10G 网络升级(Nexus 752 其他技术细节)

trunk
默认情况下,trunk 端口会放行所有的 vlan 流量,这个我们之前也没有太在意,就使用的默认配置,如果放行所有,那么会造成 trunk 端口收到来自所有 vlan 的广播流量。所以让 trunk 链路只放行必要的 vlan,可以节约大量的链路带宽。因此有必要掌握下 switchport trunk allowed 的基本用法的。

VTP
VTP(feature vtp) 本意是好的,但是使用不当,尤其是网络规模大了之后,会造成灾难性的后果。开启这个特性之后,需要严格遵循制定的流程,变更时无比反复的确定细节。另外设置 vtp 密码之类的也能派上一些用场。我们最终评估下来决定取消这个协议,fex 的一个巨大的变革就是减少工程师的操作负担,直接在 Nexus 5000 上操作就可以,保守起见,还是不要开启这个特性。

checkpoint/rollback
checkpoint/rollback 的配置,这个还是蛮重要的,在做一些重要变更之前,先 checkpoint 一遍再执行接下来的操作。

ISSU
升级,通过数据平面跟控制平面的分离,可以做到无缝升级,即不需要重启。当其在处理数据平面的流量时,不会动用 CPU 资源,而是通过 ASIC 以硬件的方式做转发;而处理平面/控制平面则不同,这也是 CoPP 存在的意义。

VRF
这个技术在 IOS 的 12.x 版本就出现了,目前最新的 15.x 同样有(为什么跳过了 13 跟 14,自己猜)。跟三层相关的都需要用到这个了。在使用 sh ip int brie 查看的时候记得最后要加上 vrf management;同样的,如果要 ping 这个管理 ip,需要 ping ip vrf management。可以直接下面这个方式直接切换:
# routing-context vrf management

fex(fabric extender) 的连接方式
有 passthru 以及 crossover 两种。根据之前查阅的大量文档发现,使用 passthru 这种方式会加易于管理,另外,crossover 的方式在某些情况下会出现流量分配异常的情况。至于 fex 一些细节问题看官方的这个文档应该就能覆盖大部分的问题了。

pinning
对于一台普通的接入机器来说,4 个 10G 做一个上联,剩余的 48 个千兆做接入,其 oversubscription 达到了 48×1/10 = 4.8:1。如果每 12 个端口对应一个 10G 端口,这样 oversubscription 变会下降到 1.2:1,但是如果其中一条物理链路出现了问题,其对应的 12 个端口也就报废。对于 fex 来说,有 static pinning 以及 etherchannel 两种方式,其中前者就是上面那种使用物理链路的方式而后者则使用的虚拟链路。如果要使用 etherchannel 的方式,其 pinning max-links 则必须设置为 1一般情况下使用 etherchannel 会比 static 的方式更有优势

HSRP
关于 vPC 跟 HSRP 之间的配合以及可能会出现的问题,可以参见这个文档。官方建议在 vPC 的 primary 上配置 master HSRP 而在 secondary 上配置 standdy 的 HSRP。

其余的问题参见官方的两篇文档应该就差不多了,写的很详细。
Nexus 7000 Series Switches Using HSRP Configuration Example
Configuring HSRP

AAA
官方有一个 TACACS+ 以及 RADIUS 的比较,总的说来,还是使用 TACACS+ 更有优势。
如果要快速入门,学习 tacacs+ 的使用,可以看这个两个(1, 2)文档。
除了通过在 752 上做 ACL 来控制访问之外,还可以直接在 tacacs+ 上做源 IP 的访问控制
关于在 752 上的 AAA 配置,可以这里

上面是一些需要重点关注的特性,其他的比如 syslog, snmp, ntp 等篇管理方面的可以看这里