Interfaces EtherChannel

Ce chapitre explique comment configurer les EtherChannels.


Remarque

Pour le mode de contexte multiple, effectuez cette procédure dans l'espace d'exécution du système. Pour passer du contexte à l’espace d’exécution système, saisissez la commande changeto system. .

Pour les interfaces de grappe ASA, qui ont des exigences spéciales, consultez Grappe ASA pour le Secure Firewall 3100.


Remarque

Pour Firepower 2100 en mode plateforme et Châssis Firepower 4100/9300 , les interfaces EtherChannel sont configurées dans le système d’exploitation FXOS. Consultez le guide de configuration ou de démarrage de votre châssis pour en savoir plus.

À propos des EtherChannels

La présente section décrit les canaux EtherChannels.

About EtherChannels

Un EtherChannel 802.3ad est une interface logique (appelée interface de canal de port) composée d’un ensemble de liaisons Ethernet individuelles (un groupe de canaux), ce qui vous permet d’augmenter la bande passante pour un seul réseau. Une interface de canal de port est utilisée de la même manière qu’une interface physique lorsque vous configurez les fonctionnalités liées à l’interface.

Vous pouvez configurer jusqu’à 48 EtherChannels, selon le nombre d’interfaces prises en charge par votre modèle.

Interfaces des groupes de canaux

Chaque groupe de canaux peut avoir jusqu’à 8 interfaces actives, sauf pour ASA, les l’ISA 3000, qui prend en charge 16 interfaces actives. Pour les commutateurs qui prennent en charge seulement 8 interfaces actives, vous pouvez affecter jusqu’à 16 interfaces à un groupe de canaux : alors que seules 8 interfaces peuvent être actives, les interfaces restantes peuvent servir de liaisons de secours en cas de défaillance de l’interface.

Toutes les interfaces du groupe de canaux doivent être du même type et de la même vitesse. La première interface ajoutée au groupe de canaux détermine le type et la vitesse à respecter.

L’EtherChannel agrège le trafic sur toutes les interfaces actives disponibles dans le canal. L’interface est sélectionnée à l’aide d’un algorithme de hachage exclusif, en fonction des adresses MAC source ou de destination, des adresses IP, des numéros de ports TCP et UDP et des numéros de VLAN.

Connexion à un EtherChannel sur un autre périphérique

Le périphérique auquel vous connectez l’EtherChannel ASA doit également prendre en charge l’EtherChannel 802.3ad; par exemple, vous pouvez vous connecter au commutateur Catalyst 6500 ou à Cisco Nexus 7000.

Lorsque le commutateur fait partie d’un système de commutation virtuelle (VSS) ou d’un canal de port virtuel (vPC), vous pouvez connecter des interfaces ASA dans le même EtherChannel pour séparer les commutateurs dans le VSS/vPC. Les interfaces des commutateurs sont membres de la même interface de canal de port EtherChannel, car les commutateurs distincts se comportent comme un seul commutateur.

Illustration 1. Connexion à un VSS/vPC

Remarque

Si le périphérique ASA est en mode de pare-feu transparent et que vous placez le périphérique ASA entre deux ensembles de commutateurs VSS/vPC, veillez à désactiver la détection unidirectionnelle de liaison (UDLD) sur tous les ports de commutateur connectés au périphérique ASA avec un EtherChannel. Si vous activez UDLD, un port de commutation peut recevoir des paquets UDLD provenant des deux commutateurs de l’autre paire VSS/vPC. Le commutateur de réception place l’interface de réception à l’état inactif avec la raison « UDLD Neighbor mismatch » (Mauvaise correspondance des voisins UDLD).

Si vous utilisez le périphérique ASA dans un déploiement de basculement actif/en veille, vous devez créer des EtherChannels distincts sur les commutateurs du VSS/vPC, un pour chaque périphérique ASA. Sur chaque périphérique ASA, un seul EtherChannel se connecte aux deux commutateurs. Même si vous pouviez regrouper toutes les interfaces de commutateur dans un seul EtherChannel qui vous connecte aux deux périphériques ASA (dans ce cas, l’EtherChannel ne sera pas établi en raison des ID de système ASA distincts), un seul EtherChannel ne serait pas souhaitable, car vous ne pouvez pas souhaitez que le trafic soit envoyé au périphérique ASA.

Illustration 2. Basculement actif/en veille et VSS/vPC

Protocole LACP (Link Aggregation Control Protocol)

Le protocole LACP (Link Aggregation Control Protocol) agrège les interfaces en échangeant les LACPDU (Link Aggregation Control Protocol Data Unit) entre deux périphériques réseau.

Vous pouvez configurer chaque interface physique d’un EtherChannel pour qu’elle soit :

  • Actif : envoie et reçoit les mises à jour du protocole LACP. Un EtherChannel actif peut établir une connectivité avec un EtherChannel actif ou passif. Vous devez utiliser le mode actif, sauf si vous devez réduire au minimum le trafic LACP.

  • Passive : reçoit les mises à jour du protocole LACP. Un EtherChannel passif ne peut établir une connectivité qu’avec un EtherChannel actif. Non pris en charge sur les modèles matériel.

  • Activé : l’EtherChannel est toujours activé et le protocole LACP n’est pas utilisé. Un EtherChannel « activé » ne peut établir une connexion qu’avec un autre EtherChannel « activé ».

Le protocole LACP coordonne l’ajout et la suppression automatiques des liens vers l’EtherChannel sans l’intervention de l’utilisateur. Il gère également les erreurs de configuration et vérifie que les deux extrémités des interfaces membres sont connectées au groupe de canaux approprié. Le mode « On » ne peut pas utiliser les interfaces en veille dans le groupe de canaux lorsqu’une interface tombe en panne et que la connectivité et les configurations ne sont pas vérifiées.

Équilibrage de la charge

Le périphérique ASA distribue les paquets aux interfaces de l’EtherChannel en hachant l’adresse IP de source et de destination du paquet (ce critère est configurable). Le hachage obtenu est divisé par le nombre de liens actifs dans une opération modulo, le reste déterminant l'interface propriétaire du flux. Tous les paquets avec un résultat hash_value mod active_links de 0 sont dirigés vers la première interface de l’EtherChannel, les paquets avec un résultat de 1 vont à la deuxième interface, les paquets de résultat de 2 à la troisième interface, etc. Par exemple, si vous avez 15 liens actifs, l’opération modulo fournit des valeurs de 0 à 14. Pour six liens actifs, les valeurs sont comprises entre 0 et 5, et ainsi de suite.

Pour un EtherChannel étendu en grappe, l’équilibrage de charge se produit sur une base de ASA. Par exemple, s’il y a 32 interfaces actives dans l’EtherChannel sur 8 ASA, avec 4 interfaces par ASA dans l’EtherChannel, l’équilibrage de la charge ne se produit que sur les 4 interfaces du ASA.

Si une interface active tombe en panne et n’est pas remplacée par une interface de secours, le trafic est rééquilibrage entre les liaisons restantes. La défaillance est masquée à la fois par le Spanning Tree au niveau de la couche 2 et la table de routage au niveau de la couche 3, de sorte que le basculement est transparent pour les autres périphériques du réseau.

Adresse MAC de l’EtherChannel

Toutes les interfaces qui font partie du groupe de canaux partagent la même adresse MAC. Cette fonction rend l’EtherChannel transparent pour les applications et les utilisateurs du réseau, car ils ne voient qu’une seule connexion logique; ils n’ont aucune connaissance des liens individuels.

Matériel Firepower et Cisco Secure Firewall

L’interface du canal de port utilise l’adresse MAC de l’interface interne Internal-Data 0/1. Vous pouvez également configurer manuellement une adresse MAC pour l’interface du canal de port. En mode de contexte multiple, vous pouvez affecter automatiquement des adresses MAC uniques aux interfaces partagées, y compris une interface de port EtherChannel. Toutes les interfaces EtherChannel d’un châssis utilisent la même adresse MAC. Sachez donc que si vous utilisez l’interrogation SNMP, par exemple, plusieurs interfaces auront la même adresse MAC.


Remarque

Les interfaces membres utilisent l’adresse MAC Internal-Data 0/1 uniquement après un redémarrage. Avant de redémarrer, l’interface membre utilise sa propre adresse MAC. Si vous ajoutez une nouvelle interface membre après un redémarrage, vous devrez effectuer un autre redémarrage pour mettre à jour son adresse MAC.

Directives pour les EtherChannels

Groupe de ponts

En mode routé, les EtherChannels définis par l’ASA ne sont pas pris en charge en tant que membres du groupe de ponts. Les EtherChannels sur Firepower 4100/9300 peuvent être des membres de groupes de ponts.

Failover (basculement)

  • Lorsque vous utilisez une interface EtherChannel comme lien Failover (basculement), elle doit être préconfigurée sur les deux unités de la paire Failover (basculement); vous ne pouvez pas le configurer sur l’unité principale et vous attendre à ce qu’il soit dupliquée sur l’unité secondaire, car le lien Failover (basculement) lui-même est requis pour la duplication.

  • Si vous utilisez une interface EtherChannel , aucune configuration particulière n'est requise; la configuration peut être répliquée normalement à partir de l’unité principale. Pour le Châssis Firepower 4100/9300 , toutes les interfaces, y compris l’EtherChannels, doivent être préconfigurées sur les deux unités.

  • Vous pouvez surveiller l’EtherChannel pour Failover (basculement) à l’aide de la commande monitor-interface . Lorsqu’une interface membre active bascule vers une interface de secours, cette activité ne fait pas apparaître l’EtherChannel comme défaillant lors de la surveillance au niveau du périphérique Failover (basculement). Ce n’est que lorsque toutes les interfaces physiques tombent en panne que l’EtherChannel semble défaillante (pour une interface EtherChannel, le nombre d’interfaces membres autorisées à échouer peut être configuré).

  • Si vous utilisez une interface EtherChannel pour un Failover (basculement) ou une liaison d’état, pour éviter les paquets dans le désordre, une seule interface de l’EtherChannel est utilisée. Si cette interface échoue, l’interface suivante de l’EtherChannel est utilisée. Vous ne pouvez pas modifier la configuration de l’EtherChannel lorsqu’elle est utilisée en tant que lien Failover (basculement). Pour modifier la configuration, vous devez désactiver temporairement Failover (basculement), ce qui empêche Failover (basculement) de se produire pendant la durée.

Prise en charge des modèles

  • Vous ne pouvez pas ajouter des EtherChannels dans ASA pour le Firepower 2100 en mode plateforme, Firepower 4100/9300 ou l’ASA virtuel. Le Firepower 4100/9300 prend en charge EtherChannels, mais vous devez effectuer toute la configuration matérielle des EtherChannels dans FXOS sur le châssis.

  • Vous ne pouvez pas utiliser les ports de commutation ni les interfaces VLAN de Firepower 1010 dans les EtherChannels.

Mise en grappe

  • Lorsque vous utilisez l’interface EtherChannel comme liaison de commande de grappe, elle doit être préconfigurée sur toutes les unités de la grappe; vous ne pouvez pas le configurer sur l’unité principale et vous attendre à ce qu’elle soit dupliquée sur les unités membres, car la liaison de commande de grappe elle-même est requise pour la duplication.

  • Pour configurer un EtherChannel étendu ou une interface de grappe individuelle, consultez le chapitre sur la mise en grappe.

Directives générales EtherChannel

  • Vous pouvez configurer jusqu’à 48 EtherChannels, selon le nombre d’interfaces disponibles sur votre modèle.

  • Chaque groupe de canaux peut avoir jusqu’à 8 interfaces actives, sauf pour ASA, les l’ISA 3000, qui prend en charge 16 interfaces actives. Pour les commutateurs qui prennent en charge seulement 8 interfaces actives, vous pouvez affecter jusqu’à 16 interfaces à un groupe de canaux : alors que seules 8 interfaces peuvent être actives, les interfaces restantes peuvent servir de liaisons de secours en cas de défaillance de l’interface.

  • Toutes les interfaces du groupe de canaux doivent être du même type de médias et de la même capacité de vitesse, et doivent être réglées à la même vitesse et au même duplex. Le type de support peut être RJ-45 ou SFP. Des SFP de différents types (cuivre et fibre optique) peuvent être mélangés. Vous ne pouvez pas combiner les capacités d’interface (par exemple, les interfaces 1 Go et 10 Go) en réglant la vitesse pour qu’elle soit inférieure sur l’interface de plus grande capacité, sauf pour Cisco Secure Firewall ,, qui prend en charge différentes capacités d’interface à condition que la vitesse soit réglée pour détecter SFP; dans ce cas , la vitesse la plus basse est utilisée.

  • Le périphérique auquel vous connectez l’EtherChannel ASA doit également prendre en charge l’EtherChannel 802.3ad.

  • Le périphérique ASA ne prend pas en charge les unités LACPDU marquées VLAN. Si vous activez le balisage VLAN natif sur le commutateur voisin à l’aide de la commande Cisco IOS vlan dot1Q tag native, le périphérique ASA abandonnera les LACPDU balisées. Assurez-vous de désactiver le balisage VLAN natif sur le commutateur voisin. En mode de contexte multiple, ces messages ne sont pas inclus dans une capture de paquets, de sorte que vous ne pouvez pas diagnostiquer le problème facilement.

  • Le débit LACP dépend du modèle. Lorsque vous définissez le débit (normal ou rapide), l’appareil demande ce débit au commutateur de connexion. En retour, l’appareil enverra au débit demandé par le commutateur de connexion. Nous vous recommandons de définir le même débit des deux côtés.

    • Firepower 4100/9300 : le débit LACPest défini sur rapide par défaut dans FXOS, mais vous pouvez le configurer comme normal (également appelé lent).

    • Cisco Secure Firewall 3100 : le débit LACP est défini sur normal (lent) par défaut, mais vous pouvez le configurer aussi rapidement sur le périphérique.

    • Tous les autres modèles : le débit LACP est défini sur normal (également appelé lent) et il n’est pas configurable, ce qui signifie que l’appareil demandera toujours un débit lent au commutateur de connexion. Nous vous recommandons de configurer le taux du commutateur sur « lent » pour que les deux côtés envoient les messages LACP au même rythme.

  • Dans les versions du logiciel Cisco IOS antérieures à la 15.1(1)S2, ASA ne prenait pas en charge la connexion d’un EtherChannel à une pile de commutateurs. Avec les paramètres par défaut du commutateur, si l'EtherChannel ASA est connecté en pile croisée, et si le commutateur principal est mis hors tension, l'EtherChannel connecté au commutateur restant ne sera pas mis en service. Pour améliorer la compatibilité, définissez la commande stack-mac persistent timer sur une valeur suffisamment grande pour prendre en compte le temps de rechargement; par exemple, 8 minutes ou 0 pour indéfini. Vous pouvez également effectuer une mise à niveau vers une version plus stable du logiciel du commutateur, comme par exemple 15.1(1)S2.

  • Toute la configuration ASA fait référence à l’interface logique EtherChannel plutôt qu’aux interfaces physiques membres.

Paramètres par défaut pour les interfaces EtherChannels

Cette section répertorie les paramètres par défaut des interfaces si vous n’avez pas de configuration d’usine par défaut.

État par défaut des interfaces

L’état par défaut d’une interface dépend du type d’interface et du mode de contexte.

En mode de contexte multiple, toutes les interfaces allouées sont activées par défaut, quel que soit l’état de l’interface dans l’espace d’exécution du système. Cependant, pour que le trafic passe par l’interface, celle-ci doit également être activée dans l’espace d’exécution du système. Si vous désactivez une interface dans l’espace d’exécution du système, cette interface est désactivée dans tous les contextes qui la partagent.

En mode unique ou dans l’espace d’exécution du système, les interfaces ont les états par défaut suivants :

  • Interfaces physiques : désactivées.

  • Interfaces de canal de port EtherChannel — Activées. Cependant, pour que le trafic passe par l’EtherChannel, les interfaces physiques des groupes de canaux doivent également être activées.

Configurer un EtherChannel

Cette section décrit comment créer une interface de canal de port EtherChannel, affecter des interfaces à l’EtherChannel et personnaliser l’EtherChannel.

Ajouter des interfaces à l’EthernetChannel

Cette section décrit comment créer une interface de canal de port EtherChannel et affecter des interfaces à l’EtherChannel. Par défaut, les interfaces de canal de port sont activées.

Avant de commencer

  • Vous pouvez configurer jusqu’à 48 EtherChannels, selon le nombre d’interfaces dont dispose votre modèle.

  • Chaque groupe de canaux peut avoir jusqu’à 8 interfaces actives, sauf pour l’ISA 3000, qui prend en charge 16 interfaces actives. Pour les commutateurs qui prennent en charge seulement 8 interfaces actives, vous pouvez affecter jusqu’à 16 interfaces à un groupe de canaux : alors que seules 8 interfaces peuvent être actives, les interfaces restantes peuvent servir de liaisons de secours en cas de défaillance de l’interface.

  • Pour configurer un EtherChannel étendu pour la mise en grappe, consultez le chapitre sur la mise en grappe au lieu de cette procédure.

  • Toutes les interfaces du groupe de canaux doivent être du même type de médias et de la même capacité, et doivent être réglées sur la même vitesse et le même duplex. Le type de support peut être RJ-45 ou SFP. Des SFP de différents types (cuivre et fibre optique) peuvent être mélangés. Vous ne pouvez pas combiner les capacités d’interface (par exemple, les interfaces 1 Go et 10 Go) en réglant la vitesse pour qu’elle soit inférieure sur l’interface de plus grande capacité, sauf pour Secure Firewall 3100, qui prend en charge différentes capacités d’interface à condition que la vitesse soit réglée pour détecter SFP; dans ce cas, la vitesse la plus basse est utilisée..

  • Vous ne pouvez pas ajouter d’interface physique au groupe de canaux si vous lui avez configuré un nom. Vous devez d’abord supprimer le nom à l’aide de la commande no nameif .

  • Pour le mode de contexte multiple, effectuez cette procédure dans l’espace d’exécution du système. Pour passer du contexte à l’espace d’exécution système, saisissez la commande changeto system. .


Mise en garde

Si vous utilisez une interface physique déjà présente dans votre configuration, la suppression du nom effacera toute configuration faisant référence à l’interface.

Procédure

Étape 1

Spécifiez l’interface que vous souhaitez ajouter au groupe de canaux :

interface physical_interface

Exemple:


ciscoasa(config)# interface gigabitethernet 0/0

L’ID physical_interface comprend le type, le logement et le numéro de port sous la forme type[slot/] port. Cette première interface du groupe de canaux détermine le type et la vitesse de toutes les autres interfaces du groupe.

En mode transparent, si vous créez un groupe de canaux avec plusieurs interfaces de gestion, vous pouvez utiliser cet EtherChannel comme interface de gestion uniquement.

Étape 2

Affectez cette interface physique à un EtherChannel :

channel-group channel_id mode {active | passive | on}

Exemple:


ciscoasa(config-if)# channel-group 1 mode active

Le channel_id est un entier compris entre 1 et 48 (1 et 8 pour les périphériques Firepower 1010). Si l’interface de canal de port pour cet ID de canal n’existe pas encore dans la configuration, elle sera ajoutée :

interface port-channel channel_id

Nous vous conseillons d’utiliser le mode actif. Le mode passif est uniquement disponible pour l’ISA 3000.

Étape 3

(Facultatif) (Secure Firewall 3100 uniquement) Définit le débit de réception de l’unité de données LACP pour une interface physique dans le groupe de canaux.

lacp rate {normal | fast}

La valeur par défaut est de normal (lent, toutes les 30 secondes). L’option fast reçoit des unités de données LACP chaque seconde. Vous devez faire correspondre le paramètre sur le commutateur connecté.

Étape 4

(Facultatif) (ModèlesISA 3000 uniquement) Définissez la priorité d’une interface physique dans le groupe de canaux.

lacp port-priority number

Exemple:


ciscoasa(config-if)# lacp port-priority 12345

Le numéro de priorité est un entier compris entre 1 et 65535. La valeur par défaut est 32768. Plus le numéro de priorité est élevé, plus la priorité est faible. L’ASA utilise ce paramètre pour décider quelles interfaces sont actives et lesquelles sont en veille si vous attribuez plus d’interfaces que ce qui peut être utilisé. Si le paramètre de priorité de port est le même pour toutes les interfaces, la priorité est déterminée par l’ID d’interface (logement/port). L’ID d’interface le plus faible correspond à la priorité la plus élevée. Par exemple, GigabitEthernet 0/0 est une priorité plus élevée que GigabitEthernet 0/1.

Si vous souhaitez donner la priorité à une interface pour qu’elle soit active même si elle a un ID d’interface plus élevé, définissez cette commande pour avoir une valeur inférieure. Par exemple, pour rendre actif GigabitEthernet 1/3 avant GigabitEthernet 0/7, faites que la valeur lacp port-priority soit de 12345 sur l’interface 1/3 contre la valeur par défaut de 32768 sur l’interface 0/7.

Si le périphérique à l’autre extrémité de l’EtherChannel a des priorités de port conflictuelles, la priorité du système est utilisée pour déterminer les priorités de port à utiliser. Reportez-vous à la commande lacp system-priority.

Étape 5

(Facultatif) Définissez les propriétés Ethernet de l’interface de canal de port pour remplacer les propriétés définies sur les interfaces individuelles.

interface port-channel channel_id

Consultez Activer l’interface physique et configurer les paramètres Ethernet pour les commandes Ethernet. Cette méthode offre un raccourci pour définir ces paramètres, car ceux-ci doivent correspondre pour toutes les interfaces du groupe de canaux.

Étape 6

Répétez les étapes 1 à 3 pour chaque interface que vous souhaitez ajouter au groupe de canaux.

Chaque interface du groupe de canaux doit être du même type et avoir la même vitesse. Le mode semi-duplex n’est pas pris en charge. Si vous ajoutez une interface qui ne correspond pas, elle sera mise à l’état suspendu.

Étape 7

(Facultatif) (Secure Firewall 3100 uniquement) Définit le débit de réception de l’unité de données LACP pour une interface physique dans le groupe de canaux.

  1. Cliquez sur l’interface physique dans le tableau Interfaces, puis cliquez sur Edit (Modifier).

    La boîte de dialogue Edit Interface (Modifier l’interface) s’affiche.

  2. Cliquez sur l’onglet Advanced (Avancé).

  3. Dans la zone EtherChannel, dans la liste déroulante Rate (Débit), choisissez Normal ou Fast (Rapide).

    La valeur par défaut est Normal (lent, toutes les 30 secondes). L’option Fast (Rapide) reçoit des mises à jour LACP chaque seconde. Vous devez faire correspondre le paramètre sur le commutateur connecté.

Personnaliser l’EtherChannel (ISA 3000)

Cette section décrit comment définir le nombre maximal d’interfaces dans l’EtherChannel, le nombre minimal d’interfaces opérationnelles pour que l’EtherChannel soit actif, l’algorithme d’équilibrage de charges et d’autres paramètres facultatifs. Ces paramètres ne s’appliquent qu’aux ISA 3000.

Procédure

Étape 1

Spécifiez l’interface de canal de port :

interface port-channel channel_id

Exemple:


ciscoasa(config)# interface port-channel 1

Cette interface a été créée automatiquement lorsque vous avez ajouté une interface au groupe de canaux. Si vous n’avez pas encore ajouté d’interface, cette commande crée l’interface de canal de port.

Vous devez ajouter au moins une interface membre à l’interface de canal de port avant de pouvoir configurer ses paramètres logiques, comme un nom.

Étape 2

Spécifiez le nombre maximal d’interfaces actives autorisées dans le groupe de canaux :

lacp max-bundle number

Exemple:


ciscoasa(config-if)# lacp max-bundle 6

Le nombre est compris entre 1 et 16. Par défaut, c’est 16. Si votre commutateur ne prend pas en charge 16 interfaces actives, veillez à régler cette commande à 8 ou moins.

Étape 3

Spécifiez le nombre minimal d’interfaces actives requises pour que l’interface de canal de port devienne active :

port-channel min-bundle number

Exemple:


ciscoasa(config-if)# port-channel min-bundle 2

Le nombre est compris entre 1 et 16. La valeur par défaut est 1. Si le nombre d’interfaces actives dans le groupe de canaux tombe en dessous de cette valeur, l’interface de canal de port est désactivée, ce qui peut déclencher un basculement au niveau du périphérique.

Étape 4

Configurez l’algorithme d’équilibrage de charges :

port-channel load-balance {dst-ip | dst-ip-port | dst-mac | dst-port | src-dst-ip | src-dst-ip-port | src-dst-mac | src-dst-port | src-ip | src-ip-port | src-mac | src-port | vlan-dst-ip | vlan-dst-ip-port | vlan-only | vlan-src-dst-ip | vlan-src-dst-ip-port | vlan-src-ip | vlan-src-ip-port}

Exemple:


ciscoasa(config-if)# port-channel load-balance src-dst-mac

Par défaut, l’ASA équilibre la charge de paquets sur les interfaces en fonction de l’adresse IP source et de destination (src-dst-ip) du paquet. Si vous souhaitez modifier les propriétés selon lesquelles le paquet est classé, utilisez cette commande. Par exemple, si votre trafic est fortement orienté vers les mêmes adresses IP de source et de destination, l’affectation du trafic aux interfaces de l’EtherChannel ne sera pas équilibrée. Le passage à un algorithme différent peut entraîner une répartition plus uniforme du trafic.

Étape 5

Définissez la priorité du système LACP :

lacp system-priority number

Exemple:


ciscoasa(config)# lacp system-priority 12345

Le nombre est compris entre 1 et 65535. La valeur par défaut est 32768. Plus le numéro de priorité est élevé, plus la priorité est faible. Cette commande est globale pour l’ASA.

Si le périphérique à l’autre extrémité de l’EtherChannel a des priorités de port conflictuelles, la priorité du système est utilisée pour déterminer les priorités de port à utiliser. Pour les priorités d’interface dans un EtherChannel, consultez la commande lacp port-priority.

Supervision des EtherChannels

Consultez les commandes suivantes :


Remarque

Pour les modèles Firepower et Secure Firewall, certaines statistiques ne sont pas affichées à l’aide des commandes ASA. Vous devez consulter des statistiques d’interface plus détaillées à l’aide des commandes FXOS.

  • /eth-uplink/fabric# show interface

  • /eth-uplink/fabric# show port-channel

  • /eth-uplink/fabric/interface# show stats

Pour Firepower 2100 en mode plateforme, consultez aussi les commandes FXOS connect local-mgmt suivantes :

  • (local-mgmt)# show portmanager counters

  • (local-mgmt)# show lacp

  • (local-mgmt)# show portchannel

Consultez le guide de dépannage FXOS pour plus d’informations.

  • show interface

    Affiche des statistiques sur l’interface.

  • show interface ip brief

    Affiche les adresses IP et l’état de l’interface.

  • (ISA 3000 uniquement) show lacp {[channel_group_number] {counters | internal | neighbor} | sys-id}

    Pour EtherChannel, affiche les renseignements LACP tels que les statistiques de trafic, l’identifiant du système et les détails du voisin.

  • (ISA 3000 uniquement) show port-channel [channel_group_number] [brief | detail | port | protocol | summary]

    Pour EtherChannel, affiche les renseignements sur EtherChannel dans un récapitulatif détaillé et sur une ligne. Cette commande affiche également les renseignements sur le port et le canal de port.

  • (ISA 3000 uniquement) show port-channel channel_group_number load-balance [hash-result {ip | ipv6 | l4port | mac | mixed | vlan-only} parameters]

    Pour EtherChannel, affiche les renseignements sur l’équilibrage de charges du canal de port, ainsi que le résultat du hachage et l’interface membre sélectionnée pour un ensemble de paramètres donné.

Exemples d’EtherChannels

L’exemple suivant configure trois interfaces dans le cadre d’un EtherChannel. Il définit également la priorité système pour une priorité plus élevée et GigabitEthernet 0/2 pour une priorité plus élevée que les autres interfaces dans le cas où plus de huit interfaces sont affectées à l’EtherChannel. 


lacp system-priority 1234
interface GigabitEthernet0/0
  channel-group 1 mode active
interface GigabitEthernet0/1
  channel-group 1 mode active
interface GigabitEthernet0/2
  lacp port-priority 1234
  channel-group 1 mode passive
interface Port-channel1
  lacp max-bundle 4
  port-channel min-bundle 2
  port-channel load-balance dst-ip

Historique des EtherChannels

Tableau 1. Historique des EtherChannels

Nom de la caractéristique

Versions

Renseignements sur les fonctionnalités

Prise en charge EtherChannel

v 8.4(1)

Vous pouvez configurer jusqu’à 48 EtherChannels 802.3ad de huit interfaces actives chacun.

Nous avons introduit les commandes suivantes : channel-group, lacp port-priority, interface port-channel, lacp max-bundle, port-channel min-bundle, port-channel load-balance, lacp system-priority, clear lacp counters, show lacp, show port-channel.

Remarque

 

EtherChannel n’est pas pris en charge sur l’ASA 5505.

Prise en charge de 16 liens actifs dans un EtherChannel

9.2(1)

Vous pouvez maintenant configurer jusqu’à 16 liens actifs dans un EtherChannel. Auparavant, vous pouviez avoir 8 liens actifs et 8 liens de secours. Assurez-vous que votre commutateur peut prendre en charge 16 liens actifs (par exemple, Cisco Nexus 7000 avec module F2-Series 10 Gigabit Ethernet).

Remarque

 

Si vous effectuez une mise à niveau à partir d’une version antérieure d’ASA, le nombre maximum d’interfaces actives est défini sur 8 à des fins de compatibilité (commande lacp max-bundle).

Nous avons modifié les commandes suivantes : lacp max-bundle and port-channel min-bundle.