LACP между брандмауэром Palo Alto и Nexus
-
При попытке настроить LACP от пары Nexus к брандмауэру Palo Alto один из двух интерфейсов всегда переходит в состояние приостановки на стороне Nexus. Физическое состояние остается активным, но нефункциональным. Nexus настроен на активный режим, PA — на пассивный, в соответствии с рекомендациями PA. Мы можем заставить оба интерфейса работать в одном канале, если они находятся на одном коммутаторе Nexus. Открыт случай в Palo Alto, и их вывод заключается в том, что Nexus настроен некорректно. Будем очень благодарны за любую помощь. NX-1 ************************ !Команда: show running-config
!Последнее выполнение конфигурации: вт, 17 февр. 17:40:15 2026
!Время: вт, 17 февр. 17:40:40 2026 версия 10.4(2) Bios:версия 01.09
имя хоста NY-NX9K-1
vdc NY-NX9K-1 id 1
limit-resource vlan минимум 16 максимум 4094
limit-resource vrf минимум 2 максимум 4097
limit-resource port-channel минимум 0 максимум 511
limit-resource m4route-mem минимум 58 максимум 58
limit-resource m6route-mem минимум 8 максимум 8 cfs eth distribute
feature udld
feature interface-vlan
feature lacp
feature vpc no password strength-check
username admin password 5 $5$BFJJBP$2eJ5xmow5VnGEHEhdLpEq0X11ZNLaPwYxGvUMm3Rw4A
role network-admin
ip domain-lookup
copp profile strict ip route 0.0.0.0/0 10.100.100.1
vlan 1,100
vlan 100
name Server100 vrf context management
vpc domain 101
role priority 2000
system-priority 100
peer-keepalive destination 10.100.223.6 source 10.100.223.5 интерфейс Vlan1 интерфейс Vlan100
без отключения
IP-адрес 10.100.100.2/24 интерфейс port-channel100
switchport
switchport mode trunk
switchport trunk allowed vlan 100
vpc 4 интерфейс port-channel500
switchport
switchport mode trunk
switchport trunk allowed vlan 100
spanning-tree port type network
vpc peer-link интерфейс Ethernet1/1
switchport
switchport mode trunk
switchport trunk allowed vlan 100
logging event port link-status
logging event port trunk-status
channel-group 100 mode active
no shutdown интерфейс Ethernet1/2
switchport
switchport mode trunk
switchport trunk allowed vlan 100
logging event port link-status
logging event port trunk-status
channel-group 100 mode active
no shutdown интерфейс Ethernet1/54
switchport
switchport mode trunk
switchport trunk allowed vlan 100
channel-group 500 mode active
no shutdown интерфейс mgmt0 член
vrf management
IP-адрес 10.100.223.5/30
icam monitor scale cli alias name wr copy run start
line console
speed 115200
line vty
boot nxos bootflash:/nxos64-cs.10.4.2.F.bin NX2 - ******************************** !Команда: show running-config
!Последнее выполнение конфигурации: вт, 17 февр. 17:31:42 2026
!Время: вт, 17 февр. 17:41:23 2026 версия 10.4(2) BIOS: версия 01.09
имя хоста NY-NX9K-2
vdc NY-NX9K-2 id 1
limit-resource vlan минимум 16 максимум 4094
limit-resource vrf минимум 2 максимум 4097
limit-resource port-channel минимум 0 максимум 511
limit-resource m4route-mem минимум 58 максимум 58
limit-resource m6route-mem минимум 8 максимум 8 cfs eth distribute
feature udld
feature interface-vlan
feature lacp
feature vpc no password strength-check
username admin password 5 $5$CJKJJH$T6Z7Wu.dTkejIJi1tiX/SdYo7jSS1f.jn1vHEtIOjF.
role network-admin
ip domain-lookup
copp profile strict ip route 0.0.0.0/0 10.100.100.1
vlan 1,100
vlan 100
name Server100 vrf context management
vpc domain 101
role priority 2000
system-priority 4000
peer-keepalive destination 10.100.223.5 source 10.100.223.6 интерфейс Vlan1 интерфейс Vlan100
без отключения
IP-адрес 10.100.100.3/24 интерфейс port-channel100
switchport
switchport mode trunk
switchport trunk allowed vlan 100
speed 1000 дуплекс полный vpc 4 интерфейс port-channel500
switchport
switchport mode trunk
switchport trunk allowed vlan 100
spanning-tree port type network
vpc peer-link интерфейс Ethernet1/1 интерфейс Ethernet1/2
switchport
switchport mode trunk
switchport trunk allowed vlan 100
speed 1000
duplex full
logging event port link-status
logging event port trunk-status
channel-group 100 mode active
no shutdown интерфейс Ethernet1/54
switchport
switchport mode trunk
switchport trunk allowed vlan 100
channel-group 500 mode active
no shutdown интерфейс mgmt0 член
vrf management
IP-адрес 10.100.223.6/30
icam monitor scale cli alias name wr copy run start
line console
speed 115200
line vty
boot nxos bootflash:/nxos64-cs.10.4.2.F.bin -
Я продолжал экспериментировать и нашел пример —
«Настройка VPC между двумя коммутаторами Cisco Nexus» — Notes_Wiki
— который подсказал мне решение. Мой идентификатор vpc был неверным, кроме того, тип порта spanning tree был настроен по-разному на двух коммутаторах Nexus. Теперь у меня есть LACP между коммутаторами Nexus на po500 и LACP к брандмауэру Palo Alto с каждого коммутатора на po100. Вот соответствующие части моей конфигурации, которая теперь работает: ************* Коммутатор 1 ****************** hostname NY-NX9K-1
vdc NY-NX9K-1 id 1 feature interface-vlan
feature lacp
feature vpc
feature lldp vlan 100
name Server100
vlan 130
name MGMT vpc domain 101
role priority 2000
system-priority 4000
peer-keepalive destination 10.100.223.6 source 10.100.223.5 интерфейс Vlan100
без отключения
ip адрес 10.100.100.2/24 интерфейс Vlan130
без отключения
ip адрес 10.225.130.80/24 интерфейс port-channel100
switchport
switchport mode trunk
switchport trunk allowed vlan 100,130
spanning-tree port type edge trunk
vpc 1 интерфейс port-channel500
switchport
switchport mode trunk
switchport trunk allowed vlan 100,130
spanning-tree port type network
vpc peer-link интерфейс Ethernet1/2
switchport
switchport mode trunk
switchport trunk allowed vlan 100,130
logging event port link-status
logging event port trunk-status
channel-group 100 mode active
no shutdown интерфейс Ethernet1/54
switchport
switchport mode trunk
switchport trunk allowed vlan 100,130
channel-group 500 mode active
no shutdown интерфейс mgmt0 член
vrf management
ip адрес 10.100.223.5/30 ************* Коммутатор 2 ****************** hostname NY-NX9K-2
vdc NY-NX9K-2 id 1 функция интерфейса-vlan
функция lacp
функция vpc vlan 100
name Server100
vlan 130
name MGMT домен vpc 101
роль приоритет 2000
системный приоритет 4000
peer-keepalive назначение 10.100.223.5 источник 10.100.223.6 интерфейс Vlan100
без отключения
ip адрес 10.100.100.3/24 интерфейс Vlan130
без отключения
ip адрес 10.225.130.79/24 интерфейс port-channel100
switchport
switchport mode trunk
switchport trunk allowed vlan 100,130
spanning-tree port type edge trunk
vpc 1 интерфейс port-channel500
switchport
switchport mode trunk
switchport trunk allowed vlan 100,130
spanning-tree port type network
vpc peer-link интерфейс Ethernet1/2
switchport
switchport mode trunk
switchport trunk allowed vlan 100,130
logging event port link-status
logging event port trunk-status
channel-group 100 mode active
no shutdown интерфейс Ethernet1/54
switchport
switchport mode trunk
switchport trunk allowed vlan 100,130
channel-group 500 mode active
no shutdown интерфейс mgmt0 член
vrf management
ip адрес 10.100.223.6/30 -
@billy_maclin
Это может вам помочь:
https://www.cisco.com/c/en/us/support/docs/lan-switching/link-aggregation-control-protocol-lacp-8023ad/221051-troubleshoot-link-aggregation-control-pr.html М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
@billy_maclin
Проверьте, помогут ли эти настройки на Palo Alto:
https://layer77.net/2017/07/17/lacp-with-palo-alto-firewalls/ М. -- Пусть все происходит с тобой
Красота и ужас
Просто продолжай идти
Ни одно чувство не является окончательным
Райнер Мария Рильке
(1899) -
Привет, Марк, спасибо за быстрый ответ. Мы перепробовали все настройки LACP в Palo, но ничего не изменилось. Palo сказал, что проблема в Nexus. Это должно быть так просто исправить, но я зашел в тупик. BMac
Здравствуйте! Похоже, вам интересна эта беседа, но у вас пока нет учетной записи.
Вы устали просматривать одни и те же посты каждый раз, когда заходите на сайт? После регистрации, вам не придётся искать обсуждения в которых вы принимали участие, настройте уведомления о новых сообщениях так как вам это удобно (по электронной почте или уведомлением). У вас появится возможность сохранять закладки и ставить лайки постам, чтобы выразить свою благодарность другим участникам сообщества.
С вашими комментариями этот пост может стать ещё лучше 💗
Зарегистрироваться Войти