Si l’objectif « historique » est le même : s’affranchir de la limitation de STP (blocage de ports pour prévenir les boucles), de l’usage des FHRP (HSRP, VRRP) pour équilibrer les liens, d’augmenter les performances en débit et capacité de calcul, d’éliminer les SPOF liés à l’utilisation d’un seul châssis ou stack de switches… les implémentations du vPC et VSS ne sont pas les mêmes sur plusieurs aspects : architecture, fonctionnement, opération, etc., et sont à étudier minutieusement au vu des avantages et inconvénients qu’ils présentent ou pas dans une situation particulière de déploiement.
Cet article discute de ce qui fait que le vPC est différent du VSS en dégageant progressivement ce qui est le point fort/faible de l’un et de l’autre…
le vPC
L’acronyme veut dire littéralement virtual port-channel. ici d’après le nom le focus est porté sur le port-channel qu’on virtualise, qu’on fait porté par deux unités séparées comme s’il s’agissait d’une seule unité…
La technologie ne peut supporter que des Po en L2 sur uniquement 2 unités! et c’est l’apanage de la gamme Nexus des switches ou fabriques Cisco qui supportent la technologie d’agrégation de liens le MC-LAG.
Les deux switches qui participent du vPC se voient sur les liens peer-link (qui n’est jamais bloqué, au sens STP, transite : les vlans vPC, messages CFS, les STP BPDU, HSRP Hello, IGMP, Multicast, etc.) et sur les liens keepalive (UDP:3200 chaque seconde); ils ne partagent pas le plan de contrôle, le calcul est ainsi maximal puisque les deux unités participent du calcul. Mais il faut faire la configuration sur les deux unités (heureusement qu’il n’y ait plus de deux unités😉)!
C’est le fameux protocole CFS, cisco frabric services, qui gère:
- la validation et comparaison de la configuration des deux pairs
- la synchronisation des tables d’adresses mac
- la synchronisation du statut des ports membres
- la gestion du STP
- la synchronisation HSRP et IGMP snooping
Les Po à proprement parler qui constituent les liens vers les serveurs par exemple, sont configurés de la même façon qu’un Po classique (négociable en statique ou en utilisation un protocole de négociation dynamique comme le LACP) mais différenciés par l’ajout du mot clé « vpc » qui signifie leur ajout au domaine vPC, à la synchronisation des deux unités…
dans le VSS,
le VSS signifie littéralement virtual switch systems. ici à la différence du vPC, le nom indique plus l’effort de virtualisation du switch (L2 ou L3) ou du switching d’où certains aspects qui décrivent la façon dont se représentent le cluster à l’extérieur (management, administration, routage, etc.) et surtout que la configuration se fait sur le switch virtuel qui est supporté par le châssis physique le plus prioritaire en un seul endroit!
Le cluster VSS peut supporter des Po en L2 et L3. C’est le domaine privilégié de la gamme Catalyst des switches Cisco avec ce que cela induit comme éléments d’architecture interne physique et logique qui implémentent la technologie d’agrégation de lien : MEC ou multi-chassis etherchannel…
Il peut supporter des Po en L3 qui font participer plusieurs châssis (comme les stacks), un avantage qui n’est pas des moindres semble-t-il!
Les unités, qui après configuration passent en mode virtuel et qui composent le VSS, se synchronisent via la procédure VSL (qui inclut entre autres le protocole LMP, link management protocol, le protocole RRP, role resolution protocol) et ne se présentent qu’en un seul switch virtuel, porté par le switch actif (le plus prioritaire, qui a gagné la négociation) sur lequel est possible de faire la configuration (qui est ensuite répliquée sur les autres unités inaccessibles en ce mode virtuel que par la procédure SSO, stateful switchover)…
Ouf! c’est trop complexe…
en conclusion
D’un point de vue support technologique des gammes de switches, le VSS semble être l’héritier de la logique « tout routé » de Cisco qui avant de faire des switches à commencer par faire des routeurs! l’implémentation est plus une contrainte technologique qu’un choix… pour se rattraper Cisco s’aligne sur l’offre « tout commuté » du marché en implémentant la fabrique et donc le vPC devient possible!
La configuration ou la façon de faire la configuration, d’opérer l’équipement réseau semble plus évidente dans le cas VSS et peut prêter à confusion dans le cas du vPC surtout si l’on considère que le dernier est une technologie de « stacking » qui ne porte que sur les Po et non le switch en entier…
La question de poser la limitation d’uniquement deux unités dans le vPC est plus compréhensible si l’on considère la logique de la « fabic-path ». En effet, le vPC serait un moyen de transiter vers la fabric-path, de migrer les serveurs ou autres équipements qui ne la supportent pas encore. Autrement, avec la fabric-path, une infinité théorique de liens et d’unités par Po est possible!
Références
- Ciscolive : BRKCRS-3035 – Virtual Switching Systems – Cisco Community
- Ciscolive : VXLAN vPC: Design and Best Practices
- Cisco troubleshooting notes : Understand the vPC election process
- Cisco troubleshooting notes : Understand virtual port channel (vPC) enchancements