关于 EtherChannels 和冗余接口
本节介绍 EtherChannel 接口和。
关于冗余接口(仅限 ASA 平台)
逻辑冗余接口包括一对物理接口:主用接口和备用接口。当主用接口发生故障时,备用接口将变为主用接口并开始传递流量。您可以配置冗余接口来提高 ASA 的可靠性。此功能独立于设备级故障切换,但如果需要,您可以配置冗余接口以及设备级故障切换。
您最多可以配置 8 个冗余接口对。
冗余接口 MAC 地址
冗余接口使用您添加的第一个物理接口的 MAC 地址。如果在配置中更改成员接口的顺序,则 MAC 地址会发生更改,以与当前最先列出的接口的 MAC 地址相匹配。或者,您可以向冗余接口分配手动 MAC 地址,该地址的使用与成员接口 MAC 地址无关。如果主用接口故障切换到备用接口,则系统会维护同一 MAC 地址,以便流量不会中断。
关于 EtherChannel
802.3ad EtherChannel 是逻辑接口(称为端口通道接口),该接口由一组单独的以太网链路(通道组)组成,以便可以提高单个网络的带宽。配置接口相关功能时,可以像使用物理接口一样来使用端口通道接口。
最多可以配置 48 个 Etherchannel,具体取决于型号支持的接口数量。
通道组接口
各信道组最多可以有 16 个活动接口,但 Firepower 1000 或2100 除外,支持 8 个活动接口。对于仅支持 8 个主用接口的交换机,您最多可以将 16 个接口分配给一个通道组:但仅有 8 个接口可用作主用接口,其余接口在出现接口故障的情况下用作备用链路。对于 16 个主用接口,请确保交换机支持此功能(例如,带有 F2 系列 10 千兆以太网模块的思科 Nexus 7000 支持此功能)。
通道组中的所有接口都必须属于同一类型且具有相同速度。添加到通道组的第一个接口确定正确的类型和速度。
EtherChannel 汇聚通道中所有可用活动接口上的流量。系统根据源或目标 MAC 地址、IP 地址、TCP 端口号、UDP 端口号和 VLAN 编号使用专有散列算法来选择接口。
连接到其他设备上的 EtherChannel
ASAEtherChannel 连接到的设备还必须支持 802.3ad EtherChannel;例如,可以连接到 Catalyst 6500 交换机或 Cisco Nexus 7000。
如果交换机属于虚拟交换系统 (VSS) 或虚拟端口通道 (vPC) 的一部分,则可以将同一 EtherChannel 内的 ASA接口连接到 VSS/vPC 中的单独交换机。交换机接口是同一个 EtherChannel 端口通道接口的成员,因为两台单独的交换机的行为就像一台交换机一样。
注 |
如果 ASA 处于透明防火墙模式下,并且将 ASA 置于两组 VSS/vPC 交换机之间,请确保在使用 EtherChannel 连接到 ASA 的所有交换机端口上禁用单向链路检测 (UDLD)。如果启用 UDLD,则交换机端口可能会接收来自另一个 VSS/vPC 对中的两台交换机的 UDLD 数据包。接收交换机会将接收接口置于关闭状态,原因是“UDLD 邻居不匹配”。 |
如果您在主用/备用故障切换部署中使用 ASA,则需要在 VSS/vPC 中的交换机上创建单独的 EtherChannel,为每个 ASA 创建一个。在每个 ASA上,您可以将一个 EtherChannel 连接到两台交换机。即使您可以将所有的交换机接口分组到连接两个 ASA的一个 EtherChannel 中(在这种情况下,将不会建立 EtherChannel,因为 ASA 系统 ID 是单独的),但单个 EtherChannel 并不可取,因为您不希望将流量发送到备用 ASA。
链路汇聚控制协议
链路汇聚控制协议 (LACP) 将在两个网络设备之间交换链路汇聚控制协议数据单元 (LACPDU),进而汇聚接口。
您可以将 EtherChannel 中的每个物理接口配置为:
-
主动 - 发送和接收 LACP 更新。主用 EtherChannel 可以与主用或备用 EtherChannel 建立连接。除非您需要最大限度地减少 LACP 流量,否则应使用主用模式。
-
被动 - 接收 LACP 更新。备用 EtherChannel 只能与主用 EtherChannel 建立连接。在 Firepower 硬件型号上不受支持。
-
开启 - EtherChannel 始终开启,并且不使用 LACP。“开启”的 EtherChannel 只能与另一个“开启”的 EtherChannel 建立连接。
LACP 将协调自动添加和删除指向 EtherChannel 的链接,而无需用户干预。LACP 还会处理配置错误,并检查成员接口的两端是否连接到正确的通道组。如果接口发生故障且未检查连接和配置,“开启”模式将不能使用通道组中的备用接口。
负载均衡
ASA 通过对数据包的源 IP 地址和目标 IP 地址进行散列处理来将数据包分发给 EtherChannel 中的接口(此条件可配置)。在模数运算中,将得到的散列值除以主用链路数,得到的余数确定哪个接口拥有流量。hash_value mod active_links 结果为 0 的所有数据包都发往 EtherChannel 中的第一个接口,结果为 1 的发往第二个接口,结果为 2 的数据包发往第三个接口,依此类推。例如,如果您有 15 个主用链路,则模数运算的值为 0 到 14。如果有 6 个主用链路,则值为 0 到 5,依此类推。
对于集群中的跨网络 EtherChannel,会逐个 ASA进行负载均衡。例如,如果 8 个 ASA之间的跨网络 EtherChannel 中有 32 个主用接口,而 EtherChannel 中的每个 ASA又有 4 个接口,则仅会在 ASA上的 4 个接口之间进行负载均衡。
如果主用接口发生故障且未由备用接口替代,则流量会在剩余的链路之间重新均衡。该故障会在第 2 层的生成树和第 3 层的路由表中被屏蔽,因此故障切换对其他网络设备是透明的。
EtherChannel MAC 地址
属于通道组一部分的所有接口都共享同一 MAC 地址。此功能使 EtherChannel 对网络应用和用户透明,因为他们只看到一个逻辑连接;而不知道各个链路。
端口通道接口使用编号最小的通道组接口 MAC 地址作为端口通道 MAC 地址。或者,您可以为端口通道接口手动配置 MAC 地址。在多情景模式下,您可以将唯一 MAC 地址自动分配给共享接口,包括一个 EtherChannel 端口接口。在组通道接口成员资格发生更改的情况下,我们建议手动,或在多情景模式下自动为共享接口配置唯一 MAC 地址。如果删除提供端口通道 MAC 地址的接口,则端口通道 MAC 地址会更改为下一个编号最小的接口,从而导致流量中断。