问

交换机防火墙做完堆叠聚合后对接问题

7小时前提问

0关注
0收藏，73浏览

Ma_

Ma_ 七段

粉丝：0人关注：2人

问题描述：

交换机主备-----防火墙主备，交叉互联，中间用静态聚合，部署后业务不通，拆成单墙后业务恢复

组网及组网描述：

交换机主备-----防火墙主备，交叉互联，中间用静态聚合，部署后业务不通，拆成单墙后业务恢复

4 个回答

按时间按赞数

Xcheng

Xcheng 九段

粉丝：151人关注：3人

组网规划问题

请合理规划网络并配置

另外FW场景没特殊需求，请采用RBM组网

有飞不起的鸟

有飞不起的鸟八段

粉丝：17人关注：0人

关键机制冲突：
交换机堆叠：虚拟化成单一逻辑设备，有统一MAC地址
防火墙主备：主墙是活动MAC，备墙是不同MAC
静态聚合：两端都需要感知链路状态
二、详细配置与排查步骤
步骤1：检查交换机堆叠配置
# 查看IRF状态
display irf
display irf topology
display irf configuration

# 查看聚合组状态
display link-aggregation verbose
display interface Bridge-Aggregation brief

# 查看生成树状态
display stp brief
display stp abnormal-port
交换机侧关键配置：
# 创建IRF
irf member 1 priority 32
irf member 2 priority 1
irf-port 1/1
port group interface Ten-GigabitEthernet 1/0/49
port group interface Ten-GigabitEthernet 1/0/50
irf-port 2/2
port group interface Ten-GigabitEthernet 2/0/49
port group interface Ten-GigabitEthernet 2/0/50

# 创建聚合组
interface Bridge-Aggregation 10
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic
lacp system-priority 32768

# 将物理口加入聚合组
interface Ten-GigabitEthernet 1/0/1
port link-aggregation group 10
interface Ten-GigabitEthernet 2/0/1
port link-aggregation group 10
步骤2：检查防火墙HRP配置
# 查看HRP状态
display hrp state
display hrp configuration
display hrp interface

# 查看VRRP状态
display vrrp verbose
display vrrp statistics

# 查看聚合组状态
display interface Bridge-Aggregation brief
display link-aggregation verbose
防火墙侧关键配置：
# 开启HRP
hrp enable
hrp interface GigabitEthernet 1/0/50
hrp mirror session enable
hrp auto-sync

# 配置心跳接口
interface GigabitEthernet 1/0/50
ip address 10.0.0.1 255.255.255.252
undo shutdown
hrp track

# 配置业务接口
interface GigabitEthernet 1/0/1
ip address 192.168.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20
undo shutdown
hrp track
步骤3：解决核心问题 - MAC地址同步
方案A：启用ARP同步（推荐）
# 在防火墙上配置
hrp mirror session enable
hrp arp synchronization
hrp mac-address synchronization

# 配置VRRP统一MAC
interface Vlan-interface 10
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 20
vrrp vrid 1 timer advertise 1
vrrp vrid 1 authentication-mode simple cipher Hello123
vrrp vrid 1 track interface GigabitEthernet 1/0/1 reduced 30

# 启用VRRP MAC同步
vrrp sync-mode mac-address
方案B：配置静态MAC地址绑定
# 在交换机上配置静态MAC
mac-address static 0001-0002-0003 interface Bridge-Aggregation 10 vlan 10

# 在防火墙上配置
interface Bridge-Aggregation 10
mac-address 0001-0002-0003
步骤4：检查聚合链路状态
# 查看聚合组详细信息
display link-aggregation verbose Bridge-Aggregation 10

# 预期正确输出
Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing
Port Status: S -- Selected, U -- Unselected, I -- Individual
Port: A -- Auto port, M -- Management port, R -- Reference port
Flags: A -- LACP_Activity, B -- LACP_Timeout, C -- Aggregation,
D -- Synchronization, E -- Collecting, F -- Distributing,
G -- Defaulted, H -- Expired

Aggregate Interface: Bridge-Aggregation10
Creation Mode: Manual
Local:
System ID: 0x8000, 000f-e2ff-1111
Aggregation ID: 1
AL: Enabled, Actor Key: 1
Remote:
System ID: 0x8000, 000f-e2ff-2222
Aggregation ID: 1
AL: Enabled, Partner Key: 1

Port Status Priority Index Flag
GE1/0/1 S 32768 1 {ACDEF}
GE2/0/1 S 32768 2 {ACDEF}
常见问题：
聚合组内端口状态不是"S"（Selected）
两端聚合模式不匹配（静态/动态）
端口配置不一致（VLAN、速率、双工）
三、完整配置示例
拓扑结构
交换机堆叠（主:SW-M, 备:SW-B）
|聚合组10
防火墙集群（主:FW-M, 备:FW-B）
交换机配置
# 系统配置
sysname SW-M
irf member 1 priority 32
irf member 2 renumber 2
irf-port 1/2
port group interface Ten-GigabitEthernet 1/0/49
port group interface Ten-GigabitEthernet 1/0/50
irf-port 2/1
port group interface Ten-GigabitEthernet 2/0/49
port group interface Ten-GigabitEthernet 2/0/50
irf-port-configuration active

# 聚合组配置
interface Bridge-Aggregation 10
description To_FW_Cluster
port link-type trunk
port trunk permit vlan 10 20 30
link-aggregation mode dynamic
lacp system-priority 32768
stp instance 0 cost 20000
stp edged-port
undo stp enable

# 物理口加入聚合
interface Ten-GigabitEthernet 1/0/1
description To_FW-M_GE1/0/1
port link-aggregation group 10
interface Ten-GigabitEthernet 2/0/1
description To_FW-B_GE2/0/1
port link-aggregation group 10
防火墙配置
主防火墙配置：
sysname FW-M
hrp enable
hrp interface GigabitEthernet 1/0/50 remote 10.0.0.2
hrp auto-sync config
hrp auto-sync route
hrp mirror session enable
hrp standby-device

# 业务接口
interface Bridge-Aggregation 10
description To_SW_IRF
ip address 192.168.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 120
vrrp vrid 1 preempt-mode timer delay 5
vrrp vrid 1 track interface GigabitEthernet 1/0/1 reduced 30
undo shutdown

# 聚合组成员
interface GigabitEthernet 1/0/1
port link-aggregation group 10
interface GigabitEthernet 1/0/2
port link-aggregation group 10

# 心跳接口
interface GigabitEthernet 1/0/50
ip address 10.0.0.1 255.255.255.252
undo shutdown
hrp track
备防火墙配置：
sysname FW-B
hrp enable
hrp interface GigabitEthernet 1/0/50 remote 10.0.0.1
hrp auto-sync config
hrp auto-sync route
hrp mirror session enable

# 业务接口
interface Bridge-Aggregation 10
description To_SW_IRF
ip address 192.168.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 100
undo shutdown

# 聚合组成员
interface GigabitEthernet 1/0/1
port link-aggregation group 10
interface GigabitEthernet 1/0/2
port link-aggregation group 10

# 心跳接口
interface GigabitEthernet 1/0/50
ip address 10.0.0.2 255.255.255.252
undo shutdown
hrp track
四、故障排查清单
1. 验证IRF堆叠状态
# 在两台交换机上执行
display irf
# 确认IRF状态为Active
# 确认IRF端口为UP
# 确认主设备是预期的设备
2. 验证聚合组状态
# 在交换机上
display link-aggregation verbose Bridge-Aggregation 10
# 确认所有端口状态为"S"
# 确认两端System ID不同
# 确认聚合模式一致

# 在防火墙上
display link-aggregation verbose
# 确认聚合组状态
3. 验证HRP状态
# 在防火墙上
display hrp state
# 确认HRP状态为Active/Standby
# 确认心跳链路正常
# 确认配置已同步
4. 验证VRRP状态
display vrrp verbose
# 确认主防火墙VRRP状态为Master
# 确认备防火墙VRRP状态为Backup
# 确认虚拟IP正确
5. 验证MAC地址表
# 在交换机上查看MAC地址
display mac-address | include Bridge-Agg10
# 确认网关MAC地址正确指向防火墙
# 确认MAC地址没有频繁变化
6. 验证ARP表
# 在交换机上
display arp | include 192.168.1.254
# 确认ARP表项指向正确的接口
# 确认没有多个ARP表项冲突
五、常见问题与解决方案
问题1：IRF主备切换后业务中断
现象：交换机IRF主备切换后，业务中断
原因：防火墙感知到MAC地址变化
解决：
# 在防火墙上配置MAC地址持久化
hrp mac-address hold
hrp standby-device
问题2：静态聚合端口不UP
现象：聚合口物理UP，协议DOWN
原因：两端聚合模式不匹配
解决：
# 统一两端聚合模式
# 方案A：都使用静态聚合
interface Bridge-Aggregation 10
link-aggregation mode static

# 方案B：都使用动态LACP
interface Bridge-Aggregation 10
link-aggregation mode dynamic
lacp system-priority 32768
问题3：防火墙主备不同步
现象：主墙配置未同步到备墙
解决：
# 在备墙上强制同步
hrp sync config
hrp sync route
hrp sync acl
问题4：环路检测误报
现象：STP阻塞聚合端口
解决：
# 在交换机聚合口禁用STP
interface Bridge-Aggregation 10
undo stp enable
stp edged-port

# 或者在交换机全局调整STP优先级
stp root primary
六、排错命令集合
实时监控命令
# 实时查看流量
display interface Bridge-Aggregation 10 counters rate
display interface Ten-GigabitEthernet 1/0/1 counters rate

# 实时调试
debugging hrp packet
debugging vrrp packet
debugging lacp packet

# 清除计数重新统计
reset counters interface Bridge-Aggregation 10
抓包分析
# 在交换机上抓包
capture interface Bridge-Aggregation 10
# 分析LACP、VRRP、HRP报文
七、最佳实践建议
部署顺序：
先部署交换机IRF，确保稳定
再部署防火墙HRP，确保心跳正常
最后配置聚合，检查状态
配置要点：
确保IRF链路使用独立端口，不要与业务聚合混用
防火墙心跳链路使用独立接口，与业务隔离
聚合口使用LACP动态模式，便于故障检测
开启hrp mirror session enable同步会话状态
测试验证：
测试主备切换：分别重启主交换机和主防火墙
测试链路故障：拔掉聚合中的一条链路
测试网络收敛：通过ping测试切换时间
监控告警：
# 配置告警
snmp-agent trap enable irf
snmp-agent trap enable link-aggregation
snmp-agent trap enable hrp
八、替代方案考虑
如果问题持续存在，考虑以下方案：
方案A：使用独立链路（推荐）
# 不使用聚合，每个防火墙单独连线
SW-M -- GE1/0/1 --> FW-M
SW-B -- GE2/0/1 --> FW-B

# 配置VRRP监视上行口
vrrp vrid 1 track interface GigabitEthernet 1/0/1 reduced 30
方案B：使用M-LAG替代IRF+聚合
# 交换机配置M-LAG
interface Ten-GigabitEthernet 1/0/1
port m-lag group 1
# 防火墙配置独立链路+VRRP
方案C：简化设计
如果网络规模不大，考虑：
只使用防火墙主备，交换机不做堆叠
或只使用交换机堆叠，防火墙做透明模式
九、紧急恢复步骤
如果业务已中断，按此步骤快速恢复：
步骤1：检查物理链路状态
display interface brief
步骤2：临时恢复业务
# 方法A：拆除聚合，使用单链路
undo interface Bridge-Aggregation 10

# 方法B：临时禁用IRF
irf mac-address persistent timer
undo irf link-delay
步骤3：分段排查
先验证IRF单独工作
再验证防火墙HRP单独工作
最后添加聚合链路
总结：这个问题核心在于MAC地址同步和状态机协调。请重点检查：
防火墙hrp mac-address synchronization配置
VRRP MAC地址一致性
聚合组两端配置匹配性
STP是否阻塞了必要端口
按照上述步骤逐一排查，通常可以解决问题。如果还有具体配置或现象，我可以提供更有针对性的建议。