华为NP课程笔记15-Eth-Trunk与高级VLAN
一、Eth-Trunk
1、Eth-trunk是一种将多个以太网接口捆绑成一个逻辑接口的捆绑技术。Eth-Trunk( 链路聚合技术 )作为一种捆绑技术,可以把多个独立的物理接口绑定在一起作为一个大带宽的逻辑接口使用,这样既不用替换接口板也不会浪费IP地址资源。
2、Eht-Trunk链路聚合模式
手工负载分担模式:默认工作模式,所有链路都参与转发数据
静态LACP模式:部分链路可以是备份链路,只有活跃链路出故障时,备份链路才能进行转发。静态LACP会选取主从,一个主端,一个从端 ,优先级数值越小、MAC地址越小的成为主端,从端接口根据主端接口调节活动接口。端口编号小的作为活动接口。
lacp优先级修改:
lacp priority 32768 //缺省情况下,系统lacp优先级的值为32768
3、eth-trunk可以用于二层的链路聚合,也可以用于三层的链路聚合。缺省情况下,以太网接口工作在二层模式。如果需要配置二层eth-trunk接口,可以通过portswitch命令将该接口切换成 二层接口;如果需要配置三层eth-trunk接口,可以通过undo portswitch命令该接口切换成三层接口。
4、手工负载分担模式
当两台设备中至少有一台不支持LACP协议时,可使用手工负载分担模式的Eth-Trunk来增加设备间的带宽及可靠性。
在手工负载分担模式下,加入Eth-Trunk的链路都进行数据的转发。
5、静态LACP模式
静态LACP模式也称为M:N模式,其中M条链路处于活动状态转发数据,N条链路处于非活动状态作为备份链路。
在静态LACP模式的Eth-Trunk中加入成员接口后,这些接口将向对端通告自己的系统优先级、MAC地址、接口优先级、接口号等信息。对端接收到这些信息后,将这些信息与自身接口所保存的信息比较以选择能够聚合的接口,双方对哪些接口能够成为活动接口达成一致,确定活动链路。
在两端设备中选择系统LACP优先级较高的一端作为主动端,如果系统LACP优先级相同则选择MAC地址较小的一端作为主动端。
系统LACP优先级的值越小,则优先级越高,缺省情况下,系统LACP优先级的值为32768。
接口LACP优先级的值越小,则优先级越高。如果接口LACP优先级相同,接口ID(接口号)小的接口被优先选为活动接口。
接口LACP优先级是为了区别同一个Eth-Trunk中的不同接口被选为活动接口的优先程度,优先级高的接口将优先被选为活动接口。
LACP抢占延时设置:
LACP抢占发生时,处于备用状态的链路将会等待一段时间后再切换到转发状态,这就是抢占延时。配置抢占延时是为了避免由于某些链路状态频繁变化而导致Eth-Trunk数据传输不稳定的情况。
6、Eth-Trunk接口负载分担
Eth-Trunk接口进行负载分担时,可以选择IP地址或者包作为负载分担的散列依据;同时还可以设置成员接口的负载分担权重。
配置负载分担方式
执行命令system-view,进入系统视图。
执行命令interface eth-trunk trunk-id,进入Eth-Trunk接口视图。
执行命令load-balance { ip | packet-all },配置Eth-Trunk接口的散列依据。
缺省情况下,当Eth-Trunk接口根据IP进行散列。
说明:
基于IP的散列算法能保证包顺序,但不能保证带宽利用率。
基于包的散列算法能保证带宽利用率,但不能保证包的顺序。
配置负载分担权重
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入以太网接口视图。
执行命令distribute-weight weight-value,配置Eth-Trunk成员接口的负载分担权重。
缺省情况下,成员接口的负载分担权重为1。
7、相关基础配置命令
将成员接口加入Eth-Trunk时,需要注意以下问题:
成员接口不能有IP地址等三层配置项,也不可以配置任何业务;
成员接口不能配置静态MAC地址;
Eth-Trunk接口不能嵌套,即成员接口不能是Eth-Trunk;
一个以太网接口只能加入到一个Eth-Trunk接口,如果需要加入其他Eth-Trunk接口,必须先退出原来的Eth-Trunk接口;
如果本地设备使用了Eth-Trunk,与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口,两端才能正常通信;
Eth-Trunk有两种工作模式:二层工作模式和三层工作模式。Eth-Trunk的工作模式不影响成员链路的加入,例如,以太网接口既可以加入二层模式的Eth-Trunk,也可以加入三层模式的Eth-Trunk。
int eth-trunk 12 //创建编号为12的eth-trunk,编号本地生效
mode lacy-static //设置为静态lacp模式,默认是手动分担模式
trunkport g0/0/1 //将指定接口加入eth-trunk
max active-linknumber 2 //配置最大活动链路数量,选配
load-balance src-dst-ip //配置指定负载分担方式,选配
undo port-switch //转换为三层eth-trunk,可以配置ip地址
dis eth-trunk 12
int g0/0/2
eth-trunk 12 //端口下加入eth-trunk
4、eth-trunk接口进行负载分担时,可以选择IP地址或者包作为负载分担的散列依据;同时还可以设置成员接口的负载分担权重。
|
接口负载分担 |
特点 |
|
逐流负载分担 |
当报文的源IP地址、目的IP地址都相同或者报文的源MAC地址、目的MAC地址都相同时,这些报文从同一条成员链路上通过 |
|
逐包负载分担 |
以报文为单位分别从不同的成员链路上发送 |
eth-trunk接口中,某成员接口的权重值占所有成员接口负载分担权重之和的比例越大,该成员接口承担的负载就越大。
配置负载分担:
sys
int eth-trunk 10
load-balance ip /packet-all
int g0/0/1
eth-trunk 10
distribute-weight 2 //缺省情况下,成员接口的负载分担权重为1
//基于IP的散列算法能保证包顺序,但不能保证宽带利用率;基于包的散列算法能保证带宽利用率,但不能保证包的顺序。
二、VLAN高级特性
1、VLAN划分方式
(1)基于端口划分,最基础的静态划分方式
vlan 10
int g0/0/0
port link-type access
port default vlan 10
int g0/0/1
port link-type trunk
port trunk a
(2)基于MAC地址划分
vlan 10
mac-vlan mac-address FFDD-EE0C-0D0F
int g0/0/0
port link-type hybrid //只有hybrid端口才支持
port hybrid untagged vlan 10
mac-vlan enable
dis mac-vlan vlan 10
(3)基于IP网段划分
vlan 10
ip-subnet-vlan ip 10.1.1.0 24
int g0/0/0
port link-type hybrid //只有hybrid端口才支持
port hybrid untagged vlan 10
ip-subnet-vlan enable
dis mac-vlan vlan 10
(4)基于协议划分
vlan 10
protocol-vlan
int g0/0/0
port link-type hybrid //只有hybrid端口才支持
port hybrid untagged vlan 10
protocol-vlan vlan 10
dis mac-vlan vlan 10
(5)基于策略划分
多个条件一起使用。
优先级:基于策略>基于MAC\子网>基于协议>基于端口
2、Mux VLAN基本原理
MUX VLAN(Multiplex VLAN)提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
MUX VLAN的划分:
主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
vlan batch 2 3 10
vlan 10
mux-vlan //配置vlan 10为主vlan
subordinate group 3 //配置vlan 3为从vlan中的互通型vlan
subordinate separate 2 //配置vlan 2为从vlan中的隔离型vlan
int g0/0/0
port mux-vlan enable
3、ARP Proxy
(1)、一个物理网络的子网 (subnet)中的源主机向另一个物理网络的子网中的目的主机发送ARP request,和源主机直连的网关用自己的接口MAC地址代替目的主机回ARP reply,这个过程称为ARP代理。
上图中,PC10与PC11处于同一个网段,PC10发送ARP请求时,请求的PC11的IP地址,AR1收到后 ,发现不是自己的端口IP地址,就会直接丢弃ARP请求报文。
在AR1两个接口下开启ARP代理后即可使得PC互通,此时在P10的ARP表里,1.1.2.11和1.1.1.254对应同一个MAC地址。
int g0/0/0
arp-proxy enable
当主机上没有配置缺省网关时,通过ARP Proxy,交换机收到ARP请求后,会使用自己的MAC地址作为ARP请求的回应,使得处于不同物理网络,但网络位相同的主机直接互通。
(2)、ARP Proxy
|
ARP Proxy |
解决的问题 |
|
路由式ARP Proxy |
解决同一网段不同物理网络上计算机的互通问题 |
|
VLAN内ARP Proxy |
解决相同VLAN内,且VLAN配置用户隔离后的网络上计算机互通问题 |
|
VLAN间ARP Proxy |
解决不同VLAN之间对应计算机的三层互通问题 |
4、端口隔离
为了实现报文之间的二层隔离,用户可以将不同的端口加入不同的VLAN,但这样会浪费有限的VLAN资源。采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:
如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。
如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。
启用端口隔离后,各个端口不能二层互通
port-isolate mode all //全局开启,默认开启
int g0/0/0
port-isolate enable //端口启用端口隔离
5、Super vlan
又叫vlan聚合,只在super-vlan接口上配置IP地址,而不必为每个sub-vlan分配 IP地址,所有sub-vlan共用IP网段,解决了IP地址资源浪费的问题。sub-vlan和super-vlan是互通的,super-vlan开启arp代理后,可以实现sub-vlan间互通
配置命令:
vlan batch 10 20 100
vlan 100
aggregate-vlan // 配置为super-vlan,配置 super-vlan的交换机该vlan不能有物理端口,其他没配置super-vlan的交换机vlan正常配置
access-vlan 10 20 //配置sub-vlan,sub-vlan不能有vlan interface,sub-vlan可以访问super-vlan的主机
int vlan 100
arp-proxy inter-sub-vlan-proxy enable //配置vlan间arp代理,sub-vlan间实现互通
6、VLAN Mapping
VLAN Mapping 也叫做VLAN translation,可以实现在用户VLAN ID(私有VLAN)和运营商VLAN ID(业务VLAN,也可以说是公有VLAN)之间相互转换的一个功能。
VLAN Mapping 发生在报文从入端口接收进来之后,从出端口转发出去之前。
当在端口配置了VLAN ID 映射后,端口在向外发送本地VLAN 的帧时,将帧中的VLAN Tag 替换成外部VLAN 的VLAN Tag;在接收外部VLAN 的帧时,将帧中的VLAN Tag替换成本地VLAN的VLAN Tag,这样不同VLAN 间就实现了互相通信。如图所示,当在端口GE1/0/1 上配置了VLAN100 和VLAN10 映射后,端口在向外发送VLAN100 的帧时,将帧中的VLAN Tag 替换成VLAN10 的VLAN Tag;在接收VLAN10 的帧时,将帧中的VLAN Tag 替换成VLAN100 的VLAN Tag,这样VLAN100 和VLAN10 就实现了互相通信。
配置:
[Quidway] interface gigabitethernet 2/0/1
[Quidway-GigabitEthernet2/0/1]port link-type trunk
//配置接口的类型
[Quidway-GigabitEthernet2/0/1]port trunk allow-pass vlan 100
//配置接口允许通过的VLAN,为mapping后的VLAN
[Quidway-GigabitEthernet2/0/1]qinq vlan-translation enable
//使能接口VLAN转换功能
[Quidway-GigabitEthernet2/0/1]port vlan-mapping vlan 1 to 20 map-vlan 100
//配置接口2/0/1上VLAN 1~20的报文mapping成VLAN100