Fusion Firewall с промежуточным прыжком L3

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:45 GMT

techno.it — Fri, 13 Feb 2026 20:10:45 GMT

Спасибо,
@Андрей Олейник
. Я вам очень благодарен.

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:44 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:44 GMT

Вы можете разместить пиринговые объекты в одной подсети, как показано выше, если используете L2-коммутатор посередине. Если вы подключаете FW напрямую к BN (конечно, с разными физическими соединениями), вы будете использовать /3[01].

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:43 GMT

techno.it — Fri, 13 Feb 2026 20:10:43 GMT

Спасибо Подтверждение количества VLAN и пирингов на VRF Пример: VRF-Y Транзитный VLAN 3001 на BN1 и BN2 — 172.16.1.0/29 FW dot1q trunk port sub interface Int Gi0/1.3001 (зона VRF-Y) IP-адрес BN1: 17.16.1.1 FW IP: 172.16.1.2 IP-адрес BN2: 172.16.1.3 BN1-FW- Peering1 BN2-FW- Peering2 Пожалуйста, поправьте меня, если я ошибаюсь.

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:42 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:42 GMT

да

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:41 GMT

techno.it — Fri, 13 Feb 2026 20:10:41 GMT

сделав один из BN полностью «резервным» (настройка LISP на основном узле, ухудшение пути на север с точки зрения
«резервного» BN и ухудшение пути к Fabric через «резервный» BN с точки зрения FW. ECMP между FW и BN фактически не требуется. Вы имеете в виду настройки, определенные здесь на странице 39? https://www.ciscolive.com/c/dam/r/ciscolive/global-event/docs/2024/pdf/BRKENS-2824.pdf

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:40 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:40 GMT

«...
как мы можем преодолеть ограничения ECMP и Multicast, чтобы единственным вариантом было сделать пограничный узел активным-пассивным»,
сделав один из BN полностью «резервным» (предпочтение LISP на первичном узле, ухудшение пути на север с точки зрения «резервного» BN и ухудшение пути к Fabric через «резервный» BN с точки зрения FW. ECMP между FW и BN фактически не требуется.

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:39 GMT

techno.it — Fri, 13 Feb 2026 20:10:39 GMT

Приношу извинения за свое незнание и путаницу. Я ожидал, что vPC будет использовать ту же контрольную плоскость, что и SVL. Если я решу использовать vPC исключительно для L2 или для прямого подключения брандмауэров к BN, как мы можем преодолеть ограничения ECMP и Multicast, чтобы единственным вариантом было сделать пограничный узел активным-пассивным.

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:38 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:38 GMT

Итак, вы соединяете BN1 с N1 и BN2 с N2, верно? Как вы соединяете N1 и N2? И как вы соединяете vPC с FW? vPC — это две независимые плоскости управления. Вы не можете соединить их в одной сессии.
Короче говоря, вам не удастся избежать двух сеансов между FW и vPC (один сеанс на каждый vPC-peer). С учетом этого вы либо используете vPC исключительно для L2-коммутации, либо возвращаетесь к схеме на слайде № 39.

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:37 GMT

techno.it — Fri, 13 Feb 2026 20:10:37 GMT

Страница 40
ciscolive.com/c/dam/r/ciscolive/global-event/docs/2024/pdf/BRKENS-2824.pdf 2. Для VRF-X может быть следующим BN 1 к Nexus vPC VLAN 3001 — 172.16.1.0/30 BN 2 к Nexus vPC VLAN 3002 - 172.16.1.4/30 Nexus vPC к FW (активный FW — магистральный порт) — VLAN 3003 — 172.16.1.8/30

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:36 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:36 GMT

Пожалуйста, помогите со слайдом № в PDF-презентации. UPD. Я нашел его. Речь идет о случае, когда MC-спикер находится в Fabric, а MC-слушатель где-то на севере за FW. Вам нужно обратить внимание на проверку RPF на FW, так как она может отбрасывать MC-пакеты, поступающие с неожиданного интерфейса. Но если вы MC-спикер на севере, вам не о чем беспокоиться.
Я более чем скептически отношусь к этому утверждению. С каким IP на vPC вы собираетесь иметь единую сессию со стороны FW?

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:35 GMT

techno.it — Fri, 13 Feb 2026 20:10:35 GMT

Пожалуйста, ознакомьтесь с этой
библиотекой сессий
Cisco Live Session
On-Demand — Cisco Live On-Demand — Cisco.
Вы можете перейти к 1:02:00 2. Брандмауэр будет иметь только 1 физическое подключение и пиринг с коммутатором Nexus и будет устанавливать только один маршрут.

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:34 GMT

techno.it — Fri, 13 Feb 2026 20:10:34 GMT

Да, это развертывание на «зеленом поле». Мы рассмотрели несколько вариантов: 1- Если мы подключим FW напрямую и установим BGP-пиринг с BN, FW будет получать равные маршруты от BN. На брандмауэре необходимо включить ECMP, но это остановит мультикаст, а нам нужен мультикаст. 2- Стек границы, который не поддерживает обновление ISSU, создавая SPOF 3- Еще не рассматривались сценарии Border Active/Passive. Будем благодарны за любые рекомендации и предложения.

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:33 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:33 GMT

Используется ли в настоящее время зеленое поле vPC для каких-либо устаревших целей?
Перефразируя вопрос выше: действительно ли вам нужен NX-OS vPC между ними вместо SVL-консолидированного BN|CP, напрямую подключенного к FW A/S?

Reply to Fusion Firewall с промежуточным прыжком L3 on Fri, 13 Feb 2026 20:10:32 GMT

Andrii Oliinyk — Fri, 13 Feb 2026 20:10:32 GMT

Честно говоря, не совсем понял конфликт между ECMP и Multicast... И как его решает пиринг с промежуточным NX-OS.
Затем используйте NX-OS vPC в качестве L2-коммутатора (так вы избежите «подводных камней» vPC).
FW по-прежнему будет иметь 2 пиринга eBGP, и есть широкие возможности для манипулирования сценариями A/A или A/S.