Tronco LACP da Cisco para a Fortinet

1

Estou configurando um tronco Ethernet de 2 entre um switch Cisco e um firewall Fortinet 100E. Até agora, o abaixo está funcionando (eu posso ping do Cisco 192.168.1.2 e obter respostas do Fortinet 192.168.1.1):

interface Port-channel1
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
!
interface FastEthernet0/1
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
 channel-group 1 mode active
!
interface FastEthernet0/2
 switchport trunk native vlan 1
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 255
 switchport mode trunk
 channel-group 1 mode active
!
interface vlan255
 ip address 192.168.1.2 255.255.255.0

E, de acordo com o link acima, ele não é um tronco do LACP (embora funcione), e em vez disso, deve ser:

int range gi 1/0/1-2
no shut
switchport
channel-group 1 mode active
channel-protocol lacp
load-interval 30
logging event link-status
logging event bundle-status
!

Eu tenho algumas perguntas, por favor:

  1. Se a maneira que eu fiz não é verdade LACP, como é que está trabalhando com o Fortinet (que é definido para 802.3ad agregado)? Parece configuração channel-protocol lacp em minhas portas não faz diferença (é LACP por padrão)?

  2. Se eu quiser mover minha vlan nativa de 1 para 10, isso impediria que o tronco funcionasse (como eu não posso definir onde definir a vlan nativa em Fortinet, como eu entendo que a negociação LACP passa pela vlan nativa)?

  3. Eu vejo na Fortinet que existe a rede padrão na qual as VLANs são adicionadas - atualmente eu configurei isso para nenhum ip 0.0.0.0/0 , mas existe alguma maneira de remover isso completamente e apenas ter as VLANs? Ou deveria, em vez disso, colocar o IP de gerenciamento nessa rede padrão? Qual é a melhor prática?

    
por g18c 14.10.2017 / 14:06

2 respostas

4

If the way i have done is not true LACP, how come it is working with the Fortinet (which is set for 802.3ad Aggregate)? Seems setting channel-protocol lacp on my ports makes no difference (is it LACP by default)?

Usando channel-group 1 mode active você definiu o etherchannel para usar o LACP incondicionalmente.

Dependendo da plataforma, você tem palavras-chave adicionais para usar no lugar de active , mas, independentemente da plataforma, elas têm o mesmo significado nas plataformas da Cisco. Por exemplo:

  • on : configura estaticamente a porta como parte do etherchannel
  • active : use o LACP
  • passive : use o LACP somente se for conectado a um dispositivo com LACP
  • auto : use PAgP (agregação de link de propriedade da Cisco) se conectado a um dispositivo que inicia o PAgP (não inicia negociações em si)
  • desirable : use o PAgP e tente iniciar a negociação do PAgP

A razão pela qual o post da Fortinet pode estar correto é que a configuração a qual ele está se referindo apenas lista uma configuração de canal de porta, mas não lista nenhuma configuração de porta que inclua o comando channel-group .

O comando channel-protocol lacp só é relevante em uma plataforma que, por padrão, só faz PAgP e precisa ser alternado para o modo LACP (isso pode ser uma configuração de nível de porta ou nível de módulo). AFAIK, isso é configuração desnecessária no 3750G como listado no post.

If i want to move my native vlan from 1 to 10, would this stop the trunk from working (as i cant see where to define native vlan on Fortinet, as i understand LACP negotiation goes over native vlan)?

Eu recomendaria contra a alteração da VLAN nativa, já que fazer isso pode atingir vários bugs do Cisco LACP que resultam na etiquetagem das PDUs do LACP (que não deveriam estar de acordo com o padrão). Exemplos de tais bugs são CSCsh97848 ou CSCse14774 (pode precisar de login do Cisco TAC para visualizar).

Embora a maioria desses bugs tenha sido resolvida pela Cisco, você não menciona a versão da plataforma ou do código, portanto, essa é geralmente a abordagem mais segura ao conectar dispositivos Cisco a equipamentos de outros fornecedores.

I see on the Fortinet there is the default network upon which VLANs are added - i have currently set this to no ip 0.0.0.0/0 but is there any way to remove this entirely and just have the VLANs? Or should one instead put the management IP on this default network? What is best practice?

Sua captura de tela mostra a interface de agregação de links com as interfaces físicas que fazem parte dela, bem como as subinterfaces. Não há como remover a interface principal da configuração (ou seja, você precisa ter a interface principal para basear as subinterfaces) e não ter nenhum endereço IP atribuído não é um problema se você não estiver usando-a.

Quanto às práticas recomendadas, a melhor prática é manter a interface de gerenciamento em uma sub-rede / VLAN segura. Fora isso, é o que há de melhor em sua configuração de rede, então o que você tem pode estar bem.

No entanto, vou salientar que você está permitindo apenas uma VLAN no lado da Cisco da sua configuração, ou seja, VLAN 255. Portanto, é provável que, embora pareça que você tenha duas subinterfaces de VLAN configuradas na interface agregada de link, apenas uma eles são realmente utilizáveis.

    
por 17.10.2017 / 00:39
1

If the way i have done is not true LACP, how come it is working with the Fortinet (which is set for 802.3ad Aggregate)? Seems setting channel-protocol lacp on my ports makes no difference (is it LACP by default)?

O que você fez foi configurar um tronco. Um tronco lida com o envio e recebimento de pacotes para redes virtuais locais (VLANs). O LACP é sobre agregar links. Estas são tecnologias diferentes para finalidades diferentes. Você também configurou um Cisco Port Channel. Os canais de porta permitem que você tenha algumas das funcionalidades do LACP, mas os canais de porta não passam pacotes de protocolo. A conseqüência disso é que todos os links individuais estão no modo "on" do canal. link

If i want to move my native vlan from 1 to 10, would this stop the trunk from working (as i cant see where to define native vlan on Fortinet, as i understand LACP negotiation goes over native vlan)?

Uma VLAN nativa é o tráfego sem identificação de rede enviado para uma porta de tronco que será atribuída. Se a VLAN nativa na porta do tronco for VLAN 20 e o tráfego não marcado for enviado para a porta do tronco, ela será atribuída à VLAN 20. Para configurar uma VLAN nativa no firewall Fortinet, é necessário criar um tronco e colocar os membros da porta do switch isto. Em seguida, edite o tronco e configure uma VLAN nativa. link

I see on the Fortinet there is the default network upon which VLANs are added - i have currently set this to no ip 0.0.0.0/0 but is there any way to remove this entirely and just have the VLANs? Or should one instead put the management IP on this default network? What is best practice?

Quando você cria uma VLAN no firewall Fortinet, precisa selecionar em qual interface está criando a VLAN. Isso ocorre porque as tags de VLAN são atribuídas nas interfaces de porta. Você não pode remover a interface física (o que definiu com 0.0.0.0/0) e ainda ter a VLAN na interface física. Outros fornecedores lidam com isso de forma diferente, mas é assim que a Fortinet faz isso. link

Também sugiro dar uma olhada no link .

    
por 16.10.2017 / 20:21