OSPF przez vPC na Nexus7k

11

Próbuję pomóc przyjacielowi w niektórych problemach z Nexusem.

Topologia jest taka:

Stos Cat 3750 -> vPC -> 2x N7k -> LACP -> Wzmocnij klaster zapory ogniowej

Na stosie 3750 działa OSPF dla obu Nexusów. Przyległości się skończyły. Z tego, co przeczytałem, nie jest to obsługiwany projekt. Zapobieganie pętli zapobiegałoby pakietom przychodzącym do jednego Nexusa, ale przeznaczonym dla innego, a następnie przechodzącym przez łącze równorzędne. Jeśli ten ruch opuści inny vPC, zostanie zablokowany z powodu mechanizmu zapobiegania pętli.

W tym przypadku jednak zapory ogniowe (klaster) nie są połączone przez vPC. Czy zapobieganie pętli będzie nadal działać?

Dziwi mnie też, że przylegania OSPF działają i wydają się działać. Wszystkie trasy są obecne, ale nadal występują problemy z osiągalnością. Niektóre pakiety OSPF prawdopodobnie wejdą przez łącze równorzędne. Widzę, jak może to stanowić problem dla pakietów emisji pojedynczej, które muszą skrzyżować łącze peer, a następnie opuścić vPC z powrotem na stos, co jest niedozwolone.

Jak traktowana będzie multiemisja. Sądzę, że należy to poprawnie odebrać?

Sądzę więc, że powinni pojawić się nowe interfejsy, które są kierowane. Czy byłoby możliwe uruchomienie SVI, który jest punkt-punkt między każdym Nexusem a stosem?

ospf multicast ieee-802.1ax vpc loop Daniel Dib
źródło
2
Czy możesz mi trochę pomóc? Dlaczego używają OSPF, ale sprawdzają wszystko za pomocą L2? Wydaje mi się to bardzo nieproduktywne. Jeśli używasz stosu 3750 jako routera, dlaczego nie zrobiłbyś portów uplinks L3 i po prostu pozwoliłbyś routingowi obrać właściwy kurs? Wygląda na znacznie czystszą konstrukcję, która nadal wykorzystuje wszystkie twoje linki.
Bigmstone
Cześć. To nie jest moja sieć, ale pomagam komuś. Powodem, dla którego używają zarówno L2, jak i L3, jest to, że planują całkowicie usunąć routing z 3750 i tylko trasy na Nexusach. Dopóki wszystkie sieci VLAN nie zostaną przeniesione, muszą uruchamiać połączenie L2 i L3 na Nexusie, ale jak się dowiedziałem, nie jest to obsługiwany projekt. Chcą na razie utworzyć dedykowane łącze L3, dopóki wszystko nie zostanie zmigrowane.
Daniel Dib
Czy jakaś odpowiedź ci pomogła? jeśli tak, powinieneś zaakceptować odpowiedź, aby pytanie nie wyskakiwało wiecznie, szukając odpowiedzi. Alternatywnie możesz podać i zaakceptować własną odpowiedź.
Ron Maupin

Odpowiedzi:

8

Ponieważ zapory ogniowe nie są częścią vPC, nie będą częścią normalnego zapobiegania pętli vPC.

Zapobieganie pętli stwierdza tylko, że pakiet nie może wejść do łącza równorzędnego, jeśli jest przeznaczony do wyjścia z innego portu obsługującego vPC.

Nie jestem zbyt pewien na froncie multiemisji, ponieważ nie używamy go w naszym środowisku i tak naprawdę nie przyjrzałem się jego zachowaniu w 7K.

Zwykle, jeśli używasz protokołu routingu w dół na stosie przełączników, zalecanym rozwiązaniem byłoby nie mieć go jako członka vPC i po prostu użyć OSPF, aby dać te same korzyści, które vPC daje ci w L2.

David Rothera
źródło
Dzięki David! Staram się szczegółowo zrozumieć, co dzieje się z OSPF. Dostosowania się skończyły i nie widzę z tym żadnych problemów. Haszowanie będzie problemem, ponieważ niektóre pakiety wejdą w niewłaściwy Nexus. Widzę, w jaki sposób pakiety emisji pojedynczej OSPF byłyby problemem, gdyby wprowadziły nieprawidłowy Nexus, ponieważ prawidłowy Nexus nie mógł odesłać go z powrotem z vPC. Dziwne, że baza danych jest odpowiednio poulowana i że nie ma sesji flapowania ani nic takiego.
Daniel Dib
1

Spójrz na to: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Może ci pomóc :)

Gustav Haraldsson
źródło
Cześć Gustav. Sprawdziłem tylko ten link i niektóre prezentacje z Cisco Live. Jak już wiem, nie jest to obsługiwany projekt ze względu na zapobieganie pętli. W tym przypadku ruch opuszcza łącze inne niż vPC, więc nadal nie jest w 100% pewien, dlaczego ruch jest opuszczany.
Daniel Dib
1

Jakiego modelu kart liniowych używasz w obudowie N7K? Seria M czy seria F? W architekturze połączeń między urządzeniami N7K może dojść do upinania włosów, jeśli używasz kart z serii F, które są szkodliwe dla routowanego ruchu.

Upewnij się także, że masz kanał portu między N7K dla vlanów innych niż vpc. Vlany do klastra zapory nie powinny przekraczać łącza równorzędnego VPC. Jeśli nie masz drugiego kanału portu między N7K, może to być twój problem.

Tony Kitzky
źródło
sugestie: Rozważ zadawanie pytań wyjaśniających w komentarzach pod pytaniem PO. To prawda, pytanie wydaje się dość duże i otwarte, ale zastanów się również nad odpowiedzią na zadane pytania ... podaj dodatkowe wyjaśnienia i szczegóły, jeśli uznasz to za stosowne.
Craig Constantine