USG5300透明模式接入后lacp协商不成功案例

发布时间:  2012-07-17 浏览次数:  229 下载次数:  0
问题描述
组网拓扑:
   1/0/47 | -----------------------------|0/0/0       0/0/2|-------------------|1/0/47
      SW1|                                             |    USG5300   |-------------------|SW2
    1/0/48|------------------------------|0/0/1       0/0/3|-------------------|1/0/48
1、交换机之间跑动态lacp(至少2对口跑lacp),接入透明防火墙(防火墙对应接口绑定eth-trunk)后lacp协商不成功,当交换机之间只有一个接口跑lacp,接入透明防火墙是可以协商成功。
告警信息
处理过程

1.交换机配置动态链路聚合,防火墙配置eth-trunk(动态协商不成功)


从交换机lacp协商状态可以看出,交换机之间的lacp协商不成功,其根本原因是lacp报文是组播报文,当防火墙的eth-trunk口收到该组播报文后将其从其中的一个成员接口发送出去,该组播报文是随机发送的,不能保证交换机端口发送、接受的lacp报文一致。
 
 

2.交换机配置动态链路聚合,防火墙上下行接口划分同一个vlan,不同上下行属于不同vlan

  从交换机lacp协商状态可以看出,交换机之间的lacp协商成功,因防火墙划分了2个vlan,形成一个逻辑上的物理链路,保证两台交换机对应的端口发送、接口的lacp一致。

3.交换机配置静态链路聚合、防火墙上下行配置eth-trunk



 
根因
交换机动态链路聚合是通过报文协商起来的,其协商报文有固定的格式(目的mac固定).防火墙对lacp报文的处理流程和bpdu报文处理流程一样(不建mac转发表直接泛洪出去),当防火墙配置eth-trunk接口时,防火墙将lacp泛洪出去,使得两端交换机发送、接受的lacp不一致导致交换机协商失败。
建议与总结
当交换机和防火墙之间配置链路聚合时,应根据交换机的配置来调整防火墙接口的配置,目前有两种常用的配置方式:
静态和动态。若交换机采用静态方式配置链路聚合,防火墙可以配置eth-trunk;
若交换机采用动态lacp配置链路聚合,防火墙上需要划分vlan,形成一个逻辑上的物理链路,保证lacp发送、接受一致。
可交换机的聚合的端口数划分不同vlan(vlan的数量和交换机聚合的端口数量一致),上下行划在同一个vlan内,上下行之间划分在不同的vlan内。

END