Белая книга для Cisco Cisco Nexus 5010 Switch

 

 

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 

Page 58 of 75 

Figure 27.    Single-Attached Tenant-Edge Firewall Acting as a Default Gateway for Subnets F1 and F2 as Well as Enforcing 

Security Policies Among VRF A, VRF B, and VRF EXT. BORDER Leaf 1 and Border Leaf 2 Extend Layer 2 
Segments for Subnets F1 and F2 to Both Firewalls 

 

Configurations 11a and 11b apply to both border leaf nodes. 

Note that anycast-gateway mode is not used for the SVI and BDI used to establish routing adjacency with the 

firewall. In addition, the IP addresses of the SVI and BDI for the respective VLANs must be different and on 

different border leaf nodes, but both interfaces must be in the same subnet.  

Also, the route maps used for route redistribution may need to change, depending on the operating practices used. 

This document assumes that the firewall is sending the default route using OSPF. 

feature vn-segment-vlan-based 

feature nv overlay 

feature ospf  

 

 

route-map FABRIC-RMAP-REDIST-SUBNET permit 10 

  match tag 12345 

ip access-list DEFAULT-ROUTE 

  20 permit ip 0.0.0.0/0 any 

 

ip access-list DENY-DEFAULT 

  10 deny ip 0.0.0.0/0 any 

  20 permit any any 

route-map REDIST-DEF-ROUTE permit 10 

  match ip address DEFAULT-ROUTE 

 

route-map REDIST-DENY-DEFAULT permit 10