<![CDATA[LACP между брандмауэром Palo Alto и Nexus]]>При попытке настроить LACP от пары Nexus к брандмауэру Palo Alto один из двух интерфейсов всегда переходит в состояние приостановки на стороне Nexus. Физическое состояние остается активным, но нефункциональным. Nexus настроен на активный режим, PA — на пассивный, в соответствии с рекомендациями PA. Мы можем заставить оба интерфейса работать в одном канале, если они находятся на одном коммутаторе Nexus. Открыт случай в Palo Alto, и их вывод заключается в том, что Nexus настроен некорректно. Будем очень благодарны за любую помощь. NX-1 ************************ !Команда: show running-config
!Последнее выполнение конфигурации: вт, 17 февр. 17:40:15 2026
!Время: вт, 17 февр. 17:40:40 2026 версия 10.4(2) Bios:версия 01.09
имя хоста NY-NX9K-1
vdc NY-NX9K-1 id 1
limit-resource vlan минимум 16 максимум 4094
limit-resource vrf минимум 2 максимум 4097
limit-resource port-channel минимум 0 максимум 511
limit-resource m4route-mem минимум 58 максимум 58
limit-resource m6route-mem минимум 8 максимум 8 cfs eth distribute
feature udld
feature interface-vlan
feature lacp
feature vpc no password strength-check
username admin password 5 $5$BFJJBP$2eJ5xmow5VnGEHEhdLpEq0X11ZNLaPwYxGvUMm3Rw4A
role network-admin
ip domain-lookup
copp profile strict ip route 0.0.0.0/0 10.100.100.1
vlan 1,100
vlan 100
name Server100 vrf context management
vpc domain 101
role priority 2000
system-priority 100
peer-keepalive destination 10.100.223.6 source 10.100.223.5 интерфейс Vlan1 интерфейс Vlan100
без отключения
IP-адрес 10.100.100.2/24 интерфейс port-channel100
switchport
switchport mode trunk
switchport trunk allowed vlan 100
vpc 4 интерфейс port-channel500
switchport
switchport mode trunk
switchport trunk allowed vlan 100
spanning-tree port type network
vpc peer-link интерфейс Ethernet1/1
switchport
switchport mode trunk
switchport trunk allowed vlan 100
logging event port link-status
logging event port trunk-status
channel-group 100 mode active
no shutdown интерфейс Ethernet1/2
switchport
switchport mode trunk
switchport trunk allowed vlan 100
logging event port link-status
logging event port trunk-status
channel-group 100 mode active
no shutdown интерфейс Ethernet1/54
switchport
switchport mode trunk
switchport trunk allowed vlan 100
channel-group 500 mode active
no shutdown интерфейс mgmt0 член
vrf management
IP-адрес 10.100.223.5/30
icam monitor scale cli alias name wr copy run start
line console
speed 115200
line vty
boot nxos bootflash:/nxos64-cs.10.4.2.F.bin NX2 - ******************************** !Команда: show running-config
!Последнее выполнение конфигурации: вт, 17 февр. 17:31:42 2026
!Время: вт, 17 февр. 17:41:23 2026 версия 10.4(2) BIOS: версия 01.09
имя хоста NY-NX9K-2
vdc NY-NX9K-2 id 1
limit-resource vlan минимум 16 максимум 4094
limit-resource vrf минимум 2 максимум 4097
limit-resource port-channel минимум 0 максимум 511
limit-resource m4route-mem минимум 58 максимум 58
limit-resource m6route-mem минимум 8 максимум 8 cfs eth distribute
feature udld
feature interface-vlan
feature lacp
feature vpc no password strength-check
username admin password 5 $5$CJKJJH$T6Z7Wu.dTkejIJi1tiX/SdYo7jSS1f.jn1vHEtIOjF.
role network-admin
ip domain-lookup
copp profile strict ip route 0.0.0.0/0 10.100.100.1
vlan 1,100
vlan 100
name Server100 vrf context management
vpc domain 101
role priority 2000
system-priority 4000
peer-keepalive destination 10.100.223.5 source 10.100.223.6 интерфейс Vlan1 интерфейс Vlan100
без отключения
IP-адрес 10.100.100.3/24 интерфейс port-channel100
switchport
switchport mode trunk
switchport trunk allowed vlan 100
speed 1000 дуплекс полный vpc 4 интерфейс port-channel500
switchport
switchport mode trunk
switchport trunk allowed vlan 100
spanning-tree port type network
vpc peer-link интерфейс Ethernet1/1 интерфейс Ethernet1/2
switchport
switchport mode trunk
switchport trunk allowed vlan 100
speed 1000
duplex full
logging event port link-status
logging event port trunk-status
channel-group 100 mode active
no shutdown интерфейс Ethernet1/54
switchport
switchport mode trunk
switchport trunk allowed vlan 100
channel-group 500 mode active
no shutdown интерфейс mgmt0 член
vrf management
IP-адрес 10.100.223.6/30
icam monitor scale cli alias name wr copy run start
line console
speed 115200
line vty
boot nxos bootflash:/nxos64-cs.10.4.2.F.bin

]]>https://sla247.ru/forum/topic/2575/lacp-между-брандмауэром-palo-alto-и-nexusRSS for NodeFri, 15 May 2026 13:15:28 GMTTue, 03 Mar 2026 15:39:14 GMT60<![CDATA[Reply to LACP между брандмауэром Palo Alto и Nexus on Tue, 03 Mar 2026 15:39:18 GMT]]>Привет, Марк, спасибо за быстрый ответ. Мы перепробовали все настройки LACP в Palo, но ничего не изменилось. Palo сказал, что проблема в Nexus. Это должно быть так просто исправить, но я зашел в тупик. BMac

]]>https://sla247.ru/forum/post/18759https://sla247.ru/forum/post/18759Tue, 03 Mar 2026 15:39:18 GMT<![CDATA[Reply to LACP между брандмауэром Palo Alto и Nexus on Tue, 03 Mar 2026 15:39:17 GMT]]>

  • @billy_maclin
    Проверьте, помогут ли эти настройки на Palo Alto:
    https://layer77.net/2017/07/17/lacp-with-palo-alto-firewalls/ М. -- Пусть все происходит с тобой
    Красота и ужас
    Просто продолжай идти
    Ни одно чувство не является окончательным
    Райнер Мария Рильке
    (1899)

    ]]>    https://sla247.ru/forum/post/18758https://sla247.ru/forum/post/18758Tue, 03 Mar 2026 15:39:17 GMT    <![CDATA[Reply to LACP между брандмауэром Palo Alto и Nexus on Tue, 03 Mar 2026 15:39:16 GMT]]>

  • @billy_maclin
    Это может вам помочь:
    https://www.cisco.com/c/en/us/support/docs/lan-switching/link-aggregation-control-protocol-lacp-8023ad/221051-troubleshoot-link-aggregation-control-pr.html М. -- Пусть все происходит с тобой
    Красота и ужас
    Просто продолжай идти
    Ни одно чувство не является окончательным
    Райнер Мария Рильке
    (1899)

    ]]>    https://sla247.ru/forum/post/18757https://sla247.ru/forum/post/18757Tue, 03 Mar 2026 15:39:16 GMT    <![CDATA[Reply to LACP между брандмауэром Palo Alto и Nexus on Tue, 03 Mar 2026 15:39:15 GMT]]>Я продолжал экспериментировать и нашел пример —
    «Настройка VPC между двумя коммутаторами Cisco Nexus» — Notes_Wiki
    — который подсказал мне решение. Мой идентификатор vpc был неверным, кроме того, тип порта spanning tree был настроен по-разному на двух коммутаторах Nexus. Теперь у меня есть LACP между коммутаторами Nexus на po500 и LACP к брандмауэру Palo Alto с каждого коммутатора на po100. Вот соответствующие части моей конфигурации, которая теперь работает: ************* Коммутатор 1 ****************** hostname NY-NX9K-1
    vdc NY-NX9K-1 id 1 feature interface-vlan
    feature lacp
    feature vpc
    feature lldp vlan 100
    name Server100
    vlan 130
    name MGMT vpc domain 101
    role priority 2000
    system-priority 4000
    peer-keepalive destination 10.100.223.6 source 10.100.223.5 интерфейс Vlan100
    без отключения
    ip адрес 10.100.100.2/24 интерфейс Vlan130
    без отключения
    ip адрес 10.225.130.80/24 интерфейс port-channel100
    switchport
    switchport mode trunk
    switchport trunk allowed vlan 100,130
    spanning-tree port type edge trunk
    vpc 1 интерфейс port-channel500
    switchport
    switchport mode trunk
    switchport trunk allowed vlan 100,130
    spanning-tree port type network
    vpc peer-link интерфейс Ethernet1/2
    switchport
    switchport mode trunk
    switchport trunk allowed vlan 100,130
    logging event port link-status
    logging event port trunk-status
    channel-group 100 mode active
    no shutdown интерфейс Ethernet1/54
    switchport
    switchport mode trunk
    switchport trunk allowed vlan 100,130
    channel-group 500 mode active
    no shutdown интерфейс mgmt0 член
    vrf management
    ip адрес 10.100.223.5/30 ************* Коммутатор 2 ****************** hostname NY-NX9K-2
    vdc NY-NX9K-2 id 1 функция интерфейса-vlan
    функция lacp
    функция vpc vlan 100
    name Server100
    vlan 130
    name MGMT домен vpc 101
    роль приоритет 2000
    системный приоритет 4000
    peer-keepalive назначение 10.100.223.5 источник 10.100.223.6 интерфейс Vlan100
    без отключения
    ip адрес 10.100.100.3/24 интерфейс Vlan130
    без отключения
    ip адрес 10.225.130.79/24 интерфейс port-channel100
    switchport
    switchport mode trunk
    switchport trunk allowed vlan 100,130
    spanning-tree port type edge trunk
    vpc 1 интерфейс port-channel500
    switchport
    switchport mode trunk
    switchport trunk allowed vlan 100,130
    spanning-tree port type network
    vpc peer-link интерфейс Ethernet1/2
    switchport
    switchport mode trunk
    switchport trunk allowed vlan 100,130
    logging event port link-status
    logging event port trunk-status
    channel-group 100 mode active
    no shutdown интерфейс Ethernet1/54
    switchport
    switchport mode trunk
    switchport trunk allowed vlan 100,130
    channel-group 500 mode active
    no shutdown интерфейс mgmt0 член
    vrf management
    ip адрес 10.100.223.6/30

    ]]>    https://sla247.ru/forum/post/18756https://sla247.ru/forum/post/18756Tue, 03 Mar 2026 15:39:15 GMT