USG5500与友商设备Eth-Trunk对接一例

发布时间:  2012-07-17 浏览次数:  199 下载次数:  0
问题描述

某客户使用我司USG5500万兆防火墙需要与友商(H3C) S7506交换机实用链路捆绑对接。

捆绑的链路为Trunk链路,需要传VLAN20和30两个VLAN。

告警信息
处理过程

USG5500上配置:

#
vlan 20
 description to_main_server
vlan 30
 description to_firewall
interface Vlanif20
 description To_Main_server
 ip address 172.30.253.254 255.255.255.0
 ip address 192.168.205.254 255.255.255.0 sub
#
interface Vlanif30
 description To_H3C_7500
 ip address 172.30.254.1 255.255.255.252
#interface Eth-Trunk13
 portswitch
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 20 30
#
#                                        
interface GigabitEthernet0/0/1
 portswitch
 port link-type access
 eth-trunk 13
#
interface GigabitEthernet0/0/2
 portswitch
 port link-type access
 eth-trunk 13
#

 

H3C端S7506配置:

#
interface Bridge-Aggregation13
 description to_USG5500_Firewall
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 20 30
#
interface GigabitEthernet2/0/13
 description to_USG5500_Port_2
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 20 30
 port link-aggregation group 13

#
interface GigabitEthernet7/0/13
 description to_USG5500_port_1
 port link-type trunk
 undo port trunk permit vlan 1
 port trunk permit vlan 20 30
 port link-aggregation group 13
#

根因

我司的Eth-Trunk不支持LACP动态捆绑,需要在友商设备中做静态配置。

同时因为需要使用VLAN20和30两个VLAN,因此需要将对接的三层接口首先转换成二层接口。

建议与总结

(1)配置Eth-Trunk时,需要首先清除接口下的配置,如果接口已经加入到某个安全区域,需要将其配置删除,否则加入Eth-Trunk时会报错,无法加入。

(2)二层Eth-Trunk接口同样需要加入到对应的安全区域,否则会导致业务不通。

END