Система NVE Infra-Vlans на Nexus 9300 под управлением 10.3.x
-
Здравствуйте, У меня есть пограничные листьевые коммутаторы vPC, подключенные к паре брандмауэров. Border Leaf-1 Eth1/1 <Po1> Firewall-1 Port1 Border Leaf-2 Eth1/1 <Po1> Firewall-1 Port2 Border Leaf-1 Eth1/2 <Po2> Firewall-2 Port1 Border Leaf-2 Eth1/2 <Po2> Firewall-2 Port2 У меня есть транзитный VLAN 609 (10.0.69.0/29) между пограничными листьями и брандмауэрами, который служит в качестве внешней связи L3 для Tenant-VRF. В пограничных коммутаторах SVI 609 использует адрес шлюза anycast 10.0.69.1/29, а SVI 609 брандмауэра использует 10.0.69.2/29. С пограничного Leaf-1 я не могу выполнить ping брандмауэра 10.0.69.2, но с пограничного Leaf-2 я могу выполнить ping брандмауэра без каких-либо проблем. Я отключил vPC Po2 по направлению к Firewall-2, и после этого я смог выполнить ping 10.0.69.2 с Border Leaf-1. Похоже, что с Border Leaf-1 трафик блокируется, когда все vPC-соединения активны.
Вопрос 1: Нужно ли мне настраивать/конфигурировать System NVE Infra-Vlans между Border Leafs? Не уверен, связана ли моя проблема с этой функцией.
Вопрос 2: Применима ли эта функция к nx-os 10.3.x? -
В пограничных коммутаторах SVI 609 использует адрес шлюза anycast 10.0.69.1/29 > С пограничного листа-1 я не могу выполнить ping брандмауэра 10.0.69.2, но с пограничного листа-2 я могу выполнить ping брандмауэра без каких-либо проблем. С какого источника вы выполняете ping 10.0.69.2? Если с 10.0.69.1, то это ожидаемо, так как ответ ICMP может быть сбалансирован на другой пограничный узел и не будет перенаправлен на первый. Вопрос 1: Нужно ли мне настраивать/конфигурировать System NVE Infra-Vlans между пограничными листьями? Не уверен, связана ли моя проблема с этой функцией. https://www.cisco.com/c/en/us/support/docs/switches/nexus-9000-series-switches/214624-configure-system-nve-infra-vlans-in-vxla.html Infra vlan необходим для передачи трафика, инкапсулированного VXLAN, через peer-link Вопрос 2: Применима ли эта функция в nx-os 10.3.x? Перед настройкой в качестве SVI резервная VLAN должна быть настроена на коммутаторах Cisco Nexus 9200, 9300-EX, 9300-FX/FX2
/
FX3
и
9300-GX
в качестве инфра-VLAN с помощью команды
system nve
infra-vlans
. https://www.cisco.com/c/en/us/td/docs/dcn/nx-os/nexus9000/103x/configuration/vxlan/cisco-nexus-9000-series-nx-os-vxlan-configuration-guide-release-103x/m_configuring_vxlan_93x.html -
@john.gregory
Не могли бы вы нарисовать топологическую схему и поделиться ею для лучшего понимания. PFB, мое первое понимание вашей топологии: ![Screenshot 2024-08-28 at 11.09.14 AM.png] Похоже, у вас двусторонняя конфигурация vPC. Надеюсь, ваши BL правильно настроены для этого. Пожалуйста, подтвердите и доработайте схему.
-
Привет, AshSe, Да, схема верна. Порт-канал 1 находится в vpc 1, а порт-канал 2 — в vpc 2. Брандмауэр Fortigate является HA, поэтому все, что вы настроите в брандмауэре 1, будет просто реплицироваться на резервный брандмауэр 2.
-
Здравствуйте
[, @john.gregory,]
вот импровизированная схема в соответствии с вашим объяснением: ![Screenshot 2024-08-28 at 2.54.28 PM.png] Согласно схеме: Есть два vPC, а именно vPC1 и vPC2
Есть один кластер брандмауэров На мой взгляд, вам нужно: Один vPC для кластера брандмауэров
Проверьте, можно ли создать vPC в брандмауэре и создать один vPC Po к BL. По-видимому, ваша топология должна выглядеть следующим образом: ![Screenshot 2024-08-28 at 3.08.45 PM.png]
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти