Белая книга для Cisco Cisco Nexus 5010 Switch

 

 

© 2016 Cisco and/or its affiliates. All rights reserved. This document is Cisco Public Information. 

Page 66 of 75 

  router-id 10.10.10.10 

 vrf VRF-B 

  redistribute bgp route-map REDIST-BGP-OSPF  

 

  router-id 10.10.10.10 

 vrf VRF-EXT 

  redistribute bgp route-map REDIST-DEF-ROUTE  

 

  router-id 10.10.10.10

 

To increase their return on investment (ROI), many customers choose to deploy firewalls in clusters, in which each 

node actively forwards traffic, and all states are synchronized across cluster firewall members. 

Such a scenario frequently requires dual-homed connection to two network switches, and in the case here, to two 

vPC leaf nodes. A general recommendation is to keep border leaf nodes deployed in standalone mode, so regular 

leaf nodes configured as vPC peers should be used for this scenario. 

The physical diagram shown in 

 closely resembles that of the previous scenario. However, now each 

firewall is vPC dual-attached to each of the leaf nodes. This scenario is based on the logical diagram shown in 

. 

In the current software, only static routing can be deployed with vPC dual-homed topology. 

Just as in all previous cases with static routing, the SVIs and BDIs on the leaf nodes are configured in anycast-

gateway mode. 

This scenario assumes, that border leaf nodes are advertising default route (0.0.0.0/0) reachability in VRF EXT. 

This default route is then used by leaf 3 and leaf 4 to forward traffic to external networks outside VRF A and VRF B 

(Figure 28). 

Figure 28.    vPC Dual-Attached Cluster of Tenant-Edge Firewalls Acting as Default Gateways for Subnets F1 and F2 as Well as 

Enforcing Security Policies between VRF A, VRF B, and VRF EXT. Leaf 3 and Leaf 4 Are Extending Layer 2 
Segments for Subnets F1 and F2 to Both Firewalls