Fusion Firewall с промежуточным прыжком L3
-
Используется ли в настоящее время зеленое поле vPC для каких-либо устаревших целей?
Перефразируя вопрос выше: действительно ли вам нужен NX-OS vPC между ними вместо SVL-консолидированного BN|CP, напрямую подключенного к FW A/S? -
Да, это развертывание на «зеленом поле». Мы рассмотрели несколько вариантов: 1- Если мы подключим FW напрямую и установим BGP-пиринг с BN, FW будет получать равные маршруты от BN. На брандмауэре необходимо включить ECMP, но это остановит мультикаст, а нам нужен мультикаст. 2- Стек границы, который не поддерживает обновление ISSU, создавая SPOF 3- Еще не рассматривались сценарии Border Active/Passive. Будем благодарны за любые рекомендации и предложения.
-
- Пожалуйста, ознакомьтесь с этой
библиотекой сессий
Cisco Live Session
On-Demand — Cisco Live On-Demand — Cisco.
Вы можете перейти к 1:02:00 2. Брандмауэр будет иметь только 1 физическое подключение и пиринг с коммутатором Nexus и будет устанавливать только один маршрут.
- Пожалуйста, ознакомьтесь с этой
-
- Пожалуйста, помогите со слайдом № в PDF-презентации. UPD. Я нашел его. Речь идет о случае, когда MC-спикер находится в Fabric, а MC-слушатель где-то на севере за FW. Вам нужно обратить внимание на проверку RPF на FW, так как она может отбрасывать MC-пакеты, поступающие с неожиданного интерфейса. Но если вы MC-спикер на севере, вам не о чем беспокоиться.
- Я более чем скептически отношусь к этому утверждению. С каким IP на vPC вы собираетесь иметь единую сессию со стороны FW?
-
- Страница 40
ciscolive.com/c/dam/r/ciscolive/global-event/docs/2024/pdf/BRKENS-2824.pdf 2. Для VRF-X может быть следующим BN 1 к Nexus vPC VLAN 3001 — 172.16.1.0/30 BN 2 к Nexus vPC VLAN 3002 - 172.16.1.4/30 Nexus vPC к FW (активный FW — магистральный порт) — VLAN 3003 — 172.16.1.8/30
- Страница 40
-
Итак, вы соединяете BN1 с N1 и BN2 с N2, верно? Как вы соединяете N1 и N2? И как вы соединяете vPC с FW? vPC — это две независимые плоскости управления. Вы не можете соединить их в одной сессии.
Короче говоря, вам не удастся избежать двух сеансов между FW и vPC (один сеанс на каждый vPC-peer). С учетом этого вы либо используете vPC исключительно для L2-коммутации, либо возвращаетесь к схеме на слайде № 39. -
Приношу извинения за свое незнание и путаницу. Я ожидал, что vPC будет использовать ту же контрольную плоскость, что и SVL. Если я решу использовать vPC исключительно для L2 или для прямого подключения брандмауэров к BN, как мы можем преодолеть ограничения ECMP и Multicast, чтобы единственным вариантом было сделать пограничный узел активным-пассивным.
-
«...
как мы можем преодолеть ограничения ECMP и Multicast, чтобы единственным вариантом было сделать пограничный узел активным-пассивным»,
сделав один из BN полностью «резервным» (предпочтение LISP на первичном узле, ухудшение пути на север с точки зрения «резервного» BN и ухудшение пути к Fabric через «резервный» BN с точки зрения FW. ECMP между FW и BN фактически не требуется. -
сделав один из BN полностью «резервным» (настройка LISP на основном узле, ухудшение пути на север с точки зрения
«резервного» BN и ухудшение пути к Fabric через «резервный» BN с точки зрения FW. ECMP между FW и BN фактически не требуется. Вы имеете в виду настройки, определенные здесь на странице 39? https://www.ciscolive.com/c/dam/r/ciscolive/global-event/docs/2024/pdf/BRKENS-2824.pdf -
да
-
Спасибо Подтверждение количества VLAN и пирингов на VRF Пример: VRF-Y Транзитный VLAN 3001 на BN1 и BN2 — 172.16.1.0/29 FW dot1q trunk port sub interface Int Gi0/1.3001 (зона VRF-Y) IP-адрес BN1: 17.16.1.1 FW IP: 172.16.1.2 IP-адрес BN2: 172.16.1.3 BN1-FW- Peering1 BN2-FW- Peering2 Пожалуйста, поправьте меня, если я ошибаюсь.
-
Вы можете разместить пиринговые объекты в одной подсети, как показано выше, если используете L2-коммутатор посередине. Если вы подключаете FW напрямую к BN (конечно, с разными физическими соединениями), вы будете использовать /3[01].
-
Спасибо,
@Андрей Олейник
. Я вам очень благодарен.
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти