从Cisco到Fortinet的LACP Trunk
我正在Cisco交换机和Fortinet 100E防火墙之间build立一个2以太网中继。 到目前为止,下面的工作(我可以从思科192.168.1.2 ping,并从Fortinet 192.168.1.1得到答复):
interface Port-channel1 switchport trunk native vlan 1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 255 switchport mode trunk ! interface FastEthernet0/1 switchport trunk native vlan 1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 255 switchport mode trunk channel-group 1 mode active ! interface FastEthernet0/2 switchport trunk native vlan 1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 255 switchport mode trunk channel-group 1 mode active ! interface vlan255 ip address 192.168.1.2 255.255.255.0 而根据https://forum.fortinet.com/tm.aspx?m=106460上面是不是一个LACP主干(虽然它的工作),而应该是:
int range gi 1/0/1-2 no shut switchport channel-group 1 mode active channel-protocol lacp load-interval 30 logging event link-status logging event bundle-status !
我有几个问题请:
-
如果我所做的方式不是真正的LACP,那么它是如何与Fortinet(为802.3ad Aggregate设置的)一起工作? 似乎在我的端口上设置
channel-protocol lacp没有什么区别(默认是LACP)? -
如果我想移动我的本地vlan从1到10,这将停止干线工作(因为我不知道在哪里定义本地vlan在Fortinet上,因为我明白LACP协商通过本地vlan)?
-
我在Fortinet上看到了添加了VLAN的默认networking – 我目前已经将其设置为no ip
0.0.0.0/0但是有什么办法可以完全删除它,只需要VLAN? 或者应该把pipe理IP放在这个默认networking上? 什么是最佳做法?
如果我所做的方式不是真正的LACP,那么它是如何与Fortinet(为802.3ad Aggregate设置的)一起工作? 似乎在我的端口上设置通道协议lacp没有什么区别(默认是LACP)?
通过使用channel-group 1 mode active您已经定义了etherchannel无条件地使用LACP。
根据平台的不同,您可以使用其他关键字来代替active ,但无论平台如何,它们在思科平台上的含义都是相同的。 例如:
-
on:静态configuration端口作为etherchannel的一部分 -
active:使用LACP -
passive:仅在连接到检测到LACP的设备时才使用LACP -
auto:如果连接到启动PAgP的设备(不自行启动协商),则使用PAgP(思科专有链路聚合) -
desirable:使用PAgP并尝试启动PAgP的协商
Fortinet的post可能正确的原因是它所引用的configuration只列出一个端口通道configuration,但没有列出任何包含channel-group命令的端口configuration。
channel-protocol lacp命令只与一个平台有关,默认情况下,只有PAgP需要切换到LACP模式(可能是端口级或模块级configuration)。 AFAIK,这是在post中列出的3750G不必要的configuration。
如果我想移动我的本地vlan从1到10,这将停止干线工作(因为我不知道在哪里定义本地vlan在Fortinet上,因为我明白LACP协商通过本地vlan)?
我build议不要改变本地VLAN,否则会导致许多导致LACP PDU被标记(不应该按照标准)的Cisco LACP错误。 此类错误的示例是CSCsh97848或CSCse14774 (可能需要Cisco TAClogin才能查看)。
虽然思科已经解决了大部分这些错误,但是您不提平台或代码版本,所以在将思科设备连接到其他供应商的设备时,这通常是最安全的方法。
我在Fortinet上看到了添加了VLAN的默认networking – 我目前已经将其设置为no ip 0.0.0.0/0,但是有什么办法可以完全删除它,只需要VLAN? 或者应该把pipe理IP放在这个默认networking上? 什么是最佳做法?
您的屏幕截图显示了链路汇聚接口以及其中包含的物理接口以及子接口。 没有办法将主界面从configuration中删除(即,您需要使主界面基于子接口),如果不使用IP地址,则不分配IP地址。
对于最佳实践,将pipe理接口保持在安全的子网/ VLAN上是最佳实践。 除此之外,这是什么是最好的在您的networkingconfiguration,所以你有什么可能是好的。
但是我会指出,你只允许在configuration的思科一侧configuration一个VLAN,也就是VLAN 255.所以看起来好像你在链路聚合接口上configuration了两个VLAN子接口,其中只有一个是实际的可用。
如果我所做的方式不是真正的LACP,那么它是如何与Fortinet(为802.3ad Aggregate设置的)一起工作? 似乎在我的端口上设置通道协议lacp没有什么区别(默认是LACP)?
你所做的是configuration一个中继。 中继处理发送和接收特定虚拟局域网(VLAN)的数据包。 LACP是关于聚合链接。 这些是针对不同目的的不同技术。 您还configuration了一个Cisco端口通道。 端口通道允许您具有LACP的某些function,但端口通道不会传递协议数据包。 这样做的结果是所有的单个链接都处于该频道的“开启”模式。 https://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus5000/sw/configuration/guide/cli/CLIConfigurationGuide/EtherChannel.html#47157
如果我想移动我的本地vlan从1到10,这将停止干线工作(因为我不知道在哪里定义本地vlan在Fortinet上,因为我明白LACP协商通过本地vlan)?
本地VLAN是networkinguntaggedstream量发送到一个中继端口将被分配。 如果中继端口上的本地VLAN是VLAN 20,并且未标记的stream量发送到中继端口,则将其分配给VLAN 20.要在Fortinet防火墙上设置本地VLAN,您需要创build一个中继并将交换机端口成员放入它。 然后编辑中继并configuration本地VLAN。 https://networkengineering.stackexchange.com/questions/19377/is-the-default-vlan-simply-the-default-native-untagged-vlan-on-all-interface
我在Fortinet上看到了添加了VLAN的默认networking – 我目前已经将其设置为no ip 0.0.0.0/0,但是有什么办法可以完全删除它,只需要VLAN? 或者应该把pipe理IP放在这个默认networking上? 什么是最佳做法?
在Fortinet防火墙上创buildVLAN时,您需要select在哪个接口上创buildVLAN。 这是因为VLAN标签是在端口上分配的。 您不能删除物理接口(使用0.0.0.0/0设置的接口),并且仍然在物理接口上有VLAN。 其他供应商处理这个不同,但这是如何Fortinet做到这一点。 http://help.fortinet.com/fweb/580/Content/FortiWeb/fortiweb-admin/network_settings.htm#network_settings_2363754841_1026461
我也build议看看http://kb.fortinet.com/kb/documentLink.do?externalID=FD30542 。