Configuración y Verificación de Nexus 7000 del Modo de Subred Extendida de LISP IGP Assist

Opciones de descarga

  • PDF     (414.1 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (365.9 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (438.1 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:29 de febrero de 2020
ID del documento:215302

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento explica cómo implementar LISP IGP Assist Extended Subnet Mode (ESM) usando un Nexus 7000

    Topología

    Detalles de la topología

    • DC1 y DC2 son dos ubicaciones ampliadas por OTV
    • Las VLAN 144, 145 y 244 están configuradas en todos los switches OTV, capa de acceso y de agregación
    • Las SVI para estas Vlan se configuran en los switches Agg. Las SVI 144 y 244 están en el arrendatario VRF-1; SVI 145 está en el arrendatario VRF 2. 
    • Al implementar LISP IGP Assist, no es un requisito que las SVI tengan que estar en los VRF; Este ejemplo utiliza varios VRF sólo para ilustrar los cambios de configuración necesarios (en cada contexto VRF relevante); Todas las SVI pueden estar en el mismo VRF y aún así pueden utilizar la asistencia IGP LISP 
    • HSRP se configura en Vlan144, 145 y 244; El aislamiento FHRP se configura en esta topología, lo que significaría que en total 4 switches ejecutarán HSRP y ambos lados tendrán un par activo/en espera. El aislamiento de FHRP se logra mediante el filtrado de mensajes HSRP Hello. 
    • DC1-agg1 y DC2-Agg2 son pares vPC; Lo mismo se aplica a DC2-Agg1 y DC2-Agg2
    • Las configuraciones LISP se aplican bajo las SVI 144, 145 y 244
    • La vecindad EIGRP se establece de Agg a los switches de núcleo por VRF. Las subinterfaces se ejecutan desde los switches Agg para cada VRF hasta los switches de núcleo y el Vecindario EIGRP se forma sobre estas subinterfaces.
    • Los routers remotos (sucursal) también forman parte del mismo dominio IGP. 
    • Cuando se utiliza LISP IGP Assist, no hay LISP Encap/Decap y, por lo tanto, las rutas LISP tendrán que redistribuirse al IGP(Aquí es EIGRP). Para este modelo de implementación representado en este documento, los routers de sucursal no tendrán ninguna configuración LISP.

    Componentes Utilizados

    • Agg, los switches de núcleo son Nexus 7000 con SUP2E, F3/M3 con la versión 8.2(4) de NXOS
    • Los routers de sucursal son ASR1ks
    • OTV está configurado en otro VDC en estos switches Nexus 7000; OTV y LISP deben estar en diferentes VDC. Compartir VDC no es una opción.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

    Configuraciones necesarias en switches AGG

    Configuraciones específicas de LISP en DC1-Agg1 y DC1-Agg2

    Common Configuration on both DC1-Agg1 and DC1-Agg2

feature lisp
vrf context tenant-1                                                       # This example is based on SVI 144 in VRF- tenant-1 and SVI 145 in VRF- tenant-2
  ip lisp etr                                                              # This is needed to initialize LISP and only etr is needed on a IGP assist mode Environment
  lisp instance-id 2                                                       # Instance-ID should be unique per VRF
  ip lisp locator-vrf default                                              # Locator Is specified in Default VRF
  lisp dynamic-eid VLAN144                                                 # Dynamic EID definition for Vlan 144
    database-mapping 172.16.144.0/24 10.10.10.1 priority 50 weight 50      # Database-mapping for 172.16.144.0/24 which is the Vlan 144; IP-> 10.10.10.1 is the Loopback100 IP address(which is the unique IP on DC1-AGG1)
    database-mapping 172.16.144.0/24 10.10.10.2 priority 50 weight 50      # Database-mapping for 172.16.144.0/24 which is the Vlan 144; IP-> 10.10.10.2 is the Loopback100 IP address(which is the unique IP on DC1-AGG2)
    map-notify-group 239.254.254.254                                       # Multicast group that will be used by LISP enabled switches to communicate about new EID learns or periodic EID notification messages
    no route-export away-dyn-eid                                           # This is a hidden command required to stop advertising any null0 /32 route for a remote host to the IGP
  lisp dynamic-eid VLAN244                                                 # Dynamic EID definition for Vlan 244
    database-mapping 172.16.244.0/24 10.10.10.1 priority 50 weight 50
    database-mapping 172.16.244.0/24 10.10.10.2 priority 50 weight 50
    map-notify-group 239.254.254.254
    no route-export away-dyn-eid

vrf context tenant-2
  ip lisp etr
  lisp instance-id 3
  ip lisp locator-vrf default
  lisp dynamic-eid VLAN145
    database-mapping 172.16.145.0/24 10.10.10.1 priority 50 weight 50
    database-mapping 172.16.145.0/24 10.10.10.2 priority 50 weight 50
    map-notify-group 239.254.254.254
    no route-export away-dyn-eid
                             
Configuration on DC1-Agg1

interface Vlan144
  no shutdown
  vrf member tenant-1
  lisp mobility VLAN144
  lisp extended-subnet-mode                                               # SVI needs to be in ESM Mode-Extended subnet mode
  ip address 172.16.144.250/24
  ip pim sparse-mode
  hsrp 144 
    preempt 
    priority 254
    ip 172.16.144.254

interface Vlan145
  no shutdown
  vrf member tenant-2
  lisp mobility VLAN145
  lisp extended-subnet-mode
  ip address 172.16.145.250/24
  ip pim sparse-mode
  hsrp 145 
    preempt 
    priority 254
    ip 172.16.145.254

interface Vlan244
  no shutdown
  vrf member tenant-1
  lisp mobility VLAN244
  lisp extended-subnet-mode
  ip address 172.16.244.250/24
  hsrp 244 
    preempt 
    priority 254
    ip 172.16.244.254

interface loopback100
  ip address 10.10.10.1/32
  ip router eigrp 100
  ip pim sparse-mode

Configuration on DC1-Agg2

interface Vlan144
  no shutdown
  vrf member tenant-1
  lisp mobility VLAN144
  lisp extended-subnet-mode
  ip address 172.16.144.251/24
  ip pim sparse-mode
  hsrp 144 
    ip 172.16.144.254

interface Vlan145
  no shutdown
  vrf member tenant-2
  lisp mobility VLAN145
  lisp extended-subnet-mode
  ip address 172.16.145.251/24
  ip pim sparse-mode
  hsrp 145 
    ip 172.16.145.254

interface Vlan244
  no shutdown
  vrf member tenant-1
  lisp mobility VLAN244
  lisp extended-subnet-mode
  no ip redirects
  ip address 172.16.244.251/24
  hsrp 244 
    ip 172.16.244.254

interface loopback100
  ip address 10.10.10.2/32
  ip router eigrp 100
  ip pim sparse-mode

    # La asignación de la base de datos debe proporcionarse de manera que en un lado, se requieran las direcciones IP de loopback DC1-Agg1 y DC1-Agg2; Dentro de DC2-Agg1 y DC2-Agg2, tendrá que crearse un loopback único y colocarlo en el mapping de base de datos.

    # En un modo de asistencia IGP, si se utiliza la configuración-> "ip lisp itr-ter", esto resultará en la inyección de la ruta de host /32 null0 para Vlan no habilitadas para LISP; Por lo tanto, la configuración correcta es "ip lisp ter" para el modo de asistencia IGP.

    Configuraciones específicas de LISP en DC2-Agg1 y DC2-Agg2

    Common Configuration on both DC2-Agg1 and DC2-Agg2

feature lisp

vrf context tenant-1
  ip lisp etr
  lisp instance-id 2
  ip lisp locator-vrf default
  lisp dynamic-eid VLAN144
    database-mapping 172.16.144.0/24 10.10.20.1 priority 50 weight 50      # Note that the IP addresses used in DC2 Agg switches are 10.10.20.1 and 10.10.20.2(Which are Loopbacks Configured on DC2-Agg switches)
    database-mapping 172.16.144.0/24 10.10.20.2 priority 50 weight 50
    map-notify-group 239.254.254.254
    no route-export away-dyn-eid
  lisp dynamic-eid VLAN244
    database-mapping 172.16.244.0/24 10.10.20.1 priority 50 weight 50
    database-mapping 172.16.244.0/24 10.10.20.2 priority 50 weight 50
    map-notify-group 239.254.254.254
    no route-export away-dyn-eid
vrf context tenant-2
  ip lisp etr
  lisp instance-id 3
  ip lisp locator-vrf default
  lisp dynamic-eid VLAN145
    database-mapping 172.16.145.0/24 10.10.20.1 priority 50 weight 50
    database-mapping 172.16.145.0/24 10.10.20.2 priority 50 weight 50
    map-notify-group 239.254.254.254
    no route-export away-dyn-eid

    Configuration on DC2-Agg1 
    
interface Vlan144
  no shutdown
  vrf member tenant-1
  lisp mobility VLAN144
  lisp extended-subnet-mode
  ip address 172.16.144.252/24
  ip pim sparse-mode
  hsrp 144 
    preempt 
    priority 254
    ip 172.16.144.254

interface Vlan145
  no shutdown
  vrf member tenant-2
  lisp mobility VLAN145
  lisp extended-subnet-mode
  ip address 172.16.145.252/24
  ip pim sparse-mode
  hsrp 145 
    preempt 
    priority 254
    ip 172.16.145.254

interface Vlan244
  no shutdown
  vrf member tenant-1
  lisp mobility VLAN244
  lisp extended-subnet-mode
  ip redirects
  ip address 172.16.244.252/24
  hsrp 244 
    preempt 
    priority 254
    ip 172.16.244.254

interface loopback100
  ip address 10.10.20.1/32
  ip router eigrp 100
  ip pim sparse-mode

Configuration on DC2-Agg2
    
interface Vlan144
  no shutdown
  vrf member tenant-1
  lisp mobility VLAN144
  lisp extended-subnet-mode
  ip address 172.16.144.253/24
  ip pim sparse-mode
  hsrp 144 
    ip 172.16.144.254

interface Vlan145
  no shutdown
  vrf member tenant-2
  lisp mobility VLAN145
  lisp extended-subnet-mode
  ip address 172.16.145.253/24
  ip pim sparse-mode
  hsrp 145 
    ip 172.16.145.254

interface Vlan244
  no shutdown
  vrf member tenant-1
  lisp mobility VLAN244
  lisp extended-subnet-mode
  no ip redirects
  ip address 172.16.244.253/24
  hsrp 244 
    preempt 
    ip 172.16.244.254

interface loopback100
  ip address 10.10.20.2/32
  ip router eigrp 100
  ip pim sparse-mode

    # La diferencia entre las configuraciones LISP DC1 y DC2 Agg son los loopbacks definidos en la "asignación de base de datos". En la configuración DC1, esto se definirá con los loopbacks de DC1-Agg1 y DC1-Agg2 y para DC2, los mapeos de base de datos se definirán con los loopbacks que están en DC2-Agg1 y DC2-Agg2

    # El resto de las configuraciones IGP/Route-maps/prefix-lists que se muestran a continuación serán similares(las direcciones IP asignadas para las interfaces son, de hecho, diferentes)

    Específico de IGP

    router eigrp 100
  address-family ipv4 unicast
  vrf tenant-1
    distance 90 245                                                       # External EIGRP Routes have to have an AD which is higher than the default LISP AD(which is 240); Reason being, if the redistributed route from dc1-agg1 comes back to dc1-agg2 via eigrp, default EIGRP External is 170 which will override LISP route causing problems
    redistribute lisp route-map lisp-to-eigrp                             # This command is to redistribute LISP /32 routes only to the IGP(EIGRP In this example)
    redistribute direct route-map direct                                  # This is needed so that the direct routes(/24 SVI routes in LISP) are redistributed to the IGP; This will be needed if there is some device that is trying to communicate to a silent host in the LISP enabled Vlan
  vrf tenant-2
    distance 90 245
    redistribute lisp route-map lisp-to-eigrp
    redistribute direct route-map direct

    # Los VDC AGG habilitados para LISP también formarán la vecindad IGP al lado principal 

    # Para este ejemplo, las subinterfaces que formaban parte de cada VRF de arrendatario se utilizaron para formar la vecindad hacia el núcleo como se muestra a continuación.

    interface Ethernet3/6.111
  encapsulation dot1q 111
  vrf member tenant-1
  ip address 192.168.98.1/30
  ip router eigrp 100
  no shutdown


interface Ethernet3/6.212
  encapsulation dot1q 212
  vrf member tenant-2
  ip address 192.168.198.1/30
  ip router eigrp 100
  no shutdown

    Route-maps/Prefix-Lists

    ip prefix-list lisp-to-eigrp seq 5 permit 0.0.0.0/0 ge 32                # This is the prefix list that is matching any /32 routes which are to be redistributed from LISP To IGP
   
route-map direct permit 10                                               # This is for the Direct routes

route-map lisp-to-eigrp deny 10                                          # This is to prevent any null0 routes from being redistributed to IGP from LISP
  match interface Null0 
route-map lisp-to-eigrp permit 20                                        # This is to allow redistribution of /32 host routes 
  match ip address prefix-list lisp-to-eigrp

    # Todas las configuraciones anteriores son necesarias en todos los switches AGG(DC1 y DC2). Tenga en cuenta para proporcionar direcciones IP únicas para las SVI, los Loopbacks, HSRP VIP será el mismo para todas las SVI

    Configuraciones de OTV VDC

    Filtrado de HSRP

    # Para implementaciones de asistencia IGP, cuando se amplían mediante OTV o cualquier otro mecanismo, el aislamiento FHRP debe estar implementado; 

    # Esto se hace filtrando los mensajes Hello de FHRP dentro de OTV VDC

    # En este ejemplo, se utiliza N7k OTV y por lo tanto las configuraciones siguientes se aplicaron para filtrar los paquetes FHRP en OTV VDC.

    ip access-list ALL_IPs
  10 permit ip any any 
mac access-list ALL_MACs
  10 permit any any 
ip access-list HSRP_IP
  10 permit udp any 224.0.0.2/32 eq 1985 
  20 permit udp any 224.0.0.102/32 eq 1985 
mac access-list HSRP_VMAC
  10 permit 0000.0c07.ac00 0000.0000.00ff any 
  20 permit 0000.0c9f.f000 0000.0000.0fff any 
arp access-list HSRP_VMAC_ARP
  10 deny ip any mac 0000.0c07.ac00 ffff.ffff.ff00 
  20 deny ip any mac 0000.0c9f.f000 ffff.ffff.f000 
  30 permit ip any mac any 
vlan access-map HSRP_Localization 10
        match mac address HSRP_VMAC
        match ip address HSRP_IP
        action drop
vlan access-map HSRP_Localization 20
        match mac address ALL_MACs
        match ip address ALL_IPs
        action forward
vlan filter HSRP_Localization vlan-list 144-145
ip arp inspection filter HSRP_VMAC_ARP vlan 144-145

mac-list OTV_HSRP_VMAC_deny seq 10 deny 0000.0c07.ac00 ffff.ffff.ff00
mac-list OTV_HSRP_VMAC_deny seq 11 deny 0000.0c9f.f000 ffff.ffff.f000
mac-list OTV_HSRP_VMAC_deny seq 20 permit 0000.0000.0000 0000.0000.0000
route-map OTV_HSRP_filter permit 10
  match mac-list OTV_HSRP_VMAC_deny

otv-isis default
  vpn Overlay0
    redistribute filter route-map OTV_HSRP_filter

    # Las configuraciones de filtrado FHRP SOLO se requieren en los VDC OTV; Si se utiliza una implementación de ASR OTV, los mecanismos de filtrado deben utilizarse según corresponda y documentarse según la guía de configuración de ASR.

    OTV Suppress ARP

    # Deshabilitar la función ARP ND-cache en VDC OTV

    interface Overlay0
 no otv suppress-arp-nd >>>>>

    Población de rutas debido a la configuración LISP

    DC1-AGG1# show ip route lisp vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.0/25, ubest/mbest: 1/0
    *via Null0, [240/1], 07:22:30, lisp, dyn-eid
172.16.144.128/25, ubest/mbest: 1/0
    *via Null0, [240/1], 07:22:30, lisp, dyn-eid

    # Cuando LISP está habilitado en SVI 144, habrá dos rutas Null0 que se crean automáticamente; SVI 144 es una subred /24, por lo que la primera ruta nula 0 sería de 172.16.144.0/25 y la segunda sería 172.16.144.128/25 como se muestra arriba. 

    # Esto se espera y por diseño; esto se hace para asegurarse de que los paquetes originados en hosts no descubiertos activen una excepción RPF que dará como resultado que los paquetes sean impulsados a la CPU y eventualmente ayudarán en la Detección de Host (EID)

    Secuencia de eventos cuando el host se conecta dentro de una SVI habilitada para LISP

    # La detección de host en las interfaces LISP se basa en la recepción del tráfico L3 desde las direcciones IP dentro del rango especificado en la configuración de asignación de base de datos.

    Para facilitar la detección de hosts, tenga en cuenta que cuando LISP está habilitado en una interfaz:
     # Las excepciones de RPF se habilitan en la interfaz, de modo que los paquetes generados por fuentes desconocidas activan la excepción
     # Las rutas de origen LISP Null0 se instalan para asegurarse de que los orígenes desconocidos activan la excepción RPF

    Puesto que esta solución se basa en OTV para la extensión L2 entre los dos Data Centers, la señalización ARP no se puede utilizar directamente para detectar hosts IP, ya que en muchos casos se transmite a todos los switches.

    Sin embargo, las señales ARP se utilizan como indicación para LISP de que puede haber un host no detectado. Dado que el host puede residir en cualquier lado del puente OTV, LISP inicia un mecanismo de localización después de aprender un nuevo enlace IP-MAC.
    El mecanismo de localización funciona de la siguiente manera:
     # El switch aprende un nuevo enlace IP-MAC (a través de GARP, RARP o una solicitud ARP).
     # El switch que funciona como HSRP activo envía una solicitud de eco al host pero proviene de la dirección HSRP VIP
     # El host responde a la solicitud de eco, pero después del aislamiento FHRP en OTV, la respuesta de eco sólo se recibe en el sitio DC donde reside el host
     # Dado que la respuesta de eco es un paquete L3, LISP detecta el host.

    # Si se recibe un paquete IP en cualquier SVI habilitado para LISP, eso por sí mismo alimentará el proceso LISP informando que el punto final es Local; no habrá ninguna solicitud ECHO ICMP enviada para confirmar si el host es local o no. Por lo tanto, es fundamental tener en cuenta que un ping de un host DC2 a direcciones IP SVI DC1-AGG resultará en una corrupción en la identificación del punto final, lo que también podría resultar en una pérdida de ping o en un agujero negro de tráfico ya que el host ahora se identifica como un EID local en DC1 en lugar de DC2. Por lo tanto, los pings no se deben originar desde las direcciones IP SVI en un entorno LISP ya que esto puede dañar la tabla de ruteo y dar lugar a un bloqueo del tráfico. El mismo problema ocurrirá si los Hosts que están en LISP Enabled Vlan intentan hacer ping a las direcciones IP SVI; El ping al VIP debe estar bien, ya que el mismo está presente y activo en ambos lados y el sitio Local capturará el paquete.

    Un ejemplo de entrada de tabla de ruteo cuando un host está en línea en DC1 es el siguiente:

    DC1-AGG1# show ip route 172.16.144.1 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.1/32, ubest/mbest: 1/0, attached
    *via 172.16.144.1, Vlan144, [240/1], 3d05h, lisp, dyn-eid
     via 172.16.144.1, Vlan144, [250/0], 3d05h, am

DC1-AGG2# sh ip route 172.16.144.1 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.1/32, ubest/mbest: 1/0, attached
    *via 172.16.144.1, Vlan144, [240/1], 3d05h, lisp, dyn-eid
     via 172.16.144.1, Vlan144, [250/0], 3d05h, am

    # Como se ha visto anteriormente, hay dos rutas; Uno por proceso LISP con la Distancia administrativa de 240 y otro por AM-> administrador de adyacencia (completado por proceso ARP) que tiene AD de 250.

    # Ambos switches Agg en DC1 tendrán la misma entrada.

    # también, LISP enumerará la misma entrada para el host en la tabla EID dinámica como se muestra a continuación.

    DC1-AGG1# show lisp dynamic-eid detail vrf tenant-1 | in 144.1, nex 1
    172.16.144.1, Vlan144, uptime: 3d05h, last activity: 00:14:38
      Discovered by: packet reception

DC1-AGG2#  show lisp dynamic-eid detail vrf tenant-1 | in 144.1, nex 1
    172.16.144.1, Vlan144, uptime: 3d05h, last activity: 00:00:37
      Discovered by: site-based Map-Notify

    # Discovery es diferente en ambos casos; DC1-AGG1 que es el HSRP activo está registrando la entrada mediante "recepción de paquetes", lo que significa básicamente que hubo un paquete en el que resultó agregarlo como EID

    # Una vez que el Agg1 conoció un EID, envía un mensaje de multidifusión desde la dirección IP de origen-> Loopback100 (definida en la asignación de base de datos) al grupo-> 239.254.254.254(configurada arriba) y el switch de par vPC también lo recibe y rellena la entrada en consecuencia y considera esto como un EID local a la asignación de la base de datos que tiene las direcciones IP dc1-agg1 y dc1-agg2. Este mismo paquete multicast también atravesaría el OTV a los sitios remotos; Sin embargo, los sitios remotos verificarían la asignación de la base de datos y dado que este paquete proviene de una dirección IP que es diferente de la de la "asignación de la base de datos", los switches DC2 AGg no lo considerarán como un EID local.

    Asignar mensajes de notificación

    # Cuando un host es detectado por el SVI habilitado por LISP, se enviará un mensaje de "notificación de mapa" activado al grupo multicast que se define bajo la configuración EID dinámica correspondiente

    # Aparte de los mensajes desencadenados map-notify, hay mensajes periódicos map-notify que son enviados por el switch HSRP Activo(O FHRP activo) en esa vlan; 

    # Un PCAP del mensaje de notificación del mapa es el siguiente.

    Redistribución de rutas LISP /32 a IGP

    # Esta es la clave para el modo de asistencia IGP; Cualquier ruta /32 LISP se redistribuiría a IGP; Esto es posible gracias al comando "redistribute LISP" que se aplicó bajo EIGRP.  

    # Cualquier ruta de host /32 se verá como una ruta externa EIGRP después de la redistribución. Se realizó un ajuste de la distancia administrativa de EIGRP para hacerlo mayor. Esto es para asegurarse de que la ruta LISP permanezca en URIB en lugar de la ruta externa EIGRP entrante. por ejemplo: DC1-Agg1 y DC1-Agg2 son vecinos EIGRP con DC1-core. DC1-AGG1 a DC1-Core inyectó una ruta /32 mediante redistribución. Ahora que el DC1-Core es vecino EIGRP con DC1-Agg2, la misma ruta puede regresar a DC1-Agg2 y tiene la posibilidad de ganar a través de la ruta LISP (que tiene un AD de 240) si el EIGRP AD era 170; Por lo tanto, para evitar esto, la ruta externa EIGRP AD se ha modificado a 245. 

    # La ruta /32 aprendida por los switches DC1-Agg se redistribuye a EIGRP y la entrada de DC1-core se vería como se muestra a continuación. 

    DC1-CORE# sh ip route 172.16.144.1 
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.1/32, ubest/mbest: 2/0
    *via 192.168.98.1, Eth3/20.111, [170/51456], 00:00:01, eigrp-100, external
    *via 192.168.98.5, Eth3/22.112, [170/51456], 18:14:51, eigrp-100, external

    # La ruta está presente en la tabla de ruteo global y no se configura ningún VRF en el lado del núcleo. 

    # Y debido a la "redistribución directa" configurada en los switches AGG, el núcleo también tendrá una ruta ECMP /24 para la subred principal como se muestra a continuación. Esto ayudará a atraer tráfico para un host silencioso(para el cual no hay ruta /32).

    DC1-CORE# sh ip route 172.16.144.10                # Checking for a non existent Host 172.16.144.10
IP Route Table for VRF "default"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.0/24, ubest/mbest: 2/0
    *via 192.168.98.1, Eth3/20.111, [170/51456], 00:02:13, eigrp-100, external
    *via 192.168.98.5, Eth3/22.112, [170/51456], 18:17:03, eigrp-100, external

    # También se vería una ruta ECMP /24 a los núcleos DC1 y DC2

    Branch1-Router# sh ip route 172.16.144.10
Routing entry for 172.16.144.0/24
  Known via "eigrp 100", distance 170, metric 51712, type external
  Redistributing via eigrp 100
  Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:00:17 ago
  Routing Descriptor Blocks:
    192.168.99.2, from 192.168.99.2, 00:00:17 ago, via GigabitEthernet0/0/1      # 192.168.99.2 is DC2-Core
      Route metric is 51712, traffic share count is 1
      Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
      Reliability 255/255, minimum MTU 1492 bytes
      Loading 1/255, Hops 2
  * 192.168.99.1, from 192.168.99.1, 00:00:17 ago, via GigabitEthernet0/0/1      # 192.168.99.1 is DC1-Core
      Route metric is 51712, traffic share count is 1
      Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
      Reliability 255/255, minimum MTU 1492 bytes
      Loading 1/255, Hops 2

    # Esta ruta se aseguraría de que un host de sucursal pueda alcanzar un host silencioso que vive en cualquier ubicación. 

    Trayectoria del paquete para Intra-vlan Inter-DC

    # Cuando DC1-Host1 -> 172.16.144.1 intenta alcanzar DC2-Host1-> 172.16.144.2, esto es tráfico dentro de vlan entre Data Centers. DC1-Host 1 envía una solicitud ARP que recorrerá todo el camino a través del OTV y alcanzará el DC2-Host1

    # DC2-Host1 responde con una respuesta ARP que regresa al DC1-Host1

    # Los paquetes ICMP subsiguientes se envían a través de OTV

    Ruta del paquete para Inter-VLAN Inter-DC(De Vlan 144 a Vlan 244)

    # Cuando DC1-Host1-> 172.16.144.1 intenta alcanzar DC2-Host2-> 172.16.244.2, el Paquete NO será ruteado de vlan 144 a 244 en DC1; Más bien, sigue un trayecto ruteado de DC1-Agg a DC1-Core y luego llega al DC2-Core y el ruteo final lo harán los switches DC2-Agg al destino Vlan-244.

    # A traceroute de DC1-Host1 a DC2-Host2 es el siguiente.

    DC1-HOST# traceroute 172.16.244.2 vrf vlan144
traceroute to 172.16.244.2 (172.16.244.2), 30 hops max, 40 byte packets
 1  172.16.144.250 (172.16.144.250)  1.149 ms  0.841 ms  0.866 ms                               # DC1-AGG1
 2  192.168.98.2 (192.168.98.2)  1.004 ms  0.67 ms  0.669 ms                                    # DC1-CORE
 3  192.168.99.2 (192.168.99.2)  0.756 ms  0.727 ms  0.714 ms                                   # DC2-CORE
 4  192.168.94.5 (192.168.94.5)  1.041 ms  0.937 ms 192.168.94.1 (192.168.94.1)  1.144 ms       # DC2-Agg1/DC2-Agg2
 5  172.16.244.2 (172.16.244.2)  2.314 ms *  2.046 ms                                           # DC2-Host2

    Ruta del paquete para Inter-VLAN Inter-DC(De VRF-tenant-1 a VRF tenant-2)

    # Esto seguirá igual que la comunicación entre VLAN y DC de una vlan a otra (ejemplo anterior)

    # Cuando DC1-host1-> 172.16.144.1 intenta alcanzar DC2-Host3-> 172.16.145.2, se trata de tráfico inter-VLAN entre DC que se origina en Vlan 144(VRF arrendatario-1) y se dirige a Vlan 145(VRF arrendatario-2) ... A diferencia de las implementaciones habituales de OTV N7k, este tráfico se tratará de forma ligeramente diferente. No habrá ningún ruteo entre VLAN en el lado DC1; En lugar de ello, este tráfico se ruteará y se enviará hasta el DC1-core y el núcleo lo ruteará más a través del IGP al DC2-Core

    # Para el bien de este documento, la fuga entre VRF se realiza por sitio mediante el switch de núcleo. Podría ser cualquier dispositivo (como firewall); No hay cambios desde la perspectiva de configuración de LISP si hay fugas de Inter-VRF o no. 

    DC1-AGG1# sh ip route 172.16.145.2 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.145.2/32, ubest/mbest: 1/0
    *via 192.168.98.2, Eth3/6.111, [245/51968], 00:00:46, eigrp-100, external

    # Un Traceroute de DC1-Host1 a DC2-Host3 revelará lo mismo que no se rutea entre vlan, en lugar de la capa 3 ruteada a través del Núcleo. En resumen, el tráfico Inter-VLAN no utilizará el OTV.

    DC1-HOST# traceroute 172.16.145.2 vrf vlan144
traceroute to 172.16.145.2 (172.16.145.2), 30 hops max, 40 byte packets
 1  172.16.144.250 (172.16.144.250)  1.049 ms  0.811 ms  0.81 ms                               # DC1-AGG1
 2  192.168.98.2 (192.168.98.2)  0.844 ms  0.692 ms  0.686 ms                                  # DC1-CORE
 3  192.168.99.2 (192.168.99.2)  0.814 ms  0.712 ms  0.735 ms                                  # DC2-CORE
 4  192.168.194.1 (192.168.194.1)  0.893 ms  0.759 ms 192.168.194.5 (192.168.194.5)  0.89 ms   # DC2-Agg1/DC2-Agg2
 5  172.16.145.2 (172.16.145.2)  1.288 ms *  1.98 ms                                           # DC2-Host3
DC1-HOST#

    Ruta del paquete cuando un host de la sucursal 1 intenta alcanzar un host silencioso que está presente en DC2

    # Host en Branch-1-172.17.200.1 intenta alcanzar DC2-Silent Host- 172.16.144.119. Dado que el host está silencioso, no habrá ninguna ruta /32 presente en DC2. 

    DC2-AGG1# show ip route 172.16.144.119 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.0/25, ubest/mbest: 1/0
    *via Null0, [240/1], 20:48:29, lisp, dyn-eid

DC2-AGG2# show ip route 172.16.144.119 vr tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.0/25, ubest/mbest: 1/0
    *via Null0, [240/1], 20:48:13, lisp, dyn-eid

    # Según el diseño de LISP, la ruta 172.16.144.119 coincidirá con la ruta 172.16.144.0/25 null0. 

    # Cuando el router de la sucursal recibe un paquete con la IP de destino = 172.16.144.119, el URIB tiene una ruta ECMP /24 a los núcleos DC1 y DC2. Lo que significa esencialmente que el paquete se enviará a uno de los switches de núcleo.

    Branch1-Router# sh ip route 172.16.144.119
Routing entry for 172.16.144.0/24
  Known via "eigrp 100", distance 170, metric 51712, type external
  Redistributing via eigrp 100
  Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:08:54 ago
  Routing Descriptor Blocks:
    192.168.99.2, from 192.168.99.2, 00:08:54 ago, via GigabitEthernet0/0/1
      Route metric is 51712, traffic share count is 1
      Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
      Reliability 255/255, minimum MTU 1492 bytes
      Loading 1/255, Hops 2
  * 192.168.99.1, from 192.168.99.1, 00:08:54 ago, via GigabitEthernet0/0/1
      Route metric is 51712, traffic share count is 1
      Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
      Reliability 255/255, minimum MTU 1492 bytes
      Loading 1/255, Hops 2

    Branch1-Router#sh ip cef exact-route 172.17.200.1 172.16.144.119 dest-port 1
    172.17.200.1 -> 172.16.144.119 =>IP adj out of GigabitEthernet0/0/1, addr 192.168.99.1

    # El paquete según CEF está hashing a 192.168.99.1(que es DC1-Core)

    # DC1-Core tiene 2 trayectorias ECMP; Uno hacia DC1-Agg1(HSRP Activo) y el segundo, hacia DC1-Agg2(HSRP En espera). En el hash de ruteo, la trayectoria seleccionada será DC1-Agg2.

    DC1-CORE# sh routing hash 172.17.200.1 172.16.144.119 1 1 
Load-share parameters used for software forwarding:
load-share mode: address source-destination port source-destination
Universal-id seed: 0xfdba3ebe
Hash for VRF "default"
Hash Type is 1
Hashing to path *192.168.98.5 Eth3/22.112
For route:
172.16.144.0/24, ubest/mbest: 2/0
    *via 192.168.98.1, Eth3/20.111, [170/51456], 00:19:57, eigrp-100, external
    *via 192.168.98.5, Eth3/22.112, [170/51456], 18:34:47, eigrp-100, external


    DC1-CORE# sh cdp nei int e3/22
Capability Codes: R - Router, T - Trans-Bridge, B - Source-Route-Bridge
                  S - Switch, H - Host, I - IGMP, r - Repeater,
                  V - VoIP-Phone, D - Remotely-Managed-Device,
                  s - Supports-STP-Dispute

Device-ID          Local Intrfce  Hldtme Capability  Platform        Port ID
DC1-AGG2(JAF1534CHCJ)
                    Eth3/22        172    R S s     N7K-C7009        Eth3/7

    # Dado que DC1-Agg2 no tiene ninguna entrada en el URIB, el paquete será recolectado y enviado a la CPU, lo que obligaría al DC1-Agg2 a generar una solicitud ARP de la dirección IP SVI como se muestra a continuación.

    2020-02-18 15:09:05.673165 172.17.200.1 -> 172.16.144.119 ICMP 114 Echo (ping) request id=0x0022, seq=0/0, ttl=254
    2020-02-18 15:09:05.675041 de:ad:20:19:22:22 -> Broadcast ARP 60 Who has 172.16.144.119? Tell 172.16.144.251

    # Esta solicitud ARP es una difusión y se propaga en todo el dominio de Capa 2 que también incluye el DC2 a través de la extensión OTV. 

    # DC2-Silent Host responde ahora a la solicitud ARP de DC1-Agg2

    # DC1-Agg2 recibe esta respuesta ARP del host silencioso

    2020-02-18 15:09:05.675797 64:12:25:97:46:41 -> de:ad:20:19:22:22 ARP 60 172.16.144.119 is at 64:12:25:97:46:41

    # SiUna vez que el paquete recibido fue ARP(que sirve como pista para LISP), se genera una solicitud ECHO ICMP a partir del HSRP VIP-> 172.16.144.254 y destinado al host silencioso-> 172.16.144.119. La intención de obtener el paquete del VIP de HSRP es comprender si el host es local o remoto. Si el Host es remoto, entonces el FHRP Activo también está presente en el Data Center remoto que capturaría el paquete de respuesta ECHO ICMP del Host y esto da como resultado DC2-Agg2(que es el HSRP Activo) para aprender acerca de esta entrada y el proceso LISP ahora hará un EID Learn basado en este paquete IP. El DC1-Agg2 que originó originalmente la solicitud ECHO ICMP del VIP de HSRP nunca obtiene una respuesta y, por lo tanto, el aprendizaje del punto final nunca ocurrirá en el lado DC1; Más bien estará en el lado DC2. 

    DC2-AGG2# show lisp dynamic-eid detail vrf tenant-1
LISP Dynamic EID Information for VRF "tenant-1"
Dynamic-EID name: VLAN144
  Database-mapping [2] EID-prefix: 172.16.144.0/24, LSBs: 0x00000003
    Locator: 10.10.20.1, priority: 50, weight: 50
             Uptime: 21:50:32, state: up
    Locator: 10.10.20.2, priority: 50, weight: 50
             Uptime: 21:50:13, state: up, local
  Registering more-specific dynamic-EIDs
  Registering routes: disabled
  Allowed-list filter: none applied
  Map-Server(s): none configured, use global Map-Server
  Site-based multicast Map-Notify group: 239.254.254.254
  Extended Subnet Mode configured on 1 interfaces
  Number of roaming dynamic-EIDs discovered: 3
  Last dynamic-EID discovered: 172.16.144.254, 00:01:10 ago
  Roaming dynamic-EIDs: 
    172.16.144.2, Vlan144, uptime: 19:09:07, last activity: 00:05:21
      Discovered by: packet reception
    172.16.144.119, Vlan144, uptime: 00:05:55, last activity: 00:05:55 Discovered by: packet reception
    172.16.144.252, Vlan144, uptime: 3d21h, last activity: 00:01:10
      Discovered by: packet reception

Secure-handoff pending for sources: none

    # Una vez que el proceso LISP conozca el EID en DC2-Agg2(HSRP Activo),

     a) Instale un /32 localmente

     b) Redistribución de la ruta a DC2-Core

     c) Enviar una notificación basada en el sitio como mensaje de multidifusión en la VLAN(En este ejemplo, el mensaje se dirigirá al grupo -> 239.254.254.254)

    DC2-AGG1# show lisp dynamic-eid detail vrf tenant-1
LISP Dynamic EID Information for VRF "tenant-1"
Dynamic-EID name: VLAN144
  Database-mapping [2] EID-prefix: 172.16.144.0/24, LSBs: 0x00000003
    Locator: 10.10.20.1, priority: 50, weight: 50
             Uptime: 21:52:39, state: up, local
    Locator: 10.10.20.2, priority: 50, weight: 50
             Uptime: 21:52:08, state: up
  Registering more-specific dynamic-EIDs
  Registering routes: disabled
  Allowed-list filter: none applied
  Map-Server(s): none configured, use global Map-Server
  Site-based multicast Map-Notify group: 239.254.254.254
  Extended Subnet Mode configured on 1 interfaces
  Number of roaming dynamic-EIDs discovered: 4
  Last dynamic-EID discovered: 172.16.144.254, 00:03:07 ago
  Roaming dynamic-EIDs: 
    172.16.144.2, Vlan144, uptime: 19:11:04, last activity: 00:00:21
      Discovered by: site-based Map-Notify
    172.16.144.110, Vlan144, uptime: 20:04:09, last activity: 20:04:09
      Discovered by: site-based Map-Notify
   172.16.144.119, Vlan144, uptime: 00:07:52, last activity: 00:00:21 Discovered by: site-based Map-Notify
    172.16.144.252, Vlan144, uptime: 21:50:51, last activity: 00:00:21
      Discovered by: site-based Map-Notify

Secure-handoff pending for sources: none

    # Al final, el router de sucursal1 recibirá esta ruta /32 que hará que el router de sucursal envíe el tráfico al switch de núcleo DC2 derecho.

    Branch1-Router# sh ip route 172.16.144.119                      
Routing entry for 172.16.144.119/32
  Known via "eigrp 100", distance 170, metric 51712, type external
  Redistributing via eigrp 100
  Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:06:25 ago
  Routing Descriptor Blocks:
  * 192.168.99.2, from 192.168.99.2, 00:06:25 ago, via GigabitEthernet0/0/1
      Route metric is 51712, traffic share count is 1
      Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
      Reliability 255/255, minimum MTU 1492 bytes
      Loading 1/255, Hops 2

    Secuencia de eventos cuando un host se mueve (roaming) de DC1 a DC2

    # Considerando que la extensión L2 está configurada en esta topología, un host puede moverse de DC1 a DC2.

    # Host-> 172.16.144.100 está en Vlan 144 y en DC1 inicialmente. 

    # La ruta dentro de los switches DC1-Agg1 y DC1-Agg2 será la siguiente cuando el host esté en línea en DC1

    DC1-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.100/32, ubest/mbest: 1/0, attached
    *via 172.16.144.100, Vlan144, [240/1], 00:05:03, lisp, dyn-eid
     via 172.16.144.100, Vlan144, [250/0], 00:05:05, am

DC1-AGG2# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.100/32, ubest/mbest: 1/0, attached
    *via 172.16.144.100, Vlan144, [240/1], 00:08:05, lisp, dyn-eid
     via 172.16.144.100, Vlan144, [250/0], 00:08:07, am

    # Un router de sucursal tendrá la ruta que apunta al DC1-Core como se muestra a continuación y un traceroute apuntaría a los switches DC1 Core/agg para alcanzar el host que está en DC1

    Branch1-Router#sh ip route 172.16.144.100             
Routing entry for 172.16.144.100/32
  Known via "eigrp 100", distance 170, metric 51712, type external
  Redistributing via eigrp 100
  Last update from 192.168.99.1 on GigabitEthernet0/0/1, 00:00:06 ago
  Routing Descriptor Blocks:
  * 192.168.99.1, from 192.168.99.1, 00:00:06 ago, via GigabitEthernet0/0/1
      Route metric is 51712, traffic share count is 1
      Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
      Reliability 255/255, minimum MTU 1492 bytes
      Loading 1/255, Hops 2

Branch1-Router#traceroute 172.16.144.100 source 172.17.200.1
Type escape sequence to abort.
Tracing the route to 172.16.144.100
VRF info: (vrf in name/id, vrf out name/id)
  1 192.168.99.1 1 msec 1 msec 0 msec                      # DC1-Core
  2 192.168.98.5 1 msec 1 msec                             # DC1-Agg2                    
    192.168.98.1 1 msec                                    # DC1-Agg1
  3 172.16.144.100 1 msec 0 msec 1 msec                    # DC1-Host

    # Cuando el host se mueve a DC2, envía un GARP fuera en la Vlan 144. Esto se vería en los switches DC2-Agg

    2020-02-24 22:23:05.024902 Cisco_5a:4a:e7 -> Broadcast    ARP 60 Gratuitous ARP for 172.16.144.100 (Request)

    # Tan pronto como se recibe un paquete con ARP/GARP/RARP, activa el mecanismo de localización para originar una solicitud de eco ICMP hacia el host originado desde el VIP

    2020-02-24 22:23:05.026781 172.16.144.254 -> 172.16.144.100 ICMP 60 Echo (ping) request  id=0xac10, seq=0/0, ttl=128

    # Host-172.16.144.100 responderá ahora al VIP de HSRP

    2020-02-24 22:23:07.035292 172.16.144.100 -> 172.16.144.254 ICMP 60 Echo (ping) reply    id=0xac10, seq=0/0, ttl=255

    # Tan pronto como se reciba el paquete IP en DC2-Agg1, esto resultaría en que LISP detecte el EID y realice una entrada en la tabla de ruteo para el host e inicie el proceso de redistribución al EIGRP

    DC2-AGG1# sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.100/32, ubest/mbest: 1/0, attached
    *via 172.16.144.100, Vlan144, [240/1], 00:00:30, lisp, dyn-eid
     via 172.16.144.100, Vlan144, [250/0], 00:00:32, am

    # Con la redistribución en su lugar, el sitio DC1-agg (que era el propietario original de este host), ahora vería el cambio en el RIB apuntando al EIGRP

    DC1-AGG1#  sh ip route 172.16.144.100 vrf tenant-1
IP Route Table for VRF "tenant-1"
'*' denotes best ucast next-hop
'**' denotes best mcast next-hop
'[x/y]' denotes [preference/metric]
'%<string>' in via output denotes VRF <string>

172.16.144.100/32, ubest/mbest: 1/0
    *via 192.168.98.2, Eth3/6.111, [245/51968], 00:03:47, eigrp-100, external

    # Un router de sucursal remoto verá ahora el cambio de ruta y los traceroutes reflejarán el cambio de trayectoria a los switches DC2 core/Agg como se muestra a continuación

    Branch1-Router#sh ip route 172.16.144.100                   
Routing entry for 172.16.144.100/32
  Known via "eigrp 100", distance 170, metric 51712, type external
  Redistributing via eigrp 100
  Last update from 192.168.99.2 on GigabitEthernet0/0/1, 00:00:00 ago
  Routing Descriptor Blocks:
  * 192.168.99.2, from 192.168.99.2, 00:00:00 ago, via GigabitEthernet0/0/1
      Route metric is 51712, traffic share count is 1
      Total delay is 1020 microseconds, minimum bandwidth is 100000 Kbit
      Reliability 255/255, minimum MTU 1492 bytes
      Loading 1/255, Hops 2

Branch1-Router#traceroute 172.16.144.100 source 172.17.200.1
Type escape sequence to abort.
Tracing the route to 172.16.144.100
VRF info: (vrf in name/id, vrf out name/id)
  1 192.168.99.2 1 msec 0 msec 1 msec                     # DC2-Core
  2 192.168.94.1 1 msec 1 msec 1 msec                     # DC2-Agg1
  3 172.16.144.100 0 msec 0 msec 1 msec                   # Host-after move to DC2

    Comandos de verificación útiles

    # show lisp dynamic-eid detail vrf <VRF Name> 

    # Show ip route lisp vrf <VRF Name>

    # show lisp dynamic-eid summary vrf <VRF Name> 

    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Varun Jose
      Technical Leader-CX

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos