Configuração e verificação do Nexus 7000 do modo de sub-rede estendida do LISP IGP Assist
Contents
Introduction
Este documento serve para explicar como implantar o ESM (LISP IGP Assist Extended Subnet Mode) usando um Nexus 7000
Topologia
Detalhes da topologia
- DC1 e DC2 são dois locais estendidos pela OTV
- As VLANs 144, 145 e 244 são configuradas em todos os switches Agg, Access Layer e OTV
- As SVIs para essas VLANs são configuradas nos switches Agg. Os SVIs 144 e 244 estão no VRF tenant-1; O SVI 145 está no VRF tenant-2.
- Durante a implantação do LISP IGP Assist, não é necessário que os SVIs estejam em VRFs; Este exemplo usa VRFs múltiplos apenas para ilustrar as alterações de configuração necessárias (sob cada contexto de VRF relevante); Todos os SVIs podem estar no mesmo VRF e ainda podem usar a ajuda IGP LISP
- HSRP configurado em Vlans144, 145 e 244; O isolamento de FHRP é configurado nessa topologia, o que significa que no total 4 switches estarão executando HSRP e ambos os lados terão um par ativo/standby. O isolamento de FHRP é obtido filtrando mensagens de saudação de HSRP.
- DC1-agg1 e DC2-Agg2 são pares vPC; O mesmo se aplica a DC2-Agg1 e DC2-Agg2
- As configurações LISP são aplicadas nas SVIs 144, 145 e 244
- A vizinhança do EIGRP é estabelecida do Agg para os switches centrais por VRF. As subinterfaces estão sendo executadas a partir de switches Agg para cada VRF até os switches centrais e a vizinhança EIGRP é formada nessas subinterfaces.
- Os roteadores remotos (filial) também fazem parte do mesmo domínio IGP.
- Quando o LISP IGP Assist é usado, não há LISP Encap/Decap e, portanto, as rotas LISP terão que ser redistribuídas para o IGP (aqui está o EIGRP). Para esse modelo de implantação representado neste documento, os roteadores da filial não terão nenhuma configuração de LISP.
Componentes Utilizados
- Agg, os switches centrais são Nexus 7000 com SUP2E, F3/M3 executando a versão 8.2(4) NXOS
- Os roteadores da filial são ASR1ks
- O OTV está configurado em outro VDC nesses switches Nexus 7000; OTV e LISP devem estar em VDCs diferentes. Compartilhar VDC não é uma opção.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Configurações necessárias em switches AGG
Configurações específicas de LISP em DC1-Agg1 e DC1-Agg2
Common Configuration on both DC1-Agg1 and DC1-Agg2
feature lisp
vrf context tenant-1 # This example is based on SVI 144 in VRF- tenant-1 and SVI 145 in VRF- tenant-2
ip lisp etr # This is needed to initialize LISP and only etr is needed on a IGP assist mode Environment
lisp instance-id 2 # Instance-ID should be unique per VRF
ip lisp locator-vrf default # Locator Is specified in Default VRF
lisp dynamic-eid VLAN144 # Dynamic EID definition for Vlan 144
database-mapping 172.16.144.0/24 10.10.10.1 priority 50 weight 50 # Database-mapping for 172.16.144.0/24 which is the Vlan 144; IP-> 10.10.10.1 is the Loopback100 IP address(which is the unique IP on DC1-AGG1)
database-mapping 172.16.144.0/24 10.10.10.2 priority 50 weight 50 # Database-mapping for 172.16.144.0/24 which is the Vlan 144; IP-> 10.10.10.2 is the Loopback100 IP address(which is the unique IP on DC1-AGG2)
map-notify-group 239.254.254.254 # Multicast group that will be used by LISP enabled switches to communicate about new EID learns or periodic EID notification messages
no route-export away-dyn-eid # This is a hidden command required to stop advertising any null0 /32 route for a remote host to the IGP
lisp dynamic-eid VLAN244 # Dynamic EID definition for Vlan 244
database-mapping 172.16.244.0/24 10.10.10.1 priority 50 weight 50
database-mapping 172.16.244.0/24 10.10.10.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
vrf context tenant-2
ip lisp etr
lisp instance-id 3
ip lisp locator-vrf default
lisp dynamic-eid VLAN145
database-mapping 172.16.145.0/24 10.10.10.1 priority 50 weight 50
database-mapping 172.16.145.0/24 10.10.10.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
Configuration on DC1-Agg1
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode # SVI needs to be in ESM Mode-Extended subnet mode
ip address 172.16.144.250/24
ip pim sparse-mode
hsrp 144
preempt
priority 254
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.250/24
ip pim sparse-mode
hsrp 145
preempt
priority 254
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
ip address 172.16.244.250/24
hsrp 244
preempt
priority 254
ip 172.16.244.254
interface loopback100
ip address 10.10.10.1/32
ip router eigrp 100
ip pim sparse-mode
Configuration on DC1-Agg2
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.251/24
ip pim sparse-mode
hsrp 144
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.251/24
ip pim sparse-mode
hsrp 145
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
no ip redirects
ip address 172.16.244.251/24
hsrp 244
ip 172.16.244.254
interface loopback100
ip address 10.10.10.2/32
ip router eigrp 100
ip pim sparse-mode
# O mapeamento do banco de dados deve ser fornecido de forma que, em um lado, os endereços IP de loopback DC1-Agg1 e DC1-Agg2 sejam necessários; Em DC2-Agg1 e DC2-Agg2, um loopback exclusivo terá de ser criado e colocado o mesmo dentro do mapeamento do banco de dados.
# Em um modo de assistência IGP, se a configuração-> "ip lisp itr-ter" for usada, isso resultará na injeção de /32 null0 rota de host para Vlans não habilitadas para LISP; Portanto, a configuração correta é "ip lisp ter" para o modo de assistência IGP.
Configurações específicas do LISP em DC2-Agg1 e DC2-Agg2
Common Configuration on both DC2-Agg1 and DC2-Agg2
feature lisp
vrf context tenant-1
ip lisp etr
lisp instance-id 2
ip lisp locator-vrf default
lisp dynamic-eid VLAN144
database-mapping 172.16.144.0/24 10.10.20.1 priority 50 weight 50 # Note that the IP addresses used in DC2 Agg switches are 10.10.20.1 and 10.10.20.2(Which are Loopbacks Configured on DC2-Agg switches)
database-mapping 172.16.144.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
lisp dynamic-eid VLAN244
database-mapping 172.16.244.0/24 10.10.20.1 priority 50 weight 50
database-mapping 172.16.244.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
vrf context tenant-2
ip lisp etr
lisp instance-id 3
ip lisp locator-vrf default
lisp dynamic-eid VLAN145
database-mapping 172.16.145.0/24 10.10.20.1 priority 50 weight 50
database-mapping 172.16.145.0/24 10.10.20.2 priority 50 weight 50
map-notify-group 239.254.254.254
no route-export away-dyn-eid
Configuration on DC2-Agg1
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.252/24
ip pim sparse-mode
hsrp 144
preempt
priority 254
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.252/24
ip pim sparse-mode
hsrp 145
preempt
priority 254
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
ip redirects
ip address 172.16.244.252/24
hsrp 244
preempt
priority 254
ip 172.16.244.254
interface loopback100
ip address 10.10.20.1/32
ip router eigrp 100
ip pim sparse-mode
Configuration on DC2-Agg2
interface Vlan144
no shutdown
vrf member tenant-1
lisp mobility VLAN144
lisp extended-subnet-mode
ip address 172.16.144.253/24
ip pim sparse-mode
hsrp 144
ip 172.16.144.254
interface Vlan145
no shutdown
vrf member tenant-2
lisp mobility VLAN145
lisp extended-subnet-mode
ip address 172.16.145.253/24
ip pim sparse-mode
hsrp 145
ip 172.16.145.254
interface Vlan244
no shutdown
vrf member tenant-1
lisp mobility VLAN244
lisp extended-subnet-mode
no ip redirects
ip address 172.16.244.253/24
hsrp 244
preempt
ip 172.16.244.254
interface loopback100
ip address 10.10.20.2/32
ip router eigrp 100
ip pim sparse-mode
# A diferença entre as configurações de DC1 e DC2 Agg LISP são os loopbacks definidos no "mapeamento do banco de dados". Na configuração de DC1, isso será definido com os loopbacks de DC1-Agg1 e DC1-Agg2 e, para DC2, os mapeamentos de banco de dados serão definidos com os loopbacks que estão em DC2-Agg1 e DC2-Agg2
# O restante das configurações IGP/Route-maps/prefix-lists mostradas abaixo serão semelhantes (os endereços IP atribuídos para as interfaces são realmente diferentes)
Específico de IGP
router eigrp 100
address-family ipv4 unicast
vrf tenant-1
distance 90 245 # External EIGRP Routes have to have an AD which is higher than the default LISP AD(which is 240); Reason being, if the redistributed route from dc1-agg1 comes back to dc1-agg2 via eigrp, default EIGRP External is 170 which will override LISP route causing problems
redistribute lisp route-map lisp-to-eigrp # This command is to redistribute LISP /32 routes only to the IGP(EIGRP In this example)
redistribute direct route-map direct # This is needed so that the direct routes(/24 SVI routes in LISP) are redistributed to the IGP; This will be needed if there is some device that is trying to communicate to a silent host in the LISP enabled Vlan
vrf tenant-2
distance 90 245
redistribute lisp route-map lisp-to-eigrp
redistribute direct route-map direct
# VDCs AGG habilitados para LISP também formarão a vizinhança IGP para o lado Core
# Para este exemplo, subinterfaces que faziam parte de cada VRFs de locatário foram usadas para formar a vizinhança em direção ao núcleo, como mostrado abaixo.
interface Ethernet3/6.111 encapsulation dot1q 111 vrf member tenant-1 ip address 192.168.98.1/30 ip router eigrp 100 no shutdown interface Ethernet3/6.212 encapsulation dot1q 212 vrf member tenant-2 ip address 192.168.198.1/30 ip router eigrp 100 no shutdown
Route-maps/Prefix-Lists
ip prefix-list lisp-to-eigrp seq 5 permit 0.0.0.0/0 ge 32 # This is the prefix list that is matching any /32 routes which are to be redistributed from LISP To IGP route-map direct permit 10 # This is for the Direct routes route-map lisp-to-eigrp deny 10 # This is to prevent any null0 routes from being redistributed to IGP from LISP match interface Null0 route-map lisp-to-eigrp permit 20 # This is to allow redistribution of /32 host routes match ip address prefix-list lisp-to-eigrp
# Todas as configurações acima são necessárias em todos os switches AGG (DC1 e DC2). Lembre-se de fornecer endereços IP exclusivos para SVIs, Loopbacks, HSRP VIP será o mesmo para todos os SVIs
Configurações do OTV VDC
Filtragem de HSRP
# Para implantações de assistência IGP, quando estendida por meio de OTV ou qualquer outro mecanismo, o isolamento de FHRP deve estar estabelecido;
# Isso é feito filtrando mensagens de saudação FHRP no OTV VDC
# Neste exemplo, N7k OTV é usado e, portanto, as configurações abaixo foram aplicadas para filtrar os pacotes FHRP no OTV VDC.
ip access-list ALL_IPs
10 permit ip any any
mac access-list ALL_MACs
10 permit any any
ip access-list HSRP_IP
10 permit udp any 224.0.0.2/32 eq 1985
20 permit udp any 224.0.0.102/32 eq 1985
mac access-list HSRP_VMAC
10 permit 0000.0c07.ac00 0000.0000.00ff any
20 permit 0000.0c9f.f000 0000.0000.0fff any
arp access-list HSRP_VMAC_ARP
10 deny ip any mac 0000.0c07.ac00 ffff.ffff.ff00
20 deny ip any mac 0000.0c9f.f000 ffff.ffff.f000
30 permit ip any mac any
vlan access-map HSRP_Localization 10
match mac address HSRP_VMAC
match ip address HSRP_IP
action drop
vlan access-map HSRP_Localization 20
match mac address ALL_MACs
match ip address ALL_IPs
action forward
vlan filter HSRP_Localization vlan-list 144-145
ip arp inspection filter HSRP_VMAC_ARP vlan 144-145
mac-list OTV_HSRP_VMAC_deny seq 10 deny 0000.0c07.ac00 ffff.ffff.ff00
mac-list OTV_HSRP_VMAC_deny seq 11 deny 0000.0c9f.f000 ffff.ffff.f000
mac-list OTV_HSRP_VMAC_deny seq 20 permit 0000.0000.0000 0000.0000.0000
route-map OTV_HSRP_filter permit 10
match mac-list OTV_HSRP_VMAC_deny
otv-isis default
vpn Overlay0
redistribute filter route-map OTV_HSRP_filter
# Configurações de filtragem de FHRP são necessárias SOMENTE em VDCs de OTV; Se uma implantação ASR OTV for usada, os mecanismos de filtragem devem ser usados conforme relevante e documentados de acordo com o guia de configuração do ASR.
OTV Suprimir ARP
# Desativar o recurso ARP ND-cache em VDCs OTV
interface Overlay0 no otv suppress-arp-nd >>>>>
População de rotas devido à configuração LISP
DC1-AGG1# show ip route lisp vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 07:22:30, lisp, dyn-eid
172.16.144.128/25, ubest/mbest: 1/0
*via Null0, [240/1], 07:22:30, lisp, dyn-eid
# Quando LISP estiver ativado no SVI 144, haverá duas rotas Null0 que serão criadas automaticamente; A SVI 144 é uma sub-rede /24 e, portanto, a 1ª rota null0 seria de 172.16.144.0/25 e a segunda será 172.16.144.128/25 como mostrado acima.
# Isso é esperado e por projeto; isso é feito para garantir que os pacotes originados de hosts não descobertos acionem uma exceção de RPF que resultará em que os pacotes sejam direcionados para a CPU e, eventualmente, ajudarão na Detecção de Host (EID)
Sequência de eventos quando o host fica on-line em um SVI habilitado para LISP
A detecção de host em interfaces habilitadas para LISP é baseada na recepção do tráfego L3 de endereços IP dentro do intervalo especificado na configuração do mapeamento de banco de dados.
Para facilitar a detecção de hosts, observe que quando o LISP é ativado em uma interface:
# exceções de RPF estão ativadas na interface, de modo que os pacotes gerados por fontes desconhecidas acionem a exceção
# As rotas null0 originadas por LISP são instaladas para garantir que fontes desconhecidas acionem a exceção de RPF
Como essa solução depende da extensão OTV para L2 entre os dois datacenters, a sinalização ARP não pode ser usada diretamente para detectar hosts IP, pois em muitos casos é transmitida para todos os switches.
No entanto, os sinais ARP são usados como uma indicação para LISP de que um host não detectado pode estar presente. Como o host pode residir em qualquer lado da ponte OTV, o LISP inicia um mecanismo de localização após aprender uma nova associação IP-MAC.
O mecanismo de localização funciona da seguinte maneira:
# O switch aprende uma nova associação IP-MAC (através de uma solicitação GARP, RARP ou ARP).
# O switch que funciona como um HSRP ativo envia uma solicitação de eco ao host, mas tem origem no endereço VIP do HSRP
# O host responde à solicitação de eco, mas após o isolamento de FHRP em OTV, a resposta de eco é recebida somente no site DC onde o host reside
# Como a resposta de eco é um pacote L3, o host é detectado pelo LISP.
# Se um pacote IP for recebido em qualquer SVI habilitado para LISP, ele próprio alimentará o processo LISP informando que o End point é Local; não serão enviadas solicitações de ECHO ICMP para confirmar se o host é local ou não. Portanto, é importante observar que um Ping do Host DC2 para os endereços IP SVI DC1-AGG resultará em corrupção da identificação do ponto final, o que também pode resultar em perda de ping ou bloqueio de tráfego, já que o host agora é identificado como um EID local em DC1 em vez de DC2. Portanto, os pings não devem ser originados de endereços IP de SVI em um ambiente LISP, pois isso pode corromper a tabela de roteamento e resultará na retenção de tráfego. O mesmo problema ocorrerá se os hosts que estão na Vlan habilitada para LISP tentarem fazer ping nos endereços IP da SVI; O ping do VIP deve estar correto, pois o mesmo está presente e ativo nos dois lados e o local capturará o pacote.
Um exemplo de entrada de tabela de roteamento quando um host está on-line em DC1 é como abaixo;
DC1-AGG1# show ip route 172.16.144.1 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 1/0, attached
*via 172.16.144.1, Vlan144, [240/1], 3d05h, lisp, dyn-eid
via 172.16.144.1, Vlan144, [250/0], 3d05h, am
DC1-AGG2# sh ip route 172.16.144.1 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 1/0, attached
*via 172.16.144.1, Vlan144, [240/1], 3d05h, lisp, dyn-eid
via 172.16.144.1, Vlan144, [250/0], 3d05h, am
# Como visto acima, há duas rotas; Um por processo LISP com a distância administrativa de 240 e outro pelo AM-> Adjacency manager (preenchido pelo processo ARP) com AD de 250.
# Ambos os switches Agg em DC1 terão a mesma entrada.
# também, LISP listará a mesma entrada para o host na tabela EID dinâmica como mostrado abaixo.
DC1-AGG1# show lisp dynamic-eid detail vrf tenant-1 | in 144.1, nex 1
172.16.144.1, Vlan144, uptime: 3d05h, last activity: 00:14:38
Discovered by: packet reception
DC1-AGG2# show lisp dynamic-eid detail vrf tenant-1 | in 144.1, nex 1
172.16.144.1, Vlan144, uptime: 3d05h, last activity: 00:00:37
Discovered by: site-based Map-Notify
# Descoberta é diferente em ambos os casos; DC1-AGG1, que é o HSRP ativo, está registrando a entrada por meio de "recepção de pacotes", o que basicamente significa que houve um pacote que veio e que resultou na sua adição como um EID
# Quando o Agg1 chegou a saber sobre um EID, ele envia uma mensagem multicast do IP de Origem-> Loopback100 IP address (definido em mapeamento de banco de dados) para o grupo-> 239.254.254.254 (configurado acima) e o switch peer vPC também a recebe e preenche a entrada de acordo e considera isso como um EIE local D devido ao mapeamento do banco de dados ter os endereços IP de dc1-agg1 e dc1-agg2. Esse mesmo pacote multicast também atravessaria o OTV até os locais remotos; No entanto, os locais remotos verificariam o mapeamento do banco de dados e, como esse pacote é originado de um endereço IP diferente do "mapeamento do banco de dados", ele não será considerado um EID local pelos switches DC2 AGg.
Mapear Notificar Mensagens
# Quando um host é detectado pela SVI habilitada para LISP, uma mensagem de "notificação de mapa" disparada será enviada para o grupo de multicast definido na configuração de EID dinâmica correspondente
# Além das mensagens de notificação de mapa disparado, há mensagens de notificação de mapa periódicas enviadas pelo switch ativo (ou ativo FHRP) do HSRP nessa vlan;
# Um PCAP de mensagem de notificação de mapa é como abaixo.
Redistribuição de rotas LISP /32 para IGP
# Esta é a chave para o modo de assistência IGP; Qualquer rota LISP /32 seria redistribuída para IGP; Isso é possibilitado pelo comando "redistribute LISP" que foi aplicado no EIGRP.
# Qualquer rota de host /32 será vista como uma rota externa EIGRP após a redistribuição. Um ajuste da distância administrativa do EIGRP foi feito para torná-lo mais alto. Isso serve para garantir que a rota LISP permaneça na URIB em vez da rota externa EIGRP recebida. eg; DC1-Agg1 e DC1-Agg2 são vizinhos EIGRP com DC1-core. Uma rota /32 foi injetada por DC1-AGG1 para DC1-Core por meio de redistribuição. Agora que DC1-Core é vizinho EIGRP com DC1-Agg2, a mesma rota pode voltar para DC1-Agg2 e tem a chance de vencer na rota LISP (que tem AD 240) se o EIGRP AD for 170; Assim, para evitar isso, a rota externa AD do EIGRP foi modificada para 245.
# A rota /32 que foi aprendida pelos switches DC1-Agg é redistribuída para EIGRP e a entrada DC1-core seria como abaixo.
DC1-CORE# sh ip route 172.16.144.1
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.1/32, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:00:01, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:14:51, eigrp-100, external
# A rota está presente na tabela de roteamento global e nenhum VRF está configurado no lado Core.
# E devido ao "redistribute direct" que foi configurado em Switches AGG, o Core também terá uma rota ECMP /24 para a sub-rede pai, como mostrado abaixo. Isso ajudará a atrair tráfego para um host silencioso (para o qual não há rota /32).
DC1-CORE# sh ip route 172.16.144.10 # Checking for a non existent Host 172.16.144.10
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/24, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:02:13, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:17:03, eigrp-100, external
# Também uma rota ECMP /24 seria vista para os núcleos DC1 e DC2
Branch1-Router# sh ip route 172.16.144.10
Routing entry for 172.16.144.0/24
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:00:17 ago
Routing Descriptor Blocks:
192.168.99.2, from 192.168.99.2, 00:00:17 ago, via GigabitEthernet0/0/1 # 192.168.99.2 is DC2-Core
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
* 192.168.99.1, from 192.168.99.1, 00:00:17 ago, via GigabitEthernet0/0/1 # 192.168.99.1 is DC1-Core
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
# Essa rota garantiria que um Host da Filial pudesse acessar um host silencioso que vive em qualquer local.
Caminho do pacote para Intravlan inter-DC
# Quando DC1-Host1 -> 172.16.144.1 tenta acessar DC2-Host1-> 172.16.144.2, esse é o tráfego entre data centers da vlan. DC1-Host 1 envia uma solicitação ARP que atravessará todo o caminho através do OTV e atingirá DC2-Host1
# DC2-Host1 responde com uma resposta ARP que volta para DC1-Host1
# Pacotes ICMP subsequentes são enviados via OTV
Caminho do pacote para Inter-vlan inter-DC (da Vlan 144 à Vlan 244)
# Quando DC1-Host1-> 172.16.144.1 tenta acessar DC2-Host2-> 172.16.244.2, o pacote NÃO será roteado da vlan 144 para 244 em DC1; Em vez disso, segue um caminho roteado de DC1-Agg para DC1-Core e, em seguida, chega ao DC2-Core e o roteamento final será feito pelos switches DC2-Agg até a Vlan-244 de destino.
# Um traceroute de DC1-Host1 para DC2-Host2 é como abaixo.
DC1-HOST# traceroute 172.16.244.2 vrf vlan144 traceroute to 172.16.244.2 (172.16.244.2), 30 hops max, 40 byte packets 1 172.16.144.250 (172.16.144.250) 1.149 ms 0.841 ms 0.866 ms # DC1-AGG1 2 192.168.98.2 (192.168.98.2) 1.004 ms 0.67 ms 0.669 ms # DC1-CORE 3 192.168.99.2 (192.168.99.2) 0.756 ms 0.727 ms 0.714 ms # DC2-CORE 4 192.168.94.5 (192.168.94.5) 1.041 ms 0.937 ms 192.168.94.1 (192.168.94.1) 1.144 ms # DC2-Agg1/DC2-Agg2 5 172.16.244.2 (172.16.244.2) 2.314 ms * 2.046 ms # DC2-Host2
Caminho do pacote para Inter-vlan inter-DC(de VRF-tenant-1 a VRF tenant-2)
# Isso seguirá o mesmo que a comunicação entre VLANs de uma vlan para outra (exemplo anterior)
# Quando DC1-host1-> 172.16.144.1 tenta acessar DC2-Host3-> 172.16.145.2, esse é o tráfego inter-vlan inter-DC originado na Vlan 144(VRF espaço-1) e destinado à Vlan 145(VRF locatário-2 ). Ao contrário das implantações OTV N7k regulares, esse tráfego será tratado de forma ligeiramente diferente. Não haverá nenhum roteamento entre vlans acontecendo no lado DC1; Em vez disso, esse tráfego será roteado e enviado para o DC1-core e o núcleo o encaminhará ainda mais através do IGP para o DC2-Core
# Para este documento, o vazamento de inter-VRF é feito por local pelo Switch principal. Pode ser qualquer dispositivo (como firewall); Não há alterações da perspectiva de configuração LISP se houver vazamento de Inter-VRF ou não.
DC1-AGG1# sh ip route 172.16.145.2 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.145.2/32, ubest/mbest: 1/0
*via 192.168.98.2, Eth3/6.111, [245/51968], 00:00:46, eigrp-100, external
# Um Traceroute de DC1-Host1 a DC2-Host3 revelará o mesmo que não é roteado entre vlans, e sim a camada 3 roteada através do núcleo. Em resumo, o tráfego entre vlans não usará o OTV.
DC1-HOST# traceroute 172.16.145.2 vrf vlan144 traceroute to 172.16.145.2 (172.16.145.2), 30 hops max, 40 byte packets 1 172.16.144.250 (172.16.144.250) 1.049 ms 0.811 ms 0.81 ms # DC1-AGG1 2 192.168.98.2 (192.168.98.2) 0.844 ms 0.692 ms 0.686 ms # DC1-CORE 3 192.168.99.2 (192.168.99.2) 0.814 ms 0.712 ms 0.735 ms # DC2-CORE 4 192.168.194.1 (192.168.194.1) 0.893 ms 0.759 ms 192.168.194.5 (192.168.194.5) 0.89 ms # DC2-Agg1/DC2-Agg2 5 172.16.145.2 (172.16.145.2) 1.288 ms * 1.98 ms # DC2-Host3 DC1-HOST#
Caminho do pacote quando um host da filial 1 tenta alcançar um host silencioso que está presente em DC2
# Host em Branch-1-172.17.200.1 tenta acessar DC2-Silent Host- 172.16.144.119. Como o host é silencioso, não haverá nenhuma rota /32 presente em DC2.
DC2-AGG1# show ip route 172.16.144.119 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 20:48:29, lisp, dyn-eid
DC2-AGG2# show ip route 172.16.144.119 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.0/25, ubest/mbest: 1/0
*via Null0, [240/1], 20:48:13, lisp, dyn-eid
# Conforme o projeto LISP, a rota 172.16.144.119 corresponderá à rota null0 172.16.144.0/25.
# Quando o roteador da filial recebe um pacote com o IP de destino = 172.16.144.119, a URIB tem uma rota ECMP /24 para DC1-core e DC2-core. O que significa essencialmente que o pacote será enviado a um dos switches centrais.
Branch1-Router# sh ip route 172.16.144.119
Routing entry for 172.16.144.0/24
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:08:54 ago
Routing Descriptor Blocks:
192.168.99.2, from 192.168.99.2, 00:08:54 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
* 192.168.99.1, from 192.168.99.1, 00:08:54 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#sh ip cef exact-route 172.17.200.1 172.16.144.119 dest-port 1
172.17.200.1 -> 172.16.144.119 =>IP adj out of GigabitEthernet0/0/1, addr 192.168.99.1
# O pacote, conforme CEF, está sendo transmitido para 192.168.99.1 (que é DC1-Core)
# DC1-Core tem 2 caminhos ECMP; Um em direção a DC1-Agg1 (HSRP Ative) e o segundo, em direção a DC1-Agg2 (HSRP Standby). No hash de Roteamento, o caminho selecionado será DC1-Agg2.
DC1-CORE# sh routing hash 172.17.200.1 172.16.144.119 1 1
Load-share parameters used for software forwarding:
load-share mode: address source-destination port source-destination
Universal-id seed: 0xfdba3ebe
Hash for VRF "default"
Hash Type is 1
Hashing to path *192.168.98.5 Eth3/22.112
For route:
172.16.144.0/24, ubest/mbest: 2/0
*via 192.168.98.1, Eth3/20.111, [170/51456], 00:19:57, eigrp-100, external
*via 192.168.98.5, Eth3/22.112, [170/51456], 18:34:47, eigrp-100, external
DC1-CORE# sh cdp nei int e3/22
Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge
S - Switch, H - Host, I - IGMP, r - Repeater,
V - VoIP-Phone, D - Remotely-Managed-Device,
s - Supports-STP-Dispute
Device-ID Local Intrfce Hldtme Capability Platform Port ID
DC1-AGG2(JAF1534CHCJ)
Eth3/22 172 R S s N7K-C7009 Eth3/7
# Como o DC1-Agg2 não tem nenhuma entrada no URIB, o pacote será limpo e enviado para a CPU, o que forçaria o DC1-Agg2 a gerar uma solicitação ARP do endereço IP do SVI, como mostrado abaixo.
2020-02-18 15:09:05.673165 172.17.200.1 -> 172.16.144.119 ICMP 114 Echo (ping) request id=0x0022, seq=0/0, ttl=254
2020-02-18 15:09:05.675041 de:ad:20:19:22:22 -> Broadcast ARP 60 Who has 172.16.144.119? Tell 172.16.144.251
# Essa solicitação ARP é um broadcast e se propaga em todo o domínio da Camada 2 que também inclui o DC2 através da Extensão OTV.
# DC2-Silent Host responde agora à solicitação ARP de DC1-Agg2
# DC1-Agg2 recebe esta resposta ARP do host silencioso
2020-02-18 15:09:05.675797 64:12:25:97:46:41 -> de:ad:20:19:22:22 ARP 60 172.16.144.119 is at 64:12:25:97:46:41
# Uma vez que o pacote recebido foi ARP (que serve como uma dica para LISP), uma Solicitação de ECHO ICMP é gerada com origem no VIP do HSRP-> 172.16.144.254 e destinada ao host silencioso-> 172.16.144.119. A intenção de obter o pacote do VIP do HSRP é entender se o host é local ou remoto. Se o host for remoto, o FHRP Ative também estará presente no datacenter remoto, o que capturaria o pacote ICMP ECHO Reply do host e, portanto, isso resultará em DC2-Agg2 (que é o HSRP Ativo) para aprender sobre essa entrada, e o processo LISP agora fará uma Aprendizagem EID com base neste pacote IP. O DC1-Agg2 que originalmente originou a Solicitação de ECO ICMP do VIP do HSRP nunca recebe uma resposta e, portanto, a aprendizagem do ponto final nunca acontecerá no lado DC1; Em vez disso, estará no lado DC2.
DC2-AGG2# show lisp dynamic-eid detail vrf tenant-1
LISP Dynamic EID Information for VRF "tenant-1"
Dynamic-EID name: VLAN144
Database-mapping [2] EID-prefix: 172.16.144.0/24, LSBs: 0x00000003
Locator: 10.10.20.1, priority: 50, weight: 50
Uptime: 21:50:32, state: up
Locator: 10.10.20.2, priority: 50, weight: 50
Uptime: 21:50:13, state: up, local
Registering more-specific dynamic-EIDs
Registering routes: disabled
Allowed-list filter: none applied
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: 239.254.254.254
Extended Subnet Mode configured on 1 interfaces
Number of roaming dynamic-EIDs discovered: 3
Last dynamic-EID discovered: 172.16.144.254, 00:01:10 ago
Roaming dynamic-EIDs:
172.16.144.2, Vlan144, uptime: 19:09:07, last activity: 00:05:21
Discovered by: packet reception
172.16.144.119, Vlan144, uptime: 00:05:55, last activity: 00:05:55 Discovered by: packet reception
172.16.144.252, Vlan144, uptime: 3d21h, last activity: 00:01:10
Discovered by: packet reception
Secure-handoff pending for sources: none
# Quando o processo LISP estiver ciente do EID em DC2-Agg2 (HSRP Ative), ele irá
a) Instalar um /32 localmente
b) Redistribua a rota para DC2-Core
c) Enviar uma notificação baseada no site como uma mensagem multicast na Vlan (Neste exemplo, a mensagem será destinada ao grupo -> 239.254.254.254)
DC2-AGG1# show lisp dynamic-eid detail vrf tenant-1
LISP Dynamic EID Information for VRF "tenant-1"
Dynamic-EID name: VLAN144
Database-mapping [2] EID-prefix: 172.16.144.0/24, LSBs: 0x00000003
Locator: 10.10.20.1, priority: 50, weight: 50
Uptime: 21:52:39, state: up, local
Locator: 10.10.20.2, priority: 50, weight: 50
Uptime: 21:52:08, state: up
Registering more-specific dynamic-EIDs
Registering routes: disabled
Allowed-list filter: none applied
Map-Server(s): none configured, use global Map-Server
Site-based multicast Map-Notify group: 239.254.254.254
Extended Subnet Mode configured on 1 interfaces
Number of roaming dynamic-EIDs discovered: 4
Last dynamic-EID discovered: 172.16.144.254, 00:03:07 ago
Roaming dynamic-EIDs:
172.16.144.2, Vlan144, uptime: 19:11:04, last activity: 00:00:21
Discovered by: site-based Map-Notify
172.16.144.110, Vlan144, uptime: 20:04:09, last activity: 20:04:09
Discovered by: site-based Map-Notify
172.16.144.119, Vlan144, uptime: 00:07:52, last activity: 00:00:21 Discovered by: site-based Map-Notify
172.16.144.252, Vlan144, uptime: 21:50:51, last activity: 00:00:21
Discovered by: site-based Map-Notify
Secure-handoff pending for sources: none
# No final, o roteador Branch1 receberá essa rota /32, o que fará com que o roteador Branch envie o tráfego para o switch DC2-core correto.
Branch1-Router# sh ip route 172.16.144.119
Routing entry for 172.16.144.119/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:06:25 ago
Routing Descriptor Blocks:
* 192.168.99.2, from 192.168.99.2, 00:06:25 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Sequência de eventos quando um host se move (Roam) de DC1 para DC2
# Considerando que a Extensão L2 está configurada nesta topologia, um Host pode mover de DC1 para DC2.
# Host-> 172.16.144.100 está na Vlan 144 e no DC1 inicialmente.
# A rota nos switches DC1-Agg1 e DC1-Agg2 será a seguinte quando o host estiver on-line em DC1
DC1-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:05:03, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:05:05, am
DC1-AGG2# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:08:05, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:08:07, am
# Um roteador de filial terá a rota que aponta para o DC1-Core como abaixo e um traceroute apontaria os switches DC1 Core/Agg para acessar o host que está em DC1
Branch1-Router#sh ip route 172.16.144.100
Routing entry for 172.16.144.100/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.1 on GigabitEthernet0/0/1, 00:00:06 ago
Routing Descriptor Blocks:
* 192.168.99.1, from 192.168.99.1, 00:00:06 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#traceroute 172.16.144.100 source 172.17.200.1
Type escape sequence to abort.
Tracing the route to 172.16.144.100
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.99.1 1 msec 1 msec 0 msec # DC1-Core
2 192.168.98.5 1 msec 1 msec # DC1-Agg2
192.168.98.1 1 msec # DC1-Agg1
3 172.16.144.100 1 msec 0 msec 1 msec # DC1-Host
# Quando o host se move para DC2, ele envia um GARP para fora na Vlan 144. Isso seria visto nos switches DC2-Agg
2020-02-24 22:23:05.024902 Cisco_5a:4a:e7 -> Broadcast ARP 60 Gratuitous ARP for 172.16.144.100 (Request)
# Assim que um pacote é recebido com o ARP/GARP/RARP, ele aciona o mecanismo de localização para originar uma solicitação de eco ICMP para o host originado do VIP
2020-02-24 22:23:05.026781 172.16.144.254 -> 172.16.144.100 ICMP 60 Echo (ping) request id=0xac10, seq=0/0, ttl=128
# Host-172.16.144.100 agora responderá ao HSRP VIP
2020-02-24 22:23:07.035292 172.16.144.100 -> 172.16.144.254 ICMP 60 Echo (ping) reply id=0xac10, seq=0/0, ttl=255
# Assim que o Pacote IP for recebido no DC2-Agg1, isso resultará na detecção de LISP no EID e na criação de uma entrada na tabela de roteamento do Host e iniciará o processo de redistribuição para o EIGRP
DC2-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0, attached
*via 172.16.144.100, Vlan144, [240/1], 00:00:30, lisp, dyn-eid
via 172.16.144.100, Vlan144, [250/0], 00:00:32, am
# Com a redistribuição no lugar, o site DC1-agg (que era o proprietário original deste host) agora veria a Alteração no RIB apontando para o EIGRP
DC1-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>
172.16.144.100/32, ubest/mbest: 1/0
*via 192.168.98.2, Eth3/6.111, [245/51968], 00:03:47, eigrp-100, external
# Um roteador remoto de filial agora verá a alteração de rota e os traceroutes refletirão a alteração de caminho para os switches DC2 core/Agg, como mostrado abaixo
Branch1-Router#sh ip route 172.16.144.100
Routing entry for 172.16.144.100/32
Known via "eigrp 100", distance 170, metric 51712, type external
Redistributing via eigrp 100
Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:00:00 ago
Routing Descriptor Blocks:
* 192.168.99.2, from 192.168.99.2, 00:00:00 ago, via GigabitEthernet0/0/1
Route metric is 51712, traffic share count is 1
Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
Reliability 255/255, minimum MTU 1492 bytes
Loading 1/255, Hops 2
Branch1-Router#traceroute 172.16.144.100 source 172.17.200.1
Type escape sequence to abort.
Tracing the route to 172.16.144.100
VRF info: (vrf in name/id, vrf out name/id)
1 192.168.99.2 1 msec 0 msec 1 msec # DC2-Core
2 192.168.94.1 1 msec 1 msec 1 msec # DC2-Agg1
3 172.16.144.100 0 msec 0 msec 1 msec # Host-after move to DC2
Comandos de verificação úteis
# show lisp dynamic-eid detail vrf <Nome do VRF>
# Show ip route lisp vrf <Nome do VRF>
# show lisp dynamic-eid summary vrf <Nome do VRF>
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)