OSPF через vPC на Nexus7k

11

Я намагаюся допомогти другові з деякими проблемами Nexus.

Топологія така:

Cat 3750 стек -> vPC -> 2x N7k -> LACP -> Закріпити кластер брандмауера

Стек 3750 працює під управлінням OSPF для обох Nexuses. Сусідства вгору. З того, що я прочитав, це не підтримується дизайн. Запобігання циклу заважає пакетам, які потрапляють на один Nexus, але це призначено для іншого, а потім переходить через рівний зв'язок. Якщо цей трафік вийде з іншого vPC, він буде заблокований через механізм запобігання циклу.

У цьому випадку, хоча брандмауері (кластер) не підключені через vPC. Чи все-таки почне запобігання циклу?

Також я здивований, що сумісність OSPF зростає і, здається, працює. Усі маршрути є, але проблеми з доступністю все ще є. Деякі пакети OSPF, ймовірно, надходитимуть через однорангову посилання. Я бачу, як це може бути проблемою для одноадресних пакетів, яким потрібно перехрестити однорангову посилання, а потім вийти з vPC назад до стека, який заборонено.

Як поводиться багатоадресна передача Я гадаю, що слід правильно приймати?

Тому я думаю, що вони, можливо, повинні з'явити нові інтерфейси, які спрямовані натомість. Або можна було б запустити SVI, який є точкою до точки між кожним Nexus та стеком?

— Даніель Діб
джерело

2

Ви можете мені трохи допомогти? Чому вони управляють OSPF, але пильнують усе за допомогою L2? Це здається мені дуже протилежним. Якщо ви використовуєте стек 3750 як маршрутизатор, то чому б вам не зробити порти L3 висхідних посилань і просто дозволити маршрутизації пройти свій шлях? Це здається набагато більш чистим дизайном, який все ще використовує всі ваші посилання.

— bigmstone

Привіт. Це не моя мережа, але я комусь допомагаю. Причина, по якій вони працюють як L2, так і L3, полягає в тому, що вони планують повністю перемістити маршрутизацію з 3750 і єдиний маршрут на Nexuses. Поки всі VLAN не були переміщені, їм потрібно запустити суміш L2 і L3 до Nexus, але, як я з'ясував, це не підтримуваний дизайн. Вони зараз дивляться на встановлення виділеного посилання L3, поки все не перенесено.

— Даніель Діб

Чи допомогла вам якась відповідь? якщо так, то слід прийняти відповідь, щоб питання не з’являлося вічно, шукаючи відповідь. Крім того, ви можете надати та прийняти власну відповідь.

— Рон Мопін

8

Оскільки брандмауери не є частиною vPC, вони не будуть частиною звичайної профілактики циклу vPC.

Профілактика циклу говорить лише про те, що пакет не може потрапляти на однорангову посилання, якщо йому призначено вийти з іншого порту, включеного vPC.

Не надто впевнений на багатоадресному фронті, оскільки ми не використовуємо його в нашому середовищі, і я не дуже розглядав його поведінку на 7K.

Зазвичай, якщо ви використовуєте протокол маршрутизації вниз на стеці комутаторів, рекомендованим дизайном було б не мати його як члена vPC, а просто використовувати OSPF, щоб отримати ті самі переваги, що і vPC дає вам на L2.

— Девід Ротера
джерело

Спасибі Давиде! Я намагаюся детально зрозуміти, що відбувається з OSPF. Сусідності зросли, і я не бачу проблем з цим. Хешування буде проблемою, оскільки деякі пакети ввійдуть у неправильний Nexus. Я можу побачити, як пакети одноадресних пакетів OSPF будуть проблемою, якщо він ввів неправильний Nexus, оскільки правильний Nexus не міг відправити його назад з vPC. Дивно, що база даних належним чином заповнена, і немає жодних сеансів махання.

— Даніель Діб

1

Погляньте на це: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Можливо, вам допоможуть :)

— Густав Харальдссон
джерело

Привіт Густав. Я лише перевірив це посилання та деякі презентації від Cisco Live. Як я знаю зараз, це не підтримується дизайн через запобігання циклу. У цьому випадку трафік виходить із посилання, що не належить до vPC, хоча це все ще не на 100% впевнене, чому трафік падає.

— Даніель Діб

1

Яку модель лінійних карт ви використовуєте в шасі N7K? Серія M або серія F? У архітектурі взаємозв’язку на N7K може виникнути певне зачеплення волосся, якщо ви використовуєте карти серії F, які шкодять маршрутизованому трафіку.

Також переконайтеся, що у вас є порт-канал між N7K для власників, які не є vpc. Власники вашого кластера брандмауера не повинні перетинати рівну мережу VPC. Якщо у вас немає другого портового каналу між N7K, це може бути вашою проблемою.

— Тоні Кіцький
джерело

пропозиції: Розгляньте питання про уточнення питань у коментарях під питанням ОП. Зрозуміло, питання видається досить великим і відкритим, але також слід спробувати відповісти на конкретні запитання ... надайте додаткові роз'яснення та деталі, як вважаєте за потрібне.

— Крейг Костянтин