关于这种情况,有三种方法可以选择,但是有建议的优先次序。
方式1:将接入设备连接到一个vPC-attached的交换机,这样的做的好处是当Peer link故障的时候,可以保证最低的网络中断,由于接在vPC-attached交换机上,所以可以就看成是该交换机下连接的终端,是最优的一种选择方案。
优点:更好的保证网络故障时,网络中断的影响最低。在vPC双活场景也具有一致性行为。
缺点:需要一个额外的交换机(可以外部的交换机或VDC实例);在VDC的情况下,可能会存在管理物理设备和虚拟设备的额外管理工作。
方式2:如果无法使用方式1的话,其次可以选择该方式,即用非vPC VLAN将设备连接到vPC Peer设备。并且在vPC交换机之间创建单独的Port-channel来承载这些非vPC VLAN。
备注:根据定义,非vPC VLAN不属于任何vPC,且在vPC Peer Link上不存在!
接入设备可以连接到主vPC Peer设备或从vPC Peer设备,这都没关系,因为有了专门的Port-channel保证了备份路径,以防vPC Peer Link发生故障。
优点:如果vPC Peer Link故障了,流量可以从备份路径上转发,这避免了任何接在Secondary设备上的设备被隔离。
缺点:需要在Nexus之间再多配置和管理Port-channel。
注意:从非vPC VLAN到vPC VLAN的通信必须通过VLAN间路由进行,因为2个VLAN属于不同的Bridging Domain。
方式3:最后,如果不想使用非vPC VLAN去连接到vPC Domain,而且也不想创建额外的Port-channel,可以通过vPC VLAN并利用vPC Peer Link将设备连接到vPC Primary设备。
优点:部署简单,无需创建新的VLAN和链路。
缺点:当vPC Peer Link故障时,连接到vPC Secondary设备的设备将完全隔离。
关于Orphan ports:
Nexus设备上使用vPC VLAN连接这些单链路接入的设备的接口被称为Orphan ports。其特征如下:
- vPC Primary/Secondary设备上连接单链路连接设备的接口。
- vPC Primary/Secondary设备上承载vPC VLAN的端口。如果该端口带有非vPC VLAN,就不再是Orphan ports。
通过如下命令可以查看vPC Peer设备上的Orphan port。
7K1# sh vpc orphan-ports Note: --------::Going through port database. Please be patient.::-------- VLAN Orphan Ports ------- ------------------------- 11 Eth3/23 23 Eth3/21 50 Eth3/14 600 Eth1/41, Eth1/48
如上所示,VLAN11,VLAN23,VLAN50和VLAN600是vPC VLAN(当然他们也在Peer-Link上被定义)
一般建议:
当使用vPC VLAN单连接设备到vPC Domain的时候,总是将设备连接到vPC Primary设备,因为当Peer-Link故障的时候,任何通过vPC VLAN单链路连接到Secondary设备的设备将会被完全隔离。
一般建议(按优先级从高到低排列):
- 将接入设备连接到双上联到vPC域的中间交换机。
- 使用非vPC VLAN将单连接的设备连接到vPC域。在两个vPC对等设备之间创建Port-channel,以传输非vPC VLAN。
- 使用vPC VLAN并利用vPC Peer-Link将单连接的设备连接到vPC域。
如果接入设备支持STP,需要连接到vPC Domain,和之前的建议也是一样。根据之前的建立,这里也有两个选项(如下图的switch2)。
选项1:通过两根独立链路将设备连接到vPC Domain,只在STP交换机上使用非vPC VLAN。vPC Domain和STP 交换机需要使用同样的STP模式(如RVPST/MST),并且开启port type edge(如portfast)或者port type edge trunk(如access port连接hypervisor server的情况),在Nexus之间新加链路来承载非vPC VLAN。
优点:Peer-Link故障时最小中断,vPC双活场景的一致性行为,链路的冗余。
缺点:在2个vPC Peer之间需要额外的STP Port-channel。在部署和配置单独的STP和vPC VLAN实例时,还存在操作负担。生成树协议VLAN上只有主备路径。
选项2:依然通过两根链路将设备连接到vPC Domain,不过在该SW上使用vPC VLAN,当然生成树的模式也需要一致。开启edge port。
优点:无需额外在vPC Peer之间创建链路,不需创建新的VLAN。
缺点:如果STP的FWD链路连接的是vPC Secondary设备,当Peer-Link故障时,该设备将和网络中其他部分完全隔离开。
所以,这种情况下,还是保证FWD连接Primary设备比较好。
一般建议(按优先级从高到低排列):
- 使用非vPC VLAN连接支持STP的设备到vPC Domain。在两个vPC Peer之间创建额外的链路来传递非vPC VLAN。
- 使用vPC VLAN连接支持STP的设备到vPC Domain,并依赖vPC Peer Link工作。总是将FWD状态的端口连接到vPC Primary设备。