OSPF sobre vPC no Nexus7k

11

Estou tentando ajudar um amigo com alguns problemas do Nexus.

A topologia é assim:

Cat 3750 stack -> vPC -> 2x N7k -> LACP -> Fortigate cluster de firewall

A pilha 3750 está executando o OSPF nos dois Nexuses. As adjacências estão ativas. Pelo que li, este não é um design suportado. A prevenção de loop impediria os pacotes que entram em um Nexus, mas que são destinados a outro e, em seguida, passam pelo link de mesmo nível. Se esse tráfego sair de outro vPC, ele será bloqueado devido ao mecanismo de prevenção de loop.

Nesse caso, embora os firewalls (cluster) não estejam conectados via vPC. A prevenção de loop ainda será ativada?

Também estou surpreso que as adjacências do OSPF estejam ativas e pareçam estar funcionando. Todas as rotas estão presentes, mas ainda existem problemas de acessibilidade. Alguns pacotes OSPF provavelmente viriam através do link de mesmo nível. Eu posso ver como isso pode ser um problema para os pacotes unicast que precisam cruzar o link de mesmo nível e, em seguida, sair do vPC de volta à pilha, o que não é permitido.

Como o multicast será tratado. Eu acho que isso deve ser recebido corretamente?

Então, acho que eles talvez devam ativar novas interfaces que são roteadas. Ou seria possível executar o SVI que é ponto a ponto entre cada Nexus e a pilha?

Daniel Dib
fonte
2
Você pode me ajudar um pouco aqui? Por que eles estão executando o OSPF, mas examinando tudo com o L2? Isso parece muito contraproducente para mim. Se você estiver usando a pilha 3750 como um roteador, por que não faria as portas L3 de uplinks e apenas permitiria que o roteamento seguisse seu curso? Parece um design muito mais limpo que ainda utiliza todos os seus links.
Bigmstone
Oi. Esta não é a minha rede, mas estou ajudando alguém. O motivo pelo qual eles executam L2 e L3 é que planejam mover o roteamento do 3750 inteiramente e somente o Nexuses. Até que todas as VLANs sejam movidas, elas precisam executar uma mistura de L2 e L3 para o Nexus, mas como descobri agora, não é um design suportado. Eles estão procurando ativar um link L3 dedicado por enquanto até que tudo tenha sido migrado.
Daniel Dib
Alguma resposta o ajudou? Nesse caso, você deve aceitar a resposta para que a pergunta não apareça para sempre, procurando uma resposta. Como alternativa, você pode fornecer e aceitar sua própria resposta.
Ron Maupin

Respostas:

8

Como os firewalls não fazem parte de um vPC, eles não fazem parte da prevenção normal do loop de vPC.

A prevenção de loop afirma apenas que um pacote não pode ingressar no link de mesmo nível se estiver destinado a sair por outra porta habilitada para vPC.

Não tenho muita certeza na frente do multicast, pois não o usamos em nosso ambiente e eu realmente não olhei para o seu comportamento nos 7K.

Normalmente, se você estiver executando um protocolo de roteamento na pilha de comutadores, o design recomendado seria não tê-lo como membro de um vPC e use o OSPF para oferecer as mesmas vantagens que o vPC oferece em L2.

David Rothera
fonte
Obrigado David! Estou tentando entender em detalhes o que está acontecendo com o OSPF. Adjacências estão acima e não vejo problemas com isso. O hash será um problema porque alguns pacotes entrarão no Nexus errado. Posso ver como os pacotes unicast OSPF seriam um problema se ele digitasse o Nexus errado, porque o Nexus correto não pôde enviá-lo de volta ao vPC. Estranho que o banco de dados esteja corretamente carregado e que não haja sessões de agitação nem nada.
Daniel Dib
1

Dê uma olhada no seguinte: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Pode ajudá-lo :)

Gustav Haraldsson
fonte
Oi Gustav. Eu verifiquei apenas esse link e algumas apresentações do Cisco Live. Como eu sei agora, não é um design suportado devido à prevenção de loop. Nesse caso, o tráfego está saindo de um link não vPC, embora ainda não tenha 100% de certeza do motivo pelo qual o tráfego está sendo descartado.
Daniel Dib
1

Que modelo de placa de linha você está usando no seu chassi N7K? Série M ou série F? Pode haver algum problema na arquitetura de interconexão no N7K se você estiver usando placas da série F que estão prejudicando o tráfego roteado.

Além disso, verifique se você possui um canal de porta entre o N7K para vlans não vpc. Os vlans para o cluster de firewall não devem cruzar o link de ponto da VPC. Se você não possui um segundo canal de porta entre os N7K, esse pode ser o seu problema.

Tony Kitzky
fonte
sugestões: considere fazer perguntas esclarecedoras nos comentários da pergunta do OP. É verdade que a pergunta parece bastante ampla e aberta, mas considere também tentar responder às perguntas específicas feitas ... forneça esclarecimentos e detalhes adicionais como achar melhor.
Craig Constantine