CISCO虚拟交换系统(VSS)技术课件

CISCO虚拟交换系统（VSS）技术交流

CISCO虚拟交换系统（VSS）技术交流

议题虚拟交换系统VSS技术概述VSS系统的硬件要求与限制VSS系统引擎冗余模式VSS系统启动序列VSS系统包处理方式VSS系统冗余切换事件VSS系统配置VSS系统运行维护议题虚拟交换系统VSS技术概述

虚拟交换系统VSS技术概述－传统冗余技术网络管理员在考虑网络可靠性的时候，通常都是采用冗余设备、冗余链路、相关L3/L2层技术保证，增加了管理成本与配置的复杂度传统冗余网络：虚拟交换系统VSS技术概述－传统冗余技术网络管理员在考虚拟交换系统VSS技术概述－VSS特点虚拟交换系统通过减少网络设备的数量和简化管理冗余设备和链路的方法来使网络简单化。虚拟交换系统（VSS）将两台CiscoCatalyst6500系列交换机组合为单一虚拟交换机，对外来看，只有一台交换机，管理冗余链路如同管理自己的一个单一接口。虚拟交换系统通过MEC多机箱通道技术减少了3层路由邻居和2层无环的拓扑，简化了网络的配置和操作。虚拟交换系统VSS技术概述－VSS特点虚拟交换系统通过减少网

物理连接：逻辑连接：虚拟交换系统VSS技术概述－MEC技术当互联的交换机连接到这个VSS时，是通过普通以太网通道(EtherChannel)技术分别连接到VSS系统两台交换机上实现的。而VSS则利用MEC技术在这个捆绑的逻辑端口上实现冗余和负载均衡。MEC技术使互联交换机好像与一台交换机进行互联。使VSS和下联交换机之间形成了一个无环的二层网络结构，不再需要生成树协议；VSS也可以通过减少三层路由邻居使三层网络拓扑简单化，VSS最大支持512个Etherchannel。这个限制包括Etherchannel和MEC。由于VSL需要两个Etherchannel号，所以能使用的Etherchannel有510个。物理连接：逻辑连接：虚拟交换系统VSS技术概述－MEC技术虚拟交换系统VSS技术概述－运行状态当你建立和开启一个VSS的时候，两台VSS成员设备通过相互协商，一个将变成Active状态，一个将变成standby状态。Active状态的设备将控制VSS，为两台设备所有模块运行2层和3层控制协议，也就是只有主设备的控制平面起作用，而两设备的数据平面都起作用。standby的设备将控制流量通过VSL（虚拟交换链路）交由active状态的设备统一处理。虚拟交换链路(VSL)是一条特殊的链路，他用来在一个VSS系统中的两台设备间传输控制信息和数据。VSL能把多达八条10GE物理链路捆绑在一起.在VSL中,控制信息比普通数据拥有更高的优先级,这样保证了控制信息优先传输和完整性。VSL中的数据通过Etherchannel技术进行负载均衡。建议VSL链路使用引擎上的10GE端口进行捆绑。两个设备分别用各自的接口转发进入的流量。并根据数据源与目的的实际情况尽量进行本地转发而不通过VSL进行转发。在VSS系统中，由于standby设备使用VSL监视active设备。一旦检测到active出现故障。standby设备将把自己转换成active状态ActiveStandby虚拟交换链路(VSL)VSS系统虚拟交换系统VSS技术概述－运行状态当你建立和开启一个VSS

VSS硬件要求和限制硬件/IOS要求与限制IOSCiscoIOS12.2（33）SXH及以后版本上市时间：2007年11月管理引擎VirtualSwitchingSupervisor720-10GE（VS-S720-10GE-3C和VS-S720-10GE-3CXL）上市时间：2007年11月模块所有带集中转发卡（CFC）的6700系列模块所有带分布式转发卡（DFC）3C或DFC3CXL的6700系列模块分布式转发卡（DFC）DFC3C（WS-F6700-DFC3C和WS-F6700-DFC3C-XL）VSL端口：VirtualSwitchingSupervisor720-10GE、WS-X6708-10G-3C、WS-X6708-10G-3CXL上面的万兆以太网端口最长VSL距离最长VSL距离取决于用于VSL万兆以太网连接的X2光纤：X2-10GB-CX4:15mX2-10GB-LX4:300mX2-10GB-SR:26m（FDDI级MMF）,300M（采用OM3MMF）X2-10GB-LR:10kmX2-10GB-ER:40kmX2-10GB-LRM:220m，采用MMF机箱所有

CiscoCatalyst6500机箱（不必同型号）电源CiscoCatalyst6503-E和6504-E交换机：所有所支持的电源CiscoCatalyst6506、6506-E、6509、6509-E、6509-NEB-A、6509-V-E和6513交换机：至少2500W服务模块目前新版本IOS12.2（33）SXI2支持FWSM防火墙模块、NAM网络分析模块、ACE应用控制引擎模块、WiSM无线服务模块、IDS入侵检测模块等所有服务模块广域网模块目前新版本IOS12.2（33）SXI2支持

VSS硬件要求和限制硬件/IOS要求与限制IOSCisVSS系统引擎冗余模式目前有SSO/NSF、RPR两种冗余模式运行在SSO模式下切换时间可以以毫秒计两个引擎运行在SSO模式的条件如下：两者运行的IOS版本必须一致两者的配置文件要一致VSL相关配置要一致PFC运行模式要一致SSO与NSF必须要两个引擎都要配置（如果有动态路由协议），不配置NSF情况下也能运行在SSO模式，但故障时间较长VSS系统引擎冗余模式目前有SSO/NSF、RPR两种冗余模VSS系统启动行为序列两个VSS成员会将VSS相关配置复制到SP配置中；在启动时进入SP软件启动时，vss初始化所有拥有VSL接口的模块，然后初始化VSL接口，并通过LMP（链路管理协议）检测VSL链路的存活与对等体的存在如果VSL断开则表示对等体不存在，则系统会将自已的角色定义为ACTIVE并完成启动如果对等体存活，则会与之通过RRP（角色决定协议）进行角色的协商，如果配置了VSS优先级，则优先级高者将为ACTIVE状态，而低者为STANDBY状态如果没配置优先级，则VSS－SW－ID号小者为ACTIVE，大者为STANDBY，如SW1为主，而SW2则为备standby状态的设备发送startup-config文件下的虚拟交换信息给active设备，active设备确定虚拟交换域，虚拟交换接点，交换机优先级，交换抢占参数，VSL标识，VSL数量，电源冗余模式以及VSL模块电源参数的一致性。如果一致则进入SSO冗余模式，否则将进入RPR冗余模式active设备同步配置和应用给standby设备如果优先级高且配置了抢占的设备启动后，等抢占计时器（默认为15分钟）到期后自己会变为主设备，而原来的主设备会自动重新启动之后变为备在角色稳定时配置优先级与抢占不会立即生效，只有在重新启动时才会生效VSS系统启动行为序列两个VSS成员会将VSS相关配置复制到VSS系统包处理方式－VSL链路支持流量VSL传送数据流量和控制流量，所有经过VSL的流量都将封装一个32字节的头，内容包括输入输出的交换机端口索引、VLAN号、COS值等其它信息VSL上支持的二层协议有：STP，VTP，Etherchannel控制协议(LACP,PAGP)VSL上支持所有三层路由协议和组播VSL也能传输系统数据，比如standby设备的Netflow输出数据和SNMP数据VSL支持所有的SPAN协议，支持所有非VSL接口的SPANVSL上流量的负载方式，是根据Etherchannel负载方式计算的，默认为源-目的-IPVSS系统包处理方式－VSL链路支持流量VSL传送数据流量和VSS系统包处理方式－数据流走向在VSS系统中，主设备的控制平面与数据平面都是可用的，而备设备中只有其数据平面是可用的，而控制平面是不可用的在VSS系统中，由主设备将其CEF转发信息下发到备设备的引擎的PFC、主备设备上板卡的DFC子卡，这样就可以尽可能少的通过VSL链路转发数据流量VSS系统包处理方式－数据流走向在VSS系统中，主设备的控制VSS系统包处理方式－数据流走向VSS系统包处理方式－数据流走向VSS系统包处理方式－数据流走向注：节点C的返回数据包走向取决于CHANNEL负载均衡算法的选择VSS系统包处理方式－数据流走向注：节点C的返回数据包走向取VSS系统冗余切换事件－VSL链路问题VSL链路只要没有全部断开，就不会影响主备机间的信息交互与数据传输，也不会影响主备机间的角色稳定（由于VSS自动采用adptive方式的通道负载均衡算法，所以恢复更快）如果整个VSL链路都断开，则会导致两个VSS成员出现双活的情况，这时会出现通信中断可以通过双活检测机制来避免双活问题的出现，确保主备角色的稳定双活检测机制有如下三种：增加PAGP方式IPBFD（双向转发检测）方式快速HELLO方式如果通过双活检测确定有双活情况存在，则原主设备会将自己置于recovery模式并关闭所有非VSL端口（可以将某些特定接口排除在关闭之外），确保通信不受影响，待VSL链路恢复后，它将自动重启并重新确定主备状态三种检测机制可以同时使用，CISCO推荐使用增加PAGP与快速HELLO模式在上面的情况中如果以前有配置未保存的情况，则系统不会自动重启而需要人工干预进行重启，重启前会提示保存配置VSS系统冗余切换事件－VSL链路问题VSL链路只要没有全部VSS系统冗余切换事件－增强PAGP双活检测

PAGP是cisco私有的Etherchannel协议。如果VSS的MEC设备都是符合条件的cisco－IOS（支持增强PAGP），那么就可以使用PAGP协议。如果PAGP运行在VSS和下联设备间的MEC中，那么VSS就能使用PAGP去检测双激活状态。在VSS中，PAGP信息包括了一个新的TLV字段，用来包含active设备的ID。只有在VSS下的设备才会发送这种新的PAGP信息，如果主设备在该字段看到了备设备的ID则认为出现了双活情况而将自己置于recovery状态并等待VSL链路的恢复支持增强PAGP的CISCO－IOS如下表：PlatformSoftwareCommentsCiscoCatalyst650012.2(33)SXHSup720andSup32CiscoCatalyst45xxandCiscoCatalyst49xx12.2(44)SG

CiscoCatalyst29xx,CiscoCatalyst35xxandCiscoCatalyst37xx12.2(46)SECiscoCatalyst37xxstacknosupportCiscoCatalyst37xxStackNotSupportedCross-stackEtherChannelonlysupportsLACPVSS系统冗余切换事件－增强PAGP双活检测PAGP是ciVSS系统冗余切换事件－IPBFD双活检测使用IPBFD检测方式，必须在VSS系统中的两台设备间准备一个直连的三层链路，不需要互连交换机的支持VSS系统使用双向转发检测(BFD)协议进行双活检测，平时没有BFD邻居关系的建立如果VSL故障后，两台设备将建立BFD邻居，并且尝试建立邻接状态。如果起初是active状态的设备检测到这个邻接信息，那么他就知道现在正处于双激活状态，这样，他将立刻进入recovery状态并等待VSL链路的恢复所谓IPBFD指的是有执行这种方式时需要要互连的两个接口上配置IP地址，进行三层通信快速HELLO只在物理接口上配置VSS系统冗余切换事件－IPBFD双活检测使用IPBFDVSS系统冗余切换事件－快速HELLO双活检测使用检测方式，必须在VSS系统中的两台设备间准备一个直连的二层链路作为心跳线，不需要互连交换机的支持此种方式在IOS12.2（33）SXI及以后的版本被支持VSS系统中两个成员使用专用HELLO包周期性的进行交互，包中含有对方的设备信息与状态，如果VSL链路全部断开，则设备将停止发送HELLO包，在一定时间内没收到HELLO包，则认为出现了双活情况，这时原主设备将自己置于recovery模式并等待VSL链路的恢复快速HELLO只在物理接口上配置在配置了快速HELLO检测的接口将清除其原来所有配置，并自动禁用UDLD功能，只作快速HELLO检测之用VSS系统冗余切换事件－快速HELLO双活检测使用检测方式，VSS系统冗余切换事件－主机箱引擎故障备机箱引擎将通过VSLP检测到主引擎的故障而将自己使用SSO方式自动切换为主用状态，切换时间在50ms-200ms之间通过MEC与VSS系统互联的设备，其通信将依赖于与备机箱互连的另外一条CHANNEL成员线路源与目的只在主机箱上的单线路与单设备，其通信将中断原来通过备机箱的通信将不受影响主机箱引擎恢复后如果没有配置抢占将变为备的状态VSS系统冗余切换事件－主机箱引擎故障备机箱引擎将通过VSLVSS系统冗余切换事件－备机箱引擎故障主机箱引擎将通过VSLP检测到备引擎的故障而会出现类似于所有在备机箱上的所有模块被拔出的事件通过MEC与VSS系统互联的设备，其通信将依赖于与主机箱互连的一条CHANNEL成员线路源与目的只在备机箱上的单线路与单设备，其通信将中断原来通过主机箱的通信将不受影响备机箱引擎恢复后仍将变为备的状态VSS系统冗余切换事件－备机箱引擎故障主机箱引擎将通过VSLVSS系统冗余切换事件－MEC中某条链路故障当MEC中某条链路失败后，VSS系统会自动重新分配决定通道负载均衡的哈希值与通道物理接口间的对应关系与VSS系统互连的设备同样会自动重新分配决定通道负载均衡的哈希值与通道物理接口间的对应关系通信会产生短时中断，通常丢一个包，这种情况与单台设备上通道接口中某一物理接口连接中断情况一致当MEC到Active设备的全部链路坏掉后，MEC将变成普通的Etherchannel和Standby设备相连，而到Active设备的数据将通过VSL到达active设备，控制信息还处于active设备上当MEC到standby设备的全部链路坏掉后，MEC将变成普通的Etherchannel和active设备相连，而到standby设备的数据将通过VSL到达standby设备，控制信息还处于active设备上。CISCO文档上说采用adptive方式比fixed方式，恢复时间要快，但在实际作实险中都是丢一个包，没看出来优势VSS系统冗余切换事件－MEC中某条链路故障当MEC中某条链VSS系统配置默认情况下。catalyst6500系列交换机配置在单独模式下。VSS系统把两个单独的交换机结合在一起形成一个新的虚拟交换机转换两个单独的设备到VSS中，你需要完成以下几个主要步骤：保存单独设备的配置把每个设备配置成一个VSS域转换成虚拟交换系统配置VLS信息在虚拟交换模式里，两台设备使用相同的配置文件。当你在active设备上修改配置时，修改后的配置会自动更新到standby设备上。VSS系统配置默认情况下。catalyst6500系列交换VSS系统配置－备份原设备配置Switch-1#copyrunning-configstartup-configSwitch-1#copystartup-configdisk0:old-startup-configSwitch-2#copyrunning-configstartup-configSwitch-2#copystartup-configdisk0:old-startup-config保存当前配置到start-config文件里保存当前配置到start-config文件里把start-config文件备份到disk0中，以old-startup-config为文件名把start-config文件备份到disk0中，以old-startup-config为文件名VSS系统配置－备份原设备配置Switch-1#copyVSS系统配置－配置VSS域及设备IDSwitch-1(config)#switchvirtualdomain100指定交换机1为VSS100区域内的设备Switch-1(config-vs-domain)#switch1指定VSS区域内该交换机的IDSwitch-1(config-vs-domain)#exit退出配置模式Switch-2(config)#switchvirtualdomain100指定交换机2为VSS100区域内的设备Switch-2(config-vs-domain)#switch2指定VSS区域内该交换机的IDSwitch-2(config-vs-domain)#exit退出配置模式VSS系统配置－配置VSS域及设备IDSwitch-1(coVSS系统配置－配置VSS逻辑端口和物理端口Switch-1(config)#interfaceport-channel10启动逻辑接口Switch-1(config-if)#switchvirtuallink1配置交换ID1使用该逻辑接口Switch-1(config-if)#noshutdown开启逻辑接口Switch-2(config)#interfaceport-channel20启动逻辑接口Switch-2(config-if)#switchvirtuallink2配置交换ID2使用该逻辑接口Switch-2(config-if)#noshutdown开启逻辑接口Switch-1(config)#interfacerangetenGigabitEthernet3/1-2进入需要加入逻辑接口的物理接口Switch-1(config-if)#channel-group10modeon物理接口绑定逻辑接口Switch-1(config-if)#noshutdown开启物理接口Switch-2(config)#interfacerangetenGigabitEthernet5/2-3进入需要加入逻辑接口的物理接口Switch-2(config-if)#channel-group20modeon物理接口绑定逻辑接口Switch-2(config-if)#noshutdown开启物理接口VSS系统配置－配置VSS逻辑端口和物理端口Switch-1Switch-1#platformhardwarevslpfcmodepfc3c将PFC模式转换成PFC3CSwitch-2#platformhardwarevslpfcmodepfc3c将PFC模式转换成PFC3CSwitch-1#switchconvertmodevirtual转换交换模式为虚拟交换Switch-2#switchconvertmodevirtual转换交换模式为虚拟交换之后会提示重新启动，启动后会自动协商角色VSS系统配置－转换交换机至VSS模式Switch-1#platformhardwarevsVSS系统配置－配置VSL交换优先级以及抢占参数Router(config)#switchvirtualdomain100配置设备所属区域Router(config-vs-domain)#switch[1|2]priority[priority_num]配置优先级Router(config-vs-domain)#switch[1|2]preempt[delay]配置抢占参数Router#showswitchvirtualrole校验配置结果VSS系统配置－配置VSL交换优先级以及抢占参数RouterVSS系统配置－PAGP双活检测配置vss(config)#switchvirtualdomain10vss(config-vs-domain)#dual-activedetectionpagpvss(config-vs-domain)#dual-activetrustchannel-group20vss(config-vs-domain)#vss#shswitchvirtualdual-activepagpPAgPdual-activedetectionenabled:YesPAgPdual-activeversion:1.1

Channelgroup20dual-activedetectcapabilityw/nbrsDual-Activetrustedgroup:YesDual-ActivePartnerPartnerPartnerPortDetectCapableNamePortVersionTe1/1/1Yesvs-access-2Te5/11.1Te2/1/1Yesvs-access-2Te5/21.1VSS系统配置－PAGP双活检测配置vss(config)#VSS系统配置－IPBFD双活检测配置vss#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.vss(config)#intgig1/5/1vss(config-if)#ipaddress10.1.1.1255.255.255.0vss(config-if)#bfdinterval100min_rx100multiplier50vss(config-if)#noshutdown

vss(config-if)#intgig2/5/1vss(config-if)#ipaddress10.1.2.1255.255.255.0vss(config-if)#bfdinterval100min_rx100multiplier50vss(config-if)#noshutdownvss(config-if)#exitvss(config)#switchvirtualdomain10vss(config-vs-domain)#dual-activedetectionbfdvss(config-vs-domain)#dual-activepairinterfacegig1/5/1interfacegig2/5/1bfdvss#showswitchvirtualdual-activebfdBfddual-activedetectionenabled:YesBfddual-activeinterfacepairsconfigured:interface-1Gi1/5/1interface-2Gi2/5/1VSS系统配置－IPBFD双活检测配置vss#conftVSS系统配置－快速HELLO双活检测配置vss(config)#switchvirtualdomain10vss(config-vs-domain)#dual-activedetectionfast-hellovss(config-vs-domain)#exitvss(config)#interfacefastethernet1/2/40vss(config-if)#dual-activefast-helloWARNING:InterfaceFastEthernet1/2/40placedinrestrictedconfigmode.Allextraneousconfigsremoved!vss(config-if)#noshutdownvss#showruninterfacefastethernet1/2/40interfaceFastEthernet1/2/40noswitchportnoipaddressdual-activefast-helloendVSS系统配置－快速HELLO双活检测配置vss(confi备份VSS配置：Switch-1#copyrunning-configstartup-configSwitch-1#copystartup-configdisk0:vs-startup-configSwitch-2#copyrunning-configstartup-configSwitch-2#copystartup-configdisk0:vs-startup-config将设备状态改成单独模式：Switch-1#switchconvertmodestandaloneSwitch-2#switchconvertmodestandaloneVSS系统配置－切换回单机运行模式备份VSS配置：VSS系统配置－切换回单机运行模式显示VSS区域，交换机ID，以及状态：Router#showswitchvirtualSwitchmode:VirtualSwitchVirtualswitchdomainnumber:100Localswitchnumber:1Localswitchoperationalrole:VirtualSwitchActivePeerswitchnumber:2Peerswitchoperationalrole:VirtualSwitchStandby显示状态，交换ID，VSS系统中每个设备的优先级：Router#showswitchvirtualroleSwitchSwitchStatusPreemptPriorityRoleSessionIDNumberOper(Conf)Oper(Conf)LocalRemote------------------------------------------------------------------LOCAL1UPFALSE(N)100(100)ACTIVE00REMOTE2UPFALSE(N)100(100)STANDBY81581991Indual-activerecoverymode:No显示VSL状态：Router#showswitchvirtuallinkVSLStatus:UPVSLUptime:4hours,26minutesVSLSCPPing:PassOKVSLICC(Ping):PassVSLControlLink:Te1/5/1VSS系统运行维护－检查VSS状态信息显示VSS区域，交换机ID，以及状态：VSS系统运行维护－检VSS系统运行维护－检查VSS模块状态Router#showmoduleswitch{1|2|all}用来显示整个或单个VSS成员上的模块情况，如下例子:Router#showmoduleswitch1SwitchNumber:1Role:VirtualSwitchActive---------------------------------------------------ModPortsCardTypeModelSerialNo.---------------------------------------------------------------------------148CEF72048port10/100/1000mbEthernetWS-X6748-GE-TXSAL1215M2YA28CEF7208port10GEwithDFCWS-X6708-10GESAL1215M55F31ApplicationControlEngineModuleACE20-MOD-K9SAD120603SU....VSS系统运行维护－检查VSS模块状态Router#shoVSS系统运行维护－检查VSS系统冗余状态VSS系统运行维护－检查VSS系统冗余状态VSS系统运行维护－检查PFC工作模式Router(config)#platformhardwarevslpfcmode用来设置VSS系统的PFC工作模式Router#showplatformhardwarepfcmode用来检查VSS系统的PFC工作模式具体示例如下：Router(config)#platformhardwarevslpfcmodepfc3cPFCPreferredMode:PFC3CXL.ThediscrepancybetweenOperatingModeandPreferredModecouldbeduetoPFCmodeconfig.YourSystemhasallPFC3XLmodules.Remove'platformhardwarevslpfcmodepfc3c'fromglobalconfig.ThisexampleshowshowtodisplaytheoperatingandconfiguredPFCmodes:Router#showplatformhardwarepfcmodePFCoperatingmode:PFC3CConfiguredPFCoperatingmode:PFC3CVSS系统运行维护－检查PFC工作模式Router(conf这个例子显示BFD双激活检测状态：Router#showswitchvirtualdual-activebfdBfddual-activedetectionenabled:YesNobfddual-activeinterfacepairsconfigured这个例子显示双激活检测总体状态：Router#showswitchvirtualdual-activesummaryPagpdual-activedetectionenabled:YesBfddual-activedetectionenabled:YesNointerfacesexcludedfromshutdowninrecoverymodeIndual-activerecoverymode:No这个例子显示快速HELLO双激活状态：Router#showswitchvirtualdual-activefast-helloFast-hellodual-activedetectionenabled:Yes

Fast-hellodual-activeinterfaces:PortState(localonly)-----------------------------Gi1/4/47LinkdnGi2/4/47-VSS系统运行维护－检查双活检测机制状态这个例子显示BFD双激活检测状态：VSS系统运行维护－检查双VSS系统运行维护－启动维护命令可以通过reload命令来重新启动整个VSS，包括两个机箱；可以通过命令redundancyreloadpeer来只重启备机箱与备引擎；可以通过命令redundancyforce-switchover来进行主备的强行切换；强制切换的结果是原来的主设备会重新启动，这个与单机箱双引擎时的切换产生的结果是一样的。在备机在初始化时主机不能进行配置。VSS系统运行维护－启动维护命令可以通过reload命令来重VSS系统运行维护－冷备机更换操作平时冷备机的配置是空的，因为不能确认是SW1或是SW2出现问题在VSS某成员出现问题时，按出现故障的交换机ID及配置将VSS初始配置配置在冷备机上将冷备机替换故障机，并启动，在启动过程中，由于初始配置双机间不能完全一致，因此新加的冷备机会将冗余模式置于RPR模式这时主机箱会将配置自动同步到新加的冷备机上（在终端上可以看到同步配置的提示）在命令行通过命令重新启动冷备机，等再次启动完成后冗余模式就会进行SSO模式了正常的数据通信在上述过程中不会产生中断VSS系统运行维护－冷备机更换操作平时冷备机的配置是空的，因VSS系统运行维护－IOS更新操作将新的IOS文件分别拷贝到主备机的bootdisk中，并执行shissustate命令，检查状态是否是init，如是则正常运行issuloadversionsup-bootdisk:IOS文件名，执行后会有%issuloadversionexecutedsuccessfully,Standbyisbeingreloaded的提示，同时备设备后自动重新启动并加载新的IOS文件成功启动后会有%HA_CONFIG_SYNC-6-BULK_CFGSYNC_SUCCEED:BulkSyncsucceed的提示执行shissustatedetail命令，issu的状态为loadversion；执行issurunversion命令，主备设备发生切换，原主设备将会重新启动但运行的是老的IOS版本，并有%HA_CONFIG_SYNC-6-BULK_CFGSYNC_SUCCEED:BulkSyncsucceede的提示执行shissustate命令issu状态为runversion状态执行issucommitversion命令会使原主设备再次重新启动，并运行新的IOS版本软件，并有%issucommitversionexecutedsuccessfully的提示注意：VSS－IOS升级操作可以进行回退，默认回退计时器的时间是45分钟，如果在此时间内，不执行最后一条命令，则系统会自动回退到原来的IOS版本,不会中断正常通信可以通过命令Router(config)#issusetrollback-timer{seconds|hh:mm:ss}来设置回退计时器的时间长度，设为0则认为是不回退。重要：如果新旧IOS文件的大版本不同，则备机重启后会停留在RPR的冗余模式下，这时升级是会有较长时间的中断VSS系统运行维护－IOS更新操作将新的IOS文件分别拷贝到谢谢！谢谢！CISCO虚拟交换系统（VSS）技术交流

CISCO虚拟交换系统（VSS）技术交流

议题虚拟交换系统VSS技术概述VSS系统的硬件要求与限制VSS系统引擎冗余模式VSS系统启动序列VSS系统包处理方式VSS系统冗余切换事件VSS系统配置VSS系统运行维护议题虚拟交换系统VSS技术概述

虚拟交换系统VSS技术概述－传统冗余技术网络管理员在考虑网络可靠性的时候，通常都是采用冗余设备、冗余链路、相关L3/L2层技术保证，增加了管理成本与配置的复杂度传统冗余网络：虚拟交换系统VSS技术概述－传统冗余技术网络管理员在考虚拟交换系统VSS技术概述－VSS特点虚拟交换系统通过减少网络设备的数量和简化管理冗余设备和链路的方法来使网络简单化。虚拟交换系统（VSS）将两台CiscoCatalyst6500系列交换机组合为单一虚拟交换机，对外来看，只有一台交换机，管理冗余链路如同管理自己的一个单一接口。虚拟交换系统通过MEC多机箱通道技术减少了3层路由邻居和2层无环的拓扑，简化了网络的配置和操作。虚拟交换系统VSS技术概述－VSS特点虚拟交换系统通过减少网

物理连接：逻辑连接：虚拟交换系统VSS技术概述－MEC技术当互联的交换机连接到这个VSS时，是通过普通以太网通道(EtherChannel)技术分别连接到VSS系统两台交换机上实现的。而VSS则利用MEC技术在这个捆绑的逻辑端口上实现冗余和负载均衡。MEC技术使互联交换机好像与一台交换机进行互联。使VSS和下联交换机之间形成了一个无环的二层网络结构，不再需要生成树协议；VSS也可以通过减少三层路由邻居使三层网络拓扑简单化，VSS最大支持512个Etherchannel。这个限制包括Etherchannel和MEC。由于VSL需要两个Etherchannel号，所以能使用的Etherchannel有510个。物理连接：逻辑连接：虚拟交换系统VSS技术概述－MEC技术虚拟交换系统VSS技术概述－运行状态当你建立和开启一个VSS的时候，两台VSS成员设备通过相互协商，一个将变成Active状态，一个将变成standby状态。Active状态的设备将控制VSS，为两台设备所有模块运行2层和3层控制协议，也就是只有主设备的控制平面起作用，而两设备的数据平面都起作用。standby的设备将控制流量通过VSL（虚拟交换链路）交由active状态的设备统一处理。虚拟交换链路(VSL)是一条特殊的链路，他用来在一个VSS系统中的两台设备间传输控制信息和数据。VSL能把多达八条10GE物理链路捆绑在一起.在VSL中,控制信息比普通数据拥有更高的优先级,这样保证了控制信息优先传输和完整性。VSL中的数据通过Etherchannel技术进行负载均衡。建议VSL链路使用引擎上的10GE端口进行捆绑。两个设备分别用各自的接口转发进入的流量。并根据数据源与目的的实际情况尽量进行本地转发而不通过VSL进行转发。在VSS系统中，由于standby设备使用VSL监视active设备。一旦检测到active出现故障。standby设备将把自己转换成active状态ActiveStandby虚拟交换链路(VSL)VSS系统虚拟交换系统VSS技术概述－运行状态当你建立和开启一个VSS

VSS硬件要求和限制硬件/IOS要求与限制IOSCiscoIOS12.2（33）SXH及以后版本上市时间：2007年11月管理引擎VirtualSwitchingSupervisor720-10GE（VS-S720-10GE-3C和VS-S720-10GE-3CXL）上市时间：2007年11月模块所有带集中转发卡（CFC）的6700系列模块所有带分布式转发卡（DFC）3C或DFC3CXL的6700系列模块分布式转发卡（DFC）DFC3C（WS-F6700-DFC3C和WS-F6700-DFC3C-XL）VSL端口：VirtualSwitchingSupervisor720-10GE、WS-X6708-10G-3C、WS-X6708-10G-3CXL上面的万兆以太网端口最长VSL距离最长VSL距离取决于用于VSL万兆以太网连接的X2光纤：X2-10GB-CX4:15mX2-10GB-LX4:300mX2-10GB-SR:26m（FDDI级MMF）,300M（采用OM3MMF）X2-10GB-LR:10kmX2-10GB-ER:40kmX2-10GB-LRM:220m，采用MMF机箱所有

CiscoCatalyst6500机箱（不必同型号）电源CiscoCatalyst6503-E和6504-E交换机：所有所支持的电源CiscoCatalyst6506、6506-E、6509、6509-E、6509-NEB-A、6509-V-E和6513交换机：至少2500W服务模块目前新版本IOS12.2（33）SXI2支持FWSM防火墙模块、NAM网络分析模块、ACE应用控制引擎模块、WiSM无线服务模块、IDS入侵检测模块等所有服务模块广域网模块目前新版本IOS12.2（33）SXI2支持

VSS硬件要求和限制硬件/IOS要求与限制IOSCisVSS系统引擎冗余模式目前有SSO/NSF、RPR两种冗余模式运行在SSO模式下切换时间可以以毫秒计两个引擎运行在SSO模式的条件如下：两者运行的IOS版本必须一致两者的配置文件要一致VSL相关配置要一致PFC运行模式要一致SSO与NSF必须要两个引擎都要配置（如果有动态路由协议），不配置NSF情况下也能运行在SSO模式，但故障时间较长VSS系统引擎冗余模式目前有SSO/NSF、RPR两种冗余模VSS系统启动行为序列两个VSS成员会将VSS相关配置复制到SP配置中；在启动时进入SP软件启动时，vss初始化所有拥有VSL接口的模块，然后初始化VSL接口，并通过LMP（链路管理协议）检测VSL链路的存活与对等体的存在如果VSL断开则表示对等体不存在，则系统会将自已的角色定义为ACTIVE并完成启动如果对等体存活，则会与之通过RRP（角色决定协议）进行角色的协商，如果配置了VSS优先级，则优先级高者将为ACTIVE状态，而低者为STANDBY状态如果没配置优先级，则VSS－SW－ID号小者为ACTIVE，大者为STANDBY，如SW1为主，而SW2则为备standby状态的设备发送startup-config文件下的虚拟交换信息给active设备，active设备确定虚拟交换域，虚拟交换接点，交换机优先级，交换抢占参数，VSL标识，VSL数量，电源冗余模式以及VSL模块电源参数的一致性。如果一致则进入SSO冗余模式，否则将进入RPR冗余模式active设备同步配置和应用给standby设备如果优先级高且配置了抢占的设备启动后，等抢占计时器（默认为15分钟）到期后自己会变为主设备，而原来的主设备会自动重新启动之后变为备在角色稳定时配置优先级与抢占不会立即生效，只有在重新启动时才会生效VSS系统启动行为序列两个VSS成员会将VSS相关配置复制到VSS系统包处理方式－VSL链路支持流量VSL传送数据流量和控制流量，所有经过VSL的流量都将封装一个32字节的头，内容包括输入输出的交换机端口索引、VLAN号、COS值等其它信息VSL上支持的二层协议有：STP，VTP，Etherchannel控制协议(LACP,PAGP)VSL上支持所有三层路由协议和组播VSL也能传输系统数据，比如standby设备的Netflow输出数据和SNMP数据VSL支持所有的SPAN协议，支持所有非VSL接口的SPANVSL上流量的负载方式，是根据Etherchannel负载方式计算的，默认为源-目的-IPVSS系统包处理方式－VSL链路支持流量VSL传送数据流量和VSS系统包处理方式－数据流走向在VSS系统中，主设备的控制平面与数据平面都是可用的，而备设备中只有其数据平面是可用的，而控制平面是不可用的在VSS系统中，由主设备将其CEF转发信息下发到备设备的引擎的PFC、主备设备上板卡的DFC子卡，这样就可以尽可能少的通过VSL链路转发数据流量VSS系统包处理方式－数据流走向在VSS系统中，主设备的控制VSS系统包处理方式－数据流走向VSS系统包处理方式－数据流走向VSS系统包处理方式－数据流走向注：节点C的返回数据包走向取决于CHANNEL负载均衡算法的选择VSS系统包处理方式－数据流走向注：节点C的返回数据包走向取VSS系统冗余切换事件－VSL链路问题VSL链路只要没有全部断开，就不会影响主备机间的信息交互与数据传输，也不会影响主备机间的角色稳定（由于VSS自动采用adptive方式的通道负载均衡算法，所以恢复更快）如果整个VSL链路都断开，则会导致两个VSS成员出现双活的情况，这时会出现通信中断可以通过双活检测机制来避免双活问题的出现，确保主备角色的稳定双活检测机制有如下三种：增加PAGP方式IPBFD（双向转发检测）方式快速HELLO方式如果通过双活检测确定有双活情况存在，则原主设备会将自己置于recovery模式并关闭所有非VSL端口（可以将某些特定接口排除在关闭之外），确保通信不受影响，待VSL链路恢复后，它将自动重启并重新确定主备状态三种检测机制可以同时使用，CISCO推荐使用增加PAGP与快速HELLO模式在上面的情况中如果以前有配置未保存的情况，则系统不会自动重启而需要人工干预进行重启，重启前会提示保存配置VSS系统冗余切换事件－VSL链路问题VSL链路只要没有全部VSS系统冗余切换事件－增强PAGP双活检测

PAGP是cisco私有的Etherchannel协议。如果VSS的MEC设备都是符合条件的cisco－IOS（支持增强PAGP），那么就可以使用PAGP协议。如果PAGP运行在VSS和下联设备间的MEC中，那么VSS就能使用PAGP去检测双激活状态。在VSS中，PAGP信息包括了一个新的TLV字段，用来包含active设备的ID。只有在VSS下的设备才会发送这种新的PAGP信息，如果主设备在该字段看到了备设备的ID则认为出现了双活情况而将自己置于recovery状态并等待VSL链路的恢复支持增强PAGP的CISCO－IOS如下表：PlatformSoftwareCommentsCiscoCatalyst650012.2(33)SXHSup720andSup32CiscoCatalyst45xxandCiscoCatalyst49xx12.2(44)SG

CiscoCatalyst29xx,CiscoCatalyst35xxandCiscoCatalyst37xx12.2(46)SECiscoCatalyst37xxstacknosupportCiscoCatalyst37xxStackNotSupportedCross-stackEtherChannelonlysupportsLACPVSS系统冗余切换事件－增强PAGP双活检测PAGP是ciVSS系统冗余切换事件－IPBFD双活检测使用IPBFD检测方式，必须在VSS系统中的两台设备间准备一个直连的三层链路，不需要互连交换机的支持VSS系统使用双向转发检测(BFD)协议进行双活检测，平时没有BFD邻居关系的建立如果VSL故障后，两台设备将建立BFD邻居，并且尝试建立邻接状态。如果起初是active状态的设备检测到这个邻接信息，那么他就知道现在正处于双激活状态，这样，他将立刻进入recovery状态并等待VSL链路的恢复所谓IPBFD指的是有执行这种方式时需要要互连的两个接口上配置IP地址，进行三层通信快速HELLO只在物理接口上配置VSS系统冗余切换事件－IPBFD双活检测使用IPBFDVSS系统冗余切换事件－快速HELLO双活检测使用检测方式，必须在VSS系统中的两台设备间准备一个直连的二层链路作为心跳线，不需要互连交换机的支持此种方式在IOS12.2（33）SXI及以后的版本被支持VSS系统中两个成员使用专用HELLO包周期性的进行交互，包中含有对方的设备信息与状态，如果VSL链路全部断开，则设备将停止发送HELLO包，在一定时间内没收到HELLO包，则认为出现了双活情况，这时原主设备将自己置于recovery模式并等待VSL链路的恢复快速HELLO只在物理接口上配置在配置了快速HELLO检测的接口将清除其原来所有配置，并自动禁用UDLD功能，只作快速HELLO检测之用VSS系统冗余切换事件－快速HELLO双活检测使用检测方式，VSS系统冗余切换事件－主机箱引擎故障备机箱引擎将通过VSLP检测到主引擎的故障而将自己使用SSO方式自动切换为主用状态，切换时间在50ms-200ms之间通过MEC与VSS系统互联的设备，其通信将依赖于与备机箱互连的另外一条CHANNEL成员线路源与目的只在主机箱上的单线路与单设备，其通信将中断原来通过备机箱的通信将不受影响主机箱引擎恢复后如果没有配置抢占将变为备的状态VSS系统冗余切换事件－主机箱引擎故障备机箱引擎将通过VSLVSS系统冗余切换事件－备机箱引擎故障主机箱引擎将通过VSLP检测到备引擎的故障而会出现类似于所有在备机箱上的所有模块被拔出的事件通过MEC与VSS系统互联的设备，其通信将依赖于与主机箱互连的一条CHANNEL成员线路源与目的只在备机箱上的单线路与单设备，其通信将中断原来通过主机箱的通信将不受影响备机箱引擎恢复后仍将变为备的状态VSS系统冗余切换事件－备机箱引擎故障主机箱引擎将通过VSLVSS系统冗余切换事件－MEC中某条链路故障当MEC中某条链路失败后，VSS系统会自动重新分配决定通道负载均衡的哈希值与通道物理接口间的对应关系与VSS系统互连的设备同样会自动重新分配决定通道负载均衡的哈希值与通道物理接口间的对应关系通信会产生短时中断，通常丢一个包，这种情况与单台设备上通道接口中某一物理接口连接中断情况一致当MEC到Active设备的全部链路坏掉后，MEC将变成普通的Etherchannel和Standby设备相连，而到Active设备的数据将通过VSL到达active设备，控制信息还处于active设备上当MEC到standby设备的全部链路坏掉后，MEC将变成普通的Etherchannel和active设备相连，而到standby设备的数据将通过VSL到达standby设备，控制信息还处于active设备上。CISCO文档上说采用adptive方式比fixed方式，恢复时间要快，但在实际作实险中都是丢一个包，没看出来优势VSS系统冗余切换事件－MEC中某条链路故障当MEC中某条链VSS系统配置默认情况下。catalyst6500系列交换机配置在单独模式下。VSS系统把两个单独的交换机结合在一起形成一个新的虚拟交换机转换两个单独的设备到VSS中，你需要完成以下几个主要步骤：保存单独设备的配置把每个设备配置成一个VSS域转换成虚拟交换系统配置VLS信息在虚拟交换模式里，两台设备使用相同的配置文件。当你在active设备上修改配置时，修改后的配置会自动更新到standby设备上。VSS系统配置默认情况下。catalyst6500系列交换VSS系统配置－备份原设备配置Switch-1#copyrunning-configstartup-configSwitch-1#copystartup-configdisk0:old-startup-configSwitch-2#copyrunning-configstartup-configSwitch-2#copystartup-configdisk0:old-startup-config保存当前配置到start-config文件里保存当前配置到start-config文件里把start-config文件备份到disk0中，以old-startup-config为文件名把start-config文件备份到disk0中，以old-startup-config为文件名VSS系统配置－备份原设备配置Switch-1#copyVSS系统配置－配置VSS域及设备IDSwitch-1(config)#switchvirtualdomain100指定交换机1为VSS100区域内的设备Switch-1(config-vs-domain)#switch1指定VSS区域内该交换机的IDSwitch-1(config-vs-domain)#exit退出配置模式Switch-2(config)#switchvirtualdomain100指定交换机2为VSS100区域内的设备Switch-2(config-vs-domain)#switch2指定VSS区域内该交换机的IDSwitch-2(config-vs-domain)#exit退出配置模式VSS系统配置－配置VSS域及设备IDSwitch-1(coVSS系统配置－配置VSS逻辑端口和物理端口Switch-1(config)#interfaceport-channel10启动逻辑接口Switch-1(config-if)#switchvirtuallink1配置交换ID1使用该逻辑接口Switch-1(config-if)#noshutdown开启逻辑接口Switch-2(config)#interfaceport-channel20启动逻辑接口Switch-2(config-if)#switchvirtuallink2配置交换ID2使用该逻辑接口Switch-2(config-if)#noshutdown开启逻辑接口Switch-1(config)#interfacerangetenGigabitEthernet3/1-2进入需要加入逻辑接口的物理接口Switch-1(config-if)#channel-group10modeon物理接口绑定逻辑接口Switch-1(config-if)#noshutdown开启物理接口Switch-2(config)#interfacerangetenGigabitEthernet5/2-3进入需要加入逻辑接口的物理接口Switch-2(config-if)#channel-group20modeon物理接口绑定逻辑接口Switch-2(config-if)#noshutdown开启物理接口VSS系统配置－配置VSS逻辑端口和物理端口Switch-1Switch-1#platformhardwarevslpfcmodepfc3c将PFC模式转换成PFC3CSwitch-2#platformhardwarevslpfcmodepfc3c将PFC模式转换成PFC3CSwitch-1#switchconvertmodevirtual转换交换模式为虚拟交换Switch-2#switchconvertmodevirtual转换交换模式为虚拟交换之后会提示重新启动，启动后会自动协商角色VSS系统配置－转换交换机至VSS模式Switch-1#platformhardwarevsVSS系统配置－配置VSL交换优先级以及抢占参数Router(config)#switchvirtualdomain100配置设备所属区域Router(config-vs-domain)#switch[1|2]priority[priority_num]配置优先级Router(config-vs-domain)#switch[1|2]preempt[delay]配置抢占参数Router#showswitchvirtualrole校验配置结果VSS系统配置－配置VSL交换优先级以及抢占参数RouterVSS系统配置－PAGP双活检测配置vss(config)#switchvirtualdomain10vss(config-vs-domain)#dual-activedetectionpagpvss(config-vs-domain)#dual-activetrustchannel-group20vss(config-vs-domain)#vss#shswitchvirtualdual-activepagpPAgPdual-activedetectionenabled:YesPAgPdual-activeversion:1.1

Channelgroup20dual-activedetectcapabilityw/nbrsDual-Activetrustedgroup:YesDual-ActivePartnerPartnerPartnerPortDetectCapableNamePortVersionTe1/1/1Yesvs-access-2Te5/11.1Te2/1/1Yesvs-access-2Te5/21.1VSS系统配置－PAGP双活检测配置vss(config)#VSS系统配置－IPBFD双活检测配置vss#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.vss(config)#intgig1/5/1vss(config-if)#ipaddress10.1.1.1255.255.255.0vss(config-if)#bfdinterval100min_rx100multiplier50vss(config-if)#noshutdown

vss(config-if)#intgig2/5/1vss(config-if)#ipaddress10.1.2.1255.255.255.0vss(config-if)#bfdinterval100min_rx100multiplier50vss(config-if)#noshutdownvss(config-if)#exitvss(config)#switchvirtualdomain10vss(config-vs-domain)#dual-activedetectionbfdvss(config-vs-domain)#dual-activepairinterfacegig1/5/1interfacegig2/5/1bfdvss#showswitchvirtualdual-activebfdBfddual-activedetectionenabled:YesBfddual-activeinterfacepairsconfigured:interface-1Gi1/5/1interface-2Gi2/5/1VSS系统配置－IPBFD双活检测配置vss#conftVSS系统配置－快速HELLO双活检测配置vss(config)#switchvirtualdomain10vss(config-vs-domain)#dual-activedetectionfa