启用了IRF的两台防火墙和启用了SVI的交换机互联,是否可以ping通?
- 0关注
- 0收藏,79浏览
问题描述:
在HCL模拟器中,创建两台F1060防火墙设备,并用两根普通网线通过千兆端口连接(WF1的G1/0/20连接WF2的G2/0/20,WF1的G1/0/21连接WF2的G2/0/21),启用RF,将两台防火墙做堆叠(不用专用的堆叠口),FW1的G1/0/1和FW2的G2/0/1加入三层聚合端口(192.168.10.2/24),并与一台S5820V2-54QS-GE交换机的虚拟接口(192.168.10.1/24)相连接,交换机启用SVI,交换机的虚拟接口里的两个物理接口各自连接一台防火墙(SW的G1/0/1连接FW1的G1/0/1,SW的G1/0/2连接FW2的G2/0/1),这两个物理接口均属于vlan10,请问交换机可以和做了堆叠的防火墙ping通吗?如果可以ping通,请给出具体配置命令
根据您的拓扑和配置描述,在配置正确的情况下,交换机是可以ping通做了IRF堆叠的防火墙的。
配置原理分析
您的拓扑设计是合理的:
防火墙侧:两台F1060形成IRF后,逻辑上成为一台设备
连接方式:通过三层聚合接口提供统一的IP地址(192.168.10.2/24)
交换机侧:两个物理接口属于同一VLAN,SVI接口作为网关(192.168.10.1/24)
具体配置命令
1. 防火墙IRF堆叠配置
FW1配置(成员编号1,优先级高点):
# 进入系统视图
system-view
# 设置成员编号和优先级
irf member 1 priority 32
sysname FW_IRF
# 配置IRF物理端口
interface gigabitethernet 1/0/20
shutdown
irf-port 1/1
port group interface gigabitethernet 1/0/20
quit
interface gigabitethernet 1/0/21
shutdown
irf-port 1/2
port group interface gigabitethernet 1/0/21
quit
# 激活IRF端口
irf-port-configuration active
# 保存并重启(IRF配置需要重启生效)
save force
reboot
FW2配置(成员编号2):
# 进入系统视图
system-view
# 设置成员编号
irf member 1 renumber 2
sysname FW_IRF
# 配置IRF物理端口
interface gigabitethernet 2/0/20
shutdown
irf-port 1/1
port group interface gigabitethernet 2/0/20
quit
interface gigabitethernet 2/0/21
shutdown
irf-port 1/2
port group interface gigabitethernet 2/0/21
quit
# 激活IRF端口
irf-port-configuration active
# 保存并重启
save force
reboot
2. 防火墙三层聚合接口配置(IRF形成后配置)
# 创建三层聚合接口
interface route-aggregation 1
ip address 192.168.10.2 255.255.255.0
quit
# 将物理接口加入聚合组(注意成员编号)
interface gigabitethernet 1/0/1
port link-mode route
port link-aggregation group 1
undo shutdown
quit
interface gigabitethernet 2/0/1
port link-mode route
port link-aggregation group 1
undo shutdown
quit
3. 交换机S5820V2配置
# 进入系统视图
system-view
sysname SW
# 创建VLAN
vlan 10
quit
# 配置连接防火墙的接口
interface gigabitethernet 1/0/1
port link-type access
port access vlan 10
undo shutdown
quit
interface gigabitethernet 1/0/2
port link-type access
port access vlan 10
undo shutdown
quit
# 配置SVI接口
interface vlan-interface 10
ip address 192.168.10.1 255.255.255.0
undo shutdown
quit
连通性测试
配置完成后,进行测试:
在交换机上ping防火墙:
ping 192.168.10.2
在防火墙上ping交换机:
ping 192.168.10.1
验证命令
检查IRF状态:
display irf configuration
display irf topology
检查聚合接口状态:
display link-aggregation verbose
display interface route-aggregation 1
检查交换机接口状态:
display interface brief
display vlan 10
注意事项
IRF配置顺序:先配置IRF堆叠,重启形成IRF后再配置聚合接口
接口模式:防火墙接口要设置为路由模式(port link-mode route)
HCL模拟器限制:确保使用的F1060镜像支持IRF功能
IP地址冲突:确保192.168.10.0/24网段没有其他设备占用
按照这个配置,交换机SVI接口(192.168.10.1)和防火墙聚合接口(192.168.10.2)应该能够正常ping通。如果遇到问题,可以检查接口状态、路由表等基础网络连通性信息。
感谢您的回答,我配置一下试试,谢谢您
感谢您的回答,我配置一下试试,谢谢您
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
感谢您的回答