思科752数据中心组网架构,以及ASA防火墙的透明配置案例

1、案例拓扑图如下

2、n7k的主要配置
2.1、N7K1的vpc配置
vpc domain 100
peer-switch
role priority 1
peer-keepalive destination 1.1.1.2 source 1.1.1.1
peer-gateway

interface port-channel100
vpc peer-link

interface Ethernet1/1
switchport mode trunk
channel-group 100 mode active

interface Ethernet1/2
switchport mode trunk
channel-group 100 mode active
N7K2的vpc配置
vpc domain 100
role priority 100
peer-keepalive destination 1.1.1.1 source 1.1.1.2
peer-gateway

interface port-channel100
vpc peer-link

interface Ethernet1/1
switchport mode trunk
channel-group 100 mode active

interface Ethernet1/2
switchport mode trunk
channel-group 100 mode active

2.2、N7K和5K之间使用背对背的VPC
这种方式与普通的vpc的区别是,n7k的下联启用vpc功能。n5k的上联链路也启用vpc功能。所有的互联口加入相同的vpc接口中。配置略

3、N5K 配置
3.1、vpc配置

n5k1
feature vpc

vpc domain 100
peer-switch
role priority 1
peer-keepalive destination 1.1.1.4 source 1.1.1.3
peer-gateway

interface port-channel5
des TO_N7K
vpc 5

interface port-channel10
des vpc_peer
vpc peer-link

n5k2
vpc domain 100
peer-switch
role priority 100
peer-keepalive destination 1.1.1.3 source 1.1.1.4
peer-gateway

interface port-channel5
des TO_N7K
vpc 5

interface port-channel10
vpc peer-link

3.2、 N5K下挂2k 使用port-channel 的方式
n5k1

feature fex

fex 107
pinning max-links 1
description "FEX107"
fex 108
pinning max-links 1
description "FEX0108"

interface port-channel107
switchport mode fex-fabric
fex associate 107

interface port-channel108
switchport mode fex-fabric
fex associate 108

3.3、其中5k 和2k 的port-channel 聚合方式使用on 方式不能用lacp,

5k和2k的互联不推荐使用静态pinning 方式。这种方式缺陷明显。某一条上联链路down掉后,下挂的fex接口会掉一大片。

2k通电下载5k的镜像show fex 看到2k online 状态说明fex ok了
n5k1 下面show fex 会看到有两台fex。 fex 107 fex 108

4、2k下使用增强vpc连接服务器

配置如下

N5K1

interface e107/1/1
channel-group 11 mode active

interface P11
switch mode access
switch access vlan 11

N5K2

interface e108/1/1
channel-group 11 mode active

interface P11
switch mode access
switch access vlan 11

普通的链路聚合就可以和服务器对接,不需要vpc。


5、外联区防火墙ASA1-2 使用三层模式接入网络,使用主备模式

5.1、ASA1 failover配置
failover
failover lan unit primary
failover lan interface FO Port-channel1
failover interface ip FO 11.1.1.1 255.255.255.0 standby 11.1.1.2

failover 链路使用是两条物理链路聚合接口。

5.2、上联链路
interface Port-channel2
des TO_N7K
nameif inside
security-level 100
ip address 10.1.1.2 255.255.255.0

            下联链路

interface Ethernet4
des TO_cisco3750x
nameif outside
security-level 0
ip address 10.1.2.1 255.255.255.0

5.3、 路由
asa 1与N7K之间启用静态路由,下一跳指到7k的hsrp的虚拟地址

route inside 172.16.1.0 255.255.255.0 10.1.1.254 内网路由
route outside 100.1.1.0 255.255.255.0 10.1.2.2 1 外网路由

5.4放行inside 到outside 的流量

access-list in_acl extended permit icmp 172.16.1.0 255.255.255.0 100.1.1.0 255.255.255.0

access-group in_acl in interface outside

5.5、ASA2只需要配置上行以及asa1的互联的链路聚合口以及failover就可以

配置

failover配置
failover
failover lan unit secondary
failover lan interface FO Port-channel1
failover interface ip FO 11.1.1.1 255.255.255.0 standby 11.1.1.2

链路聚合配置省略

6、ASA3-4使用asa的透明模式
6.1、failover 以及链路聚合配置省略
6.2、bridge-group配置,使用子接口方式封装vlan

interface Port-channel3
no nameif
security-level 0
!
interface Port-channel3.10
des TO_N7K
vlan 10
nameif outside
bridge-group 10
security-level 0

interface Ethernet4.10
des TO_cisco_3750
vlan 11
nameif inside
bridge-group 10
security-level 100

bvi接口需要和业务网段在同一个网段

interface BVI10
des bvi_interface
ip address 10.1.10.254 255.255.255.0

查看bridge-group

ASA3# sho bridge-group
Static mac-address entries: 0 (in use), 65535 (max)
Dynamic mac-address entries: 1 (in use), 65535 (max)

Bridge Group: 10
Interfaces:
Ethernet4.10
Port-channel3.10

Management System IP Address: 10.1.10.254 255.255.255.0
Management Current IP Address: 10.1.10.254 255.255.255.0
Management IPv6 Global Unicast Address(es):
N/A
Static mac-address entries: 0
Dynamic mac-address entries: 1

上下行交换机,使用trunk 模式封装相应的VLAN id即可。

6.3、方向n7k 和下联交换机3750x的ospf 流量

access-list inside_acl extended permit icmp any any
access-list inside_acl extended permit ospf any any
access-list out_acl extended permit icmp any any
access-list out_acl extended permit ospf any any

access-group inside_acl in interface inside
access-group out_acl in interface outside

原文地址:https://blog.51cto.com/1823203/2468057

时间: 2024-09-30 22:52:39

思科752数据中心组网架构,以及ASA防火墙的透明配置案例的相关文章

大规模SDN云计算数据中心组网的架构设计

本文首先分析了在大规模SDN数据中心组网中遇到的问题.一方面Underlay底层组网规模受限于设备实际的转发能力和端口密度,单一Spine-leaf的Fabric架构无法满足大规模组网的需求:另一方面在SDN技术实现方案上,Openstack和SDN控制器分别有管理控制能力上的限制. 本文分别从多POD大规模数据中心的Underlay组网及路由规划,和跨POD互联互通SDN技术实现方案两方面,深入到技术细节,结合网络业务流量模型的实现,阐述了大规模SDN数据中心组网架构.1.大规模SDN数据中心

数据中心网络架构

传统数据中心网络架构 传统数据中新网络架构通常是3层结构,(园区网一般也是3层结构)Cisco称之为:分级的互联网络模型,包含三层: Core 核心层 : 提供高速转发,为多个汇聚层提供连接性Aggregation 汇聚层 :汇聚连接接入交换机,同时提供其他服务(FW.SLB.等)Access 接入层 :物理连接服务器,一般放在机柜顶端,也称ToR交换机 一个三层架构图如下: 汇聚是网络的分界点,汇聚交换机以下是L2网络,以上是L3网络,每组汇聚交换机是一个pod,根据业务分区分模块.pod内是

大数据战略需要数据中心基础架构作出的改变有哪些?

为大数据选择新的硬件.存储和其它数据中心基础设施,这是IT专业人员们所面临的新挑战.推行大数据战略的压力往往来自高层,因为管理者相信,能有效运用数据的企业将比落后者具备更大优势.大数据战略需要数据中心基础架构作出的改变主要有五点: 一.围绕大数据选择存储 在成功的大数据策略下,企业可以将来自内部的高质量数据与Hadoop挖掘自多个云供应商的低质量数据进行整合.这也就改善了业务相关数据的质量,让分散在各地的数据能组织成为具备一致和及时性的大数据资源. 大数据正在改变中央数据仓储和松耦合数据集市的决

谈谈 数据中心SOA 架构

为什么要讨论 数据中心SOA 架构呢? 请参考我写的另外一篇文章  <论 微服务 和 Entity Framework 对数据的割裂>    https://www.cnblogs.com/KSongKing/p/10124126.html 我们来看看 数据中心SOA 架构 的 架构图 : 或者, 实际上, 12306 采用的也是 数据中心SOA 架构 ,  可以看看我写的另外一片文章  <漫谈 12306 架构>  https://www.cnblogs.com/KSongKin

ASA防火墙IPSEC VPN配置

一.IPSEC  VPN (site to site) 第一步:在外部接口启用IKE协商 crypto isakmp enable outside 第二步:配置isakmp协商策略 isakmp 策略两边要一致,可设置多个策略模板,只要其中一个和对方匹配即可 isakmp policy 5 authenticationpre-share    //配置认证方式为预共享密钥 isakmp policy 5 encryption des            //配置isakmp 策略的加密算法 i

浅谈数据中心架构演变

谈到数据中心的架构和建设,我们不难想到最初的三层架构,即完全硬件化的架构. 显而易见,这种方式的特点如下: ①  设备独立--单个设备承载单个功能 ②  管理割裂--单个设备单独管理 ③  厂商异构--服务器.网络.安全等设备由不同厂商提供 缺点也很明显: ①  硬件资源利用率极低,硬件投资成本大,资源浪费明显 ②  业务上线周期长:从市场调研,到预算规划,到硬件采购,到部署上线,周期在1个月到半年不等 ③  管理维护难,排障难,扩容难. ④  无冗余性.无高可用,故障恢复周期长. 为了解决这些

[转]漫谈数据中心CLOS网络架构

http://djt.qq.com/article/view/238 1.数据中心网络架构挑战 随着技术的发展,数据中心的规模越来越大,一个数据中心的服务器容量从几年前的几千台服务器发展到今天的几万甚至几十万台.为了降低网络建设和运维成本,数据中心网络的设计者们也竭力将一个网络模块的规模尽可能扩大.同时,数据中心网络内部东西向流量也日益增加,在一些集群业务的需求驱动下,数据中心网络设计者们甚至开始讨论一个网络模块内10000台千兆线速服务器的可能性. 常见的数据中心网络模块的典型架构是双核心交换

云计算环境下的数据中心、网络和系统架构

云计算环境下的数据中心.网络和系统架构 对于云计算而言,应着重从高端服务器.高密度低成本服务器.海量存储设备和高性能计算设备等基础设施领域提高云计算数据中心的数据处理能力. 云计算要求基础设施具有良好的弹性.扩展性.自动化.数据移动.多租户.空间效率和对虚拟化的支持.那么,云计算环境下的数据中心基础设施各部分的架构应该是什么样的呢? 1.云计算数据中心总体架构 云计算架构分为服务和管理两大部分.在服务方面,主要以提供用户基于云的各种服务为主,共包含3个层次:基础设施即服务IaaS.平台即服务Pa

SDN与NFV技术在云数据中心的规模应用探讨

Neo 2016-1-29 | 发表评论 编者按:以云数据中心为切入点,首先对SDN领域中的叠加网络.SDN控制器.VxLAN 3种重要技术特点进行了研究,接下来对NFV领域中的通用服务器性能.服务链两类关键问题展开具体分析.最后,阐述了前期开展的SDN/NFV技术试验工 作进展及相关结论,并对VDC应用产品进行了展望. 1 引言 伴随着云计算技术的兴起,数据趋于大集中,传统电信系统网络架构成为阻碍云数据中心发展的巨大桎梏.为满足数据中心在云计算环境下的虚拟网络资源调度和共享需求,未来的数据中心