网络拓扑
-
在很多企业的网络拓扑中,通常会的把服务器接入核心三层交换机之后,这样的一个好处是可以保证内网访问速度够快,但是基于安全角度的考虑,建议服务器直接接入防火墙,因为防火墙可以将内网与服务器分开,限制指定的内网用户访问服务器,并给服务器单独的保护。
-
有人会担心因为接口的速率(防火墙内网接口通常为千兆)会造成访问服务器出现瓶颈,解决的办法很简单,那就是防火墙和交换机都使用汇聚口连接。
链路聚合
-
链路聚合(Link Aggregation),是指将多个物理端口捆绑在一起,成为一个逻辑端口,同时通过几个端口进行链路负载均衡,避免链路出现拥塞现象,也可以防止由于单条链路转发速率过低而出现的丢帧的现象,在网络建设不增加更多成本的前提下,即实现了网络的高速性,也保证了链路的冗余性,这种方法比较经济,实现也相对容易。
-
现在主要的链路聚合技术的标准:CISCO的端口聚合协议(Port Aggregation Protocol ,PAGP)和IEEE802.3ad的链路汇聚控制协议(Link Aggregation Control Protocol ,LACP),其中PAGP只支持在CISCO公司的产品上,而大部分厂家均支持LACP。
-
飞塔防火墙支持802.3ad聚合,也就是LACP。
-
LACP 即Link Aggregation Control Protocol,链路汇聚控制协议,是一种实现链路动态汇聚的协议,使用LACPDU与对端交换信息。
LACP模式:
-
ON(开启):强制端口形成EtherChannel,如果希望EtherChannel能正确工作,那么链路的另一侧也必须处于ON模式。
-
OFF(关闭):使端口不能形成EtherChannel。这种模式下端口不会形成EtherChannel。
-
Active(主动):使端口进入主动协商状态,被配置的端口主动发送LACP数据名以发起能形成EtherChannel的协商。一般推荐使用这种模式。
-
Passive(被动):使端口进入被动协商状态,如果能从对端接收到LACP数据包,那么就形成EtherChannel。这种模式不会主动发起EtherChannel协商。这种模式是默认的模式。
- 在LACP下,如果进行链路聚合的配置,需要加入通道组的交换机端口成员必须具备以下相同的属性。
端口均为全双工模式
-
端口速率相同
-
端口类型必须相同,比如同为以太网口或同为光纤口
-
端口同为Access端口并且同属于同一个VLAN,或者同为Trunk端口
防火墙链路聚合设置
思科交换机最多支持8个端口来形成EtherChannel,这些端口不必是连续分布的,也不必位于相同的模块中。但是在实际应用中我们一般只绑定二条线路,现在我们以飞塔防火墙FortiGate100D为例,在防火墙上配置链路聚合。
- 我们知道,配置链路聚合最少需要两个独立的接口,但是FortiGate 100D默认所有的内网接口都是硬交换口,因此需要先将他们打散,由于默认情况下内网口已经有2个关联,因此需要先删除这两个关联,鼠标占击硬件交换口右边的关联数。
- 弹出窗口选择关联的策略,点击删除,也同样删除关联的DHCP服务。
- 回到接口设置界面,可以lan口的关联数已经为0,选择lan口,点击删除,就可以将硬交换口打散了。
4.现可以看到每个内网接口都是独立的了。选择菜单【新建】-【接口】。
- 接口的类型选择802.3ad聚合,这里也只绑定两个接口,分别是15、16口,并给接口设置一个IP地址,以便三层交换机通过IP地址可以进行访问。
- 这样防火墙上的链路聚合就配置好了,但是需要注意的是,如果对方没有配置链路聚合,就算防火墙和交换机把线都接好了,汇聚接口的状态都是Down的。
思科三层交换机链路聚合设置
这里我们以Cisco Catalyst 3750-E 三层路由器为例。
- 初始状态下,交换机的23、24口默认是在Vlan 1。
2. 默认情况下这两个接口也是没有IP地址的。
- 首先建立链路聚合,由于是三层模式,给链路聚合分配IP地址。
(1) configure terminal命令进入全局配置模式。
(2) interface port-channel 1命令进入链路聚合通道,1为第一条通道。
(3) no switchport命令把接口转换成三层可路由接口。
(4) ip address命令给链路聚合通道分配IP地址。
(5) no shutdown启用链路聚合通道。
(6) end结束并保存。
- 然后链路聚合需要绑定的端口,这里是23和24,加入到新建的链路聚合端口通道中。
(1) configure terminal命令进入全局配置模式。
(2) interface range gigabitethernet 1/0/23-24指定交换机23和24接口。
(3) no switchport命令把接口转换成三层可路由接口。
(4) channel-protocol lacp由于飞塔防火墙只支持802.3ad,因此这里将接口的通道协议设置为LACP。
(5) channel-group 1 mode active我们已经知道,LACP有四种模式(ON、OFF、Active、Passive),这里设置模式为Active(主动)。
(6) no shutdown启用接口。
(7) end结束并保存。
5. 交换机和防火墙对应的聚合接口接好网线,稍等一会可以看接口的灯都正常。最后我们可以用命令show etherchannel summary查看链路聚合的状态,我们看到端口通道Po1的状态是RU,表示正在三层使用。说明链路聚合配置成功。
6. 交换机上Ping防火墙的地址,能够Ping通,说明聚合接口起作用了。
7. 回到飞塔防火墙,可以看到汇聚口的状态显示绿色向上箭头,说明接口启用了。
思科三层交换机其它设置
-
虽然链路聚合接口已经设置好了,但是要用起来还要配置VLAN和路由,这里举个最常用的示例。
-
新建立一个VLAN,给VLAN建立IP地址,并将11-16号接口加入新建的VLAN。
- configure terminal命令进入全局配置模式。
- vlan 300新建一个ID为300的VLAN。
- name Sales把VLAN命令为Sales(销售)。
4. exit返回上一层。 - interface vlan 300进入VLAN接口。
- ip address 172.16.3.1 255.255.255.0给VLAN接口设置IP地址。
- no shutdown启用接口。
- interface range gigabitEthernet 1/0/11-16指定11-16号接口。
- switchport mode access设置接口为交换模式。
- switchport access vlan 300将接口加入到VLAN中。
- end结束并保存。
-
给VLAN配置DHCP服务。
1. configure terminal命令进入全局配置模式。
2. ip dhcp pool Sales建立一个DHCP地址池。
3. network 172.16.3.0 255.255.255.0地址的网段是172.16.3.0。
4. default-router 172.16.3.1默认路由的地址是VLAN接口的IP地址。
5. dns-server 202.96.134.133 114.114.114.114如果内网有DNS服务器,测DNS地址指向内网,这里指向上互联网的DNS地址。
6. exit返回上一层。
7. ip dhcp excluded-address 172.16.3.1 172.16.3.10在这里设置DHCP保护地址,1-10不会被DHCP分配。
8. end结束并保存。
-
最后要配置VLAN的路由,可以通过链路聚合接口出去。
1. configure terminal命令进入全局配置模式。
2. ip routing命令允行所有VLAN之间互相访问。
3. ip route 0.0.0.0 0.0.0.0 172.18.1.1命令把所有的访问路由到交换机链路聚合接口的下一跳,也就是防火墙的汇聚接口地址。
4. end结束并保存。防火墙设置
-
将电脑接入11口,可以自动获取IP地址了,Ping交换机上的链路聚合口IP,也可以Ping通,说明路由起作用了,但是,Ping防火墙地址不通。这是为什么呢?
- 这是因为防火墙上没有返程路由,在防火墙上建立一条静态路由,目地地址是VLAN300的IP地址段,网关是防火墙汇聚口的下一跳,也就是交换机的链路聚合口IP地址。OK,接入交换机11口的电脑可以Ping通防火墙的地址了。
- 再给防火墙汇聚口建立一条上网策略。
3.交换机的电脑可以上网了。在防火墙上也可以查看到有流量信息。
④ 在防火墙的仪表板上分别加入15、16接口,可以看到这两个接口同时都是流量通过。说明链路聚合是起作用的。经过测试,拨掉任一根网线,除了丢几个包外,数据访问都会自动连接上。
版权声明:本文为CSDN博主「飞塔技术-老梅子」的原创文章,遵循CC 4.0 by-sa版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/meigang2012/article/details/78361148
扫一扫
6092
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
