Nexus简明配置指南

Nexus Configuration Simple Guide
初始化Nexus 2000 Fabric Module
Nexus 2000缺省不带任何的NX-OS以及配置，每次启动的时候，都会与上层交换机（Nexus5000或者Nexus7000）比对NX-OS版本和配置。

如果版本和配置有变化，则强制与上级交换机同步。

与Nexus2000连接的交换机使用10GE接口相连，交换机接口需要进行如下配置，以便
通过一段时间的监测，上层交换机就可以发现并且配置Fabric Module。

由于在上层交换机上看到的端口都是本地端口，所以这个具有fex-fabric角色的端口算是一个功能很特殊的Trunk。

置和管理。

但是为了保证Fabric Module在系统切换时保持正确的形态，我们需要在两侧的上层交换机上同步配置。

划分Nexus 7010 VDC
VDC是Nexus7000系列的特色功能。

通过将物理机箱划分为多个逻辑交换机，核心交换机区域将可以获得多台物理隔离的高性能交换机。

VDC具有完全隔离的路由表，VRF和接口，因此可以获得真实交换机属性的配置。

VDC的资源是占用全局机箱的，因此在必要的时候，需要通过调整VDC资源配置来进行VDC功能和性能的调整。

所有进入VDC的接口和资源都不能被其他VDC或者缺省VDC使用。

通过命令可以查看挡墙VDC的数量和状态。

系统机箱本身默认为VDC1，最多可以建立3个另外的VDC。

登录到系统默认的VDC1下，可以通过switchto vdc命令在不同的VDC之
位于其他VDC当中，无法通过switchto vdc的方式进行VDC的跳转。

系统保存配置和reload都有针对单独VDC的配置。

不同VDC的名称，除了在vpc命令中直接指定，还可以进入到VDC配置界面后，直接用hostname命令进行更改。

基于EthernetChannel的vPC
vPC是Cisco NX-OS由于解决STP Block端口而使用的技术。

通过将两台设备虚拟成一台设备，使得系统可以使用两套冗余链路转发数据。

vPC完全基于EthernetChannel技术，所有成员组都必须在EthernetChannel当中，除了peer-link keepalive。

vPC仅仅能作用在二层Trunk结构下，完全不兼容任何L3环境。

vPC使用连接设备的peer-link必须使用10G以太网接口，而peer-link keepalive必须是路由接口。

配置手册推荐使用单独的VRF来隔离，以便于减小地址管理压力。

首先，配置L3端口，保证双方可以ping通：
vPC结构当中，应当尽可能保证所有peer-link链路的可靠性，不可靠的keepalive链路将会导致一些vPC Domain重新收敛。

具体情况请见后面描述。

其次，进行完L3配置后，配置vPC Domain。

一台设备属于且只能属于一个vPC Domain，一个vPC Domain有且只能拥有两个成员。

Domain的配置当中，需要指定vPC对端设备的IP 地址，如果这个设备的地址不在default VRF当中的时候，需要指定源地址：
完成这一步配置，将可以保证vPC组可以通过peer-link keepalive来检测和通告对端状态。

再次，配置peer-link。

Peer-link是vPC转发机箱间流量的链路，因此链路只能使用10G 以太网，配置手册推荐使用至少2条10G以太网电缆进行捆绑：
最后，将一段设备连接到两侧设备链路推入各自的EthernetChannel的组，并且将参加配置的EthernetChannel加入vPC组，保证对应的EthernetChannel在相同的转发vPC当中，便完成该配置：
在配置当中，vpc的数字和port-channel的数字必须相同，并且这两个数字必须和Domain 的数字不同。

否则，将会导致vpc无法启动的问题。

vPC配置的两端都必须是相容的Trunk配置，例如LACP或者no protocol。

LACP System priority的一致，有利于vPC状态下LARP的收敛，手册推荐配置为vPC成员设备拥有相同的值。

配置需要再全局和vPC配置模式下使用。

如果在配置中发现如下现象，则应当首先检查vPC中，成员EthernetChannel配置是否正常：
注记：
对于不同的设备和不同的拓扑形态，vPC的具体配置也会有所不同。

1．对于简单的downstream设备
如图所示：
对于简单的downstream设备，两台Nexus设备使用标准的vPC配置方法。

两台设备之间配置peer-link和peer-link keepalive链路，在完成vPC配置之后，将于downstream连接的接口划入一个EthernetChannel，即便是该EthernetChannel也无妨，然偶将这个EthernetChannel接口划入到对应的vpc中，完成虚拟转发。

2．对于Nexus推荐的域环境
如图所示：
在Nexus5k和Nexus7k当中，使用fullmesh的结构来连接。

通过vPC技术，中间这四条链路可以保持全活的状态，结合vPC形成的虚拟拓扑，实际上相当于单台Nexus5k和Nexus7k之间连接了一条40G的链路，从而极大的提高了转发能力。

在这种配置实例当中，Nexus5k和Nexus7k需要单独配置自己的vPC Domain，在各自的vPC Domain正常建立后，将交叉的线路绑定成EthernetChannel，绑定协议不限于LACP或者no protocol。

下面的配置仅列出了左侧5k和7k的相关配置。

通过将同一台设备的两条链路捆绑成EthernetChannel，并将其放入相同的vPC转发组，来完成双向的配置。

CAUTION
配置当中，并需保持vPC两侧配置的同步，即，两侧的VLAN，接口，VDC配置应当一致，若配置不一致，则会导致vPC工作不正常。

所有的EthernetChannel必须工作在Trunk模式下，需要用Switchport mode trunk方式和做显式的指派，否则会导致vPC工作不正常。

割裂的vPC：HSRP和STP
vPC处于割裂状态时，vPC Domain成员的状态取决于当前的系统角色（system role）。

当vPC Peer-link Keepalive链路中断时，所有的数据转发都不会受到影响；当vPC Peer-link链路中断时，处于Secondary角色的设备，所有处于vPC成员组的EthernetChannel都会被置为Down状态，使得该设备从vPC管理域中离线，从而停止数据转发，直到链路被修复。

当vPC Domain成员都处在正常工作状态时，对于vPC Peer-link和vPC Peer-link Keepalive的中断都不会终止系统的数据转发，只是vPC收敛可能会导致丢失1~2个数据包。

但是处于下列情况，会导致vPC Domain出现数据转发问题：
保证vPC Domain正常工作，将两台设备中间的链路全部中断，然后在两侧都配置reload restore命令情况下，重启两侧vPC Domain成员，在经过240s后，两侧设备都会处于双活状态，从而导致数据转发环路。

该问题尚未得到Cisco官方解答，但是从得到的消息看，应该是STP导致的二层环路所致。

使用vPC配置命令：peer-switch也许可以解决这个问题。

该问题必须经由严格的操作时序才可重现。

vPC上的HSRP进行了特殊的修正，HSRP的Active负责相应ARP请求，但是standby角色也可以转发带有目的地为HSRP组虚拟MAC地址的数据包，这样就实现了HSRP的Load-Balance。

和HSRP一样，GLBP也是vPC所支持的热备份网关协议，但是GLBP通过AVG相应不同的ARP请求，并回应给不同AVF的MAC地址的方式来进行负载均衡。

但是HSRP在vPC环境中，收敛速度比GLBP更快。

在vPC当中，所有HSRP、GLPB或者VRRP的，处于Active角色设备，都必须配置在vPC的Primary设备上；同样的，STP配置中，关于VLAN的根桥，也必须和Primary设备保持一致。

HSRP在两侧应当拥有相同的HSRP组号，并且同一组号在单一VDC上不能重复。

基于vPC 的HSRP不能使用USE-BIA参数。

vPC的细部配置
role priority
vPC在没有role priority配置的情况下，由桥MAC来决定谁是primary设备，MAC绝对值较小的会当选，如果配置了role priority的，则该项配置值相对较小的会当选。

但是要shut peer-link一次，才能完成更改。

System-priority
这是vPC当中对于LACP的配置。

如果该值不配置，则不影响，但是如果配置了，则vPC Domain 中设备的system-priority值必须相同，如果不匹配，vPC启动可能会遇到麻烦。

Reload restore
该命令用于帮助Nexus启动后，找不到vPC对端时仍能激活vPC的功能。

缺省情况，如果vPC成员设备启动后无法找到对端，会导致所有vPC功能端口出于down状态，不能转发数据。

配置了这个命令后，该单独启动的设备会在最少240s后，将vPC成员端口转变为up状态，并且开始转发数据。

CAUTION
在vPC成员设备间所有电缆，包括peer-link和peer-link keepalive电缆中断的情况下，并且两侧vPC全部配置reload restore，将会在两端设备重新启动完成后，存在vPC双活，Nexus 将会与上层转发设备之间形成数据环路。

该情况仅出现在Nexus推荐的域环境中，并且要严格遵循步骤，才能出现。

Peer-switch
Peer-switch命令用于将vPC Domain成员设备虚拟成一个STP的根，从而实现生成树结构的优化，减少Primary设备失败后的STP重算时间。

Nexus的SPAN
Nexus支持SPAN，ESPAN和ERSPAN。

SPAN方式被称为本地SPAN，用于本地交换机接口作为源和目的；ESPAN用于将SPAN流量的目的设定为某个VLAN，并通过Trunk实现远程的SPAN；ERSPAN用于将SPAN流量封装在GRE中，通过路由方式进行远端的SPAN。

Nexus7000最大可以存在48个Session，但是只能有两个在工作；Fex端口只能做SPAN的源，不能做span的目的；EthernetChannel成员不能当span的源，nexus5K上连接fex接口不能当span的源；Nexus5K仅支持SPAN，而Nexus7K则支持所有的SPAN类型。

VDC的MGMT接口
MGMT接口在所有VDC当中共享。

在非VDC1中，show interface status 不显示，但是使用命令interface mgmt0仍然可以将地址进行配置。

所有VDC的MGMT接口地址应当在同一个子网内。

DOWN的VLAN端口
在基于vPC的配置中，如果vPC Domain成员交换机关于VLAN配置不一致，就会导致VLAN 接口总是处于DOWN的状态，而无法被激活。

Nexus7K中，VLAN的配置和Interface VLAN的配置是相分离的，仅有Interface VLAN而没有VLAN，是会导致VLAN接口在两侧的配置不同，从而导致L3VLAN接口处于DOWN的状态。

缺省情况下，L3VLAN接口被shutdown，需要使用no命令激活。

Nexus的路由
Nexus的OSPF
在Nexus当中，OSPF的带宽计算参考值已经从原来的100Mbps更改为40Gbps，并设定为默认值。

Nexus的OSPF已经不允许在OSPF进程下进行网络的宣告，所有对于OSPF的网络宣告都要
Nexus上的NLB
基于Windows Server系列操作系统的NLB，实验确认可以被支持。

标识一个部件
Nexus常常由很多部件构成，例如Fabric Module，或者xBAR等等，使用下面的命令可以激活面板上的Identification灯，从而标识出需要更换或者处理的模块。

locator-led {chassis | fan f-number | module slot | powersupply ps-number | xbar x-number}
no locator-led{chassis | fan f-number | module slot | powersupply ps-number | xbar x-number}
这个命令模板是基于Nexus7k的，在Nexus5k上有些参数不能用，但是有fex参数用来标识Fabric Module
光纤的类型
Nexus5000的配置同步
Nexus5000配置同步可以节省配置时间。

配置同步需要在Nexus5000的Config Sync模式下进行配置；配置的同时，要求vPC工作正常。

同步配置的配置方法：
如果在verify过程当中出现错误提示的，一般应首先检查实际配置和将要发放的配置是不是有相互矛盾的地方，比较接口角色冲突。

如果没有明显错误，仍然提示校验失败的，则应当按照下面的配置，进行一次数据库的同步。