Tweet
Giới hạn lưu lượng trên vPC Peer-Link (vPC Peer-Link Restrictions)
Mặc dù vPC (Virtual Port Channel) cho phép xây dựng topo loop-free ở Layer 2, nhưng không phải mọi loại lưu lượng đều được phép đi xuyên qua peer-link một cách tự do. Cisco thiết kế vPC với các quy tắc chuyển tiếp (forwarding rules) rất chặt chẽ để tránh tạo frame trùng lặp (duplicate frames) và vòng lặp L2 tiềm ẩn.
Quy tắc quan trọng nhất của vPC Peer-Link
Một frame đi vào switch vPC từ peer-link thì KHÔNG BAO GIỜ được phép đi ra khỏi switch đó qua vPC member port.
Quy tắc này là “xương sống” đảm bảo vPC không tạo loop và không sinh frame trùng lặp trên các thiết bị downstream.
Phân tích kịch bản trong hình (theo đúng logic CCIE / thiết kế DC)
Giả sử:
- Switch3 và Switch4 là access switches
- 9k01 và 9k02 là cặp Cisco Nexus chạy vPC
- Kết nối:
- Po51: Switch3 ↔ 9k01/9k02
- Po52: Switch4 ↔ 9k01/9k02
- Peer-link: kết nối trực tiếp giữa 9k01 và 9k02
Trường hợp 1 – Broadcast / Unknown Unicast phát sinh từ access switch (hợp lệ)
- Một host kết nối vào Switch4 gửi:
- Broadcast
- Multicast flooding
- Unknown unicast
- Lưu lượng được hash vào eth2/2 của Po52, đi vào 9k02.
- 9k02 bắt buộc phải forward frame này lên peer-link, vì:
- Có thể tồn tại orphan ports trên 9k01
- Hoặc có thiết bị downstream chỉ kết nối với 9k01
👉 Đây là luồng được phép (allowed).
Trường hợp 2 – Frame đi vào từ peer-link (bị chặn)
- 9k01 nhận broadcast từ peer-link (do 9k02 gửi sang).
- 9k01 nhận diện được frame này đến từ vPC peer-link.
- 9k01 KHÔNG forward frame đó ra các vPC member ports (ví dụ port 2/9, 2/10).
👉 Nếu không chặn, Switch3 và Switch4 sẽ nhận frame trùng lặp, gây:
- Duplicate frame
- Loop logic
- Hành vi L2 không xác định
👉 Đây chính là quy tắc cấm quan trọng nhất của vPC.
Khi nào peer-link thực sự chuyển traffic?
Peer-link không phải là đường transit thông thường, nó chỉ được dùng khi bắt buộc:
- Broadcast / Multicast / Unknown unicast cần tới orphan ports
- Trạng thái failover khiến một port trở thành orphan
- Đồng bộ control-plane (MAC, ARP, IGMP snooping…)
Orphan Ports – Điểm yếu chiến lược trong thiết kế vPC
Một orphan port là cổng:
- Chỉ kết nối vào một switch vPC peer
- Không nằm trong vPC port-channel
Nếu:
- eth2/2 trên Switch3 bị down
- port 2/9 trên 9k01 trở thành orphan
👉 Khi đó:
- Lưu lượng bắt buộc phải đi qua peer-link
- Peer-link trở thành đường dữ liệu thực sự, không chỉ control-plane
⚠️ Hệ quả thiết kế:
- Peer-link phải đủ băng thông
- Orphan devices có thể bị traffic disruption trong các failure scenario
Khuyến nghị thiết kế của Cisco (rất quan trọng trong DC thực tế)
- Peer-link phải có ít nhất 2 link 10GbE dedicated
- Không chia sẻ với traffic khác
- Không dùng chung với routing hoặc storage
- Hạn chế orphan devices càng nhiều càng tốt
- Nếu bắt buộc có orphan:
- Tính toán kỹ peer-link bandwidth
- Hiểu rõ hành vi traffic khi failover
Góc nhìn CCIE / Thiết kế thực chiến
- vPC không phải là MLAG “thoải mái” như nhiều người nghĩ
- Peer-link không sinh ra để làm data transit
- Mọi thiết kế “dồn traffic qua peer-link” đều là mùi rủi ro
- Hiểu đúng rule “peer-link in → vPC out = forbidden” là bắt buộc khi:
- Troubleshoot broadcast storm
- Phân tích duplicate MAC
- Thiết kế DC scale lớn