Hola a todos. Hoy me gustaría compartir un caso con ustedes. La causa de la falla es que la interfaz principal de Eth-Trunk no se agrega a la zona de seguridad. Como resultado, la sesión BFD no se puede establecer en la interfaz de miembro Eth-Trunk habilitada con BFD.
Antecedentes del problema
El firewall y el switch están interconectados a través de múltiples puertos y se configura Eth-trunk. Para detectar rápidamente fallas en los puertos y mejorar la confiabilidad, es necesario configurar el BFD para las interfaces de miembros de Eth-trunk. Una vez completada la configuración, las sesiones de BFD están inactivas. La configuración es la siguiente:
Firewall:
#
bfd toscg1 bind peer-ip default-ip interface GigabitEthernet2/1/0
discriminator local 1000
discriminator remote 1001
min-tx-interval 100
min-rx-interval 100
p***ess-interface-status
commit
#
Switch:
#
bfd tofw1 bind peer-ip default-ip interface XGigabitEthernet1/1/0/22
discriminator local 1001
discriminator remote 1000
min-tx-interval 100
min-rx-interval 100
commit
#
Localización
1. Verifique y confirme que las configuraciones son correctas. Consulte la documentación del producto correspondiente, se encuentra que no se requiere licencia para esta función.
2. Verifique la sesión BFD en el firewall. Se encuentra que el firewall envía paquetes pero no recibe los paquetes BFD correspondientes.
3. Compruebe la sesión BFD en el switch. Se descubre que los paquetes se envían y reciben en el switch, lo que indica que el firewall no recibe los paquetes enviados por el switch.
4. Debido a que otros servicios son normales, se excluye el impacto del enlace intermedio en la transmisión de paquetes.
5. Consulte la documentación del producto nuevamente. Se encuentra que la interfaz principal Eth-Trunk necesita agregarse a la zona de seguridad del dispositivo cuando BFD está configurado para detectar el estado del enlace de la interfaz del miembro troncal. En este escenario, todos los servicios se transportan en la subinterfaz Eth-Trunk. Por lo tanto, la interfaz principal con configuración vacía no se agrega a la zona de seguridad. Por lo tanto, los paquetes BFD recibidos se descartan y la sesión BFD no se puede negociar.
Análisis del problema
En general, los paquetes BFD usan la dirección IP de multidifusión predeterminada como la dirección de destino. Cuando BFD se configura para detectar el estado del enlace de las interfaces de miembros de la troncal Eth, los paquetes deben reenviarse a través de la interfaz de la troncal Eth. Por lo tanto, cuando la interfaz principal de eth-trunk no se agrega a la zona de seguridad, los paquetes BFD se rechazan debido a políticas de seguridad. Por lo tanto, al configurar BFD para detectar el estado del enlace de una interfaz de miembro de eth-trunk, la interfaz principal debe agregarse a la zona de seguridad del firewall, incluso si no transporta tráfico de servicio.