请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

  思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
查看: 458|回复: 3

N9508和思科防火墙对接问题

[复制链接]
发表于 2018-10-20 10:55:31 | 显示全部楼层 |阅读模式
50可用金钱
请教各位一个问题。思科N95和思科防火墙(A/S)采用ospf对接,发现思科防火墙只与一台N95建立邻居,与另外一台始终建立不了邻居。防火墙这边状态卡在EXCHANGE,N95卡在exstart状态。防火墙上debug ip ospf adj 报错日志如下:Rcv DBD from 10.10.200.2 on FA seq 0x15076ea4 opt 0x42 flag 0x7 len 32  mtu 1500 state EXSTART

拓扑如下:N95-1和N95-2是一对vpc对等体,两个之间邻居状态正常。除了peer link之外,还有另外一条trunk链路。N95-1和N95-2都起了一个SVI和思科防火墙对接,并且这个vlan已经从peer-link的vlan中排除。

  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2018-10-20 11:26:29 | 显示全部楼层
本帖最后由 fushuang 于 2018-10-20 11:27 编辑

ASA 和 N9K VPC 之间,如果需要 layer 3 OSPF 和 layer 2 bridge, 可以使用 Layer3 link 做 OSPF,使用 layer 2 vpc link 做 bridge。
不过 ASA 似乎没提供那么多接口,可以参考N9K_VPC_Layer3_Routing

Figure 8. Using Separate Layer 3 Links to Connect L3 Device to a vPC Domain
Follow these guidelines when connecting a Layer 3 device to the vPC domain:

Use separate Layer 3 links to connect Layer 3 devices to the vPC domain.
Do not use a Layer 2 vPC to attach a Layer 3 device to a vPC domain unless the Layer 3 device can statically route to the HSRP address configured on the vPC peer devices.
When both routed and bridged traffic are required, use individual Layer 3 links for routed traffic and a separate Layer 2 port-channel for bridged traffic when both routed and bridged traffic are required.
Enable Layer 3 connectivity between vPC peer device by configuring a VLAN network interface for the same VLAN from both devices or by using a dedicated Layer 3 link between the two peer devices (for Layer 3 backup routing path purposes).

当然了,如果想看一下 N9K OSPF 状态,可以查看 show ip ospf internal event-history adjacency
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (3 评价)
 楼主| 发表于 4 天前 | 显示全部楼层
fushuang 发表于 2018-10-20 11:26
ASA 和 N9K VPC 之间,如果需要 layer 3 OSPF 和 layer 2 bridge, 可以使用 Layer3 link 做 OSPF,使用 lay ...

是这样去操作的,但是还是有问题,当防火墙切换时,流量不通。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 3 天前 | 显示全部楼层
hhlaly2010 发表于 2018-11-12 15:18
是这样去操作的,但是还是有问题,当防火墙切换时,流量不通。

涉及到切换测试,建议还是开 case 吧,找 TAC 定位一下是哪里的问题
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2018-11-16 10:02 , Processed in 0.086848 second(s), 35 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表