vPC Overview & Terminology
Ether-Channels vs MCEC
-
포트 채널링은 오직 2개의 장비에서만 사용되었음
- 하나의 downstream 장비 & 하나의 upstream 장비
- 대역폭이 증가하지만 single point failure가 존재
-
Multi Chassis EtherChannel (MCEC/MEC)는 3개의 장비에서 구현
- 하나의 downstream 장비 & 2개의 upstream 장비
- 대역폭과 복원력 증가
- 논리적으로는 2 device port chanel과 같음
-
Type of MCEC
- Catalyst 3750 Cross Stack Port Channels
- Catalyst 6500 Virtual Switching System(VSS)
- Nexus Virtual Port Channel(vPC)
vPC Definition
- 단일 장치가 두 대의 upstream 스위치에서 포트 채널 사용하는 것을 허용
- STP blocked 포트를 제거
- 모든 사용가능한 uplink 대역폭 사용
- Active-Active 모드로 Dual-Homed 서버가 운영됨
- Link/Device 결함 발생 시 빠른 Convergence 제공
- CAPEX와 OPEX 감소
- M1과 D1 generation 카드의 현재와 미래 하드웨어에서 사용가능
vPC Terminology
- vPC peer
- vPC 스위치, 한 쌍 중 하나
- vPC member port
- vPC를 형성하는 port set 중 하나
- vPC
- vPC peer와 downstream 장치 사이의 결합된 포트 채널
- vPC peer-link
- vPC peer 장치 사이의 상태를 동기화하기 위해 사용하는 Link
- 10GbE여야 함
- vPC peer-keepalive-link
- vPC peer 장치 사이의 keepalive link
- vPC VLAN
- peer-link를 통해 전송되고 vPC를 통해 peer 장치와 통신하는 데에 사용되는 VLAN 중 하나
- non-vPC VLAN
- peer-link를 통해 전송되지 않는 STP VLAN 중 하나
- CFS
- Cisco Fabric Services protocol, vPC peer 장치 사이의 상태 동기화와 configuration 확인을 하는 데에 사용
- Orphan Device
- orphan device는 vPC vlan에 존재하지만 둘 다 연결되지 않고 하나의 vPC peer에만 연결되어 있는 장치를 말함
- Orphan Port
- orphan port는 orphan device에 연결된 인터페이스를 말함
vPC Component
vPC Domain
- vPC Domain은 vPC에 포함되어 있는 스위치의 그룹으로 정의됨
- 전역 vPC system parameter 정의
- vPC peer 장치는 자동으로 고유 vPC system MAC 주소를 할당하기 위해 vPC domain ID를 사용
- 인접한 Layer 2 영역에 정의된 모든 vPC 쌍에 고유 Domain ID를 사용해야 함
vPC Role
- vPC primary 스위치 선출은 role priority에 근거함
- 더 낮은 우선 순위가 선출되고, 우선 순위가 같을 경우 더 낮은 system mac이 선출됨
- Role은 정해져 있는 것이 아님, 따라서 opertaional role이 중요하고 구성된 역할이 아님
- Operational role은 domain에 구성된 우선수위와 다를 수 있음
- vPC role은 두 vPC peer 중 BPDU를 처리하는 것을 정의함
- peer-link 결함이 있는 동작의 Role이 중요함
vPC peer-link
- 정의
- CFS(Cisco Fabric Services) 메시지를 전달하는 standard 802.1q Trunk
- vPC peer, STP BPDUs, HSRP Hellos, IGMP update 등등에서 오는 flooding된 트래픽 전송
- Peer-link member port는 10/40/100GE 인터페이스여야 함
- Peer-link는 point-to-point link여야 함
- Peer-link는 항상 모든 멤버 VLAN에 대해서 포워딩함
vPC Peer-keepalive
-
정의
- vPC peer 사이의 Heartbeat
- Active/Active 탐지(vPC peer-link가 down일 경우)
-
패킷 구조
- 3200 포트의 UDP 메시지는 96 bytes의 길이를 가짐(32byte payload), version, time stamp, local & remote IP, Domain ID 포함됨
- Default timers: interval 1 sec / timeout 5 sec
vPC Packet Forwarding
- vPC의 목표는 STP에서 중복 링크를 숨기는 것
- Layer 2 flooding loops를 일으킬 수 있음
- vPC Check를 통해 Loops 방지됨
- vPC Peer Link에 수신된 Freams은 원격 vPC Peer가 같은 vPC 내에 active vPC member가 있는 동안 vPC member port로 flooding 할 수 없음
- vPC Check Exception
- 만약 vPC Peer의 멤버 포트가 down되면, vPC Member Prot는 Orphan Ports가 되고 vPC Check가 비활성화됨
vPC and FHRP
- Nexus 7000은 일반적인 L2 & L3 네트워크 경계
- N7K는 vPC peer이면서 end host의 FHRP Default Gateway
- vPC를 통한 active/active Forwarding을 수용하기 위한 FHRP 동작 변경 사항
- FHRP Standby의 vPC member port에서 FHRP Virtual MAC으로 수신된 트래픽은 peer-link를 통해 Active FHRP member로 전달되지 않음
- 본질적으로 HSRP Standby는 HSRP Active와 같이 동작
- FHRP vPC는 특정 non-standard vendor application에서 중단될 수 있음
- FHRP Active의 물리적 DST MAC으로 FHRP Standby로 전송된 프레임은 Peer Link로 전송됨
- Peer-Gateway 해킹을 통해 FHRP Standby는 Peer Link를 거치지 않고도 FHRP Active의 DST MAC을 대신하여 프레임을 전달할 수 있음
VXLAN(Virtual Extensible LAN)
What is VXLAN?
- Underlay Overlay를 사용
- UDP Encapsulation 사용
- src port가 다르면 다른 spine으로 전송
- load balancing 목적
Underlay Taxonomy
- VTEP(VXLAN Tunnel Endpoint)
- VXLAN 터널을 VTEP 터널이라고 함
- 위의 터널을 구성하는 장비를 VTEP 장비라고 함
- NVE(Network Virtualization Edge)
- overlay와 underlay 사이를 연결하고 그 사이에서 동작하는 인터페이스
Overlay Taxonomy
- VNID(VN Identifier)
- VXLAN에 대한 ID
- VLAN ID와 유사한 개념
VXLAN (or Virtual) Tunnel Endpoint VTEP
VXLAN Encapsulation
- Ethernet Frame이 overlay
- VXLAN Encapsulation이 underlay
- Ethernet Frame까지가 Data 부분
VXLAN Encapsulation / Packet Format
VXLAN Packet Format
- VXLAN은 UDP Encapsulation에 MAC을 사용
- Original Ethernet Frame 이전에 UDP와 VXLAN 헤더를 추가
VXLAN Header Details
Transport Independence
Multipath Capable
Data Plane Flood and Learn
VXLAN Flood and Learn(F&L)
- VNI도 동일한 특정 멀티캐스트 Address를 사용하도록 설정 가능
Why VXLAN - How did we get here?
- 유동성 때문에 자주 사용
- 더 많은 대역폭을 얻을 수 있기 때문
- Underlay와 Overlay 사이의 정보 제한으로 보안성이 강화됨
