Существует один любопытный нюанс, с которым пришлось однажды столкнуться. Дело в том, что использование vPC весьма специфично ограничивает применение OSFP. Если подойти к этому делу без должного внимания, то это может привести к частичной недоступности узлов.
Подобная проблема возникает при попытке организации OSPF пиринга поверх vPC. Как и с остальными MLAG решениями это довольно нетривиально. Самое главное, надо запомнить следующее правило:
VPC peers are expected to forward a frame received on a member link out any other member link that needs to be used. Only if they cannot do so due to a link failure, is forwarding across the VPC peer link and then out a member link allowed, and even then, the cross-peer-link traffic can only go out the member link that is paired with the member link that is down.
Из него не следует вывод, что нельзя организовывать L3 связность поверх vPC peer-link. Это с определенными ограничениями возможно. Данное правило один из элементов построения безпетлевой топологии. Оно же и ограничивает возможное множество решений.
Рассмотрим проблему подробнее. Для организации подключение FW к Cisco Nexus, cisco рекомендует следующие две топологии (картинки честно взяты у Brad Hedlung):
На первой схеме мы видим, что пара фаерволлов стыкуется с N7K по L2, плюс используется дополнительный interswitch link между N7K для формирования OSPF домена. Вторая схема реализуется с чистым L3 на аплинках. Оба дизайна рабочие и не приводят к каким либо проблемам. Т.е. поднять OSFP между парой N7K задействуя peer-link вполне можно. Но, что если мы захотим для подключения к FW или ядру использовать vPC для большей отказоустойчивости? Вот как в примере ниже:
Подобный дизайн приведет к частичной недоступности узлов расположенных ниже N7K. В зависимости от их "близости" к тому или иному плечу, они будут доступны или нет снаружи. Выглядит это со стороны довольно паршиво. Т.о., нельзя подключать дополнительные устройства к N7K используя для динамической маршрутизации существующий vPC peer-link. Т.к. трафик будет подвержен описанному в начале loop-prevention механизму. И фича vPC Peer Gateway нам здесь не поможет.
Остается ещё одна интересная топология:
Т.к. здесть не формируется OSPF соседство поверх vPC peer-link, всё будет работать.
Для себя я определил следующий момент. Работая с платформой Nexus 7000 и vPC в частности, следует быть особенно внимательным и читать дизайн гайды. Т.к. некоторые привычные по Catalyst 6500 моменты тут совершенно не работают.
Комментариев нет:
Отправить комментарий