VSS,IRF,VPC,VDC总结

这份文档我只是总结性质的，大部分还是其他人写的，感谢为这份文档付出努力的人北京-小小CiscoCatalyst6500VSS系统概述1)CiscoCatalyst6500系列虚拟交换系统1440初始版本可以整合两台物理的Ciscocatalyst6500系列交换机成为一台单一逻辑上的虚拟交换机。

图5介绍了VSS的工作模式，两台CiscoCatalyst6509交换机配置虚拟交换系统后，就可以当作一台单独的CiscoCatalyst6509交换机进行管理。

图5.CiscoVirtualSwitchingSystem启用虚拟交换系统技术是通过一条特殊的链路来绑定两个机架成为一个虚拟的交换系统，这个特殊的链路称之为虚拟交换机链路（VirtualSwitchLink,VSL）。

VSL承载特殊的控制信息并使用一个头部封装每个数据帧穿过这条链路。

2)CiscoCatalyst6500虚拟交换系统1440架构体系CiscoCatalyst6500虚拟交换系统允许合并两个交换机成为一台无论是从网络控制层面和管理视图上在网络上都是一个单独的设备实体。

对于邻居，这个虚拟交换系统相当于一台单独的交换机或者路由器。

在虚拟交换系统中，其中一个机箱指定为活跃交换机，另一台被指定为备份虚拟交换机。

所有的控制层面的功能，包括管理（SNMP，Telnet，SSH等），二层协议（BPDU,PDUs，LACP等），三层协议（路由协议等），以及软件数据等，都是由活跃交换机的引擎进行管理。

在活跃交换机上的超级引擎与备份交换机引擎上的PFC负责响应处理硬件转发信息到分布式转发卡（DFC）之上贯穿整个虚拟交换系统。

图6.ComponentsofCiscoVirtualSwitchingSystem从数据层面和流量转发图上来看，在虚拟交换系统1440中的所有交换机都参与流量转发。

在活跃虚拟交换机超级引擎上的PFC执行为所有进入活跃虚拟交换机的流量转发查找，位于备份状态的交换机引擎上的PFC执行为所有进入备份状态交换机流量转发查找。

加之所有DFCs通过整个Cisco虚拟交换系统同时执行数据包查询，这样就使Cisco虚拟交换系统合计就有超过800Mpps的IPv4查询性能。

因为虚拟交换系统中的所有交换矩阵都处于活跃状态，那么虚拟交换系统整体的交换矩阵性能达到1440Gbps，即1.44Tbps。

3)无环路技术VSS系统通过MEC（多机箱以太通道）建立一个无环路的拓扑结构，如下图所示图7、VSS1440Loop-FreeLogicalViewwithMultichassisEtherChannelVSS系统对外体现为单一独立的设备，通过STP技术来防止内部环路的产生。

4)VSS管理CiscoCatalyst6500系列虚拟交换系统1440的基本原理是设计允许集中管理全部网络和硬件资源，包括三层协议（OSPF、EIGRP、BGP等等）和二层协议（SPT、UDLD、LACP、流控等）。

在Cisco虚拟交换系统中一个超级引擎作为整个虚拟系统的主管理单元。

带有担当主要管理单元的这个机箱应用为活跃交换机，另一交换机箱应用为备份交换机。

做为主要管理单元的引擎作为活跃引擎，而在虚拟交换系统另一个机箱中的引擎作为一个热备份引擎。

可以使用下面的命令检查这个设置信息。

o使用超级引擎两个上行端口做VSL在这个案例中，两个CiscoVSS成员通过一个2端口的VSL捆绑通道连接。

图11显示了通过超级引擎720-10GVSS上的两个10Gigabit以太网上行端口形成VSL。

图11、VSLFormedoutofTwo10GigabitEthernetUplinkPorts这个设计方案允许冗余的VSL连接和依赖极少的硬件部件。

然而，如果一个VSL出现故障（在本案例中是超级引擎），整个VSL也将fail，由此会产生一个双活跃的情况。

在初期的VSS版本中不支持在引擎冗余，那么在本案例中由于引擎10G以太网接口数量有限，而又没有外部支持VSL的10G以太接口，VSL的带宽也不能进行扩展。

o只使用线卡上的两端口做VSL图12所示的CiscoVSS系统通过两个端口捆绑成VSL进行连接，是使用线卡的而不是引擎上的上行链路端口。

图12.VSLComprisingofInterfacesontheCisco8-Port10GigabitEthernetSwitchingModule这个案例需要除引擎外的硬件支持，但是也提高了冗余性：VSL可以避免在物理链路以及整个VSL模块fail，这个方案也可以提供VSL带宽的扩展性能。

o同时使用引擎和线卡两个端口做VSL图13显示了连接两个VSS成员的VSL两个端口，这案例使用了引擎和一个8端口10G以太网线卡，以增加带宽和冗余。

图13.VSLMembersAcrossSupervisorEnginePortsand8-Port10GigabitEthernetSwitchingModule这个设计方案，可以提供VSL连接冗余，需要比单独使用引擎更多的硬件，但是对于以后增加VSL带宽和冗余性能是大有好好处的。

o多CiscoVSS域在网络中设计多CiscoVSS域可以增加网络的可扩展性和可用性。

Cisco建议使用一个唯一的域来标识每一对VSS虚拟交换机。

图14显示了在一个网络中设计多VSS域的例子，这个图显示出有三个VSS域，每一个都有一个的域ID。

你也可以设计一个多机箱Cisco以太通道链路连接其它的CiscoVSS系统，消除其它依赖的协议如生成树协议。

图14、多CiscoVSS域另一个多CiscoVSS域例子是在二层上邻接WAN设计。

可能是出于商业或者是应用上在两个不同地理区域站点可路由的三层WAN连接不需要一个2层的连接，但是同时还需要链路冗余。

最终需要二层冗余协议来实现（如stp）等，产生一个复杂的拓扑以及低效率网络链路带宽应用。

可以使用Cisco以太通道构成多机箱的CiscoVSS系统来缓解带宽的问题。

6)高可靠性技术CiscoVSS系统主要是NSF/SSO高可用性协议，这些复杂的协议在前面讲过一些，具体的可以到下面的链接找到更多更详细的介绍：*NSF/SSO:/univercd/cc...2sx/swcg/nsfsso.htm*RPR:/univercd/cc...2sx/swcg/redund.htm当你集成两个机箱为一个单独的单元时系统的高可用性即发生改变。

为了利用NSF/SSO中最新的技术，CiscoVSS系统使用这个冗余机制为单一个机架环境执行一个高可用性模块。

(图15)图15、高可靠性设计在一个SSO系统中，“高可用性查觉”协议和特性可以从活跃引擎同步事件和状态信息到热备份超级引擎上。

从冗余架构层面来看，主引擎担当一个服务器的角色，反之备引擎担当一个客户的角色，“高可用性查觉”协议将在这两个实体之间同步像failover事件等状态信息，，备份引擎不需要重新学习这些信息，可以降低中断的时长。

图15所示，假设switch1在一个激活的VSS中为活跃超级引擎，另一个switch2在VSS中为热备份引擎，可以执行下面的命令来检查：在这个输出显示，如果故障出现在活跃引擎或者活跃虚拟交换机，SSO交换激活，在switch2热备份引擎成为活跃Cisco虚拟交换系统的活跃引擎，这个转换大约需时50ms。

7)VSS系统的特点主要以下几点*增加带宽，可达1.44Tbps*无环路架构，通过STP技术防止环路*高可靠性*简化网络结构，以独立的设备身份部署到网络中*部署方式简单*目前版本只支持两Catalyst6500系列机箱两引擎的VSS，未来版本有可能支持多机箱多引擎Cisco6500VSS与H3CIRF对比比较VSS/IRF先说下VSS/IRF，这两个技术基本上没有啥差别。

VSS（VirtualSwitchingSystem）是只在Cisco6500系列交换机上实现的私有技术，IRF（IntelligentResilientFramework）是在H3C所有数据中心交换机中实现的私有技术。

二者的关键技术点如下：1、专用链路跑私有协议：VSS使用VSL（VirtualSwitchLink），IRF使用IRFlink来承载各自的控制平面私有交互协议VSLP和IRF。

专用链路使用私有协议来初始化建立邻接、协商主备（描绘拓扑）、同步协议状态，同时会在虚拟化完成后，传输跨机框转发的数据流量。

二者都推荐使用10GE链路捆绑来做专用链路，说明私有协议交互和跨框传输的流量会很大。

2、基于引擎的主备模式：二者的控制平面都是只有一块主控引擎做为虚拟交换机的主控制引擎，其他的引擎都是备份。

所有的协议学习，表项同步等工作都是由这一块引擎独立完成。

好在这些设备大都是分布式交换，数据转发的工作由交换板自己完成了，只要不是类似OSPF邻居太多，拓扑太大等应用情况，一块主控大部分也都能搞定了。

注意Cisco6500必须使用Supervisor720主控配合带转发芯片的接口板才能支持VSS。

3、跨设备链路聚合：前面说了网络虚拟化主要是应对二层多路径环境下防止环路，因此跨设备链路聚合就是必须的了。

Cisco配合VSS的专用技术名词是MEC（MultichassisEtherChannel），IRF倒是没有啥专门的名词，其链路聚合也和单设备上配置没有区别。

4、双活检测处理：当VSL或IRFlink故障后，组成虚拟化的两个物理设备由于配置完全相同会在网络中出现双活节点，对上下游设备造成IP网关混乱。

因此VSS/IRF都设计了一些双活处理机制以应对专用链路故障。

1）首先网络中如果有跨设备链路聚合时，VSS使用PAgP、IRF使用LACP扩展报文来互相检测通知；2）如果有富裕接口在虚拟化的两台物理设备间可以单独再拉根直连线路专门用做监控，VSS使用VSLPFastHello、IRF使用BFD机制进行检测通知；3）另外VSS还可以使用IPBFD通过互联的三层链路进行监控，IRF则支持使用免费ARP通过二层链路进行监控。

上述几种方式都是监控报文传输的链路或者外层承载协议不同。

当发现专用链路故障时，VSS/IRF操作结果目前都是会将处于备份状态的物理机框设备的所有接口全部关闭，直到专用链路恢复时再重新协商。

需要注意这两种虚拟化技术在进行初始协商时都需要将角色为备份的机框设备进行重启才能完成虚拟化部署。

下面以CiscoVSS的三种故障检测方式举例，IRF也差不多。

除了上述4个关键技术点外，VSS/IRF还有一些小的相似技术设定，如Domain的设定、版本一致性检查、三层虚接口MAC协商等等，都是基于方方面面的细节需求来的。

由于应用环境相似，因此实现的东西也区别不大。

想想RFC中的OSPF和BGP到现在都还在不断的推出新的补充标准和Draft来查漏补缺，就知道细节的重要性了。

VSS特色一些的地方是结合了Cisco6500的NSF（NoneStopForwarding）和SSO进行了主控板故障冗余和版本升级方面的可靠性增强。

而IRF则是将虚拟化延伸到了H3C接入层设备5800系列盒式交换机上（最大支持8或9台物理设备虚拟化为一台逻辑设备），可以打造逐层虚拟化的数据中心网络。

VSS和IRF都是当前较为成熟的虚拟化技术，其优点是可以简化组网，便捷管理，缺点则是扩展性有限，大量的协议状态同步工作消耗系统资源，而且纯主备的工作方式也导致了主控引擎的资源浪费。

vPCCisco在其新一代的数据中心交换机Nexus7000和5000系列中摒弃掉VSS，推出了vPC（virtualPort-Channel）特性。

简单一些理解，VSS/IRF是整机级别的虚拟化，vPC是接口级别的虚拟化，而且从名称就可以看出是只支持链路聚合的虚拟化技术。

从下图的vPC结构上就能看出，vPC和VSS从技术体系构成上其实没有大的区别。

其中Peer-Link对应VSL，Peer-KeepaliveLink对应前面做双活检测的VSLPFastHello链路，CFSProtocol对应VSLP。

但是因为其控制平面机制与VSS一样要协商出主备角色，并由唯一的Master来管理vPC接口组，因此在扩展性方面同样被限制得很死，无法大规模进行部署，所以与VSS/IRF一同被归类为控制平面多虚一技术。

从Cisco放出的vPC技术胶片就能看到，画了一堆组网限制和注意事项，部署起来比VSS/IRF要更加复杂。

另外Arista的MLAG（Multi-ChassisLinkAggregation）技术和vPC很相似，学习时可以借鉴参考。

VSS与vPC对比一、VPC特点：跨机箱多链路捆绑；避免以太网环路；增加链路带宽；双活的工作机制，支持双机箱双引擎；故障时可以实现快速收敛；网络架构简单、更可靠。

二、MCE(Multi-ChassisEtherchannel)共性部署模式图VSS－MEC和VPC都是将Port-channel的概念扩展到两个独立的物理交换机；在接入到分布层均不依赖于STP技术；有效使用2层带宽；简化网络设计。

三、详细比对VSSonCatalyst6500vPCAvailabilitySoftware12.2(33)SXH1N7K-4.1(Q4CY08)N5k-4.1(Q3CY09)GeneralMulti-chassisEtherchannel(Active-active)YesYesLoad-BalancingatL2/L3YesYesControlPlane/HAControlPlaneUnifiedIndependentConfigurationFilesUnifiedIndependentSupervisorRedundancySinglesup(redundancyacrosschassis)RedundantsupervisorsperchassisL2LinkAggProtocolLACP,PaGP(+)LACPSTPRequiredNoNoL3SingleLogicalGatewayYes(NoNeedforFHRP)Yes,active-activeHSRPRoutingInstanceSingleIndependentVDCVDC（VirtualDeviceContexts）是Cisco基于操作系统级别的一虚多网络虚拟化技术。

下面列表用于展示几项主要网络一虚多技术的区别。

从下图的NXOS模型和VDC模型，可以看出VDC是建立在底层OS之上的，因此推测其采用的应该是前文中提到的OS-Level虚拟化技术。

现阶段Cisco公布的软件规格为每物理设备最多虚拟4个VDC，并支持每VDC4kVLANs和200VRFs进行分层次虚拟化部署。

按照云计算的需求来看，一般给每个用户分配的都是以带宽为度量的网络资源，不会以交换机为单位进行虚拟网络资源非配。

即使是给的话，一台N7000只能虚拟4个VDC也不够用户分的。

如果纯粹的流量隔离需求，最多使用到VRF也就够了，再多层次的虚拟化目前还看不清使用场景需求。

又回到了前面的老话，正确的网络设计原则永远是自顶向下的。

VDC可说的东西就这么多了，更多的就涉及到NXOS的核心设计了，Cisco也不太可能会向外公布。

从Cisco的行业地位来看，未来的1-2年左右，其他各个设备厂商相应的私有技术都会随之跟进。

也许实现手段和市场宣传各有春秋，但就技术使用和用户体验来说不会有多大差别。

再简单聊两句VLAN和VPN这两个熟透了的一虚多技术。

VLAN好理解，就是在Ethernet报头中加个Tag字段，多了个层次区分，将Ethernet层面数据报文划分从一维转成二维，瞬间规模就大了N倍，随之也使Ethernet的复杂度大大增加。

VPN就稍微复杂些了，谁让当初IP设计时候没有考虑预留其他Tag标识字段这块呢。