タグ付けされた質問 「cisco-nexus-5k」

NX-OS 5.2を実行するNexus 5500の新しいペアを立ち上げて、新しいvPCピアスイッチ機能を利用したいと思います： 仮想ポートチャネル（vPC）ピアスイッチ機能は、STPコンバージェンスに関するパフォーマンスの問題に対処します。この機能により、Cisco Nexus 5000シリーズデバイスのペアを、レイヤ2トポロジで単一のSTPルートとして表示できます。この機能により、STPルートをvPCプライマリスイッチに固定する必要がなくなり、vPCプライマリスイッチで障害が発生した場合のvPCコンバージェンスが向上します。 ループを回避するために、vPCピアリンクはSTP計算から除外されます。vPCピアスイッチモードでは、両方のvPCピアデバイスからSTP BPDUが送信され、トラフィックの中断を引き起こす可能性のあるダウンストリームスイッチでのSTP BPDUタイムアウトに関連する問題を回避します。 この機能は、すべてのデバイスがvPCに属する純粋なピアスイッチトポロジで使用できます。 現在のトポロジは、Nexus 5500と、6500 VSSの各側に接続されたピアリンクとの間にピアリンクがあるペアのNexus 5500です。すべての接続はLACPポートチャネルです。 VSSは単一の論理デバイスを表す必要がありますが、5500は同意しないようです。VSSへの両方の接続を起動しようとすると、5500から次のエラーが表示されます。 ％VPC-3-INTF_CONSISTENCY_FAILED：ドメイン2では、VPC 1の構成（インターフェイスport-channel1）が一貫していません（異なるパートナーに接続された2つのスイッチのvpcリンクによるvpcポートチャネルの構成ミス） ％VPC-3-VPC_BRINGUP_FAILED：vPC 1（インターフェイスport-channel1）の起動に失敗しました（タイプ1の不整合が存在します） 6500 VSSはエラーを記録しません。 vPCがVSSの両側を異なるパートナーとして表示するのはなぜですか？これがうまくいくと思うのは間違っていますか？

12 vss  cisco-nx-os  vpc  cisco-nexus-5k 

このシナリオでは、2つのシングルポートポートチャネル「po17」で構成されるVPC「17」があります。2 x N5K（5548）があるため、両側のpo17を組み合わせてVPCを作成します。 ダウンストリームデバイスはブレードスイッチ（Cisco 3020s）です。3020の背後にあるVMの接続を失うことなく、一方の側に新しいVLANを追加し、次にもう一方の側に追加します。一方の側で障害が発生すると、もう一方の側が回復するため、ダウンストリームはこれを処理できます。 VPCのポートチャネルの1つがダウンしても引き続き稼働しますが、VPCメンバーのポートチャネルの1つに新しいVLANを追加しているため、VPCの一貫性が失われ、それは問題を引き起こすでしょう。

11 cisco  vpc  ieee-802.1ax  cisco-nexus-5k 

フルメッシュデザインのN7Kがそれぞれ2つあるコントロールセンターサイトが2つあり、内部サーバーファームの集約として2つのNexus 5548UPがあり、各N5K Aggで2つのASAファイアウォールがハングしています。どちらのサイトにも鏡像デザインがあります。内部サーバーファームアプリケーションに直接アクセスする必要のあるユーザーがいます。また、内部サーバーアプリケーションからの送信接続要求のセキュリティ境界も必要です。さらに、Agg内でプライベートDMZをホストして、インバウンド接続要求を低セキュリティゾーンとして分類するものから分離する必要があります（N7K COREは、低セキュリティネットワークサブネットへのルートにvrf：Globalを使用します）。 通常、ユーザーは安全性の低いゾーンと見なされますが、この設計は大規模な電力網の制御システムをホストするためのものです。これを念頭に置いて、ユーザーをN5K Aggに直接接続して、SITE1サーバーファームAggがダウンしてSITE 2がアプリケーションをホストできるようにすることも望まない（現在、ユーザーをアプリケーションと同じ物理スイッチに接続している） 。ユーザーがHA L3コア（4 x N7Kフルメッシュ）からサーバーファームにルーティングする従来のデータセンター設計を提供したいと思います。ただし、これらは「内部サーバー」と同じセキュリティレベルと見なされているため、N7K COREでホストされているプラ​​イベートVPNクラウドに分離したいと考えています。N7KはMPLSをサポートしているため、これが最も論理的ですが、現在の設計では、ファイアウォールも接続されているため、Nexus 5548アグリゲーションの内部サーバーのL2 / L3境界があります。Nexus 5KはMPLSをサポートしていませんが、VRF Liteをサポートしています。N5Kは、各サイトのローカルN7Kにもフルメッシュで接続されています。 N5KとN7Kの間の4つのリンクすべてを利用するには、ファイアウォールから転送する必要があるトラフィックから内部ユーザートラフィックをコアから分離するという考えにピトンホールするptからpt L3リンクを構成するか、5K間でFabricPathを利用できます。 7Kとvrf liteを使用します。N7Kのvrf：グローバルルーティングテーブルを接続するために、4つのノードとファイアウォールの外部VLANの間のインターフェイスSVIがFabricPath vlanだけになります。これらはライセンスを取得する必要があるため、これはおそらくやり過ぎですが、独自のセキュリティ要件があるため、コストは小さな問題になる傾向があります。 ルーティングの場合、ファイアウォールにデフォルトルートをインストールして、N7K vrf：Globalをポイントします。これにより、OSPFまたはEIGRPが実行され、他の低セキュリティネットワークへのルートが学習されます。ハイセキュアゾーンの場合、すべてのN5KとN7Kにvrf：Internalをインストールします。N7KのMPLSではMP-BGPを使用する必要があるため、ほとんどの場合BGPを実行します。これは、SITE2内部サーバーファームと内部ユーザーのルートのみを学習します（私たちのアプリケーションは、スプリットブレインを防ぐためにサイト間にL3が必要です）。また、vrf：Globalがvrf：Internalとルートを交換することを許可しないように細心の注意を払う必要があります。これにより、2つのvrf間のL3接続を提供するステートフルファイアウォールで非対称的な悪夢が生じるからです。ローカルサイトのN5Kとファイアウォールの単純なデフォルトルートと、内部サーバーサブネットを指すN7Kのサマリールートを使用すると、この問題を回避できます。 あるいは、N7Kから別のVDCを構築してFHRPを提供し、ファイアウォールをVDCに移動することを検討しました。N5Kは、FabricPathのみを使用し、いかなるL3も使用しません。 これは典型的な設計ではない可能性が高いので、これについてのフィードバックをいただければ幸いです。

9 design  cisco-nexus-5k  cisco-nexus-7k 

同じNexus 2kに接続された2つのホスト間を行き来するパケットは、ロジックを適用するために上記の2kを管理している5kまで渡されてから、2kに戻されて送信されると誰かから言われました宛先ホストが接続されているポート。それは私には非常に非効率的であるように思われるので、私は私が与えられた情報を確認または拒否する誰かを探しています。

9 cisco  cisco-nexus-5k  cisco-nexus-2000  packet-path 

新しいサービスと互換性のあるSFPを探す際の重要な要素を説明することで、製品の推奨事項がトピックから外れていることは理解できますが、誰でも手助けできますか？ 波長は、考慮/一致させる必要がある定義要素ですか、それとも選択をガイドするために他の何かを使用する必要がありますか？ 10G BASE-SRは初めてですが、Cisco Nexus 5548UPでサポートされているSFPが新しいサービスと互換性があるかどうかを確認できる優れたリソースを見つけることができないようです。新しいサービスは「10ギガビットイーサネットLAN」と説明されていますPHY IEEE 10G BASE-LR10.3125 Gbps +/- 100 ppm 1310nm ' 最終的に、トランスミッタの波長仕様が850nmと記載されている「cisco sfp-10g-sr」が使用可能かどうかを理解する必要があります。

8 fiber  cisco-nexus-5k  10gbase  sfp 

ローカルで定義されたアカウントにパスワードの複雑さを適用するパスワードポリシーを構成することはまったく可能かどうか疑問に思っていました。TACACS +とRADIUSで可能であることは知っていますが、ローカルで定義されたアカウントにそのようなポリシーを適用できるかどうかを知る必要があります。 私が対象とするデバイスは、IOSとNX-OSを実行しています

7 cisco  cisco-ios  security  cisco-nexus-5k  cisco-nexus-7k