OSPF melalui vPC di Nexus7k

11

Saya mencoba membantu teman dengan beberapa masalah Nexus.

Topologi seperti ini:

Tumpukan Cat 3750 -> vPC -> 2x N7k -> LACP -> Fortigate firewall cluster

Stack 3750 menjalankan OSPF untuk kedua Nexus. Kedekatan sudah naik. Dari apa yang saya baca ini bukan desain yang didukung. Pencegahan lingkaran akan mencegah paket yang masuk pada satu Nexus tetapi yang diperuntukkan untuk yang lain dan kemudian melintasi tautan rekan. Jika lalu lintas ini keluar dari vPC lain, maka akan diblokir karena mekanisme pencegahan loop.

Dalam hal ini meskipun firewall (cluster) tidak terhubung melalui vPC. Akankah pencegahan lingkaran masih berlanjut?

Juga saya terkejut bahwa adjacencies OSPF naik dan tampaknya berfungsi. Semua rute ada tetapi masih ada masalah jangkauan. Beberapa paket OSPF mungkin akan datang melalui tautan rekan. Saya bisa melihat bagaimana ini bisa menjadi masalah untuk paket unicast yang perlu cross peer link dan kemudian keluar vPC kembali ke stack yang tidak diizinkan.

Bagaimana multicast diperlakukan? Saya kira itu harus diterima dengan benar?

Jadi saya kira mereka mungkin harus mengaktifkan antarmuka baru yang diarahkan sebagai gantinya. Atau mungkinkah menjalankan SVI yang merupakan point-to-point antara setiap Nexus dan stack?

ospf multicast ieee-802.1ax vpc loop Daniel Dib
sumber
2
Bisakah Anda membantu saya sedikit di sini? Mengapa mereka menjalankan OSPF tetapi mengintip semuanya dengan L2? Ini sepertinya sangat kontra produktif bagi saya. Jika Anda menggunakan tumpukan 3750 sebagai router, mengapa Anda tidak membuat port uplink L3 dan hanya mengizinkan perutean untuk mengambil jalurnya? Sepertinya desain yang jauh lebih bersih yang masih menggunakan semua tautan Anda.
bigmstone
Hai. Ini bukan jaringan saya tetapi saya membantu seseorang. Alasan mereka menjalankan L2 dan L3 adalah karena mereka berencana untuk memindahkan rute dari 3750 sepenuhnya dan hanya rute pada Nexus. Sampai semua VLAN telah dipindahkan mereka harus menjalankan campuran L2 dan L3 ke Nexus tetapi karena saya sudah tahu sekarang itu bukan desain yang didukung. Mereka ingin membuat tautan L3 khusus untuk saat ini hingga semuanya dimigrasikan.
Daniel Dib
Apakah ada jawaban yang membantu Anda? jika demikian, Anda harus menerima jawabannya sehingga pertanyaan tidak terus muncul selamanya, mencari jawaban. Atau, Anda bisa memberikan dan menerima jawaban Anda sendiri.
Ron Maupin

Jawaban:

8

Karena firewall bukan bagian dari vPC, mereka tidak akan menjadi bagian dari pencegahan loop vPC normal.

Pencegahan lingkaran hanya menyatakan bahwa paket tidak dapat masuk pada tautan rekan jika ditakdirkan untuk keluar port lain yang diaktifkan vPC.

Tidak terlalu yakin di depan multicast karena kami tidak menggunakannya di lingkungan kami dan saya belum benar-benar melihat perilakunya pada 7K.

Biasanya jika Anda menjalankan protokol perutean pada switch stack, desain yang disarankan adalah untuk tidak memilikinya sebagai anggota vPC dan hanya menggunakan OSPF untuk memberi Anda keuntungan yang sama dengan yang diberikan vPC di L2.

David Rothera
sumber
Terima kasih david! Saya mencoba memahami secara detail apa yang terjadi dengan OSPF. Adjacencies naik dan saya tidak melihat masalah dengannya. Hash akan menjadi masalah karena beberapa paket akan memasukkan Nexus yang salah. Saya dapat melihat bagaimana paket unicast OSPF akan menjadi masalah jika ia memasukkan Nexus yang salah karena Nexus yang benar tidak dapat mengirimkannya kembali ke vPC. Aneh bahwa database sudah dikotori dengan benar dan tidak ada sesi yang mengepak atau apapun.
Daniel Dib
1

Lihat ini: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Mungkin bisa membantu Anda :)

Gustav Haraldsson
sumber
Hai Gustav. Saya hanya memeriksa tautan itu dan beberapa presentasi dari Cisco Live. Seperti yang saya tahu sekarang ini bukan desain yang didukung karena pencegahan loop. Dalam hal ini lalu lintas keluar dari tautan non vPC, jadi masih belum 100% yakin mengapa lalu lintas semakin menurun.
Daniel Dib
1

Model kartu garis apa yang Anda gunakan pada sasis N7K Anda? Seri M atau seri F? Mungkin ada beberapa peniti-rambut yang terjadi dalam arsitektur interkoneksi pada N7K jika Anda menggunakan kartu seri F yang merugikan lalu lintas yang dialihkan.

Juga, pastikan Anda memiliki saluran port antara N7K untuk vlan non-vpc. Vans ke kluster firewall Anda tidak boleh melewati tautan rekan VPC. Jika Anda tidak memiliki saluran port kedua antara N7K, maka ini bisa menjadi masalah Anda.

Tony Kitzky
sumber
saran: Pertimbangkan untuk mengajukan pertanyaan klarifikasi dalam komentar di bawah pertanyaan OP. Memang, pertanyaannya tampak agak besar dan terbuka, tetapi juga mempertimbangkan untuk mencoba menjawab pertanyaan spesifik yang diajukan ... memberikan klarifikasi dan detail tambahan sesuai keinginan Anda.
Craig Constantine