1,問題描述
兩臺CE6810-48S4Q-EI與兩臺S5700-52C-EI交換機分別進行兩兩堆疊。,四臺設備通過兩條物理鏈路做eth-trunk互聯,eth-trunk為靜態LACP模式,中間透過兩臺網神SecWAF3600防火牆做的透明網橋,eth-trunk鏈路建立不起來。透明網橋阻斷Web應用層攻擊,對其他流量不產生任何影響。
拓撲:
2,處理過程
1.執行命令display interface brief發現成員接口都是UP的,物理鏈路沒有問題,
2.執行命令display eth-trunk發現S5700和CE6810的成員接口狀態都是Unselected
3.檢查兩端設備eth-trunk配置
S5700配置:
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
mode lacp
interface XGigabitEthernet0/1/1
eth-trunk 1
interface XGigabitEthernet1/1/1
eth-trunk 1
CE6810配置:
interface Eth-Trunk1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
mode lacp-static
interface 10GE1/0/4
eth-trunk 1
interface 10GE2/0/4
eth-trunk 1
由上述配置可以看出,兩端設備配置沒問題,eth-trunk均為靜態LACP模式。
4.跳過網神SecWAF3600透明網橋設備,S5700與CE6810直接互連,其他配置不變,eth-trunk鏈路建立成功。
可以排除S5700與CE6810設備硬件問題,eth-trunk建立失敗可能是中間網神設備的問題。
5.在S5700和CE6810接口鏡像抓包,發現只有本端設備發出lacp的協商報文,收不到對端設備lacp協商報文;
lacp協商失敗,所以eth-trunk建立不成功。
6.修改S5700和CE6810的eth-trunk工作模式為手工負載分擔模式,eth-trunk鏈路建立成功。
7.通過資料查詢與廠商諮詢,發現lacp數據幀目的MAC地址是一個特殊組播MAC,網神透明網橋收到這類的數據幀會送
給自己上層CPU進行處理,不會進行透明轉發。
3,根因
lacp數據幀目的MAC地址是一個特殊組播MAC,而網神SecWAF3600防火牆收到這類的數據幀會送給自己上層CPU進行處理,不會進行透明轉發。所以對端設備收不到協商的lacp報文。eth-trunk建立不起來。
4,解決方案
將S5700和CE6810的eth-trunk工作模式修改為手工負載分擔模式,eth-trunk鏈路建立成功。
5,建議與總結
聚合鏈路模式為lacp模式時,lacp協商據幀目的MAC地址是一個特殊組播MAC,通常可網管的二層交換機或三層交換機收到這類的數據幀會送給自己上層CPU進行處理,不會繼續轉發,建議做eth-trunk的兩端設備直接連接。
閱讀更多 王海軍老師 的文章
