지난 번에 포스팅했던 vPC에서의 HSRP의 연장선상의 내용인 Peer-gateway에 대한 부분입니다.

문의사항이나, 잘못된 부분이 있으면 댓글 부탁드립니다 .^^

 


vPC Peer-gateway

일부 Third-Party 단말기는 HSRP의 가상 Mac-Address를 무시하고, HSRP RouterSource Mac-Address를 사용한다 vPC 환경에서 HSRP RouterPeer-link를 통해 Source Mac-Address가 전달되기 때문에, 위와 같은 비정상적인 ARP동작은 Loop Prevention에 의해 잠재적이 패킷 유실 가능하게 한다.

 

 

 

 

 

vPC Peer-gateway를 설정하면, vPC Peer 간의 BIA(Burned-In-Address)정보를 G flag(Gateway flag)와 함께 복사하여  Peer-link거치지 않고 트래픽 전송을 가능하게 해준다.  (Loop Prevention에 의한 패킷 유실 방지) 

 

vPC Peer-gateway 설정은 항상 활성화하는 것을 권고한다. 표준 ARP Request를 수행하지 않는 장비가 연결되지 않아서 해당 기능이 반드시 필요하지 않아도 vPC DomainPeer-gateway 설정을 해두는 것이 좋다. (활성화에 따른 문제점 없음)

 

• Traffic 기능적으로 기존에 영향을 미치지 않는다.

 

• ICMP redirects는 비활성화 된다 .

 

• Peer-gateway 설정 및 활성화 상태 확인

 

 

 • Peer-gateway 설정에 따른 Mac-Address Table 비교

 

 

Posted by 네떡지기

 이제는 매번 같은 얘기의 반복이지만, 또 간만에 포스팅을 하게 되네요.

 바쁜 탓도 있고, 부족한 내공 탓에 이해하고 정리하는 데 시간이 오래 걸리는 탓도 있습니다.

 이번 포스팅과 다음 포스팅은 연장선상에 있을 예정입니다.

 이번에는 vPC 구조에서 HSRP와 VRRP 동작과 관련된 내용입니다. 기존 동작 방식과는 조금은 다른 방식이고

 다음 포스팅에 나올 얘기에 필요한 부분입니다. ^^

 

 


 

vPC에서 HSRP/VRRP 동작

기존 구조에서 HSRP/VRRP와 같은 Gateway 이중화는 Active-Standby 구조로써, Active 장비만 Virtual Gateway MAC-Address

 를 가지고 트래픽을 전송하도록 되어있지만, vPC에서는 Virtual Gateway MAC-AddressActvieStandby 장비 모두에서 가

 지게 되어 Dual-Active로써 트래픽을 전송할 수 있다.

• vPC에서 Active-Active 구조를 위해서 추가적인 설정은 따로 필요하지 않으며, vPC Domain이 설정되고, SVIHSRP/VRRP

  Group 활성화되면 HSRP/VRRP는 기본적으로 Active-Active 구조가 된다. (Data Plane 관점)

하지만, ARP request에 대한 응답은 기존과 마찬가지로, Primary(Active) 장비에서만 가능하다.

  (Control 관점에서는 여전히 Active-Standby)

vPC의 이러한 향상된 전송 방식으로 인해서, vPC peer linkvPCpeer 장비의 모든 vPC Port를 사용할 수 없는 경우를 제외

  하고는 vPC 트래픽을 전송하지 않는다. 이로인해 vPC 스위치의 추가적으로 증가할 경우에 vPC peer link의 대역폭을 확장할

  필요가 없다.

  그러나, vPC peer link의 역할의 중요성 때문에 vPC peer link는 서로 다른 I/O 모듈에서의 두 개의 전용 10GE Link로 구성하는

  것이 좋다

    Peer link를 통해서 들어온 FramevPC Port로 나가려고 하면, NexusLoop avoidance 매커니즘에 의해서 Drop 된다.

• vPC에서 FHRP 동작 시, Data Plane관점에서 vPC장비들은 이러한 Actvie-Active로 동작하면서 데이터를 전송하기 위해서,

  vPC 장비 양쪽 모두 MAC address tableFHRPvirtual MAC-address을 위해,  아래와 같이 G bit(Gateway bit)를 할당한다.

• vPC Actvie쪽은 sup-eth1(R) , vPC Standby쪽은 vPC Peer-link로 나오는 데, 이를 통해 어떤 장비가 HSRP/VRRP

   Active/Standby 인지 알 수 있다.  (Control Plane 관점)

 

 

 

  NEXUS_1# sh mac address-table addr 0000.0c07.ac6e

  Legend:

          * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC

          age - seconds since last seen,+ - primary entry using vPC Peer-Link

     VLAN     MAC Address      Type      age     Secure NTFY Ports/SWID.SSID.LID

  ---------+-----------------+--------+---------+------+----+------------------

  G  10      0000.0c07.ac6e    static       -       F    F  sup-eth1(R)

 

 

  NEXUS_2# sh mac address-table addr 0000.0c07.ac6e

  Legend:

          * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC

          age - seconds since last seen,+ - primary entry using vPC Peer-Link

     VLAN     MAC Address      Type      age     Secure NTFY Ports/SWID.SSID.LID

  ---------+-----------------+--------+---------+------+----+------------------

  G   10      0000.0c07.ac6e    static       -       F    F  vPC Peer-Link(R)

 

 

 

 

vPC에서 HSRP/VRRP 가이드라인과 제약사항

HSRP/VRRPActive-Active mode로 동작하기 때문에 구성 시, Timer에 대한 부분을 크게 고려하지 않고 Default로 사용해도 무방하다.

• HSRP/VRRPActivevPC Primary 장비에 설정을 하고, StandbyvPC Secondary 장비에 설정하는 것이 운영상 편리하다.

• HSRP/VRRP가 설정된 interface VLAN에는 ip redirect를 비활성화 시킨다. (no ip redirect)

• vPC Domain에서는 HSRP/VRRP object tracking을 사용하지 않는 것을 권고한다.

  만일, object tracking을 통해서 SVIDown 상태가 되게 되면, 그림과 같이 vPC를 통해 전송된 트래픽이 peer link를 통해 gateway 가게 되면서, loop avoidance 메커니즘에 의해서 Drop되면서 정상적인 통신이 불가하게 될 수 있다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Posted by 네떡지기

티스토리 툴바