Cisco Nexus VPC klaster pre PROXMOX

Posted on By Martin Hasin No Comments on Cisco Nexus VPC klaster pre PROXMOX

V prostrediach, kde je dostupnosť kritickým parametrom a každá sekunda výpadku môže znamenať výrazné prevádzkové straty, je nevyhnutné navrhovať sieťovú infraštruktúru s dôrazom na redundanciu a škálovateľnosť. Cisco Nexus platforma ponúka robustný nástroj práve na tento typ riešenia – Virtual Port-Channel (vPC).

Port-Channel (často nazývaný aj EtherChannel alebo LAG – Link Aggregation Group) je mechanizmus, ktorý umožňuje zväzovať viac fyzických ethernetových liniek do jedného logického linku. Prepínač pritom pracuje s týmto zväzkom ako s jedným linkom aj z pohľadu L2 smerovania rámcov.

Výhody použitia port-channelu

  • Vyššia priepustnosť: kombináciou viacerých liniek (napr. 2×10G = 20G; 4×10G = 40G) získate vyššiu kapacitu bez potreby drahších uplinkových modulov.
  • Redundancia: pri výpadku jednej linky (optiky či transceiveru) port-channel ostáva aktívny, čo eliminuje výpadky pri jednovrstvových spojoch.
  • Vyvažovanie záťaže (load-balancing): premávka sa rozkladá podľa hash algoritmov (MAC, IP, L4 porty), čo zvyšuje efektivitu.
  • Jednoduchšia topológia: z pohľadu konfigurácie je to stále jeden logický interface, čo uľahčuje správu ACL, QoS či monitoringu.

Bez port-channelu by bolo potrebné riešiť STP blokovanie portov a komplikácie pri redundancii. Práve preto sa stal štandardným stavebným prvkom moderných dátových centier.

Čo je to Cisco VPC (Virtual Port-Channel)

Kým port-channel funguje medzi dvoma zariadeniami, vPC posúva celú koncepciu o jeden zásadný krok vyššie. Zákazník totiž často nechce byť viazaný jedným fyzickým switchom — potrebuje redundantnú dvojicu, ktorá sa správa ako jeden logický celok. Na to slúži vPC.

Definícia vPC

Cisco vPC umožňuje pripojiť jeden alebo viac downstream zariadení (servery, switche, hypervízory) pomocou port-channelu, ktorý je rozdelený medzi dve nezávislé Nexus jednotky. Downstream zariadenie však tieto dva switche vidí ako jeden logický switch.

Kľúčové prínosy vPC

  • Redundancia bez STP blokovania
    Oba switche v páre sú aktívne naraz. Žiadny port nie je blokovaný STP, čím sa eliminuje jeden z najčastejších “bottleneckov”.
  • Nulové alebo minimálne výpadky pri poruche jedného zo switchov
    Linky ostávajú aktívne, traffic pokračuje cez druhý člen vPC.
  • Možnosť aktívneho LACP port-channelu cez dva fyzické switche
    Server alebo iný switch dostane väčšiu priepustnosť s redundantnou architektúrou.
  • Stabilná datacentrová architektúra
    vPC je základom pre spine-leaf topológie a moderné architektúry bez STP.

Čo tým získate v praxi

  • Servery môžu mať dva (alebo viac) uplinkov, každý do iného switcha → no tvoria jeden LACP port-channel.
  • Nedochádza k výpadkom pri poruche jedného switcha.
  • Minimalizujete slučky aj závislosť na STP.
  • Získate horizontálne škálovateľnú architektúru vhodnú pre hypervízorové farmy, storage systémy či HPC.

vPC klaster na dvojici Cisco Nexus (10.1.1.35 a 10.1.1.36)

V nadväznosti na teoretický úvod sa v ďalšej časti článku zameriame na praktickú konfiguráciu vPC v prostredí dvoch Cisco Nexus prepínačov. Postupne si vysvetlíme jednotlivé komponenty vPC architektúry a ukážeme, ako správne navrhnúť aj nakonfigurovať celé riešenie.

V rámci konfigurácie sa budeme venovať týmto oblastiam:

  • vPC peer-link – hlavný synchronizačný kanál medzi Nexus switchmi, cez ktorý sa prenášajú informácie o MAC tabuľkách, LACP stavoch a ďalších štruktúrach potrebných pre súbežnú prevádzku oboch zariadení.
  • vPC keepalive link – link pre detekciu životnosti peer zariadenia. Tento mechanizmus zabezpečuje, aby sa predišlo split-brain scenárom.
  • Kompletná konfigurácia oboch switchov – predstavíme referenčnú konfiguráciu vrátane odporúčaných best practices, vhodnú pre produkčné prostredia.

                           ┌───────────────────────────────────┐
                           │        MANAGEMENT NETWORK         │
                           │     (dedikovaný mgmt switch)      │
                           └───────────────────────────────────┘
                                     ▲               ▲
                                     │               │
                                     │               │
            ┌──────────────────────┐ │               │ ┌──────────────────────┐
            │     Cisco Nexus 1    │ │               │ │     Cisco Nexus 2    │
            │     mgmt: 10.1.1.35  │─┘               └─│     mgmt: 10.1.1.36  │
            └───────────┬──────────┘                   └───────────┬──────────┘
                        │                                          │
                        │                                          │
                        └────────────── vPC KEEPALIVE ─────────────┘
                           (realizované cez Eth1/31 ↔ Eth1/31)

Východiskové nastavenia pre oba switche (použiť na oboch)

Tieto príkazy patria na oba Nexusy, pretože aktivujú potrebné funkcie:

conf t
  feature interface-vlan
  feature lacp
  feature vpc

Konfigurácia Switch 1 (10.1.1.35)

  ! vPC domain – identické číslo na oboch switchoch
  vpc domain 10
    role priority 100
    peer-keepalive destination 10.1.1.36 source 10.1.1.35 vrf management
    auto-recovery
    ip arp synchronize
    peer-gateway
  exit

 interface port-channel1
    description vPC-PEER-LINK to N5K-SW2
    switchport
    switchport mode trunk
    spanning-tree port type network
    vpc peer-link
    no shutdown

 ! === vPC PEER-LINK ===
  interface Ethernet1/31
    description vPC-PEER-LINK to N5K-SW2 Eth1/31
    switchport
    switchport mode trunk
    spanning-tree port type network
    channel-group 1 mode active
    no shutdown

  interface Ethernet1/32
    description vPC-PEER-LINK to N5K-SW2 Eth1/32
    switchport
    switchport mode trunk
    spanning-tree port type network
    channel-group 1 mode active
    no shutdown

Konfigurácia Switch 2 (10.1.1.36)

  ! vPC domain – musí byť rovnaký ako na SW1
  vpc domain 10
    role priority 200
    peer-keepalive destination 10.1.1.35 source 10.1.1.36 vrf management
    auto-recovery
    ip arp synchronize
    peer-gateway
  exit

 interface port-channel1
    description vPC-PEER-LINK to N5K-SW2
    switchport
    switchport mode trunk
    spanning-tree port type network
    vpc peer-link
    no shutdown

 ! === vPC PEER-LINK ===
  interface Ethernet1/31
    description vPC-PEER-LINK to N5K-SW2 Eth1/31
    switchport
    switchport mode trunk
    spanning-tree port type network
    channel-group 1 mode active
    no shutdown

  interface Ethernet1/32
    description vPC-PEER-LINK to N5K-SW2 Eth1/32
    switchport
    switchport mode trunk
    spanning-tree port type network
    channel-group 1 mode active
    no shutdown

Overenie správnej funkcie vPC – kontrolné príkazy a interpretácia výsledkov

Po dokončení konfigurácie vPC je nevyhnutné overiť, že celý klaster pracuje konzistentne a oba switche zdieľajú stavové informácie korektne. Cisco Nexus poskytuje na tento účel množstvo diagnostických príkazov, ktoré viete použiť na potvrdenie správneho nastavenia. V tejto časti si prejdeme najdôležitejšie z nich a ukážeme, čo presne majú administrátori očakávať vo výstupe.

Do textu si následne vložíte vlastné screenshoty výstupov jednotlivých príkazov.

1. Overenie celkového stavu vPC – show vpc

Príkaz slúži na základnú kontrolu stavu vPC domain. Poskytuje informácie o:

  • stave peer-linku,
  • stave vPC keepalive,
  • zelenej / červenej indikácii pre jednotlivé vPC porty,
  • úlohe (role) daného switcha v doméne,
  • zdravotnom stave vPC (operational status).

Do článku vložíte screenshot:

Príklad:

V správne nakonfigurovanom prostredí majú byť kľúčové položky vo výstupe v stave:

  • Peer-link : up
  • Peer-keepalive : alive
  • vPC role : primary/secondary – podľa priority
  • vPC porty : up / synchronized

Ak by boli hodnoty „down“, „not synchronized“ alebo „type inconsistency“, ide o problém, ktorý si vyžaduje zásah.

2. Overenie keepalive komunikácie – show vpc peer-keepalive

vPC keepalive slúži na detekciu životnosti peer zariadenia a zabraňuje split-brain stavu. Tento príkaz zobrazuje:

  • IP adresy používané na keepalive,
  • aktívny stav linky,
  • čas poslednej prijatej správy.

Príklad:

Správny stav:

  • Keepalive interval working normally
  • Destination reachable
  • No packet drops

Ak je stav „not operational“ alebo „destination unreachable“, vPC prejde do degradovaného režimu.

3. Kontrola konzistencie konfigurácie – show vpc consistency-parameters global

Tento príkaz je kritický pre overenie, že oba switche majú kompatibilné nastavenia. Porovnáva:

  • VLAN konfiguráciu
  • STP nastavenia
  • MTU
  • VTP
  • QoS parametre
  • Switchport mód
  • všetky ďalšie atribúty potrebné pre správny chod vPC

Príklad screenshotu:

Dôležitý je výsledok:

  • Consistency status : success

Ak sa objaví:

  • Type-1 inconsistency – vPC sa automaticky zablokuje
  • Type-2 inconsistency – prevádzka môže pokračovať, no stav je nestabilný

4. Stav port-channelov – show port-channel summary

Príkaz slúži na kontrolu:

  • členov LACP port-channelov,
  • stavu jednotlivých liniek,
  • správneho priradenia portov do skupín,
  • či sú porty v aktívnom stave („P“ = bundled, „D“ = down, „I“ = individual).

Tu vložíte screenshot:

Pre peer-link (Port-Channel 100) majú byť oba členy v stave:

  • P (port je agregovaný a aktívny)

Ak je stav „D“ alebo „I“, znamená to chybu LACP, VLAN alebo MTU.

CEO at  | martin.hasin@gmail.com | Website |  + posts

Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk

Proxmox

Leave a Reply

Your email address will not be published. Required fields are marked *

en_US
sk_SK en_US