CLI 书籍 1:Cisco Secure Firewall ASA 系列常规操作 CLI 配置指南,9.19 版

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

当地语言翻译版本说明

思科可能会在某些地方提供本内容的当地语言翻译版本。请注意,翻译版本仅供参考,如有任何不一致之处,以本内容的英文版本为准。

Book Contents
Find Matches in This Book
语言选择
Download Options

Book Title

CLI 书籍 1:Cisco Secure Firewall ASA 系列常规操作 CLI 配置指南,9.19 版

Chapter Title

EtherChannel 接口

Results

已更新:
2024年4月30日

Chapter: EtherChannel 接口

EtherChannel 接口

本章介绍如何配置 EtherChannel 接口。


在多情景模式下,请在系统执行空间中完成本节所述的所有任务。 要从情景更改到系统执行空间,请输入 changeto system 命令

有关具有特殊要求的 ASA 集群接口,请参阅为 Cisco Secure Firewall 3100部署 ASA 集群

对于平台模式下的 Firepower 2100Firepower 4100/9300 机箱,EtherChannel 接口是在 FXOS 操作系统中配置。有关详细信息,请参阅机箱的配置或快速入门指南。

关于 EtherChannels

本节介绍 EtherChannel 。

关于 EtherChannel

802.3ad EtherChannel 是逻辑接口(称为端口通道接口),该接口由一组单独的以太网链路(通道组)组成,以便可以提高单个网络的带宽。配置接口相关功能时,可以像使用物理接口一样来使用端口通道接口。

最多可以配置 48 个 Etherchannel,具体取决于型号支持的接口数量。

通道组接口

各信道组最多可以有 8 个活动接口,但 ISA 3000 除外,支持 16 个活动接口。对于仅支持 8 个主用接口的交换机,您最多可以将 16 个接口分配给一个通道组:但仅有 8 个接口可用作主用接口,其余接口在出现接口故障的情况下用作备用链路。

通道组中的所有接口都必须属于同一类型且具有相同速度。添加到通道组的第一个接口确定正确的类型和速度。

EtherChannel 汇聚通道中所有可用活动接口上的流量。系统根据源或目标 MAC 地址、IP 地址、TCP 端口号、UDP 端口号和 VLAN 编号使用专有散列算法来选择接口。

连接到其他设备上的 EtherChannel

ASAEtherChannel 连接到的设备还必须支持 802.3ad EtherChannel;例如,可以连接到 Catalyst 6500 交换机或 Cisco Nexus 7000。

如果交换机属于虚拟交换系统 (VSS) 或虚拟端口通道 (vPC) 的一部分,则可以将同一 EtherChannel 内的 ASA接口连接到 VSS/vPC 中的单独交换机。交换机接口是同一个 EtherChannel 端口通道接口的成员,因为两台单独的交换机的行为就像一台交换机一样。

图 1. 连接至 VSS/vPC

如果 ASA 设备处于透明防火墙模式下,并且将 ASA 设备置于两组 VSS/vPC 交换机之间,请确保在使用 EtherChannel 连接到 ASA 设备的所有交换机端口上禁用单向链路检测 (UDLD)。如果启用 UDLD,则交换机端口可能会接收来自另一个 VSS/vPC 对中的两台交换机的 UDLD 数据包。接收交换机会将接收接口置于关闭状态,原因是“UDLD 邻居不匹配”。

如果您在主用/备用故障转移部署中使用 ASA 设备,则需要在 VSS/vPC 中的交换机上创建单独的 EtherChannel,为每个 ASA 设备创建一个。在每个 ASA 设备上,单个 EtherChannel 连接至两台交换机。即使您可以将所有的交换机接口分组到连接两个 ASA 设备的一个 EtherChannel 中(在这种情况下,将不会建立 EtherChannel,因为 ASA 系统 ID 是单独的),但单个 EtherChannel 并不可取,因为您不希望将流量发送到备用 ASA 设备。

图 2. 主用/备用故障转移和 VSS/vPC

链路聚合控制协议

链路聚合控制协议 (LACP) 将在两个网络设备之间交换链路汇聚控制协议数据单元 (LACPDU),进而汇聚接口。

您可以将 EtherChannel 中的每个物理接口配置为:

  • Active - 发送和接收 LACP 更新。主用 EtherChannel 可以与主用或备用 EtherChannel 建立连接。除非您需要最大限度地减少 LACP 流量,否则应使用主用模式。

  • 被动 - 接收 LACP 更新。备用 EtherChannel 只能与主用 EtherChannel 建立连接。在硬件型号上不受支持。

  • 开启 - EtherChannel 始终开启,并且不使用 LACP。“开启”的 EtherChannel 只能与另一个“开启”的 EtherChannel 建立连接。

LACP 将协调自动添加和删除指向 EtherChannel 的链接,而无需用户干预。LACP 还会处理配置错误,并检查成员接口的两端是否连接到正确的通道组。如果接口发生故障且未检查连接和配置,“开启”模式将不能使用通道组中的备用接口。

负载均衡

ASA 设备通过对数据包的源 IP 地址和目标 IP 地址进行散列处理来将数据包分发给 EtherChannel 中的接口(此条件可配置)。在模数运算中,将得到的散列值除以主用链路数,得到的余数确定哪个接口拥有流量。hash_value mod active_links 结果为 0 的所有数据包都发往 EtherChannel 中的第一个接口,结果为 1 的发往第二个接口,结果为 2 的数据包发往第三个接口,依此类推。例如,如果您有 15 个主用链路,则模数运算的值为 0 到 14。如果有 6 个主用链路,则值为 0 到 5,依此类推。

对于集群中的跨网络 EtherChannel,会逐个 ASA进行负载均衡。例如,如果 8 个 ASA之间的跨网络 EtherChannel 中有 32 个主用接口,而 EtherChannel 中的每个 ASA又有 4 个接口,则仅会在 ASA上的 4 个接口之间进行负载均衡。

如果主用接口发生故障且未由备用接口替代,则流量会在剩余的链路之间重新均衡。该故障会在第 2 层的生成树和第 3 层的路由表中被屏蔽,因此故障转移对其他网络设备是透明的。

EtherChannel MAC 地址

属于通道组一部分的所有接口都共享同一 MAC 地址。此功能使 EtherChannel 对网络应用和用户透明,因为他们只看到一个逻辑连接;而不知道各个链路。

Firepower 和 Cisco Secure Firewall 硬件

端口通道接口使用内部接口 Internal-Data 0/1 的 MAC 地址。或者,您可以为端口通道接口手动配置 MAC 地址。在多情景模式下,您可以将唯一 MAC 地址自动分配给共享接口,包括一个 EtherChannel 端口接口。机箱上的所有 EtherChannel 接口都使用相同的 MAC 地址,因此请注意,例如,如果使用 SNMP 轮询,则多个接口将具有相同的 MAC 地址。


成员接口仅在重新启动后使用内部数据 0/1 MAC 地址。在重新启动之前,成员接口使用自己的 MAC 地址。如果在重新启动后添加新的成员接口,则必须再次重新启动以更新其 MAC 地址。

EtherChannel 的准则

桥接组

在路由模式下,不支持将 ASA-定义的 EtherChannel 接口作为桥接组成员。 Firepower 4100/9300 上的 Etherchannel 可以是网桥组成员。

故障转移

  • 如果要将 EtherChannel 接口用作 故障转移 链路,则必须在 故障转移 对中的两台设备上预配置要使用的接口;不能在主设备上配置该接口并期望它会复制到辅助设备,因为复制需要 故障转移链路本身

  • 如果要将 EtherChannel 接口用于状态链路,则无需特殊配置;可以照常从主设备复制配置。Firepower 4100/9300 机箱 的所有接口(包括 EtherChannel)均需在两台设备上进行预配置。

  • 可以使用 monitor-interface 命令监控 EtherChannel 余接口 以实现故障转移 。如果主用成员接口故障转移到备用接口,则此活动不会在监控设备级故障转移时导致 EtherChannel 接口出现故障。仅在所有物理接口都出现故障的情况下,EtherChannel 接口或 EtherChannel 接口才会出现故障(对于 EtherChannel 接口,可配置允许出现故障的成员接口数量)

  • 如果将 EtherChannel 接口用于故障转移或状态链路,然后防止无序数据包,则仅会使用 EtherChannel 中的一个接口。如果该接口发生故障,则会使用 EtherChannel 中的下一个接口。您不能在 EtherChannel 配置用作故障转移链路时对其进行修改。要修改配置,您需要暂时禁用故障转移,以防止在此期间发生故障转移

型号支持

  • 对于平台模式下的Firepower 2100、 Firepower 4100/9300、ASASMASA virtual能在 ASA 中添加 EtherChannel。Firepower 4100/9300 支持 EtherChannel,但必须在机箱上的 FXOS 中执行 EtherChannel 的所有硬件配置。

  • 无法在 Etherchannel 中使用 Firepower 1010 交换机端口或 VLAN 接口。

集群

  • 如果要将 EtherChannel 接口用作集群控制链路,您必须在该集群中的所有设备上预配置要使用的接口;不能在主设备上配置该接口并期望它会复制到成员设备,因为复制 需要使用集群控制链路本身。

  • 要配置跨网络 EtherChannel 或单个集群接口,请参阅有关集群的章节。

《通用 EtherChannel 准则》

  • 最多可以配置 48 个 Etherchannel,具体取决于型号可用的接口数量。

  • 各信道组最多可以有 8 个活动接口,但 ISA 3000 除外,支持 16 个活动接口。对于仅支持 8 个主用接口的交换机,您最多可以将 16 个接口分配给一个通道组:但仅有 8 个接口可用作主用接口,其余接口在出现接口故障的情况下用作备用链路。

  • 通道组中的所有接口都必须具有相同的介质类型和速度能力,并且必须设置为相同的速度和复用模式。介质类型可以是 RJ-45 或 SFP;可以混合使用不同类型(铜缆和光纤)的 SFP。不能通过在较大容量的接口上将速度设置为较低来混合接口容量(例如 1GB 和 10GB 接口),但 Cisco Secure Firewall 3100除外,它支持不同的接口容量,只要速度设置为检测 SFP;在此情况下会使用较低的常见速度

  • ASAEtherChannel 连接到的设备还必须支持 802.3ad EtherChannel。

  • ASA 设备不支持带有 VLAN 标记的 LACPDU。如果使用 Cisco IOS vlan dot1Q tag native 命令在相邻交换机上启用本地 VLAN 标记,则 ASA 设备将会丢弃已标记的 LACPDU。请务必禁用相邻交换机上的本地 VLAN 标记。在多情景模式下,在数据包捕获中不包含这些消息,因此您无法轻易对问题进行诊断。

  • 设备不支持 LACP 快速速率,但 ISA 3000 除外; LACP 始终使用正常速率。此设置不可配置。请注意,在 FXOS 中配置 EtherChannel 的 Firepower 4100/9300默认将 LACP 速率设置为快速;在这些平台上,速率是可配置的。

  • 在低于 15.1(1)S2 的 Cisco IOS 软件版本中, ASA 不支持将 EtherChannel 连接到交换机堆叠。在默认交换机设置下,如果跨堆叠连接 ASA EtherChannel,则当主要交换机关闭时,连接到其余交换机的 EtherChannel 不会正常工作。要提高兼容性,请将 stack-mac persistent timer 命令设置为足够大的值,以将重载时间计算在内;例如,可将其设置为 8 分钟,或设置为 0 以表示无穷大。或者,您可以升级到更加稳定的交换机软件版本,例如 15.1(1)S2。

  • 所有 ASA 配置均引用 EtherChannel 接口,而不是成员物理接口。

EtherChannel 的默认设置

本节列出了接口的默认设置(如果没有出厂默认配置)。

接口的默认状态

接口的默认状态取决于类型和情景模式。

在多情景模式下,默认启用所有已分配的接口,而不考虑接口在系统执行空间中的状态。但是,要使流量通过该接口,还必须在系统执行空间中启用该接口。如果您在系统执行空间中关闭了一个接口,则该接口在所有共享它的情景中都会关闭。

在单模式下或在系统执行空间中,接口具有以下默认状态:

  • 物理接口 - 已禁用。

  • EtherChannel 端口通道接口 - 已启用。但是,要使流量通过 EtherChannel 接口,还必须启用通道组物理接口。

配置 EtherChannel

本节介绍如何创建 EtherChannel 端口通道接口,如何向 EtherChannel 分配接口,以及如何自定义 EtherChannel。

将接口添加到 EtherChannel

本节介绍如何创建 EtherChannel 端口通道接口并向 EtherChannel 分配接口。默认情况下,端口通道接口已启用。

开始之前

  • 最多可以配置 48 个 Etherchannel,具体取决于型号具有的接口数量。

  • 各信道组最多可以有 8 个活动接口,但 ISA 3000 除外,支持 16 个活动接口。对于仅支持 8 个主用接口的交换机,您最多可以将 16 个接口分配给一个通道组:但仅有 8 个接口可用作主用接口,其余接口在出现接口故障的情况下用作备用链路。

  • 要为集群配置跨网络 EtherChannel,请参阅有关集群的章节而不是此程序。

  • 通道组中的所有接口都必须具有相同的介质类型和容量,并且必须设置为相同的速度和双工模式。介质类型可以是 RJ-45 或 SFP;可以混合使用不同类型(铜缆和光纤)的 SFP。不能通过在较大容量的接口上将速度设置为较低来混合接口容量(例如 1GB 和 10GB 接口),但 Cisco Secure Firewall 3100除外,它支持不同的接口容量,只要速度设置为检测 SFP;在此情况下会使用较低的常见速度。 。

  • 如果已为物理接口配置了名称,则不能将该物理接口添加到通道组。您必须先中使用 no nameif 命令删除该名称。

  • 对于多情景模式,请在系统执行空间中完成本程序。要从情景切换到系统执行空间,请输入 changeto system 命令


小心

如果使用的是配置中已有的物理接口,则删除名称将会清除引用该接口的任何配置。

过程

步骤 1

指定要添加到通道组的接口:

interface physical_interface

示例:


ciscoasa(config)# interface gigabitethernet 0/0

physical_interface ID 包含类型、插槽和端口号,格式为 type[slot/] port。通道组中的第一个接口决定了该组中所有其他接口的类型和速度。

在透明模式下,如果使用多个管理接口创建通道组,则可以将 EtherChannel 用作管理专属接口。

步骤 2

将此物理接口分配到 EtherChannel:

channel-group channel_id mode {active | passive | on}

示例:


ciscoasa(config-if)# channel-group 1 mode active

channel_id 是一个介于 1 和 48 之间的整数(1~8 用于 Firepower 1010)。如果此通道 ID 的端口通道接口尚未存在于配置中,则将添加一个端口通道接口:

interface port-channel channel_id

我们建议使用 active 模式。

步骤 3

(可选;仅 ISA 3000 型号)为通道组中的物理接口设置优先级:

lacp port-priority 编号

示例:


ciscoasa(config-if)# lacp port-priority 12345

优先级 number 是介于 1 和 65535 之间的整数。默认值为 32768。数字越大,优先级越低。如果分配的接口多于可用的接口,则 ASA 将使用此设置决定哪些接口是主用接口,哪些是备用接口。如果所有接口的端口优先级设置都相同,则优先级由接口 ID(插槽/端口)确定。最低的接口 ID 具有最高优先级。例如,千兆以太网 0/0 的优先级高于千兆以太网 0/1 的优先级。

如果要将某个接口优先确定为主用接口(即使它具有较高的接口 ID 也如此),请将此命令设置为具有较低的值。例如,要在千兆以太网 0/7 之前将千兆以太网 1/3 设为主用,请在 1/3 接口上将 lacp port-priority 值设置为 12345;在 0/7 接口上设置为默认值 32768。

如果 EtherChannel 另一端的设备端口存在优先级冲突,则会使用系统优先级来确定使用哪些端口优先级。请参阅 lacp system-priority 命令。

步骤 4

(可选)将端口通道接口的以太网属性设置为覆盖各个接口上设置的属性。

interface port-channel channel_id

有关以太网命令,请参阅启用物理接口和配置以太网参数。此方法提供了设置这些参数的快捷方式,因为通道组中所有接口的这些参数都必须匹配。

步骤 5

对于要添加到通道组中的每个接口,请重复步骤 1 至步骤 3。

通道组中的每个接口都必须具有相同的类型和速度。不支持半双工。如果添加不匹配的接口,则该接口将处于暂停状态。

自定义 EtherChannel(ISA 3000)

本节介绍如何设置 EtherChannel 中的最大接口数,用于使 EtherChannel 成为主用接口所需的最小操作接口数、负载均衡算法以及其他可选参数。这些参数仅适用于 ISA 3000。

过程

步骤 1

指定端口通道接口:

interface port-channel channel_id

示例:


ciscoasa(config)# interface port-channel 1

在将接口添加到通道组时,将自动创建此接口。如果尚未添加接口,则此命令会创建端口通道接口。

您需要先向端口通道接口添加至少一个成员接口,然后才能为其配置逻辑参数(例如名称)。

步骤 2

指定通道组中允许的最大主用接口数:

lacp max-bundle 编号

示例:


ciscoasa(config-if)# lacp max-bundle 6

number 介于 1 和 16 之间。默认值为 16。如果交换机不支持 16 个主用接口,请务必将此命令设置为 8 或更小的值。

步骤 3

指定使端口通道接口变成主用接口所需的最小主用接口数:

port-channel min-bundle 编号

示例:


ciscoasa(config-if)# port-channel min-bundle 2

number 介于 1 和 16 之间。默认值为 1。如果通道组中的主用接口数小于此值,则端口通道接口将会发生故障,并可能会触发设备级故障转移。

步骤 4

配置负载均衡算法:

port-channel load-balance {dst-ip | dst-ip-port | dst-mac | dst-port | src-dst-ip | src-dst-ip-port | src-dst-mac | src-dst-port | src-ip | src-ip-port | src-mac | src-port | vlan-dst-ip | vlan-dst-ip-port | vlan-only | vlan-src-dst-ip | vlan-src-dst-ip-port | vlan-src-ip | vlan-src-ip-port}

示例:


ciscoasa(config-if)# port-channel load-balance src-dst-mac

默认情况下,ASA 根据数据包的源 IP 地址和目标 IP 地址 (src-dst-ip) 来均衡接口上的数据包负载。要更改数据包分类所依据的属性,请使用此命令。例如,如果流量严重偏向于相同的源 IP 地址和目标 IP 地址,则分配给 EtherChannel 中的接口的流量将失去平衡。更改为其他算法可使流量分布更均匀。

步骤 5

设置 LACP 系统优先级:

lacp system-priority 编号

示例:


ciscoasa(config)# lacp system-priority 12345

number 介于 1 和 65535 之间。默认值为 32768。数字越大,优先级越低。对于 ASA 而言,此命令是全局命令。

如果 EtherChannel 另一端的设备端口存在优先级冲突,则会使用系统优先级来确定使用哪些端口优先级。有关 EtherChannel 内的接口优先级,请参阅 lacp port-priority 命令。

监控 EtherChannels 接口

请参阅以下命令:


对于 Firepower 1000、2100、Cisco Secure Firewall 3100 Firepower 4100/9300某些统计信息未使用 ASA 命令来显示。您必须使用 FXOS 命令查看更详细的接口统计信息。

  • /eth-uplink/fabric# show interface

  • /eth-uplink/fabric# show port-channel

  • /eth-uplink/fabric/interface# show stats

对于平台模式下的 Firepower 2100,另请参阅以下 FXOS connect local-mgmt 命令:

  • (local-mgmt)# show portmanager counters

  • (local-mgmt)# show lacp

  • (local-mgmt)# show portchannel

有关详细信息,请参阅 FXOS 故障排除指南

  • show interface

    显示接口统计信息。

  • show interface ip brief

    显示接口的 IP 地址和状态。

  • (ISA 3000 only) show lacp {[channel_group_number] {counters | internal | neighbor} | sys-id}

    对于 EtherChannel,显示 LACP 信息,例如流量统计信息、系统标识符和邻居详细信息。

  • (ISA 3000 only) show port-channel [channel_group_number] [brief | detail | port | protocol | summary]

    对于 EtherChannel,以详细的单行摘要形式显示 EtherChannel 信息。此命令还显示端口和端口通道信息。

  • (ISA 3000 only) show port-channel channel_group_number load-balance [hash-result {ip | ipv6 | l4port | mac | mixed | vlan-only} parameters]

    对于 EtherChannel,显示端口通道负载均衡信息以及为给定的一组参数选择的散列结果和成员接口。

EtherChannel 示例

以下示例将三个接口配置为 EtherChannel 的一部分。此示例还将系统优先级设置为较高的优先级,并在 EtherChannel 分配有超过 8 个接口的情况下将千兆以太网 0/2 的优先级设置为高于其他接口。 


lacp system-priority 1234
interface GigabitEthernet0/0
  channel-group 1 mode active
interface GigabitEthernet0/1
  channel-group 1 mode active
interface GigabitEthernet0/2
  lacp port-priority 1234
  channel-group 1 mode passive
interface Port-channel1
  lacp max-bundle 4
  port-channel min-bundle 2
  port-channel load-balance dst-ip

EtherChannels历史记录

表 1. EtherChannels历史记录

功能名称

版本

功能信息

EtherChannel 支持

8.4(1)

您可以为八个主用接口各配置多达 48 个 802.3ad EtherChannel。

引入了以下命令:channel-grouplacp port-priorityinterface port-channellacp max-bundleport-channel min-bundleport-channel load-balancelacp system-priorityclear lacp countersshow lacpshow port-channel

 

ASA 5505 不支持 EtherChannel。

一个 EtherChannel 中支持 16 个主用链路

9.2(1)

现在,一个 EtherChannel 中最多可以配置 16 个主用链路。以前,可以有 8 个主用链路和 8 个备用链路。确保交换机可以支持 16 个主用链路(例如,可使用带有 F2 系列 10 千兆以太网模块的思科 Nexus 7000)。

 

如果从早期 ASA 版本进行升级,则为了实现兼容,可将最大主用接口数设置为 8lacp max-bundle 命令)

修改了以下命令:lacp max-bundleport-channel min-bundle

此文档是否有帮助?

Feedback反馈

联系我们