ASA: LACPの設定例と動作確認

Taisuke Nakamura · ‎2016-07-05

EtherChannelについて
LACP設定例
動作確認
チャネル接続状態のサマリ表示
チャネル接続状態の詳細表示
LACPパケットの交換状況の表示
ポートチャネルインターフェイスの統計情報の表示
その他制限事項
参考情報

EtherChannelについて

ASA バージョン8.4(1)より EtherChannelのサポートが可能となりました。EtherChannel技術を用い、複数の物理リンクを 1つの論理リンクに集約する事で、リンクの冗長化と帯域幅増強を同時に実現します。

本ドキュメントでは、チャネルプロトコルの１つである LACPの設定例と動作確認例を紹介します。

本ドキュメントは、ASAバージョン 9.1(7)6を用いて確認、作成しております。

LACP設定例

以下は、ASAと Catalyst6500間を、LACP Activeモードで接続時の設定例です。

　　　
【ASA側設定】

interface GigabitEthernet0/1
 channel-group 1 mode active
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 channel-group 1 mode active
 no nameif
 no security-level
 no ip address
!
interface Port-channel1
 nameif dmz
 security-level 30
 ip address 192.168.100.254 255.255.255.0
!

　　　
【Cat6500側設定】

interface Port-channel1
 description ** to ASA5515 **
 switchport
 switchport access vlan 100
 switchport mode access
!
interface GigabitEthernet3/19
 description ** to ASA5515-Gi0/1 **
 switchport
 switchport access vlan 100
 switchport mode access
 channel-group 1 mode active
!
interface GigabitEthernet3/35
 description ** to ASA5515-Gi0/3 **
 switchport
 switchport access vlan 100
 switchport mode access
 channel-group 1 mode active
!

動作確認

チャネル接続状態のサマリ表示

show port-channel summary コマンドで各チャネルの状態の簡易確認ができます。素早い状態確認に有用です。

ciscoasa# show port-channel summary
Flags: D - down P - bundled in port-channel
 I - stand-alone s - suspended
 H - Hot-standby (LACP only)
 U - in use N - not in use, no aggregation/nameif
 M - not in use, no aggregation due to minimum links not met
 w - waiting to be aggregated
Number of channel-groups in use: 1
Group Port-channel Protocol Span-cluster Ports
------+-------------+---------+------------+------------------------------------
1 Po1(U) LACP No Gi0/1(P) Gi0/3(P)

チャネル接続状態の詳細表示

show port-channel detail コマンドで、ロードバランシングアルゴリズムや、自身と対向のLACP Priorityを含む、各チャネルと所属リンクの、より詳細な情報を出力します。

ciscoasa# show port-channel detail
 Channel-group listing:
 -----------------------

Group: 1
----------
Span-cluster port-channel: No
Ports: 2 Maxports = 16
Port-channels: 1 Max Port-channels = 48
Protocol: LACP/ active
Minimum Links: 1
Maximum Bundle: 8
Load balance: src-dst-ip
 Ports in the group:
 -------------------
Port: Gi0/1
------------
Port state = bndl
Channel group = 1 Mode = LACP/ active
Port-channel = Po1

Flags: S - Device is sending Slow LACPDUs F - Device is sending fast LACPDUs.
       A - Device is in active mode. P - Device is in passive mode.

Local information:
                  LACP port  Admin   Oper   Port     Port
Port  Flags State Priority   Key     Key    Number   State
-----------------------------------------------------------------------------
Gi0/1 SA    bndl  32768      0x1     0x1    0x2      0x3d

Partner's information:
     Partner Partner LACP Partner  Partner   Partner  Partner     Partner
Port Flags   State   Port Priority Admin Key Oper Key Port Number Port State
-----------------------------------------------------------------------------------
Gi0/1 SA     bndl    32768         0x0       0x1      0x314       0x3d

Port: Gi0/3
------------
Port state = bndl
Channel group = 1 Mode = LACP/ active
Port-channel = Po1

Flags: S - Device is sending Slow LACPDUs F - Device is sending fast LACPDUs.
 A - Device is in active mode. P - Device is in passive mode.

Local information:
                  LACP port   Admin  Oper   Port    Port
Port  Flags State Priority    Key    Key    Number  State
-----------------------------------------------------------------------------
Gi0/3 SA    bndl  32768       0x1    0x1    0x4     0x3d

Partner's information:
     Partner Partner LACP Partner  Partner   Partner  Partner     Partner
Port Flags   State   Port Priority Admin Key Oper Key Port Number Port State
-----------------------------------------------------------------------------------
Gi0/3 SA     bndl    32768         0x0       0x1      0x324       0x3d

　　　
なお、ロードバランシングアルゴリズムのデフォルトは、src-dst-ip(=送信元/宛先IPベース)です。

当アルゴリズムは、port-channel load-balance コマンドで変更可能です。以下は Port-channel 1のロードバランシングアルゴリズムを、src-dst-mac(=送信元/宛先MACベース)に変更時の設定例です。

ciscoasa(config)# interface port-channel 1
ciscoasa(config-if)# port-channel load-balance ?

interface mode commands/options:
 dst-ip Dst IP Addr
 dst-ip-port Dst IP Addr and TCP/UDP Port
 dst-mac Dst Mac Addr
 dst-port Dst TCP/UDP Port
 src-dst-ip Src XOR Dst IP Addr
 src-dst-ip-port Src XOR Dst IP Addr and TCP/UDP Port
 src-dst-mac Src XOR Dst Mac Addr
 src-dst-port Src XOR Dst TCP/UDP Port
 src-ip Src IP Addr
 src-ip-port Src IP Addr and TCP/UDP Port
 src-mac Src Mac Addr
 src-port Src TCP/UDP Port
 vlan-dst-ip Vlan, Dst IP Addr
 vlan-dst-ip-port Vlan, Dst IP Addr and TCP/UDP Port
 vlan-only Vlan
 vlan-src-dst-ip Vlan, Src XOR Dst IP Addr
 vlan-src-dst-ip-port Vlan, Src XOR Dst IP Addr and TCP/UDP Port
 vlan-src-ip Vlan, Src IP Addr
 vlan-src-ip-port Vlan, Src IP Addr and TCP/UDP Port

ciscoasa(config-if)# port-channel load-balance src-dst-mac

LACPパケットの交換状況の表示

show lacp counters コマンドで、LACPパケットの交換状況のカウンタ確認ができます。何らかのLACPパケットやり取りの問題が疑われる場合は、当コマンドを複数回実行し、交換状況の差分を確認してください。

ciscoasa# show lacp counter

 LACPDUs Marker Marker Response LACPDUs
Port Sent Recv Sent Recv Sent Recv Pkts Err
---------------------------------------------------------------------
Channel group: 1
Gi0/1 2719 2712 0 0 0 0 0
Gi0/3 2723 2715 0 0 0 0 0

ポートチャネルインターフェイスの統計情報の表示

show interface port-channel <int-num> コマンドを実行します。

ciscoasa# show interface port-channel 1
Interface Port-channel1 "dmz", is up, line protocol is up
 Hardware is EtherChannel/LACP, BW 2000 Mbps, DLY 10 usec
 Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
 Input flow control is unsupported, output flow control is off
 MAC address 5057.a8e1.a502, MTU 1500
 IP address 192.168.100.254, subnet mask 255.255.255.0
 Traffic Statistics for "dmz":
 157839 packets input, 12977967 bytes
 62097 packets output, 6205476 bytes
 95712 packets dropped
 1 minute input rate 682 pkts/sec, 68262 bytes/sec
 1 minute output rate 682 pkts/sec, 68207 bytes/sec
 1 minute drop rate, 0 pkts/sec
 5 minute input rate 25 pkts/sec, 2501 bytes/sec
 5 minute output rate 24 pkts/sec, 2438 bytes/sec
 5 minute drop rate, 0 pkts/sec
 Members in this channel:
 Active: Gi0/1 Gi0/3

その他制限事項

物理リンクの負荷分散は、指定のロードバランシングアルゴリズム(デフォルト=src-dst-ip)に基づいて行われます。仮に所属リンクがダウンした場合、スタンバイリンクが無い場合、トラフィックは残りのリンク内で再バランスされます
　　　　
チャネルに所属する物理リンクは、全て同じSpeed・Duplexである必要があります
　　　
所属リンクがUP時にチャネルリンクもUPし、最後のリンクがDownした場合にチャネルリンクもDownとみなします。なお、チャネルリンクをActiveとみなすための Activeリンク数は port-channel min-bundle <最少リンク数> コマンドで変更可能です。デフォルトの最少リンク数は 1です
　　　　
チャネルはあくまで物理リンクレベルでの帯域幅増強である事に注意してください。チャネルを利用しても、ASAの処理性能(主にCPUや設定と通信パターンが影響)を上回る速度は出ません。例えば、処理性能が 900Mbps程度のASAで、1Gリンク x 2のチャネルを利用しても、900Mbps以上の速度は出ません。むしろ、チャネル処理が必要となる分、オーバーヘッドが増加します
　　　　
帯域幅増強が不要で物理リンクの冗長化のみが目的の場合、EtherChannelの代わりに、Redundant Interface機能も選択できます

参考情報

ASA9.1: インターフェイスコンフィギュレーションの開始（ASA 5510 以降）
http://www.cisco.com/cisco/web/support/JP/docs/SEC/Firewall/ASA5500NextGenerationFire/CG/001/interface_start.html?bid=0900e4b183271d68#pgfId-1329030

ファイアウォールトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733