OSPF sobre vPC en Nexus7k

11

Estoy tratando de ayudar a un amigo con algunos problemas de Nexus.

La topología es así:

Cat 3750 stack -> vPC -> 2x N7k -> LACP -> Fortigate firewall cluster

La pila 3750 ejecuta OSPF para ambos Nexuses. Las adyacencias están arriba. Por lo que he leído, este no es un diseño compatible. La prevención de bucle evitaría los paquetes que entran en un Nexus pero que están destinados a otro y luego atraviesan el enlace de igual. Si este tráfico sale de otro vPC, se bloqueará debido al mecanismo de prevención de bucle.

En este caso, aunque los firewalls (clúster) no están conectados a través de vPC. ¿Seguirá funcionando la prevención de bucles?

También me sorprende que las adyacencias OSPF estén activas y parezcan estar funcionando. Todas las rutas están presentes pero todavía hay problemas de accesibilidad. Algunos paquetes OSPF probablemente llegarían a través del enlace de igual. Puedo ver cómo esto podría ser un problema para los paquetes de unidifusión que necesitan cruzar el enlace entre pares y luego salir de vPC de nuevo a la pila que no está permitido.

¿Cómo se tratará la multidifusión? Supongo que debería recibirse correctamente?

Así que supongo que tal vez deberían abrir nuevas interfaces que se enrutan en su lugar. ¿O sería posible ejecutar SVI que es punto a punto entre cada Nexus y la pila?

ospf multicast ieee-802.1ax vpc loop Daniel Dib
fuente
2
¿Me pueden ayudar un poco aquí? ¿Por qué ejecutan OSPF pero miran todo con L2? Esto me parece muy contraproducente. Si está utilizando la pila 3750 como enrutador, ¿por qué no crearía los puertos L3 de enlaces ascendentes y simplemente permitiría que el enrutamiento siguiera su curso? Parece un diseño mucho más limpio que todavía utiliza todos sus enlaces.
Bigmstone
Hola. Esta no es mi red, pero estoy ayudando a alguien. La razón por la que ejecutan tanto L2 como L3 es que planean mover la ruta del 3750 por completo y solo la ruta en los Nexuses. Hasta que se hayan movido todas las VLAN, deben ejecutar una combinación de L2 y L3 en el Nexus, pero como he descubierto ahora, no es un diseño compatible. Están buscando activar un enlace L3 dedicado por ahora hasta que todo se haya migrado.
Daniel Dib
¿Alguna respuesta te ayudó? Si es así, debe aceptar la respuesta para que la pregunta no siga apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar y aceptar su propia respuesta.
Ron Maupin

Respuestas:

8

Como los cortafuegos no son parte de un vPC, no serán parte de la prevención de bucle vPC normal.

La prevención de bucle solo indica que un paquete no puede ingresar en el enlace de igual si está destinado a salir por otro puerto habilitado para vPC.

No estoy muy seguro en el frente de multidifusión, ya que no lo usamos en nuestro entorno y realmente no he investigado su comportamiento en los 7K.

Por lo general, si está ejecutando un protocolo de enrutamiento en la pila de conmutadores, el diseño recomendado sería no tenerlo como miembro de un vPC y simplemente usar OSPF para brindarle las mismas ventajas que vPC le brinda en L2.

David Rothera
fuente
Gracias David! Estoy tratando de entender en detalle lo que está sucediendo con OSPF. Las adyacencias están activas y no veo problemas con ellas. El hash será un problema porque algunos paquetes ingresarán al Nexus incorrecto. Puedo ver cómo los paquetes de unidifusión de OSPF serían un problema si ingresa un Nexus incorrecto porque el Nexus correcto no pudo enviarlo de vuelta al vPC. Sin embargo, es extraño que la base de datos esté correctamente distribuida y que no haya sesiones de aleteo ni nada.
Daniel Dib
1

Eche un vistazo a esto: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Podría ayudarte :)

Gustav Haraldsson
fuente
Hola gustav Solo revisé ese enlace y algunas presentaciones de Cisco Live. Como sé ahora, no es un diseño compatible debido a la prevención de bucles. En este caso, el tráfico sale de un enlace que no es vPC, por lo que aún no está 100% seguro de por qué se cae el tráfico.
Daniel Dib
1

¿Qué modelo de tarjetas de línea está utilizando en su chasis N7K? ¿Serie M o serie F? Es posible que sucedan algunas dificultades dentro de la arquitectura de interconexión en el N7K si está utilizando tarjetas de la serie F que va en detrimento del tráfico enrutado.

Además, asegúrese de tener un canal de puerto entre N7K para vlans que no sean vpc. Vlans a su clúster de firewall no debe cruzar el enlace par VPC. Si no tiene un segundo canal de puerto entre N7K, este podría ser su problema.

Tony Kitzky
fuente
Sugerencias: considere hacer preguntas aclaratorias en los comentarios bajo la pregunta del OP. Por supuesto, la pregunta parece bastante amplia y abierta, pero también considera tratar de responder las preguntas específicas que se hacen ... proporciona aclaraciones y detalles adicionales como mejor te parezca.
Craig Constantine