1,问题描述
两台CE6810-48S4Q-EI与两台S5700-52C-EI交换机分别进行两两堆叠。,四台设备通过两条物理链路做eth-trunk互联,eth-trunk为静态LACP模式,中间透过两台网神SecWAF3600防火墙做的透明网桥,eth-trunk链路建立不起来。透明网桥阻断Web应用层攻击,对其他流量不产生任何影响。
拓扑:
2,处理过程
1.执行命令display interface brief发现成员接口都是UP的,物理链路没有问题,
2.执行命令display eth-trunk发现S5700和CE6810的成员接口状态都是Unselected
3.检查两端设备eth-trunk配置
S5700配置:
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
mode lacp
interface XGigabitEthernet0/1/1
eth-trunk 1
interface XGigabitEthernet1/1/1
eth-trunk 1
CE6810配置:
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
mode lacp-static
interface 10GE1/0/4
eth-trunk 1
interface 10GE2/0/4
eth-trunk 1
由上述配置可以看出,两端设备配置没问题,eth-trunk均为静态LACP模式。
4.跳过网神SecWAF3600透明网桥设备,S5700与CE6810直接互连,其他配置不变,eth-trunk链路建立成功。
可以排除S5700与CE6810设备硬件问题,eth-trunk建立失败可能是中间网神设备的问题。
5.在S5700和CE6810接口镜像抓包,发现只有本端设备发出lacp的协商报文,收不到对端设备lacp协商报文;
lacp协商失败,所以eth-trunk建立不成功。
6.修改S5700和CE6810的eth-trunk工作模式为手工负载分担模式,eth-trunk链路建立成功。
7.通过资料查询与厂商咨询,发现lacp数据帧目的MAC地址是一个特殊组播MAC,网神透明网桥收到这类的数据帧会送
给自己上层CPU进行处理,不会进行透明转发。
3,根因
lacp数据帧目的MAC地址是一个特殊组播MAC,而网神SecWAF3600防火墙收到这类的数据帧会送给自己上层CPU进行处理,不会进行透明转发。所以对端设备收不到协商的lacp报文。eth-trunk建立不起来。
4,解决方案
将S5700和CE6810的eth-trunk工作模式修改为手工负载分担模式,eth-trunk链路建立成功。
5,建议与总结
聚合链路模式为lacp模式时,lacp协商据帧目的MAC地址是一个特殊组播MAC,通常可网管的二层交换机或三层交换机收到这类的数据帧会送给自己上层CPU进行处理,不会继续转发,建议做eth-trunk的两端设备直接连接。
閱讀更多 王海軍老師 的文章
