OSPF über vPC auf Nexus7k

11

Ich versuche einem Freund bei einigen Nexus-Problemen zu helfen.

Die Topologie ist wie folgt:

Cat 3750-Stapel -> vPC -> 2x N7k -> LACP -> Firewall-Cluster stärken

Auf dem 3750-Stack wird OSPF für beide Nexuses ausgeführt. Die Nachbarschaften sind hoch. Nach dem, was ich gelesen habe, ist dies kein unterstütztes Design. Die Schleifenverhinderung würde verhindern, dass Pakete auf einem Nexus eingehen, die jedoch für einen anderen bestimmt sind und dann über die Peer-Verbindung übertragen werden. Wenn dieser Datenverkehr eine andere vPC verlässt, wird er aufgrund des Schleifenverhinderungsmechanismus blockiert.

In diesem Fall sind die Firewalls (Cluster) jedoch nicht über vPC verbunden. Wird die Schleifenprävention immer noch eingesetzt?

Ich bin auch überrascht, dass die OSPF-Nachbarschaften aktiv sind und zu funktionieren scheinen. Alle Routen sind vorhanden, es gibt jedoch weiterhin Probleme mit der Erreichbarkeit. Einige OSPF-Pakete würden wahrscheinlich über die Peer-Verbindung eingehen. Ich kann sehen, wie dies ein Problem für die Unicast-Pakete sein kann, die Peer-Link überqueren und dann vPC zurück zum Stapel beenden müssen, was nicht zulässig ist.

Wie wird der Multicast behandelt? Ich denke das sollte richtig empfangen werden?

Ich denke, sie sollten vielleicht neue Schnittstellen auftauchen, die stattdessen geroutet werden. Oder wäre es möglich, SVI auszuführen, das Punkt-zu-Punkt zwischen jedem Nexus und dem Stapel liegt?

Daniel Dib
quelle
2
Kannst du mir hier ein bisschen helfen? Warum wird OSPF ausgeführt, aber mit L2 wird alles überprüft? Das scheint mir sehr kontraproduktiv zu sein. Wenn Sie den 3750-Stack als Router verwenden, warum sollten Sie dann nicht die Uplinks für die L3-Ports erstellen und nur zulassen, dass das Routing seinen Lauf nimmt? Es scheint ein viel saubereres Design zu sein, das immer noch alle Ihre Links verwendet.
Bigmstone
Hallo. Dies ist nicht mein Netzwerk, aber ich helfe jemandem. Der Grund, warum sie sowohl L2 als auch L3 ausführen, ist, dass sie planen, das Routing vollständig vom 3750 zu entfernen und nur auf den Nexuses zu routen. Bis alle VLANs verschoben wurden, müssen sie eine Mischung aus L2 und L3 auf dem Nexus ausführen, aber wie ich jetzt herausgefunden habe, ist dies kein unterstütztes Design. Sie versuchen vorerst, einen dedizierten L3-Link zu erstellen, bis alles migriert ist.
Daniel Dib
Hat dir eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Frage nicht für immer auftaucht und nach einer Antwort sucht. Alternativ können Sie Ihre eigene Antwort bereitstellen und akzeptieren.
Ron Maupin

Antworten:

8

Da die Firewalls nicht Teil einer vPC sind, sind sie nicht Teil der normalen vPC-Schleifenverhütung.

Die Schleifenverhütung besagt nur, dass ein Paket nicht auf die Peer-Verbindung eingehen kann, wenn es dazu bestimmt ist, einen anderen vPC-fähigen Port zu verlassen.

Ich bin mir im Multicast-Bereich nicht sicher, da wir es in unserer Umgebung nicht verwenden und ich das Verhalten auf den 7Ks nicht wirklich untersucht habe.

Wenn Sie ein Routing-Protokoll auf dem Switch-Stack ausführen, wird normalerweise empfohlen, es nicht als Mitglied einer vPC zu verwenden und nur OSPF zu verwenden, um die gleichen Vorteile zu erzielen, die Ihnen vPC bei L2 bietet.

David Rothera
quelle
Danke David! Ich versuche im Detail zu verstehen, was mit OSPF passiert. Die Adjazenzen sind gestiegen und ich sehe keine Probleme damit. Das Hashing wird ein Problem sein, da einige Pakete in den falschen Nexus gelangen. Ich kann sehen, wie OSPF-Unicast-Pakete ein Problem darstellen würden, wenn sie falsches Nexus eingeben würden, da das richtige Nexus es nicht aus der vPC zurücksenden könnte. Seltsam, dass die Datenbank richtig gepackt ist und es keine Flattersitzungen oder ähnliches gibt.
Daniel Dib
1

Schauen Sie sich das an: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Könnte dir helfen :)

Gustav Haraldsson
quelle
Hallo Gustav. Ich habe nur diesen Link und einige Präsentationen von Cisco Live überprüft. Wie ich jetzt weiß, ist es aufgrund der Schleifenverhütung kein unterstütztes Design. In diesem Fall verlässt der Datenverkehr eine Nicht-vPC-Verbindung, ist sich jedoch immer noch nicht 100% sicher, warum der Datenverkehr unterbrochen wird.
Daniel Dib
1

Welches Modell von Line Cards verwenden Sie in Ihrem N7K-Gehäuse? M-Serie oder F-Serie? Wenn Sie Karten der F-Serie verwenden, die sich nachteilig auf den gerouteten Verkehr auswirken, kann es in der Verbindungsarchitektur des N7K zu Haarnadeln kommen.

Stellen Sie außerdem sicher, dass Sie einen Port-Kanal zwischen N7K für Nicht-VPC-VLANs haben. Vlans zu Ihrem Firewall-Cluster sollten den VPC-Peer-Link nicht überqueren. Wenn Sie keinen zweiten Port-Kanal zwischen N7Ks haben, könnte dies Ihr Problem sein.

Tony Kitzky
quelle
Vorschläge: Erwägen Sie, in Kommentaren unter der Frage des OP klarstellende Fragen zu stellen. Zugegeben, die Frage scheint ziemlich groß und offen zu sein, aber Sie sollten auch versuchen, die spezifischen Fragen zu beantworten. Geben Sie zusätzliche Erläuterungen und Details, wie Sie es für richtig halten.
Craig Constantine