이번 시간에는 vPC에서 STP를 구동시킬 때 Cisco에서 권장하는 내용을 살펴보기로 하자.

  vPC는 앞에서도 설명했듯이 vPC Peer간에 Control-Plane이 Active-Active로 구동되기 때문에 STP Process도 당연히 별도로 동작한다. 단 vPC member port의 vPC VLAN에 대해서만 secondary switch가 BPDU를 전달하지 않고, member port에서 유입된 BPDU를 primary switch에게 전달할 뿐이다.

출처 : www.cisco.com

Cisco에서의 Strong Recommendations

1. Host와 연결된 interface의 STP Port type을 ‘edge’ or ‘edge trunk’로 구성하라.

  크게 중요한 내용은 아니다. vPC를 구성하는 Nexus는 RSTP 기반으로 STP가 동작한다. 그런데, PC나 Server와 같은 Host가 연결된다면, BPDU를 통한 RSTP Negotiate에 실패하여 STP가 동작할 수 있기 때문에 Port type을 Edge로 구성하여 Negotiate를 하지 않도록 하는 것이다.

2. STP BPDU-guard를 Global에 설정하라.

  1번에서 Edge Port로 구성한 Port에 예상치 못한 Switch가 연결되어 Switching Loop이 발생할 수 있는 상황을 차단하기 위함이다.

3. Access Switch에서 STP channel-misconfig guard를 지원한다면, 기능을 사용하지 마라.

Ether-channel을 구성할 때, 다음 사항을 체크하여 실패하면 err-disable 상태가 되도록 하는 기능으로 Cisco Workgroup Switch들은 default로 enable되어 있다.

  • Speed must be the same
  • Duplex must be the same
  • # of ports needs to be the same
  • 1 side is set to a trunk while other side is not
  • Type of port (L2 or L3) need to be the same
SW1#show spanning-tree summary 
Switch is in rapid-pvst mode
Root bridge for: VLAN0001, VLAN2000
Extended system ID                      is enabled
Portfast Default                        is disabled
Portfast Edge BPDU Guard Default        is disabled
Portfast Edge BPDU Filter Default       is disabled
Loopguard Default                       is disabled
PVST Simulation Default                 is enabled but inactive in rapid-pvst mode
Bridge Assurance                        is enabled
EtherChannel misconfig guard            is enabled
Configured Pathcost method used is short
UplinkFast                              is disabled
BackboneFast                            is disabled

  이 기능은 한쪽에서만 체크해도 운영하는데 문제가 안되기 때문에, 문제 발생시 Workgroup Switch에서 err-disable 상태가 되도록 권장하는 것이다.

4. vPC에 Loopguard 기능을 설정하지 마라.

  Loopguard는 block port에만 동작하기 때문에 Root가 되어야 할 vPC 장비에는 설정할 필요가 없다. 그런데, 만일 vPC 장비가 non-Root가 되어 Secondary Switch의 member port가 block이 된 경우를 가정해 보자. Secondary Switch에 Loopguard가 적용되었다면, Block port로 BPDU를 받지 못하는 경우 Block port를 그대로 유지시키게 될 것이다. 그런데, Workgroup Switch가 Primary Switch로만 BPDU를 계속 보낸다면, Secondary Switch는 계속 Block 상태를 유지하게 된다.

5. vPC의 member port에 Bridge Assurance 기능을 설정하지 마라.

  이것도 4번과 동일한 이유이다. Bridge Assurance 기능은 Switch 상호간에 BPDU를 전달하여 두 장비간에 통신하는데 문제가 없다는 것을 확인하기 위한 기능인데, Workgroup Switch가 BPDU를 한쪽으로만 전달한다면 다른 Switch에서는 Workgroup Switch에 문제가 있다고 판단(Bridge assurance inconsistent)하여 Workgroup Switch와 연결된 Port를 Block port로 만들 것이다.

Cisco에서의 General Recommendations

1. vPC Primary 장비가 모든 VLAN에 대하여 Root가 되도록 구성하라.

2. vPC Secondary 장비가 모든 VLAN에 대하여 Backup Root가 되도록 구성하라.

  이 부분은 지난번에 자세하게 설명한 부분이니 넘어가도록 하겠다. 다음시간에는 ‘peer-switch’ 기능에 대해 알아보기로 하자.