H3C防火墙与核心交换机三层链路聚合实战：打通业务高速通道

1. 为什么需要三层链路聚合最近帮朋友公司做网络改造他们业务量增长太快原来的单条千兆链路已经扛不住了。高峰期经常出现网络卡顿更麻烦的是有一次核心交换机端口故障直接导致业务中断两小时。老板拍桌子要求升级网络既要提升带宽又要解决单点故障问题。这种情况下三层链路聚合技术就是最佳选择。简单来说它能把多条物理链路绑成一条逻辑链路。比如把4条1G链路聚合成1条4G链路不仅带宽叠加还能自动负载均衡。更重要的是其中一条链路断了流量会自动切换到其他链路业务完全不受影响。H3C设备在这方面做得特别成熟。我用过他们的防火墙和交换机做三层聚合实测下来稳定性很好。下面我就把实战经验分享给大家从原理到配置一步步拆解。2. 网络拓扑设计与设备选型2.1 典型组网方案先看一个经典的企业网架构[核心交换机]----(聚合链路)----[防火墙]----(外网) | (接入交换机) | (终端设备)在这个方案里核心交换机和防火墙之间就是通过三层链路聚合互联。我建议至少用两条万兆光缆做聚合这样既能保证带宽又具备冗余能力。如果预算充足可以上4条链路做LACP动态聚合。2.2 设备兼容性要点有些朋友问不同型号设备能做聚合吗实测过H3C S6850交换机SecPath F5000防火墙的组合完全没问题。关键要注意两端设备都要支持IEEE 802.3ad标准光模块型号要匹配比如都用10G-SRMTU值建议统一设为9216Jumbo Frame3. 交换机端详细配置3.1 创建聚合接口首先登录核心交换机创建三层聚合接口# 创建编号为22的聚合接口 interface Route-Aggregation 22 description TO-FIREWALL link-aggregation mode dynamic # 启用LACP动态协商 ip address 192.168.1.2 24 # 配置互联IP这里有个坑要注意link-aggregation mode一定要两边设备配置一致。推荐用dynamic模式比static模式更智能。3.2 物理端口配置把两个万兆口加入聚合组interface GigabitEthernet 1/0/1 port link-mode route # 切换为三层模式 port link-aggregation group 22 # 加入聚合组22 undo shutdown interface GigabitEthernet 1/0/2 port link-mode route port link-aggregation group 22 undo shutdown重点来了port link-mode route这条命令必须打否则端口默认是二层模式无法做三层聚合。我当初就因为这个配置漏了排查了半天。4. 防火墙端配置详解4.1 聚合接口配置防火墙配置和交换机类似interface Route-Aggregation 22 description TO-SWITCH link-aggregation mode dynamic ip address 192.168.1.1 24建议给接口加description这样后期维护一眼就能看懂拓扑关系。4.2 安全策略配置这是最容易出错的地方。必须放通local和trust区域的双向流量security-policy ip rule 0 name trust-local action pass source-zone trust destination-zone local rule 1 name local-trust action pass source-zone local destination-zone trust然后别忘了把聚合接口加入trust区域security-zone name Trust import interface Route-Aggregation225. 状态检查与排错技巧5.1 验证聚合状态在任意设备上执行display link-aggregation verbose看到类似下面输出就成功了Aggregate Interface: Route-Aggregation22 Status: S (Static), D (Dynamic), B (Selected), U (Unselected) Port Status GE1/0/1 B GE1/0/2 B关键看Status列要有B标记表示该端口被选中参与聚合。5.2 常见故障排查如果发现聚合不成功按这个顺序检查物理链路是否正常看端口灯状态LACP模式是否两端一致端口是否都配置为三层模式安全策略是否放通MTU值是否匹配我习惯用这个组合命令快速诊断display interface brief | include Agg ping -a 192.168.1.1 192.168.1.2 tracert 192.168.1.26. 高级优化建议6.1 负载均衡算法调整默认的源目的IP哈希算法可能不适合所有场景。如果发现流量分布不均可以调整interface Route-Aggregation22 link-aggregation global load-sharing mode destination-ip6.2 链路故障快速检测建议开启BFD检测能把故障收敛时间缩短到毫秒级interface Route-Aggregation22 bfd min-transmit-interval 100 bfd min-receive-interval 1007. 真实业务场景测试配置完成后我一般会做三类测试带宽测试用iperf打流确认聚合后总带宽达标冗余测试拔掉一条链路业务应该零中断压力测试模拟高峰流量观察设备CPU和内存情况最近一个客户案例中通过4条10G链路聚合成功将核心带宽提升到40G。在双十一大促期间网络延迟始终保持在5ms以下。