'iNTERNAL'에 해당되는 글 2건

  1. 2014.11.20 Nexus : NX-OS Part36(VLAN관련)
  2. 2013.01.27 Nexus - NX-OS 정리 Part 17 (OTV 1: Base) (3)
분류없음2014.11.20 12:33

 

 

 


안녕하세요.

이번 포스팅은 기존에 한 줄 알았는 데.. 안 한(?) 정리만 해놓고... 안한 포스팅인 듯 싶습니다.

어쩌면 다른 제목으로 했을지도 모르겠지만.. 최근에 추가한 내용들도 있어서 ^^

Nexus 시리즈로 포스팅해 봅니다. ^^


 

 

VLAN

• VDC별로 4094개의 VLAN이 지원되며, 전 시스템에서는 16,384개의 VLAN이 지원이 되지만, 특정 VLANSystem-Level 의해서

 사용되거나 예약되어 있기 때문에 사용이 불가하다.  이러한 Vlan을 확인하는 명령어는 다음과 같다. [ Show vlan internal usage ]

VLAN별의 특징은 다음과 같다

     - VLAN 1  : Default VLAN으로 수정 및 삭제가 불가

     - VLAN 2-1005  : Normal VLAN으로 생성, 사용, 수정, 삭제가 가능

     - VLAN 1006-4094  : Extended VLAN으로 생성, 명명(named), 사용이 가능하며, 항상 Active 상태이며,

                                        항상 Enable 상태로 shutdown이 불가하다.

VDC간의 VLAN은 독립적으로 운용되기 때문에 VLAN번호가 VDC간에 중복되어도 상관없다

• System-Level에서 예약된 VLAN 정보는 'show vlan internal usage' 명령으로 확인이 가능하다.

• System-Level에서 예약된 VLAN은 Nexus 7K와 Nexus 5K가 서로 다르다.

        - Nexus 7K : 128개                                 - Nexus 5K : 81개

 

  

 

NX-OS_7K# show vlan internal usage

   VLAN                                 DESCRIPTION

----------------                         ----------------------------------------------------

 3968-4031                         Multicast
4032-4035,4048-4059     Online Diagnostic
4036-4039,4060-4087     ERSPAN
4042                                     Satellite
3968-4095                          Current

 

 

NX-OS_5K# show vlan internal usage

   VLAN                                 DESCRIPTION

----------------                         ----------------------------------------------------

3968-4031                          Multicast
4032-4035                          Online Diagnostic
4036-4039                          ERSPAN
4042                                    Satellite
3968-4047,4094               Current

 

• System-Level에서 설정된  Reserved VLAN 번호를 변경하고자 할 때에는 'system vlan Start_Vlan_Number reserve' 로 변경한다.

     변경 시에는 지정한 Reserved VLAN의  첫 번째 번호부터, N7K는 연속된 128개의 VLAN이 Reserved VLAN으로 할당되고

     N5K는 연속된 80개의 VLAN과 4094가 Reserved VLAN으로 사용할 수 있게 된다.

 

Private VLAN 개념

• Private VLAN은 하나의 VLAN을 독립된 다수의 VLAN처럼 쓸 수 있게 해준다. 

  이는 Data CenterServer Farm 안의 동일 Subnet에서 각 서버들을 분리시켜주어  보안을 강화시켜준다.

 

Private VLAN 구분

• Primary VLAN 

     - Promiscuous Port :  Secondary VLAN이 외부와 통신하기 위한 목적으로 사용된다.

                                 Community / Isolated VLAN  를 포함한 모든 Port와 통신 가능.                           

• Secondary VLAN

     - Community VLAN : 동일한 Community VLANPromiscuous  Port와 통신이 가능하지만

                                 다른 Community VLAN이나, Isolated VLAN과는 통신 불가.

    - Isolated VLAN : 각각 독립적 port로 통신.  Isolated VLAN 간은 통신 불가., Promiscuous Port와는 통신이 가능.

 

 

Private VLAN 유용

IP Address 관리 측면

        : IP Address의 사용할 수 있는 범위가 많아짐. (불필요하게 VLAN을 많이 나누게 되면 그만큼 사용 가능한  IP범위가 줄어 )

        :  IP Subnet이 많아지면, latency 가 증가함.  (성능적인 측면?)

보안 측면

        :  Community VLAN은 동일한 Community VLAN 간에서만 통신 가능하고, Isolated는 독립적으로 통신이 되기 때문에

          L2에서의 보안을 강화 시켜준다.

 

Private VLAN 특징

private-vlan : Feature 활성화 필요.

• Private Vlan 동일한 SubnetGateway를 그대로 사용.

• Isolated VLAN 간에는 unicast, multicast, broadcast 모두 통신이 불가하다.

하나의 Primary VLAN에는 하나의 Isolated VLAN만 설정이 가능하다.

하나 Primary VLAN에 포함된,  Secondary VLAN은 하나 이상의 Promiscuous Port에 연결될 수 있으며,

    이는 Load-Balancing이나  redundancy 목적으로 사용이 된다.

• Secondary VLANPromiscuous Port와 연결되지 않으면, 해당 Secondary VLAN은 외부와 통신이 불가능하다.

• Private VLAN에서 Layer3 Switch traffic이 내부 VLAN과 통신하기 위해서 Primary VLANSVISecondaryVLAN

    관계 설정이 되야 한다.

SVISecondary VLAN으로 설정이 불가하다.

Ether-Channel이나 SPAN의 목적지 PortPrivate VLAN이 될 수 없다.

 

 

 

Private VLAN 설정

1. Private VLAN feature를 활성화한다.

2. Primary VLAN을 생성 및 설정한다.

3. 필요에 따라 Community VlanIsolated Vlan 을 설정한다.

4. Primary vlanSecondary Vlan을 관계를 설정한다.

5. Layer 2 Host Port 설정

6. Promiscuous Port 설정

7. Primary  VLANSVISecondary VLAN과의 관계 설정

 

 

 

NX-OS(config)# feature private-vlan

NX-OS(config)# vlan 10   

NX-OS(config-vlan)# private-vlan primary    

  

NX-OS(config)# vlan 20-21

NX-OS(config-vlan)# private-vlan community-vlan

NX-OS(config)# vlan 22

NX-OS(config-vlan)# private-vlan isolated

NX-OS(config)# vlan 10   

NX-OS(config-vlan)# private-valn association 20-21

NX-OS(config-vlan)# private-valn association add 22

NX-OS(config)# interface ethernet 5/2

NX-OS(config-if)# switchport

NX-OS(config-if)# switchport mode private-vlan host

NX-OS(config-if)# switchport private-vlan host-association 10 21

 

 

NX-OS(config)# interface ethernet 3/1

NX-OS(config-if)# switchport

NX-OS(config-if)# switchport private-vlan promiscuous

NX-OS(config-if)# switchport private-vlan mapping 10 20-22

NX-OS(config)# interface vlan 10

NX-OS(config-if)#  private-vlan mapping  20-22

 

 

 

 

Posted by 네떡지기

 

Last Updated [2013. 11. 26]


지난 번, part 16에 이어서, 한달이 넘는 시간만에 다음 포스팅을 하게 되었습니다.

이유는 많지만, 바쁜 일정탓도 있고 연말/연초라는 핑계보다 가장 큰 것은 내공의 부족이 아닐까 생각을 문득 해봅니다.

한 동안 vPC 정리만해서 올리다가, 또 다른 내용을 올려봐야지 이러면서 정리를 시작한 주제가 오늘 포스팅하는 OTV입니다.

이제까지의 정리 순서도 두서가 없었던 것처럼.. OTV도 두서없이 그냥 정리를 시작하면서, 어느 정도 정리가 되면

올려야지 했는데.. 그러다가 느낀 것은 역시 그러면 포스팅을 아예하지 않게 되버릴듯한(?).. 생각으로..

우선 현재까지 정리했던 내용을 그나마 약간 정리를 해서(?) 포스팅해봅니다.

두서없이 정리된 탓에.. 잘못된 부분이나 보완해야 할 부분이 있으면 알려주시면 감사하겠습니다. 

 

앞으로 한 동안 OTV에 관한 정리가 되지 않을까 싶습니다.. (vPC도 일부 수정해서 Update하고, 추가적인 정리도 할 예정입니다..)


OTV (Overlay Transport Virtualization)

• Nexus 7000NX-OS 5.0(3) 버전에서 소개됨.

    * OTV 지원 하드웨어

    Cisco Nexus 7000

          - M1 or M2 line card for encapsulation

          - NX-OS Version 5.0(3) or later [ Recommend Version : 5.2(3) or 6.2(2) ]

          - Transport Services License

     Cisco ASR 1000

          - Cisco IOS XE Software Release 3.5 or later

          - Advanced IP Services or Advanced Enterprise Services License

 

• “MAC routing : MAC address in IP” concept에서 시작

서로 분리되어 있는 Layer 2 Domain, 하나의 가상 Layer 2로 구성하여 연결성을 제공하는 기술.

Control Plane Protocol 분리되어 있는 Network Device간의 Mac reachability 정보의 교환을 통하여 LAN 확장을 제공하는 기술

Layer 3 Infrastructure를 기반에서 가상의 Layer 2 전송을 한다

• Site 간의 Layer 2 통신은 switching 보다는 routing에 가깝게  동작한다.

    - 만약, 목적지 Mac address 정보를 모른다면(Unknown), 해당 TrafficDrop(not flooded)시켜서, Traffic WAN을 지나지 않게 하여 불필요한 대역폭 사용을 예방한다.

원격지로의 Layer 2  전송을 위해  Dynamic Encapsulation 개념을 사용하는데, 이는 각각의 Ethernet Frame이 독립적으로 IP

   Packet에  Encapsulation되어, Transport network로 전송된다.

   이것은 Data Center 간의  Pseudowire라고 부르는  Virtual circuits을 구축할 필요가 없게 해준다.

기본적으로 포함된 Multi-Homing 기능을 통해서,  전반적인 Solution 고 가용성을 증가시킨다.

    - 각각의 Data Center에서 2대 이상의 Device Design의 전반적인 안정성을 위태롭게 하는, End-to-end loop을 발생 위험 없이,

      LAN 확장 기능을 제공한다. 이것은 동일한 Control Plane ProtocolMAC address 정보의 교환 시에, STPoverlay를 통과하여 확장되지 않기 때문이다 , STPRemote Site 간에는 독립적으로 운용하여 안정성과 고 가용성을 확보할 수 있게 된다. 

 

• Site Loadbalancing (Site Selection)을 통해서, Site 간의 서비스 Load Balancing도 가능

OTV를 구성하기 위해서는 Transport Services License가 필요하다.

• OTV를 동작하기 위해서 내부적으로 IS-IS 프로토콜을 사용. (관리자가 IS-IS 설정을 할 필요는 없음)

 

 

overlay : 기 구축된 IP Packet이 전송 가능한 네트워크 인프라에서, Infrastructure 기술이나, Service에 독립적으로 구현.

Transport : Layer 3 네트워크를 지나서 Layer 2 통신 서비스를 제공한다. L2를 통해서 동작 (Mac In IP)

이를 통해 빠른 Convergence, Load balancing, Multicast 복제와 같은 장점을 갖게 된다.

Virtualization : Unicast/multicast/broadcast Traffic 전송을 효과적으로 지원하는 가상의 Multi-access Layer2 네트워크를 제공.

Layer 2 AddressMobility 강화 (물리적으로 떨어져 있어도, 논리적으로 동일 Layer 2 구간으로 인식)

 

 

OTV 구성 요소

Edge Device (ED)

    - OTV 기능을 수행하는 장비 : 내부의 Layer 2 traffic을 받아서, Ethernet FrameIP PacketDynamic하게 encapsulation하여

      Transport infrastructure을 통해서, 원격지로 보내는 역할을 수행.

    - Join Interface(OTV를 연결하기 위한)를 가지고 있는 장비.  OTV 기능을 구현해야 하며, core aggregation layer 장비로 구성.

 

• Internal interfaces

    - Edge Device에서의 OTV와의 연결된 Interface가 아닌 내부 네트워크랑 연결된 물리적/가상의 모든 Interface.

    - 일반적으로 Layer 2 Interface이며(보통 802.1Q trunk),  OTV 설정을 따로 할 필요는 없음.

 

• Join Interface

    - Edge Device에서 OTV와 연결된 Uplink Interface.

    - Physical Routed port / Layer 3 Port Channel, Routed Port Sub Interface / Layer 3 Port Channel 만 가능.

      [routed point-to-point link]

      SVILoopback Interface로는 구성 불가.

    -  Overlay Network‘Join’하여 Remote OTV Edge Device를 찾는다.

    - 다른 OTV Edge Device들과 OTV Adjacencies를 맺어서 가상의 동일 Overlay VPN을 구성하도록 한다.

    - MAC reachability 정보와, Unicast, Multicast traffic을 주고 받는다.

 

• Overlay Interface

    - OTV 설정을 하는 가상 Interface, Logical multi-accessMulticast 가 가능한 Interface.

    - Layer 2 FrameIP unicast Multicast Packet으로 Encapsulation 하는 Interface

 

 

 

 

OTV 설정 방법

OTV Join Interface 설정

 • Layer 3 Point-to-Point  Interface여야 함.

     - SVI or Loopback InterfaceJoin Interface가 될 수 없다.

     - The Join interface를 단일 Routed Interface 대신에 서로 다른 ModulePortPort-Channel로 구성하는 것이 좋다.

• IGMPv3를 반드시 Enable을 시켜주어야 함. (Multicast forwarding을 위해서 SSM Group이용하기 때문에 IGMPv3 를 사용)

     - Transport Network에서 SSM Group은 반대편 OTV network로 캡슐화한 Multicast Traffic을 전송하는 데 사용.

• PIM 설정을 할 필요는 없음.  (OTV edge deviceMulticast endpoint로써 동작)

• OTV 동작을 위해서 모든 Edge Device들의 Static Routing을 포함해서, 어떠한 Routing Protocol이든 통신 가능한 상태여야 한다

 

 Join Interface 설정

  NX-OS(config)# int e 1/10

  NX-OS config-if)# ip address 10.0.0.1/24

  NX-OS(config-if)# ip igmp version 3

 

OTV Internal Interface 설정 

• Datacenter 간의 ExtendVLANAllowed VLAN으로 설정

     - 일반적으로 802.1Q Trunk로 설정.

     - Edge Device에서 모든 VlanDown된 경우에 OTV 캡슐화를 동작하지 않기 때문에,  하나 이상의 Active Port를 가져야 한다.

     - Site에서 Edge device 간의 VLAN정보를 이중화하여, 단일 PortFailure에 의한 VLANDown에 의한 OTV 비정상 동작 예방

• Internal Interface에서는 OTV와 관련한 설정이 필요 없다

 

 Internal Interface 설정
  NX-OS(config)# int e 1/20
  NX-OS config-if)# switchport 
  NX-OS(config-if)# switchport mode trunk
  NX-OS(config-if)# switchport trunk allowed vlan 10--50

 

 

 

OTV & SITE VLAN 활성화

• OTV를 구성하기 위해서는 Transport Services License가 필요하다.

• Site VLANLocal VLAN 값으로, Site 내에서 Edge Device간의 확인을 위해 사용되며, 모든 Edge Device에서 설정해야 한다.

     - Default Site VLAN : 1 (설정 가능 범위 : 1~3967 / 4048 ~ 4093)

     - site VLAN 값은, 다른 OTV Site로 전달되지는 않기 때문에, 다른 Site 간에는 Site Vlan 값이 일치하거나 불일치 하거나 상관이 없으나,

      Irt에서는 모든 Site에서 동일한 Site Vlan ID값을 설정하는 것을 권고한다.

• NX-OS 5.2(1) 이후에는 Site identifier을 설정하여 동일한 Site 내의 모든 OTV edge device를 설정하도록 한다.

     - Site identifier은 다른 Site들과 다른 유일한 값으로 설정하도록 한다. (BGP AS Domain같은 개념)

     - 설정 범위는 0x1 ~ 0xffffffff이며, 16진수나 MAC Address 형식으로 입력한다. (Default : 0x0)

feature ISIS도 함께 올려야 동작이 가능. (OTV 내부 Protocol이기 때문에)

 

OTV & SITE VLAN 활성화
NX-OS(config)# feature otv
NX-OS config)# otv site-vlan 5
NX-OS config)# otv site-identifier 128

 

 

OTV Overlay Interface 설정 

• OTV 연결을 위한 Join Interface 설정하며, 해당 Interface는 반드시 Network에 연결되어 있어야 한다.

하나의 Overlay Interface에 하나의 Join Interface만 설정 가능하며, 이중화를 위한 구성 시에는 Port-Channel을 사용한다.        

• OTV control traffic에 대한 Multicast 주소 그룹 설정한다. 이 주소를 통해서 원격지의 OTV edge device 간의 통신을 하며, 

  동일한 OTV를 구성하는 Edge Device 간에는 동일한 Control-Group 주소를 사용해야 한다.

• Data-Group(SSM multicast groups)은 캡슐화한 Multicast Data를 하나의 Site에서 원격지 Site로 전송하는 경우에 사용된다.

• Extended VLANs 설정

    -  Remote Data Center와의 통신을 하기 위한 VLAN 설정. 

       (Allowed VLAN과 서로 상이할 경우에 장애 발생 가능.  최소한 Allowed VLANExtended VLAN을 포함해야 함)

    - Site VLAN은 포함되지 않도록 설정한다.

 

Overlay Interface 설정
 
NX-OS(config)# int overlay 1
  NX-OS config-if-overlay)# otv join-interface e1/10                                 : Join Interface
 
NX-OS config-if-overlay)# otv control-group 239.1.1.1  
 
NX-OS config-if-overlay)# otv data-group 232.1.1.0 /24
 
NX-OS config-if-overlay)# otv extend-vlan 10-30                                    : OTV를 동작하는 VlanMember
 
NX-OS config-if-overlay)# no shut

 

Posted by 네떡지기

티스토리 툴바