Nexus7k'de vPC üzerinden OSPF

11

Bir arkadaşına bazı Nexus sorunları konusunda yardım etmeye çalışıyorum.

Topoloji şöyle:

Cat 3750 yığını -> vPC -> 2x N7k -> LACP -> Fortigate güvenlik duvarı kümesi

3750 yığını her iki Nexuses için OSPF çalıştırıyor. Bitişiklikler yukarıda. Okuduğum kadarıyla bu desteklenen bir tasarım değil. Döngü önleme, bir Nexus'a gelen ancak diğeri için hedeflenen ve daha sonra eş bağlantı üzerinden geçen paketleri önler. Bu trafik başka bir vPC'den çıkarsa, döngü önleme mekanizması nedeniyle engellenir.

Bu durumda güvenlik duvarları (küme) vPC ile bağlı değildir. Döngü önleme hala devreye girecek mi?

Ayrıca OSPF komşularının yükseldiğine ve çalışıyor gibi görünmesine şaşırdım. Tüm rotalar mevcut ancak yine de ulaşılabilirlik sorunları var. Bazı OSPF paketleri muhtemelen eş bağlantı üzerinden gelir. Bunun, eş bağlantıyı kesip sonra vPC'ye izin verilmeyen yığına geri dönmesi gereken tek noktaya yayın paketleri için nasıl bir sorun olabileceğini görebiliyorum.

Çok noktaya yayın nasıl tedavi edilir. Sanırım bu doğru bir şekilde alınmalı mı?

Bu yüzden belki de bunun yerine yönlendirilen yeni arayüzleri açmaları gerekir. Yoksa her Nexus ve yığın arasında noktadan noktaya SVI çalıştırmak mümkün müdür?

— Daniel Dib
kaynak

2

Burada bana biraz yardım edebilir misin? Neden OSPF kullanıyorlar ama L2 ile her şeye bakıyorlar? Bu bana karşı çok üretken görünüyor. 3750 yığınını yönlendirici olarak kullanıyorsanız, neden uplink L3 portlarını yapmıyorsunuz ve sadece yönlendirmenin yoluna girmesine izin vermiyorsunuz? Hala tüm bağlantılarınızı kullanan çok daha temiz bir tasarım gibi görünüyor.

— bigmstone

Selam. Bu benim ağım değil ama birine yardım ediyorum. Hem L2 hem de L3'ü çalıştırmanın nedeni, 3750'den tamamen ve sadece Nexuses üzerindeki rotayı hareket ettirmeyi planlamalarıdır. Tüm VLAN'lar taşınana kadar Nexus'a bir L2 ve L3 karışımı çalıştırmaları gerekiyor, ancak şimdi öğrendiğim gibi desteklenen bir tasarım değil. Şimdilik her şey taşınana kadar özel bir L3 bağlantısı kurmaya çalışıyorlar.

— Daniel Dib

Herhangi bir cevap size yardımcı oldu mu? öyleyse, cevabı kabul etmelisiniz, böylece soru sonsuza kadar ortaya çıkmayacak, bir cevap arıyor. Alternatif olarak, kendi cevabınızı verebilir ve kabul edebilirsiniz.

— Ron Maupin

8

Güvenlik duvarları bir vPC'nin parçası olmadığından, normal vPC döngü engellemesinin bir parçası olmayacaklardır.

Döngü önleme, yalnızca bir paketin başka bir vPC etkin bağlantı noktasına gitmeye yönelik olması durumunda eş bağlantıya giremeyeceğini belirtir.

Çok noktaya yayın cephesinde çok emin değiliz, çünkü onu çevremizde kullanmıyoruz ve 7K'lardaki davranışlarına gerçekten bakmadım.

Genellikle, anahtar yığınında bir yönlendirme protokolü çalıştırıyorsanız, önerilen tasarım bir vPC üyesi olarak sahip olmamak ve sadece vPC'nin size L2'de sağladığı avantajları vermek için OSPF'yi kullanmak olacaktır.

— David Rothera
kaynak

Teşekkürler David! OSPF ile neler olduğunu detaylı olarak anlamaya çalışıyorum. Sıfatlar yükseldi ve bununla ilgili hiçbir sorun görmüyorum. Bazı paketler yanlış Nexus'a gireceği için karma bir sorun olacaktır. Doğru Nexus vPC'yi geri gönderemediğinden yanlış Nexus girerse OSPF tek noktaya yayın paketlerinin nasıl bir sorun olacağını görebiliyorum. Veritabanının doğru şekilde doldurulması ve çırpma oturumları veya herhangi bir şey olmaması garip.

— Daniel Dib

1

Şuna bir göz atın: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Size yardımcı olabilir :)

— Gustav Haraldsson
kaynak

Merhaba Gustav. Yalnızca bu bağlantıyı ve bazı sunumları Cisco Live'dan kontrol ettim. Şimdi bildiğim gibi, döngü önleme nedeniyle desteklenen bir tasarım değil. Bu durumda trafik, vPC olmayan bir bağlantıdan çıkıyor ancak trafiğin neden düştüğünden% 100 emin değilim.

— Daniel Dib

1

N7K kasanızda hangi model hat kartlarını kullanıyorsunuz? M serisi veya F serisi? Yönlendirilmiş trafiğe zarar veren F serisi kartlar kullanıyorsanız, N7K üzerindeki ara bağlantı mimarisinde bazı saç sabitleme olabilir.

Ayrıca, vpc olmayan vlanslar için N7K arasında bir bağlantı noktası kanalınız olduğundan emin olun. Güvenlik duvarı kümenizdeki vlanslar VPC eş bağlantısını geçmemelidir. N7K'lar arasında ikinci bir port kanalınız yoksa, bu sizin probleminiz olabilir.

— Tony Kitzky
kaynak

öneriler: OP'nin sorusu altındaki yorumlarda açıklayıcı sorular sormayı düşünün. Verilen, soru oldukça büyük ve açık uçlu görünüyor, ancak aynı zamanda sorulan belirli soruları cevaplamaya çalışın ... uygun gördüğünüz gibi ek açıklama ve ayrıntılar sağlayın.

— Craig Constantine