×

Eth-Trunk技术原理

hqy hqy 发表于2021-09-04 11:34:06 浏览1921 评论0

抢沙发发表评论

Eth-Trunk技术原理

把多个独立的物理接口绑定在一起作为一个大带宽的逻辑接口使用,即链路聚合技术,既不用替换接口板也不会浪费IP地址资源。Eth-Trunk是一种捆绑技术,将多个物理接口捆绑成一个逻辑接口,这个逻辑接口就称为Eth-Trunk接口。

对于Eth-Trunk接口,只有以太网接口才可以加入。

Eth-Trunk链路聚合模式:

1、手工负载分担模式;

2、LACP模式。

Eth-Trunk可以用于二层的链路聚合,也可以用于三层的链路聚合。缺省情况下,以太网接口工作在二层模式。如果需要配置二层Eth-Trunk接口,可以通过portswitch命令将该接口切换成二层接口;如果需要配置三层Eth-Trunk接口,可以通过undo portswitch命令将该接口切换成三层接口。

当两台设备中至少有一台不支持LACP协议时,可使用手工负载分担模式的Eth-Trunk来增加设备间的宽带及可靠性。

在手工负载分担模式下,加入Eth-Trunk的链路都进行数据的转发。

LACP模式也称为M:N模式,其中M条链路处于活动转发数据,N条链路处于非活动状态为备份链路。

在两端设备中选择系统LACP优先级较高的一端作为主动端,如果系统LACP优先级相同则选择MAC地址较小的一端作为主动端。系统LACP优先级的值越小,则优先级越高,缺省情况下,系统LACP优先级的值为32768。

接口LACP优先级的值越小,则优先级越高。如果接口LACP优先级相同,接口ID(接口号)小的接口被优先选为活动接口。

LACP抢占发生时,处于备用状态的链路将会等待一段时间后再切换到转发状态,这就是抢占延时。配置抢占延时是为了避免由于某些链路状态频繁变化而导致Eth-Trunk数据传输不稳定的情况。

基于IP的散列算法能保证包顺序,但不能保证带宽利用率。

基于包的散列算法能保证带宽利用率,但不能保证包的顺序。

将成员接口加入Eth-Trunk时,需要注意以下问题:

成员接口不能有IP地址等三层配置项,也不可以配置任何业务;

成员接口不能配置静态MAC地址;

Eth-Trunk接口不能嵌套,即成员接口不能是Eth-Trunk;

一个以太网接口只能加入到一个Eth-Trunk接口,如果需要加入其他Eth-Trunk接口,必须先退出原来的Eth-Trunk接口;

如果本地设备使用了Eth-Trunk,与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口,两端才能正常通信;

Eth-Trunk有两种工作模式:二层工作模式和三层工作模式。Eth-Trunk的工作模式不影响成员链路的加入,例如,以太网接口既可以加入二层模式的Eth-Trunk,也可以加入三层模式的Eth-Trunk。


二、交换机高级特性

MUX VLAN提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。

采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。

在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址接入网络,当学习到的MAC地址数量达到上限后,不再学习新的MAC地址,只允许学习到的MAC地址的设备通信。

MUX VLAN的划分:

主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。

隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。

互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。

端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:

如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。

如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。

配置命令:

port-isolate enable命令用来使能端口隔离功能,默认将端口划入隔离组group 1。

如果希望创建新的group组,使用命令port-isolate enable group后面接所要创建的隔离组组号。

可以在系统视图下执行port-isolate mode all命令配置隔离模式为二层三层都隔离。

查看命令:

使用display port-isolate group all命令可以查看所有创建的隔离组情况。

使用display port-isolate group X(组号)命令可以查看具体的某一个隔离组接口情况。

端口安全经常使用在下列场景中:

应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。

应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。

端口安全类型:

1、安全动态MAC地址

2、安全静态MAC地址

3、Sticky MAC地址

————————————————

版权声明:本文为CSDN博主「运维小白(共同学习)」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。

原文链接:https://blog.csdn.net/weixin_42118728/article/details/105104823


打赏

本文链接:https://www.kinber.cn/post/1861.html 转载需授权!

分享到:


推荐本站淘宝优惠价购买喜欢的宝贝:

image.png

 您阅读本篇文章共花了: 

群贤毕至

访客