Маршрутизация в Cisco Nexus: от основ NX-OS до современных решений для ЦОД | AdminWiki
Logo
Timeweb Cloud — сервера, Kubernetes, S3, Terraform. Лучшие цены IaaS.
Попробовать

Маршрутизация в Cisco Nexus: от основ NX-OS до современных решений для ЦОД

07 июня 2026 9 мин. чтения
Содержание статьи

Реализация маршрутизации на коммутаторах Cisco Nexus требует понимания специфики операционной системы NX-OS и современных архитектур ЦОД. Это руководство содержит проверенные конфигурации для создания отказоустойчивой и масштабируемой сетевой инфраструктуры. Мы разберем ключевые отличия от классической IOS, настройку логической изоляции трафика через VRF, динамическую маршрутизацию IPv6 с помощью OSPFv3 и интеграцию в Overlay-сети на основе VXLAN.

NX-OS vs IOS: ключевые отличия, которые должен знать каждый инженер

Переход с коммутаторов Catalyst на Nexus часто приводит к ошибкам из-за различий в синтаксисе и логике команд. Знание этих нюансов критически важно для стабильной работы сети.

Синтаксис команд: от 'show' до 'feature'

В NX-OS многие команды внешне похожи на IOS, но имеют другую семантику или дополнительные параметры. Основные отличия:

  • Активация функций: В NX-OS перед использованием многих протоколов необходимо явно включить соответствующую функцию командой feature. Например, для работы OSPF требуется feature ospf, для интерфейсов VLAN - feature interface-vlan.
  • Настройка интерфейсов: Команда interface ethernet 1/1 аналогична IOS. Для перевода порта в режим маршрутизации (L3) используется знакомая команда no switchport. Назначение IP-адреса также схоже: ip address 10.0.0.1/24.
  • Вывод конфигурации: Команда show running-config работает, но формат вывода может отличаться. Для проверки конкретного интерфейса используйте show running-config interface ethernet 1/1.

Типичная ошибка - попытка настроить OSPF без предварительного выполнения feature ospf, что приводит к невозможности ввода команд маршрутизации.

Первая рабочая конфигурация: интерфейсы, статика и проверка

Рассмотрим базовую настройку двух L3-интерфейсов и статического маршрута.

! Активация необходимых функций (если не включены по умолчанию)
feature interface-vlan

! Настройка физического L3-интерфейса
interface ethernet1/1
  no switchport
  ip address 192.168.1.1/24
  no shutdown

! Настройка интерфейса SVI (VLAN)
interface vlan10
  ip address 10.10.10.1/24
  no shutdown

! Настройка loopback-интерфейса
interface loopback0
  ip address 1.1.1.1/32

! Статический маршрут по умолчанию
ip route 0.0.0.0/0 192.168.1.254

После настройки выполните проверку:

  • show ip interface brief - отображает состояние всех IP-интерфейсов.
  • show ip route - показывает таблицу маршрутизации, включая добавленный статический маршрут.
  • show running-config interface ethernet 1/1 - подтверждает конфигурацию порта.

NX-OS также поддерживает механизм checkpoint/rollback, позволяющий сохранять точки восстановления конфигурации (checkpoint my_backup) и откатываться к ним при необходимости.

Логическая изоляция трафика: практическая настройка VRF в NX-OS

VRF (Virtual Routing and Forwarding) создает независимые таблицы маршрутизации внутри одного физического устройства. Эта технология необходима для мультитенантных сред ЦОД, изоляции производственной, тестовой и управляющей сетей.

Создание и привязка VRF: PROD, TEST, MGMT

Создадим три типовых VRF-контекста.

! Создание VRF и настройка Route Distinguisher (RD)
vrf context PROD
  rd auto
  address-family ipv4 unicast

vrf context TEST
  rd auto
  address-family ipv4 unicast

vrf context MGMT
  rd auto
  address-family ipv4 unicast

! Привязка интерфейса SVI к VRF PROD
interface vlan 100
  vrf member PROD
  ip address 192.168.100.1/24
  no shutdown

! Привязка физического L3-интерфейса к VRF TEST
interface ethernet1/2
  no switchport
  vrf member TEST
  ip address 172.16.1.1/24
  no shutdown

Ключевая команда - vrf member <имя>. Она назначает интерфейс конкретному VRF. После этого все IP-настройки на интерфейсе относятся к изолированной таблице маршрутизации.

Маршрутизация между VRF и интеграция с внешним миром

По умолчанию VRF изолированы. Для контролируемого обмена трафиком используется маршрутизация через глобальную таблицу или route leaking. Для выхода в внешнюю сеть каждый VRF обычно имеет отдельную сессию BGP или OSPF с upstream-маршрутизатором.

! Пример настройки eBGP сессии для VRF PROD с маршрутизатором ASR
router bgp 65001
  vrf PROD
    neighbor 10.0.0.2 remote-as 65000
    address-family ipv4 unicast
      network 192.168.100.0/24

Диагностика:

  • show ip route vrf PROD - показывает таблицу маршрутизации для VRF PROD.
  • show bgp vpnv4 unicast vrf PROD summary - отображает состояние BGP-сессий для данного VRF.

Best practice - использовать единые naming convention для VRF (например, <Клиент>_<Назначение>) и документировать соответствие VRF и интерфейсов.

Динамическая маршрутизация IPv6: настройка OSPFv3 на Nexus

OSPFv3 - это протокол динамической маршрутизации для IPv6. В NX-OS его реализация имеет особенности, которые важно учитывать для стабильной работы.

Базовая конфигурация OSPFv3 и анонсирование сетей

Минимальная рабочая конфигурация включает активацию функции, создание процесса OSPFv3 и назначение интерфейсов в область (area).

! Активация функции OSPFv3
feature ospfv3

! Настройка процесса OSPFv3
router ospfv3 100
  router-id 1.1.1.1

! Назначение интерфейса Ethernet 1/1 в area 0
interface ethernet1/1
  ipv6 router ospfv3 100 area 0
  ipv6 address 2001:db8::1/64

В отличие от OSPFv2, OSPFv3 привязывается непосредственно к интерфейсу IPv6. Проверка настройки:

  • show ospfv3 neighbor - отображает состояние соседства.
  • show ipv6 route ospfv3 - показывает маршруты, полученные через OSPFv3.

Тонкая настройка и устранение типичных проблем

Если соседство не устанавливается, проверьте следующие параметры:

  1. MTU: Убедитесь, что MTU на обоих концах канала совпадает. Используйте show interface ethernet1/1 для проверки.
  2. ACL на IPv6: Проверьте, не блокируют ли списки контроля доступа протокол OSPFv3 (IPv6 Next Header 89).
  3. Несовпадение area ID: Убедитесь, что интерфейсы назначены в одну область.
  4. Таймеры hello/dead: Команда show ospfv3 interface ethernet1/1 detail покажет текущие таймеры. Они должны совпадать на соседних устройствах.

Для аутентификации можно использовать IPSec. Настройка выполняется в конфигурации интерфейса: ipv6 ospfv3 authentication ipsec spi 256 sha1 <ключ>.

Маршрутизация в современных Overlay-сетях: VXLAN и FabricPath

Архитектура современных ЦОД все чаще строится по принципу Spine-Leaf с использованием Overlay-сетей поверх физической underlay-сети. Nexus играет в этой архитектуре ключевую роль.

Архитектурная роль Nexus в VXLAN EVPN

В схеме Spine-Leaf коммутаторы Nexus серии 9000 могут выполнять роль как Spine, так и Leaf узлов.

  • Spine: Обеспечивают высокоскоростную маршрутизацию трафика между Leaf-коммутаторами. Обычно не имеют подключений конечных устройств.
  • Border Leaf: Специализированные Leaf-коммутаторы, обеспечивающие выход из Overlay-сети во внешнюю (например, в интернет или корпоративную сеть).

VXLAN (Virtual Extensible LAN) создает Overlay-сеть поверх IP-транспорта (underlay). Каждый логический сегмент (аналог VLAN) идентифицируется 24-битным VNI (VXLAN Network Identifier). Точки окончания туннелей VXLAN называются VTEP (VXLAN Tunnel Endpoint).

Первые шаги в настройке VXLAN на Nexus 9000

Базовая настройка включает подготовку underlay и overlay.

! Активация необходимых функций
feature bgp
feature nv overlay
feature vn-segment-vlan-based

! Конфигурация underlay (например, OSPF для связи Spine-Leaf)
router ospf UNDERLAY
  router-id 10.0.0.1
interface ethernet1/1
  ip address 10.1.1.1/30
  ip router ospf UNDERLAY area 0

! Конфигурация overlay (BGP EVPN)
router bgp 65001
  neighbor 10.0.0.2 remote-as 65001
  address-family l2vpn evpn
    send-community extended
    retain route-target all

FabricPath - это альтернативная технология Cisco для построения масштабируемых L2 сетей в ЦОД, которая предшествовала VXLAN EVPN. Ее настройка включает создание FabricPath domain и настройку switch-id. Однако для новых проектов рекомендуется использовать VXLAN EVPN как более современную и открытую технологию.

Для более глубокого погружения в архитектуру SDN и сравнения подходов к маршрутизации, ознакомьтесь с материалом SDN и эволюция маршрутизации: от распределенных протоколов к программному контроллеру.

Построение отказоустойчивой и масштабируемой L3 инфраструктуры

Типовая production-сеть ЦОД объединяет разные платформы Cisco. Правильное распределение ролей и протоколов обеспечивает масштабируемость и отказоустойчивость.

Схема интеграции: Nexus (Spine), Catalyst (Leaf), ASR (Border)

Распространенная схема: коммутаторы Nexus 9000 выступают в роли Spine, Catalyst 9300 - в роли Leaf, а маршрутизаторы ASR 1000 - в роли Border для выхода во внешнюю сеть.

  • Underlay (Spine-Leaf): Для связи между Spine (Nexus) и Leaf (Catalyst) используется протокол OSPF или eBGP. BGP предпочтительнее для больших сетей из-за лучшей масштабируемости.
  • Overlay (Leaf-Leaf через Spine): Для передачи трафика VXLAN между Leaf используется MP-BGP EVPN, работающий поверх underlay.
  • Внешняя маршрутизация (Border): Border Leaf или выделенные маршрутизаторы ASR устанавливают eBGP-сессии с провайдерами интернета или корпоративной магистралью.

Пример конфигурации eBGP между Nexus Spine и ASR Border:

! На Nexus Spine
router bgp 65001
  neighbor 192.168.255.1 remote-as 65000
  address-family ipv4 unicast
    network 10.0.0.0/8

Обеспечение отказоустойчивости шлюза и балансировки

Для резервирования шлюза по умолчанию для конечных устройств в сети на базе Nexus используется HSRP (Hot Standby Router Protocol) или VRRP.

! Настройка HSRP для IPv4 на интерфейсе SVI
interface vlan 10
  ip address 192.168.10.2/24
  hsrp 10
    priority 110
    preempt
    address 192.168.10.1

В этом примере виртуальный IP-адрес 192.168.10.1 будет обслуживаться активным устройством HSRP. Приоритет 110 определяет, какой коммутатор станет активным изначально. Директива preempt позволяет устройству с более высоким приоритетом вернуть себе роль активного после восстановления.

Для IPv6 используется HSRPv2 или VRRPv3. Настройка аналогична, но с указанием IPv6-адреса: address 2001:db8::1.

Для активного-активного сценария с балансировкой нагрузки можно использовать несколько групп HSRP на разных VLAN или протокол GLBP (Gateway Load Balancing Protocol), если он поддерживается версией NX-OS.

Детальные инструкции по настройке отказоустойчивости шлюза смотрите в статье Отказоустойчивая сеть: практическое руководство по настройке VRRP/HSRP и OSPF для высокой доступности.

Диагностика и устранение неполадок: шпаргалка инженера

Быстрая диагностика проблем в production-среде требует знания ключевых команд и методичного подхода.

Основные команды проверки состояния маршрутизации

  • show ip route vrf <имя> - базовая проверка таблицы маршрутизации в конкретном VRF.
  • show ospfv3 neighbor detail - детальная информация о состоянии соседства OSPFv3, включая IP-адрес соседа, состояние, время активности.
  • show bgp vpnv4 unicast all summary - сводка по всем BGP-сессиям для VPNv4 (используется в MPLS/VPN и некоторых Overlay-сценариях).
  • show vxlan - отображает информацию о VXLAN туннелях, включая список VTEP и соответствующие VNI.
  • show forwarding adjacency - показывает записи в таблице коммутации (FIB), полезно для проверки, куда фактически отправляются пакеты.

Алгоритм поиска проблемы: от симптома к причине

Проблема: Маршруты не появляются в таблице VRF PROD.

  1. Шаг 1. Проверьте состояние интерфейса в VRF: Выполните show ip interface brief vrf PROD. Убедитесь, что нужный интерфейс имеет статус protocol-up/link-up.
  2. Шаг 2. Проверьте работу протокола маршрутизации в этом VRF: Если используется OSPF, выполните show ip ospf neighbor vrf PROD. Для BGP - show bgp vpnv4 unicast vrf PROD summary. Убедитесь, что соседство установлено.
  3. Шаг 3. Проверьте редистрибуцию между таблицами: Если маршруты должны импортироваться из глобальной таблицы или другого VRF, проверьте конфигурацию import/export route-target в определении VRF и политики редистрибуции в настройках протокола.

Проблема: Нет связности через VXLAN туннель между двумя Leaf.

  1. Шаг 1. Проверьте underlay: Убедитесь в IP-связности между IP-адресами loopback-интерфейсов, используемых как VTEP (ping <vtep_ip> vrf <underlay_vrf>).
  2. Шаг 2. Проверьте BGP EVPN соседство: Выполните show bgp l2vpn evpn summary. Убедитесь, что сессия между Leaf (через Spine) установлена.
  3. Шаг 3. Проверьте learning мак-адресов: Используйте show mac address-table vlan <id> и show l2route mac all для проверки, известны ли мак-адресы удаленных хостов и ассоциированы ли они с правильным VTEP.

Для оптимизации работы OSPF в сложных сетях, включая интеграцию с другими протоколами, обратитесь к руководству Настройка OSPF для корпоративных сетей: пошаговые конфигурации Cisco, Juniper, MikroTik + гайд по оптимизации.

Если вы выбираете сетевое оборудование для нового проекта, практическое сравнение платформ поможет принять взвешенное решение. Смотрите обзор Маршрутизаторы в корпоративной сети: практическое сравнение и выбор под задачу.

Автоматизация рутинных задач настройки и диагностики сетевого оборудования может значительно экономить время. Для работы с API различных нейросетевых моделей, которые могут использоваться для генерации конфигураций или анализа логов, можно рассмотреть агрегатор AiTunnel. Он предоставляет единый интерфейс к более чем 200 моделям, включая GPT и Claude, с оплатой в рублях и без необходимости использования VPN.

Поделиться:
Сохранить гайд? В закладки браузера