1.簡介

傳統方案通過WOC VPN備份

(資料圖片)

注：上次湖南-東莞中斷曾手動切換到WOC VPN進行備份。

存在問題：

1、需要手動切換。

2、MTU是1500。

3、只能備份三層業務。

2.方案一：調整路由優先級實現自動切換

注：目前我們使用的ACI版本是4.25，從 Cisco APIC 4.2(6h) 版本開始，才可以在路由映射中配置拒絕操作，以對靜態路由和直接子網進行交錯再分配。

測試發現ACI支持打community，當打上not-advertise community時，不發布給EBGP和IBGP鄰居，即可實現拒絕操作同樣的效果。

2.1.操作步驟

1、在核心交換機192.168.0.1上配置湖南網段的靜態路由，下一跳指向總部WOC，優先級大于110（使得正常從ACI學到的OSPF路由優先于靜態路由）

ip route  10.103.6.0 255.255.255.0 192.168.0.207  222

2、在APIC上配置總部網段的L3OUT路由，下一條指向湖南WOC，優先級大于200（使得overlay路由優先于靜態路由）

3、在APIC上配置路由策略，控制靜態路由的重發布。

①進入創建路由策略界面

②指定路由策略的命名、序號及行為，并創建前綴列表匹配需要拒絕的路由前綴。

3.方案二：IPN之間建立GRE隧道運行OSPF協議

3.1.架構分析

1、ACI的控制平面：Leaf之間通過BGP協議動態建立VXLAN隧道，其中Spine是BGP RR，Leaf是BGP client，Spine之間建立IBGP鄰居。

2、ACI的數據平面：

Underlay：Leaf和Spine之間運行的是ISIS協議，Spine、IPN之間運行的是OSPF協議。

Leaf的Loopback0路由在Spine上重發布進OSPF，是第二類外部路由，外部開銷為20。

第二類外部路由選路原則：先比較外部開銷，外部開銷小的優先，如果外部開銷相等則比較內部開銷，內部開銷小的優先。

Overlay：Leaf之間通過BGP協議在Loopback0之間建立起VXLAN隧道，業務報文被封裝在VXLAN隧道中轉發。

3.2.方案描述

IPN之間通過公網建立起一條MTU為9000的GRE隧道，并通過GRE隧道建立起OSPF鄰居關系，調整cost使其作為備份。

存在問題：

1、公網建立的IPSEC或GRE隧道的MTU不大于1500，而使用OPEN VPN最大可以實現9000的MTU。

2、GRE隧道不支持PIM Bidir，會影響廣播、未知單播和多播 (BUM) 流量。

3.3.操作步驟

1、兩邊部署VYOS(VM)，通過公網在兩臺VYOS之間建立起OPEN VPN隧道，MTU為9000。

hn-smartgw1 10.103.4.251  dg-smartgw1 192.168.6.10

①公網映射，將東莞移動1xxxxx的62888端口映射到192.168.6.10。

②湖南端VYOS固定移動出口。

2、VYOS之間建立OPEN VPN隧道，調整MTU為9000。

3、IPN-12增加一條線連接Leaf102，將Leaf102的端口靜態分配進與VYOS同一個EPG當中。

4、IPN-22增加一條線連接接入交換機，將VYOS和IPN-22劃分進同一個VLAN當中。

interface XGigabitEthernet0/0/4 port link-type access port default vlan 21

5、IPN之間通過靜態路由寫通兩端IPN的loopback2，然后建立起vxlan隧道。

①通過靜態路由寫通IPN

IPN-22:  ip route 100.100.100.12/32 10.70.2.1IPN-12:  ip route 100.100.100.22/32 10.103.4.251hn-smartgw1:  set protocols static route 100.100.100.22/32 next-hop "10.70.1.1"dg-smartgw1:  set protocols static route 100.100.100.120/32 next-hop "10.70.1.2"

②IPN之間建立靜態vxlan隧道并在vlanif上運行OSPF協議，調整隧道接口cost為50。

IPN-22feature interface-vlan                                                                //開啟三層虛接口功能feature vn-segment-vlan-based                                               //開啟vxlan功能feature bfd                                                                               //開啟bfd功能feature nv overlay                                                                    //開啟vxlan功能vlan 2888  vn-segment 2888interface nve1  no shutdown  source-interface loopback2  member vni 2888    ingress-replication protocol static      peer-ip 100.100.100.12interface Vlan2888  description VXLAN OVER OPEN VPN-TO-B14-IPN-12  no shutdown  mtu 8900  vrf member MYJ_Fabric  no ip redirects  ip address 10.70.0.1/30  no ipv6 redirects  ip ospf cost 50  ip ospf network point-to-point  ip router ospf 1 area 0.0.0.0#ip ospf bfd                                                                         //基于VXLAN的VLANIF不支持BFD。 ip ospf hello 1                                                                //可調整hello時間來加快OSPF收斂。  ip pim sparse-mode

6、調整沿途經過的設備MTU。

①IPN連接交換機/Leaf接口MTU大于9000。

②VMware網卡及虛擬交換機MTU為9000。

③VYOS網卡MTU為9000。

④GRE隧道和OPEN VPN隧道MTU為9000。