主页 / server / 问题 / 878451
Accepted
morleyc
Asked: 2017-10-15 04:06:10 +0800 CST

从 Cisco 到 Fortinet 的 LACP 中继

  • 772

我在 Cisco 交换机和 Fortinet 100E 防火墙之间设置了 2 个以太网中继。到目前为止,以下工作正常(我可以从 Cisco 192.168.1.2 ping 并从 Fortinet 192.168.1.1 获得回复):

interface Port-channel1
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
!
interface FastEthernet0/1
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
 channel-group 1 mode active
!
interface FastEthernet0/2
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
 channel-group 1 mode active
!
interface vlan255
 ip address 192.168.1.2 255.255.255.0

根据https://forum.fortinet.com/tm.aspx?m=106460 ,上面不是 LACP 中继(尽管它确实有效),而应该是:

int range gi 1/0/1-2
no shut
switchport
channel-group 1 mode active
channel-protocol lacp
load-interval 30
logging event link-status
logging event bundle-status
!

我有几个问题:

  1. 如果我所做的方式不是真正的 LACP,它如何与 Fortinet(为 802.3ad Aggregate 设置)一起工作?似乎channel-protocol lacp我的端口上的设置没有区别(默认情况下是 LACP)?

  2. 如果我想将我的本地 vlan 从 1 移动到 10,这会阻止中继工作(因为我看不到在 Fortinet 上定义本地 vlan 的位置,因为我了解 LACP 协商会通过本地 vlan)?

  3. 我在 Fortinet 上看到有添加 VLAN 的默认网络 - 我目前已将其设置为无 ip 0.0.0.0/0,但有没有办法完全删除它而只拥有 VLAN?还是应该将管理 IP 放在这个默认网络上?什么是最佳实践?

树干

cisco

2 个回答

  1. Best Answer

    如果我所做的方式不是真正的 LACP,它如何与 Fortinet(为 802.3ad Aggregate 设置)一起工作?似乎在我的端口上设置通道协议 lacp 没有区别(默认情况下是 LACP)?

    通过使用channel-group 1 mode active,您已将 etherchannel 定义为无条件使用 LACP。

    根据平台,您可以使用其他关键字代替active,但无论平台如何,它们在 Cisco 平台上具有相同的含义。例如:

    • on: 将端口静态配置为 etherchannel 的一部分
    • active: 使用 LACP
    • passive:仅在检测到连接到具有 LACP 的设备时才使用 LACP
    • auto:如果连接到启动 PAgP(自身不启动协商)的设备,则使用 PAgP(思科专有链路聚合)
    • desirable: 使用 PAgP 并尝试发起 PAgP 协商

    Fortinet 帖子可能正确的原因是它所引用的配置仅列出了端口通道配置,但没有列出任何包含channel-group命令的端口配置。

    channel-protocol lacp命令仅在默认情况下仅执行 PAgP 且需要切换到 LACP 模式的平台上相关(这可能是端口级别或模块级别配置)。AFAIK,这是帖子中列出的 3750G 上不必要的配置。

    如果我想将我的本地 vlan 从 1 移动到 10,这会阻止中继工作(因为我看不到在 Fortinet 上定义本地 vlan 的位置,因为我了解 LACP 协商会通过本地 vlan)?

    我建议不要更改本机 VLAN,否则可能会遇到许多导致 LACP PDU 被标记的 Cisco LACP 错误(它们不应该符合标准)。此类错误的示例是CSCsh97848CSCse14774(可能需要 Cisco TAC 登录才能查看)。

    虽然大多数这些错误已由 Cisco 解决,但您没有提及平台或代码版本,因此在将 Cisco 设备连接到其他供应商的设备时,这通常是最安全的方法。

    我在 Fortinet 上看到有添加 VLAN 的默认网络 - 我目前已将其设置为 no ip 0.0.0.0/0 但有没有办法完全删除它而只拥有 VLAN?还是应该将管理 IP 放在这个默认网络上?什么是最佳实践?

    您的屏幕截图显示了链路聚合接口及其组成部分的物理接口以及子接口。没有办法从配置中删除主接口(即,您需要有主接口来作为子接口的基础),如果您不使用它,没有分配 IP 地址也不是问题。

    至于最佳实践,将管理接口保持在安全子网/VLAN 上是最佳实践。除此之外,它是您的网络配置中最好的,所以您所拥有的可能没问题。

    但是我要指出的是,您在配置的 Cisco 端只允许一个 VLAN,即 VLAN 255。因此,虽然看起来您在链路聚合接口上配置了两个 VLAN 子接口,但实际上只有一个是可用。

    • 4

  2. 如果我所做的方式不是真正的 LACP,它如何与 Fortinet(为 802.3ad Aggregate 设置)一起工作?似乎在我的端口上设置通道协议 lacp 没有区别(默认情况下是 LACP)?

    您所做的是配置了一个中继。中继处理发送和接收特定虚拟局域网 (VLAN) 的数据包。LACP 是关于聚合链接的。这些是用于不同目的的不同技术。您还配置了 Cisco 端口通道。端口通道允许您拥有 LACP 的一些功能,但端口通道不传递协议数据包。这样做的结果是所有单独的链接都处于通道的“开启”模式。https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/CLIConfigurationGuide/EtherChannel.html#47157

    如果我想将我的本地 vlan 从 1 移动到 10,这会阻止中继工作(因为我看不到在 Fortinet 上定义本地 vlan 的位置,因为我了解 LACP 协商会通过本地 vlan)?

    本地 VLAN 是发送到中继端口的网络未标记流量将被分配。如果中继端口上的本机 VLAN 是 VLAN 20,并且未标记的流量被发送到中继端口,那么它将被分配到 VLAN 20。要在 Fortinet 防火墙上设置本机 VLAN,您需要创建一个中继并将交换机端口成员放入它。然后编辑中继并配置本地 VLAN。https://networkengineering.stackexchange.com/questions/19377/is-the-default-vlan-simply-the-default-native-untagged-vlan-on-all-interface

    我在 Fortinet 上看到有添加 VLAN 的默认网络 - 我目前已将其设置为 no ip 0.0.0.0/0 但有没有办法完全删除它而只拥有 VLAN?还是应该将管理 IP 放在这个默认网络上?什么是最佳实践?

    在 Fortinet 防火墙上创建 VLAN 时,您需要选择在哪个接口上创建 VLAN。这是因为 VLAN 标记是在端口接口上分配的。您不能删除物理接口(您使用 0.0.0.0/0 设置的接口)并且物理接口上仍然有 VLAN。其他供应商对此的处理方式不同,但 Fortinet 就是这样做的。http://help.fortinet.com/fweb/580/Content/FortiWeb/fortiweb-admin/network_settings.htm#network_settings_2363754841_1026461

    我还建议看看http://kb.fortinet.com/kb/documentLink.do?externalID=FD30542

    • 1

相关问题