OSPF trên vPC trên Nexus7k

11

Tôi đang cố gắng giúp một người bạn với một số vấn đề về Nexus.

Cấu trúc liên kết là như thế này:

Ngăn xếp con mèo 3750 -> vPC -> 2x N7k -> LACP -> Điều khiển cụm tường lửa

Ngăn xếp 3750 đang chạy OSPF cho cả Nexuses. Các kề là lên. Từ những gì tôi đã đọc đây không phải là một thiết kế được hỗ trợ. Ngăn chặn vòng lặp sẽ ngăn các gói đi vào trên một Nexus nhưng được dành cho một gói khác và sau đó đi qua liên kết ngang hàng. Nếu lưu lượng này thoát khỏi một vPC khác, nó sẽ bị chặn do cơ chế ngăn chặn vòng lặp.

Trong trường hợp này mặc dù tường lửa (cụm) không được kết nối qua vPC. Sẽ phòng ngừa vòng lặp vẫn đá trong?

Ngoài ra, tôi rất ngạc nhiên khi các phần phụ của OSPF đang hoạt động và dường như đang hoạt động. Tất cả các tuyến đường có mặt nhưng vẫn có vấn đề tiếp cận. Một số gói OSPF có thể sẽ xuất hiện qua liên kết ngang hàng. Tôi có thể thấy làm thế nào điều này có thể là một vấn đề đối với các gói unicast cần liên kết ngang hàng và sau đó thoát vPC trở lại ngăn xếp không được phép.

Làm thế nào đa hướng sẽ được điều trị. Tôi đoán rằng nên được nhận chính xác?

Vì vậy, tôi đoán họ có thể nên bật giao diện mới được định tuyến thay thế. Hoặc có thể chạy SVI là điểm nối giữa mỗi Nexus và ngăn xếp không?

ospf  multicast  ieee-802.1ax  vpc  loop 
Daniel Dib
nguồn
2
Bạn có thể giúp tôi một chút ở đây? Tại sao họ chạy OSPF nhưng lại nhìn mọi thứ với L2? Điều này có vẻ rất phản tác dụng đối với tôi. Nếu bạn đang sử dụng ngăn xếp 3750 làm bộ định tuyến thì tại sao bạn không tạo các cổng L3 đường lên và chỉ cho phép định tuyến theo khóa học của nó? Có vẻ như một thiết kế sạch hơn nhiều mà vẫn sử dụng tất cả các liên kết của bạn.
bigmstone
Chào. Đây không phải là mạng của tôi nhưng tôi đang giúp ai đó. Lý do họ đang chạy cả L2 và L3 là vì họ có kế hoạch di chuyển tuyến đường ra khỏi 3750 hoàn toàn và chỉ tuyến đường trên Nexuses. Cho đến khi tất cả các Vlan đã được di chuyển, chúng cần chạy hỗn hợp L2 và L3 cho Nexus nhưng như tôi đã phát hiện ra bây giờ nó không phải là một thiết kế được hỗ trợ. Họ đang xem xét bật lên một liên kết L3 chuyên dụng cho đến bây giờ cho đến khi mọi thứ đã được di chuyển.
Daniel Dib
Có câu trả lời nào giúp bạn không? nếu vậy, bạn nên chấp nhận câu trả lời để câu hỏi không xuất hiện mãi mãi, tìm kiếm câu trả lời. Ngoài ra, bạn có thể cung cấp và chấp nhận câu trả lời của riêng bạn.
Ron Maupin

Câu trả lời:

8

Vì tường lửa không phải là một phần của vPC, chúng sẽ không phải là một phần của phòng ngừa vòng lặp vPC thông thường.

Việc ngăn chặn vòng lặp chỉ nói rằng một gói không thể xâm nhập vào liên kết ngang hàng nếu nó được định sẵn để đi ra một cổng hỗ trợ vPC khác.

Không quá chắc chắn trên mặt trận phát đa hướng vì chúng tôi không sử dụng nó trong môi trường của mình và tôi chưa thực sự xem xét hành vi của nó trên 7K.

Thông thường nếu bạn đang chạy một giao thức định tuyến trên ngăn xếp chuyển mạch, thiết kế được đề xuất sẽ không có nó với tư cách là thành viên của vPC và chỉ sử dụng OSPF để cung cấp cho bạn những lợi thế tương tự mà vPC mang lại cho bạn ở L2.

David Rothera
nguồn
Cảm ơn David! Tôi đang cố gắng để hiểu chi tiết những gì đang xảy ra với OSPF. Điều chỉnh đang lên và tôi thấy không có vấn đề với nó. Băm sẽ là một vấn đề vì một số gói sẽ nhập sai Nexus. Tôi có thể thấy các gói unicast OSPF sẽ là một vấn đề nếu nó nhập sai Nexus vì Nexus chính xác không thể gửi lại vPC. Điều kỳ lạ là cơ sở dữ liệu được poulated đúng cách và không có phiên vỗ hoặc bất cứ điều gì.
Daniel Dib
1

Hãy xem cái này: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Có thể giúp bạn :)

Gustav Haraldsson
nguồn
Xin chào. Tôi chỉ kiểm tra liên kết đó và một số bài thuyết trình từ Cisco Live. Như tôi biết bây giờ nó không phải là một thiết kế được hỗ trợ do ngăn ngừa vòng lặp. Trong trường hợp này, lưu lượng truy cập đang thoát khỏi một liên kết không vPC mặc dù vậy vẫn không chắc chắn 100% lý do tại sao lưu lượng truy cập bị giảm.
Daniel Dib
1

Mô hình thẻ dòng nào bạn đang sử dụng trong khung N7K của mình? Sê-ri M hay sê-ri F? Có thể có một số tình trạng ghim tóc xảy ra trong kiến ​​trúc kết nối trên N7K nếu bạn đang sử dụng thẻ F series gây bất lợi cho lưu lượng truy cập được định tuyến.

Ngoài ra, hãy chắc chắn rằng bạn có một kênh cổng giữa N7K cho các vlans không vpc. Vlans đến cụm tường lửa của bạn không được vượt qua liên kết ngang hàng VPC. Nếu bạn không có kênh cổng thứ hai giữa N7K, thì đây có thể là vấn đề của bạn.

Tony Kitzky
nguồn
đề xuất: Cân nhắc đặt câu hỏi làm rõ trong các bình luận dưới câu hỏi của OP. Cấp, câu hỏi có vẻ khá lớn và kết thúc mở, nhưng cũng xem xét việc cố gắng trả lời các câu hỏi cụ thể được hỏi ... cung cấp thêm làm rõ và chi tiết khi bạn thấy phù hợp.
Craig Constantine
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.