本節書摘來自異步社區《NX-OS與Cisco Nexus交換技術：下一代數據中心架構（第2版）》一書中的第1章，第1.5節，作者 【美】Ron Fuller, CCIE#5851 , David Jansen, CCIE #5952 , Matthew McPherson，更多章節內容可以訪問云棲社區“異步社區”公眾號查看

1.5　VDC

NX-OS與Cisco Nexus交換技術：下一代數據中心架構（第2版）
Nexus 7000 NX-OS軟件支持VDC（Virtual Device Context，虛擬設備環境），可以將單臺Nexus 7000物理設備劃分為多個邏輯設備。這種邏輯劃分能力具有以下好處：

控制與管理分離；
不同VDC的變更與故障域相互隔離；
地址、VLAN、VRF和vPC隔離；
每個 VDC 都相當于一臺獨立的設備，每個 VDC 都能實現獨立的 RBAC （Roles- Based Access Control Management，基于角色的訪問控制管理）功能，從而允許大量VDC在維持豐富的、精細的RBAC能力的同時，由不同的管理員進行分別管理。通過該功能，每個管理員都能安全地定義獨立于其他 VDC 的VRF名稱和VLAN ID，因為每個VDC都維護了自己獨有的軟件進程、配置以及數據平面轉發表。

此外，每個 VDC 都維護了一個單獨的 HA（High-Availability，高可用性）策略，定義了 VDC 內部發生故障后系統所要采取的操作。根據系統的硬件配置情況，可以關閉或重啟 VDC，或者重新加載控制引擎。對于冗余控制引擎配置來說，可以關閉或重啟VDC，也可以發起控制引擎切換操作。

例1-11顯示了監控VDC資源的方式。

例1-11 監控VDC資源的方式

例 1-11 的輸出結果顯示了特定 VDC 中用于特定類型路由的共享內存量。其中，u4route-mem行表示了單播IPv4路由的內存使用情況，前五項至port-channel是內存數量，其余的-mem信息均以MB為單位。

注：有關詳細信息請參考第6章。
VDC之間共享的組件如下所示：

支持所有進程和VDC的單一內核實例；
控制引擎模塊；
交換矩陣模塊；
電源；
風扇架；
系統風扇架；
CMP；
CoPP；
硬件SPAN資源。
圖 1-5 顯示了在Nexus 7000 上利用 VDC 進行邏輯分段的情況。一種常見應用場景就是橫向整合，以減少數據中心匯聚層中的物理交換機數量。圖 1-5 顯示了兩臺Nexus 7000物理機箱以及邏輯VDC的部署情況。

默認 VDC 是一個具有全部能力的全功能 VDC。默認 VDC 擁有默認 VDC 所特有的特殊任務。默認 VDC 的特有任務如下所示。

創建/刪除/掛起 VDC。
資源分配：接口和內存。
跨所有 VDC 進行NX-OS升級。
升級EPLD（用于新的硬件功能特性）。
Ethanalyzer功能：控制平面/數據平面（攜帶 ACL）流量。
為Nexus 2000、FabricPath和FCoE安裝功能特性集。
CoPP。
端口通道負載均衡。
硬件IDS檢查控制。
如果滿足操作與管理需求或滿足任務需求，默認VDC也完全可以用于生產性流量，而某些用戶則可能會將默認VDC保留用作管理功能。

非默認 VDC 也是一種擁有全部能力及規模的全功能 VDC。VDC 功能特性是一系列能力的超集，以下功能特性是VDC能力的一個子集：

非默認VDC的變更僅影響該特定VDC；
每個VDC中的每種協議都使用獨立的進程；
每個VDC都有獨立的配置文件；
每個VDC都有獨立的檢查點；
獨立的RBAC、TACACS、SNMP等；
獨立的VLAN、VRF、生成樹控制平面或拓撲結構、路由協議、私有 VLAN等。
NX-OS 5.1版本引入了定義每個 VDC行為的模塊型參數，可以指定5種不同類型的I/O模塊。

m1：指定該VDC只能包含M1模塊。
m1-xl：指定該VDC只能包含M1-XL模塊。
f1：指定該VDC只能包含F1模塊。
f2：指定該VDC只能包含F2模塊。
m2xl：在該VDC中啟用M2型模塊。
默認VDC是limit-resource module-type f1 m1 m1-xl m2-xl （default）：默認VDC在VDC中啟用了混合的 M1、M1-XL 和 F1 模塊，例 1-12 解釋了創建 VDC 并將資源模塊類型限定為F1模塊的方式。

例1-12 創建VDC模塊類型

注：配置VDC模塊類型時，滿足以下條件時將出現下述結果：沖突模塊將被置于“suspended（掛起）”狀態。利用OIR（Online Insertion and Removal，在線插拔）機制，在帶電狀態下，雖然該模塊處于OK狀態，但是無法對這些接口進行配置，只能對這些接口進行VDC分配。也就是說，將F1接口從M1-only VDC遷移到F1或混合模式VDC。
Nexus 7000引入NX-OS 5.2.1之后，就可以對F1系列I/O模塊創建FCoE存儲VDC。如果要在 F2 和 F2-e 上支持 FCoE，那么必須部署 Supervisor-2 或 Supervisor-2e 以及NX-OS 6.1.1及更高版本。存儲VDC可以實現傳統FC（Fibre Channel，光纖通道）SAN拓撲結構：Fabric A與Fabric B分離。目前僅支持單個存儲VDC，不能將默認 VDC 設置成存儲VDC。為了保持當前運行模式，存儲VDC可以將LAN管理員與SAN管理員的工作職責分離。存儲VDC在Nexus 7000中創建了具有以下功能特性的“虛擬”MDS。

作為完整的FCF參與網絡。
分區、FC別名、fcdomains、IVR、矩陣綁定（Fabric Binding）等。
支持FCoE目標。
支持到其他交換機的FCoE ISL：Nexus 7000、5000和MDS。
每個機箱只有一個存儲VDC。
不需要高級許可證（VDC）。
計入 VDC 總數：目前每臺 Nexus 7000 在Supervisor-1 情況下最多支持 4 個VDC，在Supervisor-2的情況下支持4+1 個VDC，在Supervisor-2e情況下支持8+1個VDC。
共享接口，通常一個接口只能位于一個VDC中，共享接口是該規則的例外情況。共享接口的概念適用于服務器中安裝了CNA的F1、F2和F2e模塊。流量基于二層Ethertype（以太網類型），以太網VDC“擁有”該接口，存儲VDC也能看見該接口。
作為唯一的例外情況，共享接口允許兩個 VDC 共享同一個接口。當 F1 接口連接了運行FCoE的CNA（Converged Network Adapter，融合網絡適配器）時就支持共享接口，根據二層Ethertype信息可以實現流量分離。FCoE包括兩類組件，這兩類Ethertype只會被引導到運行了FCoE的存儲VDC中，其他Ethertype都會被引導到以太網VDC（非存儲VDC）中：

1．控制平面，FIP（FCoE Initialization Protocol，FCoE初始化協議）Ethertype值為0x8914。

2．數據平面，FCoE Ethertype值為0x8906。

圖 1-6給出了共享接口的概念。其中，連接Nexus 7000 F系列模塊上的服務器中安裝了CAN。

Nexus 7000對共享接口的要求如下：

最低軟件版本為NX-OS 5.2（1）；
接口必須是F1、F2或F2e I/O模塊；
在默認 VDC 與存儲VDC之間共享；
在非默認VDC與存儲VDC之間共享；
必須將該接口分配給以太網VDC；
必須在以太網VDC中將共享接口配置為802.1q中繼接口；
必須將 ASIC 上的兩個端口都配置為共享接口，并將共享接口分配給存儲VDC。
例1-13顯示了在Nexus 7000上配置共享接口的方式。

例1-13 在Nexus 7000上配置共享接口

由于每個 VDC 都相當于一臺交換機，因而為了實現 VDC 之間的通信，必須滿足以下條件：

必須使用前面板端口進行VDC之間的通信，目前還不支持軟交叉連接或背板進行VDC之間的通信；
存儲共享端口；
前面板端口的安全模型必須保持一致，以確保QoS、ACL、NetFlow等資源；
L2/L3或線卡型號沒有限制；
在VDC之間使用vPC或vPC+時，必須確保域ID的唯一性。

1.5.1 VDC配置

本節將討論VDC的創建過程。創建了 VDC之后，還要為VDC分配資源。NX-OS始終從默認的admin VDC（管理VDC，即VDC 1）開始創建VDC。

注：目前每臺配置了Supervisor-1的Nexus 7000機箱最多可支持4個VDC：默認VDC（VDC 1）和3個附加VDC。可以用Supervisor-2或Supervisor-2e配置附加VDC；而Supervisor-2支持4個VDC和1個admin VDC，Supervisor-2e支持8個VDC和1個admin VDC。不能為admin VDC分配任何數據平面接口，admin VDC中只能有mgmt0接口。
例1-14在Egypt上配置了名為core的VDC。

例1-14 在Egypt上配置名為core的VDC

創建了 VDC 之后，必須為 VDC 分配相應的物理資源。根據交換機中安裝的以太網模塊，支持的接口分配情況如下。

對于32端口10GE模塊（N7K-M132XP-12和N7K-M132XP-12L）來說，以端口組（port-group）為基礎分配接口資源，一共8個端口組。例如，端口組1的接口是e1、e3、e5、e7，端口組2的接口是e2、e4、e6、e8。

M2模塊可以在VDC或機箱內與M1/F1模塊共同使用。

1.5.2 VDC接口分配

Nexus 7000機箱安裝的硬件模塊不同，相應的接口分配方式也有所不同。下面將詳細討論每種硬件模塊及其接口分配情況。

1．接口分配：N7K-M132XP-12和N7K-M132XP-12L
以每個VDC為基礎分配接口，而且不能跨VDC共享接口。將接口分配給VDC之后，該VDC的后續配置就完成了。N7K-M132XP-12和N7K-M132XP-12L要求以4端口的端口組方式分配接口，以保持ASIC資源的一致性：

以每個VDC為基礎分配接口，而且不能跨VDC共享接口；
將接口分配給VDC之后，該VDC的后續配置就完成了；
N7K-M132XP-12和N7K-M132XP-12L要求以4端口的端口組方式分配接口，以保持ASIC資源的一致性。
圖1-17顯示了N7K-M132XP-12和N7K-M132XP-12L模塊的接口分配情況。

2．接口分配：N7K-F132XP-15
以每個VDC為基礎分配接口，而且不能跨VDC共享接口（除非有FCoE）。將接口分配給VDC之后，該VDC的后續配置就完成了。N7K-F132XP-15要求以2端口的端口組方式分配接口，以保持ASIC資源的一致性：

以每個VDC為基礎分配接口，而且不能跨VDC共享接口（除非有FCoE）；
將接口分配給VDC之后，該VDC的后續配置就完成了；
N7K-F132XP-15要求以2端口的端口組方式分配接口，以保持ASIC資源的一致性。
圖1-18顯示了N7K-F132XP-15模塊的接口分配情況。

3．接口分配：N7K-M108X2-12L
以每個VDC為基礎分配接口，而且不能跨VDC共享接口。將接口分配給VDC之后，該VDC的后續配置就完成了。N7K-M108X2-12L上的每個端口都有自己的ASIC：

以每個VDC為基礎分配接口，而且不能跨VDC共享接口；
將接口分配給VDC之后，該VDC的后續配置就完成了；
N7K-M108X2-12L上的每個端口都有自己的ASIC。
圖1-19顯示了N7K-M108X2-12L模塊的接口分配情況。

4．接口分配：10/100/1000模塊
以每個VDC為基礎分配接口，而且不能跨VDC共享接口。將接口分配給VDC之后，該VDC的后續配置就完成了。M1 48端口線卡有4個12端口的端口組：

以每個VDC為基礎分配接口，而且不能跨VDC共享接口；
將接口分配給VDC之后，該VDC的后續配置就完成了；
M1 48端口線卡有4個12端口的端口組；
建議將同一端口組的所有成員都分配給同一個VDC。
圖 1-20 顯示了 N7K-M148GS-11 和N7K-M148GS-11L 以及 N7K-M148GT-11 和N7K-M148GT-11L模塊的接口分配情況。

讀者遇到的一個常見問題就是“Nexus 7000 I/O模塊的器件編號（part number）是什么意思？”例如，器件編號N7K-M108X2-12L意義如下。

N7K：Nexus 7000 I/O模塊。
M1：M1轉發引擎。
08：模塊上的接口號。
X2：光接口類型。
1：模塊h/w版本。
2：需要兩個交換矩陣，無N+1交換矩陣冗余。
L：XL版本，需要XL許可證。
器件編號N7K-F132XP-15意義如下。

N7K：Nexus 7000 I/O模塊。
F1：交換矩陣模塊。
32：模塊上的接口數量。
XP：光接口類型SFP+。
1：模塊h/w版本。
5：需要5個交換矩陣，無N+1交換矩陣冗余。
5．M2模塊的接口分配
對M2模塊來說，端口是以VDC為基礎進行分配的，而且不能跨VDC共享端口。

注：不能虛擬化物理接口之后將虛擬化后的邏輯接口關聯到不同的VDC。支持的配置方式是虛擬化物理接口并將虛擬化后的邏輯接口關聯到不同的VRF或不同的VLAN。默認情況下，所有的物理端口都屬于默認VDC。
例1-15解釋了將接口分配給VDC的方式。

例1-15 將接口分配給VDC

為了驗證接口的分配情況，可以使用命令show vdc membership（如例1-16所示）。

例1-16 驗證分配給VDC的接口

除了接口之外，還可以將其他物理資源分配給 VDC，包括IPv4路由內存、IPv6路由內存、端口通道以及SPAN會話等。需要配置這些資源的分配值，以免單個VDC獨占所有的系統資源。例1-17解釋了這些系統資源的配置方式。

例1-17 分配系統資源

在VDC配置子模式下還可以定義 VDC 的 HA 策略。利用命令ha-policy即可為VDC定義相應的HA策略（如例1-18所示）。

例1-18 更改VDC的HA策略

HA策略取決于使用場景或VDC的角色。例如，如果Nexus 7000安裝了雙控制引擎模塊，或者 VDC 角色是開發/測試，那么 VDC HA策略可能就是直接關閉該VDC。如果 VDC角色是核心層或匯聚層用例，那么HA策略可能就應該是切換。

總結

以上是生活随笔為你收集整理的《NX-OS与Cisco Nexus交换技术：下一代数据中心架构（第2版）》一1.5　VDC的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。