Configuración de BFD para las interfaces Eth-trunk

44 0 0 0

Hola a todos. Hoy me gustaría compartir un caso con ustedes. La causa de la falla es que la interfaz principal de Eth-Trunk no se agrega a la zona de seguridad. Como resultado, la sesión BFD no se puede establecer en la interfaz de miembro Eth-Trunk habilitada con BFD.


Antecedentes del problema

firwall

El firewall y el switch están interconectados a través de múltiples puertos y se configura Eth-trunk. Para detectar rápidamente fallas en los puertos y mejorar la confiabilidad, es necesario configurar el BFD para las interfaces de miembros de Eth-trunk. Una vez completada la configuración, las sesiones de BFD están inactivas. La configuración es la siguiente:


Firewall

#

bfd toscg1 bind peer-ip default-ip interface GigabitEthernet2/1/0                                

discriminator local 1000         
discriminator remote 1001

min-tx-interval 100  

min-rx-interval 100     

p***ess-interface-status

commit 

#

 

Switch:

#

bfd tofw1 bind peer-ip default-ip interface XGigabitEthernet1/1/0/22                                                          

discriminator local 1001                                                                                            
discriminator remote 1000   

min-tx-interval 100

min-rx-interval 100 

commit                                                                                                                            
#


180309q1lyx***zx3tygdb.png?switch 1.png


Localización


1. Verifique y confirme que las configuraciones son correctas. Consulte la documentación del producto correspondiente, se encuentra que no se requiere licencia para esta función.

2. Verifique la sesión BFD en el firewall. Se encuentra que el firewall envía paquetes pero no recibe los paquetes BFD correspondientes.


firwall

3. Compruebe la sesión BFD en el switch. Se descubre que los paquetes se envían y reciben en el switch, lo que indica que el firewall no recibe los paquetes enviados por el switch.

firwall

4. Debido a que otros servicios son normales, se excluye el impacto del enlace intermedio en la transmisión de paquetes.


5. Consulte la documentación del producto nuevamente. Se encuentra que la interfaz principal Eth-Trunk necesita agregarse a la zona de seguridad del dispositivo cuando BFD está configurado para detectar el estado del enlace de la interfaz del miembro troncal. En este escenario, todos los servicios se transportan en la subinterfaz Eth-Trunk. Por lo tanto, la interfaz principal con configuración vacía no se agrega a la zona de seguridad. Por lo tanto, los paquetes BFD recibidos se descartan y la sesión BFD no se puede negociar.


Análisis del problema


En general, los paquetes BFD usan la dirección IP de multidifusión predeterminada como la dirección de destino. Cuando BFD se configura para detectar el estado del enlace de las interfaces de miembros de la troncal Eth, los paquetes deben reenviarse a través de la interfaz de la troncal Eth. Por lo tanto, cuando la interfaz principal de eth-trunk no se agrega a la zona de seguridad, los paquetes BFD se rechazan debido a políticas de seguridad. Por lo tanto, al configurar BFD para detectar el estado del enlace de una interfaz de miembro de eth-trunk, la interfaz principal debe agregarse a la zona de seguridad del firewall, incluso si no transporta tráfico de servicio.


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión