取消
显示结果 
搜索替代 
您的意思是: 
cancel
11137
查看次数
26
有帮助
10
回复

N9508和思科防火墙对接问题

hhlaly2010
Level 1
Level 1
请教各位一个问题。思科N95和思科防火墙(A/S)采用ospf对接,发现思科防火墙只与一台N95建立邻居,与另外一台始终建立不了邻居。防火墙这边状态卡在EXCHANGE,N95卡在exstart状态。防火墙上debug ip ospf adj 报错日志如下:Rcv DBD from 10.10.200.2 on FA seq 0x15076ea4 opt 0x42 flag 0x7 len 32 mtu 1500 state EXSTART
拓扑如下:N95-1和N95-2是一对vpc对等体,两个之间邻居状态正常。除了peer link之外,还有另外一条trunk链路。N95-1和N95-2都起了一个SVI和思科防火墙对接,并且这个vlan已经从peer-link的vlan中排除。
10 条回复10

Luke Huang
Cisco Employee
Cisco Employee
本帖最后由 fushuang 于 2018-10-20 11:27 编辑
ASA 和 N9K VPC 之间,如果需要 layer 3 OSPF 和 layer 2 bridge, 可以使用 Layer3 link 做 OSPF,使用 layer 2 vpc link 做 bridge。
不过 ASA 似乎没提供那么多接口,可以参考N9K_VPC_Layer3_Routing
Figure 8. Using Separate Layer 3 Links to Connect L3 Device to a vPC Domain
Follow these guidelines when connecting a Layer 3 device to the vPC domain:
Use separate Layer 3 links to connect Layer 3 devices to the vPC domain.
Do not use a Layer 2 vPC to attach a Layer 3 device to a vPC domain unless the Layer 3 device can statically route to the HSRP address configured on the vPC peer devices.
When both routed and bridged traffic are required, use individual Layer 3 links for routed traffic and a separate Layer 2 port-channel for bridged traffic when both routed and bridged traffic are required.
Enable Layer 3 connectivity between vPC peer device by configuring a VLAN network interface for the same VLAN from both devices or by using a dedicated Layer 3 link between the two peer devices (for Layer 3 backup routing path purposes).
当然了,如果想看一下 N9K OSPF 状态,可以查看 show ip ospf internal event-history adjacency

hhlaly2010
Level 1
Level 1
fushuang 发表于 2018-10-20 11:26
ASA 和 N9K VPC 之间,如果需要 layer 3 OSPF 和 layer 2 bridge, 可以使用 Layer3 link 做 OSPF,使用 lay ...

是这样去操作的,但是还是有问题,当防火墙切换时,流量不通。

Luke Huang
Cisco Employee
Cisco Employee
hhlaly2010 发表于 2018-11-12 15:18
是这样去操作的,但是还是有问题,当防火墙切换时,流量不通。

涉及到切换测试,建议还是开 case 吧,找 TAC 定位一下是哪里的问题

hhlaly2010
Level 1
Level 1
fushuang 发表于 2018-11-13 09:42
涉及到切换测试,建议还是开 case 吧,找 TAC 定位一下是哪里的问题

N9508的int vlan 10和思科防火墙对接
N9508-1配置
interface Vlan10
ip address 10.x.x.1/29
ip router ospf 10 area 0.0.0.0
N9508-2配置
interface Vlan10
ip address 10.x.x.2/29
ip router ospf 10 area 0.0.0.0
ASA配置
interface eth1/14
ip address 10.x.x.3 255.255.255.248 standby 10.x.x.4

hhlaly2010
Level 1
Level 1
fushuang 发表于 2018-11-13 09:42
涉及到切换测试,建议还是开 case 吧,找 TAC 定位一下是哪里的问题

是不是这样对接,9508上的interface vlan需要启用hsrp.

Luke Huang
Cisco Employee
Cisco Employee
hhlaly2010 发表于 2018-11-21 09:11
是不是这样对接,9508上的interface vlan需要启用hsrp.

HSRP 应该不是必须的。
VLAN 10 是在哪个 trunk allow 的,VPC peer-link, 还是单独的 trunk link?

hhlaly2010
Level 1
Level 1
fushuang 发表于 2018-11-21 09:22
HSRP 应该不是必须的。
VLAN 10 是在哪个 trunk allow 的,VPC peer-link, 还是单独的 trunk link?

单独的trunk link,并且vlan10这个vlan在peer link里面排除了这个vlan

Luke Huang
Cisco Employee
Cisco Employee
hhlaly2010 发表于 2018-11-22 09:24
单独的trunk link,并且vlan10这个vlan在peer link里面排除了这个vlan

ASA 是用 layer3 接口,连接到 N9K 做 VPC,还是 ASA-N9K 用了 layer 3接口?

skysheng
Cisco Employee
Cisco Employee
科谱了。今天又学到新东西。

修改N9K-2的interface vlan上的MAC地址即可
快捷链接