Eth-Trunk技术原理
把多个独立的物理接口绑定在一起作为一个大带宽的逻辑接口使用,即链路聚合技术,既不用替换接口板也不会浪费IP地址资源。Eth-Trunk是一种捆绑技术,将多个物理接口捆绑成一个逻辑接口,这个逻辑接口就称为Eth-Trunk接口。
对于Eth-Trunk接口,只有以太网接口才可以加入。
Eth-Trunk链路聚合模式:
1、手工负载分担模式;
2、LACP模式。
Eth-Trunk可以用于二层的链路聚合,也可以用于三层的链路聚合。缺省情况下,以太网接口工作在二层模式。如果需要配置二层Eth-Trunk接口,可以通过portswitch命令将该接口切换成二层接口;如果需要配置三层Eth-Trunk接口,可以通过undo portswitch命令将该接口切换成三层接口。
当两台设备中至少有一台不支持LACP协议时,可使用手工负载分担模式的Eth-Trunk来增加设备间的宽带及可靠性。
在手工负载分担模式下,加入Eth-Trunk的链路都进行数据的转发。
LACP模式也称为M:N模式,其中M条链路处于活动转发数据,N条链路处于非活动状态为备份链路。
在两端设备中选择系统LACP优先级较高的一端作为主动端,如果系统LACP优先级相同则选择MAC地址较小的一端作为主动端。系统LACP优先级的值越小,则优先级越高,缺省情况下,系统LACP优先级的值为32768。
接口LACP优先级的值越小,则优先级越高。如果接口LACP优先级相同,接口ID(接口号)小的接口被优先选为活动接口。
LACP抢占发生时,处于备用状态的链路将会等待一段时间后再切换到转发状态,这就是抢占延时。配置抢占延时是为了避免由于某些链路状态频繁变化而导致Eth-Trunk数据传输不稳定的情况。
基于IP的散列算法能保证包顺序,但不能保证带宽利用率。
基于包的散列算法能保证带宽利用率,但不能保证包的顺序。
将成员接口加入Eth-Trunk时,需要注意以下问题:
成员接口不能有IP地址等三层配置项,也不可以配置任何业务;
成员接口不能配置静态MAC地址;
Eth-Trunk接口不能嵌套,即成员接口不能是Eth-Trunk;
一个以太网接口只能加入到一个Eth-Trunk接口,如果需要加入其他Eth-Trunk接口,必须先退出原来的Eth-Trunk接口;
如果本地设备使用了Eth-Trunk,与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口,两端才能正常通信;
Eth-Trunk有两种工作模式:二层工作模式和三层工作模式。Eth-Trunk的工作模式不影响成员链路的加入,例如,以太网接口既可以加入二层模式的Eth-Trunk,也可以加入三层模式的Eth-Trunk。
二、交换机高级特性
MUX VLAN提供了一种通过VLAN进行网络资源控制的机制。通过MUX VLAN提供的二层流量隔离的机制可以实现企业内部员工之间互相通信,而企业外来访客之间的互访是隔离的。
采用端口隔离功能,可以实现同一VLAN内端口之间的隔离。用户只需要将端口加入到同一隔离组中,就可以实现隔离组内端口之间二层数据的隔离。端口隔离功能为用户提供了更安全、更灵活的组网方案。
在安全性要求较高的网络中,交换机可以开启端口安全功能,禁止非法MAC地址接入网络,当学习到的MAC地址数量达到上限后,不再学习新的MAC地址,只允许学习到的MAC地址的设备通信。
MUX VLAN的划分:
主VLAN(Principal VLAN):可以与MUX VLAN内的所有VLAN进行通信。
隔离型从VLAN(Separate VLAN):只能和Principal VLAN进行通信,和其他类型的VLAN完全隔离,Separate VLAN内部也完全隔离。
互通型从VLAN(Group VLAN):可以和Principal VLAN进行通信,在同一Group VLAN内的用户也可互相通信,但不能和其他Group VLAN或Separate VLAN内的用户通信的VLAN。
端口隔离分为二层隔离三层互通和二层三层都隔离两种模式:
如果用户希望隔离同一VLAN内的广播报文,但是不同端口下的用户还可以进行三层通信,则可以将隔离模式设置为二层隔离三层互通。
如果用户希望同一VLAN不同端口下用户彻底无法通信,则可以将隔离模式配置为二层三层均隔离。
配置命令:
port-isolate enable命令用来使能端口隔离功能,默认将端口划入隔离组group 1。
如果希望创建新的group组,使用命令port-isolate enable group后面接所要创建的隔离组组号。
可以在系统视图下执行port-isolate mode all命令配置隔离模式为二层三层都隔离。
查看命令:
使用display port-isolate group all命令可以查看所有创建的隔离组情况。
使用display port-isolate group X(组号)命令可以查看具体的某一个隔离组接口情况。
端口安全经常使用在下列场景中:
应用在接入层设备,通过配置端口安全可以防止仿冒用户从其他端口攻击。
应用在汇聚层设备,通过配置端口安全可以控制接入用户的数量。
端口安全类型:
1、安全动态MAC地址
2、安全静态MAC地址
3、Sticky MAC地址
————————————————
版权声明:本文为CSDN博主「运维小白(共同学习)」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_42118728/article/details/105104823
推荐本站淘宝优惠价购买喜欢的宝贝:
本文链接:http://hqyman.cn/post/1861.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下~~