Quel est le principe du VSS (virtual switch system) Cisco ?
Le principe est d’associer deux switchs Cisco catalyst 4500 ou 6500 physiques pour qu’ils forment un swich virtuel.
Nous avons donc deux châssis physiques et un seul fichier de configuration.
Un seul des deux commutateurs contrôle le management, la supervision et le routage. Ce switch est appelé le commutateur actif. L’autre switch étant en mode standby à ces niveaux. Par contre, les deux commutateurs sont actifs sur le plan de la commutation.
Quels sont les avantages d’un système VSS?
L’avantage principal est la haute disponibilité. Les switchs d’extrémités sont connectés à chacun des routeurs via deux liens agrégés configurés en port-channel. Ainsi, les deux liens sont actifs et si un des liens tombe, le temps de convergence est beaucoup plus rapide qu’avec l’utilisation du protocole spanning-tree. On garde quand même le protocole spanning tree actif sur les matériels. La haute disponibilité du routage est assurée sans l’usage des protocoles VRRP ou HSRP. On gagne donc aussi en temps de configuration au niveau du routage.
La supervision est également simplifiée puisqu’il n’y a plus qu’un seul fichier de configuration pour deux switchs configuré en VSS.
Architecture VSS
Les deux commutateurs sont reliés par au moins deux liens agrégés 10G. On appelle cette connexion lien VSL (Virtual Switch Link).
Il est conseillé de configurer un troisième lien réservé à la détection de scénario actif/actif. Ce scénario peut se produire si la connexion du lien VSL est rompue.
Exemple de configuration d’un système Cisco VSS
Pré-requis (voir la documentation Cisco)
Il nous faut deux switchs cisco catalyst 4500 ou 6500. On vérifiera auprès des dernières releases notes de cisco si les cartes de supervision supportent le VSS. On vérifiera également si les châssis, les IOS et les cartes de services sont compatibles avec VSS. Enfin, la même version d’IOS doit être installé sur les deux commutateurs.
Activation du mode VSS
Sur le switch 1:
Switch-1(config)#switch virtual domain 100
Domain ID 100 config will take effect only
after the exec command 'switch convert mode virtual' is issued
Switch-1(config-vs-domain)# switch 1
sur le switch 2:
Switch-2(config)#switch virtual domain 100
Domain ID 100 config will take effect only
after the exec command 'switch convert mode virtual' is issued
Switch-2(config-vs-domain)# switch 2
Configuration des deux interfaces 10G utilisées pour le lien VSL
Sur le switch 1:
Switch-1(config)# interface port-channel 1
Switch-1(config-if)# switchport
Switch-1(config-if)# switch virtual link 1
Switch-1(config-if)# no shut
Sur le switch 2:
Switch-2(config)# interface port-channel 2
Switch-2(config-if)# switchport
Switch-2(config-if)# switch virtual link 2
Switch-2(config-if)# no shut
La configuration du port-channel est activé sur les liens dédiés VSL.
Sur le switch 1:
Switch-1(config)# interface range tengigabitethernet 1/1-2
Switch-1(config-if)# channel-group 1 mode on
Sur le switch 2:
Switch-1(config)# interface range tengigabitethernet 1/1-2
Switch-1(config-if)# channel-group 2 mode on
Conversion des deux switchs en mode VSS
Pour le switch 1:
Switch-1# switch convert mode virtual
Pour le switch 2:
Switch-2# switch convert mode virtual
Les switchs vont ensuite redémarrer. Il n’y aura plus qu’un seul fichier de configuration. Les interfaces sont maintenant nommées ainsi: numéro du switch/numéro du module/numéro du port.
Vérification après redémarrage du switch
Switch-VSS#show switch virtual
Executing the command on VSS member switch role = VSS Active, id = 2
Switch mode : Virtual Switch
Virtual switch domain number : 100
Local switch number : 2
Local switch operational role: Virtual Switch Active
Peer switch number : 1
Peer switch operational role : Virtual Switch Standby
Executing the command on VSS member switch role = VSS Standby, id = 1
Switch mode : Virtual Switch
Virtual switch domain number : 100
Local switch number : 1
Local switch operational role: Virtual Switch Standby
Peer switch number : 2
Peer switch operational role : Virtual Switch Active
Switch-VSS#show
Switch-VSS#show switch virtual role
Détection d’un mode actif/actif
Si le lien VSL est coupé, un système de détection de l’état des deux switchs qui composent le VSS doit être mis en place pour éviter que les deux switchs soient actifs en même temps. Il y a plusieurs possibilités pour détecter cette situation: lien fast-hello, Bidirectional Forwarding Detection (BFD) et utilisation d’un lien etherchannel PAgP. Lors de la détection d’un scénario actif/actif, l’ancien switch actif désactive ses interfaces ainsi que les instances de routage et de spanning tree. L’ancien switch passif reste donc le seul actif sur le réseau. Mise en place d’un lien fast-hello
Un lien est dédié pour le système fast-hello. Par défaut, un packet est envoyé toute les deux secondes. Si le lien VSL est tombé et si le lien fast-hello est toujours opérationnel, un scénario actif/actif est détecté.
Switch-VSS(config)# switch virtual domain 100
Switch-VSS(config-vs-domain)# dual-active detection fast-hello
Switch-VSS(config)# int gi1/2/2
Switch-VSS(config-if)# dual-active fast-hello
Switch-VSS(config)# int gi2/2/2
Switch-VSS(config-if)# dual-active fast-hello
Vérification
Switch-VSS#sh switch virtual dual-active fast-hello
Executing the command on VSS member switch role = VSS Active, id = 2
Fast-hello dual-active detection enabled: Yes
Fast-hello dual-active interfaces:
Port Local State Peer Port
---------------------------------------------------
Gi2/2/2 Dual Active Capable Gi1/2/2
Executing the command on VSS member switch role = VSS Standby, id = 1
Fast-hello dual-active detection enabled: Yes
Fast-hello dual-active interfaces:
Port Local State Peer Port
---------------------------------------------------
Gi1/2/2 Dual Active Capable Gi2/2/2
Switch-VSS#
Switch-VSS#sh switch virtual dual-active summary
Executing the command on VSS member switch role = VSS Active, id = 2
Pagp dual-active detection enabled: Yes
FastHello dual-active detection enabled: Yes
In dual-active recovery mode: No
Executing the command on VSS member switch role = VSS Standby, id = 1
Pagp dual-active detection enabled: Yes
FastHello dual-active detection enabled: Yes
In dual-active recovery mode: No
Switch-VSS#
Connexion d’un commutateur au switch VSS
Pour assurer la haute disponibilité, le commutateur sera connecté au deux routeurs physiques. Les deux interfaces seront configurées avec le protocole LACP. Attention: la configuration des interfaces agrégées avec LACP doit être identique. une fois les deux interfaces configurées en agrégation de lien, il faudra entrer les commandes de configuration des interfaces sur l’interface port-channel et non sur les interfaces physiques (voir l’exemple ci-dessous).
Sytème Cisco VSS
Configuration du switch VSS:
Switch-VSS(config)# int gi1/4/2
Switch-VSS(config-if)# channel-group 10 mode active
Switch-VSS(config)# int gi2/4/2
Switch-VSS(config-if)# channel-group 10 mode active
Switch-VSS(config-if)# int port-channel 10
Switch-VSS(config-if)# switchport
Switch-VSS(config-if)# switchport mode trunk
Configuration du switch d’extrémité
Switch-2960x(config)# int gi1/0/49
Switch-2960x(config-if)# channel-group 1 mode passive
Switch-2960x(config)# int gi2/0/49
Switch-2960x(config-if)# channel-group 1 mode passive
Switch-2960x(config-if)# int port-channel 1
Switch-2960x(config-if)# switchport mode trunk
Vérification:
Switch-VSS#show etherchannel summary
Flags: D - down P - bundled in port-channel
I - stand-alone s - suspended
H - Hot-standby (LACP only)
R - Layer3 S - Layer2
U - in use N - not in use, no aggregation
f - failed to allocate aggregator
M - not in use, minimum links not met
m - not in use, port not aggregated due to minimum links not met
u - unsuitable for bundling
w - waiting to be aggregated
d - default port
A - formed by Auto LAG
Number of channel-groups in use: 3
Number of aggregators: 3
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) - Te1/1/1(P) Te1/1/2(P)
2 Po2(SU) - Te2/1/1(P) Te2/1/2(P)
3 Po10(SU) LACP Te1/4/2(P) Te2/4/2(P)