Назад | Перейти на главную страницу

Транк LACP от Cisco к Fortinet

Я устанавливаю 2 магистрали Ethernet между коммутатором Cisco и межсетевым экраном Fortinet 100E. Пока что работает следующее (я могу пинговать с Cisco 192.168.1.2 и получать ответы от Fortinet 192.168.1.1):

interface Port-channel1
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
!
interface FastEthernet0/1
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
 channel-group 1 mode active
!
interface FastEthernet0/2
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
 channel-group 1 mode active
!
interface vlan255
 ip address 192.168.1.2 255.255.255.0

И согласно https://forum.fortinet.com/tm.aspx?m=106460 приведенное выше не является транком LACP (хотя оно работает), а должно быть:

int range gi 1/0/1-2
no shut
switchport
channel-group 1 mode active
channel-protocol lacp
load-interval 30
logging event link-status
logging event bundle-status
!

У меня есть пара вопросов:

  1. Если то, что я сделал, не соответствует действительности LACP, почему он работает с Fortinet (который настроен для 802.3ad Aggregate)? Кажется, установка channel-protocol lacp на моих портах не имеет значения (по умолчанию это LACP)?

  2. Если я хочу переместить свой собственный vlan с 1 на 10, остановит ли это транк, чтобы он работал (поскольку я не вижу, где определить собственный vlan в Fortinet, поскольку я понимаю, что согласование LACP проходит через собственный vlan)?

  3. Я вижу, что на Fortinet есть сеть по умолчанию, в которую добавляются VLAN - в настоящее время я установил для нее значение no ip 0.0.0.0/0 но есть ли способ полностью удалить это и оставить только VLAN? Или вместо этого следует поместить управляющий IP в эту сеть по умолчанию? Какая лучшая практика?

Если то, что я сделал, не соответствует действительности LACP, почему он работает с Fortinet (который настроен для 802.3ad Aggregate)? Кажется, установка lacp канала-протокола на моих портах не имеет значения (по умолчанию это LACP)?

Используя channel-group 1 mode active вы определили etherchannel для безоговорочного использования LACP.

В зависимости от платформы у вас есть дополнительные ключевые слова, которые можно использовать вместо active, но независимо от платформы они имеют одинаковое значение на платформах Cisco. Например:

  • on : статически настраивает порт как часть etherchannel
  • active : использовать LACP
  • passive : использовать LACP, только если обнаружено подключение к устройству с LACP
  • auto : использовать PAgP (проприетарное объединение каналов Cisco) при подключении к устройству, которое инициирует PAgP (не инициирует согласование самостоятельно)
  • desirable : использовать PAgP и пытаться инициировать согласование PAgP

Причина, по которой сообщение Fortinet может быть правильным, заключается в том, что конфигурация, на которую он ссылается, перечисляет только конфигурацию канала порта, но не перечисляет любую конфигурацию порта, которая включает channel-group команда.

В channel-protocol lacp Команда актуальна только на платформе, которая по умолчанию выполняет только PAgP и должна быть переключена в режим LACP (это может быть конфигурация уровня порта или уровня модуля). AFAIK, это ненужная конфигурация 3750G, как указано в сообщении.

Если я хочу переместить свой собственный vlan с 1 на 10, остановит ли это транк, чтобы он работал (поскольку я не вижу, где определить собственный vlan в Fortinet, поскольку я понимаю, что согласование LACP проходит через собственный vlan)?

Я бы не рекомендовал менять собственную VLAN, поскольку в противном случае может возникнуть ряд ошибок Cisco LACP, которые приводят к тегированию PDU LACP (что не должно соответствовать стандарту). Примеры таких ошибок: CSCsh97848 или CSCse14774 (для просмотра может потребоваться вход в Cisco TAC).

Хотя большинство этих ошибок исправлено Cisco, вы не упоминаете платформу или версию кода, поэтому обычно это самый безопасный подход при подключении устройств Cisco к оборудованию других поставщиков.

Я вижу, что в Fortinet есть сеть по умолчанию, в которую добавляются VLAN - в настоящее время я установил для нее значение no ip 0.0.0.0/0, но есть ли способ полностью удалить это и оставить только VLAN? Или вместо этого следует поместить управляющий IP в эту сеть по умолчанию? Какая лучшая практика?

На снимке экрана показан интерфейс агрегации ссылок с физическими интерфейсами, которые являются его частью, а также подинтерфейсы. Невозможно удалить основной интерфейс из конфигурации (т.е. вам нужен основной интерфейс для создания подынтерфейсов), и отсутствие назначенного IP-адреса не является проблемой, если вы его не используете.

Что касается передового опыта, рекомендуется держать интерфейс управления в безопасной подсети / VLAN. Помимо этого, это то, что лучше всего в вашей сетевой конфигурации, поэтому то, что у вас есть, может быть в порядке.

Однако я отмечу, что вы разрешаете только одну VLAN на стороне Cisco в вашей конфигурации, а именно VLAN 255. Таким образом, велика вероятность того, что, хотя кажется, что у вас есть два субинтерфейса VLAN, настроенных на объединенном интерфейсе каналов, только один из них фактически годный к употреблению.

Если то, что я сделал, не соответствует действительности LACP, почему он работает с Fortinet (который настроен для 802.3ad Aggregate)? Кажется, установка lacp канала-протокола на моих портах не имеет значения (по умолчанию это LACP)?

То, что вы сделали, - это настроенный ствол. Магистраль имеет дело с отправкой и получением пакетов для определенных виртуальных локальных сетей (VLAN). LACP предназначен для агрегирования ссылок. Это разные технологии для разных целей. Вы также настроили канал порта Cisco. Каналы портов позволяют использовать некоторые функции LACP, но каналы портов не передают пакеты протокола. Следствием этого является то, что все отдельные ссылки находятся в режиме «включено» для канала. https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/CLIConfigurationGuide/EtherChannel.html#47157

Если я хочу переместить свой собственный vlan с 1 на 10, остановит ли это транк, чтобы он работал (поскольку я не вижу, где определить собственный vlan в Fortinet, поскольку я понимаю, что согласование LACP проходит через собственный vlan)?

Собственная VLAN - это сетевой немаркированный трафик, отправляемый на магистральный порт. Если собственная VLAN на магистральном порте - это VLAN 20, а на магистральный порт отправляется нетегированный трафик, то он будет назначен на VLAN 20. Чтобы настроить собственную VLAN на брандмауэре Fortinet, вам необходимо создать магистраль и поместить в нее участников порта коммутатора. Это. Затем отредактируйте транк и настройте собственный VLAN. https://networkengineering.stackexchange.com/questions/19377/is-the-default-vlan-simply-the-default-native-untagged-vlan-on-all-interface

Я вижу, что в Fortinet есть сеть по умолчанию, в которую добавляются VLAN - в настоящее время я установил для нее значение no ip 0.0.0.0/0, но есть ли способ полностью удалить это и оставить только VLAN? Или вместо этого следует поместить управляющий IP в эту сеть по умолчанию? Какая лучшая практика?

Когда вы создаете VLAN на брандмауэре Fortinet, вам необходимо выбрать, на каком интерфейсе вы создаете VLAN. Это связано с тем, что теги VLAN назначаются на интерфейсах портов. Вы не можете удалить физический интерфейс (который вы установили с помощью 0.0.0.0/0) и по-прежнему иметь VLAN на физическом интерфейсе. Другие производители поступают иначе, но Fortinet делает это именно так. http://help.fortinet.com/fweb/580/Content/FortiWeb/fortiweb-admin/network_settings.htm#network_settings_2363754841_1026461

Я бы также посоветовал взглянуть на http://kb.fortinet.com/kb/documentLink.do?externalID=FD30542.