Copyright 新华三技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C H3CS H3CIE H3CNE Aolynk H 3 Care IRF NetPilot Net

Transcription

1 H3C S3100V2-52TP&E152B 以太网交换机 二层技术 - 以太网交换配置指导 新华三技术有限公司 资料版本 :6W 产品版本 :Release 2111P02, Release 2112

2 Copyright 新华三技术有限公司及其许可者版权所有, 保留一切权利 未经本公司书面许可, 任何单位和个人不得擅自摘抄 复制本书内容的部分或全部, 并不得以任何形式传播 H3C H3CS H3CIE H3CNE Aolynk H 3 Care IRF NetPilot Netflow SecEngine SecPath SecCenter SecBlade Comware ITCMM HUASAN 华三均为新华三技术有限公司的商标 对于本手册中出现的其它公司的商标 产品标识及商品名称, 由各自权利人拥有 由于产品版本升级或其他原因, 本手册内容有可能变更 H3C 保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利 本手册仅作为使用指导,H3C 尽全力在本手册中提供准确的信息, 但是 H3C 并不确保手册内容完全没有错误, 本手册中的所有陈述 信息和建议也不构成任何明示或暗示的担保

3 前言 本配置指导主要介绍以太网交换技术的原理及具体配置方法 通过这些技术您可以实现流量控制 流量的负载分担 同一 VLAN 内用户隔离 二层环路消除 VLAN 划分 私网报文穿越公网 修改报文的 VLAN Tag 等功能 前言部分包含如下内容 : 读者对象 本书约定 资料意见反馈 读者对象 本手册主要适用于如下工程师 : 网络规划人员 现场技术支持与维护人员 负责网络配置和维护的网络管理员 本书约定 1. 命令行格式约定 格式意义 粗体 斜体 命令行关键字 ( 命令中保持不变 必须照输的部分 ) 采用加粗字体表示 命令行参数 ( 命令中必须由实际值进行替代的部分 ) 采用斜体表示 [ ] 表示用 [ ] 括起来的部分在命令配置时是可选的 { x y... } 表示从多个选项中仅选取一个 [ x y... ] 表示从多个选项中选取一个或者不选 { x y... } * 表示从多个选项中至少选取一个 [ x y... ] * 表示从多个选项中选取一个 多个或者不选 &<1-n> 表示符号 & 前面的参数可以重复输入 1~n 次 # 由 # 号开始的行表示为注释行 2. 图形界面格式约定 格 式 意 义 < > 带尖括号 < > 表示按钮名, 如 单击 < 确定 > 按钮 [ ] 带方括号 [ ] 表示窗口名 菜单名和数据表, 如 弹出 [ 新建用户 ] 窗口 / 多级菜单用 / 隔开 如 [ 文件 / 新建 / 文件夹 ] 多级菜单表示 [ 文件 ] 菜单下的 [ 新建 ] 子菜单下

4 格式意义 的 [ 文件夹 ] 菜单项 3. 各类标志 本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方, 这些标志的意义如下 : 该标志后的注释需给予格外关注, 不当的操作可能会对人身造成伤害 提醒操作中应注意的事项, 不当的操作可能会导致数据丢失或者设备损坏 为确保设备配置成功或者正常工作而需要特别关注的操作或信息 对操作内容的描述进行必要的补充和说明 配置 操作 或使用设备的技巧 小窍门 4. 图标约定 本书使用的图标及其含义如下 : 该图标及其相关描述文字代表一般网络设备, 如路由器 交换机 防火墙等 该图标及其相关描述文字代表一般意义下的路由器, 以及其他运行了路由协议的设备 该图标及其相关描述文字代表二 三层以太网交换机, 以及运行了二层协议的设备 该图标及其相关描述文字代表无线控制器 无线控制器业务板和有线无线一体化交换机的无线控制引擎设备 该图标及其相关描述文字代表无线接入点设备 T 该图标及其相关描述文字代表无线终结单元 T 该图标及其相关描述文字代表无线终结者 该图标及其相关描述文字代表无线 Mesh 设备 该图标代表发散的无线射频信号 该图标代表点到点的无线射频信号 该图标及其相关描述文字代表防火墙 UTM 多业务安全网关 负载均衡等安全设备

5 该图标及其相关描述文字代表防火墙插卡 负载均衡插卡 NetStream 插卡 SSL VPN 插卡 IPS 插卡 ACG 插卡等安全插卡 5. 示例约定由于设备型号不同 配置不同 版本升级等原因, 可能造成本手册中的内容与用户使用的设备显示信息不一致 实际使用中请以设备显示的内容为准 本手册中出现的端口编号仅作示例, 并不代表设备上实际具有此编号的端口, 实际使用中请以设备上存在的端口编号为准 资料意见反馈 如果您在使用过程中发现产品资料的任何问题, 可以通过以下方式反馈 : info@h3c.com 感谢您的反馈, 让我们做得更好!

6 目录 1 以太网端口配置 端口简介 以太网端口的端口编号规则 以太网端口通用配置 Combo 端口配置 以太网端口基本配置 关闭以太网端口 配置以太网端口的流量控制功能 配置以太网端口 down/up 状态抑制时间 配置以太网端口环回测试功能 配置允许长帧通过以太网端口 配置以太网端口节能功能 二层以太网端口配置 二层以太网端口配置任务简介 配置端口组 配置以太网端口自协商速率 配置以太网端口的风暴抑制比 配置以太网端口统计信息的时间间隔 配置以太网端口进行环回监测 配置以太网端口的 MDI 模式 配置以太网端口桥功能 检测以太网端口的连接电缆 配置以太网端口流量阈值控制功能 以太网端口显示和维护 1-16 i

7 1 以太网端口配置 1.1 端口简介 以太网端口的端口编号规则本系列交换机的端口均采用 3 位编号方式 :interface type A/B/C A:IRF 中成员设备的编号, 若未形成 IRF, 其取值为 1 B: 设备上的槽位号 取值为 0 C: 某槽位上的端口编号 1.2 以太网端口通用配置 Combo 端口配置 1. Combo 端口介绍一个 Combo 端口对应设备面板上一个电口和一个光口 电口与其对应的光口是光电复用关系, 两者不能同时工作 ( 当激活其中的一个端口时, 另一个端口就自动处于禁用状态 ), 用户可根据组网需求选择使用电口或光口 电口和光口共用一个端口视图 当用户需要激活电口或光口 配置电口或光口的属性 ( 比如速率 双工等 ) 时, 在同一端口视图下配置 2. 配置准备 本系列交换机的 Combo 端口共有 2 个, 电口和光口的端口号相同,Combo 端口的端口编号请参见具体机型的安装手册 通过 display interface 命令了解当前处于激活状态的是电口还是光口 如果显示信息中包含 Media type is twisted pair, Port hardware type is 1000_BASE_T, 则表示电口处于激活状态, 否则, 则表示光口处于激活状态 也可在 Combo 端口视图下执行 display this 命令查看当前视图下的配置, 若存在 combo enable fiber 命令, 则表示光口处于激活状态, 否则, 则表示电口处于激活状态 3. 配置 Combo 端口的状态表 1-1 配置 Combo 端口的状态 操作命令说明进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 激活 Combo 端口 combo enable { copper fiber } 可选缺省情况下, 电口处于激活状态 1-1

8 1.2.2 以太网端口基本配置 1. 以太网端口基本配置设置以太网端口的双工模式时存在三种情况 : 当希望端口在发送数据包的同时可以接收数据包, 可以将端口设置为全双工 (full) 属性 ; 当希望端口同一时刻只能发送数据包或接收数据包时, 可以将端口设置为半双工 (half) 属性 ; 当设置端口为自协商 (auto) 状态时, 端口的双工状态由本端口和对端端口自动协商而定 设置以太网端口的速率时, 当设置端口速率为自协商 (auto) 状态时, 端口的速率由本端口和对端端口双方自动协商而定 对于千兆二层以太网端口, 可以根据端口的速率自协商能力, 指定自协商速率, 让速率在指定范围内协商, 具体配置请参见 配置以太网端口自协商速率 表 1-2 以太网端口基本配置 操作命令说明进入系统视图 system-view - 进入以太网端口视图 设置当前端口的描述信息 interface interface-type interface-number description text - 可选缺省情况下, 端口的描述信息为 端口名 Interface, 比如 :Ethernet1/0/1 Interface 设置以太网端口的双工模式 duplex { auto full half } 设置以太网端口的速率 speed { auto } 可选光口和 Combo 端口不支持配置 half 参数缺省情况下, 以太网端口的双工模式为 auto( 自协商 ) 状态 可选百兆光口不支持配置 10 和 1000 参数, 千兆光口和 Combo 电口不支持配置 10 和 100 参数缺省情况下, 以太网端口的速率为 auto( 自协商 ) 状态 恢复当前端口的缺省配置 default 可选 对于光口, 配置的速率必须与插入的光模块速率匹配, 如插入千兆光模块时, 需配置 speed 命令的参数为 1000 或 auto 关闭以太网端口 在某些特殊情况下 ( 比如切换了端口的速率或双工模式等 ), 端口相关配置不能立即生效, 需要关闭和激活端口后, 才能生效 1-2

9 表 1-3 关闭以太网端口 操作命令说明 进入系统视图 system-view - 进入相应视图 进入以太网端口视图 进入端口组视图 interface interface-type interface-number port-group manual port-group-name 二者必选其一在以太网端口视图下的配置, 只在当前端口下生效 ; 在端口组视图下的配置在端口组中的所有端口生效 关闭当前端口 shutdown 必选缺省情况下, 端口处于激活状态 手工关闭端口, 即便端口物理上是连通的, 也不能转发报文, 请谨慎使用本特性 配置以太网端口的流量控制功能以太网端口流量控制功能的基本原理是 : 如果本端设备发生拥塞, 它将向对端设备发送消息, 通知对端设备暂时停止发送报文 ; 而对端设备在接收到该消息后将暂时停止向本端发送报文 ; 反之亦然 从而避免了报文丢失现象的发生 流量控制功能通过端口收 / 发 pause 帧来实现 流量控制的工作模式有两种 : 收发模式 ( 配置 flow-control 命令 ): 端口既能接收 又能发送 pause 帧 ; 接收模式 ( 配置 flow-control receive enable 命令 ): 端口只能接收 不能发送 pause 帧 如图 1-1 所示, 当 Port A 和 Port B 以 1000 Mbps 速率转发报文时,Port C 将发生拥塞 为避免报文丢失, 在 Port A 和 Port B 开启流量控制功能 图 1-1 端口的流量控制 配置 Port B 工作在收发模式 配置 Port A 工作在接收模式 : 当 Port C 转发报文出现拥塞时,Switch B 会缓冲报文, 当缓冲报文达到一定值后,Switch B 知道从 Port B 发往 Port C 的流量过大, 超过了 Port C 的转发能力 这时, 处于收发模式的 Port B 会向 Port A 发送 pause 帧, 通知 Port A 暂时停止发送报文 ; Port A 在接收到该 pause 帧后会暂时停止向 Port B 发送报文, 暂停时间长短信息由 pause 帧所携带 当拥塞仍然存在时,Port B 就会一直向 Port A 发送 pause 帧, 直至拥塞解除 因此, 如果要应对单向网络拥塞的情况, 可以在一端配置 flow-control receive enable, 在对端配置 flow-control; 如果要求本端和对端网络拥塞都能处理, 则两端都必须配置 flow-control 1-3

10 表 1-4 开启以太网端口的流量控制功能 操作命令说明 进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 开启以太网端口的流量控制功能 flow-control 二者必选其一 缺省情况下, 以太网端口的接收流 开启以太网端口的接收流量控制功能 flow-control receive enable 量控制功能处于关闭状态 开启或关闭流量控制功能可能会使端口产生 down/up 状态切换, 请开启或关闭此功能时做好相关准备 配置以太网端口 down/up 状态抑制时间以太网端口有两种物理连接状态 :up 和 down 一般情况下, 端口的物理连接状态在 up 与 down 之间切换时, 物理层会向系统报告物理端口连接状态的变化 如果短时间内接口物理状态频繁改变, 上述处理方式会给系统带来额外的开销 此时, 可以在接口下设置物理连接状态抑制功能, 使得在抑制时间内, 系统忽略接口的物理状态变化 ; 经过抑制时间后, 如果状态还没有恢复, 再进行处理 在配置本特性时, 选取的参数不同, 抑制效果不同 : 不指定 mode 参数 : 表示接口状态从 up 变成 down 时, 不会立即上报 CPU 而是等待 delay-time 时间后, 再检查接口状态, 如果状态仍然是 down, 再上报 接口状态从 down 变成 up 时, 立即上报 CPU mode up: 表示接口状态从 down 变成 up 时, 不会立即上报 CPU 而是等待 delay-time 时间后, 再检查接口状态, 如果状态仍然是 up, 再上报 接口状态从 up 变成 down 时, 立即上报 CPU mode updown: 表示接口状态从 up 变成 down 或者 down 变成 up 时, 都不会立即上报 CPU 等待 delay-time 时间后, 再检查接口状态, 如果状态仍然是 down 或者 up, 再上报 表 1-5 设置以太网接口物理连接状态抑制功能 操作命令说明进入系统视图 system-view - 进入以太网接口视图 配置以太网接口物理连接状态抑制功能 interface interface-type interface-number link-delay [ msec ] delay-time [ mode { up updown }] - 缺省情况下, 接口状态改变时, 系统会将接口状态改变立即上报 CPU 1-4

11 配置端口不同状态的抑制功能会同时生效 例如, 先配置了以太网接口 up 状态抑制功能, 后配置以太网接口 down 状态抑制功能, 则以太网接口 up 和 down 状态抑制功能会同时生效 关闭以太网接口物理连接状态抑制功能时, 可以选择性关闭接口物理连接状态抑制功能 例如 : 如果配置了以太网接口 up 和 down 状态抑制功能, 可以通过 undo link-delay delay-time mode up 命令可以只关闭以太网接口 up 状态抑制功能, 以太网接口 down 状态抑制功能会继续生效 link-delay 命令对自然关闭 / 开启的端口有效, 对手工关闭 / 开启 ( 使用 shutdown/undo shutdown 命令 ) 的端口无效 当在端口上设置了以太网端口 down 状态抑制时间后, 若该端口的物理连接状态从 up 变为 down 时, 在该设置的抑制时间内使用 display interface brief 或 display interface 命令将显示该端口一直处于 up 状态 当在端口上设置了以太网端口 up 状态抑制时间后, 若该端口的物理连接状态从 down 变为 up 时, 在该设置的抑制时间内使用 display interface brief 或 display interface 命令将显示该端口一直处于 down 状态 配置以太网端口环回测试功能用户可以开启以太网端口环回测试功能, 检验以太网端口能否正常工作 测试时端口将不能正常转发数据包 以太网端口环回测试功能包括内部环回测试和外部环回测试 内部环回测试 : 该测试在交换芯片内部建立自环, 用以定位芯片内与该端口相关的功能是否出现故障 外部环回测试 : 该测试需要在以太网端口上接一个自环头, 从端口发出的报文通过自环头又环回到该端口, 并被该端口接收 用以定位该端口的硬件功能是否出现故障 表 1-6 配置以太网端口环回测试功能 操作命令说明进入系统视图 system-view - 进入以太网端口视图 配置以太网端口进行环回测试 interface interface-type interface-number loopback { external internal } - 可选缺省情况下, 以太网端口环回测试功能处于关闭状态 1-5

12 端口在手工关闭状态 ( 即端口状态显示为 ADM 或者 Administratively DOWN) 下不能进行内部和外部环回测试 以太网端口开启环回测试功能时将工作在全双工状态 ; 关闭环回测试功能后恢复原有配置 环回测试配置是一次性操作, 不会被记录在配置文件中 配置允许长帧通过以太网端口以太网端口在进行文件传输等大吞吐量数据交换的时候, 可能会收到大于标准以太网帧长的长帧, 对于这样的长帧, 系统会直接丢弃不再进行处理 配置允许长帧通过功能后, 当端口收到大于标准长度又在参数指定长度范围内的长帧时, 系统会继续处理 用户可以通过端口下 ( 以太网端口视图或端口组视图下 ) 的配置方式设置允许指定长度的长帧通过以太网端口 : 在以太网端口视图下执行该命令, 则该配置只在当前端口下生效 ; 在端口组视图下执行该命令, 则该配置在端口组中的所有端口下生效 表 1-7 配置允许长帧通过以太网端口 操作命令说明进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 设置允许长帧通过 jumboframe enable [ value ] 必选缺省情况下, 系统允许最大长度为 字节的帧通过以太网端口 多次执行该命令配置不同的 value 值时, 则最新的配置生效 配置以太网端口节能功能配置以太网端口节能功能后, 如果端口在连续一段时间 ( 由芯片规格决定, 不能通过命令行配置 ) 内没有收发报文, 系统会自动停止对该端口供电, 端口自动进入节能模式 ; 当端口处于节能模式并收到报文时, 系统会自动对该端口供电, 端口自动进入正常模式, 从而达到节能的效果 表 1-8 配置以太网端口节能功能 操作 命令 说明 进入系统视图 system-view 进入以太网端口视图 interface interface-type interface-number 必选 配置以太网端口节能功能 port auto-power-down 必选 缺省情况下, 以太网端口的节能模式处于关闭状态 1-6

13 使用开启此功能的端口与其他设备进行对接时, 若链路不能正常 UP, 可尝试关闭此功能 1.3 二层以太网端口配置 二层以太网端口配置任务简介当以太网端口工作在二层模式 (bridge) 时, 可以进行以下配置 : 表 1-9 二层以太网端口配置任务简介 配置任务说明详细配置 配置端口组配置以太网端口自协商速率配置以太网端口的风暴抑制比配置以太网端口统计信息的时间间隔配置以太网端口进行环回监测配置以太网端口的 MDI 模式配置以太网端口桥功能检测以太网端口的连接电缆配置以太网端口流量阈值控制功能 可选二层以太网端口支持可选二层以太网端口支持可选二层以太网端口支持可选二层以太网端口支持可选二层以太网端口支持可选二层以太网端口支持可选二层以太网端口支持可选二层以太网端口支持可选二层以太网端口支持 配置端口组 对某些功能 ( 比如 配置以太网端口的风暴抑制比等 ), 设备支持多种配置方式 : 用户可以一次配置一个端口, 也可以一次配置多个端口 端口组就是为了实现一次可以配置多个端口而产生的 在端口组视图下, 用户只需输入一次配置命令, 则该端口组内的所有端口都会配置该功能, 以减少重复配置工作 端口组由用户手工创建生成, 用户可将多个二层以太网端口手工加入同一个端口组中 1-7

14 端口组提供了一种批量配置的方式, 系统不支持查看 保存端口组本身的配置, 但可以通过 display current-configuration 或者 display this 命令查看成员端口下当前生效配置 表 1-10 配置手工端口组操作命令说明进入系统视图 system-view - 创建手工端口组, 并进入手工端口组视图 添加二层以太网端口到指定手工端口组中 port-group manual port-group-name group-member interface-list 必选 必选如果使用 group-member interface-type interface-start-number to interface-type interface-end-number 命令形式一次将多个端口加入到指定手工端口组中时, 要求本次加入的所有端口的 interface-end-number 必须大于 interface-start-number 设置允许长帧通过 jumboframe enable [ value ] 必选缺省情况下, 系统允许最大长度为 字节的帧通过以太网端口 多次执行该命令配置不同的 value 值时, 则最新的配置生效 配置以太网端口节能功能 port auto-power-down 必选缺省情况下, 以太网端口的节能模式处于关闭状态 配置以太网端口自协商速率通常情况下, 设备以太网端口速率是通过和对端自协商决定的 协商得到的速率可以是端口速率能力范围内的任意一个速率 通过配置自协商速率可以让以太网端口在能力范围内只协商部分速率, 从而可以控制速率的协商 图 1-2 以太网端口自协商速率应用示意图 IP network Eth1/0/4 Switch A Eth1/0/1 Eth1/0/3 Server 1 Server 2 Server 3 1-8

15 如图 1-2 所示, 服务器群 (Server 1 Server 2 和 Server 3) 通过 Switch A 与外部网络相连, 该服务器群中每台服务器的网卡速率均为 100Mbps,Switch A 与外部网络相连端口 Ethernet1/0/4 的速率也为 100Mbps 如果在 Switch A 上不指定自协商速率范围, 则端口 Ethernet1/0/1 Ethernet1/0/2 和 Ethernet1/0/3 与各服务器网卡进行速率协商的结果将均为 100Mbps, 这样就可能造成出端口 Ethernet1/0/4 的拥塞 在这种情况下, 可通过将端口 Ethernet1/0/1 Ethernet1/0/2 和 Ethernet1/0/3 的自协商速率范围分别设置为 10Mbps, 来避免出端口的拥塞表 1-11 配置以太网端口自协商速率操作命令说明进入系统视图 system-view - 进入以太网端口视图 设置以太网端口的自协商速率范围 interface interface-type interface-number speed auto { } * - 可选 本特性只有具备自协商速率能力的二层以太网电口支持,Combo 端口不支持配置此功能 如果多次使用 speed speed auto 命令设置端口的速率, 则最新配置生效 配置以太网端口的风暴抑制比用户可以在端口下进行配置, 设置端口允许通过的最大广播 组播或未知单播报文流量 当端口上的广播 组播或未知单播流量超过用户设置的值后, 系统将丢弃超出广播 组播或未知单播流量限制的报文, 从而使端口广播 组播或未知单播流量所占的比例降低到限定的范围, 保证网络业务的正常运行 本特性与端口流量阈值控制功能 storm-constrain 不能同时配置, 否则抑制效果不确定 端口流量阈值控制功能的详细描述请参见 配置以太网端口流量阈值控制功能 表 1-12 配置以太网端口的风暴抑制比 操作命令说明 进入系统视图 system-view - 进入以太网端口视图或端口组视图 进入以太网端口视图 进入端口组视图 interface interface-type interface-number port-group manual port-group-name 二者必选其一在以太网端口视图下的配置, 只在当前端口下生效 ; 在端口组视图下的配置在端口组中的所有端口生效 配置以太网端口的广播风暴抑制比 broadcast-suppression { ratio pps max-pps kbps 1-9 可选

16 操作命令说明 max-kbps } 缺省情况下, 所有端口不对广播流量进行抑制 配置以太网端口的组播风暴抑制比例 配置以太网端口的未知单播风暴抑制比 multicast-suppression { ratio pps max-pps kbps max-kbps } unicast-suppression { ratio pps max-pps kbps max-kbps } 可选缺省情况下, 所有端口不对组播流量进行抑制 可选缺省情况下, 所有端口不对未知单播流量进行抑制 如果端口属于某个端口组, 在以太网端口视图或端口组视图下多次配置不同的抑制比数值时, 则最新的配置生效 配置以太网端口统计信息的时间间隔使用以下的配置任务可以设置统计以太网端口报文信息的时间间隔 使用 display interface 命令可以显示端口在该间隔时间内统计的报文信息 使用 reset counters interface 命令可以清除端口的统计信息 表 1-13 配置以太网端口统计信息的时间间隔 操作命令说明进入系统视图 system-view - 进入以太网端口视图 配置端口统计信息的时间间隔 interface interface-type interface-number flow-interval interval - 必选端口统计信息的缺省时间间隔为 300 秒 配置以太网端口进行环回监测端口发生环回是指设备发送出去的报文又回到该设备 环回的存在可能导致广播风暴, 使用本特性能够监测设备端口是否存在环回 根据发生环回时, 报文的收 发端口是否相同, 端口环回分为单端口环回和多端口环回 : 单端口环回指的是端口发送出去的报文又从该端口回到设备, 报文的接收和发送端口相同, 如图 1-3 所示 多端口环回指的是设备上某端口发送出去的报文又从该设备的另一个端口环回到本设备, 如图 1-4 所示 从设备上 Port 1 发送的报文又从 Port 2 接收到, 则认为 Port 1 与 Port 2 之间存在环回 ( 接收到环回报文的端口 Port 2 为被环回端口 ) 1-10

17 图 1-3 单端口环回示意图 图 1-4 多端口环回示意图 Port 1 Port 2 Loop LAN 当用户开启以太网端口环回监测功能后, 如果监测到端口存在环回, 设备会根据环回监测动作对报文的接收端口进行相应的操作 : (1) 对于 Access 端口, 若端口未配置环回监测动作, 则将报文的接收端口变为监测受控状态 处于该状态的端口入方向报文将被丢弃, 出方向报文不受影响, 并生成 Trap 信息和日志信息, 同时删除该端口对应的 MAC 地址转发表项 ; 若端口配置了环回监测动作, 则按照环回监测动作对报文的接收端口进行处理, 并生成 Trap 信息和日志信息, 同时删除该端口对应的 MAC 地址转发表项 ; (2) 对于 Trunk 端口和 Hybrid 端口, 若端口未配置环回监测动作, 则生成 Trap 信息和日志信息 当端口环回监测受控功能也同时开启时 ( 即配置了 loopback-detection control enable), 则将报文的接收端口变为监测受控状态, 处于该状态的端口将不收发任何数据报文, 并生成 Trap 信息和日志信息, 同时删除该端口对应的 MAC 地址转发表项 若端口配置了环回监测动作, 则生成 Trap 信息和日志信息 当端口环回监测受控功能也同时开启时 ( 即配置了 loopback-detection control enable), 按照环回监测动作对报文的接收端口进行处理, 并向终端上报 Trap 信息和日志信息, 同时删除该端口对应的 MAC 地址转发表项 表 1-14 配置以太网端口进行环回监测操作命令说明进入系统视图 system-view - 开启全局的端口环回监测功能 loopback-detection enable 1-11 必选缺省情况下, 全局的端口环回监测

18 操作命令说明 功能处于关闭状态 开启多端口环回监测模式 设置端口环回监测的时间间隔 loopback-detection multi-port-mode enable loopback-detection interval-time time 可选缺省情况下, 多端口环回监测模式处于关闭状态, 即设备只能检测到单端口环回 可选缺省情况下, 端口环回监测的时间间隔为 30 秒 进入以太网端口视图或端口组视图 进入以太网端口视图 进入端口组视图 interface interface-type interface-number port-group manual port-group-name 二者必选其一在以太网端口视图下的配置, 只在当前端口下生效 ; 在端口组视图下的配置在端口组中的所有端口生效 开启指定端口的环回监测功能 开启 Trunk 端口和 Hybrid 端口的环回监测受控功能 配置在 Trunk 端口和 Hybrid 端口允许通过的所有 VLAN 内进行环回监测 配置在发现端口环回后对端口进行的动作 loopback-detection enable loopback-detection control enable loopback-detection per-vlan enable loopback-detection action { no-learning semi-block shutdown } 必选缺省情况下, 端口环回监测功能处于关闭状态 可选缺省情况下, 端口的环回监测受控功能处于关闭状态 可选缺省情况下, 系统只在 Trunk 端口和 Hybrid 端口的缺省 VLAN 内进行环回监测 可选缺省情况下, 对被环回端口进行的动作为 : 端口入方向报文将被丢弃, 出方向报文不受影响, 并生成 Trap 信息和日志信息, 同时删除该端口对应的 MAC 地址转发表项如果指定动作为 shutdown, 则被环回的端口会被系统关闭, 端口物理状态为 Loop down 环回消除后, 需要手工执行 undo shutdown 命令才能恢复端口的转发能力 1-12

19 只有在系统视图下和指定端口视图下均配置了 loopback-detection enable 命令后, 才开启端口的环回监测功能 设备在实现多端口环回监测的同时, 也可进行单端口环回监测 当在系统视图下配置 undo loopback-detection enable 后, 所有端口的环回监测功能均被关闭 对于 Trunk 端口或 Hybrid 端口, 在指定端口视图下配置了 loopback-detection control enable 命令后, 该端口的环回监测动作才生效 当使用 port link-type { access hybrid trunk } 命令修改端口的链路类型后, 该端口下的 loopback-detection action 配置会自动恢复到缺省情况 (port link-type 命令的详细介绍请参见 二层技术 - 以太网交换命令参考 中的 VLAN ) 配置以太网端口的 MDI 模式 光口不支持本特性 用于连接以太网设备的双绞线有两种 : 直通线缆 (straight-through cable) 和交叉线缆 (crossover cable) 为了使以太网端口支持使用这两种线缆, 设备实现了三种 MDI(Medium Dependent Interface, 介质相关端口 ) 模式 :across normal 和 auto 物理以太网端口由 8 个引脚组成, 缺省情况下, 每个引脚都有专门的作用, 比如, 使用引脚 1 和 2 发送信号, 引脚 3 和 6 接收信号 通过设置 MDI 模式, 可以改变引脚在通信中的角色 使用 normal 模式时, 不改变引脚的角色, 即使用引脚 1 和 2 发送信号, 使用引脚 3 和 6 接收信号 ; 如果使用 across 模式, 会改变引脚的角色, 将使用引脚 1 和 2 接收信号, 而使用引脚 3 和 6 发送信号 只有将设备的发送引脚连接到对端的接收引脚后才能正常通信, 所以 MDI 模式需要和两种线缆配合使用 通常情况下, 建议用户使用 auto 模式, 只有当设备不能获取网线类型参数时, 才需要将模式手工指定为 across 或 normal 当使用直通线缆时, 两端设备的 MDI 模式配置不能相同 当使用交叉线缆时, 两端设备的 MDI 模式配置必须相同或者至少有一端设置为 auto 模式 表 1-15 配置以太网端口的 MDI 模式操作命令说明进入系统视图 system-view - 进入以太网端口视图 设置以太网端口的 MDI 模式 interface interface-type interface-number mdi { across auto normal } - 可选以太网端口的 MDI 模式为 auto, 即通过协商来决定物理引脚的角色 ( 发送报文或接收报文 ) 1-13

20 1.3.8 配置以太网端口桥功能某端口收到数据报文后, 会查找设备上的 MAC 地址表 若 MAC 地址表中包含与该报文目的 MAC 地址对应的表项, 但该表项中的转发出端口是接收该报文的端口, 设备将直接丢弃该报文 若在该端口上使能了端口桥功能后, 上述情况下的报文将不会直接被丢弃, 而是通过该端口发送出去 表 1-16 配置以太网端口桥功能 操作 命令 说明 进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 配置以太网端口桥功能 port bridge enable 必选缺省情况下, 未使能端口桥功能 检测以太网端口的连接电缆 光口不支持本特性 在以太网端口上执行该操作会使得已经 up 的链路自动 down up 一次 通过以下配置任务, 用户可以检测设备上以太网端口连接电缆的当前状况, 系统将在 5 秒内返回检测结果 检测内容包括电缆的接收方向 发送方向以及是否存在短路或开路现象, 同时可以检测出故障线缆的长度 表 1-17 检测以太网端口的连接电缆操作命令说明进入系统视图 system-view - 进入以太网端口视图 interface interface-type interface-number - 对以太网端口连接电缆进行一次检测 virtual-cable-test 必选 配置以太网端口流量阈值控制功能 1. 端口流量阈值控制简介端口流量阈值控制功能用于控制以太网上的报文风暴 启用该功能的端口会定时分别检测到达端口的未知单播报文流量 组播报文流量和广播报文流量 如果某类报文流量超过预先设置的上限阈值时, 用户可以通过配置来决定是阻塞该端口还是关闭该端口, 以及是否发送 Trap 和 Log 信息 1-14

21 对于某种类型的报文流量, 可以通过该功能或者以太网端口的风暴抑制功能 ( 请参见 配置 以太网端口的风暴抑制比 ) 来进行抑制, 但是这两种功能不能同时配置, 否则抑制效果不确定 比如, 不能同时配置端口的未知单播报文流量阈值控制功能和未知单播风暴抑制功能 当某种类型的报文流量超过该类报文预设的上限阈值时, 系统提供了两种处理方式 : block 方式 : 当端口上未知单播 组播或广播报文中某类报文的流量大于其上限阈值时, 端口将暂停转发该类报文 ( 其它类型报文照常转发 ), 端口处于阻塞状态, 但仍会统计该类报文的流量 当该类报文的流量小于其下限阈值时, 端口将自动恢复对此类报文的转发 shutdown 方式 : 当端口上未知单播 组播或广播报文中某类报文的流量大于其上限阈值时, 端口将被关闭, 系统停止转发所有报文 当该类报文的流量小于其下限阈值时, 端口状态不会自动恢复, 此时可通过执行 undo shutdown 命令或取消端口上流量阈值的配置来恢复 2. 配置以太网端口流量阈值控制功能表 1-18 配置以太网端口流量阈值控制功能操作命令说明进入系统视图 system-view - 配置端口流量统计时间间隔 storm-constrain interval seconds 可选缺省情况下, 端口流量统计时间间隔为 10 秒 进入以太网端口视图 interface interface-type interface-number - 开启端口流量阈值控制功能, 并设置上限阈值与下限阈值 配置端口流量大于上限阈值的控制动作 配置端口流量超过上限阈值或者从超上限回落到低于下限阈值时输出 Trap 信息 配置端口流量超过上限阈值或者从超上限回落到低于下限阈值时输出 Log 信息 storm-constrain { broadcast multicast unicast } { pps kbps ratio } max-pps-values min-pps-values storm-constrain control { block shutdown } storm-constrain enable trap storm-constrain enable log 必选缺省情况下, 端口不进行流量阈值控制 可选缺省情况下, 端口不进行流量阈值控制 可选缺省情况下, 端口流量超过上限阈值或者从超上限回落到低下限阈值输出 Trap 信息 可选 缺省情况下, 端口流量超过上限阈值或者从超上限回落到低于下限阈值输出 Log 信息 1-15

22 为了保持网络状态的稳定, 建议设置的流量统计时间间隔不低于默认值 本特性实现中系统需要一个完整的周期 ( 周期长度为 seconds) 来收集流量数据, 下一个周期分析数据 采取相应的控制措施 因此, 开启端口流量阈值控制功能后, 如果某类报文流量超过预先设置的上限阈值, 控制动作最短将在一个周期后执行, 最长不会超过两个周期 在同一个端口下, 可以分别对未知单播 组播和广播报文开启流量阈值控制功能, 并设置上限阈值与下限阈值 1.4 以太网端口显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后端口的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令可以清除端口统计信息 表 1-19 以太网端口显示和维护 操作 显示以太网端口的相关信息 显示端口的报文流量统计信息 显示最近一个抽样间隔内处于 up 状态的端口的报文速率统计信息 显示指定端口丢弃报文的信息 显示所有端口丢弃报文摘要的信息 显示指定手工端口组或所有手工端口组的信息 显示端口环回监测功能的开启情况和相关信息 显示端口流量控制信息 命令 display interface [ interface-type ] [ brief [ down description ] ] [ { begin exclude include } regular-expression ] display interface interface-type interface-number [ brief [ description ] ] [ { begin exclude include } regular-expression ] display counters { inbound outbound } interface [ interface-type ] [ { begin exclude include } regular-expression ] display counters rate { inbound outbound } interface [ interface-type ] [ { begin exclude include } regular-expression ] display packet-drop interface [ interface-type [ interface-number ] ] [ { begin exclude include } regular-expression ] display packet-drop summary [ { begin exclude include } regular-expression ] display port-group manual [ all name port-group-name ] [ { begin exclude include } regular-expression ] display loopback-detection [ { begin exclude include } regular-expression ] display storm-constrain [ broadcast multicast unicast ] [ interface interface-type interface-number ] [ { begin exclude include } regular-expression ] 清除以太网端口的统计信息 reset counters interface interface-type [ interface-number ] 清除指定端口丢弃报文的统计信息 reset packet-drop interface [ interface-type [ interface-number ] ] 1-16

23 目录 1 Loopback 接口和 NULL 接口配置 Loopback 接口 Loopback 接口简介 配置 Loopback 接口 Null 接口 Null 接口简介 配置 Null 接口 Loopback 接口和 Null 接口显示和维护 1-2 i

24 1 Loopback 接口和 NULL 接口配置 1.1 Loopback 接口 Loopback 接口简介 Loopback 接口是一种纯软件性质的虚拟接口 Loopback 接口具有以下特点 : Loopback 接口创建后除非手工关闭该接口, 否则 Loopback 接口物理层状态和链路层协议永远处于 UP 状态 Loopback 接口可以配置掩码为全 f 的 IP 地址, 以便节约 IP 地址 当配置 IPv4 地址时, 子网掩码必须是 32 位的 如果配置的子网掩码不是 32 位的, 系统会自动修改为 32; 同样, 当配置 IPv6 地址时, 子网掩码必须是 128 位的 如果配置的掩码不是 128 位的, 系统会自动修改为 128 Loopback 接口下也可以使能路由协议, 可以收发路由协议报文 鉴于上述特点,Loopback 接口的应用非常广泛, 主要表现在 : 将 Loopback 接口地址设置为该设备产生的 IP 数据包的源地址 因为 Loopback 接口地址稳定且是单播地址, 所以通常将 Loopback 接口地址视为设备的标志 在认证或安全等服务器上设置允许或禁止携带 Loopback 接口地址的报文通过, 就相当于允许或禁止某台设备产生的报文通过, 这样可以简化报文过滤规则 但需要注意的是, 将 Loopback 接口地址用于 IP 数据包源地址时, 需借助路由配置来确保 Loopback 接口到对端的路由可达 另外, 任何送到 Loopback 接口的网络数据报文都会被认为是送往设备本身的, 设备将不再转发这些数据包 因为 Loopback 接口状态稳定 ( 永远处于 UP 状态 ), 该接口还常用于动态路由协议 配置 Loopback 接口表 1-1 配置 Loopback 接口 操作命令说明进入系统视图 system-view - 创建 Loopback 接口, 并进 入 Loopback 接口视图 interface loopback interface-number - 配置当前接口的描述信息 description text 可选 缺省情况下, 接口的描述信息为 接口名 Interface 关闭当前接口 shutdown 可选 缺省情况下,Loopback 接口处于开启状态 恢复当前接口的缺省配置 default 可选 1-1

25 在 Loopback 接口上可以配置 IP 地址 IP 路由等参数, 具体配置请参见 三层技术 -IP 业务配置指 导 1.2 Null 接口 Null 接口简介 Null 接口是一种纯软件性质的逻辑接口 它永远处于 up 状态, 但不能转发数据包, 也不能配置 IP 地址和链路层协议 如果在静态路由中指定到达某一网段的下一跳为 Null 接口时, 则任何送到该网段的网络数据报文都会被丢弃, 因此设备通过 Null 接口提供了一种过滤报文的简单方法 将不需要的网络流量发送到 Null 接口, 从而免去配置 ACL( 访问控制列表 ) 的复杂工作 例如 : 使用静态路由配置命令 ip route-static null 0 将丢弃所有去往网段 /16 的报文 配置 Null 接口表 1-2 配置 Null 接口 操作命令说明进入系统视图 system-view - 必选 进入 Null 接口视图 interface null 0 缺省情况下, 设备上已经存在 Null0 接口, 用户不能创建也不能删除 配置当前接口的描述信息 description text 可选 缺省情况下, 接口的描述信息为 接口名 Interface 恢复当前接口的缺省配置 default 可选 1.3 Loopback 接口和 Null 接口显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后接口的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令可以清除接口统计信息 表 1-3 Loopback 接口和 Null 接口显示和维护 操作 命令 显示 Loopback 接口的相关信息 display interface [ loopback ] [ brief [ down description ] ] [ { begin 1-2

26 操作 命令 exclude include } regular-expression ] display interface loopback interface-number [ brief [ description ] ] [ { begin exclude include } regular-expression ] 显示 Null 接口的状态信息 display interface [ null ] [ brief [ down description ] ] [ { begin exclude include } regular-expression ] display interface null 0 [ brief [ description ] ] [ { begin exclude include } regular-expression ] 清除 Loopback 接口的统计信息 reset counters interface [ loopback [ interface-number ] ] 清除 Null 接口的统计信息 reset counters interface [ null [ 0 ] ] 1-3

27 目录 1 端口批量配置 端口批量配置 1-1 i

28 1 端口批量配置 当多个端口需要配置某功能 ( 比如 shutdown) 时, 需要逐个进入端口视图, 在每个端口执行一遍命令, 比较繁琐 此时, 可以使用端口批量配置功能, 达到事半功倍的效果 1.1 端口批量配置 进入端口批量配置视图后, 在命令行提示符下输入?, 将显示端口列表中第一个端口支持的所有命令 在端口批量配置视图下, 只能执行端口列表中第一个端口支持的命令, 不能执行第一个端口不支持但其它成员端口支持的命令 在端口批量配置视图下, 执行 display this 命令, 将显示端口列表中第一个端口当前生效的配置 在端口批量配置视图下执行的配置命令, 对绑定的所有端口生效 如果某个成员端口不支持该命令, 或者命令在某个成员端口下执行失败, 系统会给出相应的提示信息, 不会影响其他成员端口继续执行该命令 表 1-1 端口批量配置操作命令说明进入系统视图 system-view - 进入端口批量配置视图 interface range { interface-type interface-number [ to interface-type interface-number ] } &<1-5> interface range name name [ interface { interface-type interface-number [ to interface-type interface-number ] } &<1-5> ] 二者选其一 interface range name 和 interface range 命令都能提供端口批量配置功能, 它们的差别在于 : interface range name 命令在绑定端口的时候可以定义一个别名, 可以进行多次绑定, 给不同的绑定定义不同的别名, 以示区别, 方便记忆 并且, 后续可以使用别名直接进入端口批量配置视图, 不再需要输出一长串的端口列表, 配置起来更简便 聚合口加入批量端口时, 建议不要将该聚合口的成员端口也加入, 否则在批量端口配置视图下执行某些配置命令时, 可能会导致聚合分裂 批量端口包含的端口数量没有上限, 仅受系统资源限制 端口数量较多时, 在批量端口配置视图下执行命令等待的时间将较长 1-1

29 目录 1 MAC 地址表配置 MAC 地址表简介 MAC 地址表项的生成方式 MAC 地址表项的分类 基于 MAC 地址表的报文转发 配置 MAC 地址表 配置 MAC 地址表项 关闭 VLAN 的 MAC 地址学习功能 配置动态 MAC 地址表项的老化时间 关闭基于目的 MAC 地址刷新老化时间 配置端口最多可以学习到的 MAC 地址数 配置 MAC 地址漫游功能 MAC 地址迁移日志上报配置 MAC 地址表显示和维护 MAC 地址表典型配置举例 MAC Information 配置 MAC Information 简介 MAC Information 介绍 MAC Information 的工作机制 配置 MAC Information 功能 使能全局 MAC Information 功能 使能基于接口的 MAC Information 功能 配置 MAC Information 工作模式 配置发送 Syslog 或 Trap 信息的时间间隔 配置 MAC Information 缓存队列长度 MAC Information 典型配置举例 MAC Information 典型配置举例 2-3 i

30 1 MAC 地址表配置 MAC 地址表中对于接口的相关配置, 目前只能在二层以太网端口 二层聚合接口等二层接口上进行 本章节内容只涉及单播的静态 动态 黑洞 MAC 地址表项的配置 有关静态组播 MAC 地址表项的相关介绍和配置内容, 请参见 IP 组播配置指导 中的 IGMP Snooping 和 MLD Snooping 1.1 MAC 地址表简介 MAC 地址表记录了目的 MAC 地址 MAC 地址对应的出接口以及所属的 VLAN ID 在转发数据时, 设备根据报文中的目的 MAC 地址查询 MAC 地址表, 快速定位出接口, 从而减少广播 通过 display mac-address 命令可以查看 MAC 地址表信息, 例如 : <Sysname> display mac-address MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000f-e Learned Ethernet1/0/1 AGING mac address(es) found MAC 地址表项的生成方式 MAC 地址表项的生成方式有两种 : 自动生成 手工配置 1. 自动生成 MAC 地址表项一般情况下,MAC 地址表是设备通过源 MAC 地址学习过程而自动建立的 设备学习 MAC 地址的方法如下 : 如果从某接口 ( 假设为接口 A) 收到一个数据帧, 设备就会分析该数据帧的源 MAC 地址 ( 假设为 MAC-SOURCE), 并认为目的 MAC 地址为 MAC-SOURCE 的报文可以由接口 A 转发 ; 如果 MAC 地址表中已经包含 MAC-SOURCE, 设备将对该表项进行更新 ; 如果 MAC 地址表中尚未包含 MAC-SOURCE, 设备则将这个新 MAC 地址以及该 MAC 地址对应的接口 A 作为一个新的表项加入到 MAC 地址表中 为适应网络的变化,MAC 地址表需要不断更新 MAC 地址表中自动生成的表项并非永远有效, 每一条表项都有一个生存周期, 到达生存周期仍得不到刷新的表项将被删除, 这个生存周期被称作老化时间 如果在到达生存周期前纪录被刷新, 则重新计算该表项的老化时间 2. 手工配置 MAC 地址表项设备通过源 MAC 地址学习自动建立 MAC 地址表时, 无法区分合法用户和黑客用户的报文, 带来了安全隐患 如果黑客用户将攻击报文的源 MAC 地址伪装成合法用户的 MAC 地址, 并从设备的其它接口进入, 设备就会学习到错误的 MAC 地址表项, 于是就会将本应转发给合法用户的报文转发给黑客用户 1-1

31 为了提高接口安全性, 网络管理员可手工在 MAC 地址表中加入特定 MAC 地址表项, 将用户设备与接口绑定, 从而防止假冒身份的非法用户骗取数据 MAC 地址表项的分类 MAC 地址表项分为 : 静态 MAC 地址表项 动态 MAC 地址表项和黑洞 MAC 地址表项 静态 MAC 地址表项由用户手工配置, 用于目的是某个 MAC 地址的报文从对应端口转发出去, 表项不老化 动态 MAC 地址表项包括用户配置的以及设备通过源 MAC 地址学习得来的, 用于目的是某个 MAC 地址的报文从对应端口转发出去, 表项有老化时间 黑洞 MAC 地址表项用于丢弃含有特定源 MAC 地址或目的 MAC 地址的报文 ( 例如, 出于安全考虑, 可以屏蔽某个用户接收报文 ), 由用户手工配置, 表项不老化 用户手工配置的静态 MAC 地址表项 黑洞 MAC 地址表项不会被动态 MAC 地址表项覆盖, 而动态 MAC 地址表项可以被静态 MAC 地址表项 黑洞 MAC 地址表项覆盖 基于 MAC 地址表的报文转发设备在转发报文时, 根据 MAC 地址表项信息, 会采取以下两种转发方式 : 单播方式 : 当 MAC 地址表中包含与报文目的 MAC 地址对应的表项时, 设备直接将报文从该表项中的转发出接口发送 广播方式 : 当设备收到目的地址为全 1 的报文, 或 MAC 地址表中没有包含对应报文目的 MAC 地址的表项时, 设备将采取广播方式将报文向除接收接口外的所有接口进行转发 1.2 配置 MAC 地址表 以下配置均为可选配置, 且配置过程无先后顺序, 用户可以根据实际情况选择配置 配置 MAC 地址表项 一般情况下, 设备通过源 MAC 地址学习过程自动建立 MAC 地址表 为了提高接口安全性, 网络管理员可手工在 MAC 地址表中加入特定 MAC 地址表项, 将用户设备与 接口绑定, 从而防止假冒身份的非法用户骗取数据 另外, 如果需要丢弃指定源 MAC 地址或目的 MAC 地址的报文, 可配置黑洞 MAC 地址表项 1. 配置静态 / 动态 MAC 地址表项 (1) 全局配置静态 / 动态 MAC 地址表项 表 1-1 全局配置静态 / 动态 MAC 地址表项操作 命令 说明 进入系统视图 system-view - 1-2

32 操作命令说明 添加或者修改静态 / 动态 MAC 地址表项 mac-address { dynamic static } mac-address interface interface-type interface-number vlan vlan-id 必选缺省情况下, 系统没有配置任何 MAC 地址表项 在配置 MAC 地址表项时, 命令中 interface 参数指定的接口必须属于 vlan 参数指定的 VLAN, 而且该 VLAN 必须事先创建, 否则将添加失败 (2) 接口配置静态 / 动态 MAC 地址表项 表 1-2 接口配置静态 / 动态 MAC 地址表项操作 命令 说明 进入系统视图 system-view - 进入二层以太网端口 二层聚合接口视图 interface interface-type interface-number - 在当前接口下添加或者修改静态 / 动态 MAC 地址表项 mac-address { dynamic static } mac-address vlan vlan-id 必选缺省情况下, 接口下没有配置任何 MAC 地址表项 在配置 MAC 地址表项时, 当前的接口必须属于命令中 vlan 参数指定的 VLAN, 而且该 VLAN 必须事先创建, 否则将添加失败 2. 配置黑洞 MAC 地址表项表 1-3 配置黑洞 MAC 地址表项操作 命令 说明 进入系统视图 system-view - 添加或者修改黑洞 MAC 地址表项 mac-address blackhole mac-address vlan vlan-id 必选缺省情况下, 系统没有配置任何 MAC 地址表项 在配置黑洞 MAC 地址表项时, 指定的 VLAN 必须事先创建, 否则将添加失败 1-3

33 1.2.2 关闭 VLAN 的 MAC 地址学习功能有时为了保证设备的安全, 需要关闭 MAC 地址学习功能 常见的危及设备安全的情况是 : 黑客使用大量源 MAC 地址不同的报文攻击设备, 导致设备 MAC 地址表资源耗尽, 造成设备无法根据网络的变化更新 MAC 地址表 关闭 MAC 地址学习功能可以有效防止这种攻击 用户可以关闭设备上的指定 VLAN 的 MAC 地址学习功能 表 1-4 关闭 VLAN 的 MAC 地址学习功能 操作 命令 说明 进入系统视图 system-view - 进入 VLAN 视图 vlan vlan-id - 关闭 VLAN 的 MAC 地址学习功能 mac-address mac-learning disable 必选缺省情况下,VLAN 的 MAC 地址学习功能处于开启状态 关闭 MAC 地址学习功能后, 已经学习到的 MAC 地址表项将继续有效直至老化 配置动态 MAC 地址表项的老化时间当网络拓扑改变后, 动态 MAC 地址表项不会及时自动更新 这样, 由于设备学习不到新的 MAC 地址, 会导致用户流量不能正常转发 因此, 需要配置动态 MAC 地址表项老化时间 超出设定的老化时间, 动态 MAC 地址表项被自动删除, 设备重新进行 MAC 地址学习, 构建新的动态 MAC 地址表项 配置合适的老化时间可以有效利用 MAC 地址老化功能 用户配置的老化时间过长或者过短, 都可能影响设备的运行性能 : 如果用户配置的老化时间过长, 设备可能会保存许多过时的 MAC 地址表项, 从而耗尽 MAC 地址表资源, 导致设备无法根据网络的变化更新 MAC 地址表 如果用户配置的老化时间太短, 设备可能会删除有效的 MAC 地址表项, 可能导致设备广播大量的数据报文, 影响设备的运行性能 表 1-5 配置动态 MAC 地址表项的老化时间 操作命令说明进入系统视图 system-view - 配置动态 MAC 地址表项的老化时间 mac-address timer { aging seconds no-aging } 可选缺省情况下,MAC 地址老化时间为 300 秒 1-4

34 动态 MAC 地址表项的老化时间作用于全部接口上, 地址老化只对动态的 ( 设备学习到的或者用户配置的动态的 )MAC 地址表项起作用 在一个比较稳定的网络, 如果长时间没有流量, 动态 MAC 地址表项会被全部删除, 可能导致设备突然广播大量的数据报文, 被他人侦听, 造成安全隐患, 此时可将动态 MAC 地址表项的老化时间设成 no-aging( 不老化 ), 以减少广播, 增加网络稳定性和安全性 关闭基于目的 MAC 地址刷新老化时间为适应网络的变化, 设备上的动态 MAC 地址表项需要及时老化 因此, 每条动态 MAC 地址表项都有一个老化时间 如果在动态 MAC 地址表项的老化时间超时之前, 设备收到源 MAC 地址或目的 MAC 地址匹配该表项的报文, 则重新计算该表项的老化时间, 即缺省情况下设备基于源 MAC 地址和目的 MAC 地址刷新老化时间 如果希望设备上的动态 MAC 地址仅基于报文的源 MAC 地址刷新老化时间, 可以关闭基于目的 MAC 地址刷新老化时间功能 表 1-6 关闭基于目的 MAC 地址刷新老化时间配置 操作命令说明进入系统视图 system-view - 关闭目的 MAC 地址刷新老化时间 mac-address destination-hit disable 必选缺省情况下, 基于目的 MAC 地址刷新老化时间功能处于开启状态 1. 应用举例 微软的网络负载均衡 (NLB,Network Load Balancing) 功能, 是其在 Windows Server 上开发的一个多服务器集群负载均衡特性 a. NLB 集群 1-5

35 NLB 支持集群内服务器之间的负载分担以及冗余备份, 当发生服务器故障时可以支持数据快速切换 为了保证快速切换,NLB 要求交换机将业务流量转发至集群内的所有服务器或指定服务器, 然后由各服务器将该服务器不期望的流量过滤掉 在 NLB 集群的单播模式下, 集群服务器加入或者切换时会发送一个以虚拟 MAC 为源 MAC 的报文, 交换机会学习到这个虚拟 MAC 之后, 服务器不再以此 MAC 为源地址发送报文, 但是发往服务器的流量会以这个虚拟 MAC 为目的地址 如果设备的 MAC 地址老化允许目的 MAC 地址刷新老化时间, 将导致该虚拟 MAC 无法老化, 从而使流量只能发送到该虚拟 MAC 地址表项所在端口, 无法发送到所有连接服务器的端口 此时, 可以关闭基于目的 MAC 地址刷新老化时间功能, 使该虚拟 MAC 及时老化掉, 从而使发往服务器的报文能够到达集群内的所有服务器 配置端口最多可以学习到的 MAC 地址数通过配置二层以太网端口或端口组最多可以学习到的 MAC 地址数, 用户可以控制设备维护的 MAC 地址表的表项数量 当接口学习到的 MAC 地址数达到配置的最大值时, 该接口将不再对 MAC 地址进行学习 表 1-7 配置接口最多可以学习到的 MAC 地址数操作命令说明进入系统视图 system-view - 进入二层以太网端口 或者端口组视图 进入二层以太网端口视图 进入端口组视图 interface interface-type interface-number port-group manual port-group-name 二者必选其一进入二层以太网端口视图后, 下面进行的配置只在当前接口生效 ; 进入端口组视图后, 下面进行的配置将在端口组的所有接口生效 配置接口最多可以学习到的 MAC 地址数 mac-address max-mac-count count 必选缺省情况下, 没有配置以太网端口 / 端口组最多可以学习到的 MAC 地址数 二层链路聚合端口不支持配置端口最多可以学习到的 MAC 地址数 当以太网端口被配置为聚合组的成员端口后, 如果在这些成员端口上配置端口最多可以学习到的 MAC 地址数, 会导致成员端口不能被选中, 因此, 请不要在聚合组的成员端口上配置端口最多可以学习到的 MAC 地址数 配置 MAC 地址漫游功能如图 1-1 所示, 是 MAC 地址漫游功能的典型应用场景 Device A 和 Device B 是两台配置了 IRF 功能的 S3100V2-52TP 或 E152B 交换机 无线接入点 AP C 和 AP D 分别连接到 IRF 成员设备 Device A 和 Device B 1-6

36 开启 MAC 地址漫游功能后,IRF 成员设备会将学习到的 MAC 地址同步给 IRF 设备内的其他成员设备 如图 1-1 所示, 当 Client A 通过 AP C 接入时,Device A 会将学习到的 Client A 的 MAC 地址同步给 IRF 设备内的其他成员设备 Device B 图 1-1 Client A 通过 AP C 接入时的 MAC 地址表 当用户的接入地点发生变化, 例如从 AP C 的覆盖区域移动到 AP D 的覆盖区域时,IRF 会将 Client A 的 MAC 地址重新学习到 Device B 上, 并将更新后的 MAC 地址同步给 IRF 设备内的其他成员设备 Device A( 如图 1-2 所示 ), 使用户的通信不受任何影响 1-7

37 图 1-2 Client A 移动到通过 AP D 接入时的 MAC 地址表 表 1-8 配置 MAC 地址漫游功能 操作命令说明 进入系统视图 system-view - 配置 MAC 地址漫游功能 mac-address mac-roaming enable 必选缺省情况下,MAC 地址漫游功能处于关闭状态 MAC 地址迁移日志上报配置本功能记录和上报 MAC 地址迁移情况, 包括发生迁移的 MAC 地址 该 MAC 地址所在 VLAN ID 迁移的源接口和新接口 最近迁移时间 以及该 MAC 地址一分钟内迁移的次数 MAC 地址迁移是指 : 设备从某接口 ( 假设接口 A) 学习到某 MAC 地址, 之后从另一接口 ( 假设接口 B) 接收到了以该 MAC 地址为源 MAC 地址的报文, 且接口 B 与接口 A 所属的 VLAN 相同, 则该 MAC 地址表项的出接口改为接口 B, 即 MAC 地址从接口 A 迁移到接口 B 如果 MAC 地址迁移频繁出现, 且同一 MAC 地址总是在特定的两个接口之间迁移, 那么网络中可能存在二层环路 您可以通过 MAC 地址迁移日志上报功能来发现和定位二层环路 表 1-9 配置 MAC 地址迁移日志上报 操作命令说明 进入系统视图 system-view - 1-8

38 操作命令说明 使能 MAC 地址迁移日志上报功能 mac-flapping notification enable 必选缺省情况下,MAC 地址迁移日志上报功能处于关闭状态 使能本功能后, 系统将每分钟上报一次上一分钟发生的 MAC 地址迁移日志 1.3 MAC 地址表显示和维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后 MAC 地址表的运行情况, 通过查看显示信息验证配置的效果 表 1-10 MAC 地址表显示和维护 操作显示 MAC 地址表信息显示 MAC 地址表动态表项的老化时间显示系统或接口 MAC 地址的学习状态显示 MAC 地址表的统计信息 命令 display mac-address [ mac-address [ vlan vlan-id ] [ [ dynamic static ] [ interface interface-type interface-number ] blackhole ] [ vlan vlan-id ] [ count ] ] [ { begin exclude include } regular-expression ] display mac-address aging-time [ { begin exclude include } regular-expression ] display mac-address mac-learning [ interface-type interface-number ] [ { begin exclude include } regular-expression ] display mac-address statistics [ { begin exclude include } regular-expression ] 1.4 MAC 地址表典型配置举例 1. 组网需求 现有一个用户主机 Host A, 它的 MAC 地址为 000f-e235-dc71, 所属 VLAN 为 VLAN 1, 所连的设备接口为 Ethernet1/0/1 为防止 MAC 地址攻击, 在设备的 MAC 地址表中为该用户主机添加一条静态表项 另有一个用户主机 Host B, 它的 MAC 地址为 000f-e235-abcd, 所属 VLAN 为 VLAN 1 由于该用户主机曾经接入网络进行非法操作, 为了避免此种情况再次发生, 在设备上添加一条黑洞 MAC 地址表项, 使该用户主机接收不到报文 配置设备的动态 MAC 地址表项老化时间为 500 秒 1-9

39 2. 组网图 3. 配置步骤 # 增加一个静态 MAC 地址表项 <Sysname> system-view [Sysname] mac-address static 000f-e235-dc71 interface ethernet 1/0/1 vlan 1 # 增加一个黑洞 MAC 地址表项 [Sysname] mac-address blackhole 000f-e235-abcd vlan 1 # 配置动态 MAC 地址表项的老化时间为 500 秒 [Sysname] mac-address timer aging 500 # 查看以太网端口 Ethernet1/0/1 上的 MAC 地址表信息 [Sysname] display mac-address interface ethernet 1/0/1 MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000f-e235-dc71 1 Config static Ethernet 1/0/1 NOAGED mac address(es) found --- # 查看黑洞 MAC 地址表信息 [Sysname] display mac-address blackhole MAC ADDR VLAN ID STATE PORT INDEX AGING TIME(s) 000f-e235-abcd 1 Blackhole N/A NOAGED mac address(es) found --- # 查看动态 MAC 地址表项的老化时间 [Sysname] display mac-address aging-time Mac address aging time: 500s 1-10

40 2 MAC Information 配置 2.1 MAC Information 简介 MAC Information 介绍在网络监控中, 需要对加入和离开网络的用户进行监控 由于 MAC 地址能唯一标识一个网络用户, 所以可以通过监控加入和离开网络的 MAC 地址对用户进行跟踪 通过使用 MAC Information 功能, 当二层以太网端口学习到或删除 MAC 地址时会发送 Syslog 或 Trap 信息, 通过对 Syslog 和 Trap 信息的分析, 监控端可以实现对进入网络的用户进行监控 MAC Information 的工作机制当设备学习到一条新的 MAC 地址或删除掉一条已有 MAC 地址时, 设备将 MAC 地址相关信息写入设备的记录用户信息的缓冲区 当用户设定的发送 MAC 监控 Syslog 或 Trap 的时间间隔到期, 设备立即发送记录的 MAC 地址的 Syslog 或 Trap 信息 设备仅记录和发送通过源 MAC 地址学习自动生成的 MAC 地址 通过 MAC 地址认证的 MAC 地址 通过 802.1X 认证的 MAC 地址 Voice Vlan 匹配的 OUI MAC 地址, 以及安全 MAC 地址等 对黑洞 MAC 地址 静态 MAC 地址 用户配置的动态 MAC 地址 组播 MAC 地址和本机 MAC 地址不进行记录和发送 关于 MAC 地址认证的详细介绍请参见 安全配置指导 中的 MAC 地址认证 关于 802.1X 的详细介绍请参见 安全配置指导 中的 802.1X 关于安全 MAC 地址的详细介绍请参见 安全配置指导 中的 端口安全 关于 Voice VLAN 和 OUI MAC 地址的详细介绍请参见 二层技术 - 以太网交换配置指导 中的 Voice VLAN 2.2 配置 MAC Information 功能 使能全局 MAC Information 功能表 2-1 使能全局 MAC Information 功能 配置步骤命令说明进入系统视图 system-view - 使能全局 MAC Information 功能 mac-address information enable 必选 缺省情况下, 全局 MAC Information 功能处于关闭状态 2-1

41 2.2.2 使能基于接口的 MAC Information 功能表 2-2 使能基于接口的 MAC Information 功能 配置步骤 命令 说明 进入系统视图 system-view - 进入二层以太网端口视图 interface interface-type interface-number - 使能基于接口的 MAC Information 功能 mac-address information enable { added deleted } 必选缺省情况下, 基于接口的 MAC Information 功能处于关闭状态 当全局 MAC Information 功能未使能时, 即使以太网端口下使能了 MAC Information 功能,MAC Information 功能也处于关闭状态 配置 MAC Information 工作模式表 2-3 配置 MAC Information 工作模式 配置步骤命令说明进入系统视图 system-view - 配置 MAC Information 工作模式 mac-address information mode { syslog trap } 可选缺省情况下,MAC 变化通知功能采用 Trap 方式发送 配置发送 Syslog 或 Trap 信息的时间间隔为了防止过多的 Syslog 或 Trap 信息干扰用户, 用户可以配置发送 Syslog 或 Trap 信息的时间间隔, 当到达时间间隔时再发送 Syslog 或 Trap 信息 表 2-4 配置发送 Syslog 或 Trap 信息的时间间隔 配置步骤命令说明进入系统视图 system-view - 配置发送 Syslog 或 Trap 信息的时间间隔 mac-address information interval interval-time 可选缺省情况下, 发送 Syslog 或 Trap 信息的时间间隔为 1 秒 2-2

42 2.2.5 配置 MAC Information 缓存队列长度 MAC Information 缓存队列长度是否为 0 对应着不同的处理方式 : 如果 MAC Information 缓存队列长度为 0, 则当学习到或删除掉一条 MAC 地址时会立即发送 Syslog 或 Trap 信息 如果 MAC Information 缓存队列长度不为 0, 则将 MAC 地址变化信息存放在缓存队列中 当未达到发送 Syslog 或 Trap 的时间间隔, 此时若缓存队列被写满, 新的 MAC 地址变化信息将覆盖缓存队列中最后一条写入的信息 ; 当达到发送 Syslog 或 Trap 的时间间隔时, 不论此时缓存队列是否已被写满, 都发送 Syslog 或 Trap 信息 表 2-5 配置 MAC Information 缓存队列长度 配置步骤命令说明进入系统视图 system-view - 配置 MAC Information 缓存队列长度 mac-address information queue-length value 可选缺省情况下,MAC Information 缓存队列长度为 MAC Information 典型配置举例 MAC Information 典型配置举例 1. 组网需求 Host A 与远端服务器 Server 通过 Device 相连 ; 在 Device 的 Ethernet1/0/1 上使能 MAC Information 功能,Device 将 MAC 变化信息利用 Syslog 方式通过 Ethernet1/0/3 发送给 Host B,Host B 对接收到的 Syslog 信息进行分析并显示 2. 组网图图 2-1 MAC Information 典型配置组网图 Eth1/0/1 Device Eth1/0/2 Host A /24 Eth1/0/3 Server /24 Host B /24 2-3

43 3. 配置步骤 (1) 配置 Device 可以将 Syslog 发送到 Host B 详细内容请参见 网络管理和监控配置指导 中的 信息中心 (2) 使能 MAC Information 功能 # 全局使能 MAC Information <Device> system-view [Device] mac-address information enable # 配置 MAC Information 工作模式为 Syslog 方式 [Device] mac-address information mode syslog # 配置接口 Ethernet1/0/1 使能 MAC Information 功能 [Device] interface ethernet 1/0/1 [Device-Ethernet1/0/1] mac-address information enable added [Device-Ethernet1/0/1] mac-address information enable deleted [Device-Ethernet1/0/1] quit # 配置 MAC Information 缓存队列长度为 100 [Device] mac-address information queue-length 100 # 配置 MAC Information 发送时间间隔为 20 秒 [Device] mac-address information interval

44 目录 1 以太网链路聚合配置 以太网链路聚合简介 基本概念 静态聚合模式 动态聚合模式 聚合负载分担类型 以太网链路聚合配置任务简介 配置聚合组 配置静态聚合组 配置动态聚合组 聚合接口相关配置 配置聚合接口的描述信息 开启聚合接口链路状态变化 Trap 功能 限制聚合组内选中端口的数量 关闭聚合接口 恢复聚合接口的缺省配置 配置聚合负载分担 配置聚合负载分担类型 配置聚合负载分担为本地转发优先 配置聚合流量重定向功能 以太网链路聚合显示与维护 以太网链路聚合典型配置举例 二层静态聚合配置举例 二层动态聚合配置举例 1-18 i

45 1 以太网链路聚合配置 1.1 以太网链路聚合简介 以太网链路聚合简称链路聚合, 它通过将多条以太网物理链路捆绑在一起成为一条逻辑链路, 从而实现增加链路带宽的目的 同时, 这些捆绑在一起的链路通过相互间的动态备份, 可以有效地提高链路的可靠性 如图 1-1 所示,Device A 与 Device B 之间通过三条以太网物理链路相连, 将这三条链路捆绑在一起, 就成为了一条逻辑链路 Link aggregation 1, 这条逻辑链路的带宽等于原先三条以太网物理链路的带宽总和, 从而达到了增加链路带宽的目的 ; 同时, 这三条以太网物理链路相互备份, 有效地提高了链路的可靠性 图 1-1 链路聚合示意图 基本概念 2. 聚合组 成员端口和聚合接口将多个以太网端口捆绑在一起所形成的组合称为聚合组, 而这些被捆绑在一起的以太网端口就称为该聚合组的成员端口 每个聚合组唯一对应着一个逻辑接口, 我们称之为聚合接口 二层聚合组 / 二层聚合接口 : 二层聚合组的成员端口全部为二层以太网端口, 其对应的聚合接口称为二层聚合接口 (Bridge-aggregation Interface,BAGG) 聚合组与聚合接口的编号是一一对应的, 譬如聚合组 1 对应于聚合接口 1 聚合接口的速率和双工模式取决于对应聚合组内的选中端口 ( 请参见 成员端口的状态 ): 聚合接口的速率等于所有选中端口的速率之和, 聚合接口的双工模式则与选中端口的双工模式相同 3. 成员端口的状态聚合组内的成员端口具有以下两种状态 : 选中 (Selected) 状态 : 此状态下的成员端口可以参与用户数据的转发, 处于此状态的成员端口简称为 选中端口 非选中 (Unselected) 状态 : 此状态下的成员端口不能参与用户数据的转发, 处于此状态的成员端口简称为 非选中端口 1-1

46 4. 操作 Key 操作 Key 是系统在进行链路聚合时用来表征成员端口聚合能力的一个数值, 它是根据成员端口上的一些信息 ( 包括该端口的速率 双工模式等 ) 的组合自动计算生成的, 这个信息组合中任何一项的变化都会引起操作 Key 的重新计算 在同一聚合组中, 所有的选中端口都必须具有相同的操作 Key 5. 配置分类根据对成员端口状态的影响不同, 我们可以将成员端口上的配置分为以下三类 : (1) 端口属性类配置 : 包含速率 双工模式和链路状态 (up/down) 这三项配置内容, 是成员端口上最基础的配置内容 (2) 第二类配置 : 包含的配置内容如表 1-1 所示 在聚合组中, 只有与对应聚合接口的第二类配置完全相同的成员端口才能够成为选中端口 表 1-1 第二类配置的内容 配置项 内容 端口隔离 QinQ 配置 VLAN 配置 MAC 地址学习配置 端口是否加入隔离组 端口的 QinQ 功能开启 / 关闭状态 VLAN Tag 的 TPID 值 添加的外层 VLAN Tag 内外层 VLAN 优先级映射关系 不同内层 VLAN ID 添加外层 VLAN Tag 的策略 内层 VLAN ID 替换关系 端口上允许通过的 VLAN 端口缺省 VLAN 端口的链路类型 ( 即 Trunk Hybrid Access 类型 ) 基于 IP 子网的 VLAN 配置 基于协议的 VLAN 配置 VLAN 报文是否带 Tag 配置 是否具有 MAC 地址学习功能 在聚合接口上所作的第二类配置, 将被自动同步到对应聚合组内的所有成员端口上 当聚合接口被删除后, 这些配置仍将保留在这些成员端口上 由于成员端口上第二类配置的改变可能导致其选中 / 非选中状态发生变化, 进而对业务产生影响, 因此当在成员端口上进行此类配置时, 系统将给出提示信息, 由用户来决定是否继续执行该配置 (3) 第一类配置 : 是相对于第二类配置而言的, 包含的配置内容有 GVRP MSTP 等 在聚合组中, 即使某成员端口与对应聚合接口的第一类配置存在不同, 也不会影响该成员端口成为选中端口 在成员端口上所作的第一类配置, 只有当该成员端口退出聚合组后才能生效 6. 参考端口 参考端口从成员端口中选出, 其端口属性类配置和第二类配置将作为同一聚合组内的其它成员端口的参照, 以确定这些成员端口的状态 1-2

47 7. LACP 协议基于 IEEE802.3ad 标准的 LACP(Link Aggregation Control Protocol, 链路聚合控制协议 ) 协议是一种实现链路动态聚合的协议, 运行该协议的设备之间通过互发 LACPDU(Link Aggregation Control Protocol Data Unit, 链路聚合控制协议数据单元 ) 来交互链路聚合的相关信息 (1) LACP 协议的功能根据所使用的 LACPDU 字段的不同, 可将 LACP 协议的功能分为基本功能和扩展功能两大类, 如表 1-2 所示 表 1-2 LACP 协议的功能分类 类别 基本功能 扩展功能 说明 利用 LACPDU 的基本字段可以实现 LACP 协议的基本功能, 基本字段包含以下信息 : 系统 LACP 优先级 系统 MAC 地址 端口聚合优先级 端口编号和操作 Key 动态聚合组内的成员端口会自动使能 LACP 协议, 并通过发送 LACPDU 向对端通告本端的上述信息 当对端收到该 LACPDU 后, 将其中的信息与本端其它成员端口收到的信息进行比较, 以选择能够处于选中状态的成员端口, 使双方可以对各自接口的选中 / 非选中状态达成一致, 从而决定哪些链路可以加入聚合组以及某链路何时可以加入聚合组 通过对 LACPDU 的字段进行扩展, 可以实现对 LACP 协议的扩展 譬如, 通过在扩展字段中定义一个新的 TLV(Type/Length/Value, 类型 / 长度 / 值 ) 数据域, 可以实现 IRF(Intelligent Resilient Framework, 智能弹性架构 ) 中的 LACP MAD(Multi-Active Detection, 多 Active 检测 ) 机制 本系列交换机可以作为成员设备或中间设备来参与 LACP MAD 有关 IRF 成员设备 中间设备和 LACP MAD 机制的详细介绍, 请参见 IRF 配置指导 中的 IRF (2) LACP 优先级根据作用的不同, 可以将 LACP 优先级分为系统 LACP 优先级和端口聚合优先级两类, 如表 1-3 所示 表 1-3 LACP 优先级的分类类别说明比较标准 系统 LACP 优先级 端口聚合优先级 系统 LACP 优先级用于区分两端设备优先级的高低 要想使两端设备的选中端口一致, 可以使一端具有较高的优先级, 另一端则根据优先级较高的一端来选择本端的选中端口 端口聚合优先级用于区分各成员端口成为选中端口的优先程度 优先级数值越小, 优先级越高 (3) LACP 超时时间 LACP 超时时间是指成员端口等待接收 LACPDU 的超时时间 在三倍 LACP 超时时间之后, 如果本端成员端口仍未收到来自对端的 LACPDU, 则认为对端成员端口已失效 LACP 超时时间只有短超时 (1 秒 ) 和长超时 (30 秒 ) 两种取值 8. 聚合模式根据成员端口上是否启用了 LACP 协议, 可以将链路聚合分为静态聚合和动态聚合两种模式, 它们各自的特点如表 1-4 所示 1-3

48 表 1-4 不同聚合模式的特点 聚合模式 成员端口是否开启 LACP 协议 优点 缺点 静态聚合模式 否 一旦配置好后, 端口的选中 / 非选中状态就不会受网络环境的影响, 比较稳定 不能根据对端的状态调整端口的选中 / 非选中状态, 不够灵活 动态聚合模式 是 能够根据对端和本端的信息调整端口的选中 / 非选中状态, 比较灵活 端口的选中 / 非选中状态容易受网络环境的影响, 不够稳定 处于静态聚合模式和动态聚合模式下的聚合组分别称为静态聚合组和动态聚合组, 动态聚合组内的选中端口以及处于 up 状态 与对应聚合接口的第二类配置相同的非选中端口均可以收发 LACPDU 静态聚合模式在静态聚合模式下, 聚合组内的成员端口上不启用 LACP 协议, 其端口状态通过手工进行维护 静态聚合模式的工作机制如下 : 1. 选择参考端口当聚合组内有处于 up 状态的端口时, 先比较端口的聚合优先级, 优先级数值最小的端口作为参考端口 ; 如果优先级相同, 再按照端口的全双工 / 高速率 -> 全双工 / 低速率 -> 半双工 / 高速率 -> 半双工 / 低速率的优先次序, 选择优先次序最高 且第二类配置与对应聚合接口相同的端口作为该组的参考端口 ; 如果优先次序也相同, 则选择端口号最小的端口作为参考端口 2. 确定成员端口的状态静态聚合组内成员端口状态的确定流程如图 1-2 所示 1-4

49 图 1-2 静态聚合组内成员端口状态的确定流程 当一个成员端口的端口属性类配置或第二类配置改变时, 其所在静态聚合组内各成员端口的选中 / 非选中状态可能会发生改变 当静态聚合组内选中端口的数量已达到上限时, 后加入的成员端口即使满足成为选中端口的所有条件, 也不会立刻成为选中端口 这样能够尽量维持当前选中端口上的流量不中断, 但是由于设备重启时会重新计算选中端口, 因此可能导致设备重启前 后各成员端口的选中 / 非选中状态不一致 动态聚合模式 在动态聚合模式下, 聚合组内的成员端口上均启用 LACP 协议, 其端口状态通过该协议自动进行维护 动态聚合模式的工作机制如下 : 1-5

50 1. 选择参考端口 (1) 首先, 从聚合链路的两端选出设备 ID( 由系统的 LACP 优先级和系统的 MAC 地址共同构成 ) 较小的一端 : 先比较两端的系统 LACP 优先级, 优先级数值越小其设备 ID 越小 ; 如果优先级相同再比较其系统 MAC 地址,MAC 地址越小其设备 ID 越小 (2) 其次, 对于设备 ID 较小的一端, 再比较其聚合组内各成员端口的端口 ID( 由端口的聚合优先级和端口的编号共同构成 ): 先比较端口的聚合优先级, 优先级数值越小其端口 ID 越小 ; 如果优先级相同再比较其端口号, 端口号越小其端口 ID 越小 端口 ID 最小的端口作为参考端口 2. 确定成员端口的状态在设备 ID 较小的一端, 动态聚合组内成员端口状态的确定流程如图 1-3 所示 图 1-3 动态聚合组内成员端口状态的确定流程 1-6

51 与此同时, 设备 ID 较大的一端也会随着对端成员端口状态的变化, 随时调整本端各成员端口的状 态, 以确保聚合链路两端成员端口状态的一致 当动态聚合组内同时存在全双工端口和半双工端口时, 全双工端口将优先成为选中端口 ; 只有当所有全双工端口都无法成为选中端口, 或动态聚合组内只有半双工端口时, 才允许从半双工端口中选出一个成为选中端口, 且只有一个半双工端口可成为选中端口 当一个成员端口的端口属性类配置或第二类配置改变时, 其所在动态聚合组内各成员端口的选中 / 非选中状态可能会发生改变 当本端端口的选中 / 非选中状态发生改变时, 其对端端口的选中 / 非选中状态也将随之改变 当动态聚合组内选中端口的数量已达到上限时, 后加入的成员端口一旦满足成为选中端口的所有条件, 就会立刻取代已不满足条件的端口成为选中端口 聚合负载分担类型通过采用不同的聚合负载分担类型及其组合, 可以灵活地实现对聚合组内流量的负载分担 聚合负载分担的类型包括以下几种 : 根据报文的源 / 目的 MAC 地址进行聚合负载分担 根据报文的源 / 目的服务端口号进行聚合负载分担 根据报文的入端口进行聚合负载分担 根据报文的源 / 目的 IP 地址进行聚合负载分担用户可以指定系统按照上述聚合负载分担类型的其中之一或其组合来进行负载分担, 此外用户也可以指定系统按照报文类型 ( 如二层 IPv4 IPv6 等 ) 自动选择聚合负载分担的类型 1.2 以太网链路聚合配置任务简介 表 1-5 以太网链路聚合配置任务简介 配置任务 说明 详细配置 配置聚合组 配置静态聚合组 二者必选其一配置动态聚合组 配置聚合接口的描述信息可选 开启聚合接口链路状态变化 Trap 功能可选 聚合接口相关配置 限制聚合组内选中端口的数量可选 关闭聚合接口可选 恢复聚合接口的缺省配置可选 配置聚合负载分担 配置聚合负载分担类型可选 配置聚合负载分担为本地转发优先可选

52 配置任务说明详细配置 配置聚合流量重定向功能可选 配置聚合组 请根据需要聚合的以太网端口类型来配置相应类型的聚合组 : 当需要聚合的是二层以太网端口时, 请配置二层聚合组 聚合链路的两端应配置相同的聚合模式 配置或使能了下列功能的端口将不能加入二层聚合组 :RRPP( 请参见 可靠性配置指导 /RRPP ) MAC 地址认证 ( 请参见 安全配置指导 /MAC 地址认证 ) 端口安全模式( 请参见 安全配置指导 / 端口安全 ) IP Source Guard 功能 ( 请参见 安全配置指导 /IP Source Guard ) 802.1X 功能 ( 请参见 安全配置指导 /802.1X ) 以及 Portal 免认证规则源接口 ( 请参见 安全配置指导 /Portal ) 用户删除聚合接口时, 系统将自动删除对应的聚合组, 且该聚合组内的所有成员端口将全部离开该聚合组 配置静态聚合组 对于静态聚合模式, 用户需要保证在同一链路两端端口的选中 / 非选中状态的一致性, 否则聚合功能无法正常使用 表 1-6 配置二层静态聚合组 操作命令说明 进入系统视图 system-view - 创建二层聚合接口, 并进入二层聚合接口视图 interface bridge-aggregation interface-number 必选创建二层聚合接口后, 系统将自动生成同编号的二层聚合组, 且该聚合组缺省工作在静态聚合模式下 退回系统视图 quit - 进入二层以太网端口视图 将二层以太网端口加入聚合组 interface interface-type interface-number port link-aggregation group number 必选多次执行此步骤可将多个二层以 1-8

53 操作命令说明 太网端口加入聚合组 配置端口的聚合优先级 link-aggregation port-priority port-priority 可选缺省情况下, 端口的聚合优先级为 改变端口的聚合优先级, 将会影响到静态聚合组成员端口的选中 / 非选中状态 配置动态聚合组 对于动态聚合模式, 聚合链路两端的设备会自动协商同一链路两端的端口在各自聚合组内的选中 / 非选中状态, 用户只需保证本端聚合在一起的端口的对端也同样聚合在一起, 聚合功能即可正常使用 表 1-7 配置二层动态聚合组 操作命令说明 进入系统视图 system-view - 配置系统的 LACP 优先级 创建二层聚合接口, 并进入二层聚合接口视图 配置聚合组工作在动态聚合模式下 lacp system-priority system-priority interface bridge-aggregation interface-number link-aggregation mode dynamic 可选缺省情况下, 系统的 LACP 优先级为 改变系统的 LACP 优先级, 将会影响到动态聚合组成员端口的选中 / 非选中状态 必选创建二层聚合接口后, 系统将自动生成同编号的二层聚合组, 且该聚合组缺省工作在静态聚合模式下 必选缺省情况下, 聚合组工作在静态聚合模式下 退回系统视图 quit - 进入二层以太网端口视图 interface interface-type interface-number 必选 多次执行此步骤可将多个二层以 将二层以太网端口加入聚合组 port link-aggregation group number 太网端口加入聚合组 配置端口的聚合优先级 link-aggregation port-priority port-priority 1-9 可选缺省情况下, 端口的聚合优先级为 改变端口的聚合优先级, 将会影

54 操作命令说明 响到动态聚合组成员端口的选中 / 非选中状态 配置端口的 LACP 超时时间为短超时 ( 即 1 秒 ) lacp period short 可选缺省情况下, 端口的 LACP 超时时间为长超时 ( 即 30 秒 ) 1.4 聚合接口相关配置 本节对能够在聚合接口上进行的部分配置进行介绍 除本节所介绍的以外, 能够在二层以太网端口 上进行的配置大多数也能在二层聚合接口上进行, 具体配置请参见相关的配置手册 配置聚合接口的描述信息 通过在接口上配置描述信息, 可以方便网络管理员根据这些信息来区分各接口的作用 表 1-8 配置聚合接口的描述信息 操作 命令 说明 进入系统视图 system-view - 进入二层聚合接口视图 interface bridge-aggregation interface-number - 配置当前接口的描述信息 description text 可选缺省情况下, 接口的描述信息为 接口名 Interface 开启聚合接口链路状态变化 Trap 功能在聚合接口上开启了接口链路状态变化 Trap 功能后, 可以使聚合接口在链路状态发生改变时生成并发送端口 Link up 和 Link down 的 Trap 报文 有关 Trap 的详细介绍, 请参见 网络管理和监控配置指导 中的 SNMP 表 1-9 开启聚合接口状态变化 Trap 功能 操作命令说明进入系统视图 system-view - 开启全局接口链路状态变化 Trap 功能 进入二层聚合接口视图 开启接口链路状态变化 Trap 功能 snmp-agent trap enable [ standard [ linkdown linkup ] * ] interface bridge-aggregation interface-number enable snmp trap updown 可选缺省情况下, 全局接口链路状态变化 Trap 功能处于开启状态 - 可选缺省情况下, 接口链路状态变化 Trap 功能处于开启状态 1-10

55 1.4.3 限制聚合组内选中端口的数量聚合链路的带宽取决于聚合组内选中端口的数量, 用户通过配置聚合组中的最小选中端口数, 可以避免由于选中端口太少而造成聚合链路上的流量拥塞 当聚合组内选中端口的数量达不到配置值时, 对应的聚合接口将不会 up, 从而使流量可以切换到备份链路上 具体实现如下 : 如果聚合组内能够被选中的成员端口数小于配置值, 这些成员端口都将变为非选中状态, 对应聚合接口的链路状态也将变为 down 当聚合组内能够被选中的成员端口数增加至不小于配置值时, 这些成员端口都将变为选中状态, 对应聚合接口的链路状态也将变为 up 在配置了聚合组中的最大选中端口数之后, 聚合组内选中端口的最大数量将受配置值的限制 用户利用此特性可实现两端口间的冗余备份 : 在一个聚合组中只添加两个成员端口, 并配置该聚合组中的最大选中端口数为 1, 那么在同一时刻这两个成员端口中只能有一个成为选中端口, 另一个将作为备份端口 表 1-10 限制聚合组内选中端口的数量 操作 命令 说明 进入系统视图 system-view - 进入二层聚合接口视图 interface bridge-aggregation interface-number - 配置聚合组中的最小选中端口数 配置聚合组中的最大选中端口数 link-aggregation selected-port minimum number link-aggregation selected-port maximum number 必选缺省情况下, 聚合组中的最小选中端口数不受限制 必选缺省情况下, 聚合组中的最大选中端口数为 8 配置聚合组中的最小选中端口数可能导致聚合组内的所有成员端口都变为非选中状态 配置聚合组中的最大选中端口数可能导致聚合组内的部分成员端口变为非选中状态 要求本端和对端配置的聚合组中的最小 / 最大选中端口数必须一致 关闭聚合接口 对聚合接口的开启 / 关闭操作, 将会影响聚合接口对应的聚合组内成员端口的选中 / 非选中状态和链路状态 : 关闭聚合接口时, 将使对应聚合组内所有处于选中状态的成员端口都变为非选中端口, 且所有成员端口的链路状态都将变为 down 开启聚合接口时, 系统将重新计算对应聚合组内成员端口的选中 / 非选中状态, 且所有成员端口的链路状态都将变为 up 1-11

56 表 1-11 关闭聚合接口操作 命令 说明 进入系统视图 system-view - 进入二层聚合接口视图 interface bridge-aggregation interface-number - 关闭当前接口 shutdown 必选缺省情况下, 聚合接口处于开启状态 恢复聚合接口的缺省配置通过执行本操作可以将接口下的所有配置都恢复为缺省配置 表 1-12 恢复聚合接口的缺省配置 操作 命令 说明 进入系统视图 system-view - 进入二层聚合接口视图 interface bridge-aggregation interface-number - 恢复当前接口的缺省配置 default 必选 1.5 配置聚合负载分担 配置聚合负载分担类型通过改变负载分担的类型, 可以灵活地实现聚合组流量的负载分担 用户既可以指定系统按照报文携带的源 / 目的 MAC 地址 源 / 目的服务端口 报文入端口 源 / 目的 IP 地址等信息之一或其组合来选择所采用的负载分担类型, 也可以指定系统按照报文类型 ( 如二层 IPv4 IPv6 等 ) 自动选择所采用的聚合负载分担类型 用户可以根据需要, 选择全局配置或在聚合组内配置聚合负载分担类型 全局的配置对所有聚合组都有效, 而聚合组内的配置只对当前聚合组有效 对于某聚合组来说, 优先采用该聚合组内的配置, 只有该聚合组内未进行配置时, 才采用全局的配置 改变负载分担的类型仅对单播报文生效, 即可以改变单播报文的聚合负载分担类型 对广播和组播报文无效, 其分担类型只能是缺省模式 1. 全局配置聚合负载分担类型表 1-13 全局配置聚合负载分担类型操作 命令 说明 进入系统视图 system-view

57 操作命令说明 配置全局采用的聚合负载分担类型 link-aggregation load-sharing mode { destination-ip destination-mac destination-port ingress-port source-ip source-mac source-port } * 必选缺省情况下, 二层报文根据入端口号及源 / 目的 MAC 地址进行聚合负载分担, 三层报文根据源 / 目的 IP 地址进行聚合负载分担 目前, 在系统视图下进行全局聚合负载分担类型配置, 交换机只支持 : 根据报文类型自动匹配负载分担类型 ; 根据源 IP 地址进行聚合负载分担 ; 根据目的 IP 地址进行聚合负载分担 ; 根据源 MAC 地址进行聚合负载分担 ; 根据目的 MAC 地址进行聚合负载分担 ; 根据源 IP 地址与目的 IP 地址进行聚合负载分担 ; 根据源 IP 地址与源端口进行聚合负载分担 ; 根据目的 IP 地址与目的端口进行聚合负载分担 ; 根据源 IP 地址 源端口 目的 IP 地址 目的端口进行聚合负载分担 ; 根据报文入端口 源 MAC 地址 目的 MAC 地址之间不同的组合进行聚合负载分担 2. 在聚合组内配置聚合负载分担类型表 1-14 在聚合组内配置聚合负载分担类型操作 命令 说明 进入系统视图 system-view - 进入二层聚合接口视图 interface bridge-aggregation interface-number 必选 配置聚合组内采用的聚合负载分担类型 link-aggregation load-sharing mode { destination-ip destination-mac source-ip source-mac } * 必选 缺省情况下, 聚合组内采用的聚合负载分担类型与全局采用的聚合负载分担类型一致 1-13

58 目前, 在二层聚合接口视图下进行聚合组的聚合负载分担模式配置, 交换机只支持 : 根据报文类型自动匹配负载分担类型 ; 根据源 IP 地址进行聚合负载分担 ; 根据目的 IP 地址进行聚合负载分担 ; 根据源 MAC 地址进行聚合负载分担 ; 根据目的 MAC 地址进行聚合负载分担 ; 根据目的 IP 地址与源 IP 地址进行聚合负载分担 ; 根据目的 MAC 地址与源 MAC 地址进行聚合负载分担 ; 配置聚合负载分担为本地转发优先 聚合负载分担的本地转发优先机制可以降低数据流量对 IRF 物理端口间链路的冲击, 采用与未采用 该机制时的聚合负载分担方式如图 1-4 所示 有关 IRF 的详细介绍, 请参见 IRF 配置指导 中的 IRF 图 1-4 本地转发优先处理流程图 IRF 中, 进入某成员设备的报文出接口为聚合接口, 且对应聚合组的成员端口分布在多个成员设备上 是 该设备上的聚合负载分担是否为本地转发优先? 否 该设备上是否有成员端口? 否 是 只在该设备的各成员端口间进行负载分担 在所有成员设备的所有成员端口间进行负载分担 表 1-15 配置聚合负载分担为本地转发优先 操作命令说明 进入系统视图 system-view - 配置聚合负载分担为本地转发优先 link-aggregation load-sharing mode local-first 可选缺省情况下, 聚合负载分担为本地转发优先 1-14

59 聚合负载分担采用本地转发优先仅对已知单播报文生效 1.6 配置聚合流量重定向功能 在使能了聚合流量重定向功能后, 当重启 IRF 中的某台成员设备时, 系统可以将待重启设备上的聚合成员端口的流量重定向到其它设备上, 从而实现聚合链路上流量的不中断 有关 IRF 的详细介绍, 请参见 IRF 配置指导 中的 IRF 表 1-16 配置聚合流量重定向功能操作命令说明进入系统视图 system-view - 使能聚合流量重定向功能 link-aggregation lacp traffic-redirect-notification enable 可选缺省情况下, 聚合流量重定向功能处于关闭状态 只有动态聚合组支持聚合流量重定向功能, 且仅对已知单播报文生效 必须在聚合链路两端都使能聚合流量重定向功能才能实现聚合链路上流量的不中断 如果同时使能聚合流量重定向功能和 MSTP 功能, 在重启设备时会出现少量的丢包, 因此不建议同时使能上述两个功能 使能了聚合流量重定向功能后, 请勿将配置了物理连接状态抑制的以太网接口加入聚合组 以免聚合组中的选中端口出现异常 有关以太网接口物理连接状态抑制功能请参见 以太网接口命令 中的 link-delay 命令 1.7 以太网链路聚合显示与维护 在完成上述配置后, 在任意视图下执行 display 命令可以显示配置后以太网链路聚合的运行情况, 通过查看显示信息验证配置的效果 在用户视图下执行 reset 命令可以清除端口的 LACP 和聚合接口上的统计信息 表 1-17 以太网链路聚合显示与维护 操作 显示聚合接口的相关信息 命令 display interface [ bridge-aggregation ] [ brief [ down description ] ] [ { begin exclude include } regular-expression ] display interface bridge-aggregation interface-number [ brief [ description ] ] [ { begin exclude include } regular-expression ] 1-15

60 操作 显示本端系统的设备 ID 显示全局或聚合组内采用的聚合负载分担类型 显示成员端口上链路聚合的详细信息 显示所有聚合组的摘要信息 显示指定聚合组的详细信息 命令 display lacp system-id [ { begin exclude include } regular-expression ] display link-aggregation load-sharing mode [ interface [ bridge-aggregation interface-number ] ] [ { begin exclude include } regular-expression ] display link-aggregation member-port [ interface-list ] [ { begin exclude include } regular-expression ] display link-aggregation summary [ { begin exclude include } regular-expression ] display link-aggregation verbose [ bridge-aggregation [ interface-number ] ] [ { begin exclude include } regular-expression ] 清除成员端口上的 LACP 统计信息 reset lacp statistics [ interface interface-list ] 清除聚合接口上的统计信息 reset counters interface [ bridge-aggregation [ interface-number ] ] 1.8 以太网链路聚合典型配置举例 在聚合组中, 只有端口属性类配置 ( 请参见 配置分类 ) 和第二类配置 ( 请参见 配置分类 ) 都与参考端口 ( 请参见 参考端口 ) 相同的成员端口才可以成为选中端口 因此, 用户需通过配置使各成员端口的上述配置与参考端口保持一致, 而除此以外的其它配置则只需在聚合接口上进行, 不必再在成员端口上重复配置 二层静态聚合配置举例 1. 组网需求 Device A 与 Device B 通过各自的二层以太网端口 Ethernet1/0/1~Ethernet1/0/3 相互连接 在 Device A 和 Device B 上分别配置二层静态链路聚合组, 并使两端的 VLAN 10 和 VLAN 20 之间分别互通 通过按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担的方式, 来实现数据流量在各成员端口间的负载分担 1-16

61 2. 组网图 图 1-5 二层静态聚合配置组网图 VLAN 10 VLAN 10 Device A Eth1/0/4 Eth1/0/1 Eth1/0/2 Eth1/0/3 Link aggregation 1 Eth1/0/1 Eth1/0/2 Eth1/0/3 Eth1/0/4 Device B Eth1/0/5 BAGG1 BAGG1 Eth1/0/5 VLAN 20 VLAN 配置步骤 (1) 配置 Device A # 创建 VLAN 10, 并将端口 Ethernet1/0/4 加入到该 VLAN 中 <DeviceA> system-view [DeviceA] vlan 10 [DeviceA-vlan10] port ethernet 1/0/4 [DeviceA-vlan10] quit # 创建 VLAN 20, 并将端口 Ethernet1/0/5 加入到该 VLAN 中 [DeviceA] vlan 20 [DeviceA-vlan20] port ethernet 1/0/5 [DeviceA-vlan20] quit # 创建二层聚合接口 1 [DeviceA] interface bridge-aggregation 1 [DeviceA-Bridge-Aggregation1] quit # 分别将端口 Ethernet1/0/1 至 Ethernet1/0/3 加入到聚合组 1 中 [DeviceA] interface ethernet 1/0/1 [DeviceA-Ethernet1/0/1] port link-aggregation group 1 [DeviceA-Ethernet1/0/1] quit [DeviceA] interface ethernet 1/0/2 [DeviceA-Ethernet1/0/2] port link-aggregation group 1 [DeviceA-Ethernet1/0/2] quit [DeviceA] interface ethernet 1/0/3 [DeviceA-Ethernet1/0/3] port link-aggregation group 1 [DeviceA-Ethernet1/0/3] quit # 配置二层聚合接口 1 为 Trunk 端口, 并允许 VLAN 10 和 20 的报文通过 [DeviceA] interface bridge-aggregation 1 [DeviceA-Bridge-Aggregation1] port link-type trunk [DeviceA-Bridge-Aggregation1] port trunk permit vlan Please wait... Done. Configuring Ethernet1/0/1... Done. 1-17

62 Configuring Ethernet1/0/2... Done. Configuring Ethernet1/0/3... Done. [DeviceA-Bridge-Aggregation1] quit # 配置全局按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担 [DeviceA] link-aggregation load-sharing mode source-mac destination-mac (2) 配置 Device B Device B 的配置与 Device A 相似, 配置过程略 (3) 检验配置效果 # 查看 Device A 上所有聚合组的摘要信息 [DeviceA] display link-aggregation summary Aggregation Interface Type: BAGG -- Bridge-Aggregation, RAGG -- Route-Aggregation Aggregation Mode: S -- Static, D -- Dynamic Loadsharing Type: Shar -- Loadsharing, NonS -- Non-Loadsharing Actor System ID: 0x8000, 000f-e2ff-0001 AGG AGG Partner ID Select Unselect Share Interface Mode Ports Ports Type BAGG1 S none 3 0 Shar 以上信息表明, 聚合组 1 为负载分担类型的二层静态聚合组, 包含有三个选中端口 # 查看 Device A 上全局采用的聚合负载分担类型 [DeviceA] display link-aggregation load-sharing mode Link-Aggregation Load-Sharing Mode: destination-mac address, source-mac address 以上信息表明, 所有聚合组都按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担 二层动态聚合配置举例 1. 组网需求 Device A 与 Device B 通过各自的二层以太网端口 Ethernet1/0/1~Ethernet1/0/3 相互连接 在 Device A 和 Device B 上分别配置二层动态链路聚合组, 并使两端的 VLAN 10 和 VLAN 20 之间分别互通 通过按照报文的源 MAC 地址和目的 MAC 地址进行聚合负载分担的方式, 来实现数据流量在各成员端口间的负载分担 1-18