
N7K(config-vpc-domain)# peer-keepalive destination x.x.x.x source y.y.y.y  !定義Peer-keepalive
N7K(conifg)# int port-channel 10  !定義port-channel 10
N7K(config-int)# vpc peer-link  !將這個(gè)portchannel定義為peer-link
N7K(config)# int port-channel 20 !定義port-channel 20
N7K(config-int)# vpc 20 !啟用vPC
N7K(config-int)#show vpc consistency-parameters !檢查vPC參數(shù)一致性