本节书摘来自异步社区《NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)》一书中的第1章,第1.5节,作者 【美】Ron Fuller, CCIE#5851 , David Jansen, CCIE #5952 , Matthew McPherson,更多章节内容可以访问云栖社区“异步社区”公众号查看
1.5 VDC
NX-OS与Cisco Nexus交换技术:下一代数据中心架构(第2版)
Nexus 7000 NX-OS软件支持VDC(Virtual Device Context,虚拟设备环境),可以将单台Nexus 7000物理设备划分为多个逻辑设备。这种逻辑划分能力具有以下好处:
控制与管理分离;
不同VDC的变更与故障域相互隔离;
地址、VLAN、VRF和vPC隔离;
每个 VDC 都相当于一台独立的设备,每个 VDC 都能实现独立的 RBAC (Roles- Based Access Control Management,基于角色的访问控制管理)功能,从而允许大量VDC在维持丰富的、精细的RBAC能力的同时,由不同的管理员进行分别管理。通过该功能,每个管理员都能安全地定义独立于其他 VDC 的VRF名称和VLAN ID,因为每个VDC都维护了自己独有的软件进程、配置以及数据平面转发表。
此外,每个 VDC 都维护了一个单独的 HA(High-Availability,高可用性)策略,定义了 VDC 内部发生故障后系统所要采取的操作。根据系统的硬件配置情况,可以关闭或重启 VDC,或者重新加载控制引擎。对于冗余控制引擎配置来说,可以关闭或重启VDC,也可以发起控制引擎切换操作。
例1-11显示了监控VDC资源的方式。
例1-11 监控VDC资源的方式
例 1-11 的输出结果显示了特定 VDC 中用于特定类型路由的共享内存量。其中,u4route-mem行表示了单播IPv4路由的内存使用情况,前五项至port-channel是内存数量,其余的-mem信息均以MB为单位。
注:有关详细信息请参考第6章。
VDC之间共享的组件如下所示:
支持所有进程和VDC的单一内核实例;
控制引擎模块;
交换矩阵模块;
电源;
风扇架;
系统风扇架;
CMP;
CoPP;
硬件SPAN资源。
图 1-5 显示了在Nexus 7000 上利用 VDC 进行逻辑分段的情况。一种常见应用场景就是横向整合,以减少数据中心汇聚层中的物理交换机数量。图 1-5 显示了两台Nexus 7000物理机箱以及逻辑VDC的部署情况。
默认 VDC 是一个具有全部能力的全功能 VDC。默认 VDC 拥有默认 VDC 所特有的特殊任务。默认 VDC 的特有任务如下所示。
创建/删除/挂起 VDC。
资源分配:接口和内存。
跨所有 VDC 进行NX-OS升级。
升级EPLD(用于新的硬件功能特性)。
Ethanalyzer功能:控制平面/数据平面(携带 ACL)流量。
为Nexus 2000、FabricPath和FCoE安装功能特性集。
CoPP。
端口通道负载均衡。
硬件IDS检查控制。
如果满足操作与管理需求或满足任务需求,默认VDC也完全可以用于生产性流量,而某些用户则可能会将默认VDC保留用作管理功能。
非默认 VDC 也是一种拥有全部能力及规模的全功能 VDC。VDC 功能特性是一系列能力的超集,以下功能特性是VDC能力的一个子集:
非默认VDC的变更仅影响该特定VDC;
每个VDC中的每种协议都使用独立的进程;
每个VDC都有独立的配置文件;
每个VDC都有独立的检查点;
独立的RBAC、TACACS、SNMP等;
独立的VLAN、VRF、生成树控制平面或拓扑结构、路由协议、私有 VLAN等。
NX-OS 5.1版本引入了定义每个 VDC行为的模块型参数,可以指定5种不同类型的I/O模块。
m1:指定该VDC只能包含M1模块。
m1-xl:指定该VDC只能包含M1-XL模块。
f1:指定该VDC只能包含F1模块。
f2:指定该VDC只能包含F2模块。
m2xl:在该VDC中启用M2型模块。
默认VDC是limit-resource module-type f1 m1 m1-xl m2-xl (default):默认VDC在VDC中启用了混合的 M1、M1-XL 和 F1 模块,例 1-12 解释了创建 VDC 并将资源模块类型限定为F1模块的方式。
例1-12 创建VDC模块类型
注:配置VDC模块类型时,满足以下条件时将出现下述结果:冲突模块将被置于“suspended(挂起)”状态。利用OIR(Online Insertion and Removal,在线插拔)机制,在带电状态下,虽然该模块处于OK状态,但是无法对这些接口进行配置,只能对这些接口进行VDC分配。也就是说,将F1接口从M1-only VDC迁移到F1或混合模式VDC。
Nexus 7000引入NX-OS 5.2.1之后,就可以对F1系列I/O模块创建FCoE存储VDC。如果要在 F2 和 F2-e 上支持 FCoE,那么必须部署 Supervisor-2 或 Supervisor-2e 以及NX-OS 6.1.1及更高版本。存储VDC可以实现传统FC(Fibre Channel,光纤通道)SAN拓扑结构:Fabric A与Fabric B分离。目前仅支持单个存储VDC,不能将默认 VDC 设置成存储VDC。为了保持当前运行模式,存储VDC可以将LAN管理员与SAN管理员的工作职责分离。存储VDC在Nexus 7000中创建了具有以下功能特性的“虚拟”MDS。
作为完整的FCF参与网络。
分区、FC别名、fcdomains、IVR、矩阵绑定(Fabric Binding)等。
支持FCoE目标。
支持到其他交换机的FCoE ISL:Nexus 7000、5000和MDS。
每个机箱只有一个存储VDC。
不需要高级许可证(VDC)。
计入 VDC 总数:目前每台 Nexus 7000 在Supervisor-1 情况下最多支持 4 个VDC,在Supervisor-2的情况下支持4+1 个VDC,在Supervisor-2e情况下支持8+1个VDC。
共享接口,通常一个接口只能位于一个VDC中,共享接口是该规则的例外情况。共享接口的概念适用于服务器中安装了CNA的F1、F2和F2e模块。流量基于二层Ethertype(以太网类型),以太网VDC“拥有”该接口,存储VDC也能看见该接口。
作为唯一的例外情况,共享接口允许两个 VDC 共享同一个接口。当 F1 接口连接了运行FCoE的CNA(Converged Network Adapter,融合网络适配器)时就支持共享接口,根据二层Ethertype信息可以实现流量分离。FCoE包括两类组件,这两类Ethertype只会被引导到运行了FCoE的存储VDC中,其他Ethertype都会被引导到以太网VDC(非存储VDC)中:
1.控制平面,FIP(FCoE Initialization Protocol,FCoE初始化协议)Ethertype值为0x8914。
2.数据平面,FCoE Ethertype值为0x8906。
图 1-6给出了共享接口的概念。其中,连接Nexus 7000 F系列模块上的服务器中安装了CAN。
Nexus 7000对共享接口的要求如下:
最低软件版本为NX-OS 5.2(1);
接口必须是F1、F2或F2e I/O模块;
在默认 VDC 与存储VDC之间共享;
在非默认VDC与存储VDC之间共享;
必须将该接口分配给以太网VDC;
必须在以太网VDC中将共享接口配置为802.1q中继接口;
必须将 ASIC 上的两个端口都配置为共享接口,并将共享接口分配给存储VDC。
例1-13显示了在Nexus 7000上配置共享接口的方式。
例1-13 在Nexus 7000上配置共享接口
由于每个 VDC 都相当于一台交换机,因而为了实现 VDC 之间的通信,必须满足以下条件:
必须使用前面板端口进行VDC之间的通信,目前还不支持软交叉连接或背板进行VDC之间的通信;
存储共享端口;
前面板端口的安全模型必须保持一致,以确保QoS、ACL、NetFlow等资源;
L2/L3或线卡型号没有限制;
在VDC之间使用vPC或vPC+时,必须确保域ID的唯一性。
1.5.1 VDC配置
本节将讨论VDC的创建过程。创建了 VDC之后,还要为VDC分配资源。NX-OS始终从默认的admin VDC(管理VDC,即VDC 1)开始创建VDC。
注:目前每台配置了Supervisor-1的Nexus 7000机箱最多可支持4个VDC:默认VDC(VDC 1)和3个附加VDC。可以用Supervisor-2或Supervisor-2e配置附加VDC;而Supervisor-2支持4个VDC和1个admin VDC,Supervisor-2e支持8个VDC和1个admin VDC。不能为admin VDC分配任何数据平面接口,admin VDC中只能有mgmt0接口。
例1-14在Egypt上配置了名为core的VDC。
例1-14 在Egypt上配置名为core的VDC
创建了 VDC 之后,必须为 VDC 分配相应的物理资源。根据交换机中安装的以太网模块,支持的接口分配情况如下。
对于32端口10GE模块(N7K-M132XP-12和N7K-M132XP-12L)来说,以端口组(port-group)为基础分配接口资源,一共8个端口组。例如,端口组1的接口是e1、e3、e5、e7,端口组2的接口是e2、e4、e6、e8。
M2模块可以在VDC或机箱内与M1/F1模块共同使用。
1.5.2 VDC接口分配
Nexus 7000机箱安装的硬件模块不同,相应的接口分配方式也有所不同。下面将详细讨论每种硬件模块及其接口分配情况。
1.接口分配:N7K-M132XP-12和N7K-M132XP-12L
以每个VDC为基础分配接口,而且不能跨VDC共享接口。将接口分配给VDC之后,该VDC的后续配置就完成了。N7K-M132XP-12和N7K-M132XP-12L要求以4端口的端口组方式分配接口,以保持ASIC资源的一致性:
以每个VDC为基础分配接口,而且不能跨VDC共享接口;
将接口分配给VDC之后,该VDC的后续配置就完成了;
N7K-M132XP-12和N7K-M132XP-12L要求以4端口的端口组方式分配接口,以保持ASIC资源的一致性。
图1-17显示了N7K-M132XP-12和N7K-M132XP-12L模块的接口分配情况。
2.接口分配:N7K-F132XP-15
以每个VDC为基础分配接口,而且不能跨VDC共享接口(除非有FCoE)。将接口分配给VDC之后,该VDC的后续配置就完成了。N7K-F132XP-15要求以2端口的端口组方式分配接口,以保持ASIC资源的一致性:
以每个VDC为基础分配接口,而且不能跨VDC共享接口(除非有FCoE);
将接口分配给VDC之后,该VDC的后续配置就完成了;
N7K-F132XP-15要求以2端口的端口组方式分配接口,以保持ASIC资源的一致性。
图1-18显示了N7K-F132XP-15模块的接口分配情况。
3.接口分配:N7K-M108X2-12L
以每个VDC为基础分配接口,而且不能跨VDC共享接口。将接口分配给VDC之后,该VDC的后续配置就完成了。N7K-M108X2-12L上的每个端口都有自己的ASIC:
以每个VDC为基础分配接口,而且不能跨VDC共享接口;
将接口分配给VDC之后,该VDC的后续配置就完成了;
N7K-M108X2-12L上的每个端口都有自己的ASIC。
图1-19显示了N7K-M108X2-12L模块的接口分配情况。
4.接口分配:10/100/1000模块
以每个VDC为基础分配接口,而且不能跨VDC共享接口。将接口分配给VDC之后,该VDC的后续配置就完成了。M1 48端口线卡有4个12端口的端口组:
以每个VDC为基础分配接口,而且不能跨VDC共享接口;
将接口分配给VDC之后,该VDC的后续配置就完成了;
M1 48端口线卡有4个12端口的端口组;
建议将同一端口组的所有成员都分配给同一个VDC。
图 1-20 显示了 N7K-M148GS-11 和N7K-M148GS-11L 以及 N7K-M148GT-11 和N7K-M148GT-11L模块的接口分配情况。
读者遇到的一个常见问题就是“Nexus 7000 I/O模块的器件编号(part number)是什么意思?”例如,器件编号N7K-M108X2-12L意义如下。
N7K:Nexus 7000 I/O模块。
M1:M1转发引擎。
08:模块上的接口号。
X2:光接口类型。
1:模块h/w版本。
2:需要两个交换矩阵,无N+1交换矩阵冗余。
L:XL版本,需要XL许可证。
器件编号N7K-F132XP-15意义如下。
N7K:Nexus 7000 I/O模块。
F1:交换矩阵模块。
32:模块上的接口数量。
XP:光接口类型SFP+。
1:模块h/w版本。
5:需要5个交换矩阵,无N+1交换矩阵冗余。
5.M2模块的接口分配
对M2模块来说,端口是以VDC为基础进行分配的,而且不能跨VDC共享端口。
注:不能虚拟化物理接口之后将虚拟化后的逻辑接口关联到不同的VDC。支持的配置方式是虚拟化物理接口并将虚拟化后的逻辑接口关联到不同的VRF或不同的VLAN。默认情况下,所有的物理端口都属于默认VDC。
例1-15解释了将接口分配给VDC的方式。
例1-15 将接口分配给VDC
为了验证接口的分配情况,可以使用命令show vdc membership(如例1-16所示)。
例1-16 验证分配给VDC的接口
除了接口之外,还可以将其他物理资源分配给 VDC,包括IPv4路由内存、IPv6路由内存、端口通道以及SPAN会话等。需要配置这些资源的分配值,以免单个VDC独占所有的系统资源。例1-17解释了这些系统资源的配置方式。
例1-17 分配系统资源
在VDC配置子模式下还可以定义 VDC 的 HA 策略。利用命令ha-policy即可为VDC定义相应的HA策略(如例1-18所示)。
例1-18 更改VDC的HA策略
HA策略取决于使用场景或VDC的角色。例如,如果Nexus 7000安装了双控制引擎模块,或者 VDC 角色是开发/测试,那么 VDC HA策略可能就是直接关闭该VDC。如果 VDC角色是核心层或汇聚层用例,那么HA策略可能就应该是切换。
