交换机 : Cisco Catalyst 6500 虚拟交换系统 1440

Cisco Catalyst 6500 虚拟交换系统部署最佳实践

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文为思科Catalyst 6500虚拟交换系统(VSS)1440部署方案提供最佳实践。

本文档提供模块化配置指导。所以,您可以单独阅读每个部分,并采用分阶段方式进行更改。本文假设基本理解和熟悉与思科IOS�软件用户界面。本文档不涉及整体网络设计。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

VSS 部署最佳实践

本文档提供的解决方案体现了多年来 Cisco 工程师在复杂网络领域以及与许多大型客户合作方面的实际工作经验。因此,本文档重点介绍对网络的成功配置。本文档提供以下解决方案:

  • 易于管理的解决方案以及网络运营团队配置的解决方案

  • 促进高可用性和高稳定性的解决方案

VSS 高可用性

无停止转发

Catalyst 6500 系列交换机支持故障防御,因为如果主 Supervisor 引擎出故障,它允许冗余 Supervisor 引擎来接管。Cisco 无停止转发 (NSF) 与 Stateful SwitchOver (SSO) 一起使用,以便在切换后可使用户无法使用网络的时间缩至最短,同时继续转发 IP 分组。

建议

  • 在不到一秒的时间里,Supervisor 切换收敛需要无停止转发。

  • 在 VSS 环境中运行时,使用 EIGRP/OSPF 协议的默认 Hello 计时器和 Dead 计时器。

  • 如果运行具有模块化 Cisco IOS 软件的系统,建议使用较大值 OSPF Dead 计时器。

EIGRP

Switch(config)# router eigrp 100
Switch(config-router)# nsf
Switch# show ip protocols
*** IP Routing is NSF aware ***

Routing Protocol is "eigrp 100"

!--- part of the output truncated

EIGRP NSF-aware route hold timer is 240s

!--- indicates that EIGRP is configured to be NSF aware


!--- part of the output truncated

EIGRP NSF enabled

!--- indicates that EIGRP is configured to be NSF capable


!--- rest of the output truncated

OSPF

Switch(config)# router ospf 100
Switch(config-router)# nsf
Switch# show ip ospf
Routing Process "ospf 100" with ID 10.120.250.4
Start time: 00:01:37:484, Time elapsed: 3w2d

!--- part of the output truncated

Supports Link-local Signalling (LLS)

!--- indicates that OSPF is configured to be NSF aware


!--- part of the output truncated

Non-Stop Forwarding enabled, last NSF restart 3w2d ago (took 31 secs)

!--- indicates that OSPF is configured to be NSF capable


!--- rest of the output truncated

有关 NSF 的详细信息,请参阅用 SSO Supervisor 引擎冗余配置 NSF

OOB MAC 同步

在分布式交换中,每个 Distributed Feature Card (DFC) 均维护其各自的 CAM 表。这意味着每个 DFC 会识别 MAC 地址并使其老化,这取决于该特定条目的 CAM 老化和流量匹配。使用分布式交换,Supervisor 引擎暂时看不到特定 MAC 地址的任何流量是很正常的,因此该条目可能会过期。当前有以下两种机制可使 CAM 表在不同引擎间保持一致,如 DFC(它存在于线路模块中)和 Policy Feature Card (PFC)(它存在于 Supervisor 模块中):

  • Flood to Fabric (FF)

  • MAC 通告 (MN)

当 MAC 地址条目在 PFC 上老化时,show mac-address address <MAC_Address> all 命令会显示保留此 MAC 地址的 DFC 或 PFC。为了防止 DFC 或 PFC 上的某个条目老化,即使该 MAC 地址没有流量,仍要启用 MAC 地址同步。发出 mac-address-table synchronize 全局配置命令和 clear mac-address-table dynamic privileged EXEC 命令,以便启用同步。Cisco IOS 软件版本 12.2(18)SXE4 及更高版本中提供此 mac-address-table synchronize 命令。启用它之后,您有可能仍会看到在 PFC 或 DFC 中并不存在的条目。但是,模块有办法从使用以太网带外信道 (EOBC) 的其他设备中获取它。

建议

启用带外 MAC 同步。使用它的目的在于,跨转发引擎同步 MAC 地址表。如果 WS-6708-10G 存在于 VSS 系统中,则会自动启用 MAC 同步。否则,必须手动启用它。

Dist-VSS(config)# mac-address-table synchronize
% Current activity time is [160] seconds
% Recommended aging time for all vlans is atleast three times the activity interval
Dist-VSS# clear mac-address-table dynamic
% MAC entries cleared.
Dist-VSS# show mac-address-table synchronize statistics

MAC Entry Out-of-band Synchronization Feature Statistics:
---------------------------------------------------------
Switch [1] Module [4]
---------------------
Module Status:
Statistics collected from Switch/Module   : 1/4
Number of L2 asics in this module         : 1

Global Status:
Status of feature enabled on the switch   : on
Default activity time                     : 160
Configured current activity time          : 480

VSS术语

  • 虚拟交换机林克(VSL) —要求的一特殊端口通道捆绑两物理交换机到一台虚拟交换机。

  • VSL协议(VSLP) —在激活之间的运行和暂挂交换VSL,并且有两个组件:LMP和RRP

    • 林克管理协议(LMP) —运行在VSL的每条个别链路

    • 角色解析协议(RRP) —在每一侧(每对等体)的运行VSL端口通道

VSL的容量规划

理想情况下,在双宿 VSS 配置中,在 VSL 链路上未发送数据流量。对每台交换机编程,以选择用于流量转发的本地接口。

需要进行额外的 VSL 链路容量规划,以实现由以下设备传输的流量:

  • 单宿设备

  • 从一台交换机到另一台交换机的远程 SPAN

  • 服务模块流量�€” FWSM、ACE等等。

vss-vsl-01.gif

有关详细信息,请参阅 VSL 上的流量

建议

  • 连接到 VSS 的总是双宿设备。

  • 始终会捆绑 VSL EtherChannel in the power of 2,因为它拥有实现优化流量负载共享的更好的哈希结果。

  • VSL 的冗余与 VSL 链路的耐障碍性 (resiliency) 一起仍均很关键。

  • 建议至少要拥有等于连接到单个物理交换机的上游链路的 VSL 带宽。

vss-vsl-02.gif

上游链路恢复

可通过 MultiChassis EtherChannel (MEC) 或 Equal Cost MultiPath (ECMP) 功能来获取上游链路(到核心的链路)的恢复。

MEC 收敛与路由数目相一致并保持独立。但是,ECMP 收敛依赖于路由数目。此图指示语音会话方面的损失程度。

/image/gif/paws/109547/vss-mec-01.gif

以下图像显示的是 MEC 和 ECMP 的链路故障情形:

/image/gif/paws/109547/vss-mec-02.gif vss-mec-03.gif

MultiChassis EtherChannel

MultiChassis EtherChannel 是带有会在 VSS 的两个机箱上中止的端口的 EtherChannel。VSS MEC 可连接到支持 EtherChannel 的任何网络元素,如主机、服务器、路由器或交换机。在 VSS 上,MEC 为具有额外功能的 EtherChannel。VSS 会独立在每个机箱上跨端口平衡负载。例如,如果流量进入活动机箱,VSS 就会从该活动机箱中选择一个 MEC 链路。该 MEC 功能可确保数据流量有必要遍历 VSL。

  • L2 MEC 可启用无环路拓扑,并使上游链路带宽加倍,原因在于没有受阻的链路,并提供超越 STP 的更快收敛。

  • L3 MEC 可提供更少的邻接计数、更好的负载共享(用于单播和多播的 L2 和 L3)、减少了多播流的 VSL 链路使用率,以及超越 ECMP 的更快收敛。

有关 MEC 的详细信息,请参阅 Multichassis EtherChannel

建议

  • 始终运行 L2 或 L3 MEC

  • 不要使用 PAgP、LACP 或 Trunk 协议协商的 on 和 off 选项。

    • Pagp �€”以MEC链路运行desirable-desirable

    • LACP �€”运行Active-Active以MEC链路。

    • 中继�€”以MEC链路运行desirable-desirable

vss-mec-04.gif

VSL 链路丢失和恢复

如果 VSL 出现故障,则备用机箱无法确定活动机箱的状态。为了确保发生切换而不出现延迟,备用机箱假设活动机箱已发生故障,并启动切换来接管活动角色。

如果原始活动机箱仍运行正常,则两个机箱此时均处于活动状态。此情形称为双活动情形。双活动情形会对网络稳定性产生不利影响,因为两个机箱均会使用相同的 IP 地址、SSH 密钥和 STP 网桥 ID。虚拟交换系统 (VSS) 必须检测双活动情形,并执行恢复操作。

虚拟交换系统支持以下三种方法,以便检测双活动情形:

  • 增强版Pagp �€”使用在MEC链路的Pagp消息传送为了通信在两个机箱之间到邻居交换机。增强的 PAgP 的速度比 IP BFD 快,但是需要支持 PAgP 增强功能的邻接交换机。

    /image/gif/paws/109547/vss-vsl-llr-01.gif

    ePAgP 支持表:

    设备系列 最低 Cisco IOS 软件要求
    Cisco Catalyst 3750 Cisco IOS 12.2(46)SE
    Cisco Catalyst 4500 Cisco IOS 12.2(44)SE
    Cisco Catalyst 6500 Cisco IOS 12.2(33)SXH
    Cisco Catalyst 6500 VSS Cisco IOS 12.2(33)SXH1

  • IP双向转发检测(BFD) �€”使用在一个备份以太网连接的BFD消息传送。IP BFD 在两个机箱之间使用直接连接,且不需要来自相邻交换机的支持。此方法在 Cisco IOS 软件版本 12.2(33)SXH1 及更高版本中可用。

    /image/gif/paws/109547/vss-vsl-llr-03.gif

  • VSLP双向有效的法塞特Hello �€”使用在一个备份以太网连接的特殊hello消息。Dual-active fast-hello 比 IP BFD 的速度要快,且不需要来自相邻交换机的支持。此方法仅在 Cisco IOS 软件版本 12.2(33)SXI 及更高版本中可用。

    /image/gif/paws/109547/vss-vsl-llr-02.gif

您可以同时将所有三种检测方法配置为活动状态。

这些图提供了有关针对 VSS 双活动收敛的某些 IP 路由协议收敛的信息。

与默认计时器的 EIGRP 收敛

vss-vsl-llr-04.gif

与默认计时器的 OSPF 收敛

vss-vsl-llr-05.gif

建议

  • 在 VSL 中至少启用两条链路。

  • 针对更快的 VSL 链路损失收敛结果使用 MEC with ePAgP 或 MEC with VSLP Fast Hello。

  • 启用 ECMP with IP-BFD

  • 如果接入层未启动 ePAgP,请启用 ePAgP 到核心。

  • 如有可能,请同时启用基于 ePAgP 和直接心跳链路的 VSLP Fast Hello 方法。

  • 在 VSL 损失和恢复进程中,不要执行配置更改。

    • 在至少恢复一条 VSL 成员链路后,如果旧活动机箱上的配置为不变,则旧的活动机箱会自动重启,以便以热备用冗余状态启动。

      *Apr 6 17:36:33:809: %VSLP-SW1_SP-5-VSL_UP: Ready for Role Resolution with 
      Switch=2, MAC=0013a.30e1.6800 over Te1/5/5
      *Apr 6 17:36:36.109: %dualACTIVE-1-VSL_RECOVERED: VSL has recovered during 
      dual ACTIVE situation: Reloading switch 1
      
      !--- part of output truncated
      
      *Apr 6 17:36:36.145: %VSLP-SW1_SP-5-RPR_MSG: Role change from ACTIVE to HOT_STANDBY and 
      hence need to reload
      *Apr 6 17:36:36.145: %VSLP-SW1_SP-5-RPR_MSG: Reloading the system...
      *Apr 6 17:36:36.145: %SYS-SW1_SP-5-RELOAD: Reload requested Reload Reason: VSLP HA role 
      change from ACTIVE to HOT_STANDBY.
    • 如果配置已更改,且配置同步进程将其标记为更新,则交换机不会自动重新加载。

    • 在修正和保存配置之后,必须在旧活动机箱上手动执行重新加载操作。即使您刚刚进入配置模式并退出,它会将配置标记为更新,并强制执行手动干预。

      *Aug 13 04:24:34.716: %dualACTIVE-1-VSL_RECOVERED: VSL has recovered 
      during dual ACTIVE situation: Reloading switch 2
      *Aug 13 04:24:34.716: %VS_GENERIC-5-VS_CONFIG_DIRTY: Configuration has changed. 
      Ignored reload request until configuration is
      	
      	
      	
      	
      		saved

vss-vsl-llr-06.gif

有关详细信息,请参阅双向活动检测

服务模块的冗余

服务模块支持是将 VSS 投放到企业园区和企业数据中心市场上的关键需求。虚拟交换机系统支持的服务模块的列表为:

服务模块 Cisco IOS 最低版本 模块最低版本
网络分析模块(NAM-1 和 NAM-2)(WS-SVC-NAM-1 和 WS-SVC-NAM-2) 12.2(33)SXH1 3.6(1a)
应用程序控制引擎(ACE10 和 ACE20)(ACE10-6500-K9 和 ACE20-MOD-K9) 12.2(33)SXI A2(1.3)
入侵检测系统服务模块 (IDSM-2) (WS-SVC-IDSM2-K9) 12.2(33)SXI 6.0(2)E1
无线服务模块 (WiSM) (WS-SVC-WISM-1-K9) 12.2(33)SXI 3.2.171.6
防火墙服务模块 (FWSM) (WS-SVC-FWM-1-K9) 12.2(33)SXI 4.0.4

可将服务模块安置在包括 VSS 的任一物理机箱中。

/image/gif/paws/109547/vss-svc-01.gif

建议

  • 若配置多个给定类型的服务模块,请在每台物理交换机中分别配置一个服务模块,以实现最佳可用性。

  • 在正常和故障切换情况下 VSL 传送流量,必须相应地对 VSL 带宽进行调整。

有关服务模块集成的详细信息,请参阅将 Cisco 服务模块与 Cisco Catalyst 6500 虚拟交换系统 1440 集成

组播

IPv4 多播协议在活动 Supervisor 引擎中运行。在备用 Supervisor 引擎收到的 Internet 组管理协议 (IGMP) 和独立于协议的多播 (PIM) 协议数据包在 VSL 间被传送给活动机箱。活动 Supervisor 引擎会将 IGMP 和 PIM 协议数据包发送到备用 Supervisor 引擎,以便维护第 2 层信息,实现 Stateful Switchover (SSO)。

有关详细信息,请参阅 IPv4 多播

建议

  • 连接的设备必须始终为双宿的,以实现最佳复制性能。

  • 在第 3 层和第 2 层环境中建议使用 MEC,以提供确定性收敛。

  • 在发生任何 MEC 链路故障期间,MEC 会消除反向路径转发 (RPF) 重新计算。

  • 出口复制本地增强,以实现更高的多播复制吞吐量。

  • 出口复制需要 DFC,以实现优化的复制性能。

  • 调整 VSL 的大小,以满足流量要求。

vss-mcast-01.gif

服务质量

VSL QoS 设置

vss-qos-01.gif

  • VSL 是一条重要内部控制和数据通信路径,因而 QoS 设置是预先配置的,并且不允许进行配置更改。

  • VSL 总是被配置为信任 CoS,并且会启用入口队列。

  • 当前仅支持基于 CoS 的信任和队列。VSL 不支持服务策略。

  • 必须在流的输入接口应用 QoS 策略。

  • 默认情况下会启用优先级队列。会在 VSL 链路上赋予 VSS 控制流量和 BPDU 高优先级。

建议

不同的已启用 VSL 的硬件选项之间的唯一区别在于队列配置。由于软件的当前版本不允许修改默认队列设置,因此已启用 VSL 的端口的任何组合均会提供相同的 QoS 结果。

硬件 队列模式 信任模式 传输队列 接收队列
在uplink端口仅�€的VSL” non-10G (默认) Cos Cos 1p3q4t (DWRR/SRR) 8q4t
在uplink端口�€”仅10G的VSL Cos Cos 1p7q4t (DWRR/SRR) 2q4t
跨上游链路的 VSL 和板卡 Cos Cos 1p3q4t [non-10G] (DWRR/SRR) 1p7q4t仅[10G] (DWRR/SRR) 2q4t
板卡上的 VSL Cos Cos 1p7q4t (DWRR/SRR) 8q4t

有关详细信息,请参阅配置 VSL QoS

SPAN

在虚拟交换机域中,SPAN 会话数受虚拟交换机活动 Supervisor 所能提供内容的限制。

/image/gif/paws/109547/vss-span-01.gif

虚拟交换机系统支持每个虚拟交换机域中的这些 SPAN 功能。

属性
Tx SPAN 会话 14
接收/两个 SPAN 会话 2
完全 SPAN 会话 16

建议

  • 如果将 VSL 配置为本地 SPAN 源,则 SPAN 目的端口必须与 VSL 接口处在同一个机箱上。

  • 不得将 VSL 配置为 SPAN 目的地。

  • 不得将 VSL 配置为 RSPAN、ERSPAN 的源,否则仅传输本地 SPAN。

  • 在传出信息包之前,SPAN 目的端口会删除 VSL 报头,因此无法根据嗅探器踪迹捕获 VSL 报头。

  • 当源和目的是两个在同一个机箱(能起作用的或备用的),然后SPAN流量不漫过VSL链路。

    为了捕获避免SPAN流量流在VSL的从两个机箱的流量,有两个选项:

    • 对于在一个机箱的每个源接口,目的地接口必须在同一个机箱。

      例如, PO20有gi1/1/1和gi2/1/1 :您需要有每个机箱的一个目的地。

      Monitor session 1 source interface gi1/1/1
      Monitor session 1 destination interface gi1/1/2
      
      Monitor session 2 source interface gi2/1/1
      Monitor session 2 destination interface gi2/1/2

      然而,这意味着您使用两本地SPAN会话。所以,您不能使用其他本地SPAN会话。

    • 您能使用目的地接口SPAN作为MEC (建议使用)。

      目的地端口可以是MEC。

其他

建议

  • 至少要使用 VSL 的一个 Supervisor 上行链路,以便更快启动 VSL。

  • 请在执行 VSS 转换之后,配置 switch accept mode virtual 命令。没有此命令,转换就无法完成。

  • 配置文件的备份同时保存在活动启动盘和热备用启动盘上。这在 Supervisor 替换方案中大有帮助。

  • 在系统网络内使用唯一 VSS 域 ID。复制 VSS 域 ID 可能会导致 EtherChannel 不一致。

    这是更改VSS域ID的示例。

    1. 请使用domain-id命令交换机虚拟的域为了开始域ID更改。

      switch(config)#switch virtual domain 50
      

      注意: 交换机转换模式虚拟EXEC命令发出之后,域ID 50设置生效。

    2. 请使用virtual命令交换机转换的模式为了完成任务。

      switch#switch convert mode virtual
      

      注意: 在您保存设置并且重新加载交换机之后,虚拟域ID更改。

  • 请使用 erase nvram 命令,而不使用 write erase 命令,以便重置 VSS 配置。write erase 命令可清除启动配置和 ROMMon 变量。VSS 需要 switch-id ROMMon 变量,以便以 VSS 模式启动。

  • 请勿使用抢占。参考的思科建议您不配置交换机抢占欲知更多信息。

  • 请勿使用 VSL 故障模拟的 shutdown 命令,因为它会造成配置不匹配。如果断开一个电缆,则会提供更加切合实际的故障情形。

  • 当系统处于生产状态时,请勿更改 VSL 散列算法。该算法的更改,需要利用 shutdown 和 no shutdown 命令来禁用和重新启用端口信道。如果关闭 VSL,则会导致流量中断,并可能以双向活动方案结束。

  • 将 MAC 老化计时器的值配置为 MAC 同步计时器值的三倍。

    默认 MAC 同步计时器和 MAC 老化计时器可能会导致未知的单播泛滥。VSS 可能会导致流量呈非对称性流动,由此只能在一个机箱上了解源 MAC 地址。300 秒的 MAC 老化计时器和 160 秒的 MAC 同步计时器最多可允许任何给定 MAC 地址的 20 秒未知单播泛滥,间隔为 320 秒。为了解决此问题,请更改计时器,以便老化计时器值为同步计时器值的三倍,例如,mac-address-table aging-time 480

    show mac-address-table aging-time的输出示例:显示此处:

    switch#sh mac-address-table aging-time
    Vlan Aging Time
    ---- ----------
    Global 480
    no vlan age other than global age configured
  • 为了使VSS运行与Stateful Switchover (SSO),两个Supervisor引擎必须运行同一个软件版本。

  • 如果移植回到从VSS模式的一台独立交换机通过交换机转换模式独立命令,完成这些任务:

    • 交换机/插槽/端口名称的转换接口名称对插槽/端口

    • 从running-config消除非本地的接口。

    • 删除VSL端口通道和端口配置。

    • 保存Running-config对Startup-config

    • 设置SP rommon可变SWITCH_NUMBER到0。

    • 重新加载交换机。

  • 当他们是绝对必要的时,交换机的重新启动要求;例如, IOS升级或作为故障排除步骤。交换机是UP超过两年意味着它是一稳定的交换机,并且配置稳定的。

常见问题

双重Supervisor能用于每个机箱与VSS ?

可以。为VSS模式配置的每个VSS机箱的双重Supervisor从SXI4开始支持和以后。

当删除在VSS模式时的优先占用in命令Catalyst 6500系列交换机,它是否将重新加载交换机?

没有推荐交换机抢占。所以,删除命令是良好的做法,并且不引起重新加载。关于在VSS的Preemption功能的更多信息,参考交换机Preemption

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 109547