OSPF sur vPC sur Nexus7k

11

J'essaie d'aider un ami avec certains problèmes Nexus.

La topologie est la suivante:

Pile Cat 3750 -> vPC -> 2x N7k -> LACP -> cluster de pare-feu Fortigate

La pile 3750 exécute OSPF sur les deux Nexus. Les contiguïtés sont en hausse. D'après ce que j'ai lu, ce n'est pas une conception prise en charge. La prévention de boucle empêcherait les paquets qui arrivent sur un Nexus mais qui sont destinés à un autre et qui traversent ensuite la liaison homologue. Si ce trafic quitte un autre vPC, il sera bloqué en raison du mécanisme de prévention de boucle.

Dans ce cas, bien que les pare-feu (cluster) ne soient pas connectés via vPC. La prévention de la boucle va-t-elle encore démarrer?

Je suis également surpris que les contiguïtés OSPF soient en place et semblent fonctionner. Toutes les routes sont présentes mais il y a toujours des problèmes d'accessibilité. Certains paquets OSPF arriveraient probablement via la liaison homologue. Je peux voir comment cela pourrait être un problème pour les paquets unicast qui doivent traverser une liaison homologue puis quitter vPC vers la pile, ce qui n'est pas autorisé.

Comment la multidiffusion sera-t-elle traitée? Je suppose que cela devrait être reçu correctement?

Je suppose donc qu'ils devraient peut-être mettre en place de nouvelles interfaces qui sont routées à la place. Ou serait-il possible d'exécuter SVI qui est point à point entre chaque Nexus et la pile?

ospf  multicast  ieee-802.1ax  vpc  loop 
Daniel Dib
source
2
Pouvez-vous m'aider un peu ici? Pourquoi exécutent-ils OSPF mais regardent tout avec L2? Cela me semble très contre-productif. Si vous utilisez la pile 3750 comme routeur, alors pourquoi ne pas créer les ports de liaison montante L3 et laisser le routage suivre son cours? Cela ressemble à une conception beaucoup plus propre qui utilise toujours tous vos liens.
bigmstone
Salut. Ce n'est pas mon réseau mais j'aide quelqu'un. La raison pour laquelle ils exécutent à la fois L2 et L3 est qu'ils prévoient de déplacer le routage hors du 3750 entièrement et uniquement sur les Nexus. Jusqu'à ce que tous les VLAN aient été déplacés, ils doivent exécuter un mélange de L2 et L3 sur le Nexus, mais comme je l'ai découvert maintenant, ce n'est pas une conception prise en charge. Ils envisagent de mettre en place un lien L3 dédié pour l'instant jusqu'à ce que tout soit migré.
Daniel Dib
Une réponse vous a-t-elle aidé? si c'est le cas, vous devez accepter la réponse afin que la question ne s'affiche pas indéfiniment, à la recherche d'une réponse. Alternativement, vous pouvez fournir et accepter votre propre réponse.
Ron Maupin

Réponses:

8

Comme les pare-feu ne font pas partie d'un vPC, ils ne feront pas partie de la prévention de boucle vPC normale.

La prévention de boucle indique uniquement qu'un paquet ne peut pas pénétrer sur la liaison homologue s'il est destiné à sortir par un autre port activé par vPC.

Pas trop sûr sur le front de la multidiffusion car nous ne l'utilisons pas dans notre environnement et je n'ai pas vraiment examiné son comportement sur les 7K.

Habituellement, si vous exécutez un protocole de routage sur la pile de commutateurs, la conception recommandée serait de ne pas l'avoir en tant que membre d'un vPC et d'utiliser simplement OSPF pour vous donner les mêmes avantages que le vPC vous offre à L2.

David Rothera
source
Merci David! J'essaie de comprendre en détail ce qui se passe avec OSPF. Les contiguïtés sont en hausse et je n'y vois aucun problème. Le hachage sera un problème car certains paquets entreront dans le mauvais Nexus. Je peux voir comment les paquets de monodiffusion OSPF seraient un problème s'ils entraient dans un mauvais Nexus car le bon Nexus ne pouvait pas le renvoyer sur le vPC. Étrange que la base de données soit correctement définie et qu'il n'y ait pas de sessions de battement ou quoi que ce soit.
Daniel Dib
1

Jetez un œil à ceci: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Pourrait vous aider :)

Gustav Haraldsson
source
Salut Gustav. J'ai seulement vérifié ce lien et certaines présentations de Cisco Live. Comme je le sais maintenant, ce n'est pas une conception prise en charge en raison de la prévention des boucles. Dans ce cas, le trafic quitte une liaison non vPC, mais il n'est donc pas sûr à 100% pourquoi le trafic est interrompu.
Daniel Dib
1

Quel modèle de linecards utilisez-vous dans votre châssis N7K? Série M ou série F? Il peut y avoir des épingles à cheveux dans l'architecture d'interconnexion sur le N7K si vous utilisez des cartes série F qui sont préjudiciables au trafic routé.

Assurez-vous également que vous disposez d'un canal de port entre N7K pour les réseaux locaux virtuels non vpc. Les réseaux locaux virtuels vers votre cluster de pare-feu ne doivent pas traverser le lien homologue VPC. Si vous n'avez pas de deuxième canal de port entre les N7K, cela pourrait être votre problème.

Tony Kitzky
source
suggestions: envisager de poser des questions de clarification dans les commentaires sous la question du PO. Certes, la question semble plutôt large et ouverte, mais envisagez également de répondre aux questions spécifiques posées ... fournissez des éclaircissements et des détails supplémentaires comme bon vous semble.
Craig Constantine
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.