De acuerdo

La sesión BFD para un Eth-trunk falla cuando se conecta a un firewall

Última respuesta my. 11, 2020 11:00:28 188 1 1 0 0

¡Hola a todos!


Hoy, me gustaría compartir un caso con usted sobre BFD para Eth-trunk. La causa de la falla es que la interfaz principal de Eth-Trunk no se agrega a la zona de seguridad. Como resultado, la sesión BFD no se puede establecer en la interfaz de miembro Eth-Trunk habilitada con BFD.


Imagen1


DESCRIPCION DEL PROBLEMA



El firewall y el conmutador están interconectados a través de múltiples puertos y se configura Eth-trunk. Para detectar rápidamente fallas en los puertos y mejorar la confiabilidad, se debe configurar el BFD para las interfaces de miembros de Eth-trunk. Una vez completada la configuración, las sesiones de BFD están inactivas. La configuración es la siguiente:


Firewall:

#

bfd toscg1 bind peer-ip default-ip interface GigabitEthernet2/1/0                                

discriminator local 1000         
discriminator remote 1001

min-tx-interval 100  

min-rx-interval 100     

process-interface-status

commit 

#

 

Switch:

#

bfd tofw1 bind peer-ip default-ip interface XGigabitEthernet1/1/0/22                                                          

discriminator local 1001                                                                                            
discriminator remote 1000   

min-tx-interval 100

min-rx-interval 100 

commit                                                                                                                            
#


Imagen2


PROCESO DE LOCALIZACIÓN


1. Verifique y confirme que las configuraciones son correctas. Consulte la documentación del producto correspondiente, se encuentra que no se requiere licencia para esta función.


2. Verifique la sesión BFD en el firewall. Se encuentra que el firewall envía paquetes pero no recibe los paquetes BFD correspondientes.


Imagen3


3. Compruebe la sesión BFD en el Switch. Se descubre que los paquetes se envían y reciben en el Switch, lo que indica que el firewall no recibe los paquetes enviados por el conmutador.


Imagen4


4. Debido a que otros servicios son normales, se excluye el impacto del enlace intermedio en la transmisión de paquetes.


5. Vuelva a consultar la documentación del producto. Se encuentra que la interfaz principal Eth-Trunk necesita agregarse a la zona de seguridad del dispositivo cuando BFD está configurado para detectar el estado del enlace de la interfaz del miembro troncal. En este escenario, todos los servicios se transportan en la subinterfaz Eth-Trunk. Por lo tanto, la interfaz principal con configuración vacía no se agrega a la zona de seguridad. Debido a esto, los paquetes BFD recibidos se descartan y la sesión BFD no se puede negociar.


ANÁLISIS DE PROBLEMAS


En general, los paquetes BFD usan la dirección IP de multidifusión predeterminada como la dirección de destino. Cuando BFD se configura para detectar el estado del enlace de las interfaces de miembros de la troncal Eth, los paquetes deben reenviarse a través de la interfaz de la troncal Eth. Por lo tanto, cuando la interfaz principal de eth-trunk no se agrega a la zona de seguridad, los paquetes BFD se rechazan debido a políticas de seguridad. Al configurar BFD para detectar el estado del enlace de una interfaz de miembro de eth-trunk, la interfaz principal debe agregarse a la zona de seguridad del firewall, incluso si no transporta tráfico de servicio.


  • x
  • convención:

Gustavo.HdezF
Admin Publicado 2020-5-11 11:00:28
Gracias por compartir esta información en el foro. Saludos.
Ver más
  • x
  • convención:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.