Впв выключатель: Выключатель путевой взрывозащищенный из алюминия ВПВ-1А купить по выгодной цене

alexxlab | 05.03.1997 | 0 | Разное

Содержание

Выключатель Путевой Взрывозащищенный ВПВ-1А (алюминий)

Назначение

Выключатели путевые взрывозащищенные типа ВПВ-1А предназначены для дистанционного управления электроприводами машин и механизмов:

– в стационарных установках

– на средствах наземного, подземного, морского и воздушного транспорта, где они приводятся в действие управляющими упорами

– для сигнализации, связанной с названными электроприводами, либо другими электротехниче­скими устройствами

Выключатели предназначены для эксплуатации как в угольных и сланцевых шахтах, опасных по газу и пыли, так и во взрывоопасных зонах производств, средств транспорта и хранения продуктов химической, нефтеперерабатывающей, газовой и других отраслей промышленности

Особенности

  • Возможность комплектации выключателя, в дополнение к толкателю, рычагом с роликом, позволяет расширить возможности по его установке в различных по конструкции механизмах.

Конструкция

Взрывонепроницаемая оболочка выключателя состоит из корпуса и крышки. Предотвращение от самоотвинчивания крышки осуществляется стопорным винтом, который после завинчивания крышки частично вывинчивается из корпуса Внутри корпуса установлен блок контактный, обеспе­чивающий коммутацию цепей выключателя Вводное отделение предназначено для подведения гибкого или бронированного кабеля диаметром 8-14 мм. контактные зажимы допускают подсоеди­нение жил кабелей или проводов сечением до 2,5 мм2 .Приводное устройство выполнено в виде толкателя или с рычагом, закрепленным на обойме.

Параметры и свойства
Маркировки взрывозащиты
1ExdIICT6, РВ ExdI
Напряжение
до 660 В
Ток
16 А
Температура эксплуатации
исполнение ХЛ1 от – 60°C до + 40°C

остальные исполнения от – 45°C до + 45°C
Степень защиты
IP65

Выключатель путевой взрывозащищенный ВПВ – 1А – Торговый Дом Горная Автоматика

Общие сведения:
Выключатели путевые взрывозащищенные типа ВПВ-1А предназначены для дистанционного управления электроприводами машин и механизмов в стационарных установках, шахтах, опасных по газу и пыли, а также на средствах наземного,
подземного, морского и воздушного транспорта, где они приводятся в действие управляющими упорами, а также для сигнализации, связанной с названными электроприводами, либо другими электротехническими устройствами.
Выключатели ВПВ-1А предназначены для эксплуатации как в угольных и сланцевых шахтах, опасных по газу и пыли, так и во взрывоопасных зонах производств, средств транспорта и хранения продуктов химической, нефтеперерабатывающей, газовой и других отраслей промышленности.

Условия эксплуатации:
Климатическое исполнение выключателей ВПВ-1А по ГОСТ 15150-69: У1, ХЛ1, ОМ1, У5, Т1, Т5, УХЛ5;
Высота над уровнем моря не более 4300 м;

Температура окружающей среды:

  • от минус 40°С до плюс 40°С для исполнения У1;
  • от минус 60°С до плюс 40°С для исполнения ХЛ1;
  • от минус 30°С до плюс 45°С для исполнения ОМ1;
  • от минус 5°С до плюс 35°С для исполнения У5;
  • от минус 10°С до плюс 45°С для исполнения Т1;
  • от плюс 1°С до плюс 35°С для исполнения Т5;
  • от минус 10°С до плюс 35°С для исполнения УХЛ5.
  • Относительная влажность воздуха до 100% при температуре 35°С с конденсацией влаги;
    Степень защиты выключателей IP54 по ГОСТ 14254-96.
    Выключатели ВПВ-1А предназначены для эксплуатации с маркировкой взрывозащиты:РВ
    ExdI – в подземных помещениях угольных шахт; 1ExdIIСТ6 – во взрывоопасных зонах.

    Конструкция:
    Взрывонепроницаемая оболочка выключателя ВПВ-1А состоит из корпуса и крышки.
    Предотвращение от самоотвинчивания крышки осуществляется винтом, который после завинчивание крышки, вывинчивается из корпуса. Внутри корпуса установлен блок контактный, обеспечивающий коммутацию цепей выключателя. Вводное отделение предназначено для подведения гибкого или бронированного кабеля диаметром 8-14 мм, контактные зажимы допускают подсоединение жил кабелей или проводов сечением до 2,5 мм2.

    Приводное устройство выполнено в виде толкателя или с рычагом, закрепленным на обойме.

    Структура условного обозначения:
    В П В – 1 А Х1 Х2 Х3
    В – Выключатель;
    П – Путевой;
    В – Взрывозащищенный;
    1 – Исполнение по числу контактов: 1р и 1з
    А – Модернизированный;
    Х1 – Исполнение по виду привода: 1-толкатель; 2-рычаг с роликом;
    Х2 – Исполнение по взрывозащите: 1-IExdIIСТ6; 2-РВ ExdI.
    Х3 – Климатическое исполнение и категория размещения по ГОСТ 15150-69

    Выключатель путевой взрывозащищенный из алюминия ВПВ-1А

    Выключатель путевой взрывозащищенный из алюминия cерии ВПВ-1А, 1ExdIIBT6, 1ExdIICT6, PB ExdI

     

    Назначение

    Выключатели путевые взрывозащищенные типа ВПВ-1А предназначены для дистанционного управления электроприводами машин и механизмов:

    • в стационарных установках

    • на средствах наземного, подземного, морского и воздушного транспорта, где они приводятся в действие управляющими упорами

    • для сигнализации, связанной с названными электроприводами, либо другими электротехническими устройствами

    Выключатели предназначены для эксплуатации как в угольных и сланцевцых шахтах, опасных по газу и пыли, так и во взрывоопасных зонах производств, средств транспорта и хранения продуктов химической, нефтеперерабатывающей, газовой и других отраслей промышленности.

    Конструкция

    Взрывонепроницаемая оболочка выключателя состоит из корпуса и крышки. Предотвращение от самоотвинчивания крышки осуществляется стопорным винтом, который после завинчивания крышки частично вывинчивается из корпуса. Внутри корпуса установлен блок контактный, обеспечивающий коммутацию цепей выключателя. Вводное отделение предназначено для подведения гибкого или бронированного кабеля диаметром 8-14 мм. контактные зажимы допускают подсоединение жил кабелей или проводов сечением до 2,5 мм

    2. Приводное устройство выполнено в виде толкателя или с рычагом, закрепленным на обойме.

    Технические данные

    Номинальное напряжениедо 660В
    Максимальный токдо 16А
    Климатическое исполнение и категория размещенияУ1, ХЛ1, ОМ1, У5, Т1, Т5, УХЛ5
    Температура эксплуатацииот минус 60°С до плюс 40°С для исполнения ХЛ1 
    от минус 10°С до плюс 35°С для исполнений УХЛ5, У5, Т5
    от минус 45°С до плюс 45°С для остальных исполнений УХЛ5, У5, Т5
    Уровень пылевлагозащитыIP65

    Комплектность поставки

    В комплект поставки входят:

    • выключатель -1 шт.

    • руководство по эксплуатации -1 экз.

    • паспорт -1 экз.

    Структура условного обозначения

    В П В – 1 А Х1 Х2 Х3

    ВПВ – выключатель путевой взрывозащищенный

    1 – исполнение по числу контактов: 1НР и 1НЗ

    А – модернизированный

    Х1 – исполнение по виду привода:

    1-толкатель;

    2-рычаг с роликом.

    Х2 – исполнение по взрывозащите:

    1-IExdIIСТ6;

    2-РВ ExdI.

    Х3 – климатическое исполнение и категория размещения: У1, ХЛ1, ОМ1, У5, Т1, Т5, УХЛ5 ТУ 16-91 ПИЖЦ.642236.003 ТУ

    Пример обозначения выключателя при его заказе и записи в документации другого изделия:

    для народного хозяйства:

    «ВПВ-1А12У5 ТУ16-91 ПИЖЦ.642236.003ТУ»;

    для поставки на экспорт:

    «ВПВ-А12У5. Экспорт. ТУ16-91 ПИЖЦ.642236.003ТУ»

    Формулирование заказа

    Пример обозначения выключателя при его заказе и записи в документации другого изделия:

    для поставки по России – «ВПВ-1А12У5 ТУ16-91 ПИЖЦ.642236.003ТУ»;

    для поставки на экспорт – «ВПВ-1А12У5. Экспорт. ТУ16-91 ПИЖЦ.642236.003ТУ».

    Габаритные, монтажные и установочные размеры

    Выключатели путевые взрывозащищенные типа ВПВ-1А
    Масса: исполнение с толкателем, не более 0,8 кг; исполнение с роликом, не более 0,9 кг.

    ВПВ-1 Выключатель путевой взрывозащищенный | Маркет

    Описание товара

    Здравствуйте! Вы попали на доску объявлений. Сотрудники Promelectrica.com разместили тут товары, которые Вам могут быть интересны. Информация о наличии по телефону (495)640-04-53

    Подробное описание

    Выключатели путевые взрывозащищенные типа ВПВ-1А предназначены для дистанционного управления электроприводами машин и механизмов в стационарных установках, шахтах, опасных по газу и пыли, а также на средствах наземного, подземного, морского и воздушного транспорта, где они приводятся в действие управляющими упорами, а также для сигнализации, связанной с названными электроприводами, либо другими электротехническими устройствами.

    Выключатели предназначены для эксплуатации как в угольных и сланцевых шахтах, опасных по газу и пыли, так и во взрывоопасных зонах производств, средств транспорта и хранения продуктов химической, нефтеперерабатывающей, газовой и других отраслей промышленности.

    КОНСТРУКЦИЯ

    Взрывонепроницаемая оболочка выключателя состоит из корпуса и крышки. Предотвращение от самоотвинчивания крышки осуществляется винтом, который после завинчивание крышки, вывинчивается из корпуса. Внутри корпуса установлен блок контактный, обеспечивающий коммутацию цепей выключателя. Вводное отделение предназначено для подведения гибкого или бронированного кабеля диаметром 8-14 мм. контактные зажимы допускают подсоединение жил кабелей или проводов сечением до 2,5 мм2.

    Приводное устройство выполнено в виде толкателя или с рычагом, закрепленным на обойме.

    Точную информацию о товарах, ценах и наличии вы можете получить по запросу через электронную почту. Выставленный счет-договор является единственным информационным обязательством, все другие сведения могут содержать неточности. Мы затрачиваем все возможные силы для улучшения сервиса и благодарны тысячам юридических и частных лиц, воспользовавшимся нашими услугами, и сотням постоянных клиентов, которые продолжают с нами работать.

    Каталог:

    • Выключатели, концевики, джойстики
    • Бесконтактные датчики
    • Реле, контакторы, автоматы
    • Маячки, колонны, сирены
    • Приводная техника
    • Разъемы и кабели
    • Трансформаторы, источники питания
    • Энкодеры, муфты
    • Автоматизация и измерение
    • Тиристоры, диоды, предохранители

    Видео «Как добраться»:

    Информация о технических характеристиках, комплекте поставки, стране изготовления, внешнем виде и цвете товара носит справочный характер и основывается на последних доступных к моменту публикации сведениях от продавца.

    Товарное предложение №14962418862 обновлено 5 апреля 2022 г. в 10:57.

    Выключатель путевой взрывозащищенный ВПВ-1А

    Описание товара

    ВПВ-1А-21хл1 выключатель путевой взрывозащищенный. Выключатели путевые взрывозащищенные типа ВПВ-1А предназначены для дистанционного управления электроприводами машин и механизмов в стационарных установках, шахтах, опасных по газу и пыли, а также на средствах наземного, подземного, морского и воздушного транспорта, где они приводятся в действие управляющими упорами, а также для сигнализации, связанной с названными электроприводами, либо другими электротехническими устройствами.

    Подробное описание и технические характеристики

    ВПВ-1А-21хл1 выключатель путевой взрывозащищенный

    Выключатели ВПВ-1А предназначены для эксплуатации как в угольных и сланцевых шахтах, опасных по газу и пыли, так и во взрывоопасных зонах производств, средств транспорта и хранения продуктов химической, нефтеперерабатывающей, газовой и других отраслей промышленности. Условия эксплуатации: Климатическое исполнение выключателей ВПВ-1А по ГОСТ 15150-69: У1, ХЛ1, ОМ1, У5, Т1, Т5, УХЛ5; Высота над уровнем моря не более 4300 м; Температура окружающей среды: от минус 40°С до плюс 40°С для исполнения У1; от минус 60°С до плюс 40°С для исполнения ХЛ1; от минус 30°С до плюс 45°С для исполнения ОМ1; от минус 5°С до плюс 35°С для исполнения У5; от минус 10°С до плюс 45°С для исполнения Т1; от плюс 1°С до плюс 35°С для исполнения Т5; от минус 10°С до плюс 35°С для исполнения УХЛ5. Относительная влажность воздуха до 100% при температуре 35°С с конденсацией влаги; Степень защиты выключателей IP54 по ГОСТ 14254-96. Выключатели ВПВ-1А предназначены для эксплуатации с маркировкой взрывозащиты:РВ ExdI – в подземных помещениях угольных шахт; 1ExdIIСТ6 – во взрывоопасных зонах. Конструкция: Взрывонепроницаемая оболочка выключателя ВПВ-1А состоит из корпуса и крышки. Предотвращение от самоотвинчивания крышки осуществляется винтом, который после завинчивание крышки, вывинчивается из корпуса. Внутри корпуса установлен блок контактный, обеспечивающий коммутацию цепей выключателя. Вводное отделение предназначено для подведения гибкого или бронированного кабеля диаметром 8-14 мм, контактные зажимы допускают подсоединение жил кабелей или проводов сечением до 2,5 мм2. Приводное устройство выполнено в виде толкателя или с рычагом, закрепленным на обойме. Структура условного обозначения В П В – 1 А Х1 Х2 Х3 ВПВ – выключатель путевой взрывозащищенный 1 – исполнение по числу контактов: 1НР и 1НЗ А – модернизированный Х1 – исполнение по виду привода: 1-толкатель; 2-рычаг с роликом. Х2 – исполнение по взрывозащите: 1-IExdIIСТ6; 2-РВ ExdI. Х3 – климатическое исполнение и категория размещения: У1, ХЛ1, ОМ1, У5, Т1, Т5, УХЛ5 ТУ 16-91 ПИЖЦ.642236.003 ТУ

    ВПВ-1А-11 ХЛ1 ВЭЛАН Выключатель путевой взрывозащищенный

    ВПВ-1А-11 ХЛ1 ВЭЛАН Выключатель путевой взрывозащищенный

     

    Выключатели путевые взрывозащищенные типа ВПВ-1А предназначены для дистанционного управления электроприводами машин и механизмов:

    • в стационарных установках;
    • на средствах наземного, подземного, морского и воздушного транспорта, где они приводятся в действие управляющими упорами;
    • для сигнализации, связанной с названными электроприводами, либо другими электротехниче­скими устройствами.

     

    Выключатели предназначены для эксплуатации как в угольных и сланцевых шахтах, опасных по газу и пыли, так и в подземных выработках угольных шахт и рудников, в том числе опасных по газу и (или) угольной пыли, а также их наземных строениях, во взрывоопасных зонах производств, средствах транспорта и хранения продуктов химической, нефтеперерабатывающей, газовой и других отраслей промышленности.

    Возможность комплектации выключателя в дополнение к толкателю рычагом с роликом позволяет расширить возможности по его установке в различных по конструкции механизмах.

    Выключатель путевой взрывозащищенный типа ВПВ-1А состоит из корпуса и крышки, образующих взрывонепроницаемую оболочку, крышка фиксируется стопорным винтом. Внутри корпуса установлен блок контактный взрывозащищенный типа БКВ. Выключатель должен быть укомплектован с одной стороны приводным устройством, с другой вводным устройством для подведения гибкого или бронированного кабеля диаметром от 10 до 14 мм. Приводное устройство выполнено в виде толкателя, рычага с роликом, рычага с гибким или жестким стержнем.

     

    Технические характеристики ВПВ-1А-11 ХЛ1:

    • ВПВ – выключатель путевой взрывозащищенный.
    • Исполнение по числу контактов: 1 – 1р+1з.
    • Исполнение по виду привода: 1 – толкатель.
    • Маркировка взрывозащиты: 1Ex d IIC T6 Gb/Ex tb IIIC T80°C Db.
    • Вид климатического исполнения и категория размещения: ХЛ1.
    • Температура окружающей среды: ХЛ1 – от – 60°C до + 40°C.
    • Степень защиты от внешних воздействий: IР65.
    • Номинальный ток: до 16 А.

    ВПВ-1А 22 У1 Выключатель путевой ВЭЛАН по выгодной цене от КИП-Эксперт

    ВПВ-1А 22 У1 Выключатель путевой ВЭЛАН

     

    Выключатели путевые взрывозащищенные типа ВПВ-1А предназначены для дистанционного управления электроприводами машин и механизмов:

    • в стационарных установках;
    • на средствах наземного, подземного, морского и воздушного транспорта, где они приводятся в действие управляющими упорами;
    • для сигнализации, связанной с названными электроприводами, либо другими электротехниче­скими устройствами.

     

    Выключатели предназначены для эксплуатации как в угольных и сланцевых шахтах, опасных по газу и пыли, так и в подземных выработках угольных шахт и рудников, в том числе опасных по газу и (или) угольной пыли, а также их наземных строениях, во взрывоопасных зонах производств, средствах транспорта и хранения продуктов химической, нефтеперерабатывающей, газовой и других отраслей промышленности.

    Возможность комплектации выключателя в дополнение к толкателю рычагом с роликом позволяет расширить возможности по его установке в различных по конструкции механизмах.

    Выключатель путевой взрывозащищенный типа ВПВ-1А состоит из корпуса и крышки, образующих взрывонепроницаемую оболочку, крышка фиксируется стопорным винтом. Внутри корпуса установлен блок контактный взрывозащищенный типа БКВ. Выключатель должен быть укомплектован с одной стороны приводным устройством, с другой вводным устройством для подведения гибкого или бронированного кабеля диаметром от 10 до 14 мм. Приводное устройство выполнено в виде толкателя, рычага с роликом, рычага с гибким или жестким стержнем.

     

    Технические характеристики ВПВ-1А 22 У1:

    • ВПВ – выключатель путевой взрывозащищенный.
    • Исполнение по числу контактов: 1 – 1р+1з.
    • Исполнение по виду привода: 2 – рычаг с роликом.
    • Маркировка взрывозащиты: РВ Ex d I Мb.
    • Вид климатического исполнения и категория размещения: У1.
    • Температура окружающей среды: У1: от – 40°C до + 40°C.
    • Степень защиты от внешних воздействий: IР65.
    • Номинальный ток: до 16 А.

    Понимание усовершенствований канала виртуального порта (vPC)

    Введение

    В этом документе описываются подробности, связанные с общими улучшениями канала виртуальных портов (vPC), настроенными на коммутаторах Cisco Nexus в домене vPC. Описание цели, реализации, предостережений, конфигурации, потенциального воздействия и вариантов использования каждого усовершенствования подробно описано в этом документе.

    Предпосылки

    Требования

    Cisco рекомендует ознакомиться с основной информацией, связанной с вариантом использования, конфигурацией и реализацией канала виртуального порта (vPC).Дополнительные сведения об этой функции см. в одном из следующих применимых документов:

    .

    Используемые компоненты

    Информация в этом документе была создана с устройств в определенной лабораторной среде. Все устройства, используемые в этом документе, запускались с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

    Справочная информация

    С момента появления операционной системы Cisco NX-OS на коммутаторах центра обработки данных Cisco Nexus функция виртуального канала порта (vPC) претерпела множество усовершенствований, которые повышают надежность устройств, подключенных к vPC, в сценариях сбоев и оптимизируют поведение переадресации обоих одноранговых коммутаторов vPC.Понимание цели каждого усовершенствования, изменения в поведении, которое вводит усовершенствование, и сценариев сбоев, которые устраняет усовершенствование, может помочь вам понять, почему и когда усовершенствование должно быть настроено в домене vPC, чтобы помочь наилучшим образом удовлетворить бизнес-потребности и требования.

    Применимое оборудование

    Процедура, описанная в этом документе, применима ко всем коммутаторам центра обработки данных Cisco Nexus с поддержкой vPC.

    Одноранговый коммутатор vPC

    В этом разделе описывается расширение однорангового коммутатора vPC, которое включается с помощью команды настройки домена peer-switch vPC.

    Обзор

    Во многих средах пара коммутаторов Nexus в домене vPC представляет собой агрегацию или базовые коммутаторы, выступающие в качестве границы между коммутируемыми доменами Ethernet уровня 2 и маршрутизируемыми доменами уровня 3. Оба коммутатора сконфигурированы с несколькими VLAN и отвечают за маршрутизацию трафика между восток-запад между VLAN, а также трафика север-юг. В этих средах коммутаторы Nexus также обычно действуют как корневые мосты с точки зрения протокола связующего дерева.

    Обычно один одноранговый узел vPC настраивается в качестве корневого моста связующего дерева, устанавливая для его приоритета связующего дерева низкое значение, например 0.Другой одноранговый узел vPC настроен с немного более высоким приоритетом связующего дерева, например 4096, что позволяет ему взять на себя роль корневого моста в связующем дереве в случае сбоя однорангового узла vPC, выступающего в качестве корневого моста. В этой конфигурации одноранговый узел vPC, выступающий в качестве корневого моста, создает блоки данных протокола моста связующего дерева (BPDU) с идентификатором моста, содержащим его системный MAC-адрес.

    Однако, если одноранговый узел vPC, выступающий в качестве корневого моста, выйдет из строя и приведет к тому, что другой одноранговый узел vPC станет корневым мостом связующего дерева, другой одноранговый узел vPC создаст BPDU связующего дерева с идентификатором моста, содержащим его системный MAC-адрес, который отличается от системного MAC-адреса исходного корневого моста.В зависимости от того, как соединены нижестоящие мосты, влияние этого изменения будет различным и описано в следующих подразделах.

    Мосты без vPC с избыточным подключением

    Мосты, не подключенные к vPC, которые подключены к обоим одноранговым узлам vPC с избыточными ссылками (например, одна ссылка находится в состоянии блокировки с точки зрения протокола связующего дерева), которые обнаруживают изменение в BPDU (и, следовательно, изменение в корневом мост) будет наблюдать изменение корневого порта. Другие назначенные интерфейсы пересылки немедленно перейдут в состояние блокировки, а затем пройдут через конечный автомат протокола связующего дерева (блокировка, обучение и переадресация) с паузами между ними, эквивалентными настроенному таймеру задержки пересылки протокола связующего дерева (15 секунд по умолчанию).

    Изменение корневого порта и последующий обход конечного автомата протокола Spanning Tree Protocol может привести к значительному нарушению работы сети. Усовершенствование vPC Peer Switch было введено в первую очередь для предотвращения нарушения работы сети, вызванного этой проблемой, если один из одноранговых узлов vPC отключится. С улучшением vPC Peer Switch мост, не подключенный к vPC, по-прежнему будет иметь один резервный канал, который находится в состоянии блокировки, но немедленно переведет этот интерфейс в состояние пересылки, если существующий корневой порт выйдет из строя из-за сбоя канала.Тот же процесс произойдет, когда оффлайновый одноранговый узел vPC вернется в оперативный режим — интерфейс с наименьшей стоимостью для корневого моста возьмет на себя роль корневого порта, а избыточный канал немедленно перейдет в состояние блокировки. Единственное влияние уровня данных, которое будет наблюдаться, — это неизбежная потеря пакетов в пути, которые проходили через одноранговый узел vPC, когда он отключался.

    Мосты, подключенные к vPC
    Мосты

    , подключенные к vPC в домене Spanning Tree, обнаружат изменение в BPDU (и, следовательно, изменение в корневом мосте) и удалят динамически полученные MAC-адреса из своих локальных таблиц MAC-адресов.Такое поведение является неэффективным и ненужным в топологиях с устройствами, подключенными к vPC, которые не зависят от протокола связующего дерева для топологии без петель. vPC рассматриваются как единый логический интерфейс с точки зрения протокола Spanning Tree Protocol, как и обычные порты-каналы, поэтому потеря однорангового узла vPC аналогична потере одного канала внутри элемента порта-канала. В любом случае связующее дерево не изменяется, поэтому сброс динамически запомненных MAC-адресов с мостов в домене связующего дерева (цель которого состоит в том, чтобы позволить алгоритму Ethernet «лавинная рассылка и обучение» повторно запоминать MAC-адреса на новых -forwarding интерфейсы связующего дерева) не требуется.

    Кроме того, сброс динамически изученных MAC-адресов потенциально может быть разрушительным. Рассмотрим сценарий, в котором два хоста имеют преимущественно однонаправленный поток на основе UDP (например, клиент TFTP отправляет данные на сервер TFTP). В этом потоке данные в основном передаются от клиента TFTP к серверу TFTP — сервер TFTP редко отправляет пакет обратно клиенту TFTP. В результате после сброса динамически изученных MAC-адресов в домене связующего дерева MAC-адрес TFTP-сервера не будет изучен в течение некоторого времени.Это будет означать, что данные клиента TFTP, отправляемые на сервер TFTP, будут рассылаться по всей VLAN, поскольку трафик является неизвестным одноадресным трафиком. Это может привести к тому, что большие потоки данных будут перемещаться в непредусмотренные места в сети, а также могут вызвать проблемы с производительностью, если они проходят через участки сети с избыточной подпиской.

    Усовершенствование однорангового коммутатора vPC было введено для предотвращения этого неэффективного и ненужного поведения в случае перезагрузки или отключения однорангового узла vPC, выступающего в качестве корневого моста связующего дерева для одной или нескольких сетей VLAN.

    Чтобы включить расширение однорангового коммутатора vPC, оба одноранговых узла vPC должны иметь идентичную конфигурацию протокола связующего дерева (включая значения приоритета связующего дерева для всех виртуальных локальных сетей vPC) и быть корневым мостом по крайней мере для одной виртуальной локальной сети vPC. После выполнения этих предварительных условий необходимо настроить команду конфигурации домена peer-switch vPC, чтобы включить расширение однорангового коммутатора vPC.

    Примечание . Включение расширения однорангового коммутатора vPC в домене vPC, где ни один из одноранговых коммутаторов vPC не является корневым мостом протокола связующего дерева для одной или нескольких виртуальных локальных сетей vPC, не рекомендуется.Включать расширение однорангового коммутатора vPC следует только в том случае, если один (или оба) одноранговых коммутатора vPC являются корневым мостом протокола связующего дерева для одной или нескольких виртуальных локальных сетей vPC.

    После включения расширения однорангового коммутатора vPC оба одноранговых узла vPC начнут создавать идентичные BPDU связующего дерева с идентификатором моста, содержащим системный MAC-адрес vPC, который используется обоими одноранговыми узлами vPC. Если одноранговый узел vPC перезагружается, BPDU связующего дерева, созданный оставшимся одноранговым узлом vPC, не изменится, поэтому другие мосты в домене связующего дерева не увидят никаких изменений в корневом мосте и не будут оптимально реагировать на изменение в сеть.

    Предостережения

    Улучшение однорангового коммутатора vPC имеет некоторые предостережения, о которых вы должны знать, прежде чем настраивать его в производственной среде.

    Значения приоритета связующего дерева должны совпадать между одноранговыми узлами vPC

    Перед включением расширения однорангового коммутатора vPC необходимо изменить конфигурацию приоритета связующего дерева для всех виртуальных локальных сетей vPC, чтобы она была одинаковой для обоих одноранговых узлов vPC.

    Рассмотрим конфигурацию здесь, где N9K-1 настроен в качестве корневого моста Spanning Tree для VLAN 1, 10 и 20 с приоритетом 0.N9K-2 — вторичный корневой мост связующего дерева для сетей VLAN 1, 10 и 20 с приоритетом 4096.

     N9K-1#  показать связующее дерево текущей конфигурации
      связующее дерево vlan 1,10,20 приоритет 0
    интерфейс порт-канал1
      сеть типа порта связующего дерева
    
    N9K-2 #  показать связующее дерево текущей конфигурации
      spanning-tree vlan 1,10,20 приоритет 4096
    интерфейс порт-канал1
      сеть типа порта связующего дерева 

    Перед включением расширения однорангового коммутатора vPC необходимо изменить конфигурацию приоритета связующего дерева для VLAN 1, 10 и 20 на N9K-2, чтобы она соответствовала конфигурации приоритета связующего дерева для тех же VLAN на N9K-1.Пример этой модификации показан здесь.

     N9K-2#  настроить терминал
      Введите команды конфигурации, по одной в строке. Конец с CNTL/Z.
    N9K-2(config)#  spanning-tree vlan 1,10,20 приоритет 0
      N9K-2(config)#  конец
      N9K-2 #  показать связующее дерево текущей конфигурации 
    связующее дерево vlan 1,10,20 приоритет 0
    интерфейс порт-канал1
      сеть типа порта связующего дерева
    
    N9K-1 #  показать связующее дерево текущей конфигурации 
    связующее дерево vlan 1,10,20 приоритет 0
    интерфейс порт-канал1
      сеть типа порта связующего дерева 
    Одноранговый коммутатор vPC влияет на VLAN, отличные от vPC

    Рассмотрим топологию здесь:

    В этой топологии два одноранговых узла vPC (N9K-1 и N9K-2) имеют между собой две магистрали уровня 2 — Po1 и Po2.Po1 — это vPC Peer-Link, по которому проходят VLAN vPC, а Po2 — это магистраль уровня 2, по которой проходят все VLAN, отличные от vPC. Если значения приоритета связующего дерева для не-vPC VLAN, передаваемых через Po2, идентичны на N9K-1 и N9K-2, то каждый одноранговый узел vPC начнет создавать кадры BPDU связующего дерева, полученные с системного MAC-адреса vPC, который идентичен на обоих переключатели. В результате N9K-1 будет получать свой собственный BPDU Spanning Tree на Po2 для каждой VLAN, отличной от vPC, даже несмотря на то, что N9K-2 является коммутатором, создавшим BPDU Spanning Tree.С точки зрения Spanning Tree N9K-1 переведет Po2 в состояние блокировки для всех VLAN, отличных от vPC.

    Это ожидаемое поведение. Чтобы предотвратить такое поведение или обойти эту проблему, оба одноранговых узла vPC должны быть настроены с разными значениями приоритета связующего дерева во всех VLAN, отличных от vPC. Это позволит одному узлу vPC стать корневым мостом для VLAN, отличной от vPC, и перевести магистраль уровня 2 между узлами vPC в состояние назначенной переадресации. Точно так же удаленный одноранговый узел vPC переводит транк уровня 2 между одноранговыми узлами vPC в состояние «Назначенный корневой узел».Это позволит трафику в сетях VLAN, отличных от vPC, проходить через оба одноранговых узла vPC через магистраль уровня 2.

    Конфигурация

    Пример настройки функции однорангового коммутатора vPC можно найти здесь.

    В этом примере N9K-1 настроен в качестве корневого моста связующего дерева для сетей VLAN 1, 10 и 20 с приоритетом 0. N9K-2 является вторичным корневым мостом связующего дерева для сетей VLAN 1, 10 и 20 с приоритет 4096.

     N9K-1#  показать текущую конфигурацию vpc 
    <фрагмент>
    vpc-домен 1
      приоритет роли 150
      одноранговый пункт назначения для поддержания активности 10.122.190.196
    
    интерфейс порт-канал1
      одноранговая связь vpc
    
    N9K-2#  показать текущую конфигурацию vpc 
    <фрагмент>
    vpc-домен 1
      одноранговый пункт назначения для поддержания активности 10.122.190.195
    
    интерфейс порт-канал1
      одноранговая связь vpc
    
    N9K-1 #  показать связующее дерево текущей конфигурации 
    связующее дерево vlan 1,10,20 приоритет 0
    интерфейс порт-канал1
      сеть типа порта связующего дерева
    
    N9K-2 #  показать связующее дерево текущей конфигурации 
    связующее дерево vlan 1,10,20 приоритет 4096
    интерфейс порт-канал1
      сеть типа порта связующего дерева
     

    Во-первых, конфигурация приоритета связующего дерева N9K-2 должна быть изменена, чтобы она была идентична конфигурации N9K-1.Это необходимо для того, чтобы функция однорангового коммутатора vPC работала должным образом. Если системный MAC-адрес N9K-2 ниже системного MAC-адреса N9K-1, то N9K-2 узурпирует роль корневого моста для домена связующего дерева, что заставит другие мосты в домене связующего дерева сбросить свои локальные MAC-адреса. таблицы для всех затронутых VLAN. Пример этого явления показан здесь.

     N9K-1#  показать vlan связующего дерева 1 
    
    VLAN0001
      Протокол rstp с включенным связующим деревом
      Корневой ID Приоритет 1
                 Адрес 689е.0baa.dea7
                 Этот мост является корнем
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
      Приоритет идентификатора моста 1 (приоритет 0 sys-id-ext 1)
                 Адрес 689e.0baa.dea7
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
    Интерфейс Роль Sts Cost Prio.Nbr Type
    ---------------- ---- --- --------- -------- ---------- ----------------------
    Po1 Desg FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
    Po10 Desg FWD 1 128.4105 (ВПК) P2P
    Po20 Desg FWD 1 128.4115 (vPC) P2p
    
    N9K-2#  показать vlan связующего дерева 1 
    
    VLAN0001
      Протокол rstp с включенным связующим деревом
      Корневой ID Приоритет 1
                 Адрес 689e.0baa.dea7
                 Стоимость 1
                 Порт 4096 (порт-канал1)
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
      Приоритет идентификатора моста 4097 (приоритет 4096 sys-id-ext 1)
                 Адрес 689e.0baa.de07
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
    Интерфейс Роль Sts Стоимость Приор.Тип номера
    ---------------- ---- --- --------- -------- ---------- ----------------------
    Po1 Root FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
    Po10 Desg FWD 1 128.4105 (vPC) P2p
    Po20 Desg FWD 1 128.4115 (vPC) P2p
    
    N9K-2#  настроить терминал 
    Введите команды конфигурации, по одной в строке. Конец с CNTL/Z.
    N9K-2(config)#  spanning-tree vlan 1,10,20 приоритет 0 
    N9K-2(конфигурация)#  конец 
    N9K-2#  показать vlan связующего дерева 1 
    
    VLAN0001
      Протокол rstp с включенным связующим деревом
      Корневой ID Приоритет 1
                 Адрес 689е.0baa.de07
                 Этот мост является корнем
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
      Приоритет идентификатора моста 1 (приоритет 0 sys-id-ext 1)
                 Адрес 689e.0baa.de07
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
    Интерфейс Роль Sts Cost Prio.Nbr Type
    ---------------- ---- --- --------- -------- ---------- ----------------------
    Po1 Desg FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
    Po10 Desg FWD 1 128.4105 (ВПК) P2P
    Po20 Desg FWD 1 128.4115 (vPC) P2p
     

    Затем мы можем включить функцию однорангового коммутатора vPC с помощью команды конфигурации домена peer-switch vPC. Это изменит идентификатор моста в BPDU Spanning Tree, созданных обоими одноранговыми узлами vPC, что приведет к тому, что другие мосты в домене Spanning Tree очистят свои локальные таблицы MAC-адресов для всех затронутых VLAN.

     N9K-1#  настроить терминал 
    N9K-1(config)#  vpc домен 1 
    N9K-1(config-vpc-domain)#  одноранговый коммутатор 
    N9K-1(config-vpc-домен)#  конец 
    Н9К-1#
    
    N9K-2#  настроить терминал 
    N9K-2(config)#  vpc домен 1 
    N9K-2(config-vpc-domain)#  одноранговый коммутатор 
    N9K-2(config-vpc-домен)#  конец 
    Н9К-2#
     

    Вы можете убедиться, что функция однорангового коммутатора vPC работает должным образом, подтвердив, что оба одноранговых узла vPC являются корневыми мостами для VLAN vPC с помощью команды show spanning-tree summary .В этом выводе также должно быть указано, что функция однорангового коммутатора vPC включена и работает.

     N9K-1#  показать сводку связующего дерева 
    Коммутатор находится в режиме быстрого PVS
    Корневой мост для: VLAN0001, VLAN0010, VLAN0020
    STP шлюза L2 отключен
    Тип порта По умолчанию отключен
    Пограничный порт [PortFast] Защита BPDU по умолчанию отключена
    Пограничный порт [PortFast] Фильтр BPDU по умолчанию отключен
    Проверка моста включена
    Loopguard по умолчанию отключен
    Используемый метод Pathcost короткий
    Пиринговый коммутатор vPC включен (работает)
    STP-Lite отключен
    
    Имя Блокирование Прослушивание Обучение Пересылка STP Активен
    ---------------------- -------- --------- -------- --- ------- ----------
    VLAN0001 0 0 0 3 3
    VLAN0010 0 0 0 3 3
    VLAN0020 0 0 0 3 3
    ---------------------- -------- --------- -------- --- ------- ----------
    3 влана 0 0 0 9 9
    
    N9K-2#  показать сводку связующего дерева 
    Коммутатор находится в режиме быстрого PVS
    Корневой мост для: VLAN0001, VLAN0010, VLAN0020
    STP шлюза L2 отключен
    Тип порта По умолчанию отключен
    Пограничный порт [PortFast] Защита BPDU по умолчанию отключена
    Пограничный порт [PortFast] Фильтр BPDU по умолчанию отключен
    Проверка моста включена
    Loopguard по умолчанию отключен
    Используемый метод Pathcost короткий
    Пиринговый коммутатор vPC включен (работает)
    STP-Lite отключен
    
    Имя Блокирование Прослушивание Обучение Пересылка STP Активен
    ---------------------- -------- --------- -------- --- ------- ----------
    VLAN0001 0 0 0 3 3
    VLAN0010 0 0 0 3 3
    VLAN0020 0 0 0 3 3
    ---------------------- -------- --------- -------- --- ------- ----------
    3 влана 0 0 0 9 9
     

    Используйте команду show spanning-tree vlan {x} для просмотра более подробной информации о конкретной VLAN.Коммутатор с ролью Primary или Operational Primary vPC будет иметь все свои интерфейсы в состоянии Designated Forwarding. Коммутатор с ролью Secondary или Operational Secondary vPC будет иметь все свои интерфейсы в состоянии Designated Forwarding, за исключением vPC Peer-Link, который будет находиться в состоянии Root Forwarding. Обратите внимание, что MAC-адрес системы vPC, отображаемый в выходных данных show vpc role , идентичен идентификатору корневого моста и идентификатору моста каждого однорангового узла vPC.

     N9K-1#  показать роль vpc 
    
    Статус роли vPC
    -------------------------------------------------- --
    Роль vPC: основная
    Статус двойного активного обнаружения: 0
    система vPC-mac: 00:23:04:ee:be:01
    системный приоритет vPC: 32667
    локальная система vPC-mac: 68:9e:0b:aa:de:a7
    приоритет локальной роли vPC: 150
    Приоритет роли локальной конфигурации vPC: 150
    одноранговая система vPC-mac: 68:9e:0b:aa:de:07
    приоритет роли однорангового узла vPC: 32667
    Приоритет роли конфигурации однорангового узла vPC: 32667
    
    N9K-1 #  показать vlan связующего дерева 1 
    
    VLAN0001
      Протокол rstp с включенным связующим деревом
      Корневой ID Приоритет 1
                 Адрес 0023.04ee.be01
                 Этот мост является корнем
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
      Приоритет идентификатора моста 1 (приоритет 0 sys-id-ext 1)
                 Адрес 0023.04ee.be01
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
    Интерфейс Роль Sts Cost Prio.Nbr Type
    ---------------- ---- --- --------- -------- ---------- ----------------------
    Po1 Desg FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
    Po10 Desg FWD 1 128.4105 (ВПК) P2P
    Po20 Desg FWD 1 128.4115 (vPC) P2p
    
    N9K-2#  показать роль vpc 
    
    Статус роли vPC
    -------------------------------------------------- --
    Роль vPC: вторичная
    Статус двойного активного обнаружения: 0
    система vPC-mac: 00:23:04:ee:be:01
    системный приоритет vPC: 32667
    локальная система vPC-mac: 68:9e:0b:aa:de:07
    локальный приоритет роли vPC: 32667
    Приоритет роли локальной конфигурации vPC: 32667
    одноранговая система vPC-mac: 68:9e:0b:aa:de:a7
    приоритет роли однорангового узла vPC: 150
    Приоритет роли конфигурации однорангового узла vPC: 150
    
    N9K-2#  показать vlan связующего дерева 1 
    
    VLAN0001
      Протокол rstp с включенным связующим деревом
      Корневой ID Приоритет 1
                 Адрес 0023.04ee.be01
                 Этот мост является корнем
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
      Приоритет идентификатора моста 1 (приоритет 0 sys-id-ext 1)
                 Адрес 0023.04ee.be01
                 Время приветствия 2 с Макс. возраст 20 с Задержка пересылки 15 с
    
    Интерфейс Роль Sts Cost Prio.Nbr Type
    ---------------- ---- --- --------- -------- ---------- ----------------------
    Po1 Root FWD 1 128.4096 (одноранговая связь vPC) Сеть P2p
    Po10 Desg FWD 1 128.4105 (ВПК) P2P
    Po20 Desg FWD 1 128.4115 (vPC) P2p
     

    Наконец, мы можем использовать утилиту захвата пакетов плоскости управления Ethanalyzer на любом узле vPC, чтобы убедиться, что оба узла vPC создают BPDU связующего дерева с идентификатором моста и идентификатором корневого моста, содержащим системный MAC-адрес vPC, общий для обоих узлов vPC.

     N9K-1#  локальный интерфейс ethanalyzer внутриполосный дисплей-фильтр stp limit-captured-frames 0 
    <фрагмент>
    Захват внутри полосы
    2021-05-13 01:59:51.664206 68:9e:0b:aa:de:d4 -> 01:80:c2:00:00:00 STP RST. Корень = 01.00.00:23:04:ee:be:01 Стоимость = 0 Порт = 0x9000
    
    N9K-2#  локальный интерфейс эталонизатора внутриполосный дисплей-фильтр stp limit-captured-frames 0 
    <фрагмент>
    Захват внутри полосы
    2021-05-13 01:59:51.777034 68:9e:0b:aa:de:34 -> 01:80:c2:00:00:00 STP RST. Корень = 01.00.00:23:04:ee:be:01 Стоимость = 0 Порт = 0x9000
     

    Воздействие

    Влияние включения расширения однорангового коммутатора vPC зависит от окружающей топологии.В частности, это будет зависеть от того, подключены ли другие мосты в домене Spanning Tree к обоим одноранговым узлам vPC через vPC или они избыточно подключены к обоим одноранговым узлам vPC без vPC.

    Мосты без vPC с избыточным подключением

    Если мост, не подключенный к vPC, с избыточными ссылками на оба одноранговых узла vPC (например, одна ссылка находится в состоянии блокировки с точки зрения протокола связующего дерева) обнаруживает изменение в корневом мосте связующего дерева, объявленном в BPDU связующего дерева, корневой мост Порт моста может измениться между двумя резервными интерфейсами.В свою очередь, это может привести к тому, что другие интерфейсы назначенной пересылки немедленно перейдут в состояние блокировки, а затем пройдут через конечный автомат протокола связующего дерева (блокировка, обучение и пересылка) с паузами между ними, эквивалентными настроенному таймеру задержки пересылки протокола связующего дерева ( 15 секунд по умолчанию). Изменение корневого порта и последующий обход конечного автомата протокола Spanning Tree Protocol может привести к значительному нарушению работы сети.

    Стоит отметить, что описанное выше воздействие будет происходить всякий раз, когда одноранговый узел vPC, который в настоящее время является корневым мостом для домена связующего дерева, отключается (например, в случае сбоя питания, сбоя оборудования или перезагрузки).Это поведение не относится к расширению однорангового коммутатора vPC — включение расширения однорангового коммутатора vPC просто вызывает поведение, аналогичное отключению однорангового узла vPC с точки зрения связующего дерева.

    Мосты, подключенные к vPC

    Если мост, подключенный к vPC, обнаружит изменение в корневом мосте связующего дерева, объявленном в BPDU связующего дерева, мост удалит динамически полученные MAC-адреса из своей таблицы MAC-адресов. При настройке функции однорангового коммутатора vPC такое поведение будет наблюдаться в следующих двух сценариях:

    .
    1. Если значения приоритета Spanning Tree настроены так, чтобы совпадать между обоими одноранговыми узлами vPC, корневой мост Spanning Tree может измениться с одного однорангового узла vPC на другой, если одноранговый узел vPC, который ранее не был корневым мостом, имеет более низкий системный MAC-адрес, чем одноранговый узел vPC ранее это был корневой мост.Пример этого сценария показан в разделе Конфигурация однорангового коммутатора vPC этого документа.
    2. Когда функция коммутатора одноранговых узлов vPC включена с помощью команды конфигурации домена peer-switch vPC, оба одноранговых узла vPC начнут работать как корневые мосты домена связующего дерева. Оба одноранговых узла vPC начнут создавать идентичные BPDU Spanning Tree, утверждая, что они являются корневым мостом домена Spanning Tree.

    В большинстве сценариев и топологий влияние плоскости данных не наблюдается в результате любого из двух описанных выше сценариев.Однако в течение короткого периода времени трафик уровня данных будет лавинно перемещаться внутри VLAN из-за неизвестной лавинной рассылки одноадресных сообщений, поскольку MAC-адрес назначения кадров не будет получен ни на одном коммутаторном порту как прямой результат сброса динамически изученного MAC-адреса. адреса. В некоторых топологиях это может вызвать кратковременные проблемы с производительностью или потерю пакетов, если трафик плоскости данных перенаправляется на сетевые устройства с превышением лимита подписки в VLAN. Это также может вызвать проблемы с однонаправленными потоками трафика, интенсивно использующими полосу пропускания, или с молчаливыми хостами (узлами, которые в основном получают пакеты и редко отправляют пакеты), поскольку этот трафик будет лавинно перемещаться внутри VLAN в течение длительного периода времени вместо того, чтобы переключаться непосредственно на пункт назначения. хозяин как обычно.

    Стоит отметить, что вышеописанное воздействие связано со сбросом динамически изученных MAC-адресов из таблицы MAC-адресов мостов в затронутой VLAN. Это поведение не относится к расширению однорангового коммутатора vPC или изменению корневого моста — оно также может быть вызвано уведомлением об изменении топологии, созданным из-за того, что в VLAN появляется неграничный порт.

    Примеры сценариев отказа

    Мосты без vPC с избыточным подключением перезапускают конечный автомат

    Рассмотрим топологию здесь:

    В этой топологии N9K-1 и N9K-2 являются узлами vPC в домене vPC.N9K-1 настроен со значением приоритета связующего дерева 0 для всех VLAN, что делает N9K-1 корневым мостом для всех VLAN. N9K-2 настроен со значением приоритета связующего дерева 4096 для всех VLAN, что делает N9K-2 вторичным корневым мостом для всех VLAN. Access-1 — это коммутатор, который резервно подключен как к N9K-1, так и к N9K-2 через коммутаторные порты уровня 2. Эти порты коммутатора не объединены в порт-канал, поэтому протокол связующего дерева помещает канал, подключенный к N9K-1, в состояние «Назначенный корень», а канал, подключенный к N9K-2, — в состояние альтернативной блокировки.

    Рассмотрим сценарий сбоя, когда N9K-1 отключается из-за аппаратного сбоя, сбоя питания или перезагрузки коммутатора. N9K-2 будет выступать в качестве корневого моста для всех VLAN, объявляя BPDU связующего дерева, используя свой системный MAC-адрес в качестве идентификатора моста. Access-1 увидит изменение ID корневого моста. Кроме того, назначенный корневой порт перейдет в состояние down/down, что означает, что новый назначенный корневой порт будет каналом, который находился в состоянии альтернативной блокировки перед N9K-2.

    Это изменение в назначенных корневых портах приведет к тому, что все неграничные порты связующего дерева будут проходить через конечный автомат протокола связующего дерева (блокировка, обучение и пересылка) с паузами между ними, эквивалентными настроенному таймеру задержки пересылки протокола связующего дерева (15 секунд по умолчанию). Этот процесс может быть чрезвычайно разрушительным для сети.

    В одном и том же сценарии сбоя с включенным расширением однорангового коммутатора vPC и N9K-1, и N9K-2 будут передавать идентичные BPDU связующего дерева, используя общий системный MAC-адрес vPC в качестве идентификатора моста.Если N9k-1 выйдет из строя, N9K-2 продолжит передачу того же BPDU связующего дерева. В результате Access-1 немедленно переведет канал альтернативной блокировки к N9K-2 в состояние «назначенный корень» и начнет пересылать трафик по каналу. Кроме того, тот факт, что идентификатор корневого моста Spanning Tree не изменяется, не позволяет неграничным портам проходить через конечный автомат Spanning Tree Protocol, что снижает количество нарушений, наблюдаемых в сети.

    Мосты, подключенные к vPC, сбрасывают динамически изученные MAC-адреса

    Рассмотрим топологию здесь:

    В этой топологии N9K-1 и N9K-2 являются одноранговыми узлами vPC в домене vPC, которые выполняют маршрутизацию между VLAN 10 и VLAN 20.N9K-1 настроен со значением приоритета связующего дерева 0 для VLAN 10 и VLAN 20, что делает N9K-1 корневым мостом для обеих VLAN. N9K-2 настроен со значением приоритета связующего дерева 4096 для VLAN 10 и VLAN 20, что делает N9K-2 вторичным корневым мостом для обеих VLAN. Хост-1, Хост-2, Хост-3 и Хост-4 постоянно общаются друг с другом.

    Рассмотрим сценарий сбоя, когда N9K-1 отключается из-за аппаратного сбоя, сбоя питания или перезагрузки коммутатора. N9K-2 будет выступать в качестве корневого моста для VLAN 10 и VLAN 20, рекламируя BPDU связующего дерева, используя свой системный MAC-адрес в качестве идентификатора моста.Access-1 и Access-2 увидят изменение в идентификаторе корневого моста, и хотя связующее дерево останется прежним (это означает, что vPC, обращенный к N9K-1 и N9K-2, остается назначенным корневым портом), как Access-1, так и Access -2 очистит их MAC-адреса от всех динамически изученных MAC-адресов в VLAN 10 и VLAN 20.

    В большинстве сред очистка динамически изученных MAC-адресов оказывает минимальное влияние. Никакие пакеты не теряются (за исключением тех, которые были потеряны, поскольку они были переданы на N9K-1, когда он вышел из строя), но трафик временно пересылается в пределах каждого широковещательного домена как неизвестный одноадресный трафик, в то время как все коммутаторы в широковещательном домене повторно изучают динамические MAC-адреса.

    В одном и том же сценарии отказа с включенным расширением однорангового коммутатора vPC и N9K-1, и N9K-2 будут передавать идентичные BPDU связующего дерева, используя общий системный MAC-адрес vPC в качестве идентификатора моста. Если N9k-1 выйдет из строя, N9K-2 продолжит передачу того же BPDU связующего дерева. В результате Access-1 и Access-2 не будут знать о каких-либо изменениях в топологии связующего дерева — с их точки зрения, BPDU связующего дерева корневого моста идентичны, поэтому нет необходимости сбрасывать динамически изученный MAC-адрес. адреса из соответствующих VLAN.Это предотвращает лавинную рассылку неизвестного одноадресного трафика в каждом широковещательном домене в этом сценарии сбоя.

    Одноранговый шлюз vPC

    В этом разделе описывается расширение однорангового шлюза vPC, которое включается с помощью команды конфигурации домена peer-gateway vPC.

    Обзор

    Коммутаторы Nexus

    , настроенные в домене vPC, по умолчанию выполняют переадресацию по протоколу FHRP с двойной активностью. Это означает, что если какой-либо одноранговый узел vPC получает пакет с MAC-адресом назначения, принадлежащим к группе протокола горячего резервирования маршрутизатора (HSRP) или протокола резервирования виртуального маршрутизатора (VRRP), настроенной на коммутаторе, коммутатор направит пакет в соответствии со своей локальной маршрутизацией. независимо от состояния плоскости управления HSRP или VRRP.Другими словами, одноранговый узел vPC в состоянии ожидания HSRP или резервном режиме VRRP должен маршрутизировать пакеты, предназначенные для виртуального MAC-адреса HSRP или VRRP.

    Когда одноранговый узел vPC направляет пакет, предназначенный для виртуального MAC-адреса FHRP, он перезаписывает пакет с новым MAC-адресом источника и получателя. MAC-адрес источника будет MAC-адресом коммутируемого виртуального интерфейса (SVI) узла vPC в сети VLAN, в которую направляется пакет. MAC-адрес назначения будет MAC-адресом, связанным с IP-адресом следующего перехода для IP-адреса назначения пакета в соответствии с локальной таблицей маршрутизации узла vPC.В сценариях маршрутизации между VLAN MAC-адрес назначения пакета после того, как пакет был перезаписан, будет MAC-адресом хоста, которому в конечном итоге предназначен пакет.

    Некоторые хосты не следуют стандартному поведению переадресации в качестве функции оптимизации. При таком поведении хост не выполняет поиск таблицы маршрутизации и/или кэша ARP при ответе на входящий пакет. Вместо этого хост меняет местами MAC-адреса источника и получателя входящего пакета для ответного пакета.Другими словами, MAC-адрес источника входящего пакета становится MAC-адресом получателя ответного пакета, а MAC-адрес получателя входящего пакета становится MAC-адресом источника ответного пакета. Это поведение отличается от хоста, который следует стандартному поведению пересылки, который будет выполнять поиск в локальной таблице маршрутизации и/или кэше ARP и устанавливать MAC-адрес получателя ответного пакета на виртуальный MAC-адрес FHRP.

    Это нестандартное поведение хоста может нарушить правило предотвращения петель vPC, если ответный пакет, сгенерированный хостом, адресован одному узлу vPC, но выходит из vPC к другому узлу vPC.Другой одноранговый узел vPC получит пакет, предназначенный для MAC-адреса, принадлежащего его одноранговому узлу vPC, и перешлет пакет из однорангового соединения vPC к одноранговому узлу vPC, которому принадлежит MAC-адрес, присутствующий в поле MAC-адреса назначения пакета. Узел vPC, которому принадлежит MAC-адрес, попытается направить пакет локально. Если пакету необходимо выйти из vPC, одноранговый узел vPC отбросит этот пакет за нарушение правила предотвращения петель vPC. В результате вы можете наблюдать проблемы с подключением или потерю пакетов для некоторых потоков, исходящих от или предназначенных для хоста, использующих это нестандартное поведение.

    Улучшение vPC Peer Gateway было введено для устранения потери пакетов, вызванной хостами, использующими это нестандартное поведение. Это делается путем разрешения одному узлу vPC локально маршрутизировать пакеты, предназначенные для MAC-адреса другого узла vPC, таким образом, чтобы пакеты, предназначенные для удаленного узла vPC, не нуждались в выходе из узла vPC Peer-Link для маршрутизации. Другими словами, усовершенствование vPC Peer Gateway позволяет одному узлу vPC маршрутизировать пакеты «от имени» удаленного узла vPC. Улучшение однорангового шлюза vPC можно включить с помощью команды конфигурации домена peer-gateway vPC.

    Предостережения

    Переключение смежности протокола одноадресной маршрутизации по vPC или vPC VLAN

    Если между двумя одноранговыми узлами vPC и маршрутизатором, подключенным к vPC, или маршрутизатором, подключенным через потерянный порт vPC, формируются смежности протокола маршрутизации динамической одноадресной рассылки, смежности протокола маршрутизации могут начать постоянно меняться после включения расширения однорангового шлюза vPC, если маршрутизация/уровень 3 улучшение над vPC не настраивается сразу после этого. Эти сценарии сбоя подробно описаны в разделах Смежность протокола маршрутизации одноадресной рассылки через vPC с одноранговым шлюзом vPC Пример сценария сбоя и Смежность протокола маршрутизации одноадресной рассылки через VLAN vPC с одноранговым шлюзом vPC этого документа.

    Чтобы решить эту проблему, включите расширение Routing/Layer 3 over vPC с помощью команды конфигурации домена layer3 peer-router vPC сразу после включения расширения однорангового шлюза vPC с помощью команды конфигурации домена peer-gateway vPC.

    Автоматическое отключение перенаправлений ICMP и ICMPv6

    Когда расширение vPC Peer Gateway включено, создание пакетов перенаправления ICMP и ICMPv6 будет автоматически отключено на всех SVI vPC VLAN (то есть на любом SVI, связанном с VLAN, которая проходит через одноранговый канал vPC).Коммутатор делает это, настроив без перенаправления ip и без перенаправления ipv6 на всех SVI vPC VLAN. Это предотвращает создание коммутатором пакетов перенаправления ICMP в ответ на пакеты, поступающие на коммутатор, но имеющие MAC-адрес и IP-адрес назначения равноправного узла vPC коммутатора.

    Если пакеты перенаправления ICMP или ICMPv6 необходимы в вашей среде в пределах определенной VLAN, вам нужно будет исключить эту VLAN из использования преимуществ расширения vPC Peer Gateway с помощью peer-gateway exclude-vlan vPC domain команда конфигурации.

    Примечание . Команда конфигурации домена peer-gateway exclude-vlan vPC не поддерживается на коммутаторах Nexus серии 9000.

    Конфигурация

    Пример настройки функции vPC Peer Gateway можно найти здесь.

    В этом примере N9K-1 и N9K-2 являются узлами vPC в домене vPC. Оба одноранговых узла vPC имеют группу HSRP, настроенную для VLAN 10. N9K-1 — это активный маршрутизатор HSRP с приоритетом 150, а N9K-2 — резервный маршрутизатор HSRP с приоритетом по умолчанию 100.

     N9K-1#  показать текущую конфигурацию vpc 
    <фрагмент>
    vpc-домен 1
      приоритет роли 150
      одноранговый пункт назначения для поддержания активности 10.82.140.43
    
    интерфейс порт-канал1
      одноранговая связь vpc
    
    N9K-2#  показать текущую конфигурацию vpc 
    <фрагмент>
    vpc-домен 1
      одноранговый пункт назначения для поддержания активности 10.82.140.42
    
    интерфейс порт-канал1
      одноранговая связь vpc
    
    N9K-1#  показать интерфейс текущей конфигурации vlan 10 
    <фрагмент>
    интерфейс Vlan10
      нет выключения
      IP-адрес 192.168.10.2/24
      всрп 10
        упреждать
        приоритет 150
        ИП 192.168.10.1
    
    N9K-2#  показать интерфейс текущей конфигурации vlan 10 
    <фрагмент>
    интерфейс Vlan10
      нет выключения
      IP-адрес 192.168.10.3/24
      всрп 10
        IP-адрес 192.168.10.1
    
    N9K-1 #  показать интерфейс hsrp vlan 10 краткое описание 
    *:группа IPv6 #:группа принадлежит пакету
                         P указывает, что настроено на вытеснение.
                         |
     Интерфейс Группа Прио P Состояние Активный адрес Резервный адрес Групповой адрес
      Vlan10 10 150 P Активный локальный 192.168.10.3 192.168.10.1 (конф.)
    
    N9K-2 #  показать интерфейс hsrp vlan 10 краткое описание 
    *:группа IPv6 #:группа принадлежит пакету
                         P указывает, что настроено на вытеснение.
                         |
     Интерфейс Группа Прио P Состояние Активный адрес Резервный адрес Групповой адрес
      Vlan10 10 100 Резервный 192.168.10.2 локальный 192.168.10.1 (конф.)
     

    SVI VLAN 10 N9K-1 имеет MAC-адрес 00ee.ab67.db47, а SVI VLAN 10 N9K-2 имеет MAC-адрес 00ee.abd8.747f.Виртуальный MAC-адрес HSRP для VLAN 10 — 0000.0c07.ac0a. В этом состоянии MAC-адрес VLAN 10 SVI каждого коммутатора и виртуальный MAC-адрес HSRP присутствуют в таблице MAC-адресов каждого коммутатора. MAC-адрес VLAN 10 SVI каждого коммутатора и виртуальный MAC-адрес HSRP имеют флаг шлюза (G), который указывает, что коммутатор будет локально маршрутизировать пакеты, предназначенные для этого MAC-адреса.

    Обратите внимание, что в таблице MAC-адресов N9K-1 отсутствует флаг шлюза для MAC-адреса VLAN 10 SVI N9K-2.Точно так же в таблице MAC-адресов N9K-2 отсутствует флаг шлюза для MAC-адреса VLAN 10 SVI N9K-1.

     N9K-1#  показать таблицу mac-адресов vlan 10 
    Легенда:
            * - первичная запись, G - MAC-адрес шлюза, (R) - MAC-адрес маршрутизации, O - MAC-адрес оверлея
            возраст - секунды с момента последнего посещения,+ - первичная запись с использованием vPC Peer-Link,
            (T) - Истина, (F) - Ложь, C - MAC ControlPlane, ~ - vsan
       Тип MAC-адреса VLAN age Безопасные порты NTFY
    ------------------------+---+--------+----------+--- ---+----+----
    Г 10 0000.0c07.ac0a статический — F F sup-eth2 (R)
    G 10 00ee.ab67.db47 статический - F F sup-eth2(R)
    * 10 00ee.abd8.747f static — F F vPC Peer-Link(R)
    
    N9K-2 #  показать таблицу MAC-адресов vlan 10 
    Легенда:
            * - первичная запись, G - MAC-адрес шлюза, (R) - MAC-адрес маршрутизации, O - MAC-адрес оверлея
            возраст - секунды с момента последнего посещения,+ - первичная запись с использованием vPC Peer-Link,
            (T) - Истина, (F) - Ложь, C - MAC ControlPlane, ~ - vsan
       Тип MAC-адреса VLAN age Безопасные порты NTFY
    ------------------------+---+--------+----------+--- ---+----+----
    Г 10 0000.0c07.ac0a static — F F vPC Peer-Link(R)
    * 10 00ee.ab67.db47 static — F F vPC Peer-Link(R)
    G 10 00ee.abd8.747f статический - F F sup-eth2(R)
     

    Мы можем включить расширение однорангового шлюза vPC с помощью команды конфигурации домена peer-gateway vPC. Это позволит коммутатору локально маршрутизировать полученные пакеты с MAC-адресом назначения, принадлежащим MAC-адресу их однорангового узла vPC, полученному в одноранговом канале vPC.Это делается путем установки флага Gateway на MAC-адресе узла vPC в таблице MAC-адресов коммутатора.

     N9K-1#  настроить терминал 
    Введите команды конфигурации, по одной в строке. Конец с CNTL/Z.
    N9K-1(config)#  vpc домен 1 
    N9K-1(config-vpc-domain)#  одноранговый шлюз 
    N9K-1(config-vpc-domain)#  конец
      Н9К-1#
    
    N9K-2#  настроить терминал 
    Введите команды конфигурации, по одной в строке. Конец с CNTL/Z.
    N9K-2(config)#  vpc домен 1 
    N9K-2(config-vpc-domain)#  одноранговый шлюз 
    N9K-2(config-vpc-домен)#  конец 
    Н9К-2# 

    Вы можете убедиться, что расширение vPC Peer Gateway работает должным образом, проверив наличие флага Gateway в таблице MAC-адресов для MAC-адреса vPC Peer.

     N9K-1#  показать таблицу mac-адресов vlan 10 
    Легенда:
            * - первичная запись, G - MAC-адрес шлюза, (R) - MAC-адрес маршрутизации, O - MAC-адрес оверлея
            возраст - секунды с момента последнего посещения,+ - первичная запись с использованием vPC Peer-Link,
            (T) - Истина, (F) - Ложь, C - MAC ControlPlane, ~ - vsan
       Тип MAC-адреса VLAN age Безопасные порты NTFY
    ------------------------+---+--------+----------+--- ---+----+----
    G 10 0000.0c07.ac0a статический - F F sup-eth2(R)
    G 10 00ee.ab67.db47 статический - F F sup-eth2 (R)
    G 10 00ee.abd8.747f статический — F F vPC Peer-Link(R)
    
    N9K-2 #  показать таблицу MAC-адресов vlan 10 
    Легенда:
            * - первичная запись, G - MAC-адрес шлюза, (R) - MAC-адрес маршрутизации, O - MAC-адрес оверлея
            возраст - секунды с момента последнего посещения,+ - первичная запись с использованием vPC Peer-Link,
            (T) - Истина, (F) - Ложь, C - MAC ControlPlane, ~ - vsan
       Тип MAC-адреса VLAN age Безопасные порты NTFY
    ------------------------+---+--------+----------+--- ---+----+----
    Г 10 0000.0c07.ac0a static — F F vPC Peer-Link(R)
    G 10 00ee.ab67.db47 статический — F F vPC Peer-Link(R)
    G 10 00ee.abd8.747f статический - F F sup-eth2(R)
     

    Воздействие

    Влияние включения улучшения однорангового шлюза vPC может различаться в зависимости от топологии окружающей среды и поведения подключенных хостов, как описано в следующих подразделах. Если ни один из приведенных ниже подразделов не относится к вашей среде, то включение расширения vPC Peer Gateway не приведет к нарушению работы и не повлияет на вашу среду.

    Переключение смежности протокола одноадресной маршрутизации по vPC или vPC VLAN

    Если между двумя одноранговыми узлами vPC и маршрутизатором, подключенным к vPC, или маршрутизатором, подключенным через потерянный порт vPC, формируются смежности протокола маршрутизации динамической одноадресной рассылки, смежности протокола маршрутизации могут начать постоянно меняться после включения расширения однорангового шлюза vPC, если маршрутизация/уровень 3 улучшение над vPC не настраивается сразу после этого. Эти сценарии сбоя подробно описаны в разделах Смежность протокола маршрутизации одноадресной рассылки через vPC с одноранговым шлюзом vPC Пример сценария сбоя и Смежность протокола маршрутизации одноадресной рассылки через VLAN vPC с одноранговым шлюзом vPC этого документа.

    Чтобы решить эту проблему, включите расширение Routing/Layer 3 over vPC с помощью команды конфигурации домена layer3 peer-router vPC сразу после включения расширения однорангового шлюза vPC с помощью команды конфигурации домена peer-gateway vPC.

    Автоматическое отключение перенаправлений ICMP и ICMPv6

    Когда расширение vPC Peer Gateway включено, создание пакетов перенаправления ICMP и ICMPv6 будет автоматически отключено на всех SVI vPC VLAN (то есть на любом SVI, связанном с VLAN, которая проходит через одноранговый канал vPC).Коммутатор делает это, настроив без перенаправления ip и без перенаправления ipv6 на всех SVI vPC VLAN. Это предотвращает создание коммутатором пакетов перенаправления ICMP в ответ на пакеты, поступающие на коммутатор, но имеющие MAC-адрес и IP-адрес назначения равноправного узла vPC коммутатора.

    Если пакеты перенаправления ICMP или ICMPv6 необходимы в вашей среде в определенной сети VLAN, вам потребуется исключить эту сеть VLAN из использования преимущества расширения однорангового шлюза vPC с помощью peer-gateway exclude-vlan домена vPC. команда конфигурации.

    Примечание . Команда конфигурации домена peer-gateway exclude-vlan vPC не поддерживается на коммутаторах Nexus серии 9000.

    Примеры сценариев отказа

    Хосты, подключенные к vPC, с нестандартным поведением при переадресации

    Рассмотрим топологию здесь:

    В этой топологии N9K-1 и N9K-2 являются одноранговыми узлами vPC в домене vPC, которые выполняют маршрутизацию между VLAN между VLAN 10 и VLAN 20. Интерфейс Po1 является одноранговым соединением vPC.Хост с именем Host-1 подключен через vPC Po10 к N9K-1 и N9K-2 в VLAN 10. Host-1 владеет IP-адресом 192.168.10.10 с MAC-адресом 0000.0000.0010. Хост с именем Host-2 подключен через vPC Po20 к N9K-1 и N9K-2 в VLAN 20. Host-2 владеет IP-адресом 192.168.20.10 с MAC-адресом 0000.0000.0020.

    N9K-1 и N9K-2 имеют SVI в сетях VLAN 10 и VLAN 20 с активированным HSRP для каждого SVI. Интерфейс N9K-1 VLAN 10 имеет IP-адрес 192.168.10.2, а интерфейс VLAN 20 N9K-1 имеет IP-адрес 192.168.20.2. Оба SVI N9K-1 имеют физический MAC-адрес 00ee.ab67.db47. Интерфейс N9K-2 VLAN 10 имеет IP-адрес 1921.68.10.3, а интерфейс N9K-2 VLAN 20 имеет IP-адрес 192.168.20.3. Оба SVI N9K-2 имеют физический MAC-адрес 00ee.abd8.747f. Виртуальный IP-адрес HSRP для VLAN 10 — 192.168.10.1, а виртуальный MAC-адрес HSRP — 0000.0c07.ac0a. Виртуальный IP-адрес HSRP для VLAN 20 — 192.168.20.1, а виртуальный MAC-адрес HSRP — 0000.0c07.ac14.

    Рассмотрим сценарий, в котором узел 1 отправляет пакет эхо-запроса ICMP на узел 2.После того, как узел 1 разрешает ARP для своего шлюза по умолчанию (виртуальный IP-адрес HSRP), узел 1 следует стандартному поведению пересылки и генерирует пакет эхо-запроса ICMP с IP-адресом источника 192.168.10.10 и IP-адресом назначения 192.168.20.10. , MAC-адрес источника 0000.0000.0010 и MAC-адрес получателя 0000.0c07.ac0a. Этот пакет выходит к N9K-1. Наглядный пример этого показан здесь.

    N9K-1 получает этот пакет. Поскольку этот пакет предназначен для виртуального MAC-адреса HSRP, N9K-1 может маршрутизировать этот пакет в соответствии со своей локальной таблицей маршрутизации независимо от состояния плоскости управления HSRP.Этот пакет будет перенаправлен из VLAN 10 в VLAN 20. В рамках маршрутизации пакета N9K-1 выполнит перезапись пакета, переадресовав поля MAC-адреса источника и получателя пакета. Новым MAC-адресом источника пакета будет физический MAC-адрес, связанный с VLAN 20 SVI N9K-1 (00ee.ab67.db47), а новым MAC-адресом назначения будет MAC-адрес, связанный с Host-2 (0000.0000.0020). ). Наглядный пример этого показан здесь.

    Хост-2 получает этот пакет и генерирует пакет эхо-ответа ICMP в ответ на пакет эхо-запроса ICMP хоста-1.Однако, когда Host-2 не следует стандартному поведению переадресации. Чтобы оптимизировать свою пересылку, Host-2 не выполняет таблицу маршрутизации или поиск кэша ARP для IP-адреса Host-1 (192.168.10.10) — вместо этого он инвертирует поля MAC-адреса источника и MAC-адреса назначения в пакете ICMP Echo Request Host. -2 изначально получил. В результате пакет ICMP Echo Reply, сгенерированный Host-2, будет иметь IP-адрес источника 192.168.20.10, IP-адрес назначения 192.168.10.10, MAC-адрес источника 0000.0000.0020 и MAC-адрес назначения 00ee.ab67.db47.

    Если этот пакет эхо-ответа ICMP исходит к N9K-1, этот пакет будет переадресован к узлу-1 без проблем. Однако рассмотрим сценарий, в котором этот пакет эхо-ответа ICMP выходит к N9K-2, как показано здесь.

    N9K-2 получает этот пакет. Поскольку этот пакет предназначен для физического MAC-адреса VLAN 20 SVI N9K-1, N9K-2 перенаправит этот пакет через одноранговую связь vPC в сторону N9K-1, поскольку N9K-2 не может маршрутизировать этот пакет от имени N9K-1. .Наглядный пример этого показан здесь.

    N9K-1 получает этот пакет. Поскольку этот пакет предназначен для физического MAC-адреса VLAN 20 SVI N9K-1, N9K-1 может маршрутизировать этот пакет в соответствии со своей локальной таблицей маршрутизации независимо от состояния плоскости управления HSRP. Этот пакет будет перенаправлен из VLAN 20 в VLAN 10. Однако исходящий интерфейс для этого маршрута будет разрешаться в vPC Po10, который находится на N9K-2. Это нарушение правила предотвращения петель vPC: если N9K-1 получает пакет через одноранговую связь vPC, N9K-1 не может переслать этот пакет из интерфейса vPC, если тот же интерфейс vPC включен на N9K-2.N9K-1 отбросит этот пакет в результате этого нарушения. Наглядный пример этого показан здесь.

    Эту проблему можно решить, включив расширение однорангового шлюза vPC с помощью команды конфигурации домена peer-gateway vPC. Это позволяет N9K-2 маршрутизировать пакет ICMP Echo Reply (и другие пакеты, адресованные аналогичным образом) от имени N9K-1, даже если MAC-адрес назначения пакета принадлежит N9K-1, а не N9K-2. В результате N9K-2 может пересылать этот пакет из своего интерфейса vPC Po10 вместо того, чтобы пересылать его через одноранговую связь vPC.

    Маршрутизация/уровень 3 через vPC (одноранговый маршрутизатор уровня 3)

    В этом разделе описывается расширение маршрутизации/уровня 3 через vPC, которое включается с помощью команды настройки домена layer3 peer-router vPC.

    Примечание . Формирование смежности протокола маршрутизации многоадресной рассылки (а именно, смежности протокола независимой многоадресной рассылки [PIM]) через vPC не поддерживается при включенном улучшении маршрутизации/уровня 3 через vPC.

    Обзор

    В некоторых средах клиенты хотели бы подключить маршрутизатор к паре коммутаторов Nexus через vPC и сформировать смежность протокола одноадресной маршрутизации через vPC с обоими одноранговыми узлами vPC.В качестве альтернативы клиенты могут подключить маршрутизатор к одному узлу vPC через vPC VLAN и сформировать смежность протокола одноадресной маршрутизации с обоими узлами vPC через vPC VLAN. В результате маршрутизатор, подключенный к vPC, будет иметь многопутевой протокол с равной стоимостью (ECMP) для префиксов, объявленных обоими коммутаторами Nexus. Это может быть предпочтительнее использования выделенных каналов маршрутизации между маршрутизатором, подключенным к vPC, и обоими одноранговыми узлами vPC для экономии использования IP-адресов (необходимо 3 IP-адреса вместо 4 IP-адресов) или уменьшения сложности конфигурации (маршрутизируемые интерфейсы вместе с SVI, особенно в VRF-Lite). среды, которые потребуют субинтерфейсов).

    Исторически сложилось так, что формирование смежности протокола одноадресной маршрутизации через vPC не поддерживалось на платформах Cisco Nexus. Однако клиенты могут внедрить топологию, в которой смежности протокола маршрутизации одноадресной рассылки формируются через vPC без проблем, даже если они не поддерживаются. После некоторых изменений в сети (таких как обновление программного обеспечения маршрутизатора, подключенного к vPC, или самих узлов vPC, отказоустойчивость брандмауэра и т. д.) смежность протокола одноадресной маршрутизации через vPC перестает работать, что приводит к потере пакетов трафик плоскости данных или смежность протокола одноадресной маршрутизации не могут найти один или оба одноранговых узла vPC.Технические подробности того, почему эти сценарии не поддерживаются и не поддерживаются, обсуждаются в разделе «Примеры сценариев сбоев» этого документа.

    Расширение Routing/Layer 3 over vPC было введено для добавления поддержки формирования смежности протокола одноадресной маршрутизации через vPC. Это достигается за счет того, что пакеты протокола одноадресной маршрутизации с TTL, равным 1, пересылаются через одноранговую связь vPC без уменьшения TTL пакета. В результате смежность протокола одноадресной маршрутизации может быть сформирована через vPC или vPC VLAN без проблем.Расширение Routing/Layer 3 over vPC можно включить с помощью команды конфигурации домена layer3 peer-router vPC после того, как расширение однорангового шлюза vPC было включено с помощью команды конфигурации домена peer-gateway vPC.

    Выпуски программного обеспечения NX-OS

    , в которых реализована поддержка улучшения маршрутизации/уровня 3 поверх vPC для каждой платформы Cisco Nexus, задокументированы в таблице 2 («Поддержка смежности протоколов маршрутизации в сетях vPC VLAN») в разделе «Поддерживаемые топологии для маршрутизации по каналу виртуального порта на Документ о платформах Nexus.

    Предостережения

    Случайные системные журналы VPC-2-L3_VPC_UNEQUAL_WEIGHT

    После включения расширения Routing/Layer 3 over vPC оба одноранговых узла vPC начнут каждый час создавать системные журналы, подобные одному из следующих:

     2021, 26 мая, 19:13:47.079, переключатель %VPC-2-L3_VPC_UNEQUAL_WEIGHT: одноранговый маршрутизатор уровня 3 включен. Убедитесь, что оба узла vPC имеют одинаковую конфигурацию маршрутизации L3.
    2021, 26 мая, 19:13:47.351, переключатель %VPC-2-L3_VPC_UNEQUAL_WEIGHT: маршрутизация с неравным весом не поддерживается на уровне L3 через vPC.Убедитесь, что оба одноранговых узла vPC имеют одинаковую конфигурацию стоимости канала 
    .

    Ни один из этих системных журналов не указывает на проблему с коммутатором. Эти системные журналы предупреждают администратора о том, что конфигурация маршрутизации, стоимость и вес должны быть идентичными на обоих одноранговых узлах vPC, если включено улучшение маршрутизации/уровня 3 поверх vPC, чтобы гарантировать, что оба одноранговых узла vPC могут одинаково маршрутизировать трафик. Это не обязательно указывает на несоответствие конфигурации маршрутизации, стоимости или веса на любом узле vPC.

    Эти системные журналы можно отключить с помощью показанной здесь конфигурации.

     переключатель#  настроить терминал 
    коммутатор (конфигурация) #  vpc домен 1 
    switch(config-vpc-domain)#  нет системного журнала однорангового маршрутизатора уровня 3 
    переключатель (config-vpc-домен) #  конец 
    переключатель № 

    Эту настройку необходимо выполнить на обоих узлах vPC, чтобы отключить системный журнал на обоих узлах vPC.

    Трафик плоскости данных с TTL 1 программного обеспечения, переадресованного из-за CSCvs82183 и CSCvw16965

    Когда улучшение маршрутизации/уровня 3 через vPC включено на коммутаторах Nexus серии 9000, оснащенных ASIC облачного масштабирования, на которых запущена версия программного обеспечения NX-OS, предшествующая выпуску программного обеспечения NX-OS 9.3(6), трафик плоскости данных, не связанный с протоколом одноадресной маршрутизации, имеющим значение TTL, равное 1, будет направляться супервизору и перенаправляться программно, а не аппаратно. В зависимости от того, является ли коммутатор Nexus фиксированным шасси (также называемым «Top of Rack») или модульным шасси (также называемым «End of Row»), а также текущей версией программного обеспечения NX-OS коммутатора, основная причина эта проблема может быть связана либо с программным дефектом CSCvs82183, либо с программным дефектом CSCvw16965. Оба дефекта программного обеспечения затрагивают только коммутаторы Nexus серии 9000, оснащенные ASIC облачного масштаба. Ни одна из проблем не затрагивает другие аппаратные платформы Cisco Nexus.Дополнительные сведения см. в информации по каждому отдельному программному дефекту.

    Чтобы избежать этих дефектов программного обеспечения, Cisco рекомендует обновить программное обеспечение NX-OS до версии 9.3(6) или более поздней. В качестве общей рекомендации Cisco рекомендует регулярно обновлять текущую рекомендуемую версию программного обеспечения NX-OS для коммутатора Nexus серии 9000, на которую ссылается документ «Рекомендуемые версии Cisco NX-OS для коммутаторов Cisco Nexus серии 9000».

    Конфигурация

    Пример настройки маршрутизации/уровня 3 поверх vPC можно найти здесь.

    В этом примере N9K-1 и N9K-2 являются узлами vPC в домене vPC. На обоих одноранговых узлах vPC уже включено расширение vPC Peer Gateway, которое необходимо для включения расширения Routing/Layer 3 over vPC. Оба одноранговых узла vPC имеют SVI в VLAN 10, который включен в процессе OSPF 1. N9K-1 и N9K-3 застряли в состоянии OSPF EXSTART/EXCHANGE с маршрутизатором OSPF, подключенным к vPC, с IP-адресом и идентификатором соседа 192.168. .10.3.

     N9K-1#  показать текущую конфигурацию vpc 
    <фрагмент>
    vpc-домен 1
      приоритет роли 150
      одноранговый пункт назначения для поддержания активности 10.122.190.196
      одноранговый шлюз
    
    интерфейс порт-канал1
      одноранговая связь vpc
    
    N9K-2#  показать текущую конфигурацию vpc 
    <фрагмент>
    vpc-домен 1
      одноранговый пункт назначения для поддержания активности 10.122.190.195
      одноранговый шлюз
    
    интерфейс порт-канал1
      одноранговая связь vpc
    
    N9K-1#  показать интерфейс текущей конфигурации Vlan10 
    
    интерфейс Vlan10
      нет выключения
      нет IP-редиректа
      IP-адрес 192.168.10.1/24
      нет переадресации ipv6
      ip роутер ospf 1 область 0.0.0.0
    
    N9K-2#  показать интерфейс текущей конфигурации Vlan10 
    
    интерфейс Vlan10
      нет выключения
      нет IP-редиректа
      айпи адрес 192.168.10.2/24
      нет переадресации ipv6
      ip роутер ospf 1 область 0.0.0.0
    
    N9K-1#  показать текущую конфигурацию ospf 
    
    функция ospf
    
    маршрутизатор OSPF 1
    
    интерфейс Vlan10
      ip роутер ospf 1 область 0.0.0.0
    
    N9K-2#  показать текущую конфигурацию ospf 
    
    функция ospf
    
    маршрутизатор OSPF 1
    
    интерфейс Vlan10
      ip роутер ospf 1 область 0.0.0.0
    
    N9K-1#  показать ip соседей ospf 
     Идентификатор процесса OSPF 1 VRF по умолчанию
     Общее количество соседей: 3
     Идентификатор соседа Интерфейс Pri State Up Time Address Address
     192.168.10.2 1 TWOWAY/DROTHER 00:08:10 192.168.10.2 Vlan10
     192.168.10.3 1 ОБМЕН/BDR 00:07:43 192.168.10.3 Vlan10
    
    N9K-2#  показать ip соседей ospf 
     Идентификатор процесса OSPF 1 VRF по умолчанию
     Общее количество соседей: 3
     Идентификатор соседа Интерфейс Pri State Up Time Address Address
     192.168.10.1 1 TWOWAY/DROTHER 00:08:21 192.168.10.1 Vlan10
     192.168.10.3 1 EXSTART/BDR 00:07:48 192.168.10.3 Vlan10
     

    Мы можем включить улучшение маршрутизации/уровня 3 через vPC с помощью команды конфигурации домена layer3 peer-router vPC.Это предотвратит уменьшение значения TTL однорангового узла vPC для пакетов протокола одноадресной маршрутизации, маршрутизируемых в результате включения расширения однорангового шлюза vPC.

     N9K-1#  настроить терминал 
    Введите команды конфигурации, по одной в строке. Конец с CNTL/Z.
    N9K-1(config)#  vpc домен 1 
    N9K-1(config-vpc-domain)#  одноранговый маршрутизатор уровня 3 
    N9K-1(config-vpc-домен)#  конец 
    Н9К-1#
    
    N9K-2#  настроить терминал 
    Введите команды конфигурации, по одной в строке.Конец с CNTL/Z.
    N9K-2(config)#  vpc домен 1 
    N9K-2(config-vpc-domain)#  одноранговый маршрутизатор уровня 3 
    N9K-2(config-vpc-домен)#  конец 
    Н9К-2#
     

    Вы можете убедиться, что расширение маршрутизации/уровня 3 через vPC работает должным образом, проверив, что смежность OSPF с соседним OSPF, подключенным к vPC, переходит в состояние FULL вскоре после включения расширения маршрутизации/уровня 3 через vPC.

     N9K-1#  показать соседей ip ospf 
     Идентификатор процесса OSPF 1 VRF по умолчанию
     Общее количество соседей: 3
     Идентификатор соседа Интерфейс Pri State Up Time Address Address
     192.168.10.2 1 TWOWAY/DROTHER 00:12:17 192.168.10.2 Vlan10
     192.168.10.3 1 ПОЛНЫЙ/BDR 00:00:29 192.168.10.3 Vlan10
    
    N9K-2#  показать ip соседей ospf 
     Идентификатор процесса OSPF 1 VRF по умолчанию
     Общее количество соседей: 3
     Идентификатор соседа Интерфейс Pri State Up Time Address Address
     192.168.10.1 1 TWOWAY/DROTHER 00:12:27 192.168.10.1 Vlan10
     192.168.10.3 1 ПОЛНЫЙ/BDR 00:00:19 192.168.10.3 Vlan10
     

    Воздействие

    Включение расширения Routing/Layer 3 over vPC не оказывает никакого влияния на домен vPC.Это означает, что при включении расширения «Маршрутизация/уровень 3 поверх vPC» ни одно из узлов vPC не будет приостанавливать работу каких-либо виртуальных ПК, и при включении этого улучшения не будет затронут какой-либо трафик плоскости данных.

    Однако, если смежности протокола динамической маршрутизации, которые ранее были недоступны из-за того, что не было включено улучшение маршрутизации/уровня 3 через vPC, внезапно появляются в результате включения этого расширения, то в зависимости от роли затронутых смежностей протокола маршрутизации, определенные префиксы, объявленные через эти смежности, и текущее состояние таблицы маршрутизации одноадресной рассылки, некоторые нарушения могут наблюдаться при включении улучшения маршрутизации/уровня 3 через vPC.

    По этой причине Cisco рекомендует клиентам активировать это усовершенствование во время окна обслуживания, ожидая, что могут быть нарушения плоскости управления и плоскости данных, если только клиенты не будут абсолютно уверены, что затронутые смежности протоколов маршрутизации не окажут значительного влияния на работу сети.

    Cisco также рекомендует внимательно изучить раздел «Предупреждения» этого документа на предмет любых дефектов программного обеспечения, влияющих на выпуск программного обеспечения NX-OS, которые могут привести к тому, что естественный трафик плоскости данных с TTL, равным 1, будет обрабатываться программно, а не аппаратно.

    Примеры сценариев отказа

    Смежность протокола маршрутизации одноадресной рассылки через vPC без однорангового шлюза vPC

    Рассмотрим показанную здесь топологию:

    В этой топологии коммутаторы Nexus N9K-1 и N9K-2 являются одноранговыми узлами vPC в домене vPC, где расширение однорангового шлюза vPC не включено. Интерфейс Po1 — это одноранговая связь vPC. Маршрутизатор с именем хоста Router подключен через vPC Po10 к N9K-1 и N9K-2. Хост подключен к N9K-1 и N9K-2 через vPC Po20.Интерфейс маршрутизатора Po10 представляет собой маршрутизируемый порт-канал, который активируется по протоколу одноадресной маршрутизации. N9K-1 и N9K-2 имеют интерфейсы SVI, активированные в соответствии с одним и тем же протоколом одноадресной маршрутизации, и находятся в том же широковещательном домене, что и маршрутизатор.

    Смежность протокола маршрутизации одноадресной рассылки через vPC без включенного улучшения однорангового шлюза vPC не поддерживается, поскольку решение хэширования ECMP маршрутизатора, подключенного к vPC, и его решение хеширования порта-канала уровня 2 могут отличаться. В приведенной выше топологии смежность протоколов маршрутизации будет успешно формироваться между маршрутизатором, N9K-1 и N9K-2.Рассмотрим поток трафика между маршрутизатором и хостом. Трафик плоскости данных, проходящий через маршрутизатор, предназначенный для хоста, может быть перезаписан с помощью MAC-адреса назначения, принадлежащего MAC-адресу SVI N9K-1 (из-за решения хеширования ECMP, принятого маршрутизатором), но выход из интерфейса Ethernet1/2 (из-за уровня 2 решение о хешировании порта-канала, принятое маршрутизатором).

    N9K-2 получит этот пакет и перешлет его через одноранговый канал vPC, поскольку MAC-адрес назначения принадлежит N9K-1 и расширению однорангового шлюза vPC (которое позволяет N9K-2 маршрутизировать пакет от имени N9K-1). ) не включен.N9K-1 получает этот пакет по одноранговой сети vPC и распознает, что ему потребуется переслать пакет из своего Ethernet1/2 в vPC Po20. Это нарушает правило предотвращения петель vPC, поэтому N9K-1 аппаратно отбрасывает пакет. В результате вы можете наблюдать проблемы с подключением или потерю пакетов для некоторых потоков, проходящих через домен vPC в этой топологии.

    Эту проблему можно решить, включив расширение однорангового шлюза vPC с помощью команды конфигурации домена peer-gateway vPC, а затем включив расширение маршрутизации/уровня 3 через vPC с помощью команды конфигурации домена layer3 peer-router vPC.Чтобы свести к минимуму сбои, вы должны активировать оба улучшения vPC в быстрой последовательности, чтобы сценарий сбоя, описанный в Смежности протокола маршрутизации одноадресной рассылки через vPC с одноранговым шлюзом vPC, не успел произойти.

    Смежность протокола маршрутизации одноадресной рассылки через vPC с одноранговым шлюзом vPC

    Рассмотрим показанную здесь топологию:

    В этой топологии коммутаторы Nexus N9K-1 и N9K-2 являются одноранговыми узлами vPC в домене vPC, где включено расширение однорангового шлюза vPC.Интерфейс Po1 — это одноранговая связь vPC. Маршрутизатор с именем хоста Router подключен через vPC Po10 к N9K-1 и N9K-2. Интерфейс маршрутизатора Po10 представляет собой маршрутизируемый порт-канал, который активируется по протоколу одноадресной маршрутизации. N9K-1 и N9K-2 имеют интерфейсы SVI, активированные в соответствии с одним и тем же протоколом одноадресной маршрутизации, и находятся в том же широковещательном домене, что и маршрутизатор.

    Смежность протокола маршрутизации одноадресной рассылки через vPC с включенным расширением однорангового шлюза vPC не поддерживается, поскольку расширение однорангового шлюза vPC может предотвратить формирование смежности протокола маршрутизации одноадресной рассылки между маршрутизатором, подключенным к vPC, и обоими одноранговыми узлами vPC.В приведенной выше топологии смежность протокола маршрутизации между маршрутизатором и N9K-1 или N9K-2 может не проявиться, как ожидалось, в зависимости от того, как пакеты протокола одноадресной маршрутизации, созданные маршрутизатором, отправляются на хэш N9K-1 или N9K-2 через vPC Po10. .

    Все маршрутизаторы могут без проблем отправлять и получать пакеты протокола многоадресной маршрутизации локального канала (обычно называемые пакетами «Hello»), поскольку эти пакеты успешно передаются в vPC VLAN. Однако рассмотрим сценарий, в котором пакет протокола одноадресной маршрутизации, исходящий от маршрутизатора и предназначенный для N9K-1, выходит из Ethernet1/2 в сторону N9K-2 из-за решения маршрутизатора о хэшировании канала порта уровня 2.Этот пакет будет предназначен для MAC-адреса SVI N9K-1, но будет поступать через интерфейс Ethernet1/1 N9K-2. N9K-2 увидит, что пакет предназначен для MAC-адреса SVI N9K-1, который установлен в таблице MAC-адресов N9K-2 с флагом «G» или «Шлюз» из-за включенного расширения однорангового шлюза vPC. В результате N9K-2 попытается локально направить пакет протокола одноадресной маршрутизации от имени N9K-1.

    Однако при маршрутизации пакета время жизни (TTL) пакета будет уменьшено, а TTL большинства пакетов протокола одноадресной маршрутизации равен 1.В результате значение TTL пакета будет уменьшено до 0 и сброшено N9K-2. С точки зрения N9K-1, N9K-1 получает пакеты протокола многоадресной маршрутизации для канала от маршрутизатора и может отправлять одноадресные пакеты протокола маршрутизации на маршрутизатор, но не получает пакеты протокола одноадресной маршрутизации от маршрутизатора. В результате N9K-1 разорвет смежность протокола маршрутизации с маршрутизатором и перезапустит свой локальный конечный автомат для протокола маршрутизации. Точно так же Router перезапустит свой локальный конечный автомат для протокола маршрутизации.

    Эту проблему можно решить, включив улучшение маршрутизации/уровня 3 через vPC с помощью команды конфигурации домена layer 3 peer-router vPC. Это позволяет пересылать пакеты протокола одноадресной маршрутизации с TTL, равным 1, через одноранговый канал vPC без уменьшения TTL пакета. В результате смежность протокола одноадресной маршрутизации может быть сформирована через vPC или vPC VLAN без проблем.

    Смежность протокола маршрутизации одноадресной рассылки через vPC VLAN без vPC Peer Gateway

    Рассмотрим показанную здесь топологию:

    В этой топологии коммутаторы Nexus N9K-1 и N9K-2 являются одноранговыми узлами vPC в домене vPC, где расширение однорангового шлюза vPC не включено.Интерфейс Po1 — это одноранговая связь vPC. Маршрутизатор с именем хоста Router подключен через Ethernet1/1 к Ethernet1/1 N9K-1. Интерфейс Ethernet1/1 маршрутизатора — это маршрутизируемый интерфейс, который активируется по протоколу одноадресной маршрутизации. N9K-1 и N9K-2 имеют интерфейсы SVI, активированные в соответствии с одним и тем же протоколом одноадресной маршрутизации, и находятся в том же широковещательном домене, что и маршрутизатор.

    Смежные протоколы маршрутизации одноадресной рассылки в vPC VLAN без включенного улучшения vPC Peer Gateway не поддерживаются, поскольку решение хеширования ECMP маршрутизатора, подключенного к vPC VLAN, может привести к тому, что N9K-2 отбросит трафик плоскости данных за нарушение правила предотвращения петель vPC.В приведенной выше топологии смежность протоколов маршрутизации будет успешно формироваться между маршрутизатором, N9K-1 и N9K-2. Рассмотрим поток трафика между маршрутизатором и хостом. Трафик плоскости данных, проходящий через маршрутизатор, предназначенный для хоста, может быть перезаписан с использованием MAC-адреса назначения, принадлежащего MAC-адресу SVI N9K-2 (из-за решения о хешировании ECMP, принятого маршрутизатором) и выхода из интерфейса Ethernet1/1 в N9K-1.

    N9K-1 получит этот пакет и перешлет его через одноранговый канал vPC, поскольку MAC-адрес назначения принадлежит N9K-2 и расширению однорангового шлюза vPC (которое позволяет N9K-1 маршрутизировать пакет от имени N9K-2). ) не включен.N9K-2 получает этот пакет по одноранговой сети vPC и распознает, что ему потребуется переслать пакет из своего Ethernet1/2 в vPC Po20. Это нарушает правило предотвращения петель vPC, поэтому N9K-2 аппаратно отбрасывает пакет. В результате вы можете наблюдать проблемы с подключением или потерю пакетов для некоторых потоков, проходящих через домен vPC в этой топологии.

    Эту проблему можно решить, включив расширение однорангового шлюза vPC с помощью команды конфигурации домена peer-gateway vPC, а затем включив расширение маршрутизации/уровня 3 через vPC с помощью команды конфигурации домена layer3 peer-router vPC.Чтобы свести к минимуму сбои, вы должны активировать оба улучшения vPC в быстрой последовательности, чтобы сценарий сбоя, описанный в Смежности протокола маршрутизации одноадресной рассылки через vPC с одноранговым шлюзом vPC, не успел произойти.

    Смежность протокола маршрутизации одноадресной рассылки в сети vPC VLAN с одноранговым шлюзом vPC

    Рассмотрим показанную здесь топологию:

    В этой топологии коммутаторы Nexus N9K-1 и N9K-2 являются одноранговыми узлами vPC в домене vPC, где включено расширение однорангового шлюза vPC.Интерфейс Po1 — это одноранговая связь vPC. Маршрутизатор с именем хоста Router подключен через Ethernet1/1 к Ethernet1/1 N9K-1. Интерфейс Ethernet1/1 маршрутизатора — это маршрутизируемый интерфейс, который активируется по протоколу одноадресной маршрутизации. N9K-1 и N9K-2 имеют интерфейсы SVI, активированные в соответствии с одним и тем же протоколом одноадресной маршрутизации, и находятся в том же широковещательном домене, что и маршрутизатор.

    Смежность протокола маршрутизации одноадресной рассылки в сети vPC VLAN с включенным расширением однорангового шлюза vPC не поддерживается, поскольку расширение однорангового шлюза vPC предотвратит формирование смежности протокола маршрутизации одноадресной рассылки между маршрутизатором, подключенным к vPC VLAN, и одноранговым узлом vPC, к которому подключена vPC VLAN. роутер не подключен напрямую.В приведенной выше топологии смежность протокола маршрутизации между маршрутизатором и N9K-2 не будет достигнута, как ожидалось, в результате того, что N9K-1 маршрутизирует пакеты протокола одноадресной маршрутизации, предназначенные для MAC-адреса SVI N9K-2, из-за усовершенствования однорангового шлюза vPC. включено. Поскольку пакеты маршрутизируются, их время жизни (TTL) должно быть уменьшено. Пакеты протокола одноадресной маршрутизации обычно имеют TTL, равное 1, и маршрутизатор, уменьшающий TTL пакета до 0, должен отбросить этот пакет.

    Все маршрутизаторы могут без проблем отправлять и получать пакеты протокола многоадресной маршрутизации локального канала (обычно называемые пакетами «Hello»), поскольку эти пакеты успешно передаются в vPC VLAN.Однако рассмотрим сценарий, в котором пакет протокола одноадресной маршрутизации, исходящий от маршрутизатора и предназначенный для N9K-2, выходит из Ethernet1/1 в сторону N9K-1. Этот пакет будет предназначен для MAC-адреса SVI N9K-2, но будет поступать через интерфейс Ethernet1/1 N9K-1. N9K-1 увидит, что пакет предназначен для MAC-адреса SVI N9K-2, который установлен в таблице MAC-адресов N9K-1 с флагом «G» или «Шлюз» из-за включенного расширения однорангового шлюза vPC. В результате N9K-1 попытается локально направить пакет протокола одноадресной маршрутизации от имени N9K-2.

    Однако при маршрутизации пакета значение TTL будет уменьшено, а значение TTL для большинства пакетов протокола одноадресной маршрутизации равно 1. В результате значение TTL пакета будет уменьшено до 0 и удалено N9K-1. С точки зрения N9K-2, N9K-2 получает пакеты протокола многоадресной маршрутизации для локальной связи от маршрутизатора и может отправлять пакеты протокола одноадресной маршрутизации на маршрутизатор, но не получает пакеты протокола одноадресной маршрутизации от маршрутизатора. В результате N9K-2 разорвет смежность протокола маршрутизации с маршрутизатором и перезапустит свой локальный конечный автомат для протокола маршрутизации.Точно так же Router перезапустит свой локальный конечный автомат для протокола маршрутизации.

    Эту проблему можно решить, включив улучшение маршрутизации/уровня 3 через vPC с помощью команды конфигурации домена layer 3 peer-router vPC. Это позволяет пересылать пакеты протокола одноадресной маршрутизации с TTL, равным 1, через одноранговый канал vPC без уменьшения TTL пакета. В результате смежность протокола одноадресной маршрутизации может быть сформирована через vPC или vPC VLAN без проблем.

    Смежность протокола маршрутизации одноадресной рассылки через Back-to-Back vPC с одноранговым шлюзом vPC

    Рассмотрим показанную здесь топологию:

    В этой топологии коммутаторы Nexus N9K-1 и N9K-2 являются одноранговыми узлами vPC в домене vPC, где включено расширение однорангового шлюза vPC. Коммутаторы Nexus N9K-3 и N9K-4 являются одноранговыми узлами vPC в домене vPC, где включено расширение однорангового шлюза vPC. Оба домена vPC подключены друг к другу через параллельный vPC Po10.Все четыре коммутатора имеют интерфейсы SVI, активированные по протоколу одноадресной маршрутизации, и находятся в одном широковещательном домене.

    Смежность протокола маршрутизации одноадресной рассылки между параллельными vPC с включенным расширением однорангового шлюза vPC не поддерживается, поскольку расширение однорангового шлюза vPC может предотвратить формирование смежности протокола маршрутизации одноадресной рассылки между одним доменом vPC и другим доменом vPC. В приведенной выше топологии смежность протокола маршрутизации между N9K-1 и либо N9K-3, либо N9K-4 (или обоими) может не работать, как ожидалось.Точно так же смежность протокола маршрутизации между N9K-2 и либо N9K-3, либо N9K-4 (или обоими) может не сработать, как ожидалось. Это связано с тем, что пакеты протокола одноадресной маршрутизации могут направляться одному маршрутизатору (например, N9K-3), но пересылаться другому маршрутизатору (например, N9K-4) на основе решения исходного маршрутизатора о хешировании канала порта уровня 2.

    Основная причина этой проблемы идентична основной причине, описанной в разделе Смежность протокола маршрутизации одноадресной рассылки через vPC с одноранговым шлюзом vPC этого документа.Вы можете решить эту проблему, включив улучшение маршрутизации/уровня 3 через vPC с помощью команды конфигурации домена layer 3 peer-router vPC. Это позволяет пересылать пакеты протокола одноадресной маршрутизации с TTL, равным 1, через одноранговый канал vPC без уменьшения TTL пакета. В результате смежность протокола маршрутизации одноадресной рассылки может быть сформирована через параллельный vPC без проблем.

    Смежности OSPF над vPC с одноранговым шлюзом vPC, где префикс присутствует в OSPF LSDB, но отсутствует в таблице маршрутизации

    Рассмотрим показанную здесь топологию:

    В этой топологии коммутаторы Nexus N9K-1 и N9K-2 являются одноранговыми узлами vPC в домене vPC, где включено расширение однорангового шлюза vPC.Коммутаторы Nexus N9K-3 и N9K-4 являются одноранговыми узлами vPC в домене vPC, где включено расширение однорангового шлюза vPC. Оба домена vPC подключены друг к другу через параллельный vPC Po10. Все четыре коммутатора имеют интерфейсы SVI, активированные по протоколу одноадресной маршрутизации, и находятся в одном широковещательном домене. N9K-4 — это назначенный маршрутизатор OSPF (DR) для широковещательного домена, а N9K-3 — резервный назначенный маршрутизатор OSPF (BDR) для широковещательного домена.

    В этом сценарии смежность OSPF между N9K-1 и N9K-3 переходит в состояние FULL из-за одноадресных пакетов OSPF, исходящих из Ethernet1/1 обоих коммутаторов.Точно так же смежность OSPF между N9K-2 и N9K-3 переходит в состояние FULL из-за одноадресных пакетов OSPF, исходящих из Ethernet1/2 обоих коммутаторов.

    Однако смежность OSPF между N9K-1 и N9K-4 застряла в состоянии EXSTART или EXCHANGE из-за одноадресных пакетов OSPF, исходящих из Ethernet1/1 обоих коммутаторов и отбрасываемых N9K-2 и N9K-4, как описано в Unicast Смежность протокола маршрутизации через параллельный vPC с разделом vPC Peer Gateway этого документа. Точно так же смежность OSPF между N9K-2 и N9K-4 застревает в состоянии EXSTART или EXCHANGE из-за одноадресных пакетов OSPF, исходящих из Ethernet1/2 обоих коммутаторов и отбрасываемых N9K-1 и N9K-3, как описано в разделе «Одноадресная маршрутизация». Смежность протоколов через параллельный vPC с разделом vPC Peer Gateway этого документа.

    В результате N9K-1 и N9K-2 находятся в состоянии FULL с BDR для широковещательного домена, но находятся в состоянии EXSTART или EXCHANGE с DR для широковещательного домена. И DR, и BDR широковещательного домена сохраняют полную копию базы данных состояния канала OSPF (LSDB), но маршрутизаторы OSPF DROTHER должны находиться в ПОЛНОМ состоянии с DR для широковещательного домена, чтобы устанавливать префиксы, полученные через OSPF от либо DR, либо BDR. В результате и N9K-1, и N9K-2 будут иметь префиксы, полученные от N9K-3 и N9K-4, присутствующие в OSPF LSDB, но эти префиксы не будут установлены в таблице одноадресной маршрутизации до тех пор, пока N9K-1 и N9K не будут установлены. -2 переход в состояние FULL с N9K-4 (DR для широковещательного домена).

    Эту проблему можно решить, включив улучшение маршрутизации/уровня 3 через vPC с помощью команды конфигурации домена layer 3 peer-router vPC. Это позволяет пересылать пакеты протокола одноадресной маршрутизации с TTL, равным 1, через одноранговый канал vPC без уменьшения TTL пакета. В результате смежность протокола маршрутизации одноадресной рассылки может быть сформирована через параллельный vPC без проблем. В результате N9K-1 и N9K-2 перейдут в состояние FULL с N9K-4 (DR для широковещательного домена) и смогут устанавливать префиксы, полученные от N9K-3 и N9K-4 через OSPF, в свои соответствующие таблицы одноадресной маршрутизации успешно.

    Связанная информация

    MLAG и vPC: в чем разница?

    По мере того, как все больше предприятий начинают использовать виртуализацию центров обработки данных для сокращения затрат и оптимизации потоков данных, потребность в большей пропускной способности сети существенно возрастает, чтобы обеспечить беспрепятственную передачу данных между центром обработки данных и бизнес-центрами. Чтобы удовлетворить эту тенденцию, сетевые инженеры ищут способы подключения как можно большего количества сетевых устройств для повышения пропускной способности сети.И группа агрегации каналов (LAG) является одним из способов сделать это, LAG может параллельно объединять несколько каналов Ethernet в один логический канал, что повышает эффективность передачи данных. Существует множество способов создания LAG, включая MLAG и vPC. Итак, что же означают MLAG и vPC и чем они отличаются друг от друга? Этот пост даст общее объяснение каждому из них и примет правильное решение относительно MLAG или vPC.

    Что такое МЛАГ?

    MLAG (Multi-chassis Link Aggregation) — это нестандартный протокол, который позволяет использовать многоканальные каналы на уровне 2 от хоста, чтобы получить либо дополнительную пропускную способность, либо отказоустойчивость канала.Это общедоступный протокол, так что каждый поставщик может поддерживать MLAG, используя свою собственную реализацию. Как и стекирование, MLAG — это способность двух или более коммутаторов действовать как один коммутатор при формировании пакетов каналов. Это позволяет хосту подключаться к двум коммутаторам для физического разнесения, при этом имея только один единый интерфейс для управления. В свою очередь, эти два коммутатора могут подключаться к двум другим коммутаторам с помощью MLAG с переадресацией всех ссылок. Посмотрите следующее видео, чтобы узнать, как настроить MLAG на коммутаторах гиперконвергентной инфраструктуры FS S5800-8TF12S.

    В каналах MLAG протокол управления агрегированием каналов (LACP, 802.3ad) обычно используется для согласования севера и юга между хостом и виртуальным коммутатором MLAG или между виртуальными коммутаторами MLAG. Проприетарные протоколы East и west используются между коммутаторами, которые являются членами одного и того же виртуального коммутатора MLAG. На рис. 1 показан пример использования нескольких гигабитных Ethernet-коммутаторов FS S5850-48T4Q для формирования пары MLAG. С четырьмя листовыми коммутаторами в паре MLAG вы можете создавать резервные соединения от сервера к коммутаторам.Группы LAG могут быть сформированы с использованием статической агрегации каналов или методов согласования на основе LACP.

    Рис. 1. Использование коммутаторов FS S5850-48T4Q для формирования пары MLAG

    Преимущества МЛАГ

    Поняв принцип работы MLAG, мы можем четко знать его преимущества в использовании.

    • Трафик равномерно распределяется на каждый из коммутаторов за счет использования хеширования LAG.

    • Просто объедините больше каналов в LAG, чтобы увеличить пропускную способность для севера и юга, а также для востока и запада.

    • Обеспечивает стабильность благодаря двум плоскостям управления и контроля

    • Возможность обновления одного коммутатора за раз, не затрагивая другие устройства

    • Свободно увеличивает пропускную способность порта — просто добавьте еще один коммутатор на восток или запад, создав еще один MLAG для другого коммутатора.

    Что такое vPC?

    vPC — это сокращение от Virtual Port Channel, где Port Channel — это обычная LAG.(Port-Channel — это технология, которая обеспечивает способ агрегирования (связывания) нескольких интерфейсов вместе. Затем трафик распределяется по каждому из подключений.) Это специальный протокол Cisco Nexus, который трудно настроить на любом другом типе коммутатора. . Конечно, есть коммутаторы с поддержкой vPC, предлагаемые другими поставщиками, кроме Cisco, но не слишком много. vPC позволяют каналам, физически подключенным к двум разным коммутаторам Cisco, отображаться как один канал порта для третьего устройства. Третьим устройством может быть коммутатор, сервер или любое другое сетевое устройство, поддерживающее IEEE 802.Каналы порта 3ad. vPC также позволяет создавать каналы портов уровня 2, охватывающие два коммутатора. Как показано ниже, vPC используется для создания соединений между коммутаторами, охватывающих два коммутатора, при этом две плоскости управления этих коммутаторов остаются отдельными. После включения функции vPC вы создаете одноранговую ссылку проверки активности, которая отправляет сообщения пульса между двумя одноранговыми устройствами vPC. Домен vPC включает одноранговые устройства vPC, одноранговую ссылку vPC для проверки активности, одноранговую ссылку vPC и все каналы портов в домене vPC, подключенные к нижестоящему устройству.На каждом устройстве может быть только один идентификатор домена vPC.

    Рис. 2. Сформируйте пару vPC, создав межкоммутаторные ссылки

    Преимущества vPC

    Как специальный протокол Cisco, vPC, безусловно, имеет свои уникальные преимущества.

    • Позволяет одному устройству использовать канал порта на двух вышестоящих устройствах.

    • Устраняет заблокированные порты Spanning Tree Protocol

    • Обеспечивает топологию без петель

    • Использует всю доступную пропускную способность восходящего канала

    • Обеспечивает быструю сходимость в случае сбоя соединения или устройства

    • Обеспечивает отказоустойчивость на уровне канала

    • Помогает обеспечить высокую доступность

    MLAG против vPC: в чем разница

    И MLAG, и vPC предназначены для создания группы портов между двумя коммутаторами и могут обеспечить многопутевое подключение уровня 2.В домене MLAG или vPC каждый коммутатор управляется и настраивается независимо и может пересылать/маршрутизировать трафик, не переходя на главный коммутатор. Каковы их различия? Очевидно, что самая большая разница между ними заключается в сложности реализации. MLAG — это общедоступный протокол, который может поддерживаться почти каждым поставщиком, использующим собственную настраиваемую реализацию, в то время как vPC — это специальный протокол Cisco Nexus, не все поставщики могут иметь эту технологию в своих руках. Таким образом, настройка MLAG немного проще, чем vPC.Сетевые инженеры, которые хотят развернуть vPC, должны изучить руководства по проектированию vPC, основанные на сценариях, перед созданием домена vPC. Для сопряжения vPC необходимо использовать коммутаторы Cisco Nexus того же типа. Например, невозможно настроить vPC на паре коммутаторов, включая Nexus серии 7000 и Nexus серии 5000. А одноранговые узлы vPC должны работать с одной и той же версией NX-OS, за исключением обновления без прерывания работы, то есть обновления программного обеспечения в процессе эксплуатации (ISSU). Кроме того, одноранговый канал vPC должен состоять как минимум из двух портов 10G Ethernet в выделенном режиме.vPC более продвинут, чем MLAG. Он поддерживает многопутевое соединение как на уровне 2, так и на уровне 3, что позволяет создавать избыточность за счет включения нескольких параллельных путей между узлами и балансировки нагрузки трафика там, где существуют альтернативные пути. И если вы хотите включить многопутевое соединение уровня 3, вы также можете использовать протокол Multi-Active Gateway Protocol (MAGP). Обычно vPC используется для коммутаторов центров обработки данных (устройства Nexus, работающие либо в режиме NX-OS, либо в режиме ACI), в то время как MLAG можно использовать для большего количества сценариев, в основном в коммутаторах распределительных центров или центров обработки данных.

    Вещь МЛАГ vPC
    Упрощает проектирование сети Да Да
    Устраняет протокол связующего дерева (STP) Да Да
    Многоканальность Слой 2 Уровень 2 и Уровень 3
    Сложность реализации Полегче Относительно сложно
    Тип переключателя для сопряжения Нет требований Строгие требования
    Использование сценариев Часто встречается в распределительных коммутаторах или коммутаторах центров обработки данных. Обычно в коммутаторах центров обработки данных Cisco Nexus

    Вывод

    И MLAG, и vPC являются желательными реализациями для центров обработки данных и сетей облачных вычислений, которым требуется высочайший уровень пропускной способности и надежности сети.MLAG использует преимущества агрегации каналов и распределяет их по паре коммутаторов центра обработки данных, чтобы обеспечить избыточность на уровне системы, а также отказоустойчивость на уровне сети. И vPC больше подходит для достижения неблокирующего разнообразия путей, когда виртуальные машины могут находиться в любой заданной точке. Независимо от того, какой метод вы выбираете между MLAG и vPC, в первую очередь нужно выяснить, могут ли ваши сетевые устройства поддерживать MLAG или vPC. Затем примите во внимание архитектуру коммутационной сети и собственные требования к трафику, прежде чем внедрять определенный метод подключения.

    Функция аварийного отключения

    VPN | Блог OpenVPN

    OpenVPN стремится обеспечить надежное подключение к VPN-серверу. Но ни один интернет-сервис, даже OpenVPN, не может работать без случайных сбоев. Будь то ненадежное подключение к Интернету или интернет-провайдер, проблемы с VPN-сервером или проблема с настройками антивируса или брандмауэра — соединения случаются. И когда происходят сбои VPN-подключения, они могут предоставить злоумышленникам возможность получить доступ к вашей онлайн-активности, а также к любым конфиденциальным данным, которые вы передаете со своего мобильного устройства (устройств).

    Именно поэтому команда разработчиков OpenVPN решила добавить функцию аварийного отключения в приложение OpenVPN Connect, официальное клиентское программное обеспечение, разработанное и поддерживаемое OpenVPN Inc.

    Будь то ненадежное подключение к Интернету или интернет-провайдеру, проблемы с VPN-сервером или проблема с настройками антивируса или брандмауэра — соединения случаются.

    OpenVPN Connect, бесплатное и полнофункциональное программное обеспечение VPN-клиента, доступно в Google Play и в магазине Apple iTunes; Версии для Windows и macOS можно загрузить с сайта OpenVPN.Connect совместим с Windows, macOS, Android и iOS и подключает устройства к VPN, чтобы пользователи могли входить в сеть из любого места.

    Чтобы разобраться во всех тонкостях опции Kill Switch в OpenVPN, а также в более широких преимуществах VPN Kill Switch в целом, мы встретились с Юрием Барновичем, менеджером по продукту и техническим руководителем проекта Apps для OpenVPN. Читайте дальше, чтобы узнать, что он сказал о аварийных выключателях VPN и как он и его команда подошли к этому проекту.

    Что такое VPN Kill Switch?

    Первый и самый очевидный вопрос, который мы задали Юрию, был: «Итак, что такое аварийный выключатель VPN?» Он дал нам прямой ответ, специфичный для OpenVPN: «Функция Kill Switch приложения OpenVPN Connect блокирует любую утечку данных через сеть в случае обрыва VPN-подключения». Пользователи могут сами создать аварийный выключатель, используя безопасный брандмауэр VPN, или они могут выбрать VPN, включающую аварийный выключатель. Последнее проще для обычных пользователей VPN, но не все бизнес-VPN имеют аварийный выключатель.

    Функция отключения приложения OpenVPN Connect блокирует любую утечку данных через сеть в случае обрыва VPN-подключения.

    – Юрий Барнович, менеджер по продукту OpenVPN

    Почему VPN-сервисы так широко используются, а аварийные выключатели относительно неизвестны? Что еще более важно, почему не каждый провайдер VPN включает аварийный переключатель, если они надежно защищают вашу информацию? «Если в используемую операционную систему встроена функция аварийного отключения, ее довольно легко активировать и использовать.То, что Юрий считает «довольно простым», может потребовать больше усилий от других, но он пояснил, сказав: «Это реализовано на уровне операционной системы (ОС) в Android и iOS, поэтому OpenVPN может воспользоваться преимуществами системной поддержки на этих платформах. ” OpenVPN действительно воспользовался поддержкой системы на уровне ОС, что привело к появлению нового переключателя отключения OpenVPN Connect.

    Возможно, вам интересно, почему macOS и Windows не включены в этот первоначальный выпуск. По словам Юрия, «на данный момент MacOS и Windows не имеют поддержки ОС, поэтому добавление к ним выключателя является более сложной задачей.Но это не значит, что Юрий и его команда отказываются от этого. Судя по тому, что мы видели, они упорны, когда дело доходит до поиска решений и выяснения того, как преодолеть невиданные ранее проблемы.

    Каковы преимущества VPN Kill Switch?

    Современные виртуальные частные сети являются источником разочарования для хакеров; даже самым опытным киберпреступникам будет трудно обмануть интернет-трафик, проходящий через серверы хорошего VPN. Однако эти хакеры терпеливы и с радостью перехватят вашу конфиденциальную информацию, как только ваше VPN-соединение прервется.

    Думайте о хакере как о кошке, готовой наброситься на мышь, а разорванное VPN-подключение и есть мышь.

    Наиболее эффективные подходы к кибербезопасности являются многоуровневыми, а аварийный выключатель является дополнительным уровнем защиты. Юрий объясняет: «Это действительно улучшение безопасности и конфиденциальности данных. Если ваше VPN-подключение настроено для направления всего вашего трафика через VPN с включенным аварийным выключателем и поддержкой приложений VPN, конечно, весь ваш трафик будет заблокирован до тех пор, пока вы не подключитесь к VPN.Удаленные и гибридные рабочие силы быстро становятся нормой, когда люди работают везде, где есть доступ к Интернету, но при использовании аварийного выключателя VPN «пользователю не нужно беспокоиться об утечке или посреднике DNS. атаки, когда происходит отключение VPN, когда вы работаете в бесплатном или общедоступном Wi-Fi». Гибкость, которая приходит с удаленной работой, приветствуется, поскольку она экономит время и деньги при одновременном повышении производительности. Эта гибкость сопряжена с повышенными рисками, но эволюция VPN и такие функции, как встроенные аварийные переключатели, помогают держать киберпреступников в страхе.

    К счастью, Юрий и остальные программисты и разработчики OpenVPN любят придумывать новые, творческие способы остановить тех, кто хочет украсть ваш самый ценный актив: ваши данные.

    Как VPN Kill Switch работает с OpenVPN?

    Вопрос, который волнует миллионы пользователей OpenVPN Connect? «Как работает аварийный выключатель VPN с OpenVPN Connect?» В разговоре с Юрием мы узнали, что, как и большинство функций OpenVPN, это не одноразовое решение.«В первом выпуске мобильных клиентов (iOS и Android 3.3) мы внедряем простую настройку флажка. Когда пользователи включают переключатель уничтожения, установив флажок, их последняя подключенная или использованная конфигурация VPN становится профилем VPN по умолчанию для переключателя уничтожения». В этот момент ОС не будет пропускать трафик с вашего устройства, пока профиль не будет подключен, плюс «он сразу же попытается подключиться после перезагрузки или отключения вручную».

    Но что, если для профиля требуется дополнительная аутентификация? Нет проблем, по словам Юрия: «…. ОС покажет уведомление, которое открывает приложение OpenVPN Connect с соответствующим модальным приглашением».

    Наша миссия — помочь организациям защитить свои активы динамичным, экономичным и масштабируемым способом. Выключатель OpenVPN Connect — это еще один способ, которым мы это делаем.

    Внутри процесса разработки OpenVPN

    Итак, как аварийный выключатель OpenVPN Connect превратился из идеи в реальность? Было ли это быстро и легко? Без проблем?

    Конечно нет.

    По словам Юрия, команда OpenVPN «… работала над этой функцией в течение нескольких месяцев и по ходу дела столкнулась с рядом проблем».

    Функция экстренного отключения от OpenVPN, как и все функции нашего программного обеспечения VPN, будет продолжать развиваться.

    Начнем с того, что «Операционные системы — особенно iOS — не предназначены для поддержки дополнительной аутентификации для VPN-соединений. Это означает, что ОС попытается подключиться с профилем VPN и проигнорирует любые попытки получить дополнительную информацию о пользователе (т.г., пароль, двухфакторная аутентификация, веб-авторизация)». Команда разработчиков OpenVPN не собиралась позволять негостеприимным операционным системам останавливать их. «Мы были вынуждены полностью реорганизовать процесс подключения, — сказал Юрий, — чтобы создать возможность прерывания соединения». Это прерывание соединения «… инициировано системой и показывает пользователям уведомление, которое открывает приложение с полями аутентификации, необходимыми для продолжения». Опять же, многоуровневый подход к кибербезопасности — ваш лучший выбор для защиты людей и данных.И когда существующие системы не созданы для поддержки дополнительных уровней, которые мешают последним и величайшим усилиям хакеров, специалисты по информационной безопасности, такие как Юрий, находят способы расширить защиту, предлагаемую VPN.

    Аварийный выключатель OpenVPN, как и все функции нашего программного обеспечения VPN, будет продолжать развиваться. Наша команда стремится опережать злоумышленников, обеспечивать безопасность ваших данных, обеспечивать конфиденциальность в Интернете и снижать как стоимость, так и сложность сетевого трафика и безопасности. По словам Юрия Барновича: «Пока у тебя есть правильные люди, ты можешь добиться всего.

    См. наши часто задаваемые вопросы

    Что такое VPN Kill Switch? Объяснение случаев использования Internet Kill Switch

    Сетевая блокировка обязательна: Варианты использования для всех, включая наиболее конфиденциальные профессии

    Хотя пользователи могут использовать VPN для разных целей, одно можно сказать наверняка: в конце концов, все они заботятся о надежной конфиденциальности. Однако, если VPN-соединение разрывается, ваша личность становится доступной для всех.Этого можно избежать с помощью нашего Kill Switch.

    Если вы политический активист – Вы бы не хотели, чтобы другие, особенно конкурирующая партия, знали о вашей программе. Как политический активист вы храните на своем компьютере огромные данные, списки, электронные письма, переговоры в политической сфере и другую конфиденциальную информацию. Во-первых, необходимо шифрование. Но аварийный выключатель гарантирует, что они никогда вас не найдут.

    Если вы журналист — Учитывая, что правительство, вероятно, наблюдает за вами, вы не хотите, чтобы ваши личные сообщения с ценными источниками информации просочились, что потенциально может поставить под угрозу месяцы напряженной работы.Убедитесь, что вы включили функцию Kill Switch PureVPN. Включив технологию Kill Switch в своем приложении, вы можете быть уверены, что это никогда не произойдет с нашим VPN-туннелем.

    Если вы блогер — Для освещения нескольких тем может потребоваться поездка в страны, где Интернет регулируется. Хотя эти правительства в основном не одобряют использование VPN-подключения, местные пользователи полагаются на них для доступа к открытой сети. Убедитесь, что вы включили функцию аварийного выключения, чтобы оставаться вне поля зрения властей.

    Если вы юрист –

    Дела, над которыми вы работаете, обычно носят конфиденциальный характер и не оставляют возможности для утечки какой-либо информации до начала судебного разбирательства. Поскольку юристы обмениваются информацией и общаются со своими клиентами, еще важнее убедиться, подключение kill switch, а также надежные и безопасные протоколы.

    Если вы осведомитель –

    Разоблачение информации о действиях, которые считаются незаконными или неэтичными, может привлечь нежелательное внимание и запугивание со стороны сторон, которые хотят помешать вам озвучить свои выводы.VPN — ваш самый безопасный способ оставаться на связи с Интернетом, а аварийный выключатель гарантирует, что вас никогда не смогут отследить, потому что ваш настоящий IP-адрес никогда не утечет.


    Причины отключения

    Отключение является нормальным явлением и является частью повседневного использования Интернета. Они могут возникнуть в любое время и в любом месте и могут длиться от нескольких секунд до минут или часов. Вот подробнее о том, почему они происходят:

    Нестабильное подключение к Интернету Необходимо проверить несколько факторов, особенно при использовании устройства Wi-Fi.Неравномерный интернет может быть из-за слабого сигнала и неадекватного покрытия. Кроме того, это может быть связано с превышением пропускной способности.

    Программное обеспечение и устройства Вы можете столкнуться с регулярными отключениями, если драйверы на вашем ноутбуке не обновлены или не установлены должным образом. В некоторых программах или устройствах могут быть ошибки, которые можно исправить, просто обновив их.

    Сбой сервера и сети Проблема в сети между вами и вашим VPN-сервером может привести к отключению Интернета.Это может усугубляться ошибками конфигурации сетевого брандмауэра, маршрутизатора или другого устройства сетевого шлюза.


    Функция Kill Switch Поддерживаемые устройства

    PureVPN — лучший провайдер VPN, который предлагает интуитивно понятное и простое в использовании программное обеспечение для всех основных платформ, а Internet Kill Switch — бесплатный дополнительный бонус.

    Android: PureVPN — один из немногих лучших провайдеров VPN, который предлагает Android Kill Switch, который легко интегрируется и работает безупречно.

    Windows: PureVPN предлагает пользователям Windows функцию Kill Switch, которая безотказно работает при подключении к VPN-серверу.

    Linux: используйте функцию Kill Switch при работе с Linux.

    Mac: PureVPN — это VPN-провайдер, предлагающий элитные функции Kill Switch, оптимизированные для macOS, что дает пользователям macOS ощущение безопасности при подключении к нашим VPN-серверам.

    Как работает VPC – NetCraftsmen

    Я видел людей, пытающихся использовать каналы портов Cisco Nexus VPC, и мне кажется полезным вести блог о том, как работает VPC. Частично моя цель здесь состоит в том, чтобы последовать этому в блоге о проектировании для смешивания каналов портов VPC уровня 2 (L2) с маршрутизацией уровня 3 (L3), что определенно требует знания того, что вы делаете (это не обязательно так уж сложно, вам просто нужно четко понимать, где находятся ваши партнеры по маршрутизации).

    Базовый VPC 101

    Итак, приступим к нашему «обзору» VPC. Пожалуйста, обратитесь к диаграмме ниже, когда мы обсуждаем этот

    .

    Virtual Port Channel (VPC) связывает два коммутатора Nexus 7K или 5K вместе, выполняя большую работу по спуфингу уровня 2 (L2), включая STP BPDU (Hello Spanning Tree) и FHRP (First Hop Routing Protocol — HSRP, VRRP, GLBP). поведение. На уровне 2 коммутаторы ведут себя как один коммутатор, сохраняя при этом свои уникальные идентификаторы, в отличие от метода Cisco VSS, используемого с коммутаторами 6500.

    Для VPC вы, вероятно, соедините два коммутатора вместе с помощью каналов 10G, желательно по одному на каждой из двух разных линейных карт для надежности, и объявите этот канал каналом порта и одноранговым каналом VPC . Это специальный канал для передачи трафика L2 между одноранговыми коммутаторами VPC при сбое канала. Обычно он должен мало использоваться. Прежде чем появится одноранговая ссылка, вам также необходимо настроить поддержку активности VPC для обнаружения двойных активных одноранговых узлов, когда одноранговая ссылка VPC не работает.Это ситуация, когда вы можете получить дубликаты пакетов или другие проблемы, поэтому важно уметь обнаруживать это и реагировать соответствующим образом. Существуют и другие шаги для настройки VPC, но давайте пока сделаем это как можно проще.

    После того, как пара VPC установлена ​​(настроена), вы можете начать добавлять каналы портов с несколькими шасси, которые подключаются к паре VPC. В соответствии с приведенной ниже схемой вы можете добавить порт-канал к коммутатору C. Когда вы подключаете другое устройство и сообщаете ему, что две или более ссылок находятся в порт-канале, и они распределены между двумя одноранговыми узлами VPC, это порт-канал VPC.Ссылки, составляющие его, называются ссылками-членами.

    При настройке ссылок участников вам также необходимо настроить одноранговый узел VPC. Оба конца членских ссылок должны быть настроены для канала порта. Коммутатор VPC также получает специальную команду «vpc number ». Коммутатор C считает, что у него нормальный порт-канал — никаких дополнительных команд не требуется.

    На следующей диаграмме показаны некоторые из этих терминов.

    Если вы выполняете маршрутизацию на одноранговых узлах VPC, канал поддержки активности также может быть двухточечным маршрутизируемым каналом, возможно, N x 10 Гбит/с.Если коммутаторы относятся только к уровню 2, то порты управления могут использоваться для канала проверки активности. В этом случае это не обязательно должен быть канал 10 Гбит/с.

    Теперь нам нужно взглянуть на то, как пересылка кадров L2 работает с VPC.

    В VPC есть одно большое правило, показанное ниже. Это правило представляет собой то, как Cisco закодировала его, с целью предотвращения зацикливания мостовой переадресации и дублирования пакетов, чтобы обеспечить правильную работу уровня 2 без необходимости использования протокола связующего дерева (STP).

    Вот правило.Предположим, что зеленый пакет (внизу слева) достигает левого нижнего коммутатора C. Если он перенаправляется (на основе хеширования) вверх по левой членской ссылке порт-канал VPC, ожидается, что Nexus A перенаправит его по любой членской ссылке, указанной в таблице коммутации. использовать. Таким образом, нормальное ожидание состоит в том, что когда A получает кадр, он пересылает его, например, D. Это показано диагональной зеленой стрелкой выше. Если по какой-то причине фрейм отправляется по одноранговой ссылке VPC (синяя пунктирная линия) на Nexus B, B не может пересылать фрейм по ссылке участника (скажем, на D), потому что это может привести к зацикливанию или дублированию пакетов.

    Теперь посмотрите на рисунок ниже.

    Единственным исключением из этого поведения является то, что происходит, если ссылка участника от A к D, та, что с зеленой диагональной стрелкой рядом с ней, опускается (как показано красным X). В этом и только в этом случае Nexus B может пересылать кадры, полученные по ссылке участника. B может перенаправить кадр, который встретился по одноранговому каналу, по правому каналу B-D, потому что диагональный канал, идущий к этому коммутатору — парный канал VPC A-D — не работает.Или, другими словами, VPC может использовать синий путь, потому что пунктирная зеленая линия от A до D не работает.

    Переформулировка Правила 101 ПКП

    Иными словами, одноранговые узлы VPC должны пересылать кадр, полученный по ссылке участника, из любой другой ссылки участника, которую необходимо использовать. Только в том случае, если они не могут этого сделать из-за сбоя связи, разрешена переадресация по одноранговой ссылке VPC, а затем по ссылке участника, и даже в этом случае трафик между одноранговыми узлами может выходить только по ссылке участника, которая связана с ссылка участника, которая не работает.

    На данный момент вы можете не ожидать, что к маршрутизируемому трафику применяются те же правила. И что, поскольку VPC не подделывает двух одноранговых узлов как одно устройство L3, пакеты могут быть заблокированы.

    Резюме

    Вам необходимо знать правила, чтобы понять базовое и более сложное поведение VPC, а также то, как его спроектировать. Я попытался сформулировать правила простым способом выше.

    Между прочим, в случае сбоя одноранговой связи средства проверки активности обнаруживают это, и вторичный одноранговый узел VPC отключает все порты-члены VPC, чтобы избежать петель STP.MAC-адрес или настроенный приоритет (хорошая идея) используются для определения первичных и вторичных одноранговых узлов VPC.

    Ссылки

    Cisco NX-OS Virtual PortChannel: основные концепции проектирования …

    Полное руководство по Cisco Nexus vPC. Особенности и преимущества, Рекомендации по проектированию, Конфигурация, Сценарии отказов, Устранение неполадок, VSS и vPC

    Cisco v виртуальный P ort C hannel ( vPC ) — это технология виртуализации , запущенная в 2009 году, которая позволяет физически подключаться к двум различным устройствам Cisco Nexus Series 8. один канал порта к третьей конечной точке .Конечная точка может быть коммутатором , сервером , маршрутизатором или любым другим устройством, таким как брандмауэр или балансировщики нагрузки , которые поддерживают технологию агрегации каналов (80029 0Channel 0Channel).

    Чтобы правильно спроектировать и настроить vPC , необходимо хорошо знать компоненты архитектуры vPC ( домен vPC , одноранговый узел vPC , одноранговый канал vPC , одноранговый канал vPC 7 , vPC Orphan Port и т. д.), но также следуйте рекомендациям по проектированию для vPC Peer Keepalive Link и vPC Peer-Link .Кроме того, понимание сценариев сбоев vPC , таких как сбой однорангового соединения vPC , сбой однорангового соединения vPC , сбой однорангового коммутатора vPC , сбой vPC Dual Active или Split Brain  , поможет заблаговременно спланировать минимизацию сети. нарушение обслуживания в случае соединения или сбоя устройства .

    Все вышеперечисленное, включая проверку и устранение неполадок в работе vPC , подробно описано в этой статье, что делает ее наиболее полным и полным руководством по Cisco Nexus vPC .

    На приведенной ниже диаграмме четко показаны различия как в логической, так и в физической топологии между развертыванием без vPC и развертыванием vPC :

    Концепция развертывания vPC

    Технология Cisco Nexus vPC была широко развернута, в частности, почти в 95% центров обработки данных Cisco на основе информации, предоставленной Cisco Live Berlin 2016. Кроме того, Virtual Port Channel был представлен в версии NX-OS.   4.1(4) и входит в базовую лицензию на программное обеспечение NX-OS . Эта технология поддерживается на устройствах Nexus 9000 , 7000 , 5000 и 3000 Series .

    Давайте взглянем на рассмотренных тем vPC :

    Мы должны отметить, что для этой статьи рекомендуется базовые знания Cisco NX-OS. Вы также можете обратиться к нашему разделу Введение в семейство Nexus — Nexus OS и Catalyst IOS, чтобы ознакомиться с вводным исследованием семейства коммутаторов Nexus Series.Наконец, в последнем разделе добавлена ​​викторина, и мы ждем ваших комментариев и ответов!

    Дополнительные сопутствующие товары:

    Коммутаторы Nexus 9000 , 7000 , 5000 и 3000 серии выводят функциональность портов-каналов на новый уровень, позволяя каналам, подключенным к различным устройствам, объединяться в одиночный . . Одноранговые коммутаторы используют протокол управления, который синхронизирует состояние канала порта и поддерживает его.В частности, vPC относится к семейству технологий Multichassis EtherChannel ( MEC ) и обеспечивает следующие основные технические преимущества :

    • Устраняет блокировку портов Spanning Tree Protocol (STP)
    • Использует всю доступную пропускную способность восходящего канала
    • Позволяет серверам с двойным подключением (двойные восходящие каналы) работать в режиме «активный-активный»
    • Обеспечивает быструю сходимость при сбое канала или устройства
    • Предлагает двойные активные/активные шлюзы по умолчанию для серверов
    • Поддерживает независимые плоскости управления
    • упрощает проектирование сети

    При развертывании технологии vPC в центре обработки данных Cisco Nexus следует учитывать следующие общие указания и рекомендации :

    • Коммутаторы Cisco Nexus того же типа должны использоваться для сопряжения vPC . невозможно настроить vPC на паре коммутаторов, состоящих из Nexus серии 7000 и коммутатора Nexus серии 5000 . vPC невозможен между коммутаторами Nexus 5000 и Nexus 5500 .
    • одноранговых узлов vPC должны запускать ту же версию NX-OS , за исключением обновления без прерывания работы , то есть обновления программного обеспечения в процессе эксплуатации ( ISSU ).
    • vPC Peer-Link должен состоять из как минимум двух портов 10G Ethernet в выделенном режиме .Использование портов Ethernet от двух разных модулей улучшит доступность и резервирование в случае отказа модуля. Наконец, использование интерфейсов 40G или 100G для ссылок vPC увеличит пропускную способность vPC Peer-Link .
    • Ссылка поддержки активности vPC должна быть отделена от одноранговой связи vPC .
    • vPC можно настроить на несколько VDC , но конфигурация полностью независима.В частности, для каждого VDC для коммутаторов Nexus 7000 Series требуется собственный одноранговый vPC , а keepalive-каналы и не могут быть общими для VDC .
    • Максимальное количество коммутаторов в домене vPC составляет два .
    • Максимальное количество узлов vPC на коммутатор или VDC составляет один .
    • Когда Статическая маршрутизация от устройства к одноранговому узлу vPC переключается с следующим переходом, поддерживается виртуальный IP-адрес FHRP .
    • Смежность динамической маршрутизации от одноранговых коммутаторов vPC до любого устройства Layer3 , подключенного к vPC не поддерживается . Рекомендуется установить смежность маршрутизации на отдельных маршрутизируемых каналах .
    • Членские порты vPC должны быть на той же линейной карте типа, например. Карты типа M2 на каждом конце.

    Архитектура vPC состоит из следующих компонентов:

    одноранговый узел vPC

    Это соседнее устройство, которое подключено через vPC Peer-link .Настройка vPC состоит из двух устройств Nexus в паре . Один действует как Primary , а другой как Secondary, , который позволяет другим устройствам подключаться к двум шасси с помощью Multi-Channel Ethernet ( MEC ).

     

    Компоненты архитектуры vPC

    одноранговая связь vPC

    Одноранговый канал vPC — это наиболее важный элемент подключения в настройке vPC.Эта ссылка используется для синхронизации состояния между одноранговыми устройствами vPC через управляющих пакетов vPC , что создает иллюзию единой плоскости управления . Кроме того, одноранговый канал vPC обеспечивает необходимый транспорт для многоадресного, широковещательного, неизвестного одноадресного трафика и трафика потерянных портов. Наконец, в случае устройства vPC, которое также является коммутатором уровня 3, одноранговый канал переносит пакеты Hot Standby Router Protocol ( HSRP ).

    Ссылка проверки активности однорангового узла vPC

    Ссылка проверки активности однорангового узла обеспечивает канал связи уровня 3 , который используется в качестве вторичного теста для определения того, правильно ли работает удаленный одноранговый узел. В частности, это помогает коммутатору vPC определить, отказала ли сама одноранговая ссылка или не работает одноранговый узел vPC. Данные или трафик синхронизации не отправляются через одноранговый канал проверки активности vPC — только пакетов IP/UDP на порт 3200 , чтобы указать, что исходный коммутатор работает с , а работает с vPC .Таймеры по умолчанию представляют собой интервал 1 секунда с тайм-аутом из 5 секунд .

    Домен vPC

    Это общий домен, настроенный для двух одноранговых устройств vPC , и это значение идентифицирует vPC. Домен vPC с идентификатором на устройство разрешен.

    Членский порт vPC

    Это интерфейс, который является членом одного из виртуальных ПК, настроенных на одноранговых узлах vPC .

    Услуги Cisco Fabric (CFS)

    Этот протокол используется для синхронизации с отслеживанием состояния и конфигурации .Он использует одноранговую ссылку и не требует какой-либо настройки со стороны администраторов. Протокол Cisco Fabric Services over Ethernet используется для выполнения проверок совместимости , чтобы подтвердить совместимость портов-членов vPC для формирования канала, для синхронизации состояния отслеживания IGMP, для мониторинга состояния vPC порты-члены и для синхронизации таблицы протокола разрешения адресов (ARP).

    Сиротское устройство

    Это устройство, которое находится в VPC VLAN , но подключено только к одному узлу VPC , а не к обоим.

    Сиротский порт

    Потерянный порт — это интерфейс, который подключается к потерянному устройству vPC VLAN .

    VLAN без vPC

    Любая из сетей STP VLAN, не передаваемая по одноранговому каналу .

    V виртуальный S witching S ystem ( VSS ) представляет собой технологию виртуализации , объединяющую несколько коммутаторов Cisco Catalyst в один виртуальный коммутатор , повышающий эффективность работы и повышающий эффективность масштабирования пропускная способность. VSS был впервые доступен в Cisco 6500 серии , а затем был представлен в Cisco 4500 , более новых коммутаторах 4500X , 6800 Series и Catalyst начиная с 1

    0 .

    Функция vPC в настоящее время не поддерживается какими-либо коммутаторами серии Cisco Catalyst и доступна только в семействе коммутаторов Nexus.

    В то время как VSS использует каналы M ulti E и C ( MEC ) для соединения коммутаторов серии Cisco Catalyst, vPC используется на коммутаторах серии 0 Cisco Nexus8 для той же цели.Обе технологии похожи с точки зрения нисходящего коммутатора, но есть различия, главным образом в том, что уровень управления работает на вышестоящих устройствах. В следующей таблице приведены основные характеристики и возможности технологий VSS и vPC :

    Функция

    ВСС

    ВПК

    Канал порта для нескольких шасси

    Да

    Да

    Топология без петель

    Да

    Да

    Spanning Tree как отказоустойчивый протокол

    Да

    Да

    Максимальное количество физических узлов

    2

    2

    Поддержка ISSU без прерывания работы

    Да

    Плоскость управления

    Один логический узел

    Два независимых активных узла

    Канал порта уровня 3

    ДА

    Ограниченный 

    Конфигурация

    Общая конфигурация

    Две разные конфигурации

    Ethernet-канал

    Статический, PAgP, PAgP, LACP

    Статический, LACP

    Таблица 1.Сравнение Catalyst VSS с Nexus vPC

    Развертывание MEC или vPC может потребовать минимальных изменений в существующей инфраструктуре коммутации. Коммутаторам Catalyst может потребоваться обновление Supervisor Engine для формирования VSS. Затем механизм предотвращения первичной петли обеспечивается протоколами управления MEC или vPC . STP все еще работает, но работает только как отказоустойчивый механизм. Наконец, устройства, например. коммутаторы доступа, серверы и т. д. должны быть подключены несколькими каналами к распределительным или основным коммутаторам центра обработки данных. Link Aggregation Control Protocol (LACP) — это протокол, который обеспечивает динамическое согласование канала порта и позволяет до 16 физических интерфейсов стать членами одного канала порта.

    Принимая во внимание важность и влияние канала Peer Keepalive link и vPC Peer-Link , Cisco рекомендует следующий тип межсоединений для канала vPC Keepalive :

    Рекомендации в порядке предпочтения для соединения канала проверки активности vPC

    Коммутаторы Nexus серий 7000 и 9000

    Коммутаторы Nexus серий 5000 и 3000

    1.Выделенный(е) канал(ы) (1GE LC)

    1. Интерфейс mgmt0 (вместе с трафиком управления)

    2. Интерфейс mgmt0 (вместе с трафиком управления)

    2. Выделенные каналы (порты 1/10GE на передней панели)

    3. В крайнем случае можно маршрутизировать внутри полосы через инфраструктуру L3

    Таблица 2. Способы соединения vPC Keepalive Link

    Особое внимание требуется, когда интерфейсы управления Nexus используются для маршрутизации пакетов проверки активности vPC через коммутатор управления Out of Band (OOB).Отключение коммутатора управления OOB или случайное удаление ссылок поддержки активности с этого коммутатора параллельно со сбоем vPC Peer-Link может привести к сценарию разделения мозга и сбою сети.

    Преимущество использования выделенного интерфейса для канала проверки активности vPC состоит в том, что нет другого сетевого устройства, которое могло бы повлиять на ссылку проверки активности vPC. Использование двухточечных ссылок упрощает управление путем и сводит к минимуму риск сбоя. Однако интерфейс для каждого однорангового коммутатора vPC должен использоваться для размещения канала проверки активности.Это может быть проблемой при ограниченном количестве доступных интерфейсов или SFP.

    Подключение уровня 3

    для Keepalive Link может быть выполнено либо с SVI , либо с конфигурацией L3 (без коммутатора) задействованных интерфейсов. Конфигурация SVI — единственный вариант, при котором одноранговые коммутаторы Nexus vPC не поддерживают функции L3. В любом случае рекомендуется установить Keepalive Link на отдельный VRF , чтобы изолировать его от VRF по умолчанию .Если SVI настроен на маршрутизацию пакетов проверки активности , то этот vlan не должен маршрутизироваться по каналу vPC . Вот почему Keepalive VLAN должен быть удален из списка разрешенных магистралей vPC Peer-Link или портов-членов vPC . Разрешение Keepalive VLAN по одноранговой магистрали vPC может привести к сценарию разделения мозгов (анализируется ниже) и отключению сети в случае сбоя vPC Peer-Link !

    Следующие рекомендации по проектированию рекомендуются для vPC Peer-Links :

    • Порты-участники должны быть как минимум интерфейсами 10GE.
    • Использовать только точку-точку без других устройств между одноранговыми узлами vPC (коммутаторы Nexus). Например. приемопередатчики, микроволновая мостовая связь и т. д.
    • Используйте не менее двух каналов 10 Гбит/с, распределенных между двумя отдельными платами модулей ввода-вывода на каждом коммутаторе, для обеспечения максимальной отказоустойчивости.
    • Порты должны быть в выделенном режиме для модулей с превышением лимита подписки.
    • Порты vPC Peer-Link должны быть расположены на другом модуле ввода-вывода , отличном от того, который используется Peer Keepalive Link .

    В следующем разделе описывается, как коммутаторы vPC Nexus взаимодействуют с событиями, вызванными сбоем каналов (ссылка поддержки активности однорангового узла vPC, одноранговая ссылка и т. д.) или коммутатором однорангового узла vPC.

    В сценарии одноранговых ссылок vPC на вторичном нексусе происходит сбой , состояние однорангового vPC проверяется с использованием Peer Keepalive Link :

     

    Сценарий отказа одноранговой связи vPC

    Если оба узла vPC активны, вторичный vPC (т.е. коммутатор с более высоким приоритетом) отключает все порты-члены vPC , чтобы избежать неопределенного поведения трафика и сетевых петель, которые могут привести к нарушению работы службы.

    В этот момент трафик продолжает проходить через первичный vPC без каких-либо сбоев.

    В неблагоприятном случае есть потерянное устройство , подключенное к вторичному узлу , тогда его трафик будет скрыт.

    В случае сбоя Peer Keepalive Link это не окажет негативного влияния на работу vPC, который продолжит пересылку трафика. Keepalive Link используется в качестве механизма вторичного теста для подтверждения работоспособности однорангового узла vPC в случае, если Peer-Link выйдет из строя:

     

    Сценарий отказа канала поддержки активности узла vPC

    Во время сбоя Keepalive Link не происходит смены ролей между vPC (основной/дополнительный) и нет времени простоя в сети.

    Как только Keepalive Link будет восстановлен, vPC продолжит работу.

    В случае полного сбоя однорангового коммутатора vPC удаленный коммутатор получает информацию об ошибке через ссылку проверки активности однорангового узла , поскольку сообщения проверки активности не получены. Трафик данных перенаправляется с использованием оставшихся каналов до восстановления отказавшего коммутатора. Следует отметить, что сообщения Keepalive используются только тогда, когда все ссылки в Peer-Link терпят неудачу:

     

    Сценарий отказа однорангового коммутатора vPC

    Протокол Spanning Tree

    используется в качестве механизма предотвращения образования петель в случае одновременного сбоя Peer Keepalive Link и vPC Peer-Link .

    Сценарий сбоя Dual-Active или Split Brain vPC возникает, когда происходит сбой Peer Keepalive Link , за которым следует Peer-Link . В этом случае оба коммутатора выполняют первичные роли vPC .

    Если это произойдет, основной коммутатор vPC останется в качестве основного , а вторичный коммутатор vPC станет рабочим основным , что вызовет серьезную нестабильность сети и сбой:

     

    Сценарий отказа vPC Dual-Active или Split Brain

    vPC настроен, и нормальная работа проверена, выполнив девять шагов, описанных ниже.Следует отметить, что порядок конфигурации vPC важен и что базовая настройка vPC устанавливается с использованием первых 4 шагов :

    .

     

    Этапы настройки vPC

    Шаг 1 : Включите функцию vPC и настройте идентификатор домена vPC на обоих коммутаторах Nexus.

    Шаг 2 : Выберите вариант развертывания Peer Keepalive .

    Шаг 3 . Установите канал проверки активности однорангового узла vPC .

    Шаг 4 : Настройте одноранговый канал vPC .

    Шаг 4 завершает глобальную настройку vPC на обоих одноранговых коммутаторах vPC.

    Шаг 5 : Настройте отдельные виртуальные компьютеры на нижестоящие коммутаторы или устройства.

    Шаг 6 : Опционально, включите функцию однорангового шлюза для изменения операции First Hop Redundancy Protocol ( FHRP ).

    Шаг 7 : Дополнительно включите функцию однорангового коммутатора для оптимизации поведения STP с vPC.

    Шаг 8 : Дополнительно включите дополнительные функции для оптимизации настройки виртуальных компьютеров .

    Шаг 9 : Дополнительно проверьте работу параметров согласованности vPC и vPC .

    Чтобы проиллюстрировать настройку технологии vPC, мы использовали два коммутатора центра обработки данных Nexus 5548. Как правило, аналогичный процесс применяется для любого другого типа коммутаторов Nexus.

    Нашим двум Nexus 5548 были присвоены имена хостов N5k-Primary и N5k-Secondary , и порядок, описанный выше, был выполнен для установки и конфигурации vPC:

    Шаг 1. Включите функцию vPC и настройте идентификатор домена vPC на обоих коммутаторах

    Ниже приведены команды, используемые для включения vPC и для настройки идентификатора домена vPC на первом коммутаторе:

    N5k-Primary(config)# функция vpc

    N5k-Primary(config)# vpc домен 1

    N5k-Primary (config-vpc-domain) # показать роль vpc

    Статус роли vPC

    ————————————————– —

    Роль vPC                       : не установлена             

    Статус двойного активного обнаружения    : 0

    vPC system-mac                 : 00:23:04:ee:be: 01             

    vPC системный приоритет             : 32667

    vPC local system-mac            : 8c:60:4f:2c:b3:01            

    Локальный приоритет роли vPC         : 0  

    Теперь настраиваем коммутатор Nexus Secondary с помощью тех же команд:

    N5k-Secondary(config)# функция vpc

    N5k-Secondary(config)# домен vpc 1

    N5k-Secondary (config-vpc-domain) # показать роль vpc

    Статус роли vPC

    ————————————————– —

    Роль vPC                                  : не установлена             

    Статус двойного активного обнаружения    : 0

    vPC system-mac                 : 00:23:04:ee:be: 01             

    vPC системный приоритет             : 32667

    vPC local system-mac            : 8c:60:4f:aa:c2:3c            

    Локальный приоритет роли vPC         : 0  

    Тот же идентификатор домена (ID 1 в нашем примере) должен использоваться на обоих одноранговых коммутаторах vPC в домене vPC.Выходные данные команды show vpc role показывают, что системный MAC-адрес получен из идентификатора домена vPC, , который равен , равному 01 .

    Шаг 2. Выберите вариант развертывания одноранговой проверки активности

    В приведенной ниже настройке используется технология SVI и второй вариант (выделенный канал 1G), предложенный для настройки канала проверки активности коммутаторов серии N5k (таблица 2). Этот вариант развертывания включает выделенную VLAN с настроенным SVI, используемым для канала поддержки активности в изолированном VRF (названном keepalive ) для полной изоляции от остальной сети.Интерфейс Ethernet 1/32 используется обоими коммутаторами в качестве выделенного интерфейса для канала проверки активности.

    На первом коммутаторе создаем VLAN 23 с SVI (назначаем IP-адрес интерфейсу VLAN) и делаем его членом VRF instance , созданного для этой цели. Завершаем настройку, назначив Ethernet 1/32 на VLAN 23 :

    N5k-Primary(config)# vlan 23

    N5k-Primary(config-vlan)# имя keepalive

    N5k-Primary(config)# поддержка активности контекста vrf

     

    интерфейс Vlan23

     подтверждение активности члена vrf

      IP-адрес 192.168.1.1/24

     

    интерфейс Ethernet1/32

      коммутатор доступа к vlan 23

      скорость 1000

     полный дуплекс

    Мы выполняем те же действия по настройке нашего вторичного коммутатора Nexus:

    N5k-Secondary (config)# vlan 23

    N5k-Secondary(config-vlan)# имя keepalive

    N5k-Secondary (config) # поддержка активности контекста vrf

     

    интерфейс Vlan23

     подтверждение активности члена vrf

      IP-адрес 192.168.1.2/24

     

    интерфейс Ethernet1/32

      коммутатор доступа к vlan 23

      скорость 1000

     полный дуплекс

    Проверка связи между P eer Keepalive Links выполнена успешно:

    N5k-Secondary# ping 192.168.1.1 vrf keepalive

    PING 192.168.1.1 (192.168.1.1): 56 байт данных

    36 байт от 192.168.1.2: узел назначения недоступен

    Время запроса 0 истекло

    64 байта из 192.168.1.1: icmp_seq=1 ttl=254 время=3,91 мс

    64 байта из 192.168.1.1: icmp_seq=2 ttl=254 время=3,05 мс

    64 байта из 192.168.1.1: icmp_seq=3 ttl=254 время=1,523 мс

    64 байта из 192.168.1.1: icmp_seq=4 ttl=254 время=1,501 мс

    Примечание. Начальный тайм-аут ICMP является нормальным поведением, поскольку коммутатор должен сначала отправить запрос ARP, чтобы получить MAC-адрес 192.168.1.1, а затем отправить пакет ICMP (ping).

    Шаг 3. Установите ссылку проверки активности узла vPC

    По умолчанию пакеты vPC Peer Keepalive маршрутизируются в VRF управления и используют интерфейс Out-Of-Band ( OOB ) mgmt .

    Однако настоятельно рекомендуется настроить одноранговый канал проверки активности vPC с по с использованием отдельного экземпляра VRF , чтобы гарантировать, что трафик проверки активности однорангового узла всегда передается по этому каналу, а не по одноранговому каналу . Кроме того, keepalive vlan должен быть удален из списка разрешенных магистралей vPC Peer-Link или vPC Member Ports .

    N5k-Primary(config)# vpc домен 1

    N5k-Primary (config-vpc-domain)# одноранговый пункт назначения 192.168.1.2 источник 192.168.1.1 поддержка активности vrf

    Конфигурация вторичного vPC следующая:

    N5k-Secondary(config)# домен vpc 1

    N5k-Secondary(config-vpc-domain)# одноранговый пункт назначения поддержки активности 192.168.1.1 источник 192.168.1.2 поддержка активности vrf

    Мы можем проверить статус vPC Peer Keepalive Link с помощью команды show vpc peer-keepalive на обоих коммутаторах:

    N5k-Primary# show vpc peer-keepalive

    Состояние проверки активности vPC           : узел активен                

    –Узел активен в течение             : (95) секунд, (201) мс

    –Статус отправки                   : Успех

    — Последняя отправка в                  : 2017.06.22 23:03:50 720 мс

    –Отправлено на интерфейс             : Vlan23

    — Статус получения                : Успех

    –Последнее получение               : 2017.06.22 23:03:50 828 мс

    — Получено через интерфейс         : Vlan23

    –Последнее обновление от партнера         : (0) секунд, (201) мс

    Параметры проверки активности vPC

    –Назначение                  : 192.168.1.2

    –Интервал проверки активности            : 1000 мс

    — Тайм-аут проверки активности             : 5 секунд

    — Тайм-аут удержания активности        : 3 секунды

    –Keepalive vrf                 : keepalive

    –Keepalive udp port            : 3200

    –Keepalive tos                 : 192

    Проверка статуса vPC Peer Keepalive Link на нашем вторичном коммутаторе:

    N5k-Secondary# show vpc peer-keepalive

    Состояние поддержки активности vPC            : узел активен                      

    –Узел активен в течение             : (106) секунд, (385) мс

    –Статус отправки                   : Успех

    — Последняя отправка в                  : 2017.06.22 22:46:32 106 мс

    –Отправлено на интерфейс             : Vlan23

    — Статус получения                : Успех

    –Последнее получение               : 2017.06.22 22:46:32 5 мс

    — Получено через интерфейс         : Vlan23

    –Последнее обновление от партнера         : (0) секунд, (333) мс

    Параметры проверки активности vPC

    –Пункт назначения                  : 192.168.1.1

    –Интервал проверки активности            : 1000 мс

    — Тайм-аут проверки активности             : 5 секунд

    — Тайм-аут удержания активности        : 3 секунды

    –Keepalive vrf                 : keepalive

    –Keepalive udp port            : 3200

    –Keepalive tos                 : 192

    Шаг 4. Настройте одноранговую связь vPC

    Этот шаг завершает глобальную конфигурацию vPC на обоих одноранговых коммутаторах vPC и включает создание Port-Channel, который будет использоваться в качестве vPC Peer-Link .

    Сначала нам нужно включить функцию lacp , а затем создать канал порта с высокой пропускной способностью между двумя коммутаторами для передачи всего необходимого трафика.

    Интерфейсы Eth2/2 и Eth2/3 выбраны, чтобы стать членами vPC Peer-Link в режиме LACP. Кроме того, vPC настроен как транк . Список разрешенных VLAN для транка должен быть настроен таким образом, чтобы только vPC VLAN (VLAN, присутствующие на любых vPC) были разрешены на транке. VLAN 10 создана и разрешена на vPC Peer-Link :

    N5k-Primary (config)# функция lacp

    N5k-Primary(config)# интерфейс Ethernet 1/2-3

    N5k-Primary(config-if-range)# описание *** PEER ССЫЛКИ VPC ***

    N5k-Primary(config-if-range)# активен режим группы каналов 23

    N5k-Primary(config)# vlan 10

    N5k-Primary(config)# интерфейс порт-канал 23

    N5k-Primary(config-if)# описание *** PEER ССЫЛКИ VPC ***

    N5k-Primary(config-if)# магистраль режима switchport

    N5k-Primary(config-if)# магистраль коммутатора разрешена vlan 10

    N5k-Primary(config-if)# одноранговая связь vpc

    Обратите внимание, что тип порта связующего дерева изменен на тип порта «сетевой» в одноранговой сети vPC.Это включит гарантию моста связующего дерева на одноранговой ссылке vPC при условии, что гарантия моста STP (которая включена по умолчанию) не отключена.

    N5k-Primary(config-if)# сеть типа порта связующего дерева  

    Аналогичная конфигурация для нашего вторичного коммутатора:

    N5k-Secondary(config)# функция lacp

    N5k-Seondary(config)# интерфейс ethernet 1/2-3

    N5k-Secondary (config-if-range)# описание *** PEER ССЫЛКИ VPC ***

    N5k-Secondary(config-if-range)# активен режим группы каналов 23

    N5k-Seondary(config)# vlan 10

    N5k-Secondary(config)# интерфейс порт-канал 23

    N5k-Secondary(config-if)# описание *** PEER ССЫЛКИ VPC ***

    N5k-Secondary(config-if)# магистраль режима switchport

    N5k-Secondary(config-if)# switchport trunk разрешен vlan 10

    N5k-Secondary (config-if) # одноранговая связь vpc

    Обратите внимание, что тип порта связующего дерева изменен на тип порта «сетевой» в одноранговой сети vPC.Это включит проверку моста связующего дерева на одноранговой линии vPC при условии, что гарантия моста STP (которая включена по умолчанию) не отключена

    N5k-Secondary(config-if)# сеть типа порта связующего дерева

    Не рекомендуется Переносить VLAN без vPC на vPC Peer-Link , поскольку эта конфигурация может привести к серьезному нарушению трафика для не-vPC VLAN в случае сбоя vPC Peer-Link . Наконец, сообщения vPC Peer Keepalive не должны маршрутизироваться через vPC Peer-Link, поэтому VLAN, связанная с соединением Peer Keepalive (VLAN 23), не разрешена на vPC Peer-Link. Ссылка .

    Мы можем выполнить окончательную проверку нашего vPC с помощью команды show vpc :

    N5k-Primary# показать vpc

    Легенда:

                    (*) – локальный vPC не работает, переадресация через одноранговую связь vPC

    Идентификатор домена vPC                     : 1  

    Статус однорангового узла                      : смежность однорангового узла сформирована нормально     

    Состояние поддержания активности vPC             : одноранговый узел активен                      

    Статус согласованности конфигурации: успех

    Статус согласованности для каждой виртуальной локальной сети       : успех                      

    Состояние согласованности типа 2         : успех

    Роль vPC                         : основная

    Количество настроенных виртуальных ПК         : 0  

    Одноранговый шлюз                      : отключено

    Исключенные VLAN с двойной активностью        : –

    Изящная проверка согласованности        : включено

    Состояние автоматического восстановления              : Включено (время ожидания = 240 секунд)

    Состояние одноранговой связи vPC

    ————————————————– ——————–

    id   Порт   Статус Активные вланы   

    —   —-   —— ————————————- ————-

    1    Po23   вверх     10

    Проверка vPC на вторичном узле:

    N5k-Secondary# показать vpc

    Легенда:

                    (*) – локальный vPC не работает, переадресация через одноранговую связь vPC

    Идентификатор домена vPC                     : 1  

    Статус однорангового узла                      : смежность однорангового узла сформирована нормально     

    Состояние поддержания активности vPC             : одноранговый узел активен                      

    Статус согласованности конфигурации: успех

    Статус согласованности для каждой виртуальной локальной сети       : успех                      

    Состояние согласованности типа 2         : успех

    Роль vPC                         : вторичная, рабочая первичная

    Количество настроенных виртуальных ПК         : 0  

    Одноранговый шлюз                     : отключено

    Исключенные VLAN с двойной активностью        : –

    Изящная проверка согласованности        : включено

    Состояние автоматического восстановления              : Включено (время ожидания = 240 секунд)

    Состояние одноранговой связи vPC

    ————————————————– ——————–

    id   Порт   Статус Активные вланы   

    —   —-   —— ————————————- ————-

    1    Po23   вверх     10

    Выходные данные show vpc показывают, что одноранговая связь vPC успешно установлена ​​между коммутаторами Nexus 5548.

    Шаг 5. Настройте отдельные виртуальные компьютеры на подчиненные устройства

    Теперь можно настроить отдельные виртуальные компьютеры , так как домен vPC был правильно установлен на предыдущем шаге.

    Отдельные виртуальные компьютеры используются для подключения сетевых устройств к обоим коммутаторам центра обработки данных. Например, маршрутизатор или сервер может подключаться двумя или более сетевыми интерфейсами к обоим коммутаторам одновременно для повышения избыточности и доступности полосы пропускания.

    Для каждого отдельного vPC канал порта настроен на обоих одноранговых коммутаторах vPC .Затем два канала порта связываются друг с другом путем назначения номера vPC интерфейсам канала порта :

    .

    интерфейс Ethernet1/1

      описание *** Подключено к ISR Gig0/2/4 ***

      коммутатор доступа к vlan 10

      скорость 1000

      группа каналов 10

    интерфейс порт-канал10

      коммутатор доступа к vlan 10

      vpc 10

    В нашей настройке vpc index 10 был назначен port-channel 10 .Как правило, рекомендуется сохранять одинаковыми порт-канал (например, порт-канал 10) и индекс vpc   (например, vpc 10), чтобы упростить отслеживание и избежать ошибок конфигурации.

    Наконец, номер порта vPC (например, порт-канал 10) для нижестоящего устройства (например, маршрутизатора) уникален для каждого отдельного vPC в домене vPC и должны быть идентичны между двумя одноранговые коммутаторы, как показано на схеме ниже:

     

    Конфигурация канала порта Nexus vPC для нижестоящих устройств

    Наконец, порты участников vPC должны иметь совместимую и согласованную конфигурацию для всех портов обоих коммутаторов.Вот конфигурация основного коммутатора Nexus :

    .

    интерфейс Ethernet1/1

      описание *** Подключено к ISR Gig0/2/0 ***

      коммутатор доступа к vlan 10

      скорость 1000

      группа каналов 10

    интерфейс порт-канал10

      коммутатор доступа к vlan 10

      vpc 10

    Проверка нашего vPC на нисходящее устройство от основного vPC:

    N5k-Primary# показать vpc | начать «статус vPC»

    статус vPC

    ————————————————– —————————

    id     Порт        Статус  Согласованность  Причина                    Активные вланы

    —— ———– —— ———– ————— ———– ———–

    10     Po10        вверх     успех     успех                             10          

    Проверка нашего vPC на нисходящее устройство от вторичного vPC:

    N5k-Secondary# показать vpc | начать «статус vPC»

    статус vPC

    ————————————————– —————————

    id     Порт        Статус Согласованность Причина                     Активные вланы

    —— ———– —— ———– ————— ———– ———–

    10     Po10        вверх     успех     успех                    10        

    Шаг 6: (Необязательно) Включите функцию однорангового шлюза для изменения операции FHRP

    Функция однорангового шлюза vPC заставляет одноранговый узел vPC выступать в качестве шлюза для пакетов, предназначенных для MAC-адреса однорангового устройства .Таким образом, он обеспечивает локальную пересылку таких пакетов без необходимости пересечения vPC Peer-Link . Эта функция оптимизирует использование одноранговой связи и позволяет избежать потенциальной потери трафика в сценариях FHRP .

    При включении функция однорангового шлюза должна быть настроена как на первичном, так и на вторичном одноранговых узлах vPC:

    N5k-Primary(config)# vpc домен 1

    N5k-Primary (config-vpc-domain)# одноранговый шлюз

    Настройка вторичного однорангового узла vPC:

    N5k-Secondary(config)# домен vpc 1

    N5k-Secondary (config-vpc-domain) # одноранговый шлюз

    Шаг 7. (Необязательно) Включите функцию однорангового коммутатора для оптимизации поведения STP с vPC

    Эта функция позволяет паре коммутаторов Cisco Nexus отображаться как одиночный корень связующего дерева в топологии уровня 2.Это устраняет необходимость привязывать корень связующего дерева к основному коммутатору vPC и улучшает конвергенцию vPC в случае сбоя основного коммутатора vPC:

    N5k-Primary(config)# vpc домен 1

    N5k-Primary (config-vpc-domain) # одноранговый коммутатор

    Настройка команды peer-switch на вторичном vPC:

    N5k-Secondary(config)# домен vpc 1

    N5k-Secondary (config-vpc-domain) # одноранговый коммутатор

    Шаг 8: (необязательно) Оптимизируйте производительность vPC: команды «ip arpsync», «отложенное восстановление», «автоматическое восстановление», «мягкая проверка согласованности» и «приоритет роли»

    Настройте следующие команды vPC в режиме конфигурации домена vPC. Это повысит отказоустойчивость, оптимизирует производительность и уменьшит сбои в работе vPC.

    Функция ip arp synchronize позволяет синхронизировать таблицу ARP, когда появляется одноранговая ссылка . vPC предлагает возможность отложить восстановление портов vPC на настраиваемое время с помощью команды delay restore , которая полезна, чтобы избежать блокировки трафика после перезагрузки коммутатора. Команда auto-recovery имеет таймер по умолчанию из 240 секунд .

    Кроме того, рекомендуется использовать функцию изящной проверки согласованности синхронизации конфигурации , чтобы свести к минимуму сбои при возникновении несоответствия типа 1 . Примерами несоответствий типа 1 могут быть режим STP или тип порта STP между одноранговыми коммутаторами vPC. Выходные данные show vpc Consistency-parameters global иллюстрируют параметры Type 1 и Type 2 для vPC.

    Приведенные ниже команды включают и настраивают все вышеупомянутые функции:

    N5k-Primary(config)# vpc домен 1

    N5k-Primary(config-vpc-domain)# отложенное восстановление 360

    N5k-Primary (config-vpc-domain)# автоматическое восстановление

    Предупреждение:

    Включает восстановление виртуальных компьютеров в состоянии отсоединения однорангового узла после перезагрузки, будет ждать 240 секунд, чтобы определить, недоступен ли одноранговый узел

    N5k-Primary (config-vpc-domain) # изящная проверка согласованности

    N5k-Primary (config-vpc-domain)# ip arp синхронизация

    После настройки первичного коммутатора мы применяем ту же конфигурацию к вторичному коммутатору :

    .

    N5k-Secondary(config)# домен vpc 1

    N5k-Secondary (config-vpc-domain) # отложенное восстановление 360

    N5k-Secondary (config-vpc-domain) # автоматическое восстановление

    Предупреждение:

    Включает восстановление виртуальных компьютеров в состоянии отсоединения однорангового узла после перезагрузки, будет ждать 240 секунд, чтобы определить, недоступен ли одноранговый узел

    N5k-Secondary (config-vpc-domain) # изящная проверка согласованности

    N5k-Secondary (config-vpc-domain) # ip arp синхронизация

    Наконец, следует отметить, что можно установить приоритет роли в конфигурации домена vpc с помощью команды , приоритет роли , чтобы повлиять на выбор основного коммутатора vPC.

    Значение приоритета роли по умолчанию равно 32 667 , а коммутатор с самым низким приоритетом выбирается в качестве основного коммутатора vPC .

    Если первичный коммутатор vPC активен и одноранговый канал vPC выходит из строя , вторичный коммутатор vPC приостанавливает свои порты-члены vPC , чтобы предотвратить двойной активный сценарий , в то время как vPC сохраняет все свои порты-члены vPC активными .По этой причине рекомендуется, чтобы потерянные порты (порты, подключенные только к одному коммутатору) были подключены к основному коммутатору vPC .

    Команда show vpc Brief отображает идентификатор домена vPC , статус Peer-Link , статус сообщения Keepalive , является ли согласованность конфигурации успешной , и является ли одноранговой ссылкой одноранговой сформировался. В нем также указано состояние канала порта vPC (Po10 в нашей настройке).

    N5k-Primary# Показать краткое описание vpc

    Легенда:

                  (*) – локальный vPC не работает, переадресация через одноранговую связь vPC

    Идентификатор домена vPC                     : 1  

    Статус однорангового узла                      : смежность однорангового узла сформирована нормально    

    Состояние поддержки активности vPC             : одноранговый узел активен                

    Статус согласованности конфигурации: успех

    Статус согласованности для каждой виртуальной локальной сети       : успех                      

    Состояние согласованности типа 2         : успех

    Роль vPC                        : первичная, рабочая вторичная

    Количество настроенных виртуальных ПК         : 1

    Одноранговый шлюз                     : Включено

    Одноранговый шлюз исключен VLAN     : –

    Исключенные VLAN с двойной активностью       : –

    Изящная проверка согласованности       : включено

    Статус автоматического восстановления             : Включено (время ожидания = 240 секунд)

    Состояние одноранговой связи vPC

    ————————————————– ——————–

    id   Порт   Статус Активные вланы  

    —   —-   —— ————————————- ————-

    1   Po23   вверх     10                                                   

    статус vPC

    ————————————————– —————————

    id     Порт       Статус Согласованность Причина                     Активные вланы

    —— ———– —— ———– ————— ———– ———–

    10     Po10        вверх     успех     успех                           10        

    Команда show vpc Consistency-parameters полезна для устранения неполадок и определения конкретных параметров, которые могли привести к сбою проверки согласованности либо на vPC Peer-Link , либо на vPC с поддержкой Portchannels :

    N5k-Primary# показать глобальные параметры согласованности vpc

       Легенда:

           Тип 1: vPC будет приостановлен в случае несоответствия

    Имя                      Тип Локальное значение           Одноранговое значение            

    ————               —- ———————- ———- ————-

    QoS                        2     ([ ], [ ], [ ], [ ], [ ],   ([ ], [ ], [ ], [ ], [ ],

                                   [ ])                  [ ])                  

    Network QoS (MTU)        2     (1538, 0, 0, 0, 0, 0) (1538, 0, 0, 0, 0, 0)

    Network Qos (Pause)        2     (F, F, F, F, F, F)     (F, F, F, F, F, F)  

    Входная очередь (пропускная способность)   2     (100, 0, 0, 0, 0, 0)   (100, 0, 0, 0, 0, 0)

    Входная очередь (Абсолютная     2     (F, F, F, F, F, F)     (F, F, F, F, F, F)  

    Приоритет)                                                               

    Очередь вывода (пропускная способность) 2     (100, 0, 0, 0, 0, 0)   (100, 0, 0, 0, 0, 0)

    Постановка в очередь вывода (Абсолютная   2     (F, F, F, F, F, F)     (F, F, F, F, F, F)  

    Приоритет)                                                               

    Режим STP                  1     Rapid-PVST             Rapid-PVST          

    STP отключен              1     Нет                   Нет                       

    STP MST Region Name         1     “”                     “”                 

    STP MST Region Revision     1     0                    0                  

    STP Регион MST Экземпляр до 1                                             

    Сопоставление VLAN                                                          

    STP Loopguard              1     Отключено               Отключено            

    STP Bridge Assurance       1     Включено               Включено             

    Тип порта STP, Edge       1     Обычный, отключен,     Обычный, отключен,    

    BPDUFilter, Edge BPDUGuard       Отключено               Отключено            

    STP MST Имитация PVST       1     Включено               Включено              

    Групповой лимит отслеживания IGMP   2     4000                  4000                

    Interface-vlan admin up     2     10                     10                 

    Маршрутизация интерфейса-vlan     2     10                     10                 

    Возможность

                                                                   

    Разрешенные сети VLAN              –     10                     10                

    Локальные приостановленные сети VLAN                                                    

     

    N5k-Primary# показать параметры согласованности vpc vpc 10

       Легенда:

           Тип 1: vPC будет приостановлен в случае несоответствия

    Имя                      Тип Локальное значение           Одноранговое значение            

    ————               —- ———————- ———- ————-

    Shut Lan                  1     Нет                    Нет                

    Тип порта STP               1     По умолчанию               По умолчанию              

    STP Port Guard             1     Нет                  Нет               

    STP MST Simulate PVST       1     По умолчанию               По умолчанию              

    режим                      1     вкл                     вкл                

    Скорость                      1     1000 Мбит/с             1000 Мбит/с            

    Дуплекс                    1     полный                   полный               

    Режим порта                  1     доступ                доступ             

    MTU                        1     1500                   1500                

    Режим порта администратора             1     доступ                доступ              

    Тип карты vPC              1     Пусто                Пусто               

    Разрешенные сети VLAN              –     10                     10                

    Локальные приостановленные сети VLAN                                            

    Наши коммутаторы Nexus 5500 использовали интерфейс управления для установления между ними канала проверки активности vPC .Интерфейсы управления на обоих коммутаторах подключены к коммутатору управления 2960 Catalyst, который был случайно отключен из-за незапланированного отключения питания, что привело к отключению интерфейса управления и канала проверки активности vPC . Как этот сбой повлияет на настройку Nexus vPC?

    Ответ:

    не повлияет на обслуживание инфраструктуры Nexus! Прочтите подробное объяснение в разделе сценариев сбоя vPC в этой статье.

    В этой статье мы рассмотрели функции Nexus vPC и рекомендации по проектированию vPC . Кроме того, мы обсудили компоненты архитектуры vPC и объяснили важность каждого компонента.

    Далее мы проанализировали различные сценарии сбоя vPC , в том числе Ошибка одноранговой связи vPC и Сбой канала проверки активности одноранговой сети . Мы сравнили vPC с технологией VSS , разработанной для коммутаторов Catalyst, чтобы обеспечить возможности функций MEC.Наконец, в руководстве по настройке vPC и разделе передового опыта показано, как настроить vPC и применить дополнительные команды настройки для повышения отказоустойчивости и сокращения сбоев в операциях vPC. Мы также предоставили полезные команды show , необходимые для проверки и устранения неполадок состояния vPC .

    Назад в раздел Cisco Data Center

    Как изменить свой IP-адрес (6 способов, 5 бесплатных)

    Большинство устройств в Интернете используют для связи IPv4-адреса, и мир постепенно внедряет замену IPv4, IPv6.Каждому устройству, подключенному к Интернету, нужен уникальный IP-адрес, чтобы подключаться и общаться с другими устройствами в сети.

    Адрес IPv4 выглядит так:

    123.45.67.89

    А адрес IPv6 выглядит так:

    2001:0db8:85a3:0000:0000:8a2e:0370:7334

    Если вы подключены к Wi-Fi прямо сейчас, вы, вероятно, используете общедоступный IP-адрес со всеми остальными, подключенными к той же сети Wi-Fi, но каждое устройство имеет свой собственный локальный IP-адрес .Однако, если вы пользуетесь смартфоном и используете мобильное соединение для передачи данных, у вас вполне может быть свой собственный общедоступный IP-адрес.

    Когда большинство людей говорят об изменении своего IP-адреса, они имеют в виду свой общедоступный IPv4-адрес . Этот адрес видят и используют большинство веб-сайтов, серверов, онлайн-игр и других устройств в Интернете.

    Однако в этой статье речь пойдет об изменении вашего IP-адреса, будь то IPv4 или IPv6, общедоступный или частный.

    Зачем мне менять IP-адрес?

    Многие онлайн-сервисы имеют географические ограничения, что означает, что они недоступны за пределами страны их происхождения.Единственный способ получить доступ к этим услугам из-за границы — подключиться к VPN-серверу в этом месте. Это дает вам действительный IP-адрес и делает веб-сайт или онлайн-сервис снова доступным.

    Если вы отправляетесь в отпуск за границу, услуги из дома, такие как интернет-банкинг или потоковые сервисы, будут географически ограничены. В результате вам нужно будет использовать VPN, чтобы получить IP-адрес в вашем родном округе.

    Наконец, VPN может помочь вам обойти ограничения правительства, интернет-провайдера или локальной сети.Подключившись к VPN, вы можете получить IP-адрес в стране, где по-прежнему доступен контент с локальной цензурой. Благодаря конфиденциальности, обеспечиваемой VPN, вы можете получить доступ к этим обычно подвергаемым цензуре услугам без отслеживания.

    Какие VPN лучше всего подходят для изменения вашего IP-адреса?

    1. NordVPN : Лучший VPN для изменения вашего IP-адреса . Быстрые серверы в 59 странах. Приложения для всех популярных устройств. Множество расширенных функций. Политика отсутствия регистрации. Работает с Netflix US, iPlayer и многими другими.
    2. Surfshark : лучший бюджетный VPN для смены IP. Разрешает неограниченное количество подключений. Отлично подходит для семей. Приложения для всех популярных устройств. Встроенная блокировка рекламы и фильтрация вредоносных программ. 30-дневная гарантия возврата денег.
    3. ExpressVPN : Превосходный универсал. Высокая скорость благодаря протоколу Lightway. Серверы в 94 странах. Работает примерно с двумя десятками регионов Netflix.
    4. CyberGhost : лучший способ изменить свой IP для начинающих. Более 7000 быстрых серверов в 89+ странах.Быстрые соединения Wireguard. Приложения для всех устройств. Простые в использовании приложения с меньшим количеством дополнительных настроек.
    5. IPVanish : Быстрый VPN в США с собственной сетью. Множество расширенных функций безопасности. Нет политики журналов. Работает с Netflix США. Приложения для всех платформ.
    6. PrivateVPN : идеально подходит для торрентов. Функция Kill-switch и обфускация. Надежное шифрование AES. Отличные скорости. Серверы в 63+ странах.
    7. AtlasVPN : Отличный вариант для потоковой передачи.Работает с iPlayer, Hulu, Netflix и другими сервисами. Серверы в 30+ странах. Включает фильтрацию вредоносных программ.

    ХОТИТЕ ПОПРОБОВАТЬ ЛУЧШИЙ VPN БЕЗ РИСКА?

    NordVPN предлагает полнофункциональную безрисковую 30-дневную пробную версию , если вы зарегистрируетесь на этой странице . Вы можете использовать VPN с рейтингом № 1 для смены своего IP-адреса без каких-либо ограничений в течение месяца — отлично, если вы хотите обойти цензуру или географические ограничения.

    Никаких скрытых условий: просто свяжитесь со службой поддержки в течение 30 дней, если вы решите, что NordVPN вам не подходит, и вы получите полный возврат средств. Начните пробную версию NordVPN здесь .

    Как изменить свой общедоступный IP-адрес

    Вот несколько способов изменить ваш публичный IP-адрес(а):

    1. Подключитесь к VPN, чтобы изменить свой IP-адрес

    Сокращенно от Virtual Private Network, VPN шифрует ваше интернет-соединение и направляет его через сервер в выбранное вами место. Веб-сайты, онлайн-сервисы и другие устройства в Интернете будут видеть только IP-адрес VPN-сервера, а не ваш реальный IP-адрес.

    VPN полезны для загрузки торрентов, разблокировки контента с региональной блокировкой, такого как Netflix и BBC iPlayer, а также для обхода цензуры в школах, офисах и в таких странах, как Китай.

    Большинство VPN могут легко скрыть ваш IPv4-адрес, но многие VPN могут утечь ваш IP-адрес через различные уязвимости в системе безопасности. Кроме того, не все VPN скрывают ваш IPv6-адрес. Выберите VPN, которая либо отключает IPv6, либо может предотвратить утечку IPv6 по умолчанию.

    Если вы не знаете, как настроить VPN, просто выполните следующие простые шаги.

    Вот как изменить свой IP-адрес с помощью VPN:

    1. Зарегистрируйтесь у подходящего VPN-провайдера (мы рекомендуем NordVPN).
    2. Загрузите соответствующее приложение VPN для своего устройства.
    3. Откройте приложение VPN и выберите сервер, в вашей стране это нормально, хотя, если вы хотите получить доступ к определенной службе, обязательно выберите сервер в стране, где он разблокирован.
    4. Вот оно! Теперь у вас должен быть другой IP-адрес.

    ПОЛУЧИТЕ 30-ДНЕВНУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ NORDVPN

    NordVPN предлагает полнофункциональную безрисковую 30-дневную пробную версию , если вы зарегистрируетесь на этой странице

    05 05.Вы можете использовать VPN с рейтингом #1 по конфиденциальности без каких-либо ограничений в течение месяца . Этого времени более чем достаточно, чтобы опробовать его функции безопасности и посмотреть, подходят ли они.

    Никаких скрытых условий Если вы решите, что NordVPN вам не подходит, просто свяжитесь со службой поддержки в течение 30 дней, и вы получите полный возврат средств. Начните пробную версию NordVPN здесь .

    2. Используйте прокси для смены IP-адреса

    Прокси работают так же, как VPN, но с гораздо меньшей универсальностью и безопасностью. Ваше интернет-соединение проходит через сервер-посредник, поэтому веб-сайты и другие онлайн-ресурсы видят IP-адрес прокси-сервера, а не ваш собственный. В отличие от VPN, прокси-серверы часто не имеют шифрования, влияют только на определенные приложения и могут передавать ваш IP-адрес другими способами.

    Для изменения вашего IP-адреса можно использовать несколько разных типов прокси:

    • Прокси-серверы HTTP/S — обычно либо расширения браузера, либо специальные веб-сайты, которые работают как браузер в вашем браузере.Они только изменяют IP-адрес данных, отправляемых в ваш браузер и из него, но не влияют на другие приложения или даже на трафик DNS. Если включено шифрование, их иногда называют SSL-прокси.
    • Прокси-серверы SOCKS
    • — прокси-серверы общего назначения, которые можно настроить для определенных приложений, включая большинство веб-браузеров. Последняя версия SOCKS5 включает поддержку шифрования.
    • Прокси-серверы SSH — прокси-серверы SSH перенаправляют интернет-трафик из приложений, таких как ваш веб-браузер, через соединение Secure Shell (SSH) на сервер, поэтому ваш IP-адрес изменяется на адрес сервера.Хотя шифрование включено, SSH не является особенно быстрым протоколом, и многие веб-сайты и приложения могут работать неправильно при подключении.

    3. Используйте Tor для бесплатной смены IP-адреса

    Tor, сокращение от T he O nion R external, представляет собой анонимную сеть, управляемую добровольцами. Самый простой способ начать работу с Tor — загрузить и установить Tor Browser, простой веб-браузер, который направляет весь веб-трафик через сеть Tor. Tor несколько раз шифрует ваше соединение, а затем отправляет данные через несколько узлов — серверов, которыми управляют добровольные сторонники Tor.Каждый узел удаляет один уровень шифрования, а последовательность используемых узлов меняется каждый раз, когда вы заходите на другой веб-сайт. Это делает почти невозможным отследить трафик Tor до источника.

    Веб-сайты будут видеть IP-адрес последнего узла в цепочке, называемого выходным узлом.

    Tor бесплатен, но имеет свои недостатки. Он относительно медленный и подходит только для базового просмотра веб-страниц. Анонимность Tor означает, что он часто ассоциируется с незаконной деятельностью и даркнетом, поэтому, хотя это и не является незаконным, его использование может привлечь нежелательное внимание со стороны вашего интернет-провайдера и, возможно, даже правоохранительных органов.Эти объекты не могут видеть, что вы делаете при подключении к Tor, но они могут видеть, что вы подключены к узлам Tor.

    4. Измените IP-адреса, отключив модем

    Возможно, вы сможете получить новый IP-адрес, отключив интернет-модем, подождав несколько минут, а затем снова подключив его. Когда это происходит, вы освобождаете свой существующий IP-адрес, чтобы ваш интернет-провайдер мог его использовать. При повторном подключении ваш интернет-провайдер назначает вам новый IP-адрес.

    Нет гарантии, что этот метод сработает, потому что ваш интернет-провайдер может снова дать вам тот же IP-адрес.Однако чем дольше вы оставляете модем отключенным, тем выше вероятность изменения вашего IP-адреса. Если отключение от сети на несколько минут не помогает, подумайте о том, чтобы оставить его отключенным на ночь.

    Чтобы это работало, ваш интернет-провайдер должен использовать динамические IP-адреса. Большинство делает.

    5. Попросите вашего интернет-провайдера изменить ваш IP-адрес

    Другой вариант — запросить у вашего интернет-провайдера новый IP-адрес. У каждого интернет-провайдера свои правила обработки таких запросов, поэтому ответы могут различаться.Как минимум, вам понадобится информация о вашей учетной записи и текущий IP-адрес.

    Большинство интернет-провайдеров используют системы динамических IP-адресов, что означает, что IP-адреса время от времени меняются и повторно используются, когда устройства подключаются и отключаются от Интернета. Имея это в виду, обратите внимание, что ваш новый IP-адрес может не оставаться неизменным навсегда.

    В некоторых случаях вы можете запросить статический IP-адрес у своего интернет-провайдера, хотя для этого может потребоваться дополнительная плата и/или прохождение процесса подачи заявки.Получив статический IP-адрес, вы можете ввести его в сетевых настройках вашего устройства. Статические IP-адреса никогда не меняются, если вы не измените их вручную.

    6. Измените сети, чтобы получить другой IP-адрес

    Это может показаться очевидным, но вы можете получить другой IP-адрес, отключившись от любой сети, к которой вы в данный момент подключены, и подключившись к другой. Например, вы можете переключиться на другую сеть Wi-Fi или переключиться с Wi-Fi на мобильное подключение для передачи данных, если вы используете смартфон.

    Помните, что общедоступные и открытые точки доступа Wi-Fi часто являются основными охотничьими угодьями для хакеров. Попробуйте использовать сеть Wi-Fi, которая требует пароль и зашифрована с помощью WPA2.

    Как изменить свой частный IP-адрес

    Если вы подключены к Wi-Fi-маршрутизатору, то, вероятно, вы используете общий IP-адрес со всеми другими устройствами, подключенными к той же сети. Однако каждое устройство имеет свой собственный частный или локальный IP-адрес .

    Изменение вашего локального IP-адреса на самом деле не повлияет на то, как ваше устройство взаимодействует с другими устройствами и серверами через Интернет, но могут быть случаи, когда вам нужен другой частный IP-адрес.К ним относятся устранение неполадок неисправного маршрутизатора или настройка того, как локальные устройства, такие как принтеры и устройства IoT, работают в вашей домашней сети.

    Обновите свой локальный IP-адрес

    Если вы подключены к Wi-Fi или другому типу локальной сети, вы можете изменить свой частный IP-адрес в панели администратора маршрутизатора или на самом устройстве. Я покажу вам, как это сделать в Windows и MacOS.

    Вот как обновить свой IP-адрес в Windows:

    1. Найдите командную строку и щелкните ее правой кнопкой мыши, чтобы Запуск от имени администратора
    2. Введите ipconfig/выпуск
    3. Введите ipconfig /renew

    Теперь вы должны увидеть новый локальный IP-адрес.

    Вот как обновить свой IP-адрес на Mac:

    1. Щелкните меню Apple и откройте Системные настройки
    2. Выбрать Сеть
    3. Выделите сеть, к которой вы подключены, на левой панели
    4. Щелкните Дополнительно…
    5. Выберите вкладку TCP/IP
    6. Нажмите Продлить аренду DHCP

    Теперь вашему Mac должен быть назначен новый локальный IP-адрес.

    Процесс изменения локальных IP-адресов на маршрутизаторе зависит от производителя маршрутизатора и прошивки.Обычно вы можете получить доступ к панели администратора вашего маршрутизатора, открыв веб-браузер и введя 192.168.0.1 или 192.168.1.1 в адресной строке.

    Как изменить свой IP-адрес на мобильном устройстве?

    Изменить свой IP-адрес легко на мобильном телефоне или планшете. Все, что вам нужно, это VPN. В этом руководстве мы порекомендовали лучшие VPN для изменения вашего IP-адреса. Наши рекомендации имеют серверы, расположенные по всему миру, чтобы вы могли получить IP-адрес, где бы он вам ни понадобился.Чтобы изменить свой IP-адрес на мобильном устройстве, выполните следующие действия:

    .
    1. Зарегистрируйтесь в VPN, перейдя по ссылке в этом руководстве.
    2. Установите приложение VPN для Android или iOS на свое устройство. Вы можете найти его в обычном магазине приложений.
    3. Запустите приложение VPN и войдите в систему, используя свои учетные данные.
    4. Выберите VPN-сервер из списка и нажмите подключить .
    5. Ваш IP-адрес изменится, как только будет установлено VPN-подключение.

    Ваш интернет-провайдер всегда знает ваш IP-адрес

    Независимо от того, какие методы вы используете для изменения или сокрытия IP-адреса, общедоступные IP-адреса всегда известны интернет-провайдеру.Это неизбежно, потому что для того, чтобы вообще подключиться к Интернету, ваш интернет-провайдер должен назначить вам IP-адрес, и он должен знать, что это за IP-адрес, чтобы передавать сообщения и данные из Интернета на ваше устройство.

    Таким образом, даже если вы использовали один из вышеперечисленных методов для маскировки своего IP-адреса от веб-сайтов, служб и других устройств в Интернете, ваш интернет-провайдер является исключением, которое может видеть за маской.

    Даже если ваш интернет-провайдер может идентифицировать вас по вашему IP-адресу, вы можете скрыть свою онлайн-активность с помощью шифрования.VPN или Tor зашифруют все данные еще до того, как они покинут ваше устройство, поэтому, даже если ваш интернет-провайдер может видеть, что вы общаетесь, он не может видеть содержимое этих сообщений.

    Если вам нужен простой способ изменить свой IP-адрес на IP-адрес другого интернет-провайдера, попробуйте переключиться между Wi-Fi и мобильным подключением для передачи данных вашего смартфона. Скорее всего, ваш оператор мобильной связи и домашний интернет используют разных интернет-провайдеров.

    .

    Добавить комментарий

    Ваш адрес email не будет опубликован.