跨厂商设备透传lacp协商报文,聚合链路建立失败。

发布时间:  2016-08-04 浏览次数:  111 下载次数:  0
问题描述

两台CE6810-48S4Q-EI与两台S5700-52C-EI交换机做堆叠,四台设备通过两条物理链路做eth-trunk互联,eth-trunk为静态LACP模式,中间透过两台网神SecWAF3600防火墙的透明网桥,eth-trunk链路建立不起来。 透明网桥阻断Web应用层攻击,对其他流量不产生任何影响。

拓扑:


告警信息

处理过程
         1.执行命令display interface brief发现成员接口都是UP的,物理链路没有问题,
         2.执行命令display eth-trunk发现S5700和CE6810的成员接口状态都是Unselected
         3.检查两端设备eth-trunk配置
            S5700配置:
            interface Eth-Trunk1
            port link-type trunk
            port trunk allow-pass vlan 2 to 4094
            mode lacp
            interface XGigabitEthernet0/1/1
            eth-trunk 1
            interface XGigabitEthernet1/1/1
            eth-trunk 1
            CE6810配置:
            interface Eth-Trunk1
            port link-type trunk
            port trunk allow-pass vlan 2 to 4094
            mode lacp-static
            interface 10GE1/0/4
            eth-trunk 1
            interface 10GE2/0/4
            eth-trunk 1
            由上述配置可以看出,两端设备配置没问题,eth-trunk均为静态LACP模式。
          4.跳过网神SecWAF3600透明网桥设备,S5700与CE6810直接互联,其他配置不变。发现eth-trunk链路建立成功。
            可以排除两端设备硬件没有问题,eth-trunk建立失败可能是中间网神设备的问题。
          5.在S5700和CE6810接口像抓包,发现只有本端设备发出lacp的协商报文,收不到对端设备lacp协商报文; lacp协商失败,所以eth-trunk建立不成功。
          6.修改S5700和CE6810的eth-trunk工作模式为手工负载分担模式,eth-trunk链路建立成功。
          7.通过资料查询与厂商咨询,发现lacp数据帧目的MAC地址是一个特殊组播MAC,网神透明网桥收到这类的数据帧会送 给自己上层CPU进行处理,不会进行透明转发。
根因
做链路聚合两端设备发送的lacp数据帧目的MAC地址是一个特殊组播MAC,而网神SecWAF3600防火墙收到这类的数据帧会送给自己上层CPU进行处理,不会进行透明转发。所以对端设备收不到协商的lacp报文。eth-trunk建立不起来。
解决方案

将S5700和CE6810的eth-trunk工作模式修改为手工负载分担模式,eth-trunk链路建立成功。

修改方法如下:执行命令undo mode,将S5700模式修改为默认的手工链路聚合模式

建议与总结
聚合链路模式为lacp模式时,lacp协商据帧目的MAC地址是一个特殊组播MAC, 通常可网管的二层交换机或三层交换机收到这类的数据帧会送给自己上层CPU进行处理,不会继续转发,建议做eth-trunk的两端设备直接连接。

END