拓扑结构如下:
Cat 3750堆栈-> vPC-> 2x N7k-> LACP->启用防火墙群集
3750堆栈在两个Nexus上都运行OSPF。邻接关系上升。据我了解,这不是受支持的设计。防止环路将阻止进入一个Nexus的数据包,该数据包发往另一个Nexus,然后穿过对等链路。如果此流量离开另一个vPC,则将由于循环阻止机制而被阻止。
在这种情况下,防火墙(群集)未通过vPC连接。
还会阻止环路预防吗?
我还惊讶于OSPF邻接关系已经建立并且似乎正在起作用。存在所有路由,但仍然存在可达性问题。一些OSPF数据包可能会通过对等链路进入。我可以看到这对于需要穿越对等链接然后将vPC退出到不允许的堆栈的单播数据包来说可能是个问题。
如何处理多播。我想应该正确接收吗?
所以我想他们应该打开路由的新接口。还是有可能在每个Nexus和堆栈之间运行点对点的SVI?
#1 楼
由于防火墙不是vPC的一部分,因此它们也不属于常规vPC环路防护的一部分。环路防护仅指出如果数据包发往对等链路,则该数据包无法进入对等链路退出另一个启用vPC的端口。
在多播方面不太确定,因为我们不在环境中使用它,而且我还没有真正研究过它在7K上的行为。
通常,如果要在交换机堆栈上向下运行路由协议,建议的设计是不要将其作为vPC的成员,而仅使用OSPF来为您提供与vPC在L2上所具有的相同优势。 br />
评论
谢谢大卫!我试图详细了解OSPF的情况。邻接增加了,我认为没有问题。散列将是一个问题,因为某些数据包将输入错误的Nexus。我可以看到,如果OSPF单播数据包输入了错误的Nexus,它将是一个问题,因为正确的Nexus无法将其发送回vPC。奇怪的是,尽管数据库已正确填充,并且没有震荡会话或其他任何事件。
–丹尼尔·迪布(Daniel Dib)
13年5月8日在8:21
#2 楼
看看这个:http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/可能会有帮助你:)
评论
嗨,古斯塔夫。我只检查了该链接以及Cisco Live的一些演示。据我所知,由于防止循环,它不是受支持的设计。在这种情况下,流量将退出非vPC链接,尽管如此仍不能100%确定流量为何被丢弃。
–丹尼尔·迪布(Daniel Dib)
13年5月11日在18:27
#3 楼
您在N7K机箱中使用哪种线卡? M系列还是F系列?如果您使用的F系列卡不利于路由流量,则N7K上的互连体系结构中可能会发生一些令人发指的事情。还请确保N7K之间具有端口通道对于非vpc vlan。防火墙群集的VLAN不应穿越VPC对等链接。如果您在N7K之间没有第二个端口通道,则可能是您的问题。
评论
建议:考虑在OP的问题下提出评论中的澄清问题。当然,这个问题似乎相当大且开放,但也可以考虑尝试回答所提出的特定问题...在您认为合适的情况下提供其他说明和详细信息。
–克雷格·康斯坦丁(Craig Constantine)
13年5月13日在16:31
评论
你能帮我一下吗?他们为什么要运行OSPF,却将所有内容与L2建立对等关系?这对我来说似乎适得其反。如果您将3750堆栈用作路由器,那为什么不建立上行链路L3端口并只允许路由进行呢?看起来更简洁的设计仍然可以利用您的所有链接。你好这不是我的网络,但我正在帮助某人。他们同时运行L2和L3的原因是,他们计划将路由完全从3750移开,并且仅在Nexus上路由。在移动所有VLAN之前,它们需要在Nexus上同时运行L2和L3,但正如我现在发现的那样,它不是受支持的设计。他们目前正在考虑建立专用的L3链接,直到所有内容都已迁移。
有什么答案对您有帮助吗?如果是这样,您应该接受答案,这样问题就不会永远弹出来寻找答案。或者,您可以发布并接受自己的答案。