USG6650和S12708采用二层子接口对接配置问题

发布时间:  2016-11-17 浏览次数:  350 下载次数:  0
问题描述

USG6650S12708采用子接口对接,如果采用S12708三层子接口配置过程中,配置dot1q提示错误:

dot1q  termination  vid   1000                                                 

Error: The configuration failed because the VCMP is client role. 

更改方案,规避三层子接口对接问题,采用二层对接,USG6650S12708采用二层子接口对接, 规划如下:


  
USG6650-01eth-trunk1.1接口配置vlan10,USG6650-01eth-trunk1.2接口配置vlan20,USG6650-02eth-trunk1.1接口配置vlan30,USG6650-02eth-trunk1.2接口配置vlan40;

USG6650-01eth-trunk1.1接口配置:

#

interface Eth-Trunk1.1

 vlan-type dot1q 10

 #

S12708-01接口配置如下:

#

interface Eth-Trunk51

 port trunk allow-pass vlan 10 20

#

USG6650-02eth-trunk1.1接口配置:

#

interface Eth-Trunk1.1

 vlan-type dot1q 30

 #

S12708-02接口配置如下:

#

interface Eth-Trunk51

 port trunk allow-pass vlan 10 20

#

以上所示主备规划VLAN不一致,配置完成后可以互通,业务正常,但是,主设备同步配置之后,备设备VLAN会和主设备同步为一样的配置,导致备设备配置下线。

主备倒换测试就会出现备设备VLAN被篡改,导致业务不通。

处理过程


USG6650和S12708采用二层子接口对接,同步主备防火墙VLAN配置,修改VLAN规划。
 
USG6650和S12708采用子接口对接,组网规划如下:


USG6650-01的eth-trunk1.1接口配置vlan10,USG6650-01的eth-trunk1.2接口配置vlan20,USG6650-02的eth-trunk1.1接口配置vlan10,USG6650-01的eth-trunk1.1接口配置vlan20。
USG6650-01的eth-trunk1.1接口配置:
#
interface Eth-Trunk1.1
 vlan-type dot1q 10
#

S12708-01接口配置如下:
#
interface Eth-Trunk51
 port trunk allow-pass vlan 10 20
#

USG6650-02的eth-trunk1.1接口配置:
#
interface Eth-Trunk1.1
 vlan-type dot1q 10
  #

S12708-02接口配置如下:
#
interface Eth-Trunk51
 port trunk allow-pass vlan 10 20
#
配置完成后,业务正常,主备状态正常。如果主设备同步配置之后,VLAN配置相同,同步之后不会影响接口配置。




建议与总结

USG6650和S12708采用二层子接口对接,如果主备规划VLAN不一致,配置完成后可以互通,业务正常,但是,主设备同步配置之后,备设备VLAN配置会和主设备同步为一样的配置,导致备设备下线,倒换测试业务不通。 通过修改VLAN规划,保持VLAN配置一致,配置完成后,业务正常,主备状态正常。

END