1、鏈路聚合是什么？

鏈路聚合（link aggregation）是將多個(gè)物理接口當(dāng)做一個(gè)邏輯接口，以增加帶寬和提供線路冗余。鏈路聚合的帶寬理論上相當(dāng)于所包含的物理接口帶寬總和，非常適用于企業(yè)核心網(wǎng)絡(luò)中，同時(shí)參與捆綁的某個(gè)成員接口或鏈路損壞，不影響聚合鏈路的正常工作，提供了冗余性。

華為設(shè)備支持的鏈路聚合協(xié)議是LACP（link aggregation control protocol）。在華為設(shè)備中，由多個(gè)物理接口捆綁成邏輯接口，該接口被稱為Eth-Trunk接口。

2、成員接口有什么限制？

將成員接口加入Eth-Trunk時(shí)，需要注意以下問題：

• 每個(gè)Eth-Trunk接口下最多可以包含8個(gè)成員接口；
• 成員接口不能單獨(dú)配置任何功能和靜態(tài)MAC地址；
• 成員接口加入Eth-Trunk時(shí)，必須為默認(rèn)的hybrid類型接口（該類型是華為設(shè)備默認(rèn)的接口類型）；
• Eth-Trunk接口不能嵌套，即成員接口不能是Eth-Trunk；
• 一個(gè)以太網(wǎng)接口只能加入一個(gè)Eth-Trunk接口，如果需要加入其它Eth-Trunk接口，必須先退出原來的Eth-Trunk接口；
• 一個(gè)Eth-Trunk接口中的成員接口必須是同一類型，即FE口和GE口不能加入同一個(gè)Eth-Trunk接口。
• 可以將不同接口板上的以太網(wǎng)接口加入同一個(gè)Eth-Trunk。
• 如果本地設(shè)備使用了Eth-Trunk，與成員接口直連的對(duì)端接口也必須捆綁為Eth-Trunk接口，這樣兩端才能正常通信。
• 當(dāng)成員接口的速率不一致時(shí)，實(shí)際使用中速率小的接口可能會(huì)出現(xiàn)擁塞，導(dǎo)致丟包。
• 當(dāng)成員接口加入Eth-Trunk后，學(xué)習(xí)MAC地址時(shí)是按照Eth-Trunk來學(xué)習(xí)的，而不是按照成員接口來學(xué)習(xí)的。

3、鏈路聚合的工作模式有哪些？

華為網(wǎng)絡(luò)設(shè)備支持的鏈路聚合模式有手工負(fù)載分擔(dān)模式和靜態(tài)LACP模式：

• 手工負(fù)載分擔(dān)模式：該模式中沒有LACP協(xié)議報(bào)文的參與，所有的配置均由手工完成，如加入多個(gè)成員接口。該模式下所有接口均處于轉(zhuǎn)發(fā)狀態(tài)，實(shí)現(xiàn)鏈路的負(fù)載分擔(dān)。它支持的負(fù)載分擔(dān)方式寶庫(kù)目的MAC、源MAC、源MAC異或目的MAC、源IP、目的IP、源IP異或目的IP。手工負(fù)載模式通常應(yīng)用于對(duì)端設(shè)備不支持LSCP協(xié)議的情況下。
• 靜態(tài)LACP模式：該模式是線路兩端利用LACP協(xié)議進(jìn)行協(xié)商，從而確定活動(dòng)接口和非活動(dòng)接口的鏈路聚合方式，在該模式下，創(chuàng)建Eth-Trunk、加入Eth-Trunk成員接口需要手工完成，而確定活動(dòng)接口和非活動(dòng)接口由LACP協(xié)議進(jìn)行協(xié)商。靜態(tài)LACP模式也稱為M : N模式。這種方式可以實(shí)現(xiàn)鏈路負(fù)載分擔(dān)和冗余備份的雙重功能。在鏈路聚合組中M條鏈路處于活動(dòng)狀態(tài)，轉(zhuǎn)發(fā)數(shù)據(jù)并負(fù)載分擔(dān)，而另外N條鏈路 處于非活動(dòng)狀態(tài)，不轉(zhuǎn)發(fā)數(shù)據(jù)，當(dāng)M條鏈路中有鏈路出現(xiàn)故障時(shí)，系統(tǒng)會(huì)自動(dòng)從N條備份鏈路中選擇優(yōu)先級(jí)最高的接替故障鏈路，并開始轉(zhuǎn)發(fā)數(shù)據(jù)。

靜態(tài)LACP模式與手工負(fù)載分擔(dān)模式的主要區(qū)別為靜態(tài)LACP模式可以有備份鏈路，而手工負(fù)載分擔(dān)模式中所有成員接口均處于轉(zhuǎn)發(fā)狀態(tài)，分擔(dān)負(fù)載流量，除非線路故障。

4、活動(dòng)接口與非活動(dòng)接口的概念

處于活動(dòng)狀態(tài)并負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)的接口稱為活動(dòng)接口。相反，處于非活動(dòng)狀態(tài)并禁止轉(zhuǎn)發(fā)數(shù)據(jù)的接口被稱為非活動(dòng)接口?；顒?dòng)接口和非活動(dòng)接口一般不需要人為干預(yù)，在靜態(tài)LACP模式中可以配置活動(dòng)接口數(shù)量的上限以及下限。

根據(jù)配置的工作模式不同，角色分工如下：

• 手工負(fù)載分擔(dān)模式：正常情況下，所有接口都屬于活動(dòng)接口，除非這些接口出現(xiàn)鏈路故障。
• 靜態(tài)LACP模式：M條鏈路對(duì)應(yīng)的接口為活動(dòng)接口并負(fù)責(zé)轉(zhuǎn)發(fā)數(shù)據(jù)，N條鏈路對(duì)應(yīng)的接口為非活動(dòng)接口并負(fù)責(zé)冗余備份。

5、主動(dòng)端與被動(dòng)端的概念

在靜態(tài)LACP模式下，聚合組兩端的設(shè)備中，需要選擇一端為主動(dòng)端，而另一端為被動(dòng)端。通常情況下，LACP優(yōu)先級(jí)較高的一端為主動(dòng)端，LACP優(yōu)先級(jí)較低的一端為被動(dòng)端。如果優(yōu)先級(jí)一樣，那么通常選擇MAC地址小的一段為主動(dòng)端。（優(yōu)先級(jí)的數(shù)值越小，優(yōu)先級(jí)越高）。

區(qū)分主動(dòng)端與被動(dòng)端的目的是保證兩端設(shè)備最終確認(rèn)的活動(dòng)接口一致，否則兩端都按照本端各自的接口優(yōu)先級(jí)來選擇活動(dòng)接口，最終兩端所確定的活動(dòng)接口很有可能不一致，聚合鏈路也就無法建立。如下所示：

SwitchA選擇上面的兩個(gè)接口為活動(dòng)接口，而SwitchB選擇下面的兩個(gè)接口為活動(dòng)接口，因?yàn)镾witchA的優(yōu)先級(jí)比較高，所以最終的活動(dòng)接口兩端都以SwitchA為準(zhǔn)，因此應(yīng)首先確定主動(dòng)端，被動(dòng)端按照主動(dòng)端側(cè)的接口優(yōu)先級(jí)來選擇活動(dòng)接口。

6、負(fù)載均衡模式有哪幾種？

鏈路聚合的主要作用是提高帶寬以及增加冗余，而普遍的做法就是在多條物理鏈路上實(shí)行負(fù)載分擔(dān)。

常用的負(fù)載分擔(dān)模式包括：

• dst-ip（目的IP地址）模式：從目的IP地址、出端口的TCP/UDP端口號(hào)中分別選擇指定位的3bit數(shù)值進(jìn)行異或運(yùn)算，根據(jù)運(yùn)算結(jié)果選擇Eth-Trunk表中對(duì)應(yīng)的出接口。
• dst-mac（目的MAC地址）模式：從目的MAC地址、VLAN ID、以太網(wǎng)類型及入端口信息中分別指定位的3bit數(shù)值進(jìn)行異或運(yùn)算，根據(jù)運(yùn)算結(jié)果選擇Eth-Trunk表中對(duì)應(yīng)的出接口。
• src-ip（源IP地址）模式：從源IP地址、入端口的TCP/UDP端口號(hào)中分別指定位的3bit數(shù)值進(jìn)行異或運(yùn)算，根據(jù)運(yùn)算結(jié)果選擇Eth-Trunk表中對(duì)應(yīng)的出接口。
• src-mac（源MAC地址）模式：從源MAC地址、VLAN ID、以太網(wǎng)類型及入端口信息中分別指定位的3bit數(shù)值進(jìn)行異或運(yùn)算，根據(jù)運(yùn)算結(jié)果選擇Eth-Trunk表中對(duì)應(yīng)的出接口。
• src-dst-ip（源IP地址與目的IP地址的異或）模式：對(duì)目的IP地址、源IP地址兩種負(fù)載分擔(dān)模式的運(yùn)算結(jié)果進(jìn)行異或運(yùn)算，根據(jù)運(yùn)算結(jié)果選擇Eth-Trunk表中對(duì)應(yīng)的出接口。
• src-dst-mac（源MAC地址與目的MAC地址的異或）模式：對(duì)目的MAC地址、源MAC地址、VLAN ID、以太網(wǎng)類型及入端口信息中分別選擇指定位的3bit數(shù)值進(jìn)行異或運(yùn)算，根據(jù)運(yùn)算結(jié)果選擇Eth-Trunk表中對(duì)應(yīng)的出接口。

（二）華為網(wǎng)絡(luò)設(shè)備配置命令：

這里從一個(gè)大型的網(wǎng)絡(luò)拓?fù)鋱D的配置說起，將華為網(wǎng)絡(luò)設(shè)備的基礎(chǔ)配置命令寫下來，該拓?fù)鋱D不以實(shí)用性為目的，而是以涉及更多的配置命令及技術(shù)為目的。網(wǎng)絡(luò)拓?fù)鋱D如下：

該拓?fù)鋱D涉及的命令如下：

• 鏈路聚合
• vlan劃分
• 單臂路由及三層交換
• OSPF及RIP的動(dòng)態(tài)路由配置
• 路由重分發(fā)
• PAT及靜態(tài)NAT的配置
• 基本ACL及高級(jí)ACL配置

網(wǎng)絡(luò)拓?fù)浞治觯?/p>

1）OSPF和RIP部分：

R2為公司的網(wǎng)關(guān)路由器，R1模擬公網(wǎng)路由器，所以不可配置去往公司內(nèi)部的路由。公司內(nèi)網(wǎng)使用了兩種動(dòng)態(tài)路由協(xié)議，RIP和OSPF，R2的GE0/0/0、GE0/0/1兩個(gè)接口和SW1、SW2使用了OSPF動(dòng)態(tài)路由，屬于area0。R2的GE0/0/2以及R3和R4 都是用了動(dòng)態(tài)路由協(xié)議RIP。所以需要在R2路由器上進(jìn)行路由重分發(fā)。從而使不同的路由協(xié)議相互學(xué)習(xí)。R2作為網(wǎng)關(guān)路由器，需要有一條默認(rèn)路由指向公網(wǎng)，并且需要將這條默認(rèn)路由重分發(fā)到OSPF及RIP協(xié)議里。

2）鏈路聚合：

SW1和SW2使用鏈路聚合將兩條物理鏈路聚合成一條邏輯鏈路，用于實(shí)現(xiàn)負(fù)載分擔(dān)和備份。設(shè)置SW1為L(zhǎng)ACP主動(dòng)端，邏輯鏈路基于MAC方式進(jìn)行負(fù)載分擔(dān)。

3）NAT及ACL：

模擬內(nèi)網(wǎng)中192.168.10.0/24和192.168.11.0/24這兩個(gè)網(wǎng)段不可以連接公網(wǎng)，所以需要設(shè)置ACL。Windows server 2016搭建一個(gè)web服務(wù)器，使用靜態(tài)NAT發(fā)布到公網(wǎng)，使win 7 客戶端可以訪問到web服務(wù)器。

4）公司內(nèi)部所有的網(wǎng)段都是192.168.X.0/24的網(wǎng)段。

開始配置：

網(wǎng)絡(luò)拓?fù)浔容^大，我們分為多個(gè)部分來配置。

第一部分的配置：

第一部分首先從R2路由器的GE0/0/0和GE0/0/1開始往下配置，依次配置路由器接口IP地址、OSPF、三層交換機(jī)的接口、vlan、鏈路聚的配置、二層交換機(jī)的接口配置以及劃分vlan，最終測(cè)試最下面的PC是否可以ping通路由器的GE0/0/0接口（需要在配置完OSPF后才可ping通）。

由于SW6、SW7和SW5的配置相比起來沒有太大的差別，都是改一下接口類型，創(chuàng)建相應(yīng)的vlan，將接口添加到vlan中，trunk接口允許所有vlan的信息通過，所以，SW6和SW7就不寫注釋了，相應(yīng)的注釋可以參考SW5的配置。

SW6配置如下：

經(jīng)過以上配置，下面的網(wǎng)絡(luò)部分已經(jīng)通了，可以自行使用PC進(jìn)行ping測(cè)試。

第二部分的配置：

第二部分開始配置R2路由器的GE0/0/2接口到R4路由器及下面的交換機(jī)，首先配置R2路由器的GE0/0/2接口IP并配置RIP，進(jìn)行OSPF和RIP的路由重分發(fā)，配置R3的接口IP及RIP路由，最后配置R4的接口IP、單臂路由及RIP路由。

R2路由器配置如下：

經(jīng)過上面的配置，下面這些網(wǎng)絡(luò)就全部搞定了，可以自行使用PC機(jī)進(jìn)行ping測(cè)試。

第三部分的配置：

現(xiàn)在就需要配置Internet部分了，從R2路由器的GE3/0/0接口開始配置，首先配置該接口的IP地址，然后在配置Internet路由器R1的相應(yīng)接口IP地址，注意，Internet路由器R1不可配置路由表，但依然要求所有內(nèi)網(wǎng)可以ping通win 7客戶端，因?yàn)樵趯?shí)際中，公司內(nèi)部的私網(wǎng)地址不可能在公網(wǎng)上進(jìn)行路由，公網(wǎng)上的路由器也不可能配置路由表直接指向公司內(nèi)部，這就需要用到了NAT。為了引出ACL的配置方法，就指定PC5和PC6不可以和公網(wǎng)進(jìn)行通信，剩下的都可以。

R2路由器配置如下：

現(xiàn)在所有配置均以完成，自行配置win7和win server 2016進(jìn)行測(cè)試吧，注意，win7和內(nèi)網(wǎng)進(jìn)行ping測(cè)試或訪問Windows server 2016的服務(wù)時(shí)，需要ping內(nèi)網(wǎng)映射出來的地址和服務(wù)器映射出的公網(wǎng)地址，而不是內(nèi)網(wǎng)服務(wù)器的真實(shí)地址。

歡迎關(guān)注我的頭條號(hào)，私信交流，學(xué)習(xí)更多網(wǎng)絡(luò)技術(shù)！