Nexus 7000 LISP IGP 지원 확장 서브넷 모드 구성 및 확인
목차
소개
이 문서는 Nexus 7000을 사용하여 LISP IGP Assist ESM(Extended Subnet Mode)을 구축하는 방법에 대해 설명합니다.
토폴로지
토폴로지 세부 정보
- DC1 및 DC2는 OTV로 확장되는 두 개의 위치
- VLAN 144, 145 및 244는 모든 AGG, 액세스 레이어 및 OTV 스위치에 구성됩니다.
- 이러한 VLAN에 대한 SVI는 Agg 스위치에 구성됩니다.SVI 144 및 244는 VRF 테넌트 1,SVI 145는 VRF 테넌트-2에 있습니다.
- LISP IGP Assist를 구축하는 동안 SVI가 VRF에 있어야 하는 것은 아닙니다.이 예에서는 Multiple VRF를 사용하여 (각 관련 VRF 컨텍스트에서) 필요한 컨피그레이션 변경 사항을 설명합니다.모든 SVI는 동일한 VRF에 있을 수 있으며 LISP IGP 지원을 사용할 수 있습니다.
- HSRP는 VLAN144, 145 및 244에서 구성됩니다.FHRP 격리는 이 토폴로지에서 구성되며, 이는 총 4개의 스위치에서 HSRP를 실행하고 양쪽이 액티브/스탠바이 쌍을 갖게 됨을 의미합니다.HSRP Hello 메시지를 필터링하여 FHRP 격리를 달성할 수 있습니다.
- DC1-agg1 및 DC2-Agg2는 vPC 쌍입니다.DC2-Agg1 및 DC2-Agg2에도 동일하게 적용됩니다.
- LISP 컨피그레이션은 SVI 144, 145 및 244에 적용됩니다.
- EIGRP 인접 디바이스는 VRF당 Agg에서 Core 스위치로 설정됩니다.하위 인터페이스는 각 VRF에 대해 Agg 스위치에서 코어 스위치까지 실행되고 EIGRP Neighbor는 이러한 하위 인터페이스를 통해 형성됩니다.
- 원격 라우터(지사)도 동일한 IGP 도메인에 속합니다.
- LISP IGP Assist를 사용하는 경우 LISP Encap/Decap가 없으므로 LISP 경로를 IGP에 재배포해야 합니다(EIGRP입니다). 이 문서에 표시된 이 구축 모델의 경우 브랜치 라우터에는 LISP 구성이 없습니다.
사용되는 구성 요소
- Agg, 코어 스위치는 Nexus 7000(SUP2E 포함), F3/M3(8.2(4) NXOS 버전 실행)
- 브랜치 라우터는 ASR1ks임
- OTV는 이러한 Nexus 7000 스위치의 다른 VDC에 구성되어 있습니다.OTV와 LISP는 서로 다른 VDC에 있어야 합니다.VDC 공유는 옵션이 아닙니다.
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
AGG 스위치의 필수 구성
DC1-Agg1 및 DC1-Agg2의 LISP 특정 구성
Common Configuration on both DC1-Agg1 and DC1-Agg2
feature lisp
vrf context tenant-1 # This example is based on SVI 144 in VRF- tenant-1 and SVI 145 in VRF- tenant-2
ip lisp etr # This is needed to initialize LISP and only etr is needed on a IGP assist mode Environment
lisp instance-id 2 # Instance-ID should be unique per VRF
ip lisp locator-vrf default # Locator Is specified in Default VRF
lisp dynamic-eid VLAN144 # Dynamic EID definition for Vlan 144
database-mapping 172.16.144.0/24 10.10.10.1 priority 50 weight 50 # Database-mapping for 172.16.144.0/24 which is the Vlan 144; IP-> 10.10.10.1 is the Loopback100 IP address(which is the unique IP on DC1-AGG1)
database-mapping 172.16.144.0/24 10.10.10.2 priority 50 weight 50 # Database-mapping for 172.16.144.0/24 which is the Vlan 144; IP-> 10.10.10.2 is the Loopback100 IP address(which is the unique IP on DC1-AGG2)
map-notify-group 239.254.254.254 # Multicast group that will be used by LISP enabled switches to communicate about new EID learns or periodic EID notification messages
no route-export away-dyn-eid # This is a hidden command required to stop advertising any null0 /32 route for a remote host to the IGP
lisp dynamic-eid VLAN244 # Dynamic EID definition for Vlan 244
database-mapping 172.16.244.0/24 10.10.10.1 priority 50 weight 50
database-mapping 172.16.244.0/24 10.10.10.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
vrf context tenant-2
ip lisp etr
lisp instance-id 3
ip lisp locator-vrf default
lisp dynamic-eid VLAN145
database-mapping 172.16.145.0/24 10.10.10.1 priority 50 weight 50
database-mapping 172.16.145.0/24 10.10.10.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
Configuration on DC1-Agg1
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode # SVI needs to be in ESM Mode-Extended subnet mode
ip address 172.16.144.250/24
ip pim sparse-mode
hsrp 144
preempt
priority 254
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.250/24
ip pim sparse-mode
hsrp 145
preempt
priority 254
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
ip address 172.16.244.250/24
hsrp 244
preempt
priority 254
ip 172.16.244.254
interface loopback100
ip address 10.10.10.1/32
ip router eigrp 100
ip pim sparse-mode
Configuration on DC1-Agg2
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.251/24
ip pim sparse-mode
hsrp 144
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.251/24
ip pim sparse-mode
hsrp 145
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
no ip redirects
ip address 172.16.244.251/24
hsrp 244
ip 172.16.244.254
interface loopback100
ip address 10.10.10.2/32
ip router eigrp 100
ip pim sparse-mode
# DC1-Agg1 및 DC1-Agg2 루프백 IP 주소를 모두 지정해야 하는 방식으로 데이터베이스 매핑을 제공해야 합니다.DC2-Agg1 및 DC2-Agg2 내에서 고유한 루프백이 생성되어 데이터베이스 매핑 내에 동일한 루프백이 있어야 합니다.
# IGP 지원 모드에서 configuration-> "ip lisp itr-etr" 을 사용하는 경우 LISP가 활성화된 비 VLAN에 대해 /32 null0 호스트 경로를 삽입하게 됩니다.따라서 올바른 컨피그레이션은 IGP 지원 모드의 "ip lisp etr"입니다.
DC2-Agg1 및 DC2-Agg2의 LISP 특정 구성
Common Configuration on both DC2-Agg1 and DC2-Agg2
feature lisp
vrf context tenant-1
ip lisp etr
lisp instance-id 2
ip lisp locator-vrf default
lisp dynamic-eid VLAN144
database-mapping 172.16.144.0/24 10.10.20.1 priority 50 weight 50 # Note that the IP addresses used in DC2 Agg switches are 10.10.20.1 and 10.10.20.2(Which are Loopbacks Configured on DC2-Agg switches)
database-mapping 172.16.144.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
lisp dynamic-eid VLAN244
database-mapping 172.16.244.0/24 10.10.20.1 priority 50 weight 50
database-mapping 172.16.244.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
vrf context tenant-2
ip lisp etr
lisp instance-id 3
ip lisp locator-vrf default
lisp dynamic-eid VLAN145
database-mapping 172.16.145.0/24 10.10.20.1 priority 50 weight 50
database-mapping 172.16.145.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
Configuration on DC2-Agg1
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.252/24
ip pim sparse-mode
hsrp 144
preempt
priority 254
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.252/24
ip pim sparse-mode
hsrp 145
preempt
priority 254
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
ip redirects
ip address 172.16.244.252/24
hsrp 244
preempt
priority 254
ip 172.16.244.254
interface loopback100
ip address 10.10.20.1/32
ip router eigrp 100
ip pim sparse-mode
Configuration on DC2-Agg2
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.253/24
ip pim sparse-mode
hsrp 144
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.253/24
ip pim sparse-mode
hsrp 145
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
no ip redirects
ip address 172.16.244.253/24
hsrp 244
preempt
ip 172.16.244.254
interface loopback100
ip address 10.10.20.2/32
ip router eigrp 100
ip pim sparse-mode
# DC1과 DC2 Agg LISP 구성의 차이는 "데이터베이스 매핑"에 정의된 루프백입니다. DC1 컨피그레이션에서는 DC1-Agg1 및 DC1-Agg2의 루프백으로 이를 정의하고 DC2의 경우 DC2-Agg1 및 DC2-Agg2에 있는 루프백으로 데이터베이스 매핑을 정의합니다
# 아래에 표시된 IGP/Route-maps/prefix-lists 컨피그레이션의 나머지가 유사합니다(인터페이스에 할당된 IP 주소는 실제로 다름)
IGP 관련
router eigrp 100
address-family ipv4 unicast
vrf tenant-1
distance 90 245 # External EIGRP Routes have to have an AD which is higher than the default LISP AD(which is 240); Reason being, if the redistributed route from dc1-agg1 comes back to dc1-agg2 via eigrp, default EIGRP External is 170 which will override LISP route causing problems
redistribute lisp route-map lisp-to-eigrp # This command is to redistribute LISP /32 routes only to the IGP(EIGRP In this example)
redistribute direct route-map direct # This is needed so that the direct routes(/24 SVI routes in LISP) are redistributed to the IGP; This will be needed if there is some device that is trying to communicate to a silent host in the LISP enabled Vlan
vrf tenant-2
distance 90 245
redistribute lisp route-map lisp-to-eigrp
redistribute direct route-map direct
# LISP 지원 AGG VDC도 코어 측으로의 IGP 인접 디바이스를 형성합니다.
# 이 예에서 아래 표시된 것처럼 각 테넌트 VRF의 일부인 하위 인터페이스는 코어로 인접 디바이스를 형성하는 데 사용되었습니다.
interface Ethernet3/6.111 encapsulation dot1q 111 vrf member tenant-1 ip address 192.168.98.1/30 ip router eigrp 100 no shutdown interface Ethernet3/6.212 encapsulation dot1q 212 vrf member tenant-2 ip address 192.168.198.1/30 ip router eigrp 100 no shutdown
경로 맵/접두사 목록
ip prefix-list lisp-to-eigrp seq 5 permit 0.0.0.0/0 ge 32 # This is the prefix list that is matching any /32 routes which are to be redistributed from LISP To IGP route-map direct permit 10 # This is for the Direct routes route-map lisp-to-eigrp deny 10 # This is to prevent any null0 routes from being redistributed to IGP from LISP match interface Null0 route-map lisp-to-eigrp permit 20 # This is to allow redistribution of /32 host routes match ip address prefix-list lisp-to-eigrp
# 모든 AGG 스위치(DC1 및 DC2)에 위의 모든 구성이 필요합니다. 모든 SVI에 대해 SVI, 루프백, HSRP VIP의 고유 IP 주소를 동일하게 제공한다는 점에 유의하십시오.
OTV VDC 구성
HSRP 필터링
# IGP 지원 구축의 경우, OTV 또는 기타 메커니즘으로 확장될 경우 FHRP 격리가 적소에 있어야 합니다.
# OTV VDC에서 FHRP Hello 메시지를 필터링하여 수행합니다.
# 이 예에서는 N7k OTV가 사용되므로 OTV VDC에서 FHRP 패킷을 필터링하기 위해 아래 구성이 적용되었습니다.
ip access-list ALL_IPs
10 permit ip any any
mac access-list ALL_MACs
10 permit any any
ip access-list HSRP_IP
10 permit udp any 224.0.0.2/32 eq 1985
20 permit udp any 224.0.0.102/32 eq 1985
mac access-list HSRP_VMAC
10 permit 0000.0c07.ac00 0000.0000.00ff any
20 permit 0000.0c9f.f000 0000.0000.0fff any
arp access-list HSRP_VMAC_ARP
10 deny ip any mac 0000.0c07.ac00 ffff.ffff.ff00
20 deny ip any mac 0000.0c9f.f000 ffff.ffff.f000
30 permit ip any mac any
vlan access-map HSRP_Localization 10
match mac address HSRP_VMAC
match ip address HSRP_IP
action drop
vlan access-map HSRP_Localization 20
match mac address ALL_MACs
match ip address ALL_IPs
action forward
vlan filter HSRP_Localization vlan-list 144-145
ip arp inspection filter HSRP_VMAC_ARP vlan 144-145
mac-list OTV_HSRP_VMAC_deny seq 10 deny 0000.0c07.ac00 ffff.ffff.ff00
mac-list OTV_HSRP_VMAC_deny seq 11 deny 0000.0c9f.f000 ffff.ffff.f000
mac-list OTV_HSRP_VMAC_deny seq 20 permit 0000.0000.0000 0000.0000.0000
route-map OTV_HSRP_filter permit 10
match mac-list OTV_HSRP_VMAC_deny
otv-isis default
vpn Overlay0
redistribute filter route-map OTV_HSRP_filter
# FHRP 필터링 컨피그레이션은 OTV VDC에서만 필요합니다.ASR OTV 구축을 사용하는 경우 필터링 메커니즘을 ASR 컨피그레이션 가이드에 따라 관련 및 문서화해야 합니다.
OTV ARP 억제
# OTV VDC에서 ARP ND 캐시 기능 비활성화
interface Overlay0 no otv suppress-arp-nd >>>>>
LISP 구성으로 인한 경로 채우기
DC1-AGG1# show ip route lisp vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 07:22:30, lisp, dyn-eid
172.16.144.128/25, ubest/mbest: 1/0
*via Null0, [240/1], 07:22:30, lisp, dyn-eid
# SVI 144에서 LISP가 활성화된 경우 자동으로 생성되는 Null0 경로 2개가 있습니다.SVI 144는 /24 서브넷이므로 첫 번째 null0 경로는 172.16.144.0/25이고 두 번째 경로는 위에 표시된 대로 172.16.144.128/25입니다.
# 이는 예상 및 설계에 따른 것입니다.이는 확인되지 않은 호스트에서 제공된 패킷이 RPF 예외를 트리거하도록 하기 위해 수행되며, 이로 인해 패킷이 CPU로 푸시되고 결국 EID(Host Detection)에 도움이 됩니다.
호스트가 LISP가 활성화된 SVI 내에서 온라인 상태가 되는 이벤트 순서
# LISP 지원 인터페이스에서 호스트 탐지는 데이터베이스 매핑 컨피그레이션에 지정된 범위 내의 IP 주소에서 L3 트래픽을 수신한 것을 기반으로 합니다.
호스트 탐지를 용이하게 하려면 인터페이스에서 LISP가 활성화된 경우 다음 사항에 유의하십시오.
# RPF 예외가 인터페이스에서 활성화되므로 알 수 없는 소스에서 생성된 패킷이 예외를 트리거합니다.
# LISP 소스 Null0 경로가 설치되어 알 수 없는 소스가 RPF 예외를 트리거하도록 합니다.
이 솔루션은 두 데이터 센터 간 L2 확장에 OTV를 사용하므로, 대부분의 경우 모든 스위치에 브로드캐스트되므로 IP 호스트를 탐지하는 데 ARP 신호를 직접 사용할 수 없습니다.
그러나 ARP 신호는 탐지되지 않은 호스트가 있을 수 있다는 LISP의 표시로 사용됩니다.호스트는 OTV 브리지의 어느 쪽에도 상주할 수 있으므로 LISP는 새 IP-MAC 바인딩을 학습한 후 현지화 메커니즘을 시작합니다.
현지화 메커니즘은 다음과 같이 작동합니다.
# 스위치가 새 IP-MAC 바인딩(GARP, RARP 또는 ARP 요청을 통해)을 학습합니다.
# 활성 HSRP로 작동하는 스위치는 호스트에 에코 요청을 전송하지만 HSRP VIP 주소에서 제공
# 호스트가 에코 요청에 응답하지만 OTV에서 FHRP 격리를 수행한 후에는 호스트가 상주하는 DC 사이트에서만 에코 회신을 수신합니다
# 에코 응답이 L3 패킷이므로 LISP에서 호스트를 탐지합니다.
# LISP가 활성화된 SVI에서 IP 패킷이 수신되는 경우, 해당 패킷은 LISP 프로세스를 통해 엔드포인트가 로컬임을 알립니다.호스트가 로컬인지 여부를 확인하기 위해 전송되는 ICMP ECHO 요청은 없습니다.따라서 DC2 호스트에서 DC1-AGG SVI IP 주소로 Ping을 수행하면 엔드포인트 식별이 손상되어 DC2가 아닌 DC1에서 호스트가 로컬 EID로 식별될 때 트래픽 블랙홀이 손실되거나 핑이 발생할 수 있다는 점에 유의해야 합니다. 따라서 라우팅 테이블이 손상되어 트래픽이 블랙홀링될 수 있으므로 LISP 환경의 SVI IP 주소에서 ping을 시작해서는 안 됩니다.LISP Enabled VLAN에 있는 호스트가 SVI IP 주소를 ping하려고 하면 동일한 문제가 발생합니다.VIP에 ping하는 것은 동일해야 하며 Sides 및 Site Local에서 패킷이 캡처되므로 활성화되어야 합니다.
호스트가 DC1에서 온라인 상태일 때 라우팅 테이블 항목의 예는 다음과 같습니다.
DC1-AGG1# show ip route 172.16.144.1 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 1/0, attached
*via 172.16.144.1, Vlan144, [240/1], 3d05h, lisp, dyn-eid
via 172.16.144.1, Vlan144, [250/0], 3d05h, am
DC1-AGG2# sh ip route 172.16.144.1 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 1/0, attached
*via 172.16.144.1, Vlan144, [240/1], 3d05h, lisp, dyn-eid
via 172.16.144.1, Vlan144, [250/0], 3d05h, am
# 위에 표시된 것처럼 두 개의 경로가 있습니다.관리 거리가 240이고 AD가 250인 AM-> Adjacency Manager(ARP 프로세스에 의해 채워짐)가 있는 LISP 프로세스별
# DC1의 두 Agg 스위치 모두 동일한 항목을 가집니다.
# 또한 LISP는 아래와 같이 동적 EID 테이블에 호스트에 대해 동일한 항목을 나열합니다.
DC1-AGG1# show lisp dynamic-eid detail vrf tenant-1 | in 144.1, nex 1
172.16.144.1, Vlan144, uptime: 3d05h, last activity: 00:14:38
Discovered by: packet reception
DC1-AGG2# show lisp dynamic-eid detail vrf tenant-1 | in 144.1, nex 1
172.16.144.1, Vlan144, uptime: 3d05h, last activity: 00:00:37
Discovered by: site-based Map-Notify
# 검색은 두 경우 모두 다릅니다.HSRP 활성 상태인 DC1-AGG1은 "패킷 수신"을 통해 항목을 기록하고 있습니다. 이는 기본적으로 패킷이 들어 EID로 추가된 것을 의미합니다.
# Agg1이 EID에 대해 알게 되면 Source IP-> Loopback100 IP 주소(데이터베이스 매핑에 정의됨)에서 group-> 239.254.254.254(위에서 구성됨)으로 멀티캐스트 메시지를 전송하고 vPC 피어 스위치도 이를 수신하여 엔트리를 적절히 채우고 IP 주소가 dc1-agg1 및 dc1-agg2인 데이터베이스 매핑으로 간주합니다. 이 동일한 패킷은 동일한 멀티캐스트 OEID를 통과합니다. 원격 사이트에 tv를 제공합니다.그러나 원격 사이트는 데이터베이스 매핑을 확인하며 이 패킷은 "데이터베이스 매핑"과 다른 IP 주소에서 제공되므로 DC2 AGg 스위치에서 로컬 EID로 간주되지 않습니다.
알림 메시지 매핑
# LISP가 활성화된 SVI에서 호스트가 탐지되면 트리거된 "map-notify" 메시지가 해당 동적 EID 컨피그레이션에 정의된 멀티캐스트 그룹으로 전송됩니다
# 트리거된 map-notify 메시지 외에 해당 vlan에 HSRP Active(또는 FHRP 활성) 스위치에서 전송하는 정기적 map-notify 메시지가 있습니다.
# 맵 알림 메시지의 PCAP는 아래와 같습니다.
LISP/32 경로를 IGP에 재배포
# 이는 IGP 지원 모드의 핵심입니다.모든 /32 LISP 경로는 IGP에 재배포됩니다.이는 EIGRP에 적용된 "redistribute LISP" 명령으로 가능합니다.
# 모든 /32 호스트 경로는 재배포 후 EIGRP 외부 경로로 표시됩니다.EIGRP 관리 거리를 조정하여 더 높였습니다.이는 LISP 경로가 수신 EIGRP 외부 경로와는 반대로 URB에 유지되도록 하기 위한 것입니다.예:DC1-Agg1 및 DC1-Agg2는 DC1-코어가 있는 EIGRP 인접 디바이스입니다.DC1-AGG1이 재배포를 통해 DC1-Core에 /32 경로를 주입했습니다.이제 DC1-Core가 DC1-Agg2를 사용하는 EIGRP 인접 디바이스이므로 EIGRP AD가 170인 경우 동일한 경로가 DC1-Agg2로 다시 돌아오고 LISP 경로(AD 240이 있음)를 통해 우승할 수 있습니다.이를 방지하기 위해 EIGRP 외부 경로 AD가 245로 수정되었습니다.
# DC1-Agg 스위치에서 학습한 /32 경로가 EIGRP에 재배포되고 DC1-코어 항목은 아래와 같습니다.
DC1-CORE# sh ip route 172.16.144.1
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:00:01, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:14:51, eigrp-100, external
# 경로가 전역 라우팅 테이블에 있으며 코어 쪽에 VRF가 구성되지 않았습니다.
# 그리고 AGG 스위치에 구성된 "redistribute direct" 때문에 코어에는 다음과 같이 상위 서브넷에 대한 /24 ECMP 경로가 있습니다.이렇게 하면 무음 호스트에 대한 트래픽을 유인하는 데 도움이 됩니다(이 경우 /32 경로가 없음).
DC1-CORE# sh ip route 172.16.144.10 # Checking for a non existent Host 172.16.144.10
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/24, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:02:13, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:17:03, eigrp-100, external
# 또한 DC1 및 DC2 코어 모두에 /24 ECMP 경로가 표시됩니다.
Branch1-Router# sh ip route 172.16.144.10
Routing entry for 172.16.144.0/24
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:00:17 ago
Routing Descriptor Blocks:
192.168.99.2, from 192.168.99.2, 00:00:17 ago, via GigabitEthernet0/0/1 # 192.168.99.2 is DC2-Core
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
* 192.168.99.1, from 192.168.99.1, 00:00:17 ago, via GigabitEthernet0/0/1 # 192.168.99.1 is DC1-Core
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
# 이 경로는 브랜치 호스트가 어느 한 위치에 상주하는 무음 호스트에 도달할 수 있도록 합니다.
Intra-vlan inter-DC에 대한 패킷의 경로
# DC1-Host1 -> 172.16.144.1이 DC2-Host1-> 172.16.144.2에 연결하려고 시도할 때 이는 데이터 센터 간 VLAN 트래픽입니다.DC1-Host 1은 OTV를 통해 모든 경로를 통과하고 DC2-Host1에 도달하는 ARP 요청을 전송합니다.
# DC2-Host1은 DC1-Host1으로 돌아오는 ARP 회신으로 응답합니다.
OTV를 통해 전송된 후속 ICMP 패킷 수
VLAN 간 DC에 대한 패킷 경로(VLAN 144에서 VLAN 244로)
# DC1-Host1-> 172.16.144.1이 DC2-Host2-> 172.16.244.2에 연결하려고 시도할 때 DC1의 VLAN 144에서 244로 패킷이 라우팅되지 않습니다.대신 DC1-Agg에서 DC1-Core로 라우팅된 경로를 따라 이동한 다음 DC2-Core에 도달하면 DC2-Agg 스위치에서 대상 VLAN-244로 최종 라우팅이 수행됩니다.
# DC1-Host1에서 DC2-Host2로의 traceroute는 아래와 같습니다.
DC1-HOST# traceroute 172.16.244.2 vrf vlan144 traceroute to 172.16.244.2 (172.16.244.2), 30 hops max, 40 byte packets 1 172.16.144.250 (172.16.144.250) 1.149 ms 0.841 ms 0.866 ms # DC1-AGG1 2 192.168.98.2 (192.168.98.2) 1.004 ms 0.67 ms 0.669 ms # DC1-CORE 3 192.168.99.2 (192.168.99.2) 0.756 ms 0.727 ms 0.714 ms # DC2-CORE 4 192.168.94.5 (192.168.94.5) 1.041 ms 0.937 ms 192.168.94.1 (192.168.94.1) 1.144 ms # DC2-Agg1/DC2-Agg2 5 172.16.244.2 (172.16.244.2) 2.314 ms * 2.046 ms # DC2-Host2
Inter-vlan inter-DC에 대한 패킷의 경로(VRF-tenant-1에서 VRF tenant-2로)
# 한 VLAN에서 다른 VLAN으로 DC 간 통신과 동일한 방식으로 진행됩니다(이전 예).
# DC1-host1-> 172.16.144.1이 DC2-Host3-> 172.16.145.2에 도달하려고 시도할 때 이는 VLAN 144(VRF tenant-1)에서 시작되며 VLAN 145(VRF tenant-2)로 이동되는 DC 간 트래픽입니다. 일반 N7k OTV 구축과 달리 이 트래픽은 약간 다르게 처리됩니다.DC1 측에서 VLAN 간 라우팅은 발생하지 않습니다.대신 이 트래픽은 라우팅되고 DC1-코어로 전송되며 코어는 IGP를 통해 DC2-코어로 더 라우팅합니다.
# 이 문서를 위해 코어 스위치에 의해 사이트당 VRF 간 유출이 수행됩니다.모든 디바이스(방화벽 유사),LISP Configuration(LISP 컨피그레이션) 관점에서는 Inter-VRF Leasing(VRF 간 누수)이 있는지 여부를 변경하지 않습니다.
DC1-AGG1# sh ip route 172.16.145.2 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.145.2/32, ubest/mbest: 1/0
*via 192.168.98.2, Eth3/6.111, [245/51968], 00:00:46, eigrp-100, external
# DC1-Host1에서 DC2-Host3으로 가는 Traceroute는 Core를 통해 라우팅되는 레이어 3이 아니라 VLAN 간 라우팅된 것과 동일한 것을 나타냅니다.즉, VLAN 간 트래픽은 OTV를 사용하지 않습니다.
DC1-HOST# traceroute 172.16.145.2 vrf vlan144 traceroute to 172.16.145.2 (172.16.145.2), 30 hops max, 40 byte packets 1 172.16.144.250 (172.16.144.250) 1.049 ms 0.811 ms 0.81 ms # DC1-AGG1 2 192.168.98.2 (192.168.98.2) 0.844 ms 0.692 ms 0.686 ms # DC1-CORE 3 192.168.99.2 (192.168.99.2) 0.814 ms 0.712 ms 0.735 ms # DC2-CORE 4 192.168.194.1 (192.168.194.1) 0.893 ms 0.759 ms 192.168.194.5 (192.168.194.5) 0.89 ms # DC2-Agg1/DC2-Agg2 5 172.16.145.2 (172.16.145.2) 1.288 ms * 1.98 ms # DC2-Host3 DC1-HOST#
Branch-1 호스트가 DC2에 있는 무음 호스트에 도달하려고 시도할 때 패킷의 경로
# Branch-1-172.17.200.1의 호스트가 DC2-무음 호스트- 172.16.144.119에 연결하려고 시도합니다. 호스트가 무음이므로 DC2에 /32 경로가 존재하지 않습니다.
DC2-AGG1# show ip route 172.16.144.119 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 20:48:29, lisp, dyn-eid
DC2-AGG2# show ip route 172.16.144.119 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 20:48:13, lisp, dyn-eid
# LISP 설계에 따라 경로 172.16.144.119이 172.16.144.0/25 null0 경로와 일치합니다.
# 브랜치 라우터가 목적지 IP = 172.16.144.119인 패킷을 수신하면 URB는 DC1-코어 및 DC2-코어 모두에 대한 ECMP /24 경로를 가집니다.즉, 패킷이 코어 스위치 중 하나로 전송됩니다.
Branch1-Router# sh ip route 172.16.144.119
Routing entry for 172.16.144.0/24
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:08:54 ago
Routing Descriptor Blocks:
192.168.99.2, from 192.168.99.2, 00:08:54 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
* 192.168.99.1, from 192.168.99.1, 00:08:54 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#sh ip cef exact-route 172.17.200.1 172.16.144.119 dest-port 1
172.17.200.1 -> 172.16.144.119 =>IP adj out of GigabitEthernet0/0/1, addr 192.168.99.1
# CEF에 따라 패킷이 192.168.99.1(즉, DC1-Core)로 해싱됩니다.
# DC1-Core에는 2개의 ECMP 경로가 있습니다.하나는 DC1-Agg1(HSRP Active)에, 다른 하나는 DC1-Agg2(HSRP Standby)에 있습니다. 라우팅 해시에서 선택한 경로는 DC1-Agg2가 됩니다.
DC1-CORE# sh routing hash 172.17.200.1 172.16.144.119 1 1
Load-share parameters used for software forwarding:
load-share mode: address source-destination port source-destination
Universal-id seed: 0xfdba3ebe
Hash for VRF "default"
Hash Type is 1
Hashing to path *192.168.98.5 Eth3/22.112
For route:
172.16.144.0/24, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:19:57, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:34:47, eigrp-100, external
DC1-CORE# sh cdp nei int e3/22
Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge
S - Switch, H - Host, I - IGMP, r - Repeater,
V - VoIP-Phone, D - Remotely-Managed-Device,
s - Supports-STP-Dispute
Device-ID Local Intrfce Hldtme Capability Platform Port ID
DC1-AGG2(JAF1534CHCJ)
Eth3/22 172 R S s N7K-C7009 Eth3/7
# DC1-Agg2에 URIBB에 항목이 없으므로 패킷이 수집되어 CPU로 전송됩니다. 그러면 DC1-Agg2는 아래와 같이 SVI IP 주소에서 ARP 요청을 생성하게 됩니다.
2020-02-18 15:09:05.673165 172.17.200.1 -> 172.16.144.119 ICMP 114 Echo (ping) request id=0x0022, seq=0/0, ttl=254
2020-02-18 15:09:05.675041 de:ad:20:19:22:22 -> Broadcast ARP 60 Who has 172.16.144.119? Tell 172.16.144.251
# 이 ARP 요청은 브로드캐스트이며 OTV Extension을 통해 DC2를 포함하는 전체 레이어 2 도메인에 전파됩니다.
# DC2-무음 호스트가 DC1-Agg2의 ARP 요청에 응답합니다.
# DC1-Agg2가 무음 호스트로부터 이 ARP 응답을 수신함
2020-02-18 15:09:05.675797 64:12:25:97:46:41 -> de:ad:20:19:22:22 ARP 60 172.16.144.119 is at 64:12:25:97:46:41
# 수신된 패킷이 ARP(LISP에 대한 힌트 역할을 함)인 경우 ICMP ECHO 요청은 HSRP VIP-> 172.16.144.254에서 소싱되고 무음 호스트-> 172.16.144.119으로 이동합니다. HSRP VIP에서 패킷을 소싱하려는 목적은 호스트가 로컬인지 원격인지 파악하는 것입니다.호스트가 원격인 경우 FHRP Active가 호스트에서 ICMP ECHO Reply 패킷을 catch하는 원격 데이터 센터에도 있으므로 이 항목에 대해 알아보기 위해 DC2-Agg2(HSRP Active)가 되고 LISP 프로세스가 이 IP 패킷을 기반으로 EID Learn을 만듭니다.원래 HSRP VIP에서 ICMP ECHO 요청을 소싱한 DC1-Agg2는 응답을 받지 않으므로 DC1측에서 엔드포인트 학습이 발생하지 않습니다.DC2쪽에 있을 것입니다.
DC2-AGG2# show lisp dynamic-eid detail vrf tenant-1
LISP Dynamic EID Information for VRF "tenant-1"
Dynamic-EID name: VLAN144
Database-mapping [2] EID-prefix: 172.16.144.0/24, LSBs: 0x00000003
Locator: 10.10.20.1, priority: 50, weight: 50
Uptime: 21:50:32, state: up
Locator: 10.10.20.2, priority: 50, weight: 50
Uptime: 21:50:13, state: up, local
Registering more-specific dynamic-EIDs
Registering routes: disabled
Allowed-list filter: none applied
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: 239.254.254.254
Extended Subnet Mode configured on 1 interfaces
Number of roaming dynamic-EIDs discovered: 3
Last dynamic-EID discovered: 172.16.144.254, 00:01:10 ago
Roaming dynamic-EIDs:
172.16.144.2, Vlan144, uptime: 19:09:07, last activity: 00:05:21
Discovered by: packet reception
172.16.144.119, Vlan144, uptime: 00:05:55, last activity: 00:05:55 Discovered by: packet reception
172.16.144.252, Vlan144, uptime: 3d21h, last activity: 00:01:10
Discovered by: packet reception
Secure-handoff pending for sources: none
# LISP 프로세스가 DC2-Agg2(HSRP Active)에서 EID를 인식하면
a) /32를 로컬로 설치
b) DC2-Core로 경로 재배포
c) VLAN에서 멀티캐스트 메시지로 사이트 기반 알림을 보냅니다(이 예에서는 메시지가 그룹 -> 239.254.254.254으로 이동함).
DC2-AGG1# show lisp dynamic-eid detail vrf tenant-1
LISP Dynamic EID Information for VRF "tenant-1"
Dynamic-EID name: VLAN144
Database-mapping [2] EID-prefix: 172.16.144.0/24, LSBs: 0x00000003
Locator: 10.10.20.1, priority: 50, weight: 50
Uptime: 21:52:39, state: up, local
Locator: 10.10.20.2, priority: 50, weight: 50
Uptime: 21:52:08, state: up
Registering more-specific dynamic-EIDs
Registering routes: disabled
Allowed-list filter: none applied
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: 239.254.254.254
Extended Subnet Mode configured on 1 interfaces
Number of roaming dynamic-EIDs discovered: 4
Last dynamic-EID discovered: 172.16.144.254, 00:03:07 ago
Roaming dynamic-EIDs:
172.16.144.2, Vlan144, uptime: 19:11:04, last activity: 00:00:21
Discovered by: site-based Map-Notify
172.16.144.110, Vlan144, uptime: 20:04:09, last activity: 20:04:09
Discovered by: site-based Map-Notify
172.16.144.119, Vlan144, uptime: 00:07:52, last activity: 00:00:21 Discovered by: site-based Map-Notify
172.16.144.252, Vlan144, uptime: 21:50:51, last activity: 00:00:21
Discovered by: site-based Map-Notify
Secure-handoff pending for sources: none
# 마지막에 Branch-router1은 이 /32 경로를 수신합니다. 그러면 브랜치 라우터가 올바른 DC2 코어 스위치에 트래픽을 전송합니다.
Branch1-Router# sh ip route 172.16.144.119
Routing entry for 172.16.144.119/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:06:25 ago
Routing Descriptor Blocks:
* 192.168.99.2, from 192.168.99.2, 00:06:25 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
호스트가 DC1에서 DC2로 이동(로밍)할 때의 이벤트 순서
# 이 토폴로지에 L2 확장이 구성되어 있음을 고려하여 호스트가 DC1에서 DC2로 이동할 수 있습니다.
# 호스트-> 172.16.144.100은 Vlan 144에 있고 처음에는 DC1에 있습니다.
# DC1-Agg1 및 DC1-Agg2 스위치 내의 경로는 호스트가 DC1에서 온라인 상태일 때 다음과 같습니다.
DC1-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:05:03, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:05:05, am
DC1-AGG2# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:08:05, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:08:07, am
# 브랜치 라우터에는 아래와 같이 DC1-Core를 가리키는 경로가 있으며 traceroute는 DC1 Core/agg 스위치를 DC1에 있는 호스트에 연결하도록 가리킵니다.
Branch1-Router#sh ip route 172.16.144.100
Routing entry for 172.16.144.100/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.1 on GigabitEthernet0/0/1, 00:00:06 ago
Routing Descriptor Blocks:
* 192.168.99.1, from 192.168.99.1, 00:00:06 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#traceroute 172.16.144.100 source 172.17.200.1
Type escape sequence to abort.
Tracing the route to 172.16.144.100
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.99.1 1 msec 1 msec 0 msec # DC1-Core
2 192.168.98.5 1 msec 1 msec # DC1-Agg2
192.168.98.1 1 msec # DC1-Agg1
3 172.16.144.100 1 msec 0 msec 1 msec # DC1-Host
# 호스트가 DC2로 이동하면 VLAN 144에서 GARP를 전송합니다. 이는 DC2-Agg 스위치에서 확인할 수 있습니다.
2020-02-24 22:23:05.024902 Cisco_5a:4a:e7 -> Broadcast ARP 60 Gratuitous ARP for 172.16.144.100 (Request)
# ARP/GARP/RARP를 사용하여 패킷을 수신하면 현지화 메커니즘을 트리거하여 VIP에서 제공하는 호스트로 ICMP 에코 요청을 시작합니다.
2020-02-24 22:23:05.026781 172.16.144.254 -> 172.16.144.100 ICMP 60 Echo (ping) request id=0xac10, seq=0/0, ttl=128
# Host-172.16.144.100이 HSRP VIP에 응답합니다.
2020-02-24 22:23:07.035292 172.16.144.100 -> 172.16.144.254 ICMP 60 Echo (ping) reply id=0xac10, seq=0/0, ttl=255
# DC2-Agg1에서 IP 패킷을 수신하면 LISP가 EID를 탐지하고 호스트에 대한 라우팅 테이블에 항목을 만들고 EIGRP에 대한 재배포 프로세스를 시작합니다.
DC2-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:00:30, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:00:32, am
# 재배포가 있는 경우 DC1-agg 사이트(이 호스트의 원래 소유주임)가 EIGRP를 가리키는 RIB의 변경 내용을 보게 됩니다.
DC1-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0
*via 192.168.98.2, Eth3/6.111, [245/51968], 00:03:47, eigrp-100, external
# 원격 브랜치 라우터가 경로 변경 사항을 확인하고 트레이스라우트는 아래와 같이 DC2 코어/Agg 스위치에 대한 경로 변경 사항을 반영합니다.
Branch1-Router#sh ip route 172.16.144.100
Routing entry for 172.16.144.100/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:00:00 ago
Routing Descriptor Blocks:
* 192.168.99.2, from 192.168.99.2, 00:00:00 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#traceroute 172.16.144.100 source 172.17.200.1
Type escape sequence to abort.
Tracing the route to 172.16.144.100
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.99.2 1 msec 0 msec 1 msec # DC2-Core
2 192.168.94.1 1 msec 1 msec 1 msec # DC2-Agg1
3 172.16.144.100 0 msec 0 msec 1 msec # Host-after move to DC2
유용한 확인 명령
# show lisp dynamic-eid detail vrf <VRF 이름>
# IP 경로 목록 vrf <VRF 이름> 표시
# show lisp dynamic-eid 요약 vrf <VRF Name>
피드백