交换机防火墙组网

那防火墙也不做聚合

一、先把组网逻辑理清楚

• 交换机侧：S6850_3 和 S6850_4 做 IRF 堆叠，逻辑上是一台设备
• 防火墙侧：F1060_1 和 F1060_2 做 主备 / 双活
• 互联：4 条物理链路交叉连接，目标是实现无单点故障、负载分担

二、不做跨框聚合，会发生什么？

1. 无法实现链路负载分担，带宽浪费

• 堆叠交换机逻辑上是一台设备，但和防火墙的连接是物理上的单链路（比如 S6850_3 连 F1060_1、S6850_4 连 F1060_2）
• 流量只能走其中一条链路，另一条处于备份状态，4 条链路只能用 2 条，带宽翻倍的设计完全失效
• 防火墙侧同理，只能用其中一台的上联口，另一台的上联带宽闲置

2. 故障切换不彻底，会出现流量黑洞

• 如果是静态路由：需要等待路由收敛，期间流量会被丢包，甚至出现路由黑洞
• 如果是二层转发：防火墙不知道对端堆叠交换机故障，仍会把流量发往 F1060_1 的上联口，结果链路 down，流量丢失
• 跨框聚合的作用就是：堆叠交换机的上联口是一个逻辑聚合口，任意一台设备的上联链路故障，聚合口依然 up，流量会自动切换到另一台设备的链路上，防火墙无感知。

3. 二层转发场景下，会出现环路或 MAC 地址漂移

• 不做聚合的话，4 条链路会形成二层环路，导致广播风暴
• 即使开了 STP，也会阻塞一半链路，带宽依然无法利用，且故障切换时间长
• 跨框聚合后，4 条链路是一个逻辑聚合组，不会形成环路，同时实现负载分担和毫秒级故障切换。

三、正确的做法：做跨框聚合（M-LAG/IRF + 聚合）

交换机侧（IRF 堆叠）

1. 在两台 S6850 上分别创建聚合口，配置为 动态 LACP 聚合
2. 聚合口成员分别是 S6850_3 和 S6850_4 的上联口，形成跨设备聚合组

防火墙侧（F1060 双机）

1. 在两台 F1060 上分别创建聚合口，配置为 动态 LACP 聚合
2. 聚合口成员分别是 F1060_1 和 F1060_2 的上联口，和交换机侧的聚合口形成对接
3. 如果防火墙是主备模式，需要配置 会话同步，确保故障切换时会话不中断

四、关键补充：跨框聚合的核心价值

一句话总结

交换机和防火墙之间使用三层链路聚合，是一种通过将多个物理接口捆绑为一个逻辑接口来增加带宽、提供链路冗余的常用组网方案。这种设计特别适合对可靠性和吞吐量要求较高的网络出口或核心互联场景。

 三层链路聚合 vs 二层链路聚合

• 三层链路聚合：聚合接口配置IP地址，直接承载三层路由，不涉及VLAN。常用于防火墙与交换机之间需要跑路由协议（如OSPF）的场景。

• 二层链路聚合：聚合接口工作在二层模式，需加入VLAN，常用于接入层与汇聚层之间。

 典型组网场景

防火墙<->交换机之间：

• 防火墙侧：多个物理接口捆绑为三层聚合口（如Route-Aggregation1），配置互联IP。

• 交换机侧：同样创建三层聚合口并配置同网段IP。

• 两端可运行静态路由或动态路由协议（如OSPF）实现高可用。

 核心配置要点（H3C设备为例）

防火墙侧（假设接口为GigabitEthernet1/0/1和1/0/2）：

注意：部分交换机（如S5130系列）默认接口为二层模式，需先执行 port link-mode route 切换。

 负载分担与冗余

• 负载分担算法：默认基于源/目的IP进行哈希，流量会被分配到多条物理链路上。可根据业务调整（如基于源/目的端口）。

• 链路冗余：当某条物理链路故障，流量自动切换到其他正常链路，收敛时间在毫秒级。

 常见问题与排查

• 聚合协商失败：检查两端聚合模式（静态/动态LACP）是否一致。如果一端是动态LACP，另一端必须是动态。

• 接口被防火墙拦截：聚合建立后，确保防火墙安全策略允许聚合接口的流量。

• IP地址冲突：三层聚合接口的IP地址对端必须属于同一子网。

• 链路层检测：使用 display link-aggregation summary 查看聚合状态，B代表选中端口，U代表非选中。