两块防火墙插卡在跨VLAN二层转发组网情况下形成环路的案例
【组网需求】
出于安全性考虑,客户需要改造服务器区的网络,服务器的流量需经过防火墙。经过研究,采加用交换机防火墙插卡的方案最经济、灵活。由于服务器是双网卡上行的,在这个方案中采用了跨VLAN二层转发的技术和VRRP结合的方案,组网图如图1所示。
具体实现如下:
交换机的GigabitEthernet3/0/1和GigabitEthernet3/0/2均为Access类型,分别属于VLAN 100和VLAN 101。
交换机的Ten-GigabitEthernet4/0/1和防火墙插卡的Ten-GigabitEthernet0/0相连接,均工作在二层模式下,均为Trunk类型。
防火墙插卡的Ten-GigabitEthernet0/0配置两个子接口Ten-GigabitEthernet0/0.100和Ten-GigabitEthernet0/0.101,两个子接口均工作在二层模式下,均为Access类型,均属于VLAN 1000。
交换机间通过GigabitEthernet3/0/3互连,配置端口类型为trunk,允许vlan 100和vlan 101通过。
服务器网关配置为虚接口Vlan-interface101且网关配置在交换机上,两台交换机的Vlan-interface101上开启VRRP。
【组网图】
图1 跨VLAN二层转发+VRRP组网图
【配置步骤】
(1) 配置交换机。
# 配置GigabitEthernet3/0/1、GigabitEthernet3/0/2分别属于VLAN 102和VLAN 103。
<Sysname> system-view
[Sysname] vlan 100
[Sysname-vlan102] port GigabitEthernet 3/0/1
[Sysname-vlan102] vlan 101
[Sysname-vlan103] port GigabitEthernet 3/0/2
[Sysname] interface GigabitEthernet 3/0/3
[Sysname-GigabitEthernet3/0/3] port link-type trunk
[Sysname-GigabitEthernet2/0/1] port trunk permit vlan 100 101
# 配置Ten-GigabitEthernet2/0/1工作在Trunk模式下,允许VLAN 102和VLAN 103通过。
[Sysname] interface Ten-GigabitEthernet 4/0/1
[Sysname-Ten-GigabitEthernet4/0/1] port link-type trunk
[Sysname-Ten-GigabitEthernet4/0/1] port trunk permit vlan 100 101
# 配置VRRP。
第一台交换机的配置:
[Sysname] interface vlan-interface 101
[Sysname -Vlan-interface101] ip address 202.38.160.1 255.255.255.0
[Sysname -Vlan-interface101] vrrp vrid 1 virtual-ip 202.38.160.254
[Sysname -Vlan-interface101] vrrp vrid 1 priority 110
[Sysname -Vlan-interface101] vrrp vrid 1 preempt-mode timer delay 5
第二台交换机的配置:
[Sysname] interface vlan-interface 101
[Sysname -Vlan-interface101] ip address 202.38.160.2 255.255.255.0
[Sysname -Vlan-interface101] vrrp vrid 1 virtual-ip 202.38.160.254
[Sysname -Vlan-interface101] vrrp vrid 1 preempt-mode timer delay 5
(2) 配置防火墙插卡。
# 创建VLAN
<Sysname> system-view
[Sysname] vlan 100 to 101
[Sysname] vlan 1000
# 配置Ten-GigabitEthernet0/0工作在二层模式下,为Trunk类型,允许VLAN 100、VLAN 101和VLAN1000通过。
[Sysname] interface Ten-GigabitEthernet 0/0
[Sysname-Ten-GigabitEthernet0/0] port link-mode bridge
[Sysname-Ten-GigabitEthernet0/0] port link-type trunk
[Sysname-Ten-GigabitEthernet0/0] port trunk permit vlan 100 101 1000
# 配置Ten-GigabitEthernet0/0的两个子接口Ten-GigabitEthernet0/0.100和Ten-GigabitEthernet0/0.101均工作在二层模式下,均为Access类型,均属于VLAN1000。
[Sysname-Ten-GigabitEthernet0/0] interface Ten-GigabitEthernet0/0.100
[Sysname-Ten-GigabitEthernet0/0.100] port link-mode bridge
[Sysname-Ten-GigabitEthernet0/0.100] port link-type access
[Sysname-Ten-GigabitEthernet0/0.100] port access vlan 1000
[Sysname-Ten-GigabitEthernet0/0.100] interface Ten-GigabitEthernet0/0.101
[Sysname-Ten-GigabitEthernet0/0.101] port link-mode bridge
[Sysname-Ten-GigabitEthernet0/0.101] port link-type access
[Sysname-Ten-GigabitEthernet0/0.101] port access vlan 1000
【问题现象及分析】
经过上述配置后,很快出现交换机死机的现象,经排查发现网络中出现了广播风暴。
图2 跨VLAN二层转发+VRRP组网图广播风暴分析
进一步分析发现经上述配置后,网络中存在环路,如上图2,一个广播报文从GE3/0/1进
入交换机后,然后通过交换机和防火墙间的内联口vlan 100进入防火墙,经防火墙二层转发后
通过防火墙与交换机内联口的VLAN 101再次进入交换机,报文经过两台交换机间的互连端口
的VLAN 101 进入第二台交换机,在第二台交换机上该报文通过交换机和防火墙间的内联口
vlan 101进入防火墙,经防火墙二层转发后通过防火墙与交换机内联口的VLAN 100再次进入
该交换机,最后该报文又通过两台交换机间的互连端口的VLAN 100 进入第一台交换,从而形
成环路。
【问题现象及分析】
该问题的原因是由于网络中出现了环路,由于采用的是跨VLAN 的专访方式,采用STP无法规避该处形成的环路,可以采用如下几种方法之一规避:
1. 将两台交换机间的互连端口配置为只允许VLAN 100或者VLAN 101的报文通过。
2. 两边的转换VLAN配置成不一样的,但内部VLAN一样。比如左边配成100和101互
转,右边102和103互转,但防火墙上都是1000作内部VLAN。
如果交换机工作在IRF情况下,也可以采用如下方式避免环路:
1. 两个防火墙的万兆口配成smart link,同时只有一个口在工作状态,当然也可以使用负载均衡的方式;
2,防火墙在交换机上的两个万兆端口进行聚合,流量负载分担上两块防火墙插卡上。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作