信安学习-day15
SNMP原理与配置
一、前言
随着网络技术的飞速发展,企业中网络设备的数量成几何级数增长,网络设备的种类也越来越多,这使得企业网络的管理变得十分复杂。
简单网络管理协议SNMP( Simple Network Management Protocol )可以实现对不同种类和不同厂商的网络设备进行统一管理,大大提升了网络管理的效率。
二、SNMP原理
1.SNMP应用场景
SNMP用来在网络管理系统NMS和被管理设备之间传输管理信息。
SNMP是广泛应用于TCP/IP网络的一种网络管理协议。SNMP提供了一种通过运行网络管理软件NMS(Network Management System)的网络管理工作站来管理网络设备的方法。
SNMP支持以下几种操作:
NMS通过SNMP协议给网络设备发送配置信息。
NMS通过SNMP来查询和获取网络中的资源信息。
网络设备主动向NMS上报告警消息,使得网络管理员能够及时处理各种网络问题。
2.SNMP架构
SNMP包括NMS,Agent和MIB等。
Agent是被管理设备中的一个代理进程。
MIB是一个数据库,它包含了被管理设备所维护的变量。
NMS是运行在网管主机上的网络管理软件。网络管理员通过操作NMS,向被管理设备发出请求,从而可以监控和配置网络设备。
Agent是运行在被管理设备上的代理进程。被管理设备在接收到NMS发出的请求后,由Agent作出响应操作。Agent的主要功能包括:收集设备状态信息、实现NMS对设备的远程操作、向NMS发送告警消息。
管理信息库MIB(Management Information Base)是一个虚拟的数据库,是在被管理设备端维护的设备状态信息集。Agent通过查找MIB来收集设备状态信息。
3.SNMP版本
SNMPv1:实现方便,安全性弱。
网管端工作站上的NMS与被管理设备上的Agent之间,通过交互SNMPv1报文,可以实现网管端对被管理设备的管理。SNMPv1基本上没有什么安全性可言。
SNMPv2c:有一定的安全性。 现在应用最为广泛。
在继承SNMPv1的基础上,其性能、安全性、机密性等方面都有了大的改进。
SNMPv3:定义了一种管理框架,为用户提供了安全的访问机制。
是在SNMPv2基础之上增加、完善了安全和管理机制。SNMPv3体系结构体现了模块化的设计思想,使管理者可以方便灵活地实现功能的增加和修改。SNMPv3的主要特点在于适应性强,可适用于多种操作环境,它不仅可以管理最简单的网络,实现基本的管理功能,也可以提供强大的网络管理功能,满足复杂网络的管理需求
①SNMPv1
SNMPv1定义了5种协议操作:
1.Get-Request:NMS从代理进程的MIB中提取一个或多个参数值。
2.Get-Next-Request:NMS从代理进程的MIB中按照字典式排序提取下一个参数值。
3.Set-Request:NMS设置代理进程MIB中的一个或多个参数值。
4.Response:代理进程返回一个或多个参数值。它是前三种操作的响应操作。
5.Trap:代理进程主动向NMS发送报文,告知设备上发生的紧急或重要事件。
②SNMPv2c
SNMPv2c新增了2种协议操作:
1.GetBulk:相当于连续执行多次GetNext操作。在NMS上可以设置被管理设备在一次GetBulk报文交互时,执行GetNext操作的次数。
2.Inform:被管理设备向NMS主动发送告警。与trap告警不同的是,被管理设备发送Inform告警后,需要NMS进行接收确认。如果被管设备没有收到确认信息则会将告警暂时保存在Inform缓存中,并且会重复发送该告警,直到NMS确认收到了该告警或者发送次数已经达到了最大重传次数。
③SNMPv3
SNMPv3的实现原理和SNMPv1/SNMPv2c基本一致,主要的区别是SNMPv3增加了身份验证和加密处理。
1.NMS向Agent发送不带安全参数的Get请求报文,向Agent获取安全参数等信息。
2.Agent响应NMS的请求,向NMS反馈所请求的参数。
3.NMS向Agent发送带安全参数的Get请求报文。
4.Agent对NMS发送的请求消息进行认证,认证通过后对消息进行解密,解密成功后,向NMS发送加密的响应。
三、SNMP配置
1.配置
snmp-agent命令用来使能SNMP代理。
执行snmp-agent sys-info version [ [ v1 | v2c | v3 ] \ | all ]命令可以配置SNMP系统信息,其中version [ [ v1 | v2c | v3 ] \ | all ]指定设备运行的SNMP版本。缺省情况下,ARG3系列路由器支持SNMPv1,SNMPv2c,SNMPv3版本。
执行snmp-agent trap enable命令,可以激活代理向NMS发送告警消息的功能,这一功能激活后,设备将向NMS上报任何异常事件。另外,还需要指定发送告警通告的接口,本示例中指定的是与NMS相连的GigabitEthernet 0/0/1接口。
2.配置验证
执行display snmp-agent sys-info命令,可以查看系统维护的相关信息,包括设备的物理位置和SNMP版本。
STP原理与配置
一、前言
为了提高网络可靠性,交换网络中通常会使用冗余链路。然而,冗余链路会给交换网络带来环路风险,并导致广播风暴以及MAC地址表不稳定等问题,进而会影响到用户的通信质量。生成树协议STP(Spanning Tree Protocol)可以在提高可靠性的同时又能避免环路带来的各种问题。
二、环路引起的问题
1.二层交换网络
交换机之间通过多条链路互连时,虽然能够提升网络可靠性,但同时也会带来环路问题。
随着局域网规模的不断扩大,越来越多的交换机被用来实现主机之间的互连。如果交换机之间仅使用一条链路互连,则可能会出现单点故障,导致业务中断。为了解决此类问题,交换机在互连时一般都会使用冗余链路来实现备份。
冗余链路虽然增强了网络的可靠性,但是也会产生环路,而环路会带来一系列的问题,继而导致通信质量下降和通信业务中断等问题。
2.交换网络环路的产生
①交换网络环路带来的问题
广播风暴的形成
根据交换机的转发原则,如果交换机从一个端口上接收到的是一个广播帧,或者是一个目的MAC地址未知的单播帧,则会将这个帧向除源端口之外的所有其他端口转发。如果交换网络中有环路,则这个帧会被无限转发,此时便会形成广播风暴,网络中也会充斥着重复的数据帧。
多帧复制
MAC地址表紊乱
交换机是根据所接收到的数据帧的源地址和接收端口生成MAC地址表项的。
主机A向外发送一个单播帧,假设此单播帧的目的MAC地址在网络中所有交换机的MAC地址表中都暂时不存在。SWB收到此数据帧之后,在MAC地址表中生成一个MAC地址表项,00-01-02-03-04-AA,对应端口为G0/0/3,并将其从G0/0/1和G0/0/2端口转发。此例仅以SWB从G0/0/1端口转发此帧为例进行说明。
SWA接收到此帧后,由于MAC地址表中没有对应此帧目的MAC地址的表项,所以SWA会将此帧从G0/0/2转发出去。
SWC接收到此帧后,由于MAC地址表中也没有对应此帧目的MAC地址的表项,所以SWC会将此帧从G0/0/2端口发送回SWB,也会发给主机B。
SWB从G0/0/2接口接收到此数据帧之后,会在MAC地址表中删除原有的相关表项,生成一个新的表项,00-01-02-03-04-AA,对应端口为G0/0/2。此过程会不断重复,从而导致MAC地址表震荡。
三、STP工作原理
1.STP的作用
STP通过阻塞端口来消除环路,并能够实现链路备份的目的。
在以太网中,二层网络的环路会带来广播风暴,MAC地址表震荡,重复数据帧等问题,为解决交换网络中的环路问题,提出了STP。
STP的主要作用:
1.消除环路:通过阻断冗余链路来消除网络中可能存在的环路。
2.链路备份:当活动路径发生故障时,激活备份链路,及时恢复网络连通性。
2.STP实现阻塞端口
STP通过构造一棵树来消除交换网络中的环路。
每个STP网络中,都会存在一个根桥,其他交换机为非根桥。根桥或者根交换机位于整个逻辑树的根部,是STP网络的逻辑中心,非根桥是根桥的下游设备。当现有根桥产生故障时,非根桥之间会交互信息并重新选举根桥,交互的这种信息被称为BPDU。BPDU中包含交换机在参加生成树计算时的各种参数信息,后面会有详细介绍。
STP中定义了三种端口角色:指定端口,根端口和预备端口。
指定端口是交换机向所连网段转发配置BPDU的端口,每个网段有且只能有一个指定端口。一般情况下,根桥的每个端口总是指定端口。
根端口是非根交换机去往根桥路径最优的端口。在一个运行STP协议的交换机上最多只有一个根端口,但根桥上没有根端口。
如果一个端口既不是指定端口也不是根端口,则此端口为预备端口。预备端口将被阻塞。
1.选举一个根网桥。
2.每个非根交换机选举一个根端口。
3.每个网段选举一个指定端口。
4.阻塞非根端口、非指定端口。
3.根桥选举
①网桥ID(BID)
网桥ID是唯一的
选择交换网络中网桥ID最小的交换机成为根网桥
网桥ID=网桥优先级+网桥的MAC地址
网桥优先级:2字节
网桥的MAC地址:6字节
取值范围:0~61440
缺省值(默认值):32768
②执行命令
[Huawei]dis stp //查看网桥ID
-------CIST Global Info-------
CIST Bridge :32768.4c1f-ccbe-3133
③以此拓扑为例,介绍STP的计算过程
根据网桥ID选择根网桥
STP中根桥的选举依据的是桥ID,STP中的每个交换机都会有一个桥ID(Bridge ID) 。桥ID由16位的桥优先级(Bridge Priority)和48位的MAC地址构成。在STP网络中,桥优先级是可以配置的,取值范围是0~65535,默认值为32768。优先级最高的设备(数值越小越优先)会被选举为根桥。如果优先级相同,则会比较MAC地址,MAC地址越小则越优先。
交换机启动后就自动开始进行生成树收敛计算。默认情况下,所有交换机启动时都认为自己是根桥,自己的所有端口都为指定端口,这样BPDU报文就可以通过所有端口转发。对端交换机收到BPDU报文后,会比较BPDU中的根桥ID和自己的桥ID。如果收到的BPDU报文中的桥ID优先级低,接收交换机会继续通告自己的配置BPDU报文给邻居交换机。如果收到的BPDU报文中的桥ID优先级高,则交换机会修改自己的BPDU报文的根桥ID字段,宣告新的根桥。
3.根端口选举
①选择根端口的依据
1>根网桥路径到该非根网桥端口成本最低,从根网桥到达非根网桥的每个端口的开销,开销最小的端口为该非根网桥的根端口;ID根路径成本:网桥到根网桥的路径上所有链路的成本之和;
2>比该网桥对端网桥的网桥ID;
3>比该网桥对端网桥的端口ID;
②.端口ID
端口ID=端口优先级+端口编号
端口优先级:8位
端口编号:8位
取值范围:0~240
缺省值(默认值):128
③命令
[Huawei-Ethernet0/0/3]stp port priority 16 //定义接口优先级
④在非根网桥上,选择一个根端口(RP)
非根交换机在选举根端口时分别依据该端口的根路径开销、对端BID(Bridge ID)、对端PID(Port ID)和本端PID。
交换机的每个端口都有一个端口开销(Port Cost)参数,此参数表示该端口在STP中的开销值。默认情况下端口的开销和端口的带宽有关,带宽越高,开销越小。从一个非根桥到达根桥的路径可能有多条,每一条路径都有一个总的开销值,此开销值是该路径上所有接收BPDU端口的端口开销总和(即BPDU的入方向端口),称为路径开销。非根桥通过对比多条路径的路径开销,选出到达根桥的最短路径,这条最短路径的路径开销被称为RPC(Root Path Cost,根路径开销),并生成无环树状网络。根桥的根路径开销是0。
一般情况下,企业网络中会存在多厂商的交换设备,华为X7系列交换机支持多种STP的路径开销计算标准,提供最大程度的兼容性。缺省情况下,华为X7系列交换机使用IEEE 802.1t标准来计算路径开销。
运行STP交换机的每个端口都有一个端口ID,端口ID由端口优先级和端口号构成。端口优先级取值范围是0到240,步长为16,即取值必须为16的整数倍。缺省情况下,端口优先级是128。端口ID(Port ID)可以用来确定端口角色。
每个非根桥都要选举一个根端口。根端口是距离根桥最近的端口,这个最近的衡量标准是靠路径开销来判定的,即路径开销最小的端口就是根端口。端口收到一个BPDU报文后,抽取该BPDU报文中根路径开销字段的值,加上该端口本身的端口开销即为本端口路径开销。如果有两个或两个以上的端口计算得到的累计路径开销相同,那么选择收到发送者BID最小的那个端口作为根端口。
如果两个或两个以上的端口连接到同一台交换机上,则选择发送者PID最小的那个端口作为根端口。如果两个或两个以上的端口通过Hub连接到同一台交换机的同一个接口上,则选择本交换机的这些端口中的PID最小的作为根端口。
4.指定端口选举
①选择指定端口的依据
为了消除环路形成的可能,STP进行最后的计算,在每个“网段“上选择1个指定端口
根网桥上的端口全都是指定端口
非根桥上的指定端口,选择顺序:
1>某网段到根网桥的路径成本最小
2>端口所在交换机的网桥ID最小
3>该网桥对端网桥端口ID最小(即端口优先级和端口编号,先比优先级,默认为128)
②在每个网段选择1个指定端口(DP)
在网段上抑制其他端口(无论是自己的还是其他设备的)发送BPDU报文的端口,就是该网段的指定端口。每个网段都应该有一个指定端口,根桥的所有端口都是指定端口(除非根桥在物理上存在环路)。
指定端口的选举也是首先比较累计路径开销,累计路径开销最小的端口就是指定端口。如果累计路径开销相同,则比较端口所在交换机的桥ID,所在桥ID最小的端口被选举为指定端口。如果通过累计路径开销和所在桥ID选举不出来,则比较端口ID,端口ID最小的被选举为指定端口。
网络收敛后,只有指定端口和根端口可以转发数据。其他端口为预备端口,被阻塞,不能转发数据,只能够从所连网段的指定交换机接收到BPDU报文,并以此来监视链路的状态。
5.形成阻塞
最终形成逻辑结构无环拓扑
6.端口状态转换
图中所示为STP的端口状态迁移机制,运行STP协议的设备上端口状态有5种:
Forwarding:转发状态。端口既可转发用户流量也可转发BPDU报文,只有根端口或指定端口才能进入Forwarding状态。
Learning:学习状态。端口可根据收到的用户流量构建MAC地址表,但不转发用户流量。增加Learning状态是为了防止临时环路。
Listening:侦听状态。端口可以转发BPDU报文,但不能转发用户流量。
Blocking:阻塞状态。端口仅仅能接收并处理BPDU,不能转发BPDU,也不能转发用户流量。此状态是预备端口的最终状态。
Disabled:禁用状态。端口既不处理和转发BPDU报文,也不转发用户流量。
1 端口初始化或使能;
2 端口被选为根端口或指定端口。
3 端口不再是根端口或指定端口。
4 forward delay计时器超时。
5 端口禁用或链路失效。
7.BPDU
BPDU包含桥ID、路径开销、端口ID、计时器等参数。
为了计算生成树,交换机之间需要交换相关的信息和参数,这些信息和参数被封装在BPDU(Bridge Protocol Data Unit)中。
BPDU有两种类型:配置BPDU和TCN BPDU。
配置BPDU包含了桥ID、路径开销和端口ID等参数。STP协议通过在交换机之间传递配置BPDU来选举根交换机,以及确定每个交换机端口的角色和状态。在初始化过程中,每个桥都主动发送配置BPDU。在网络拓扑稳定以后,只有根桥主动发送配置BPDU,其他交换机在收到上游传来的配置BPDU后,才会发送自己的配置BPDU。
TCN BPDU是指下游交换机感知到拓扑发生变化时向上游发送的拓扑变化通知。
配置BPDU中包含了足够的信息来保证设备完成生成树计算,其中包含的重要信息如下:
根桥ID:由根桥的优先级和MAC地址组成,每个STP网络中有且仅有一个根桥。
根路径开销:到根桥的最短路径开销。
指定桥ID:由指定桥的优先级和MAC地址组成。
指定端口ID:由指定端口的优先级和端口号组成。
Message Age:配置BPDU在网络中传播的生存期。
Max Age:配置BPDU在设备中能够保存的最大生存期。
Hello Time:配置BPDU发送的周期。
Forward Delay:端口状态迁移的延时。
四、STP拓扑变化
1.根桥故障
非根桥会在BPDU老化之后开始根桥的重新选举。
2.直连链路故障
SWB检测到直连链路物理故障后,会将预备端口转换为根端口。
SWB新的根端口会在30 秒后恢复到转发状态。
3.非直连链路故障
非直连链路故障后,SWC的预备端口恢复到转发状态大约需要50秒。
五、STP的配置
1.STP模式
华为X7系列交换机支持三种生成树协议模式。
stp mode { mstp | stp | rstp }命令用来配置交换机的生成树协议模式。缺省情况下,华为X7系列交换机工作在MSTP模式。在使用STP前,STP模式必须重新配置。
2.配置交换机优先级
基于企业业务对网络的需求,一般建议手动指定网络中配置高、性能好的交换机为根桥。
可以通过配置桥优先级来指定网络中的根桥,以确保企业网络里面的数据流量使用最优路径转发。
stp priority priority命令用来配置设备优先级值。priority值为整数,取值范围为0到61440,步长为4096。缺省情况下,交换设备的优先级取值是32768。另外,可以通过stp root primary命令指定生成树里的根桥。
3.配置路径开销
华为X7系列交换机支持三种路径开销标准,以确保和友商设备保持兼容。缺省情况下,路径开销标准为IEEE 802.1t。
stp pathcost-standard { dot1d-1998 | dot1t | legacy }命令用来配置指定交换机上路径开销值的标准。
每个端口的路径开销也可以手动指定。此STP路径开销控制方法须谨慎使用,手动指定端口的路径开销可能会生成次优生成树拓扑。
stp cost cost命令取决于路径开销计算方法:
使用华为的私有计算方法时,cost取值范围是1~200000。
使用IEEE 802.1d标准方法时,cost取值范围是1~65535。
使用IEEE 802.1t标准方法时,cost取值范围是1~200000000。
4.配置验证
display stp命令用来检查当前交换机的STP配置。命令输出中信息介绍如下:
CIST Bridge参数标识指定交换机当前桥ID,包含交换机的优先级和MAC地址。
Bridge Times参数标识Hello定时器、Forward Delay定时器、Max Age定时器的值。
CIST Root/ERPC参数标识根桥ID以及此交换机到根桥的根路径开销。
display stp命令显示交换机上所有端口信息;display stp interface interface命令显示交换机上指定端口信息。其他一些信息还包括端口角色、端口状态、以及使用的保护机制等。
Eth-Trunk技术原理与配置
一、前言
随着网络中部署的业务量不断增长,对于全双工点对点链路,单条物理链路的带宽已不能满足正常的业务流量需求。如果将当前接口板替换为具备更高带宽的接口板,则会浪费现有的设备资源,而且升级代价较大。如果增加设备间的链路数量,则在作为三层口使用时需要在每个接口上配置IP地址,从而导致浪费IP地址资源。
Eth-Trunk( 链路聚合技术 )作为一种捆绑技术,可以把多个独立的物理接口绑定在一起作为一个大带宽的逻辑接口使用,这样既不用替换接口板也不会浪费IP地址资源。本课程我们将详细的介绍Eth-Trunk技术。
二、Eth-Trunk基本原理
1.组网经常遇到的问题
组网中经常遇到的问题:
单条链路带宽有限
单条链路不能实现冗余
此时,可以把多个独立的物理接口绑定在一起作为一个大带宽的逻辑接口使用,即链路聚合技术,既不用替换接口板卡也不会浪费IP地址资源。Eth-Trunk是一种捆绑技术,将多个物理接口捆绑成一个逻辑接口,这个逻辑接口就称为Eth-Trunk接口。
对于Eth-Trunk接口,只有以太网接口才可以加入,下面我们将具体介绍局域网中的Eth-Trunk技术。
2.Eth-Trunk概念
Eth-Trunk是一种将多个以太网接口捆绑成一个逻辑接口的捆绑技术。
Eth-Trunk链路聚合模式:
手工负载分担模式;
LACP模式。
根据不同的链路聚合模式,Eth-Trunk接口可以实现增加带宽、负载分担等,帮助提高网络的可靠性。
Eth-Trunk可以用于二层的链路聚合,也可以用于三层的链路聚合。缺省情况下,以太网接口工作在二层模式。如果需要配置二层Eth-Trunk接口,可以通过portswitch命令将该接口切换成二层接口;如果需要配置三层Eth-Trunk接口,可以通过undo portswitch命令将该接口切换成三层接口。
3.手工负载分担模式
当两台设备中至少有一台不支持LACP协议时,可使用手工负载分担模式的Eth-Trunk来增加设备间的带宽及可靠性。
在手工负载分担模式下,加入Eth-Trunk的链路都进行数据的转发。
4.LACP模式
①LACP:链路汇聚控制协议
LACP模式也称为M:N模式,其中M条链路处于活动状态转发数据,N条链路处于非活动状态作为备份链路。
图中设置的活跃链路数为2,即2条链路处于转发状态,1条链路处于备份状态,不转发数据,只有当活跃的链路出现故障时,备份链路才进行转发。
成员接口间M:N备份:
如图所示,两台设备间有M+N(2+1)条链路,在聚合链路上转发流量时在M(2)条链路上负载分担,不在另外的N(1)条链路转发流量。此时链路的实际带宽为M(2)条链路的总和,但是能提供的最大带宽为M+N(2+1)条链路的总和;
当M(2)条链路中有一条链路故障时,LACP会从N(1)条备份链路中找出一条优先级高的可用链路替换故障链路。此时链路的实际带宽还是M(2)条链路的总和,但是能提供的最大带宽就变为M+N-1(2+1-1)条链路的总和。
②LACP模式活动链路的选取
如图所示,设备之间相连的链路数为3条,设置的最大活跃链路数为2,即2条链路处于转发状态,1条链路处于备份状态。
在LACP模式的Eth-Trunk中加入成员接口后,这些接口将向对端通告自己的系统优先级、MAC地址、接口优先级、接口号等信息。对端接收到这些信息后,将这些信息与自身接口所保存的信息比较以选择能够聚合的接口,双方对哪些接口能够成为活动接口达成一致,确定活动链路。
在两端设备中选择系统LACP优先级较高的一端作为主动端,如果系统LACP优先级相同则选择MAC地址较小的一端作为主动端。
系统LACP优先级的值越小,则优先级越高,缺省情况下,系统LACP优先级的值为32768。
接口LACP优先级的值越小,则优先级越高。如果接口LACP优先级相同,接口ID(接口号)小的接口被优先选为活动接口。
接口LACP优先级是为了区别同一个Eth-Trunk中的不同接口被选为活动接口的优先程度,优先级高的接口将优先被选为活动接口。
③LACP模式的抢占机制
LACP抢占延时设置:
LACP抢占发生时,处于备用状态的链路将会等待一段时间后再切换到转发状态,这就是抢占延时。配置抢占延时是为了避免由于某些链路状态频繁变化而导致Eth-Trunk数据传输不稳定的情况。
如图所示,Port1由于链路故障切换为非活动接口,此后该链路又恢复了正常。若系统使能了LACP抢占并配置了抢占延时,Port1重新切换回活动状态就需要经过抢占延时的时间。
开启抢占功能的场景:
Port1接口出现故障而后又恢复正常。当接口Port1出现故障时被Port3所取代,如果在Eth-Trunk接口下未使能抢占,则故障恢复时Port1将处于备份状态;如果使能了LACP抢占,当Port1故障恢复时,由于接口优先级比Port3高,将重新成为活动接口,Port3再次成为备份接口。
如果希望Port3接口替换Port1、Port2中的一个接口成为活动接口,可以将Port3的接口LACP优先级调高,但前提条件是已经使用了LACP抢占功能。如果没有使用LACP抢占功能,即使将备份接口的优先级调整为高于当前活动接口的优先级,系统也不会进行重新选择活动接口的过程,也不切换活动接口。
三、Eth-Trunk配置
1.Eth-Trunk接口负载分担
Eth-Trunk接口进行负载分担时,可以选择IP地址或者包作为负载分担的散列依据;同时还可以设置成员接口的负载分担权重。
配置负载分担方式
执行命令system-view,进入系统视图。
执行命令interface eth-trunk trunk-id,进入Eth-Trunk接口视图。
执行命令load-balance { ip | packet-all },配置Eth-Trunk接口的散列依据。
缺省情况下,当Eth-Trunk接口根据IP进行散列。
说明:
基于IP的散列算法能保证包顺序,但不能保证带宽利用率。
基于包的散列算法能保证带宽利用率,但不能保证包的顺序。
Eth-Trunk接口中,某成员接口的权重值占所有成员接口负载分担权重之和的比例越大,该成员接口承担的负载就越大。
配置负载分担权重
执行命令system-view,进入系统视图。
执行命令interface interface-type interface-number,进入以太网接口视图。
执行命令distribute-weight weight-value,配置Eth-Trunk成员接口的负载分担权重。
缺省情况下,成员接口的负载分担权重为1。
2.Eth-Trunk接口配置流程
将成员接口加入Eth-Trunk时,需要注意以下问题:
成员接口不能有IP地址等三层配置项,也不可以配置任何业务;
成员接口不能配置静态MAC地址;
Eth-Trunk接口不能嵌套,即成员接口不能是Eth-Trunk;
一个以太网接口只能加入到一个Eth-Trunk接口,如果需要加入其他Eth-Trunk接口,必须先退出原来的Eth-Trunk接口;
如果本地设备使用了Eth-Trunk,与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口,两端才能正常通信;
Eth-Trunk有两种工作模式:二层工作模式和三层工作模式。Eth-Trunk的工作模式不影响成员链路的加入,例如,以太网接口既可以加入二层模式的Eth-Trunk,也可以加入三层模式的Eth-Trunk。
3.注意事项
成员接口不能有IP地址等三层配置项,也不可以配置任何业务;
成员接口不能配置静态MAC地址;
Eth-Trunk接口不能嵌套,即成员接口不能是Eth-Trunk;
一个以太网接口只能加入到一个Eth-Trunk接口,如果需要加入其他Eth-Trunk接口,必须先退出原来的Eth-Trunk接口;
如果本地设备使用了Eth-Trunk,与成员接口直连的对端接口也必须捆绑为Eth-Trunk接口,两端才能正常通信;
Eth-Trunk有两种工作模式:二层工作模式和三层工作模式。Eth-Trunk的工作模式不影响成员链路的加入,例如,以太网接口既可以加入二层模式的Eth-Trunk,也可以加入三层模式的Eth-Trunk。
最多绑定8个成员
加入到聚合口的接口必须是hybrid接口
4.配置手工负载分担模式
创建手工负载分担模式Eth-Trunk:
执行命令system-view,进入系统视图。
执行命令interface Eth-Trunk trunk-id,创建Eth-Trunk接口并进入Eth-Trunk接口视图。
(可选)执行命令portswitch,将Eth-Trunk接口切换为二层模式。
配置Eth-Trunk的工作模式:
执行命令mode manual load-balance,配置当前Eth-Trunk工作模式为手工负载分担模式。
缺省情况下,Eth-Trunk的工作模式为手工负载分担模式。
Eth-Trunk中加入成员接口:
在Eth-Trunk接口视图下:
执行interface eth-trunk trunk-id命令,进入Eth-Trunk接口视图。
执行以下任一个步骤,添加Eth-Trunk成员接口。
执行trunkport interface-type { interface-number1 [ to interface-number2 ] } &<1-16>命令,批量增加成员接口。
执行trunkport interface-type interface-number命令,增加一个成员接口。
在成员接口视图下:
执行interface { ethernet | gigabitethernet } interface-number命令,进入要捆绑到此Eth-Trunk的成员接口的接口视图。
执行eth-trunk trunk-id命令,将当前接口加入Eth-Trunk。
5.配置LACP模式
创建LACP模式Eth-Trunk:
执行system-view命令,进入系统视图。
执行interface eth-trunk trunk-id命令,创建Eth-Trunk。
(可选)执行命令portswitch,将Eth-Trunk接口切换为二层模式。
配置Eth-Trunk的工作模式:
执行命令interface eth-trunk trunk-id,进入Eth-Trunk接口视图。
执行命令mode lacp-static,配置Eth-Trunk的工作模式为LACP模式。
Eth-Trunk中加入成员接口:
在Eth-Trunk接口视图下:
执行interface eth-trunk trunk-id命令,进入Eth-Trunk接口视图。
执行以下任一个步骤,添加Eth-Trunk成员接口。
执行trunkport interface-type { interface-number1 [ to interface-number2 ] } &<1-16>命令,批量增加成员接口。
执行trunkport interface-type interface-number命令,增加一个成员接口。
在成员接口视图下:
执行interface { ethernet | gigabitethernet } interface-number命令,进入要捆绑到此Eth-Trunk的成员接口的接口视图。
执行eth-trunk trunk-id命令,将当前接口加入Eth-Trunk。
(可选)配置系统LACP优先级:
执行命令lacp priority priority,配置当前路由器的系统LACP优先级。
(可选)配置活动接口数上限阈值:
执行命令interface eth-trunk trunk-id,进入Eth-Trunk接口视图。
执行命令max active-linknumber link-number,配置活动接口数上限阈值。
(可选)配置接口LACP优先级:
执行命令interface interface-type interface-number,进入接口视图。
执行命令lacp priority priority,配置当前接口的LACP优先级。
(可选)使能LACP抢占并配置抢占等待时间:
执行命令interface eth-trunk trunk-id,进入Eth-Trunk接口视图。
执行命令lacp preempt enable,使能当前Eth-Trunk接口的LACP抢占功能。
执行命令lacp preempt delay delay-time,配置当前Eth-Trunk接口的LACP抢占等待时间。
信安学习-day15相关推荐
- 谈谈半年的信安学习和一些学习感悟(附收藏资料分享)
学习信安也有半年左右的时间了,期间也收集了很多的资源,但是大多都在收藏夹里吃灰了,不过也看了不少的视频,现在的感觉就是感觉啥都会,但是真到比赛的时候,就腌了,知识没有很好的融会贯通,当初只是囫囵吞枣的 ...
- 信安学习-day14
传输层协议TCP.UDP 一.TCP和UDP协议 TCP/IP协议族的传输层协议主要有两个 TCP(Transmission Control Protocol ) 传输控制协议 UDP(User Da ...
- 信安学习-day34
安装及管理应用程序 一.Linux 应用程序基础 1.Linux命令与应用程序关系 文件位置 系统命令:一般在/bin和/sbin目录中,或为Shell内部指令 应用程序:通常在/usr/bin和/u ...
- 【信安学习笔记三】文件上传
个人学习参考用笔记 目录 前言 一.文件上传 **定义** **危害** **查找及判断** **分类** 二.验证与绕过 前端防护 后端防护 (一)黑名单 (二)白名单 (三)内容及其他 三.漏洞 ...
- 信安学习笔记之网络安全:Day-8【ftp和web以及dns服务器的配置、域名访问、交换机技术的综合应用】
交换机的综合配置: 要求:全网配通 扩展学习: 服务器配置界面: pc机配置界面: DNS服务器的ip配置界面(感觉有DNS就可以先配DNS服务器,方便域名访问): DNS服务器的服务配置界面: ft ...
- 信安学习-day13
VLAN原理和配置 一.VLAN介绍 1.概念 随着网络中计算机的数量越来越多,传统的以太网络开始面临冲突严重.广播泛滥以及安全性无法保障等各种问题. VLAN(Virtual Local Area ...
- 信安学习-day16
VRRP协议原理与配置 一.前言 局域网中的用户终端通常采用配置一个默认网关的形式访问外部网络,如果此时默认网关设备发生故障,将中断所有用户终端的网络访问,这很可能会给用户带来不可预计的损失,所以可以 ...
- 信安学习-day33
Linux 常用命令 一.Linux命令概述 1.Shell linux系统中运行的一种特殊程序 在用户和内核之间充当"翻译官" 用户登录linux系统时,自动加载一个shell程 ...
- 信安学习笔记之网络安全:Day-3【路由器配置、三层交换机与路由器综合】
1.路由器 路由器的配置3步骤: a.划分网段:路由器的每一个接口都处于不同的网段(路由器是用来隔离网段的) b.配置每个节点IP地址 Router1 Router(config)#interface ...
最新文章
- [布局] bootstrap基本标签总结
- Redhat5中discuz 7论坛的搭建
- python3 import导入模块
- LightOJ - 1243 Guardian Knights(最小费用最大流+bfs)
- 室内空气流动原理图_新风系统原理图—新风系统原理介绍
- 创建和应用Java包文件的两种方式(转)
- 怀旧服推荐配置_【怀旧服】狂暴战P4毕业装备推荐
- LGD模型开发细节|全网首发
- 搜狗AI,正在抢滩智能手机
- gtest测试代码编写思想
- ios手机游戏 带你体验拉斯维加斯的疯狂
- [转]MSSQL查询优化
- python编写水仙花数
- github 上适合java初学者跟的项目
- 软考高级系统架构设计师:软件系统建模方法及其应用
- 2022年5款免费聊天机器人,帮助独立站降本增效
- 菩提千年,你是我红尘中最美的缘
- HIGEN海坚驱动器维修FDA7045伺服变频器维修
- (JZ1619)2018.07.08【2018提高组】模拟C组 0	.音乐节拍
- waf指纹识别工具WAFW00F的使用