EtherChannel 接口

本章介绍如何配置 EtherChannel 接口。


在多情景模式下,请在系统执行空间中完成本节所述的所有任务。 如果您未处于系统执行空间中,请在“配置”>“设备列表”窗格中双击活动设备 IP 地址下的系统

有关具有特殊要求的 ASA 集群接口,请参阅为 Cisco Secure Firewall 3100/4200部署 ASA 集群

对于平台模式下的 Firepower 4100/9300 机箱,EtherChannel 接口是在 FXOS 操作系统中配置。有关详细信息,请参阅机箱的配置或快速入门指南。

关于 EtherChannels

本节介绍 EtherChannel 。

关于 EtherChannel

802.3ad EtherChannel 是逻辑接口(称为端口通道接口),该接口由一组单独的以太网链路(通道组)组成,以便可以提高单个网络的带宽。配置接口相关功能时,可以像使用物理接口一样来使用端口通道接口。

最多可以配置 48 个 Etherchannel,具体取决于型号支持的接口数量。

通道组接口

各信道组最多可以有 8 个活动接口,但 ISA 3000 除外,支持 16 个活动接口。对于仅支持 8 个主用接口的交换机,您最多可以将 16 个接口分配给一个通道组:但仅有 8 个接口可用作主用接口,其余接口在出现接口故障的情况下用作备用链路。

通道组中的所有接口都必须属于同一类型且具有相同速度。添加到通道组的第一个接口确定正确的类型和速度。

EtherChannel 汇聚通道中所有可用活动接口上的流量。系统根据源或目标 MAC 地址、IP 地址、TCP 端口号、UDP 端口号和 VLAN 编号使用专有散列算法来选择接口。

连接到其他设备上的 EtherChannel

ASAEtherChannel 连接到的设备还必须支持 802.3ad EtherChannel;例如,可以连接到 Catalyst 6500 交换机或 Cisco Nexus 7000。

如果交换机属于虚拟交换系统 (VSS) 或虚拟端口通道 (vPC) 的一部分,则可以将同一 EtherChannel 内的 ASA接口连接到 VSS/vPC 中的单独交换机。交换机接口是同一个 EtherChannel 端口通道接口的成员,因为两台单独的交换机的行为就像一台交换机一样。

图 1. 连接至 VSS/vPC

如果 ASA 设备处于透明防火墙模式下,并且将 ASA 设备置于两组 VSS/vPC 交换机之间,请确保在使用 EtherChannel 连接到 ASA 设备的所有交换机端口上禁用单向链路检测 (UDLD)。如果启用 UDLD,则交换机端口可能会接收来自另一个 VSS/vPC 对中的两台交换机的 UDLD 数据包。接收交换机会将接收接口置于关闭状态,原因是“UDLD 邻居不匹配”。

如果您在主用/备用故障转移部署中使用 ASA 设备,则需要在 VSS/vPC 中的交换机上创建单独的 EtherChannel,为每个 ASA 设备创建一个。在每个 ASA 设备上,单个 EtherChannel 连接至两台交换机。即使您可以将所有的交换机接口分组到连接两个 ASA 设备的一个 EtherChannel 中(在这种情况下,将不会建立 EtherChannel,因为 ASA 系统 ID 是单独的),但单个 EtherChannel 并不可取,因为您不希望将流量发送到备用 ASA 设备。

图 2. 主用/备用故障转移和 VSS/vPC

链路聚合控制协议

链路聚合控制协议 (LACP) 将在两个网络设备之间交换链路汇聚控制协议数据单元 (LACPDU),进而汇聚接口。

您可以将 EtherChannel 中的每个物理接口配置为:

  • Active - 发送和接收 LACP 更新。主用 EtherChannel 可以与主用或备用 EtherChannel 建立连接。除非您需要最大限度地减少 LACP 流量,否则应使用主用模式。

  • 被动 - 接收 LACP 更新。备用 EtherChannel 只能与主用 EtherChannel 建立连接。在硬件型号上不受支持。

  • 开启 - EtherChannel 始终开启,并且不使用 LACP。“开启”的 EtherChannel 只能与另一个“开启”的 EtherChannel 建立连接。

LACP 将协调自动添加和删除指向 EtherChannel 的链接,而无需用户干预。LACP 还会处理配置错误,并检查成员接口的两端是否连接到正确的通道组。如果接口发生故障且未检查连接和配置,“开启”模式将不能使用通道组中的备用接口。

负载均衡

ASA 设备通过对数据包的源 IP 地址和目标 IP 地址进行散列处理来将数据包分发给 EtherChannel 中的接口(此条件可配置)。在模数运算中,将得到的散列值除以主用链路数,得到的余数确定哪个接口拥有流量。hash_value mod active_links 结果为 0 的所有数据包都发往 EtherChannel 中的第一个接口,结果为 1 的发往第二个接口,结果为 2 的数据包发往第三个接口,依此类推。例如,如果您有 15 个主用链路,则模数运算的值为 0 到 14。如果有 6 个主用链路,则值为 0 到 5,依此类推。

对于集群中的跨网络 EtherChannel,会逐个 ASA进行负载均衡。例如,如果 8 个 ASA之间的跨网络 EtherChannel 中有 32 个主用接口,而 EtherChannel 中的每个 ASA又有 4 个接口,则仅会在 ASA上的 4 个接口之间进行负载均衡。

如果主用接口发生故障且未由备用接口替代,则流量会在剩余的链路之间重新均衡。该故障会在第 2 层的生成树和第 3 层的路由表中被屏蔽,因此故障转移对其他网络设备是透明的。

EtherChannel MAC 地址

属于通道组一部分的所有接口都共享同一 MAC 地址。此功能使 EtherChannel 对网络应用和用户透明,因为他们只看到一个逻辑连接;而不知道各个链路。

Firepower 和 Cisco Secure Firewall 硬件

端口通道接口使用内部接口 Internal-Data 0/1 的 MAC 地址。或者,您可以为端口通道接口手动配置 MAC 地址。在多情景模式下,您可以将唯一 MAC 地址自动分配给共享接口,包括一个 EtherChannel 端口接口。机箱上的所有 EtherChannel 接口都使用相同的 MAC 地址,因此请注意,例如,如果使用 SNMP 轮询,则多个接口将具有相同的 MAC 地址。


成员接口仅在重新启动后使用内部数据 0/1 MAC 地址。在重新启动之前,成员接口使用自己的 MAC 地址。如果在重新启动后添加新的成员接口,则必须再次重新启动以更新其 MAC 地址。

EtherChannel 的准则

桥接组

在路由模式下,不支持将 ASA-定义的 EtherChannel 接口作为桥接组成员。 Firepower 4100/9300 上的 Etherchannel 可以是网桥组成员。

故障转移

  • 如果要将 EtherChannel 接口用作 故障转移 链路,则必须在 故障转移 对中的两台设备上预配置要使用的接口;不能在主设备上配置该接口并期望它会复制到辅助设备,因为复制需要 故障转移链路本身

  • 如果要将 EtherChannel 接口用于状态链路,则无需特殊配置;可以照常从主设备复制配置。Firepower 4100/9300 机箱 的所有接口(包括 EtherChannel)均需在两台设备上进行预配置。

  • 可以使用 monitor-interface 命令监控 EtherChannel 余接口 以实现故障转移。如果主用成员接口故障转移到备用接口,则此活动不会在监控设备级故障转移时导致 EtherChannel 接口出现故障。仅在所有物理接口都出现故障的情况下,EtherChannel 接口或 EtherChannel 接口才会出现故障(对于 EtherChannel 接口,可配置允许出现故障的成员接口数量)

  • 如果将 EtherChannel 接口用于故障转移或状态链路,然后防止无序数据包,则仅会使用 EtherChannel 中的一个接口。如果该接口发生故障,则会使用 EtherChannel 中的下一个接口。您不能在 EtherChannel 配置用作故障转移链路时对其进行修改。要修改配置,您需要暂时禁用故障转移,以防止在此期间发生故障转移

型号支持

  • 对于平台模式下的Firepower 能在 ASA 中添加 EtherChannel。Firepower 4100/9300 支持 EtherChannel,但必须在机箱上的 FXOS 中执行 EtherChannel 的所有硬件配置。

  • 无法在 Etherchannel 中使用 Firepower 1010 交换机端口或 VLAN 接口。

集群

  • 要配置跨网络 EtherChannel 或单个集群接口,请参阅有关集群的章节。

《通用 EtherChannel 准则》

  • 最多可以配置 48 个 Etherchannel,具体取决于型号可用的接口数量。

  • 各信道组最多可以有 8 个活动接口,但 ISA 3000 除外,支持 16 个活动接口。对于仅支持 8 个主用接口的交换机,您最多可以将 16 个接口分配给一个通道组:但仅有 8 个接口可用作主用接口,其余接口在出现接口故障的情况下用作备用链路。

  • 通道组中的所有接口都必须具有相同的介质类型和速度能力,并且必须设置为相同的速度和复用模式。介质类型可以是 RJ-45 或 SFP;可以混合使用不同类型(铜缆和光纤)的 SFP。不能通过在较大容量的接口上将速度设置为较低来混合接口容量(例如 1GB 和 10GB 接口),但 Cisco Secure Firewall 3100/4200除外,它支持不同的接口容量,只要速度设置为检测 SFP;在此情况下会使用较低的常见速度

  • ASAEtherChannel 连接到的设备还必须支持 802.3ad EtherChannel。

  • ASA 设备不支持带有 VLAN 标记的 LACPDU。如果使用 Cisco IOS vlan dot1Q tag native 命令在相邻交换机上启用本地 VLAN 标记,则 ASA 设备将会丢弃已标记的 LACPDU。请务必禁用相邻交换机上的本地 VLAN 标记。在多情景模式下,在数据包捕获中不包含这些消息,因此您无法轻易对问题进行诊断。

  • 设备不支持 LACP 快速速率,但 ISA 3000 除外; LACP 始终使用正常速率。此设置不可配置。请注意,在 FXOS 中配置 EtherChannel 的 Firepower 4100/9300默认将 LACP 速率设置为快速;在这些平台上,速率是可配置的。

  • 在低于 15.1(1)S2 的 Cisco IOS 软件版本中, ASA 不支持将 EtherChannel 连接到交换机堆叠。在默认交换机设置下,如果跨堆叠连接 ASA EtherChannel,则当主要交换机关闭时,连接到其余交换机的 EtherChannel 不会正常工作。要提高兼容性,请将 stack-mac persistent timer 命令设置为足够大的值,以将重载时间计算在内;例如,可将其设置为 8 分钟,或设置为 0 以表示无穷大。或者,您可以升级到更加稳定的交换机软件版本,例如 15.1(1)S2。

  • 所有 ASA 配置均引用 EtherChannel 接口,而不是成员物理接口。

  • 您必须先从端口通道成员身份中删除分支端口,然后才能删除具有分支端口的端口通道。否则,在删除端口通道后,分支端口将显示为未关联。如果端口通道只有固定端口且没有分支端口,则此选项不适用。

EtherChannel 的默认设置

本节列出了接口的默认设置(如果没有出厂默认配置)。

接口的默认状态

接口的默认状态取决于类型和情景模式。

在多情景模式下,默认启用所有已分配的接口,而不考虑接口在系统执行空间中的状态。但是,要使流量通过该接口,还必须在系统执行空间中启用该接口。如果您在系统执行空间中关闭了一个接口,则该接口在所有共享它的情景中都会关闭。

在单模式下或在系统执行空间中,接口具有以下默认状态:

  • 物理接口 - 已禁用。

  • EtherChannel 端口通道接口 - 已启用。但是,要使流量通过 EtherChannel 接口,还必须启用通道组物理接口。

配置 EtherChannel

本节介绍如何创建 EtherChannel 端口通道接口,如何向 EtherChannel 分配接口,以及如何自定义 EtherChannel。

将接口添加到 EtherChannel

本节介绍如何创建 EtherChannel 端口通道接口并向 EtherChannel 分配接口。默认情况下,端口通道接口已启用。

开始之前

  • 最多可以配置 48 个 Etherchannel,具体取决于型号具有的接口数量。

  • 各信道组最多可以有 8 个活动接口,但 ISA 3000 除外,支持 16 个活动接口。对于仅支持 8 个主用接口的交换机,您最多可以将 16 个接口分配给一个通道组:但仅有 8 个接口可用作主用接口,其余接口在出现接口故障的情况下用作备用链路。

  • 要为集群配置跨网络 EtherChannel,请参阅有关集群的章节而不是此程序。

  • 通道组中的所有接口都必须具有相同的介质类型和容量,并且必须设置为相同的速度和双工模式。介质类型可以是 RJ-45 或 SFP;可以混合使用不同类型(铜缆和光纤)的 SFP。不能通过在较大容量的接口上将速度设置为较低来混合接口容量(例如 1GB 和 10GB 接口),但 Cisco Secure Firewall 3100/4200除外,它支持不同的接口容量,只要速度设置为检测 SFP;在此情况下会使用较低的常见速度。 。

  • 如果已为物理接口配置了名称,则不能将该物理接口添加到通道组。您必须先配置 > 设备设置 > 接口设置 > 接口窗格删除该名称。

  • 对于多情景模式,请在系统执行空间中完成本程序。如果您尚未处于系统配置模式下,请在配置 > 设备列表窗格中双击主用设备 IP 地址下的系统


小心

如果使用的是配置中已有的物理接口,则删除名称将会清除引用该接口的任何配置。

过程

步骤 1

视情景模式而定:

  • 对于单情景模式,请依次选择 Configuration > Device Setup > Interface Settings > Interfaces 窗格。
  • 对于多情景模式,请在系统执行空间中依次选择 Configuration > Context Management > Interfaces 窗格。

步骤 2

依次选择添加 > EtherChannel 接口

系统将显示 Add EtherChannel Interface 对话框。

 

在单情景模式下,此程序仅涉及 Edit EtherChannel Interface 对话框中的一部分参数。请注意,在多情景模式下,完成接口配置之前,您需要将接口分配到情景。请参阅配置多情景

步骤 3

Port Channel ID 字段中,输入介于 1 和 48 之间的数字(1~8 用于 Firepower 1010)

步骤 4

Available Physical Interface 区域中,点击一个接口,然后点击 Add 以将其移至 Members in Group 区域。

在透明模式下,如果使用多个管理接口创建通道组,则可以将 EtherChannel 用作管理专属接口。

 

如果要将 EtherChannel 模式设置为 On,则最初必须仅包含一个接口。完成此程序后,编辑成员接口,并将模式设置为 On。应用更改,然后编辑 EtherChannel 以添加更多成员接口。

步骤 5

为要添加到通道组中的每个接口重复上述步骤。

确保所有接口的类型和速度相同。添加的第一个接口决定了 EtherChannel 的类型和速度。您添加的任何不匹配接口都将被置于暂停状态。ASDM 不会阻止您添加不匹配的接口。

步骤 6

点击确定 (OK)

系统将返回到 Interfaces 窗格。现在,成员接口在接口 ID 左侧显示锁形图标,表明只能为其配置基本参数。EtherChannel 接口已添加到该表中。

步骤 7

点击 Apply。所有成员接口都自动启用。

自定义 EtherChannel

本节介绍如何设置 EtherChannel 中的最大接口数,用于使 EtherChannel 成为主用接口所需的最小操作接口数、负载均衡算法以及其他可选参数。

过程

步骤 1

视情景模式而定:

  • 对于单情景模式,请依次选择配置 > 设备设置 > 接口设置 > 接口窗格。
  • 对于多情景模式,请在系统执行空间中依次选择 Configuration > Context Management > Interfaces 窗格。

步骤 2

点击要自定义的端口通道接口,然后点击 Edit

系统将显示 Edit Interface 对话框。

步骤 3

要覆盖媒体类型、双工、速度和暂停帧以对所有成员接口进行流量控制,请点击 Configure Hardware Properties。此方法提供了设置这些参数的快捷方式,因为通道组中所有接口的这些参数都必须匹配。

步骤 4

(可选;仅 SA 3000)要自定义 EtherChannel,请点击 Advanced 选项卡。

  1. EtherChannel 区域中,从 Minimum 下拉列表中选择使 EtherChannel 成为主用接口所需的最小主用接口数(介于 1 和 16 之间)。默认值为 1。

  2. Maximum 下拉列表中,选择 EtherChannel 中允许的最大主用接口数(介于 1 和 16 之间)。默认值为 16。如果交换机不支持 16 个主用接口,请务必将此命令设置为 8 或更小的值。

  3. Load Balance 下拉列表中,选择在组通道接口之间对数据包进行负载均衡所用的标准。默认情况下,ASA 根据数据包的源 IP 地址和目标 IP 地址来均衡接口上的数据包负载。如果要更改分类数据包所依据的属性,请选择另一组条件。例如,如果流量严重偏向于相同的源 IP 地址和目标 IP 地址,则分配给 EtherChannel 中的接口的流量将失去平衡。更改为其他算法可使流量分布更均匀。有关负载均衡的详细信息,请参阅负载均衡

  4. 对于 Secure Group Tagging 设置,请参阅防火墙配置指南。

  5. 对于 ASA Cluster 设置,请参阅(推荐;在多情景模式下为必需)在控制节点上配置接口

步骤 5

点击确定 (OK)

系统将返回到 Interfaces 窗格。

步骤 6

要在通道组中设置物理接口的模式和优先级,请执行以下操作:

  1. 点击 Interfaces 表中的物理接口,然后点击 Edit

    系统将显示 Edit Interface 对话框。

  2. 点击 Advanced 选项卡。

  3. EtherChannel 区域中,从 Mode 下拉列表中选择 ActivePassiveOn。我们建议使用 Active 模式(默认)。

  4. (可选;仅 ISA 3000)在 LACP Port Priority 字段中,设置介于 1 和 65535 之间的端口优先级。默认值为 32768。数字越大,优先级越低。如果分配的接口多于可用的接口,则 ASA 将使用此设置决定哪些接口是主用接口,哪些是备用接口。如果所有接口的端口优先级设置都相同,则优先级由接口 ID(插槽/端口)确定。最低的接口 ID 具有最高优先级。例如,千兆以太网 0/0 的优先级高于千兆以太网 0/1 的优先级。

    如果要将某个接口优先确定为主用接口(即使它具有较高的接口 ID 也如此),请将此命令设置为具有较低的值。例如,要在千兆以太网 0/7 之前将千兆以太网 1/3 设为主用,请在 1/3 接口上将优先级值设置为 12345,在 0/7 接口上设置为默认值 32768。

    如果 EtherChannel 另一端的设备端口存在优先级冲突,则会使用系统优先级来确定使用哪些端口优先级。如要设置系统优先级,请参阅步骤 9

步骤 7

点击确定 (OK)

系统将返回到 Interfaces 窗格。

步骤 8

点击 Apply

步骤 9

(可选;仅 ISA 3000)要设置 LACP 系统优先级,请执行以下步骤。如果 EtherChannel 另一端的设备端口存在优先级冲突,则会使用系统优先级来确定使用哪些端口优先级。有关详细信息,请参阅步骤 6 d

  1. 视情景模式而定:

    • 对于单情景模式,请依次选择 Configuration > Device Setup > EtherChannel 窗格。

    • 对于多情景模式,请在系统执行空间中依次选择 Configuration > Context Management > EtherChannel 窗格。

  2. LACP System Priority 字段中,输入介于 1 和 65535 之间的优先级值。

    默认值为 32768。

EtherChannel 示例

以下示例将三个接口配置为 EtherChannel 的一部分。此示例还将系统优先级设置为较高的优先级,并在 EtherChannel 分配有超过 8 个接口的情况下将千兆以太网 0/2 的优先级设置为高于其他接口。 


lacp system-priority 1234
interface GigabitEthernet0/0
  channel-group 1 mode active
interface GigabitEthernet0/1
  channel-group 1 mode active
interface GigabitEthernet0/2
  lacp port-priority 1234
  channel-group 1 mode passive
interface Port-channel1
  lacp max-bundle 4
  port-channel min-bundle 2
  port-channel load-balance dst-ip

EtherChannels历史记录

表 1. EtherChannels历史记录

功能名称

版本

功能信息

EtherChannel 支持

8.4(1)

您可以为八个主用接口各配置多达 48 个 802.3ad EtherChannel。

修改或引入了以下屏幕:


Configuration > Device Setup > Interface Settings > Interfaces

Configuration > Device Setup > Interface Settings > Interfaces > Add/Edit EtherChannel Interface


Configuration > Device Setup > Interface Settings > Interfaces > Add/Edit Interface



配置 > 设备设置 > EtherChannel

 

ASA 5505 不支持 EtherChannel。

一个 EtherChannel 中支持 16 个主用链路

9.2(1)

现在,一个 EtherChannel 中最多可以配置 16 个主用链路。以前,可以有 8 个主用链路和 8 个备用链路。确保交换机可以支持 16 个主用链路(例如,可使用带有 F2 系列 10 千兆以太网模块的思科 Nexus 7000)。

 

如果从早期 ASA 版本进行升级,则为了实现兼容,可将最大主用接口数设置为 8。

修改了以下屏幕:Configuration > Device Setup > Interface Settings > Interfaces > Add/Edit EtherChannel Interface > Advanced。