Differences

This shows you the differences between two versions of the page.

--- cisco:switch:9500:cisco_catalyst_9500_series_manual [2025/07/31 18:21] – aperez
+++ cisco:switch:9500:cisco_catalyst_9500_series_manual [2026/06/11 17:26] (current) – aperez
@@ Line 7: / Line 7: @@
 ----
+  Switch#do show interfaces status
   Switch#show running-config interface Port-channel2
   Switch#show interfaces status
@@ Line 1152: / Line 1154: @@
 ----
-====== VXLAN Static Configuration Between Cisco 9500 and Aruba 6300 ======
+====== VXLAN Static Configuration – Cisco 9500 ⇄ Aruba 6300 ======
-=== 🔧 Network Architecture Summary ===
+=== 📘 Architecture Summary ===
-^ Component                ^ Cisco Catalyst 9500 (C9500SP1)       ^ Aruba 6300M (6300SP2)                 ^
+^ Parameter               ^ Cisco 9500 (C9500SP1)         ^ Aruba 6300M (6300SP2)         ^
-| **VTEP Loopback IP**     | 172.22.32.1                          | 172.22.32.2                            |
+| VTEP Loopback IP        | 172.22.32.1                    | 172.22.32.2                    |
-| **Transport IP**         | 172.18.32.33 (to Aruba)              | 172.18.32.34 (to Cisco)                |
+| Transport IP            | 172.18.32.33 (To Aruba)        | 172.18.32.34 (To Cisco)        |
-| **Transport VLAN**       | VLAN 1019 (routed PtP)               | VLAN 1019 (routed PtP)                 |
+| Transport Interface     | Routed PtP /30 via TenG        | Routed PtP /30 via 1/1/12      |
-| **OSPF Area**            | 0                                    | 0                                      |
+| OSPF Area               | 0                              | 0                              |
-| **VXLAN Type**           | Static (manual VTEP replication)     | Static (manual VTEP replication)       |
+| VXLAN Mode              | Static VXLAN                   | Static VXLAN                   |
-| **VXLAN Device Interface**| `interface nve1`                    | `interface vxlan 1`                    |
+| VXLAN Interface         | `nve1`                         | `vxlan 1`                      |
-| **VNI Range**            | 10001, 10700–10732                   | 10001, 10700–10732                     |
+| VNIs                    | 10001, 10700–10732             | 10001, 10700–10732             |
-| **Inter-VXLAN Bridging** | Not used                             | static-all or static-evpn              |
+| Inter-VXLAN Bridging    | Not applicable                 | `static-all` or `static-evpn`  |
----
+----
-=== 🚀 Cisco 9500 – Configuration ===
+=== 🚀 Cisco 9500 Configuration ===
-==== 1. Configure Loopback as VTEP Source ====
+==== 🔹 1. VTEP Loopback ====
-```cisco
+  interface Loopback0
-interface Loopback0
+   ip address 172.22.32.1 255.255.255.255
- ip address 172.22.32.1 255.255.255.255
-==== 2. Transport Interface ====
-cisco
+==== 🔹 2. Transport Interface ====
-Copy
+  interface TenGigabitEthernet1/0/12
-Edit
+   description Link to Aruba 6300
-interface TenGigabitEthernet1/0/12
+   ip address 172.18.32.33 255.255.255.252
- description Link to Aruba 6300
+   no shutdown
- ip address 172.18.32.33 255.255.255.252
- no shutdown
-==== 3. OSPF Configuration ====
-cisco
+==== 🔹 3. OSPF ====
-Copy
+  router ospf 100
-Edit
+   router-id 1.1.1.1
-router ospf 100
+   network 172.18.32.32 0.0.0.3 area 0
- router-id 1.1.1.1
+   network 172.22.32.1 0.0.0.0 area 0
- network 172.18.32.32 0.0.0.3 area 0
- network 172.22.32.1 0.0.0.0 area 0
-==== 4. Static Route (Loopback reachability) ====
-cisco
+==== 🔹 4. Static Route ====
-Copy
+  ip route 172.22.32.2 255.255.255.255 172.18.32.34
-Edit
-ip route 172.22.32.2 255.255.255.255 172.18.32.34
-==== 5. VXLAN NVE Interface ====
-cisco
+==== 🔹 5. NVE Interface ====
-Copy
+  interface nve1
-Edit
+   no shutdown
-interface nve1
+   source-interface Loopback0
- no shutdown
+   member vni 10001 ingress-replication 172.22.32.2
- source-interface Loopback0
+   member vni 10700 ingress-replication 172.22.32.2
- member vni 10001 ingress-replication 172.22.32.2
+   member vni 10712 ingress-replication 172.22.32.2
- member vni 10700 ingress-replication 172.22.32.2
+   member vni 10730 ingress-replication 172.22.32.2
- ...
+   member vni 10732 ingress-replication 172.22.32.2
- member vni 10732 ingress-replication 172.22.32.2
-==== 6. Map VNIs to Bridge Domains ====
-cisco
+==== 🔹 6. Bridge Domains ====
-Copy
+  bridge-domain 1
-Edit
+   member vni 10001
-bridge-domain 1
- member vni 10001
-bridge-domain 700
+  bridge-domain 700
- member vni 10700
+   member vni 10700
-bridge-domain 712
+  bridge-domain 712
- member vni 10712
+   member vni 10712
-bridge-domain 730
+  bridge-domain 730
- member vni 10730
+   member vni 10730
-bridge-domain 732
+  bridge-domain 732
- member vni 10732
+   member vni 10732
-=== 🧩 Aruba 6300 – Configuration ===
-==== 1. Loopback for VTEP ====
+----
-aruba
+=== 🧩 Aruba 6300 Configuration ===
-Copy
-Edit
-interface loopback 0
- ip address 172.22.32.2/32
-==== 2. Transport Interface ====
-aruba
+==== 🔹 1. Loopback Interface ====
-Copy
+  interface loopback 0
-Edit
+   ip address 172.22.32.2/32
-interface 1/1/12
- description Link to Cisco 9500
- ip address 172.18.32.34/30
- no shutdown
-==== 3. OSPF Configuration ====
-aruba
+==== 🔹 2. Transport Interface ====
-Copy
-Edit
-router ospf
- router-id 2.2.2.2
- area 0.0.0.0
   interface 1/1/12
-  interface loopback 0
+   description Link to Cisco 9500
-==== 4. Static Route (for Cisco VTEP) ====
+   ip address 172.18.32.34/30
+   no shutdown
-aruba
+==== 🔹 3. OSPF ====
-Copy
+  router ospf
-Edit
+   router-id 2.2.2.2
-ip route 172.22.32.1/32 172.18.32.33
+   area 0.0.0.0
-==== 5. VXLAN Tunnel ====
+     interface 1/1/12
+     interface loopback 0
-aruba
+==== 🔹 4. Static Route ====
-Copy
+  ip route 172.22.32.1/32 172.18.32.33
-Edit
-interface vxlan 1
- source 172.22.32.2
- inter-vxlan-bridging-mode static-all
-==== 6. VXLAN VNI/VLAN Mapping ====
-aruba
+==== 🔹 5. VXLAN Interface ====
-Copy
+  interface vxlan 1
-Edit
+   source 172.22.32.2
-vxlan vlan 1 vni 10001
+   inter-vxlan-bridging-mode static-all
- vxlan vtep 172.22.32.1
-vxlan vlan 700 vni 10700
+==== 🔹 6. VNI to VLAN Mapping ====
- vxlan vtep 172.22.32.1
+  vxlan vlan 1 vni 10001
+   vxlan vtep 172.22.32.1
-vxlan vlan 712 vni 10712
+  vxlan vlan 700 vni 10700
- vxlan vtep 172.22.32.1
+   vxlan vtep 172.22.32.1
-vxlan vlan 730 vni 10730
+  vxlan vlan 712 vni 10712
- vxlan vtep 172.22.32.1
+   vxlan vtep 172.22.32.1
-vxlan vlan 732 vni 10732
+  vxlan vlan 730 vni 10730
- vxlan vtep 172.22.32.1
+   vxlan vtep 172.22.32.1
-=== ✅ Verification ===
-==== Cisco 9500 ====
+  vxlan vlan 732 vni 10732
+   vxlan vtep 172.22.32.1
-cisco
+----
-Copy
-Edit
-show nve interface nve1
-show nve vni summary
-show nve vni interface nve 1
-show nve peers
-ping 172.22.32.2 source 172.22.32.1
-show mac address-table vlan 712
-==== Aruba 6300 ====
+=== 🧪 Validation Commands ===
+==== 🔸 Cisco 9500 ====
+  show nve interface nve1
+  show nve vni summary
+  show nve vni interface nve 1
+  show nve peers
+  ping 172.22.32.2 source 172.22.32.1
+  show mac address-table vlan 712
+==== 🔸 Aruba 6300 ====
+  show interface vxlan 1
+  show interface vxlan vni vteps
+  ping 172.22.32.1 source 172.22.32.2
+  show mac-address-table vlan 712
+=== ✅ Notes ===
+  * The VXLAN tunnels use **static replication** for simplicity and full control.
+  * Ensure **Loopback reachability** via static route or OSPF in both directions.
+  * For production EVPN deployment, BGP configuration will be required.
+----
+----
+{{ :aruba_networks:switch:6400:vxlan_cli_ap.pdf |}}
+{{pdfjs 46em >:aruba_networks:switch:6400:vxlan_cli_ap.pdf}}
+----
+----
+{{ :cisco:switch:9500:mtu_utm_switch_6400_9500.pdf |}}
+{{pdfjs 46em >:cisco:switch:9500:mtu_utm_switch_6400_9500.pdf}}
+----
+----
+====== Cisco C9500 SUR — Timeout de SSH desde sitio remoto (MTU residual de VXLAN) ======
+**Fecha:** 2026-06-11
+**Equipo:** C9500SP1 (LAG-17-C9500SP2) — 172.20.28.37 (SUR, sitio local)
+**Estado:** Resuelto
+===== Síntoma =====
+El SSH al switch funcionaba desde la LAN local del mismo sitio, pero daba timeout desde el sitio remoto de gestión (10.57.0.x). El ping ICMP y el SNMPv3 (snmpget) desde el sitio remoto funcionaban bien; solo fallaba el SSH (y el playbook de baseline de ASH, que usa SSH) con "Connection timed out". Aparentaba funcionar solo mientras había una sesión local activa.
+===== Causa raíz =====
+Problema de MTU en el path, secuela del VXLAN removido:
+  * El path WAN/VPN entre el sitio local y el sitio remoto tiene MTU menor a 1500 (ping con DF: 1400 pasa, 1500 falla con "MMMMM" = fragmentación necesaria con DF activo).
+  * La SVI de gestión **Vlan1** había quedado con **MTU 9100 (jumbo)**, heredado de la configuración VXLAN.
+  * Con ese MTU local jumbo, el switch enviaba segmentos TCP grandes hacia el sitio remoto (respetando el MSS anunciado por el cliente, 1460), y esos paquetes de ~1500 morían en el enlace de ~1400. ICMP/SNMP (paquetes chicos) pasaban; por eso solo se rompía el SSH/TCP.
+  * También explica por qué solo este switch fallaba y no los demás del SUR: los otros tienen MTU normal en su interfaz de gestión.
+Un ''ip tcp mss 1360'' global por sí solo NO lo resolvió, porque solo limita el MSS que el switch //anuncia// (dirección cliente -> switch), no lo que el switch //envía// hacia el sitio remoto.
+===== Solución =====
+Bajar el MTU de IP de la SVI de gestión para que quepa en el path. Es seguro: solo afecta el MTU de IP de Vlan1 (gestión), no el MTU L2, ni las interfaces físicas/uplinks, ni el tráfico de producción. No genera flap. Reversible con ''no ip mtu''.
+<code>
+configure terminal
+interface Vlan1
+ ip mtu 1400
+end
+write memory
+</code>
+Limpieza opcional (el mss clamp global no era necesario y deja un warning de throughput):
+<code>
+configure terminal
+no ip tcp mss 1360
+end
+write memory
+</code>
+===== Validación =====
+Desde el sitio remoto de gestión:
+<code bash>
+ssh admin@172.20.28.37
+</code>
+El SSH ahora conecta normal. El SNMPv3 ya estaba en su lugar:
+<code bash>
+snmpget -v3 -l authPriv -u ash-monitor -a SHA -A '<auth>' -x AES -X '<priv>' 172.20.28.37 1.3.6.1.2.1.1.5.0
+# -> STRING: "C9500SP1.example.local"
+</code>
+===== Comandos de diagnóstico (referencia) =====
+<code>
+! Confirmar el MTU del path (desde el switch)
+ping 10.57.0.241 source Vlan1 size 1400 df-bit repeat 5   ! pasa
+ping 10.57.0.241 source Vlan1 size 1500 df-bit repeat 5   ! falla (MMMMM)
+! Confirmar el MTU jumbo en la SVI de gestión
+show interface Vlan1 | include MTU                        ! mostró MTU 9100
+</code>
-aruba
+===== Notas =====
-Copy
+  * Tras cualquier remoción futura de VXLAN en un switch, revisar el MTU de la SVI de gestión: el residuo jumbo causa exactamente este síntoma.
-Edit
+  * El playbook baseline de ASH usa SSH, así que esto también desbloquea LAG-17 en baseline_south.yml en la próxima corrida.
-show interface vxlan 1
-show interface vxlan vni vteps
-ping 172.22.32.1 source 172.22.32.2
-show mac-address-table vlan 712
 ----
 ----