【简介】在很多实际应用环境中,因为接口的速率问题,数据访问量大的时候会出现瓶颈。像飞塔防火墙大部分是千兆接口,有没有在不增加投入(换万网兆纤口)的情况下,解决这个问题呢?
网络拓扑
在很多企业的网络拓扑中,通常会的把服务器接入核心三层交换机之后,这样的一个好处是可以保证内网访问速度够快,但是基于安全角度的考虑,建议服务器直接接入防火墙,因为防火墙可以将内网与服务器分开,限制指定的内网用户访问服务器,并给服务器单独的保护。
有人会担心因为接口的速率(防火墙内网接口通常为千兆)会造成访问服务器出现瓶颈,解决的办法很简单,那就是防火墙和交换机都使用汇聚口连接。
链路聚合
链路聚合(Link Aggregation),是指将多个物理端口捆绑在一起,成为一个逻辑端口,同时通过几个端口进行链路负载均衡,避免链路出现拥塞现象,也可以防止由于单条链路转发速率过低而出现的丢帧的现象,在网络建设不增加更多成本的前提下,即实现了网络的高速性,也保证了链路的冗余性,这种方法比较经济,实现也相对容易。
现在主要的链路聚合技术的标准:CISCO的端口聚合协议(Port Aggregation Protocol ,PAGP)和IEEE802.3ad的链路汇聚控制协议(Link Aggregation Control Protocol ,LACP),其中PAGP只支持在CISCO公司的产品上,而大部分厂家均支持LACP。
飞塔防火墙支持802.3ad聚合,也就是LACP。
LACP 即Link Aggregation Control Protocol,链路汇聚控制协议,是一种实现链路动态汇聚的协议,使用LACPDU与对端交换信息。
LACP模式:
ON(开启):强制端口形成EtherChannel,如果希望EtherChannel能正确工作,那么链路的另一侧也必须处于ON模式。
OFF(关闭):使端口不能形成EtherChannel。这种模式下端口不会形成EtherChannel。
Active(主动):使端口进入主动协商状态,被配置的端口主动发送LACP数据名以发起能形成EtherChannel的协商。一般推荐使用这种模式。
Passive(被动):使端口进入被动协商状态,如果能从对端接收到LACP数据包,那么就形成EtherChannel。这种模式不会主动发起EtherChannel协商。这种模式是默认的模式。
在LACP下,如果进行链路聚合的配置,需要加入通道组的交换机端口成员必须具备以下相同的属性。
端口均为全双工模式
端口速率相同
端口类型必须相同,比如同为以太网口或同为光纤口
端口同为Access端口并且同属于同一个VLAN,或者同为Trunk端口
防火墙链路聚合设置
思科交换机最多支持8个端口来形成EtherChannel,这些端口不必是连续分布的,也不必位于相同的模块中。但是在实际应用中我们一般只绑定二条线路,现在我们以飞塔防火墙FortiGate100D为例,在防火墙上配置链路聚合。
① 我们知道,配置链路聚合最少需要两个独立的接口,但是FortiGate 100D默认所有的内网接口都是硬交换口,因此需要先将他们打散,由于默认情况下内网口已经有2个关联,因此需要先删除这两个关联,鼠标占击硬件交换口右边的关联数。
② 弹出窗口选择关联的策略,点击删除,也同样删除关联的DHCP服务。
③ 回到接口设置界面,可以lan口的关联数已经为0,选择lan口,点击删除,就可以将硬交换口打散了。
④ 现可以看到每个内网接口都是独立的了。选择菜单【新建】-【接口】。
⑤ 接口的类型选择802.3ad聚合,这里也只绑定两个接口,分别是15、16口,并给接口设置一个IP地址,以便三层交换机通过IP地址可以进行访问。
⑥ 这样防火墙上的链路聚合就配置好了,但是需要注意的是,如果对方没有配置链路聚合,就算防火墙和交换机把线都接好了,汇聚接口的状态都是Down的。
思科三层交换机链路聚合设置
这里我们以Cisco Catalyst 3750-E 三层路由器为例。
① 初始状态下,交换机的23、24口默认是在Vlan 1。
② 默认情况下这两个接口也是没有IP地址的。
③ 首先建立链路聚合,由于是三层模式,给链路聚合分配IP地址。
(1) configure terminal命令进入全局配置模式。
(2) interface port-channel 1命令进入链路聚合通道,1为第一条通道。
(3) no switchport命令把接口转换成三层可路由接口。
(4) ip address命令给链路聚合通道分配IP地址。
(5) no shutdown启用链路聚合通道。
(6) end结束并保存。
④ 然后链路聚合需要绑定的端口,这里是23和24,加入到新建的链路聚合端口通道中。
(1) configure terminal命令进入全局配置模式。
(2) interface range gigabitethernet 1/0/23-24指定交换机23和24接口。
(3) no switchport命令把接口转换成三层可路由接口。
(4) channel-protocol lacp由于飞塔防火墙只支持802.3ad,因此这里将接口的通道协议设置为LACP。
(5) channel-group 1 mode active我们已经知道,LACP有四种模式(ON、OFF、Active、Passive),这里设置模式为Active(主动)。
(6) no shutdown启用接口。
(7) end结束并保存。
⑤ 交换机和防火墙对应的聚合接口接好网线,稍等一会可以看接口的灯都正常。最后我们可以用命令show etherchannel summary查看链路聚合的状态,我们看到端口通道Po1的状态是RU,表示正在三层使用。说明链路聚合配置成功。
⑥ 交换机上Ping防火墙的地址,能够Ping通,说明聚合接口起作用了。
⑦ 回到飞塔防火墙,可以看到汇聚口的状态显示绿色向上箭头,说明接口启用了。
思科三层交换机其它设置
虽然链路聚合接口已经设置好了,但是要用起来还要配置VLAN和路由,这里举个最常用的示例。
① 新建立一个VLAN,给VLAN建立IP地址,并将11-16号接口加入新建的VLAN。
(1) configure terminal命令进入全局配置模式。
(2) vlan 300新建一个ID为300的VLAN。
(3) name Sales把VLAN命令为Sales(销售)。
(4) exit返回上一层。
(5) interface vlan 300进入VLAN接口。
(6) ip address 172.16.3.1 255.255.255.0给VLAN接口设置IP地址。
(7) no shutdown启用接口。
(8) interface range gigabitEthernet 1/0/11-16指定11-16号接口。
(9) switchport mode access设置接口为交换模式。
(10) switchport access vlan 300将接口加入到VLAN中。
(11) end结束并保存。
② 给VLAN配置DHCP服务。
(1) configure terminal命令进入全局配置模式。
(2) ip dhcp pool Sales建立一个DHCP地址池。
(3) network 172.16.3.0 255.255.255.0地址的网段是172.16.3.0。
(4) default-router 172.16.3.1默认路由的地址是VLAN接口的IP地址。
(5) dns-server 202.96.134.133 114.114.114.114如果内网有DNS服务器,测DNS地址指向内网,这里指向上互联网的DNS地址。
(6) exit返回上一层。
(7) ip dhcp excluded-address 172.16.3.1 172.16.3.10在这里设置DHCP保护地址,1-10不会被DHCP分配。
(8) end结束并保存。
③ 最后要配置VLAN的路由,可以通过链路聚合接口出去。
(1) configure terminal命令进入全局配置模式。
(2) ip routing命令允行所有VLAN之间互相访问。
(3) ip route 0.0.0.0 0.0.0.0 172.18.1.1命令把所有的访问路由到交换机链路聚合接口的下一跳,也就是防火墙的汇聚接口地址。
(4) end结束并保存。
防火墙设置
将电脑接入11口,可以自动获取IP地址了,Ping交换机上的链路聚合口IP,也可以Ping通,说明路由起作用了,但是,Ping防火墙地址不通。这是为什么呢?
① 这是因为防火墙上没有返程路由,在防火墙上建立一条静态路由,目地地址是VLAN300的IP地址段,网关是防火墙汇聚口的下一跳,也就是交换机的链路聚合口IP地址。OK,接入交换机11口的电脑可以Ping通防火墙的地址了。
② 再给防火墙汇聚口建立一条上网策略。
③ 交换机的电脑可以上网了。在防火墙上也可以查看到有流量信息。
④ 在防火墙的仪表板上分别加入15、16接口,可以看到这两个接口同时都是流量通过。说明链路聚合是起作用的。经过测试,拨掉任一根网线,除了丢几个包外,数据访问都会自动连接上。
飞塔技术-老梅子 QQ:57389522