Nexus VPC (Virtual Port Channel)

Le VPC est exactement le même concept du Port-Channel classique (Agrégation des liens) sauf qu’il est implémenté entre deux châssis indépendants, ce qui n’était pas faisable avec les Port-Channels classiques.

La notion du VPC concerne uniquement et évidement les switches Nexus.

L’Équipement tiers peut être un switch, un serveur, un Loadbalancer, … à condition qu’il supporte l’Agrégation des liens (LACP).

Avec cette notion, le Design des Architectures des Data Centers est simplifié. De plus, on multiplie la bande passante entre la couche Access et Distribution (Agrégation) et on obtient 0 ports bloqués par le Spanning-tree. La convergence devient donc beaucoup plus rapide en perdant un lien par exemple.

Cela est similaire au concept des Port-Channels implémentés avec les Stacks ou les VSSs (vus précédemment), mais pour ces dernières technologies, on a toujours un seul Control Plane avec plusieurs Data Planes actifs. Pour les Nexus implémentés avec le VPC, c’est différent : chaque switch est indépendant et possède son Control Plane et son Data Plane dédiés, avec une implémentation possible des Pos à travers les deux châssis.

Les composants d’une architecture basée sur les Nexus ayant un VPC sont les suivants :

- vPC domain : C’est le domaine global qui englobe les équipements et Ports où on monte le VPC, il se caractérise par un identifiant unique dans le DC.
- vPC peer switches : Les deux switches qui contiennent le VPC. Un équipement est élu « Primary » et l’autre est « Secondary ».
- vPC peer-link : c’est le lien Port-Channel (2 x 10G) qui sert à la synchronisation entre les 2 vPC peers (Identification des Rôles, Flux de multicast et de broadcast, synchro des MACs, HSRP, OSPF …).
- vPC peer-keepalive link : c’est un lien à part qui permet de superviser périodiquement l’état d’un vPC peer (Joignable UP ou non). Il est fortement recommandé qu’il soit dans un Réseau Out-of-Band Management. Aucun trafic DATA ne circule à travers ce lien.
- vPC : c’est le lien PortChannel entre les vPC peers et les autres équipements (Switches, Serveurs, LoadBalancers, Fexs ,...).

- VPC Peer-Link KO : Le Secondary Peer (le switch avec la priorité la plus élevée) mets tous ses VPC member ports en État « Suspended », puis il « shutdown » les SVI hébergés afin d’éviter les problèmes de routage, d’asymétrie, des boucles, … (puisqu’il n’y a aucune Sychro de configs entre les deux switches). Le trafic continue son acheminement, sans interruption, vers le Switch Actif à travers un seul lien pour chaque VPC.
- Peer Keepalive Link KO : Aucun Impact, le check de l’état des deux Peers se fait à travers le Peer-Link.
- Un de deux Peers est KO : Le Peer Keepalive Link détecte ce Failure et le flux est acheminé vers l’autre Peer à travers un seul lien du VPC.
- Peer Keepalive Link KO et Peer-Link KO : Ce scenario s’appelle “Dual-Active” ou “Split Brain” vPC failure. Les deux switches se considèrent -chacun- comme étant Actif dans le VPC et le trafic est extrêmement perturbé.

Pour expliquer les implémentations, on va se baser sur le schéma suivant :

Activation des Features Nécessaires :

feature vpc
feature lacp

Activation d’un VPC Peer Link entre les deux Équipements :

Sw-N7K-01 :

interface Ethernet 3/1-2
  description vPC-Peer-Link
  switchport
  switchport mode trunk
  channel-group 1 mode active
  no sh

interface port-channel 1
 description vPC-Peer-Link
 switchport
 switchport mode trunk
 spanning-tree port type network
 vpc peer-link

Please note that spanning tree port type is changed to "network" port type on vPC peer-link.
This will enable spanning tree Bridge Assurance on vPC peer-link provided the STP Bridge Assurance
(which is enabled by default) is not disabled.
  no sh

Sw-N7K-02 :

interface Ethernet 3/1-2
  description vPC-Peer-Link
  switchport
  switchport mode trunk
  channel-group 1 mode active
  no sh

interface port-channel 1
 description vPC-Peer-Link
 switchport
 switchport mode trunk
 spanning-tree port type network
 vpc peer-link

Please note that spanning tree port type is changed to "network" port type on vPC peer-link.
This will enable spanning tree Bridge Assurance on vPC peer-link provided the STP Bridge Assurance
(which is enabled by default) is not disabled.
 no sh

Activation de l’Interface du Management sur chaque Switch :

vrf context management
  ip route 0.0.0.0/0 10.10.10.254

interface mgmt0
  vrf member management
  ip address 10.10.10.1/24
 no sh

Activation du Domaine VPC entre les deux Nexus :

Sw-N7K-01 :

vpc domain 10
 peer-keepalive destination 10.10.10.10.2 source 10.10.10.1 vrf management
  role priority 100
  system-priority 100
  peer-gateway
  peer-switch
  auto-recovery
  ip arp synchronize

Sw-N7K-02 :

vpc domain 10
 peer-keepalive destination 10.10.10.10.1 source 10.10.10.2 vrf management
  role priority 200
  system-priority 100
  peer-gateway
  peer-switch
  auto-recovery
  ip arp synchronize

La commande « role priority » permet d’imposer les rôles Primaire et Secondaire de deux châssis du domaine VPC. La valeur par défaut est 32 667 et, si configurée manuellement, le switch avec la priorité la plus faible est le vPC Primary Switch.

La commande «peer-gateway» permet à un Peer d’agir en tant que Gateway pour tout le flux destiné à l’adresse MAC de l’autre Peer dans le domaine VPC. Elle active le « local forwarding» du Traffic sans besoin donc de le « forwarder » vers l’autre Peer Actif à travers le vPC Peer-Link.

La commande «peer-switch» permet à un couple de deux Nexus dans le domaine VPC d’apparaître comme étant un seul Root Spanning-tree Bridge dans la Topologie (Layer 2).

La commande «ip arp synchronize» permet la synchronisation des deux tables ARP tables de deux Peers.

La commande « auto-recovery » est conseillée à implémenter, sa fonctionnalité est utile lorsqu’on est dans le cas d’un Peer-Link KO (le switch Secondary suspend ses ports). Si en plus, et dans un cas particulier où le switch Actif est aussi KO, cette commande réactive automatiquement les ports du switch Secondary pour éviter la coupure de service.

Configuration du lien VPC :

Sw-N7K-01 :

interface ethernet 7/8
 switchport
 switchport mode trunk
 channel-group 20 mode active
 no sh

interface port-channel 20
 switchport
 switchport mode trunk
 vpc 20
 no sh

Sw-N7K-01 :

interface ethernet 7/8
 switchport
 switchport mode trunk
 channel-group 20 mode active
 no sh

interface port-channel 20
 switchport
 switchport mode trunk
 vpc 20
 no sh

Les deux commandes principales pour vérifier la bonne implémentation du VPC sont :

N7K# show vpc 
Legend:(*) - local vPC is down, forwarding via vPC peer-link
vPC domain id                     : 10
Peer status                       : peer adjacency formed ok
vPC keep-alive status             : peer is alive
Configuration consistency status  : success
Per-vlan consistency status       : success
Type-2 consistency status         : success
vPC role                          : secondary
Number of vPCs configured         : 1
Peer Gateway                      : Enabled
Peer gateway excluded VLANs       : -
Dual-active excluded VLANs        : -
Graceful Consistency Check        : Enabled
Auto-recovery status              : Enabled (timeout = 240 seconds)
vPC Peer-link status
---------------------------------------------------------------------
id   Port   Status Active vlans
--   ----   ------ --------------------------------------------------
1    Po1    up     1,10,200
vPC status
----------------------------------------------------------------------------
id     Port        Status Consistency Reason                 Active vlans
------ ----------- ------ ----------- ---------------------- --------------
20     Po20        up     success     success   

N7K-01# sh vpc role
vPC Role status
----------------------------------------------------
vPC role                        : primary
Dual Active Detection Status    : 0
vPC system-mac                  : 00:20:03:77:5e:08
vPC system-priority             : 100
vPC local system-mac            : 00:28:18:08:70:c2
vPC local role-priority         : 100
  
N7K-02# sh vpc role
vPC Role status
----------------------------------------------------
vPC role                        : secondary
Dual Active Detection Status    : 0
vPC system-mac                  : 00:20:03:77:5e:08
vPC system-priority             : 100
vPC local system-mac            : 00:28:18:08:72:c2
vPC local role-priority         : 200

• Ne pas désactiver le Spanning-tree.

• Configurer les vPC peers dans le Spanning-tree en tant que Root et Secondary Root. Si le vPC peer-switch est implémenté, les deux vPC peers se comporteront comme étant un seul root.

• Aligner le STP Primary root et le HSRP actif avec le vPC primaire.

• Quand on connecte un équipement Layer 3 à un domaine vPC, ne pas former d’adjacence de routage avec les Peers du VPC à travers le peer-link + VPC.

• Utiliser plutôt les liens L3 avec les Peers surtout dans le cas du Routage Dynamique.