Práticas recomendadas para a implantação do Catalyst 6500 VSS

Introduction

Este documento fornece as melhores práticas para cenários de implantação do Cisco Catalyst 6500 Virtual Switching System (VSS) 1440.

Este documento fornece orientação de configuração modular. Portanto, você pode ler cada seção independentemente e fazer alterações em uma abordagem em fases. Este documento pressupõe uma compreensão e familiaridade básicas com a interface de usuário do software Cisco IOS®. O documento não aborda o projeto geral da rede.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Práticas recomendadas para implantação do VSS

As soluções que este documento oferece representam anos de experiência de campo de engenheiros da Cisco que trabalham com redes complexas e muitos dos maiores clientes. Consequentemente, este documento enfatiza as configurações que tornam as redes bem-sucedidas. Este documento oferece as seguintes soluções:

• Soluções fáceis de gerenciar e configuradas pelas equipes de operações de rede

• Soluções que promovem alta disponibilidade e alta estabilidade

Alta disponibilidade de VSS

• Encaminhamento sem interrupção

• Sincronização MAC OOB

Encaminhamento sem interrupção

Os switches da série Catalyst 6500 suportam resistência a falhas, pois permitem que um mecanismo supervisor redundante assuma o controle se o mecanismo supervisor principal falhar. O Cisco Non Stop Forwarding (NSF) trabalha com Stateful SwitchOver (SSO) para minimizar o tempo que uma rede está indisponível para seus usuários após um switchover enquanto os pacotes IP continuam sendo encaminhados.

Recomendações

• O encaminhamento ininterrupto é necessário para convergência de switchover do supervisor em menos de um segundo.

• Use os temporizadores Hello e Dead padrão para os protocolos EIGRP/OSPF quando você executa em um ambiente VSS.

• Se você executar o sistema com o software Cisco IOS modular, é recomendável procurar um temporizador de OSPF Dead maior.

EIGRP

Switch(config)# router eigrp 100
Switch(config-router)# nsf

Switch# show ip protocols
*** IP Routing is NSF aware ***

Routing Protocol is "eigrp 100"

!--- part of the output truncated

EIGRP NSF-aware route hold timer is 240s

!--- indicates that EIGRP is configured to be NSF aware


!--- part of the output truncated

EIGRP NSF enabled

!--- indicates that EIGRP is configured to be NSF capable


!--- rest of the output truncated

OSPF

Switch(config)# router ospf 100
Switch(config-router)# nsf

Switch# show ip ospf
Routing Process "ospf 100" with ID 10.120.250.4
Start time: 00:01:37:484, Time elapsed: 3w2d

!--- part of the output truncated

Supports Link-local Signalling (LLS)

!--- indicates that OSPF is configured to be NSF aware


!--- part of the output truncated

Non-Stop Forwarding enabled, last NSF restart 3w2d ago (took 31 secs)

!--- indicates that OSPF is configured to be NSF capable


!--- rest of the output truncated

Consulte Configurando NSF com Redundância de Supervisor Engine SSO para obter mais informações sobre NSF.

Sincronização MAC OOB

Na comutação distribuída, cada placa de recurso distribuído (DFC) mantém sua própria tabela CAM. Isso significa que cada DFC aprende o endereço MAC e os envelhece, o que depende do envelhecimento da CAM e da correspondência de tráfego dessa entrada específica. Com a comutação distribuída, é normal que o mecanismo supervisor não veja nenhum tráfego para um determinado endereço MAC por um tempo, portanto, a entrada pode expirar. Existem atualmente dois mecanismos disponíveis para manter as tabelas CAM consistentes entre os diferentes mecanismos, como a DFC, que está presente nos módulos de linha, e a PFC (Policy Feature Card, Placa de recurso de política), que está presente nos módulos de supervisor:

• Inundação em malha (FF)

• Notificação MAC (MN)

Quando uma entrada de endereço MAC é encerrada no PFC, o comando show mac-address <MAC_Address> todos exibem o DFC ou o PFC que contém esse endereço MAC. Para evitar que o tempo de saída de uma entrada em um DFC ou PFC, mesmo que não haja tráfego para esse endereço MAC, habilite a sincronização do endereço MAC. Execute o comando de configuração global mac-address-table synchronize e o comando clear mac-address-table dynamic EXEC para habilitar a sincronização. Esse comando mac-address-table synchronize está disponível no Cisco IOS Software Release 12.2(18)SXE4 e posteriores. Depois de habilitá-lo, ainda é possível ver entradas que não estão presentes no PFC ou no DFC. No entanto, o módulo tem uma maneira de aprender com outros que usam EOBC (Ethernet Out of Band Channel).

Recomendações

Habilite a sincronização de MAC fora da banda. Ele é usado para sincronizar tabelas de endereços MAC nos mecanismos de encaminhamento. Se WS-6708-10G estiver presente no sistema VSS, a sincronização MAC será automaticamente ativada. Caso contrário, ele deve ser habilitado manualmente.

Dist-VSS(config)# mac-address-table synchronize
% Current activity time is [160] seconds
% Recommended aging time for all vlans is atleast three times the activity interval

Dist-VSS# clear mac-address-table dynamic
% MAC entries cleared.

Dist-VSS# show mac-address-table synchronize statistics

MAC Entry Out-of-band Synchronization Feature Statistics:
---------------------------------------------------------
Switch [1] Module [4]
---------------------
Module Status:
Statistics collected from Switch/Module   : 1/4
Number of L2 asics in this module         : 1

Global Status:
Status of feature enabled on the switch   : on
Default activity time                     : 160
Configured current activity time          : 480

Terminologia VSS

• Virtual Switch Link (VSL) — Um canal de porta especial necessário para agrupar dois switches físicos em um switch virtual.

• VSL Protocol (VSLP) — Executa entre o switch ativo e de standby sobre o VSL e tem dois componentes: LMP e RRP

  • Link Management Protocol (LMP) — roda sobre cada link individual no VSL

  • RRP (Role Resolution Protocol, protocolo de resolução de função) — executado em cada lado (cada peer) do canal da porta VSL

Planejamento de capacidade para VSL

Idealmente na configuração de VSS dual-homed, nenhum tráfego de dados é enviado no link VSL. Cada switch é programado para escolher suas interfaces locais para o encaminhamento de tráfego.

O planejamento adicional da capacidade do link VSL é necessário para o tráfego transportado por:

• Dispositivos single-homed

• SPAN remoto de um switch para outro

• Tráfego do módulo de serviço â€" FWSM, ACE, etc.

Consulte Tráfego no VSL para obter mais informações.

Recomendações

• Sempre dispositivos dual-home conectados ao VSS.

• Sempre agrupe o VSL EtherChannel na potência de 2, pois ele tem melhores resultados de hash para compartilhamento de carga de tráfego otimizado.

• A redundância do VSL ainda é crítica, juntamente com a resiliência dos links VSL.

• A recomendação é ter pelo menos a largura de banda VSL igual a uplinks conectados a um único switch físico.

Upstream Link Recovery

A recuperação de links upstream (links para o núcleo) pode ser obtida por meio do MultiChassis EtherChannel (MEC) ou do recurso Equal Cost MultiPath (ECMP).

A convergência de MEC é consistente e independente do número de rotas. Enquanto isso, a convergência de ECMP é dependente do número de rotas. Esse gráfico indica a magnitude da perda em uma sessão de voz.

Essas imagens mostram cenários de falha de link com MEC e ECMP:

MultiChassis EtherChannel

Um MultiChassis EtherChannel é um EtherChannel com portas que terminam em ambos os chassis do VSS. Um VSS MEC pode se conectar a qualquer elemento de rede que suporte EtherChannel, como um host, servidor, roteador ou switch. No VSS, um MEC é um EtherChannel com capacidade adicional. O VSS equilibra a carga entre as portas em cada chassi de forma independente. Por exemplo, se o tráfego entra no chassi ativo, o VSS seleciona um link MEC do chassi ativo. Esse recurso de MEC garante que o tráfego de dados não atravesse desnecessariamente o VSL.

• O L2 MEC habilita a topologia sem loops, dobra a largura de banda do uplink, pois nenhum link é bloqueado e fornece convergência mais rápida que o STP.

• O L3 MEC oferece contagens reduzidas de vizinhos, melhor compartilhamento de carga (L2 e L3 para unicast e multicast), utilização reduzida de link VSL para fluxos multicast e convergência mais rápida que o ECMP.

Consulte Multichassis EtherChannels para obter mais informações sobre MEC.

Recomendações

• Sempre execute MEC L2 ou L3.

• Não use as opções on and off com a negociação do protocolo PAgP, LACP ou Trunk.

  • PAgP â€" Executar Desejável com links MEC.

  • LACP â€" Execute Ativo-Ativo com links MEC.

  • Trunk â€" Executar Desejável-com links MEC.

Perda e recuperação de link VSL

Se o VSL falhar, o chassi de standby não poderá determinar o estado do chassi ativo. Para garantir que o switchover ocorra sem atraso, o chassi de standby assume que o chassi ativo falhou e inicia o switchover para assumir a função ativa.

Se o chassi ativo original ainda estiver operacional, ambos os chassis agora estão ativos. Essa situação é chamada de cenário dual-ative. Um cenário dual-ative pode ter efeitos adversos na estabilidade da rede, pois ambos os chassis usam os mesmos endereços IP, chaves SSH e ID da bridge STP. O sistema de comutação virtual (VSS) deve detectar um cenário dual-ative e tomar medidas de recuperação.

O sistema de comutação virtual suporta estes três métodos para detectar um cenário dual-ative:

• PAgP aprimorado â€" Usa mensagens PAgP nos links MEC para se comunicar entre os dois chassis através de um switch vizinho. O PAgP aprimorado é mais rápido que o IP BFD, mas requer um switch vizinho que suporte os aprimoramentos do PAgP.

  

  Tabela de suporte do ePAgP:

  Série de dispositivos	Software Cisco IOS mínimo
  Cisco Catalyst 3750	Cisco IOS 12.2(46)SE
  Cisco Catalyst 4500	Cisco IOS 12.2(44)SE
  Cisco Catalyst 6500	Cisco IOS 12.2(33)SXH
  VSS do Cisco Catalyst 6500	Cisco IOS 12.2(33)SXH1

• IP Bidirectional Forwarding Detection (BFD) â€" usa mensagens BFD em uma conexão Ethernet de backup. O IP BFD usa uma conexão direta entre os dois chassis e não exige suporte de um switch vizinho. Esse método está disponível no Cisco IOS Software Release 12.2(33)SXH1 e posterior.

  

• VSLP dual-ative fast-hello â€" Usa mensagens de saudação especiais em uma conexão Ethernet de backup. O fast-hello de atividade dupla é mais rápido que o IP BFD e não exige suporte de um switch vizinho. Esse método está disponível somente no Cisco IOS Software Release 12.2(33)SXI e posterior.

  

Você pode configurar todos os três métodos de detecção para estarem ativos ao mesmo tempo.

Esses gráficos fornecem informações sobre a convergência de alguns protocolos de roteamento IP em relação à convergência ativa dupla do VSS.

Convergência do EIGRP com temporizadores padrão

Convergência de OSPF com temporizadores padrão

Recomendações

• Habilite pelo menos dois links em VSL.

• Use MEC com ePAgP ou MEC com VSLP Fast Hello para obter resultados de convergência de perda de link VSL mais rápidos.

• Ative ECMP com IP-BFD.

• Ative o ePAgP para o núcleo, se a camada de acesso não for compatível com ePAgP.

• Ative o ePAgP em um link de batimento cardíaco direto com base nos métodos VSLP Fast Hello, se possível.

• Durante o processo de perda e recuperação de VSL, não execute alterações de configuração.

  • Depois que pelo menos um link de membro VSL é restaurado, se a configuração no chassi ATIVE antigo for inalterada, o ATIVE antigo é reinicializado para inicializar no estado de redundância VSS hot-standby.

    *Apr 6 17:36:33:809: %VSLP-SW1_SP-5-VSL_UP: Ready for Role Resolution with 
    Switch=2, MAC=0013a.30e1.6800 over Te1/5/5
    *Apr 6 17:36:36.109: %dualACTIVE-1-VSL_RECOVERED: VSL has recovered during 
    dual ACTIVE situation: Reloading switch 1
    
    !--- part of output truncated
    
    *Apr 6 17:36:36.145: %VSLP-SW1_SP-5-RPR_MSG: Role change from ACTIVE to HOT_STANDBY and 
    hence need to reload
    *Apr 6 17:36:36.145: %VSLP-SW1_SP-5-RPR_MSG: Reloading the system...
    *Apr 6 17:36:36.145: %SYS-SW1_SP-5-RELOAD: Reload requested Reload Reason: VSLP HA role 
    change from ACTIVE to HOT_STANDBY.

  • Se a configuração for alterada, marcada como suja pelo processo de sincronização da configuração, o switch não será recarregado automaticamente.

  • A recarga manual deve ser emitida em ATIVE antigo depois que a configuração é corrigida e salva. Mesmo que você apenas entre no modo de configuração e saia, ele marca a configuração suja e força uma intervenção manual.

    *Aug 13 04:24:34.716: %dualACTIVE-1-VSL_RECOVERED: VSL has recovered 
    during dual ACTIVE situation: Reloading switch 2
    *Aug 13 04:24:34.716: %VS_GENERIC-5-VS_CONFIG_DIRTY: Configuration has changed. 
    Ignored reload request until configuration is
    	
    	
    	
    	
    		saved

Consulte Detecção dual-ativa para obter mais informações.

Redundância com módulos de serviço

O suporte ao módulo de serviço é um requisito importante para posicionar o VSS no mercado de data center empresarial e de campus. A lista de módulos de serviço compatíveis com o Virtual Switch System é:

Módulo de serviço	Versão mínima do Cisco IOS	Versão mínima do módulo
Módulo de análise de rede (NAM-1 e NAM-2) (WS-SVC-NAM-1 e WS-SVC-NAM-2)	12.2(33)SXH1	3.6 (1a)
Application Control Engine (ACE10 e ACE20) (ACE10-6500-K9 e ACE20-MOD-K9)	12.2(33)SXI	A2(1.3)
IDSM-2 (Intrusion Detection System Services Module) (WS-SVC-IDSM2-K9)	12.2(33)SXI	6,0(2)E1
Módulo de serviços sem fio (WiSM) (WS-SVC-WISM-1-K9)	12.2(33)SXI	3.2.171.6
Firewall Services Module (FWSM) (WS-SVC-FWM-1-K9)	12.2(33)SXI	4.0.4

Os módulos de serviço podem ser colocados em um dos chassis físicos que compõem um VSS.

Recomendações

• Para configuração com mais de um módulo de serviço de um determinado tipo, configure um em cada switch físico para obter a melhor disponibilidade.

• O VSL transporta tráfego em cenários normais e de failover, a largura de banda de VSL deve ser ajustada de acordo.

Consulte Integrar os Cisco Service Modules com o Cisco Catalyst 6500 Virtual Switching System 1440 para obter mais informações sobre a integração do módulo de serviço.

Multicast

Os protocolos multicast IPv4 são executados no mecanismo supervisor ativo. Os pacotes de protocolo Internet Group Management Protocol (IGMP) e Protocol Independent Multicast (PIM) recebidos no mecanismo supervisor em standby são transmitidos através do VSL para o chassi ativo. O mecanismo supervisor ativo envia pacotes de protocolo IGMP e PIM para o mecanismo supervisor de standby para manter as informações da Camada 2 para o switchover stateful (SSO).

Consulte Multicast IPv4 para obter mais informações.

Recomendações

• Os dispositivos conectados devem ser sempre dual-homed para um desempenho de replicação ideal.

• O MEC é recomendado em ambientes L3 e L2 para fornecer convergência determinística.

• O MEC elimina o recálculo do Reverse Path Forwarding (RPF) durante qualquer falha de link do MEC.

• Replicação de saída com aprimoramento local para maior throughput de replicação multicast.

• A replicação de saída requer DFCs para desempenho de replicação otimizado.

• Dimensione o VSL para atender aos requisitos de tráfego.

Qualidade do serviço

Configurações de QoS de VSL

• O VSL é um controle interno crítico e um caminho de comunicação de dados e, portanto, as configurações de QoS são pré-configuradas e as alterações de configuração não são permitidas.

• O VSL está sempre configurado como Trust CoS e o enfileiramento de entrada está ativado.

• Somente a confiança e o enfileiramento baseados em CoS são suportados no momento. As políticas de serviço não são suportadas no VSL.

• As políticas de QoS devem ser aplicadas na interface de entrada dos fluxos.

• A fila de prioridade está habilitada por padrão. O tráfego de controle VSS e as BPDUs recebem alta prioridade no link VSL.

Recomendações

A única diferença entre as opções de hardware compatíveis com VSL é a configuração da fila. Como a versão atual do software não permite a modificação das configurações de fila padrão, qualquer combinação de portas compatíveis com VSL fornece os mesmos resultados de QoS.

Hardware	Modo de enfileiramento	Modo de Confiança	Fila de transmissão	Fila de recepção
VSL em uplinks â€" não-10G apenas (padrão)	CoS	CoS	1p3q4t (DWRR/SRR)	8q4t
VSL em uplinks â€" somente 10G	CoS	CoS	1p7q4t (DWRR/SRR)	2q4t
VSL em uplinks e placas de linha	CoS	CoS	1p3q4t [não-10G] (DWRR/SRR) 1p7q4t [somente 10G] (DWRR/SRR)	2q4t
VSL em placas de linha	CoS	CoS	1p7q4t (DWRR/SRR)	8q4t

Consulte Configuração de QoS de VSL para obter mais informações.

SPAN

Em um domínio de switch virtual, o número de sessões de SPAN é limitado pelo que o supervisor ativo do switch virtual pode fornecer.

O Virtual Switch System oferece suporte a esses recursos de SPAN por domínio do Virtual Switch.

Atributo	Valor
Sessões de SPAN de Tx	14
Rx / Ambas Sessões de SPAN	2
Total de sessões de SPAN	16

Recomendações

• Se o VSL estiver configurado como origem de SPAN local, as portas de destino de SPAN devem estar no mesmo chassi das interfaces de VSL.

• O VSL não pode ser configurado como destino de SPAN.

• O VSL não pode ser configurado como origem de RSPAN, ERSPAN ou Tx apenas SPAN local.

• O cabeçalho VSL é removido pela porta de destino de SPAN antes que o pacote seja transmitido para fora e, portanto, não pode ser capturado nos rastreamentos de sniffer.

• Quando a origem e o destino estão no mesmo chassi (ativo ou em espera), o tráfego de SPAN não flui sobre o link VSL.

  Para capturar o tráfego de ambos os chassis, há duas opções que evitam o fluxo de tráfego de SPAN no VSL:

  • Para cada interface de origem em um chassi, a interface de destino deve estar no mesmo chassi.

    Por exemplo, o PO20 tem gi1/1/1 e gi2/1/1: você precisa ter um destino para cada chassi.

    Monitor session 1 source interface gi1/1/1
    Monitor session 1 destination interface gi1/1/2
    
    Monitor session 2 source interface gi2/1/1
    Monitor session 2 destination interface gi2/1/2

    No entanto, isso significa que você usa as sessões locais de SPAN. Portanto, você não pode usar nenhuma outra sessão de SPAN local.

  • Você pode usar a interface de destino para SPAN como um MEC (recomendado).

    A porta de destino pode ser um MEC.

Diversos

Recomendações

• Use no mínimo um uplink de supervisor para VSL para ter uma ativação de VSL mais rápida.

• Configure o comando switch accept mode virtual após a conversão de VSS. Sem esse comando, a conversão não está completa.

• Salve o backup do arquivo de configuração no disco de inicialização ativo e de hot-standby:. Isso é de grande ajuda em cenários de substituição de supervisor.

• Usar ID de domínio VSS exclusivo na mesma rede. ID de domínio VSS duplicado pode causar inconsistência de EtherChannel.

  Aqui está um exemplo para alterar a ID de domínio do VSS.

  1. Use o comando switch virtual domain domain-id para iniciar a alteração de ID de domínio.

     switch(config)#switch virtual domain 50
     

     Observação: a configuração do ID de domínio 50 só entra em vigor depois que o comando exec virtual mode de conversão do switch é emitido.

  2. Use o comando switch convert mode virtual para concluir a tarefa.

     switch#switch convert mode virtual
     

     Observação: a ID de domínio virtual é alterada somente depois que você salva a configuração e recarrega o switch.

• Use o comando erase nvram em vez do comando write erase para redefinir a configuração do VSS. O comando write erase apaga as variáveis startup-config e ROMMon. O VSS requer a variável ROMMon de ID de switch para inicializar no modo VSS.

• Não use a preempção. Consulte a Cisco recomenda que você não configure a preempção do switch para obter mais informações.

• Não use o comando shutdown para a simulação de falha de VSL, pois ela cria uma incompatibilidade de configuração. Se você desconectar um cabo, ele fornecerá um cenário de falha mais realista.

• Não altere o algoritmo de hashing VSL enquanto o sistema estiver em produção. A alteração do algoritmo requer que o canal de porta seja desativado e reativado, com os comandos shutdown e no shutdown. Se você desligar um VSL, ele causará interrupção de tráfego e poderá terminar em um cenário dual-ative.

• Configure o temporizador de envelhecimento MAC para três vezes o valor do temporizador de sincronização MAC.

  A sincronização MAC padrão e os temporizadores de envelhecimento MAC podem causar inundação de unicast desconhecida. O VSS pode fazer com que o tráfego flua assimetricamente de modo que o endereço MAC origem seja aprendido somente em um chassi. O temporizador de envelhecimento MAC de 300 segundos e o temporizador de sincronização MAC de 160 segundos permitem até 20 segundos de inundação unicast desconhecida para qualquer endereço MAC especificado em um intervalo de 320 segundos. Para resolver isso, altere os temporizadores de modo que o temporizador de envelhecimento seja três vezes maior que o temporizador de sincronização, por exemplo, mac-address-table aging-time 480 .

  A saída de exemplo do show mac-address-table aging-time é mostrada aqui:

  switch#sh mac-address-table aging-time
  Vlan Aging Time
  ---- ----------
  Global 480
  no vlan age other than global age configured

• Para que o VSS funcione com stateful switchover (SSO), ambos os mecanismos de supervisor devem executar a mesma versão de software.

• Se você migrar de volta para um switch independente do modo VSS através do comando switch convert mode stand-alone, ele concluirá estas tarefas:

  • Converte o nome da interface com o nome do switch/slot/porta em slot/porta.

  • Remove interfaces não locais da configuração atual.

  • Remove os canais de porta VSL e a configuração de portas.

  • Salva Running-config para Startup-config

  • Define a variável SWITCH_NUMBER do SP rommon como 0.

  • Recarrega o switch.

• A reinicialização do switch é necessária quando eles são estritamente necessários; por exemplo, uma atualização do IOS ou como uma etapa de solução de problemas. Um switch que está ativo por mais de dois anos significa que é um switch estável e que a configuração também é estável.

Perguntas mais freqüentes

Os supervisores duplos podem ser usados em cada chassi com VSS?

Yes. Os supervisores duplos em cada chassi VSS configurado para modo VSS são suportados a partir do SXI4 e posterior.

Ao remover os comandos preempt nos Catalyst 6500 Series Switches no modo VSS, ele recarregará os switches?

A preempção do switch não é recomendada. Portanto, remover os comandos é uma boa prática e não causa recarga. Para obter mais informações sobre o recurso Preempção no VSS, consulte Preempção do Switch.

Informações Relacionadas

• Práticas recomendadas para os switches Catalyst 6500/6000 Series e Catalyst 4500/4000 Series que executam o software Cisco IOS
• Configuração de sistemas de comutação virtual
• Referência de comando do switch virtual do Cisco IOS
• Suporte ao produto Cisco Catalyst 6500 Virtual Switching System 1440
• Suporte de produto de Switches de LAN
• Suporte de tecnologia de switching de LAN
• Suporte Técnico e Documentação - Cisco Systems