华为防火墙USG6660 单通问题

发布时间:  2015-02-02 浏览次数:  400 下载次数:  0
问题描述

近日测试发现华为防火墙USG6660 接光纤端口在单通(端口可以收到光)的情况下端口为up状态的情况。当防火墙使用ETH 三层链路聚合时,有可能将数据包发送到在已经断开的链路上,影响网络通讯。

告警信息


处理过程



1.     LACP 为公有的链路聚合协议,CISCO H3C HUAWEI 都支持。建议用户使用链路聚合的时候采用LACP 动态协商协议。光纤单通时相应链路无法协商成功从而在链路聚合组中排除相应的链路不发送数据报文,从而避免光线单通带来的隐患。但是与CISCO 以及H3C 技术人员沟通测试后由于各厂家默认支持的方式不相同所以只是和CISCO 协商成功,与H3C 堆叠设备没有协商成功。

HUAWEI USG 6660 LAC设备配置:

lacp priority 0

interface Eth-Trunk1

  mode lacp-static

  trunkport gigabitethernet 0/0/13

2. 400 咨询发现设备接口默认为强制模式,修改接口模式为自动协商光纤单通问题就可以解决了

根因

²  Usg 6660 防火墙的接口默认为强制模式。

  

Ø  两端都设置为自协商模式

双方互相发送/C/码流,如果连续接收到3个相同的/C/码且接收到的码流和本端工作方式相匹配,则返回给对方一个带有Ack应答的/C/码,对端接收到Ack信息后,认为两者可以互通,设置端口为UP状态

Ø  一端设置为自协商,一端设置为强制

自协商端发送/C/码流,强制端发送/I/码流,强制端无法给对端提供本端的协商信息,也无法给对端返回Ack应答,故自协商端DOWN。但是强制端本身可以识别/C/码,认为对端是与自己相匹配的端口,所以直接设置本端端口为UP状态

Ø  两端均设置为强制模式

双方互相发送/I/码流,一端接收到/I/码流后,认为对端是与自己相匹配的端口,直接设置本端端口为UP状态。

解决方案

将对应接口的模式改为自动协商模式

[Huawei]int g0/0/8

[Huawei-GigabitEthernet0/0/0]negotiation auto



建议与总结

光纤单通端口up 的情况在链路捆绑的方式下根据负载均衡算法可能会把对应数据流放到已经不可使用的链路上导致数据联通问题。

END