由于防火墙的配置未根据交换机的配置进行调整导致防火墙透明接入后交换机LACP协商不成功

发布时间:  2014-09-20 浏览次数:  282 下载次数:  0
问题描述
如图4-3所示,交换机之间跑动态lacp(至少2对口跑lacp),接入透明防火墙(防火墙对应接口绑定eth-trunk)后lacp协商不成功,当交换机之间只有一个接口跑lacp,接入透明防火墙可以协商成功。
图4-3 组网图

处理过程
1. 交换机配置动态链路聚合,防火墙配置eth-trunk(动态协商不成功)。
交换机配置:

链路聚合协商状态及防火墙配置:

从交换机lacp协商状态可以看出,交换机之间的lacp协商不成功,其根本原因是lacp报文是组播报文,当防火墙的eth-trunk口收到该组播报文后将其从其中的一个成员接口发送出去,该组播报文是随机发送的,不能保证交换机端口发送、接受的lacp报文一致。
2. 交换机配置动态链路聚合,防火墙上下行接口划分同一个vlan,不同上下行属于不同vlan。
交换机配置:

链路聚合协商状态及防火墙配置:

从交换机lacp协商状态可以看出,交换机之间的lacp协商成功,因防火墙划分了2个vlan,形成一个逻辑上的物理链路,保证两台交换机对应的端口发送、接口的lacp一致。
3. 交换机配置静态链路聚合、防火墙上下行配置eth-trunk。
交换机配置:

链路聚合状态及防火墙配置:


根因
交换机动态链路聚合是通过报文协商起来的,其协商报文有固定的格式(目的mac固定)。防火墙对lacp报文的处理流程和bpdu报文处理流程一样(不建mac转发表直接广播出去),当防火墙配置eth-trunk接口时,防火墙将lacp广播出去,使得两端交换机发送、接受的lacp不一致导致交换机协商失败。
建议与总结
当交换机和防火墙之间配置链路聚合时,应根据交换机的配置来调整防火墙接口的配置,目前有两种常用的配置方式:静态和动态。
 若交换机采用静态方式配置链路聚合,防火墙可以配置eth-trunk。
 若交换机采用动态lacp配置链路聚合,防火墙上需要划分vlan,形成一个逻辑上的物理链路,保证lacp发送、接受一致。

END