|
【问题现象】 两台信锐交换机做M-LAG,下联深信服虚拟机,上联深信服防火墙,跨设备聚合,虚拟机无法访问同网段的防火墙地址。防火墙抓arp包请求并回复了,但虚拟机没有收到arp回包.
【问题原因】 一般这种问题确保交换机配置没有问题,那么就是对接设备的聚合配置有问题.
【解决办法】 1.首先检查交换机M-LAG是否协商正常,确认主备协商正常; 2. 核实到接虚拟机的下联接口及上联防火墙的接口,然后检查主备的M-LAG组成员聚合接口trunk id是否一致,接口属性等配置是否一致,核实正常; 3. 确认交换机M-LAG配置正常,分别在主备ping上联防火墙地址(如果交换机做纯二层没有同网段地址,可以在交换机上配置一个同网段的测试地址),发现主交换机能通防火墙地址,备交换机不通;下联虚拟机主备ping测试正常; 4. 此时基本判断是防火墙上配置有问题了,然后直接登录防火墙,检查聚合口配置发现,防火墙聚合口模式为主备模式,由于我们交换机聚合默认是手工负载分担模式,将防火墙聚合口工作模式改成手工负载分担模式(hash)就正常了。
| 
;
