Catalyst 6500 VSS部署的最佳实践

简介

本文档提供Cisco Catalyst 6500虚拟交换系统(VSS)1440部署方案的最佳实践。

本文档提供模块化配置指导。所以，您可以单独阅读每个部分，并采用分阶段方式进行更改。本文档假定您对Cisco IOS®软件用户界面有基本的理解和熟悉。本文档不涉及整体网络设计。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

VSS 部署最佳实践

本文档提供的解决方案体现了多年来 Cisco 工程师在复杂网络领域以及与许多大型客户合作方面的实际工作经验。因此，本文档重点介绍对网络的成功配置。本文档提供以下解决方案：

• 易于管理的解决方案以及网络运营团队配置的解决方案

• 促进高可用性和高稳定性的解决方案

VSS 高可用性

• 无停止转发

• OOB MAC 同步

无停止转发

Catalyst 6500 系列交换机支持故障防御，因为如果主 Supervisor 引擎出故障，它允许冗余 Supervisor 引擎来接管。Cisco 无停止转发 (NSF) 与 Stateful SwitchOver (SSO) 一起使用，以便在切换后可使用户无法使用网络的时间缩至最短，同时继续转发 IP 分组。

建议

• 在不到一秒的时间里，Supervisor 切换收敛需要无停止转发。

• 在 VSS 环境中运行时，使用 EIGRP/OSPF 协议的默认 Hello 计时器和 Dead 计时器。

• 如果运行具有模块化 Cisco IOS 软件的系统，建议使用较大值 OSPF Dead 计时器。

EIGRP

Switch(config)# router eigrp 100
Switch(config-router)# nsf

Switch# show ip protocols
*** IP Routing is NSF aware ***

Routing Protocol is "eigrp 100"

!--- part of the output truncated

EIGRP NSF-aware route hold timer is 240s

!--- indicates that EIGRP is configured to be NSF aware


!--- part of the output truncated

EIGRP NSF enabled

!--- indicates that EIGRP is configured to be NSF capable


!--- rest of the output truncated

OSPF

Switch(config)# router ospf 100
Switch(config-router)# nsf

Switch# show ip ospf
Routing Process "ospf 100" with ID 10.120.250.4
Start time: 00:01:37:484, Time elapsed: 3w2d

!--- part of the output truncated

Supports Link-local Signalling (LLS)

!--- indicates that OSPF is configured to be NSF aware


!--- part of the output truncated

Non-Stop Forwarding enabled, last NSF restart 3w2d ago (took 31 secs)

!--- indicates that OSPF is configured to be NSF capable


!--- rest of the output truncated

有关 NSF 的详细信息，请参阅用 SSO Supervisor 引擎冗余配置 NSF。

OOB MAC 同步

在分布式交换中，每个 Distributed Feature Card (DFC) 均维护其各自的 CAM 表。这意味着每个 DFC 会识别 MAC 地址并使其老化，这取决于该特定条目的 CAM 老化和流量匹配。使用分布式交换，Supervisor 引擎暂时看不到特定 MAC 地址的任何流量是很正常的，因此该条目可能会过期。当前有以下两种机制可使 CAM 表在不同引擎间保持一致，如 DFC（它存在于线路模块中）和 Policy Feature Card (PFC)（它存在于 Supervisor 模块中）：

• Flood to Fabric (FF)

• MAC 通告 (MN)

当 MAC 地址条目在 PFC 上老化时，show mac-address address <MAC_Address> all 命令会显示保留此 MAC 地址的 DFC 或 PFC。为了防止 DFC 或 PFC 上的某个条目老化，即使该 MAC 地址没有流量，仍要启用 MAC 地址同步。发出 mac-address-table synchronize 全局配置命令和 clear mac-address-table dynamic privileged EXEC 命令，以便启用同步。Cisco IOS 软件版本 12.2(18)SXE4 及更高版本中提供此 mac-address-table synchronize 命令。启用它之后，您有可能仍会看到在 PFC 或 DFC 中并不存在的条目。但是，模块有办法从使用以太网带外信道 (EOBC) 的其他设备中获取它。

建议

启用带外 MAC 同步。使用它的目的在于，跨转发引擎同步 MAC 地址表。如果 WS-6708-10G 存在于 VSS 系统中，则会自动启用 MAC 同步。否则，必须手动启用它。

Dist-VSS(config)# mac-address-table synchronize
% Current activity time is [160] seconds
% Recommended aging time for all vlans is atleast three times the activity interval

Dist-VSS# clear mac-address-table dynamic
% MAC entries cleared.

Dist-VSS# show mac-address-table synchronize statistics

MAC Entry Out-of-band Synchronization Feature Statistics:
---------------------------------------------------------
Switch [1] Module [4]
---------------------
Module Status:
Statistics collected from Switch/Module   : 1/4
Number of L2 asics in this module         : 1

Global Status:
Status of feature enabled on the switch   : on
Default activity time                     : 160
Configured current activity time          : 480

VSS术语

• 虚拟交换机链路(VSL) — 将两台物理交换机捆绑到一台虚拟交换机所需的特殊端口通道。

• VSL协议(VSLP) — 在VSL上的主用和备用交换机之间运行，并有两个组件：LMP和RRP

  • 链路管理协议(LMP) — 在VSL中的每条链路上运行

  • 角色解析协议(RRP) — 在VSL端口通道的每一端（每个对等体）上运行

VSL的容量规划

理想情况下，在双宿 VSS 配置中，在 VSL 链路上未发送数据流量。对每台交换机编程，以选择用于流量转发的本地接口。

需要进行额外的 VSL 链路容量规划，以实现由以下设备传输的流量：

• 单宿设备

• 从一台交换机到另一台交换机的远程 SPAN

• 服务模块流量 — €"FWSM、ACE等

有关详细信息，请参阅 VSL 上的流量。

建议

• 连接到 VSS 的总是双宿设备。

• 始终会捆绑 VSL EtherChannel in the power of 2，因为它拥有实现优化流量负载共享的更好的哈希结果。

• VSL 的冗余与 VSL 链路的耐障碍性 (resiliency) 一起仍均很关键。

• 建议至少要拥有等于连接到单个物理交换机的上游链路的 VSL 带宽。

上游链路恢复

可通过 MultiChassis EtherChannel (MEC) 或 Equal Cost MultiPath (ECMP) 功能来获取上游链路（到核心的链路）的恢复。

MEC 收敛与路由数目相一致并保持独立。但是，ECMP 收敛依赖于路由数目。此图指示语音会话方面的损失程度。

以下图像显示的是 MEC 和 ECMP 的链路故障情形：

MultiChassis EtherChannel

MultiChassis EtherChannel 是带有会在 VSS 的两个机箱上中止的端口的 EtherChannel。VSS MEC 可连接到支持 EtherChannel 的任何网络元素，如主机、服务器、路由器或交换机。在 VSS 上，MEC 为具有额外功能的 EtherChannel。VSS 会独立在每个机箱上跨端口平衡负载。例如，如果流量进入活动机箱，VSS 就会从该活动机箱中选择一个 MEC 链路。该 MEC 功能可确保数据流量有必要遍历 VSL。

• L2 MEC 可启用无环路拓扑，并使上游链路带宽加倍，原因在于没有受阻的链路，并提供超越 STP 的更快收敛。

• L3 MEC 可提供更少的邻接计数、更好的负载共享（用于单播和多播的 L2 和 L3）、减少了多播流的 VSL 链路使用率，以及超越 ECMP 的更快收敛。

有关 MEC 的详细信息，请参阅 Multichassis EtherChannel。

建议

• 始终运行 L2 或 L3 MEC。

• 不要使用 PAgP、LACP 或 Trunk 协议协商的 on 和 off 选项。

  • PAgPâ€"使用MEC链路运行Desirable-Desirable。

  • LACP—使用MEC链路运行Active-Active。

  • Trunkâ€"使用MEC链路运行Desirable-Desirable。

VSL 链路丢失和恢复

如果 VSL 出现故障，则备用机箱无法确定活动机箱的状态。为了确保发生切换而不出现延迟，备用机箱假设活动机箱已发生故障，并启动切换来接管活动角色。

如果原始活动机箱仍运行正常，则两个机箱此时均处于活动状态。此情形称为双活动情形。双活动情形会对网络稳定性产生不利影响，因为两个机箱均会使用相同的 IP 地址、SSH 密钥和 STP 网桥 ID。虚拟交换系统 (VSS) 必须检测双活动情形，并执行恢复操作。

虚拟交换系统支持以下三种方法，以便检测双活动情形：

• 增强型PAgP—通过MEC链路使用PAgP消息传递，以便通过邻居交换机在两个机箱之间通信。增强的 PAgP 的速度比 IP BFD 快，但是需要支持 PAgP 增强功能的邻接交换机。

  

  ePAgP 支持表：

  设备系列	最低 Cisco IOS 软件要求
  Cisco Catalyst 3750	Cisco IOS 12.2(46)SE
  Cisco Catalyst 4500	Cisco IOS 12.2(44)SE
  Cisco Catalyst 6500	Cisco IOS 12.2(33)SXH
  Cisco Catalyst 6500 VSS	Cisco IOS 12.2(33)SXH1

• IP Bidirectional Forwarding Detection(BFD)—通过备用以太网连接使用BFD消息。IP BFD 在两个机箱之间使用直接连接，且不需要来自相邻交换机的支持。此方法在 Cisco IOS 软件版本 12.2(33)SXH1 及更高版本中可用。

  

• VSLP dual-active fast-hello—通过备用以太网连接使用特殊hello消息。Dual-active fast-hello 比 IP BFD 的速度要快，且不需要来自相邻交换机的支持。此方法仅在 Cisco IOS 软件版本 12.2(33)SXI 及更高版本中可用。

  

您可以同时将所有三种检测方法配置为活动状态。

这些图提供了有关针对 VSS 双活动收敛的某些 IP 路由协议收敛的信息。

与默认计时器的 EIGRP 收敛

与默认计时器的 OSPF 收敛

建议

• 在 VSL 中至少启用两条链路。

• 针对更快的 VSL 链路损失收敛结果使用 MEC with ePAgP 或 MEC with VSLP Fast Hello。

• 启用 ECMP with IP-BFD。

• 如果接入层未启动 ePAgP，请启用 ePAgP 到核心。

• 如有可能，请同时启用基于 ePAgP 和直接心跳链路的 VSLP Fast Hello 方法。

• 在 VSL 损失和恢复进程中，不要执行配置更改。

  • 在至少恢复一条 VSL 成员链路后，如果旧活动机箱上的配置为不变，则旧的活动机箱会自动重启，以便以热备用冗余状态启动。

    *Apr 6 17:36:33:809: %VSLP-SW1_SP-5-VSL_UP: Ready for Role Resolution with 
    Switch=2, MAC=0013a.30e1.6800 over Te1/5/5
    *Apr 6 17:36:36.109: %dualACTIVE-1-VSL_RECOVERED: VSL has recovered during 
    dual ACTIVE situation: Reloading switch 1
    
    !--- part of output truncated
    
    *Apr 6 17:36:36.145: %VSLP-SW1_SP-5-RPR_MSG: Role change from ACTIVE to HOT_STANDBY and 
    hence need to reload
    *Apr 6 17:36:36.145: %VSLP-SW1_SP-5-RPR_MSG: Reloading the system...
    *Apr 6 17:36:36.145: %SYS-SW1_SP-5-RELOAD: Reload requested Reload Reason: VSLP HA role 
    change from ACTIVE to HOT_STANDBY.

  • 如果配置已更改，且配置同步进程将其标记为更新，则交换机不会自动重新加载。

  • 在修正和保存配置之后，必须在旧活动机箱上手动执行重新加载操作。即使您刚刚进入配置模式并退出，它会将配置标记为更新，并强制执行手动干预。

    *Aug 13 04:24:34.716: %dualACTIVE-1-VSL_RECOVERED: VSL has recovered 
    during dual ACTIVE situation: Reloading switch 2
    *Aug 13 04:24:34.716: %VS_GENERIC-5-VS_CONFIG_DIRTY: Configuration has changed. 
    Ignored reload request until configuration is
    	
    	
    	
    	
    		saved

有关详细信息，请参阅双向活动检测。

服务模块的冗余

服务模块支持是将 VSS 投放到企业园区和企业数据中心市场上的关键需求。虚拟交换机系统支持的服务模块的列表为：

服务模块	Cisco IOS 最低版本	模块最低版本
网络分析模块（NAM-1 和 NAM-2）（WS-SVC-NAM-1 和 WS-SVC-NAM-2）	12.2(33)SXH1	3.6(1a)
应用程序控制引擎（ACE10 和 ACE20）（ACE10-6500-K9 和 ACE20-MOD-K9）	12.2(33)SXI	A2(1.3)
入侵检测系统服务模块 (IDSM-2) (WS-SVC-IDSM2-K9)	12.2(33)SXI	6.0(2)E1
无线服务模块 (WiSM) (WS-SVC-WISM-1-K9)	12.2(33)SXI	3.2.171.6
防火墙服务模块 (FWSM) (WS-SVC-FWM-1-K9)	12.2(33)SXI	4.0.4

可将服务模块安置在包括 VSS 的任一物理机箱中。

建议

• 若配置多个给定类型的服务模块，请在每台物理交换机中分别配置一个服务模块，以实现最佳可用性。

• 在正常和故障切换情况下 VSL 传送流量，必须相应地对 VSL 带宽进行调整。

有关服务模块集成的详细信息，请参阅将 Cisco 服务模块与 Cisco Catalyst 6500 虚拟交换系统 1440 集成。

组播

IPv4 多播协议在活动 Supervisor 引擎中运行。在备用 Supervisor 引擎收到的 Internet 组管理协议 (IGMP) 和独立于协议的多播 (PIM) 协议数据包在 VSL 间被传送给活动机箱。活动 Supervisor 引擎会将 IGMP 和 PIM 协议数据包发送到备用 Supervisor 引擎，以便维护第 2 层信息，实现 Stateful Switchover (SSO)。

有关详细信息，请参阅 IPv4 多播。

建议

• 连接的设备必须始终为双宿的，以实现最佳复制性能。

• 在第 3 层和第 2 层环境中建议使用 MEC，以提供确定性收敛。

• 在发生任何 MEC 链路故障期间，MEC 会消除反向路径转发 (RPF) 重新计算。

• 出口复制本地增强，以实现更高的多播复制吞吐量。

• 出口复制需要 DFC，以实现优化的复制性能。

• 调整 VSL 的大小，以满足流量要求。

服务质量

VSL QoS 设置

• VSL 是一条重要内部控制和数据通信路径，因而 QoS 设置是预先配置的，并且不允许进行配置更改。

• VSL 总是被配置为信任 CoS，并且会启用入口队列。

• 当前仅支持基于 CoS 的信任和队列。VSL 不支持服务策略。

• 必须在流的输入接口应用 QoS 策略。

• 默认情况下会启用优先级队列。会在 VSL 链路上赋予 VSS 控制流量和 BPDU 高优先级。

建议

不同的已启用 VSL 的硬件选项之间的唯一区别在于队列配置。由于软件的当前版本不允许修改默认队列设置，因此已启用 VSL 的端口的任何组合均会提供相同的 QoS 结果。

Hardware	队列模式	信任模式	传输队列	接收队列
上行链路上的VSL -€"非10G（默认）	CoS	CoS	1p3q4t (DWRR/SRR)	8q4t
上行链路上的VSL -€"10G	CoS	CoS	1p7q4t (DWRR/SRR)	2q4t
跨上游链路的 VSL 和板卡	CoS	CoS	1p3q4t [非10G](DWRR/SRR)1p7q4t [仅10G](DWRR/SRR)	2q4t
板卡上的 VSL	CoS	CoS	1p7q4t (DWRR/SRR)	8q4t

有关详细信息，请参阅配置 VSL QoS。

SPAN

在虚拟交换机域中，SPAN 会话数受虚拟交换机活动 Supervisor 所能提供内容的限制。

虚拟交换机系统支持每个虚拟交换机域中的这些 SPAN 功能。

属性	价值
Tx SPAN 会话	14
接收/两个 SPAN 会话	2
完全 SPAN 会话	16

建议

• 如果VSL配置为本地SPAN源，则SPAN目标端口必须与VSL接口位于同一机箱上。

• VSL不能配置为SPAN目标。

• VSL不能配置为RSPAN、ERSPAN或仅Tx本地SPAN的源。

• SPAN目的端口会在数据包传出之前删除VSL报头，因此无法在嗅探器跟踪中捕获。

• 当源和目标都位于同一机箱（主用或备用）上时，SPAN流量不会通过VSL链路传输。

  为了捕获来自两个机箱的流量，有两个选项可避免VSL上的SPAN流量流：

  • 对于一个机箱上的每个源接口，目标接口必须位于同一机箱上。

    例如，PO20有gi1/1/1和gi2/1/1:每个机箱需要一个目标。

    Monitor session 1 source interface gi1/1/1
    Monitor session 1 destination interface gi1/1/2
    
    Monitor session 2 source interface gi2/1/1
    Monitor session 2 destination interface gi2/1/2

    但是，这意味着您同时使用本地SPAN会话。因此，您不能使用任何其他本地SPAN会话。

  • 您可以将SPAN的目标接口用作MEC（推荐）。

    目的端口可以是MEC。

其他

建议

• 至少要使用 VSL 的一个 Supervisor 上行链路，以便更快启动 VSL。

• 请在执行 VSS 转换之后，配置 switch accept mode virtual 命令。没有此命令，转换就无法完成。

• 配置文件的备份同时保存在活动启动盘和热备用启动盘上。这在 Supervisor 替换方案中大有帮助。

• 在系统网络内使用唯一 VSS 域 ID。复制 VSS 域 ID 可能会导致 EtherChannel 不一致。

  以下是更改VSS域ID的示例。

  1. 使用switch virtual domain domain-id命令以启动域ID更改。

     switch(config)#switch virtual domain 50
     

     注意：域ID 50配置仅在发出switch convert mode virtual exec命令后生效。

  2. 请使用switch convert mode virtual命令以完成该任务。

     switch#switch convert mode virtual
     

     注意：仅在保存配置并重新加载交换机后，虚拟域ID才会更改。

• 请使用 erase nvram 命令，而不使用 write erase 命令，以便重置 VSS 配置。write erase 命令可清除启动配置和 ROMMon 变量。VSS 需要 switch-id ROMMon 变量，以便以 VSS 模式启动。

• 请勿使用抢占。有关详细信息，请参阅Cisco建议不要配置交换机抢占。

• 请勿使用 VSL 故障模拟的 shutdown 命令，因为它会造成配置不匹配。如果断开一个电缆，则会提供更加切合实际的故障情形。

• 当系统处于生产状态时，请勿更改 VSL 散列算法。该算法的更改，需要利用 shutdown 和 no shutdown 命令来禁用和重新启用端口信道。如果关闭 VSL，则会导致流量中断，并可能以双向活动方案结束。

• 将 MAC 老化计时器的值配置为 MAC 同步计时器值的三倍。

  默认 MAC 同步计时器和 MAC 老化计时器可能会导致未知的单播泛滥。VSS 可能会导致流量呈非对称性流动，由此只能在一个机箱上了解源 MAC 地址。300 秒的 MAC 老化计时器和 160 秒的 MAC 同步计时器最多可允许任何给定 MAC 地址的 20 秒未知单播泛滥，间隔为 320 秒。为了解决此问题，请更改计时器，以便老化计时器值为同步计时器值的三倍，例如，mac-address-table aging-time 480 。

  show mac-address-table aging-time的输出示例如下所示：

  switch#sh mac-address-table aging-time
  Vlan Aging Time
  ---- ----------
  Global 480
  no vlan age other than global age configured

• 要使VSS在状态化切换(SSO)下运行，两个管理引擎必须运行相同的软件版本。

• 如果通过switch convert mode stand-alone命令从VSS模式迁移回独立交换机，它将完成以下任务：

  • 将带有交换机/插槽/端口名称的接口名称转换为插槽/端口。

  • 从running-config中删除非本地接口。

  • 删除VSL端口通道和端口配置。

  • 将运行配置保存到启动配置

  • 将SP rommon变量SWITCH_NUMBER设置为0。

  • 重新加载交换机。

• 如果严格需要重新启动交换机，则需要重新启动交换机；例如，IOS升级或作为故障排除步骤。交换机启动超过两年意味着它是稳定的交换机，并且配置也稳定。

常见问题

在VSS下，每个机箱中是否可以使用双管理引擎？

Yes.从SXI4及更高版本开始，支持为VSS模式配置的每个VSS机箱中的双管理引擎。

在VSS模式下删除Catalyst 6500系列交换机中的preempt命令时，是否会重新加载交换机？

不建议使用交换机抢占。因此，删除命令是一种好做法，不会导致重新加载。有关VSS上抢占功能的详细信息，请参阅交换机抢占。

相关信息

• 运行 Cisco IOS 软件的 Catalyst 6500/6000 系列和 Catalyst 4500/4000 系列交换机的最佳实践
• 配置虚拟交换系统
• Cisco IOS 虚拟交换机命令参考
• Cisco Catalyst 6500 虚拟交换系统 1440 产品支持
• LAN 交换机产品支持
• LAN 交换技术支持
• 技术支持和文档 - Cisco Systems