HCIA-13 链路聚合,ACL

发布于:2025-03-15 ⋅ 阅读:(13) ⋅ 点赞:(0)

HCIA-13   链路聚合,ACL

链路聚合组的基本概念

链路聚合组可以实现保证链路可靠性的情况下,所有链路均可以设置为转发状态。并且组成链路聚合的成员越多,那么链路聚合组的带宽也就越大,成倍增长。

概念

链路聚合组:超级逻辑链路,由多个物理链路组成

• 成员接口 / 链路:用于组成逻辑链路的物理接口就是成员接口。

• 活跃接口: selected  处于此状态的接口可以转发数据

• 非活跃接口:unselected 处于此状态的接口不能转发数据

聚合模式:

手工聚合

手工模式: Eth-Trunk 的建立、成员接口的加入均由手动配置,双方系统之间不使用 LACP 进行协商。

正常情况下所有链路都是活动链路,该模式下所有活动链路都参与数据的转发,平均分担流量,如果某条活动链路故障,链路聚合组自动在剩余的活动链路中平均分担流量。 当聚合的两端设备中存在一个不支持 LACP 协议时,可以使用手工模式。

缺陷:

为了使链路聚合接口正常工作,必须保证本端链路聚合接口中所有成员接口的对端接口:

• 属于同一设备

• 加入同一链路聚合接口

设备间没有报文交互,因此只能通过管理员人工确认。

设备只能通过物理层状态判断对端接口是否正常工作。

手工模式

[s2]interface eth-trunk  1   

[s2-Eth-Trunk1] trunkport XGigabitEthernet 1/0/1

[s2-Eth-Trunk1] trunkport XGigabitEthernet 3/0/1

#创建一个超级逻辑链路,链路接口号为 1

#将物理接口加入到链路聚合组 1 中。

当两端的链路聚合完成后,可通过命令 display eth-trunk 1 查询验证:

LACP(链路聚合控制协议) 聚合

LACP 模式:采用 LACP 协议的一种链路聚合模式。

设备间通过链路聚合控制协议数据单元(Link Aggregation Control Protocol Data Unit,LACPDU)进行交互,通过协议协商确保对端是同一台设备、同一个聚合接口的成员接口。

LACPDU 报文中包含设备优先级、MAC 地址、接口优先级、接口号等

interface Eth-Trunk1

 trunkport GigabitEthernet 0/0/1 to 0/0/04

 mode lacp-static

 max active-linknumber 2

其他概念:阈值 ◦

上限:最大允许几个物理链路加入链路聚合组

下限:保证聚合组中至少保留几个链路才能维持链路聚合组工作

ACL 技术 访问控制列表

10.1.1.0/24 将所有的偶数的 IP 地址匹配出来

rule 5 permit soucre 10.1.1.8 0.0.0.254

00001000

11111110

华为设备上的 ACL(访问控制列表)默认隐藏规则是,对于匹配 ACL 规则的数据包,执行相应的动作;对于没有匹配 ACL 规则的数据包,则按正常的流程转发。具体的默认隐藏规则可能会根据设备和配置的具体情况而有所不同。

默认隐藏规则是在设备上应用 ACL 时的一种默认行为。这意味着,如果没有明确配置特定的 ACL 规则,设备将按照默认行为处理数据包。这种行为通常是允许数据包通过,但具体的默认行为可能会因设备型号和配置而有所不同。

在配置 ACL 时,需要根据具体的需求明确配置规则,以确保设备按照预期的方式处理数据包。例如,可以根据源 IP 地址、目的 IP 地址、协议类型等条件配置规则,并指定允许或拒绝数据包通过的动作。

需要注意的是,不同的设备厂商可能会有不同的默认行为和规则配置方式。因此,具体的配置方法可能会因设备型号和操作系统而有所不同。建议参考设备厂商提供的文档或咨询技术支持以获取准确的配置方法。

acl number 3000

 rule 5 permit tcp source 10.1.1.10 0 destination 22.1.1.2 0 destination-port eq www

 rule 10 deny tcp source 10.1.1.10 0 destination 22.1.1.2 0 destination-port eq ftp

interface GigabitEthernet0/0/1 

 ip address 22.1.1.1 255.255.255.0

 traffic-filter outbound acl 3000

acl number 3000  #启用高级访问控制列表 3000

 rule 5 permit tcp source 10.1.1.10 0 destination 22.1.1.2 0 destination-port eq www

#第一条规则:允许来自于内部的10.1.1.10主机访问 22.1.1.2这台服务器的www服务(80端口),这里的eq表示等于的意思

interface GigabitEthernet0/0/1 

#注意:当访问控制列表需要应用时,需要将列表调用到指定的接口上

 traffic-filter outbound acl 3000

#同路过traffic-filter 过滤出站时调用ACL3000列表内

 

网站公告

今日签到

点亮在社区的每一天
去签到

热门文章

最新发布