Aruba AOS-CX VSX 標準設定與範本 v2

設定變數：修改後會即時套用到所有程式碼區塊

保留預設值也可以直接複製。調整欄位後，下方程式碼與複製按鈕會使用更新後的值。

Core1 Hostname

Core2 Hostname

Admin 密碼

Core1 mgmt IP

Core2 mgmt IP

mgmt gateway

DNS

NTP 1

NTP 2

System MAC

ISL LAG ID

ISL Port 1

ISL Port 2

Access MC-LAG ID

Core 下接 Access Port

Orphan Port

VLAN Users ID

VLAN Users Name

VLAN Servers ID

VLAN Servers Name

VLAN Voice ID

VLAN Mgmt ID

VLAN Transit ID

Users Core1 SVI IP

Users Core2 SVI IP

Users Gateway VIP

Users Gateway VMAC

Servers Core1 SVI IP

Servers Core2 SVI IP

Servers Gateway VIP

Servers Gateway VMAC

Transit Core1 IP

Transit Core2 IP

Firewall Next-hop

DHCP Server

已套用預設值

概述

VSX（Virtual Switching Extension）是 Aruba AOS-CX 在核心層、匯聚層常用的雙機高可用設計。它不是 VSF 那種單一控制平面堆疊，而是兩台交換器各自保留管理與控制平面，再透過 ISL、Keepalive、MC-LAG、Active Gateway 與設定同步，讓下游設備取得雙活上聯與閘道備援。

這份 v2 文件以 Aruba CX 8325/8360/6400 類型的核心或匯聚交換器為主體，補充 CX 6300 在 AOS-CX 10.16 之後的 VSX Profile 注意事項。設定範本採「可落地、可檢查、可改參數」的方式撰寫；正式上線前仍需依實際機型、版本、連接埠、VLAN 與路由設計調整。

架構總覽

流程圖

上游路由或防火牆→Core1 / VSX-Primary上游路由或防火牆→Core2 / VSX-SecondaryCore1 / VSX-Primary→ISL-LAG / 一般LAGISL-LAG / 一般LAG→Core2 / VSX-SecondaryCore1 / VSX-Primary→Keepalive / mgmt或專用L3Core2 / VSX-Secondary→Keepalive / mgmt或專用L3Core1 / VSX-Primary→Access或Server / MC-LAGCore2 / VSX-Secondary→Access或Server / MC-LAGAccess或Server / MC-LAG→Client / Gateway-VIP

graph TD
  U["上游路由或防火牆"] --> C1["Core1
VSX-Primary"]
  U --> C2["Core2
VSX-Secondary"]
  C1 --- I["ISL-LAG
一般LAG"]
  I --- C2
  C1 -.-> K["Keepalive
mgmt或專用L3"]
  C2 -.-> K
  C1 --- A["Access或Server
MC-LAG"]
  C2 --- A
  A --> H["Client
Gateway-VIP"]

核心觀念：

ISL：兩台 VSX peer 之間的同步與轉送通道，通常用一般 LAG，不是 multi-chassis LAG。
Keepalive：偵測 peer 是否存活，必須走獨立 L3 路徑，不要走 ISL，也不要走下游 VSX LAG。
MC-LAG：給下游 Access switch、Server、Firewall 的雙歸屬 LACP。
Active Gateway：兩台 VSX switch 對同一 VLAN 提供一致的 VIP/VMAC，主機只設定一個預設閘道。
設定同步：從 Primary 同步支援的設定到 Secondary；不是所有設定都會同步，也不是取代人工規劃。

VSX 與 VSF 快速比較

項目	VSX	VSF
控制平面	兩台獨立控制平面	一個邏輯堆疊控制平面
管理方式	兩台分別管理，可用 `vsx-peer` 查對端	以單一邏輯交換器管理
常見位置	Core、Aggregation、Data Center Leaf	Access、Edge、簡化堆疊
下游冗餘	MC-LAG	Stack member uplink
閘道備援	Active Gateway	單一邏輯閘道
升級策略	VSX rolling upgrade	依 VSF 平台與版本而定

官方語法校正清單

主題	正確作法	常見錯誤
ISL LAG	`interface lag 128` 加 `inter-switch-link lag 128`	把 ISL 建成 `interface lag 128 multi-chassis`
ISL 指令	`inter-switch-link lag <LAG-ID>`	`inter-switch-link 1 link-aggregation 1`
VSX context	放 `role`、`system-mac`、`keepalive`、`inter-switch-link`、`vsx-sync`	在 `config-vsx` 放 `no shutdown`
System MAC	兩台相同，格式如 `02:02:00:00:01:00`	`02bf-xx-xx-xx-xx` 這種不完整格式
Profile 查詢	`show profiles available`、`show profile current`	`show profile available`
Active Gateway	用戶 VLAN SVI 使用 `active-gateway ip`	兩台 VIP/VMAC 不一致，或 VIP 不在 SVI subnet
VSX Sync	Primary 設 `vsx-sync ...`，Secondary 仍需存在相同 VLAN/SVI/LAG context	期待 Primary 自動憑空建立所有 Secondary context

設定前規劃表

項目	Core1	Core2	備註
Hostname	`Core1`	`Core2`	唯一且容易辨識
VSX role	`primary`	`secondary`	不可兩台相同
AOS-CX version	同版本	同版本	升級期間例外，但同步會受限
System MAC	`02:02:00:00:01:00`	`02:02:00:00:01:00`	同一 VSX pair 相同，跨 pair 不可重複
mgmt IP	`10.0.0.1/24`	`10.0.0.2/24`	可作 Keepalive
mgmt gateway	`10.0.0.254`	`10.0.0.254`	OOB 管理出口
ISL LAG	`lag 128`	`lag 128`	一般 LAG
ISL ports	`1/1/47-1/1/48`	`1/1/47-1/1/48`	建議至少兩條
Access MC-LAG	`lag 10 multi-chassis`	`lag 10 multi-chassis`	給下游雙歸屬
VLAN 10 SVI	`10.10.10.2/24`	`10.10.10.3/24`	實體 SVI IP 不同
VLAN 10 VIP	`10.10.10.1`	`10.10.10.1`	主機預設閘道
VLAN 10 VMAC	`02:02:00:00:10:00`	`02:02:00:00:10:00`	Active Gateway MAC

上線前檢查

系統與版本

plaintext

show version
show system
show images
show module
show boot-history

檢查重點：

兩台 AOS-CX 版本一致。
兩台平台支援 VSX。
模組、電源、風扇狀態正常。
沒有重複 reboot 或硬體錯誤紀錄。

Profile

8320/8325 類型常見 profile 有 l3-agg、l3-core 等，應依 ARP/Host table 與 Route table 需求選擇。profile 變更會影響 forwarding table 分配，通常需要 reboot，正式環境不要臨時切換。

plaintext

show profiles available
show profile current

若要切換 8325 profile，範例：

plaintext

configure terminal
profile l3-agg
exit
copy running-config startup-config
boot system

CX 6300 在 AOS-CX 10.16 之後可見 Basic 與 VSX profile。Basic 偏 VSF，VSX 供 VSX 功能使用。切換 VSF/VSX profile 前必須備份設定，並確認設備不是 active VSF commander，因為 profile 切換會清除 startup-config 並重開。

plaintext

show profiles available
show profile current

連接埠與 LAG 能力

plaintext

show interface brief
show interface 1/1/47
show interface 1/1/48
show capacities vsx
show capacities lag

檢查重點：

ISL port 速率、媒介、MTU 一致。
下游 MC-LAG 每台 switch 的 member 數量盡量對稱。
平台支援的 VSX LAG 數量足夠。

基礎管理設定

Core1

plaintext

configure terminal
hostname Core1

user admin group administrators password plaintext <StrongPassword>

ssh server vrf mgmt
https-server vrf mgmt

interface mgmt
 no shutdown
 ip static 10.0.0.1/24
 default-gateway 10.0.0.254
 nameserver 10.0.0.53

clock timezone asia/taipei
ntp enable
ntp server 10.0.0.10 iburst
ntp server 10.0.0.11 iburst

copy running-config startup-config

Core2

plaintext

configure terminal
hostname Core2

user admin group administrators password plaintext <StrongPassword>

ssh server vrf mgmt
https-server vrf mgmt

interface mgmt
 no shutdown
 ip static 10.0.0.2/24
 default-gateway 10.0.0.254
 nameserver 10.0.0.53

clock timezone asia/taipei
ntp enable
ntp server 10.0.0.10 iburst
ntp server 10.0.0.11 iburst

copy running-config startup-config

驗證：

plaintext

show clock
show ntp status
show interface mgmt
ping 10.0.0.2 vrf mgmt
show ssh server
show https-server

VLAN 與 STP 基礎設定

STP 要先有一致策略。若沒有特殊需求，Campus Aggregation 常見做法是啟用 MSTP 或 RPVST，並讓核心/匯聚層成為 root。不要在 ISL 上設定 spanning-tree guard/filter，官方文件明確指出 ISL 不允許 STP guards 與 filters。

Core1 與 Core2 都先建立 VLAN

plaintext

configure terminal

vlan 10
 name USERS
vlan 20
 name SERVERS
vlan 30
 name VOICE
vlan 99
 name NETWORK-MGMT
vlan 999
 name TRANSIT-FW

spanning-tree
spanning-tree priority 4

若現場採 RPVST：

plaintext

spanning-tree mode rpvst
spanning-tree
spanning-tree vlan 10,20,30,99,999 priority 4

驗證：

plaintext

show vlan
show spanning-tree
show spanning-tree vlan 10

ISL 設定

ISL 是 VSX peers 之間的 inter-switch link。官方 Validated Solution Guide 的範本是先建立一般 LAG，再於 vsx context 指定它是 ISL。

流程圖

Core1→lag128 / ISLlag128 / ISL→Core2

graph TD
  C1["Core1"] --- L["lag128
ISL"]
  L --- C2["Core2"]

Core1

plaintext

configure terminal

interface lag 128
 description VSX_ISL_TO_CORE2
 no shutdown
 no routing
 vlan trunk native 1
 vlan trunk allowed all
 lacp mode active

interface 1/1/47
 description VSX_ISL_MEMBER_1
 no shutdown
 mtu 9198
 lag 128

interface 1/1/48
 description VSX_ISL_MEMBER_2
 no shutdown
 mtu 9198
 lag 128

Core2

plaintext

configure terminal

interface lag 128
 description VSX_ISL_TO_CORE1
 no shutdown
 no routing
 vlan trunk native 1
 vlan trunk allowed all
 lacp mode active

interface 1/1/47
 description VSX_ISL_MEMBER_1
 no shutdown
 mtu 9198
 lag 128

interface 1/1/48
 description VSX_ISL_MEMBER_2
 no shutdown
 mtu 9198
 lag 128

驗證：

plaintext

show lacp aggregates
show lacp interfaces
show interfaces lag 128
show interface 1/1/47
show interface 1/1/48

VSX 核心設定

Core1 Primary

plaintext

configure terminal

vsx
 role primary
 system-mac 02:02:00:00:01:00
 inter-switch-link lag 128
 keepalive peer 10.0.0.2 source 10.0.0.1 vrf mgmt
 linkup-delay-timer 180
 vsx-sync vsx-global
 vsx-sync stp-global
 vsx-sync mclag-interfaces

Core2 Secondary

plaintext

configure terminal

vsx
 role secondary
 system-mac 02:02:00:00:01:00
 inter-switch-link lag 128
 keepalive peer 10.0.0.1 source 10.0.0.2 vrf mgmt
 linkup-delay-timer 180

說明：

vsx-sync vsx-global 會同步 global VSX 參數，例如 system-mac、keepalive timers、linkup-delay-timer、split-recovery。
vsx-sync stp-global 同步 STP global 設定。
vsx-sync mclag-interfaces 同步 VSX LAG 介面關聯與屬性，例如 VLAN、LACP、STP、QoS trust 等。
Secondary 仍需有相同名稱與 routing 狀態的 VLAN、SVI、LAG context，VSX sync 才能把額外設定帶過去。

驗證：

plaintext

show vsx status
show vsx brief
show vsx status inter-switch-link
show vsx status keepalive
show vsx configuration inter-switch-link
show vsx configuration keepalive
show running-config vsx

正常狀態應看到：

ISL channel 為 In-Sync。
Keepalive State 為 Keepalive-Established。
角色一台是 primary，另一台是 secondary。
Config Sync Status 應為 in-sync，或至少沒有關鍵 out-of-sync。

Keepalive 設計

方案 A：使用 mgmt VRF

這是最常見也最容易維運的設計，但前提是 OOB 管理網路要可靠，兩台 switch 的 mgmt IP 要互通。

plaintext

Core1(config)# vsx
Core1(config-vsx)# keepalive peer 10.0.0.2 source 10.0.0.1 vrf mgmt

Core2(config)# vsx
Core2(config-vsx)# keepalive peer 10.0.0.1 source 10.0.0.2 vrf mgmt

方案 B：專用 L3 直連

若不想讓 Keepalive 依賴 OOB 管理網路，可以用一條專用 routed link 加專用 VRF。

Core1：

plaintext

configure terminal

vrf KeepAlive

interface 1/1/49
 description VSX_KEEPALIVE_TO_CORE2
 no shutdown
 routing
 vrf attach KeepAlive
 ip address 192.168.255.0/31

vsx
 keepalive peer 192.168.255.1 source 192.168.255.0 vrf KeepAlive

Core2：

plaintext

configure terminal

vrf KeepAlive

interface 1/1/49
 description VSX_KEEPALIVE_TO_CORE1
 no shutdown
 routing
 vrf attach KeepAlive
 ip address 192.168.255.1/31

vsx
 keepalive peer 192.168.255.0 source 192.168.255.1 vrf KeepAlive

驗證：

plaintext

ping 192.168.255.1 vrf KeepAlive
show vsx status keepalive
show vsx configuration keepalive

下游 MC-LAG 設定

下游 switch、server、firewall 若支援 LACP，可用 VSX MC-LAG 同時接到 Core1/Core2。這裡的 LAG 才需要 multi-chassis。

流程圖

Core1→Access1 / lag10Core2→Access1 / lag10

graph TD
  C1["Core1"] --- A["Access1
lag10"]
  C2["Core2"] --- A

Core1

plaintext

configure terminal

interface lag 10 multi-chassis
 description TO_ACCESS1
 no shutdown
 no routing
 vlan trunk native 99
 vlan trunk allowed 10,20,30,99
 lacp mode active
 lacp fallback
 spanning-tree root-guard

interface 1/1/1
 description TO_ACCESS1_PORT1
 no shutdown
 mtu 9198
 lag 10

Core2

plaintext

configure terminal

interface lag 10 multi-chassis
 description TO_ACCESS1
 no shutdown
 no routing
 vlan trunk native 99
 vlan trunk allowed 10,20,30,99
 lacp mode active
 lacp fallback
 spanning-tree root-guard

interface 1/1/1
 description TO_ACCESS1_PORT2
 no shutdown
 mtu 9198
 lag 10

Access switch

plaintext

configure terminal

vlan 10
 name USERS
vlan 20
 name SERVERS
vlan 30
 name VOICE
vlan 99
 name NETWORK-MGMT

interface lag 10
 description TO_VSX_CORE
 no shutdown
 no routing
 vlan trunk native 99
 vlan trunk allowed 10,20,30,99
 lacp mode active

interface 1/1/49
 description TO_CORE1
 no shutdown
 lag 10

interface 1/1/50
 description TO_CORE2
 no shutdown
 lag 10

驗證：

plaintext

show lacp interfaces multi-chassis
show lacp aggregates
show interfaces lag 10
show vsx config-consistency lacp lag10
show vlan port lag10

用戶 VLAN Active Gateway

Active Gateway 用於用戶 VLAN 或 server VLAN 的預設閘道。兩台 VSX switch 的 VIP 與 VMAC 要相同，實體 SVI IP 通常不同。

流程圖

Client / GW-10.10.10.1→Access1Access1→Core1 / SVI-10.10.10.2Access1→Core2 / SVI-10.10.10.3Core1 / SVI-10.10.10.2→VIP-10.10.10.1 / VMAC-02:02:00:00:10:00Core2 / SVI-10.10.10.3→VIP-10.10.10.1 / VMAC-02:02:00:00:10:00

graph TD
  H["Client
GW-10.10.10.1"] --> A["Access1"]
  A --> C1["Core1
SVI-10.10.10.2"]
  A --> C2["Core2
SVI-10.10.10.3"]
  C1 --> V["VIP-10.10.10.1
VMAC-02:02:00:00:10:00"]
  C2 --> V

Core1

plaintext

configure terminal

interface vlan 10
 description USERS_GATEWAY
 ip address 10.10.10.2/24
 active-gateway ip 10.10.10.1 mac 02:02:00:00:10:00
 vsx-sync active-gateways
 no shutdown

interface vlan 20
 description SERVERS_GATEWAY
 ip address 10.10.20.2/24
 active-gateway ip 10.10.20.1 mac 02:02:00:00:20:00
 vsx-sync active-gateways
 no shutdown

Core2

plaintext

configure terminal

interface vlan 10
 description USERS_GATEWAY
 ip address 10.10.10.3/24
 active-gateway ip 10.10.10.1 mac 02:02:00:00:10:00
 no shutdown

interface vlan 20
 description SERVERS_GATEWAY
 ip address 10.10.20.3/24
 active-gateway ip 10.10.20.1 mac 02:02:00:00:20:00
 no shutdown

注意事項：

Active Gateway 只能設定在 SVI。
Active Gateway VIP 必須與 SVI IP 位於同一 subnet。
Active Gateway 設定必須在兩台 VSX peer 一致。
不要使用 peer system MAC 當 Active Gateway VMAC。
若 VLAN 很多，要先規劃 VMAC 數量限制，避免後續擴充時超過平台支援能力。

驗證：

plaintext

show active-gateway
show arp vlan 10
show ip interface vlan 10
show vsx config-consistency

上游 Transit VLAN 基礎設定

當 VSX pair 連到上游 firewall、router 或另一組核心時，可使用獨立的 Transit VLAN 作三層鄰接。這類 VLAN 通常不提供給終端主機當預設閘道，因此不需要設定 Active Gateway VIP。

Core1

plaintext

configure terminal

interface vlan 999
 description TRANSIT_TO_FIREWALL
 ip address 172.16.99.2/29
 no shutdown

Core2

plaintext

configure terminal

interface vlan 999
 description TRANSIT_TO_FIREWALL
 ip address 172.16.99.3/29
 no shutdown

驗證：

plaintext

show ip interface vlan 999
show ip route

上游靜態路由範本

若對外流量都交給防火牆，靜態路由通常就足夠。Core1/Core2 將預設路由指向防火牆，防火牆也要有回到內部 VLAN 的回程路由。

Core1：

plaintext

ip route 0.0.0.0/0 172.16.99.1

Core2：

plaintext

ip route 0.0.0.0/0 172.16.99.1

驗證：

plaintext

show ip route
show ip route static
ping 8.8.8.8

DHCP Relay 範本

用戶 VLAN 若 DHCP Server 不在同一 VLAN，需要在 SVI 上設定 relay。

Core1：

plaintext

interface vlan 10
 ip helper-address 10.0.50.10
 vsx-sync dhcp-relay

Core2：

plaintext

interface vlan 10
 ip helper-address 10.0.50.10

驗證：

plaintext

show running-config interface vlan 10
show dhcp-relay

Orphan Port 與 Split 保護

Orphan port 是只接在其中一台 VSX switch 上、沒有雙歸屬 MC-LAG 的介面。若它只接在 Secondary，ISL split 時容易發生黑洞風險，可依服務需求評估 vsx shutdown-on-split。

plaintext

interface 1/1/10
 description SINGLE_HOMED_SERVER_ON_SECONDARY
 no shutdown
 no routing
 vlan access 20
 vsx shutdown-on-split

驗證：

plaintext

show vsx status linkup-delay
show interface 1/1/10

設定同步策略

建議啟用

plaintext

vsx
 vsx-sync vsx-global
 vsx-sync stp-global
 vsx-sync mclag-interfaces

依需求啟用

plaintext

vsx
 vsx-sync aaa
 vsx-sync bfd-global
 vsx-sync dhcp-relay
 vsx-sync lldp

Context level 同步

plaintext

interface vlan 10
 vsx-sync active-gateways

interface lag 10 multi-chassis
 vsx-sync vlans
 vsx-sync qos
 vsx-sync access-lists

專家建議：

不要無腦把所有 vsx-sync 都打開。先確認同步物件是否真的應該兩端一致。
對本文件的靜態路由設計來說，不需要啟用動態路由相關同步。
Context level 同步前，Secondary 必須先有同名 interface、VLAN 或 LAG context。

完整最小可用範本

以下是可以作為 Lab 起點的最小雙機 VSX 範本。正式環境請先替換 hostname、IP、VLAN、介面、MAC 與路由。

Core1 最小範本

plaintext

configure terminal
hostname Core1

ssh server vrf mgmt
https-server vrf mgmt

interface mgmt
 no shutdown
 ip static 10.0.0.1/24
 default-gateway 10.0.0.254

vlan 10
 name USERS
vlan 99
 name NETWORK-MGMT

spanning-tree
spanning-tree priority 4

interface lag 128
 description VSX_ISL
 no shutdown
 no routing
 vlan trunk native 1
 vlan trunk allowed all
 lacp mode active

interface 1/1/47
 no shutdown
 lag 128
interface 1/1/48
 no shutdown
 lag 128

vsx
 role primary
 system-mac 02:02:00:00:01:00
 inter-switch-link lag 128
 keepalive peer 10.0.0.2 source 10.0.0.1 vrf mgmt
 linkup-delay-timer 180
 vsx-sync vsx-global
 vsx-sync stp-global
 vsx-sync mclag-interfaces

interface lag 10 multi-chassis
 description TO_ACCESS1
 no shutdown
 no routing
 vlan trunk native 99
 vlan trunk allowed 10,99
 lacp mode active
 lacp fallback
 spanning-tree root-guard

interface 1/1/1
 no shutdown
 lag 10

interface vlan 10
 description USERS_GATEWAY
 ip address 10.10.10.2/24
 active-gateway ip 10.10.10.1 mac 02:02:00:00:10:00
 vsx-sync active-gateways
 no shutdown

copy running-config startup-config

Core2 最小範本

plaintext

configure terminal
hostname Core2

ssh server vrf mgmt
https-server vrf mgmt

interface mgmt
 no shutdown
 ip static 10.0.0.2/24
 default-gateway 10.0.0.254

vlan 10
 name USERS
vlan 99
 name NETWORK-MGMT

spanning-tree
spanning-tree priority 4

interface lag 128
 description VSX_ISL
 no shutdown
 no routing
 vlan trunk native 1
 vlan trunk allowed all
 lacp mode active

interface 1/1/47
 no shutdown
 lag 128
interface 1/1/48
 no shutdown
 lag 128

vsx
 role secondary
 system-mac 02:02:00:00:01:00
 inter-switch-link lag 128
 keepalive peer 10.0.0.1 source 10.0.0.2 vrf mgmt
 linkup-delay-timer 180

interface lag 10 multi-chassis
 description TO_ACCESS1
 no shutdown
 no routing
 vlan trunk native 99
 vlan trunk allowed 10,99
 lacp mode active
 lacp fallback
 spanning-tree root-guard

interface 1/1/1
 no shutdown
 lag 10

interface vlan 10
 description USERS_GATEWAY
 ip address 10.10.10.3/24
 active-gateway ip 10.10.10.1 mac 02:02:00:00:10:00
 no shutdown

copy running-config startup-config

驗證流程

流程圖

完成設定→查ISL查ISL→查Keepalive查Keepalive→查Config-Sync查Config-Sync→查MC-LAG查MC-LAG→查Active-Gateway查Active-Gateway→測Client-Failover

graph TD
  A["完成設定"] --> B["查ISL"]
  B --> C["查Keepalive"]
  C --> D["查Config-Sync"]
  D --> E["查MC-LAG"]
  E --> F["查Active-Gateway"]
  F --> G["測Client-Failover"]

必做驗證

plaintext

show vsx status
show vsx brief
show vsx status inter-switch-link
show vsx status keepalive
show vsx status linkup-delay
show vsx config-consistency
show running-config vsx

show lacp aggregates
show lacp interfaces multi-chassis
show interfaces lag 128
show interfaces lag 10

show active-gateway
show ip interface brief
show ip route
show spanning-tree

預期結果

項目	預期
VSX role	Core1 primary、Core2 secondary
ISL	In-Sync、Link Status up
Keepalive	Keepalive-Established
Config Sync	in-sync 或無重大不一致
MC-LAG	下游 LACP 成功聚合
Active Gateway	VLAN 10 VIP/VMAC 顯示正常
Client 測試	拔單邊 uplink 不應中斷服務

故障排查

流程圖

異常現象→show-vsx-statusshow-vsx-status→ISL是否In-SyncISL是否In-Sync→查lag128與實體線路ISL是否In-Sync→Keepalive是否EstablishedKeepalive是否Established→查mgmt或KeepAlive-VRFKeepalive是否Established→查config-consistency查config-consistency→查MC-LAG與VLAN一致性查MC-LAG與VLAN一致性→查Active-Gateway或路由

graph TD
  A["異常現象"] --> B["show-vsx-status"]
  B --> C["ISL是否In-Sync"]
  C -->|"否"| D["查lag128與實體線路"]
  C -->|"是"| E["Keepalive是否Established"]
  E -->|"否"| F["查mgmt或KeepAlive-VRF"]
  E -->|"是"| G["查config-consistency"]
  G --> H["查MC-LAG與VLAN一致性"]
  H --> I["查Active-Gateway或路由"]

現象	優先命令	常見原因
VSX 不建立	`show vsx status`	role 重複、ISL LAG down、版本不一致
Keepalive failed	`show vsx status keepalive`	peer/source 寫反、VRF 不通、UDP 7678 被擋
MC-LAG 不起	`show lacp interfaces multi-chassis`	下游 LACP 不一致、VLAN allowed 不一致、member port shutdown
Active Gateway 不通	`show active-gateway`	VIP 不在 SVI subnet、VMAC 不一致、SVI down
STP block 非預期	`show spanning-tree detail`	root 設計錯誤、下游形成 loop、VLAN trunk 不一致
Config Sync out-of-sync	`show vsx config-consistency`	Secondary 缺少同名 context、同步項目未啟用

變更與維運

變更前

plaintext

checkpoint create PRE_VSX_CHANGE
show checkpoint list
show running-config vsx
copy running-config startup-config

變更後

plaintext

show vsx status
show vsx config-consistency
show lacp interfaces multi-chassis
show active-gateway
checkpoint create POST_VSX_CHANGE

回復

plaintext

show checkpoint diff PRE_VSX_CHANGE POST_VSX_CHANGE
checkpoint rollback PRE_VSX_CHANGE

維運原則：

先改 Primary，再確認同步狀態。
對不該同步的參數，例如 router-id、local SVI IP、peer IP，不要依賴同步。
做 VSX 軟體升級時使用官方 VSX rolling upgrade 流程，避免兩台同時重開。
重大變更前先確認 out-of-band 管理通道可用。

專家審視結論

以 Aruba switch 專家的角度審視，本文件可作為 VSX 新建或既有設定整理的標準範本，但實際導入前要確認以下幾點：

審視項目	結論
ISL 語法	正確。ISL 使用一般 LAG，再以 `inter-switch-link lag` 指定
Keepalive 設計	正確。mgmt VRF 與專用 L3 VRF 都有範本，且明確禁止走 ISL
MC-LAG 範本	正確。只有下游雙歸屬 LAG 使用 `multi-chassis`
Active Gateway 範本	正確。VIP/VMAC 一致，SVI IP 分別配置
VSX Sync 描述	正確。強調 Primary 到 Secondary，且 Secondary 仍需先有相同 context
STP 建議	正確。提醒 ISL 不設定 guard/filter，MC-LAG 可對下游 root guard
語氣與可讀性	適合工程師與初學者共用，先講用途，再給範本與驗證

專家提醒：

不要把 VSX 當成 VSF。VSX 是兩台設備協同，不是一台大交換器。
不要把 ISL、Keepalive、MC-LAG 三種連線角色混在一起。這是 VSX 事故最常見根因。
Active Gateway 的 VIP、VMAC、SVI subnet 必須逐一核對，這是用戶 VLAN 閘道穩定性的關鍵。
真實環境若有 EVPN/VXLAN、PIM、VRF 多租戶、802.1X、ACL、QoS，應另外做專案化設計，不要直接塞進最小範本。

概述

架構總覽

VSX 與 VSF 快速比較

官方語法校正清單

設定前規劃表

上線前檢查

系統與版本

Profile

連接埠與 LAG 能力

基礎管理設定

Core1

Core2

VLAN 與 STP 基礎設定

Core1 與 Core2 都先建立 VLAN

ISL 設定

Core1

Core2

VSX 核心設定

Core1 Primary

Core2 Secondary

Keepalive 設計

方案 A：使用 mgmt VRF

方案 B：專用 L3 直連

下游 MC-LAG 設定

Core1

Core2

Access switch

用戶 VLAN Active Gateway

Core1

Core2

上游 Transit VLAN 基礎設定

Core1

Core2

上游靜態路由範本

DHCP Relay 範本

Orphan Port 與 Split 保護

設定同步策略

建議啟用

依需求啟用

Context level 同步

完整最小可用範本

Core1 最小範本

Core2 最小範本

驗證流程

必做驗證

預期結果

故障排查

變更與維運

變更前

變更後

回復

專家審視結論

最小上線清單

參考資源