Manualsbrain.com
  1. Manuali
  2. Marche
  3. Cisco
  4. Cisco Nexus 5010 Switch
  5. Libro bianco

Cisco Cisco Nexus 5010 Switch Libro bianco

Scarica
Pagina di 75
 
 
© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 
Page 6 of 75 
Figure 4.    Logical Diagram Showing Hosts in Protected (Subnets A1 and A2) and Nonprotected (Subnets B1 and B2) Subnets, 
with VXLAN Fabric and the East-West Firewall in Routed Mode. Default Gateways for Nonprotected Subnets B1 
and B2 Reside in the Fabric 
 
Cisco programmable fabric with VXLAN encapsulation and a BGP EVPN control plane provides multitenancy 
mechanisms and enhances traditional Layer 2 domain behavior by providing ARP suppression. This feature 
reduces the amount of flooded traffic in a given Layer 2 domain and lowers the load on the control plane of the 
firewall and on the CPU. 
The following steps present a sample topology with the east-west firewall in routed mode. Figure 5 shows the 
packet movement for traffic from host 1 to host 5. 
1.  Traffic from host 1 enters the fabric in VLAN 101, where it is mapped to VNI 30101. The VXLAN Layer 2 tunnel 
with VNI 30101 traverses the fabric until it reaches the leaf node connecting to east-west firewall. The header 
of the frame is stripped and mapped back to VLAN 101. The firewall receives the traffic on the Layer 3 
subinterface for VLAN 101. 
2.  Within the east-west firewall, the traffic is subjected to security firewall policies, and the routing process 
identifies that the destination subnet B1 is reachable through the Layer 3 subinterface for VLAN 200. 
3.  Data traffic is tagged with VLAN 200 and sent to the VXLAN EVPN fabric, where the VLAN 200 ID is mapped 
to VNI 30200. 
4.  The SVI and BDI logical interface for VLAN 200 and VNI 30200 receives the traffic and determines that the 
traffic needs to be routed to the destination network on a remote leaf node through the VXLAN EVPN fabric. 
All routing through the fabric within a given VRF instance is performed using the transit VNI, identified as the 
Layer 3 VRF VNI
1
: in this case, 50001. 
5.  The destination leaf node receives the traffic with VNI 50001 in the header and determines that the data traffic 
needs to be routed out of the locally configured SVI and BDI for VLAN 111 and VNI 30111. 
6.  The data traffic is then sent to host 5 with the VLAN 111 tag in the header. 
                                                 
1
 Refer to the symmetric integrated routing and bridging (IRB) discussion at