网络设备技术支持

路由、交换、防火墙

新疆网络设备技术支持

华为CE交换机与友商主备防火墙互联主备不切换问题处理


编辑:张新功 浏览:191

技术资料

 

    某局点使用2台CE6820交换机(堆叠)与迪普的2台防火墙(型号为FW1000)

  CE6820版本:V200R019C10SPC800,迪普防火墙版本未知

  交换机与防火墙为交叉互联,双链路进行聚合,并开启LACP动态协商,迪普防火墙为静默双机,捆绑链路同同样开启LACP动态协商

  交换机部分配置如下:

  interface Eth-Trunk2

  description to_TYDC-INSDPFWV6-1000-01&02

  ipv6 enable

  ipv6 address X::41/125

  mode lacp-static

  告警信息

  默认情况下左边防火墙为主机,右边防火墙为备机

  在我们进行链路冗余性测试的时候,当2台交换机与主防火墙互联的端口全部down掉后,互联地址ping不通,防火墙备机状态没有切换为主,

  恢复与主防火墙互联端口后,ping互联地址正常

  处理过程

  经过与迪普工程师分析确认,采取如下动作:

  将交换机的下行聚合端口模式改为静态,关闭LACP动态协商

  同时将主备2台迪普防火墙的上行端口的聚合模式也改为静态,关闭LACP动态协商

  然后按照上述的测试方式再次测试,主备正常切换,ping互联地址不丢包

  根因

  较终原因并非迪普防火墙不支持LACP协议,而是因为迪普迪普防火墙在静默双机的组网下,不能启用LACP,由于备机处于静默状态,不会发送LACP报文进行协商,所以默认会把端口关闭掉,也就不存在主备倒换了

  解决方案

  将端口聚合模式由LACP动态改为默认的静态模式,关闭LACP协商

  建议与总结

  后期在与友商设备对接的过程中尽可能的和友商工程师进行充分沟通,了解设备在特定组网中的使用限制,避免长时间的问题排查,提高工作效率

找技术就来,新疆博远云创网络设备安装技术调试

长按识别添加网络技术工程师(微信)

一键呼叫网络工程师(13565936697)