下一代防火墙USG6570(v1r1c20spc200)链路聚合引起思科交换机环路问题

发布时间:  2014-12-05 浏览次数:  1566 下载次数:  0
问题描述
使用下一代防火墙USG6570配置透明模式,两边与思科3750交换机对接,双链路对接,采用链路汇聚技术进行链路捆绑,接口配置用Trunk模式。测试发现数据包不通,经检查,发现思科交换机CPU高达99%,产生环路。分析故障原因后,更改思科交换机的链路汇聚模式配置后,恢复正常。
告警信息
USG6570配置:
interface Eth-Trunk0
alias Trust
portswitch
port link-type trunk
port trunk permit vlan 1 to 100
#
interface GigabitEthernet1/0/4
portswitch
port link-type access
eth-trunk 0
#
interface GigabitEthernet1/0/5
portswitch
port link-type access
eth-trunk 0
#


思科3750交换机配置:
Sw0(configure)#int  range  Gi1/0/1-2

Sw0(configure-if-range)#channel-group  1  mode  active

Sw0(configure-if-range)#exit

思科交换机日志:
*Mar  1 00:25:23.253: %SW_MATM-4-MACFLAP_NOTIF: Host 0023.8b34.db57 in vlan 5 is flapping between port Gi1/0/11 and port Gi1/0/4
*Mar  1 00:25:34.377: %SW_MATM-4-MACFLAP_NOTIF: Host 28d2.444b.6eda in vlan 20 is flapping between port Gi1/0/2 and port Gi1/0/4



处理过程
经检查,思科交换机3750的链路汇聚端口为down,并未配置成功,而防火墙的链路汇聚接口是成功的。这样导致交换机形成一个环路。在思科交换机的接口下更改链路汇聚模式配置:
Sw0(configure-if-range)#channel-group  1  mode  on;
采用以上命令,链路聚合接口状态从down变为up,从交换机到防火墙的链路聚合成功,此时交换机CPU下降到4%。经防火墙透明模式的两端PC的测试数据正常。
根因
为什么在思科配置链路聚合采用LACP协商active主动协商时,产生了环路呢?
当在思科交换机上配置的链路聚合模式采用ON时,思科交换机的CPU则正常,两端链路聚合成功建立。
原因是:USG6000防火墙目前和Cisco设置的LACP对接,只支持手工方式,其他方式均不支持。
看看以下的链路汇聚协议模式对比就清楚了:
1:华为防火墙配置链路聚合模式,没有聚合模式选择,只支持手工方式。
2:思科交换机上配置链路聚合模式有2中协议(4种模式):
LACP协商的规律
                ON active passive
ON            √       ×       ×
active       ×        √       √
passive     ×        √       ×
PAGP协商的规律
                ON Desirable auto
ON            √        ×          ×
desirable  ×        √          √
auto          ×        √          × 
所以在防火墙上只支持手工方式时,等于是思科交换机对端设备配置了LACP的ON模式,那么对于的思科交换机LACP模式则必须对应配置ON模式,链路聚合才生效。这就是为什么思科配置了active时,会产生环路的原因了。
解决方案
由于USG6000防火墙目前和Cisco设置的LACP对接,只支持手工方式,其他方式均不支持。
防火墙上只支持手工方式,那么对于的思科交换机LACP模式则必须对应配置ON模式,链路聚合才生效
建议与总结
建议在配置链路汇聚上,尤其是防火墙没有选择链路汇聚的协议及模式的情况下,了解防火墙默认支持的协议和模式,再进行配置。

END