Цей документ описує, як налаштувати Рівень 2 (L2) межсоединения ЦОД (DCI) з використанням технології Virtual PortChannel (vPC).
попередні умови
Передбачається, що vPC і протокол маршрутизації з гарячим резервуванням (HSRP) вже налаштовані на пристроях, які використовуються в прикладах, наданих в цьому документі.
Примітка: Протокол управління агрегацией каналів (LACP) повинен використовуватися на засланні vPC, яка діє як DCI.
Порада: Шифрування MACSec вимагає ліцензії розширених сервісів LAN в версіях до Версії 6.1 (1) і має специфічні для лінійної плати обмеження. Див. Рекомендації і Обмеження для розділу Cisco TrustSec Cisco Nexus Керівництво по конфігурації системи безпеки NX-OS серії 7000, Випуск 6.x для додаткових відомостей.
вимоги
Компанія Cisco рекомендує попередньо ознайомитися з наступними предметами:
- VPC
- HSRP
- Протокол STP (Spanning Tree Protocol)
- (Додаткове) шифрування MACSec
використовувані компоненти
Відомості в цьому документі грунтуються на комутаторі Cisco Nexus серії 7000, який працює під управлінням ПО версії 6.2 (8b).
Відомості, представлені в цьому документі, були отримані від пристроїв, що працюють в спеціальній лабораторній середовищі. Всі пристрої, описані в цьому документі, були запущені з чистою (стандартної) конфігурацією. У робочій мережі необхідно вивчити потенційний вплив всіх команд до їх використання.
Загальні відомості
Мета DCI полягає в тому, щоб розширити певні VLAN між іншими ЦОД, який пропонує суміжність L2 для серверів і пристроїв Підключення мережевого накопичувача (NAS), які розділені великими відстанями.
VPC представляє перевага ізоляції STP між цими двома вузлами (ніякої Блок даних протоколу моста (BPDU) через vPC DCI), таким чином, будь-який простий в ЦОД не поширюється до центру віддалених даних, тому що надлишкові з'єднання все ще надані між ЦОД.
Примітка: VPC може використовуватися для з'єднання максимуму двох ЦОД. Якщо більше ніж два ЦОД повинні бути з'єднані, Cisco рекомендує використовувати віртуалізації транспорту накладення (OTV).
VPC DCI etherchannel, як правило, налаштовується за цією інформацією в пам'яті:
- Ізоляція Першого протоколу резервування переходів (FHRP): Запобігайте субоптимальних маршрутизацію з використанням спеціалізованого шлюзу для кожного ЦОД. Конфігурації варіюються залежать від місця розташування шлюзу FHRP.
Використовуйте інформацію, яка описана в цьому розділі для настройки L2 DCI з використанням vPC.
ізоляція FHRP
У цьому розділі описуються два сценарії, для яких може бути впроваджена ізоляція FHRP.
Подвійне межсоединения POD L2 / L3
Це - топологія, яка використовується в цьому сценарії:
Ось приклад конфігурації:
Примітка: Попередня конфігурація може також використовуватися з комутаторами Nexus 9000.
Багаторівневий vPC для Агрегації і DCI
Це - топологія, яка використовується в цьому сценарії:
У цьому сценарії DCI ізольований самостійно контекст віртуального пристрою (VDC) L2, і шлюз L3 знаходиться на пристрої рівня агрегації. Для ізоляції HSRP необхідно налаштувати Список контролю доступу VLAN (VACL), який блокує контрольний трафік HSRP і фільтр перевірки ARP, який блокує GARP HSRP на L2 DCI VDC.
Ось приклад конфігурації:
Додаткова конфігурація ізоляції
Цей розділ надає приклад конфігурації що:
- Дозволяє тільки VLAN, які необхідні в центрі віддалених даних, який буде розширено.
Ось приклад конфігурації:
шифрування MACSec
Примітка: Конфігурація, яка описана в цьому розділі, є додатковою.
Використовуйте цю інформацію для налаштування шифрування MACSec:
Використовуйте інформацію, яка описана в цьому розділі, щоб підтвердити, що ваша конфігурація працює належним чином.
ізоляція FHRP
Введіть команду br show hsrp в CLI, щоб перевірити, що шлюз HSRP активний в обох ЦОД:
Введіть цю команду в CLI для перевірки фільтра ARP:
Якщо вихідні дані, подібні до цього, з'являються, то GARP між цими двома активними шлюзами належним чином не ізольовані.
Додаткова ізоляція
Введіть команду show spanning-tree root в CLI, щоб перевірити, що корінь STP не вказує до port-channel DCI:
Введіть цю команду в CLI, щоб перевірити, що належним чином налаштовано управління штормом:
шифрування MACSec
Введіть цю команду в CLI, щоб перевірити, що належним чином налаштовано шифрування MACSec:
Усунення несправностей
В даний час немає ніяких певних відомостей про усунення проблем, доступних для FHRP або додаткових конфігурацій ізоляції.
Для конфігурації MACSec, якщо попередній загальний ключ не узгоджений з обох сторін посилання, ви бачите вихідні дані, подібні до цього при введенні команди
Примітка: Ключ повинен бути тим же по обидва боки з'єднання.
попередження
Примітка: Попередження для родинних продуктів не включені.
Ці попередження віднесені до використання DCI на комутаторі Cisco Nexus серії 7000:
- Ідентифікатор помилки Cisco CSCur69114 - Зламаний Фільтр PACL HSRP - Пакети лавинно розсилається до layer2 домену. Цей дефект знайдений тільки в версії програмного забезпечення 6.2 (10).