接口篇(5.6) 02. 与思科交换机三层链路聚合连接 ❀ 飞塔 (Fortinet) 防火墙

来源：互联网发布：重庆大学数据图书馆编辑：程序博客网时间：2024/06/06 03:20

　　【简介】在很多实际应用环境中，因为接口的速率问题，数据访问量大的时候会出现瓶颈。像飞塔防火墙大部分是千兆接口，有没有在不增加投入（换万网兆纤口）的情况下，解决这个问题呢？

网络拓扑

在很多企业的网络拓扑中，通常会的把服务器接入核心三层交换机之后，这样的一个好处是可以保证内网访问速度够快，但是基于安全角度的考虑，建议服务器直接接入防火墙，因为防火墙可以将内网与服务器分开，限制指定的内网用户访问服务器，并给服务器单独的保护。

有人会担心因为接口的速率（防火墙内网接口通常为千兆）会造成访问服务器出现瓶颈，解决的办法很简单，那就是防火墙和交换机都使用汇聚口连接。

链路聚合

链路聚合（Link Aggregation），是指将多个物理端口捆绑在一起，成为一个逻辑端口，同时通过几个端口进行链路负载均衡，避免链路出现拥塞现象，也可以防止由于单条链路转发速率过低而出现的丢帧的现象，在网络建设不增加更多成本的前提下，即实现了网络的高速性，也保证了链路的冗余性，这种方法比较经济，实现也相对容易。

现在主要的链路聚合技术的标准：CISCO的端口聚合协议（Port Aggregation Protocol ，PAGP）和IEEE802.3ad的链路汇聚控制协议（Link Aggregation Control Protocol ，LACP），其中PAGP只支持在CISCO公司的产品上，而大部分厂家均支持LACP。

飞塔防火墙支持802.3ad聚合，也就是LACP。

LACP 即Link Aggregation Control Protocol，链路汇聚控制协议，是一种实现链路动态汇聚的协议，使用LACPDU与对端交换信息。

LACP模式：

ON（开启）：强制端口形成EtherChannel，如果希望EtherChannel能正确工作，那么链路的另一侧也必须处于ON模式。
OFF（关闭）：使端口不能形成EtherChannel。这种模式下端口不会形成EtherChannel。
Active（主动）：使端口进入主动协商状态，被配置的端口主动发送LACP数据名以发起能形成EtherChannel的协商。一般推荐使用这种模式。
Passive（被动）：使端口进入被动协商状态，如果能从对端接收到LACP数据包，那么就形成EtherChannel。这种模式不会主动发起EtherChannel协商。这种模式是默认的模式。

在LACP下，如果进行链路聚合的配置，需要加入通道组的交换机端口成员必须具备以下相同的属性。

端口均为全双工模式
端口速率相同
端口类型必须相同，比如同为以太网口或同为光纤口
端口同为Access端口并且同属于同一个VLAN，或者同为Trunk端口

防火墙链路聚合设置

思科交换机最多支持8个端口来形成EtherChannel，这些端口不必是连续分布的，也不必位于相同的模块中。但是在实际应用中我们一般只绑定二条线路，现在我们以飞塔防火墙FortiGate100D为例，在防火墙上配置链路聚合。

① 我们知道，配置链路聚合最少需要两个独立的接口，但是FortiGate 100D默认所有的内网接口都是硬交换口，因此需要先将他们打散，由于默认情况下内网口已经有2个关联，因此需要先删除这两个关联，鼠标占击硬件交换口右边的关联数。

② 弹出窗口选择关联的策略，点击删除，也同样删除关联的DHCP服务。

③ 回到接口设置界面，可以lan口的关联数已经为0，选择lan口，点击删除，就可以将硬交换口打散了。

④ 现可以看到每个内网接口都是独立的了。选择菜单【新建】-【接口】。

⑤ 接口的类型选择802.3ad聚合，这里也只绑定两个接口，分别是15、16口，并给接口设置一个IP地址，以便三层交换机通过IP地址可以进行访问。

⑥ 这样防火墙上的链路聚合就配置好了，但是需要注意的是，如果对方没有配置链路聚合，就算防火墙和交换机把线都接好了，汇聚接口的状态都是Down的。

思科三层交换机链路聚合设置

这里我们以Cisco Catalyst 3750-E 三层路由器为例。

① 初始状态下，交换机的23、24口默认是在Vlan 1。

② 默认情况下这两个接口也是没有IP地址的。

③ 首先建立链路聚合，由于是三层模式，给链路聚合分配IP地址。

(1) configure terminal命令进入全局配置模式。

(2) interface port-channel 1命令进入链路聚合通道，1为第一条通道。

(3) no switchport命令把接口转换成三层可路由接口。

(4) ip address命令给链路聚合通道分配IP地址。

(5) no shutdown启用链路聚合通道。

(6) end结束并保存。

④ 然后链路聚合需要绑定的端口，这里是23和24，加入到新建的链路聚合端口通道中。

(1) configure terminal命令进入全局配置模式。

(2) interface range gigabitethernet 1/0/23-24指定交换机23和24接口。

(3) no switchport命令把接口转换成三层可路由接口。

(4) channel-protocol lacp由于飞塔防火墙只支持802.3ad，因此这里将接口的通道协议设置为LACP。

(5) channel-group 1 mode active我们已经知道，LACP有四种模式（ON、OFF、Active、Passive），这里设置模式为Active（主动）。

(6) no shutdown启用接口。

(7) end结束并保存。

⑤ 交换机和防火墙对应的聚合接口接好网线，稍等一会可以看接口的灯都正常。最后我们可以用命令show etherchannel summary查看链路聚合的状态，我们看到端口通道Po1的状态是RU，表示正在三层使用。说明链路聚合配置成功。

⑥ 交换机上Ping防火墙的地址，能够Ping通，说明聚合接口起作用了。

⑦ 回到飞塔防火墙，可以看到汇聚口的状态显示绿色向上箭头，说明接口启用了。

思科三层交换机其它设置

虽然链路聚合接口已经设置好了，但是要用起来还要配置VLAN和路由，这里举个最常用的示例。

① 新建立一个VLAN，给VLAN建立IP地址，并将11-16号接口加入新建的VLAN。

(1) configure terminal命令进入全局配置模式。

(2) vlan 300新建一个ID为300的VLAN。

(3) name Sales把VLAN命令为Sales（销售）。

(4) exit返回上一层。

(5) interface vlan 300进入VLAN接口。

(6) ip address 172.16.3.1 255.255.255.0给VLAN接口设置IP地址。

(7) no shutdown启用接口。

(8) interface range gigabitEthernet 1/0/11-16指定11-16号接口。

(9) switchport mode access设置接口为交换模式。

(10) switchport access vlan 300将接口加入到VLAN中。

(11) end结束并保存。

② 给VLAN配置DHCP服务。

(1) configure terminal命令进入全局配置模式。

(2) ip dhcp pool Sales建立一个DHCP地址池。

(3) network 172.16.3.0 255.255.255.0地址的网段是172.16.3.0。

(4) default-router 172.16.3.1默认路由的地址是VLAN接口的IP地址。

(5) dns-server 202.96.134.133 114.114.114.114如果内网有DNS服务器，测DNS地址指向内网，这里指向上互联网的DNS地址。

(6) exit返回上一层。

(7) ip dhcp excluded-address 172.16.3.1 172.16.3.10在这里设置DHCP保护地址，1-10不会被DHCP分配。

(8) end结束并保存。

③ 最后要配置VLAN的路由，可以通过链路聚合接口出去。

(1) configure terminal命令进入全局配置模式。

(2) ip routing命令允行所有VLAN之间互相访问。

(3) ip route 0.0.0.0 0.0.0.0 172.18.1.1命令把所有的访问路由到交换机链路聚合接口的下一跳，也就是防火墙的汇聚接口地址。

(4) end结束并保存。

防火墙设置

将电脑接入11口，可以自动获取IP地址了，Ping交换机上的链路聚合口IP，也可以Ping通，说明路由起作用了，但是，Ping防火墙地址不通。这是为什么呢？

① 这是因为防火墙上没有返程路由，在防火墙上建立一条静态路由，目地地址是VLAN300的IP地址段，网关是防火墙汇聚口的下一跳，也就是交换机的链路聚合口IP地址。OK，接入交换机11口的电脑可以Ping通防火墙的地址了。

② 再给防火墙汇聚口建立一条上网策略。

③ 交换机的电脑可以上网了。在防火墙上也可以查看到有流量信息。

④ 在防火墙的仪表板上分别加入15、16接口，可以看到这两个接口同时都是流量通过。说明链路聚合是起作用的。经过测试，拨掉任一根网线，除了丢几个包外，数据访问都会自动连接上。

飞塔技术-老梅子 QQ：57389522

阅读全文

0 0