Cisco Catalyst SwitchにてSpanning-Tree Protocol(STP; スパニングツリー プロトコル)が動作している環境にCisco Nexusを接続した際の注意点をまとめておく。
前提
- Cisco Nexus - Cisco Catalyest 接続環境にてSTPを構成する場合は、vPCドメイン内のメンバー(vPC Primary or vPC Secondary)をRoot Bridgeにすることが推奨されている。さらに、CiscoはvPC配下のL2スイッチにはRoot Guardの設定を推奨している。
- 参考リンク:[Spanning Tree Design Guidelines for Cisco NX-OS Software and Virtual PortChannels]
(http://www.cisco.com/c/dam/en/us/products/collateral/switches/nexus-7000-series-switches/C07-572834-00_STDG_NX-OS_vPC_DG.pdf)
- 参考リンク:[Spanning Tree Design Guidelines for Cisco NX-OS Software and Virtual PortChannels]
- しかし、実際構成したところ、Cisco Nexus、Cisco Catalyst 混在環境でCisco CatalystをRoot Bridgeにすることは可能だった。
- ここでは主に、Cisco Nexus、Cisco Catalyst 混在環境でCisco CatalystをRoot Bridgeにした際の考慮点をまとめたい。
Cisco NexusにおけるvPC×STP 考慮点
- NX-OSではSTPポートタイプとして、エッジポート(Portfastみたいなもの)、ネットワークポート(Nexus同士の接続で推奨)、標準ポート(普通のSTPポート)の3つを定義。
- vPCピアリンクは自動でNetwork Stateとなり常にForwarding となる。
- 通常、DPがどこであってもPC PrimaryのみBPDUを生成し、vPC Secondary が受け取ったBPDUはPrimary に転送される。
- peer-switch機能を使用することによりvPC PrimaryおよびvPC Secondary両方からBPDUを送信することができる。( 参考リンク )
- peer-switch機能はvPC PrimaryおよびSecondaryがSTP上1台のスイッチとして振る舞う。
- vPC Secondaryは自身がBPDU送信しないが、STPポートStateについてはvPCピアリンク経由で共有される。
- グローバルでBridge AssuranceがEnableになっている場合、ネットワークポートでそれが有効になる。これは変更しないことが推奨される。具体的には、すべてのネットワークポート(port type network)からBDPUがhellotタイムごとに送出される。
- vPCメンバーポートでBridge Assuranceを有効化しないこと。
- 同vPCドメイン内の各vPCピアスイッチは自分のブリッジIDを使用する。
- vPCポートでLoopGuardを有効化しないこと。(Default無効)
- vPC Secondaryポートの対向ではBPDUを受け取らないため。
- CatalystとSTP混在環境でのSTP Cost計算方法を統一する。想定外のPort Roleとなる。( 参考リンク )
- vPCのRoleに注意:vPC のOperational RoleがPrimaryの機器がBPDU送信を担う。
以上。