VXLAN vPC Fabric Peering voor NXOS configureren en problemen oplossen
Inhoud
Inleiding
Dit document beschrijft hoe u de vPC-fabric kunt configureren en verifiëren bij het doorlopen van NXOS- en BUM-verkeer.
Voorwaarden
Vereisten
Cisco raadt kennis van deze onderwerpen aan:
- vPC (virtueel poortkanaal)
- Virtual Extensible LAN (VXLAN)
Gebruikte componenten
De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:
- N9K-C93240YC-FX2 voor switches in blad versie: 10.3(3)
- N9K-C936C-FX2 voor switch van de wervelkolom versie: 10.3(3)
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Netwerkdiagram
vPC Fabric Peering biedt een verbeterde oplossing voor dual-homing toegang zonder de overhead van verspilling van fysieke poorten voor vPC Peer Link. Deze functie behoudt alle eigenschappen van een traditionele vPC.
In deze implementatie hebben we Leaf-3 en Leaf-4 geconfigureerd als vPC met fabric peering.
Configuratie
TCAM-configuratie
Voor de configuratie is er een controle van het TCAM geheugen:
LEAF-4(config-if)# sh hardware access-list tcam region
NAT ACL[nat] size = 0
Ingress PACL [ing-ifacl] size = 0
VACL [vacl] size = 0
Ingress RACL [ing-racl] size = 2304
Ingress L2 QOS [ing-l2-qos] size = 256
Ingress L3/VLAN QOS [ing-l3-vlan-qos] size = 512
Ingress SUP [ing-sup] size = 512
Ingress L2 SPAN filter [ing-l2-span-filter] size = 256
Ingress L3 SPAN filter [ing-l3-span-filter] size = 256
Ingress FSTAT [ing-fstat] size = 0
span [span] size = 512
Egress RACL [egr-racl] size = 1792
Egress SUP [egr-sup] size = 256
Ingress Redirect [ing-redirect] size = 0
Egress L2 QOS [egr-l2-qos] size = 0
Egress L3/VLAN QOS [egr-l3-vlan-qos] size = 0
Ingress Netflow/Analytics [ing-netflow] size = 512
Ingress NBM [ing-nbm] size = 0
TCP NAT ACL[tcp-nat] size = 0
Egress sup control plane[egr-copp] size = 0
Ingress Flow Redirect [ing-flow-redirect] size = 0 <<<<<<<<
Ingress PACL IPv4 Lite [ing-ifacl-ipv4-lite] size = 0
Ingress PACL IPv6 Lite [ing-ifacl-ipv6-lite] size = 0
Ingress CNTACL [ing-cntacl] size = 0
Egress CNTACL [egr-cntacl] size = 0
MCAST NAT ACL[mcast-nat] size = 0
Ingress DACL [ing-dacl] size = 0
Ingress PACL Super Bridge [ing-pacl-sb] size = 0
Ingress Storm Control [ing-storm-control] size = 0
Ingress VACL redirect [ing-vacl-nh] size = 0
Egress PACL [egr-ifacl] size = 0
Egress Netflow [egr-netflow] size = 0
Voor vPC Fabric Peering moet TCAM-carving van regio ing-flow-redirect worden toegepast. Voor het bewerken van de TCAM moet de configuratie worden opgeslagen en de switch worden herladen voordat de functie kan worden gebruikt.
Deze ruimte op de TCAM is dubbel breed, dus het minimum dat we kunnen toewijzen is 512.
TCAM Carving
In dit scenario heeft ing-racl genoeg ruimte om 512 te nemen en die 512 toe te wijzen aan ing-flow-redirect.
LEAF-4(config-if)# hardware access-list tcam region ing-racl 1792
Please save config and reload the system for the configuration to take effect
LEAF-4(config)# hardware access-list tcam region ing-flow-redirect 512
Please save config and reload the system for the configuration to take effect
Opmerking: bij het configureren van de vPC-stof die via DCNM doorloopt, wordt de TCAM-carving uitgevoerd, maar is een herlading nodig om van kracht te worden
Zodra de verandering is gedaan, zal het worden weerspiegeld op het bevel:
513E-B-11-N9K-C93240YC-FX2-4# sh hardware access-list tcam region
NAT ACL[nat] size = 0
Ingress PACL [ing-ifacl] size = 0
VACL [vacl] size = 0
Ingress RACL [ing-racl] size = 2304
Ingress L2 QOS [ing-l2-qos] size = 256
Ingress L3/VLAN QOS [ing-l3-vlan-qos] size = 512
Ingress SUP [ing-sup] size = 512
Ingress L2 SPAN filter [ing-l2-span-filter] size = 256
Ingress L3 SPAN filter [ing-l3-span-filter] size = 256
Ingress FSTAT [ing-fstat] size = 0
span [span] size = 512
Egress RACL [egr-racl] size = 1792
Egress SUP [egr-sup] size = 256
Ingress Redirect [ing-redirect] size = 0
Egress L2 QOS [egr-l2-qos] size = 0
Egress L3/VLAN QOS [egr-l3-vlan-qos] size = 0
Ingress Netflow/Analytics [ing-netflow] size = 512 <<<<<
Ingress NBM [ing-nbm] size = 0
TCP NAT ACL[tcp-nat] size = 0
Egress sup control plane[egr-copp] size = 0
Ingress Flow Redirect [ing-flow-redirect] size = 0
Ingress PACL IPv4 Lite [ing-ifacl-ipv4-lite] size = 0
Ingress PACL IPv6 Lite [ing-ifacl-ipv6-lite] size = 0
Ingress CNTACL [ing-cntacl] size = 0
Egress CNTACL [egr-cntacl] size = 0
MCAST NAT ACL[mcast-nat] size = 0
Ingress DACL [ing-dacl] size = 0
Ingress PACL Super Bridge [ing-pacl-sb] size = 0
Ingress Storm Control [ing-storm-control] size = 0
Ingress VACL redirect [ing-vacl-nh] size = 0
Egress PACL [egr-ifacl] size = 0
Waarschuwing: Zorg ervoor dat het apparaat wordt herladen na de veranderingen op de TCAM, anders komt de VPC niet naar boven als gevolg van veranderingen niet toegepast op de TCAM.
Configuratie voor vPC
VPC-domein
Op LEAF-3 en LEAF-4 in het VPC-domein moet de configuratie de IP-adressen voor de 'keep-living' en de 'Virtual peer link' specificeren
vpc domain 1
peer-keepalive destination 192.168.1.1 source 192.168.1.2 vrf management
virtual peer-link destination 10.10.10.2 source 10.10.10.1 dscp 56
interface port-channel1
vpc peer-link
levenslang
Elke directe Layer 3-koppeling tussen vPC-peers moet alleen worden gebruikt voor peer-keep live. Het moet zich bevinden in een aparte VRF die alleen bestemd is voor het levensonderhoud. In dit scenario maken we gebruik van het interfacebeheer van de switch.
LEAF-3
interface mgmt0
vrf member management
ip address 192.168.1.1/24
LEAF-4
interface mgmt0
vrf member management
ip address 192.168.1.2/24
Layer 3-interface voor de virtuele peer-link
Layer 3-interface die voor de virtuele peer-link wordt gebruikt, mag niet hetzelfde zijn als die welke we gebruiken voor het levensonderhoud, u kunt dezelfde loopback gebruiken die wordt gebruikt voor de onderligger of het kan een specifieke loopback zijn op de Nexus
Hier is de loopback0 voor de onderlaag en de loopback2 is een specifieke loopback voor de virtuele peer-link, terwijl loopback1 de interface is die aan onze interface NVE is gekoppeld.
LEAF-3
interface loopback0
ip address 10.1.1.1/32
ip router ospf 1 area 0.0.0.0
ip pim sparse-mode
interface loopback1
ip address 172.16.1.2/32
ip address 172.16.1.1/32 secondary
ip router ospf 1 area 0.0.0.0
ip pim sparse-mode
interface loopback2
ip address 10.10.10.2/32
ip router ospf 1 area 0.0.0.0
LEAF-4
interface loopback0
ip address 10.1.1.2/32
ip router ospf 1 area 0.0.0.0
ip pim sparse-mode
interface loopback1
ip address 172.16.1.3/32
ip address 172.16.1.1/32 secondary
ip router ospf 1 area 0.0.0.0
ip pim sparse-mode
interface loopback2
ip address 10.10.10.1/32
ip router ospf 1 area 0.0.0.0
VPC-peer-link
De peer-link moet een poortkanaal toegewezen hebben, zelfs als we geen fysieke interface aan het poortkanaal gaan toewijzen.
LEAF-3(config-if)# sh run interface port-channel 1 membership
interface port-channel1
switchport
switchport mode trunk
spanning-tree port type network
vpc peer-link
Up-links
Het laatste deel van de configuratie is om de koppelingen op beide bladeren naar de ruggengraat te configureren met de commando poorttype stof.
interface Ethernet1/49
port-type fabric <<<<<<<<
medium p2p
ip unnumbered loopback0
ip router ospf 1 area 0.0.0.0
ip pim sparse-mode
no shutdown
Opmerking: als u de poortachtige stof niet configureert, kunt u het 'levensonderhoud' niet zien dat door de Nexus wordt gegenereerd
Configuratie VAN CENTRIFUGES
Op de stekels wordt aanbevolen om QoS in te stellen op de DSCP-waarde die op het VPC-domein is geconfigureerd, aangezien de peer-link voor vPC Fabric Peering via het transportnetwerk tot stand is gebracht.
CFS-berichten met regelvliegtuiginformatie die worden gebruikt om poortstatusinformatie, VLAN-informatie, VLAN-naar-VNI-toewijzing, MAC-adressen van host en IGMP-snoopinggroepen te synchroniseren, worden via de fabric verzonden. De CFS-berichten worden gemarkeerd met de juiste DSCP-waarde, die in het transportnetwerk moet worden beschermd.
class-map type qos match-all CFS
match dscp 56
policy-map type qos CFS
class CFS
Set qos-group 7 <<< Depending on the platform it can be 4
interface Ethernet 1/35-36
service-policy type qos input CFS
Uitzending, onbekende Unicast en multicast verkeer met Ingress replication-insluiting
Wanneer de nexus een pakket ontvangt dat moet worden uitgezonden, genereert het 2 exemplaren van het pakket.
1. naar alle externe VTEPS in de overstromingslijst voor de VNI, inclusief lokale toegangspoorten
2. Naar de externe VPC-peer
Voor het eerste exemplaar, kapselde de Nexus het verkeer met behulp van de bron IP van het secundaire IP adres en de Bestemming IP van de externe VTEP en ook naar lokale toegangshavens.
Voor het tweede exemplaar gaat het naar de externe VPC peer worden verzonden de bron IP zal het primaire van de loopback zijn en de bestemming IP is PIP van de verre VPC peer.
Zodra het pakket van de ruggengraat is ontvangen, zal de externe VTEP het pakket alleen doorsturen naar de verweesde poorten.
Uitzending, onbekende Unicast en multicastverkeer met decapsulatie van toegangsreplicatie
Aangezien de bestemming IP voor BUM-verkeer dat van een andere VTEP wordt ontvangen de VIP is van de traffic hashes op een van de VPC-apparaten, decapsuleert het pakket en verstuurt het naar de access poorten.
Om het verkeersbereik te maken naar de weespoorten die zijn aangesloten op de externe VPC-peer, genereert de nexus een kopie van het pakket en gaat hij het alleen naar de externe VPC sturen met behulp van het primaire IP-adres als bron/bestemming IP.
Zodra ontvangen op de externe vpc peer, decapsuleert de nexus het verkeer en door:sturen het slechts aan weeshavens.
Uitzending, Onbekende Unicast en Multicast Traffic met Multicast-insluiting
Wanneer de nexus een pakket ontvangt dat moet worden uitgezonden, genereert het 2 exemplaren van het pakket.
1. Het pakket wordt verzonden naar alle OIF’s in de multicast S,G-vermelding, inclusief lokale toegangspoorten
2. Naar de externe VPC-peer
Voor het eerste exemplaar, kapselde Nexus het verkeer in met behulp van de bron IP van het secundaire IP adres en de Bestemming IP van de multicast gevormde groep.
Voor het tweede exemplaar gaat het naar de externe VPC peer worden verzonden de bron IP zal secundaire van de loopback zijn en de bestemming IP is PIP van de verre VPC peer.
Na ontvangst van het pakket van de ruggengraat stuurt de externe VTEP het pakket alleen door naar de verweesde poorten.
Uitzending, onbekende Unicast en multicastverkeer met multicast-decapsulatie
Voor het decapsulatieproces, gaat het pakket aan beide peers VPC aankomen. Slechts één apparaat VPC gaat het verkeer door de VPC haven-kanalen door:sturen. Dit zal door de Forwarder worden beslist die in het bevel wordt getoond.
module-1# show forwarding internal vpc-df-hash
VPC DF: FORWARDER
Verifiëren
Voer de volgende opdrachten uit om er zeker van te zijn dat de VPC is geïnstalleerd:
Controleer de bereikbaarheid van de IP-adressen die voor de virtuele peer-link worden gebruikt.
LEAF-3# sh ip route 10.10.10.1
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
10.10.10.1/32, ubest/mbest: 1/0
*via 192.168.120.1, Eth1/49, [110/3], 01:15:01, ospf-1, intra
LEAF-3# ping 10.10.10.1
PING 10.10.10.1 (10.10.10.1): 56 data bytes
64 bytes from 10.10.10.1: icmp_seq=0 ttl=253 time=0.898 ms
64 bytes from 10.10.10.1: icmp_seq=1 ttl=253 time=0.505 ms
64 bytes from 10.10.10.1: icmp_seq=2 ttl=253 time=0.433 ms
64 bytes from 10.10.10.1: icmp_seq=3 ttl=253 time=0.465 ms
64 bytes from 10.10.10.1: icmp_seq=4 ttl=253 time=0.558 ms
LEAF-3(config-if)# show vpc brief
Legend:
(*) - local vPC is down, forwarding via vPC peer-link
vPC domain id : 1
Peer status : peer adjacency formed ok <<<<
vPC keep-alive status : peer is alive <<<<
Configuration consistency status : success
Per-vlan consistency status : success
Type-2 consistency status : success
vPC role : secondary
Number of vPCs configured : 0
Peer Gateway : Disabled
Dual-active excluded VLANs : -
Graceful Consistency Check : Enabled
Auto-recovery status : Disabled
Delay-restore status : Timer is off.(timeout = 30s)
Delay-restore SVI status : Timer is off.(timeout = 10s)
Delay-restore Orphan-port status : Timer is off.(timeout = 0s)
Operational Layer3 Peer-router : Disabled
Virtual-peerlink mode : Enabled <<<<<<<
vPC Peer-link status
---------------------------------------------------------------------
id Port Status Active vlans
-- ---- ------ -------------------------------------------------
1 Po1 up 1,10,50,600-604,608,610-611,614-618,638-639,
662-663,701-704
Om de rollen voor de VPC te controleren, voert u de opdracht uit:
LEAF-3(config-if)# sh vpc role
vPC Role status
----------------------------------------------------
vPC role : secondary <<<<
Dual Active Detection Status : 0
vPC system-mac : 00:23:04:ee:be:01
vPC system-priority : 32667
vPC local system-mac : d0:e0:42:e2:09:6f
vPC local role-priority : 32667
vPC local config role-priority : 32667
vPC peer system-mac : 2c:4f:52:3f:46:df
vPC peer role-priority : 32667
vPC peer config role-priority : 32667
Alle VLAN’s die zijn toegestaan in het peer-link poortkanaal moeten worden toegewezen aan een VNI, voor het geval dat ze niet worden weergegeven als inconsistent
LEAF-3(config-if)# show vpc virtual-peerlink vlan consistency
Following vlans are inconsistent
1 608 610 611 614 615 616 617 618 638 639 701 702 703 704
Om te bevestigen dat de configuratie op de up-links correct geprogrammeerd is, voert u de opdracht uit:
LEAF-3(config-if)# show vpc fabric-ports
Number of Fabric port : 1
Number of Fabric port active : 1
Fabric Ports State
-------------------------------------
Ethernet 1/49 UP
Opmerking: de NVE of de loopback-interface die eraan gekoppeld is, zullen verschijnen tenzij de VPC is ingeschakeld.
Gerelateerde informatie
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
05-Oct-2023 |
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)