Здравствуйте, команда! Я развертываю среду DNAC версии 2.3.7.7-70047. У нас есть 2 C9500 BN/CP в режиме совместного размещения, и мы настраиваем канал L3-Handoff для 2 брандмауэров в активном/пассивном кластере. В соответствии с документацией BRKENS-2824, поскольку оба BN/CP не находятся в VSL и я не могу создать портовый канал между ними, мы подключим их, как показано на прилагаемом изображении 1. Поэтому у меня возникает сомнение, что я не могу настроить более 1 внешнего канала в графическом интерфейсе для одного и того же BN (только 1 физический порт или порт канала, и если я хочу добавить другой внешний интерфейс для того же BN, он должен быть с другими SVI и IP-адресами). Проверяя конфигурацию, установленную dnac для внешней ссылки, я вижу, что она только разрешает все в выбранном порту (кроме всей конфигурации ebgp для каждого VN/VRF). Это правильно? Как показано на приложенном изображении 1, зеленые соединения будут настроены через опцию внешней ссылки GUI, а оранжевые соединения с пассивным FW будут настроены как «ручной режим» switchport trunk через CLI. Кто-нибудь знает, выполняет ли DNAC какую-либо внутреннюю конфигурацию? Поскольку оранжевые ссылки не будут отображаться как «внешние порты» в GUI, это может вызвать какие-либо проблемы? Спасибо

]]>https://sla247.ru/forum/topic/770/l3-border-handoff-внешний-интерфейс-к-активному-пассивному-брандмауэру-fusionRSS for NodeFri, 15 May 2026 14:17:38 GMTFri, 13 Feb 2026 20:09:38 GMT60Порт-каналы не принесут вам никакой пользы. Оставьте только один интерфейс магистрали от каждого члена VSL — первый для активного PA и второй для резервного PA.

]]>https://sla247.ru/forum/post/6300https://sla247.ru/forum/post/6300Fri, 13 Feb 2026 20:09:48 GMTПограничные узлы представляют собой коммутаторы Catalyst 9500 в SVL, подключенные к маршрутизатору Fusion, который является активным резервным брандмауэром
Palo Alto. Я планирую создать порт-канал l3 и подсоединить порт po10.3001
, но, честно говоря, я не знаю, как это сделать, и не видел никаких документов с подобным решением
. Пограничный узел 1 ───┐
├── AE (Port-Channel) ───► PA Активный
пограничный узел 2 ───┘
Пограничный узел 1 ───┐
├── AE (Port-Channel) ───► PA пассивный
Пограничный узел 2 ───┘

]]>https://sla247.ru/forum/post/6299https://sla247.ru/forum/post/6299Fri, 13 Feb 2026 20:09:47 GMTЯ предполагаю, что в вашем случае маршрутизатор Fusion также является своего рода SVL/stackwise. Здесь избыточность не означает надежность. Даже с пропускной способностью etherchannel BN&FN, 9500 SVL или C9K stackwise является spof в случае необходимости его обслуживания (см. выше).

]]>https://sla247.ru/forum/post/6298https://sla247.ru/forum/post/6298Fri, 13 Feb 2026 20:09:46 GMTМогу ли я задать вопрос: если у меня есть два коммутатора 9500 в режиме SVL, которые подключены к маршрутизатору Fusion, но я хочу обеспечить избыточность, будет ли поддерживаться передача l3 через портовый канал или они должны быть полностью разделены как два физических BGP-пиринга.

]]>https://sla247.ru/forum/post/6297https://sla247.ru/forum/post/6297Fri, 13 Feb 2026 20:09:45 GMTТеперь я понял, что вы имеете в виду под избыточностью. В случае, когда обслуживание всей структуры не требуется :0)
Кстати, с отдельными BN|CP вы можете повторно использовать VLAN/SVI для пиринга с FN без ручной настройки на BN|CP (при условии, что ваш FW как FN поддерживает несколько пирингов в одной VLAN/подсети и вы ввели устаревший L2-коммутатор (стек) между BN\CP и FW).

]]>https://sla247.ru/forum/post/6296https://sla247.ru/forum/post/6296Fri, 13 Feb 2026 20:09:44 GMTЗдравствуйте, Спасибо за ответ. Мы решили не объединять BN/CP в соответствии с рекомендациями BRKENS-2824 (Cisco live 2024), поскольку наша команда по брандмауэрам подтвердила, что Fusion FW поддерживает ECMP, и мы будем поддерживать границы Active/Active.
«Подключение к вышестоящим уровням — решение Fusion
Firewall 4. Объединение пограничных узлов.
Создайте только один интерфейс на брандмауэре, объединив пограничные
узлы. Пожалуйста, избегайте:
• Единственной точки отказа, особенно если вы совмещаете роли CP
и BN.
• Изменений оборудования, требующих перезагрузки SVL (= отключение фабрики).
• Отсутствия возможности обновления программного обеспечения без отключения (ISSU) для SVL в SDAccess». ![Se1r_0-1741894853663.png] Спасибо.

]]>https://sla247.ru/forum/post/6295https://sla247.ru/forum/post/6295Fri, 13 Feb 2026 20:09:43 GMTЯ знаком с конструкциями Cisco CX с одним BN\CP, представленным VSL. И с моей точки зрения, объявление VSL в качестве SPoF равносильно объявлению VSS в качестве такового. По крайней мере, я не знаком ни с одним случаем, когда VSL проявлял бы себя с недействительной избыточностью. Но решать вам.
Вам не нужен iBGP между BN|CP с Pub/Sub.

]]>https://sla247.ru/forum/post/6294https://sla247.ru/forum/post/6294Fri, 13 Feb 2026 20:09:42 GMTЗдравствуйте, спасибо за ответ.
Мы не настраиваем их в VSL из-за единственной точки отказа, мы уже совмещаем роли BN и CP, будем действовать в соответствии с указаниями Торбьорна.
Еще один вопрос, если вы можете мне помочь... Мы размещаем оба пограничных узла как Anywhere Borders. С развертыванием Lisp PUB/SUB. Все еще необходимо ручное пирингование iBGP между обоими границами? (изображение 2 нашей топологии)
Спасибо.

]]>https://sla247.ru/forum/post/6293https://sla247.ru/forum/post/6293Fri, 13 Feb 2026 20:09:41 GMT"
Проверяя конфигурацию, установленную dnac для внешней ссылки, я вижу, что она только разрешает все в выбранном порту (кроме всей конфигурации ebgp для каждого VN/VRF). Это правильно? Да
, DNAC настраивает IP-транзит L3-handoff как trunk с транзитными VLAN для каждого VRF
. Кто-нибудь знает, выполняет ли DNAC какую-либо внутреннюю конфигурацию? Можете перефразировать
этот вопрос, пожалуйста?
Поскольку оранжевые ссылки не будут отображаться как «внешние порты» в графическом интерфейсе пользователя, это может вызвать какие-либо проблемы?
Оранжевые ссылки ДОЛЖНЫ быть также настроены, даже если они не будут активны в пиринге до тех пор, пока не произойдет FW SSO.
UPD. Я бы порекомендовал вам объединить ваши BN|CP в VSL, чтобы уменьшить ненужный пиринг...

]]>https://sla247.ru/forum/post/6292https://sla247.ru/forum/post/6292Fri, 13 Feb 2026 20:09:40 GMTЕсли требуется использовать одни и те же VLAN/SVI для пиринга с обоими брандмауэрами, я бы, вероятно, сделал это вручную. Вы правы в том, что конфигурация GUI для передачи данных только настраивает интерфейсы как магистрали, создает SVI, а затем конфигурацию BGP. Я также предпочитаю вручную удалять ненужные VLAN на магистралях, ведущих к моим узлам Fusion. Передачи не будут отображаться в графическом интерфейсе, но это не будет проблемой, кроме того, что их нельзя настроить в графическом интерфейсе. Рад помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev

]]>https://sla247.ru/forum/post/6291https://sla247.ru/forum/post/6291Fri, 13 Feb 2026 20:09:39 GMT