Home

Layer 2 Design

4 Comments

Design Layer 2 hampir selalu membahas STP, Trunk, UDLD, EtherChannel, dan VSS

Prerequisite learning this article: Switching Knowledge

==============================

STP (Spanning Tree Protocol) in Network Design Perspective

USE ONLY WHEN YOU HAVE TO…

Klo ga perlu…jgn gunakan STP, STP bikin topologi makin komplek, semakin komplek berarti troubleshooting makin susah, semakin banyak pula makan resource Switch (dan resource kepala kita hahaha)

Plus….link yang diblok bener2 under-utilized, ga kirim/nerima frame apa2, kek jalan kosong ga pernah dipake…(kecuali punya banyak VLAN, “vlan A link X diblok dan vlan B link Y diblok) bener ga??

Kapan kita ENGGA gunain STP? Look at picture below:

Ketika kita konek ke Server local, STP bisa kita eliminasi.

kapan pake STP?

Ketika kita perlu konek ke WAN…uplink ke WAN harus ada backup, dengan menambahkan link backup…berarti memunculkan kemungkinan Broadcast Storm, klo ada broadcast storm…disitulah STP muncul, klo ada STP Muncul…artinya CPU-nya Switch harus bekerja ekstra lebih keras (selain harus ngurusin STP, dia kan juga harus ngurusin VLAN, mac-address, dan segala macam L2 forwarding lainnya)

Tapi kan bisa aja Server itu penting…masa ga perlu redundancy? That’s why the planning in project meeting is important my friend

In that meeting, we design which area that get the redundancy…which area is not…jangan semua area dikasi redundancy…proper planning and designing saves Cost (unless you’re very skillful sales executive…expert at “morotin duit client”)

Ada ga yang bisa gantiin STP? Ada

  • FlexLinks: “manual” backup…konsep flexlink itu bikin primary link dan backup link, backup link akan selalu inactive sampe primary link mati (versi manual dari STP)

How about the convergence? Slow…butuh beberapa detik untuk backup link jadi active

Wah ga cocok dong dengan Delay Sensitive Application? Emang…tapi FlexLink bisa digunakan klo lo males pergi ke site network…Cuma untuk ketik “no shutdown” ke sebuah link yang jadi backup hahaha (ada loh yang bikin link backup…BENER2 BACKUP….di shutdown, hahaha)

  • L2MP: Layer 2 Multi Path, designed with the IS-IS algorithm (which is capable of L2-L3 technology)

Imagine if Switch use L3 Routing Intelligence for L2 Path Decision instead of solely depends on L2 Technology like STP…that’s what L2MP capable of, now we can get rid of STP

Wow…keren dong,..device apa yang bisa? Nexus 5000 dan 7000

Hahaha…nanti kapan2 gw bahas tentang L2MP

Now back to STP (if you have to implement STP)

STP ada fitur “add-on”, Cisco bilang ini namanya STP Toolkit, apa aja isinya:

  • PortFast: bikin port diswitch langsung “ijo” ga pake “oren” dulu…
  • Loop Guard: bikin port diswitch detect link mati
  • Root Guard: biar Root Bridge nya ga ganti
  • BPDU Guard: bikin port itu ga mau nerima BPDU
  • Bridge Assurance
  • EtherChannel Guard
  • PVST Simulation

Gunanya apa? Untuk menjaga stabilitas L2 topology (lo ga pengen kan root bridge ganti2 tiap saat dan bikin network lo jadi kacau)

Wokeh…untuk yang pernah belajar STP…pasti uda ga asing dengan yang namanya PortFast, LoopGuard, RootGuard, dan BDPU Guard

But there’s 3 more things that foreign and new in our ears (eyes) right…which is bridge assurance, EtherChannel Guard, dan PVST Simulation

  • Bridge Assurance (BA) : enabled by default on Cat6500 Switch, klo biasanya switch kirim BPDU lewat normal port, dengan BA itu BPDU dikirim lewat semuanya (termasuk alternate/blocked port)

gunanya apa? Untuk jaga Root Bridge Stability, begitu Switch yang ada Bridge Assurance kirim BPDU trus ga ada reply, dia akan kasi tau ke switch lain (inconsistent port)

Biasanya kan klo pake “guard-guard yang lain” di switch, kirimnya klo ga di designated port, pasti di root port…dengan BA, BPDU juga dikirim lewat blocked port (buat jaga2 aja)

bro…gw kirim agen rahasia ke link blocked port gw, harusnya GA ADA jawaban, tapi sekarang malah ada BPDU Replay…Celaka inih, be careful with our STP Root Bridge, watch it closely…guard it” hahaha…James Bond/PASPAMPRES-nya versi STP nih

Note for BA:

  • Only in IOS 12.2(33)SXI and later
  • Both side must perform Bridge Assurance (ya iya la, ntar bingung switch sebelah “kok ada BPDU kirim2 kesini?!?”)
  • Works only on R-PVST+ and MST
  • Only on P2P link (jadi ga bisa ke Hub)
  • EtherChannel Guard: bertugas untuk jaga konsistensi EtherChannel, biasanya kan untuk bikin EtherChannel minimal 2 link di switch A dan 2 link di switch B

Dengan EtherChannel Guard, kita bisa detect (dari switch A) “wah, link switch B 1 port-nya ada yang ga perform EtherChannel nih, sedangkan port gw 2-2nya smoothly perform EtherChannel

State port-nya jadi “root-inconsistent state”

  • PVST Simulation: MST bisa inter-operability dengan R-PVST+, tau kenapa? Because of PVST Simulation

Gw ambil dari Cisco-nya langsung deh kenapa kita harus disable/enable PVST Simulation:

You may want to control the connection between MST and Rapid PVST+ to protect against accidentally connecting an MST-enabled port to a port enabled to run Rapid PVST+. Because Rapid PVST+ is the default STP mode, you may encounter many Rapid PVST+ connections

Jadi PVST simulation bisa kita matiin…hanya port2 tertentu/switch2 tertentu aja yang pake R-PVST bole ikut2an MST

Currently, in later Cisco Later appliances…all variants of STP supported are only PVST+, R-PVST+, and MST

Eh…itu BA, EtherGuard sama PVST Simulation bisa di switch 2900 series ga? Ato di 3750 gituh? Engga…bisanya di 6500 hahaha

*Note: untuk MST, tiap device beda2 untuk nampung MST Instance, contoh Nexus 5000 sanggup sampe 65 MST Instances dalam 1 region (switch2 dengan konfigurasi MST yang sama = 1 region)

*Note: Cisco merekomendasikan untuk pake MST klo mau konek ke switch dari vendor lain untuk ensure full interoperability

Kapan dan dimana kita implement those STP toolkits?

  • Loop Guard/Bridge Assurance: between Distribution Switches Links and uplink port on Access Switch ke distribution switch
  • RootGuard: on port Distribution Switch that face Access Switch (karena biasanya root bridge-nya di setting di Distribution Switch)
  • BPDU Guard/Root Guard: on port Access Switch that face End Devices

And don’t forget to implement Switch Security Features such as Port Security in area/switch/port that needs maximum security

==========================================

VLAN and Trunk

Always disable DTP (Dynamic Trunking Protocol)

Why? To prevent VLAN Hopping

Nah, karena DTP itu fitur default dari switch Cisco, klo tiba2 ada hacker nyolok kabel ke port yang lagi nganggur dan dia punya software yang bisa bikin port NIC dia seakan2 trunk…ARTINYA DIA DAPET AKSES KESEMUA VLAN (trunk secara default allow semua vlan)

Tinggal cari Native VLAN di network yang dia tempel…bungkus frame yang VLAN-nya mau diserang pake Native VLAN-ID tag (Double VLAN Tag) trus kirim…

Apa yang terjadi dengan frame yang ditempelin native vlan?!?…VLAN Tag itu dibuang dan dikirim ke tempat (switch) yang bersangkutan, guess what…masi ada VLAN Tag lagi didalemnya kan?!? (that’s why this trick called Double Tagging)

Nah, ditempat switch yang bersangkutan akan dibaca “the real” VLAN tag nya..di forward-lah ke tujuan…dapet de si hacker resource VLAN yang bersangkutan (That’s why this method is called VLAN HOPPING…loncat2)

Trus bagusnya apa DTP? Kenapa DTP diciptain? Salah satu alasan kenapa DTP diciptain adalah untuk detect mismatch configuration…klo DTP dimatiin, lo ga akan tau itu link sebelah trunk apa bukan, access apa bukan, apa jangan2 error lagi…

Klo perlu…Manual Pruning, jadi lo set VLAN2 mana aja yang bole lewat trunk A, trunk B, dll

Trus klo VLAN-nya banyak gimana? untuk jaga konsistensi nomor dan penamaan VLAN aja uda repot?!?

That’s why VLAN Trunking Protocol alias VTP is created

But be careful, REVISION NUMBER…this little thing can make or break your network in instant

Note when implementing VTP:

  • Always use transparent mode first before plug the device into your network
  • Check the Revision Number (using transparent mode will reset revision counter number to Zero)
  • Use VTP Pruning (save your as* a big time when implementing VLAN Pruning)

==================================

UDLD (UniDirectional Link Detection)

Fitur ini dibikin karena adanya kasus pada Fiber Connection, biasanya kan dalam 1 kabel fiber ada 2 “mini kabel”, 1 buat transfer (Tx) dan 1 lagi buat receive (Rx)

Nah, kasusnya kek dibawah ini…

SwA kirim lewat Tx…diterima di SwB Rx, begitu SwB mau reply…ga bisa (mungkin kabel Tx didalemnya putus)

SwA akan mikir “ini BPDU yang gw kirim diterima kok…ga ditolak..tapi kenapa ga ada respons ya?!

Fitur STP lain yang namanya Loop Guard ga bisa detect problem dengan kasus seperti ini, dia taunya…”begitu gw kirim BPDU ga diterima…gw langsung mark jadi inconsistent

Lagian dari “kacamata” upper layer (L3 keatas)…ini link masi dinyatakan hidup, gara2 “buktinya gw bisa ngirim tuh” behavior

Dengan UDLD, SwA akan melakukan 8x percobaan untuk kirim BPDU untuk memutuskan ini link error

8x Kelamaan? Aggressive mode…begitu fail…SHUT!! Err-disable state

Recommendation: Always Enable UDLD…Globally

Note for implementing UDLD:

  • When enabling UDLD globally, Copper Ethernet is excepted (karena dianggep ini ke komputer port, ga pake fiber2an, klo mau ya setting lagi sendiri…tapi jarang sih Ethernet “kena” problem UDLD, biasanya pake LoopGuard uda cukup)
  • Both side must configure UDLD, otherwise the port goes to err-disable state

Conclusion: klo MPLS layer 2/3 (2.5), UDLD itu layer 1/2 (1.5)

=======================================

EtherChannel

Up to 8 ports per EtherChannel group

  • Use PAgP for connecting Cisco Devices
  • Use LACP for mixed vendor (Personally, I choose this because of the feature that I’ll explain below)
  • Alternatively, use manual EtherChannel: On/On
  • The Port Group cannot be used for P-VLAN
  • The Port Group cannot be used for SPAN (it can for R-SPAN)

Some vendors call EtherChannel with term of NIC Team, Bonding, MLT (Multi-Link Trunking), Link Aggregation…but essentially…it all the same

FEC = FastEtherChannel (with fastE link), GEC = Giga..with gigaEthernet, The powerful one is the MEC (MultiChassis EtherChannel)…in VSS

Biasanya klo EtherChannel itu bikin 2 link di 1 device jadi 1 port virtual, klo di MEC bikin 2 device dengan masing2 link jadi 1 device…dapet EtherChannel-nya…dapet pula “Device” Channel-nya

Eh…itu VSS bisa di 2900 ga? Ato di 3750? Jgn bilang ini juga ga bisa lagi T_T?

Cuma ada di switch Cat6500 wkwkwk

klo ga ada VSS, bisa pake yang lain ga? bisa pake Switch 3750, namanya StackWise

stackwise

StackWise meminimalisir kabel yang digunakan untuk redudancy (walaupun ga bisa MEC, ini semacam mini-VSS lah)

stackwise

VSS and StackWise

Nah, kenapa gw lebih suka LACP,…arena ada fitur namanya LACP Hot Standby

Apaan tu LACP Hot Standby?…lo bisa bikin 16 link jadi LACP, bedanya yang 8 link jadi active, 8 link satunya lagi standby…

Jadi ensure LACP bundling-nya tetep 8 port, ada satu mati, masih ada yang bisa gantiin

Plus berguna untuk routing protocol metric…

Here are the details, kita ambil contoh OSPF:

OSPF pake Cost kan?? Yup

Cost dari bandwidth kan?? Yup

Klo gw bundling 8 port 1 Gb berarti jadi 8 Gb kan?? Yup

Nah, klo itu bundling (etherChannel Group port) gw masukin OSPF berarti cost-nya kecil dong (8Gb)?? Hmm..bener juga

Klo gw punya desain seperti ini…kira2 mana yang dipilih? Jalur atas apa bawah?

Jalur atas, karena costnya lebih kecil, bandwidth-nya lebih gede gara2 EtherChannel bundling

Trus apa yang terjadi klo 1 port di etherchannel mati? Bisa lewat bawah kan? hmm…bisa, soalnya bandwidth-nya jadi kurang

Itulah gunanya LACP Hot Standby…ensure the packet still goes to EtherChannel port

==============================================

VSS…goes right here

==============================================

Common L2 Design

Tinggal pilih…mo pake STP…berarti ada yang di blok

Ato mo diakalin…link antar Distribution Switch dijadiin L3 port (using no switchport command) yang hanya bisa dilakukan di multilayer switch (3550 series keatas)

ato…pake Nexus wkwkwk

==================================

Reference:

ARCH-Designing Cisco Network Service Architecture (642-874) Student Guide

Cisco Catalyst 6500 Switch STP Configuration Guide

Cisco Nexus 5000 MST Configuration Guide

UDLD on Greg Ferro (CCIE #6920) blog

EtherChannel on Rick Mur (CCIEx4 #21946) IPExpert blog

Enterprise Campus Architecture

9 Comments

Cisco “nyebut” Campus bukan buat “akademisi”, “kuliahan”, ato “sekolahan” ya…

Kata Campus oleh Cisco digunakan untuk mendefinisikan Inside Network Design dari suatu perusahaan

Prerequisites for learning this article:

Network Engineer with Associate Level of Design Knowledge (ex. CCNA)

because what we’ll talk about is NSF, SSO, VSS, VDC, and those 3 hiearchical layer

============================

Kabarnya gambar dengan 3 layer diatas ini Cisco yang bikin

But Why? What? Who? Where? When? And How?

WHAT? Hierarchical Network Model is developed to make a good Network

WHO? The Design developed by Cisco in order to achieve maximum network potential of Their Clients (especially in Cisco Network Devices)

WHY? Why Cisco make Network Design based on that picture above…

1st: To avoid complexity

Without Design

With Design

Gambar diatas “niat”nya mau FULL REDUDANCY, but in the end…too much links dan bikin komplek, yang bikin cost bengkak (nambah kabel = cost), dengan proper planning lo bisa “separate” area mana yang HARUS di-redudan, mana yang ga perlu

Remember This…KISS (Keep It Simple and Stupid)

Lu ga mau kan bilang bisa ini bisa itu, begitu ada masalah dan semua orang nunjuk lo, lo sendiri yang pusing sangking kompleknya lo nge-rancang network (entah karena blagu lo ngomong bisa ini bisa itu ato karena diteken sales harus bisa ini bisa itu, klo ga, ga akan tembus proyeknya…hahah)

When Trouble comes…You’ll be Shot First, hence came the name “Troubleshot” 😛

Nah, untuk tau area2 mana saja….Cisco bikin Hierarchical Network model yang menekankan Modular Approach

2nd: Modular Approach

wokeh…pertama kita harus tau, area2 mana saja yang ada end user-nya?, devices yang bisa diakses dari luar jaringan kita akan kita tempatin diarea mana?, perlu ga kita bikin area khusus untuk kita tempatin alat2 khusus jaringan kek Nexus 7000?

nah, ini printer2 plus PC2 punya end-user kita tempatin disuatu area yang beda dari server, klo ada hacker di network user kan ga bisa langsung akses server” (DMZ Area)

Server2 ini harus kita pasang Firewall untuk ngehadang hacker dari luar, dan pasang juga Firewall yang ngadep ke end-user supaya hacker ga bisa jebol server dari dalem” (Firewall Sandwich)

kita punya jaringan VoIP, berarti harus dibikin gimana caranya Voice traffic ga nge-drop

Dll…

Nah, salah satu gunanya modular approach ini adalah troubleshooting yang gampang

3rd: Easier Troubleshooting and Problem Isolation

Klo kita tau, PC-PC ada diarea mana, settingan Route Filtering-QoS-EtherChannel, etc. ada dimana, Firewall dan Server ada dimana, ini akan memudahkan kita untuk isolasi problem

Ada ga yang mau klo satu server rusak, trus impact-nya keseluruh network?!? Ga kan…

woi…windows server-nya rusak nih…(pas dilihat ternyata switchnya mati)…oke…gw ganti switch-nya ya

Dan ternyata itu switch kehubung ke PC-PC end user….mampus ente dimaki2 gara2 jaringan putus:D

Nah, dengan konsep Hierarchical Network ini kita bisa tshoot suatu area tanpa mempengaruhi area yang lain (klo di Routing&Switching, ini konsep kek OSPF dengan Area-nya)

Dengan mudahnya kita troubleshooting dan isolasi problem, artinya memudahkan kita dalam mengatur jaringan

4th: Network Management

woi…gw ga bisa konek ke internet nih (END USER)

oh…gw tau itu ada dimana

woi, Server SAP ga bisa diakses

ok….gw cek Core Switch

Lo tau harus ngapain, lo tau jumlah devices nya ada berapa, lo tau network health and status, dan semua itu lo lakukan disebuah PC netMon (Network Monitoring), tinggal remote desktop, pake Laptop, IPad, bahkan Smartphone

========================================

WHERE? Cisco membagi Model ini menjadi 3 layer: Access, Distribution, dan Core

3 Layer Hierarchical Models Fundamentals

Access Layer: Area2 dimana End-Devices terhubung

Access layer biasanya mempunyai karakteristik sebagi berikut:

  • End Point Security (Switchport Security, 802.1X authentication, DAI, etc.), karena ini “Front-Line” dari Security trust area…klo Access layer Jebol, artinya hacker bisa berpura2 jadi authorized end-user untuk akses network resources
  • PoE (Power over Ethernet), biasanya perusahaan beli untuk 4-5 tahun kedepan atau lebih, yang tadinya disupport PSTN (ex. Telkom), to reduce cost…mereka kedepannya mau upgrade dan move ke VoIP, PoE ini bisa provide power buat IP Phone dan Access Point (AP) untuk wireless
  • Virtual LAN (VLAN), perusahaan biasanya pengen separate traffic dari department yang satu ke yang lain (termasuk broadcast traffic) tanpa harus membeli another switch

Distribution Layer: Area yang menghubungkan Access Layer ke Access Layer Lainnya

Karena Distribution itu perannya sebagai “bridge” antar LAN, Area, atau Gedung, karakteristiknya sebagai berikut:

  • QoS (Quality of Service), disini tempatnya settingan QoS untuk handle traffic keluar masuk
  • Redundan, jelas…karena ini layer penting, artinya ga bole mati, dan biasanya default gateway adanya disini, itu berarti device di layer ini harus ada yang backup, baik itu Active/Standby mode…ataupun Active/Active mode. Contoh redundancy untuk default gateway adalah FHRP (HSRP, GLBP, VRRP)
  • Summarisasi, summarisasi biasanya dilakukan agar menghemat kinerja proses dari routing table

Core Layer: Extend Distribution

Tapi bayangin klo network kita uda makin gede, dari yang 1 gedung dengan 2 Distribution Layer Switch dan 4 Access layer Switch…jadi 4 gedung dengan jumlah alat yang sama

RIbet kan klo diliat jadinya.nah, klo ada Core…jadi lebih “neat, seperti gambar dibawah ini

Karakteristik dari Core Layer adalah sebagai berikut:

  • High Speed Switching, karena tujuan awalnya adalah sebagai “perpanjangan tangan” dari Distribution Switch, jadi kita ga pengen ganggu dengan hal2 lain yang ganggu prosess CPU-nya
  • No Packet/Frame Policing, karena? Alasannya adalah Point pertama…
  • EtherChannel, to maximize their potential of HIGH SPEED…
  • Fast Convergence and Redudancy, klo yang satu fail…harus ada yang backup…IN SPLIT SECOND

Eh itu digambar atas kok WAN Router koneknya ke Access Layer Switch? Emang termasuk Access Layer?

Termasuk Access layer, inget…Hierarchical Model ini didevelop untuk maximize the network within the company (Core Layer-nya aja menghubungkan jaringan perusahaan yang sama)

Hierarchical Network Model ini sering disebut Enterprise Campus Network Design
oleh Cisco (klo untuk WAN ada strategi design-nya lagi, sebutannya juga beda lagi hahaha…nanti gw bahas)

=================================

In Split Second? But HOW did they do that?

In order to Achieve <200ms failover convergence, selain dari Routing Protocol Convergence, Cisco punya namanya SSO (Stateful Switchover), apaan inih?

Bayangin klo lo punya “otak” cadangan…begitu otak primary lo mati *hahah* kocak juga…”otak primary mati”, ada otak lain yang bisa backup

Nah, Otak di Switch-nya Cisco disebut Supervisor (dia yang ngatur L2 dan L3 forwarding, ACL, sampe QoS), dalam Supervisor juga terdapat Route Processor (RP) yang ngatur Routing (makanya dia bisa ngatur L3 Forwarding)

Jadi begitu itu Supervisor kenapa2 (anggeplah HANG kebanyak mikir routing wkwkw) ada supervisor 1 lagi yang siap backup

Tapi kan saat pindah supervisor perlu waktu walaupun sepersekian detik, gimana cara biar “keep forwarding” sambil switch ke backup supervisor?

Cisco punya fitur yang namanya NSF (Non-Stop Forwarding), standby supervisor akan ngebackup L2 Forwarding/Data Plane (including CEF dan LFIB) dari active supervisor, jadi begitu supervisor active mati, data transfer masi bisa di lakukan sambil nunggu supervisor selesai switchover

Kesimpulannya…NSF pasti bareng sama SSO, makanya terms NSF SSO pasti disebut bareng

Dan tenang…EIGRP, OSPF, IS-IS, dan BGP support NSF SSO (no RIP? Yup)

softwarenya itu para routing protocol uda disetting untuk detect ini device lagi failover ato engga, status nya klo di routing table jadi STALE, alias router akan nganggep ini rute uda ga “fresh” lagi…dan dia akan update L2 dan L3 forwarding table yang dia punya klo ada update-an yang fresh masuk ke dia

Klo di BGP, kita bisa liat pake “show ip bgp” untuk liat mana aja rute yang STALE (lagi di switchover network-nya)

*note: klo pake NSF SSO, timer itu routing protocol jgn disetting terlalu cepat, karena NSF bergantung ama CEF…begitu CEF-nya ganti gara2 timer convergensi routing protocolnya terlalu cepet, NSF-nya jadi fail

OKE…jadi supervisor2 itu di 1 Switch kan? Yup

klo SWITCH ITU SENDIRI-nya mati…ga ada gunanya kan 2 supervisor itu?!?That’s when VSS (Virtual Switching System) comes into play

========================================================

VSS (Virtual Switching System)

Pernah nonton dragon ball?!? Liat Goku ama Vegeta fusion ga?!?

Mereka jadi 1 tubuh…tapi masing2 punya pikiran sendiri…lawan Goku sendirian aja uda mabok…ini di Fusion ama Vegeta wkwkwk, prinsip yang sama juga dipake di VSS

Ambil 2 Catalyst 6500…gw bisa bikin mereka FUSION juga hahaha, Konsep VSS juga sama…2 device fisik digabung jadi 1 device virtual

Jadi klo switch yang 1 mati, masi bisa ke yang lain, VSS terbentuk dengan cara konekin 2 link Cat6500 ke Cat6500 yang lain (I don’t know about another switch), link ini disebut VSL (Virtual Switch Link)

Kok 2 sih link nya? Ya itu…klo 1 link mati…masi ada link lain…jadi ENSURE DRAGON BALL FUSION-nya ga PECAH *hahaha* maksudnya VSS-nya

Lagian klo di production network, itu VSS tiba2 ga jalan…yang tadinya 2 switch itu share routing table, tiba2 kepisah…akhirnya masing2 switch akan berdiri sendiri…yang artinya…DUPLICATE anything (contoh: duplicate OSPF router-id)

Lets take a look at picture below

nah… sebuah EtherChannel versi VSS akan terbentuk otomatis begitu itu 2 switch FUSION *gw lebih suka ngomong ini wkwkwk

Gambar A. traditional design, redudancy minded, Access Switch punya 1 link ke Switch X (main uplink) dan 1 link lagi ke switch Y (standby uplink)…ada STP (look at blocked port)

Gambar B. desain fisik VSS, secara fisik konek ke 2 Switch, tapi di mata Access Switch (Access Layer logical view), 2 uplink-nya konek ke 1 device (VSS)

Gambar C. karena itu 2 uplink-nya jadi 1 gara2 VSS…itu Switch2 di VSS otomatis akan perform MEC (MEC – Multichassis EtherChannel) alias EtherChannel-nya VSS and no STP

Look at that!!!….bagi gw ini OVERKILL banget…tapi dengan design seperti ini…ini network RESILIENT ABIS, uda kek jagoan superhero…susah mati

2 switch yang sama2 aktif (bukan failover, remember FUSION), yang masing2 punya 2 supervisor, jantung yang satu kena…masi ada satu lagi…jantungnya mati 2-2nya…masi ada jagoan laen yang masi aktif dengan 2 jantung pula…IMAGINE THAT!!!

1 switch aja uda resilient abis (ada NSF SSO), ini digabung dengan switch lain dengan fungsi sama…bener2 TOUGH BASTARD MU’FUKA hahaha

Biasanya klo topologi STAR yang rentan kan tengah2nya…but its not gonna happen in VSS, klo perlu masing2 core switch-nya lo pasang VSS juga…AJIIEEEB DAH

Nah, klo VSL nya ga jalan gimana? There’s 3 way to detect and overcome this

  • E-PAgP (Enhanced PAgP), default: itu VSL pake konsep PAgP, tapi khusus di design buat VSL-nya VSS
  • BFD (Bi-directional Forwarding Detection): lo harus buat 1 link dedicated buat tuker2an “keepalive”
  • Fast Hellos: versi upgrade-nya BFD (rekomendasi pake ini klo E-PAgP ga bisa, tapi harus IOS 12.2(33)SXI keatas)

Berarti ini VSS bisa dijadiin default gateway dong? Bisa, bisa dipakein FHRP kek HSRP,GLBP, dan VRRP dong?? Ngapain!!

FHRP kan sifatnya failover (ada aktif ada standby)…lah VSS kan sama2 aktif…jadi ga perlu pake FHRP, pasang aja default gateway-nya di VSS…selese

Mau pake FHRP juga?? Ini lebih OVERKILL…VSS A dan VSS B digabung, VSS A jadi Active dan VSS B jadi Standby…klo perlu pake GLBP (yang bisa sama2 aktif)….BEEEEUHHHH

Lebih MUKE GILE nih topologi kek diatas @_@ (4 Cat6500 Switch, perform 2 VSS in pairs, with each pair partner have 2 supervisor)

Dibawah ini adalah gambar supervisor module dari Cisco Switch Catalyst 6500 Series

Note:

  • MSFC: Supervisor Engine that capable of multilayer switching and routing intelligence (L3)
  • PFC: Supervisor Engine for data plane/ASIC (L2)

Hmm…design boleh keren…tapi dengan VSS ini artinya kita NAMBAH DEVICE lagi kan?!? Another goddamn Cat6500 switch?!?! the price bro….i think its not gonna happen…

Hahaha…iya, but don’t worry (be happy)…ada satu teknologi di Cisco yang disebut VDC (Virtual Device Context) untuk handle tentang masalah device yang terlalu banyak

============================================

VDC (Virtual Device Context)

Singkat kata…lo pengen ga mau ngeluarin duit banyak2 untuk beli alat yang spesialis di Core Layer/Distribution layer?

Dengan VDC, kita bisa bikin Core Layer dan Distribution Layer function…di Switch yang SAMA

Gimana caranya?? Tau VMWare kan…nah, VDC itu ngikutin konsep VMWare…1 physical device separated into more than 2 logical devices, yang masing2 logical devices itu berdiri sendiri (1 VDC buat Core, 1 VDC buat distribution)

Bahkan dalam 1 logical VDC bisa perform VSS pula…gelo nih fitur…

Currently…up to 8 VDC can be build, tentu ga bisa pake supervisor biasa…mesti pake Enhanced Supervisor (the new one is SUP2E Supervisor Module)

Keuntungan dari VDC

  • Rack Saving, klo bisa 1 device ngerjain kerjaan 2 device sekaligus…kenapa harus 2 ngerjain 1-1?!?
  • HVAC Saving (Heat, Ventilation, and Air Conditioning), ruangan server/network pasti panas karena kebanyakan alat, we can save that in term of devices (soal AC kurang dingin jgn nanya ama gw…)
  • Power Saving, yup…electrical savings
  • Cost Saving…YEAH…FINALLY hahaha

Eh tapi kok gambar2nya semua pake Nexus 7000 ya?? Well…VDC baru ada di Nexus 7000 hehehe

Wkwkwk, Klo diliat2 memang target pasarnya adalah Data Center…Track Cisco Data Center (CCNA sampe CCIE Data Center) maenannya ke Nexus semua

=========================================

Reference:

ARCH – Designing Cisco Network Service Architecture (642-874) Student Guide

Cisco Network Supervisor from networkpcworld.com

Catalyst 6500 SSO Configuration Guide

Cisco Nexus 7000 VDC video by Alim H. Ali (CCIE #36988)

VDC White paper

SUP2E article

Newer Entries