OSPF через vPC на Nexus7k

11

Я пытаюсь помочь другу с некоторыми проблемами Nexus.

Топология такая:

Стек Cat 3750 -> vPC -> 2x N7k -> LACP -> Защита межсетевого экрана кластера

Стек 3750 выполняет OSPF для обоих Nexuses. Соседства вверх. Из того, что я прочитал, это не поддерживаемый дизайн. Предотвращение петель предотвратило бы пакеты, которые приходят на один Nexus, но предназначены для другого и затем проходят через одноранговую связь. Если этот трафик выходит из другого vPC, он будет заблокирован из-за механизма предотвращения петель.

В этом случае, хотя межсетевые экраны (кластер) не подключены через vPC. Будет ли предотвращение петель по-прежнему?

Также я удивлен, что смежность OSPF налажена и, кажется, работает. Все маршруты присутствуют, но все еще существуют проблемы доступности. Некоторые OSPF-пакеты, вероятно, будут приходить по одноранговому каналу. Я вижу, как это может быть проблемой для одноадресных пакетов, которые должны пересечь одноранговую связь, а затем выйти из vPC обратно в стек, что недопустимо.

Как будет обрабатываться многоадресная рассылка. Я думаю, что должно быть получено правильно?

Поэтому я думаю, что они должны включить новые интерфейсы, которые вместо этого маршрутизируются. Или было бы возможно запустить SVI, который является точка-точка между каждым Nexus и стеком?

ospf multicast ieee-802.1ax vpc loop Даниэль Диб
источник
2
Можете ли вы помочь мне немного здесь? Почему они работают с OSPF, но все смотрят с L2? Это кажется очень контрпродуктивным для меня. Если вы используете стек 3750 в качестве маршрутизатора, то почему бы вам не сделать восходящие порты L3-портами и просто позволить маршрутизации идти своим чередом? Похоже, гораздо более чистый дизайн, который по-прежнему использует все ваши ссылки.
bigmstone
Привет. Это не моя сеть, но я помогаю кому-то. Причина, по которой они работают как на L2, так и на L3, заключается в том, что они планируют полностью переместить маршрут с 3750 и только маршрут на Nexuses. Пока все VLAN не были перемещены, им нужно запустить смесь L2 и L3 для Nexus, но, как я выяснил, сейчас это не поддерживаемый дизайн. Сейчас они ожидают включения выделенной линии L3, пока все не будет перенесено.
Даниэль Диб
Вам помог какой-нибудь ответ? Если это так, вы должны принять ответ, чтобы вопрос не появлялся вечно, ища ответ. Кроме того, вы можете предоставить и принять свой собственный ответ.
Рон Мопин

Ответы:

8

Поскольку брандмауэры не являются частью vPC, они не будут частью обычного предотвращения петель vPC.

Предотвращение петли только утверждает, что пакет не может входить на одноранговый канал, если он предназначен для выхода через другой порт с поддержкой vPC.

Не слишком уверен в отношении многоадресной рассылки, так как мы не используем его в нашей среде, и я не особо изучал его поведение на 7K.

Обычно, если вы выполняете протокол маршрутизации в стеке коммутаторов, рекомендуется не использовать его в качестве члена vPC, а просто использовать OSPF, чтобы дать вам те же преимущества, что vPC дает вам на L2.

Дэвид Ротера
источник
Спасибо Дэвид! Я пытаюсь подробно понять, что происходит с OSPF. Смежности растут, и я не вижу проблем с этим. Хеширование будет проблемой, потому что некоторые пакеты попадут в неправильный Nexus. Я могу видеть, как одноадресные пакеты OSPF могли бы быть проблемой, если бы он ввел неправильный Nexus, потому что правильный Nexus не мог отправить его обратно в vPC. Странно, что база данных правильно накачана, и что нет никаких сессий или чего-то еще.
Даниэль Диб
1

Посмотрите на это: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Могу помочь тебе :)

Густав Харальдссон
источник
Привет Густав. Я только проверил эту ссылку и некоторые презентации от Cisco Live. Как я знаю сейчас, это не поддерживаемый дизайн из-за предотвращения петель. В этом случае трафик выходит из канала не vPC, хотя все еще не уверен на 100%, почему трафик теряется.
Даниэль Диб
1

Какую модель линейных карт вы используете в своем шасси N7K? Серия M или серия F? В архитектуре межсоединений на N7K может происходить некоторая заколка, если вы используете карты серии F, которые наносят ущерб маршрутизируемому трафику.

Кроме того, убедитесь, что у вас есть порт-канал между N7K для VLAN не из vpc. Vlans к вашему кластеру брандмауэров не должны пересекать одноранговую ссылку VPC. Если у вас нет второго порт-канала между N7K, то это может быть вашей проблемой.

Тони Китцки
источник
предложения: попробуйте задать уточняющие вопросы в комментариях под вопросом ОП. Конечно, вопрос кажется довольно обширным и открытым, но также подумайте о том, чтобы попытаться ответить на конкретные заданные вопросы ... предоставьте дополнительные разъяснения и подробности, если считаете нужным.
Крейг Константин