Állítsa be a vpc level 2 kapcsolatot a Cisco nexus 7000 sorozatú kapcsolón

Ez a dokumentum ismerteti a 2. rétegbeli (L2) Data Center Interconnect (DCI) konfigurálását a Virtual PortChannel (vPC) technológiával.

Előfeltételek

Feltételezzük, hogy a vPC és a Hot Standby Routing Protocol (HSRP) már konfiguráltak olyan eszközökön, amelyeket a jelen dokumentumban szereplő példákban használunk.

Megjegyzés: A Link Aggregation Control Protocol (LACP) használatát a vCP hivatkozáson kell használni, amely DCI-ként működik.

Tipp: A MACSec titkosításhoz licenc szükséges a kiterjesztett LAN szolgáltatásokhoz a 6.1-es verzió előtti verziókban (1), és rendelkezik a vonalkártyára vonatkozó korlátozásokkal. További információkért lásd az NX-OS 7000 sorozatú biztonsági konfigurációs útmutató 6. kiadásában a Cisco Cisco TrustSec Cisco Nexus ajánlásait és korlátozásait.

követelmények

A Cisco azt javasolja, hogy először ismerkedjen meg a következő elemekkel:

• VPC
• HSRP
• STP (Spanning Tree Protocol)
• (Opcionális) MACSec titkosítás

Használt alkatrészek

A jelen dokumentumban szereplő információk a Cisco Nexus 7000 kapcsolón alapulnak, amely a 6.2-es (8b) szoftvert futtatja.

Az ebben a dokumentumban bemutatott információk a speciális laboratóriumi környezetben működő eszközökből származnak. Az ebben a dokumentumban ismertetett összes eszköz tiszta (standard) konfigurációval indult el. A munkahálózatban meg kell vizsgálni az összes csapat potenciális hatását, mielőtt használná őket.

Általános információk

A DCI célja bizonyos VLAN-ok kiterjesztése más olyan adatközpontok között, amelyek nagy távolságokat elválasztó kapcsolt hálózati tároló (NAS) szervereit és eszközeit L2-szüneteltetik.

A VPC az STP izoláció előnyeit képviseli a két csomópont között (a BridgeProtocol Data Unit (BPDU) a vPC DCI-en keresztül), így egyetlen egyszerű adatközpont sem terjed tovább a távoli adatközpontba, mivel az adatközpontok között továbbra is redundáns kapcsolatok vannak.

Megjegyzés: A VPC maximum két adatközpont összekapcsolására használható. Ha több mint két adatközpontot kell csatlakoztatni, a Cisco javasolja a Overlap Transport Virtualization (OTV) használatát.

A VPC DCI etherchannel általában a memóriában tárolt információkkal van konfigurálva:

• Az első átmeneti redundancia protokoll (FHRP) elkülönítése: A szuboptimális útvonalválasztás elkerülése az egyes adatközpontok számára egy dedikált átjáróval. A konfigurációk az FHRP helyétől függően változnak.

STP elszigeteltség: Amint korábban említettük, ez megakadályozza a leállási idő elterjedését egy adatközpontból a másikba.

Broadcast storm control: Ez az adatközpontok közötti adatforgalom csökkentésére szolgál.

(Opcionális) MACSec titkosítás: Ez titkosítja a forgalmat, hogy megakadályozza a két eszköz közötti behatolást.

Az L2 DCI vPC használatával történő konfigurálásához használja a jelen szakaszban ismertetett információkat.

FHRP szigetelés

Ez a szakasz két olyan forgatókönyvet ír le, amelyek esetében az FHRP elszigeteltség megvalósítható.

Dupla POD L2 / L3 összekötő

Ez a topológia, amelyet ebben a forgatókönyvben használunk:

Íme egy példa egy konfigurációra:

Megjegyzés: Az előző konfiguráció a Nexus 9000 kapcsolókkal is használható.

Többszintű vPC az Aggregációhoz és a DCI-hez

Ez a topológia, amelyet ebben a forgatókönyvben használunk:

Ebben a forgatókönyvben a DCI elkülöníti az L2 virtuális eszköz kontextust (VDC), és az L3 átjáró az aggregációs szintű eszközön van. A HSRP-elkülönítéshez be kell állítania a VLAN Access Control List (VACL) protokollt, amely blokkolja a HSRP vezérlési forgalmat és az ARP ellenőrző szűrőt, amely blokkolja a GARP HSRP-t az L2 DCI VDC-n.

Íme egy példa egy konfigurációra:

További szigetelési konfiguráció

Ez a rész egy olyan konfigurációt mutat be, amely:

• Csak a távoli adatközpontban szükséges VLAN-okat bővítheti ki.

Minden egyes adatközpontban elkülöníti az STP-t.

Letiltja az átvitt forgalmat, amely meghaladja a teljes csatornaméret 1% -át.

Íme egy példa egy konfigurációra:

MACSec titkosítás

Megjegyzés: Az ebben a részben leírt konfiguráció nem kötelező.

Használja ezt az információt a MACSec titkosítás konfigurálásához:

Az ebben a részben ismertetett információ használatával győződjön meg róla, hogy a konfiguráció megfelelően működik.

FHRP szigetelés

Írja be a br show hsrp parancsot a CLI-ben annak ellenőrzéséhez, hogy a HSRP átjáró mindkét adatközpontban aktív-e:

Írja be ezt a parancsot a CLI-ben az ARP-szűrő ellenőrzéséhez:

Ha ehhez hasonló kimenet jelenik meg, akkor a két aktív átjáró közötti GARP nem megfelelően van elszigetelve.

További szigetelés

Adja meg a show spanning-tree root parancsot a CLI-ben annak ellenőrzésére, hogy az STP-gyökér nem a DCI portcsatornára mutat-e:

Adja meg ezt a parancsot a CLI-ben annak ellenőrzésére, hogy a viharvezérlés megfelelően van-e beállítva:

MACSec titkosítás

Írja be ezt a parancsot a CLI-ben annak ellenőrzéséhez, hogy a MACSec titkosítás megfelelően van-e konfigurálva:

Problémák elhárítása

Jelenleg nincs konkrét információ az FHRP-vel vagy további elkülönítési konfigurációkkal kapcsolatos problémák elhárításáról.

MACSec-konfiguráció esetén, ha az előzetesen megosztott kulcs nem egyezik a link mindkét oldalán, hasonló kimenetet láthat a parancs beírásakor a CLI felületének megjelenítése:

Megjegyzés: A kulcsnak meg kell egyeznie a kapcsolat mindkét oldalán.

Figyelmeztetések szerkesztése

Megjegyzés: A kapcsolódó termékekre vonatkozó figyelmeztetések nem szerepelnek.

Ezek a figyelmeztetések a DCI használatát a Cisco Nexus 7000 Series Switch esetében használják:

• Cisco CSCur69114 Hibaazonosító - Broken PACL Filter HSRP - A csomagok elárasztják a layer2 tartományt. Ez a hiba csak a 6.2 (10) szoftververzióban található meg.

Cisco CSCut75457 hibaazonosító - Broken VACL HSRP szűrő. Ez a hiba csak a 6.2 (10) és a 6.2 (12) szoftververzióban található meg.

További információk

Kapcsolódó cikkek

• A vlan létrehozása és konfigurálása a cisco kapcsolókon