L3-Border Handoff Внешний интерфейс к активному-пассивному брандмауэру Fusion
-
Здравствуйте, команда! Я развертываю среду DNAC версии 2.3.7.7-70047. У нас есть 2 C9500 BN/CP в режиме совместного размещения, и мы настраиваем канал L3-Handoff для 2 брандмауэров в активном/пассивном кластере. В соответствии с документацией BRKENS-2824, поскольку оба BN/CP не находятся в VSL и я не могу создать портовый канал между ними, мы подключим их, как показано на прилагаемом изображении 1. Поэтому у меня возникает сомнение, что я не могу настроить более 1 внешнего канала в графическом интерфейсе для одного и того же BN (только 1 физический порт или порт канала, и если я хочу добавить другой внешний интерфейс для того же BN, он должен быть с другими SVI и IP-адресами). Проверяя конфигурацию, установленную dnac для внешней ссылки, я вижу, что она только разрешает все в выбранном порту (кроме всей конфигурации ebgp для каждого VN/VRF). Это правильно? Как показано на приложенном изображении 1, зеленые соединения будут настроены через опцию внешней ссылки GUI, а оранжевые соединения с пассивным FW будут настроены как «ручной режим» switchport trunk через CLI. Кто-нибудь знает, выполняет ли DNAC какую-либо внутреннюю конфигурацию? Поскольку оранжевые ссылки не будут отображаться как «внешние порты» в GUI, это может вызвать какие-либо проблемы? Спасибо
-
Если требуется использовать одни и те же VLAN/SVI для пиринга с обоими брандмауэрами, я бы, вероятно, сделал это вручную. Вы правы в том, что конфигурация GUI для передачи данных только настраивает интерфейсы как магистрали, создает SVI, а затем конфигурацию BGP. Я также предпочитаю вручную удалять ненужные VLAN на магистралях, ведущих к моим узлам Fusion. Передачи не будут отображаться в графическом интерфейсе, но это не будет проблемой, кроме того, что их нельзя настроить в графическом интерфейсе. Рад помочь! Пожалуйста, отметьте как полезное/решение, если применимо.
Свяжитесь с нами: https://torbjorn.dev -
"
Проверяя конфигурацию, установленную dnac для внешней ссылки, я вижу, что она только разрешает все в выбранном порту (кроме всей конфигурации ebgp для каждого VN/VRF). Это правильно? Да
, DNAC настраивает IP-транзит L3-handoff как trunk с транзитными VLAN для каждого VRF
. Кто-нибудь знает, выполняет ли DNAC какую-либо внутреннюю конфигурацию? Можете перефразировать
этот вопрос, пожалуйста?
Поскольку оранжевые ссылки не будут отображаться как «внешние порты» в графическом интерфейсе пользователя, это может вызвать какие-либо проблемы?
Оранжевые ссылки ДОЛЖНЫ быть также настроены, даже если они не будут активны в пиринге до тех пор, пока не произойдет FW SSO.
UPD. Я бы порекомендовал вам объединить ваши BN|CP в VSL, чтобы уменьшить ненужный пиринг... -
Здравствуйте, спасибо за ответ.
Мы не настраиваем их в VSL из-за единственной точки отказа, мы уже совмещаем роли BN и CP, будем действовать в соответствии с указаниями Торбьорна.
Еще один вопрос, если вы можете мне помочь... Мы размещаем оба пограничных узла как Anywhere Borders. С развертыванием Lisp PUB/SUB. Все еще необходимо ручное пирингование iBGP между обоими границами? (изображение 2 нашей топологии)
Спасибо.
-
Я знаком с конструкциями Cisco CX с одним BN\CP, представленным VSL. И с моей точки зрения, объявление VSL в качестве SPoF равносильно объявлению VSS в качестве такового. По крайней мере, я не знаком ни с одним случаем, когда VSL проявлял бы себя с недействительной избыточностью. Но решать вам.
Вам не нужен iBGP между BN|CP с Pub/Sub. -
Здравствуйте, Спасибо за ответ. Мы решили не объединять BN/CP в соответствии с рекомендациями BRKENS-2824 (Cisco live 2024), поскольку наша команда по брандмауэрам подтвердила, что Fusion FW поддерживает ECMP, и мы будем поддерживать границы Active/Active.
«Подключение к вышестоящим уровням — решение Fusion
Firewall 4. Объединение пограничных узлов.
Создайте только один интерфейс на брандмауэре, объединив пограничные
узлы. Пожалуйста, избегайте:
• Единственной точки отказа, особенно если вы совмещаете роли CP
и BN.
• Изменений оборудования, требующих перезагрузки SVL (= отключение фабрики).
• Отсутствия возможности обновления программного обеспечения без отключения (ISSU) для SVL в SDAccess». ![Se1r_0-1741894853663.png] Спасибо.
-
Теперь я понял, что вы имеете в виду под избыточностью. В случае, когда обслуживание всей структуры не требуется :0)
Кстати, с отдельными BN|CP вы можете повторно использовать VLAN/SVI для пиринга с FN без ручной настройки на BN|CP (при условии, что ваш FW как FN поддерживает несколько пирингов в одной VLAN/подсети и вы ввели устаревший L2-коммутатор (стек) между BN\CP и FW). -
Могу ли я задать вопрос: если у меня есть два коммутатора 9500 в режиме SVL, которые подключены к маршрутизатору Fusion, но я хочу обеспечить избыточность, будет ли поддерживаться передача l3 через портовый канал или они должны быть полностью разделены как два физических BGP-пиринга.
-
Я предполагаю, что в вашем случае маршрутизатор Fusion также является своего рода SVL/stackwise. Здесь избыточность не означает надежность. Даже с пропускной способностью etherchannel BN&FN, 9500 SVL или C9K stackwise является spof в случае необходимости его обслуживания (см. выше).
-
Пограничные узлы представляют собой коммутаторы Catalyst 9500 в SVL, подключенные к маршрутизатору Fusion, который является активным резервным брандмауэром
Palo Alto. Я планирую создать порт-канал l3 и подсоединить порт po10.3001
, но, честно говоря, я не знаю, как это сделать, и не видел никаких документов с подобным решением
. Пограничный узел 1 ───┐
├── AE (Port-Channel) ───► PA Активный
пограничный узел 2 ───┘
Пограничный узел 1 ───┐
├── AE (Port-Channel) ───► PA пассивный
Пограничный узел 2 ───┘ -
Порт-каналы не принесут вам никакой пользы. Оставьте только один интерфейс магистрали от каждого члена VSL — первый для активного PA и второй для резервного PA.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти