Cisco VPC peer-gateway 對直連BFD鄰居建立的影響

原創 Qunar技术沙龙 2021-07-04 09:43
{"type":"doc","content":[{"type":"blockquote","content":[{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"作者簡介:馮亞偉,去哪兒網 NETOPS,2014年7月加入去哪兒網,擁有豐富的網絡運維經驗,現負責公司IDC和骨幹傳輸網絡的運維工作。","attrs":{}}]}],"attrs":{}},{"type":"horizontalrule","attrs":{}},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"一、場景介紹","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"如下圖所示:兩臺思科 nexus交 換機通過 VPC 爲服務器提供雙上聯接入;服務器通過bond0(主備模式)雙上聯到兩臺交換機上面。連接 SW1 的網卡爲主用網卡,連接 SW2 的網卡爲備用網卡;服務器作爲 k8s 節點需要與兩臺接入交換機建立 iBGP ,爲了縮短 BGP 的收斂時間用單跳 BFD 進行鏈路故障檢測。兩臺接入交換機使用 interface vlan IP 與 Server 建立 BGP 和 BFD 鄰居。Server 與 SW2 的流量需要經過 VPC peer-link。","attrs":{}}]},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/74/74a711c37c353b1025c725ca33598307.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"horizontalrule","attrs":{}},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"二、問題介紹:","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"Server與SW2的BGP正常建立,BFD鄰居不能正常建立。","attrs":{}}]},{"type":"horizontalrule","attrs":{}},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"三、問題處理","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"設備IP及MAC地址:","attrs":{}}]},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/b7/b7131ab474d48ce4292a2df85d29ecda.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"如下圖所示:通過抓包,發現 SW2 收到 server 的 BFD 數據包後,給 server 回覆了一個 ICMP port unreachable 消息,說明 SW2 沒有處理 server 的 BFD 數據包。","attrs":{}}]},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/b7/b7108a0a42c63794cb314b1402327222.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"如下圖:再次仔細觀察發現, SW2 收到的來自 server 的 BFD 數據包的 TTL 值是254(正常應該是255),數據包的源 MAC 地址是 SW1 的 MAC 地址。說明數據包在經過 SW1 時, SW1 對它進行了三層轉發,因此 TTL 值纔會被減1,源 MAC 地址被替換。","attrs":{}}]},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/fb/fb535e1aaa5d100d24a442f2a9638f4c.png","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"通過查閱 Cisco NX-OS BFD 的文檔發現出於安全考慮,思科交換機在處理直連 BFD 的數據包之前會先檢查數據包的 TTL 值,如果不是255,則不會對數據包進行處理。SW2看到來自 server 的 BFD 數據包的 TTL 值爲254,所以沒有處理 BFD 數據包,然後給 server 回覆了一個ICMP端口不可達消息。","attrs":{}}]},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/c9/c9cb8b96287ce6529ae3f3a3e98f0b67.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"那麼,server,SW1,SW2 都屬於同一網段,爲什麼 SW1 要對數據包進行三層轉發呢?要弄清楚這個問題,我們首先需要了解一下 VPC peer-gateway 的功能:VPC peer-gateway 使交換機在收到數據包的目的MAC地址是它的 vpc peer 的 MAC 地址時,充當數據包的網關對其進行三層轉發,以減少了跨 VPC peer-link 的二層流量。這是一種保護 VPC Peer-link 的機制。啓用 vpc peer-gateway 後,交換機複製本地 interface vlan MAC 地址給它的 vpc peer,複製過去的 MAC 地址在它的 vpc peer 的MAC地址表中使用 G flag(Gateway flag)進行標記。","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"我們在實驗環境中對vpc peer-gateway 進行了觀察:","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"測試拓撲同場景介紹中的拓撲。","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"測試設備:","attrs":{}}]},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/0b/0be352bea18438b9e1f841053ed19566.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"測試1:SW1 啓用 vpc peer-gateway, SW2 不啓用 vpc peer-gateway,查看兩臺交換機的 MAC 地址表。","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"如下圖所示:在 SW1 上啓用 vpc peer-gateway 後,其 interface vlan 400 的 MAC地址 00ea.bd5f.dfa7 在 SW2 的 MAC 地址表中有 G 標記。發送到 SW1的interface vlan 400 的 MAC 地址的數據包在經過 SW2 時,SW2 會對數據包進行三層轉發,數據包的源 MAC 地址會被替換爲 SW2 的 MAC 地址 6c8b.d3ca.ff67,且 TTL 值會被減1。在SW2上未啓用vpc peer-gateway,其interface vlan 400 的MAC地址 6c8b.d3ca.ff67 在 SW1 的 MAC 地址表中沒有 G 標記。發送到 SW2 的 interface vlan 400 的 MAC 地址的數據包在經過 SW1 時,會通過二層轉發經過 vpc peer-link ,源 MAC 地址不會改變,TTL 值也不會減1。而在 SW1 和 SW2上 HSRP VIP 的虛擬 MAC 地址 0000.0c07.ac01 都有 G 標記。所以,發送給 HSRP VIP 的數據包在 SW1 和 SW2 上都會進行本地三層轉發。","attrs":{}}]},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/4b/4b834ce6a32b2681d4c34a7e76fe19da.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/4b/4b834ce6a32b2681d4c34a7e76fe19da.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"測試2:SW1 關閉vpc peer-gateway , SW2 啓用 vpc peer-gateway ,查看兩臺交換機的 MAC 地址表。","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"如下圖所示:SW1 關閉 vpc peer-gateway 以後,其 interface vlan 400 的 MAC 地址在 SW2 的MAC地址表中的G標記消失;SW2 啓用 vpc peer-gateway 以後,其 interface vlan 400 的 MAC 地址在 SW1 的 MAC 地址表中出現 G 標記;而在 SW1 和 SW2 上 interface vlan 400 的 HSRP VIP 的虛擬MAC地址依然都有 G 進行。","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/5a/5ae041c90d8411622e05c3be056d5f72.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/9d/9db96c2f7998d69aec5125934d8f7dd9.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"測試3:SW1 和 SW2 都關閉 vpc peer-gateway ,查看兩臺交換機的MAC地址表。","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"如下圖所示:在 SW1 和 SW2 上關閉了vpc peer-gateway 以後,其 interface vlan 400 的 MAC 地址在它的 vpc peer 的 MAC 地址表中的 G 標記消失;而 interface vlan 400 的 HSRP VIP 的虛擬 MAC 地址在兩臺 vpc peer 的 MAC 地址表中仍然有 G 標記,所以在關閉了 vpc peer-gateway 以後,以 HSRP VIP 爲網關的要去往 vpc 域外或者其它 vlan 的數據包,在兩臺 vpc 對等體上仍然會進行本地三層轉發,而不會出現HSRP standby 設備將去往 HSRP VIP MAC 地址的數據包通過 vpc peer-link 二層轉發到 HSRP active 設備的現象。","attrs":{}}]},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/d5/d56600b713974116f75e6439caab2c22.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null}},{"type":"image","attrs":{"src":"https://static001.geekbang.org/infoq/c8/c8da43f259ddd77b85f0c6d2cf06dcc4.jpeg","alt":null,"title":null,"style":[{"key":"width","value":"75%"},{"key":"bordertype","value":"none"}],"href":null,"fromPaste":true,"pastePass":true}},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"測試結論:","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"vpc peer-gateway 的啓用會讓本地 interface vlan 的 MAC 地址在它的 VPC peer 的MAC 地址表中有 G 標記。交換機對發送到有 G 標記的 MAC 地址的數據包進行三層轉發。不管 vpc peer-gateway 是否啓用,HSRP VIP 的虛擬 MAC 地址在兩臺 vpc 對等體的MAC地址表中都有 G 標記,兩臺 vpc 對等體在不啓用 vpc peer-gateway 的情況下,也會本地三層轉發目的 MAC 地址是 HSRP VIP 虛擬 MAC 地址的數據包。","attrs":{}}]},{"type":"horizontalrule","attrs":{}},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"四、處理結果:","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"現在我們知道是 vpc peer-gateway 功能使 SW1 對 server 發送給 SW2 的 BFD 數據包進行了三層轉發。在關閉了 vpc peer-gateway 功能以後,SW1 二層轉發 server 發送給 SW2 的 BFD 數據包。數據包的 TTL 值不再被減1,server 與 SW2 的 BFD 鄰居正常建立。","attrs":{}}]},{"type":"horizontalrule","attrs":{}},{"type":"heading","attrs":{"align":null,"level":2},"content":[{"type":"text","text":"五、注意事項與參考文獻","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"在測試時發現 vpc peer-link 不使用 LACP 時,也會影響跨 vpc peer-link 的 BFD 鄰居正常建立,建議作爲 vpc peer-link 的 port-channel 使用 LACP 協議。","attrs":{}}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"BFD RFC:","attrs":{}},{"type":"link","attrs":{"href":"https://datatracker.ietf.org/doc/html/rfc5880","title":null,"type":null},"content":[{"type":"text","text":"datatracker.ietf.org/doc/html/rf…","attrs":{}}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"Cisco NX-OS bfd:","attrs":{}},{"type":"link","attrs":{"href":"https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3600/sw/92x/unicast/configuration/guide/b-cisco-nexus-3600-nx-os-unicast-routing-configuration-guide-92x/b-cisco-nexus-3600-nx-os-unicast-routing-configuration-guide-92x%5C_chapter%5C_010000.pdf","title":null,"type":null},"content":[{"type":"text","text":"www.cisco.com/c/en/us/td/…","attrs":{}}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"Cisco VPC Peer-gateway:","attrs":{}},{"type":"link","attrs":{"href":"https://community.cisco.com/t5/switching/vpc-peer-gateway/td-p/2726210","title":null,"type":null},"content":[{"type":"text","text":"community.cisco.com/t5/switchin…","attrs":{}}]}]},{"type":"paragraph","attrs":{"indent":0,"number":0,"align":null,"origin":null},"content":[{"type":"text","text":"BFD over LACP portchannel:","attrs":{}},{"type":"link","attrs":{"href":"https://www.cisco.com/c/en/us/support/docs/switches/nexus-7000-series-switches/200871-BFD-for-BGP-in-AdminDown-State-on-Nexus7.html","title":null,"type":null},"content":[{"type":"text","text":"www.cisco.com/c/en/us/sup…","attrs":{}}]}]}]}
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Sealos 雲主機正式上線,便宜,便宜,便宜!

我們基於 Sealos 雲開發的能力,僅用三天時間就上線 Sealos 的雲主機能力,現在不太懂容器的同學也可以在 Sealos 上開心的使用虛擬機了,本文先說 Sealos 雲主機的優勢,再聊聊我們是怎麼這麼快實現上線的,以及爲什麼我們要

原創 2024-04-26 21:14:40

從零開始學架構V2-架構設計流程-2

一、架構設計流程 架構的設計的是爲了降低整體的複雜性,那麼架構設計的第一步就是熟悉業務,識別其中的核心訴求,僅考慮技術的話就是識別複雜度。 1.1 識別複雜度 架構的複雜度主要來源於第一節中介紹的“高性能”“高可用”“可擴展”等幾個方面,實

原創 2024-04-25 23:56:26

從零開始學架構V2-初識架構設計-1

一、架構設計的主要目的 爲了解決軟件系統複雜度帶來的問題 二、複雜性來源 軟件的架構設計是一個非常複雜的過程;基於業務&技術現狀、公司成本、團隊規模、團隊技術能力、近三年業務發展規模預測、技術發展趨勢等條件篩選出合適的技術、編寫多種架構設計

原創 2024-04-25 23:56:25

京東廣告研發——效率爲王:廣告統一檢索平臺實踐

1、系統概述 實踐證明,將互聯網流量變現的在線廣告是互聯網最成功的商業模式,而電商場景是在線廣告的核心場景。京東服務中國數億的用戶和大量的商家,商品池海量。平臺在兼顧用戶體驗、平臺、廣告主收益的前提推送商品具有挑戰性。京東廣告檢索平臺

原創 2024-04-25 23:17:47

三十分鐘入門基礎Go(Java小子版)

前言 Go語言定義 Go(又稱 Golang)是 Google 的 Robert Griesemer,Rob Pike 及 Ken Thompson 開發的一種靜態、強類型、編譯型語言。Go 語言語法與 C 相近,但功能上有:內存安

原創 2024-04-25 23:17:43

Stable Diffusion中的embedding

Stable Diffusion中的embedding 嵌入,也稱爲文本反轉,是在 Stable Diffusion 中控制圖像樣式的另一種方法。在這篇文章中,我們將學習什麼是嵌入,在哪裏可以找到它們,以及如何使用它們。 什麼是嵌入embe

原創 2024-04-25 21:31:13

「實戰應用」如何用圖表控件LightningChart創建2D氣泡圖

LightningChartJS是Web上性能特高的圖表庫,具有出色的執行性能 - 使用高數據速率同時監控數十個數據源。 GPU加速和WebGL渲染確保您的設備的圖形處理器得到有效利用,從而實現高刷新率和流暢的動畫,常用於貿易,工程,航空航

原創 2024-04-25 11:36:06

詳解數倉的向量化執行引擎

本文分享自華爲雲社區《GaussDB(DWS)向量化執行引擎詳解》,作者: yd_212508532。 前言 適用版本:【基線功能】 傳統的行執行引擎大多采用一次一元組的執行模式,這樣在執行過程中CPU大部分時間並沒有用來處理數據,更

原創 2024-04-25 10:33:17

百度安全多篇議題入選Blackhat Asia以硬技術發現“芯”問題

Blackhat Asia 2024於4月中旬在新加坡隆重舉行。此次大會聚集了業界最傑出的信息安全專業人士和研究者,爲參會人員提供了安全領域最新的研究成果和發展趨勢。在本次大會上,百度安全共有三篇技術議題被大會收錄,主要圍繞自動駕駛控制器安

原創 2024-04-25 09:33:19

前端面試題 - 說一下原型和原型鏈?

前端面試題 - 說一下原型和原型鏈? JavaScript 中,萬物皆對象,對象分爲普通對象和函數對象。 所有的函數都是函數對象(typeof f === 'function'),其他都是普通對象(typeof o === 'object'

原創 2024-04-24 23:51:10

前端面試題 - JS的垃圾回收機制?

前端面試題 - JS的垃圾回收機制? 有兩種垃圾回收策略: 標記清除:標記階段即爲所有活動對象做上標記,清除階段則把沒有標記(也就是非活動對象)銷燬。 引用計數:它把對象是否不再需要簡化定義爲對象有沒有其他對象引用到它。如果沒有引用指向該

原創 2024-04-24 23:51:03

數據結構筆記淺記(十三) 哈希表

「哈希表 hash table」,又稱「散列表」,它通過建立鍵 key 與值 value 之間的映射,實現高效的元素查詢。具體而言,我們向哈希表中輸入一個鍵 key ,則可以在 𝑂(1) 時間內獲取對應的值 value 。 從本質上看,哈

原創 2024-04-24 23:39:16

一則 TCP 緩存超負荷導致的 MySQL 連接中斷的案例分析

除了 MySQL 本身之外,如何分析定位其他因素的可能性? 作者:龔唐傑,愛可生 DBA 團隊成員,主要負責 MySQL 技術支持,擅長 MySQL、PG、國產數據庫。 愛可生開源社區出品,原創內容未經授權不得隨意使用,轉載請聯繫小編並註

原創 2024-04-24 23:20:53

離開工位老是忘記鎖屏?試着讓電腦自動完成這事吧!

1.場景說明 公司要求離開工位要立刻鎖定電腦屏幕防止信息泄露,但無論是使用鎖屏快捷鍵還是設置觸發角,總感覺不得勁。想想汽車現在基本都是自動鎖車了,電腦它就不能自己鎖屏嗎?於是抽空蒐羅了一些自動化的解決方案,並按照Win和Mac進行分類。

原創 2024-04-24 23:17:17

京東廣告研發 —— 京東推薦廣告排序機制演化

1、序言:廣告排序機制的前世今生 1.1、簡介:廣告排序機制 在線廣告是國內外各大互聯網公司的重要收入來源之一,而在線廣告與傳統廣告最大的區別就在於其超大規模的實時競價環境:數以萬計的廣告主在一天內可以參與億級別的流量競拍。在這複雜的實

原創 2024-04-24 23:17:14