问
交换机mlag+防火墙rbm组网(ospf问题)
13小时前提问
- 0关注
- 0收藏,46浏览
zhiliao_Gixe
四段
存在隐患:1. 等价路由可能导致流量走MLAG peer-link绕行,占用peer-link带宽;2. 若等价路由下一跳含备墙,RBM备墙默认不转发业务,会引发随机丢包。
解决步骤:
1. 配置变更前先备份整机配置。
2. 两台交换机在与防火墙互联的三层接口下,执行ospf peer <对端交换机互联IP> ignore,抑制交换机间横联OSPF邻居,仅保留与防火墙的邻居。
3. 校验OSPF路由,确保业务路由下一跳仅指向主墙,无等价路由。
解决步骤:
1. 配置变更前先备份整机配置。
2. 两台交换机在与防火墙互联的三层接口下,执行ospf peer <对端交换机互联IP> ignore,抑制交换机间横联OSPF邻居,仅保留与防火墙的邻居。
3. 校验OSPF路由,确保业务路由下一跳仅指向主墙,无等价路由。
请问等价路由为什么会包含备墙呢?我是mlag之间等价,备墙调整了cost
zhiliao_wWefhy
发表时间:13小时前
一、问题核心结论
会存在严重隐患,且当前组网的 IP 规划和 OSPF 邻居设计本身就存在逻辑缺陷,必须整改。
二、隐患深度拆解
1. 邻居关系与等价路由的本质问题
(1)当前邻居关系混乱
你用
/29 掩码规划了 4 个互联网段:vlan10: 1.1.1.0/29(S6850_1 ↔ F1090_3)vlan10: 1.1.1.4/29(S6850_2 ↔ F1090_4)vlan20: 1.1.2.0/29(S6850_2 ↔ F1090_3)vlan20: 1.1.2.4/29(S6850_1 ↔ F1090_4)
致命问题:
/29 掩码的子网包含 8 个地址(2^3),你在同一子网内跨设备部署了 4 个不同的物理接口,导致:- S6850_1(1.1.1.1/29)和 S6850_2(1.1.1.4/29)同属 1.1.1.0/29 子网,会直接建立 OSPF 邻居
- F1090_3(1.1.1.2/29)和 F1090_4(1.1.1.4/29)同属 1.1.1.0/29 子网,也会直接建立 OSPF 邻居
- 同理,
1.1.2.0/29子网内,S6850_1、S6850_2、F1090_3、F1090_4 4 台设备会形成全互联 OSPF 邻居
最终形成一个4 节点的 OSPF 广播域,而非你预期的「交换机 - 防火墙点对点邻居」,等价路由会在 4 台设备间任意生成,完全失控。
(2)等价路由的实际风险
- 流量路径不可控:业务流量可能在 S6850_1→S6850_2→F1090_3、S6850_1→F1090_4 等多条路径间随机转发,出现次优路径、流量绕行
- M-LAG 与 RBM 主备逻辑失效:你给防火墙备机调高 cost 的主备设计,会被等价路由直接覆盖,备机可能被流量打满,主备切换时出现流量中断、丢包
- OSPF 邻居震荡风险:M-LAG 的 peer-link、防火墙 RBM 心跳、业务链路的任何波动,都会触发 OSPF 邻居震荡,导致路由频繁刷新、网络抖动
- 环路风险:多等价路由 + M-LAG+RBM 的组合,在链路故障时极易形成二层 / 三层环路,引发广播风暴
三、根本原因与整改方案
1. 根本原因
IP 规划错误:用
/29 大掩码在 4 台设备间共享子网,违背了「点对点互联用 /30 掩码、每链路独立子网」的核心原则,导致 OSPF 广播域混乱。2. 标准整改方案(H3C M-LAG + 防火墙 RBM OSPF 最佳实践)
(1)IP 规划整改(核心!)
将 4 条互联链路全部改为独立的
/30 子网,彻底隔离广播域:表格
| 链路 | 设备 A | 接口 | IP 地址 | 设备 B | 接口 | IP 地址 |
|---|---|---|---|---|---|---|
| S6850_1 ↔ F1090_3 | S6850_1 | GE_0/1 | 1.1.1.1/30 | F1090_3 | GE_0/1 | 1.1.1.2/30 |
| S6850_1 ↔ F1090_4 | S6850_1 | GE_0/2 | 1.1.1.5/30 | F1090_4 | GE_0/2 | 1.1.1.6/30 |
| S6850_2 ↔ F1090_3 | S6850_2 | GE_0/1 | 1.1.2.1/30 | F1090_3 | GE_0/2 | 1.1.2.2/30 |
| S6850_2 ↔ F1090_4 | S6850_2 | GE_0/2 | 1.1.2.5/30 | F1090_4 | GE_0/1 | 1.1.2.6/30 |
注:/30掩码仅包含 2 个可用主机地址,完美适配点对点链路,彻底杜绝跨设备同子网问题。
(2)OSPF 配置优化(H3C 命令行模板)
① 交换机侧(S6850_1/S6850_2)
bash
运行
# 1. 配置互联接口为P2P类型,抑制广播,加速邻居建立
interface GE_0/1
port link-mode route
ip address 1.1.1.1 255.255.255.252
ospf network-type p2p
ospf cost 10 # 主链路cost
#
interface GE_0/2
port link-mode route
ip address 1.1.1.5 255.255.255.252
ospf network-type p2p
ospf cost 10
#
# 2. OSPF进程配置,仅宣告互联网段,禁止宣告M-LAG peer-link
ospf 1 router-id 10.255.255.1 # S6850_1用10.255.255.1,S6850_2用10.255.255.2
area 0
network 1.1.1.0 0.0.0.3
network 1.1.1.4 0.0.0.3
# 仅宣告业务VLAN网段,禁止宣告M-LAG peer-link网段
network 192.168.10.0 0.0.0.255
#
# 3. M-LAG配置(确保peer-link不参与OSPF)
interface Bridge-Aggregation 100
description mlag-peer-link
port link-type trunk
port trunk permit vlan all
# 禁止将该接口加入OSPF
#
mlag
mlag system-mac 000f-e200-0001
mlag system-number 1 # S6850_1为1,S6850_2为2
mlag peer-ip 10.255.255.2 # 仅用于M-LAG协商,不宣告进OSPF
② 防火墙侧(F1090_3/F1090_4,RBM 主备)
bash
运行
# 1. 配置互联接口P2P类型
interface GE_0/1
ip address 1.1.1.2 255.255.255.252
ospf network-type p2p
ospf cost 10 # 主防火墙cost
#
interface GE_0/2
ip address 1.1.2.2 255.255.255.252
ospf network-type p2p
ospf cost 10
#
# 2. 备防火墙(F1090_4)调高cost,确保主备
interface GE_0/1
ip address 1.1.2.6 255.255.255.252
ospf network-type p2p
ospf cost 100 # 备链路cost远高于主链路
#
interface GE_0/2
ip address 1.1.1.6 255.255.255.252
ospf network-type p2p
ospf cost 100
#
# 3. OSPF进程配置
ospf 1 router-id 10.255.255.3 # F1090_3用10.255.255.3,F1090_4用10.255.255.4
area 0
network 1.1.1.0 0.0.0.3
network 1.1.2.0 0.0.0.3
# 宣告外网/业务网段
network 202.100.1.0 0.0.0.255
#
# 4. RBM配置(确保主备切换时路由联动)
rbm
rbm group 1
priority 100 # F1090_3主用优先级100,F1090_4备用优先级80
interface GigabitEthernet 0/0
track interface GigabitEthernet 0/1
track interface GigabitEthernet 0/2
(3)额外优化建议
- M-LAG 侧:将交换机与防火墙的互联口加入 M-LAG,配置M-LAG OSPF 同步,确保主备交换机路由一致
- OSPF 区域规划:将互联链路划入 Area 0,业务网段按区域划分,避免次优路径
- 路由过滤:在交换机和防火墙上配置 OSPF 路由过滤,仅允许必要网段互通,防止路由泄露
- BFD 联动:在所有互联接口配置 OSPF+BFD,实现毫秒级链路故障检测,加速主备切换
四、补充说明:等价路由的正确用法
如果确实需要负载分担(而非主备),需满足:
- 所有链路独立子网,无跨设备同子网
- 所有链路 cost 一致,确保等价路由生效
- 防火墙 RBM 配置主备负载分担模式,而非单主单备
- 交换机 M-LAG 配置负载分担模式,避免流量单链路拥堵
但你当前的「防火墙备机调高 cost」的主备需求,绝对不能出现等价路由,必须通过 cost 值、路由过滤等方式确保主链路优先。
五、最终结论
- 当前组网存在严重隐患:
/29掩码导致的跨设备同子网,会形成混乱的 OSPF 邻居和等价路由,破坏 M-LAG/RBM 主备逻辑,引发流量抖动、环路等问题 - 核心整改:将所有互联链路改为独立
/30子网,配置 P2P OSPF 邻居,彻底隔离广播域 - 配置落地:按上述命令行模板调整,确保主备 cost 差异,联动 BFD 和 RBM/M-LAG,实现稳定的主备切换
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
请问等价路由为什么会包含备墙呢?我是mlag之间等价,备墙调整了cost