분류없음2014.10.07 18:30

 

 


이번에는 OTV 7번째 정리입니다~ ^^

NX-OS로는... 34번째네요...  원래 다른 내용을 정리하려다가 어쩌다보니.. 순서가 바뀌어서.. 정리가 되었습니다. ^^;

이번에는.. OTV에서의 FHRP Isolation에 대한 내용입니다. ^^.

그럼 한 분이라도 도움이 되시길 바라며, 혹시 수정해야 하는 부분이 있으면 알려주시면 감사하겠습니다.


 

 

○ FHRP Isolation

   -  Overlay를 통한 FHRP(HSRP, VRRP 등) Filter를 제공하여, 양 Site에서 동일한 FHRP의 VIP를 사용할 수 있도록 한다.

   - 서로 다른 Site 간의 동일한 Default Gateway를 사용함으로써, Outbound Traffic Flow(Server → Client)에 대해 최적화 할 수 있다.

       * 서로 다른 Default Gateway 사용 시에는 Server의 위치가 변경됨에 따라서, Default Gateway를 변경해주어야 하거나,

          그렇지 않은 경우에는 Server에서 Client로 전송 시에, Gateway가 있는 Site로 Overlay를 통해서 전송된 후에 전송된다.

   - 동일한 VLAN, IP Subnet이 서로 다른 Site에서 사용될 때, FHRP Message는 OTV 연결을 통해서 하나의 Default gateway를

     선출한다.  이러한 경우에는 위에서 언급한 대로, 아래 그림과 같은 최적화되지 못한 경로로 트래픽이 전송될 수 있다.

 

 

   - 위와 같은 최적화되지 못한 트래픽 경로에 대한 문제점을 해결하기 위해서는 FHRP Message가 Overlay를 통해서 전송될 때,

     Filtering하여, 각 Site간의 동일한 FHRP의 Default Gateway를 가지는 것을 허용하게 된다.

     이는 각 Site에서 동일한 Virtual IP 및 Virtual Mac-address를 가지게 되는 것을 허용하게 되고, 이를 통해 각 Site별로

     Outbound Traffic의 경로 최적화를 만들 수 있다.

 

 

 


 

‡ FHRP Filtering을 위한 Config Example.

  

Step 1 : OTV VDC에 VLAN ACL 적용

   - Traffic을 식별하여 Filtering하기 위해 VLAN ACL이 필요로 하다.

   - OTV Overlay를 통하여 Remote Site로부터 GARP의 수신을 막아주며,  이는 'ip arp inspection filter' 명령을 사용한다.

   - 아래의 설정을 Agg VDC에서 OTV VDC로 가는 구간의 VLAN에 적용을 하게 되면 OTV VDC에서는 모든 HSRP Message에

     대해서 Drop 된다.

 

ip access-list ALL_IPs
   10 permit ip any any
!
mac access-list ALL_MACs
   10 permit any any
!
ip access-list HSRP_IP
   10 permit udp any 224.0.0.2/32 eq 1985                                                       // HSRPv1 Message         
   20 permit udp any 224.0.0.102/32 eq 1985                                                   // HSRPv2 Message (2029 인지 확인!)

!
mac access-list HSRP_VMAC
   10 permit 0000.0c07.ac00 0000.0000.00ff any                                            // HSRPv1 VIP Mac-Address
   20 permit 0000.0c9f.f000 0000.0000.0fff any                                              // HSRPv2 VIP Mac-Address 
!
arp access-list HSRP_VMAC_ARP
   10 deny ip any mac 0000.0c07.ac00 ffff.ffff.ff00
   20 deny ip any mac 0000.0c9f.f000 ffff.ffff.f000
   30 permit ip any mac any

 

vlan access-map HSRP_Localization 10
   match mac address HSRP_VMAC
   match ip address HSRP_IP
   action drop

 

vlan access-map HSRP_Localization 20                                           // HSRP에 해당하지 않는 모든 MAC , IP
   match mac address ALL_MACs
   match ip address ALL_IPs
   action forward
!
feature dhcp
ip arp inspection filter HSRP_VMAC_ARP <OTV_Extended_VLANs>
vlan filter HSRP_Localization vlan-list <OTV_Extended_VLANs>
 

 

 ※ FHRP Message

 - GLBP : UDP / 224.0.0.102 / 3222

 - VRRP : IP / 224.0.0.18 / 112

 - HSRPv1 : UDP / 224.0.0.2 / 1985

 - HSRPv2 : UDP / 224.0.0.102 / 1985 (IPv6는 2029)

 

Step 2 : OTV Control Protocol(IS-IS)에 Route-map 적용

  - Step 1에서 HSRP Filter를 VCAL를 통해서 적용하였지만, HSRP packet의 Source로 사용된 vMAC을 OTV VDC를 통해서 학습한다.

    따라서, 이러한 MAC 정보는 IS-IS update를 통해서 OTV 광고가 이뤄지고 이는 Remote OTV Edge Device에서 vMAC이

 

    Internal Interface와 Overlay Interface 사이에서 계속 이동하는 것을 볼 수 있게 된다.

 

  - 이러한 vMAC 이동을 예방하고, 보다 나은 Design을 위해서 아래와 같이 OTV Route-map을 적용해야 한다.

 

 

mac-list OTV_HSRP_VMAC_deny seq 10 deny 0000.0c07.ac00 ffff.ffff.ff00
mac-list OTV_HSRP_VMAC_deny seq 11 deny 0000.0c9f.f000 ffff.ffff.f000
mac-list OTV_HSRP_VMAC_deny seq 20 permit 0000.0000.0000 0000.0000.0000
!
route-map OTV_HSRP_filter permit 10
   match mac-list OTV_HSRP_VMAC_deny
!
otv-isis default
   vpn Overlay0
      redistribute filter route-map OTV_HSRP_filter

 

 

◇ 적용 전, HSRP 상태 : Center쪽이 Active 상태

CENTER_N7K-BB(config)# sh hsrp bri
*:IPv6 group   #:group belongs to a bundle
                     P indicates configured to preempt.
                     |
 Interface   Grp    Prio P State    Active addr      Standby addr     Group addr
  Vlan400     10   100    Active  local                  192.168.250.3  192.168.250.1   (conf)
  Vlan400     20   100    Active  local                  192.168.250.3 192.168.250.250 (conf)

 

DR_N7K-BB(config)# sh hsrp bri
*:IPv6 group   #:group belongs to a bundle
                     P indicates configured to preempt.
                     |
 Interface   Grp  Prio P State    Active addr      Standby addr     Group addr
  Vlan400     10   100    Standby  192.168.250.2    local            192.168.250.1   (conf)
  Vlan400     20   100    Standby  192.168.250.2    local            192.168.250.250 (conf)

 

 

◇ 적용 후, HSRP 상태 : Center와 DR 모두 각각이 Active 상태

CENTER_N7K-BB(config)# sh hsrp bri
*:IPv6 group   #:group belongs to a bundle
                     P indicates configured to preempt.
                     |
 Interface   Grp  Prio P State    Active addr      Standby addr     Group addr
  Vlan400     10   100    Active   local            unknown          192.168.250.1   (conf)
  Vlan400     20   100    Active   local            unknown          192.168.250.250 (conf)
CENTER_N7K-BB(config)#


DR_7K-BB(config)# sh hsrp bri
                     P indicates configured to preempt.
                     |
Interface   Grp Prio P State    Active addr      Standby addr     Group addr
Vlan400     10  100    Active   local            unknown          192.168.250.1   (conf)
Vlan400     20  100    Active   local            unknown          192.168.250.250 (conf)

 

 

Posted by 네떡지기

 이제는 매번 같은 얘기의 반복이지만, 또 간만에 포스팅을 하게 되네요.

 바쁜 탓도 있고, 부족한 내공 탓에 이해하고 정리하는 데 시간이 오래 걸리는 탓도 있습니다.

 이번 포스팅과 다음 포스팅은 연장선상에 있을 예정입니다.

 이번에는 vPC 구조에서 HSRP와 VRRP 동작과 관련된 내용입니다. 기존 동작 방식과는 조금은 다른 방식이고

 다음 포스팅에 나올 얘기에 필요한 부분입니다. ^^

 

 


 

vPC에서 HSRP/VRRP 동작

기존 구조에서 HSRP/VRRP와 같은 Gateway 이중화는 Active-Standby 구조로써, Active 장비만 Virtual Gateway MAC-Address

 를 가지고 트래픽을 전송하도록 되어있지만, vPC에서는 Virtual Gateway MAC-AddressActvieStandby 장비 모두에서 가

 지게 되어 Dual-Active로써 트래픽을 전송할 수 있다.

• vPC에서 Active-Active 구조를 위해서 추가적인 설정은 따로 필요하지 않으며, vPC Domain이 설정되고, SVIHSRP/VRRP

  Group 활성화되면 HSRP/VRRP는 기본적으로 Active-Active 구조가 된다. (Data Plane 관점)

하지만, ARP request에 대한 응답은 기존과 마찬가지로, Primary(Active) 장비에서만 가능하다.

  (Control 관점에서는 여전히 Active-Standby)

vPC의 이러한 향상된 전송 방식으로 인해서, vPC peer linkvPCpeer 장비의 모든 vPC Port를 사용할 수 없는 경우를 제외

  하고는 vPC 트래픽을 전송하지 않는다. 이로인해 vPC 스위치의 추가적으로 증가할 경우에 vPC peer link의 대역폭을 확장할

  필요가 없다.

  그러나, vPC peer link의 역할의 중요성 때문에 vPC peer link는 서로 다른 I/O 모듈에서의 두 개의 전용 10GE Link로 구성하는

  것이 좋다

    Peer link를 통해서 들어온 FramevPC Port로 나가려고 하면, NexusLoop avoidance 매커니즘에 의해서 Drop 된다.

• vPC에서 FHRP 동작 시, Data Plane관점에서 vPC장비들은 이러한 Actvie-Active로 동작하면서 데이터를 전송하기 위해서,

  vPC 장비 양쪽 모두 MAC address tableFHRPvirtual MAC-address을 위해,  아래와 같이 G bit(Gateway bit)를 할당한다.

• vPC Actvie쪽은 sup-eth1(R) , vPC Standby쪽은 vPC Peer-link로 나오는 데, 이를 통해 어떤 장비가 HSRP/VRRP

   Active/Standby 인지 알 수 있다.  (Control Plane 관점)

 

 

 

  NEXUS_1# sh mac address-table addr 0000.0c07.ac6e

  Legend:

          * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC

          age - seconds since last seen,+ - primary entry using vPC Peer-Link

     VLAN     MAC Address      Type      age     Secure NTFY Ports/SWID.SSID.LID

  ---------+-----------------+--------+---------+------+----+------------------

  G  10      0000.0c07.ac6e    static       -       F    F  sup-eth1(R)

 

 

  NEXUS_2# sh mac address-table addr 0000.0c07.ac6e

  Legend:

          * - primary entry, G - Gateway MAC, (R) - Routed MAC, O - Overlay MAC

          age - seconds since last seen,+ - primary entry using vPC Peer-Link

     VLAN     MAC Address      Type      age     Secure NTFY Ports/SWID.SSID.LID

  ---------+-----------------+--------+---------+------+----+------------------

  G   10      0000.0c07.ac6e    static       -       F    F  vPC Peer-Link(R)

 

 

 

 

vPC에서 HSRP/VRRP 가이드라인과 제약사항

HSRP/VRRPActive-Active mode로 동작하기 때문에 구성 시, Timer에 대한 부분을 크게 고려하지 않고 Default로 사용해도 무방하다.

• HSRP/VRRPActivevPC Primary 장비에 설정을 하고, StandbyvPC Secondary 장비에 설정하는 것이 운영상 편리하다.

• HSRP/VRRP가 설정된 interface VLAN에는 ip redirect를 비활성화 시킨다. (no ip redirect)

• vPC Domain에서는 HSRP/VRRP object tracking을 사용하지 않는 것을 권고한다.

  만일, object tracking을 통해서 SVIDown 상태가 되게 되면, 그림과 같이 vPC를 통해 전송된 트래픽이 peer link를 통해 gateway 가게 되면서, loop avoidance 메커니즘에 의해서 Drop되면서 정상적인 통신이 불가하게 될 수 있다.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Posted by 네떡지기

티스토리 툴바