Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-17 Par sujet Manuel Guesdon 
On Thu, 12 Apr 2018 12:04:27 +0200
Manuel Guesdon  wrote:
>| Pour IPv6 en VRRP 2 IPs+Virtuelle:
>| !- Router A -
>| interface Vlan60
>| ipv6 address 2001:db8:103::2/64
>| ipv6 address 2001:db8:104::2/64
>| no ipv6 redirects
>| vrrpv3 60 address-family ipv6
>| address fe80::1 primary
>| address 2001:db8:103::1
>| address 2001:db8:104::1
>| 
>| !- Router B -
>| interface Vlan60
>| ipv6 address 2001:db8:103::3/64
>| ipv6 address 2001:db8:104::3/64
>| no ipv6 redirects
>| vrrpv3 60 address-family ipv6
>| address fe80::1 primary
>| address 2001:db8:103::1
>| address 2001:db8:104::1
>| 
>| Effectivement le "address fe80::1 primary" est obligatoire.

Note: faire gaffe à l'access-list copp-system-acl-v6routingProto2.

ipv6 access-list copp-system-acl-v6routingProto2
  10 permit udp any ff02::66/128 eq 2029
  20 permit udp any ff02::fb/128 eq 5353
  30 permit 112 any ff02::12/128  

Si la règle 30 manque sur un des routeurs, les 2 se retrouvent en master.

Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-12 Par sujet Michel Py 
> Manuel Guesdon a écrit :
> Correction: avec seulement 2 IPs ca ne fonctionne pas correctement.

Merci d'avoir partagé tes tests. Cà ne m'étonne pas, mais c'est bon à savoir.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-12 Par sujet Manuel Guesdon 
On Thu, 12 Apr 2018 12:04:27 +0200
Manuel Guesdon  wrote:

>| Bonjour,
>| 
>| Suite et fin des tests :-)
>| 
>| Pour IPv6 en VRRP 2 IPs+Virtuelle:
>| !- Router A -
>| interface Vlan60
>| ipv6 address 2001:db8:103::2/64
>| ipv6 address 2001:db8:104::2/64
>| no ipv6 redirects
>| vrrpv3 60 address-family ipv6
>| address fe80::1 primary
>| address 2001:db8:103::1
>| address 2001:db8:104::1
>| 
>| !- Router B -
>| interface Vlan60
>| ipv6 address 2001:db8:103::3/64
>| ipv6 address 2001:db8:104::3/64
>| no ipv6 redirects
>| vrrpv3 60 address-family ipv6
>| address fe80::1 primary
>| address 2001:db8:103::1
>| address 2001:db8:104::1
>| 
>| Effectivement le "address fe80::1 primary" est obligatoire.
>| 
>| Pour être exhaustif, ca marche aussi avec seulement 2 IPs. Avec un warning 
>| "IPv6 DAD failed for 2001:db8:103::1":

Correction: avec seulement 2 IPs ca ne fonctionne pas correctement.

Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-12 Par sujet Manuel Guesdon 
Bonjour,

Suite et fin des tests :-)

Pour IPv6 en VRRP 2 IPs+Virtuelle:
!- Router A -
interface Vlan60
ipv6 address 2001:db8:103::2/64
ipv6 address 2001:db8:104::2/64
no ipv6 redirects
vrrpv3 60 address-family ipv6
address fe80::1 primary
address 2001:db8:103::1
address 2001:db8:104::1

!- Router B -
interface Vlan60
ipv6 address 2001:db8:103::3/64
ipv6 address 2001:db8:104::3/64
no ipv6 redirects
vrrpv3 60 address-family ipv6
address fe80::1 primary
address 2001:db8:103::1
address 2001:db8:104::1

Effectivement le "address fe80::1 primary" est obligatoire.

Pour être exhaustif, ca marche aussi avec seulement 2 IPs. Avec un warning 
"IPv6 DAD failed for 2001:db8:103::1":

!- Router A -
interface Vlan60
ipv6 address 2001:db8:103::1/64
ipv6 address 2001:db8:104::1/64
no ipv6 redirects
vrrpv3 60 address-family ipv6
address fe80::1 primary
address 2001:db8:103::1
address 2001:db8:104::1

!- Router B -
interface Vlan60
ipv6 address 2001:db8:103::3/64
ipv6 address 2001:db8:104::3/64
no ipv6 redirects
vrrpv3 60 address-family ipv6
address fe80::1 primary
address 2001:db8:103::1
address 2001:db8:104::1

Manuel 

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-11 Par sujet Manuel Guesdon 
On Thu, 5 Apr 2018 22:10:42 +0200
Manuel Guesdon  wrote:
>| S'il y a de bonnes âmes: je sèche un peu, les docs trouvées ne sont pas très
>| explicites et plus je cherche plus je me pose des questions :-)
>| 
>| Actuellement, sur des Nexus 3000, je fais du VRRPv3 en IPv4 avec 2 adresses
>| (master+virtuel=192.168.0.1, backup=192.168.0.2/24)
>| 
>| Ca me donne ca:
>| 
>| !- Router A -
>| interface Vlan60
>| ip address 192.168.0.1/24
>| vrrpv3 60 address-family ipv4
>| address 192.168.0.1/24 primary
>| 
>| !- Router B -
>| interface Vlan60
>| ip address 192.168.0.2/24
>| vrrpv3 60 address-family ipv4
>| address 192.168.0.1/24 primary
>| 
>| C'est simple et ca marche bien mais j'ai un doute quand même sur le "address
>| 192.168.0.1/24 primary". Quelqu'un peut confirmer que c'est la "bonne"
>| config ?

Bon, j'ai fait des tests en faisant un "shutdown" sur le vrrp sur le Router A.
Resultat le routeur A annonce sa mac (54:7f:xx) pour l'IP virtuelle et le
routeur B annonce la mac vrrp (00:00:5e:00:01:xx). Les 2 routeurs émettent un
warning disant "y'a l'autre qui envoit des packets avec mon IP").
Donc pas top si on veut vraiment forcer le traffic a passer par le router B.
Mais le cas qui nous interesse en général est celui du routeur A qui marche
plus/qu'on reboot/plus joignable et donc dans la vie réelle ca fait le job.
Note que même avec ce conflit de mac je ne perd pas de packets.

Note: ma conf est la suivante:
 
https://www.netcraftsmen.com/configuring-back-to-back-vpcs-on-cisco-nexus-switches/
 avec la conf IP sur les Nexus du domaine 1
 la machine de test en vPC sur les Nexus du domaine 3
 et test de joignabilité vers/de "l'extérieur", le dit "extérieur"
 arrivant/sortant par les Nexus du domaine 1.


>| Après, si je veux mettre sur le même vlan un autre net IPv4, disons
>| 192.168.100/24 (toujours en utilisant seulement 2 IPs) est-ce que je dois
>| rajouter un vrrp group ou puis-je le rajouter sur le "vrrpv3 60
>| address-family ipv4" ?

J'ai essayé de faire ca:
!- Router A -
interface Vlan60
ip address 192.168.0.1/24
ip address 192.168.1.1/24 secondary
vrrpv3 60 address-family ipv4
address 192.168.0.1/24 primary
address 192.168.1.1/24 primary

mais le "address 192.168.1.1/24 primary" supprime le "address 192.168.0.1/24
primary". Assez logique au final.

Autre tentative:
!- Router A -
interface Vlan60
ip address 192.168.0.1/24
ip address 192.168.1.1/24 secondary
vrrpv3 60 address-family ipv4
address 192.168.0.1/24 primary
address 192.168.1.1/24 secondary

ca ne marche pas: quand je fais le "address 192.168.1.1/24 secondary"
j'obtiens: "Warning: Can' t configure address - conflicts with already
configured address".

A noter que sur le router B ca passe (pas de warning):
!- Router B -
interface Vlan60
 ip address 192.168.0.2/24
 ip address 192.168.1.2/24 secondary
 vrrpv3 60 address-family ipv4
 address 192.168.0.1/24 primary
 address 192.168.1.1/24 secondary
mais bon du coup aucun intérêt.




Par contre ca ca marche (utilisation d'une IP par routeur + 1 virtuelle):

!- Router A -
interface Vlan60
ip address 192.168.0.1/24
ip address 192.168.1.1/24 secondary
vrrpv3 60 address-family ipv4
address 192.168.0.3/24 primary
address 192.168.1.3/24 secondary

!- Router B -
interface Vlan60
ip address 192.168.0.2/24
ip address 192.168.1.2/24 secondary
vrrpv3 60 address-family ipv4
address 192.168.0.3/24 primary
address 192.168.1.3/24 secondary

Conclusion, pour faire du VRRP avec seulement 2 IPs et plusieurs networks, il
faut ajouter un vrrp group:

!- Router A -
interface Vlan60
ip address 192.168.0.1/24
ip address 192.168.1.1/24 secondary
vrrpv3 60 address-family ipv4
address 192.168.0.1/24 primary
vrrpv3 61 address-family ipv4
address 192.168.1.1/24 primary

!- Router B -
interface Vlan60
ip address 192.168.0.2/24
ip address 192.168.1.2/24 secondary
vrrpv3 60 address-family ipv4
address 192.168.0.1/24 primary
vrrpv3 61 address-family ipv4
address 192.168.1.1/24 primary

moyennant la remarque plus haut du conflit de mac quand on bascule sur le
routeur B.


>| Et dernièrement, est-ce qu'on peut avoir des VRRP group avec des id
>| identiques sur des vlan différents (j'aurais tendance a penser que oui
>| mais sait-on jamais :-) ?

Je viens de faire un test light: oui, c'est accepté.

En espérant que ca aide(ra) quelqu'un :-)

Je m'attele à IPv6...

Manuel 

--
__
Manuel Guesdon - OXYMIUM

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Michel Py 
>> Youssef Bengelloun-Zahr a écrit : 
>> Euh 3+2+2 = 8 !?!

> Manuel Guesdon a écrit :
> Mea culpa.
> Mais dans d'autre cas on n'a pas forecement envie de griller une IP 
> supplémentaire.

Une IP çà coute environ 10 € à acheter, dépendant de la taille du bloc. Moi, je 
ne me fais pas ch... pour si peu.
Surtout dans un /29. Quelles sont les alternatives ? /30 et un-numbered.

Un-numbered je ne fais plus. J'ai essayé, quand çà marche c'est sympa, et quand 
çà ne marche pas, pour économiser 20 € tu t'emmerdes pendant des heures ou des 
jours, pas glop.
/30 c'est bien, mais pas de redondance.
/29 pourquoi se faire ch... à économiser UNE p... d'IP ? t'en as 6 de toute 
façon, pourquoi s'emmerder à avoir la virtuelle qui est la même que ton routeur 
?

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Manuel Guesdon 
On Fri, 6 Apr 2018 22:21:02 +0200
Youssef Bengelloun-Zahr  wrote:
>| Euh 3+2+2 = 8 !?!

Mea culpa.


>| On utilise justement des /29 pour intercos avec des appliances sur le même 
>schéma (2 IPs physiques + 1 IP virtuelle), c’est juste le minimum pour que ça 
>passe.
>| 
>| 6 IPs utilisables (3+3) et deux inutilisables.

Ca dépend effectivement du contexte et du type d'interco: pour de la gw de
réseau interne genre 10.0.0.0/24 on n'est pas à une ip près. Pareil pour de
l'interco de deux équipements. Mais dans d'autre cas on n'a pas
forecement envie de griller une IP supplémentaire.

Manuel


--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Michel Py 
> Manuel Guesdon a écrit :
> Ben y'a serial-over-ssh pour ca et le port management. Après effectivement ca 
> depend du cadre.
> Le probleme avec 3 adresses c'est que tu en 'gaches'. Sur un /29, si tu 
> enleves network, bcast
> et 3 IPs de gw il te reste seulement 2 IPs 'utilisables'

En fait 3, car il y a 6 adresses utilisables dans un /29, donc tu peux faire 
2+1 + 2+1 des deux cotés.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Youssef Bengelloun-Zahr 
Euh 3+2+2 = 8 !?!

On utilise justement des /29 pour intercos avec des appliances sur le même 
schéma (2 IPs physiques + 1 IP virtuelle), c’est juste le minimum pour que ça 
passe.

6 IPs utilisables (3+3) et deux inutilisables.

My 2 cents.

Y.



> Le 6 avr. 2018 à 22:14, Manuel Guesdon  a écrit :
> 
> On Fri, 6 Apr 2018 15:04:12 +
> Michel Py  wrote:
> 
>> | > David Ponzone a écrit :
>> | > Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle 
>> identique à une des IP réelles.
>> | 
>> | Je continue à préférer l'ancien système : le stanby devient active 
>> (problème avec celui qui était active). Tu veux te connecter à celui qui a 
>> un problème, pas de chance maintenant c'est l'autre qui a l'IP fantome. Pas 
>> glop, une IP par routeur plus la fantome. Bien plus simple.
> 
> Ben y'a serial-over-ssh pour ca et le port management. Après effectivement ca
> depend du cadre. Le probleme avec 3 adresses c'est que tu en 'gaches'. Sur
> un /29, si tu enleves network, bcast et 3 IPs de gw il te reste seulement 2
> IPs 'utilisables'
> 
> Manuel 
> 
> --
> __
> Manuel Guesdon - OXYMIUM
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Michel Py 
> Guillaume Barrot a écrit :
> Ouais enfin entre temps Dieu a inventé la loopback, ou le port de management 
> dédié. "Il vit que cela était bon, et il alla trouver
> une solution aux problèmes des putains de 6500 qui pullulent encore trop chez 
> les SPs sans le sou. C'était le 27em jour."

Moi j'ai pas de problème avec mes 6500 et j'ai ai plein. Bon, si tu me donnes 
des Nexus neufs à la place je prends... Si t'as des sous en trop je les prends 
aussi, hein.

Le port de management dédié c'est pas l'idéal pour moi.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Guillaume Barrot 
Le 6 avril 2018 à 17:04, Michel Py  a
écrit :

> Je continue à préférer l'ancien système : le stanby devient active
> (problème avec celui qui était active). Tu veux te connecter à celui qui a
> un problème, pas de chance maintenant c'est l'autre qui a l'IP fantome. Pas
> glop, une IP par routeur plus la fantome. Bien plus simple.
>

Ouais enfin entre temps Dieu a inventé la loopback, ou le port de
management dédié. "Il vit que cela était bon, et il alla trouver une
solution aux problèmes des putains de 6500 qui pullulent encore trop chez
les SPs sans le sou. C'était le 27em jour."

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet David Ponzone 
+1, on est des vieux


Le 6 avr. 2018 à 17:04, Michel Py a écrit :

>> David Ponzone a écrit :
>> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique à 
>> une des IP réelles.
> 
> Je continue à préférer l'ancien système : le stanby devient active (problème 
> avec celui qui était active). Tu veux te connecter à celui qui a un problème, 
> pas de chance maintenant c'est l'autre qui a l'IP fantome. Pas glop, une IP 
> par routeur plus la fantome. Bien plus simple.
> 
> Michel.
> 


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Guillaume Barrot 
Techniquement, c'est plutot que tu n'as plus besoin d'IP sur réelle, car tu
peux répondre directement par la virtuelle (p-arp).
En théorie en tous cas, et sur Linux, après chez Cisco ... autre paire de
manches.

Le 6 avril 2018 à 09:17, David Ponzone  a écrit :

> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique
> à une des IP réelles.
> Les docs de Cisco sont très mal écrites à ce niveau. C'était mieux avant.
>
> Le 6 avr. 2018 à 06:05, Cédric Houzé a écrit :
>
> > Hello la liste,
> >
> > Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
> > spécifique pour la virtuelle.
> >
> > Ça a l'air bien expliqué ici :
> > https://www.randco.fr/blog/2012/2045/
> >
> > En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui
> soit
> > définie.
> > En cas de bascule, la MAC utilisée par la table ARP doit rester la même
> > pour ne pas avoir d'interruption de service le temps que la table ARP
> soit
> > refreshée.
> >
> > C'est expliqué au chapitre  8.1.2
> > . "Host ARP
> Requests",
> > ici :
> >
> > https://tools.ietf.org/html/rfc5798
> >
> >
> >
> > Pour éviter une blague en prod, je te recommande de vérifier la MAC
> address
> > table en face de chaque interface histoire de voir si tu as bien 3
> adresses
> > MAC en tout ; 2 physiques et 1 virtuelle.
> > Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)
> >
> >
> > Cordialement,
> > Cédric Houzé.
> >
> >
> >
> > Le jeu. 5 avr. 2018 à 23:27, Eric LECLERC  a
> écrit :
> >
> >> Bonsoir,
> >> je me lance pour ma première réponse dans la mailing list :)
> >> De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
> >> Nexus (jusque là c'est classique).
> >> Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les
> >> IP dans les familles d'adresses.
> >> En IPv4, il y a la primaire et la secondaire. La primaire sert
> uniquement
> >> de next hop, tous les paquets qui sont directement adressés à cette
> adresse
> >> sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on
> veut
> >> causer directement à l'équipement.
> >> En IPv6, il faut configurer une adresse globale ET une adresse
> link-local
> >> qui servira de next-hop pour les hôtes.
> >> Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
> >> template de conf trouvé dans le guide des Nexus 3000 :
> >>
> >> interface Vlan20
> >> vrrpv3 10 address-family ipv4
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address 20.1.1.1 primary
> >> address 20.1.1.5 secondary
> >> vrrpv3 10 address-family ipv6
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address fe80::1 primary
> >> address 2011::5
> >>
> >> En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
> >>
> >>
> >> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/
> nexus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513
> >>
> >> Cordialement,
> >>
> >> LECLERC Eric
> >>
> >> Mobile +33 6 95 07 88 59
> >>
> >> er.lecler...@gmail.com
> >>
> >> Le 5 avril 2018 à 22:58, Michel Py 
> a
> >> écrit :
> >>
>  David Ponzone a écrit :
>  Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une
> >>> IP réelle par routeur, et une IP virtuelle flottante.
>  Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses
> IP.
>  Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit
> >>> identique à une des IP réelles, mais cela me semble risquer.
> >>>
> >>> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
> >>> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes
> de
> >>> HSRP, pas VRRP).
> >>> Je me suis laissé dire que VRPP et HSRP c'était très proche...
> >>>
> >>> Michel.
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Michel Py 
> David Ponzone a écrit :
> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique à 
> une des IP réelles.

Je continue à préférer l'ancien système : le stanby devient active (problème 
avec celui qui était active). Tu veux te connecter à celui qui a un problème, 
pas de chance maintenant c'est l'autre qui a l'IP fantome. Pas glop, une IP par 
routeur plus la fantome. Bien plus simple.

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Manuel Guesdon 
On Thu, 5 Apr 2018 23:26:39 +0200
Eric LECLERC  wrote:
>| En IPv4, il y a la primaire et la secondaire. La primaire sert uniquement
>| de next hop, tous les paquets qui sont directement adressés à cette adresse
>| sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on veut
>| causer directement à l'équipement.

Tu as un lien/passage précis la dessus ?


>| En IPv6, il faut configurer une adresse globale ET une adresse link-local
>| qui servira de next-hop pour les hôtes.

Pareil, je suis preneur d'un lien si tu as pour l'obligation du link-local.


>| En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
>| 
>| 
>https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513

Merci; je l'ai hélas lu, relu et rerelu mais ca manque de détails :-(

Manuel

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Manuel Guesdon 
Bonjour,

On Fri, 06 Apr 2018 04:05:28 +
Cédric Houzé  wrote:
>| Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
>| spécifique pour la virtuelle.
>| 
>| Ça a l'air bien expliqué ici :
>| https://www.randco.fr/blog/2012/2045/
>| 
>| En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui soit
>| définie.
>| En cas de bascule, la MAC utilisée par la table ARP doit rester la même
>| pour ne pas avoir d'interruption de service le temps que la table ARP soit
>| refreshée.
>| 
>| C'est expliqué au chapitre  8.1.2
>| . "Host ARP Requests",
>| ici :
>| 
>| https://tools.ietf.org/html/rfc5798
>| 
>| 
>| 
>| Pour éviter une blague en prod, je te recommande de vérifier la MAC address
>| table en face de chaque interface histoire de voir si tu as bien 3 adresses
>| MAC en tout ; 2 physiques et 1 virtuelle.

un "sh vrrp" m'indique que tous est OK oui:
-- Router A --
Vlan60 - Group 60 - Address-Family IPv4
  State is MASTER
  State duration 13 weeks 2 days 22 hours
  Virtual IP address is 192.168.0.1
  Virtual MAC address is .5e00.013c
  Advertisement interval is 1000 msec
  Preemption enabled, delay min 30 secs (0 msec remaining)
  Priority is 255 (owner mode)
  Master Router is 192.168.0.1 (local), priority is 255
  Master Advertisement interval is 1000 msec (expires in 92 msec)
  Master Down interval is unknown

-- Router B --
Vlan60 - Group 60 - Address-Family IPv4
  State is BACKUP
  State duration 13 weeks 2 days 22 hours
  Virtual IP address is 192.168.0.1
  Virtual MAC address is .5e00.013c
  Advertisement interval is 1000 msec
  Preemption enabled, delay min 30 secs (0 msec remaining)
  Priority is 100
  Master Router is 192.168.0.1, priority is 255
  Master Advertisement interval is 1000 msec (learned)
  Master Down interval is 3609 msec (expires in 2850 msec)



>| Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)

Oui, j'avais fait mais c'est en creusant la partie v6 et la partie ajout d'un
autre network que j'ai fini par me poser des questions (et notament si mes
tests étaient vraiment concluants et que ca ne "tombait pas en marche" dans
mon cas pour une tierce raison, le vPC par exemple)

Bon, cela dit, il me reste des interrogations (ajout de network,
réutilisation du meme vrrp id, etc). Je vais essayer de tester ca...

Manuel

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Manuel Guesdon 
Bonjour,

On Fri, 6 Apr 2018 11:10:35 +0200
Jean-Baptiste COUPIAC  wrote:
>| Je me permet de rebontir car j'essai d'annoncer en OSPF un /16 dont la GW
>| serai une @IP vrrpv3 secondary.
>| J'ai pas l'impression que ca marche très bien ^^
>| 
>| *ip prefix-list Vlan176 seq 5 permit 10.76.0.0/24 *
>| *ip prefix-list Vlan176 seq 10 permit 10.77.0.0/16 *
>| 
>| *interface Vlan176*
>| *  no shutdown*
>| *  ip address 10.76.0.252/24 *
>| *  ip ospf passive-interface*
>| *  vrrpv3 2 address-family ipv4*
>| *address 10.76.0.254 primary*
>| *address 10.77.255.254 secondary*
>| 
>| * redistribute direct route-map routes-Vlan176*
>| 
>| La redistribution du 10.76 est fonctionnelle mais pas celle du 10.77. Suis
>| je obligé d'avoir une ip physique dans le range 10.77 pour redistribuer en
>| ospf ?

J'aurais tendance à penser qu'il faut que tu declares aussi le
10.77.0.0/16 au niveau du vlan (vu que l'ospf est au niveau du vlan).
D'autant plus que rien dans ta conf de vlan n'indique le masque de ton IP en
10.77.* Et du coup je ne suis pas sur que tu ais besoin des redistribute,
route-map et prefix lists.


Manuel

--
__
Manuel Guesdon - OXYMIUM


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet Jean-Baptiste COUPIAC 
Bonjour à tous,

Je me permet de rebontir car j'essai d'annoncer en OSPF un /16 dont la GW
serai une @IP vrrpv3 secondary.
J'ai pas l'impression que ca marche très bien ^^

*ip prefix-list Vlan176 seq 5 permit 10.76.0.0/24 *
*ip prefix-list Vlan176 seq 10 permit 10.77.0.0/16 *

*interface Vlan176*
*  no shutdown*
*  ip address 10.76.0.252/24 *
*  ip ospf passive-interface*
*  vrrpv3 2 address-family ipv4*
*address 10.76.0.254 primary*
*address 10.77.255.254 secondary*

* redistribute direct route-map routes-Vlan176*

La redistribution du 10.76 est fonctionnelle mais pas celle du 10.77. Suis
je obligé d'avoir une ip physique dans le range 10.77 pour redistribuer en
ospf ?

+

__
Jean-Baptiste


Le 6 avril 2018 à 09:17, David Ponzone  a écrit :

> Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique
> à une des IP réelles.
> Les docs de Cisco sont très mal écrites à ce niveau. C'était mieux avant.
>
> Le 6 avr. 2018 à 06:05, Cédric Houzé a écrit :
>
> > Hello la liste,
> >
> > Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
> > spécifique pour la virtuelle.
> >
> > Ça a l'air bien expliqué ici :
> > https://www.randco.fr/blog/2012/2045/
> >
> > En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui
> soit
> > définie.
> > En cas de bascule, la MAC utilisée par la table ARP doit rester la même
> > pour ne pas avoir d'interruption de service le temps que la table ARP
> soit
> > refreshée.
> >
> > C'est expliqué au chapitre  8.1.2
> > . "Host ARP
> Requests",
> > ici :
> >
> > https://tools.ietf.org/html/rfc5798
> >
> >
> >
> > Pour éviter une blague en prod, je te recommande de vérifier la MAC
> address
> > table en face de chaque interface histoire de voir si tu as bien 3
> adresses
> > MAC en tout ; 2 physiques et 1 virtuelle.
> > Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)
> >
> >
> > Cordialement,
> > Cédric Houzé.
> >
> >
> >
> > Le jeu. 5 avr. 2018 à 23:27, Eric LECLERC  a
> écrit :
> >
> >> Bonsoir,
> >> je me lance pour ma première réponse dans la mailing list :)
> >> De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
> >> Nexus (jusque là c'est classique).
> >> Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les
> >> IP dans les familles d'adresses.
> >> En IPv4, il y a la primaire et la secondaire. La primaire sert
> uniquement
> >> de next hop, tous les paquets qui sont directement adressés à cette
> adresse
> >> sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on
> veut
> >> causer directement à l'équipement.
> >> En IPv6, il faut configurer une adresse globale ET une adresse
> link-local
> >> qui servira de next-hop pour les hôtes.
> >> Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
> >> template de conf trouvé dans le guide des Nexus 3000 :
> >>
> >> interface Vlan20
> >> vrrpv3 10 address-family ipv4
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address 20.1.1.1 primary
> >> address 20.1.1.5 secondary
> >> vrrpv3 10 address-family ipv6
> >> timers advertise 1000
> >> priority 100
> >> preempt
> >> match-address
> >> no vrrpv2
> >> address fe80::1 primary
> >> address 2011::5
> >>
> >> En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
> >>
> >>
> >> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/ne
> xus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513
> >>
> >> Cordialement,
> >>
> >> LECLERC Eric
> >>
> >> Mobile +33 6 95 07 88 59
> >>
> >> er.lecler...@gmail.com
> >>
> >> Le 5 avril 2018 à 22:58, Michel Py 
> a
> >> écrit :
> >>
>  David Ponzone a écrit :
>  Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une
> >>> IP réelle par routeur, et une IP virtuelle flottante.
>  Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses
> IP.
>  Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit
> >>> identique à une des IP réelles, mais cela me semble risquer.
> >>>
> >>> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
> >>> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes
> de
> >>> HSRP, pas VRRP).
> >>> Je me suis laissé dire que VRPP et HSRP c'était très proche...
> >>>
> >>> Michel.
> >>>
> >>>
> >>> ---
> >>> Liste de diffusion du FRnOG
> >>> http://www.frnog.org/
> >>>
> >>
> >>
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-06 Par sujet David Ponzone 
Mea culpa, effectivement on peut maintenant avoir l'IP virtuelle identique à 
une des IP réelles.
Les docs de Cisco sont très mal écrites à ce niveau. C'était mieux avant.

Le 6 avr. 2018 à 06:05, Cédric Houzé a écrit :

> Hello la liste,
> 
> Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
> spécifique pour la virtuelle.
> 
> Ça a l'air bien expliqué ici :
> https://www.randco.fr/blog/2012/2045/
> 
> En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui soit
> définie.
> En cas de bascule, la MAC utilisée par la table ARP doit rester la même
> pour ne pas avoir d'interruption de service le temps que la table ARP soit
> refreshée.
> 
> C'est expliqué au chapitre  8.1.2
> . "Host ARP Requests",
> ici :
> 
> https://tools.ietf.org/html/rfc5798
> 
> 
> 
> Pour éviter une blague en prod, je te recommande de vérifier la MAC address
> table en face de chaque interface histoire de voir si tu as bien 3 adresses
> MAC en tout ; 2 physiques et 1 virtuelle.
> Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)
> 
> 
> Cordialement,
> Cédric Houzé.
> 
> 
> 
> Le jeu. 5 avr. 2018 à 23:27, Eric LECLERC  a écrit :
> 
>> Bonsoir,
>> je me lance pour ma première réponse dans la mailing list :)
>> De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
>> Nexus (jusque là c'est classique).
>> Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les
>> IP dans les familles d'adresses.
>> En IPv4, il y a la primaire et la secondaire. La primaire sert uniquement
>> de next hop, tous les paquets qui sont directement adressés à cette adresse
>> sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on veut
>> causer directement à l'équipement.
>> En IPv6, il faut configurer une adresse globale ET une adresse link-local
>> qui servira de next-hop pour les hôtes.
>> Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
>> template de conf trouvé dans le guide des Nexus 3000 :
>> 
>> interface Vlan20
>> vrrpv3 10 address-family ipv4
>> timers advertise 1000
>> priority 100
>> preempt
>> match-address
>> no vrrpv2
>> address 20.1.1.1 primary
>> address 20.1.1.5 secondary
>> vrrpv3 10 address-family ipv6
>> timers advertise 1000
>> priority 100
>> preempt
>> match-address
>> no vrrpv2
>> address fe80::1 primary
>> address 2011::5
>> 
>> En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
>> 
>> 
>> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513
>> 
>> Cordialement,
>> 
>> LECLERC Eric
>> 
>> Mobile +33 6 95 07 88 59
>> 
>> er.lecler...@gmail.com
>> 
>> Le 5 avril 2018 à 22:58, Michel Py  a
>> écrit :
>> 
 David Ponzone a écrit :
 Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une
>>> IP réelle par routeur, et une IP virtuelle flottante.
 Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses IP.
 Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit
>>> identique à une des IP réelles, mais cela me semble risquer.
>>> 
>>> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
>>> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes de
>>> HSRP, pas VRRP).
>>> Je me suis laissé dire que VRPP et HSRP c'était très proche...
>>> 
>>> Michel.
>>> 
>>> 
>>> ---
>>> Liste de diffusion du FRnOG
>>> http://www.frnog.org/
>>> 
>> 
>> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-05 Par sujet Cédric Houzé 
Hello la liste,

Sur le papier, VRRPv3 semble ne plus nécessiter de définir une IP
spécifique pour la virtuelle.

Ça a l'air bien expliqué ici :
https://www.randco.fr/blog/2012/2045/

En réalité, l'important est qu'il y ait une adresse MAC virtuelle qui soit
définie.
En cas de bascule, la MAC utilisée par la table ARP doit rester la même
pour ne pas avoir d'interruption de service le temps que la table ARP soit
refreshée.

C'est expliqué au chapitre  8.1.2
. "Host ARP Requests",
ici :

https://tools.ietf.org/html/rfc5798



Pour éviter une blague en prod, je te recommande de vérifier la MAC address
table en face de chaque interface histoire de voir si tu as bien 3 adresses
MAC en tout ; 2 physiques et 1 virtuelle.
Dans l'idéal, un petit test de bascule devrait valider l'ensemble :)


Cordialement,
Cédric Houzé.



Le jeu. 5 avr. 2018 à 23:27, Eric LECLERC  a écrit :

> Bonsoir,
> je me lance pour ma première réponse dans la mailing list :)
> De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
> Nexus (jusque là c'est classique).
> Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les
> IP dans les familles d'adresses.
> En IPv4, il y a la primaire et la secondaire. La primaire sert uniquement
> de next hop, tous les paquets qui sont directement adressés à cette adresse
> sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on veut
> causer directement à l'équipement.
> En IPv6, il faut configurer une adresse globale ET une adresse link-local
> qui servira de next-hop pour les hôtes.
> Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
> template de conf trouvé dans le guide des Nexus 3000 :
>
> interface Vlan20
> vrrpv3 10 address-family ipv4
> timers advertise 1000
> priority 100
> preempt
> match-address
> no vrrpv2
> address 20.1.1.1 primary
> address 20.1.1.5 secondary
> vrrpv3 10 address-family ipv6
> timers advertise 1000
> priority 100
> preempt
> match-address
> no vrrpv2
> address fe80::1 primary
> address 2011::5
>
> En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :
>
>
> https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513
>
> Cordialement,
>
> LECLERC Eric
>
> Mobile +33 6 95 07 88 59
>
> er.lecler...@gmail.com
>
> Le 5 avril 2018 à 22:58, Michel Py  a
> écrit :
>
>> > David Ponzone a écrit :
>> > Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une
>> IP réelle par routeur, et une IP virtuelle flottante.
>> > Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses IP.
>> > Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit
>> identique à une des IP réelles, mais cela me semble risquer.
>>
>> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
>> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes de
>> HSRP, pas VRRP).
>> Je me suis laissé dire que VRPP et HSRP c'était très proche...
>>
>> Michel.
>>
>>
>> ---
>> Liste de diffusion du FRnOG
>> http://www.frnog.org/
>>
>
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-05 Par sujet Eric LECLERC 
Bonsoir,
je me lance pour ma première réponse dans la mailing list :)
De ce que j'en comprends, il faut déjà activer la feature vrrpv3 sur le
Nexus (jusque là c'est classique).
Ensuite dans l'interface on configure le groupe vrrpv3 et on définit les IP
dans les familles d'adresses.
En IPv4, il y a la primaire et la secondaire. La primaire sert uniquement
de next hop, tous les paquets qui sont directement adressés à cette adresse
sont droppés. Il faut donc utiliser l'adresse secondaire lorsque l'on veut
causer directement à l'équipement.
En IPv6, il faut configurer une adresse globale ET une adresse link-local
qui servira de next-hop pour les hôtes.
Par ailleurs il faut désactiver le vrrpv2 sur l'interface. Voici le
template de conf trouvé dans le guide des Nexus 3000 :

interface Vlan20
vrrpv3 10 address-family ipv4
timers advertise 1000
priority 100
preempt
match-address
no vrrpv2
address 20.1.1.1 primary
address 20.1.1.5 secondary
vrrpv3 10 address-family ipv6
timers advertise 1000
priority 100
preempt
match-address
no vrrpv2
address fe80::1 primary
address 2011::5

En espérant que ça t'aidera, et ci-dessous le petit lien qui va bien :

https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/unicast/602_u1_1/l3_nx-os/l3_vrrp.html#pgfId-1208513

Cordialement,

LECLERC Eric

Mobile +33 6 95 07 88 59

er.lecler...@gmail.com

Le 5 avril 2018 à 22:58, Michel Py  a
écrit :

> > David Ponzone a écrit :
> > Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une IP
> réelle par routeur, et une IP virtuelle flottante.
> > Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses IP.
> > Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit identique
> à une des IP réelles, mais cela me semble risquer.
>
> Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse
> fantome, qui est servie par celui des deux qui est "ACTIVE" (en termes de
> HSRP, pas VRRP).
> Je me suis laissé dire que VRPP et HSRP c'était très proche...
>
> Michel.
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>

---
Liste de diffusion du FRnOG
http://www.frnog.org/

RE: [FRnOG] [TECH] Cisco Nexus et VRRP

2018-04-05 Par sujet Michel Py 
> David Ponzone a écrit :
> Je sais pas sur un Nexus mais chez Cisco, j'ai toujours configuré une IP 
> réelle par routeur, et une IP virtuelle flottante.
> Donc si tu as R routeurs, tu as tout le temps besoin de R+1 adresses IP.
> Je ne dis pas qu'il n'est pas possible que l'IP virtuelle soit identique à 
> une des IP réelles, mais cela me semble risquer.

Je plussoie. Une addresse pour chaque switch/routeur plus l'addresse fantome, 
qui est servie par celui des deux qui est "ACTIVE" (en termes de HSRP, pas 
VRRP).
Je me suis laissé dire que VRPP et HSRP c'était très proche...

Michel.


---
Liste de diffusion du FRnOG
http://www.frnog.org/