问
F5000-X06+M-lag与RBM动态OSPF协议互联
21小时前提问
- 0关注
- 0收藏,34浏览
zhiliao_Gixe
四段
1. 核心交换机间互联方式:
两台核心交换机之间不能直接使用三层聚合口(Route-Aggregation)配置IP地址互联。这是因为M-LAG要求两台设备二层互通,必须通过二层聚合口(Bridge-Aggregation)进行互联,且该聚合口需加入同一个VLAN,并在VLAN接口(VLANIF)上配置IP地址。
2. 防火墙与核心交换机互联配置:
防火墙与两台核心交换机之间应配置跨设备链路聚合(M-LAG)。核心交换机侧需创建M-LAG组(`m-lag group`),并将连接防火墙的物理接口加入同一个二层聚合口(Bridge-Aggregation),同时将该聚合口绑定到M-LAG组。防火墙侧配置标准链路聚合(如手工聚合或LACP)即可。
3. 关键命令示例(核心交换机侧):
# 创建二层聚合口并绑定M-LAG组
interface Bridge-Aggregation10
port link-type trunk
port trunk permit vlan 10
m-lag group 1
# 物理接口加入聚合组
interface GigabitEthernet1/0/1
port link-aggregation group 10
# 创建VLAN接口并配置OSPF
interface Vlan-interface10
ip address 192.168.1.1 24
ospf 1 area 0
4. OSPF注意事项:
确保两台核心交换机的VLAN接口配置相同IP地址(通过`m-lag ip-address virtual`实现虚拟IP),或使用不同IP并在OSPF中发布直连网段。OSPF邻居需与防火墙正常建立。
需补充信息:
- 防火墙型号及聚合配置方式。
- OSPF区域规划及接口IP地址详情。
配置变更前请备份设备配置。
两台核心交换机之间不能直接使用三层聚合口(Route-Aggregation)配置IP地址互联。这是因为M-LAG要求两台设备二层互通,必须通过二层聚合口(Bridge-Aggregation)进行互联,且该聚合口需加入同一个VLAN,并在VLAN接口(VLANIF)上配置IP地址。
2. 防火墙与核心交换机互联配置:
防火墙与两台核心交换机之间应配置跨设备链路聚合(M-LAG)。核心交换机侧需创建M-LAG组(`m-lag group`),并将连接防火墙的物理接口加入同一个二层聚合口(Bridge-Aggregation),同时将该聚合口绑定到M-LAG组。防火墙侧配置标准链路聚合(如手工聚合或LACP)即可。
3. 关键命令示例(核心交换机侧):
# 创建二层聚合口并绑定M-LAG组
interface Bridge-Aggregation10
port link-type trunk
port trunk permit vlan 10
m-lag group 1
# 物理接口加入聚合组
interface GigabitEthernet1/0/1
port link-aggregation group 10
# 创建VLAN接口并配置OSPF
interface Vlan-interface10
ip address 192.168.1.1 24
ospf 1 area 0
4. OSPF注意事项:
确保两台核心交换机的VLAN接口配置相同IP地址(通过`m-lag ip-address virtual`实现虚拟IP),或使用不同IP并在OSPF中发布直连网段。OSPF邻居需与防火墙正常建立。
需补充信息:
- 防火墙型号及聚合配置方式。
- OSPF区域规划及接口IP地址详情。
配置变更前请备份设备配置。
比如两台核心交换机与防火墙-1互联,两台核心交换机侧vlan接口m-lag ip-address virtual ip 192.168.1.1 30就行了是吧;要是vlan接口IP地址标准配置ip address 192.168.1.1 30需不需要配置相同MAC地址。
zhiliao_KMnXD
发表时间:21小时前
问题1:两台核心交换机之间的互联方式
结论:推荐通过VLAN接口方式(二层聚合 + SVI)实现三层互联
详细说明:
不推荐直接在两台核心交换机之间做三层路由聚合口(即两个物理口直接做三层聚合并配IP),原因如下:
M-LAG环境要求两台核心交换机之间有peer-link链路(用于同步状态和转发部分流量)
如果单独做三层聚合口互联,会绕过M-LAG的控制平面,可能导致:
协议状态不一致
流量转发路径混乱
故障收敛异常
推荐方案:通过VLAN接口方式
核心交换机1 核心交换机2
peer-link必须是二层聚合口,不能直接做三层聚合
在peer-link的聚合口下创建VLAN接口(SVI)用于三层互通
两台核心之间的OSPF邻居通过这个VLAN接口建立
问题2:防火墙与核心交换机的互联方式
根据您的拓扑图,标准的最佳实践是:
防火墙侧配置:
防火墙1和防火墙2分别配置链路聚合:
针对每台防火墙创建一个独立的M-LAG组:
核心交换机1:
interface Bridge-Aggregation1
interface Bridge-Aggregation1
interface Route-Aggregation1
F5000-X06 + M-LAG 与 OSPF 互联问题完整解答
先给你一个核心结论,再分点拆解细节和配置方案:✅ 核心结论:防火墙与 M-LAG 核心交换机互联,必须用「二层聚合 + VLANIF 三层接口」的方式,不能直接在聚合口配三层 IP;且核心侧的聚合组必须加入 M-LAG 组,否则 M-LAG 冗余失效。
一、问题 1 详细解答:互联方式与 M-LAG 要求
1. 能不能直接三层聚合配 IP?
❌ 绝对不可以,直接三层聚合会导致 M-LAG 完全失效,出现环路、断流、OSPF 邻居震荡。原因:
- M-LAG(DRNI)的核心原理是:两台核心交换机对外呈现为一台逻辑交换机,所有下联 / 上联的链路都必须是二层链路,由 M-LAG 统一管理转发、防环路。
- 若直接在聚合口配三层 IP,相当于两台核心交换机各自独立建立三层接口,会出现:
- 防火墙同时和两台核心建立 OSPF 邻居,形成三角路由,流量来回路径不一致,导致丢包、会话中断。
- M-LAG 的防环路机制(如 M-LAG 本地 / 远端端口隔离)无法生效,二层环路风险极高。
- 核心交换机的 M-LAG 主备切换时,三层接口会直接 Down,OSPF 邻居断连,业务中断。
2. 正确的互联方式是什么?
✅ 标准方案:二层聚合 + VLANIF 三层接口,核心侧聚合组必须加入 M-LAG 组
(1)链路层级设计
表格
| 设备 | 接口配置 | 作用 |
|---|---|---|
| 防火墙 F5000-X06 | 二层聚合组(Bridge-Aggregation),加入业务 VLAN(如 VLAN 100) | 与两台核心交换机做跨设备链路聚合,实现冗余 |
| 核心交换机 1/2 | 二层聚合组,加入 M-LAG(DRNI)组,透传业务 VLAN 100 | 对外呈现为一台逻辑交换机,统一管理链路 |
| 核心交换机 1/2 | 配置 VLANIF 100,配置相同的 IP 地址(如 10.0.0.1/24) | 作为防火墙的三层网关,建立 OSPF 邻居 |
| 防火墙 F5000-X06 | 配置 VLANIF 100,配置同网段 IP(如 10.0.0.2/24) | 与核心 VLANIF 100 建立 OSPF 邻居,实现三层路由 |
(2)为什么核心侧聚合组必须加 M-LAG?
- 不加 M-LAG:两台核心交换机各自独立,防火墙的聚合组会被两台核心分别识别,导致MAC 地址漂移、环路、OSPF 邻居震荡,完全失去冗余效果。
- 加 M-LAG 后:两台核心通过 M-LAG 同步状态,对外是一个逻辑设备,防火墙只需要和一个逻辑三层网关(VLANIF 100)通信,OSPF 邻居稳定,主备切换无感知。
二、问题 2:拓扑对应方案与完整配置(H3C F5000-X + S 系列核心交换机)
1. 拓扑对应说明
你的拓扑是标准的双防火墙 + 双核心 M-LAG+RBM(冗余备份管理)+OSPF 三层互联架构,对应设计如下:
- 防火墙层:F5000-X06 双机通过 RBM(H3C 的双机热备协议,类似 VRRP)实现主备冗余,两台防火墙分别与两台核心做跨设备 M-LAG 聚合。
- 核心层:两台核心交换机通过 M-LAG(DRNI)堆叠为逻辑一台,与防火墙做二层聚合,通过 VLANIF 建立 OSPF 三层互联,同时核心之间通过 M-LAG keepalive 链路同步状态。
- 路由层:防火墙与核心交换机在 VLANIF 接口上跑 OSPF,实现内网路由互通,RBM 负责防火墙主备切换,M-LAG 负责核心主备切换,双重冗余。
2. 关键配置步骤(可直接落地)
(1)核心交换机 M-LAG(DRNI)基础配置(两台核心)
shell
# 核心1配置
# 1. 开启DRNI,配置系统MAC(两台核心一致)、优先级
drni system-mac 0000-1111-2222
drni system-number 1
drni system-priority 100
# 2. 配置keepalive链路(两台核心互联的聚合口,用于同步状态)
interface Bridge-Aggregation 10
port link-type trunk
port trunk permit vlan all
drni keepalive
interface range GigabitEthernet 1/0/25 to GigabitEthernet 1/0/26
port link-aggregation group 10
# 3. 配置与防火墙互联的聚合组,加入M-LAG
interface Bridge-Aggregation 20
port link-type trunk
port trunk permit vlan 100 # 放行防火墙互联VLAN
drni aggregation-group 1 # 加入M-LAG组,两台核心组号一致
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/2
port link-aggregation group 20
# 4. 配置VLANIF三层接口(OSPF互联)
interface Vlan-interface 100
ip address 10.0.0.1 255.255.255.0
mac-address 0000-1111-2222 # 配置与DRNI系统MAC一致,保证主备切换MAC不变
ospf 1 area 0 # 加入OSPF区域0
# 核心2配置(仅差异部分)
drni system-mac 0000-1111-2222 # 与核心1完全一致
drni system-number 2
drni system-priority 100
# keepalive链路、聚合组配置与核心1完全一致
interface Vlan-interface 100
ip address 10.0.0.1 255.255.255.0 # 与核心1同IP
mac-address 0000-1111-2222 # 同系统MAC
ospf 1 area 0
(2)防火墙 F5000-X06 配置(双机 RBM + 聚合 + OSPF)
shell
# 防火墙1配置
# 1. 配置与核心互联的聚合组(二层)
interface Bridge-Aggregation 10
port link-type trunk
port trunk permit vlan 100
interface range GigabitEthernet 1/0/1 to GigabitEthernet 1/0/2
port link-aggregation group 10
# 2. 配置VLANIF三层接口(OSPF互联)
interface Vlan-interface 100
ip address 10.0.0.2 255.255.255.0
ospf 1 area 0
# 3. 配置RBM双机热备(与防火墙2互联)
interface GigabitEthernet 1/0/3 # 防火墙互联口
ip address 192.168.1.1 255.255.255.252
rbm
peer ip 192.168.1.2
interface GigabitEthernet 1/0/3
priority 100
preempt mode delay 30
# 配置业务接口跟踪(聚合组Down则切换主备)
track interface Bridge-Aggregation 10
# 防火墙2配置(仅差异部分)
interface Vlan-interface 100
ip address 10.0.0.3 255.255.255.0 # 备用IP,主用由RBM虚拟IP接管(可选)
ospf 1 area 0
rbm
peer ip 192.168.1.1
interface GigabitEthernet 1/0/3
priority 90
track interface Bridge-Aggregation 10
(3)OSPF 互联优化配置
shell
# 核心交换机OSPF配置(抑制DR/BDR选举,避免邻居震荡)
ospf 1 router-id 1.1.1.1
area 0
network 10.0.0.0 0.0.0.255
silent-interface all
undo silent-interface Vlan-interface 100
# 配置OSPF P2P网络类型,加速邻居建立
interface Vlan-interface 100
ospf network-type p2p
ospf timer hello 10 dead 40 # 调整hello时间,快速感知故障
# 防火墙OSPF配置
ospf 1 router-id 2.2.2.2
area 0
network 10.0.0.0 0.0.0.255
interface Vlan-interface 100
ospf network-type p2p
三、常见坑与避坑指南
1. 核心侧聚合组忘记加 M-LAG
- 现象:防火墙聚合组 Up,但 MAC 地址漂移,OSPF 邻居频繁断连,流量时通时断。
- 解决:必须将防火墙互联的聚合组加入 M-LAG 组,两台核心组号一致。
2. 直接三层聚合配 IP
- 现象:OSPF 同时建立两个邻居,三角路由,会话中断,M-LAG 主备切换时业务中断。
- 解决:必须用二层聚合 + VLANIF 三层接口,核心侧 VLANIF 配置相同 IP 和系统 MAC。
3. VLANIF MAC 地址不一致
- 现象:M-LAG 主备切换时,核心 VLANIF MAC 变化,防火墙 ARP 表项刷新,导致短暂断流。
- 解决:核心两台交换机的 VLANIF 100 必须配置相同的 MAC 地址,且与 DRNI 系统 MAC 一致。
4. OSPF 网络类型错误
- 现象:OSPF 邻居选举 DR/BDR,主备切换时 DR 变化,导致路由震荡。
- 解决:将防火墙与核心的互联接口 OSPF 网络类型改为P2P,取消 DR/BDR 选举,邻居更稳定。
5. RBM 与 M-LAG 联动
- 现象:防火墙主备切换时,核心 M-LAG 未感知,导致流量黑洞。
- 解决:在防火墙 RBM 中配置接口跟踪,跟踪与核心互联的聚合组,聚合组 Down 则自动切换主备;核心侧可配置 BFD 与 OSPF 联动,快速感知防火墙故障。
四、方案验证步骤
- M-LAG 状态验证:核心交换机执行
display drni verbose,确认两台核心 M-LAG 状态正常,聚合组已加入 M-LAG。 - 聚合组状态验证:防火墙执行
display link-aggregation verbose,确认聚合组双活,两个端口均 Up。 - OSPF 邻居验证:防火墙和核心执行
display ospf peer,确认仅建立 1 个稳定的 OSPF 邻居(核心逻辑一台)。 - 冗余切换验证:
- 手动断开防火墙 1 与核心 1 的链路,确认聚合组仍 Up,OSPF 邻居不中断,业务无感知。
- 手动重启核心 1,确认 M-LAG 主备切换,OSPF 邻居不中断,业务无感知。
- 手动切换防火墙 RBM 主备,确认核心路由无震荡,业务无感知。
五、补充说明:RBM 与 M-LAG 的协同
- RBM:负责防火墙双机主备冗余,管理防火墙的会话同步、主备切换。
- M-LAG:负责核心交换机双机冗余,管理核心的链路聚合、二层转发、三层网关统一。
- OSPF:在防火墙与核心的 VLANIF 接口上运行,实现三层路由互通,通过 P2P 网络类型保证邻居稳定。
- 两者协同,实现防火墙 + 核心的双重冗余,任何单台设备 / 单条链路故障,业务都能无感知切换。
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
比如两台核心交换机与防火墙-1互联,两台核心交换机侧vlan接口m-lag ip-address virtual ip 192.168.1.1 30就行了是吧;要是vlan接口IP地址标准配置ip address 192.168.1.1 30需不需要配置相同MAC地址。