【接口篇 / Lan】(5.6) ❀ 05. 与思科交换机三层链路聚合连接 ❀ FortiGate 防火墙
【简介】在很多实际应用环境中,因为接口的速率问题,数据访问量大的时候会出现瓶颈。像飞塔防火墙大部分是千兆接口,有没有在不增加投入(换万网兆纤口)的情况下,解决这个问题呢?
网络拓扑
在很多企业的网络拓扑中,通常会的把服务器接入核心三层交换机之后,这样的一个好处是可以保证内网访问速度够快,但是基于安全角度的考虑,建议服务器直接接入防火墙,因为防火墙可以将内网与服务器分开,限制指定的内网用户访问服务器,并给服务器单独的保护。
有人会担心因为接口的速率(防火墙内网接口通常为千兆)会造成访问服务器出现瓶颈,解决的办法很简单,那就是防火墙和交换机都使用汇聚口连接。
链路聚合
链路聚合(Link Aggregation),是指将多个物理端口捆绑在一起,成为一个逻辑端口,同时通过几个端口进行链路负载均衡,避免链路出现拥塞现象,也可以防止由于单条链路转发速率过低而出现的丢帧的现象,在网络建设不增加更多成本的前提下,即实现了网络的高速性,也保证了链路的冗余性,这种方法比较经济,实现也相对容易。
现在主要的链路聚合技术的标准:CISCO的端口聚合协议(Port Aggregation Protocol ,PAGP)和IEEE802.3ad的链路汇聚控制协议(Link Aggregation Control Protocol ,LACP),其中PAGP只支持在CISCO公司的产品上,而大部分厂家均支持LACP。
飞塔防火墙支持802.3ad聚合,也就是LACP。
LACP 即Link Aggregation Control Protocol,链路汇聚控制协议,是一种实现链路动态汇聚的协议,使用LACPDU与对端交换信息。
LACP模式:
ON(开启):强制端口形成EtherChannel,如果希望EtherChannel能正确工作,那么链路的另一侧也必须处于ON模式。
OFF(关闭):使端口不能形成EtherChannel。这种模式下端口不会形成EtherChannel。
Active(主动):使端口进入主动协商状态,被配置的端口主动发送LACP数据名以发起能形成EtherChannel的协商。一般推荐使用这种模式。
Passive(被动):使端口进入被动协商状态,如果能从对端接收到LACP数据包,那么就形成EtherChannel。这种模式不会主动发起EtherChannel协商。这种模式是默认的模式。
在LACP下,如果进行链路聚合的配置,需要加入通道组的交换机端口成员必须具备以下相同的属性。
端口均为全双工模式
端口速率相同
端口类型必须相同,比如同为以太网口或同为光纤口
端口同为Access端口并且同属于同一个VLAN,或者同为Trunk端口
防火墙链路聚合设置
思科交换机最多支持8个端口来形成EtherChannel,这些端口不必是连续分布的,也不必位于相同的模块中。但是在实际应用中我们一般只绑定二条线路,现在我们以飞塔防火墙FortiGate100D为例,在防火墙上配置链路聚合。
① 我们知道,配置链路聚合最少需要两个独立的接口,但是FortiGate 100D默认所有的内网接口都是硬交换口,因此需要先将他们打散,由于默认情况下内网口已经有2个关联,因此需要先删除这两个关联,鼠标占击硬件交换口右边的关联数。
② 弹出窗口选择关联的策略,点击删除,也同样删除关联的DHCP服务。
③ 回到接口设置界面,可以lan口的关联数已经为0,选择lan口,点击删除,就可以将硬交换口打散了。
④ 现可以看到每个内网接口都是独立的了。选择菜单【新建】-【接口】。
⑤ 接口的类型选择802.3ad聚合,这里也只绑定两个接口,分别是15、16口,并给接口设置一个IP地址,以便三层交换机通过IP地址可以进行访问。
⑥ 这样防火墙上的链路聚合就配置好了,但是需要注意的是,如果对方没有配置链路聚合,就算防火墙和交换机把线都接好了,汇聚接口的状态都是Down的。
思科三层交换机链路聚合设置
这里我们以Cisco Catalyst 3750-E 三层路由器为例。
① 初始状态下,交换机的23、24口默认是在Vlan 1。
② 默认情况下这两个接口也是没有IP地址的。
③ 首先建立链路聚合,由于是三层模式,给链路聚合分配IP地址。
(1) configure terminal命令进入全局配置模式。
(2) interface port-channel 1命令进入链路聚合通道,1为第一条通道。
(3) no switchport命令把接口转换成三层可路由接口。
(4) ip address命令给链路聚合通道分配IP地址。
(5) no shutdown启用链路聚合通道。
(6) end结束并保存。
④ 然后链路聚合需要绑定的端口,这里是23和24,加入到新建的链路聚合端口通道中。
(1) configure terminal命令进入全局配置模式。
(2) interface range gigabitethernet 1/0/23-24指定交换机23和24接口。
(3) no switchport命令把接口转换成三层可路由接口。
(4) channel-protocol lacp由于飞塔防火墙只支持802.3ad,因此这里将接口的通道协议设置为LACP。
(5) channel-group 1 mode active我们已经知道,LACP有四种模式(ON、OFF、Active、Passive),这里设置模式为Active(主动)。
(6) no shutdown启用接口。
(7) end结束并保存。
⑤ 交换机和防火墙对应的聚合接口接好网线,稍等一会可以看接口的灯都正常。最后我们可以用命令show etherchannel summary查看链路聚合的状态,我们看到端口通道Po1的状态是RU,表示正在三层使用。说明链路聚合配置成功。
⑥ 交换机上Ping防火墙的地址,能够Ping通,说明聚合接口起作用了。
⑦ 回到飞塔防火墙,可以看到汇聚口的状态显示绿色向上箭头,说明接口启用了。
思科三层交换机其它设置
虽然链路聚合接口已经设置好了,但是要用起来还要配置VLAN和路由,这里举个最常用的示例。
① 新建立一个VLAN,给VLAN建立IP地址,并将11-16号接口加入新建的VLAN。
(1) configure terminal命令进入全局配置模式。
(2) vlan 300新建一个ID为300的VLAN。
(3) name Sales把VLAN命令为Sales(销售)。
(4) exit返回上一层。
(5) interface vlan 300进入VLAN接口。
(6) ip address 172.16.3.1 255.255.255.0给VLAN接口设置IP地址。
(7) no shutdown启用接口。
(8) interface range gigabitEthernet 1/0/11-16指定11-16号接口。
(9) switchport mode access设置接口为交换模式。
(10) switchport access vlan 300将接口加入到VLAN中。
(11) end结束并保存。
② 给VLAN配置DHCP服务。
(1) configure terminal命令进入全局配置模式。
(2) ip dhcp pool Sales建立一个DHCP地址池。
(3) network 172.16.3.0 255.255.255.0地址的网段是172.16.3.0。
(4) default-router 172.16.3.1默认路由的地址是VLAN接口的IP地址。
(5) dns-server 202.96.134.133 114.114.114.114如果内网有DNS服务器,测DNS地址指向内网,这里指向上互联网的DNS地址。
(6) exit返回上一层。
(7) ip dhcp excluded-address 172.16.3.1 172.16.3.10在这里设置DHCP保护地址,1-10不会被DHCP分配。
(8) end结束并保存。
③ 最后要配置VLAN的路由,可以通过链路聚合接口出去。
(1) configure terminal命令进入全局配置模式。
(2) ip routing命令允行所有VLAN之间互相访问。
(3) ip route 0.0.0.0 0.0.0.0 172.18.1.1命令把所有的访问路由到交换机链路聚合接口的下一跳,也就是防火墙的汇聚接口地址。
(4) end结束并保存。
防火墙设置
将电脑接入11口,可以自动获取IP地址了,Ping交换机上的链路聚合口IP,也可以Ping通,说明路由起作用了,但是,Ping防火墙地址不通。这是为什么呢?
① 这是因为防火墙上没有返程路由,在防火墙上建立一条静态路由,目地地址是VLAN300的IP地址段,网关是防火墙汇聚口的下一跳,也就是交换机的链路聚合口IP地址。OK,接入交换机11口的电脑可以Ping通防火墙的地址了。
② 再给防火墙汇聚口建立一条上网策略。
③ 交换机的电脑可以上网了。在防火墙上也可以查看到有流量信息。
④ 在防火墙的仪表板上分别加入15、16接口,可以看到这两个接口同时都是流量通过。说明链路聚合是起作用的。经过测试,拨掉任一根网线,除了丢几个包外,数据访问都会自动连接上。
飞塔技术-老梅子 QQ:57389522
【接口篇 / Lan】(5.6) ❀ 05. 与思科交换机三层链路聚合连接 ❀ FortiGate 防火墙相关推荐
- 与思科交换机三层链路聚合连接 ❀ 飞塔 (Fortinet) 防火墙
文章目录 网络拓扑 链路聚合 LACP模式: 防火墙链路聚合设置 思科三层交换机链路聚合设置 思科三层交换机其它设置 防火墙设置 网络拓扑 在很多企业的网络拓扑中,通常会的把服务器接入核心三层交换机之 ...
- 【接口篇 / Lan】(5.6) ❀ 03. 透明模式下的链路聚合连接 ❀ FortiGate 防火墙
[简介]我们已经知道,在透明模式下,防火墙的接口都是没有IP地址的,那么他们还可以建立链路聚合吗? 网络拓扑 在某些企业,由于内网比较复杂,新加入的防火墙不希望对内网进行任何改动,因此可以选项将防 ...
- 【接口篇 / Wan】(6.0) ❀ 02. 用 4G 做备用宽带 (下) ❀ FortiGate 防火墙
[简介]前面我们知道了可以用华为的mini WiFi接防火墙的USB口,可以实现4G宽带通过防火墙上网,那么能不能和已有宽带做主备呢?就是主宽带不能用了,自动走备宽带4G上网. 现有环境 这里假设有一 ...
- cisco链路聚合 不均衡_思科CISCO交换机间链路聚合端口聚合实现方法详解
本文讲述了思科CISCO交换机间链路聚合端口聚合实现方法.分享给大家供大家参考,具体如下: [CISCO] 交换机间链路聚合端口聚合 端口通道( port channel ) 是一种聚合多个物理接口 ...
- eNSP第二篇:Eth-trunk,链路聚合,常用命令,二层链路聚合和三层链路聚合
链路聚合,Eth-trunk,ip-trunk 链路聚合:顾名思义,就是将多条链路聚合成一条链路,这条链路的带宽等于所有有效链路的总和:属于可靠性技术. 主要作用是:提高带宽,增加可靠性 在eNSP中 ...
- 【接口篇 / Lan】(5.2) ❀ 04. 配置透明模式 ❀ FortiGate 防火墙
[简介]防火墙作为一实际存在的物理设备,其本身也起到路由的作用,所以在为用户安装防火墙时,就需要考虑如何改动其原有的网络拓扑结构或修改连接防火墙的路由表,以适应用户的实际需要,这样就增加了工作的复杂程 ...
- Cisco 思科交换机配置Telnet远程连接
思科交换机打开Telnet服务 交换机端配置: 1.Switch>enable 从用户模式进入特权模式 2.Switch#configure terminal 从特权模式进入全局配置模式 3.S ...
- 思科--dhcp,链路聚合
1.dhcp配置命令 dhcp自动获取IP地址 conf t ip dhcp pool v10 ?(找命令) network(网段) de(网关) dn(dns) lea(租期) 2.链路聚合的配置命 ...
- 【隧道篇 / IPsec】(5.2) ❀ 05. IPsec - 点对多星状拓扑 ❀ FortiGate 防火墙
[简介]IPSec VPN 即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为Internet Protocol Security,是由Internet Engineering T ...
最新文章
- Using Regular Expression to validate a Guid
- linux系统调用劫持隐藏进程,Linux2.6内核中劫持系统调用隐藏进程
- SSL/TLS 协议详解
- LVS(14)——DR模型实践、交换机
- 操作系统——实验壹——熟悉Linux基础命令及进程管理
- C#中,将16进制转换为有符号的10进制的方法(支持带0x标志,支持任意字符串)
- vuecli+axios的post请求传递参数异常
- c++builder Form重载WindowProc、WndProc 截获消息
- 细数阿里 25 个开源的前端项目
- 逻辑架构和物理架构在架构设计中的应用
- 凌晨起来肝的一篇 Java 学习路线,保证学弟学妹们大三大四的时候顺利找到实习 Offer
- 电脑被格式化后数据还能恢复吗【图文】
- Google将IP标记为中国,影响表现以及解决方案
- 单页双曲面 matlab,如何画双叶双曲面
- python 的math函数库
- java实现Selenium自动化测试web
- Shader学习七,UnityCG.cginc
- GBase 8s 基本语法
- 使用STWI101WT-01串口屏便携式监护仪
- word如何选择图片粘贴